天融信防火墙配置讲解

天融信防火墙NGFW4000快速配置手册之勘阻及广创作目录一、防火墙的几种管理方式41．串口管理52．TELNET管理53．SSH管理64．WEB管理65．GUI管理7二、命令行经常使用配置81．系统管理命令(SYSTEM)8命令9功能9WEBUI界面操纵位置9二级命令名9V ERSION9系统版本信息9系统>基本信息9INFORMATION9当前设备状态信息9系统>运行状态9TIME9系统时钟管理9系统>系统时间9CONFIG9系统配置管理9管理器工具栏“保管设定”按钮9 REBOOT9重新启动9系统>系统重启9SSHD9SSH服务管理命令9系统>系统服务9TELNETD9TELNET服务管理9系统>系统服务命令9HTTPD9HTTP服务管理命9系统>系统服务令9MONITORD9MONITOR9服务管理命令无92．网络配置命令(NETWORK)9 3．双机热备命令(HA)94．定义对象命令(DEFINE)105．包过滤命令(PF)106．显示运行配置命令(SHOW_RUNNING)10 7．保管配置命令(SAVE)10三、WEB界面经常使用配置111．系统管理配置11A)系统 > 基本信息11B)系统 > 运行状态11C)系统 > 配置维护11D)系统 > 系统服务11E)系统 > 开放服务11F)系统 > 系统重启112．网络接口、路由配置11A)设置防火墙接口属性11B)设置路由123．对象配置14A)设置主机对象14B)设置范围对象14C)设置子网对象14D)设置地址组14E)自定义服务15F)设置区域对象15G)设置时间对象164．访问战略配置175．高可用性配置18四、透明模式配置示例20拓补结构：201．用串口管理方式进入命令行20 2．配置接口属性203．配置VLAN214．配置区域属性215．定义对象216．添加系统权限217．配置访问战略218．配置双机热备22五、路由模式配置示例23拓补结构：231．用串口管理方式进入命令行23 2．配置接口属性233．配置路由244．配置区域属性245．配置主机对象246．配置访问战略247．配置双机热备24一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式41．串口管理42．TELNET管理53．SSH管理54．WEB管理65．GUI管理7二、命令行常用配置121．系统管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二级命令名12V ERSION12系统版本信息12系统>基本信息12INFORMATION12当前设备状态信息12系统〉运行状态12TIME12系统时钟管理12系统〉系统时间12CONFIG12系统配置管理12管理器工具栏“保存设定”按钮12REBOOT12重新启动12系统〉系统重启12SSHD12SSH服务管理命令12系统>系统服务12TELNETD12TELNET服务管理12系统>系统服务命令12HTTPD12HTTP服务管理命12系统〉系统服务令12MONITORD12MONITOR12服务管理命令无122．网络配置命令（NETWORK）133．双机热备命令(HA)134．定义对象命令(DEFINE）135．包过滤命令（PF)136．显示运行配置命令(SHOW_RUNNING）13 7．保存配置命令（SAVE)13三、WEB界面常用配置141．系统管理配置14A）系统〉基本信息14B)系统〉运行状态14C)系统> 配置维护15D)系统〉系统服务15E）系统〉开放服务16F）系统> 系统重启162．网络接口、路由配置16A)设置防火墙接口属性16B)设置路由183．对象配置20A)设置主机对象20B)设置范围对象21C)设置子网对象21D）设置地址组21E）自定义服务22F)设置区域对象22G)设置时间对象234．访问策略配置235．高可用性配置26四、透明模式配置示例28拓补结构：281．用串口管理方式进入命令行282．配置接口属性283．配置VLAN284．配置区域属性285．定义对象286．添加系统权限287．配置访问策略298．配置双机热备29五、路由模式配置示例30拓补结构：301．用串口管理方式进入命令行302．配置接口属性303．配置路由304．配置区域属性305．配置主机对象306．配置访问策略307．配置双机热备31一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置.用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中.这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中)，分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE 口。

2）选择开始> 程序〉附件> 通讯> 超级终端，系统提示输入新建连接的名称。

3)输入名称,这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。

4）设置com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位: 16）输入系统默认的用户名:superman 和密码:talent，即可登录到网络卫士防火墙。

登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理,必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192。

