虚拟化防火墙安装

虚拟化防火墙安装使用指南

天融信

TOPSEC?

北京市海淀区上地东路1号华控大厦100085

电话：+86

传真：+86

服务热线：+86

本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或

任意引用。

商标声明

本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公

司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC?天融信公司

信息反馈

目录1前言.............................................................................................................. 错误!未定义书签。

文档目的........................................................................................................ 错误!未定义书签。

读者对象........................................................................................................ 错误!未定义书签。

约定................................................................................................................ 错误!未定义书签。

技术服务体系................................................................................................ 错误!未定义书签。2虚拟化防火墙简介....................................................................................... 错误!未定义书签。3安装.............................................................................................................. 错误!未定义书签。

OVF模板部署方式 ........................................................................................ 错误!未定义书签。

ISO镜像安装方式 ......................................................................................... 错误!未定义书签。

上传vFW ISO文件 .................................................................................错误!未定义书签。

创建vFW虚拟机 ...................................................................................错误!未定义书签。

安装vTOS操作系统 ..............................................................................错误!未定义书签。4TOPPOLICY管理虚拟化防火墙........................................................................ 错误!未定义书签。

安装T OP P OLICY ............................................................................................... 错误!未定义书签。

管理虚拟化防火墙........................................................................................ 错误!未定义书签。5配置案例 ...................................................................................................... 错误!未定义书签。

虚拟机与外网通信的防护............................................................................ 错误!未定义书签。

基本需求.................................................................................................错误!未定义书签。

配置要点.................................................................................................错误!未定义书签。

配置步骤.................................................................................................错误!未定义书签。

注意事项.................................................................................................错误!未定义书签。

虚拟机之间通信的防护................................................................................ 错误!未定义书签。

基本需求.................................................................................................错误!未定义书签。

配置要点.................................................................................................错误!未定义书签。

配置步骤.................................................................................................错误!未定义书签。

注意事项.................................................................................................错误!未定义书签。附录A重新安装虚拟化防火墙 ..................................................................... 错误!未定义书签。

1前言

本文档主要介绍虚拟化防火墙的安装、配置、使用和管理。通过阅读本文档，用户可以了解虚拟化防火墙的基本设计思想，并根据实际应用环境安装和配置防火墙。

本章内容主要包括：

文档目的

读者对象

约定

技术服务体系

1.1文档目的

本文档主要介绍虚拟化防火墙的安装、配置和使用。通过阅读本文档，用户能够正确地安装和配置虚拟化防火墙，并综合运用安全设备提供的多种安全技术有效地保护用户虚拟化设备，实现高效可靠的安全通信。

1.2读者对象

本用户手册适用于具有基本网络和虚拟化平台知识的系统管理员或网络管理员阅读。

1.3约定

本文档遵循以下约定。

“”表示页面内容引用。

点击（选择）一个菜单项时，采用如下约定：点击（选择）高级管理> 特殊对

象> 用户。

文档中出现的提示和说明是关于用户在安装和配置虚拟化防火墙过程中需要特

别注意的部分，请用户在明确可能的操作结果后，再进行相关配置。

文档中出现的接口标识是为了表示方便，不一定与设备接口名称相对应。

1.4技术服务体系

天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页

在线技术资料

安全解决方案

技术支持中心

天融信全国安全服务热线800-810-5119

2虚拟化防火墙简介

云计算是一种新兴的共享基础架构的方法，可以将巨大的系统池连接在一起以提供各种IT服务。虚拟化是云计算的重要基础设施。虚拟化的目的是虚拟化出一个或多个相互隔离的执行环境，用于运行操作系统及应用，并且确保在虚拟出的环境中操作系统与应用的运行情况与在真实的物理设备上运行的情况基本相同。虚拟化技术使得系统中的物理设施资源利用率得到明显提高，还使得系统动态部署变得更加灵活、便捷。

