NGFW4000防火墙系列白皮书

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1．串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装备摆设（接口.IP 地址等）,使在不转变现有收集构造的情形下将防火墙接入收分散.这里将具体介绍若何经由过程 CONSOLE口衔接到收集卫士防火墙：1）运用一条串口线（包含在出厂配件中）,分离衔接盘算机的串口（这里假设运用 com1）和防火墙的 CONSOLE 口.2）选择开端 > 程序 > 附件 > 通信 > 超等终端,体系提醒输入新建衔接的名称.3）输入名称,这里假设名称为“TOPSEC”,点击“肯定”后,提醒选择运用的接口（假设运用 com1）.4）设置 com1 口的属性,按照以下参数进行设置.5）成功衔接到防火墙后,超等终端界面会消失输入用户名/暗码的提醒,如下图.6）输入体系默认的用户名：superman 和暗码：talent,即可登录到收集卫士防火墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治理.2．TELNET治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0addressname any”敕令添加治理权限2)在串口下用“system telnetd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：3．SSH治理SSH治理和TELNET根本一至,只不过SSH是加密的,我们用如下步调治理：1)在串口下用“pf service add name ssh area area_eth0 addressnameany”敕令添加治理权限2)在串口下用“system sshd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：4．WEB治理1)防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限,假如没有,可用“pf service add name webui area area_eth0 addressname any”敕令添加.2)WEB治理办事缺省是启动的,假如没有启动,也可用“system httpd start”敕令打开,治理员在治理主机的阅读器上输入防火墙的治理 URL,例如：0,弹出如下的登录页面.输入用户名暗码后（收集卫士防火墙默认出厂用户名/暗码为：superman/talent）,点击“提交”,就可以进入治理页面.5．GUI治理GUI图形界面治理跟WEB界面一样,只是,在治理中间中集成了一些安然对象,如监控,抓包,跟踪等1)装配治理中间软件2)运行治理软件3)右击树形“TOPSEC治理中间”添加治理IP4)右击治理IP地址,选择“治理”,输入用户名和暗码进行治理5)也可右击治理IP地址,选择“安然对象”,进行及时监控选择：安然对象-衔接监控点击启动,在弹出的窗口中增长过滤前提,可用缺省值监控所有衔接.选中增长的过滤前提,点设置就可以看到及时的监控后果了,如下图：二、敕令行经常运用设置装备摆设(注：用串口.TELNET.SSH方法进入到敕令行治理界面,天融信防火墙敕令行治理可以完成所有图形界面治理功效,敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表：)体系级体系级为第一级,供给装备的根本治理敕令.CLI治理员登录后,直接进入该级,显示为：TopsecOS#.组件级组件级为第二级,供给每个安然组件（SE）所独有的治理敕令.在体系级下,TopsecOS #<tab> 按 tab键,则显示出安然组件级敕令见下表.1．体系治理敕令(SYSTEM)在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设：2．收集设置装备摆设敕令(NETWORK)3．双机热备敕令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先照样备份机优先（默认为 backup,即假如同时启动主机成为活HA SHOW <cr> 检讨 HA的设置装备摆设信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 消除 HA设置装备摆设信息HA SYNC <from-peer|to-peer> HA同步（从对端机上同步设置装备摆设/同步设置装备摆设到对端机上）4．界说对象敕令(DEFINE)5．包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6．显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7．保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下：1．体系治理设置装备摆设在“体系”下,可以显示或设置装备摆设体系相干设置A)体系 > 根本信息显示体系的型号.版本.功效模块.接口信息等等：B)体系 > 运行状况检讨体系的运行状况,包含CPU.内存运用情形和当前衔接数等C)体系 > 设置装备摆设保护上传或下载设置装备摆设文件D)体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH 办事.Telnet办事和 HTTP办事.TOS体系供给了对这些办事的掌握（启动和停滞）功效,其具体的操纵如下：E)体系 > 凋谢办事添加或检讨体系权限,包含WEB治理.GUI治理.TELNET治理.SSH治理.监控等等F)体系 > 体系重启2．收集接口.路由设置装备摆设A)设置防火墙接口属性用户可以对收集卫士防火墙的物理接口的属性进行设置,具体步调如下：1）在治理界面左侧导航菜单中选择收集 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口：Eth0.Eth1.Eth2.2）假如要将某端口设为路由模式,点击该端口后的路由修正图标“”,弹出“设定路由”对话框,如下图所示.