网络卫士防火墙NGFW 4000系列产品白皮书

网络卫士系列防火墙NGFW4000-UF系列产品说明天融信Topsec 北京市海淀区知春路49号希格玛大厦4层，100080电话：+8610-82611122传真：+8610-62304552服务热线：+8610-8008105119网络卫士系列防火墙产品说明版权声明　本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印© 2005天融信公司商标声明　本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈　Ｅｍａｉｌ：ＰＬＭＣ＠ｔｏｐｓｅｃ．ｃｏｍ．ｃｎ　NGFW 4000-UF系列产品说明目录1产品概述 (1)2产品特点 (2)3产品功能 (10)4运行环境与标准 (13)5产品规格 (14)6典型应用 (15)1 产品概述网络卫士系列防火墙ＮＧＦＷ４０００（ＮｅｔＧｕａｒｄ　ＦｉｒｅＷａｌｌ）系列产品，是天融信公司结合了多年来的网络安全产品开发与实践经验，在参考了天融信广大用户宝贵建议的基础上，开发的最新一代网络安全产品。

该产品以天融信公司具有自主知识产权的ＴＯＳ（Ｔｏｐｓｅｃ　Ｏｐｅｒａｔｉｎｇ　Ｓｙｓｔｅｍ）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、入侵检测、ＶＰＮ、身份认证等多种安全解决方案，构建的一个安全、高效、易于管理和扩展的网络安全产品。

　ＮＧＦＷ４０００－ＵＦ属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

网络卫士防火墙N G F W U F系列产品说明公司内部档案编码：[OPPTR-OPPT28-OPPTL98-OPPNN08]网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC 北京市海淀区上地东路1号华控大厦 100085版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC天融信信息反馈目录1产品概述..................................................... 2关键技术..................................................... 1）灵活的接口扩展能力.......................................... 2）安全高效的TOS操作系统...................................... 3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4）完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1）典型应用一：在大型网络中的应用.............................. 2）典型应用二：虚拟防火墙应用.................................. 3）典型应用三：AA模式双机热备..................................1产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。

