天融信网络卫士防火墙系统

网络卫士防火墙N G F W U F系列产品说明公司内部档案编码：[OPPTR-OPPT28-OPPTL98-OPPNN08]网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC 北京市海淀区上地东路1号华控大厦 100085版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC天融信信息反馈目录1产品概述..................................................... 2关键技术..................................................... 1）灵活的接口扩展能力.......................................... 2）安全高效的TOS操作系统...................................... 3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4）完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1）典型应用一：在大型网络中的应用.............................. 2）典型应用二：虚拟防火墙应用.................................. 3）典型应用三：AA模式双机热备..................................1产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。

网络卫士防火墙系统命令手册索引分册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦，100085电话：（8610）82776666传真：（8610）8277667服务热线：800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2009天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录前言 (1)1概述 (3)1.1手册使用指南 (3)1.2人机命令的描述 (3)1.3命令辅助功能 (4)1.4命令模式 (4)2命令索引 (8)2.1 A开头的命令 (8)2.2 B开头的命令 (13)2.3 C开头的命令 (15)2.4 D开头的命令 (19)2.5 E开头的命令 (29)2.6 F开头的命令 (31)2.7 G开头的命令 (32)2.8 H开头的命令 (33)2.9 I开头的命令 (34)2.10 J开头的命令 (48)2.11 K开头的命令 (49)2.12 L开头的命令 (49)2.13 M开头的命令 (53)2.14 N开头的命令 (58)2.15 O开头的命令 (61)2.16 P开头的命令 (62)2.17 Q开头的命令 (64)2.18 R开头的命令 (65)2.19 S开头的命令 (68)2.20 T开头的命令 (92)2.21 U开头的命令 (96)2.22 V开头的命令 (97)2.23 W开头的命令 (100)2.24 X开头的命令 (101)2.25 Z开头的命令 (101)前言手册说明《网络卫士防火墙系统命令手册》共有16个分册，手册和内容分别为：手册名称手册内容《网络卫士防火墙系统命令手册_索引分册》介绍网络卫士防火墙每条命令对应的分册、章节《网络卫士防火墙系统命令手册_IPv6分册》介绍网络卫士防火墙与IPv6相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册一》介绍网络卫士防火墙与RIP、OSPF和IS-IS 路由协议相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册二》介绍网络卫士防火墙与BGP路由协议、路由映射和路由策略相关的命令《网络卫士防火墙系统命令手册_MPLS分册》介绍网络卫士防火墙与MPLS相关的命令《网络卫士防火墙系统命令手册_QoS分册》介绍网络卫士防火墙与QoS相关的命令《网络卫士防火墙系统命令手册_安全分册》介绍网络卫士防火墙与网络安全相关的命令《网络卫士防火墙系统命令手册_防火墙分册》介绍网络卫士防火墙与防火墙相关的命令《网络卫士防火墙系统命令手册_基本配置分册一》介绍网络卫士防火墙与系统管理、文件管理、用户界面、日志统计、FTP/TFTP服务器和IPv4基础协议相关的命令《网络卫士防火墙系统命令手册_基本配置分册二》介绍网络卫士防火墙与接口配置、DHCP和VRRP相关的命令《网络卫士防火墙系统命令手册_基本配置分册三》介绍网络卫士防火墙与NAT、Time Range、堆叠和DEBUG调试相关的命令《网络卫士防火墙系统命令手册_网络管理分册》介绍网络卫士防火墙与网络管理相关的命令《网络卫士防火墙系统命令手册_以太网交换分册》介绍网络卫士防火墙与MAC、VLAN、SuperVLAN、STP、链路聚合、VBAS、MAC PING和UDLD相关的命令《网络卫士防火墙系统命令手册_组播分册》介绍网络卫士防火墙与组播协议相关的命令内容介绍本手册主要介绍了《网络卫士防火墙系统命令手册》的命令索引部分，本手册的章节名及其概要如下：章名概要第1章概述本章介绍命令手册的使用方法、命令的描述、格式约定、辅助功能和模式第2章命令索引本章以表格形式指明了《网络卫士防火墙命令手册》中每条命令所在的分册、章节，其中命令以字母A~Z的顺序进行排列1概述1.1手册使用指南《网络卫士防火墙命令手册》按内容分为16个分册，各分册的内容请参看本手册前言部分。