可认为某个端口设置多个 IP 地址,点击“添加设置装备摆设”按钮,添加接口的 IP 地址.假如选择“ha-static”,暗示双机热备的两台装备在进行主从切换时,可以保管本来的地址不变,不然,从墙的地址将被主墙笼罩.收集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP地址或 IP 地址在统一子网内.3）假如要将某端口设交流模式,点击该端口后的交流修正图标“”,弹出“交流”设置窗口,如下图所示.起首,须要肯定该接口的类型是“Access”照样“Trunk”.假如是“Access”接口,则暗示该交流接口只属于一个 VLAN,须要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数解释如下表所示：点击“提交设定”则完成接口从路由模式向交流模式的转换.4）点击“其他”按钮,可以设置接口的其他信息,如下图.B)设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由,具体步调如下：1）在左侧导航菜单中选择收集 > 静态路由,可以看到已经添加的计谋路由表以及体系主动添加的静态路由表,如下图所示.2）设置计谋路由,点击“添加计谋路由”,如下图所示.个中“网关”为下一跳路由器的进口地址,“端口”指定了从防火墙装备的哪一个接口（包含物理接口和 VLAN 虚接口）发送数据包.Metric 为接口跃点数,默认为 1.假如选择“NAT 后的源”为“是”,暗示计谋路由的源地址为 NAT 后的地址,计谋路由添加成功后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,计谋路由添加成功后的“标识表记标帜”一栏显示为“U”.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.点击“撤消返回”则废弃添加,返回上一界面.若要删除某路由项,点击该路由项地点行的删除图标“”进行删除.4）移动计谋路由.因为计谋履行动第一匹配原则,则计谋的次序与计谋的逻辑相干,在此可以转变添加计谋时刻的缺省的履行次序（按照添加次序分列）.具体设置办法为：在计谋路由表中点击要移动的路由选项（例如要移动计谋路由 102）后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考地位路由,第二个下拉框中则是选择将当前路由移动到参考路由之前照样之后.例如：要将路由 102 移动到路由 101 之前,则第一个下拉框选择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功对话框.点击“肯定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3．对象设置装备摆设A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加设置装备摆设”,体系消失添加主机对象属性的页面,如下图所示.B)设置规模对象选择对象 > 地址对象 > 地址规模,右侧界面显示已有的地址规模对象,如下图所示.点击“添加设置装备摆设”,进入地址规模对象属性的页面,如下图所示.C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组不合的地址对象可以组合为一个地址组,用作界说计谋的目标或源.地址组的支撑加强了对象治理的层次性,使治理加倍灵巧.设置地址组对象的步调如下：1）选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2）选择“添加设置装备摆设”,体系消失如下图所示的页面.E)自界说办事当预界说的办事中找不到我们须要的办事端口时,我们可以本身界说办事端口：1）选择对象 > 办事对象 > 自界说办事,点击“添加设置装备摆设”,体系消失如下页面.2）输入对象名称后,设置协定类型及端标语规模.3）点击“提交设定”,完成设置.F)设置区域对象体系支撑区域的概念,用户可以依据现实情形,将收集划分为不合的安然域,并依据其不合的安然需求,界说响应的规矩进行区域鸿沟防护.假如不消失可匹配的拜访掌握规矩,收集卫士防火墙将依据目标接口地点区域的权限处理该报文.设置区域对象,具体操纵如下：1）选择对象 > 区域对象,显示已有的区域对象.防火墙出厂设置装备摆设中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象eth0 已和接口eth0 绑定,是以出厂设置装备摆设中防火墙的物理接口eth0 已属于区域 AREA_ETH0.2）点击“添加设置装备摆设”,增长一个区域对象,如下图所示.在“对象名称”部分输入区域对象名称;在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（许可拜访或制止拜访）.在“选择属性”部分的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将出如今右侧的“被选属性”文本框中,可以同时选择一个或多个.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.4）点击“撤消返回”则废弃添加,返回上一界面.5）若要修正区域对象的设置,点击该区域对象地点行的修正图标“”进行修正.6）若要删除区域对象,点击该区域对象地点行的删除图标“”进行删除.G)设置时光对象用户可以设置时光对象,以便在拜访掌握规矩中引用,从而实现更细粒度的掌握.比方,用户愿望针对工作时光和非工作时光设置不合的拜访掌握规矩,引入时光对象的概念很轻易解决该类问题.设置时光对象,具体操纵如下：1）选择对象 > 时光对象,点击“添加设置装备摆设”,体系消失如下页面. 2）依次设置“对象名称”.“每周时段”和“每日时段”.3）最后点击“提交设定”,完成对象设置.新添加的对象将显示在时光对象列表中,如下图所示.4）对已经添加的时光对象,可以点击修正图标修正其属性,也可以点击删除图标删除该对象.4．