虚拟化是未来网络的重要支撑技术，虚拟化的安全也要得到全面防护。虽然虚拟化IT 基础设施将与物理服务器环境共同面对相同的安全挑战，但用户可以充分利用多处理器、多核体系架构和虚拟化软件提供安全机制对其进行防护。通过采用天融信提供的虚拟化防火墙，能够对虚拟化系统提供全面的安全解决方案，使用户可以在安全的环境下，充分的发挥虚拟化所带来的优势，帮助用户扩展虚拟化部署以保护全部关键任务系统。

虚拟化防火墙，是以天融信公司具有自主知识产权的vTOS操作系统（virtual Topsec Operating System）为系统平台，采用开放性的系统架构及模块化的设计，融合了防火墙、IPSEC/SSLVPN、抗DOS攻击、IDS/IPS、WEB防护等多种引擎，构建而成的一个安全、高效、易于管理和扩展的防火墙。

vTOS操作系统是天融信自主研发的新一代系统平台，采用全模块化设计、中间层理念，具有高效性、高安全性、高健壮性、扩展性、可移植性、模块化等特征。vTOS操作系统能够作为主流的完全虚拟化或半虚拟化的虚拟机管理器的Guest OS，为虚拟化环境提供灵活、高效、全面的解决方案。

虚拟化防火墙是一个具有高度综合性和集成性的高层网络安全应用系统，它利用虚拟机管理器实现了硬件的扩展性，利用虚拟机机制实现了防火墙的高扩展性和高可用性。企业在部署虚拟化防火墙后，能够使自己的虚拟网络和物理网络具有相同的安全性。

虚拟化防火墙由集中管理平台（TP）和虚拟化安全网关（vFW）构成。集中管理平台（TP）负责安全策略的集中管理，支持安全策略的迁移功能。虚拟化安全网关（vFW）以虚拟机的形式部署在虚拟化平台上，并通过虚拟化平台接入引擎获得虚拟化平台的网络通信数据，从而对所有虚拟机之间以及虚拟化平台本身的网络通信进行防护。

3安装

虚拟化防火墙支持VMware vSphereESXi，KVM，XEN及Hyper-V虚拟化平台。通过在相应虚拟化平台上部署虚拟化防火墙，可以实时防护虚拟化环境中各虚拟机间的通信以及各虚拟机与外网通信。本章主要介绍如何安装虚拟化防火墙，包括OVF模板方式和vFW ISO文件方式。

以OVF模板方式部署虚拟化防火墙可以直接将预先配置的虚拟化防火墙（包括vTOS 操作系统及相关配置）添加到虚拟化环境中。而以vFW ISO方式安装虚拟化防火墙需要先创建虚拟机再通过cdrom方式安装vFW，但可以适应更多的虚拟化平台。

下面以平台为例，介绍如何通过VMware vSphere Client安装虚拟化防火墙。

3.1O VF模板部署方式

通过VMware vSphere Client，可以在VMware vCenter Server或ESXi主机中部署以开放式虚拟机格式（OVF）存储的虚拟化防火墙。天融信公司提供的虚拟化防火墙的OVF 模板为*.ova格式。

