天融信防火墻NGFW4000配置手冊

1、實用標準文案天融信防火墻NGFW400快速配置手冊精彩文檔實用標準文案防火墻的幾種管理方式1. . 串口管理42. TELNET 管理53. SSH 管理54. WEBf 理65. GUI 管理7、命令行常用配置 121 .系統(tǒng)管理命令(SYSTEM) 12命令12功能12WEBUI界面操作位置 12二級命令名 12VERSION 12系統(tǒng)版本信息 12系統(tǒng)基本信息 12INFORMATION 12當前設備狀態(tài)信息 12系統(tǒng)運行狀態(tài) 12TIME 12系統(tǒng)時鐘管理 12系統(tǒng)系統(tǒng)時間12CONFIG 12系統(tǒng)配置管理 12管理器工具欄“保存設定”按鈕 12REBOOT 12重新啟動 12系統(tǒng)系統(tǒng)

2、重啟12SSHD 12SSH服務管理命令12系統(tǒng)系統(tǒng)服務12TELNETD 12TELNET!艮務管理12系統(tǒng)系統(tǒng)服務命令12HTTPD. 12HTTP服務管理命12系統(tǒng)系統(tǒng)服務令12MONITORD 12MONITOR 12服務管理命令無 122. 網絡配置命令 (NETWORK)13精彩文檔實用標準文案3. 雙機熱備命令(HA) 134. 定義對象命令 (DEFINE) 135. 包過濾命令(PF) 136. 顯示運行配置命令 (SHOW_RUNNING)137. 保存配置命令(SAVE) 133、 WE郵面常用配置141. 系統(tǒng)管理配置 14A) 系統(tǒng)>基本彳t息 14B) 系統(tǒng)&

3、gt;運行犬態(tài) 14C) 系統(tǒng)>配置維護15D) 系統(tǒng)>系統(tǒng)服務15E) 系統(tǒng)>開放服務16F) 系統(tǒng) > 系統(tǒng)重啟 162. 網絡接口、路由配置 16A) 設置防火墻接口屬性 16B) 設置路由183. 對象配置20A) 設置主機對象 20B) 設置范圍對象 21C) 設置子網對象 21D) 設置地址組 22E) 自定義服務 22F) 設置區(qū)域對象 23G) 設置時間對象 234. 訪問策略配置 245. 高可用性配置 274、 透明模式配置示例 29拓補結構： 291. .用串口管理方式進入命令行 292. 配置接口屬性 293. 配置 VLAN294. 配置區(qū)域屬

4、性 295. 定義為:寸象296. 添加系統(tǒng)權限 297. 配置訪問策略 308. 配置雙機熱備 305、 路由模式配置示例 31拓補結構： 311. 用串口管理方式進入命令行 312. 配置接口屬性 313. 配置路由 314. 配置區(qū)域屬性 315. 配置主機對象 316. 配置訪問策略 31精彩文檔實用標準文案327. 配置雙機熱備防火墻的幾種管理方式1.串口管理第一次使用網絡衛(wèi)士防火墻，管理員可以通過CONSOLE 口以命令行方式進行配置和管理。通過CONSOLE 口登錄到網絡衛(wèi)士防火墻，可以對防火墻進行一些基本的設置。用戶在初次使用防火墻時，通常都會登錄到防火墻更改出廠配置（接口、I

5、P地址等），使在不改變現有網絡結構的情況下將防火墻接入網絡中。這里將詳細介紹如何通過CONSOLES連接到網絡衛(wèi)士防火墻：1）使用一條串口線 （包含在出廠配件中），分別連接計算機的串口（這里假設使用coml）和防火墻的CONSOLES。2）選擇開始 > 程序 > 附件 > 通訊 > 超級終端,系統(tǒng)提示輸入新建連接的名稱。3）輸入名稱，這里假設名稱為“ TOPSEC,點擊“確定”后，提示選擇使用的接口（假設使用coml）。4）設置coml 口的屬性，按照以下參數進行設置。參數名稱取值每秒位數：9600數據位：8精彩文檔奇偶校驗: 停止位：無實用標準文案5）成功連接到防火墻

6、后，超級終端界面會出現輸入用戶名/密碼的提示，如下圖。6）輸入系統(tǒng)默認的用戶名：superman和密碼：talent ,即可登錄到網絡衛(wèi)士防火墻。登錄后，用戶就可使用命令行方式對網絡衛(wèi)士防火墻進行配置管理。2. TELNETSTELNE審理也是命令行管理方式，要進行TELNET1理，必須進行以下設置：1） 在串口下用 "pf service add name telnet area area_eth0 addressname any”命令添力口管理權限2）在串口下用"system telnetd start ” 命令啟動TELNET管理服務3） 知道管理 IP 地址，或者用