网络卫士防火墙系统NGFW4000 系列产品说明天融信TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085电话：+8610­82776666传真：+8610­82776677服务热线：+8610­8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有， 未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形 式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失， 天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考， 有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有 不得翻印© 1995­2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的 注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000系列产品说明目 录1 产品概述 (1)2 关键技术 (2)1） 灵活的接口扩展能力 (2)2） 安全高效的TOS操作系统 (2)3） 集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2)4） 完全内容检测CCI技术 (3)3 产品特点介绍 (4)4 产品功能 (9)5 运行环境与标准 (14)6 典型应用 (15)1） 典型应用一：在企业、政府纵向网络中的应用 (15)2） 典型应用二：防火墙作为负载均衡器 (16)3） 典型应用三：防火墙接口备份 (17)4） 典型应用四：AA模式双机热备 (18)7 产品资质 (18)1 产品概述十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出 TOPSEC 联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段， 目前已进入以自主安全操作系统 TOS（Topsec Operating System）为基础，以完全内容 检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过 滤等多种安全功能。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 1/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

[原创]天融信防火墙的一个典型配置方案一个典型配置方案现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应该如何配置。

以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN 中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。

有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能访问内网；外网可以访问SSN中的服务器。

在非动态地址环境下：防火区域配置外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。

内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允许ping。

SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁止ping。

经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。

（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。

）定义三个网络节点FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址=…，物理地址=…。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址=…，物理地址=…。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址=…，物理地址=…。

配置访问策略根据区域的定义，外网和内网的缺省访问权限已经满足要求，现在只需要进行一些访问策略设置。

在SSN区域中增加三条访问策略：① 访问目的=FTP_SERVER，目的端口=TCP 21。

源=内网，访问权限=读、写。

源=外网，访问权限=读。

这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (28)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

网络卫士防火墙系统安装手册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦，100085电话：************传真：************服务热线：800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印© 2005天融信公司商标声明 本安装手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3文档组织 (1)1.4约定 (2)1.5相关文档 (3)1.6技术支持 (3)2安装网络卫士防火墙 (4)2.1系统组成与规格 (4)2.1.1系统组成 (4)2.1.2电气特性 (4)2.1.3物理规格 (5)2.1.4安全规范及标准 (5)2.2确定防火墙的工作模式 (6)2.3系统安装 (7)2.3.1硬件设备安装 (7)2.3.2管理器安装 (8)2.3.3检查网络卫士防火墙的工作状态 (12)2.4登录网络卫士防火墙 (13)2.4.1缺省出厂配置 (13)2.4.2使用CONSOLE口登录网络卫士防火墙 (14)2.4.3设置其他管理方式 (17)2.4.4管理主机的相关设置 (19)2.4.5通过浏览器登录防火墙 (20)2.4.6使用集中管理器登录防火墙 (21)2.4.7通过SSH方式登录网络卫士防火墙 (23)2.5恢复出厂配置 (23)3配置案例 (25)3.1案例1：路由模式 (25)3.2案例2：混合模式 (28)3.3案例3：建立VPN隧道 (30)4百兆接口扩展模块安装 (33)4.1模块型号与规格 (33)4.2接口模块规范 (34)4.3安装过程 (34)4.4接口顺序 (35)5标准千兆模块安装 (36)5.1模块型号与规格 (36)5.2接口模块规范 (37)5.3接口线缆规格 (37)5.4GBIC/SFP保护 (37)5.5安装/拆卸过程 (38)5.5.1通用GBIC的安装/拆卸过程 (38)5.5.2SFP安装/拆卸过程 (38)6专用GBIC-AUTO模块安装 (39)6.1模块型号与规格 (39)6.2GBIC-AUTO的安装/拆卸过程 (39)6.2.1安装过程 (39)6.2.2拆卸过程 (40)1前言本安装手册主要介绍网络卫士防火墙的安装和使用。

