天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式31．串口管理32．TELNET管理43．SSH管理54．WEB管理65．GUI管理6二、命令行常用配置121．系统管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二级命令名12Version12系统版本信息12系统>根本信息12information12当前设备状态信息12系统>运行状态12time12系统时钟管理12系统>系统时间12config12系统配置管理12管理器工具栏“保存设定〞按钮12reboot12重新启动12系统>系统重启12sshd12SSH效劳管理命令12系统>系统效劳12telnetd12TELNET效劳管理12系统>系统效劳命令12d12效劳管理命12系统>系统效劳令12monitord12MONITOR12效劳管理命令无122．网络配置命令(NETWORK)133．双机热备命令(HA)134．定义对象命令(DEFINE)135．包过滤命令(PF)136．显示运行配置命令(SHOW_RUNNING)137．保存配置命令(SAVE)13三、WEB界面常用配置141．系统管理配置14A)系统>根本信息14B)系统>运行状态14C)系统>配置维护15D)系统>系统效劳15E)系统>开放效劳16F)系统>系统重启162．网络接口、路由配置16A)设置防火墙接口属性16B)设置路由183．对象配置20A)设置主机对象20B)设置范围对象21C)设置子网对象21D)设置地址组21E)自定义效劳22F)设置区域对象22G)设置时间对象234．访问策略配置235．高可用性配置26四、透明模式配置例如28拓补结构：281．用串口管理方式进入命令行282．配置接口属性283．配置VLAN284．配置区域属性285．定义对象286．添加系统权限297．配置访问策略298．配置双机热备29五、路由模式配置例如30拓补结构：301．用串口管理方式进入命令行302．配置接口属性303．配置路由304．配置区域属性305．配置主机对象306．配置访问策略307．配置双机热备31防火墙的几种管理方式串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE口以命令行方式进行配置和管理。通过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些根本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置〔接口、IP地址等〕，使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1〕使用一条串口线〔包含在出厂配件中〕，分别连接计算机的串口〔这里假设使用com1〕和防火墙的CONSOLE口。2〕选择开始>程序>附件>通讯>超级终端，系统提示输入新建连接的名称。3〕输入名称，这里假设名称为“TOPSEC〞，点击“确定〞后，提示选择使用的接口〔假设使用com1〕。4〕设置com1口的属性，按照以下参数进行设置。参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：15〕成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下列图。6〕输入系统默认的用户名：superman和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany〞命令添加管理权限在串口下用“systemtelnetdstart〞命令启动TELNET管理效劳知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1〞命令添加管理IP地址最后输入用户名和密码进行管理命令行如图：SSH管理SSH管理和TELNET根本一至，只不过SSH是加密的，我们用如下步骤管理：在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany〞命令添加管理权限在串口下用“systemsshdstart〞命令启动TELNET管理效劳知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1〞命令添加管理IP地址最后输入用户名和密码进行管理命令行如图：WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany〞命令添加。2)WEB管理效劳缺省是启动的，如果没有启动，也可用“systemdstart〞命令翻开，管理员在管理主机的浏览器上输入防火墙的管理URL，例如：s://50，弹出如下的登录页面。输入用户名密码后〔网络卫士防火墙默认出厂用户名/密码为：superman/talent〕，点击“提交〞，就可以进入管理页面。GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些平安工具，如监控，抓包，跟踪等安装管理中心软件运行管理软件右击树形“TOPSEC管理中心〞添加管理IP右击管理IP地址，选择“管理〞，输入用户名和密码进行管理也可右击管理IP地址，选择“平安工具〞，进行实时监控选择：平安工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下列图：命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：)系统级系统级为第一级，提供设备的根本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。