天融信防火墙NGFW4000快速配置手册

1、贞眉内容天融信防火墙NGFW4000NGFW4000快速配置手册一、防火墙的几种管理方式1.1.串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配宜和管理。通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火 墙时，通常都会登录到防火墙更改出厂配置（接口、IP地址等），使在不改变现有网络结构的情况下将防 火墙接入网络中。这里将详细介绍如何通过CONSOLE 口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用coml）和防火墙的 CONSOLE 口。2）选择开始程序附件 通

2、讯 超级终端，系统提示输入新建连接的名称。3）输入名称，这里假设名称为“TOPSECS点击“确;1T后，提示选择使用的接口（假设使用coml）o4）设置coml 口的属性，按照以下参数进行设置。参数名称取值却内容29贞眉内容每秒位数：9600数据位：8奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman和密码：talent,即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2 2 TELNETTELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须

3、进行以下设置：1）在串口 卜用pf service add name telnet area area_ethO addressname anyv 命令添加管理权限2）在串口下用system telnetd start命令启动TELET管理服务3）知道管理 IP 地址，或者用 44network interface ethO ip add 192. 168. 1. 250 mask 255. 255. 255. 0w 命令 添加管理IP地址4）然后用各种命令行客户端（如WINDOWS CMD命令行）管理：TELNET 192. 168. 1. 2505）最后输入用户名和密码进行管理命令行如图：

4、却内容29Category：-SessionLogging0 T erminalKeyboard Bell Features 日 WindowAppearanceBehaviour Translation Selection Colours- ConnectionProxpTelnetR login0 SSHAuth Tunnels BugsBasic options for yOIK PUTTY sessionSpecify your connection by host name crlP addressHost Name (or IP address)Port192168.1.25。22

5、Protocol:RawTelnet C_； Rlogin SSHLoad, save or delete a stored session Saved Session?50Default Settings：540广电集团t/* 丄2翌IS妙DeleteClose window on exit:O Always O Never(j) Only on clean exit贞眉内容3 3 SSHSSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1）在串】卜用pf servi

6、ce add name ssh area area_ethO addressname anyM 命令添加管理权限2）在串口下用system sshd startM命令启动TELNET管理服务3）知道管理 IP 地址，或者用network interface ethO ip add 192. 168. 1. 250 mask 255. 255. 255. 0w 命令 添加管理IP地址4）然后用各种命令行客户端（如putty命令行）管理：50探 PuTTYPuTTY ConfigurationConfigurationAbout5）最后输入用户名和密码进行管理命令行如图:却内

7、容29P P JJVsiiEJJVsiiE? ? QO5QO5* 防火MBMB引至 -狠岀禾.竝MGFW4000(TG-MGFW4000(TG-4424)4424)TOPSECTOPSECTg;Tg;飢 CtOdtrnCtOdtrn SterriSterri 0.034.1Fft*iK5KFft*iK5K许可述越出评可l l正饭本：C01C01安全咫务安全引笙：FWFW IDSIDS QOGQOG垛立内容过戒:HTTPHTTP FTPFTP FCP3FCP3 SMTPSMTPNHTNHT支挎:H323H323 RPCRPC VMSVMS RTSPRTSP

8、SOLNETSOLNET TFTPTFTP FTPFTP认进:合话MIMIM M务:CRTCRT MTPMTP L1HKBAKL1HKBAK AWLAWL 9=H9=H HAHA SMMPSMMP 金动翠由勿议：CFfCFf RJPRJP汝全星第包合安全枝 块和势信且安全引 5555为吸过港 NAT,NAT, U U 迸.飙笛，动恋8888扭0 0蛙- -RaarRaar 口 rsarsa E 示兰 srasaattftsrasaattft罚眉内容 5050 - - PuTTYPuTTY口冋冈logiii 33： sup er wanTopsec O

9、perating System v04 1Topsec Network Security Technology CO.,LTDhttp : / topsec com. cnsuperrnanl? 50s password;TopsecOS4.4. WEBWEB管理1）防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any” 命令添加。2） WEB管理服务缺省是启动的,如果没有启动，也可用system httpd start”命令打开,管

10、理员在管理 主机的浏览器上输入防火墙的管理URL,例如：https :/192. 168. 1. 250,弹出如下的登录页而。输入用户名密码后（网络卫士防火墙默认岀厂用户名/密码为：superman/talent）, 点击“提交S就可以进入管理页而。天祂信TOFSGCTOFSGC障統口接口名你布由交英址协倉在式MTUMTUethoetho3333；255.235.2255.235.2 .0.0autoauto15001500ethlethl53/53/au

