天融信防火墙配置手册 PPT
天融信-3.3版本防火墙高级功能配置手册
PPTP隧道举例如下远程客户端与防火墙建立PPTP VPN隧道,安全访问内网资源。
图例:远程用户通过PPTP隧道访问内网示意图本例中防火墙的Eth0口使用了私有IP:10.10.10.1/24,仅为示例,应用环境中,该接口IP应为用户可以访问的公网地址。
配置要点1、配置远程用户2、开放相关接口的PPTP服务3、配置PPTP服务4、配置PPTP客户端5、配置PPTP的访问控制WebUI配置步骤1)配置远程用户。
包括添加远程用户、启动内部basic认证服务器并设置用户角色。
a)选择用户认证>Basic认证,选择“用户列表”页签,点击“增加用户”添加类型为“远程用户”的新用户pptpuser。
该用户用于PPTP用户的身份认证。
b)防火墙作为认证服务器接受PPTP用户的认证请求,需要在防火墙上启动内部认证服务器(默认为停止状态)。
选择用户认证>Basic认证,并选择“Basic认证服务器”页签,点击“启动”按钮启动内置认证服务器。
c)将PPTP用户设置所属用户角色。
不属于任何用户角色的用户无法通过认证服务器的认证。
而且可以通过设置对用户角色的访问控制规则来实现对PPTP用户的访问控制。
选择用户认证>Basic认证,并选择“用户角色”页签,点击“添加”按钮,设置包含PPTP远程用户的用户角色。
点击“确定”,完成用户角色设置。
界面如下图所示。
2)开放Eth0口的PPTP服务。
a)选择资源管理>区域,设置区域intranet、dmz分别和属性eth0、eth1绑定,权限为允许访问。
b)选择系统管理>配置菜单,并选择“开放服务”页签,开放该区域的PPTP服务服务。
3)配置PPTP服务选择虚拟专网>PPTP菜单,在“PPTP设定”处设置PPTP服务属性,如下图。
需要注意的是:PPTP服务器的起始地址和结束地址必须和本地地址(服务器的虚拟IP)在同一个网段。
点击“启动”,成功后进入等待远程PPTP客户端的连接。
天融信防火墙设置
天融信防⽕墙设置钟祥⽔利局防⽕墙通过交换机中的主机192.168.1.0 ⽹段访问在浏览器地址栏中输⼊https://192.168.1.1按回车即可访问(新防⽕墙默认只有ETH0⼝可⽤WEB访问,地址为https://192.168.0.254)期间会提⽰证书不完全点击接受即可登录页⾯需输⼊访问账号和密码为默认值账号:superman 密码:talent正确输⼊后即可看到默认⾸页显⽰的是防⽕墙的基本信息防护墙所有基本功能需要在系统管理=》配置=》开放服务⾥添加⽐如能在⽹页配置该防⽕墙点击【添加】服务名称为需要添加的服务Webui为可⽹页配置DHCP为该区域可动态获取IP地址等具体可参考随机安装光盘上⾯有每个服务名称的详细说明控制区域需要⼿动添加后⾯会讲解控制地址选择此项为所有主机都可以访问,使⽤其他主机需⼿动添加表⽰只有该主机才能够访问,使⽤添加⽅式见下⽂【管理员】此项为管理可登陆防⽕墙的账号名与密码可⾃⾏添加账号与修改密码【资源管理】该选项需要注意的是地址区域服务【地址】为每台主机的IP地址若需要端⼝映射需要选定主机则需要在此选项内添加该主机IP地址点击添加名称为⾃⼰容易记录的名称可随意输⼊(但必须输⼊)在红框内填写需要添加的主机的IP地址后点击旁边的箭头然后点击确定即可添加⼀条地址信息【区域】区域可选择为⼀个⽹段,⼀个VLAN,⼀个端⼝等等可视为许多地址的集合做端⼝映射需要选择外端端⼝作为区域名称同地址可随意填写权限为默认值允许属性选择⼀个端⼝然后点击右边箭头=》然后点击确定服务就是协议与端⼝号我们主要需要在⾃定义服务内添加需要映射的端⼝类型⼤部分都是TCP名称⾃定端⼝为需要映射的端⼝号点击确定即可添加⼀条服务【⽹络管理】需要注意的为接⼝路由域名解析【接⼝】管理物理接⼝防⽕墙的物理以太⽹接⼝设置IP,类型天融信防⽕墙根据型号不同,⼀般有3个或8个以太⽹接⼝接⼝处于链接状态时显⽰为绿灯点击设置下⽅图标即可设置相对应的接⼝的IP,类型防⽕墙默认ETH0 端⼝可以WEB访问模式为路由模式IP为192.168.0.1 ⼦⽹掩码为255.255.255.0可以根据需求更改端⼝的IP和模式【路由】设置好端⼝IP后系统会⾃动⽣成⼏条路由信息若新装防⽕前上⽹则需要⼿动添加⼀条路由信息⽬的地址和掩码都为0.0.0.0⽹关为电信或其他⽹络供应商提供的⽹关接⼝为外⽹接⼝【域名解析】填写⽹络供应商提供的DNS地址点击确定即可A端⼝需要访问B端⼝则需要在访问控制内添加规则先在区域内添加A端⼝和B端⼝为2条区域信息然后再访问控制=》添加策略内勾选⾼级源选择A端⼝⽬的选择B端⼝访问规则选择允许启⽤规则内⽹即可访问另⼀内⽹地址转换即端⼝映射⾸先新的防⽕墙需要配置上⽹则需要在端⼝设置好IP在路由添加⼀条路由规则最后就是在地址转换添加⼀条规则了还是需要在区域内添加外⽹端⼝和内⽹端⼝2条区域然后再地址转换内添加⼀条规则类型为源转换同访问控制在源选项卡复选⾼级在选择源AREA:内选择内⽹端⼝的区域在⽬的选项卡然后点击确定即可端⼝映射则为⽬的转换源选择为ANY⽬地选择为外⽹端⼝服务为在资源内添加的,所需要映射的端⼝服务⽬地地址转换为需要转换到的IP(需在地址添加)⽬地端⼝转换为需要转换的端⼝(⼀般和服务为同⼀端⼝)然后点击确定即可注:新防⽕墙在系统管理=》配置=》时间内同步时间后再进⾏配置现在⼤致说明⼀个新装防⽕墙怎么做端⼝映射1.默认使⽤ETH0端⼝访问https://192.168.0.254输⼊账号密码进⼊防⽕墙2.在⽹络管理=》接⼝⾥设置好端⼝的内外⽹的端⼝IP3.在⽹络管理=》路由⾥添加⼀条路由信息4.在⽹络管理=》域名解析填写DNS5.在资源管理=》地址内添加需要映射的主机地址6.在资源管理=》区域内添加内⽹端⼝和外⽹端⼝为2条区域7.在防⽕墙=》地址转换内添加⼀条源转换(源为内⽹区域,⽬的为外⽹区域)此时内⽹区域可访问外⽹8.在防⽕墙=》访问控制内添加2条规允许内⽹区域可访问外⽹,以及外⽹区域能访问内⽹(主要为了端⼝转换能够成功)9.在资源管理=》服务=》⾃定义服务内添加需要转换的端⼝号10.在防⽕墙=》地址转换内添加⼀条⽬的转换即可完成端⼝映射配置完成后切记保存配置。