组件级组件级为第二级，提供每个平安组件〔SE〕所独有的管理命令。在系统级下，TopsecOS#<tab>按tab键，那么显示出平安组件级命令见下表。类别关键字内容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规那么设置dpi深度报文检测策略定义firewall防火墙规那么设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒平安引擎管理设置save保存配置Show_running查看运行时配之信息Show查看配置helpmode帮助模式设定exit退出系统系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和查看系统配置：命令功能WEBUI界面操作位置二级命令名Version系统版本信息系统>根本信息information当前设备状态信息系统>运行状态time系统时钟管理系统>系统时间config系统配置管理管理器工具栏“保存设定〞按钮reboot重新启动系统>系统重启sshdSSH效劳管理命令系统>系统效劳telnetdTELNET效劳管理系统>系统效劳命令d效劳管理命系统>系统效劳令monitordMONITOR效劳管理命令无网络配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墙接口管理网络>物理接口vlanVlan配置管理网络>VLANroute路由表配置管理网络>静态路由Ping验证网络连接无双机热备命令(HA)HALOCAL<ipaddress>设置HA接口的本机地址HAPEER<ipaddress>设置HA接口的对端地址HAPEER-SERIAL<string>设置HA接口的对端的licence序列号HANO<local|peer|peer-serial>复位HA接口的本机地址/对端地址/对端licence序列号HAPRIORITY<primary|backup>设定HA优先级是主机优先还是备份机优先〔默认为backup，即如果同时启动主机成为活HASHOW<cr>查看HA的配置信息HAENABLE<cr>启动HAHADISABLE<cr>停用HAHACLEAN<cr>去除HA配置信息HASYNC<from-peer|to-peer>HA同步〔从对端机上同步配置/同步配置到对端机上〕定义对象命令(DEFINE)命令功能WEBUI操作位置area区域对象管理对象>区域对象interface配置防火墙接口对应的区域属性对象>区域对象host主机地址对象管理对象>地址对象>主机对象range地址范围对象管理对象>地址对象>范围对象subnet子网地址对象对象>地址对象>子网对象group_address地址组对象管理对象>地址对象>地址组对象service子定义效劳对象管理对象>效劳对象>自定义效劳group_service效劳组对象管理对象>效劳对象>效劳组schedule时间表对象管理对象>时间对象server效劳器对象管理对象>负载均衡>效劳器virtual_server虚拟效劳器对象管理对象>负载均衡>均衡组包过滤命令(PF)增加一条效劳访问规那么SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area<string><[addressid<number>]|[addressname<addr_name>]>显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING保存配置命令(SAVE)SAVEWEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界面如下：系统管理配置在“系统〞下，可以显示或配置系统相关设置系统>根本信息显示系统的型号、版本、功能模块、接口信息等等：系统>运行状态查看系统的运行状态，包括CPU、内存使用情况和当前连接数等系统>配置维护上传或下载配置文件系统>系统效劳系统效劳在本系统中主要是指监控效劳、SSH效劳、Telnet效劳和效劳。TOS系统提供了对这些效劳的控制〔启动和停止〕功能，其具体的操作如下：系统>开放效劳添加或查看系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等系统>系统重启网络接口、路由配置设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：1〕在管理界面左侧导航菜单中选择网络>物理接口，可以看到防火墙的所有物理接口，如下列图所示，共有三个物理接口：Eth0、Eth1、Eth2。2〕如果要将某端口设为路由模式，点击该端口后的路由修改图标“〞，弹出“设定路由〞对话框，如下列图所示。可以为某个端口设置多个IP地址，点击“添加配置〞按钮，添加接口的IP地址。如果选择“ha-static〞,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否那么，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的IP地址或IP地址在同一子网内。3〕如果要将某端口设交换模式，点击该端口后的交换修改图标“〞，弹出“交换〞设置窗口，如下列图所示。首先，需要确定该接口的类型是“Access〞还是“Trunk〞。如果是“Access〞接口，那么表示该交换接口只属于一个VLAN，需要指定所属的VLID号码，如上图所示。