目录1产品概述 (1)2产品特色 (2)2.1灵活的管理接口 (2)2.2管理员权限分权分立 (2)2.3安全隔离的虚拟系统 (3)2.3.1一机多用，节省投资 (3)2.3.2灵活配置，方便管理 (3)2.3.3业务隔离，互不影响 (3)2.4全面的IPv6Ready能力 (4)2.4.1IPv4/IPv6双栈 (4)2.4.2跨栈隧道方案 (5)2.5多层次可靠性保证，整机可靠性高 (7)2.5.1硬件可靠性 (7)2.5.2整机可靠性 (10)2.5.3系统可靠性 (16)2.5.4链路可靠性 (16)2.6智能DNS解析 (22)2.7地理位置识别（国内+国际） (22)2.8全面、智能的路由功能 (22)2.8.1全面的路由功能 (22)2.8.2精确的多出口ISP路由智能选路 (22)2.8.3对称路由保证来回路径一致 (23)2.8.4高适应性的路由负载均衡算法 (23)2.9一体化的安全策略 (23)2.10全面的SSL解密防护 (23)2.10.1SSL解密防护 (23)2.10.2SSL入站检查 (24)2.11丰富的VPN隧道类型 (24)2.12强大的动态QoS功能 (24)2.13持续关注重点应用/URL (24)2.14深度安全检测及DLP，保护网络安全 (25)2.14.1概述 (25)2.14.2全面的应用层攻击防护能力 (25)2.14.3先进的多维动态特征异常检测引擎 (26)2.14.4灵活的自定义漏洞/间谍软件特征功能 (26)2.14.5多维度的DLP数据防泄漏 (26)2.14.6强大的威胁情报渗透 (27)2.15多系统联动防护，构建立体式防护体系 (27)2.15.1防火墙和终端系统联动 (28)2.15.2防火墙和天眼系统联动 (29)2.15.3防火墙和NGSOC系统联动 (29)2.15.4防火墙和天御云系统联动 (30)2.15.5防火墙和ITS系统联动 (30)2.16应用及流量可视化，网络行为无所遁形 (32)2.16.1概述 (32)2.16.2大容量、多维度日志 (33)2.16.3多样化的日志检索方式 (33)2.16.4全方位风险信息展示及分析 (33)2.16.5强大的内容审计策略 (34)2.17自动化应急响应功能 (34)3技术优势 (35)3.1采用第四代SecOS系统 (35)3.2整体框架采用AMP+并行处理架构 (35)3.3优化的AMP+架构突破传统SMP架构瓶颈 (36)3.4更优化的网口数据收发处理 (38)3.5单引擎一次性数据处理技术 (39)3.6多级冗余架构提高防火墙可靠性 (39)3.7云端协同扩展精确定位威胁 (40)3.8基于NDR安全体系的未知威胁闭环防御 (40)4应用场景 (42)4.1企业互联网边界安全应用场景 (42)4.1.1典型场景 (42)4.1.2痛点和优势 (43)4.2行业专网网络安全应用场景 (44)4.2.1典型场景 (44)4.2.2痛点和优势 (45)4.3数据中心出口安全应用场景 (46)4.3.1典型场景 (46)4.3.2痛点和优势 (46)4.4多分支企业组网安全应用场景 (48)4.4.1典型场景 (48)4.4.2痛点和优势 (49)1产品概述随着信息化的飞速发展，网络形势正发生着日新月异的演变，层出不穷的新型威胁冲击着现有的安全防护体系。

