天融信防火墙NGFW4000快速配置手册

资料.天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE口以命令行方式进行配置和管理。通过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE口。2）选择开始程序附件通讯超级终端，系统提示输入新建连接的名称。3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。4）设置com1口的属性，按照以下参数进行设置。参数名称取值每秒位数：9600数据位：8资料.奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany”命令添加管理权限2)在串口下用“systemtelnetdstart”命令启动TELNET管理服务3)知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1.250mask255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWSCMD命令行)管理：TELNET192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理资料.SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany”命令添加管理权限2)在串口下用“systemsshdstart”命令启动TELNET管理服务3)知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1.250mask255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany”命令添加。2)WEB管理服务缺省是启动的，如果没有启动，也可用“systemhttpdstart”命令打开，管理员在管理主机的浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。资料.输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面。5．GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1)安装管理中心软件2)运行管理软件资料.3)右击树形“TOPSEC管理中心”添加管理IP资料.4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理资料.5)也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。资料.选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：资料.二、命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：)系统级系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。组件级组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS#tab按tab键，则显示出安全组件级命令见下表。类别关键字内容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义firewall防火墙规则设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Show_running查看运行时配之信息Show查看配置helpmode帮助模式设定exit退出系统1．系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和查看系统配置：命令功能WEBUI界面操作位置二级命令名Version系统版本信息系统基本信息information当前设备状态信息系统运行状态time系统时钟管理系统系统时间config系统配置管理管理器工具栏“保存设定”按钮reboot重新启动系统系统重启sshdSSH服务管理命令系统系统服务telnetdTELNET服务管理系统系统服务命令httpdHTTP服务管理命系统系统服务令monitordMONITOR服务管理命令无资料.2．网络配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墙接口管理网络物理接口vlanVlan配置管理网络VLANroute路由表配置管理网络静态路由Ping验证网络连接无3．双机热备命令(HA)HALOCALipaddress设置HA接口的本机地址HAPEERipaddress设置HA接口的对端地址HAPEER-SERIALstring设置HA接口的对端的licence序列号HANOlocal|peer|peer-serial复位HA接口的本机地址/对端地址/对端licence序列号HAPRIORITYprimary|backup设定HA优先级是主机优先还是备份机优先（默认为backup，即如果同时启动主机成为活HASHOWcr查看HA的配置信息HAENABLEcr启动HAHADISABLEcr停用HAHACLEANcr清除HA配置信息HASYNCfrom-peer|to-peerHA同步（从对端机上同步配置/同步配置到对端机上）4．定义对象命令(DEFINE)命令功能WEBUI操作位置area区域对象管理对象区域对象interface配置防火墙接口对应的区域属性对象区域对象host主机地址对象管理对象地址对象主机对象range地址范围对象管理对象地址对象范围对象subnet子网地址对象对象地址对象子网对象group_address地址组对象管理对象地址对象地址组对象service子定义服务对象管理对象服务对象自定义服务group_service服务组对象管理对象服务对象服务组schedule时间表对象管理对象时间对象server服务器对象管理对象负载均衡服务器virtual_server虚拟服务器对象管理对象负载均衡均衡组5．包过滤命令(PF)增加一条服务访问规则SERVICEADDnamegui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdcareastring[addressidnumber]|[addressnameaddr_name]6．显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7．保存配置命令(SAVE)SAVE资料.三、WEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界面如下：1．系统管理配置在“系统”下，可以显示或配置系统相关设置A)系统基本信息显示系统的型号、版本、功能模块、接口信息等等：B)系统运行状态查看系统的运行状态，包括CPU、内存使用情况和当前连接数等资料.C)系统配置维护上传或下载配置文件D)系统系统服务系统服务在本系统中主要是指监控服务、SSH服务、Telnet服务和HTTP服务。TOS系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：资料.E)系统开放服务添加或查看系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等F)系统系统重启2．网络接口、路由配置A)设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：1）在管理界面左侧导航菜单中选择网络物理接口，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口：Eth0、Eth1、Eth2。资料.2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“”，弹出“设定路由”对话框，如下图所示。可以为某个端口设置多个IP地址，点击“添加配置”按钮，添加接口的IP地址。如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的IP地址或IP地址在同一子网内。3）如果要将某端口设交换模式，点击该端口后的交换修改图标“”，弹出“交换”设置窗口，如下图所示。首先，需要确定该接口的类型是“Access”还是“Trunk”。如果是“Access”接口，则表示该交换接口只属于一个VLAN，需要指定所属的VLID号码，如上图所示。如是“Trunk”接口，则设置参数界面如下图所示。上图参数说明如下表所示：资料.点击“提交设定”则完成接口从路由模式向交换模式的转换。4）点击“其他”按钮，可以设置接口的其他信息，如下图。B)设置路由用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：1）在左侧导航菜单中选择网络静态路由，可以看到已经添加的策略路由表以及系统自动添加的静态路由表，如下图所示。资料.2）设置策略路由，点击“添加策略路由”，如下图所示。其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和VLAN虚接口）发送数据包。Metric为接口跃点数，默认为1。如果选择“NAT后的源”为“是”，表示策略路由的源地址为NAT后的地址，策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U”。3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。若要删除某路由项，点击该路由项所在行的删除图标“”进行删除。4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。具体设置方法为：资料.在策略路由表中点击要移动的路由选项（例如要移动策略路由102）后的“移动”图标按钮，进入如下界面。在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到参考路由之前还是之后。例如：要将路由102移动到路由101之前，则第一个下拉框选择ID“101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功对话框。点击“确定”返回路由界面，可以看到路由102已经移动到了101之前，如下图所示。3．对象配置A)设置主机对象选择对象地址