VMware vSphere Client在导入OVF模板之前会进行验证，可确保OVA文件与其相关联的VMware vCenter Server或ESXi兼容。

采用OVF模板方式在VMware vCenter Server中安装虚拟化防火墙的具体操作步骤如下：

1）在VMware vCenter Server菜单栏中，选择文件> 部署OVF模板，如下图所示。

2）点击“浏览”导入本地存储的OVF模板，如下图所示。

在计算机本地选择虚拟化防火墙的OVF模板，点击“打开”，如下图所示。

3）点击“下一步”查看OVF模板的详细信息，如下图所示。

4）点击“下一步”，设置部署的虚拟化防火墙名称以及虚拟化防火墙在VMware vCenter Server中清单的位置，如下图所示。

5）点击“下一步”，选择运行此虚拟化防火墙模板的主机或集群，如下图所示。

6）点击“下一步”，如下图所示。

仅当此虚拟化防火墙所在的ESXi主机部署了资源池，该页面才显示。选择相应的虚拟池，点击“下一步”，如下图所示。

在设置虚拟机磁盘格式时，各项参数的具体说明如下表所示。

选项说明

厚置备延迟

置零

以默认的厚格式创建虚拟磁盘。创建vFW过程中为vFW磁盘分配所需空间。

创建vFW时不会擦除物理设备上保留的任何数据，但从vFW首次执行写操作

时会按需将其置零。

厚置备置零

创建支持群集功能的厚磁盘。创建vFW时为vFW磁盘分配所需空间。创建vFW

过程中会将物理设备上保留的数据置零。

精简置备

精简置备的磁盘只使用该磁盘最初所需要的数据存储空间。若虚拟机使用过程

中需要更多空间，它可以增长到为其分配的最大容量。

7）设置虚拟磁盘格式，点击“下一步”，如下图所示。

8）选择目标网络，点击“下一步”，如下图所示。

9）点击“完成”，系统将自动部署虚拟化防火墙，如下图所示。

部署vFW成功后，如下图所示。

点击“关闭”，即完成了虚拟化防火墙的安装。若在“部署OVF模板”的“即将完成”页面中勾选了“部署后打开电源（P）”，系统将自动打开部署的虚拟化防火墙电源。

3.2I SO镜像安装方式

用户可以通过天融信公司提供的vFW ISO文件安装虚拟化防火墙。

在WMwarevSphere Client中采用vFW ISO文件安装虚拟化防火墙的具体操作步骤包括：上传vFW ISO文件至VMware vCenter Server存储器，创建操作系统为Linux且版本号为Linux（32位）的虚拟机，引用vFW ISO文件以及启动vTOS操作系统的安装进程。

3.2.1上传vFW ISO文件

通过VMware vSphere Client安装虚拟化防火墙时，需从数据储存器中引用vFW ISO 文件。因此在安装虚拟化防火墙前，需将天融信公司的vFW ISO文件通过VMware vSphere Client上传至VMware vCenter Server中，上传vFW ISO文件的具体操作步骤如下所示：1）在清单列表中选择一个ESXi主机，激活“配置”页签，如下图所示。

2）在“硬件”选项卡中选中“存储器”，在“数据存储”菜单栏中右键选择待上传vFW ISO文件的存储器，如下图所示。

3）在存储器右键菜单栏中选择“浏览数据存储”，如下图所示。

4）点击“”，创建文件夹用于存放vFW ISO映像文件。选中新建的文件夹，点击图标“”，选择“上载文件”，然后在计算机本地选择存放的vFW ISO文件，点击“打开”，如下图所示。

5）点击“是”，界面将显示上传vFW ISO文件的进度，如下图所示。

上传完成后，vFW ISO文件将存储至所选择的数据存储器相应的文件夹下。

3.2.2创建vFW虚拟机

vFW虚拟机需要配置预留最小1G内存，1G虚拟硬盘，2个虚拟网卡，关于配置虚拟防火墙的内存见步骤8和15。创建vFW虚拟机的具体操作步骤如下所示：1）在VMware vSphere Client清单中选择特定数据中心、ESXi主机、集群或资源池，选择右键菜单新建虚拟机，如下图所示。

