天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET5)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理:5)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (7)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (13)MONITOR (13)服务管理命令无 (13)2.网络配置命令(NETWORK) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)ETH0 (30)ETH1 (30)ETH2 (30)ETH3 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)5.配置主机对象 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1.串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装备摆设(接口.IP 地址等),使在不转变现有收集构造的情形下将防火墙接入收分散.这里将具体介绍若何经由过程 CONSOLE口衔接到收集卫士防火墙:1)运用一条串口线(包含在出厂配件中),分离衔接盘算机的串口(这里假设运用 com1)和防火墙的 CONSOLE 口.2)选择开端 > 程序 > 附件 > 通信 > 超等终端,体系提醒输入新建衔接的名称.3)输入名称,这里假设名称为“TOPSEC”,点击“肯定”后,提醒选择运用的接口(假设运用 com1).4)设置 com1 口的属性,按照以下参数进行设置.5)成功衔接到防火墙后,超等终端界面会消失输入用户名/暗码的提醒,如下图.6)输入体系默认的用户名:superman 和暗码:talent,即可登录到收集卫士防火墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治理.2.TELNET治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0addressname any”敕令添加治理权限2)在串口下用“system telnetd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图:3.SSH治理SSH治理和TELNET根本一至,只不过SSH是加密的,我们用如下步调治理:1)在串口下用“pf service add name ssh area area_eth0 addressnameany”敕令添加治理权限2)在串口下用“system sshd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图:4.WEB治理1)防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限,假如没有,可用“pf service add name webui area area_eth0 addressname any”敕令添加.2)WEB治理办事缺省是启动的,假如没有启动,也可用“system httpd start”敕令打开,治理员在治理主机的阅读器上输入防火墙的治理 URL,例如:0,弹出如下的登录页面.输入用户名暗码后(收集卫士防火墙默认出厂用户名/暗码为:superman/talent),点击“提交”,就可以进入治理页面.5.GUI治理GUI图形界面治理跟WEB界面一样,只是,在治理中间中集成了一些安然对象,如监控,抓包,跟踪等1)装配治理中间软件2)运行治理软件3)右击树形“TOPSEC治理中间”添加治理IP4)右击治理IP地址,选择“治理”,输入用户名和暗码进行治理5)也可右击治理IP地址,选择“安然对象”,进行及时监控选择:安然对象-衔接监控点击启动,在弹出的窗口中增长过滤前提,可用缺省值监控所有衔接.选中增长的过滤前提,点设置就可以看到及时的监控后果了,如下图:二、敕令行经常运用设置装备摆设(注:用串口.TELNET.SSH方法进入到敕令行治理界面,天融信防火墙敕令行治理可以完成所有图形界面治理功效,敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表:)体系级体系级为第一级,供给装备的根本治理敕令.CLI治理员登录后,直接进入该级,显示为:TopsecOS#.组件级组件级为第二级,供给每个安然组件(SE)所独有的治理敕令.在体系级下,TopsecOS #<tab> 按 tab键,则显示出安然组件级敕令见下表.1.体系治理敕令(SYSTEM)在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设:2.收集设置装备摆设敕令(NETWORK)3.双机热备敕令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先照样备份机优先(默认为 backup,即假如同时启动主机成为活HA SHOW <cr> 检讨 HA的设置装备摆设信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 消除 HA设置装备摆设信息HA SYNC <from-peer|to-peer> HA同步(从对端机上同步设置装备摆设/同步设置装备摆设到对端机上)4.界说对象敕令(DEFINE)5.包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6.显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7.保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下:1.体系治理设置装备摆设在“体系”下,可以显示或设置装备摆设体系相干设置A)体系 > 根本信息显示体系的型号.版本.功效模块.接口信息等等:B)体系 > 运行状况检讨体系的运行状况,包含CPU.内存运用情形和当前衔接数等C)体系 > 设置装备摆设保护上传或下载设置装备摆设文件D)体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH 办事.Telnet办事和 HTTP办事.TOS体系供给了对这些办事的掌握(启动和停滞)功效,其具体的操纵如下:E)体系 > 凋谢办事添加或检讨体系权限,包含WEB治理.GUI治理.TELNET治理.SSH治理.监控等等F)体系 > 体系重启2.收集接口.路由设置装备摆设A)设置防火墙接口属性用户可以对收集卫士防火墙的物理接口的属性进行设置,具体步调如下:1)在治理界面左侧导航菜单中选择收集 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口:Eth0.Eth1.Eth2.2)假如要将某端口设为路由模式,点击该端口后的路由修正图标“”,弹出“设定路由”对话框,如下图所示.