天融信防火墙tos安装操作%b%b%d%b%b%d%d%f

网络卫士防火墙v3.3安装及操作August，20112防火墙安装防火墙基本操作防火墙高可用性防火墙FAQ3451、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)6串口(console)管理方式：管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。WEBUI管理方式：超级管理员:superman，口令:talentTELNET管理方式：模拟console管理方式，用户名superman，口令：talentSSH管理方式：模拟console管理方式，用户名superman，口令：talent7防火墙的CONSOLE管理方式8防火墙的CONSOLE管理方式9防火墙的CONSOLE管理方式输入helpmodechinese命令可以看到中文化菜单10防火墙的WEBUI管理方式在浏览器输入：，看到下列提示，选择“是”11防火墙的WEBUI管理方式输入用户名和密码后，按“提交”按钮12防火墙的WEBUI管理方式13防火墙的管理方式－打开防火墙管理端口注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统”－“系统服务”中选择“启动”即可14防火墙的TELNET管理方式通过TELNET方式管理防火墙：15防火墙的接口和区域接口和区域是两个重要的概念接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，网络卫士防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。1617防火墙配置－例1配置案例1（路由模式）：INTERNET202.99.27.193202.99.27.250192.168.1.254172.16.1.100172.16.1.1192.168.1.0/24应用需求：•内网可以访问互联网•服务器对外网做映射映射地址为202.99.27.249•外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区18防火墙配置－例2配置案例1（透明模式）：INTERNET202.99.27.193防火墙VLAN（透明域）IP地址202.99.27.252应用需求：•内网可以访问互联网•外网可以访问WEB服务器•外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区202.99.27.0/24202.99.27.25019防火墙配置－例3配置案例1（综合模式）：INTERNET202.99.27.193防火墙VLAN（透明域）IP地址202.99.27.252应用需求：•内网可以访问互联网•外网可以访问WEB服务器•外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区192.168.16.0/24202.99.27.250192.168.16.254201、通过串口(console)或默认接口进入防火墙：推荐使用webui方式配置2、配置接口模式及ip地址3、定义区域4、配置路由5、定义地址、服务、时间等资源6、配置访问控制7、配置地址转换8、配置区域的防火墙管理权限及其他日常管理维护防火墙的配置过程提示：配置步骤不是一成不变，可以灵活配置2122•进入console口用命令配置接口ip地址•networkinterfaceeth0ipadd202.99.27.250mask255.255.255.0•networkinterfaceeth1ipadd192.168.1.254mask255.255.255.0•networkinterfaceeth2ipadd172.16.1.1mask255.255.255.0Webui配置：网络管理—接口，点击接口后面的设置设置接口模式及添加ip地址注意：此例中，eth0口为外网口，虽然有默认地址192.168.1.254，如果用web直接配置更改接口ip后会暂时管理不了防火墙，需要增加相应配置才行。23•资源管理—区域—添加，输入区域名称及对应接口，选择区域权限命令行配置：defineareaaddnameinternetattributeeth3accessoffdefineareaaddnamearea_eth1attributeeth1accessoffdefineareaaddnamearea_eth2attributeeth2accessoff24•对“AREA_ETH1”区域添加对防火墙的管理权限webui、ping、telnet（当然也可以对“AREA_ETH2”区域添加）•pfserviceaddnamewebuiareaarea_eth1addressnameany•pfserviceaddnamepingareaarea_eth1addressnameany•pfserviceaddnametelnetareaarea_eth1addressnameany25防火墙配置－定义区域的服务在“系统管理”－“配置”－“开放服务”里给区域定义服务26命令行配置：networkrouteadddst0.0.0.0/0gw202.99.27.19327防火墙配置－设置防火墙缺省网关WEBUI配置在“网络管理”－“路由”添加缺省网关28防火墙配置－设置防火墙缺省网关设置缺省网关时，源和目的一般为全“0”防火墙的缺省网关在静态路由时，必须放到最后一条路由29防火墙配置－定义对象－主机对象点击：”资源管理“－“地址”－“主机”，点击右上角“添加”30防火墙配置－定义对象－主机对象主机对象中可以定义多个IP地址31防火墙配置－定义对象－地址对象和子网对象32防火墙配置－制定访问规则第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