天融信防火墙NGFW4000快速配置手册簿

1、合用文档天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1串口管理第一次使用网络卫士防火墙，管理员可以经过CONSOLE口以命令行方式进行配置和管理。经过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，平时都会登录到防火墙更正出厂配置（接口、IP地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何经过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包括在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE口。2）选择开始程序附件通讯超级终端，系统提示输入新建连接的名称

2、。3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。4）设置com1口的属性，依照以下参数进行设置。参数名称取值每秒位数：9600数据位：8文案大全合用文档奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，以以下图。6）输入系统默认的用户名：superman和密码：talent，即可登录到网络卫士防火墙。登录后，用户即可使用命令行方式对网络卫士防火墙进行配置管理。2TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必定进行以下设置：1)在串口下用“pfserviceaddname

3、telnetareaarea_eth0addressnameany”命令增加管理权限2)在串口下用“systemtelnetdstart”命令启动TELNET管理服务3)知道管理IP地址，也许用“networkinterfaceeth0ipaddmask”命令增加管理IP地址尔后用各种命令行客户端(如WINDOWSCMD命令行)管理：TELNET最后输入用户名和密码进行管理命令行如图：3SSH管理文案大全合用文档SSH管理和TELNET基本一至，只但是SSH是加密的，我们用以下步骤管理：1)在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany

4、”命令增加管理权限在串口下用“systemsshdstart”命令启动TELNET管理服务3)知道管理IP地址，也许用“networkinterfaceeth0ipaddmask”命令增加管理IP地址尔后用各种命令行客户端(如putty命令行)管理：最后输入用户名和密码进行管理命令行如图：4WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，若是没有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany”命令增加。2)WEB管理服务缺省是启动的，若是没有启动，也可用“systemhttpdstart”命令打开，管理员在管理主机的阅读器

5、上输入防火墙的管理URL，比方：，弹出以下的登录页面。文案大全合用文档输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面。5GUI管理GUI图形界面管理跟WEB界面相同，可是，在管理中心中集成了一些安全工具，如监控，抓包，追踪等安装管理中心软件运行管理软件文案大全合用文档3)右击树形“TOPSEC管理中心”增加管理IP文案大全合用文档4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理文案大全合用文档也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可

6、用缺省值监控全部连接。文案大全合用文档选中增加的过滤条件，点设置就可以看到实时的监控收效了，以以下图：文案大全合用文档二、命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成全部图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完满的命令；也可以进入相应的功能组件级，输入对应组件命令。详细分级以下表：)系统级系统级为第一级，供应设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。组件级组件级为第二级，供应每个安全组件（SE）所独有的管理命令。在系统级下，T

7、opsecOS#按tab键，则显示出安全组件级命令见下表。种类要点字内容说明system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义一级命令名firewall防火墙规则设置nat地址变换策略配置Vpn虚假私有网地道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Show_running查察运行时配之信息Show查察配置helpmode帮助模式设定exit退出系统1系统管理命令(SYSTE

8、M)在命令行下一般用SYSTEM命令来管理和查察系统配置：命令功能WEBUI界面操作地址Version系统版本信息系统基本信息information当前设备状态信息系统运行状态time系统时钟管理系统系统时间config系统配置管理管理器工具栏“保存设定”按钮二级命令名reboot重新启动系统系统重启sshdSSH服务管理命令系统系统服务telnetdTELNET服务管理系统系统服务命令httpdHTTP服务管理命系统系统服务令monitordMONITOR服务管理命令无文案大全合用文档2网络配置命令(NETWORK)命令功能WEBUI界面操作地址interface防火墙接口管理网络物理接口v

9、lanVlan配置管理网络VLANroute路由表配置管理网络静态路由Ping考据网络连接无3双机热备命令(HA)HALOCAL设置HA接口的本机地址HAPEER设置HA接口的对端地址HAPEER-SERIAL设置HA接口的对端的licence序列号HANO复位HA接口的本机地址/对端地址/对端licence序列号HAPRIORITY设定HA优先级是主机优先还是备份机优先（默以为backup，即若是同时启动主机成为活HASHOW查察HA的配置信息HAENABLE启动HAHADISABLE停用HAHACLEAN除去HA配置信息HASYNCHA同步（从对端机上同步配置/同步配置到对端机上）4定义对