11、toauto15001500eth2eth23JtO3JtO15001500eth3eth311.1.12/5211.1.12/52autoauto150015005.5. GUIGUI管理却内容29贞眉内谷GUI图形界面管理跟WEB界而一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1）安装管理中心软件用户名：superman密玛:提交-c9-c9 x x刁暫TojSKg-g中右2）运行管理软件:多 文件（D 设务（P）工且 査吞 ina（w） witj la氨呦咚固右豹虽曾咼厶啓氨邮训| 却名鶴 CF咧用辛，|顷用內静购 总必存田

12、0；用存储空呵J52 怎序谴却冃。:）, 播口毅 当前连暮勿I更斜附问来碱报炖0 0甘狸出惟日志X20062006 0909 2121 ISiaISia x9fix9fi（192192 1 1能 5 5 20,020,0监控启动200G200G 09-2109-21 伦5454：勿设备192192 IEBIEB 5 5 20,12.20,12. ）69.5.2069.5.20曲左|爭止iR*R*力3）右击树形“TOPSEC管理中心”添加管理IP却内容29贞眉内容ErxiErxi乡文件心盪醤位）IflCEIflCE） 2Ci2Ci）祖K1K1（型HH=5兰迢温

13、炕刃俐用军久I I可用円存0 0內存的可用存銘空何“ WiWi： : :?id?id ivivI I 据口數 当前匡探戲- -x|x|XI*加心x x2006.09-212006.09-21 1ft1$r.C$1ft1$r.C$ x9S(1x9S(19292 1W1W 5 5 如虫.1 1够.0】总控后亦20062006 09*2109*21 1&51&5：3030 192192 168168 5 5 2DJ02DJ0总控停止0开绘_計文砧电.rgrg po.po.麵 52.52.晟 S.S. . .4#4# TO.TO.Ta”Q Q T

14、oToisis44 丁廉亠 1111 33334）右击管理IP地址，选择“管理S输入用户名和密码进行管理却内容29礎项目庙炷弼加下辺电区项目觀加设备廉存阴购睫作声中心滋材列注1 1乡 1SWD1SWD 也斛: IJUDIJUD 2)2)* 砂理 I I?瓯“J上百i i MPtH H ice2.ie&ice2.ie& 1 1 a?a? el-iceel-ice【3【3 玉 222.1T0222.1T0 3 3 C2-22ZC2-22Z 】P P & & fflffl 1010 1M1M 於 15-1015-10 H4H4 99 -T-T ISC2.168ISC2.168 1313 25HS22

15、5HS2 l8l8 ffl 2广帕纟3te3te H3H3 T TOSOS 182.100182.100 inin riserise isis r r fflffl 203.81203.81 44 ?03?03 9191 44 ? ? g22l.eg22l.e 1313 214-221214-221 6 6 13t13t33 to?.teeto?.tee s2o-ia?s2o-ia? tu.stu.s i i贞眉内容说鬲名眛 EMWK I I司用内祚g 1 1直內乔 I I可用砲立司苗I I司苗 I I 蚕口笏妥士工具YgYgTroccrtTroccrtfiMCfiMC_：i i309309i

16、tt.s.zo.itt.s.zo. ittitt teatea s.20)s.20)酩荒Q Q助2O-(n.712O-(n.71 18541854 3333 (m(m t.5t.5 20.20. ICCICC 1 1 他 S S 1J1J 匕走存辻o o床Z強0 0 o o土秒纫可n上.i.i.xdt.杠3 MMMEU77?始二筝l艾电尺 jie.足a5Q Q T.T.a aJ 匚V丽亠n n 3?3?TOSTOS 设备它理 atat 1 192.92. 168.168. 1.1.250250忍京弱助00天駁信用户；g:g: supemensupemen囲:5）也可右击管理IP地址，选择“安全

17、工具S进行实时监控却内容29僅険记录(Q(Q) ) 系统升级)V启动厂设置目的地址源箱口目的隔口妥全工且选择：安全工具-连接监控TOSTOS安全工具-11 168.168. 1.1. 250250安全工具Q)粘助IDLE SR：STN_RCYD SW：SACK_TAIT E STAB贞眉内容设备飙x辱碉打训池遲j囲日讨戰牺詁艮 dgl蘇逐晶y ?$朋逊略呕、-物了。0303启9 9中心7 7168168 ice.ice. 61-39261-392 166166 2-222.110.82-222.110.8 10.11410.114 4949 15