拜访计谋设置装备摆设用户可以经由过程设置拜访掌握规矩实现灵巧.壮大的三到七层的拜访掌握.体系不单可以从区域.VLAN.地址.用户.衔接.时光等多个层面临数据报文进行判别和匹配,并且还可以针对多种运用层协定进行深度内容检测和过滤.与报文阻断计谋雷同,拜访掌握规矩也是次序匹配的,但与其不合,拜访掌握规矩没有默认规矩.也就是说,假如没有在拜访掌握规矩列表的末尾添加一条全体谢绝的规矩的话,体系将依据目标接口地点区域的缺省属性（许可拜访或制止拜访）处理该报文.界说拜访规矩,操纵步调如下：1）选择防火墙引擎 > 拜访掌握,点击“添加设置装备摆设”,进入拜访掌握规矩界说界面.表中“ID”为每项规矩的编号,在移动规矩次序时将会运用.“掌握”中的图标和 ,分离暗示该项规矩是否启用.2）界说是否启用该拜访掌握规矩（默认为启用该规矩）,以及拜访权限.拜访权限界说了是否许可拜访由规矩源到规矩目标所指定的办事.3）界说规矩的源规矩的源既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序分列和倒序分列,用户可以便利的按序查找项目.别的,用户还可以选择响应的办事,即设置源端口,如下图所示.4）界说规矩的目标规矩的目标既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.别的,用户还可以设置进行地址转换前的目标地址,如下图所示.5）界说办事选择拜访规矩包含的办事,假如用户须要制订的办事没有包含在办事列表中,可以经由过程添加自界说办事添加所需办事.假如没有选择任何办事,则体系默认为选择全体办事.6）界说帮助选项各项参数解释如下：7）点击“提交设定”完成该条拜访掌握规矩的设定.8）用户可以点击“修正”按钮,对现有规矩进行编辑.可以点击“拔出”按钮,在现有规矩间拔出一条新规矩.8）点击“清空设置装备摆设”,可以消除所有的拜访掌握规矩,便于从新设置装备摆设.9）须要更改规矩的匹配次序时点击该规矩右侧“移动”按钮,如下图所示.用户可以选择响应 ID.地位,移动计谋.完成后点击“提交设定”保管或“撤消返回”废弃移动.5．高可用性设置装备摆设设置装备摆设收集卫士防火墙双机热备的步调如下：1）选择体系 > 高可用性,进入高可用性设置页面,如下图所示.2）设置主/从装备参数,参数解释请拜见下表.3）点击“提交设定”,完成双机热备设置.四、透明模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行用WINDOWS自带的超等终端或者SecureCRT软件,运用9600的速度,用串口线衔接到防火墙,用户名是superman,暗码是talent.(具体办法见第一节),下面是具体设置装备摆设,加粗显示的为敕令行.2．设置装备摆设接口属性将ETH0口设置装备摆设为交流模式：network interface eth0 switchport设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100将ETH1口设置装备摆设为交流模式：network interface eth1 switchport设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设VLAN添加VLAN1：network vlan add id 1为VLAN1添加IP地址：network interface vlan.0001 ip add 192.168.1.250 mask255.255.255.0 label 04．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off5．界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '界说时光对象define schedule add name 上班时光 week 12345 start 08:00 end 18:006．添加体系权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any7．设置装备摆设拜访计谋'上班时光 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时光 ' 8．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.五、路由模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行办法同上面的透明模式.2．设置装备摆设接口属性设置装备摆设ETH0口的IP地址：network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100设置装备摆设ETH1口的IP地址：network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设路由设置装备摆设到192.168.3.0/24网段的路由：设置装备摆设到192.168.4.0/24网段的路由：4．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5．设置装备摆设主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '6．设置装备摆设拜访计谋PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '7．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable注：设置装备摆设好一台防火墙后,我们要设置装备摆设另一台热备的防火墙,其设置装备摆设根本上与致,独一不合的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备设置装备摆设中的本机同步IP和对端机械同步IP相反,本机IP为11.1.1.2,对端机械IP为11.1.1.1,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.。