可认为某个端口设置多个 IP 地址,点击“添加设置装备摆设”按钮,添加接口的 IP 地址.假如选择“ha-static”,暗示双机热备的两台装备在进行主从切换时,可以保管本来的地址不变,不然,从墙的地址将被主墙笼罩.收集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP地址或 IP 地址在统一子网内.3)假如要将某端口设交流模式,点击该端口后的交流修正图标“”,弹出“交流”设置窗口,如下图所示.起首,须要肯定该接口的类型是“Access”照样“Trunk”.假如是“Access”接口,则暗示该交流接口只属于一个 VLAN,须要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数解释如下表所示:点击“提交设定”则完成接口从路由模式向交流模式的转换.4)点击“其他”按钮,可以设置接口的其他信息,如下图.B)设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由,具体步调如下:1)在左侧导航菜单中选择收集 > 静态路由,可以看到已经添加的计谋路由表以及体系主动添加的静态路由表,如下图所示.2)设置计谋路由,点击“添加计谋路由”,如下图所示.个中“网关”为下一跳路由器的进口地址,“端口”指定了从防火墙装备的哪一个接口(包含物理接口和 VLAN 虚接口)发送数据包.Metric 为接口跃点数,默认为 1.假如选择“NAT 后的源”为“是”,暗示计谋路由的源地址为 NAT 后的地址,计谋路由添加成功后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,计谋路由添加成功后的“标识表记标帜”一栏显示为“U”.3)设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.点击“撤消返回”则废弃添加,返回上一界面.若要删除某路由项,点击该路由项地点行的删除图标“”进行删除.4)移动计谋路由.因为计谋履行动第一匹配原则,则计谋的次序与计谋的逻辑相干,在此可以转变添加计谋时刻的缺省的履行次序(按照添加次序分列).具体设置办法为:在计谋路由表中点击要移动的路由选项(例如要移动计谋路由 102)后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考地位路由,第二个下拉框中则是选择将当前路由移动到参考路由之前照样之后.例如:要将路由 102 移动到路由 101 之前,则第一个下拉框选择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功对话框.点击“肯定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3.对象设置装备摆设A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加设置装备摆设”,体系消失添加主机对象属性的页面,如下图所示.B)设置规模对象选择对象 > 地址对象 > 地址规模,右侧界面显示已有的地址规模对象,如下图所示.点击“添加设置装备摆设”,进入地址规模对象属性的页面,如下图所示.C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组不合的地址对象可以组合为一个地址组,用作界说计谋的目标或源.地址组的支撑加强了对象治理的层次性,使治理加倍灵巧.设置地址组对象的步调如下:1)选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2)选择“添加设置装备摆设”,体系消失如下图所示的页面.E)自界说办事当预界说的办事中找不到我们须要的办事端口时,我们可以本身界说办事端口:1)选择对象 > 办事对象 > 自界说办事,点击“添加设置装备摆设”,体系消失如下页面.2)输入对象名称后,设置协定类型及端标语规模.3)点击“提交设定”,完成设置.F)设置区域对象体系支撑区域的概念,用户可以依据现实情形,将收集划分为不合的安然域,并依据其不合的安然需求,界说响应的规矩进行区域鸿沟防护.假如不消失可匹配的拜访掌握规矩,收集卫士防火墙将依据目标接口地点区域的权限处理该报文.设置区域对象,具体操纵如下:1)选择对象 > 区域对象,显示已有的区域对象.防火墙出厂设置装备摆设中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象eth0 已和接口eth0 绑定,是以出厂设置装备摆设中防火墙的物理接口eth0 已属于区域 AREA_ETH0.2)点击“添加设置装备摆设”,增长一个区域对象,如下图所示.在“对象名称”部分输入区域对象名称;在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性(许可拜访或制止拜访).在“选择属性”部分的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将出如今右侧的“被选属性”文本框中,可以同时选择一个或多个.3)设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.4)点击“撤消返回”则废弃添加,返回上一界面.5)若要修正区域对象的设置,点击该区域对象地点行的修正图标“”进行修正.6)若要删除区域对象,点击该区域对象地点行的删除图标“”进行删除.G)设置时光对象用户可以设置时光对象,以便在拜访掌握规矩中引用,从而实现更细粒度的掌握.比方,用户愿望针对工作时光和非工作时光设置不合的拜访掌握规矩,引入时光对象的概念很轻易解决该类问题.设置时光对象,具体操纵如下:1)选择对象 > 时光对象,点击“添加设置装备摆设”,体系消失如下页面. 2)依次设置“对象名称”.“每周时段”和“每日时段”.3)最后点击“提交设定”,完成对象设置.新添加的对象将显示在时光对象列表中,如下图所示.4)对已经添加的时光对象,可以点击修正图标修正其属性,也可以点击删除图标删除该对象.4.拜访计谋设置装备摆设用户可以经由过程设置拜访掌握规矩实现灵巧.壮大的三到七层的拜访掌握.体系不单可以从区域.VLAN.地址.用户.衔接.时光等多个层面临数据报文进行判别和匹配,并且还可以针对多种运用层协定进行深度内容检测和过滤.与报文阻断计谋雷同,拜访掌握规矩也是次序匹配的,但与其不合,拜访掌握规矩没有默认规矩.也就是说,假如没有在拜访掌握规矩列表的末尾添加一条全体谢绝的规矩的话,体系将依据目标接口地点区域的缺省属性(许可拜访或制止拜访)处理该报文.界说拜访规矩,操纵步调如下:1)选择防火墙引擎 > 拜访掌握,点击“添加设置装备摆设”,进入拜访掌握规矩界说界面.表中“ID”为每项规矩的编号,在移动规矩次序时将会运用.“掌握”中的图标和 ,分离暗示该项规矩是否启用.2)界说是否启用该拜访掌握规矩(默认为启用该规矩),以及拜访权限.