天融信防火墙NGFW4000快速配置手册.docx

天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1．串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行 方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根 本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装 备摆设（接口.ip地址等），使在不转变现有收集构造的情形下将防火墙接 入收分散.这里将具体介绍若何经由过程 CONSOLE 口衔接到收集卫士防火 墙：1 ）运用一条串口线（包含在出厂配件中） ，分离衔接盘算机的串口（这里假 设运用coml）和防火墙的CONSOLE 口.2）选择 开端 > 程序 > 附件 > 通信 > 超等终端，体系提醒输入新建衔 接的名称.3）输入名称，这里假设名称为“TOPSEC”，点击“肯定”后，提醒选择运用的 接口（假设运用 coml）.4）设置 coml 口的属性，按照以下参数进行设置参数名称取值每秒位数：9600数据位：8奇偶校验：无停滞位：15）成功衔接到防火墙后，超等终端界面会消失输入用户名/暗码的提醒，如下 图.6）输入体系默认的用户名：superman和暗码：talent,即可登录到收集卫 士防火 墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治 理.2. TELNET 治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置：1） 在串口下用“ f service add name telnet area area_eth0addressname any ”敕令添加治理权限2） 在串口下用“ sys tem telne td st ar t”敕令启动TELNET治理办事3） 知 道治理 IP 地址，或者用 “ net work int erface eth0 ip add 192.168.1”敕令添加治理IP地址4） 最后输入用户名和暗码进行治理敕令行如图：3. SSH治理SSH治理和TELNET根本一至，只不过SSH是加密的，我们用如下步调治理：1） 在串口下用“ pf service add name ssh area area_eth0 addressname any ”敕令添加治理权限2） 在串口下用“ sys tem sshd st ar t”敕令启动TELNET治理办事3） 知 道治理 IP 地址，或者用 “ net work int erface eth0 ip add 192.168.1”敕令添加治理IP地址4） 最后输入用户名和暗码进行治理敕令行如图：4. WEB治理1）防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限，假如没有，可 用 “pf service add name webui area area_eth0 addressname any ” 敕令 添加.2）WEB治理办事缺省是启动的，假如没有启动，也可用“system httpd st ar t”敕令打开，治理员在治理主机的阅读器上输入防火墙的治理URL,例 如：0，弹出如下的登录页面. 输入用户名暗码后（收集卫士防火墙默认出厂用户名/暗码为： superman/talent），点击“提交”，就可以进入治理页面.5. GUI治理GUI图形界面治理跟WEB界面一样，只是，在治理中间中集成了一些安然对象, 如监控，抓包，跟踪等1） 装配治理中间软件2） 运行治理软件3） 右击树形“TOPSEC治理中间”添加治理IP4） 右击治理IP地址,选择“治理”，输入用户名和暗码进行治理5） 也可右击治理IP地址，选择“安然对象”，进行及时监控 选择：安然对象-衔接监控点击启动，在弹出的窗口中增长过滤前提，可用缺省值监控所有衔接. 选中增长的过滤前提，点设置就可以看到及时的监控后果了，如下图：二、敕令行经常运用设置装备摆设（注：用串口 .TELNET.SSH方法进入到敕令行治理界面，天融信防火墙敕令行 治理可以完成所有图形界面治理功效，敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表：）体系级体系级为第一级，供给装备的根本治理敕令.CLI治理员登录后，直接进入该 级，显示为：TopsecOS#.组件级组件级为第二级，供给每个安然组件（SE）所独有的治理敕令.在体系级下,TopsecOS #〈tab＞按tab键,则显示出安然组件级敕令见下表.类别症结字内容解释一级敕令名system体系治理目次network收集设置Ha高可用性设置define收集对象界说debug调试log日记设置authentication认证设置Snmp简略收集治理协定设置装备摆设pf包过滤规矩设置dpi深度报文检测计谋界说firewall防火墙规矩设置nat地址转换计谋设置装备摆设Vpn虚拟私有网地道设置装备摆设与 操纵IDS入侵监测设置装备摆设Qos带宽掌握设置装备摆设AVSE防病毒安然引擎治理设置save保管设置装备摆设Show running检讨运行时配之信息Show检讨设置装备摆设helpmode帮忙模式设定exit退出体系1,体系治理敕令 （SYSTEM）在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设:敕令功效WEBUI界面操纵地位二级敕令名Version体系版本信息体系〉根本信息information当前装备状况信息体系〉运行状况time体系时钟治理体系〉体系时光config体系设置装备摆设治理治理器对象栏“保管设定”按钮reboot从新启动体系〉体系重启sshdSSH办事治理敕令体系〉体系办事telnetdTELNET办事治理体系〉体系办事敕令httpdHTTP办事治理命体系〉体系办事令monitordMONITOR办事治理敕令无2.