天融信防火墙参数
天融信防火墙通用配置
天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
天融信防火墙通用配置
一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的
网口相连。
出厂默认eth0口IP为: 出厂用户名为:superman,密码为:talent或。现IP改为,用户名为:superman,密码为:topsec0471。
在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。
输入用户名为:superman,密码为:topsec0471,登陆进入。
二.接口IP地址的配置:
1.点击:网络管理---接口
Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在网段,MISS网在网段。eth0口IP为服务器实际IP为,eth1IP 口为。接口模式选择:路由。其余选项采用默认配置。
三.路由配置
点击:网络管理----路由,
现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。
四.地址转换:
1.配置转换对象:
点击:资源管理----地址;
点击:添加:
该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。Xnweb 为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。以后miss网的主机只需浏览:,不需浏览地址。以达到伪装IP的目的。
天融信防火墙配置手册 PPT
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
Internet 资 源 的 访 问
实
SSN区域
验
室
分
布
情
况 Intranet区域
大门 Internet区域
Internet
实验网络结构图
Web e-mail FTP
DMZ 区
192.168.2.50/60/70/80/90 网关:192.168.2.250
2.250
6.250 1.250
Internet 外网
不能控制权限的,设置的策略也是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006,1027,
6267,8080端口(任选其一设置)。 ‘策略服务’在都不选择的情况下,为任何服务,包括所有协议所有
端口。 ‘策略服务’在都选择的情况下,表示只对所选择的服务进行访问控
天融信防火墙配置实例
eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254其中外网网关为10.0.0.254,内网网关为
第一步:找根直通线连接VPN默认配置口eth0 192.168.1.254
配置网络管理-接口设置相应eth5 eth6
第二步:添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5,从网关10.0.0.254 出去
第三步:资源管理-区域添加两个网口
第四步:
防火墙-访问控制-添加组
第五步:
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址,都从eth5出去第六步:
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步:
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此,从eth6下面链接的电脑都可以自动分配IP(10.1.8.网段),且可以访问局域网内IP
天融信防火墙配置实例
天融信防火墙配置实例
eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254 其中外网网关为10.0.0.254,内网网关为
第一步:找根直通线连接VPN默认配置口eth0 192.168.1.254 配置网络管理-接口设置相应eth5 eth6
第二步:添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5,从网关10.0.0.254 出去第三步:资源管理-区域添加两个网口
第四步:
防火墙-访问控制-添加组
第五步:
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址,都从eth5出去第六步:
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步:
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此,从eth6下面链接的电脑都可以自动分配IP(10.1.8.网段),且可以访问局域网内IP
天融信TopsecNGFW系列防火墙介绍
国家统计局
国家统计局网络安全工程自1999年开始组织运作,先后分二期实施完成。该项目包括省会城市 、计划单列市及统计调查队,全国共67个节点。安全内容包括防火墙、防病毒、数据加密、CA认证 中心、信息监控审计等内容,总投资2000多万元,该项目全部由天融信公司集成、实施、服务。并 保证了国家统计局第三次人口普查网络的安全应用。
