(天融信防火墙系统)
技术说明书-天融信防火墙系统
1 前言
随着互联网应用类型的不断增加以及应用形式的不断变化,层出不穷的安全威胁时刻发 生在我们身边。在这种情况下,防火墙作为边界安全防护手段的核心技术,在经历了多次的 技术变革后,早已不是传统防火墙所诠释的概念了。而为了区别于传统型的防火墙技术,下 一代防火墙的概念应运而生。著名市场分析咨询机构 Gartner 曾于 2009 年发表文章《定义 下一代防火墙》,文章指出下一代防火墙在具有传统防火墙功能与特点的同时,还要具有“支 持联动的集成化 IPS”、“应用管控与可视化”以及“智能化联动”相关特性。但在“云计 算”、“WEB2.0”及“移动互联”等一系列新应用技术被广泛使用的今天,单纯从解决传 统防火墙技术缺陷的角度去定义下一代防火墙产品则显得过于片面,需要的是站在一个全局 的视角从解决用户网络面临的实际问题出发去定义下一代防火墙产品。
基于用户防护...................................................................................................................2 面向应用与内容安全.......................................................................................................3
流量管理.........................................................................................................................14 反垃圾邮件.....................................................................................................................14 攻击防护.........................................................................................................................14 病毒防御.........................................................................................................................14 上网行为管理.................................................................................................................15 远程接入.........................................................................................................................15 5 产品资质............................................................................................................................................16 6 典型应用............................................................................................................................................17 政府专网环境.................................................................................................................17 金融生产环境.................................................................................................................18 企业互联网边界.............................................................................................................19
天融信Topsec NGFW系列防火墙
47
百兆产品:NGFW4000 TG-4424
TOS操作系统
小包线速
最大配臵为8个端口,包括标配4个10/100BASE-TX口,2个扩展插槽 支持IPSEC VPN/VRC、SSL VPN、ANTIVIRUS、TA/TA-LIC等功能模块
支持TopSEC-FWME-2 接口模块
48
NGFW4000 TG-4424
TOS操作系统 最大配臵为26个接口,包括3个可插拨的扩展槽和2个10/100BASE-T接口 (可作为HA口和管理口); 支持IPSEC VPN/VRC、SSL VPN、ANTIVIRUS、TA/TA-LIC等功能模块
46
TG-4430
•整机吞吐量>2.6G •整机小包吞吐量>1.2G •延时<25us •每秒新建连接>55000 •最大并发连接数>1500000
CPU
Flash
TOS
„„ 可编程 七层过滤 模块 状态 核检测 VPN QoS