拜访权限界说了是否许可拜访由规矩源到规矩目标所指定的办事.3)界说规矩的源规矩的源既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序分列和倒序分列,用户可以便利的按序查找项目.别的,用户还可以选择响应的办事,即设置源端口,如下图所示.4)界说规矩的目标规矩的目标既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.别的,用户还可以设置进行地址转换前的目标地址,如下图所示.5)界说办事选择拜访规矩包含的办事,假如用户须要制订的办事没有包含在办事列表中,可以经由过程添加自界说办事添加所需办事.假如没有选择任何办事,则体系默认为选择全体办事.6)界说帮助选项各项参数解释如下:7)点击“提交设定”完成该条拜访掌握规矩的设定.8)用户可以点击“修正”按钮,对现有规矩进行编辑.可以点击“拔出”按钮,在现有规矩间拔出一条新规矩.8)点击“清空设置装备摆设”,可以消除所有的拜访掌握规矩,便于从新设置装备摆设.9)须要更改规矩的匹配次序时点击该规矩右侧“移动”按钮,如下图所示.用户可以选择响应 ID.地位,移动计谋.完成后点击“提交设定”保管或“撤消返回”废弃移动.5.高可用性设置装备摆设设置装备摆设收集卫士防火墙双机热备的步调如下:1)选择体系 > 高可用性,进入高可用性设置页面,如下图所示.2)设置主/从装备参数,参数解释请拜见下表.3)点击“提交设定”,完成双机热备设置.四、透明模式设置装备摆设示例拓补构造:1.用串口治理方法进入敕令行用WINDOWS自带的超等终端或者SecureCRT软件,运用9600的速度,用串口线衔接到防火墙,用户名是superman,暗码是talent.(具体办法见第一节),下面是具体设置装备摆设,加粗显示的为敕令行.2.设置装备摆设接口属性将ETH0口设置装备摆设为交流模式:network interface eth0 switchport设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值:network interface eth0 ha-metric 100将ETH1口设置装备摆设为交流模式:network interface eth1 switchport设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值:network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值:network interface eth2 ha-metric 100将没有运用的ETH2口封闭:network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜:network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值:network interface eth3 ha-metric 1003.设置装备摆设VLAN添加VLAN1:network vlan add id 1为VLAN1添加IP地址:network interface vlan.0001 ip add 192.168.1.250 mask255.255.255.0 label 04.设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off5.界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '界说时光对象define schedule add name 上班时光 week 12345 start 08:00 end 18:006.添加体系权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any7.设置装备摆设拜访计谋'上班时光 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事:firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时光 ' 8.设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.五、路由模式设置装备摆设示例拓补构造:1.用串口治理方法进入敕令行办法同上面的透明模式.2.设置装备摆设接口属性设置装备摆设ETH0口的IP地址:network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值:network interface eth0 ha-metric 100设置装备摆设ETH1口的IP地址:network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值:network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值:network interface eth2 ha-metric 100将没有运用的ETH2口封闭:network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜:network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值:network interface eth3 ha-metric 1003.设置装备摆设路由设置装备摆设到192.168.3.0/24网段的路由:设置装备摆设到192.168.4.0/24网段的路由:4.设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5.设置装备摆设主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '6.设置装备摆设拜访计谋PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事:firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '7.设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable注:设置装备摆设好一台防火墙后,我们要设置装备摆设另一台热备的防火墙,其设置装备摆设根本上与致,独一不合的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备设置装备摆设中的本机同步IP和对端机械同步IP相反,本机IP为11.1.1.2,对端机械IP为11.1.1.1,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.。
天融信防火墙NGFW4000快速配置手册【范本模板】