如是“Trunk〞接口，那么设置参数界面如下列图所示。上图参数说明如下表所示：点击“提交设定〞那么完成接口从路由模式向交换模式的转换。4〕点击“其他〞按钮，可以设置接口的其他信息，如下列图。设置路由用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：1〕在左侧导航菜单中选择网络>静态路由，可以看到已经添加的策略路由表以及系统自动添加的静态路由表，如下列图所示。2〕设置策略路由，点击“添加策略路由〞，如下列图所示。其中“网关〞为下一跳路由器的入口地址，“端口〞指定了从防火墙设备的哪一个接口〔包括物理接口和VLAN虚接口〕发送数据包。Metric为接口跃点数，默认为1。如果选择“NAT后的源〞为“是〞，表示策略路由的源地址为NAT后的地址，策略路由添加成功后的“标记〞一栏显示为“UGM〞。默认为“否〞，策略路由添加成功后的“标记〞一栏显示为“U〞。3〕设置完成后，点击“提交设定〞按钮，如果添加成功会弹出“添加成功〞对话框。点击“取消返回〞那么放弃添加，返回上一界面。假设要删除某路由项，点击该路由项所在行的删除图标“〞进行删除。4〕移动策略路由。由于策略执行为第一匹配原那么，那么策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序〔按照添加顺序排列〕。具体设置方法为：在策略路由表中点击要移动的路由选项〔例如要移动策略路由102〕后的“移动〞图标按钮，进入如下界面。在第一个下拉框中选择参考位置路由，第二个下拉框中那么是选择将当前路由移动到参考路由之前还是之后。例如：要将路由102移动到路由101之前，那么第一个下拉框选择ID“101〞，第二个下拉框选择“之前〞，点击“提交设定〞按钮，那么弹出移动成功对话框。点击“确定〞返回路由界面，可以看到路由102已经移动到了101之前，如下列图所示。对象配置设置主机对象选择对象>地址对象>主机对象，右侧界面显示已有的主机对象，如下列图所示。点击“添加配置〞，系统出现添加主机对象属性的页面，如下列图所示。设置范围对象选择对象>地址对象>地址范围，右侧界面显示已有的地址范围对象，如下列图所示。点击“添加配置〞，进入地址范围对象属性的页面，如下列图所示。设置子网对象选择对象>地址对象>子网对象，在右侧页面内显示已有的子网地址对象，如下列图所示。设置地址组不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持增强了对象管理的层次性，使管理更加灵活。设置地址组对象的步骤如下：1〕选择对象>地址对象>地址组，在右侧页面内显示已有的地址组对象，如下图所示。2〕选择“添加配置〞，系统出现如下列图所示的页面。自定义效劳当预定义的效劳中找不到我们需要的效劳端口时，我们可以自己定义效劳端口：选择对象>效劳对象>自定义效劳，点击“添加配置〞，系统出现如下页面。2〕输入对象名称后，设置协议类型及端口号范围。3〕点击“提交设定〞，完成设置。设置区域对象系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的平安域，并根据其不同的平安需求，定义相应的规那么进行区域边界防护。如果不存在可匹配的访问控制规那么，网络卫士防火墙将根据目的接口所在区域的权限处理该报文。设置区域对象，具体操作如下：1〕选择对象>区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为AREA_ETH0，并已和缺省属性对象eth0绑定，而属性对象eth0已和接口eth0绑定，因此出厂配置中防火墙的物理接口eth0已属于区域AREA_ETH0。2〕点击“添加配置〞，增加一个区域对象，如下列图所示。在“对象名称〞局部输入区域对象名称；在“权限选择〞局部设定和该区域所属属性绑定的接口的缺省属性〔允许访问或禁止访问〕。在“选择属性〞局部的左侧文本框中选择接口，然后点击添加该区域具有的属性，被选接口将出现在右侧的“被选属性〞文本框中，可以同时选择一个或多个。3〕设置完成后，点击“提交设定〞按钮，如果添加成功会弹出“添加成功〞对话框。4〕点击“取消返回〞那么放弃添加，返回上一界面。5〕假设要修改区域对象的设置，点击该区域对象所在行的修改图标“〞进行修改。6〕假设要删除区域对象，点击该区域对象所在行的删除图标“〞进行删除。设置时间对象用户可以设置时间对象，以便在访问控制规那么中引用，从而实现更细粒度的控制。比方，用户希望针对工作时间和非工作时间设置不同的访问控制规那么，引入时间对象的概念很容易解决该类问题。设置时间对象，具体操作如下：选择对象>时间对象，点击“添加配置〞，系统出现如下页面。2〕依次设置“对象名称〞、“每周时段〞和“每日时段〞。3〕最后点击“提交设定〞，完成对象设置。新添加的对象将显示在时间对象列表中，如下列图所示。4〕对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标删除该对象。访问策略配置用户可以通过设置访问控制规那么实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同，访问控制规那么也是顺序匹配的，但与其不同，访问控制规那么没有默认规那么。也就是说，如果没有在访问控制规那么列表的末尾添加一条全部拒绝的规那么的话，系统将根据目的接口所在区域的缺省属性〔允许访问或禁止访问〕处理该报文。定义访问规那么，操作步骤如下：选择防火墙引擎>访问控制，点击“添加配置〞，进入访问控制规那么定义界面。表中“ID〞为每项规那么的编号，在移动规那么顺序时将会使用。“控制〞中的图标和，分别表示该项规那么是否启用。2〕定义是否启用该访问控制规那么〔默认为启用该规那么〕，以及访问权限。