天融信防火墙所能实现的功能及操作方法

天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。

二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。

在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。

区域：可以把区域看作是一段具有相似安全属性的网络空间。

在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。

在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。

对象:防火墙大多数的功能配置都是基于对象的。

如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。

可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。

对象概念的使用大大简化了管理员对防火墙的管理工作。

当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。

天融信防火墙审计与监控功能的应用1 、审计功能1.1 概述天融信防火墙对于日志的记录可以记录在防火墙内也可以记录在专门的日志服务器中，由于防火墙系统硬盘、内存的限制，她难于作到对日志的详细记录。

因此，在FW4000防火墙系统中，我们添加一个审计系统，来对防火墙过滤系统提供日志的详细备份。

同时也方便管理员分析网络当前状态。

图1-1如图1-1所示为审计管理器中对日志记录的备份历史记录表，审计管理器会据据用户的设定，到一定的文件大小后自动备份日志，方便日后审计。

FW4000审计系统的功能是对防火墙的日志信息进行收集、分析，并提供相应的报表。

图1-2所示即为天融信网络技术有限公司审计管理器的管理界面。

图1-2Fw4000日志审计系统的功能：1．备份多台FW4000防火墙产生的各种日志信息2．日志查询、日志统计，并提供相关的日志报表3．记录用户对防火墙的各种操作日志信息4．还原过去一段时间里，用户对防火墙配置的修改操作5．记录详细的网络日志信息。

6．管理日志服务器1）启动、关闭日志服务器2）配置日志服务器3）备份、删除日志数据4）用户管理（包括日志服务器用户管理和数据库管理员管理）5）监视日志服务器状态。

7. 方便的Gui远程管理。

1.2访问服务器列表：图1-3如图1-3所示，可以根据防火墙的日志对访问服务器的列表进行排序，具体可以根据服务器地址、流入总量、流出总量、访问次数进行分类排序。

如果发现审计管理器显示出某台服务器（也可能是普通用户的PC）的流入或流出的数据异常的大时，就要对某台服务器进行进一步的访问端口或网络访问详细信息来分析是否为正常的访问。

从而实际及时发现问题与解决问题。

1.3用户访问列表：图1-4如果防火墙有采用基于用户的应用，如OTP用户认证，VPN用户认证，日志会记录类似基于访问服务器列表的记录，可以根据用户名、流入总量、流出总量、访问次数等进行日志分析。

1.4服务器端口列表:图1-5如图1-5、图1-6所示，审计管理器可以根据日志对服务器端口列表进行分类分析从而来及时的发现网络环境中常的用的正常端口或不正常的端口的应用，进而采取相关的措施进行补救。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET5)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理：5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

PPTP隧道举例如下远程客户端与防火墙建立PPTP VPN隧道，安全访问内网资源。

图例：远程用户通过PPTP隧道访问内网示意图本例中防火墙的Eth0口使用了私有IP：10.10.10.1/24,仅为示例，应用环境中，该接口IP应为用户可以访问的公网地址。