18、-10.144.4915-10.144.49 1 1IS2.IS2. IC6.IC6. 7373 250-)92250-)92 6B6B国 toi-ise.ieatoi-ise.iea 1?3.71?3.7 血 1.1. 177.1-L92.177.1-L92. 168.168. V V 203.91203.91 3 3 7-2CC3.7-2CC3. 9191 Z Z 7 7 復j j 223.223. G G 191191 2121 MCIMCI 6.1316.131 T T 1.1. 166.5.20-166.5.20-.168.5.： : :3333启动ifiifi

19、茲艮曉设还TdnetTdnetRnoRnoTracedTraced組件信息0-192.166.30-192.166.3 IS)IS)192.192. iee.iee. 1.250-1.250-319:09319:09设备【】忆】68.568.5也】他.166.166. 5 5胡 曲控启勺3X6092118.51333X6092118.5133 谀备92.168.5.绒炮.. 2020止退岀地址本a)点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。却内容29发建宇节数接技宇務贸咗摇文数按怩R R文数LZ8LZ888883 32 2贞眉内容

20、选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图:TOSTOS 安全工具 192.168,1.260192.168,1.260甦工貝帮肋亘中止O2O2括谢銭 5SB5SB I I 第注：RLERLE SFSF； SYMjrVDSYMjrVD SftSft SACX.YAI7SACX.YAI7 E E 83*7AB83*7AB 目的枚itit192192 168168 1 1 2S02S0状?E E巴E E独地址畑.188188 1.1. IllIll1 1 他.166166 1 1 11111119?.19?. IE6IE6 1 1 111111192192 168168 1 11

21、 1 史 168168 1 1250250ESOESOsfinsfin n:in:i 11091109 11051105目的塔口3?3? 3 33232323240304030悔议TCPTCPTCPTCPTCPTCP淞宇珈1681682020血1212妙抿忖节数57657632443244已531531发就04 41201201151153 3 丁5 56S6S9300930090309030UII?UII?7373 使 80800 0924692460 0关駆接 CLOSED状?3 3涯地込_目的jfctltjfctlt瞬口 目

22、赫口 W W IWIW铁CDCD192.192. . 11J11J 12.12. lee.l.ZSOlee.l.ZSO 11C611C6TCTTCT却内容29贞眉内容二、命令行常用配置（注：用串口、TELNET.TELNET. SSHSSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形 界面管理功能，命令行支持TABTAB键补齐和TABTAB键帮助，命令支持多级操作，可以在系统级，也就是第一 级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：）系统级系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级

23、，显示为：TopsccOS扎 组件级组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级卜，TopsecOS #tab按tab键，则显示出安全组件级命令见卜表。类别关键字内容说明system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配Itpf包过滤规则设苣dpi深度报文检测策略定义firewall防火墙规则设巻nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设豊save保存配置Show runni

24、ng査看运行时配之信息Show査看配置helpmode帮助模式设定一级命令名exit退出系统1.1.系统管理命令（SYSTEMSYSTEM）在命令行下一般用SYSTEM命令来管理和查看系统配置:命令功能WEBUIWEBUI界面操作位置Version系统版本信息系统基本信息information当前设备状态信息系统运行状态time系统时钟管理系统系统时间config系统配置管理管理器工具栏“保存设泄”按钮reboot重新启动系统系统重启sshdSSH服务管理命令系统系统服务telnetdTELNET服务管理系统系统服务命令httpdHTTP服务管理命系统系统服务令二级命令名monitordMON

25、ITOR服务管理命令无却内容29贞眉内容2.2.网络配置命令(NETWORK)(NETWORK)命令功能WEBUIWEBUI界面操作位置interface防火墙接口管理网络物理接口vlanVian配苣管理网络VLANroute路由表配置管理网络静态路由Ping验证网络连接无3.3.双机热备命令(HA)(HA)HAHA LOCALLOCAL ipaddress设置HA接口的本机地址HAHA PEERPEER ipaddress设宜HA接口的对端地址HAHA PEER-SERIALPEER-SERIAL string 设置 HA 接口的对端的 licence 序列号HAHA NONO locall

