天融信防火墙设置..
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1.串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装备摆设(接口.IP 地址等),使在不转变现有收集构造的情形下将防火墙接入收分散.这里将具体介绍若何经由过程 CONSOLE口衔接到收集卫士防火墙:1)运用一条串口线(包含在出厂配件中),分离衔接盘算机的串口(这里假设运用 com1)和防火墙的 CONSOLE 口.2)选择开端 > 程序 > 附件 > 通信 > 超等终端,体系提醒输入新建衔接的名称.3)输入名称,这里假设名称为“TOPSEC”,点击“肯定”后,提醒选择运用的接口(假设运用 com1).4)设置 com1 口的属性,按照以下参数进行设置.5)成功衔接到防火墙后,超等终端界面会消失输入用户名/暗码的提醒,如下图.6)输入体系默认的用户名:superman 和暗码:talent,即可登录到收集卫士防火墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治理.2.TELNET治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0addressname any”敕令添加治理权限2)在串口下用“system telnetd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图:3.SSH治理SSH治理和TELNET根本一至,只不过SSH是加密的,我们用如下步调治理:1)在串口下用“pf service add name ssh area area_eth0 addressnameany”敕令添加治理权限2)在串口下用“system sshd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图:4.WEB治理1)防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限,假如没有,可用“pf service add name webui area area_eth0 addressname any”敕令添加.2)WEB治理办事缺省是启动的,假如没有启动,也可用“system httpd start”敕令打开,治理员在治理主机的阅读器上输入防火墙的治理 URL,例如:0,弹出如下的登录页面.输入用户名暗码后(收集卫士防火墙默认出厂用户名/暗码为:superman/talent),点击“提交”,就可以进入治理页面.5.GUI治理GUI图形界面治理跟WEB界面一样,只是,在治理中间中集成了一些安然对象,如监控,抓包,跟踪等1)装配治理中间软件2)运行治理软件3)右击树形“TOPSEC治理中间”添加治理IP4)右击治理IP地址,选择“治理”,输入用户名和暗码进行治理5)也可右击治理IP地址,选择“安然对象”,进行及时监控选择:安然对象-衔接监控点击启动,在弹出的窗口中增长过滤前提,可用缺省值监控所有衔接.选中增长的过滤前提,点设置就可以看到及时的监控后果了,如下图:二、敕令行经常运用设置装备摆设(注:用串口.TELNET.SSH方法进入到敕令行治理界面,天融信防火墙敕令行治理可以完成所有图形界面治理功效,敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表:)体系级体系级为第一级,供给装备的根本治理敕令.CLI治理员登录后,直接进入该级,显示为:TopsecOS#.组件级组件级为第二级,供给每个安然组件(SE)所独有的治理敕令.在体系级下,TopsecOS #<tab> 按 tab键,则显示出安然组件级敕令见下表.1.体系治理敕令(SYSTEM)在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设:2.收集设置装备摆设敕令(NETWORK)3.双机热备敕令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先照样备份机优先(默认为 backup,即假如同时启动主机成为活HA SHOW <cr> 检讨 HA的设置装备摆设信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 消除 HA设置装备摆设信息HA SYNC <from-peer|to-peer> HA同步(从对端机上同步设置装备摆设/同步设置装备摆设到对端机上)4.界说对象敕令(DEFINE)5.包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6.显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7.保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下:1.体系治理设置装备摆设在“体系”下,可以显示或设置装备摆设体系相干设置A)体系 > 根本信息显示体系的型号.版本.功效模块.接口信息等等:B)体系 > 运行状况检讨体系的运行状况,包含CPU.内存运用情形和当前衔接数等C)体系 > 设置装备摆设保护上传或下载设置装备摆设文件D)体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH 办事.Telnet办事和 HTTP办事.TOS体系供给了对这些办事的掌握(启动和停滞)功效,其具体的操纵如下:E)体系 > 凋谢办事添加或检讨体系权限,包含WEB治理.GUI治理.TELNET治理.SSH治理.监控等等F)体系 > 体系重启2.收集接口.路由设置装备摆设A)设置防火墙接口属性用户可以对收集卫士防火墙的物理接口的属性进行设置,具体步调如下:1)在治理界面左侧导航菜单中选择收集 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口:Eth0.Eth1.Eth2.2)假如要将某端口设为路由模式,点击该端口后的路由修正图标“”,弹出“设定路由”对话框,如下图所示.可认为某个端口设置多个 IP 地址,点击“添加设置装备摆设”按钮,添加接口的 IP 地址.假如选择“ha-static”,暗示双机热备的两台装备在进行主从切换时,可以保管本来的地址不变,不然,从墙的地址将被主墙笼罩.