天融信版本防火墙常用功能配置手册v

天融信版本防火墙

常用功能配置手册北京天融信南京分公司2008年5月目录一、前曰我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。三、天融信防火墙一些基本概念接口：和防火墙的物理端口——对应，如Eth0、Eth1等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。。提示：对象名称不允许出现的特殊字符：空格、“’”、"〃”、“\”、“/”、“；”、“〃”、“$”、"&”、"<”、">”、"#”、"+”。。提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。防火墙出厂配置如下：■mmi火墙直i饵时使出nmnbkb傍理用尸的抑.员用户£^upei'man管押员拆妈xalenx;同一曾理员最多允许登景火湫次数晌一管理场景丈养SMffgI&DifeOS5为锅t号光在的最.J、也拉麟也.:分之一同一茯JW捉旧滂费管理地点最Jt莞录用尸数C管舞员・空用超时物理接口EihOJELANH)IP：192.】槌.1.254些他接口ShuTiiom曜务访何麴制W53LT.；亍如."密眺"〔峋|充*来自改MH值浦＜日）上的GUI管理|通过TO?SECg中心＞AflF>BEihO(j^LMI：nJ:的ft务iff求SSH(3111：SSHii■龙曹来自EthO〈或UH口）上的膻普if拿|F|■甄■回绯|J1志*酒进打柚｝小诙来自EthO（成LAN口）上的禺强请壤PINntPING到网爵卫上防火增的检口IF地址或VUNjft接曰的1P地址｝其他Ut套E：h0（或或「，1•丽Mi#京t禁止地址对蒙地址段■忠地址攻范ILANVG.0.0.0-255.2s5.255.2550点1!点戴荆BMP1*址日志H务繇开故的日志胺务哗#IP>电谗.£.貌UDP的511端18坤冲性＜HA＞钢防火墙支持以下管理方式:串口（console）管理方式：超级终端参数设置波特率9600。输入helpmodeChinese命令可以看到中文化菜单。WEBUI管理方式（https协议）：在输入URL时要注意以“，例如推荐使用IE浏览器进行登录管理。在浏览器输入：，看到下列提示，选择“是”◎rheVcrldl立仲CE｝。任）逐若口｝屿5心工旦也囱口也】带助t由1，Of❺•Jtnfit|离蛔在争麻兀"-固a*-[□OO-'曲位村httpfr^/iw.lES.L.254hgHl驻』68,1.254|宝全告抿摩墨盈弊膂迎邕■■不当楂立云人立君牵更改.也溟中点主管卷丧拽*我巨投吕E或矣西任安全狂书前日期石理・至呈金延-h上的名聊无点『成善与站点名弥不皿3药是吾地参FI.心]II二苴jfc匚二1|董菅GE书-）|TELNET管理方式：模拟console管理方式SSH管理方式：模拟console管理方式提示：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统管理”一“配置”一“开放服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加TELNET、SSH方式等管理方式即可。五、防火墙配置（1）防火墙路由模式案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根据区域规划配置IP地址。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网拓扑图如下:

EthW接□10,1,1.254/24EthQ接054/24Web服务器/24/24^段1、防火墙接口IP地址配置EthW接□10,1,1.254/24EthQ接054/24Web服务器/24进入防火墙管理界面，点击”网络管理“一“接口”一”物理接口“，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。龄理接口I子接口物理密口援一污中庄三共委地址NTU扪尚AthD硒偌三L72IB.1254/255.2E5.255.0L500启用AUtOAU.tOeiktTU-1111L1.LIL23Q/E55.£55255.D1500H用Buteau.io乖I牌斧ii—10.1.1.ESV2EE.2S5.255.0L500riffliauioEk.u.io略由LHJD名用autoauto恂丑接口I子接口基本信息【最多印个宇符或者街个滉宇］基本信息【最多印个宇符或者街个滉宇］哒M据壬：/匚Ic地址属悻卅1际54255.255.255.D碑定高魄居性口取消2、区域和缺省访问权限配置在“资产管理”一“区域”中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区区域域缺省权限为禁止访问。区域eth3,ethOeth2■->ethlethOadslX被选届性确定取消依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。

