天融信版本防火墙常用功能配置手册v
天融信防火墙NGFW配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000快速配置手册簿
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册【范本模板】
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中.这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序〉附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 16)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192。
168.1.250 mask 255.255.255。
0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1。
2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1。
天融信防火墙NGFW4000配置手册簿
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1.串口管理 (6)2.TELNET管理 (8)3.SSH管理 (9)4.WEB管理 (10)5.GUI管理 (11)二、命令行常用配置 (17)1.系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2.网络配置命令(NETWORK) (18)3.双机热备命令(HA) (19)4.定义对象命令(DEFINE) (19)6.显示运行配置命令(SHOW_RUNNING) (20)7.保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1.系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2.网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3.对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4.访问策略配置 (33)四、透明模式配置示例 (39)拓补结构: (39)1.用串口管理方式进入命令行 (39)2.配置接口属性 (39)3.配置VLAN (40)4.配置区域属性 (40)5.定义对象 (40)6.添加系统权限 (40)7.配置访问策略 (40)8.配置双机热备 (41)五、路由模式配置示例 (42)拓补结构: (42)1.用串口管理方式进入命令行 (42)2.配置接口属性 (42)3.配置路由 (43)4.配置区域属性 (43)5.配置主机对象 (43)6.配置访问策略 (43)7.配置双机热备 (43)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4.访问策略配置 (24)5.高可用性配置 (27)四、透明模式配置示例 (29)拓补结构: (29)1.用串口管理方式进入命令行 (29)2.配置接口属性 (29)3.配置VLAN (29)4.配置区域属性 (29)5.定义对象 (29)6.添加系统权限 (29)7.配置访问策略 (30)8.配置双机热备 (30)五、路由模式配置示例 (31)拓补结构: (31)1.用串口管理方式进入命令行 (31)2.配置接口属性 (31)3.配置路由 (31)4.配置区域属性 (31)5.配置主机对象 (31)6.配置访问策略 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
防火墙配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1.串口管理 (3)2.TELNET管理 (4)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (6)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)Version (12)系统版本信息 (12)系统>基本信息 (12)information (12)当前设备状态信息 (12)系统>运行状态 (12)系统>系统时间 (12)config (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)reboot (12)重新启动 (12)系统>系统重启 (12)sshd (12)SSH服务管理命令 (12)系统>系统服务 (12)telnetd (12)TELNET服务管理 (12)系统>系统服务命令 (12)d (12)服务管理命 (12)系统>系统服务令 (12)monitord (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A) 系统 > 基本信息 (14)B) 系统 > 运行状态 (14)C) 系统 > 配置维护 (15)D) 系统 > 系统服务 (15)E) 系统 > 开放服务 (16)F) 系统 > 系统重启 (16)2.网络接口、路由配置 (16)A) 设置防火墙接口属性 (16)B) 设置路由 (18)3.对象配置 (20)A) 设置主机对象 (20)B) 设置范围对象 (21)C) 设置子网对象 (21)D) 设置地址组 (21)E) 自定义服务 (22)F) 设置区域对象 (22)G) 设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙配置手册(行业相关)
软件硬件
9
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
2.250
6.250 1.250
Internet 外网
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
软件硬件
6
Hale Waihona Puke 上半部份一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
软件硬件
10
防火墙访问控制过滤机制-包过滤示意图
缺省访问权限(允许/禁止)
数据包
数据包
源地址 过滤
目的 地址 过滤
协议 过滤
协议 端口 过滤
➢ 一条访问策略规则:
源对象
策略服务 http,ftp,smtp等
目的对象
软件硬件
应用层 过滤
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙配置手册
天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。
针对对象的行为进行的快速识别处理,就是规则。
比如:甲想到A城市B地点。
由这个行为就可以制定一些规则进行约束,例如:1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。
2)用户当前的目标是不是A城市,是不是B地点。