如果选择“典型”选项，则虚拟机的硬件版本默认为运行此虚拟机的ESXi主机的硬件版本；如果选择“自定义”选项，用户可以自定义虚拟机的硬件版本。

2）选择“自定义”选项，点击“下一步”，如下图所示。

3）在“名称”文本框中输入不多于80个字符的名称（不区分大小写），然后在“清单位置”中选择数据中心的根目录，点击“下一步”。如下图所示。

仅当运行此虚拟机的ESXi主机上配置了资源池，才显示该页面。

选择也可不选择需在主机上运行该虚拟机的资源池，然后点击“下一步”。如下图所示。

4）选择目标主机或集群已配置的数据存储器来存储该虚拟机，然后点击“下一步”。如下图所示。

5）根据ESXi主机运行的版本选择相应的虚拟机版本（一般选择最新的虚拟机版本），点击“下一步”，如下图所示。

6）在“客户机操作系统”下勾选“Linux(L)”，然后在“版本”下拉菜单中选择“其他Linux(32位)”，点击“下一步”，如下图所示。

内核总数=虚拟插槽数×每个虚拟插槽的内核数，此处设置的内核总数需等于或小于ESXi主机上逻辑CPU的数量（一般默认值就可以了）。

7）在“虚拟插槽数”下拉菜单中选择一个值，在“每个虚拟插槽的内核数”下拉菜单中选择一个值。点击“下一步”，如下图所示。

8）配置该虚拟化防火墙的内存大小（建议设置为“1GB”），请参考步骤15配置内存为预留，点击“下一步”，如下图所示。

虚拟化防火墙安装

虚拟化防火墙安装使用指南天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 ：+86 传真：+87 服务热线：+8119 https://www.360docs.net/doc/b113811214.html,

版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。版权所有不得翻印?2013天融信公司商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC?天融信公司信息反馈 https://www.360docs.net/doc/b113811214.html,

目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4技术服务体系 (2) 2虚拟化防火墙简介 (3) 3安装 (4) 3.1OVF模板部署方式 (4) 3.2ISO镜像安装方式 (11) 3.2.1上传vFW ISO文件 (11) 3.2.2创建vFW虚拟机 (13) 3.2.3安装vTOS操作系统 (22) 4TOPPOLICY管理虚拟化防火墙 (28) 4.1安装T OP P OLICY (28) 4.2管理虚拟化防火墙 (29) 5配置案例 (33) 5.1虚拟机与外网通信的防护 (33) 5.1.1基本需求 (33) 5.1.2配置要点 (33) 5.1.3配置步骤 (34) 5.1.4注意事项 (46) 5.2虚拟机之间通信的防护 (47) 5.2.1基本需求 (47) 5.2.2配置要点 (47) 5.2.3配置步骤 (48) 5.2.4注意事项 (57) 附录A重新安装虚拟化防火墙 (58)

东软防火墙配置过程

（一）初始化设备 1)初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04 10:22:36 7.设置系统语言。 Please set system language (1) English

(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1，2，3，4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y，添加ycz用户，设备相应密码，Web管理，Telnet。

天融信防火墙命令

天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

Helpmode chinesel 区域权限：pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启：system httpd start web界面权限添加：pf service add name webui area 区域名 addressname any 添加网口ip：禁用网口： network interface eth16 shutdown 启用网口： network interface eth16 no shutdown 交换模式： network interface eth16 switchport（no switchport路由模式）区域设置： define area add name E1 attribute 网口 access off（on）《off权限禁止，on 权限允许》主机地址： define host add name 主机名子网地址： define host subnet add name 名字自定义服务：define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip： web服务器外网访问 1）设置 E1 区域 #define area add name E1 access on attribute eth1 2）定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明：“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1）设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2）定义外网区域（adsl-a） #define area add name adsl-a attribute adsl access on 3）配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4）拨号 #network adsl start 5）查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13

部署防火墙的步骤

部署防火墙的步骤部署防火墙的步骤一#转换特权用户pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的ip地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网ip 公网ip子网掩码global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0

#下面两句将定义转发公网ip的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网ip www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网ip ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网ip eq www any conduit permit tcp host 公网ip eq ssh 信任ip 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网ip网关 1 #保存配置 write memory 部署防火墙的步骤二步骤一：安装程序时许多程序在安装时都要求关闭防火墙(如wps office 2003)。有些程序虽然并未直接明示，但若不及时关闭，就有可能造成安装失败，比如弹出“读取错误”、“安装*.exe出错”等信息，或者干脆死机，或者安装上去之后不能正常使用。笔者在安装金山影霸、office xp等程序时已经屡经验证。