名称绑定届性N多选】祝限正释隆改册豚内网ethO禁1L外网禁止aeth2禁止n［添Do］［者生］3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”一“配置”一“开放服务”，点击添加，常用服务有WEBUI（即WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）株改配置系统参数I开放服芬I时间株改配置系统参数I开放服务I时间修改配置取消确定修改配置取消确定启E椁止启动■e_t启动■e_t启动•Q||Ikl.NHT服.签以TF帔务皿服努:洵II1控制巨W,控刊地.止•g.册.眸welui内网wyveliui升阿anypinsnFlanyping朴网sny内网wy4、路由表配置添加静态路由，在“网络管理”一“路由”-“静态路由”，点击添加。添加缺省路由时，目的地址和目的掩码都为,网关为下一条地址，其他选项为空。静态路由I策略路由I多播路由I凌加配置确定取消箸直既［tI圭屋隹［tI零奔旺口I静在路由去:^jii：irsv1=的网关标记Flatrie接口17L.16.1.251J32a.a.o.oVL1lo111LL111L.2CC/CZa.a.o.oVL110IT；IF1IF0.0.110VC10ethO111Lil二：.LjWJC10etlil0.0.O.O/DL54UGS1etlil3。如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），

请注意添加相应静态路由。5、定义对象（包括地址对象、服务对象、时间对象）提示：防火墙所有需要引用对象（如地址转换策略、访问控制策略等）的配置，请先定义对象，才能引用。<1>定义地址对象添加单个主机对象点击”资源管理“一“地址”一“主机”，点击右上角“添加配置”添加地址范围点击”资源管理“一“地址”一“范围”，点击右上角“添加配置”

主机I范围I子网I地址蛆地址范围屈住名祢：0-20起始地址：0捋止地址：0排除地址：5［亩输入多个吁地址’用空格分■升］并发连接数:WjjTjl职消添加子网点击”资源管理“一“地址”一“子网”，点击右上角“添加配置”主机1范围子网1地址组子同尾性名称：*网貉地址::*:子网撞码：排除地址：5［可输入多个，用空格分开］并发连接数■确定取消添加地址组点击”资源管理“一“地址”一“地址组”，点击右上角“添加配置”

<2>定义服务对象防火墙内置一些标准服务端口，，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击“资源管理”-“服务”一“自定义服务”，点击“添加”，可以添加单个端口或范围。注意单个端口只填起始端口

荃纬宁义服实I自E安阳冬I服葬非翼型：TDFv名称：urrsojoloooD*辐口；yLUU-luuuu|L^TSffiU^范有，1-6*35起始-备止；ICMF是奕型值AE；旦T、晡U只垣起皓晰-1」嘛长|胆泪<3>定义时间对象点击“资源管理”-“时间”，点击“添加”，可以设置单次和多次时间多次I时间单次时间尾性名称:上班时间*每周时段：星期一回星期二回星期三0星期四0星期五H星期六口星期日□每日时段：开始时间：OS;30*结束时间：17:30+6、地址转换策略<1>内网可以访问互联网，需要配置源转换在“防火墙”一“地址转换”，点击“添加”目的选择目的区选择“源转换"，点击“高级"，源选择源区域“内网"目的选择目的区域“外网”，源转换为Eth1接口（即转换为Eth1接口IP地址）或者转换主机地址。排序地址转换据JU已选源：1'72716?1「虱-［王机］any［芭国］0-20［范围］允许上阿故址组［纸］回！高级［定择其他类型的源］己让海:蠢；目的服务C：■目的转损E.向转换：二不作转抵排序叵］!高缴［选择其他类型的源］选您游VL心:已选源3：选挥i®AEEA已选源如也大:内网外网服务器选择游端口已述源商口：TCP8888(TCP:8888)UDP9000-10D00(U1)P:9OOQ-10000)Echo(TC?)(TCP：7：Echo(UDP)(UDP:7；DiscardCIC??；l(_T:9JDiscard(UDP)【ITOPE)Daytime(TCP)(TCP:13)baytimetULJ?):UUP:L)NFTSrAT(TCP::F)Quotd(TCP)(TCP:17)Quotd(UIiF)(UDF:17)CharsentTCP)(TCP:19)漕地址转块为:内网①源芮换C1目的转换O藏向转唤。不作转换ipsec2性］ipsec3［属性］g［属注］lan【属，生］gi【属性］_PP。【原吐］12-r「同件1_|回！高寒淮挥苴也类型的日的：送薛日的心W已选日的V1A1T:->远捽日的蛔EA：□远MAEEA：内网外网服务器->源地址转卖为：eihl［属性］骡端I-不瓠转畏：□［源端口固定］启月规则：回［g启用舰，不选为不顼!］