配置要点1、配置远程用户2、开放相关接口的PPTP服务3、配置PPTP服务4、配置PPTP客户端5、配置PPTP的访问控制WebUI配置步骤1）配置远程用户。

包括添加远程用户、启动内部basic认证服务器并设置用户角色。

a）选择用户认证>Basic认证，选择“用户列表”页签，点击“增加用户”添加类型为“远程用户”的新用户pptpuser。

该用户用于PPTP用户的身份认证。

b）防火墙作为认证服务器接受PPTP用户的认证请求，需要在防火墙上启动内部认证服务器（默认为停止状态）。

选择用户认证>Basic认证，并选择“Basic认证服务器”页签，点击“启动”按钮启动内置认证服务器。

c）将PPTP用户设置所属用户角色。

不属于任何用户角色的用户无法通过认证服务器的认证。

而且可以通过设置对用户角色的访问控制规则来实现对PPTP用户的访问控制。

选择用户认证>Basic认证，并选择“用户角色”页签，点击“添加”按钮，设置包含PPTP远程用户的用户角色。

点击“确定”，完成用户角色设置。

界面如下图所示。

2）开放Eth0口的PPTP服务。

a）选择资源管理>区域，设置区域intranet、dmz分别和属性eth0、eth1绑定，权限为允许访问。

b）选择系统管理>配置菜单，并选择“开放服务”页签，开放该区域的PPTP服务服务。

3）配置PPTP服务选择虚拟专网>PPTP菜单，在“PPTP设定”处设置PPTP服务属性，如下图。

需要注意的是：PPTP服务器的起始地址和结束地址必须和本地地址（服务器的虚拟IP）在同一个网段。

点击“启动”，成功后进入等待远程PPTP客户端的连接。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1．串口管理 (6)2．TELNET管理 (8)3．SSH管理 (9)4．WEB管理 (10)5．GUI管理 (11)二、命令行常用配置 (17)1．系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2．网络配置命令(NETWORK) (18)3．双机热备命令(HA) (19)4．定义对象命令(DEFINE) (19)6．显示运行配置命令(SHOW_RUNNING) (20)7．保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1．系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2．网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3．对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4．访问策略配置 (33)四、透明模式配置示例 (39)拓补结构： (39)1．用串口管理方式进入命令行 (39)2．配置接口属性 (39)3．配置VLAN (40)4．配置区域属性 (40)5．定义对象 (40)6．添加系统权限 (40)7．配置访问策略 (40)8．配置双机热备 (41)五、路由模式配置示例 (42)拓补结构： (42)1．用串口管理方式进入命令行 (42)2．配置接口属性 (42)3．配置路由 (43)4．配置区域属性 (43)5．配置主机对象 (43)6．配置访问策略 (43)7．配置双机热备 (43)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙配置步骤1. 登录天融信防火墙首先，需要通过浏览器访问天融信防火墙的管理地址，输入正确的用户名和密码进行登录。

2. 进入配置页面登录成功后，点击左侧导航栏中的“配置”，选择“网络”或“安全策略”，根据不同需求进行配置。

2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中，选择“VLAN”进行配置。

首先需要新建一个VLAN，输入VLAN ID、VLAN名称等信息，并设置IP地址和子网掩码。

接下来，需要将新建的VLAN绑定到对应的物理接口上，以实现网络的隔离和控制。

2.1.2 VPN配置在天融信防火墙的“网络”界面中，选择“VPN”进行配置。

首先需要设置VPN基本信息，包括VPN名称、本地地址、远端地址等。

接下来，需要根据需要设置VPN的安全协议、身份验证方式等。

2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中，选择“访问控制规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址、服务等信息，并设置允许或拒绝访问。

接下来，需要设置规则优先级、生效时间等。

2.2.2 NAT规则在天融信防火墙的“安全策略”界面中，选择“NAT规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址等信息，并设置源地址转换和目的地址转换。

接下来，需要设置规则优先级、生效时间等。

3. 保存配置并重启配置完成后，需要保存当前配置，并重启天融信防火墙以使配置生效。

重启后，可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。

结论天融信防火墙作为一种重要的网络安全设备，需要进行正确的配置以保证网络的安全和可用性。

本文介绍了天融信防火墙的基本配置步骤，希望能够对读者有所帮助。

天融信防火墙NGFW4000快速配置手册之答禄夫天创作一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超等终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，依照以下参数进行设置。

5）成功连接到防火墙后，超等终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add192.168.1”命令添加管理IP地址4)5)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步调管理：1)在串口下用“pf service add name ssh area area_eth0 addressnameany”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add192.168.1”命令添加管理IP地址4)5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (6)4．WEB管理 (7)5．GUI管理 (8)二、命令行常用配置 (13)1．系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3．双机热备命令(HA) (14)4．定义对象命令(DEFINE) (14)5．包过滤命令(PF) (14)6．显示运行配置命令(SHOW_RUNNING) (14)7．保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1．系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2．网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3．对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4．访问策略配置 (25)5．高可用性配置 (28)四、透明模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置VLAN (30)4．配置区域属性 (30)5．定义对象 (30)6．添加系统权限 (30)7．配置访问策略 (31)8．配置双机热备 (31)五、路由模式配置示例 (32)拓补结构： (32)1．用串口管理方式进入命令行 (32)2．配置接口属性 (32)3．配置路由 (32)4．配置区域属性 (32)6．配置访问策略 (32)7．配置双机热备 (33)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超等终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：15）成功连接到防火墙后，超等终端界面会出现输入用户名/密码的提示，如下图。

2．TELNET管理1)2)3)4)5)3．SSH管理1)2)3)4)5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

2)WEB管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：https://192.168.1.250，弹出如下的登录页面。

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面。

5．GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些平安工具，如监控，抓包，跟踪等1)装置管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理5)也可右击管理IP地址，选择“平安工具”，进行实时监控选择：平安工具连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。