天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1．串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装备摆设（接口.IP 地址等）,使在不转变现有收集构造的情形下将防火墙接入收分散.这里将具体介绍若何经由过程 CONSOLE口衔接到收集卫士防火墙：1）运用一条串口线（包含在出厂配件中）,分离衔接盘算机的串口（这里假设运用 com1）和防火墙的 CONSOLE 口.2）选择开端 > 程序 > 附件 > 通信 > 超等终端,体系提醒输入新建衔接的名称.3）输入名称,这里假设名称为“TOPSEC”,点击“肯定”后,提醒选择运用的接口（假设运用 com1）.4）设置 com1 口的属性,按照以下参数进行设置.5）成功衔接到防火墙后,超等终端界面会消失输入用户名/暗码的提醒,如下图.6）输入体系默认的用户名：superman 和暗码：talent,即可登录到收集卫士防火墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治理.2．TELNET治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0addressname any”敕令添加治理权限2)在串口下用“system telnetd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：3．SSH治理SSH治理和TELNET根本一至,只不过SSH是加密的,我们用如下步调治理：1)在串口下用“pf service add name ssh area area_eth0 addressnameany”敕令添加治理权限2)在串口下用“system sshd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：4．WEB治理1)防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限,假如没有,可用“pf service add name webui area area_eth0 addressname any”敕令添加.2)WEB治理办事缺省是启动的,假如没有启动,也可用“system httpd start”敕令打开,治理员在治理主机的阅读器上输入防火墙的治理 URL,例如：0,弹出如下的登录页面.输入用户名暗码后（收集卫士防火墙默认出厂用户名/暗码为：superman/talent）,点击“提交”,就可以进入治理页面.5．GUI治理GUI图形界面治理跟WEB界面一样,只是,在治理中间中集成了一些安然对象,如监控,抓包,跟踪等1)装配治理中间软件2)运行治理软件3)右击树形“TOPSEC治理中间”添加治理IP4)右击治理IP地址,选择“治理”,输入用户名和暗码进行治理5)也可右击治理IP地址,选择“安然对象”,进行及时监控选择：安然对象-衔接监控点击启动,在弹出的窗口中增长过滤前提,可用缺省值监控所有衔接.选中增长的过滤前提,点设置就可以看到及时的监控后果了,如下图：二、敕令行经常运用设置装备摆设(注：用串口.TELNET.SSH方法进入到敕令行治理界面,天融信防火墙敕令行治理可以完成所有图形界面治理功效,敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表：)体系级体系级为第一级,供给装备的根本治理敕令.CLI治理员登录后,直接进入该级,显示为：TopsecOS#.组件级组件级为第二级,供给每个安然组件（SE）所独有的治理敕令.在体系级下,TopsecOS #<tab> 按 tab键,则显示出安然组件级敕令见下表.1．体系治理敕令(SYSTEM)在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设：2．收集设置装备摆设敕令(NETWORK)3．双机热备敕令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先照样备份机优先（默认为 backup,即假如同时启动主机成为活HA SHOW <cr> 检讨 HA的设置装备摆设信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 消除 HA设置装备摆设信息HA SYNC <from-peer|to-peer> HA同步（从对端机上同步设置装备摆设/同步设置装备摆设到对端机上）4．界说对象敕令(DEFINE)5．包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6．显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7．保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下：1．体系治理设置装备摆设在“体系”下,可以显示或设置装备摆设体系相干设置A)体系 > 根本信息显示体系的型号.版本.功效模块.接口信息等等：B)体系 > 运行状况检讨体系的运行状况,包含CPU.内存运用情形和当前衔接数等C)体系 > 设置装备摆设保护上传或下载设置装备摆设文件D)体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH 办事.Telnet办事和 HTTP办事.TOS体系供给了对这些办事的掌握（启动和停滞）功效,其具体的操纵如下：E)体系 > 凋谢办事添加或检讨体系权限,包含WEB治理.GUI治理.TELNET治理.SSH治理.监控等等F)体系 > 体系重启2．收集接口.路由设置装备摆设A)设置防火墙接口属性用户可以对收集卫士防火墙的物理接口的属性进行设置,具体步调如下：1）在治理界面左侧导航菜单中选择收集 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口：Eth0.Eth1.Eth2.2）假如要将某端口设为路由模式,点击该端口后的路由修正图标“”,弹出“设定路由”对话框,如下图所示.