如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该地址范围不能设置排除IP地址。主机I范围I子网I地址也名祢;rLat_p<'<'ls:+;起始地址：111.名祢;rLat_p<'<'ls:+;起始地址：31终止地址:33:*:排除地址:1t可输并发直接数：增址范围届性个邛地址,用空格分开］确定取消'源地址地转为一段地址时,排除地址必须为空。<2>Web服务器发布，需要配置目的转换首先需要添加Web服务器地址对象（，服务器真实地址）、外网访问的地址对象（，合法地址），具体配置见定义对象章节。。目的转换有两种方式：地址转换、端口转换。地址转换：从一个IP地址到另一个IP地址的映射。安全网关设备将到达映射地址（合法IP）的所有信息流中的目标IP地址转换成主机IP地址（即服务器真实地址）。地址转换建议在映射地址资源充裕时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。端口转换：从一个IP地址到基于目标端口号的多个IP地址的映射，即单个IP地址可以托管从若干服务（使用不同的目标端口号标识）到同样多主机的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。气配置Web服务器映射有两种方式：（I）端口转换在“防火墙”一“地址转换”，点击“添加”

选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（）”，服务选择“HTTP”服务，目的地址转换为选择“Web服务器地址对象（10・1・1・1），即服务器真实地址”，目的端口转换为“HTTP”服务。排吊I口高灯［选挥苴他关型的'原］地址转魏双则己选源：6［王机］1U.1.1.1［主机］30［主机］函项［范围］0-2］【范围］允许上风地址组［狙］C源砖换③目的关换O排吊I口高灯［选挥苴他关型的'原］地址转魏双则己选源：6［王机］1U.1.1.1［主机］30［主机］函项［范围］0-2］【范围］允许上风地址组［狙］C源砖换③目的关换O莎向芯琪OTf-R换~目―曜目的地比转愤为：匕选滤顷：TCPa888(TCP:8888)UITSOOO10000(UDP;JOOO1C003)Echc(TCP)ITCP:7)Echc(UDP):UI'P:7)Dirc-ard(rCP)(ICP:?'DLrc-ard(JDP)(ITP:Daytime(TCP)(TCP:13)Daytime(UDP)(UDP:13)NFTSTATCTCP:1F1Quotd(TCP)(7CP:17)Quo-td(UD?)(UDF:17)CharsetifrCP)(ICP:1?)选择源AEEA已选源aEEA:排序I-旗源扁1_|:目的地1L转换为X回高敏［也择豆他类型即谓］场廛算踱吃岫!-一不作转换——V不作转换-V目构荀口转妆.方0源劳横。目的苦或0页向转或0不作转换6［主机］［主叽］Ian/［氾围］0-20［范围］充许上风地址组：蛆］eth3［窟性］eth2［属性］ethl［属性］ethO［属性］adsl1属性jipmecCi［属性］ipsecl［属性］［属性］ipsec3I■厘件-—wan「居世1lan「屈忙1,ssti「宣忙1工］□高魅［也淫其怆类型的日的］目的地比转换为：-一不作转检一-v目的端口转换加——不作转换——v］■O源皆检缶目殷转物O期向转换0不咋辑情源目的服蓉选醐家'梯序—5已定服务：HTTP->［HiTP"ncp：'8oyHTTP->KERBEROS_KEY(TZP；(TCP:88)KEEKRQS_KEY(IDP:(UDP:88)Wh?(K?:JZ；K.403:TC?；102)RIFT.MF"(rrP：117：—ISNA.GAS(TCP:108)PCP3(TCP:l：0)SUNRPC(T：P:111)Al'TH(7CF:1.3)SQLSERV(TCP:118)TOC\o"1-5"\h\zNNTPLCP：10|目为地址转您为：一K件转或—v目的蒲口转拱为：-一K作转涣-一V启书包贝L：0［欺认启用规史，不选为不生效］诵定|牧我