3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。
用户、城市、地点等等均可以看作为一个个的对象。
在防火墙中我们可以这样来比喻:用户-->访问者xx-->主机地点-->端口为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。
翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。
二、路由功能与地址转换现在防火墙都集成了路由功能。
路由功能简单的说法就是告诉访问者怎么走,相当于引路。
比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。
我们使用的互联网是基于TCP/IP协议的。
所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。
互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。
当前互联网中应用的大都是IPV4。
比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。
由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP地址是非常紧缺的。
目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。
比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统〉系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定"按钮 (12)REBOOT (12)重新启动 (12)系统〉系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统〉系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统〉运行状态 (14)C)系统〉配置维护 (15)D)系统〉系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理.通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
天融信防火墙NGFW4000快速配置手册
资料天融信防火墙 NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1 )。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码: talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙NGFW4000快速配置手册(20200407225405)
天融信防火墙NGFW4000 快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名: superman 和密码: talent ,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET 管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP 地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP 地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3. SSH 管理SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB 管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4.访问策略配置 (24)5.高可用性配置 (27)四、透明模式配置示例 (29)拓补结构: (29)1.用串口管理方式进入命令行 (29)2.配置接口属性 (29)3.配置VLAN (29)4.配置区域属性 (29)5.定义对象 (29)6.添加系统权限 (29)7.配置访问策略 (30)8.配置双机热备 (30)五、路由模式配置示例 (31)拓补结构: (31)1.用串口管理方式进入命令行 (31)2.配置接口属性 (31)3.配置路由 (31)4.配置区域属性 (31)5.配置主机对象 (31)6.配置访问策略 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。
区域:可以把区域看作是一段具有相似安全属性的网络空间。
在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。
在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
对象:防火墙大多数的功能配置都是基于对象的。
如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。
可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。
对象概念的使用大大简化了管理员对防火墙的管理工作。
当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。
防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。
☺提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。
☺提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。
四、防火墙管理防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。
防火墙出厂配置如下:防火墙支持以下管理方式:串口(console)管理方式:超级终端参数设置波特率9600。
输入helpmode chinese命令可以看到中文化菜单。
WEBUI管理方式(https协议):在输入URL时要注意以“,例如推荐使用IE 浏览器进行登录管理。
在浏览器输入:,看到下列提示,选择“是”TELNET管理方式:模拟console管理方式SSH管理方式:模拟console管理方式☺提示:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙的服务端口,系统默认打开“HTTP”方式。
在“系统管理”-“配置”-“开放服务”中选择“启动”即可,并且在开放服务里面相关接口区域添加 TELNET、SSH方式等管理方式即可。
五、防火墙配置(1)防火墙路由模式案例配置在路由模式下,天融信防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。
该模式适用于每个区域都不在同一个网段的情况。
和路由器一样,天融信防火墙的每个接口均要根据区域规划配置IP 地址。