可认为某个端口设置多个 IP 地址,点击“添加设置装备摆设”按钮,添加接口的 IP 地址.假如选择“ha-static”,暗示双机热备的两台装备在进行主从切换时,可以保管本来的地址不变,不然,从墙的地址将被主墙笼罩.收集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP地址或 IP 地址在统一子网内.3）假如要将某端口设交流模式,点击该端口后的交流修正图标“”,弹出“交流”设置窗口,如下图所示.起首,须要肯定该接口的类型是“Access”照样“Trunk”.假如是“Access”接口,则暗示该交流接口只属于一个 VLAN,须要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数解释如下表所示：点击“提交设定”则完成接口从路由模式向交流模式的转换.4）点击“其他”按钮,可以设置接口的其他信息,如下图.B)设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由,具体步调如下：1）在左侧导航菜单中选择收集 > 静态路由,可以看到已经添加的计谋路由表以及体系主动添加的静态路由表,如下图所示.2）设置计谋路由,点击“添加计谋路由”,如下图所示.个中“网关”为下一跳路由器的进口地址,“端口”指定了从防火墙装备的哪一个接口（包含物理接口和 VLAN 虚接口）发送数据包.Metric 为接口跃点数,默认为 1.假如选择“NAT 后的源”为“是”,暗示计谋路由的源地址为 NAT 后的地址,计谋路由添加成功后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,计谋路由添加成功后的“标识表记标帜”一栏显示为“U”.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.点击“撤消返回”则废弃添加,返回上一界面.若要删除某路由项,点击该路由项地点行的删除图标“”进行删除.4）移动计谋路由.因为计谋履行动第一匹配原则,则计谋的次序与计谋的逻辑相干,在此可以转变添加计谋时刻的缺省的履行次序（按照添加次序分列）.具体设置办法为：在计谋路由表中点击要移动的路由选项（例如要移动计谋路由 102）后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考地位路由,第二个下拉框中则是选择将当前路由移动到参考路由之前照样之后.例如：要将路由 102 移动到路由 101 之前,则第一个下拉框选择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功对话框.点击“肯定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3．对象设置装备摆设A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加设置装备摆设”,体系消失添加主机对象属性的页面,如下图所示.B)设置规模对象选择对象 > 地址对象 > 地址规模,右侧界面显示已有的地址规模对象,如下图所示.点击“添加设置装备摆设”,进入地址规模对象属性的页面,如下图所示.C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组不合的地址对象可以组合为一个地址组,用作界说计谋的目标或源.地址组的支撑加强了对象治理的层次性,使治理加倍灵巧.设置地址组对象的步调如下：1）选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2）选择“添加设置装备摆设”,体系消失如下图所示的页面.E)自界说办事当预界说的办事中找不到我们须要的办事端口时,我们可以本身界说办事端口：1）选择对象 > 办事对象 > 自界说办事,点击“添加设置装备摆设”,体系消失如下页面.2）输入对象名称后,设置协定类型及端标语规模.3）点击“提交设定”,完成设置.F)设置区域对象体系支撑区域的概念,用户可以依据现实情形,将收集划分为不合的安然域,并依据其不合的安然需求,界说响应的规矩进行区域鸿沟防护.假如不消失可匹配的拜访掌握规矩,收集卫士防火墙将依据目标接口地点区域的权限处理该报文.设置区域对象,具体操纵如下：1）选择对象 > 区域对象,显示已有的区域对象.防火墙出厂设置装备摆设中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象eth0 已和接口eth0 绑定,是以出厂设置装备摆设中防火墙的物理接口eth0 已属于区域 AREA_ETH0.2）点击“添加设置装备摆设”,增长一个区域对象,如下图所示.在“对象名称”部分输入区域对象名称;在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（许可拜访或制止拜访）.在“选择属性”部分的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将出如今右侧的“被选属性”文本框中,可以同时选择一个或多个.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.4）点击“撤消返回”则废弃添加,返回上一界面.5）若要修正区域对象的设置,点击该区域对象地点行的修正图标“”进行修正.6）若要删除区域对象,点击该区域对象地点行的删除图标“”进行删除.G)设置时光对象用户可以设置时光对象,以便在拜访掌握规矩中引用,从而实现更细粒度的掌握.比方,用户愿望针对工作时光和非工作时光设置不合的拜访掌握规矩,引入时光对象的概念很轻易解决该类问题.设置时光对象,具体操纵如下：1）选择对象 > 时光对象,点击“添加设置装备摆设”,体系消失如下页面. 2）依次设置“对象名称”.“每周时段”和“每日时段”.3）最后点击“提交设定”,完成对象设置.新添加的对象将显示在时光对象列表中,如下图所示.4）对已经添加的时光对象,可以点击修正图标修正其属性,也可以点击删除图标删除该对象.4．