NAT 交换 路由
TAPF技术,减少 CPU对数据处理 自行开发,多 过程的干预,实 策略授权 项专利 现报文快速转发。 可编程ASIC,集 成全面FW功能, 网络数据 负责数据高速处 理和转发。 大容量二级缓存, 存放所有临时表项, 无须与内存交互, 模块化、层 全功能硬件加 充分提高性能。 次化、可持 速,TAPF,大 一级缓存 接口控制二级缓存
23
完善的防火墙产品线
猎豹II
4000-UF中端
性 能
4000-UF低端 猎豹I
4000百兆线速
4000中端 4000低端
ARES机架型
ARES桌面
SOHO
分支机构
小企业
天融信NGFW系列防火墙-猎豹(万兆)产品说明
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (7)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (13)MONITOR (13)服务管理命令无 (13)2.网络配置命令(NETWORK) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)ETH0 (30)ETH1 (30)ETH2 (30)ETH3 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)5.配置主机对象 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙通用配置
天融信防火墙通用配置一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。
出厂默认eth0口IP为:, 出厂用户名为:superman,密码为:talent 或。
现IP改为,用户名为:superman,密码为:topsec0471。
在浏览器上输入防火墙的管理 URL,例如:,弹出如下的登录页面。
输入用户名为:superman,密码为:topsec0471,登陆进入。
二.接口IP地址的配置:1.点击:网络管理 ---接口Eth0口接在WEB效劳器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web效劳器在同一网段,eth1口与miss网在同一网段。
现例:WEB效劳器端在/24网段,MISS网在/24网段。
eth0口IP为(WEB效劳器实际IP为),eth1IP口为。
接口模式选择:路由。
其余选项采用默认配置。
三.路由配置点击:网络管理 ----路由,现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB效劳器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。
假设遇复杂网络,那么需添加路由关系,确保两端网络能相互PING通即可。
四.地址转换:配置转换对象:点击:资源管理----地址;点击:添加:该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。
Xnweb为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。
以后miss网的主机只需浏览:,不需浏览地址。
以到达伪装IP的目的。
区域设置:点击:资源管理---区域;将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。
3.地址转换:点击:防火墙----地址转换;点击添加:在此我们只需设置目的转换,选中:[目的转换]选项。
在:[源]选项栏中,将a ny从选择源:移到:已选源中。
天融信Topsec_NGFW系列防火墙介绍 22页PPT文档
模块 模块 模块
模块名称:SSLVPN的扩展内存;模块性能:升级1G内存;
模块名称:防病毒模块;模块性能:支持1000用户,包含两年升级服务;备 注 :到期 后可续缴服务;
模块名称:防病毒模块升级;模块性能:防病毒模块的1年升级服务
模块 模块名称:IDP扩展模块;模块性能:IPS性能>800Mbps,含1年IDP规则库license;
标配10个10/101BASE-T接口
内嵌OS类型和版本
控制台PC的OS平台为Windows;防火墙OS平台为TOS(Topsec Operating System),版本为v3.3。OS 的子版本号为v3.3.010,相应的编译器版本为v3.3。
吞吐量 最大并发连接数
双机热备
上网行为管理
网络吞吐量1G 最大并发连接数80万 支持
模块 模块 模块
模块名称:IPSECVPN-VRC-LICENCSE 模块性能:IPSEC VPN客户端
模块名称:SSLVPN模块;模块性能:用户数>3500,最大支持3500并发用户;备 注 :缺省5个SSLVPN的License; 模块名称:SSLVPN-VRC-LICENSE 模块性能:SSLVPN客户端
支持对p2p协议进行阻断和限制等功能,提供150多种应用程序识别,并实时在线更新识别库,支持对 于应用协议流量的年/月/日图表显示
网页过滤
支持web分类过滤功能。提供包括9个大类、87个小类、百万级别的url库,并支持手动、自动更新。
升级管理
原厂质保期 ISCCC获证级别
包括GUI、WEB界面、命令行界面等。支持远程集中管理功能。包括本地升级和远程在线升级;相同型 号、相同主版本的软件升级终身免费,升级内容包括产品主要版本的故障排除、版本维护、故障修复 、补丁、小版本升级
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