168.1.250 mask 255.255.255。

0”命令添加管理IP地址4)然后用各种命令行客户端（如WINDOWS CMD命令行）管理：TELNET 192.168.1。

2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1。

全新的天融信防火墙NGFW4000_配置配置一台全新的NGFW4000,配置完后,内网用户10.10.1.0/24和可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器,并且内网用户也可以通过WEB服务器的外网地址进行访问;网络说明：防火墙外网接口地址：防火墙内网接口地址：核心交换机防火墙VLAN：核心交换机用户群A的VLAN：10.10.1.0/24核心交换机用户群B的VLAN：用户群A的默认网关：用户群B的默认网关：防火墙至出口的默认网关：核心交换机至防火墙的默认网关：内网WEB服务器地址：通过防火墙映射成公网地址简单拓扑图如下：这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间;我们首先需通过某种方式对防火墙进行管理配置;1、连接防火墙首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置：管理用户管理员用户名 superman 管理员密码 talent 或系统参数设备名称 TopsecOS同一管理员最多允许登录失败次数 5最大并发管理数目 5最大并发管理地点 5同一用户最大登录地点 5空闲超时 3 分钟物理接口Eth0或LAN 口 IP：其他接口 Shutdown服务访问控制WEBUI 管理通过浏览器管理防火墙：允许来自Eth0或LAN 口上的服务请求GUI 管理通过TOPSEC 管理中心：允许来自Eth0或LAN 口上的服务请求SSH通过SSH 远程登录管理：允许来自Eth0或LAN 口上的服务请求升级对网络卫士防火墙进行升级：允许来自Eth0或LAN 口上的服务请求PINGPING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址：允许来自Eth0或LAN 口上的服务请求其他服务禁止地址对象地址段名称 any地址段范围 0.0.0.0 –区域对象区域对象名称 area_eth0绑定属性 eth0权限允许日志日志服务器IP 地址 IP：.日志服务器开放的日志服务端口 UDP 的514 端口高可用性HA关闭从中可以看出,管理口为ETH0口,地址为,我们将一台电脑直接与ETHO接口相连,然后配置一个段的地址,然后在浏览器上访问,就进入了WEB管理界面如出现安装证书问题,直接点继续浏览此网站,如下;2、配置防火墙接口将ETH1配置成外网接口,ETH2配置成内网接口,依次选择左边菜单的“网络管理”->“接口”,在ETH1接口一行点击最后的蓝色图标,如下图,进入ETH1接口配置模式;然后输入外网地址,接口模式为“路由”,最后点“确定”,如下图; 同理,将ETH2接口地址设置成内网地址：3、路由配置这里有两种路由要写,一是至外网出口的默认路由,下一跳为,还有一种是至内网核心交换机的回程路由,共有两条,下一跳都是指向;依次选择左边菜单的“网络管理”->“路由”,然后点击“添加”,添加一条至外网的默认路由,如下;再依次添加两条回程路由：这样,出去的路由有了,回去的路由也有了;4、访问控制默认防火墙是阻止所有经过的包,所以需对访问控制项进行设置;点击菜单的“防火墙”->“访问控制”,点击“添加”按扭,如下图就出现了添加窗口,在源窗口和目的窗口均选择“ANY范围”,“服务”不选包含所有服务,“选项”默认,直接点击确定;这样,就允许所有的数据经过防火墙了;当然,可以通过详细的设置来控制不同网段的电脑,这里就不在叙述了;5、配置地址转换NAT首先新建“区域”,选择菜单的“资源管理”->“区域”,点击添加,将内、外网的区域新建好;下来配置源地址转换,选择“防火墙”->“地址转换”,点击添加,选择“源地址”转换,在源选项上,将“高级”的钩打上,然后将“neiwang”移至“已选源AREA”,如下图：在目标选项上,将“高级”的钩打上,然后将“waiwang”移至“已选目的AREA”,如下图：在“服务”选项上,不选择任何服务,这样就表示包含所有服务;在“源地址转换为：”选项中,选择“ETH1属性”,如下图;配置到此,内网用户已经可以通过防火墙上INTERNET了;接下来配置目的地址转换,让外网的用户可以访问内网的WEB服务器10.10.1.200;6、内网WEB服务器映射选择菜单“资源管理”->“地址”,选择添加,将10.10.1.200添加至地址栏中,命名为-server,如下图;然后选择“防火墙”->“地址转换”,选择添加,弹出对话框,然后选择“目的转换”选项,在“源”选项上,选择“ANY”：在“目的”选项上,选择“ETH1”：“服务”选项不选,“目的地址转换为”选择刚才新建的“-server”地址,“目的端口转换为”选择“不转换”,如下;这样,外网用户通过浏览器访问防火墙外网接口的地址时,就可以浏览到内网10.10.1.200网站服务器上的内容了;最后点击页面右上角的“保存配置”按扭;。