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

启用ASA和PIX上的虚拟防火墙

启用ASA和PIX上的虚拟防火墙前言有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定，并希望能够针对近两年防火墙的两大新兴功能：虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ，多做一点介绍以及设定上的解说，是以Ben特别在本期以Cisco的ASA，实做一些业界上相当有用的功能，提供给各位工程师及资讯主管们，对于防火墙的另一种认识。再者，近几期的网管人大幅报导资讯安全UTM方面的观念，显示网路安全的需要与日遽增，Cisco ASA 5500为一个超完全的UTM，这也是为什么Ben选择ASA，来详细的介绍UTM的整体观念。本技术文件实验所需的设备清单如下： 1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。本技术文件实验所需的软体及核心清单如下： 2Cisco PIX或是ASA 5500系列，韧体版本7.21，管理软体ASDM 5.21。 3Cisco 3524 交换器。本技术文件读者所需基本知识如下： 4VLAN协定802.1Q。 5路由以及防火墙的基础知识。 6Cisco IOS 基础操作技术。什么是虚拟防火墙跟通透式防火墙虚拟防火墙(Virtual Firewall or Security Contexts)：

就一般大众使用者而言，通常买了一个防火墙就只能以一台来使用，当另外一个状况或是环境需要防火墙的保护时，就需要另外一台实体的防火墙；如此，当我们需要5台防火墙的时候，就需要购买5台防火墙；虚拟防火墙的功能让一台实体防火墙，可以虚拟成为数个防火墙，每个虚拟防火墙就犹如一台实体的防火墙，这解决了企业在部署大量防火墙上的困难，并使得操作及监控上更为简便。通透式防火墙(Transparent or Layer 2 Firewall)：一般的防火墙最少有两个以上的介面，在每个介面上，我们必须指定IP位址以便让防火墙正常运作，封包到达一个介面经由防火墙路由到另一个介面，这种状况下，防火墙是处在路由模式(Routed mode)；试想，在服务提供商(Internet Service Provider) 的环境中，至少有成千上万的路由器组成的大型网路，如果我们要部署数十个以上的防火墙，对于整体网路的IP位址架构，将会有相当大的改变，不仅容易造成设定路由的巨大麻烦，也有可能会出现路由回圈，部署将会旷日费时，且极容易出错。举例来说，如果有两个路由器A及B，我们想在A跟B之间部署路由模式的防火墙，必须重新设计路由器介面的IP位址，以配合防火墙的IP位址，另外，如果路由器之间有跑路由通讯协定(ie. RIP、OSPF、BGP等)，防火墙也必须支援这些通讯协定才行，因此相当的麻烦；通透式防火墙无须在其介面上设定IP 位址，其部署方式就犹如部署交换器一样，我们只需直接把通透式防火墙部署于路由器之间即可，完全不需要烦恼IP位址的问题，因此，提供此类功能的防火墙，亦可称为第二层防火墙。一般而言，高级的防火墙(Cisco、Juniper等)都支援这些功能；就Cisco的ASA 或是PIX而言(版本7.0以上)，都已支援虚拟防火墙以及通透式防火墙这两个功能。如何设定虚拟防火墙(Security Contexts) 在Cisco的防火墙中，有些专有名词必须先让读者了解，以便继续以下的实验及内容。专有名词解释 Context ASA/PIX在虚拟防火墙的模式下，每一个虚拟防火墙就可以称为一个context。

实验：防火墙基本配置

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。交换机，标准Console配置线。三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。预备知识 1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。一个IP数据包如下图所示（图中IP所承载的上层协议为TCP） ACL示意图 ACL的分类按照访问控制列表的用途，可以分为四类： ●基本的访问控制列表（basic acl） ●高级的访问控制列表（advanced acl） ●基于接口的访问控制列表（interface-based acl） ●基于MAC的访问控制列表（mac-based acl）访问控制列表的使用用途是依靠数字的范围来指定的，1000～1999是基于接口的访问控制列表，2000～2999范围的数字型访问控制列表是基本的访问控制列表，3000～3999范围的数字型访问控制列表是高级的访问控制列表，4000～4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目防火墙的配置包括：

Windows_7防火墙设置详解

Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法，自从Vista开始，Windows的防火墙功能已经是越加臻于完善、今非昔比了，系统防火墙已经成为系统的一个不可或缺的部分，不再像XP那样防护功能简单、配置单一，所以无论是安装哪个第三方防火墙，Windows 7自带的系统防火墙都不应该被关闭掉，反而应该学着使用和熟悉它，对我们的系统信息保护将会大有裨益。防火墙有软件的也有硬件德，当然了，其实硬件仍然是按照软件的逻辑进行工作的，所以也并非所有的硬防就一定比软防好，防火墙的作用是用来检查网络或Internet的交互信息，并根据一定的规则设置阻止或许可这些信息包通过，从而实现保护计算机的目的，下面这张图是Windows 7帮助里截出来的工作原理图： Windows 7防火墙的常规设置方法还算比较简单，依次打开“计算机”——“控制面板”——“Windows防火墙”，如下图所示：