7、 “ network interface eth0 ip add 50 mask ” 命令添加管理IP地址4）然后用各種命令行客戶端（如 WINDOWS CMD令行）管理：TELNET 505）最后輸入用戶名和密碼進行管理命令行如圖：3. SSH管理精彩文檔實用標準文案SSH管理和TELNE餌本一至，只不過SSH是加密的，我們用如下步驟管理：1） 在串口下用 "pf service add name ssh area area_eth0 addressname any” 命令添力口管理權限2）在串口下用“ syst

8、em sshd start ” 命令啟動TELNET管理服務3） 知道管理 IP 地址，或者用 “ network interface eth0 ip add 50 mask ” 命令添加管理IP地址4）然后用各種命令行客戶端（如putty命令行）管理：505）最后輸入用戶名和密碼進行管理命令行如圖:4. WEBf 理1）防火墻在出廠時缺省已經配置有WEBFF面管理權限，如果沒有，可用"pf service add name webui areaarea_eth0 addressname any ” 命令添力口。2

9、）WEBf理服務缺省是啟動的，如果沒有啟動，也可用“ system httpd start ”命令打開，管理員在管理 主機的瀏覽器上輸入防火墻的管理 URL,例如： 50,彈出如下的登錄頁面。精彩文檔接口名禰格由芟扣接口地址協(xié)喀模式MTUethO1轡,166.1.250/ayhg1500ethl.132,169.2.25Q/255,255.255.0suto1500ath2auto1500Btte/255,255,255,252auto1500實用標準文案# 4 « 4 4 +提交輸入用戶名密碼后（網絡衛(wèi)士

10、防火墻默認出廠用戶名/密碼為：superman/talent ）,點擊“提交”，就可以進入管理頁面?？艻保存I，若茂接退出家網對H+ OQ06Lb £J防火他引羋口退出系虢y(tǒng) T In .旦第版版tfi根本NC3=W4000(li&424)TOPSECTopsec Opera&ra System v3.2.9D.00,L察班莖本信旦基本信月系蛻信息.版本.版權，評燈徒版本許可證版本：ooi安全JR各安全引解：障度內若過速:克特：證若密認服動F內 3DSQ3SHTTP FTP POP3 SMTPH323 RPC MMS RTSP SQLNET TFTp lFTp會話認證

11、DHCP NTP UMOBAK MGL S5H HA SNMP 多播QSPF REP安全星學包含安全事 炭和服靜信H安全引 孥F深度過貨NAT ,認 證,.限芬動態(tài)路由協(xié)議,同編整口UW顯水當 前物理短口信息5. GUI管理GUI圖形界面管理跟 WE解面一樣，只是，在管理中心中集成了一些安全工具，如監(jiān)控，抓包，跟蹤等1）安裝管理中心軟件2）運行管理軟件精彩文檔實用標準文案3）右擊樹形" TOPSEC;理中心”添加管理IPTop SEC言理中心監(jiān)校列表匕|=：:孽文件臉設備0）工鼠（I）更看厚粗圖在）砧吃!田:口，. ；，去粵，寶通.理EEIITITI司71711rl司J1f 

12、3;tg 竽 SJIO咕.3 哂2fl談春名麻I rrijIUffli 可聞內存加） 總內存CIO I可用存錯空間便總存儲受調低）衣口融 當前年箝咕I更新時間忝加下限地區(qū)項目保存惟改£iF命a蜘白者x的的0垃1】恥19的 設備Use. I晅5,珥1歌LSA 5. 2flJ龍拄后動八2008-021 19:54 30番卷口吃陷5.21依L6A 5. 201監(jiān)控停止精彩文檔實用標準文案4）右擊管理IP地址，選擇“管理”，輸入用戶名和密碼進行管理口叵:區(qū)特控設科題0菱嘛1M鬟射DUI僮隨“立廠“171唱aSl.fi. 131.214-22:1.6 件I342. L6S 5.20-儂儂.5

13、:心推簪a別電 -安蘭雷文件正1或*®） TJWI）強百任J寢田I宣比助舊-! ,一二史蜩m通安薪crtrf蝴哂 方用Hng In內尋的I E尋維間00 I/尋母紀偈國 不口暈 苜廣洱把法至T/.SEE善理中心團 JCE.SL-I1K. LM團 2EE- LTO S3 4Z-Z22. LTO.J5：00 IS. I*.帕始.|T| 332. LEQ T3 ZWLK. 1C."用 14. IT3.T安至工ATdrct口叼嗝 Tracert咱件工區(qū)口回區(qū)I119:09 iftl !. LBS E.EOStE 1 的.S 30國曹用制2006<fl-2l 16:M:30 設