26、peerlpeer-serial复位HA接口的本机地址/对端地址/对端licence序列号HAHA PRIORITYPRIORITY primarylbackup设龙HA优先级是主机优先还是备份机优先(默认为backup,即如果 同时启动主机成为活HAHA SHOWSHOW crcr查看HAHA的配置信息HAHA ENABLEENABLEcrcr 启动 HAHAHA DISABLEDISABLEcrcr 停用 HAHAHA CLEANCLEANcrcr淸除HAHA配巻信息HAHA SYNCSYNC from-peerlto-pecr HA同步(从对端机上同步配置/同步配置到对端机上)4.4.定

27、义对象命令(DEFINE)(DEFINE)命令功能WEBUIWEBUI操作位置area区域对象管理对象 区域对象interface配置防火墙接口对应的区域属性对象 区域对象host主机地址对象管理对象 地址对象 主机对象range地址范围对象管理对象地址对象 范囤对象subnet子网地址对象对象地址对象 子网对象group address地址组对象管理对象地址对象 地址组对象service子定义服务对象笛理对象服务对象 自立义服务group service服务组对象管理对象服务对象 服务组schedule时间表对象管理对象 时间对象server服务器对象管理对象 负载均衡 服务器virtual

28、 server虚拟服务器对象管理对象 负载均衡 均衡组5.5.包过滤命令(PF)(PF)增加一条服务访问规则SERVICESERVICE ADDADD namename guilsnmplsshlmonitorlpinglteliietltosidslplutolauthlntplupdatelotpldhcplripll2tplguilsnmplsshlmonitorlpinglteliietltosidslplutolauthlntplupdatelotpldhcplripll2tpl pptplwebuilvrclvdopptplwebuilvrclvdo areaarea addres

29、sidaddressid ll addressnameaddressname 6.6.显示运行配置命令(SHOW.RUNNING)(SHOW.RUNNING)SHOW_RUNNINGSHOW_RUNNING7.7.保存配置命令(SAVE)(SAVE)SAVESAVE却内容29* djdjff E E楓TT Q逓号Q Q Q8Q8防火翻IHIHi i（D曲a芳阳iwiw：D D退a;a;系轨NGFW4C8QNGFW4C8Q磁：TOP5ECTOP5ECTcpsecTcpsec CreratingCrerating SystemSystemv3.2.90.OM.l_newvv3.2.90.OM.l_

30、newv工VF(q?|.4VF(q?|.4：: :.2.8312.0:05.00.2.8312.0:05.00洋可迂廡本：007007申嗨鲨：1CCO1CCOYRCYRC用尸孩：RXORXO安全引孚：FWFW 】D5D5 QO5QO5 VPNVPN舷内容过滋;i-fTTP;i-fTTP FTPFTP POP3POP3 SMTPSMTPt-Trst-Trs: :FG23FG23 RPCRPC MM5MM5 RTSPRTSP 9QLKET9QLKET TFTPTFTP FTPFTP认证：会话认证昱务；CHCPCHCP WTPWTP驱L L 住H H HAHA SMVPSMVP 右播动茗路由创伙:

31、:OSPFOSPF RIPRIP何络接口安全的包合安全便 块和H H务信且女全引 5S5S, , f f列5 5过链,NAT,NAT, U U 迸.眼箱，动老8888由恰蛙-a-a 口 fifi；a a圮示兰3JtO3JtO 15001500三、WEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界而如下:天融信1.1.系统管理配置在系统”下，可以显示或配置系统相关设宜A A）系统 基本信息显示系统的型号、版本、功能模块、接口信息等等:基本信息系規:NGFW4000-P版权:TOPSEC版本:Topsec Operating System V3.2.8B40.1许0J证版本:002PN隧

32、道数；200WRC用户数；10S5LVPN用戶数；0安全服务安全引宰：FW IDS QOS SSLVPN VPN襟度内容过浦:HTTP FTP POP3 SMTPNA丁支再:H323 RPC MM9 RTSP SQLNET TFTP FTP认证：会话认证服务：DHCP NTP LINKBAK ADSL SSH HA SNMP 务播动态豁曲协议；OSPF RIP网馆接口按口名命 路由交按技口世址厉商模式MTUMTUetho路由L92 丄68.83.240//auto1500ethl路由202.99,27499/255,