深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品？ (4)2.“雇佣兵”式的安全服务？ (5)3.企业级的网络安全到底需要什么？ (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品，还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

深信服科技NGAF 下一代防火墙方案白皮书1.概述 (4)2.深信服下一代防火墙核心价值 (5)2.1.全程保护 (5)2.2.全程可视 (7)3.主要功能介绍 (8)3.1.系统架构设计 (8)3.2.基础防火墙特性 (11)3.3.事前风险预知 (13)3.4.事中安全防护 (18)3.5.事后检测及响应 (31)4.部署模式 (33)4.1.网关模式 (33)4.2.网桥模式 (34)4.3.旁路模式 (36)4.4.双机模式 (37)5.市场表现 (39)5.1.高速增长，年复合增长超70% (39)5.2.众多权威机构一致认可 (40)5.3.为客户需求而持续创新 (40)6.关于深信服 (40)1.概述近几年来，随着互联网+、业务数字化转型的深入推进，各行各业都在加速往互联网化、数字化转型。

业务越来越多的向公众、合作伙伴，第三方机构等开放，在数字化业务带给我们高效和便捷的同时，信息暴露面的增加，网络边界的模糊化以及黑客攻击的产业化使得网络安全事件相较以往成指数级的增加，面对应对层出不穷的新型安全事件如网站被篡改，被挂黑链，0 day 漏洞利用，数据窃取，僵尸网络，勒索病毒等等，传统安全建设模式已经捉襟见肘，面临着巨大的挑战。

问题一：传统信息安全建设，以事中防御为主。

缺乏事前的风险预知，事后的持续检测及响应能力传统意义上的安全建设无论采用的是多安全产品叠加方案还是采用 UTM/NGFW+WAF 的整合类产品解决方案，关注的重点都在于如何防护资产在被攻击过程中不被黑客入侵成功，但是并不具备对于资产的事前风险预知和事后检测响应的能力，从业务风险的生命周期来看，仅仅具备事中的防护是不完整的，如果能在事前做好预防措施以及在时候提高检测和响应的能力，安全事件发生产生的不良影响会大幅度降低，所以未来，融合安全将是安全建设发展的趋势。

问题二：传统安全建设是拼凑的事中防御，缺乏有效的联动分析和防御机制传统安全建设方案，搜集到的都是不同产品碎片化的攻击日志信息，只能简单的统计报表展示，并不能结合业务形成有效的资产安全状态分析。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4．访问策略配置 (24)5．高可用性配置 (27)四、透明模式配置示例 (29)拓补结构： (29)1．用串口管理方式进入命令行 (29)2．配置接口属性 (29)3．配置VLAN (29)4．配置区域属性 (29)5．定义对象 (29)6．添加系统权限 (29)7．配置访问策略 (30)8．配置双机热备 (30)五、路由模式配置示例 (31)拓补结构： (31)1．用串口管理方式进入命令行 (31)2．配置接口属性 (31)3．配置路由 (31)4．配置区域属性 (31)5．配置主机对象 (31)6．配置访问策略 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1．串口管理 (3)2．TELNET管理 (4)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (6)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (29)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (6)4．WEB管理 (7)5．GUI管理 (8)二、命令行常用配置 (13)1．系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3．双机热备命令(HA) (14)4．定义对象命令(DEFINE) (14)5．包过滤命令(PF) (14)6．显示运行配置命令(SHOW_RUNNING) (14)7．保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1．系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2．网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3．对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4．访问策略配置 (25)5．高可用性配置 (28)四、透明模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置VLAN (30)4．配置区域属性 (30)5．定义对象 (30)6．添加系统权限 (30)7．配置访问策略 (31)8．配置双机热备 (31)五、路由模式配置示例 (32)拓补结构： (32)1．用串口管理方式进入命令行 (32)2．配置接口属性 (32)3．配置路由 (32)4．配置区域属性 (32)6．配置访问策略 (32)7．配置双机热备 (33)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进展配置和管理。

通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进展一些根本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置〔接口、IP 地址等〕，使在不改变现有网络构造的情况下将防火墙接入网络中。

这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1〕使用一条串口线〔包含在出厂配件中〕，分别连接计算机的串口〔这里假设使用1〕和防火墙的CONSOLE 口。

2〕选择开场> 程序> 附件> 通讯> 超级终端，系统提示输入新建连接的名称。

3〕输入名称，这里假设名称为“TOPSEC〞，点击“确定〞后，提示选择使用的接口〔假设使用1〕。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停顿位： 15〕成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下列图。