。源转换①目的转换。双苛转换0不佗转换段目的'服务选择服备:排序已诳旅务：HTTP(TCP:B0)厂1|HTTP1KEKBEROS_KEY(TCP)KPF(rCF；92)X.WO(JCP：102)RTELNET(TCP:10T)(TCP:88)一->XSNa_GAS(TCP:108)POP3(TCP:110)3LUIKKiIU?:111；AU?II(TCP：113)SQLSERV(TCP:118)NN7P(TCP:119)目的地址转换为:■n.1.1.1和1V目的端=1转换为：HTTPiTC?:E0)7启月规则：0［默：A后用现贝」，小选为小生效I诵走取消（II）地址映射在“防火墙”一“地址转换”，点击“添加”选择“目的转换"，点击“高级"，源选择源区域“外网”，目的选择“外网访问的地址对象（）”，目的地址转换为选择“Web服务器地址对象（）,即服务器真实地址”。

0商欧［藏择豆花类型的谓］▲外网已选源aEEA:TCPaSSS(TCP;8888)ui'rsoooloooo(udp：joooicood)Echc(TCP):TCP：?)Echc(UDP)IUI'P:7)Di-card(rCP)Di-c-ard(JIiP)Daytime(TCP)Tlqy+-i0商欧［藏择豆花类型的谓］▲外网已选源aEEA:(ICP：Q'(ITP：Qi(irp：1%)(TTiP:1*)NFTSTATCTCP：1F1Quotd(TCP)(ICP：Q'(ITP：Qi(irp：1%)(TTiP:1*)目的地坦琶换为：一-不作宾换一-日为茕口轩魏为：匚二彳件转换二O源劳横。目的苦或O蕙可转或。不作转掠也拦E的：祁序*①MS的：3030［主机］Ian/［氾围］0-20［范围］充许上风地址组：蛆］eth3幅性］eth2［属性］ethl［属性］ethO［属性］adslj属性jipgCi［属性］ipsecl［属性］ipsec21属性jipsec3［属性］wan虐忙1lan「屈世1ssn「信世1目的地比转换讨：-一不作转栓-一v目的端口转换为：——不作转换——vl

堪址转畏暴则。漉转换④巨的砖换。双苛转换。不1E转换源目的服务诜径用察:却f序已选服案:T：r3888(T：r：8888)TDPJOOO10003W；D000100CO)二I?(E7H:0x0800)炽P(ETE:0-0306)loop(ip：ge)ftp仔PJPAT(ETH:0k0201)K25(ETE:OkO3O5)B?Q(ETHiOsOSff)IEEEPUP(ETH:OxOaOC)IEEEPUPAT(ETH:0x0a01)DEC(ETE:Ok6300)_|->I斤的Hdil■转摘为：in.1.1.1［主机］V］巨的端口转换为：——不作转换V户用地叫：回【糕乂启用观则，不选为不兰葱］确定瑕消第一条为内网访问外网做源转换；第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP。［怎如I【活至］原M述.折打17域¥巨生区:孔寸•一忙1：-J理垩祗巨笙服芬泠虫传£球引珞肚院一房沔匚问g同：S-.季u右。E0：:：uu目的妙•冲叩■.：!■.：!-.11-VK-nHI7F地址转换需要注意的问题：1、天融信防火墙先匹配目的转换规则，再对其他的地址转换规则按照从上往下的顺序进行匹配，在目的转换规则中也是按照排列顺序进行匹配。在匹配过程中，一旦存在一条匹配的地址转换规则，防火墙将停止检索，并按所定义的规则处理数据包，所以规则的类型和先后顺序决定了数据包的处理方式，目的^丁规则要优先于其他NAT规则。2、如果内网用户需要通过服务器映射地址访问web服务器时，还需针对内网添加地址转换。如案例如果内网需要访问（合法地址）来访问web服务器需要单独添加地址转换。下面以端口转换为例，地址转换请参照外网访问web服务器。

在“防火墙”一“地址转换”，点击“添加”选择“双向转换”，点击“高级”，源选择源区域“内网”，目的选择“外网访问的地址对象（）”，服务选择“HTTP”服务，目的端口转换为“HTTP”服务。源地址转为选择“外网访问的地址对象（）”，目的地址转换为选择“Web服务器地址对象（），即服务器真实地址”，目的转换为选择“HTTP服务“。地址转换规则。源转至O目的转换。应宜转换。工作转换源1目的服务地址转换规则。源转至O目的转换。应宜转换。工作转换源1目的服务选挥源：排片己选源:172.It.1.5d［i+Jl］［主机］Lil.111.111.230［主机］any［范匿］L0-20L池困］允诺上回也址组［组］（0高纵［选择其怛类型豹源：||・1已隹i原VT.AH:；也控叫卧LXN:->性择源AEZA:已走源婚EA:内内网III外阿服务器|:..二:|选择源藏=1:排序0已•能源端口：