14、;& n餐58 5.M,Lffi 長!.$ 20笈姮*止:;刃緒國了" 支3電,pj 卮 m'ip .匚3"函T05戢&宣理看-J9W. J58. . ZBU系統(tǒng)國幫勖加，天融信用戶名；superman精彩文檔實用標準文案5）也可右擊管理IP地址，選擇“安全工具”，進行實時監(jiān)控E3回區(qū)Tw£EC管理中心-監(jiān)控列表?學文件正）錯備Q）工具1口查看儀）稅圖理幫助舊T”£E冶理中心團 1忙 I6S. IQ2 6L-L92 國 |胃| 222. L7D. 63. laTES. 170. B.Ft io 144 qfl. is-io 144

15、.吧 團 IS 106. 73.3D-L92 I西, 171 toz-igz. 160. 173.T71 iez. lee. m i-iffi.168. r 團 203. 91 44 7-203 91 44. 7 171 221.6. J3L. ZH-2E1.6.13L(7 iflg. ise. 5. M-ias. its 5 ：設科名新I CTL啊用率方可用內存國宮內存（X，I可用存楮空可函 I急存那空、口國）按口數當市受接額I 史斯時而設墻管理啟動監(jiān)控50-lSS 16S I. 2S01維近三 口 口一口 o O堂容錯0心D童其世D電怦僖息a：19ioa 設備口92 16B. 5. 20,

16、192. L66. 5. 2D監(jiān)控，目勵I2006-mi 10:54 30設叁陽1眥%MM*哂鼻的監(jiān)控停止a安全工且首母 安打具Tehet pvq a n Trcert選擇：安全工具-連接監(jiān)控TOE宜傘匚具 192, 168, 1,750律嚎記錄系皎升B如a啟動濟置地址本報文調試an退出Q0E LIDLE SI SIB KVH SV SACK "IT E £STAB>目的地址目的信口 腕點擊啟動，在彈出的窗口中增加過濾條件，可用缺省值監(jiān)控所有連接。精彩文檔實用標準文案©注幢中包動心 C表誓|劉乩匕氏授不融必控嘯定軍哈選中增加的過濾條件，點設置就可以看到實時的

17、監(jiān)控效果了，如下圖：活動連接 數量：4:精主 I IDLE SB STM_R£VB Sff：$tfKjVMT E：EST>狀密i灌地址一目的糖址T遁端口 目的端口丁協(xié)議 神繁黃送宇書數殿拜數朧送報文數報收報支數1 能 166L1111船網L BHID能“TCFi能57643(92. iea.Iilli* m i 25010093232TCP324475I9Z.I&81.ill192. 160 1 SOim4000TCF1228S21531“533II. 1. IEII. 1. LI90009000vnp739680j9"GL關閉國£ 幅注CI；aj(

18、EIMQ CD CLOSE心狀含 裴地址目的地址源端匚目的端口憂該轉換發(fā)送手節(jié)數接收字節(jié)數段送報支教授收報文數塾CU 32 L.lll L9E. 1E6. 1.Z30 11W 3233 TCF1208日精彩文檔實用標準文案二、命令行常用配置（注：用串口、 TELNET SSH方式進入到命令行管理界面，天融信防火墻命令行管理可以完成所有圖形界 面管理功能，命令行支持 TAB鍵補齊和TAB鍵幫助，命令支持多級操作，可以在系統(tǒng)級，也就是第一級直 接輸入完整的命令；也可以進入相應的功能組件級，輸入對應組件命令。具體分級如下表：）系統(tǒng)級系統(tǒng)級為第一級，提供設備的基本管理命令。CLI管理員登錄后，直接進入

19、該級，顯示為：TopsecOS紇組件級組件級為第二級，提供每個安全組件（SE）所獨有的管理命令。在系統(tǒng)級下，TopsecOS #tab按tab鍵，則顯示出安全組件級命令見下表。類別關鍵字內容 說明一級命令名system系統(tǒng)管理目錄networkHa網絡設置高可用性設置define網絡對象定義debug調試log日志設置authentication認證設置Snmp簡單網絡管理協(xié)議配置Pf包過濾規(guī)則設置dpi深度報文檢測策略定義firewall防火墻規(guī)則設置nat地址轉換策略配置Vpn虛擬私有網隧道配置與操作IDS入侵監(jiān)測配置Qos帶寬控制配置AVSE防病毒安全引擎管理設置save保存配置Show