6〕输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进展配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进展TELNET管理，必须进展以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any〞命令添加管理权限2)在串口下用“system telnetd start〞命令启动TELNET管理效劳3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0〞命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进展管理命令行如图：3．SSH管理SSH管理和TELNET根本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any〞命令添加管理权限2)在串口下用“system sshd start〞命令启动TELNET管理效劳3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0〞命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进展管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any〞命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置围对象 (21)C)设置子网对象 (21)D)设置地址组 (22)E)自定义服务 (22)F)设置区域对象 (23)G)设置时间对象 (23)4．访问策略配置 (24)5．高可用性配置 (27)四、透明模式配置示例 (29)拓补结构： (29)1．用串口管理方式进入命令行 (29)2．配置接口属性 (29)3．配置VLAN (29)4．配置区域属性 (29)5．定义对象 (29)6．添加系统权限 (29)7．配置访问策略 (30)8．配置双机热备 (30)五、路由模式配置示例 (31)拓补结构： (31)1．用串口管理方式进入命令行 (31)2．配置接口属性 (31)3．配置路由 (31)4．配置区域属性 (31)5．配置主机对象 (31)6．配置访问策略 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

天融信网络卫士防火墙系统TopGuard NGFW4000系列专用平台产品网络卫士防火墙系统概述十几年来，天融信专注于信息安全，国内首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片，在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革，目前已进入以自主安全操作系统TOS (Topsec Operating System) 为基础，以完全内容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF 三大系列60多个型号的防火墙产品。

网络卫士防火墙系统集成了防火墙、IPS、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。

目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用。

据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行。

据权威数据机构IDC、CCID统计，天融信已连续十多年在网络安全硬件市场处于领先地位。

NGFW4000系列概述NGFW4000是天融信网络卫士防火墙系统的中端产品系列，适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。