访问权限定义了是否允许访问由规那么源到规那么目的所指定的效劳。3〕定义规那么的源规那么的源既可以是一个已经定义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下列图所示。图中“选择源〞右侧的按钮为正序排列和倒序排列，用户可以方便的按序查找工程。另外，用户还可以选择相应的效劳，即设置源端口，如下列图所示。4〕定义规那么的目的规那么的目的既可以是一个已经定义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下列图所示。另外，用户还可以设置进行地址转换前的目的地址，如下列图所示。5〕定义效劳选择访问规那么包含的效劳，如果用户需要制定的效劳没有包含在效劳列表中，可以通过添加自定义效劳添加所需效劳。如果没有选择任何效劳，那么系统默认为选择全部效劳。6〕定义辅助选项各项参数说明如下：7〕点击“提交设定〞完成该条访问控制规那么的设定。8〕用户可以点击“修改〞按钮，对现有规那么进行编辑。可以点击“插入〞按钮，在现有规那么间插入一条新规那么。8〕点击“清空配置〞，可以去除所有的访问控制规那么，便于重新配置。9〕需要更改规那么的匹配顺序时点击该规那么右侧“移动〞按钮，如下列图所示。用户可以选择相应ID、位置，移动策略。完成后点击“提交设定〞保存或“取消返回〞放弃移动。高可用性配置配置网络卫士防火墙双机热备的步骤如下：1〕选择系统>高可用性，进入高可用性设置页面，如下列图所示。设置主/从设备参数，参数说明请参见下表。3〕点击“提交设定〞，完成双机热备设置。透明模式配置例如拓补结构：用串口管理方式进入命令行用WINDOWS自带的超级终端或者SecureCRT软件，使用9600的速率，用串口线连接到防火墙，用户名是superman，密码是talent。(具体方法见第一节)，下面是具体配置，加粗显示的为命令行。配置接口属性ETH0将ETH0口配置为交换模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于计算双机热备的权值：networkinterfaceeth0ha-metric100ETH1将ETH1口配置为交换模式：networkinterfaceeth1switchport配置ETH1口的METRIC值，用于计算双机热备的权值：networkinterfaceeth1ha-metric100ETH2配置ETH2口的METRIC值，用于计算双机热备的权值：networkinterfaceeth2ha-metric100将没有使用的ETH2口关闭：networkinterfaceeth2shutdownETH3配置同步接口ETH3的IP地址和HA标记：(/30)networkinterfaceeth3ha-staticlabel0配置ETH3口的METRIC值，用于计算双机热备的权值：networkinterfaceeth3ha-metric100配置VLAN添加VLAN1：networkvlanaddid1为VLAN1添加IP地址：networkinterfacevlan.0001label0配置区域属性将区域缺省访问权限为禁止defineareaaddnamearea_eth0attribute'eth0'accessoffdefineareaaddnamearea_eth1attribute'eth1'accessoff定义对象定义主机地址对象definehostaddipaddr'0'macaddr00:19:21:50:15:1fdefinehostaddname0ipaddr'0'定义时间对象definescheduleaddname上班时间week12345start08:00end18:00添加系统权限为ETH0口添加TELNET权限pfserviceaddnametelnetareaarea_eth0addressnameany配置访问策略允许0在'上班时间'访问0的PINGFTPSSHTELNETSMTPDNS_QueryTFTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal这些效劳：firewallpolicyaddactionacceptsrcarea'area_eth0'dstarea'area_eth1'src'0'dst'0'service'PINGFTPSSHTELNETSMTPDNS_QueryTFTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal'schedule'上班时间'配置双机热备配置本机同步IPhalocal配置对端机器同步IPhapeer启动双机热备功能haenable注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置根本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP地址为；另一个是双机热备配置中的本机同步IP和对端机器同步IP相反，本机IP为，对端机器IP为，完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。路由模式配置例如拓补结构：用串口管理方式进入命令行方法同上面的透明模式。配置接口属性配置ETH0口的IP地址：networkinterfaceeth0ipadd50masklabel0配置ETH0口的METRIC值，用于计算双机热备的权值：networkinterfaceeth0ha-metric100配置ETH1口的IP地址：networkinterfaceeth1ip