20、_running查看運行時配之信息Show查看配置helpmode幫助模式設定exit退出系統(tǒng)1.系統(tǒng)管理命令（SYSTEM）在命令行下一般用 SYSTEMS令來管理和查看系統(tǒng)配置:命令功能WEBU界囿操作位置二級命令名Version系統(tǒng)版本信息系統(tǒng) 基本信息information當前設備狀態(tài)信息系統(tǒng) 運行狀態(tài)time系統(tǒng)時鐘管理系統(tǒng) 系統(tǒng)時間config系統(tǒng)配置管理管理器工具欄“保存設定”按鈕reboot重新啟動系統(tǒng) 系統(tǒng)重啟sshdSSH服務管理命令系統(tǒng) 系統(tǒng)服務telnetdTELNETS務管理系統(tǒng) 系統(tǒng)服務命令httpdHTTP服務管理命系統(tǒng) 系統(tǒng)服務令monitordMONITOR服

21、務管理命令無精彩文檔實用標準文案2.網絡配置命令（NETWORK）命令功能WEBU界囿操作位置interface防火墻接口管理網絡渤理接口vlanVlan配置管理網絡>VLANroute路由表配置管理網絡 >靜態(tài)路由Ping驗證網絡連接無3 .雙機熱備命令（HA）HA LOCAL<ipaddress> 設置HA接口的本機地址HA PEER<ipaddress> 設置HA接口的對端地址HA PEER-SERIAL<string> 設置 HA 接口的對端的 licence 序列號HA NO<local|peer|peer-serial>

22、復位HA接口的本機地址/對端地址/對端licence 序列號HA PRIORITY <primary|backup> 設定HA優(yōu)先級是主機優(yōu)先還是備份機優(yōu)先（默認為backup ,即如果同時啟動主機成為活HA SHOW<cr>查看HA的配置信息HA ENABLE：cr> 啟動 HAHA DISABLE<cr> 停用 HAHA CLEAMcr>清除HA配置信息HA SYNC<from-peer|to-peer> HA 同步（從對端機上同步配置 /同步配置到對端機上）4 .定義對象命令（DEFINE）命令功能WEBUI操作位置area區(qū)域

23、對象管理對象 > 區(qū)域對象interface配置防火墻接口對應的區(qū)域屬性對象 > 區(qū)域對象host主機地址對象管理對象 >地址對象 >主機對象range地址范圍對象管理對象 >地址對象 > 范圍對象subnet子網地址對象對象地址對象 >子網對象group_address地址組對象管理對象 >地址對象 > 地址組對象service子定義服務對象管理對象服務對象 > 自定義服務group_service服務組對象管理對象>服務對象 > 服務組schedule時間表對象管理對象 > 時間對象server服務器對象管理對象

24、 > 負載均衡 > 服務器virtual_server虛擬服務器對象管理對象 > 負數均衡 > 均衡組5.包過濾命令（PF）增加一條服務訪問規(guī)則SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip112tp| pptp|webui|vrc|vdc> area <string> <addressid <number>| addressname <addr_name>>6 .顯示運行配置命令

25、(SHOW_RUNNING) SHOW_RUNNING7 .保存配置命令(SAVE) SAVE精彩文檔實用標準文案三、WE四面常用配置用瀏覽器或者集中管理中心登錄到WEBf理界面如下:國第1保存lifl我送技退出* 0系晚!吟睡a基本信息+ Li對象市場：MffWOCD-Qt認證版機：TCPSEiZ+ Qqos甑*.皿Topsec Operating SystEnii十Q防火喑引掌版率,值2如00%1_間心，通虛犯專網七邯VPM即學原本二 ¥3.2,6812.060605-00口退出聚耗詳可ill版本：007叩HR8道敬：100CVTW：用尸數;1D0D安至崖笛生全弓 I拿：FW I

26、DS ,wPN溫度內容道謝； http ftp pops smthMAT支持：H323 RPC MM5 RTSP SQ.NET TFTP FTPWliE :哈話認反用翦：CHOP HTTP Lll«EAK ADSL SSH HA SNtJP 去抽劫趙曙由四：06PFRDP求當庭本信息注本信息系筑信息.原本，康投，許町證版本T安全K易包吉安主理 埃和國翳信息曼至引 爭，麓儂希NRT,認 證,胡努，動怒躋由曲調t網曙接口信且顯示當 前較避口信息接口名稱蜀由臺括口地it協(xié)商程式MTUeitio££由192 163 5.20/auto1500網姻