10、象命令(DEFINE)命令功能WEBUI操作地址area地域对象管理对象地域对象interface配置防火墙接口对应的地域属性对象地域对象host主机地址对象管理对象地址对象主机对象range地址范围对象管理对象地址对象范围对象subnet子网地址对象对象地址对象子网对象group_address地址组对象管理对象地址对象地址组对象service子定义服务对象管理对象服务对象自定义服务group_service服务组对象管理对象服务对象服务组schedule时间表对象管理对象时间对象server服务器对象管理对象负载均衡服务器virtual_server虚假服务器对象管理对象负载均衡均衡组5包

11、过滤命令(PF)增加一条服务接见规则SERVICEADDnameareaaddressid|addressname6显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7保存配置命令(SAVE)SAVE文案大全合用文档三、WEB界面常用配置用阅读器也许集中管理中心登录到WEB管理界面以下：1系统管理配置在“系统”下，可以显示或配置系统相关设置系统基本信息显示系统的型号、版本、功能模块、接口信息等等：系统运行状态查察系统的运行状态，包括CPU、内存使用情况和当前连接数等文案大全合用文档系统配置保护上传或下载配置文件系统系统服务系统服务在本系统中主若是指监控服务、SSH服务、Tel

12、net服务和HTTP服务。TOS系统供应了对这些服务的控制（启动和停止）功能，其详细的操作以下：文案大全合用文档系统开放服务增加或查察系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等系统系统重启2网络接口、路由配置设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，详细步骤以下：1）在管理界面左侧导航菜单中选择网络物理接口，可以看到防火墙的全部物理接口，以以下图所示，共有三个物理接口：Eth0、Eth1、Eth2。文案大全合用文档2）若是要将某端口设为路由模式，点击该端口后的路由更正图标“”，弹出“设定路由”对话框，以以下图所示。可以为某个端口设置多

13、个IP地址，点击“增加配置”按钮，增加接口的IP地址。若是选择“ha-static”,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不相同的物理接口配置相同的IP地址或IP地址在同一子网内。3）若是要将某端口设交换模式，点击该端口后的交换更正图标“”，弹出“交换”设置窗口，以下图所示。第一，需要确定该接口的种类是“Access”还是“Trunk”。若是是“Access”接口，则表示该交换接口只属于一个VLAN，需要指定所属的VLID号码，如上图所示。如是“Trunk”接口，则设置参数界面以以下图所示。上图参数说明以下表所示：文

14、案大全合用文档点击“提交设定”则完成接口从路由模式向交换模式的变换。4）点击“其他”按钮，可以设置接口的其他信息，以以下图。设置路由用户可以在网络卫士防火墙上设置策略路由及静态路由，详细步骤以下：1）在左侧导航菜单中选择网络静态路由，可以看到已经增加的策略路由表以及系统自动增加的静态路由表，以以下图所示。文案大全合用文档2）设置策略路由，点击“增加策略路由”，以以下图所示。其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和VLAN虚接口）发送数据包。Metric为接口跃点数，默以为1。若是选择“NAT后的源”为“是”，表示策略路由的源地址为NAT后的地

15、址，策略路由增加成功后的“标记”一栏显示为“UGM”。默以为“否”，策略路由增加成功后的“标记”一栏显示为“U”。3）设置完成后，点击“提交设定”按钮，若是增加成功会弹出“增加成功”对话框。点击“取消返回”则放弃增加，返回上一界面。若要删除某路由项，点击该路由项所行家的删除图标“”进行删除。4）搬动策略路由。由于策略执行为第一般配原则，则策略的序次与策略的逻辑相关，在此可以改变增加策略时候的缺省的执行序次（依照增加序次排列）。详细设置方法为：文案大全合用文档在策略路由表中点击要搬动的路由选项（比方要搬动策略路由102）后的“搬动”图标按钮，进入以下界面。在第一个下拉框中选择参照地址路由，第二个