配置需求:1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用,禁止其他访问3、外网禁止访问内网拓扑图如下:1、防火墙接口IP地址配置进入防火墙管理界面,点击”网络管理“-“接口”-”物理接口“,依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。
2、区域和缺省访问权限配置在“资产管理”-“区域”中定义防火墙区域(接入相同安全等级的网络接口的组合为一个区域),点击“添加”。
权限选择为“禁止访问”,即访问该区域缺省权限为禁止访问。
依次创建若干区域(添加ETH0接口为“内网”区域; ETH1接口为“外网”区域;添加ETH2接口为“服务器”区域;)☺提示:有几个安全等级就需要创建几个区域,即如果网络之间需要配置访问规则,那就需要配置不同的区域。
3、防火墙管理权限设置(定义希望从哪个区域管理防火墙)☺默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限(当然也可以对“外网”区域添加),点击“系统管理”—“配置”—“开放服务”,点击添加,常用服务有WEBUI(即WEB管理)、ping、Telnet等(请根据管理需要添加相应管理服务)4、路由表配置添加静态路由,在“网络管理”-“路由”-“静态路由”,点击添加☺添加缺省路由时,目的地址和目的掩码都为0.0.0.0,网关为下一条地址,其他选项为空。
☺如果防火墙和客户端之间有三层设备(比如三层交换机或者路由器),请注意添加相应静态路由。
5、定义对象(包括地址对象、服务对象、时间对象)☺提示:防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置,请先定义对象,才能引用。
<1>定义地址对象添加单个主机对象点击”资源管理“-“地址”-“主机”,点击右上角“添加配置”添加地址范围点击”资源管理“-“地址”-“范围”,点击右上角“添加配置”添加子网点击”资源管理“-“地址”-“子网”,点击右上角“添加配置”添加地址组点击”资源管理“-“地址”-“地址组”,点击右上角“添加配置”<2>定义服务对象防火墙内置一些标准服务端口,,但有时用户的系统没有使用某些服务的标准端口,用户在端口引用时,需要我们通过自定义方式加以定义。
点击“资源管理”-“服务”-“自定义服务”,点击“添加”,可以添加单个端口或范围。
注意单个端口只填起始端口<3>定义时间对象点击“资源管理”-“时间”,点击“添加”,可以设置单次和多次6、地址转换策略<1>内网可以访问互联网,需要配置源转换在“防火墙”-“地址转换”,点击“添加”选择“源转换”,点击“高级”,源选择源区域“内网”,目的选择目的区域“外网”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换主机地址。
☺如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址。
<2>Web服务器发布,需要配置目的转换首先需要添加Web服务器地址对象(10.1.1.1,服务器真实地址)、外网访问的地址对象(,合法地址),具体配置见定义对象章节。
☺目的转换有两种方式:地址转换、端口转换。
地址转换:从一个 IP 地址到另一个 IP 地址的映射。
安全网关设备将到达映射地址(合法IP)的所有信息流中的目标IP 地址转换成主机 IP 地址(即服务器真实地址)。
地址转换建议在映射地址资源充裕时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。
端口转换:从一个 IP 地址到基于目标端口号的多个IP 地址的映射,即单个IP 地址可以托管从若干服务( 使用不同的目标端口号标识) 到同样多主机的映射。
端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。
配置Web服务器映射有两种方式:(Ⅰ)端口转换在“防火墙”-“地址转换”,点击“添加”选择“目的转换”,点击“高级”,源选择源区域“外网”,目的选择“外网访问的地址对象()”,服务选择“HTTP”服务,目的地址转换为选择“Web 服务器地址对象(10.1.1.1),即服务器真实地址”,目的端口转换为“HTTP”服务。
(Ⅱ)地址映射在“防火墙”-“地址转换”,点击“添加”选择“目的转换”,点击“高级”,源选择源区域“外网”,目的选择“外网访问的地址对象()”,目的地址转换为选择“Web服务器地址对象(10.1.1.1),即服务器真实地址”。
第一条为内网访问外网做源转换;第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服务器的真实IP。
☺地址转换需要注意的问题:1、天融信防火墙先匹配目的转换规则,再对其他的地址转换规则按照从上往下的顺序进行匹配,在目的转换规则中也是按照排列顺序进行匹配。
在匹配过程中,一旦存在一条匹配的地址转换规则,防火墙将停止检索,并按所定义的规则处理数据包,所以规则的类型和先后顺序决定了数据包的处理方式,目的NAT 规则要优先于其他NAT规则。
2、如果内网用户需要通过服务器映射地址访问web服务器时,还需针对内网添加地址转换。
如案例如果内网需要访问(合法地址)来访问web服务器需要单独添加地址转换。
下面以端口转换为例,地址转换请参照外网访问web服务器。
在“防火墙”-“地址转换”,点击“添加”选择“双向转换”,点击“高级”,源选择源区域“内网”,目的选择“外网访问的地址对象()”,服务选择“HTTP”服务,目的端口转换为“HTTP”服务。
源地址转为选择“外网访问的地址对象()”,目的地址转换为选择“Web 服务器地址对象(10.1.1.1),即服务器真实地址”,目的转换为选择“HTTP 服务“。
7、制定访问控制策略在“防火墙”-“访问控制”,点击“添加”<1>第一条规则定义内网可以访问外网在“防火墙”-“访问控制”,点击“添加”选择“源”,点击“高级”,源选择源区域“内网”,目的选择目的区域“外网” , 点击“高级”,动作“允许”(默认选项)。
<2>第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http应用。
在“防火墙”-“访问控制”,点击“添加”选择“源”,点击“高级”,源选择源区域“内网、外网”,目的选择“Web 服务器地址对象(10.1.1.1),即服务器真实地址”, 服务选择”HTTP服务”,动作“允许”(默认选项)。
第一条规则定义内网可以访问外网。
源选择“外网”;目的可以选择目的区域—“外网”,动作“允许”(默认选项)。
第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http应用。
源选择“内网、外网”,目的选择服务器真实的IP地址10.1.1.1,服务选择“HTTP”服务。
☺访问规则需要注意的问题:访问控制规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通过。
防火墙接收到报文后,将顺序匹配访问控制规则表中所设定规则。
一旦寻找到匹配的规则,则按照该策略所规定的操作(允许或丢弃)处理该报文,不再进行区域缺省属性的检查。