产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解，已在各种网络环境中经受了严格考验。

该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。

稳定可靠的硬件平台，满足真实需求的软件功能，超强的网络适应能力，使之成为多年来广受市场认同的系列主流产品。

专用平台产品概述天融信网络卫士防火墙系统NGFW4000系列专用平台产品，适用于政府、金融、学校、中小型企业等各种网络环境。

天融信防火墙NGFW4000快速配置手册之巴公井开创作一、二、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理.通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初度使用防火墙时,通常城市登录到防火墙更改出厂配置（接口、IP 地址等）,使在不改变现有网络结构的情况下将防火墙接入网络中.这里将详细介绍如何通过 CONSOLE 口连接到网络卫士防火墙：1）使用一条串口线（包括在出厂配件中）,分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口.2）选择开始 > 法式 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称.3）输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口（假设使用 com1）.4）设置 com1 口的属性,依照以下参数进行设置.5）胜利连接到防火墙后,超级终端界面会呈现输入用户名/密码的提示,如下图.2．TELNET管理3．SSH管理1)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加.2)WEB管理服务缺省是启动的,如果没有启动,也可用“system httpd start”命令翻开,管理员在管理主机的浏览器上输入防火墙的管理 URL,例如：https://192.168.1.250,弹出如下的登录页面.输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent）,点击“提交”,就可以进入管理页面.5．GUI管理GUI图形界面管理跟WEB界面一样,只是,在管理中心中集成了一些平安工具,如监控,抓包,跟踪等1)装置管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址,选择“管理”,输入用户名和密码进行管理5)也可右击管理IP地址,选择“平安工具”,进行实时监控选择：平安工具连接监控点击启动,在弹出的窗口中增加过滤条件,可用缺省值监控所有连接.选中增加的过滤条件,点设置就可以看到实时的监控效果了,如下图：三、命令行经常使用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面,天融信防火墙命令行管理可以完成所有图形界面管理功能,命令行支持TAB键补齐和TAB键帮手,命令支持多级把持,可以在系统级,也就是第一级直接输入完整的命令；也可以进入相应的功能组件级,输入对应组件命令.具体分级如下表：)系统级系统级为第一级,提供设备的基本管理命令.CLI管理员登录后,直接进入该级,显示为：TopsecOS#.组件级组件级为第二级,提供每个平安组件（SE）所独占的管理命令.在系统级下,TopsecOS #<tab> 按 tab键,则显示出平安组件级命令见下表.1．系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和检查系统配置：2．网络配置命令(NETWORK)3．双机热备命令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEERSERIAL <string> 设置 HA接口的对真个 licence 序列号HA NO <local|peer|peerserial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先还是备份机优先（默认为 backup,即如果同时启动主机成为活HA SHOW <cr> 检查 HA的配置信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 清除 HA配置信息HA SYNC <frompeer|topeer> HA同步（从对端机上同步配置/同步配置到对端机上）4．界说对象命令(DEFINE)5．包过滤命令(PF)增加一条服务访问规则SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pl uto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc> area <string> <[addressid <number>]| [addressname <addr_name>]>6．显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7．保管配置命令(SAVE)SAVE四、WEB界面经常使用配置用浏览器或者集中管理中心登录到WEB管理界面如下：1．系统管理配置在“系统”下,可以显示或配置系统相关设置A)系统 > 基本信息显示系统的型号、版本、功能模块、接口信息等等：B)系统 > 运行状态检查系统的运行状态,包括CPU、内存使用情况和以后连接数等C)系统 > 配置维护上传或下载配置文件D)系统 > 系统服务系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和 HTTP服务.TOS系统提供了对这些服务的控制（启动和停止）功能,其具体的把持如下：E)系统 > 开放服务添加或检查系统权限,包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等F)系统 > 系统重启2．网络接口、路由配置A)设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置,具体步伐如下：1）在管理界面左侧导航菜单中选择网络 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口：Eth0、Eth1、Eth2.2）如果要将某端口设为路由模式,点击该端口后的路由修改图标“”,弹出“设定路由”对话框,如下图所示.可以为某个端口设置多个 IP 地址,点击“添加配置”按钮,添加接口的 IP 地址.如果选择“hastatic”,暗示双机热备的两台设备在进行主从切换时,可以保管原来的地址不变,否则,从墙的地址将被主墙覆盖.网络卫士防火墙不支持分歧的物理接口配置相同的 IP地址或 IP 地址在同一子网内.3）如果要将某端口设交换模式,点击该端口后的交换修改图标“”,弹出“交换”设置窗口,如下图所示.首先,需要确定该接口的类型是“Access”还是“Trunk”.如果是“Access”接口,则暗示该交换接口只属于一个 VLAN,需要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数说明如下表所示：点击“提交设定”则完成接口从路由模式向交换模式的转换.4）点击“其他”按钮,可以设置接口的其他信息,如下图. B)设置路由用户可以在网络卫士防火墙上设置战略路由及静态路由,具体步伐如下：1）在左侧导航菜单中选择网络 > 静态路由,可以看到已经添加的战略路由表以及系统自动添加的静态路由表,如下图所示.2）设置战略路由,点击“添加战略路由”,如下图所示.其中“网关”为下一跳路由器的入口地址,“端口”指定了从防火墙设备的哪一个接口（包括物理接口和 VLAN 虚接口）发送数据包.Metric 为接口跃点数,默认为 1.如果选择“NAT 后的源”为“是”,暗示战略路由的源地址为 NAT 后的地址,战略路由添加胜利后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,战略路由添加胜利后的“标识表记标帜”一栏显示为“U”.3）设置完成后,点击“提交设定”按钮,如果添加胜利会弹出“添加胜利”对话框.