33、255,255,0uto1500eth2谿由/auto1500B B）系统 运行状态查看系统的运行状态，包括CPU、内存使用情况和当前连接数等贞眉内容按口名和歸由艾拚接口堆址eth3eth3 豁由192O.169.5.2O；255.2S5.xS5255.2S5.xS5.0.0却内容29贞眉内容（CPU信息会话纭计（用尸统计详纟睦建）用 FiS： 0.6% 後心态；0.4% 进栓调度:0.0%為使用:1.0% 空闲:os.g%内存信魚总数:458340 可用数:293L&4 可用比例：63V%级存：1520 高達緩存：98798

34、连接数目总数:44C C）系统 配置维护 上传或下载配宜文件系统配置上伎_浏宽丨上槪楚I系筑配置维护查看运行0 0己置査看保存配迓下裁运行己盍下载保存酉己迓ddD D）系统 系统服务系统服务在本系统中主要是指监控服务、SSH服务、Telnet服务和HTTP服务。TOS系统提供了对这些 服务的控制（启动和停止）功能，其具体的操作如下：却内容29舔加己置码控制监控服务:启动I停止I:启动I停止ITELNET服务：启动|停止|HTTP服务；启动|停止|E E）系统 开放服务添加或查看系统权限，包括WEB管理、GUI管理.TELNET管理、SSH管理、监控等等仪务揑制TOS服务名称控制端口控帝!1地址

35、guiarea_ethOanysshareaethOanyupdatearea.ethOanyPingareaethaanywebuiarea.ethaanytelnetarea.ethOntparea_e thOanyMOrtitOfarea_e thawebuiallportsanyhallportsanyauthallportsanydhcpgrietanyF F）系统 系统重启垂新启动乐统重新启动（垂新启动前诘晚定是否保殍当前配跖2.2.网络接口.路由配置A A）设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤

36、如下：1）在管理界而左侧导航菜单中选择网络 物理接口 ，可以看到防火墙的所有物理接口，如下图所示, 共有三个物理接口： EthO. EthK Eth2o按口信启| _黑口施述 爛性地址MODEVLAN MTU挨遞妙奇匡度陥由交携耳它详細郭定ethO ntrangt 3由 L9216g83237/255N5525501500 启Jfautoajto$ 金 曲出ethl hterretS?换acce5$l 1500 启用 auto auto 苗季 总目eth2 ssn 交换trunk15C0启用autojto 僧 孕 僧僧却内容29贞眉内容i _1-10001-40941-4094 稻式50： 1

37、-100贞眉内容2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“”，弹出设 定路由”对话框，如下图所示。设葩由勝郦衢tfitt届性田際37255.2S5.255.03 3可以为某个端口设置多个IP地址，点击“添加配置”按钮，添加接口的IP地址。如果选择ha-static, 表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。 网络卫士防火墙不支持不同的物理接口配宜相同的IP地址或IP地址在同一子网内。设定鉤由IP比址: 俺码： ha-stdtlc ：r提交谡圭J J驭消返目|3）如果要将某端口设交换模式.点击该端口后

38、的交换修改图标“ S弹出“交换”设置窗口，如下 图所示。接口缠：|Access:access 勺11-4094援交礙J J取消返冋首先，需要确定该接口的类型是Access还是“Trunk”。如果是“Access”接口，则表示该交换接口只属于一个VLAN,需要指圧所属的VLID号码，如上 图所示。如是“Trunk接口，贝IJ设置参数界而如下图所示。交按接口类型：Native ；Vlan?SS ；Trunks 型：|802：LqT摄交设定|取消握回上图参数说明如下表所示:却内容29mss开共：mss值:按n速车：10M3双工穆式:双工2贞眉内容.沐接口类型选择该空换接H.W J-trunk接口.

39、HU个接IEJ以同BOlH哆个VLAN。NativeNativetrunk端11的缺笛VLAX I九由于Trunk端口属哆个VW,所以碍嬰设 賈缺右训用（ID用当该交换接口接收到没有标记的报文臥 该Trunk 端1 1将此报文发往缺省VLAN ID标识的VUN.的范围Trunk接口屈哪些VLA5L格式举例；10农示屈FVLM到10；或 L 10 衣水屈 J* VUN1 和 XW30：Trunk类型Trunk 口数拯的封装方也系统支詩汕种数抵封装方式:802.1Q（标粧 IEEE802.1Q 协议）方式和 ISL （Inter Switch Link Cisco 产品独fj的 协i义）力式。点击

