天融信防火墙NGFW4000快速配置手册.doc

1、天融信防火墙 NGFW4000 快速配置手册一、 防火墙的几种管理方式1 串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等） ，使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE 口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中） ，分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。 2）选择 开始 程序 附件 通讯

2、 超级终端，系统提示输入新建连接的名称。3）输入名称，这里假设名称为“TOPSEC” ，点击“确定”后，提示选择使用的接口（假设使用 com1） 。4）设置 com1 口的属性，按照以下参数进行设置。 参数名称 取值每秒位数： 9600数据位： 8奇偶校验： 无停止位： 15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2 TELNET 管理TELNET 管理也是命令行管理方式，要进行 TELNET 管理，必须进行以下

3、设置：1) 在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2) 在串口下用“system telnetd start” 命令启动 TELNET 管理服务3) 知道管理 IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP 地址4) 然后用各种命令行客户端(如 WINDOWS CMD 命令行)管理：TELNET 192.168.1.2505) 最后输入用户名和密码进行管理命令行如图：3 S

4、SH 管理SSH 管理和 TELNET 基本一至，只不过 SSH 是加密的，我们用如下步骤管理：1) 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2) 在串口下用“system sshd start” 命令启动 TELNET 管理服务3) 知道管理 IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理 IP 地址4) 然后用各种命令行客户端(如 putty 命令行)管理：192.168.1.250

5、5) 最后输入用户名和密码进行管理命令行如图：4 WEB 管理1)防火墙在出厂时缺省已经配置有 WEB 界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。2)WEB 管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：https:/192.168.1.250，弹出如下的登录页面。输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent） ，点击“提交” ，就可以进入

6、管理页面。5 GUI 管理GUI 图形界面管理跟 WEB 界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1) 安装管理中心软件2) 运行管理软件3) 右击树形“TOPSEC 管理中心”添加管理 IP4) 右击管理 IP 地址，选择“管理” ，输入用户名和密码进行管理5) 也可右击管理 IP 地址，选择“安全工具” ，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：二、 命令行常用配置(注：用串口、TELNET、SSH 方式进入到命令行管理界面，天融信防火墙命令行

7、管理可以完成所有图形界面管理功能，命令行支持 TAB 键补齐和 TAB 键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：)系统级 系统级为第一级，提供设备的基本管理命令。CLI 管理员登录后，直接进入该级，显示为：TopsecOS#。组件级 组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS # 按 tab 键，则显示出安全组件级命令见下表。 类别 关键字内容 说明system 系统管理目录network 网络设置Ha 高可用性设置define 网络对象定义debug 调试

8、log 日志设置authentication 认证设置Snmp 简单网络管理协议配置pf 包过滤规则设置dpi 深度报文检测策略定义firewall 防火墙规则设置nat 地址转换策略配置Vpn 虚拟私有网隧道配置与操作IDS 入侵监测配置Qos 带宽控制配置AVSE 防病毒安全引擎管理设置save 保存配置Show_running 查看运行时配之信息Show 查看配置helpmode 帮助模式设定一级命令名exit 退出系统1 系统管理命令(SYSTEM)在命令行下一般用 SYSTEM 命令来管理和查看系统配置：命令 功能 WEBUI 界面操作位置Version 系统版本信息 系统基本信息i

9、nformation 当前设备状态信息 系统运行状态time 系统时钟管理 系统系统时间config 系统配置管理 管理器工具栏“保存设定”按钮reboot 重新启动 系统系统重启sshd SSH 服务管理命令 系统系统服务telnetd TELNET 服务管理 系统系统服务命令httpd HTTP 服务管理命 系统系统服务令二级命令名monitord MONITOR 服务管理命令无2 网络配置命令(NETWORK)命令 功能 WEBUI 界面操作位置interface 防火墙接口管理 网络物理接口vlan Vlan 配置管理 网络VLANroute 路由表配置管理 网络静态路由Ping 验证

10、网络连接 无3 双机热备命令(HA)HA LOCAL 设置 HA 接口的本机地址 HA PEER 设置 HA 接口的对端地址 HA PEER-SERIAL 设置 HA 接口的对端的 licence 序列号 HA NO 复位 HA 接口的本机地址/对端地址/对端 licence 序列号 HA PRIORITY 设定 HA 优先级是主机优先还是备份机优先（默认为 backup，即如果同时启动主机成为活HA SHOW 查看 HA 的配置信息 HA ENABLE 启动 HA HA DISABLE 停用 HA HA CLEAN 清除 HA 配置信息 HA SYNC HA 同步（从对端机上同步配置/同步配

11、置到对端机上）4 定义对象命令(DEFINE)命令 功能 WEBUI 操作位置 area 区域对象管理 对象 区域对象 interface 配置防火墙接口对应的区域属性 对象 区域对象host 主机地址对象管理 对象 地址对象 主机对象 range 地址范围对象管理 对象地址对象 范围对象 subnet 子网地址对象 对象地址对象 子网对象 group_address 地址组对象管理 对象地址对象 地址组对象 service 子定义服务对象管理 对象服务对象 自定义服务 group_service 服务组对象管理 对象服务对象 服务组 schedule 时间表对象管理 对象 时间对象 server 服务器对象管理 对象 负载均衡 服务器 virtual_server 虚拟服务器对象管理 对象 负载均衡 均衡组5 包过滤命令(PF)增加一条服务访问规则SERVICE ADD name area | addressname 6 显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7 保存配置命令(SAVE)SAVE