拜访计谋设置装备摆设用户可以经由过程设置拜访掌握规矩实现灵巧.壮大的三到七层的拜访掌握.体系不单可以从区域.VLAN.地址.用户.衔接.时光等多个层面临数据报文进行判别和匹配,并且还可以针对多种运用层协定进行深度内容检测和过滤.与报文阻断计谋雷同,拜访掌握规矩也是次序匹配的,但与其不合,拜访掌握规矩没有默认规矩.也就是说,假如没有在拜访掌握规矩列表的末尾添加一条全体谢绝的规矩的话,体系将依据目标接口地点区域的缺省属性（许可拜访或制止拜访）处理该报文.界说拜访规矩,操纵步调如下：1）选择防火墙引擎 > 拜访掌握,点击“添加设置装备摆设”,进入拜访掌握规矩界说界面.表中“ID”为每项规矩的编号,在移动规矩次序时将会运用.“掌握”中的图标和 ,分离暗示该项规矩是否启用.2）界说是否启用该拜访掌握规矩（默认为启用该规矩）,以及拜访权限.拜访权限界说了是否许可拜访由规矩源到规矩目标所指定的办事.3）界说规矩的源规矩的源既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序分列和倒序分列,用户可以便利的按序查找项目.别的,用户还可以选择响应的办事,即设置源端口,如下图所示.4）界说规矩的目标规矩的目标既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.别的,用户还可以设置进行地址转换前的目标地址,如下图所示.5）界说办事选择拜访规矩包含的办事,假如用户须要制订的办事没有包含在办事列表中,可以经由过程添加自界说办事添加所需办事.假如没有选择任何办事,则体系默认为选择全体办事.6）界说帮助选项各项参数解释如下：7）点击“提交设定”完成该条拜访掌握规矩的设定.8）用户可以点击“修正”按钮,对现有规矩进行编辑.可以点击“拔出”按钮,在现有规矩间拔出一条新规矩.8）点击“清空设置装备摆设”,可以消除所有的拜访掌握规矩,便于从新设置装备摆设.9）须要更改规矩的匹配次序时点击该规矩右侧“移动”按钮,如下图所示.用户可以选择响应 ID.地位,移动计谋.完成后点击“提交设定”保管或“撤消返回”废弃移动.5．高可用性设置装备摆设设置装备摆设收集卫士防火墙双机热备的步调如下：1）选择体系 > 高可用性,进入高可用性设置页面,如下图所示.2）设置主/从装备参数,参数解释请拜见下表.3）点击“提交设定”,完成双机热备设置.四、透明模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行用WINDOWS自带的超等终端或者SecureCRT软件,运用9600的速度,用串口线衔接到防火墙,用户名是superman,暗码是talent.(具体办法见第一节),下面是具体设置装备摆设,加粗显示的为敕令行.2．设置装备摆设接口属性将ETH0口设置装备摆设为交流模式：network interface eth0 switchport设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100将ETH1口设置装备摆设为交流模式：network interface eth1 switchport设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设VLAN添加VLAN1：network vlan add id 1为VLAN1添加IP地址：network interface vlan.0001 ip add 192.168.1.250 mask255.255.255.0 label 04．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off5．界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '界说时光对象define schedule add name 上班时光 week 12345 start 08:00 end 18:006．添加体系权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any7．设置装备摆设拜访计谋'上班时光 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时光 ' 8．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.五、路由模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行办法同上面的透明模式.2．设置装备摆设接口属性设置装备摆设ETH0口的IP地址：network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100设置装备摆设ETH1口的IP地址：network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设路由设置装备摆设到192.168.3.0/24网段的路由：设置装备摆设到192.168.4.0/24网段的路由：4．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5．设置装备摆设主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '6．设置装备摆设拜访计谋PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '7．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable注：设置装备摆设好一台防火墙后,我们要设置装备摆设另一台热备的防火墙,其设置装备摆设根本上与致,独一不合的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备设置装备摆设中的本机同步IP和对端机械同步IP相反,本机IP为11.1.1.2,对端机械IP为11.1.1.1,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.。