11
成功案例(政府)
国家卫生部
2002年,国家卫生部内联网安全工程项目覆盖全国从国家局到省级共35个节点,全部采用天融 信的防火墙产品。 2003年,中国疾病预防控制中心作为国家疾病预防体系建设的主管部门,于2003年SARS时期后 ,在卫生部的指导下该中心开始启动突发公共卫生事件应急机制检测信息系统I期建设项目,为了 保障该系统安全运行,中心经过前期多方面的考察和选择,最后在一级防火墙及VPN集成项目中选 择了天融信公司作为本次安全的合作伙伴,整个项目涉及NGFW4000防火墙、VPN、SCM、ADS多套, VPN客户端VRC覆盖全国2万个节点。
8
天融信 NGFW-UF-TG-5044(1)
基本描述 硬件架构 专业多核说明 网络接口 内嵌OS类型和版本 吞吐量 最大并发连接数 双机热备 上网行为管理 网页过滤 升级管理 原厂质保期 ISCCC获证级别
属于网络卫士系列防火墙的中高端产品,采用开放性的系统架构及模块化的设计思想,特别适用于网 络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。自主安全操作系统TOS (Topsec Operating System),能集成防火墙、VPN、带宽管理、防病毒、入侵防御、内容过滤、准 入控制、上网行为等多种安全功能。 专业多核 Intel四核 标配4个10/100/1000MBase-T端口,1个扩展槽,可扩展不同子卡,最多可达12端口 控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS 的子版本号为v3.3.010,相应的编译器版本为v3.3。 网络吞吐量6Gbps 200万 支持 支持对p2p协议进行阻断和限制等功能,提供150多种应用程序识别,并实时在线更新识别库,支持对 于应用协议流量的年/月/日图表显示 支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库,并支持手动、自动更新。 包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级;相同型 号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复 、补丁、小版本升级 1年 三级
天融信防火墙设置
天融信防⽕墙设置
钟祥⽔利局防⽕墙
通过交换机中的主机192.168.1.0 ⽹段访问
在浏览器地址栏中输⼊
https://192.168.1.1
按回车即可访问
(新防⽕墙默认只有ETH0⼝可⽤WEB访问,地址为https://192.168.0.254)期间会提⽰证书不完全
点击接受即可
登录页⾯需输⼊访问账号和密码
为默认值
账号:superman 密码:talent
正确输⼊后即可看到默认⾸页
显⽰的是防⽕墙的基本信息
防护墙所有基本功能需要在系统管理=》配置=》开放服务⾥添加
⽐如能在⽹页配置该防⽕墙
点击【添加】
服务名称为需要添加的服务
Webui为可⽹页配置
DHCP为该区域可动态获取IP地址
等
具体可参考随机安装光盘
上⾯有每个服务名称的详细说明
控制区域
需要⼿动添加后⾯会讲解
控制地址
选择此项为所有主机都可以访问,使⽤
其他主机需⼿动添加
表⽰只有该主机才能够访问,使⽤
添加⽅式见下⽂
【管理员】
此项为管理可登陆防⽕墙的账号名与密码可⾃⾏添加账号与修改密码
【资源管理】
该选项需要注意的是地址区域服务
【地址】为每台主机的IP地址
若需要端⼝映射需要选定主机
则需要在此选项内添加该主机IP地址
点击添加
名称为⾃⼰容易记录的名称
可随意输⼊(但必须输⼊)
在红框内填写需要添加的主机的IP地址后点击旁边的箭头
然后点击确定
即可添加⼀条地址信息
【区域】
区域可选择为⼀个⽹段,⼀个VLAN,⼀个端⼝等等可视为许多地址的集合做端⼝映射
需要选择外端端⼝作为区域
名称同地址
可随意填写
权限为默认值允许
属性选择⼀个端⼝
然后点击右边箭头=》
然后点击确定
天融信防火墙NGFW的配置
全新的天融信防火墙NGFW4000_配置
配置一台全新的NGFW4000,配置完后,内网用户10.10.1.0/24和可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器,并且内网用户也可以通过WEB服务器的外网地址进行访问;
网络说明:
防火墙外网接口地址:防火墙内网接口地址:核心交换机防火墙VLAN:核心交换机用户群A的VLAN:10.10.1.0/24
核心交换机用户群B的VLAN:用户群A的默认网关:用户群B的默认网关:防火墙至出口的默认网关:核心交换机至防火墙的默认网关:内网WEB服务器地址:通过防火墙映射成公网地址简单拓扑图如下:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间;我们首先需通过某种方式对防火墙进行管理配置;
1、连接防火墙
首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户
管理员用户名 superman 管理员密码 talent 或
系统参数
设备名称 TopsecOS
同一管理员最多允许登录失败次数 5