27、接口1 .系統(tǒng)管理配置在“系統(tǒng)”下，可以顯示或配置系統(tǒng)相關設置A) 系統(tǒng) > 基本信息顯示系統(tǒng)的型號、版本、功能模塊、接口信息等等:基本信用統(tǒng)權本可系版版評廿不障道數： URC用尸融： 55LVPN用尸數：MGFW4000-PTOPSECTOpsec Operating System v3.2.3840.1002200100安全飄各安全引擎;深度內容過譴：N4T支持：認證：服勞：動態(tài)曙由構設二FW IDS QOS SSL VPN VPNHTTP FTP POP3 SMTP14323 RPC MMS RTSP SQLNET TFTP FTP會話5證DHCP NTP L1NK6AK ADSL

28、 SSH HA SNMP 多播 OSPFRIP網出提口接口名痂路囹交柒接口地址Btt.n Brff 192.16e,S3.24C/255,255.2S5.01921阻 100.17295.2無 255 口ettll路由202,99.27.199/235.235.255f0etti2路由1口1口1口、1/255255255.協(xié)商模式MTU孫 to150Dauto15U0auto1500B) 系統(tǒng) > 運行狀態(tài)查看系統(tǒng)的運行狀態(tài)，包括CPU內存使用情況和當前連接數等精彩文檔實用標準文案CPU信息合話獲計H用戶線計詳細連接用尸毒：0.6%核心烹：0*4%進程調度：口 0%總使用：1.0%空闌：

29、98,9%內存信越總數：453340可用數：293154可用比例：63.9%韁存：1520 高速鱉存：羽加白逢箍數目總數必C） 系統(tǒng) > 配置維護上傳或下載配置文件系統(tǒng)配置上傳瀏覽<_上面己置系統(tǒng)配置維護查看運庠己置查看保存配置i 下幅行配置下彘保存配置3D）系統(tǒng) > 系統(tǒng)服務TOS系統(tǒng)提供了對這些服系統(tǒng)服務在本系統(tǒng)中主要是指監(jiān)控服務、SSH服務、Telnet服務和HTTP服務。務的控制（啟動和停止）功能，其具體的操作如下：精彩文檔實用標準文案赧務控制監(jiān)控眼勢：不丁|停止IS£H服務：廠” |停止|E）系統(tǒng) > 開放服務添加或查看系統(tǒng)權限，包括 WE瘠理、GU

30、I管理、TELNET!理、SSHf理、監(jiān)控等等【添就配置】TOS服莠名稱控制端口控制地址qu弱ea_e由口anysshareaethOanyupdateareaethOanypingate_ethownywebuarea_ethOanytelnetarea_ethD192,168,03,0ntparea_ettiQanymonitorarea_ethQ192.16B.S3.1webmallportsanyssh制 pcrUwnyauthAlportswnydhcprtranetany驚務控制F）系統(tǒng) > 系統(tǒng)重啟里新啟動重新啟當前謂定是否快存當前配置）重新啟動|2.網絡接口、路由配置A）

31、設置防火墻接口屬性用戶可以對網絡衛(wèi)士防火墻的物理接口的屬性進行設置，具體步驟如下：1）在管理界面左側導航菜單中選擇網絡 > 物理接口，可以看到防火墻的所有物理接口，如下圖所示,共有三個物理接口：Eth。、Eth1、Eth2。肝口不回，腐口艇H件電址:：MOOeVLMJMTU指我悔商厚度貂由交裁其它評細螂定BthO htranet 192.166,53,237/1500 Jgffl auto auto全曲 序序Bthl Eemet交換accesstl 1300啟用雙加山忙|學$ 手 序用eth2 un 交損tfLrikl 1500 .后用 autoaut0學 國作

32、 序序精彩文檔實用標準文案,彈出“設2）如果要將某端口設為路由模式，點擊該端口后的路由修改圖標 定路由”對話框，如下圖所示。健碼思性國賒192A60S3,Z3?2SS.255.255.03薜加配韻設定器由可以為某個端口設置多個IP 地址，點擊“添加配置”按鈕，添加接口的 IP 地址。如果選擇“ha-static ”，表示雙機熱備的兩臺設備在進行主從切換時，可以保存原來的地址不變，否則，從墻的地址將被主墻覆蓋。網絡衛(wèi)士防火墻不支持不同的物理接口配置相同的IP地址或IP地址在同一子網內。設定招由吸址：撞同： |也木就七：r提交談定取消返國|3）如果要將某端口設交換模式，點擊該端口后的交換修改圖標&