收集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP地址或 IP 地址在统一子网内.3)假如要将某端口设交流模式,点击该端口后的交流修正图标“”,弹出“交流”设置窗口,如下图所示.起首,须要肯定该接口的类型是“Access”照样“Trunk”.假如是“Access”接口,则暗示该交流接口只属于一个 VLAN,须要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数解释如下表所示:点击“提交设定”则完成接口从路由模式向交流模式的转换.4)点击“其他”按钮,可以设置接口的其他信息,如下图.B)设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由,具体步调如下:1)在左侧导航菜单中选择收集 > 静态路由,可以看到已经添加的计谋路由表以及体系主动添加的静态路由表,如下图所示.2)设置计谋路由,点击“添加计谋路由”,如下图所示.个中“网关”为下一跳路由器的进口地址,“端口”指定了从防火墙装备的哪一个接口(包含物理接口和 VLAN 虚接口)发送数据包.Metric 为接口跃点数,默认为 1.假如选择“NAT 后的源”为“是”,暗示计谋路由的源地址为 NAT 后的地址,计谋路由添加成功后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,计谋路由添加成功后的“标识表记标帜”一栏显示为“U”.3)设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.点击“撤消返回”则废弃添加,返回上一界面.若要删除某路由项,点击该路由项地点行的删除图标“”进行删除.4)移动计谋路由.因为计谋履行动第一匹配原则,则计谋的次序与计谋的逻辑相干,在此可以转变添加计谋时刻的缺省的履行次序(按照添加次序分列).具体设置办法为:在计谋路由表中点击要移动的路由选项(例如要移动计谋路由 102)后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考地位路由,第二个下拉框中则是选择将当前路由移动到参考路由之前照样之后.例如:要将路由 102 移动到路由 101 之前,则第一个下拉框选择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功对话框.点击“肯定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3.对象设置装备摆设A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加设置装备摆设”,体系消失添加主机对象属性的页面,如下图所示.B)设置规模对象选择对象 > 地址对象 > 地址规模,右侧界面显示已有的地址规模对象,如下图所示.点击“添加设置装备摆设”,进入地址规模对象属性的页面,如下图所示.C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组不合的地址对象可以组合为一个地址组,用作界说计谋的目标或源.地址组的支撑加强了对象治理的层次性,使治理加倍灵巧.设置地址组对象的步调如下:1)选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2)选择“添加设置装备摆设”,体系消失如下图所示的页面.E)自界说办事当预界说的办事中找不到我们须要的办事端口时,我们可以本身界说办事端口:1)选择对象 > 办事对象 > 自界说办事,点击“添加设置装备摆设”,体系消失如下页面.2)输入对象名称后,设置协定类型及端标语规模.3)点击“提交设定”,完成设置.F)设置区域对象体系支撑区域的概念,用户可以依据现实情形,将收集划分为不合的安然域,并依据其不合的安然需求,界说响应的规矩进行区域鸿沟防护.假如不消失可匹配的拜访掌握规矩,收集卫士防火墙将依据目标接口地点区域的权限处理该报文.设置区域对象,具体操纵如下:1)选择对象 > 区域对象,显示已有的区域对象.防火墙出厂设置装备摆设中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象eth0 已和接口eth0 绑定,是以出厂设置装备摆设中防火墙的物理接口eth0 已属于区域 AREA_ETH0.2)点击“添加设置装备摆设”,增长一个区域对象,如下图所示.在“对象名称”部分输入区域对象名称;在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性(许可拜访或制止拜访).在“选择属性”部分的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将出如今右侧的“被选属性”文本框中,可以同时选择一个或多个.3)设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.4)点击“撤消返回”则废弃添加,返回上一界面.5)若要修正区域对象的设置,点击该区域对象地点行的修正图标“”进行修正.6)若要删除区域对象,点击该区域对象地点行的删除图标“”进行删除.G)设置时光对象用户可以设置时光对象,以便在拜访掌握规矩中引用,从而实现更细粒度的掌握.比方,用户愿望针对工作时光和非工作时光设置不合的拜访掌握规矩,引入时光对象的概念很轻易解决该类问题.设置时光对象,具体操纵如下:1)选择对象 > 时光对象,点击“添加设置装备摆设”,体系消失如下页面. 2)依次设置“对象名称”.“每周时段”和“每日时段”.3)最后点击“提交设定”,完成对象设置.新添加的对象将显示在时光对象列表中,如下图所示.4)对已经添加的时光对象,可以点击修正图标修正其属性,也可以点击删除图标删除该对象.4.拜访计谋设置装备摆设用户可以经由过程设置拜访掌握规矩实现灵巧.壮大的三到七层的拜访掌握.体系不单可以从区域.VLAN.地址.用户.衔接.时光等多个层面临数据报文进行判别和匹配,并且还可以针对多种运用层协定进行深度内容检测和过滤.与报文阻断计谋雷同,拜访掌握规矩也是次序匹配的,但与其不合,拜访掌握规矩没有默认规矩.也就是说,假如没有在拜访掌握规矩列表的末尾添加一条全体谢绝的规矩的话,体系将依据目标接口地点区域的缺省属性(许可拜访或制止拜访)处理该报文.