天融信防火墙安装配置手册
3.1 机房建筑要求 .......................................................................................................................8 3.2 机房室内环境要求 ...............................................................................................................9 3.3 供电要求.............................................................................................................................10 3.4 接地要求.............................................................................................................................10 3.5 其他配套设备 .....................................................................................................................10 3.6 工具仪表准备 .....................................................................................................................11 3.7 技术资料准备 .....................................................................................................................11
-天融信版本防火墙常用功能配置手册v2
天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (3)二、天融信3.3版本防火墙配置概述 (3)三、天融信防火墙一些基本概念 (4)四、防火墙管理 (4)五、防火墙配置 (6)(1)防火墙路由模式案例配置 (6)1、防火墙接口IP地址配置 (7)2、区域和缺省访问权限配置 (8)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (9)4、路由表配置 (10)5、定义对象(包括地址对象、服务对象、时间对象) (11)6、地址转换策略 (14)7、制定访问控制策略 (26)8、配置保存 (31)9、配置文件备份 (31)(2)防火墙透明模式案例配置 (32)1、防火墙接口IP配置 (33)2、区域和缺省访问权限配置 (35)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (35)4、路由表配置 (36)5、定义对象(包括地址对象、服务对象、时间对象) (37)6、制定访问控制策略 (41)7、配置保存 (46)8、配置文件备份 (46)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
天融信防火墙NGFW4000配置手册簿
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1.串口管理 (6)2.TELNET管理 (8)3.SSH管理 (9)4.WEB管理 (10)5.GUI管理 (11)二、命令行常用配置 (17)1.系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2.网络配置命令(NETWORK) (18)3.双机热备命令(HA) (19)4.定义对象命令(DEFINE) (19)6.显示运行配置命令(SHOW_RUNNING) (20)7.保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1.系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2.网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3.对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4.访问策略配置 (33)四、透明模式配置示例 (39)拓补结构: (39)1.用串口管理方式进入命令行 (39)2.配置接口属性 (39)3.配置VLAN (40)4.配置区域属性 (40)5.定义对象 (40)6.添加系统权限 (40)7.配置访问策略 (40)8.配置双机热备 (41)五、路由模式配置示例 (42)拓补结构: (42)1.用串口管理方式进入命令行 (42)2.配置接口属性 (42)3.配置路由 (43)4.配置区域属性 (43)5.配置主机对象 (43)6.配置访问策略 (43)7.配置双机热备 (43)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙操作
防火墙的功能-2