40、“提交设立”则完成接口从路由模式向交换模式的转换。4）点击“其他”按钮，可以设置接口的其他信息，如下图。餐口信息握口乞称：PthO按口描述：intranet授口畑:|7TW3选项MTU： 刚C： 朋 MBtrc : 目动协商： 手工齐交设罡|取梢逡回|B B）设置路由用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：1）在左侧导航菜单中选择网络 静态路由，可以看到已经添加的策略路由表以 及系统自动添加的静态路由表，如下图所示。却内容29贞眉内容200-1460策昭路由表添加策昭路曲歸由ID涯目的 网关 傢记 Metric 接口 務动 删除靜态賂由表忝力哺态路由遊目的网关标记Met

41、ric接口/037/3UL1Ion/012/3UC10pppo3o.o.o.o/o10.10404/320.0,0,0UL1Io/0/UC10ethla.0/0192.168.03.0/UC100ipsecOa/0/UC10vlan.0001s/0/0UGS1ethl/0/010.1

42、12.112.112UGD1pppoa2）设置策略路由，点击“添加策略路由”，如下图所示。诟力硝2I_目的地址：202.168.1,0|目的掩码；*源地址：_源掩码：网关：*Metric: 11-65535菇口： |eth2三NAT后的源:3提交设定：职消返冋|其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接 口和VLAN虚接口）发送数据包。Metric为接口跃点数，默认为1。如果选择“NAT后的源”为“是”, 表示策略路由的源地址为NAT后的地址，策

43、略路由添加成功后的“标记” 一栏显示为“UGM”。默认为 “否”，策略路由添加成功后的“标记” 一栏显示为“U”。3）设置完成后，点击“提交设泄”按钮，如果添加成功会弹出添加成功”对话框。点击“取消返 回则放弃添加，返回上一界而。策略跻由茨縣加策昭陆由路由ID源目的网关标记Metric接口移动删除101/24 /24G 1 eth2 J10/241.11.0/ UGM1 ethO目10//UGM1 vlan.0001 QJ若要删除某路由

44、项，点击该路由项所在行的删除图标进行删除。4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变 添加策略时候的缺省的执行顺序（按照添加顺序排列）。具体设垃方法为：却内容2910//UGM1虫Fi内?*在策略路由表中点击要移动的路由选项（例如要移动策略路由102）后的“移动”图标按钮，进入如下 界面。移动策昭銘由移动策昭路由ID102到ID ToTV前二|提交设定|职消卷回|在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到 参考路由之前还是之后。例如：要将路由102移动到路由101之前

45、，则第一个下拉框选 择ID “101”，第二个下拉框选择“之前”，点击“提交设泄”按钮，则弹岀移动成功 对话框。点击“确宦”返回路由界而，可以看到路由102已经移动到了 101之前，如下图所TJX 0泰加聚咯盼由路由ID源目的网关标记Metric按口榕动册除10//UGM1ethO101/24/24 G 1eth23.3.对象配置A A）设置主机对象选择对象 地址对象 主机对象，右侧界而显示已有的主机对象，如下图所示。主机地址勵U配削名称I砒址叭地址并发连接数計曲理修

46、改删除lyeinter404043433 3点击“添加配宜S系统出现添加主机对象属性的页而，如下图所示。却内容29忝加/修改配置対彖名称:物理地址:览址类型:卩地址：并发连接数:SYN代理：贞眉内容“字童义对盘名称用户定义的主机对線的名称物理地址该主机对象的JLAC地址地址类型目前仅支持IP地址IP 地hl:在右侧的文木推中输入IP地址字符慣点击鞍紅 则111现在 左侧前文本框中.我示该主机对仪的IP地址应满足的约東条件。可 以对阀个主机对徐输入多个IF地址.则只變满妃其

47、中个条件即 叭械多可以输入256个IP地址#并发连接数允许与该丄:机建&的竝人逵接忍SYN代理址否启用SYN代理.以预防针对该匸机KJ SYNFlood攻击。B B）设置范围对象选择对象 地址对象 地址范圉，右侧界而显示已有的地址范弗对象，如下图所示。范圉地址对象添加配置名称起始地址餐止地址anyO.O.O.O55曉去地址 修改删除僧 9点击“添加配宜S进入地址范W1对象属性的页面，如下图所示。握交设走|职消返回C C）设置子网对象选择对象 地址对象 子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。厂提交雄|取消遼回:地址范国对球屁性可输入实个IP比址用空格