岛《址转鱼投则源目的服茶选择服务：排序。就琶换。目的转换171JA(J5_FLU^(.1LP:4』JT虹侦.；(ITTiPiilA)TMAC5-D5(ICP:65)iyL*Wii::iCk:tic)Rnn+s!-r3p_SFrvFr(D^CPi<TT)P:fi71BootSTrap_Clier.t(JDP:68'源目的服茶选择服务：排序。就琶换。目的转换171JA(J5_FLU^(.1LP:4』JT虹侦.；(ITTiPiilA)TMAC5-D5(ICP:65)iyL*Wii::iCk:tic)Rnn+s!-r3p_SFrvFr(D^CPi<TT)P:fi71BootSTrap_Clier.t(JDP:68'DWS_Transfer(ICF:53)DMSQuery(UDP:53)TFTP(UDP:6t)Gopher(TCP；70)FitiEEt(TCF:79)HTTP(TCF:8［)111.111.1:1.?3n［主机］日的地.dL转换为：［主机］目的端=1转换为：HTTP(rCP:80；源揣口不做转换:□［源端口固定］源地址转换定要可以选器映或者防网靖口、防火墙外网端口)启用规则:回［默认启用规则，不选为可生架］,蟀R的：排序0已造目的:172.1G.1.5G［^H.］It.1-1.1［主杠,］Jhill.111.1H.230I|111.11I.111卯沱「二11anyL氾围］0-2J［范围］尤讦上网地址组L纽JeihJ［属性］clh2［属性］c-thl氓性］ethO［属性］adsl度性］ipsecO［属性］ijseclL属性」ipsecZ［属性］侦沁心［属性］g［局佳］M［属性］ssn［属性］□高皱［选芷其他其型的目的］地址转换规则|璃定|取消7、制定访问控制策略在“防火墙”一“访问控制”，点击“添加”<1>第一条规则定义内网可以访问外网在“防火墙”一“访问控制"，点击“添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网”，点击“高级”，动作“允许”（默认选项）。<2>第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙”一“访问控制"，点击“添加”选择“源"，点击“高级"，源选择源区域“内网、外网“，目的选择“Web服务器地址对象（10・1・1・1），即服务器真实地址”，服务选择"HTTP服务"，

动作“允许”（默认选项）。源］|目的服案选项适投源出扯:却1:序*已诜.原17L16一：导：主矶］10.1.1.：［主机］30［主机］迎「L也司］172.1G.1.1320［范围-Z->Lai-.匕选源山心：|h高瓠［选择其他类型的源］远洋勰VLAN:已选海VUN：-;•11矣择源AEEA:已选游ABEA:网网务勺牛艮UK力....nfl-:■外网选择滑藏口：排序4已选海端口：问控制规则源目的服套选项选择目的地址：排序E。已卷目的：173.16.1.S6［主机］［主机］30［主机］tiiy［范围］0-20［范围］尤许上网地批组［组］->□高级［选择其粗类型的目的］

源目的I服音选项泣择.服.备：林序%已造服备:TCP8888(TCP:8888)UDP9000-10000(UDP:9000-10000)IP(ETH:0k0800)AEP(ETH:0s0806)LOOP(IP：96)PUP(ETH:OkO2O0)PUTaT(ZTII;0x0201)K25(ETH:0k0805)ti典！IEEEPUP(EIH:0i:0a0J)IEEEPUPAT(ETHiOKOaOl)DEC(ETH:0x6000)DNA_DL(ETH:0k6001>DNA_RC(ETI：;0^6002>DNA_RT(ETE:0K6003iLAT(ETH:0k6004)DIAG(ErH:Cx6005)CUS?(ErH:Cs6006)HTTP访问萩.限:但允许c•拒鲍启用也则：回启用［默队启书规则，人选力皙不生芯］第一条规则定义内网可以访问外网。源选择“外网”；目的可以选择目的区域一“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。源选择“内网、外网”，目的选择服务器真实的IP地址，服务选择“HTTP”服务。陵区或|所有底，可目的区埔|所有迎可地址］眼君］|查找|LD晅RJHE.吉.±5稣HF43032心乓b■a§040山珥内阳]UL.].1HTTJ归a访问规则需要注意的问题：访问控制规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通过。防火墙接收到报文后，将顺序匹配访问控制规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。区域属性设置请参见“3、区域和缺省访问权限配置”。1、规则作用有顺序