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置.用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中.这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序〉附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 16)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192。
168.1.250 mask 255.255.255。
0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1。
2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 1/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
(参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位:【15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask ”命令添加管理IP地址4)、5)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET6)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add mask ”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:5)]6)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 16)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
最新天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 1/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
资料天融信防火墙 NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。
2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1 )。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600奇偶校验:无停止位:15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码: talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2. TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system telnetd start”命令启动 TELNET管理服务3)知道管理 IP地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP地址4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:SSH管理和 TELNET基本一至,只不过 SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“ system sshd start” 命令启动TELNET管理服务3)知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP 地址4)然后用各种命令行客户端 ( 如 putty 命令行 ) 管理: 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4. WEB管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE口以命令行方式进行配置和管理。
通过CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 15)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent ,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1) 在串口下用“pf service add name telnet area area_eth0 addressname any ”命令添加管理权限2) 在串口下用“system telnetd start ”命令启动TELNET管理服务3) 知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 ”命令添加管理IP 地址4) 然后用各种命令行客户端( 如WINDOWS CM命D令行) 管理:TELNET 192.168.1.2505) 最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1) 在串口下用“pf service add name ssh area area_eth0 addressname any ”命令添加管理权限2) 在串口下用“system sshd start ”命令启动TELNET管理服务3) 知道管理IP 地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 ”命令添加管理IP 地址4) 然后用各种命令行客户端( 如putty 命令行) 管理:192.168.1.2505) 最后输入用户名和密码进行管理命令行如图:4.WEB管理1) 防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any ”命令添加。
天融信防火墙NGFW4000配置手册[精品文档]
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (8)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3.双机热备命令(HA) (14)4.定义对象命令(DEFINE) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)3.配置路由 (32)4.配置区域属性 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000快速配置手册簿
实用文档
天融信防火墙NGFW4000快速配置手册
一、防火墙的几种管理方式
1.串口管理
第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火
墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:
1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称取值
每秒位数:9600
数据位:8
文案大全。
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册一、令狐采学二、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的 CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
2.TELNET管理3.SSH管理1)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
2)WEB管理服务缺省是启动的,如果没有启动,也可用“system httpd start”命令打开,管理员在管理主机的浏览器上输入防火墙的管理 URL,例如:https://192.168.1.250,弹出如下的登录页面。
输入用户名密码后(网络卫士防火墙默认出厂用户名/密码为:superman/talent),点击“提交”,就可以进入管理页面。
5.GUI管理GUI图形界面管理跟WEB界面一样,只是,在管理中心中集成了一些安全工具,如监控,抓包,跟踪等1)安装管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址,选择“管理”,输入用户名和密码进行管理5)也可右击管理IP地址,选择“安全工具”,进行实时监控选择:安全工具连接监控点击启动,在弹出的窗口中增加过滤条件,可用缺省值监控所有连接。
天融信防火墙NGFW4000快速配置手册范本
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 1/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.T ELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.S SH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.W EB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (29)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
2)WEB管理服务缺省是启动的,如果没有启动,也可用“system httpd start”命令打开,管理员在管理主机的浏览器上输入防火墙的管理 URL,例如:https://192.168.1.250,弹出如下的登录页面。
输入用户名密码后(网络卫士防火墙默认出厂用户名/密码为:superman/talent),点击“提交”,就可以进入管理页面。
5.GUI管理GUI图形界面管理跟WEB界面一样,只是,在管理中心中集成了一些安全工具,如监控,抓包,跟踪等1)安装管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址,选择“管理”,输入用户名和密码进行管理5)也可右击管理IP地址,选择“安全工具”,进行实时监控选择:安全工具-连接监控点击启动,在弹出的窗口中增加过滤条件,可用缺省值监控所有连接。
选中增加的过滤条件,点设置就可以看到实时的监控效果了,如下图:二、命令行常用配置(注:用串口、TELNET、SSH方式进入到命令行管理界面,天融信防火墙命令行管理可以完成所有图形界面管理功能,命令行支持TAB键补齐和TAB键帮助,命令支持多级操作,可以在系统级,也就是第一级直接输入完整的命令;也可以进入相应的功能组件级,输入对应组件命令。
具体分级如下表:)系统级系统级为第一级,提供设备的基本管理命令。
CLI管理员登录后,直接进入该级,显示为:TopsecOS#。
组件级组件级为第二级,提供每个安全组件(SE)所独有的管理命令。
1.系统管理命令(SYSTEM)3.双机热备命令(HA)HA LOCAL <ipaddress> 设置HA接口的本机地址HA PEER <ipaddress> 设置HA接口的对端地址HA PEER-SERIAL <string> 设置HA接口的对端的licence 序列号HA NO <local|peer|peer-serial> 复位HA接口的本机地址/对端地址/对端licence序列号HA PRIORITY<primary|backup> 设定HA 优先级是主机优先还是备份机优先(默认为backup,即如果同时启动主机成为活HA SHOW <cr> 查看HA的配置信息HA ENABLE<cr> 启动HAHA DISABLE<cr> 停用HAHA CLEAN<cr> 清除HA配置信息HA SYNC <from-peer|to-peer> HA同步(从对端机上同步配置/同步配置到对端机上)5.包过滤命令(PF)增加一条服务访问规则SERVICE ADD name <gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp| pptp|webui|vrc|vdc> area <string> <[addressid <number>]| [addressname <addr_name>]>6.显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7.保存配置命令(SAVE)SAVE三、WEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界面如下:1.系统管理配置在“系统”下,可以显示或配置系统相关设置A)系统> 基本信息显示系统的型号、版本、功能模块、接口信息等等:B)系统> 运行状态查看系统的运行状态,包括CPU、内存使用情况和当前连接数等C)系统> 配置维护上传或下载配置文件D)系统> 系统服务系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和HTTP服务。
TOS系统提供了对这些服务的控制(启动和停止)功能,其具体的操作如下:E)系统> 开放服务添加或查看系统权限,包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等F)系统> 系统重启2.网络接口、路由配置A)设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置,具体步骤如下:1)在管理界面左侧导航菜单中选择网络> 物理接口,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口:Eth0、Eth1、Eth2。
2)如果要将某端口设为路由模式,点击该端口后的路由修改图标“”,弹出“设定路由”对话框,如下图所示。
可以为某个端口设置多个IP 地址,点击“添加配置”按钮,添加接口的IP 地址。
如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时,可以保存原来的地址不变,否则,从墙的地址将被主墙覆盖。