天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册

一、防火墙的几种管理方式

1.串口管理

第一次运用网络卫士防火墙，管理员可以通过CONSOLE口以吩咐行方式进行配置和管理。

通过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次运用防火

墙时，通常都会登录到防火墙更改出厂配置（接口、IP地址等），使在不变更现有网络结构的状况下将防

火墙接入网络中。这里将具体介绍如何通过CONSOLE口连接到网络卫士防火墙：

1）运用一条串口线（包含在出厂配咛中），分别连接计算机的串口i这里假设运用coml）和防火墙的

CONSOLE口。

2）选择起先〉程序〉附件>通讯>超级终端，系统提示输入新建连接的名称。

3）瑜入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择运用的接口（假设运用coml）。

4）设置coml口的属性,依据以下参数进行设置。

参数名称取值

每秒位数：9600

数据位：8

奇偶校验：无

停止位：1

5）胜利连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）瑜入系统默认的用户名：superman和密码：talent,即可登录到网络卫士防火

墙。登录后，用户就可运用吩咐行方式对网络卫士防火墙进行配置管理。

2.TELNET管理

TELNET管理也是吩咐行管理方式、要进行TELNET管理.必需进行以下设置：

1）在串口下用"pfserviceaddnametelneiareaarea_ethOaddressnameany"吩咐添加管理权限

2）在串口下用Systemtelnetdstart"吩咐启动TELNET管理服务

3）知道管理IP地址，或者用"networkinterfaceethOipadd192.168.L250mask255.255.255。"吩咐添加管理

IP地址

4）然后用各种吩咐行客户端（如WINDOWSCMD吩咐行）管理：TELNET50

5）最终输入用户名和密码进行管理吩咐行如图：

3.SSH管理

SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：

1）在串口下用"pfserviceaddnamesshareaarea.ethOaddressnameany"吩咐添加管理权限

2）在串口下用-systemsshdstart"吩咐启动TELNET管理服务

3）知道管理IP地址，或者用"networkinterfaceethOipadd50mask"吩咐添加管理

IP地址

4）然后用各种吩咐行客户端（如putty吩咐行）管理:50

5）最终输入用户名和密码进行管理吩咐行如图：

192.168.1.250-PuTTY

loginas:superman

TopsecOperatingSystemv04.1

TopsecNetworkSecurityTechnologyCO.,LTD

supermanO50'spassword:

TopsecOS#

4.WEB管理

1）防火墙在出厂时缺省已经配置有W三B界面管理权限，假如没有，可用"pfserviceaddnamewebuiarea

area_ethOaddressnameany"吩咐添加。

2）WEB管理服务缺省是启动的，假如没有启动，也可用',systemdstart"吩咐打开，管理员在管理主

机的阅读器上输入防火墙的管理URL,例如：

s://50,弹出如下的登录页面。

（天融信T4

用户名：superman交吗：・・..**提交

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent）,

点击“提交”，就可以进入管理页面。

天融信

roF>sec

u系

o网

芟本信敏系城基本信R

g对

G系统hK3FW4000(TM424)士tt本信a系茨信息，

U版权

TOPSEC版本，版权，许可证版本

G版本

Q<TcpsecCtefatnaSystem*3.2.90,004.1

物

质全星务色台安全程

tJ退

口快利■!务信且安全引

安翎务搴"钺过滤，NAT,U

证，船务，动;S路由协议

安全引军：FWIDSGOS

深度内容也稔：HTTPFTPPOP3SMTP＞网络徒口信息显示当

WAT支捋：H323RPC他RTSPSQLNETTFTPFTP而物理孩口信息

USE：合说U证

版务：UHCBNiyUMQiAKAUblbbHHASJ^赤.