33、quot;”，彈出“交換”設置窗口，如下圖所示。接口踮H（access jJACCeSS ：I1-4094提交設定取消返國首先，需要確定該接口的類型是“ Access”還是“ Trunk”。如果是“ Access”接口，則表示該交換接口只屬于一個VLAN,需要指定所屬的 VLID號碼，如上圖所示。如是“Trunk”接口，則設置參數界面如下圖所示。1-094fl-4094 格式如:1100交換接口類型：Native:Wan箱圍:Truik類型：凄交役定眼清返回上圖參數說明如下表所示:精彩文檔實用標準文案名字意義接11類型選擇讀交換樓II雙手trunk摟【L即 個接口可以川H.旖匕個 MTMoti

34、vetnmk瑞11的峨省VLAM ID>由乎Trunk蟠口M于容個VLAK*所以需要設 置缺方3通用于當讀交換接1 接收到沒有標比的揪丈時，該Trunk 端11將北報文發(fā)往缺笞VUN H）林U!的V1A1.如冷的蔻困論huiik接I M此小 格弋舉例：1 ”）叔小川心外】軻】|）；或L 10裹示屬于LAN1劇LAN1ETrunk類型Trunk 口數據的時裝方式,系統(tǒng)支勢四種數據時裝方式：8。七15標然IEEE8G2r 1悔以）方式和 ISL CInter Switch Link C%cq 產招獨行的 稱漢）方式、點擊“提交設定”則完成接口從路由模式向交換模式的轉換。4）點擊“其他”按鈕，

35、可以設置接口的其他信息，如下圖。接口信息接口名稱：ethD播口描述：ntranet接口伏怒：田開MAC ：LOM控口造盅：200-W60選邛HA Metric ： 目動協(xié)商： 手H設置：ms*開關：ES工值：B） 設置路由用戶可以在網絡衛(wèi)士防火墻上設置策略路由及靜態(tài)路由，具體步驟如下：1）在左側導航菜單中選擇網絡 > 靜態(tài)路由，可以看到已經添加的策略路由表以及系統(tǒng)自動添加的靜態(tài)路由表，如下圖所示。精彩文檔實用標準文案策胸路由表添加策略路由路由心源目的 網關 標記 Metric接口善動 冊除靜態(tài)路由表添加靜旃路由海目的網關標記Metric授口卻除0.00.0/0 192.160.03.23

36、7/320,0.0.0U. 1bjjO.O.O.OA1 10.112,112.112/32 O.O-D.OUC 10 pppO,0 0.00/0 10.10104/3UL 1IqJ0.00.0/0 192J63.S3.D/240.0,0.0UC 10 ethl3O.OCI.O/0 19Z1B 日.日工 口/24UJIELQUC 100 ipsecQ 00,0/0 /IX 101an0001 立/n O.O.D.O/D192.166.B34UG5 1ethlQO.O+D.OAJ 0.0,0,0/t)10,112412.112 U

37、GD 1pppO值2）設置策略路由，點擊“添加策略路由”，如下圖所示。添加,超目的地址：*目的瞳如255.255,255.0*通地址：濯班請：2S5.25535Q網關:*Metric :11655351端口 ：eth2*NAT后的源：i否甄照取消磔口其中“網關”為下一跳路由器的入口地址，“端口”指定了從防火墻設備的哪一個接口（包括物理接口和VLAN虛接口）發(fā)送數據包。 Metric為接口躍點數，默認為 1。如果選擇“ NAT后的源”為“是”， 表示策略路由的源地址為 NAT后的地址，策略路由添加成功后的 “標記” 一欄顯

38、示為“UGM。默認為“否”， 策略路由添加成功后的“標記” 一欄顯示為“ U'。3）設置完成后，點擊“提交設定”按鈕，如果添加成功會彈出“添加成功”對話框。點擊“取消返 回”則放棄添加，返回上一界面。羨喈躅由我添加策晤蹺由斶由心謖目的網關標記Metric接口移動刪除101/24202,163.1.0/2192,16B. 100.1 G 1eth21021.1,2,0/24LLir/241.L2.3 UGM1ethO1031.1,1.0/2422.2Q/241.1.L3 JGM1vlanJ若要刪除某路由項，點擊該路由項所在行的刪除圖標"”進行刪除。4）

39、移動策略路由。由于策略執(zhí)行為第一匹配原則，則策略的順序與策略的邏輯相關，在此可以改變添加策略時候的缺省的執(zhí)行順序（按照添加順序排列）。具體設置方法為：精彩文檔實用標準文案102）后的“移動”圖標按鈕在策略路由表中點擊要移動的路由選項（例如要移動策略路由 界面。移動策嚼就由移動策唱路由10102到ID |101 jJ |N前二j提交送官取消塞回在第一個下拉框中選擇參考位置路由，第二個下拉框中則是選擇將當前路由移動到參考路由之前還是之后。例如：要將路由102移動到路由101之前，則第一個下拉框選擇ID “101”，第二個下拉框選擇“之前”，點擊“提交設定”按鈕，則彈出移動成功對話框。點擊“確定”返