2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性8、配置保存点击管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否则设备断电或重点击管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否则设备断电或重呼白矛魏s理;□在行倚息:呼白矛魏s理;□在行倚息:g锯:扣町I;□詈型员t网络管理+□用户认征+二I黄水墙*n西容过浦+3乩朝+口虎蛆专间+n入朝御'■□高可用性H□日志与报警；Q退出五稣9、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理”一“维护”一“配置维护”，选择“保存配置”配宜始罗）I升鼻I玉后I说压记示博:攵出J,,理I曜最初出厂日SSGE6:恢复出F0己点卮网"斑帝全部丢失,话酮导出当前日SS!?批呈配fiitS渔；■、配置口一上仕-1酉釜|.计•京..卜i&下裁配置：地址口照募口时伺口阻断策略口击旬必S1期口下,|配吉奔旷配己#留|•普联配己j®」配宜耳去土芝|波型|日"可

0配置维护I畚粉和恢复I升纹I重启I健康舟录恢堂出厂|恢复配置|恢复最初出厂配置&主意：恢复出厂配置后,原有配置将全部丢失，话及时导出当前配置!）推呈配置姓理输入配置：口—上传上传配置：|剧览...上传下载配置：地址□服务□时间□阻断策略口访问控制策略口下载配置维护配置替换:®■■■替换配置下载：运行配置保存配置』类型明文丘最近一次保存配置点击下载［明文］［或用右键另存］提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。（2）防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，天融信防火墙可以在设置了IP的VLAN之间进行路由转发。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网拓扑图如下:111.111,111,254/24Wd）服务器H1J1M11.1/241、防火墙接口IP配置111.111,111,254/24Wd）服务器H1J1M11.1/24<1>定义一个VLAN（本案例创建VLAN1）,点击“网络管理”—“二层网络”一“VLAN”—“添加/删除VLAN范围”。AKF|VUN|MAC|CIF添加yn除配直添加VLANID：$）1添加vim范围：0-册1除VL坤范围：O-注意:VIANID范围是1-4094j忘数是对口个|确定|取消<2>设置VLAN1接口IP地址及子网掩码。

A3P|VLAjTIMAC|?D?接口若息地址『掩码:榭止A3P|VLAjTIMAC|?D?接口若息地址『掩码:榭止掩码届世flfll防111.Lil.111.253<3>分别把ETH0、ETH1、ETH2接口加入到VLAN1中，点击”网络管理“一“接口””物理接口“，依次点击接口的“设置”按钮可以把接口加入到VLAN1中。物理搔口I子接口基本信息［最寥花个字符或者15-?汉字］口”中。物理搔口I子接口基本信息［最寥花个字符或者15-?汉字］类型:accessAccess:[1一4ITM]高锻屈性口确定取消明理成口I子低二teSKn殁口国行住文象也工NTUWil*ethOlnir-Miet芟换access[t]LfflOJ0用«thletti2mtgrngtssn[1]3Z1Saccess[I]L5QO1910启用J0用autoautvautflE由L500E用butt典七电

2、区域和缺省访问权限配置在“资产管理”一“区域”中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区域缺省权限为禁止访问。区域eth3eth2ethlethOadsl区域eth3eth2ethlethOadslZ]->被选届性确定取消依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）。提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）。默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”一“配置”一“开放服务”，点击添加，常用服务有WEBUI（即WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）

系统参数I开放服芬I时间株改配置服务名称控制区域控制地址服务名称控制区域控制地址系统参数I开放服务I时间修改配置.3.虬如数.|汗找腥苓|H「可取J与止■e_t启动■eJz启刃•Q||TEEHET服务皿服募:浴Jll1在制巨y控刊地.止•g册.哼weL'u.i内网wy01veluin阿any3PinanFlanyaping朴网anya■LslnQtn网onya4、路由表配置如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参与防火墙管理，与数据通信无关。如果不需要跨网段管理防火墙，无需设置路由