最大并发管理数目 5
最大并发管理地点 5
同一用户最大登录地点 5
空闲超时 3 分钟
物理接口
Eth0或LAN 口 IP:其他接口 Shutdown
服务访问控制
WEBUI 管理通过浏览器管理防火墙:允许来自Eth0或LAN 口上的服务请求
GUI 管理通过TOPSEC 管理中心:允许来自Eth0或LAN 口上的服务请求
SSH通过SSH 远程登录管理:允许来自Eth0或LAN 口上的服务请求
天融信防火墙招标参数.doc
可与交换机的Trunk接口对接,能进行802.1Q、ISL
的封装和解封(截图证明);
支持对物理端口的聚合,不对每个聚合组的端口数做 限制,提高聚合组的配置灵活性,且需支持至少10
种以上不同的负载算法(截图证明);
支持手动添加静态ARP功能(截图证明);
NAT
支持动态地址转换和静态地址转换;
支持多对一、一对多和一对一等多种方式的地址转 换;
支持对FTP、SMTP、POP3、IMAP、TELNET、RSH、
DNS协议的深度过滤功能;
具有WEB重定向功能,使所有符合策略的连接访问 用户指定的地址(截图证明);
支持伪装的HTTP连接识别功能(截图证明);
反垃圾邮件
反垃圾邮件需支持设置黑名单、白名单、灰名单(截 图证明);
支持实时黑名单(RBL)功能,可添加5个以上的RBL提供商列表(截图证明);
支持通过OCSP/LDAP等协议在线认证证书;
高可用性
双机热备
支持双机热备(Active-Standby); 支持负载均衡模式(Active-Active); 支持连接保护模式(Session Protect);支持根据IP探测结果进行主备切换功能;
其它功能
支持接口联动功能,数据进口DOWN出口也将跟随
BII
IPv6产品测试认证
北京市科 学技术委 员会/北京 市发展和 改革委员 会/北京市 住房和城 乡建设委 员会/北京 市经济和 信息化委 员会/中关 村科技园 区管理委 员会联合 颁发
天融信防火墙配置手册-课件
主机所在区域内‘增加’→‘包过滤策略’,策略源为访问 端(只选择本机节点),策略目的为被访问端(只选择其他 区域某节点),策略服务为PING,访问wk.baidu.com制设为允许。注 意策略源和目的只选择节点,针对主机进行权限设置。 通 过PING 对方主机测试连通性。
– 限制对非本企业 业务目的的
Internet 资 源 的 访 问
实
SSN区域
验
室
分
布
情
况 Intranet区域
大门 Internet区域
Internet
实验网络结构图
Web e-mail FTP
DMZ 区
192.168.2.50/60/70/80/90 网关:192.168.2.250
2.250
防火墙配置一般有三种方式: B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。
区域之间缺省权限的设置
➢ STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访
问。 操作说明:选择“可读、可写、可执行”选项,表示为允许访问。
STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”, ‘新建项
目’,输入防火墙本区域端口IP地址,登陆到防火墙。查看防 火墙 “基本信息” 和“实时监控”, 了解其他各菜单 功能。
天融信防火墙配置实例
eth5为外网口指定IP为10.0.0.21 eth6为内网口指定IP为10.1.8.254其中外网网关为10.0.0.254,内网网关为
第一步:找根直通线连接VPN默认配置口eth0 192.168.1.254
配置网络管理-接口设置相应eth5 eth6
第二步:添加路由网络管理-路由-添加
添加所有的地址出口为外网出口eth5,从网关10.0.0.254 出去
第三步:资源管理-区域添加两个网口
第四步:
防火墙-访问控制-添加组
第五步:
防火墙-地址转换-添加
任意的10.1.8.0子网访问任意地址,都从eth5出去第六步:
网络管理-dhcp
看需求来添加是否需要自动获取IP
第七步:
系统管理-配置-开放服务
开放添加的两个端口的ping webui,外网开updata 内网开dhcp
到此,从eth6下面链接的电脑都可以自动分配IP(10.1.8.网段),且可以访问局域网内IP
全新的天融信防火墙NGFW4000的配置
全新的天融信防火墙NGFW4000_配置
配置一台全新的天融信防火墙NGFW4000,配置完后,内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200,并且内网用户也可以通过WEB服务器的外网地址进行访问。
网络说明:
防火墙外网接口地址:218.90.123.121/30
防火墙内网接口地址:192.168.0.253/30
核心交换机防火墙VLAN:192.168.0.254/30
核心交换机用户群A的VLAN:10.10.1.0/24
核心交换机用户群B的VLAN:10.10.2.0/24
用户群A的默认网关:10.10.1.254
用户群B的默认网关:10.10.2.254
防火墙至出口的默认网关:218.90.123.122/30
核心交换机至防火墙的默认网关:192.168.0.253
内网WEB服务器地址:10.10.1.200/32(通过防火墙映射成公网地址)