S交换机NGFW防火墙插板技术白皮书版权所有© 华为技术有限公司2013。

保留一切权利。

非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。

商标声明和其他华为商标均为华为技术有限公司的商标。

本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。

除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。

由于产品版本升级或其他原因，本文档内容会不定期进行更新。

除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：ask_FW_MKT@客户服务电话：4008302118目录1.概述 (6)1.1.网络威胁的变化及下一代防火墙产生 (6)1.2.下一代防火墙的定义 (6)1.3.防火墙插板的使用指南 (7)2.下一代防火墙插板的技术原则 (8)2.1.防火墙的性能模型 (8)2.2.网络隔离 (9)2.3.访问控制 (10)2.4.基于流的状态检测技术 (10)2.5.基于用户的管控能力 (10)2.6.基于应用的管控能力 (11)2.7.应用层的威胁防护 (11)2.8.业务支撑能力 (11)2.9.地址转换能力 (12)2.10.攻击防范能力 (12)2.11.VPN业务 (13)2.12.防火墙的日志系统 (13)3.S交换机防火墙插板技术特点 (14)3.1.灵活的安全区域管理 (14)基于安全区域的隔离 (14)可管理的安全区域 (14)基于安全区域的策略控制 (14)丰富的业务支撑 (15)3.2.安全策略控制 (15)灵活的规则设定 (15)基于时间段的规则管理 (16)高速策略匹配 (16)MAC地址和IP地址绑定 (17)动态策略管理－黑名单技术 (17)3.3.基于流会话的状态检测技术 (17)基于会话管理的核心技术 (17)深度检测 (18)状态检测技术的优势 (19)3.4.ACTUAL感知 (19)ACTUAL概念 (20)Application/应用感知原理 (20)Content/内容感知原理 (22)Time/时间感知原理 (22)User/用户感知原理 (22)Attack/攻击感知原理 (25)Location/位置感知原理 (26)一体化策略 (27)3.5.先进的虚拟防火墙技术 (27)3.6.业务支撑能力 (29)对多通道协议支持完善的安全保护 (29)针对各种业务的数据流管理 (29)业务支持的完整性 (29)支持完善的多媒体业务 (30)3.7.网络地址转换 (30)优异的地址转换性能 (30)灵活的地址转换管理 (30)强大的内部服务器支持 (31)服务器负载分担 (32)强大的业务支撑 (33)无数目限制的PA T方式转换 (33)支持多接口负载分担 (34)3.8.丰富的攻击防御的手段 (34)优秀的Dos防御能力的必要条件 (34)丰富的Dos防御手段 (35)高级的TCP代理防御体系 (35)扫描窥探 (36)畸形报文攻击 (36)应用层DDoS (36)3.9.完善的VPN功能 (37)GRE VPN (37)L2TP VPN (38)IPSEC VPN (38)BGP/MPLS VPN (39)DSVPN (40)SSL VPN (41)3.10.应用层安全 (41)业务感知(SA) (41)入侵防御系统(IPS) (42)反病毒(A V) (43)内容过滤 (44)HTTPS流量防护 (45)3.11.完善的日志报表系统 (45)日志服务器 (46)两种日志输出方式 (46)多种日志信息 (46)4.典型组网 (49)4.1.FW插板三层组网 (49)4.2.FW插板二层组网 (51)华为S交换机NGFW防火墙插板技术白皮书关键词：NGFW、S交换机插板、网络安全、VPN、隧道技术、L2TP、IPSec、IKE摘要：本文详细介绍了S交换机上下一代防火墙插板的技术特点、工作原理等，并提供了防火墙插板选择过程的一些需要关注的技术问题。