48、分开却内容29文档组干网1|sinet83 rWl贞眉内容孑罚对象屈性对彖名称：文档组*网络地址：*子网掩码；*排除尽址：2【可输入名个1用空格分开】提交设定|取消返回|D D）设置地址组不同的地址对象可以组合为一个地址组，用作左义策略的目的或源。地址组的支持 增强了对象管理的层次性，使管理更加灵活。设置地址组对象的步骤如下：1）选择 对象 地址对象 地址组，在右侧页而内显示已有的地址组对象，如下 图所示。地址组朋性对數名称：硏发部成员列表选挥成员：User2【主机3MAP_USERIP 主机 lye-nac 主机 an

49、y 范国 nat-pool 范阖 千堂巴：千网提交设定取消滙回E E）自定义服务当预左义的服务中找不到我们需要的服务端口时，我们可以自己左义服务端口:1）选择对象服务对象自定义服务，点击“添加配置S系统出现如下页而。却内容29贞眉内容2）选择“添加配置”，系统出现如下图所示的页而。巳经选择：服务融类塑：TCP3名称：*靖口：-单个诉口或者爼围，1-65535起贻绰止ICMP是类型值皿】提交设定|取消遞回|2）输入对象名称后，设置协议类型及端口号范用。3）点击“提交设定”，完成设置。F F）设置区域对象系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需 求，

50、泄义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网络卫士防火墙将根据目的 接口所在区域的权限处理该报文。设置区域对象，具体操作如下：1）选择对象 区域对象，显示已有的区域对象。防火墙出厂配宜中缺省区域对象为AREA.ETHO,并 已和缺省属性对象ethO绑左，而属性对象ethO已和接口 cthO绑立，因此出厂配宜中防火墙的物理接口 ethO已属于区域AREA_ETH0。2）点击“添加配置”，增加一个区域对象，如下图所示。区戰对象对象名称：权限选择；阿3选择屈性彼進屛性eth2ethlJ-1ethO1adsl1ipsec二|提交设定取消題回在“对象剑称”部分输入区域对象名称：在“

51、权限选择”部分设立和该区域所属属性绑左的接口的缺省属性（允许访问或禁止访问）。在“选择属性”部分的左侧文本框中选择接口，然后点击添加该区域具有的属性，被选接口将出现 在右侧的“被选属性”文本框中，可以同时选择一个或多个。3）设置完成后，点击“提交设泄”按钮，如果添加成功会禅岀“添加成功”对话 框。4）点击取消返回”则放弃添加，返回上一界面。5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“”进行修改。6）若要删除区域对象，点击该区域对象所在行的删除图标“”进行删除。G G）设置时间对象用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针 对工作时间

52、和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间 对彖，具体操作如下：1）选择对象时间对象，点击添加配置”，系统岀现如下页而。页脚内容29贞眉内容对義名称: 毎删段:工作日星朋一 星朋二 星期三 星期四 星期五 星期六 星期日0 0 P P F7F71717P P 厂 厂毎B时段；开餡时间:结束时间；09:0017:30|提交设定取消題回2）依次设置“对象洛称S “每周时段”和“每日时段二3）最后点击“提交设左”，完成对象设置。新添加的对象将显示在时间对象列表 中，如下图所示。4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标 删除该对象

53、。4.4.访问策略配置用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN、 地址、用户、连接、时间等多个层而对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深 度内容检测和过滤。与报文阻断策略相同，访问控制规则也是顺序匹配的，但与其不同，访问控制规则没 有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据 目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。建义访问规则，操作步骤如下：1）选择 防火墙引擎访问控制，点击“添加配置S进入访问控制规则左义界而。ML现则觀I配直濱空趾直ID盘制源目的目

54、的日修 志入除8100http.authcncn血*1*1a3108 （讯!3段）83 73410,1040,225ftpsepecial FTP禁止comtJj j也3131 /102TMTPanti_tcp$ec_urla表中“ID为每项规则的编号，在移动规则顺序时将会使用。“控制”中的图标/和“，分別表示该项 规则是否启用。页脚内容29area_eth0 area testZ1X X选挥遞:192.16& 831 主机any范国-192. 168.83.0子网X X192. 168. 84. 0 子网192. 168.85. 0 于网zJ贞眉内容2）左义是否启用该访间控制规则（默认为启用