16、下拉框中则是选择将当前路由搬动到参照路由从前还是此后。比方：要将路由102搬动到路由101从前，则第一个下拉框选择ID“101”，第二个下拉框选择“从前”，点击“提交设定”按钮，则弹出搬动成功对话框。点击“确定”返回路由界面，可以看到路由102已经搬动到了101从前，以以下图所示。3对象配置设置主机对象选择对象地址对象主机对象，右界限面显示已有的主机对象，以以下图所示。点击“增加配置”，系统出现增加主机对象属性的页面，以以下图所示。文案大全合用文档设置范围对象选择对象地址对象地址范围，右界限面显示已有的地址范围对象，以以下图所示。点击“增加配置”，进入地址范围对象属性的页面，以以下图所示。设置

17、子网对象选择对象地址对象子网对象，在右侧页面内显示已有的子网地址对象，以以下图所示。文案大全合用文档设置地址组不相同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持增强了对象管理的层次性，使管理更加灵便。设置地址组对象的步骤以下：1）选择对象地址对象地址组，在右侧页面内显示已有的地址组对象，以以下图所示。2）选择“增加配置”，系统出现以以下图所示的页面。自定义服务当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口：1）选择对象服务对象自定义服务，点击“增加配置”，系统出现以下页面。文案大全”进行更正。”进行删除。合用文档2）输入对象名称后，设置协议种类及端

18、口号范围。3）点击“提交设定”，完成设置。设置地域对象系统支持地域的看法，用户可以依照实质情况，将网络划分为不相同的安全域，并依照其不相同的安全需求，定义相应的规则进行地域界线防范。若是不存在可般配的接见控制规则，网络卫士防火墙将依照目的接口所在地域的权限办理该报文。设置地域对象，详细操作以下：1）选择对象地域对象，显示已有的地域对象。防火墙出厂配置中缺省地域对象为AREA_ETH0，并已和缺省属性对象eth0绑定，而属性对象eth0已和接口eth0绑定，因此出厂配置中防火墙的物理接口eth0已属于地域AREA_ETH0。2）点击“增加配置”，增加一个地域对象，以以下图所示。在“对象名称”部分

19、输入地域对象名称；在“权限选择”部分设定和该地域所属属性绑定的接口的缺省属性（赞同接见或禁止接见）。在“选择属性”部分的左侧文本框中选择接口，尔后点击增加该地域拥有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个或多个。3）设置完成后，点击“提交设定”按钮，若是增加成功会弹出“增加成功”对话框。4）点击“取消返回”则放弃增加，返回上一界面。5）若要更正地域对象的设置，点击该地域对象所行家的更正图标“6）若要删除地域对象，点击该地域对象所行家的删除图标“设置时间对象用户可以设置时间对象，以便在接见控制规则中引用，从而实现更细粒度的控制。比方，用户希望针对工作时间和非工作时间设

20、置不相同的接见控制规则，引入时间对象的看法很简单解决该类问题。设置时间对象，详细操作以下：1）选择对象时间对象，点击“增加配置”，系统出现以下页面。文案大全合用文档2）依次设置“对象名称”、“每周时段”和“每日时段”。3）最后点击“提交设定”，完成对象设置。新增加的对象将显示在时间对象列表中，以以下图所示。4）对已经增加的时间对象，可以点击更正图标更正其属性，也可以点击删除图标删除该对象。4接见策略配置用户可以经过设置接见控制规则实现灵便、富强的三到七层的接见控制。系统不仅可以从地域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行鉴识和般配，而且还可以针对多种应用层协议进行深度内容检

21、测和过滤。与报文阻断策略相同，接见控制规则也是序次般配的，但与其不相同，接见控制规则没有默认规则。也就是说，若是没有在接见控制规则列表的尾端增加一条全部拒绝的规则的话，系统将依照目的接口所在地域的缺省属性（赞同接见或禁止接见）办理该报文。定义接见规则，操作步骤以下：1）选择防火墙引擎接见控制，点击“增加配置”，进入接见控制规则定义界面。表中“ID”为每项规则的编号，在搬动规则序次时将会使用。“控制”中的图标和，分别表示该项规则可否启用。文案大全合用文档2）定义可否启用该接见控制规则（默以为启用该规则），以及接见权限。接见权限制义了可否赞同接见由规则源到规则目的所指定的服务。3）定义规则的源规则