上图中，天缘启用的是工作网络，家庭网络和工作网络同属于私有网络，或者叫专用网络，图下面还有个公用网络，实际上Windows 7已经支持对不同网络类型进行独立配置，而不会互相影响，这是windows 7的一个改进点。图2中除了右侧是两个帮助连接，全部设置都在左侧，如果需要设置网络连接，可以点击左侧下面的网络和共享中心，具体设置方法，可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章，另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。下面来看一下Windows 7防火墙的几个常规设置方法：一、打开和关闭Windows防火墙

Hillstone虚拟防火墙技术解决方案白皮书

图1 使用虚拟防火墙进行业务灵活扩展在传统数据中心方案中，业务服务器与防火墙基本上是一对一配比。因此，当业务增加时，用户需要购置新的防火墙；而当业务减少时，对应的防火墙就闲置下来，导致投资浪费。虚拟防火墙技术以其灵活可扩展的特性帮助用户保护投资，用户可以随时根据业务增减相应的虚拟防火墙。同时，通过使用虚拟防火墙的CPU 资源虚拟化技术，数据中心还可以为客户定量出租虚拟防火墙，例如，可以向某些客户出租10M 吞吐量的虚拟防火墙，而向另一些客户出租100M 吞吐量的虚拟防火墙。

Hillstone 虚拟防火墙功能简介 Hillstone 的虚拟防火墙功能简称为VSYS ，能够将一台物理防火墙在逻辑上划分成多个虚拟防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现防火墙的大部分功能。每个虚拟防火墙系统之间相互独立，不可直接相互通信。不同型号的Hillstone 物理防火墙设备支持的最大VSYS 个数不同，支持License 控制的VSYS 个数的扩展。数据中心业务类型多种多样，需要使用的防火墙策略也不同。例如，DNS 服务器需要进行DNS Query Flood 攻击防护，而HTTP 服务器则需要进行HTTP Get Flood 攻击防护。虚拟防火墙的划分能够实现不同业务的专属防护策略配置。同时，CPU 资源虚拟化可隔离虚拟防火墙之间的故障，当单个虚拟防火墙受到攻击或资源耗尽时，其它虚拟防火墙不会受到影响，这样就大大提升了各业务的综合可用性。图2 使用虚拟防火墙进行业务隔离 Hillstone 虚拟防火墙功能包含以下特性： ■ 每个VSYS 拥有独立的管理员 ■ 每个VSYS 拥有独立的安全域、地址簿、服务簿等■ 每个VSYS 可以拥有独立的物理接口或者逻辑接口■ 每个VSYS 拥有独立的安全策略■ 每个VSYS 拥有独立的日志 1.2 业务隔离，互不影响

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式 1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

东软防火墙配置过程

（一）初始化设备 1) 初始化配置步骤： 1.用超级终端通过串口控制台连接（RJ-45 null-modem 线缆）来完成初始配置。完成初始配置后，可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示： LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟，在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name: SZYCZ_FW5200 6.输入系统时间。 Please set the system time(YYYY-MM-DD HH:MM:SS) system time (2000-01-01 00:00:01):2012-07-04

10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2，中文，回车 8.更改根管理员口令。（此步骤可选，但东软强烈建议首次登录后修改口令。） Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码，选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH

(完整版)天融信防火墙日常维护与常见问题

天融信防火墙日常维护及常见问题综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。一、防火墙的连接方式

5 硬件一台 ?外形：19寸1U 标准机箱产品外形接COM 口管理机直通线交叉线串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条，颜色:灰色)-交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接） ?软件光盘 ?上架附件产品提供的附件及线缆使用方式

二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表： 2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式