(参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位:【15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask ”命令添加管理IP地址4)、5)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET6)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask ”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:5)]6)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙配置手册
➢ STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访
问。 操作说明:选择“可读、可写、可执行”选项,表示为允许访问。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控 制同一区域主机之间的权限,本区域内主机是能够连通的。
的的访问。 然后在‘高级管理’→‘访问策略’→需要访问的目标
主机所在区域内‘增加’→‘包过滤策略’,策略源为访问 端(只选择本机节点),策略目的为被访问端(只选择其他 区域某节点),策略服务为PING,访问控制设为允许。注 意策略源和目的只选择节点,针对主机进行权限设置。 通 过PING 对方主机测试连通性。
止。 8)通过包过滤策略,禁止本机访问INTERNET,策略服务为
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
• 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。
天融信防火墙常用命令
天融信防火墙常用命令天融信防火墙是一种网络安全设备,用于保护企业内部网络免受网络攻击和恶意软件的侵害。
在使用天融信防火墙时,我们需要掌握一些常用的命令,以便进行配置和管理。
下面将介绍几个常用的天融信防火墙命令。
一、show命令show命令用于查看防火墙的各种状态和配置信息。
例如,可以使用show running-config命令查看当前的配置文件内容。
show version命令则可以查看防火墙的硬件和软件版本信息。
通过使用show命令,管理员可以及时获取到防火墙的运行状态,以便进行故障排查和性能优化。
二、config命令config命令用于进入防火墙的配置模式,以便对防火墙进行各种配置操作。
例如,可以使用config system命令进入系统配置模式,然后使用config firewall命令进入防火墙策略配置模式。
在配置模式下,管理员可以对防火墙的各种功能进行详细的配置,如访问控制、NAT转换、VPN设置等。
三、set命令set命令用于设置防火墙的各种参数。
例如,可以使用set interface命令设置防火墙的接口参数,如IP地址、子网掩码、MTU等。
使用set policy命令可以设置防火墙的安全策略,如允许或禁止某个IP地址的访问。
通过使用set命令,管理员可以根据实际需求对防火墙进行个性化的配置。
四、get命令get命令用于获取防火墙的各种状态和配置信息。
例如,可以使用get system status命令获取防火墙的系统状态信息,如CPU利用率、内存使用情况等。
通过使用get命令,管理员可以实时监控防火墙的运行情况,以便及时发现和解决问题。
五、ping命令ping命令用于测试防火墙与其他设备之间的连通性。
例如,可以使用ping命令测试防火墙与某个服务器之间的网络延迟和丢包率。
通过使用ping命令,管理员可以快速判断网络连接是否正常,以便进行故障排查和网络优化。
六、diagnose命令diagnose命令用于进行防火墙的故障诊断。
天融信防火墙配置步骤
天融信防火墙配置步骤1. 登录天融信防火墙首先,需要通过浏览器访问天融信防火墙的管理地址,输入正确的用户名和密码进行登录。
2. 进入配置页面登录成功后,点击左侧导航栏中的“配置”,选择“网络”或“安全策略”,根据不同需求进行配置。
2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中,选择“VLAN”进行配置。
首先需要新建一个VLAN,输入VLAN ID、VLAN名称等信息,并设置IP地址和子网掩码。
接下来,需要将新建的VLAN绑定到对应的物理接口上,以实现网络的隔离和控制。
2.1.2 VPN配置在天融信防火墙的“网络”界面中,选择“VPN”进行配置。
首先需要设置VPN基本信息,包括VPN名称、本地地址、远端地址等。
接下来,需要根据需要设置VPN的安全协议、身份验证方式等。
2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中,选择“访问控制规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址、服务等信息,并设置允许或拒绝访问。
接下来,需要设置规则优先级、生效时间等。
2.2.2 NAT规则在天融信防火墙的“安全策略”界面中,选择“NAT规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址等信息,并设置源地址转换和目的地址转换。
接下来,需要设置规则优先级、生效时间等。
3. 保存配置并重启配置完成后,需要保存当前配置,并重启天融信防火墙以使配置生效。
重启后,可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。