22、的源既可以是一个已经定义好的VLAN或地域，也可以细化到一个或多个地址对象以及用户组对象，以以下图所示。图中“选择源”右侧的按钮为正序排列和倒序排列，用户可以方便的挨次查找项目。别的，用户还可以选择相应的服务，即设置源端口，以以下图所示。4）定义规则的目的规则的目的既可以是一个已经定义好的VLAN或地域，也可以细化到一个或多个地址对象以及用户组对象，以以下图所示。文案大全合用文档别的，用户还可以设置进行地址变换前的目的地址，以以下图所示。5）定义服务选择接见规则包括的服务，若是用户需要拟定的服务没有包括在服务列表中，可以经过增加自定义服务增加所需服务。若是没有选择任何服务，则系统默以为选择全部

23、服务。6）定义辅助选项各项参数说明以下：文案大全合用文档7）点击“提交设定”完成该条接见控制规则的设定。8）用户可以点击“更正”按钮，对现有规则进行编写。可以点击“插入”按钮，在现有规则间插入一条新规则。8）点击“清空配置”，可以除去全部的接见控制规则，便于重新配置。9）需要更正规则的般配序次时点击该规则右侧“搬动”按钮，以以下图所示。用户可以选择相应ID、地址，搬动策略。完成后点击“提交设定”保存或“取消返回”放弃搬动。5高可用性配置配置网络卫士防火墙双机热备的步骤以下：1）选择系统高可用性，进入高可用性设置页面，以以下图所示。2）设置主/从设备参数，参数说明请拜会下表。文案大全合用文档3）

24、点击“提交设定”，完成双机热备设置。文案大全合用文档四、透明模式配置示例拓补结构：1用串口管理方式进入命令行用WINDOWS自带的超级终端也许SecureCRT软件，使用9600的速率，用串口线连接到防火墙，用户名是superman，密码是talent。(详细方法见第一节)，下面是详细配置，加粗显示的为命令行。2配置接口属性将ETH0口配置为交换模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于计算双机热备的权值：networkinterfaceeth0ha-metric100将ETH1口配置为交换模式：networkinterfaceeth

25、1switchport配置ETH1口的METRIC值，用于计算双机热备的权值：networkinterfaceeth1ha-metric100配置ETH2口的METRIC值，用于计算双机热备的权值：networkinterfaceeth2ha-metric100将没有使用的ETH2口关闭：networkinterfaceeth2shutdown配置同步接口ETH3的IP地址和HA标记：networkinterfaceeth3ipaddmaskha-staticlabel0配置ETH3口的METRIC值，用于计算双机热备的权值：networkinterfaceeth3ha-metric1003配

26、置VLAN增加VLAN1：networkvlanaddid1为VLAN1增加IP地址：networkinterfacevlan.0001ipaddmasklabel04配置地域属性将地域缺省接见权限为禁止defineareaaddnamearea_eth0attributeeth0accessoffdefineareaaddnamearea_eth1attributeeth1accessoff5定义对象定义主机地址对象definehostaddnameipaddrmacaddr00:19:21:50:15:1fdefinehostaddnameipaddr定义时间对象文案大全合用文档defin

27、escheduleaddname上班时间week12345start08:00end18:006增加系统权限为ETH0口增加TELNET权限pfserviceaddnametelnetareaarea_eth0addressnameany7配置接见策略赞同在上班时间接见的PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal这些服务：firewallpolicyaddactionacceptsrcareaarea_eth0dstareaarea_eth1srcdstserviceP

28、INGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminalschedule上班时间8配置双机热备配置本机同步IPhalocal配置对端机器同步IPhapeer启动双机热备功能haenable注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不相同的只有两个地方，一个是同步接口ETH3的IP地址为；另一个是双机热备配置中的本机同步IP和对端机器同步IP相反，本机IP为，对端机器IP为，完成配置此后，我们先接好心跳线，将两台防火墙的ETH3口连接，尔后接上其他接口的

29、网线，到此透明模式的双机热备配置完成。文案大全合用文档五、路由模式配置示例拓补结构：1用串口管理方式进入命令行方法同上面的透明模式。2配置接口属性配置ETH0口的IP地址：networkinterfaceeth0ipaddmasklabel0配置ETH0口的METRIC值，用于计算双机热备的权值：networkinterfaceeth0ha-metric100配置ETH1口的IP地址：networkinterfaceeth1ipaddmasklabel0配置ETH1口的METRIC值，用于计算双机热备的权值：networkinterfaceeth1ha-metric100配置ETH2口的METRIC值，用于计算双机热备的权值：netw