点击“取消返回”则放弃添加,返回上一界面.若要删除某路由项,点击该路由项所在行的删除图标“”进行删除.4）移动战略路由.由于战略执行为第一匹配原则,则战略的顺序与战略的逻辑相关,在此可以改变添加战略时候的缺省的执行顺序（依照添加顺序排列）.具体设置方法为：在战略路由表中点击要移动的路由选项（例如要移动战略路由102）后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考位置路由,第二个下拉框中则是选择将以后路由移动到参考路由之前还是之后.例如：要将路由 102 移动到路由 101 之前,则第一个下拉框选择ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动胜利对话框.点击“确定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3．对象配置A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加配置”,系统呈现添加主机对象属性的页面,如下图所示.B)设置范围对象选择对象 > 地址对象 > 地址范围,右侧界面显示已有的地址范围对象,如下图所示.点击“添加配置”,进入地址范围对象属性的页面,如下图所示. C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组分歧的地址对象可以组合为一个地址组,用作界说战略的目的或源.地址组的支持增强了对象管理的条理性,使管理更加灵活.设置地址组对象的步伐如下：1）选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2）选择“添加配置”,系统呈现如下图所示的页面.E)自界说服务当预界说的服务中找不到我们需要的服务端口时,我们可以自己界说服务端口：1）选择对象 > 服务对象 > 自界说服务,点击“添加配置”,系统呈现如下页面.2）输入对象名称后,设置协议类型及端口号范围.3）点击“提交设定”,完成设置.F)设置区域对象系统支持区域的概念,用户可以根据实际情况,将网络划分为分歧的平安域,并根据其分歧的平安需求,界说相应的规则进行区域鸿沟防护.如果不存在可匹配的访问控制规则,网络卫士防火墙将根据目的接口所在区域的权限处置该报文.设置区域对象,具体把持如下：1）选择对象 > 区域对象,显示已有的区域对象.防火墙出厂配置中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象 eth0 已和接口eth0 绑定,因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0.2）点击“添加配置”,增加一个区域对象,如下图所示.在“对象名称”部份输入区域对象名称；在“权限选择”部份设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）.在“选择属性”部份的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将呈现在右侧的“被选属性”文本框中,可以同时选择一个或多个.3）设置完成后,点击“提交设定”按钮,如果添加胜利会弹出“添加胜利”对话框.4）点击“取消返回”则放弃添加,返回上一界面.5）若要修改区域对象的设置,点击该区域对象所在行的修改图标“”进行修改.6）若要删除区域对象,点击该区域对象所在行的删除图标“”进行删除.G)设置时间对象用户可以设置时间对象,以便在访问控制规则中引用,从而实现更细粒度的控制.比如,用户希望针对工作时间和非工作时间设置分歧的访问控制规则,引入时间对象的概念很容易解决该类问题.设置时间对象,具体把持如下：1）选择对象 > 时间对象,点击“添加配置”,系统呈现如下页面.2）依次设置“对象名称”、“每周时段”和“每日时段”.3）最后点击“提交设定”,完成对象设置.新添加的对象将显示在时间对象列表中,如下图所示.4）对已经添加的时间对象,可以点击修改图标修改其属性,也可以点击删除图标删除该对象.4．访问战略配置用户可以通过设置访问控制规则实现灵活、强年夜的三到七层的访问控制.系统不单可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,而且还可以针对多种应用层协议进行深度内容检测和过滤.与报文阻断战略相同,访问控制规则也是顺序匹配的,但与其分歧,访问控制规则没有默认规则.也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处置该报文.界说访问规则,把持步伐如下：1）选择防火墙引擎 > 访问控制,点击“添加配置”,进入访问控制规则界说界面.表中“ID”为每项规则的编号,在移动规则顺序时将会使用.“控制”中的图标和 ,分别暗示该项规则是否启用.2）界说是否启用该访问控制规则（默认为启用该规则）,以及访问权限.访问权限界说了是否允许访问由规则源到规则目的所指定的服务. 3）界说规则的源规则的源既可以是一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序排列和倒序排列,用户可以方便的顺次查找项目.另外,用户还可以选择相应的服务,即设置源端口,如下图所示. 4）界说规则的目的规则的目的既可以是一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.另外,用户还可以设置进行地址转换前的目的地址,如下图所示. 5）界说服务选择访问规则包括的服务,如果用户需要制定的服务没有包括在服务列表中,可以通过添加自界说服务添加所需服务.如果没有选择任何服务,则系统默认为选择全部服务.6）界说辅助选项各项参数说明如下：7）点击“提交设定”完成该条访问控制规则的设定.8）用户可以点击“修改”按钮,对现有规则进行编纂.可以点击“拔出”按钮,在现有规则间拔出一条新规则.8）点击“清空配置”,可以清除所有的访问控制规则,便于重新配置.9）需要更改规则的匹配顺序时点击该规则右侧“移动”按钮,如下图所示.用户可以选择相应 ID、位置,移动战略.完成后点击“提交设定”保管或“取消返回”放弃移动.5．高可用性配置配置网络卫士防火墙双机热备的步伐如下：1）选择系统 > 高可用性,进入高可用性设置页面,如下图所示. 2）设置主/从设备参数,参数说明请拜会下表.3）点击“提交设定”,完成双机热备设置.五、透明模式配置示例拓补结构：1．用串口管理方式进入命令行用WINDOWS自带的超级终端或者SecureCRT软件,使用9600的速率,用串口线连接到防火墙,用户名是superman,密码是talent.(具体方法见第一节),下面是具体配置,加粗显示的为命令行.2．配置接口属性将ETH0口配置为交换模式：network interface eth0 switchport配置ETH0口的METRIC值,用于计算双机热备的权值：network interface eth0 hametric 100将ETH1口配置为交换模式：network interface eth1 switchport配置ETH1口的METRIC值,用于计算双机热备的权值：network interface eth1 hametric 100配置ETH2口的METRIC值,用于计算双机热备的权值：network interface eth2 hametric 100将没有使用的ETH2口关闭：network interface eth2 shutdown配置同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask255.255.255.252 hastatic label 0配置ETH3口的METRIC值,用于计算双机热备的权值：network interface eth3 hametric 1003．配置VLAN添加VLAN1：network vlan add id 1为VLAN1添加IP地址：network interface vlan.0001 ip add 192.168.1.250 mask 255.255.255.0 label 04．