界说拜访规矩,操纵步调如下:1)选择防火墙引擎 > 拜访掌握,点击“添加设置装备摆设”,进入拜访掌握规矩界说界面.表中“ID”为每项规矩的编号,在移动规矩次序时将会运用.“掌握”中的图标和 ,分离暗示该项规矩是否启用.2)界说是否启用该拜访掌握规矩(默认为启用该规矩),以及拜访权限.拜访权限界说了是否许可拜访由规矩源到规矩目标所指定的办事.3)界说规矩的源规矩的源既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序分列和倒序分列,用户可以便利的按序查找项目.别的,用户还可以选择响应的办事,即设置源端口,如下图所示.4)界说规矩的目标规矩的目标既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.别的,用户还可以设置进行地址转换前的目标地址,如下图所示.5)界说办事选择拜访规矩包含的办事,假如用户须要制订的办事没有包含在办事列表中,可以经由过程添加自界说办事添加所需办事.假如没有选择任何办事,则体系默认为选择全体办事.6)界说帮助选项各项参数解释如下:7)点击“提交设定”完成该条拜访掌握规矩的设定.8)用户可以点击“修正”按钮,对现有规矩进行编辑.可以点击“拔出”按钮,在现有规矩间拔出一条新规矩.8)点击“清空设置装备摆设”,可以消除所有的拜访掌握规矩,便于从新设置装备摆设.9)须要更改规矩的匹配次序时点击该规矩右侧“移动”按钮,如下图所示.用户可以选择响应 ID.地位,移动计谋.完成后点击“提交设定”保管或“撤消返回”废弃移动.5.高可用性设置装备摆设设置装备摆设收集卫士防火墙双机热备的步调如下:1)选择体系 > 高可用性,进入高可用性设置页面,如下图所示.2)设置主/从装备参数,参数解释请拜见下表.3)点击“提交设定”,完成双机热备设置.四、透明模式设置装备摆设示例拓补构造:1.用串口治理方法进入敕令行用WINDOWS自带的超等终端或者SecureCRT软件,运用9600的速度,用串口线衔接到防火墙,用户名是superman,暗码是talent.(具体办法见第一节),下面是具体设置装备摆设,加粗显示的为敕令行.2.设置装备摆设接口属性将ETH0口设置装备摆设为交流模式:network interface eth0 switchport设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值:network interface eth0 ha-metric 100将ETH1口设置装备摆设为交流模式:network interface eth1 switchport设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值:network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值:network interface eth2 ha-metric 100将没有运用的ETH2口封闭:network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜:network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值:network interface eth3 ha-metric 1003.设置装备摆设VLAN添加VLAN1:network vlan add id 1为VLAN1添加IP地址:network interface vlan.0001 ip add 192.168.1.250 mask255.255.255.0 label 04.设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off5.界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '界说时光对象define schedule add name 上班时光 week 12345 start 08:00 end 18:006.添加体系权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any7.设置装备摆设拜访计谋'上班时光 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事:firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时光 ' 8.设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.五、路由模式设置装备摆设示例拓补构造:1.用串口治理方法进入敕令行办法同上面的透明模式.2.设置装备摆设接口属性设置装备摆设ETH0口的IP地址:network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值:network interface eth0 ha-metric 100设置装备摆设ETH1口的IP地址:network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值:network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值:network interface eth2 ha-metric 100将没有运用的ETH2口封闭:network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜:network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值:network interface eth3 ha-metric 1003.设置装备摆设路由设置装备摆设到192.168.3.0/24网段的路由:设置装备摆设到192.168.4.0/24网段的路由:4.设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5.设置装备摆设主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '6.设置装备摆设拜访计谋PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事:firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '7.设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable注:设置装备摆设好一台防火墙后,我们要设置装备摆设另一台热备的防火墙,其设置装备摆设根本上与致,独一不合的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备设置装备摆设中的本机同步IP和对端机械同步IP相反,本机IP为11.1.1.2,对端机械IP为11.1.1.1,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.。