日志审计(自身、日志服务器、第三方) 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选) 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。。。
6
防火墙的局限性
• 物理上的问题 – 断电 – 物理上的损坏或偷窃 • 人为的因素 – 内部人员通过某种手段窃取了用户名和密码 • 病毒(应用层携带的) – 防火墙自身不会被病毒攻击 – 但不能防止内嵌在数据包中的病毒通过 • 内部人员的攻击 • 某些可以‚透过‛防火墙的攻击,如injection(注入) • 防火墙的配置不当
9
对象
http://192.168.0.2
A:192.168.0.1
HTTP(TCP:80)
B:192.168.0.2
图示中机器A访问B机器的HTTP服务,在此过程中,若要使防火墙对该访问进 行严格的控制,则需要首先把机器A、机器B、HTTP服务首先定义为独立的对 象,然后再在具体的访问控制策略中进行引用,由此可见,对象的重要性。 在防火墙中可定义的对象包括: 主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、 URL对象、关键字对象、区域对象等。 定义对象起到一个明确‚你我‛的作用。
32
常见病毒使用端口列表
69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
ICMP 关掉不必要的PING
33
常见路由协议使用端口列表
此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式
天融信版本防火墙常用功能配置手册
天融信版本防火墙常用功能配置手册(总45页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言..................................................... 错误!未定义书签。
二、天融信版本防火墙配置概述................................. 错误!未定义书签。
三、天融信防火墙一些基本概念................................. 错误!未定义书签。
四、防火墙管理............................................... 错误!未定义书签。
五、防火墙配置............................................... 错误!未定义书签。
(1)防火墙路由模式案例配置............................. 错误!未定义书签。
1、防火墙接口IP地址配置 ........................... 错误!未定义书签。
2、区域和缺省访问权限配置........................... 错误!未定义书签。
3、防火墙管理权限设置(定义希望从哪个区域管理防火墙)错误!未定义书签。
4、路由表配置 ...................................... 错误!未定义书签。
5、定义对象(包括地址对象、服务对象、时间对象)..... 错误!未定义书签。
6、地址转换策略 .................................... 错误!未定义书签。
7、制定访问控制策略 ................................ 错误!未定义书签。
防火墙配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1.串口管理 (3)2.TELNET管理 (4)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (6)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)Version (12)系统版本信息 (12)系统>基本信息 (12)information (12)当前设备状态信息 (12)系统>运行状态 (12)系统>系统时间 (12)config (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)reboot (12)重新启动 (12)系统>系统重启 (12)sshd (12)SSH服务管理命令 (12)系统>系统服务 (12)telnetd (12)TELNET服务管理 (12)系统>系统服务命令 (12)d (12)服务管理命 (12)系统>系统服务令 (12)monitord (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A) 系统 > 基本信息 (14)B) 系统 > 运行状态 (14)C) 系统 > 配置维护 (15)D) 系统 > 系统服务 (15)E) 系统 > 开放服务 (16)F) 系统 > 系统重启 (16)2.网络接口、路由配置 (16)A) 设置防火墙接口属性 (16)B) 设置路由 (18)3.对象配置 (20)A) 设置主机对象 (20)B) 设置范围对象 (21)C) 设置子网对象 (21)D) 设置地址组 (21)E) 自定义服务 (22)F) 设置区域对象 (22)G) 设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
-天融信版本防火墙常用功能配置手册v2
