天融信NGFW系列防火墙-猎豹(万兆)产品说明

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1．串口管理 (3)2．TELNET管理 (4)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (6)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (29)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

防火墙应符合以下功能要求1、防火墙应支持多种工作模式:透明、路由以及透明加路由的综合模式。

2、防火墙的访问控制策略能够基于源、目IP地址,源、目端口号和时间进行设置。

3、采用硬件及软件功能模块化技术;4、支持服务器的SYN代理功能;5、支持根据认证用户的名称进行匹配通信策略;6、防火墙支持在透明模式下nat/map的功能;7、防火墙支持web重定向功能;8、防火墙支持DHCP作为客户端和服务器;9、防火墙默认管理端口可以更改;10、支持TOPSEC协议,能够与第三方安全产品进行很好的联动,尤其是与IDS产品和URL产品的联动。

11、应支持802.1Q、Cisco ISL等VLAN协议,并能支持ISL的封装和解封的功能,支持STP(生成数协议)。

12、支持WATCH DOG电路,能够实现防火墙的自动检测和恢复。

13、支持基于服务器的负载均衡技术,支持基于数据库的长连接应用14、支持与RADIUS、CA、OTP服务器的联动15、防火墙应采用先进的状态检测技术与核检测技术。

16、可支持动态、静态、双向的网络地址转换(NAT)。

17、具备完善的日志功能,能够提供日志自动导出功能,支持向日志服务器导出日志,提供标准化的日志。

18、应支持常见的动态路由协议,如OSPF、RIP、RIPII。

19、防火墙应支持SNMP协议V3版本,同时提供相应的MIB库文件, 能通过第三方网管软件对防火墙进行监测和控制。

20、要求能够提供基于源地址和目的地址的路由功能。

满足的性能要求:1、最大并发连接数不低于1,200,000。

2、带宽管理、与IDS联动3、吞吐量不低于2G4、平均无故障时间MTBF:不低于60000小时。

5、三年免费软件升级及服务6、认证级别要达到EAL3。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (5)1．串口管理 (5)2．TELNET管理 (7)3．SSH管理 (8)4．WEB管理 (9)5．GUI管理 (10)二、命令行常用配置 (15)1．系统管理命令(SYSTEM) (16)命令 (16)功能 (16)WEBUI界面操作位置 (16)二级命令名 (16)V ERSION (16)系统版本信息 (16)系统>基本信息 (16)INFORMATION (16)当前设备状态信息 (16)系统>运行状态 (16)TIME (16)系统时钟管理 (16)系统>系统时间 (16)CONFIG (16)系统配置管理 (16)管理器工具栏“保存设定”按钮 (16)REBOOT (16)重新启动 (16)系统>系统重启 (16)SSHD (16)SSH服务管理命令 (16)系统>系统服务 (16)TELNETD (16)TELNET服务管理 (16)系统>系统服务命令 (16)HTTPD (16)HTTP服务管理命 (16)系统>系统服务令 (16)MONITORD (16)MONITOR (16)服务管理命令无 (16)2．网络配置命令(NETWORK) (16)3．双机热备命令(HA) (17)4．定义对象命令(DEFINE) (17)5．包过滤命令(PF) (18)6．显示运行配置命令(SHOW_RUNNING) (18)7．保存配置命令(SAVE) (18)三、WEB界面常用配置 (19)1．系统管理配置 (19)A)系统> 基本信息 (19)B)系统> 运行状态 (20)C)系统> 配置维护 (20)D)系统> 系统服务 (20)E)系统> 开放服务 (21)F)系统> 系统重启 (21)2．网络接口、路由配置 (21)A)设置防火墙接口属性 (21)B)设置路由 (24)3．对象配置 (26)A)设置主机对象 (26)B)设置范围对象 (27)C)设置子网对象 (27)D)设置地址组 (28)E)自定义服务 (29)F)设置区域对象 (29)G)设置时间对象 (30)4．访问策略配置 (31)5．高可用性配置 (35)四、透明模式配置示例 (36)拓补结构： (36)1．用串口管理方式进入命令行 (36)2．配置接口属性 (36)3．配置VLAN (37)4．配置区域属性 (37)5．定义对象 (37)6．添加系统权限 (37)7．配置访问策略 (37)8．配置双机热备 (38)五、路由模式配置示例 (39)拓补结构： (39)1．用串口管理方式进入命令行 (39)2．配置接口属性 (39)3．配置路由 (40)4．配置区域属性 (40)5．配置主机对象 (40)6．配置访问策略 (40)7．配置双机热备 (40)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式31．串口管理32．TELNET管理43．SSH管理54．WEB管理65．GUI管理6二、命令行经常使用配置121．系统管理命令(SYSTEM)12命令12功能12WEBUI界面操纵位置12二级命令名12V ERSION12系统版本信息12系统>基本信息12INFORMATION12当前设备状态信息12系统>运行状态12TIME12系统时钟管理12系统>系统时间12CONFIG12系统配置管理12管理器工具栏“保管设定”按钮12REBOOT12重新启动12系统>系统重启12SSHD12SSH服务管理命令12系统>系统服务12TELNETD12TELNET服务管理12系统>系统服务命令12HTTPD12HTTP服务管理命12系统>系统服务令12MONITORD12MONITOR12服务管理命令无122．网络配置命令(NETWORK)133．双机热备命令(HA)134．定义对象命令(DEFINE)135．包过滤命令(PF)136．显示运行配置命令(SHOW_RUNNING)13 7．保管配置命令(SAVE)13三、WEB界面经常使用配置141．系统管理配置14A)系统 > 基本信息14B)系统 > 运行状态14C)系统 > 配置维护15D)系统 > 系统服务15E)系统 > 开放服务16F)系统 > 系统重启162．网络接口、路由配置16A)设置防火墙接口属性16B)设置路由183．对象配置20A)设置主机对象20B)设置范围对象21C)设置子网对象21D)设置地址组21E)自定义服务22F)设置区域对象22G)设置时间对象234．访问战略配置235．高可用性配置26四、透明模式配置示例28拓补结构：281．用串口管理方式进入命令行282．配置接口属性283．配置VLAN284．配置区域属性285．定义对象286．添加系统权限297．配置访问战略298．配置双机热备29五、路由模式配置示例30拓补结构：301．用串口管理方式进入命令行302．配置接口属性303．配置路由304．配置区域属性305．配置主机对象306．配置访问战略307．配置双机热备31一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE 口。

2）选择开始> 程序> 附件> 通讯> 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。

4）设置com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1．串口管理 (3)2．TELNET管理 (4)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (6)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (29)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。