天融信防火墙设置
天融信防⽕墙设置钟祥⽔利局防⽕墙通过交换机中的主机192.168.1.0 ⽹段访问在浏览器地址栏中输⼊https://192.168.1.1按回车即可访问(新防⽕墙默认只有ETH0⼝可⽤WEB访问,地址为https://192.168.0.254)期间会提⽰证书不完全点击接受即可登录页⾯需输⼊访问账号和密码为默认值账号:superman 密码:talent正确输⼊后即可看到默认⾸页显⽰的是防⽕墙的基本信息防护墙所有基本功能需要在系统管理=》配置=》开放服务⾥添加⽐如能在⽹页配置该防⽕墙点击【添加】服务名称为需要添加的服务Webui为可⽹页配置DHCP为该区域可动态获取IP地址等具体可参考随机安装光盘上⾯有每个服务名称的详细说明控制区域需要⼿动添加后⾯会讲解控制地址选择此项为所有主机都可以访问,使⽤其他主机需⼿动添加表⽰只有该主机才能够访问,使⽤添加⽅式见下⽂【管理员】此项为管理可登陆防⽕墙的账号名与密码可⾃⾏添加账号与修改密码【资源管理】该选项需要注意的是地址区域服务【地址】为每台主机的IP地址若需要端⼝映射需要选定主机则需要在此选项内添加该主机IP地址点击添加名称为⾃⼰容易记录的名称可随意输⼊(但必须输⼊)在红框内填写需要添加的主机的IP地址后点击旁边的箭头然后点击确定即可添加⼀条地址信息【区域】区域可选择为⼀个⽹段,⼀个VLAN,⼀个端⼝等等可视为许多地址的集合做端⼝映射需要选择外端端⼝作为区域名称同地址可随意填写权限为默认值允许属性选择⼀个端⼝然后点击右边箭头=》然后点击确定服务就是协议与端⼝号我们主要需要在⾃定义服务内添加需要映射的端⼝类型⼤部分都是TCP名称⾃定端⼝为需要映射的端⼝号点击确定即可添加⼀条服务【⽹络管理】需要注意的为接⼝路由域名解析【接⼝】管理物理接⼝防⽕墙的物理以太⽹接⼝设置IP,类型天融信防⽕墙根据型号不同,⼀般有3个或8个以太⽹接⼝接⼝处于链接状态时显⽰为绿灯点击设置下⽅图标即可设置相对应的接⼝的IP,类型防⽕墙默认ETH0 端⼝可以WEB访问模式为路由模式IP为192.168.0.1 ⼦⽹掩码为255.255.255.0可以根据需求更改端⼝的IP和模式【路由】设置好端⼝IP后系统会⾃动⽣成⼏条路由信息若新装防⽕前上⽹则需要⼿动添加⼀条路由信息⽬的地址和掩码都为0.0.0.0⽹关为电信或其他⽹络供应商提供的⽹关接⼝为外⽹接⼝【域名解析】填写⽹络供应商提供的DNS地址点击确定即可A端⼝需要访问B端⼝则需要在访问控制内添加规则先在区域内添加A端⼝和B端⼝为2条区域信息然后再访问控制=》添加策略内勾选⾼级源选择A端⼝⽬的选择B端⼝访问规则选择允许启⽤规则内⽹即可访问另⼀内⽹地址转换即端⼝映射⾸先新的防⽕墙需要配置上⽹则需要在端⼝设置好IP在路由添加⼀条路由规则最后就是在地址转换添加⼀条规则了还是需要在区域内添加外⽹端⼝和内⽹端⼝2条区域然后再地址转换内添加⼀条规则类型为源转换同访问控制在源选项卡复选⾼级在选择源AREA:内选择内⽹端⼝的区域在⽬的选项卡然后点击确定即可端⼝映射则为⽬的转换源选择为ANY⽬地选择为外⽹端⼝服务为在资源内添加的,所需要映射的端⼝服务⽬地地址转换为需要转换到的IP(需在地址添加)⽬地端⼝转换为需要转换的端⼝(⼀般和服务为同⼀端⼝)然后点击确定即可注:新防⽕墙在系统管理=》配置=》时间内同步时间后再进⾏配置现在⼤致说明⼀个新装防⽕墙怎么做端⼝映射1.默认使⽤ETH0端⼝访问https://192.168.0.254输⼊账号密码进⼊防⽕墙2.在⽹络管理=》接⼝⾥设置好端⼝的内外⽹的端⼝IP3.在⽹络管理=》路由⾥添加⼀条路由信息4.在⽹络管理=》域名解析填写DNS5.在资源管理=》地址内添加需要映射的主机地址6.在资源管理=》区域内添加内⽹端⼝和外⽹端⼝为2条区域7.在防⽕墙=》地址转换内添加⼀条源转换(源为内⽹区域,⽬的为外⽹区域)此时内⽹区域可访问外⽹8.在防⽕墙=》访问控制内添加2条规允许内⽹区域可访问外⽹,以及外⽹区域能访问内⽹(主要为了端⼝转换能够成功)9.在资源管理=》服务=》⾃定义服务内添加需要转换的端⼝号10.在防⽕墙=》地址转换内添加⼀条⽬的转换即可完成端⼝映射配置完成后切记保存配置。
天融信防火墙配置手册讲义
防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES-M)为实例,来测试防火墙各 区域的访问控制机制:
目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企
业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网) 区域之间访问控制机制。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(相当于二层交换) 而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由 进行通信。(三层交换作用)
了解防火墙的三种接入模式
1.透明模式(网络)
2.路由模式
• 路由模式
3.透明及路由的混合模式
透明网络结构
Web e-mail FTP
DMZ 区ຫໍສະໝຸດ 1.240192.168.1.110/120/130/140/150
4) 测试与该主机连通情况以及对方主机访问本机的连通情况。 5) 本机删除网关后,让对方主机增加网关,反过来再增加访问策略和 NAT进行测试。 说明:访问策略是权限的问题,通讯策略是路径的问题。 NAT都是单向访问,内网需要网关路由到外网,而外网不需路由到内网。 保护了内网的安全。 思考: NAT是作为源IP地址转换,NAT在整个转换过程中所起到的作用?