结论天融信防火墙作为一种重要的网络安全设备,需要进行正确的配置以保证网络的安全和可用性。
本文介绍了天融信防火墙的基本配置步骤,希望能够对读者有所帮助。
天融信防火墙NGFW4000快速配置手册
资料天融信防火墙 NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1 )。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码: talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
天融信防火墙N G F W4000快速配置手册work Information Technology Company.2020YEAR天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的 CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位:1/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4.访问策略配置 (24)5.高可用性配置 (27)四、透明模式配置示例 (29)拓补结构: (29)1.用串口管理方式进入命令行 (29)2.配置接口属性 (29)3.配置VLAN (29)4.配置区域属性 (29)5.定义对象 (29)6.添加系统权限 (30)7.配置访问策略 (30)8.配置双机热备 (30)五、路由模式配置示例 (31)拓补结构: (31)1.用串口管理方式进入命令行 (31)2.配置接口属性 (31)3.配置路由 (31)4.配置区域属性 (31)5.配置主机对象 (31)6.配置访问策略 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式...................................................................................................... 错误!未定义书签。
1.串口管理.......................................................................................................................... 错误!未定义书签。
2.TELNET管理 .................................................................................................................... 错误!未定义书签。
3.SSH管理 .......................................................................................................................... 错误!未定义书签。
4.WEB管理......................................................................................................................... 错误!未定义书签。
5.GUI管理 .......................................................................................................................... 错误!未定义书签。
天融信 网络卫士防火墙系统 安装手册
网络卫士防火墙系统安装手册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦,100085电话:************传真:************服务热线:800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印© 2005天融信公司商标声明 本安装手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3文档组织 (1)1.4约定 (2)1.5相关文档 (3)1.6技术支持 (3)2安装网络卫士防火墙 (4)2.1系统组成与规格 (4)2.1.1系统组成 (4)2.1.2电气特性 (4)2.1.3物理规格 (5)2.1.4安全规范及标准 (5)2.2确定防火墙的工作模式 (6)2.3系统安装 (7)2.3.1硬件设备安装 (7)2.3.2管理器安装 (8)2.3.3检查网络卫士防火墙的工作状态 (12)2.4登录网络卫士防火墙 (13)2.4.1缺省出厂配置 (13)2.4.2使用CONSOLE口登录网络卫士防火墙 (14)2.4.3设置其他管理方式 (17)2.4.4管理主机的相关设置 (19)2.4.5通过浏览器登录防火墙 (20)2.4.6使用集中管理器登录防火墙 (21)2.4.7通过SSH方式登录网络卫士防火墙 (23)2.5恢复出厂配置 (23)3配置案例 (25)3.1案例1:路由模式 (25)3.2案例2:混合模式 (28)3.3案例3:建立VPN隧道 (30)4百兆接口扩展模块安装 (33)4.1模块型号与规格 (33)4.2接口模块规范 (34)4.3安装过程 (34)4.4接口顺序 (35)5标准千兆模块安装 (36)5.1模块型号与规格 (36)5.2接口模块规范 (37)5.3接口线缆规格 (37)5.4GBIC/SFP保护 (37)5.5安装/拆卸过程 (38)5.5.1通用GBIC的安装/拆卸过程 (38)5.5.2SFP安装/拆卸过程 (38)6专用GBIC-AUTO模块安装 (39)6.1模块型号与规格 (39)6.2GBIC-AUTO的安装/拆卸过程 (39)6.2.1安装过程 (39)6.2.2拆卸过程 (40)1前言本安装手册主要介绍网络卫士防火墙的安装和使用。