H3C SecPath虚拟防火墙技术白皮书(V1.00)

H3C SecPath虚拟防火墙技术白皮书(V1.00) SecPath虚拟防火墙技术白皮书关键词：虚拟防火墙MPLS VPN 摘要：本文介绍了H3C公司虚拟防火墙技术和其应用背景。描述了虚拟防火墙的功能特色，并介绍了H3C公司具备虚拟防火墙功能的独立防火墙和防火墙插板产品的组网环境应用。缩略语清单：

1 概述 1.1 新业务模型产生新需求 1.2 新业务模型下的防火墙部署 1.2.1 传统防火墙的部署缺陷 1.2.2 虚拟防火墙应运而生 2 虚拟防火墙技术 2.1 技术特点 2.2 相关术语 2.3 设备处理流程 2.3.1 根据入接口数据流 2.3.2 根据Vlan ID数据流 2.3.3 根据目的地址数据流 3 典型组网部署方案 3.1 虚拟防火墙在行业专网中的应用 3.1.1 MPLS VPN组网的园区中的虚拟防火墙部署一3.1.2 MPLS VPN组网的园区中的虚拟防火墙部署二3.1.3 虚拟防火墙提供对VPE的安全保护 3.2 企业园区网应用 4 总结

1.1 新业务模型产生新需求目前，跨地域的全国性超大企业集团和机构的业务规模和管理复杂度都在急剧的增加，传统的管理运营模式已经不能适应其业务的发展。企业信息化成为解决目前业务发展的关键，得到了各企业和机构的相当重视。现今，国内一些超大企业在信息化建设中投入不断增加，部分已经建立了跨地域的企业专网。有的企业已经达到甚至超过了IT-CMM3的级别，开始向IT-CMM4迈进。另一方面，随着企业业务规模的不断增大，各业务部门的职能和权责划分也越来越清晰。各业务部门也初步形成了的相应不同安全级别的安全区域，比如，OA和数据中心等。由于SOX等法案或行政规定的颁布应用，各企业或机构对网络安全的重视程度也在不断增加。对企业重点安全区域的防护要求越来越迫切。因此，对企业信息管理人员来说，如何灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访成为其非常关注的问题。这也对安全区域隔离“利器”――防火墙提出了更高的要求。 1.2 新业务模型下的防火墙部署目前许多企业已经建设起自己的MPLS VPN专网，例如电力和政务网。下面我们以MPLS VPN组网为例介绍在新的业务模型下防火墙的如何实现对各相互独立的业务部门进行各自独立的安全策略部署呢？ 1.2.1 传统防火墙的部署缺陷面对上述需求，业界通行的做法是在园区各业务VPN前部署防火墙来完成对各部门的安全策略部署实现对部门网络的访问控制。一般部署模式如下图所示：图1-1 传统防火墙部署方式然而，由于企业业务VPN数量众多，而且企业业务发展迅速。显而易见的，这种传统的部署模式已经不太适应现有的应用环境，存在着如下的不足： ?为数较多的部门划分，导致企业要部署管理多台独立防火墙，导致拥有和维护成本较高 ?集中放置的多个独立防火墙将占用较多的机架空间，并且给综合布线带来额外的复杂度 ?由于用户业务的发展，VPN的划分可能会发生新的变化。MPLS VPN以逻辑形式的实现，仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化，对用户后期备件以及管理造成很大的困难 ?物理防火墙的增加意味着网络中需要管理的网元设备的增多。势必增加网络管理的复杂度

天融信防火墙配置手册

天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。二、路由功能与地址转换现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有

Juniper虚拟防火墙测试情况

Juniper vGW虚拟防火墙推出了很长时间，一直也没有进行研究和测试，今天在官网中发现这个产品可以在线测试，所以就过来看看，废话不多说下面正式开始， 1.首先先在官网中找到测试的链接，填一张简单的表，进入测试界面登录界面使用Juniper一贯的简介大方，帐号密码也不用输入直接点击进入打开后的主界面也是一贯的友好，中间是内容栏，上面是状态栏，左边是配置导航栏。点击Please See Status Screen这个黄叹号可以通过里面所包含的信息看出防火墙所在的位置和大概情况，从上面的导航栏可以详细的看见HOME界面上各个详细的信息，当然点击HOME主界面上的各个标图也可以。下面需要正式配置了，和物理防火墙不同的地方他首先需要进行关于VMware一些方面的配