天融信版本防火墙常用功能配置手册v2天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (4)二、天融信3.3版本防火墙配置概述 (4)三、天融信防火墙一些基本概念 (5)四、防火墙管理 (6)五、防火墙配置 (7)（1）防火墙路由模式案例配置 (7)1、防火墙接口IP地址配置 (8)2、区域和缺省访问权限配置 (9)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (10)4、路由表配置 (11)5、定义对象（包括地址对象、服务对象、时间对象） (12)6、地址转换策略 (16)7、制定访问控制策略 (28)8、配置保存 (33)9、配置文件备份 (34)（2）防火墙透明模式案例配置 (35)1、防火墙接口IP配置 (36)2、区域和缺省访问权限配置 (37)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (38)4、路由表配置 (39)5、定义对象（包括地址对象、服务对象、时间对象） (40)6、制定访问控制策略 (44)7、配置保存 (49)8、配置文件备份 (49)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。

二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。

在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统〉系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定"按钮 (12)REBOOT (12)重新启动 (12)系统〉系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统〉系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令（NETWORK） (13)3．双机热备命令（HA） (13)4．定义对象命令(DEFINE） (13)5．包过滤命令（PF) (13)6．显示运行配置命令(SHOW_RUNNING） (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B）系统〉运行状态 (14)C)系统〉配置维护 (15)D)系统〉系统服务 (15)E）系统> 开放服务 (16)F）系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A）设置主机对象 (20)B)设置范围对象 (21)C）设置子网对象 (21)D）设置地址组 (21)E)自定义服务 (22)F）设置区域对象 (22)G）设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (28)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)7．配置双机热备 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理.通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置(接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

一、对象与规则现在大多防火墙都采用了面向对象的设计。

针对对象的行为进行的快速识别处理，就是规则。

比如：甲想到A城市B地点。

由这个行为就可以制定一些规则进行约束，例如：1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。

2）用户当前的目标是不是A城市，是不是B地点。

3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。

用户、城市、地点等等均可以看作为一个个的对象。

在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。

翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。

二、路由功能与地址转换现在防火墙都集成了路由功能。

路由功能简单的说法就是告诉访问者怎么走，相当于引路。

比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。

我们使用的互联网是基于TCP/IP协议的。

所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。

互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。

当前互联网中应用的大都是IPV4。

比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。

由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。

目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。

比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。

实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET5)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理：5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙所能实现的功能及操作方法一、用户通过公网IP地址接入。

通过城域网VLAN透传至环渚6509。

在防火墙内网口启VE。

在GUI的具体操作如下：1．启动TOPSEC集中管理器，在高级管理/网络对象/内网/新建节点/新建节点，新建一个用户名包含IP地址。

2．区域/内网/新加一个虚接口包含VLAN_id3．高级管理/特殊对象/透明网络/增加一个VLAN_id4．根据用户要求新增访问策略。

首先在“高级管理/访问策略/外网”新增一条没有任何限制的“包过滤策略”，源是该用户在“网络对象”中新建的“节点”名，目的是“外网”，在“服务策略”中什么也不要选，“访问控制”/“访问权限”中选择允许。

第二在“高级管理/访问策略/内网”中增加INTERNET可以访问我们客户网络的“包过滤策略”，源选择“外网”，目的选择该用户在“网络对象”中新建的“节点”名，“服务策略”根据用户的需求开放（如用户没有提出，可以全部开放）。

注：黑客及病毒常利用的端口已经封闭，如：所有协议端口130、139、445、5554、9996、593和UDP端口69、1434、1026、1027。

二、用户的私有网络接入防火墙。

通过城域网VLAN透传至环渚6509，在防火墙内网口启VE，在GUI的具体操作如下：1．启动TOPSEC集中管理器，在高级管理/网络对象/内网/新建子网，新建一个用户名包含IP地址和掩码。

2．区域/内网/新加一个虚接口包含VLAN_id及一个私网地址（将作为整个局域网的网关）3．在“高级管理/通信策略”中新建一个“通信策略”。

源为网络对象中新建的一个子网，目的选择“外网”，通信方式中选择“NET“及指定协议为所有协议，目的端口为所有端口，地址池类型一般为“安全设备接口设备”也可以用户申请的公网IP（之前需在“区域/外网/新建一个公网IP的子网）4．在“高级管理/访问策略/外网和内网”分别做两条，子网名称（源）至外网（目的）的访问策略；外网（源）至子网名称（目的）的访问策略。