天融信防火墙TOPSEC系统管理
4
防火墙的局限性
• 物理上的问题 – 断电 – 物理上的损坏或偷窃 • 人为的因素 – 内部人员通过某种手段窃取了用户名和密码 • 病毒(应用层携带的) – 防火墙自身不会被病毒攻击 – 但不能防止内嵌在数据包中的病毒通过 • 内部人员的攻击 • 防火墙的配置不当
5
产品外形
硬件一台
• 外形:19寸1U标准机箱
防火墙的TELNET管理方式
通过TELNET方式管理防火墙:
27
防火墙的接口和区域
接口和区域是两个重要的概念
接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分 析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
35
防火墙配置-调整区域属性
进入防火墙管理界面,点击”网络“ ”物理接口 “可以看到物理接口定义结果:
点击每个接口的”其他”按钮可以修改每个接口的名称
注:防火墙每个接口的默认状态均为“路由”模式
36
防火墙配置-定义区域的缺省权限
在“对象”-”区域对象“中定义防火墙3个区域(接口)的默认权限为”禁止
13
常见病毒使用端口列表
69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
ICMP 关掉不必要的PING
14
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
名称品牌数量招标参数单价总价质保产地
▲天融信千兆防火墙系统
天融信
NGFW4000-U
F
(TG-51131)
3套
★性能要求:
●标准的机架式、模块化结构主机机箱,要求至少具有3个接口板扩展槽位和2个千兆接口,最大
可支持千兆接口数量≥26(非combo光电互斥接口或共享交换接口),本次要求配备4个
10/100/1000千兆接口和4个SFP光口;
●网络吞吐:>8Gbps;并发连接:>240万;TCP新建连接:>16万/秒;HTTP新建连接:>15万/秒;
●要求基于多核多平台并行安全操作系统(提供资质证明),并且采用双安全操作系统设计(提供截
图);
★功能要求:
●支持静态路由、策略路由、RIPv1/2、OSPF、BGP等动态路由以及组播路由协议,要求支持ECMP与
WCMP的路由均衡方式,并且能够根据预设探测条件实现动态的链路切换;
●支持ISL与802.1Q的接口封装和解封,要求提供VLAN-VPN功能;(要求提供截图)
●支持链路聚合功能,对每个聚合端口的物理接口数量无限制,提高聚合组的配置灵活性,并且要
求支持至少10种以上的聚合负载算法;(要求提供截图)
●要求具有防止共享上网、防ARP欺骗及防路由欺骗功能;(要求截图)
●需具备针对单条访问策略的最大并发连接数限制、策略命中数统计与策略重复检查功能,支持网
络应用自学习功能并自动生成相关安全策略;(要求截图)
●要求具有心跳接口物理备份及二级心跳接口功能;(要求截图)
●采用基于访问控制策略的一体化带宽管理模式,能够针对用户、用户组、IP、MAC、时间、应用等
进行带宽管理,并且支持共享策略、独享策略、访问控制独享策略等多种带宽策略类型,要求支
持基于COS、DSCP方式的数据标识;(要求截图)
★资质要求:
●公安部-计算机信息系统安全专用产品销售许可证(三级)
●信息安全测评中心-国家信息安全测评信息技术产品安全测评证书(EAL3)
●国家保密局涉密信息系统安全保密测评中心-涉密信息系统产品检测证书
●国家密码管理局商用密码检测中心-防火墙产品密码检测证书
6.0万18.0万3年北京
●质量管理体系认证证书(ISO9001);
●信息安全管理体系27001认证。
★售后服务要求:
●为保障售后服务质量,要求厂商具有涉及国家秘密的计算机信息系统集成资质证书(甲级)和国
家级应急服务支撑单位。
中国国家信息安全漏洞库一级技术支撑单位。
要求提供原厂工程师安装和后期维护,厂商在本省具有分支机构,并在工商局注册。
要求厂商具备提供本地化安全咨询、安全巡检和风险评估等能力,本地服务团队至少配备一名高级项目经理和2名CISSP的国际网络安全专家人员
●为保障用户日常信息化运行能力和服务,本次安全城市免费为用户培训2名CISSP的国际网络安
全专家人员且安全厂商必须具备CISSP授权培训资格(提供(ISC)² 在中国的官方授权培训服务提供商证明)。
●为保障本地化服务质量及本地响应时间、服务团队能力,本次项目经理和2名CISSP国际网络安全
专家人员必须提供本安徽省社保卡号和相关证书复印件。
★安全厂商资质要求:
●为保障售后服务质量及等级保护要求,厂商具备涉及国家秘密的计算机信息系统集成资质证书(甲
级)、计算机信息系统集成贰级资质证书(贰级)、质量管理体系认证证书、ISCCC信息安全服务资质认证证书(一级信息系统安全集成资质)、ISCCC信息安全服务资质认证证书(一级应急处理服务)、ISCCC信息安全服务资质认证证书(一级风险评估服务)、国家级应急服务支撑单位、国家信息安全测评信息安全服务资质证书(安全开发类一级)、信息安全管理体系27001认证。
★本次项目投标单位必须提供:
●3年原厂商软硬件免费维修升级服务承诺证明及对本项目投标授权书证明(原件)
(备注:以上带★部分为必须响应指标,否则按废标处理。
截图证明及产品证书需提供复印件加盖原厂商公章。
)。