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: STEP4: 主机节点对象建立
天融信防火墙NGFW的配置
全新的天融信防火墙NGFW4000_配置配置一台全新的NGFW4000,配置完后,内网用户10.10.1.0/24和可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器,并且内网用户也可以通过WEB服务器的外网地址进行访问;网络说明:防火墙外网接口地址:防火墙内网接口地址:核心交换机防火墙VLAN:核心交换机用户群A的VLAN:10.10.1.0/24核心交换机用户群B的VLAN:用户群A的默认网关:用户群B的默认网关:防火墙至出口的默认网关:核心交换机至防火墙的默认网关:内网WEB服务器地址:通过防火墙映射成公网地址简单拓扑图如下:这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间;我们首先需通过某种方式对防火墙进行管理配置;1、连接防火墙首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户管理员用户名 superman 管理员密码 talent 或系统参数设备名称 TopsecOS同一管理员最多允许登录失败次数 5最大并发管理数目 5最大并发管理地点 5同一用户最大登录地点 5空闲超时 3 分钟物理接口Eth0或LAN 口 IP:其他接口 Shutdown服务访问控制WEBUI 管理通过浏览器管理防火墙:允许来自Eth0或LAN 口上的服务请求GUI 管理通过TOPSEC 管理中心:允许来自Eth0或LAN 口上的服务请求SSH通过SSH 远程登录管理:允许来自Eth0或LAN 口上的服务请求升级对网络卫士防火墙进行升级:允许来自Eth0或LAN 口上的服务请求PINGPING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址:允许来自Eth0或LAN 口上的服务请求其他服务禁止地址对象地址段名称 any地址段范围 0.0.0.0 –区域对象区域对象名称 area_eth0绑定属性 eth0权限允许日志日志服务器IP 地址 IP:.日志服务器开放的日志服务端口 UDP 的514 端口高可用性HA关闭从中可以看出,管理口为ETH0口,地址为,我们将一台电脑直接与ETHO接口相连,然后配置一个段的地址,然后在浏览器上访问,就进入了WEB管理界面如出现安装证书问题,直接点继续浏览此网站,如下;2、配置防火墙接口将ETH1配置成外网接口,ETH2配置成内网接口,依次选择左边菜单的“网络管理”->“接口”,在ETH1接口一行点击最后的蓝色图标,如下图,进入ETH1接口配置模式;然后输入外网地址,接口模式为“路由”,最后点“确定”,如下图; 同理,将ETH2接口地址设置成内网地址:3、路由配置这里有两种路由要写,一是至外网出口的默认路由,下一跳为,还有一种是至内网核心交换机的回程路由,共有两条,下一跳都是指向;依次选择左边菜单的“网络管理”->“路由”,然后点击“添加”,添加一条至外网的默认路由,如下;再依次添加两条回程路由:这样,出去的路由有了,回去的路由也有了;4、访问控制默认防火墙是阻止所有经过的包,所以需对访问控制项进行设置;点击菜单的“防火墙”->“访问控制”,点击“添加”按扭,如下图就出现了添加窗口,在源窗口和目的窗口均选择“ANY范围”,“服务”不选包含所有服务,“选项”默认,直接点击确定;这样,就允许所有的数据经过防火墙了;当然,可以通过详细的设置来控制不同网段的电脑,这里就不在叙述了;5、配置地址转换NAT首先新建“区域”,选择菜单的“资源管理”->“区域”,点击添加,将内、外网的区域新建好;下来配置源地址转换,选择“防火墙”->“地址转换”,点击添加,选择“源地址”转换,在源选项上,将“高级”的钩打上,然后将“neiwang”移至“已选源AREA”,如下图:在目标选项上,将“高级”的钩打上,然后将“waiwang”移至“已选目的AREA”,如下图:在“服务”选项上,不选择任何服务,这样就表示包含所有服务;在“源地址转换为:”选项中,选择“ETH1属性”,如下图;配置到此,内网用户已经可以通过防火墙上INTERNET了;接下来配置目的地址转换,让外网的用户可以访问内网的WEB服务器10.10.1.200;6、内网WEB服务器映射选择菜单“资源管理”->“地址”,选择添加,将10.10.1.200添加至地址栏中,命名为-server,如下图;然后选择“防火墙”->“地址转换”,选择添加,弹出对话框,然后选择“目的转换”选项,在“源”选项上,选择“ANY”:在“目的”选项上,选择“ETH1”:“服务”选项不选,“目的地址转换为”选择刚才新建的“-server”地址,“目的端口转换为”选择“不转换”,如下;这样,外网用户通过浏览器访问防火墙外网接口的地址时,就可以浏览到内网10.10.1.200网站服务器上的内容了;最后点击页面右上角的“保存配置”按扭;。
天融信防火墙设置..