动礴由与以：OSPFRIP

寝口名际路由攵我18口培址协商模式MTU

路

etho由192168.1.250/auto1500

跖

由

ethl192168.2.250/auto1500

由

路

h2auto1S00

et由

路

eth311.J.1.2/255.255.2S5.252auto1500

5.GUI管理

GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些平安工具，如监控，抓包，跟踪等

1)安装管理中心软件

2)运行管理软件

TopS阳管理中心-I监抄外长］

歹Z<*(E)设备02)工具(D»>«)曲图(双)帮助Itfl

x8*S9W没事名称［CPUH1B窣♦|或内存(X)I总内存(K)I可用有If空间00I

♦91。2次管建中心

览拄整备效0

乐IMS善勃o

心

金

富

五

五

心

宜

£

i

£

1MRa作日志x

2006•吩？1怆1909设备［1921的520,1耗168>20】依度月幼人

200G-(»21195IX电击［192118520,1皎168520］出笠停止

3)右击树形"TOPSEC管理中心”添加管理IP

TopSECt?理中心-I监控外衰］

%X»(E)设备9)IR(D爱看（Y）祝图（以）帮助【由

；S0上；创3•.信恒4>

<1可用内存覆）|忘内存崖）［可用存<1至间0C）暴存il£TG%］

7

7电区项目蜃住

7添m下的城区项口

支由技设谷豹0

T

I乐*IMS警的0

1

7添加战备

?保存修改

心

£

£

力

£

£

£

管理・作日志__________________________________________

2006.(»2118.198设备(19213520J921685.20)宙按8动

2006.(»2118X30设碗192118520,I&168520)抬及停止

设备冽D

F1开始/…,・文…’♦电…「BBP。…‘鼻•…’遇一…Rh..T。一

4）右击管理IP地址，选择“管理"，输入用户名和密码进行管理

TopSEC管■中心【或冷列表】二否!冈

r吵加0ZAO)痉■&)RSKW”助⑻

5）也可右击管理IP地址，选择“平安工具”，进行实时监控

TopSEC爸理中心-[监控列&]

多文件(E)长片(Q)工旦(I)5«(v)»E(w)WfcQd]

crim用辜%可用内存ooI导网存ooI百用寿篇至司aI与存日仝Goc厂T接口数当前连孩数更新内同

•QjTopSEClfJI中。

HI19216810261-192168监控霰等状袤_X

|7]222ITO63.42-2221T08

团10.1«49.15-10.1«,49

监控设备数•0

|7|19216873.250-1%)68-

团toi-192168173?保81认招警数0

B]192168.ITT.t-192168!,心J

未aU教里

2]2039144T-20391«7

小

莒S

团2216.131.214-2216131J

系

小S

团192168520-1921635：

安

小

rn【EHITIKME，™全

公

包.

白动iSJ?

0-1921681.25J)-n

1算8设g

版除设看

安金工具

Tdnet

Pnj

kdSTrazert

81W^»[i9：168520,l&168而T42按启动

NXK•好21185430设备(1921685.20,1921685.20)45按停止

»+3开始为7**Xm电理，。3配中S・

选择：平安工具-连接监控

点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控全部连接。

选中增加的过游条件，点设置就可以看到实时的监控效果了，如下图：

TOS安全工具-192.168.1.250

安全工具(1)帮助Q1)

变主销©中止爆设置

活动连氽数量4厢主IIDLZSRSnC_F£YD融SACK.VAITEESTAB>

状态源地址目的地址谡流口目的谎口协议发送手节夏I接收字节更I发送报文数接收报文数

1921681.111192.1681.250111132337CP16857643

色E192168.1.111192.1681.2S0110932327cp5068324412075

丑132168.1.1111«.1661.25011064000icr122W2153111566

ni11.1.1.211.1.1.190009000UBF739680092460

关闭连接而注CI:CL0SIMGCD:CL0SH»

伏态西地址目的地址通端口目除口为议转换发送字节基接收字节数发送报文题接收报文题

歌CD192168.1.111S011063223TCP1288832

二、吩咐行常用配置

(注：用串口、TELNET.SSH方式进入到吩咐行管理界面，天融信防火墙吩咐行管理可以完成全部图形界

面管理功能，吩咐行支持TAB键补齐和TAB键帮助，吩咐支持多级操作，可以在系统级，也就是第一级

干脆输入完整的吩咐；也可以进入相应的功能组件级，输入对应组件吩咐。具体分级如下表：)

系统级

系统级为第一级，供应设备的基本管理吩咐。CLI管理员登录后，干脆进入该级，显示为：TopsecOS#。

组件级

组件级为其次级，供应每个平安组件(SE)所独有的管理吩咐。

在系统级下，TopsecOS#<tab>按tab键，则显示出平安组件级吩咐见下表。

类别关键字内容说明

s/stem系统管理书目

retwork网络设置

Ha高可用性设置

cefine网络对象定义

cebug调试

log日志设置

authentication认证设置

Snmp简洁网络管理协议配置

pf包过滤规则设置

cpi深度报文检测策略定义

一级吩咐名firewall防火墙规则设置

rat地址转换策略配置

Vpn虚拟私有网隧道配置与操作

IDS入侵监测配置

Qos带宽限制配置

AVSE防病毒平安引擎管理设置

save保存配置

Show_running查看运行时配之信息

Show查看配置

belpmode帮助模式设定

exit退出系统

1.系统管理吩咐(SYSTEM)