收集设置装备摆设敕令(NETWORK)敕令功效WEBUI界面操纵地位interface防火墙接口治理收集〉物理接口vlanVlan设置装备摆设治理收集〉VLANroute路由表设置装备摆设治理收集〉静态路由Ping验证收集衔接无3.双机热备敕令(HA)HA LOCAL〈ipaddress〉设置HA接口的本机地址HA PEER〈ipaddress〉设置HA接口的对端地址HA PEER-SERIAL〈string〉设置 HA 接口的对端的 licence 序列号HA NO 〈local|peer|peer-serial〉 复位 HA 接口的本机地址/对端地址/对 端licence序列号HA PRIORITY 〈primary|backup〉 设定 HA 优先级是主机优先照样备份机优先(默认为backup,即假如同时启动主机成为活HA SHOW 检讨HA的设置装备摆设信息HA ENABLE〈cr〉启动 HAHA DISABLE 停用 HAHA CLEAN消除HA设置装备摆设信息HA SYNC 〈from -peerto-peer〉HA同步(从对端机上同步设置装备摆设/同步设置装备摆设到对端机上)4. 界说对象敕令(DEFINE)敕令功效WEBUI操纵地位area区域对象治理对象〉区域对象interface设置装备摆设防火墙接口对应的 区域属性对象〉区域对象host主机地址对象治理对象〉地址对象〉主机对象range地址规模对象治理对象〉地址对象〉规模对象subnet子网地址对象对象〉地址对象〉子网对象group address地址组对象治理对象〉地址对象〉地址组对象service子界说办事对象治理对象〉办事对象 > 自界说办事group service办事组对象治理对象〉办事对象〉办事组schedule时光表对象治理对象〉时光对象server办事器对象治理对象〉负载平衡〉办事器virtual server虚拟办事器对象治理对象〉负载平衡〉平衡组5. 包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDnamearea <[addressid ]| [addressname ]>6. 显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7. 保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下:1．体系治理设置装备摆设 在“体系”下,可以显示或设置装备摆设体系相干设置A) 体系 > 根本信息 显示体系的型号.版本.功效模块.接口信息等等：B) 体系 > 运行状况检讨体系的运行状况，包含CPU.内存运用情形和当前衔接数等C) 体系 > 设置装备摆设保护上传或下载设置装备摆设文件D) 体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH办事.Telnet办事和HTTP办 事.TOS体系供给了对这些办事的掌握(启动和停滞)功效，其具体的操纵如 下：E) 体系 > 凋谢办事添加或检讨体系权限，包含WEB治理.GUI治理.TELNET治理.SSH治理.监控F) 体系 >体系重启 2．收集接口.路由设置装备摆设A) 设置防火墙接口属性 用户可以对收集卫士防火墙的物理接口的属性进行设置 ，具体步调如下：1) 在治理界面左侧导航菜单中选择 收集 >物理接口 ，可以看到防火墙的 所有物理接口，如下图所示，共有三个物理接口： Eth0.Ethl.Eth2.2）假如要将某端口设为路由模式,点击该端口后的路由修正图标“” ,弹出 “设定路由”对话框，如下图所示.可认为某个端口设置多个 IP 地址，点击“添加设置装备摆设”按钮，添 加接口的IP地址.假如选择“ ha-static”，暗示双机热备的两台装备在进 行主从切换时，可以保管本来的地址不变，不然，从墙的地址将被主墙笼罩.收 集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP 地址或 IP 地 址在统一子网内.3） 假如要将某端口设交流模式，点击该端口后的交流修正图标“ ” ，弹 出“交流”设置窗口，如下图所示.起首，须要肯定该接口的类型是“Access”照样“Trunk” .假如是“ Access ”接口，则暗示该交流接口只属于一个VLAN,须要指定 所属的 VLID 号码，如上图所示.如是“ Trunk ”接口，则设置参数界面如下图所示. 上图参数解释如下表所示： 点击“提交设定”则完成接口从路由模式向交流模式的转换.4） 点击“其他”按钮，可以设置接口的其他信息，如下图.B） 设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由 ，具。