防火墙建议配置步骤:
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式) 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转 换) 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
4、地址转换策略配置
内网可以访问互联网,需要配置源转换 源选择源区域“内网区域”,目的选择目的区域“外网区域”, 源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换 111.111.111.230
注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范 围,且该地址范围不能设置排除IP地址
2、区域和缺省访问权限配置 在“资产管理”-”区域“中定义防火墙区域及默认权限为”禁止访问“
防火墙管理权限设置
系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域; ETH1接口为“外网”区域 定义你希望从哪个接口(区域)管理防火墙 “内网”区域添加对防火墙的管理权限(当然也可以对 “外网”区域添加),点击“系统管理”—“配置”— “开放服务”,点击添加
说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。
天融信防火墙NGFW4000配置手册簿
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1.串口管理 (6)2.TELNET管理 (8)3.SSH管理 (9)4.WEB管理 (10)5.GUI管理 (11)二、命令行常用配置 (17)1.系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2.网络配置命令(NETWORK) (18)3.双机热备命令(HA) (19)4.定义对象命令(DEFINE) (19)6.显示运行配置命令(SHOW_RUNNING) (20)7.保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1.系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2.网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3.对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4.访问策略配置 (33)四、透明模式配置示例 (39)拓补结构: (39)1.用串口管理方式进入命令行 (39)2.配置接口属性 (39)3.配置VLAN (40)4.配置区域属性 (40)5.定义对象 (40)6.添加系统权限 (40)7.配置访问策略 (40)8.配置双机热备 (41)五、路由模式配置示例 (42)拓补结构: (42)1.用串口管理方式进入命令行 (42)2.配置接口属性 (42)3.配置路由 (43)4.配置区域属性 (43)5.配置主机对象 (43)6.配置访问策略 (43)7.配置双机热备 (43)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙配置步骤
天融信防火墙配置步骤1. 登录天融信防火墙首先,需要通过浏览器访问天融信防火墙的管理地址,输入正确的用户名和密码进行登录。
2. 进入配置页面登录成功后,点击左侧导航栏中的“配置”,选择“网络”或“安全策略”,根据不同需求进行配置。
2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中,选择“VLAN”进行配置。
首先需要新建一个VLAN,输入VLAN ID、VLAN名称等信息,并设置IP地址和子网掩码。
接下来,需要将新建的VLAN绑定到对应的物理接口上,以实现网络的隔离和控制。
2.1.2 VPN配置在天融信防火墙的“网络”界面中,选择“VPN”进行配置。
首先需要设置VPN基本信息,包括VPN名称、本地地址、远端地址等。
接下来,需要根据需要设置VPN的安全协议、身份验证方式等。
2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中,选择“访问控制规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址、服务等信息,并设置允许或拒绝访问。
接下来,需要设置规则优先级、生效时间等。
2.2.2 NAT规则在天融信防火墙的“安全策略”界面中,选择“NAT规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址等信息,并设置源地址转换和目的地址转换。
接下来,需要设置规则优先级、生效时间等。
3. 保存配置并重启配置完成后,需要保存当前配置,并重启天融信防火墙以使配置生效。
重启后,可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。
结论天融信防火墙作为一种重要的网络安全设备,需要进行正确的配置以保证网络的安全和可用性。
本文介绍了天融信防火墙的基本配置步骤,希望能够对读者有所帮助。
天融信配置手册
天融信配置手册引言天融信是一家专业的网络安全解决方案提供商,其产品被广泛应用于政府、金融、电信、教育、医疗、能源等行业。
本文将介绍天融信的常见配置手册,以帮助用户更好地使用和配置天融信产品。
配置天融信防火墙登录天融信防火墙管理界面1.打开浏览器,输入防火墙管理IP地址。
2.在登录界面输入用户名和口令,单击登录按钮。
默认用户名为admin,口令为T9msc&oB。
配置基本设置1.进入“网络配置 > 基本设置”界面。
2.配置防火墙管理口和外网口的IP地址的掩码。
3.点击“保存”按钮。
配置规则列表1.进入“规则管理 > 访问规则列表”界面。
2.点击“添加规则”按钮,创建新的规则。
3.设置访问规则列表的相关参数。
4.点击“保存”按钮。
配置用户认证1.进入“认证 > 用户认证”界面。
2.点击“添加用户”按钮,添加新用户。
3.输入用户名、密码、分组等信息。
4.点击“保存”按钮。
配置VPN1.进入“VPN > VPN服务”界面。
2.点击“添加VPN”按钮,创建新的VPN连接。
3.配置VPN的相关参数。
4.点击“保存”按钮。
配置天融信安全网关登录天融信安全网关管理界面1.打开浏览器,输入安全网关管理IP地址。
2.在登录界面输入用户名和口令,单击登录按钮。
默认用户名为admin,口令为T9msc&oB。
配置基本设置1.进入“网络配置 > 基本设置”界面。
2.配置安全网关管理口和外网口的IP地址的掩码。
3.点击“保存”按钮。
配置规则列表1.进入“规则管理 > 访问规则列表”界面。
2.点击“添加规则”按钮,创建新的规则。
3.设置访问规则列表的相关参数。
4.点击“保存”按钮。
配置用户认证1.进入“认证 > 用户认证”界面。
2.点击“添加用户”按钮,添加新用户。
3.输入用户名、密码、分组等信息。
4.点击“保存”按钮。
配置VPN1.进入“VPN > VPN服务”界面。
天融信防火墙配置讲解
精品课件
防火墙配置体方法 目的转换
源为any所有 目的为公网地址 所有访问公网地址的4000端口,把目的公网地址转 换为服务器地址,目的端口4000转换为远程桌面的 3389端口,从而达到访问及隐藏源端口的目的
