天融信防火墙NGFW4000配置手册簿.doc

word天融信防火墙NGFW4000快速配置手册目 录一、防火墙的几种管理方式31．串口管理32．TELNET管理43．SSH管理54．WEB管理65．GUI管理6二、命令行常用配置121．系统管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二级命令名12Version12系统版本信息12系统>基本信息12information12当前设备状态信息12系统>运行状态12time12系统时钟管理12系统>系统时间12config12系统配置管理12管理器工具栏“保存设定”按钮12reboot12重新启动12系统>系统重启12sshd12SSH服务管理命令12系统>系统服务12telnetd12TELNET服务管理12系统>系统服务命令12httpd12HTTP服务管理命12系统>系统服务令12monitord12MONITOR12服务管理命令无122．网络配置命令(NETWORK)133．双机热备命令(HA)134．定义对象命令(DEFINE)135．包过滤命令(PF)136．显示运行配置命令(SHOW_RUNNING)137．保存配置命令(SAVE)13三、WEB界面常用配置141．系统管理配置14A)系统 > 基本信息14B)系统 > 运行状态14C)系统 > 配置维护15D)系统 > 系统服务15E)系统 > 开放服务16F)系统 > 系统重启162．网络接口、路由配置16A)设置防火墙接口属性16B)设置路由183．对象配置20A)设置主机对象20B)设置围对象21C)设置子网对象21D)设置地址组21E)自定义服务22F)设置区域对象22G)设置时间对象234．访问策略配置235．高可用性配置26四、透明模式配置示例28拓补结构：281．用串口管理方式进入命令行282．配置接口属性283．配置VLAN284．配置区域属性285．定义对象286．添加系统权限297．配置访问策略298．配置双机热备29五、路由模式配置示例30拓补结构：301．用串口管理方式进入命令行302．配置接口属性303．配置路由304．配置区域属性305．配置主机对象306．配置访问策略307．配置双机热备31一、 防火墙的几种管理方式1． 串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 1）和防火墙的 CONSOLE 口 2）选择 开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 1）4）设置 1 口的属性，按照以下参数进行设置 参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理2． TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1) 在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2) 在串口下用“system telnetd start” 命令启动TELNET管理服务3) 知道管理IP地址，或者用“”命令添加管理IP地址4)5) 最后输入用户名和密码进行管理命令行如图：3． SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1) 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2) 在串口下用“system sshd start” 命令启动TELNET管理服务3) 知道管理IP地址，或者用“”命令添加管理IP地址4)5) 最后输入用户名和密码进行管理命令行如图：4． WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

2)WEB管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：https://192.168.1.250，弹出如下的登录页面输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面5． GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1) 安装管理中心软件2) 运行管理软件3) 右击树形“TOPSEC管理中心”添加管理IP4) 右击管理IP地址，选择“管理”，输入用户名和密码进行管理5) 也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：二、 命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。

具体分级如下表：)系统级 系统级为第一级，提供设备的基本管理命令CLI管理员登录后，直接进入该级，显示为：TopsecOS#组件级 组件级为第二级，提供每个安全组件（SE）所独有的管理命令在系统级下，TopsecOS # 按 tab键，则显示出安全组件级命令见下表 类别关键字容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义firewall防火墙规则设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Show_running查看运行时配之信息Show查看配置helpmode帮助模式设定exit退出系统1． 系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和查看系统配置：命令功能WEBUI界面操作位置二级命令名Version系统版本信息系统>基本信息information当前设备状态信息系统>运行状态time系统时钟管理系统>系统时间config系统配置管理管理器工具栏“保存设定”按钮reboot重新启动系统>系统重启sshdSSH服务管理命令系统>系统服务telnetdTELNET服务管理系统>系统服务命令httpdHTTP服务管理命系统>系统服务令monitordMONITOR服务管理命令无2． 网络配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墙接口管理网络>物理接口vlanVlan配置管理网络>VLANroute路由表配置管理网络>静态路由Ping验证网络连接无3． 双机热备命令(HA)HA LOCAL 设置 HA接口的本机地址 HA PEER 设置 HA接口的对端地址 HA PEER-SERIAL 设置 HA接口的对端的 licence 序列号 HA NO 复位 HA接口的本机地址/对端地址/对端 licence序列号 HA PRIORITY 设定 HA 优先级是主机优先还是备份机优先（默认为 backup，即如果同时启动主机成为活HA SHOW 查看 HA的配置信息 HA ENABLE 启动 HA HA DISABLE 停用 HA HA CLEAN 清除 HA配置信息 HA SYNC HA同步（从对端机上同步配置/同步配置到对端机上）4． 定义对象命令(DEFINE)命令功能WEBUI 操作位置 area区域对象管理对象 >区域对象 interface配置防火墙接口对应的区域属性对象 >区域对象host主机地址对象管理对象 >地址对象 >主机对象 range地址围对象管理对象>地址对象 >围对象 subnet子网地址对象对象>地址对象 >子网对象 group_address地址组对象管理对象>地址对象 >地址组对象 service子定义服务对象管理对象>服务对象 >自定义服务 group_service服务组对象管理对象>服务对象 >服务组 schedule时间表对象管理对象 >时间对象 server服务器对象管理对象 >负载均衡 >服务器 virtual_server虚拟服务器对象管理对象 >负载均衡 >均衡组5． 包过滤命令(PF)增加一条服务访问规则SERVICEADDnamearea <[addressid ]| [addressname ]>6． 显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7． 保存配置命令(SAVE)SAVE三、 WEB界面常用配置用浏览器或者。