深信服下一代防火墙NGAF方案白皮书目录一、企业级网络安全建设需要什么 (4)1.传统割裂的各种安全产品？ (4)2.“雇佣兵”式的安全服务？ (5)3.企业级的网络安全到底需要什么？ (5)二、深信服下一代防火墙的定位 (6)1.适用于国内环境的下一代防火墙 (6)2.我们不仅交付产品，还为您持续输送安全能力 (7)三、深信服下一代防火墙为企业安全赋能 (7)1.看懂安全现状和风险 (7)1.1业务安全状况可视 (7)1.2威胁危害效果可视 (8)1.3安全事件实时通报 (9)2.持续对抗新型威胁 (10)2.1产品快速迭代应对已知威胁 (10)2.2完整的APT攻击检测链 (11)2.3云检测平台应对未知威胁 (12)3.简化安全运营 (13)3.1任务化的风险管理 (13)3.2全网安全统一管控 (14)3.3威胁情报预警与处置 (15)3.4风险评估与策略联动 (15)3.5智能联动封锁机制 (16)四、高效稳定的底层架构设计 (16)1.分离平面设计 (16)2.多核并行处理 (17)3.单次解析架构 (17)4.跳跃式扫描技术 (18)5.Sangfor Regex正则引擎 (18)6.产品性能评测报告 (19)五、深信服下一代防火墙品牌优势 (19)1.市场引领者 (19)2.专业权威的认可 (20)3.专业安全攻防团队 (21)4.产品可靠稳定 (21)六、典型场景和案例 (22)典型应用场景 (22)典型应用案例 (23)七、部分客户列表 (25)近年来，越来越多的网络安全事件告诉我们，安全风险比以往更加难以察觉。

随着网络安全形势逐渐恶化，网络攻击愈加频繁，用户对自己的网络安全建设是否合规、完善并没有把握。

该如何加强安全建设？安全建设的核心问题是什么？采用何种安全防护手段更为合适？安全建设该如何体现价值？这些问题已成为困扰用户安全建设的关键问题。

一、企业级网络安全建设需要什么传统组合方案问题多1.传统割裂的各种安全产品？传统产品组合方案缺陷一：不同的安全设备看到的是不同的攻击类型，信息是割裂的，难以对安全日志进行统一分析；安全设备在有攻击时才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导用户进行安全建设。

下一代企业防火墙NGAF技术白皮书目录一、概述 (4)二、为什么需要下一代防火墙 (4)2.1网络发展的趋势使防火墙以及传统方案失效 (4)2.2现有方案缺陷分析 (5)2.2.1单一的应用层设备是否能满足？ (5)2.2.2“串糖葫芦式的组合方案” (6)2.2.3UTM统一威胁管理 (6)2.2.4其他品牌下一代防火墙能否解决？ (7)三、下一代防火墙定位 (7)四、下一代防火墙—NGAF (8)4.1产品设计理念 (8)4.2产品功能特色 (9)4.2.1可视的网络安全情况 (9)4.2.2强化的应用层攻击防护 (15)4.2.3独特的双向内容检测技术 (22)4.2.4智能的网络安全防御体系 (24)4.2.5更高效的应用层处理能力 (25)4.2.6涵盖传统安全功能 (25)4.3产品优势技术 (26)4.3.1深度内容解析 (26)4.3.2双向内容检测 (27)4.3.3分离平面设计 (27)4.3.4单次解析架构 (28)4.3.5多核并行处理 (29)4.3.6智能联动技术 (29)4.3.7Regex正则引擎 (30)五、部属方式 (31)5.1互联网出口-内网终端上网 (31)5.2互联网出口-服务器对外发布 (31)5.3广域网边界安全隔离 (32)5.4数据中心 (33)一、概述防火墙自诞生以来，在网络安全防御系统中就建立了不可替代的地位。

作为边界网络安全的第一道关卡防火墙经历了包过滤技术、代理技术和状态监视技术的技术革命，通过ACL 访问控制策略、NAT地址转换策略以及抗网络攻击策略有效的阻断了一切未被明确允许的包通过，保护了网络的安全。

防火墙就像机场的安检部门，对进出机场/防火墙的一切包裹/数据包进行检查，保证合法包裹/数据包能够进入机场/网络访问合法资源同时防止非法人员通过非法手段进入机场/网络或干扰机场/网络的正常运行。

传统的防火墙正如机场安检人员，通过有限的防御方式对风险进行防护，成本高，效率低，安全防范手段有限。

防火墙详细说明产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上，开发的最新一代网络安全产品。

该产品以天融信公司具有自主知识产权的TOS（Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案，构建的一个安全、高效、易于管理和扩展的网络安全产品。