-天融信版本防火墙常用功能配置手册v2天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (3)二、天融信3.3版本防火墙配置概述 (3)三、天融信防火墙一些基本概念 (4)四、防火墙管理 (4)五、防火墙配置 (6)(1)防火墙路由模式案例配置 (6)1、防火墙接口IP地址配置 (7)2、区域和缺省访问权限配置 (8)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (9)4、路由表配置 (10)5、定义对象(包括地址对象、服务对象、时间对象) (11)6、地址转换策略 (14)7、制定访问控制策略 (26)8、配置保存 (31)9、配置文件备份 (31)(2)防火墙透明模式案例配置 (32)1、防火墙接口IP配置 (33)2、区域和缺省访问权限配置 (35)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (35)4、路由表配置 (36)5、定义对象(包括地址对象、服务对象、时间对象) (37)6、制定访问控制策略 (41)7、配置保存 (46)8、配置文件备份 (46)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
天融信防火墙配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式...................................................................................................... 错误!未定义书签。
1.串口管理.......................................................................................................................... 错误!未定义书签。
2.TELNET管理 .................................................................................................................... 错误!未定义书签。
3.SSH管理 .......................................................................................................................... 错误!未定义书签。
4.WEB管理......................................................................................................................... 错误!未定义书签。
5.GUI管理 .......................................................................................................................... 错误!未定义书签。
天融信防火墙配置手册
天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。
针对对象的行为进行的快速识别处理,就是规则。
比如:甲想到A城市B地点。
由这个行为就可以制定一些规则进行约束,例如:1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。
2)用户当前的目标是不是A城市,是不是B地点。
3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。
用户、城市、地点等等均可以看作为一个个的对象。
在防火墙中我们可以这样来比喻:用户-->访问者xx-->主机地点-->端口为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。
翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。
二、路由功能与地址转换现在防火墙都集成了路由功能。
路由功能简单的说法就是告诉访问者怎么走,相当于引路。
比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。
我们使用的互联网是基于TCP/IP协议的。
所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。
互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。
当前互联网中应用的大都是IPV4。
比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。
由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP地址是非常紧缺的。
目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。
比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。
天融信防火墙NGFW4000快速配置手册
资料天融信防火墙 NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1 )。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码: talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙设置..