40、回路由界面，可以看到路由102已經移動到了 101之前，如下圖所示。策昭晞由表庠加策略跖由路由【口源目的網關標記Metric接口移動刪除102 l.lZO/2Ll.l 0/24L.1,Z3UGM1 th0Na101/24 202.169. L0/34 192.16B. 100.1 G 1 eth2序3W3 LLLQ/2W/UGM1 vlan OODl 拿 3.對象配置A） 設置主機對象選擇 對象 > 地址對象 > 主機對象，右側界面顯示已有的主機對象，如下圖所示。主機地址添加配置名購IP地址廂地址并嵯速接數SVHKS 修改刪

41、除依的lliLlll-S國 踵192460.100.140192,163,100,140份1192168.100.143192.163,10043品3點擊“添加配置”，系統(tǒng)出現添加主機對象屬性的頁面，如下圖所示。精彩文檔實用標準文案本加/修改配置而蠱名前:物理池批：地址關區(qū)：【Pts址：井發(fā)連接救：SYNKS；提交注定取消返回|名字意義用歿名稱用戶定義的生機對望的名稱物理世t該主機對象的MAC地址地加類型目前僅支持1P地時1P地址在九側的文本椎中輸入IP地價字符串，點擊按鈕.則出現在 左惻的七本群中,表示球主機對©的】P地址主誨足的的束條件可 以對同 個生機對較輸入多個IP地址，則只

42、要滿足1C中 個條件即 可；，多可以輸入256中IP地價.并發(fā)連接數允許與誣士機建匯的圾火連接數.SY>代理拈否啟用SH代網.以預防針對該i機的SVMFlood攻擊.B) 設置范圍對象選擇對象 > 地址對象 > 地址范圍，右側界面顯示已有的地址范圍對象，如下圖所示。范鼠地址對象串加配置】名稱起始地址絳止地址 除去地址 修改副除a 用。門口0 255.2S5.255,255爭 J點擊“添加配置”，進入地址范圍對象屬性的頁面，如下圖所示。地址葩國對黛屜怪對象名聊；.起始地址：曦終止地址：*排除地址：可輸入畬個IP地址，用空格分開提交設定1清逐回|C) 設置子網對象選擇 對象 &g

43、t; 地址對象 > 子網對象，在右側頁面內顯示已有的子網地址對象，如下圖所示。精彩文檔實用標準文案子同地址對意【添加配置】名稱隼地址捧回地址除去地址晚改192,L66,B3.0255.255.255.口192,166,84.0192.168.84£2S5.255.255 田3192.168,65.0255,2555,0爭3子網對象崖性對象名稱：文帶姐*網絡地址：192.168.63,0孑網掩碼：2S*樣除地址：1921阻日工121可輔入去個,用空格分開提交出定取消返回D） 設置地址組不同的地址對象可以組合為一

44、個地址組，用作定義策略的目的或源。地址組的支持 增強了對象管理的層次性，使管理更加靈活。設置地址組對象的步驟如下：1）選擇 對象 > 地址對象 > 地址組，在右側頁面內顯示已有的地址組對象，如下 圖所示。2）選擇“添加配置”，系統(tǒng)出現如下圖所示的頁面。而擇成員：User2【壬機W.USERIF【主機J lye-*ac 主機 any【范圉】 nat-pDol 范圍提交諛定E）自定義服務當預定義的服務中找不到我們需要的服務端口時，我們可以自己定義服務端口：1）選擇 對象 > 服務對象 > 自定義服務，點擊“添加配置”，系統(tǒng)出現如下頁面。精彩文檔實用標準文案服務屬性美里：TC

45、F三名稱：1t端口：單個端口或者苑圉, 1-65535起始其止;KMP是類型楫提交設定I取揩返回2）輸入對象名稱后，設置協(xié)議類型及端口號范圍。3）點擊“提交設定”，完成設置。F） 設置區(qū)域對象系統(tǒng)支持區(qū)域的概念，用戶可以根據實際情況，將網絡劃分為不同的安全域，并根據其不同的安全需 求，定義相應的規(guī)則進行區(qū)域邊界防護。如果不存在可匹配的訪問控制規(guī)則，網絡衛(wèi)士防火墻將根據目的 接口所在區(qū)域的權限處理該報文。設置區(qū)域對象，具體操作如下：1）選擇對象 > 區(qū)域對象，顯示已有的區(qū)域對象。防火墻出廠配置中缺省區(qū)域對象為AREA_ETH0并已和缺省屬性對象 eth0綁定，而屬性對象 eth0 已和接口

