天融信网络卫士防火墙系统

网络卫士防火墙N G F W U F系列产品说明公司内部档案编码：[OPPTR-OPPT28-OPPTL98-OPPNN08]网络卫士防火墙系统NGFW4000-UF系列产品说明天融信TOPSEC 北京市海淀区上地东路1号华控大厦 100085版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有不得翻印 1995-2008天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC天融信信息反馈目录1产品概述..................................................... 2关键技术..................................................... 1）灵活的接口扩展能力.......................................... 2）安全高效的TOS操作系统...................................... 3）集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS .......... 4）完全内容检测CCI技术........................................ 3产品特点介绍................................................. 4产品功能..................................................... 5运行环境与标准............................................... 6典型应用..................................................... 1）典型应用一：在大型网络中的应用.............................. 2）典型应用二：虚拟防火墙应用.................................. 3）典型应用三：AA模式双机热备..................................1产品概述网络卫士系列防火墙NGFW4000-UF（NetGuard FireWall）系列产品，是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的千兆防火墙。

网络卫士防火墙系统命令手册索引分册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦，100085电话：（8610）82776666传真：（8610）8277667服务热线：800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

版权所有不得翻印 © 2009天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录前言 (1)1概述 (3)1.1手册使用指南 (3)1.2人机命令的描述 (3)1.3命令辅助功能 (4)1.4命令模式 (4)2命令索引 (8)2.1 A开头的命令 (8)2.2 B开头的命令 (13)2.3 C开头的命令 (15)2.4 D开头的命令 (19)2.5 E开头的命令 (29)2.6 F开头的命令 (31)2.7 G开头的命令 (32)2.8 H开头的命令 (33)2.9 I开头的命令 (34)2.10 J开头的命令 (48)2.11 K开头的命令 (49)2.12 L开头的命令 (49)2.13 M开头的命令 (53)2.14 N开头的命令 (58)2.15 O开头的命令 (61)2.16 P开头的命令 (62)2.17 Q开头的命令 (64)2.18 R开头的命令 (65)2.19 S开头的命令 (68)2.20 T开头的命令 (92)2.21 U开头的命令 (96)2.22 V开头的命令 (97)2.23 W开头的命令 (100)2.24 X开头的命令 (101)2.25 Z开头的命令 (101)前言手册说明《网络卫士防火墙系统命令手册》共有16个分册，手册和内容分别为：手册名称手册内容《网络卫士防火墙系统命令手册_索引分册》介绍网络卫士防火墙每条命令对应的分册、章节《网络卫士防火墙系统命令手册_IPv6分册》介绍网络卫士防火墙与IPv6相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册一》介绍网络卫士防火墙与RIP、OSPF和IS-IS 路由协议相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册二》介绍网络卫士防火墙与BGP路由协议、路由映射和路由策略相关的命令《网络卫士防火墙系统命令手册_MPLS分册》介绍网络卫士防火墙与MPLS相关的命令《网络卫士防火墙系统命令手册_QoS分册》介绍网络卫士防火墙与QoS相关的命令《网络卫士防火墙系统命令手册_安全分册》介绍网络卫士防火墙与网络安全相关的命令《网络卫士防火墙系统命令手册_防火墙分册》介绍网络卫士防火墙与防火墙相关的命令《网络卫士防火墙系统命令手册_基本配置分册一》介绍网络卫士防火墙与系统管理、文件管理、用户界面、日志统计、FTP/TFTP服务器和IPv4基础协议相关的命令《网络卫士防火墙系统命令手册_基本配置分册二》介绍网络卫士防火墙与接口配置、DHCP和VRRP相关的命令《网络卫士防火墙系统命令手册_基本配置分册三》介绍网络卫士防火墙与NAT、Time Range、堆叠和DEBUG调试相关的命令《网络卫士防火墙系统命令手册_网络管理分册》介绍网络卫士防火墙与网络管理相关的命令《网络卫士防火墙系统命令手册_以太网交换分册》介绍网络卫士防火墙与MAC、VLAN、SuperVLAN、STP、链路聚合、VBAS、MAC PING和UDLD相关的命令《网络卫士防火墙系统命令手册_组播分册》介绍网络卫士防火墙与组播协议相关的命令内容介绍本手册主要介绍了《网络卫士防火墙系统命令手册》的命令索引部分，本手册的章节名及其概要如下：章名概要第1章概述本章介绍命令手册的使用方法、命令的描述、格式约定、辅助功能和模式第2章命令索引本章以表格形式指明了《网络卫士防火墙命令手册》中每条命令所在的分册、章节，其中命令以字母A~Z的顺序进行排列1概述1.1手册使用指南《网络卫士防火墙命令手册》按内容分为16个分册，各分册的内容请参看本手册前言部分。

网络卫士防火墙系统NGFW4000 系列产品说明天融信TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085电话：+8610­82776666传真：+8610­82776677服务热线：+8610­8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有， 未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形 式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失， 天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考， 有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有 不得翻印© 1995­2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的 注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000系列产品说明目 录1 产品概述 (1)2 关键技术 (2)1） 灵活的接口扩展能力 (2)2） 安全高效的TOS操作系统 (2)3） 集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2)4） 完全内容检测CCI技术 (3)3 产品特点介绍 (4)4 产品功能 (9)5 运行环境与标准 (14)6 典型应用 (15)1） 典型应用一：在企业、政府纵向网络中的应用 (15)2） 典型应用二：防火墙作为负载均衡器 (16)3） 典型应用三：防火墙接口备份 (17)4） 典型应用四：AA模式双机热备 (18)7 产品资质 (18)1 产品概述十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出 TOPSEC 联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段， 目前已进入以自主安全操作系统 TOS（Topsec Operating System）为基础，以完全内容 检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过 滤等多种安全功能。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 1/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

[原创]天融信防火墙的一个典型配置方案一个典型配置方案现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应该如何配置。

以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN 中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。

有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能访问内网；外网可以访问SSN中的服务器。

在非动态地址环境下：防火区域配置外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。

内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允许ping。

SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁止ping。

经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。

（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。

）定义三个网络节点FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址=…，物理地址=…。

HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址=…，物理地址=…。

MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址=…，物理地址=…。

配置访问策略根据区域的定义，外网和内网的缺省访问权限已经满足要求，现在只需要进行一些访问策略设置。

在SSN区域中增加三条访问策略：① 访问目的=FTP_SERVER，目的端口=TCP 21。

源=内网，访问权限=读、写。

源=外网，访问权限=读。

这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能写文件。