天融信网络卫士防火墙系统TopGuard NGFW4000系列专用平台产品网络卫士防火墙系统概述十几年来，天融信专注于信息安全，国内首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片，在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革，目前已进入以自主安全操作系统TOS (Topsec Operating System) 为基础，以完全内容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF 三大系列60多个型号的防火墙产品。

网络卫士防火墙系统集成了防火墙、IPS、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。

目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用。

据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行。

据权威数据机构IDC、CCID统计，天融信已连续十多年在网络安全硬件市场处于领先地位。

NGFW4000系列概述NGFW4000是天融信网络卫士防火墙系统的中端产品系列，适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。

产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解，已在各种网络环境中经受了严格考验。

该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。

稳定可靠的硬件平台，满足真实需求的软件功能，超强的网络适应能力，使之成为多年来广受市场认同的系列主流产品。

专用平台产品概述天融信网络卫士防火墙系统NGFW4000系列专用平台产品，适用于政府、金融、学校、中小型企业等各种网络环境。

天融信防火墙日常维护及常见问题 综述:防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。

天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。

本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。

一、 防火墙的连接方式5硬件一台•外形：19寸1U 标准机箱产品外形接COM 口管理机直通线交叉线串口线PCRouteSwich 、Hub交叉线1-1 产品提供的附件及线缆使用方式产品提供的附件及线缆使用方式•CONSOLE线缆•UTP5双绞线-直通(1条，颜色:灰色)-交叉(1条，颜色:红色)使用:–直通:与HUB/SWITCH–交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接）•软件光盘•上架附件6二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。

在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表：2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题：1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。

2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)三、防火墙的管理及登录方式串口(console)管理方式：管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。

天融信防火墙NGFW4000快速配置手册令狐文艳目录一、防火墙的几种管理方式51．串口管理52．TELNET管理63．SSH管理64．WEB管理75．GUI管理7二、命令行常用配置91．系统管理命令(SYSTEM)10命令10功能10WEBUI界面操作位置10二级命令名10V ERSION10系统版本信息10系统>基本信息10INFORMATION10当前设备状态信息10系统>运行状态10TIME10系统时钟管理10系统>系统时间10CONFIG10系统配置管理10管理器工具栏“保存设定”按钮10 REBOOT10重新启动10系统>系统重启10SSHD10SSH服务管理命令10系统>系统服务10TELNETD10TELNET服务管理10系统>系统服务命令10HTTPD10HTTP服务管理命10系统>系统服务令10MONITORD10MONITOR10服务管理命令无102．网络配置命令(NETWORK)103．双机热备命令(HA)104．定义对象命令(DEFINE)115．包过滤命令(PF)116．显示运行配置命令(SHOW_RUNNING)11 7．保存配置命令(SAVE)11三、WEB界面常用配置121．系统管理配置12A)系统 > 基本信息12B)系统 > 运行状态12C)系统 > 配置维护12D)系统 > 系统服务12E)系统 > 开放服务12F)系统 > 系统重启122．网络接口、路由配置12A)设置防火墙接口属性12B)设置路由143．对象配置15A)设置主机对象15B)设置范围对象15C)设置子网对象16D)设置地址组16E)自定义服务16F)设置区域对象16G)设置时间对象184．访问策略配置185．高可用性配置20四、透明模式配置示例21拓补结构：211．用串口管理方式进入命令行21 2．配置接口属性213．配置VLAN224．配置区域属性225．定义对象226．添加系统权限237．配置访问策略238．配置双机热备23五、路由模式配置示例25拓补结构：251．用串口管理方式进入命令行25 2．配置接口属性253．配置路由264．配置区域属性265．配置主机对象266．配置访问策略267．配置双机热备27一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。