46、 eth0綁定，因此出廠配置中防火墻的物理接口 eth0已屬于區(qū)域AREA_ETH02）點擊“添加配置”，增加一個區(qū)域對象，如下圖所示。區(qū)域對象eth2上ethl_ethOkip sec.j提交設定理消返回在“對象名稱”部分輸入區(qū)域對象名稱；在“權限選擇”部分設定和該區(qū)域所屬屬性綁定的接口的缺省屬性（允許訪問或禁止訪問）。在“選擇屬性”部分的左側文本框中選擇接口，然后點擊添加該區(qū)域具有的屬性，被選接口將出現在右側的“被選屬性”文本框中，可以同時選擇一個或多個。3）設置完成后，點擊“提交設定”按鈕，如果添加成功會彈出“添加成功”對話 框。4）點擊“取消返回”則放棄添加，返回上一界面。5）若要修改

47、區(qū)域對象的設置，點擊該區(qū)域對象所在行的修改圖標"”進行修改。6）若要刪除區(qū)域對象，點擊該區(qū)域對象所在行的刪除圖標"”進行刪除。G）設置時間對象用戶可以設置時間對象，以便在訪問控制規(guī)則中引用，從而實現更細粒度的控制。比如，用戶希望針 對工作時間和非工作時間設置不同的訪問控制規(guī)則，引入時間對象的概念很容易解決該類問題。設置時間 對象，具體操作如下：1）選擇對象 > 時間對象，點擊“添加配置”，系統(tǒng)出現如下頁面。精彩文檔實用標準文案時間對象扉性對象名稱：|x作日.每周時段：星期一 星期二廠 星第三R 星期四匠 星期五V 星期六r 星期日r 每日時段：開收時間：09:00姑康

48、時間：17：30|提交設定取消返回2）依次設置“對象名稱”、“每周時段”和“每日時段”。3）最后點擊“提交設定”，完成對象設置。新添加的對象將顯示在時間對象列表 中，如下圖所示。叼間對象添力鵬已置J名稱星期每日開始鼻日結束修技蒯除工作日1234509:0017:30今曰4）對已經添加的時間對象，可以點擊修改圖標修改其屬性，也可以點擊刪除圖標 刪除該對象。4.訪問策略配置用戶可以通過設置訪問控制規(guī)則實現靈活、強大的三到七層的訪問控制。系統(tǒng)不但可以從區(qū)域、VLAN地址、用戶、連接、時間等多個層面對數據報文進行判別和匹配，而且還可以針對多種應用層協(xié)議進行深 度內容檢測和過濾。與報文阻斷策略相同，訪問

49、控制規(guī)則也是順序匹配的，但與其不同，訪問控制規(guī)則沒 有默認規(guī)則。也就是說，如果沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據 目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報文。定義訪問規(guī)則，操作步驟如下：1）選擇 防火墻引擎 > 訪問控制，點擊“添加配置”，進入訪問控制規(guī)則定義界面。陽1規(guī)叫【潘解己置落空配置J1D 24目的腺晶話換前 目的時間Dpi依逐日接志像改藕動A肺除eiooy(Intranet) 1Q.10.10.2(ntemet)h即劃由nc>+i3(Intranet) 1G.1Q 102cn p.火"FTP禁止電工白工cm*n但值

50、aisi y10.10,10.2(jntsrriet)HTTPanti_totKec_urlfj*= 3表中“ID”為每項規(guī)則的編號，在移動規(guī)則順序時將會使用?！翱刂啤敝械膱D標 V和/ ,分別表示該項規(guī)則是否啟用。精彩文檔實用標準文案2）定義是否啟用該訪問控制規(guī)則（默認為啟用該規(guī)則）,以及訪問權限。手加ML視耽訪問權限JB用炮胤：“啟用讖認信用覲劇.不該為暫不生她訪問權限：商允許r拒蛆訪問權限定義了是否允許訪問由規(guī)則源到規(guī)則目的所指定的服務。3）定義規(guī)則的源規(guī)則的源既可以是一個已經定義好的VLAN或區(qū)域，也可以細化到一個或多個地址對象以及用戶組對象，如下圖所示。誥播凝VL&N ：已選誦VLAN :vlamDOlO口上vlan.0009口vian.acoaT選捧盤AREA ：巳速iHAREA ：