简单拓扑图如下:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间。我们首先需通过某种方式对防火墙进行管理配置。
1、连接防火墙
首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户
管理员用户名 superman 管理员密码 talent 或12345678
系统参数
设备名称 TopsecOS
同一管理员最多允许登录失败次数 5
最大并发管理数目 5
全新的天融信防火墙NGFW的配置
全新的天融信防火墙NGFW4000_配置
配置一台全新的NGFW4000,配置完后,内网用户10.10.1
网络说明:
核心交换机用户群A的VLAN:10.10.1.0/24
简单拓扑图如下:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间;我们首先需通过某种方式对防火墙进行管理配置;
1、连接防火墙
首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户
管理员用户名 superman
系统参数
设备名称 TopsecOS
同一管理员最多允许登录失败次数 5
最大并发管理数目 5
最大并发管理地点 5
同一用户最大登录地点 5
空闲超时 3 分钟
物理接口
其他接口 Shutdown
服务访问控制
WEBUI 管理通过浏览器管理防火墙:允许来自Eth0或LAN 口上的服务请求
GUI 管理通过TOPSEC 管理中心:允许来自Eth0或LAN 口上的服务请求
SSH通过SSH 远程登录管理:允许来自Eth0或LAN 口上的服务请求
升级对网络卫士防火墙进行升级:允许来自Eth0或LAN 口上的服务请求
PINGPING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址:允许来自Eth0或LAN 口上的服务请求
其他服务禁止
地址对象
地址段名称 any
地址段范围 0.0.0
区域对象
区域对象名称 area_eth0
绑定属性 eth0
权限允许
日志
日志服务器IP 地址 IP:.
日志服务器开放的日志服务端口 UDP 的514 端口
高可用性HA关闭
天融信防火墙简要配置步骤
天融信防火墙简要配置步骤
天融信防火墙配置简介:
此手册主要针对天融信防火墙型号是NGFW4000,一下简介是根据此型号做的说明.
1、设备登录
Web登录:
天融信默认web配置口:ETH0口,默认ip地址:192.168.1.254/24,默认登录名:superman,默认密码:talent,笔记本通过直连线即可利用浏览器登录配置,注意要用s协议登录,即:.
登录后显示状态如下:
Console口登录:
登录方式与一般路由器的console口登录方式一样.
2、路由器与交换机之间透明模式配置
防火墙的接口有两种状态:路由模式、交换模式,当防火墙与路由器和交换机的互联接口均指定为交换模式时,路由器与防火墙以透明模式实现互联.
指定接口模式的位置如下图所示:
3、通过防火墙实现外网互联
防火墙与外网互联接口暂时成为外网口,与内网互联接口暂时称为内网口,具体实现步骤如下:
A、外网口与运营商线路互联,内网口与内网核心交换机规划好的端口互联.此处暂用ETH7
外联运营商,用ETH6内联交换机.
B、外网口配置运营商提供的公网ip地址,内网口配置与核心交换机互联vlan对应的ip地址.
C、定义区域,区域是指防火墙接口互联的网段,定义区域是为了后续的防火墙配置,如配置地
址转换、防火墙策略、访问控制、内容过滤等.
定义区域:
D、配置地址转换.
点击添加开始地址转换配置:
E、配置缺省路由和回指路由.
配置缺省路由:
配置回指路由:
4、其他配置详见NGFW4000管理手册.
1 / 1
天融信防火墙配置讲解
防火墙配置具体方法
双向转换
源为any所有地址 目的为 183.166.34.235 任何地址访问235这个地址时,将访问的源地址转 换为内网口地址,访问的目的235转换为安保地址 ,从而实现从互联网访问内网服务器的目的
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
32
防注火意墙事配项置具体方法
3
注意事项
精品课件
防火墙配置具体方法
•1 定义接口地址
精品课件
防火墙配置具体方法
精品课件
防火墙配置具体方法
•2 配置接口所属段的路由
防火墙的缺省网关在静态路由时, 必须放来自百度文库最后一条路由
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •1)定义主机地址和端口区域 •2)添加策略和控制规则
资源管理—主机
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
精品课件
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
精品课件
防火墙配置具体方法
精品课件
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
源为内网区域 目的为公网区域 内网访问公网时把内网地址转换为电信接入地址 ,从而实现访问互联网的目的