置，如果对VMware ESX比较了解，在这里的配置会很容易理解： 2 点击顶端状态导航栏的最后一项进入基本配置界面分三大栏目： vGW的基本配置，其中包括许可证的输入界面，vCenter信息输入界面，虚拟防火墙功能的安装界面，还有像管理员、HA等基本配置安全的基本设置，其中包括IDS基本配置，协议和协议组的定义，还有网络和zones的定义。最后一栏是对虚拟防火墙设备的一些设置:如设备的更新、时间、网络的基本配置。在这里完成了基本配置后就可以对vGW进行正式的配置了，他的配置信息全在左侧的配置导航栏配合状态导航栏的防火墙和IDS等栏目可以对vGW进行配置具体情况查看，到这我才发现Juniper给我使用的登录帐号只能看不能动，这让我很郁闷，所以下面就截图让大家看看他具体能实现的那些东东：总共分为四大块，下面具体的看看每一块里面都包含什么东西。

学习防火墙的配置方法..

在前几篇对防火墙的有关知识和技术作了一个较全面的介绍，本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的： ●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。（2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以

天融信防火墙配置

天融信防火墙配置一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。出厂默认eth0口IP为:192.168.1.254, 出厂用户名为：superman，密码为：talent或12345678。现IP改为192.168.4.21，用户名为：superman，密码为：topsec0471。在浏览器上输入防火墙的管理URL，例如：https://192.168.1.254，弹出如下的登录页面。输入用户名为：superman，密码为：topsec0471，登陆进入。二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与

web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在192.168.4.0/24网段，MISS网在172.20.40.0/24网段。eth0口IP为192.168.4.21(WEB服务器实际IP为192.168.4.20)，eth1IP口为172.20.40.1。接口模式选择：路由。其余选项采用默认配置。三．路由配置点击：网络管理----路由，现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：192.168.4.21既eth0口的IP，MISS网端的主机网关设成：172.20.40.1即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。四．地址转换： 1.配置转换对象：点击：资源管理----地址；点击：添加：

防火墙虚拟线应用

虚拟线说明：作用：相当于一个物理层交换机，一次可以有2个接口加入一个虚拟线组。加入虚拟线的接口收包时，会直接从另一个接口转发出去，不会进行路由、arp和mac表的查找。使用此功能不需要配置接口的trunk 模式（和本地的access或trunk配置无关；即使对端直连trunk口，本地接口也不用做相应配置）。在虚拟线内转发的报文，除DPI过滤外，其他功能正常实现。但不支持地址转换。典型应用环境如上图所示，一个较为典型的应用环境是：防火墙透明接入一个交换环境，上下游交换机有2条做聚合的链路穿过墙，且聚合口trunk了多个VLAN。在此环境下，如果防火墙配置为透明模式（VLAN），那么墙上的4个接口会因为trunk了相同的VLAN而导致环路。有2个解决办法： 1)在防火墙上配置相应的聚合端口（005版本开始支持）。 2)采用虚拟线的方式接入。这种方式更加简单，2条命令就可以无缝接入原有网络，且仍然能够支持防火墙的大部分功能。配置说明（以上图为例）： TopsecOS# network virtual-line add dev1 the first device of the virtual-line dev2 the second device of the virtual-line TopsecOS# network virtual-line add dev1 eth0 dev2 eth1

TopsecOS# network virtual-line add dev1 eth2 dev2 eth3 TopsecOS# network virtual-line show ID xxxx dev1:eth0 dev2:eth1 ID xxxx dev1:eth2 dev2:eth3

天融信防火墙日常维护及常见问题

产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条，颜色:灰色) -交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接） ?软件光盘 ?上架附件 6 二、防火墙的工作状态网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，体请见下表： 2-1防火墙安装前的准备在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)