NGFW4000-UF属于网络卫士系列防火墙的中高端产品，特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。

NGFW4000-UF（TG-5030）产品特点自主安全操作系统平台采用自主知识产权的安全操作系统--TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能，其良好的扩展性为未来迅速扩展更多特性提供了无限可能。

TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。

虚拟防火墙虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。

不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。

对于用户来说，就像是使用独立的防火墙。

大大节省了成本。

强大的应用控制网络卫士防火墙提供了强大的网络应用控制功能。

用户可以轻松的针对一些典型网络应用，如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略，如禁止、限时、乃至流量控制。

网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。

CleanVPN服务企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

天融信防火墙NGFW4000快速配置手册一、欧阳光明（2021.03.07）二、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过CONSOLE 口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

2．TELNET管理3．SSH管理1)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

2)WEB管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：https://192.168.1.250，弹出如下的登录页面。

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面。

5．GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1)安装管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理5)也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。

天融信网络卫士防火墙系统TopGuard NGFW4000系列专用平台产品网络卫士防火墙系统概述十几年来，天融信专注于信息安全，国内首家开发出自主知识产权的防火墙系统，率先提出TOPSEC联动技术体系，领先的TopASIC自主安全芯片，在不断的技术创新中网络卫士防火墙引领了包过滤、应用代理、核检测等突破性变革，目前已进入以自主安全操作系统TOS (Topsec Operating System) 为基础，以完全内容检测为标志的全新技术阶段，形成了适用于中小企业级到电信级各种网络应用需求的NGFWARES、NGFW4000、NGFW4000-UF 三大系列60多个型号的防火墙产品。

网络卫士防火墙系统集成了防火墙、IPS、IPSEC VPN、SSL VPN、带宽管理、防病毒、入侵防御、内容过滤等多种安全功能；用户可根据实际需求灵活选择针对行业应用特点及不同性能的产品。

目前天融信防火墙已在政府、金融、电信、教育、能源、交通等各行业普遍应用。

据TOPSEC统计：遍布全国的29810多个网络和业务在其保护下平稳运行。

据权威数据机构IDC、CCID统计，天融信已连续十多年在网络安全硬件市场处于领先地位。

NGFW4000系列概述NGFW4000是天融信网络卫士防火墙系统的中端产品系列，适用于网络结构复杂、应用丰富的政府、金融、学校、中型企业等网络环境。

产品集成了天融信在客户复杂环境中处理威胁的经验及对客户需求的深入理解，已在各种网络环境中经受了严格考验。

该系列产品具有访问控制、内容过滤、防病毒、NAT、IPSEC VPN、SSL VPN、带宽管理、负载均衡、双机热备等多种功能，广泛支持路由、多播、生成树、VLAN、DHCP等各种协议。

稳定可靠的硬件平台，满足真实需求的软件功能，超强的网络适应能力，使之成为多年来广受市场认同的系列主流产品。

专用平台产品概述天融信网络卫士防火墙系统NGFW4000系列专用平台产品，适用于政府、金融、学校、中小型企业等各种网络环境。

网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC® 北京市海淀区上地东路1号华控大厦 100085电话：+8610-82776666传真：+8610-82776677服务热线：+8610-8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印© 1995-2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000-UF系列产品说明目录1产品概述 (1)2关键技术 (2)1）灵活的接口扩展能力 (2)2）安全高效的TOS操作系统 (2)3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (3)4）完全内容检测CCI技术 (3)3产品特点介绍 (3)4产品功能 (9)5运行环境与标准 (15)6典型应用 (17)1）典型应用一：在大型网络中的应用 (17)2）典型应用二：虚拟防火墙应用 (18)3）典型应用三：AA模式双机热备 (19)7产品资质 (20)1产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。

它继承了天融信公司十多年来在安全产品研发中的积累的多项成果，以自主知识产权的网络安全操作系统TOS （Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计思想，充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。