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
精品课件
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
精品课件
防火墙配置具体方法
精品课件
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
精品课件
防火墙配置具体方法
双向转换
源为any所有地址 目的为 183.166.34.235 任何地址访问235这个地址时,将访问的源地址转 换为内网口地址,访问的目的235转换为安保地址 ,从而实现从互联网访问内网服务器的目的
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
32
防注火意墙事配项置具体方法
天融信防火墙基础配置
安徽办事处 肖乃刃
精品课件
天融信防火墙基础配置
防火墙的作用
防火连墙通作:为路内由部和网交与换外功部能网之间的一种访问 控制设备,安装在内部网和外部网交界点上
控制:基于区域、IP、端口等 ,即网关处。
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
2
防火墙配置具体方法
3
防火墙配置注意事项
·········· ··········
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式.................................................... 错误!未定义书签。
1.串口管理.............................................................. 错误!未定义书签。
2.TELNET管理............................................................ 错误!未定义书签。
3.SSH管理 .............................................................. 错误!未定义书签。
4.WEB管理 .............................................................. 错误!未定义书签。
5.GUI管理 .............................................................. 错误!未定义书签。
二、命令行常用配置.......................................................... 错误!未定义书签。
1.系统管理命令(SYSTEM) .................................................. 错误!未定义书签。
命令........................................................................ 错误!未定义书签。
功能........................................................................ 错误!未定义书签。
天融信防火墙通用配置
天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】天融信防火墙通用配置一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。
出厂默认eth0口IP为: 出厂用户名为:superman,密码为:talent或。
现IP改为,用户名为:superman,密码为:topsec0471。
在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。
输入用户名为:superman,密码为:topsec0471,登陆进入。
二.接口IP地址的配置:1.点击:网络管理---接口Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。
现例:WEB服务器端在网段,MISS网在网段。
eth0口IP为服务器实际IP为,eth1IP 口为。
接口模式选择:路由。
其余选项采用默认配置。
三.路由配置点击:网络管理----路由,现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。
若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。
四.地址转换:1.配置转换对象:点击:资源管理----地址;点击:添加:该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。
Xnweb 为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。
以后miss网的主机只需浏览:,不需浏览地址。
以达到伪装IP的目的。
2.区域设置:点击:资源管理---区域;将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。
3.地址转换:点击:防火墙----地址转换;点击添加:在此我们只需设置目的转换,选中:[目的转换]选项。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET5)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理:5)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙的WEBUI管理方式
防火墙的管理方式-打开防火墙 管理端口
注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开“HTTP”方式。
在“系统管理”-“配置” -“开放服务”中选择“启动”即可
防火墙的TELNET管理方式
通过TELNET方式管理防火墙:
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
防火墙的WEBUI管理方式
输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
天融信防火墙使用培训
防火墙定义
两个安全域之间通信 流的唯一通道
Internet
内部网
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
根据访问控制规则决定 进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同 网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、 监视、记录)进出网络的访问行为。
3、定义对象 添加地址组 点击:”资源管理“-“地址”-“地址组”,点击右上角“添加配置”
3、定义对象 添加自定义服务:
防火墙内置一些标准服务端口,用户在端口引用时,但有时用户的系统 没有使用某些服务的标准端口,这时我们通过自定义方式加以定义。 点击:”资源管理“-“服务”-“自定义服务”,点击“添加”,可以添加单 个端口或范围 ,单个端口只填起始端口
防火墙的接口和区域
接口和区域是两个重要的概念
接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分 析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