表。添加静态路由，在“网络管理”-“路由”一“静态路由”，点击添加。添加缺省路由时，目的地址和目的掩码都为,网关为下一条地址，其他选项为空。静态路由I策略路由I多播路由I添加配置TOC\o"1-5"\h\z目的地址：0000*目的掩玛：0000*Metric:[1-65535]网关：54*接口：-选择接口-"VI确定取消费左隹左1节噂■晓成1孝遂盹曰1静态踣由表【添加］【i百空］M的网是标记Hellie按口D｛藤172.IB.1.Z54/3Za.a.o.oUL110L]]>.1/.->UL110liL.IE.1.贝IUC]0ctM111Lila.a.o.oUC30/DLS4UGS1etlil35、定义对象（包括地址对象、服务对象、时间对象）。提示：防火墙所有需要引用对象（如地址转换策略、访问控制策略等）的配置，请先定义对象，才能引用。<1>定义地址对象添加单个主机对象点击”资源管理“一“地址”一“主机”，点击右上角“添加配置”

主机屉性名称；1F地址:确定职消添加地址范围主机屉性名称；1F地址:确定职消添加地址范围点击''资源管理“一“地址”一“范围”，点击右上角“添加配置"A主机I范围I子网I地址蛆地址范围屈住0-20起始地址:0捋止地址:0排降地址:5［亩输入会个工F地址，用生格分开］并发连接数：OjQjQI—取消添加子网点击”资源管理“一“地址”一“子网”，点击右上角“添加配置”子网屈性确定I取消添加地址组点击”资源管理“一“地址”一“地址组”，点击右上角“添加配置”<2>定义服务对象防火墙内置一些标准服务端口，，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击“资源管理"-“服务”一“自定义服务"，点击“添加"，可以添加单个端口或范围。注意单个端口只填起始端口，统定乂服答I目定乂服答I服务沮服第屉性TOC\o"1-5"\h\z类型：TCPv|名称:TCF8888*端□:SSES|-一单十端口成范国，1-拍5出起:宿-蛭止；_顷卜是类型值UF；单个晞口只洎起始端口」荃纬宁义服实I自E安阳冬|服葬非保害屉性翼型：TDFv名称：urrsojoloooD*辐口；yLUU-luuuu|L^TSffiU^范有，1-6*35起始-备止；ICMF是奕型值AE；旦T、晡U只垣起皓晰-1」|」长|胆泪<3>定义时间对象点击“资源管理”一“时间”，点击“添加”，可以设置单次和多次时间多次I时间单次时间屋性名称:上班时间*每周时段：星期一四星期二回星期三0星期四0星期五0星期六□星期日□每日时段：开始时间：OS;30*结束时间：17:30*确定|取消

6、制定访问控制策略在“防火墙”一“访问控制"，点击“添加”<1>第一条规则定义内网可以访问外网在“防火墙”一“访问控制"，点击“添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网”，点击“高级”，动作“允许”（默认选项）。

Mi高瓠［选择其他类型的骡］已选源VUU：傀指酬；->X11是择源淄A:已选源曲EA:内可外阕服务器->X内风选捧源端口：排序D©已选源满口:TCP8888(TC?:88E8)UDP9000-10030(ITP:93OO-1OOOO；二Echo(TCF)(rCF:7)Echo(UI'P)(JDP:7)DiocQrd(TCP)(TCP:9)Discard(UDP)(UIP:9)Daytime(TCP)(TCP:13'Dajrtime(UDP)(UIP:13'NETSTA7(TC?:15)QuotdCCP)(TCP:17)Quotd(UDP)(UDP:17)CliaL^en(TCF)(TCP;19>_|->访问权限：@允许O拒绝源目的服舞选项设择目的地北：排序已选目的：辱日控制祝则源目的服舞选项设择目的地北：排序已选目的：辱日控制祝则17W一16一1.56［主机］［主机］30［主机］any［范围］172.16.1,10-20［范围］允许上网地址组［组］已选目的VLAiT：1切i面级【选择其他类型的目的］||1已选目的VUN：->X宏择目的AEZA：已选目的AEEA：ef-h网网务brAn->杼畏前目的志址:已选目的：173.1&.1.S6［主机］［主机］111.1U.111.230［主机］any［范围］0-20［范围］允许上网他址组［组］->访问枳限：②允注O拒绝访问极限缺省为“允许启用规则：0启用［默认启用规则，不选为哲不生效］<2>第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙”一“访问控制"，点击“添加”选择“源"，点击“高级"，源选择源区域“内网、外网"，目的选择“Web服务器地址对象（），即服务器真实地址'，服务选择”HTTP服务”，动作“允许”（默认选项）。

:叵］高蛆［选择