天融信防火墙命令.pdf

Helpmode chinesel 区域权限：pf service add name webui(gui/ping/telent) area 区域名 addressname any web 管理服务开启：system httpd start web 界面权限添加：pf service add name webui area 区域名 addressname any 添加网口 ip： 禁用网口： network interface eth16 shutdown 启用网口： network interface eth16 no shutdown 交换模式： network interface eth16 switchport（no switchport 路由模式） 区域设置： define area add name E1 attribute 网口 access off（on） 《off 权限禁止，on 权限允许》 主机地址： define host add name 主机名 子网地址： define host subnet add name 名字 自定义服务：define service add name 名称 protocol 6 port 端口号 (6 是 tcp 的协议码) vlan 添加 ip： web 服务器外网访问 1 ）设置 E1 区域 #define area add name E1 access on attribute eth1 2 ）定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明： “6 ”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由 adls ADS拨号设置 1 ）设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2 ）定义外网区域（adsl-a） #define area add name adsl-a attribute adsl access on 3 ）配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4 ）拨号 #network adsl start 5 ）查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13 TX_PKTS: 42 ELAPS: 586 Dhcp配置 1 ）配置 Eth1 口的 IP 地址 #network interface eth1 ip add mask 系统自动为物理接口 eth1 绑定属性“eth1” 。

2 ）添加区域对象，指定对区域对象的访问权限为允许访问，并将区域与属性 eth1 绑 定 #define area add name area_eth1 access on attribute eth1 3 ）开放该区域的 DHCP 服务 #pf service add name dhcp area area_eth1 addressname any 4)配置 DHCP 服务器 首先要配置 DHCP 服务器的地址池 如果需要，DHCP 服务器可以给指定 MAC 地址的主机绑定 IP 地址 #network dhcp server add_host name bind macaddr 00:50:04:c3:b0:31 ipaddr 5)在 eth1 口启动 DHCP 服务器 #network dhcp server start on eth1 6)查看已分配的 IP 情况 #network dhcp show binded web服务器外网访问 1 ）设置 E1 区域 #define area add name E1 access on attribute eth1 2 ）定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明： “6 ， ”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 目的地址转换： nat policy add srcarea adsla orig_dst adsl orig_service anyshare端口 trans_dst 营销系统主机 nat policy add orig_src any orig_dst adsl orig_service anyshare端口 trans_dst 营销系统主机 区域源地址转换： nat policy add srcarea area_eth11 dstarea adsla trans_src adsl enable yes 访问控制 firewall policy add action accept srcarea area_eth12 dstarea area_eth11 firewall policy add action accept src any dstarea area_eth11 源地址转换 1 ）定义区域对象 #define area add name area_eth1 access on attribute eth1 #define area add name area_eth0 access off attribute eth0 2 ）定义内网地址对象 #define subnet add name 子网 100.x ipaddr 1 mask 3 ）定义 NAT 地址 #define host add name nat-ip ipaddr mask 定义 NAT 地址池 #define range add name nat-pool ip1 .1 ip2 2 4 ）定义 NAT 地址转换规则 转换为固定 nat-ip #nat policy add dstarea area-eth1 orig_src 子网 100.x trans_src nat-ip enable yes 在地址池中动态选择转换后的 IP #nat policy add dstarea area-eth1 orig_src 子网 100.x trans_src nat-pool enable yes 。