防火墙建议配置步骤:
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式) 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转 换) 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份
2、区域和缺省访问权限配置 在“资产管理”-”区域“中定义防火墙区域及默认权限为”禁止访问“
防火墙管理权限设置
系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域; ETH1接口为“外网”区域 定义你希望从哪个接口(区域)管理防火墙 “内网”区域添加对防火墙的管理权限(当然也可以对 “外网”区域添加),点击“系统管理”—“配置”— “开放服务”,点击添加
3、路由表配置 添加静态路由 在“网络管理” - “路由”-“静态路由”添加 静态路由
设置默认路由时,源和目的全为“0”
3、定义对象 添加单个主机对象 点击:”资源管理“-“地址”-“主机”,点击右上角“添加配置”
3、定义对象 添加地址范围 点击:”资源管理“-“地址”-“范围”,点击右上角“添加配置”
10.1.1.254 172.16.1.254
防火墙接口分配如下:
172.16.1.0/24
ETH0接内网 ETH1接Internet(外网) ETH2接服务器区
1、接口配置 进入防火墙管理界面,点击”网络管理“-“接口” - ”物理接口“可以看到物理接口定义结果:
点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址 注意:防火墙每个接口的默认状态均为“路由”模式
在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的 源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在 同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配 置IP 地址。
综合模式(透明+路由功能)
顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模 式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。
外网、SSN、内网在同一个广播域,防火 墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
路由模式的典型应用
Internet
202.99.88.1
ETH0:202.99.88.2
ETH1:10.1.1.2 ETH2:192.168.7.2
10.1.1.0/24 网段
MAP (目的地址转换也叫映射)
10.1.1.1 WWW 10.1.1.3 FTP 10.1.1.4 MAIL 10.1.1.5 DNS
公开服务器可以使用私有地址 隐藏内部网络的结构
10.1.1.254
MAP 10.1.1.1:80 TO 111.111.111.230:80 MAP 10.1.1.3:21 TO 111.111.111.230:21 MAP 10.1.1.5:25 TO 111.111.111.230:25 MAP 10.1.1.4:53 TO 111.111.111.230:53 http://111.111.111.230
直通(1条,颜色:白色) 交叉(1条,颜色:红色)
使用:
– 直通:与HUB/SWITCH – 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接)
• 软件光盘 • 上架附件
防火墙配置-管理方式
串口(console)管理方式: 用户名superman ,初始口令talent,用passwd命令可修改管理员密码 WEBUI管理方式(https协议): 超级管理员:superman,口令:talent 可在“系统管理”—“管理员”中修改密码,要求密码大于8位。 TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent
安装了防火墙后,可以为网络起到如下安全 保障作用:
1、在互联网接口处提供安全保护措施,防止外部入侵。 2、对服务器进行保护,不仅防止来自互联网的攻击,也可以防止 内部员工利用内网对服务器进行攻击。 3、构建VPN,解决总部和分支机构间的互联互通和移动办公需求, 合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访 问公司的内部网络资源。 4、通过安全检查,过滤包含非法内容的网页,邮件,FTP 5、带宽管理,确保即使在网络出现拥堵时,企业老总、中层领导、 重要部门也能够快速、便捷、顺畅、优先上网
外网、SSN区、内网都不在同一网段,防 火墙做路由方式。这时,防火墙相当于一 个路由器。
内部网 192.168.7.0/24 网段
综合接入模式的典型应用
两接口在不同网段, 防火墙处于路由模式
202.11.22.1/24 网段
ETH0:202.11.22.2
ETH1:192.168.7.102 ETH2:192.168.7.2 192.168.7.0/24 网段
202.102.93.54
Internet
Host C 172.16.1.21
Host D 172.16.1.25
Eth1: 111.111.111.230 受保护网络
IP报头 数据
IP报头
数据
Eth0: 172.16.1.254
防火墙
隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能
两接口在不同网段, 防火墙处于路由模式
两接口在同一网段, 防火墙处于透明模式
此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式
192.168.7.0/24 网段
防火墙的工作状态
网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 具体请见下表:
10
安装了防火墙后,可以为企业起到如下安全 保障作用:
6、对员工上网进行管理,防止他们在上班时间利用网络做与工作 无关的事,而且控制策略多种多样。例如: ----只能访问与工作有关的网站 ----不能进入QQ聊天室 ----不能玩网络游戏 ----不能用BT、电驴等P2P工具下载电影…… 7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限 制上网,对员工李四允许上网,假如张三企图用李四的电脑上网, 也一样不能得逞。 8、控制策略还可以基于时间。例如可以限制张三只能在下午七点 到十点之间上网,在这个时间段以外就不能。 9、可以限制每台主机,每个网段的并发连接数。
出于安全性的考虑,强烈建议修改初始密码! 但请牢记修改后的密码!!!忘记密码必须返厂收费维修!
防火墙的CONSOLE管理方式
超级终端参数设置:
防火墙的CONSOLE管理方式
输入helpmode chinese命令 可以看到中文化菜单
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
11
天融信防火墙 安装配置
硬件一台 NGFW TG -1507
(产品参考外形)
• 外形:19寸1U标准机箱
串口 线 管理机
直通 线
直通 线
交叉 线
Swich、Hub 接COM口
Route
PC
产品提供的附件及线缆使用方式