”；目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]”33防火墙配置－定义访问规则34防火墙配置－定义访问规则第二条规则定义外网可以访问WEB服务器地址，并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器“（服务器真实的IP地址）点选“高级”35选择源AREA－area_eth0防火墙配置－定义访问规则36选择目的－“WEB服务器”防火墙配置－定义访问规则37“服务”－“HTTP”防火墙配置－定义访问规则38防火墙配置－定义访问规则定义好的两条访问策略39防火墙配置－定义地址转换（通信策略）根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网要访问WEB服务器的映射地址，也要定义MAP策略定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域40防火墙配置－定义地址转换（通信策略）转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址；也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”）41防火墙配置－定义地址转换（通信策略）配置MAP（映射）策略，源选择外网区域“area_eth0”42防火墙配置－定义地址转换（通信策略）目的选择映射后的公网IP地址（也就是WEB服务器－MAP），目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实IP地址），选择“WEB服务器”主机对象即可。43防火墙配置－定义地址转换（通信策略）设置好的地址转换策略（通信策略）第一条为内网访问外网做NAT；（源转换）第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP；（目的转换）44防火墙配置－配置保存点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定”即可保存当前配置45防火墙配置－查看配置、导出配置在“系统管理”－“维护”中进行防火墙当前配置的保存、下载、上传等操作46防火墙配置－查看配置、导出配置按照下图中数字所示顺序即可把防火墙配置导出到本地，其中配置替换是把本地配置导入到防火墙时候用的。4748防火墙高级应用－HA的配置49在双机热备模式下，任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。防火墙高级应用－HA模式介绍50防火墙高级应用－HA配置案例双机热备模式基本需求上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的Eth2接口为心跳口，由心跳线连接用来协商状态，同步对象及配置信息。51配置要点▶设置HA心跳口属性▶设置除心跳口以外的其余通信接口属于VRID2▶指定HA的工作模式及心跳口的本地地址和对端地址▶主从防火墙的配置同步防火墙高级应用－HA配置案例52▶主墙a）配置HA心跳口地址。①点击网络管理接口，然后选择“物理接口”页签，点击eth2接口后的“设置”图标，配置基本信息，如下图所示。点击“确定”按钮保存配置。WEBUI配置步骤1）配置HA心跳口和其他通讯接口地址HA心跳口必须工作在路由模式下，而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项，否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。防火墙高级应用－HA配置案例53②点击eth2接口后的“设置”图标，在“路由模式”下方配置心跳口的IP地址，然后点击“添加”按钮，如下图所示。“ha-static”选项必须勾选，否则运行状态同步时IP地址信息也会被同步。点击“确定”按钮保存配置。b）配置Eth1和Eth0口的IP地址。配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，防火墙高级应用－HA配置案例54▶从墙a）配置HA心跳口地址。配置从墙HA心跳口地址为10.1.1.2，具体步骤请参见主墙的配置，此处不再赘述。b）配置Eth1和Eth0口的IP地址。配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20，具体步骤请参见主墙的配置，此处不再赘述。2）设置除心跳口以外的其余通信接口属于VRID2。主备模式下，只能配置一个VRRP备份组，而且通信接口必须加入到具体的VRID组中，防火墙才会根据此接口的up、down状态，来判断本机的工作状态，以进行VRID组内主备状态的切换。防火墙高级应用－HA配置案例55▶主墙a）选择网络管理接口，然后选择“物理接口”页签，在除心跳口以外的接口后点击“设置”图标（以eth0为例）。b）勾选“高级属性”后的复选框，设置该接口属于vrid2，如下图所示。c）参数设置完成后，点击“确定”按钮保存配置。防火墙高级应用－HA配置案例56▶从墙具体步骤请参见主墙的配置，此处不再赘述。3）指定HA的工作模式及心跳口的本地地址和对端地址。需要设置HA工作在“双机热备”模式下，并设置当前防火墙为主墙或从墙，心跳口的本地及对端IP地址信息、心跳间隔等属性。防火墙高级应用－HA配置案例57▶主墙a）选择高可用性双机热备，选中“双机热备”前的单选按钮，配置基本信息，如下图所示。设置本机地址为心跳口eth2的IP地址（10.1.1.1）；设置对端地址为从墙心跳口eth2的IP地址（10.1.1.2）心跳探测间隔可以使用默认值（1秒），心跳探测间隔是两个防火墙间互通状态信息报文的时间间隔，也是用于检测对端设备