55、该规则），以及访问权限。添加ACL规则访问权限启用规则:P启用秋认启用规则，不迭为替不生效访问祝隈：允许拒绝访问权限立义了是否允许访问由规则源到规则目的所指左的服务。3）左义规则的源规则的源既可以是一个已经泄义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。已选iSVLAN :选择遞VLAN :vlan.0010vlan. 0009vlan.0008选飙AREA :已选iSAREA :已选沥:图中“选择源”右侧的勺勺按钮为正序排列和倒序排列，用户可以方便的按序查 找项目。另外，用户还可以选择相应的服务，即设苣源端口，如下图所示。ACL规则酥口选挥服务:5T己迭服务

56、:毛X创ACL规则目的另外，用户还可以设置进行地址转换前的目的地址，如下图所示。ACL規则,转换前目的选择目的；-192. 168.83. 0 子网192. 168.84. 0 手两J J192. 168.85.0 (=FWJzJ5）定义服务选择访问规则包含的服务，如果用户需要制沱的服务没有包含在服务列表中，可以通过添加自左义服务 添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。ACL规则服务列表选择服务：上1勺ftpsepecial (TCP:31)BA 服务组IP (ETH: 0 x0800)AKP (ETH:0 x0806)LOOP (IP:96) 6）左义辅助选项箫加AC

57、L规则.捕助选顶裸度过谑：丽控割：13日志12录：3连接选项：普舷揆3各项参数说明如下:却内容29选择目的AREA：己选目的AREA:area_th0 电信ADSL allports选择目的；己选目的：1927168.83.1192. 168. 83.234 主机192.168. 83.192 主机10. 10.10.2 主机83. 234 主机二I贞眉内容名字盘义时间控制这条感刻生数的时问段;如果没冇选择时间段対絵则衣示所伽间，沫度过遽选作如1用的沫度过滤策略皿削到木条访何控制规则的数抑;包将根 掘相应的沬度过滤策略对其进行处理。日志记录设咒H志选项可以为不做日志、做11志或报也连接选项呵以

58、为接.也可以为接. 般來说防火墻对浮吶 定时间的连接将自动断开.以提高安全性和释放通濮资龈 俣某些应 用所建立的迩接碍雲长时期保烬 即便处空闺状态例如ATM机搭 必須和处理中心的服务器fi保持若连接.这个连接必须设矍为K迩7）点击“提交设肚完成该条访问控制规则的设泄。8）用户可以点击 “修改”按钮，对现有规则进行编辑。可以点击“插入”按钮，在现有规则间插入一 条新规则。8）点击“淸空配置”，可以淸除所有的访问控制规则，便于重新配置。9）需要更改规则的匹配顺序时点击该规则右侧“移动”按钮，如下图所示。问控制策略|_移动访问儕憔路ice 108到ID I8100-J I之后创提交设定I取消返回：用

59、户可以选择相应ID.位置，移动策略。完成后点击“提交设老保存或“取消 返回”放弃移动。5.5.高可用性配置配置网络卫士防火墙双机热备的步骤如下：1）选择 系统髙可用性，进入髙可用性设置页而，如下图所示。高可用性戲数设定状态：启用：停止：身份；|从属机本地地址i44对诵地址：心軌间隔：200 * 100-800对端序列；11 1从对端机同步到本机:对端同步从本机同步到对谛机：本地同步高可用性伏态Not runnoigj local address not ha-static|提交设定|取消晅回2）设置主/从设备参数，参数说明请参见下表。参数说明身份身份决定舸台网络卫士

60、防火堵在女机热备中的匸作状态.其中k机处J 匚作状态.从机处于监现状态。4：地地址木机用!双机热备的物理端口的IP地址*却内容29贞眉内容对端地址对端设备用炖机热备的物理端口的IP地hh心跳闸隔两台刚络卫i:防火墻ZliiJ用r丁作状态探测的间隔.默认为3次/秒对端序列对期设备的liMM序列号。从対喘机同步到 木机从对端机同步配置到本机上。从木机同步到討 端机从本机同步配置到对端机上。状态显示是否启用了双机热备。3）点击“提交设龙”，完成双机热备设置，却内容29贞眉内容四、透明模式配置示例拓补结构:1.用串口管理方式进入命令行用WINDOWS自带的超级终端或者SecurcCRT软件，使用960