在吩咐行下一般用SYSTEM吩咐来管理和查看系统配置：

吩咐功能WEBUI界面操作位置

Version系统版本信息系统〉基本信息

information当前设备状态信息系统》运行状态

time系统时钟管理系统〉系统时间

config系统配置管理管理器工具栏“保存设定”按钮

二级吩咐名

reboot重新启动系统〉系统重启

sshdSSH服务管理吩咐系统〉系统服务

telnetdTELNET服务管理系统〉系统服务吩咐

d服务管理命系统〉系统服务令

|monitordMONITOR服务管理吩咐无

2.网络配置吩咐(NETWORK)

吩咐功能WEBUI界面操作位置

interface防火墙接口管理网络〉物理接口

vlanVian配置管理网络〉VLAN

route路由表配置管理网络〉静态路由

Ping验证网络连接无

3.双机热备吩咐(HA)

HALOCAL＜ipaddress＞设置HA接口的本机地址

HAPEER＜ipaddress＞设置HA接口的对端地址

HAPEER-SERIAL＜string＞设置HA接口的对端的licence序列号

HANO＜local|peer|peer-serial＞复位HA接口的本机地址/对端地址/对端licence序列号

HAPRIORITY＜primary|backup＞设定HA优先级是主机优先还是备份机优先(默认为backup,即假如

同时启动主机成为活

HASHOW＜cr＞查看HA的配置信息

HAENABLE＜cr＞启动HA

HADISABLE＜cr＞停用HA

HACLEAN＜cr＞清除HA配置信息

HASYNC＜from-peer|to-peer＞HA同步(从对端机上同步配置/同步配置到对端机上)

4.定义对象吩咐(DEFINE)

吩咐功能WEBUI操作位置

ares区域对象管理对象＞区域对象

interface配置防火墙接口对应的区域属性对象＞区域对象

host主机地址对象管理对象＞地址对象＞主机对象

range地址范围对象管理对象》地址对象》范围对象

subnet子网地址对象对象》地址对象＞子网对象

group.address地址组对象管理对象》地址对象＞地址组对象

service子定义服务对象管理对象〉服务对象〉自定义服务

group_service服务组对象管理对象〉服务对象〉服务组

schedule时辰表对象管理对象＞时间对象

server服务器对象管理对象＞负载均衡〉服务器

virtual_server虚拟服务器对象管理对象＞负载均衡＞均衡组

5.包过滤吩咐(PF)

增加一条服务访问规则

SERVICEADDname

<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|

pptp|webui|vrc|vdc>area<string><[addressid<number>]|[addressname<addr_name>]>

6.显示运行配置吩咐(SHOW_RUNNING)

SHOW_RUNNING

7.保存配置吩咐(SAVE)

SAVE

三、WEB界面常用配置

用阅读器或者集中管理中心登录到WEB管理界面如下：

彳天融信

AJOF>SEC

仅存I色■旌筵园出

基本信总余婉基本信自

，Q对象

系场：23FW40CD.Q厩本信B关婿信息，

口认底

♦版权：TCPSEC康本，版权，许可证版本

.Doos解末.TcpsecCpetanngSystem

双e•v32a.e04.IgwN

*。防火墙引擎

»安全■务包含安全收

i。虎投专丽摩VPN引擎超本：V3.2.8812.060606-00埃和星务信R安全引

口退出於烷许可证版本：007挈，信度过宽，NAT，U

证，M务，动右路由协国

VW催迤数：1000

VRCfflPS：1000》目珞接U信且显示当

era速知信g

安金।艮务

安全引擎：FW1DSQOSVW

深度内容近谕：HTTPFTPPCP3SMTP

NAT支持：H323RPCM喉RTSPSQINETTFTPFTP

认俄：合法U证

服务：CKCPNT3L1MCBAKADSLSSHHA弟MP多播

动态踹由协议：OSPFRIP

Rrasa

8ra名称篇由交换黛口出让为质模式M7V

ethO路由l%.：68520/2S5.25S.2S5.0auto1500

1.系统管理配置

在‘系统”下，可以显示或配置系统相关设置

A）系统>基本信息

显示系统的型号、版本、功能模块、接口信息等等：

基区信息

系统：NGFW4000-P

版权：TOPSEC

康本：TopsecOperatingSystemV3.2.8840.1

许可证版本：002

VPN隧道数：200

VRC用户数：10

SSLVPNffl户数：0

安全版务

安全弓1擎：FWIDSQOSSSLVPNVPN

深度内容过滤：HTTPFTPPOP3SMTP

NAT支持：H323RPCMMSRTSPSQLNETTFTPFTP

认证：会话认证

服务：DHCPNTPLINKBAKADSLSSHHASNMP彩播

动态路由协议：OSPFRIP

网8接口

接口名称路由交换接口地址协商模式MTU

40/力匕enn

ethO路由/255.255.255,0卬1

ethl路由99/auto1500

eth2路由/auto1500

B）系统>运行状态

查看系统的运行状态,包括CPU、内存运用状况和当前连接数等

CPU信息