配置区域属性将区域缺省访问权限为禁止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5．界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 ' 界说时间对象define schedule add name 上班时间 week 12345 start 08:00end 18:006．添加系统权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any 7．配置访问战略允许192.168.1.10在'上班时间 '访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal这些服务：firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst'192.168.1.20 ' service 'PING FTP SSH TELNET SMTPDNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal ' schedule '上班时间 '8．配置双机热备配置本机同步IP配置对端机器同步IP启动双机热备功能ha enable注：配置好一台防火墙后,我们要配置另一台热备的防火墙,其配置基本上与致,唯一分歧的只有两个处所,一个是同步接口ETH3的IP地址为11.1.1.2；另一个是双机热备配置中的本机同步IP和对端机器同步IP相反,本机IP为11.1.1.2,对端机器IP为11.1.1.1,完成配置之后,我们先接好心跳线,将两台防火墙的ETH3口连接,然后接上其他接口的网线,到此透明模式的双机热备配置完成.六、路由模式配置示例拓补结构：1．用串口管理方式进入命令行方法同上面的透明模式.2．配置接口属性配置ETH0口的IP地址：network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0配置ETH0口的METRIC值,用于计算双机热备的权值：network interface eth0 hametric 100配置ETH1口的IP地址：network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0配置ETH1口的METRIC值,用于计算双机热备的权值：network interface eth1 hametric 100配置ETH2口的METRIC值,用于计算双机热备的权值：network interface eth2 hametric 100将没有使用的ETH2口关闭：network interface eth2 shutdown配置同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 hastatic label 0配置ETH3口的METRIC值,用于计算双机热备的权值：network interface eth3 hametric 1003．配置路由配置到192.168.3.0/24网段的路由：配置到192.168.4.0/24网段的路由：4．配置区域属性将区域缺省访问权限为禁止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5．配置主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 ' 6．配置访问战略允许192.168.1.10访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal这些服务：firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst'192.168.1.20 ' service 'PING FTP SSH TELNET SMTPDNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal '7．配置双机热备配置本机同步IP配置对端机器同步IP启动双机热备功能ha enable注：配置好一台防火墙后,我们要配置另一台热备的防火墙,其配置基本上与致,唯一分歧的只有两个处所,一个是同步接口ETH3的IP地址为11.1.1.2；另一个是双机热备配置中的本机同步IP和对端机器同步IP相反,本机IP为11.1.1.2,对端机器IP为11.1.1.1,完成配置之后,我们先接好心跳线,将两台防火墙的ETH3口连接,然后接上其他接口的网线,到此透明模式的双机热备配置完成.。

网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印© 1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000-UF系列产品说明目录1产品概述 (1)2关键技术 (2)1）灵活的接口扩展能力 (2)2）安全高效的TOS操作系统 (2)3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (3)4）完全内容检测CCI技术 (3)3产品特点介绍 (3)4产品功能 (9)5运行环境与标准 (15)6典型应用 (17)1）典型应用一：在大型网络中的应用 (17)2）典型应用二：虚拟防火墙应用 (18)3）典型应用三：AA模式双机热备 (19)7产品资质 (20)1产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。

它继承了天融信公司十多年来在安全产品研发中的积累的多项成果，以自主知识产权的网络安全操作系统TOS （Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。

天融信防火墙NGFW4000 快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE口以命令行方式进行配置和管理。

通过 CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1 ）和防火墙的CONSOLE口。

2）选择开始>程序>附件>通讯>超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。

4）设置com1口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/ 密码的提示，如下图。

6）输入系统默认的用户名： superman 和密码： talent ，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2． TELNET 管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP 地址，或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP 地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理： TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3． SSH 管理SSH管理和 TELNET基本一至，只不过 SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理： 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4． WEB 管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)3．双机热备命令(HA) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (29)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)7．配置双机热备 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。