技术说明书-天融信防火墙系统

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式41．串口管理42．TELNET管理53．SSH管理54．WEB管理65．GUI管理7二、命令行常用配置121．系统管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二级命令名12V ERSION12系统版本信息12系统>基本信息12INFORMATION12当前设备状态信息12系统〉运行状态12TIME12系统时钟管理12系统〉系统时间12CONFIG12系统配置管理12管理器工具栏“保存设定”按钮12REBOOT12重新启动12系统〉系统重启12SSHD12SSH服务管理命令12系统>系统服务12TELNETD12TELNET服务管理12系统>系统服务命令12HTTPD12HTTP服务管理命12系统〉系统服务令12MONITORD12MONITOR12服务管理命令无122．网络配置命令（NETWORK）133．双机热备命令(HA)134．定义对象命令(DEFINE）135．包过滤命令（PF)136．显示运行配置命令(SHOW_RUNNING）13 7．保存配置命令（SAVE)13三、WEB界面常用配置141．系统管理配置14A）系统〉基本信息14B)系统〉运行状态14C)系统> 配置维护15D)系统〉系统服务15E）系统〉开放服务16F）系统> 系统重启162．网络接口、路由配置16A)设置防火墙接口属性16B)设置路由183．对象配置20A)设置主机对象20B)设置范围对象21C)设置子网对象21D）设置地址组21E）自定义服务22F)设置区域对象22G)设置时间对象234．访问策略配置235．高可用性配置26四、透明模式配置示例28拓补结构：281．用串口管理方式进入命令行282．配置接口属性283．配置VLAN284．配置区域属性285．定义对象286．添加系统权限287．配置访问策略298．配置双机热备29五、路由模式配置示例30拓补结构：301．用串口管理方式进入命令行302．配置接口属性303．配置路由304．配置区域属性305．配置主机对象306．配置访问策略307．配置双机热备31一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙简要配置步骤
天融信防火墙配置简介：
此手册主要针对天融信防火墙型号是NGFW4000，一下简介是根据此型号做的说明。

1、设备登录
Web登录：
天融信默认web配置口：ETH0口，默认ip地址：192.168.1.254/24，默认登录名：superman，默认密码：talent，笔记本通过直连线即可利用浏览器登录配置，注意要用https协议登录，即：https://192.168.1.254。

登录后显示状态如下：
Console口登录：
登录方式与一般路由器的console口登录方式一样。

2、路由器与交换机之间透明模式配置
防火墙的接口有两种状态：路由模式、交换模式，当防火墙与路由器和交换机的互联接口均指定为交换模式时，路由器与防火墙以透明模式实现互联。

指定接口模式的位置如下图所示：
3、通过防火墙实现外网互联
防火墙与外网互联接口暂时成为外网口，与内网互联接口暂时称为内网口，具体实现步骤如下：A、外网口与运营商线路互联，内网口与内网核心交换机规划好的端口互联。

此处暂用ETH7外联运营商，用ETH6内联交换机。

B、外网口配置运营商提供的公网ip地址，内网口配置与核心交换机互联vlan对应的ip地址。

C、定义区域，区域是指防火墙接口互联的网段，定义区域是为了后续的防火墙配置，如配
置地址转换、防火墙策略、访问控制、内容过滤等。

定义区域：
D、配置地址转换。

点击添加开始地址转换配置：
E、配置缺省路由和回指路由。

配置缺省路由：
配置回指路由：
4、其他配置详见NGFW4000管理手册。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET5)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理：5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

网络卫士防火墙系统NGFW4000 系列产品说明天融信TOPSEC® 北京市海淀区上地东路 1 号华控大厦 100085电话：+8610­82776666传真：+8610­82776677服务热线：+8610­8008105119http: //版权声明本手册的所有内容，其版权属于北京天融信公司（以下简称天融信）所有， 未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。

本手册没有任何形 式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、 利益损失， 天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考， 有关内容可能会随时更新，天融信恕不承担另行通知之义务。

版权所有 不得翻印© 1995­2009天融信公司商标声明本手册中所谈及的产品名称仅做识别之用，而这些名称可能属于其他公司的 注册商标或是版权，其他提到的商标，均属各该商标注册人所有，恕不逐一列明。

TopSEC®天融信信息反馈NGFW 4000系列产品说明目 录1 产品概述 (1)2 关键技术 (2)1） 灵活的接口扩展能力 (2)2） 安全高效的TOS操作系统 (2)3） 集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS (2)4） 完全内容检测CCI技术 (3)3 产品特点介绍 (4)4 产品功能 (9)5 运行环境与标准 (14)6 典型应用 (15)1） 典型应用一：在企业、政府纵向网络中的应用 (15)2） 典型应用二：防火墙作为负载均衡器 (16)3） 典型应用三：防火墙接口备份 (17)4） 典型应用四：AA模式双机热备 (18)7 产品资质 (18)1 产品概述十几年来，天融信专注于信息安全，第一家开发出自主防火墙系统，第一家提出 TOPSEC 联动技术体系。

网络卫士防火墙历经了包过滤、应用代理、核检测等技术阶段， 目前已进入以自主安全操作系统 TOS（Topsec Operating System）为基础，以完全内容 检测为标志的技术阶段，集成了防火墙、VPN、带宽管理、防病毒、入侵防御、内容过 滤等多种安全功能。

天融信配置手册引言天融信是一家专业的网络安全解决方案提供商，其产品被广泛应用于政府、金融、电信、教育、医疗、能源等行业。

本文将介绍天融信的常见配置手册，以帮助用户更好地使用和配置天融信产品。

配置天融信防火墙登录天融信防火墙管理界面1.打开浏览器，输入防火墙管理IP地址。

2.在登录界面输入用户名和口令，单击登录按钮。

默认用户名为admin，口令为T9msc&oB。

配置基本设置1.进入“网络配置 > 基本设置”界面。

2.配置防火墙管理口和外网口的IP地址的掩码。

3.点击“保存”按钮。

配置规则列表1.进入“规则管理 > 访问规则列表”界面。

2.点击“添加规则”按钮，创建新的规则。

3.设置访问规则列表的相关参数。

4.点击“保存”按钮。

配置用户认证1.进入“认证 > 用户认证”界面。

2.点击“添加用户”按钮，添加新用户。

3.输入用户名、密码、分组等信息。

4.点击“保存”按钮。

配置VPN1.进入“VPN > VPN服务”界面。

2.点击“添加VPN”按钮，创建新的VPN连接。

3.配置VPN的相关参数。

4.点击“保存”按钮。

配置天融信安全网关登录天融信安全网关管理界面1.打开浏览器，输入安全网关管理IP地址。

2.在登录界面输入用户名和口令，单击登录按钮。

默认用户名为admin，口令为T9msc&oB。

配置基本设置1.进入“网络配置 > 基本设置”界面。

2.配置安全网关管理口和外网口的IP地址的掩码。

3.点击“保存”按钮。

配置规则列表1.进入“规则管理 > 访问规则列表”界面。

2.点击“添加规则”按钮，创建新的规则。

3.设置访问规则列表的相关参数。

4.点击“保存”按钮。

配置用户认证1.进入“认证 > 用户认证”界面。

2.点击“添加用户”按钮，添加新用户。

3.输入用户名、密码、分组等信息。

4.点击“保存”按钮。

配置VPN1.进入“VPN > VPN服务”界面。