防火墙建议配置步骤:
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式) 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转 换) 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
4、地址转换策略配置
内网可以访问互联网,需要配置源转换 源选择源区域“内网区域”,目的选择目的区域“外网区域”, 源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换 111.111.111.230
注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范 围,且该地址范围不能设置排除IP地址
2、区域和缺省访问权限配置 在“资产管理”-”区域“中定义防火墙区域及默认权限为”禁止访问“
防火墙管理权限设置
系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域; ETH1接口为“外网”区域 定义你希望从哪个接口(区域)管理防火墙 “内网”区域添加对防火墙的管理权限(当然也可以对 “外网”区域添加),点击“系统管理”—“配置”— “开放服务”,点击添加
说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Intranet 内部网络
Internet
Web e-mail FTP
防火墙
为网络用户提供安全 的 Internet 接 入
DMZ WEB服务层 Connection to
• Web 站 点 访 问 过 滤
Web Site Filter
– 限制对非本企业 业务目的的
STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”, ‘新建项
目’,输入防火墙本区域端口IP地址,登陆到防火墙。查看防 火墙 “基本信息” 和“实时监控”, 了解其他各菜单 功能。
说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10, 口令为:123456
防火墙访问控制过滤机制-包过滤示意图
缺省访问权限(允许/禁止)
数据包
数据包
源地址 过滤
目的 地址 过滤
➢ 一条访问策略规则:
源对象
策略服务 http,等
协议 过滤
协议 端口 过滤
应用层 过滤
目的对象
时间策略
访问控制 允许/拒绝
访问控制测试
➢ STEP5 :区域之间主机权限策略设置,测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目
天融信防火墙配置手册
防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES-M)为实例,来测试防火墙各 区域的访问控制机制:
目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企
业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网) 区域之间访问控制机制。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控 制同一区域主机之间的权限,本区域内主机是能够连通的。
Internet 资 源 的 访 问
实
SSN区域
验
室
分
布
情
况 Intranet区域
大门 Internet区域
Internet
实验网络结构图
Web e-mail FTP
DMZ 区
192.168.2.50/60/70/80/90 网关:192.168.2.250
2.250
6.250 1.250
Internet 外网
的的访问。 然后在‘高级管理’→‘访问策略’→需要访问的目标主
机所在区域内‘增加’→‘包过滤策略’,策略源为访问端 (只选择本机节点),策略目的为被访问端(只选择其他区 域某节点),策略服务为PING,访问控制设为允许。注意 策略源和目的只选择节点,针对主机进行权限设置。 通过 PING 对方主机测试连通性。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
特别注意:访问策略应在被访问对象所在的目标区域设 置策略。如:访问SSN区域内主机,则应在SSN区域内设 置策略。
访问控制测试
2) 在本区域内增加‘包过滤策略’,建立禁止对方主机(策略源)访 问本机(策略目的)的访问策略,测试对方区域的主机到本机的连通性。
说明: 必须针对不同区域设置访问权限,同一区域内的主机防火墙是
不能控制权限的,设置的策略也是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006,1027,
6267,8080端口(任选其一设置)。 ‘策略服务’在都不选择的情况下,为任何服务,包括所有协议所有
端口。 ‘策略服务’在都选择的情况下,表示只对所选择的服务进行访问控
制。 访问策略优先级高于区域默认权限策略的优先级(STEP3已设置)。 每个访问策略都是单向访问,只有策略源对象访问到策略目的对象。
两个不同区域主机如需要相互访问,则需要建立两个策略。
访问控制测试
STEP6: 通过策略范围来控制主机访问权限
(1)设置两个策略,一个策略为设置本机访问其他区域某一主机的访问 策略,访问策略为允许,另一个策略同样是访问该主机,但访问控制设 为禁止,更改两个策略的优先级,通过PING 对方主机测试连通性。
目标二: 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT
访问因特网,过滤特定网站和特定网页。
目标三: 了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。 了解防火墙三种接入模式。
防火墙在企业网的接入
Connection to outside network 防火墙 FireWall
防火墙配置一般有三种方式: B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。
区域之间缺省权限的设置
➢ STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访问。 操作说明:选择“可读、可写、可执行”选项,表示为允许访问。