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE 口。

2）选择开始> 程序> 附件> 通讯> 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。

4）设置com1 口的属性，按照以下参数进行设置。

参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位： 15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (6)1．串口管理 (6)2．TELNET管理 (8)3．SSH管理 (9)4．WEB管理 (10)5．GUI管理 (11)二、命令行常用配置 (17)1．系统管理命令(SYSTEM) (18)命令 (18)功能 (18)WEBUI界面操作位置 (18)二级命令名 (18)V ERSION (18)系统版本信息 (18)系统>基本信息 (18)INFORMATION (18)当前设备状态信息 (18)系统>运行状态 (18)TIME (18)系统>系统时间 (18)CONFIG (18)系统配置管理 (18)管理器工具栏“保存设定”按钮 (18)REBOOT (18)重新启动 (18)系统>系统重启 (18)SSHD (18)SSH服务管理命令 (18)系统>系统服务 (18)TELNETD (18)TELNET服务管理 (18)系统>系统服务命令 (18)HTTPD (18)HTTP服务管理命 (18)系统>系统服务令 (18)MONITORD (18)MONITOR (18)服务管理命令无 (18)2．网络配置命令(NETWORK) (18)3．双机热备命令(HA) (19)4．定义对象命令(DEFINE) (19)6．显示运行配置命令(SHOW_RUNNING) (20)7．保存配置命令(SAVE) (20)三、WEB界面常用配置 (21)1．系统管理配置 (21)A)系统> 基本信息 (21)B)系统> 运行状态 (22)C)系统> 配置维护 (22)D)系统> 系统服务 (22)E)系统> 开放服务 (23)F)系统> 系统重启 (23)2．网络接口、路由配置 (23)A)设置防火墙接口属性 (23)B)设置路由 (26)3．对象配置 (28)A)设置主机对象 (28)B)设置范围对象 (29)C)设置子网对象 (29)D)设置地址组 (30)E)自定义服务 (31)F)设置区域对象 (31)G)设置时间对象 (32)4．访问策略配置 (33)四、透明模式配置示例 (39)拓补结构： (39)1．用串口管理方式进入命令行 (39)2．配置接口属性 (39)3．配置VLAN (40)4．配置区域属性 (40)5．定义对象 (40)6．添加系统权限 (40)7．配置访问策略 (40)8．配置双机热备 (41)五、路由模式配置示例 (42)拓补结构： (42)1．用串口管理方式进入命令行 (42)2．配置接口属性 (42)3．配置路由 (43)4．配置区域属性 (43)5．配置主机对象 (43)6．配置访问策略 (43)7．配置双机热备 (43)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙配置步骤1. 登录天融信防火墙首先，需要通过浏览器访问天融信防火墙的管理地址，输入正确的用户名和密码进行登录。

2. 进入配置页面登录成功后，点击左侧导航栏中的“配置”，选择“网络”或“安全策略”，根据不同需求进行配置。

2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中，选择“VLAN”进行配置。

首先需要新建一个VLAN，输入VLAN ID、VLAN名称等信息，并设置IP地址和子网掩码。

接下来，需要将新建的VLAN绑定到对应的物理接口上，以实现网络的隔离和控制。

2.1.2 VPN配置在天融信防火墙的“网络”界面中，选择“VPN”进行配置。

首先需要设置VPN基本信息，包括VPN名称、本地地址、远端地址等。

接下来，需要根据需要设置VPN的安全协议、身份验证方式等。

2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中，选择“访问控制规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址、服务等信息，并设置允许或拒绝访问。

接下来，需要设置规则优先级、生效时间等。

2.2.2 NAT规则在天融信防火墙的“安全策略”界面中，选择“NAT规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址等信息，并设置源地址转换和目的地址转换。

接下来，需要设置规则优先级、生效时间等。

3. 保存配置并重启配置完成后，需要保存当前配置，并重启天融信防火墙以使配置生效。

重启后，可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。

结论天融信防火墙作为一种重要的网络安全设备，需要进行正确的配置以保证网络的安全和可用性。

本文介绍了天融信防火墙的基本配置步骤，希望能够对读者有所帮助。

天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。

针对对象的行为进行的快速识别处理，就是规则。

比如：甲想到A城市B地点。

由这个行为就可以制定一些规则进行约束，例如：1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。

2）用户当前的目标是不是A城市，是不是B地点。

3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。

用户、城市、地点等等均可以看作为一个个的对象。

在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。

翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。

二、路由功能与地址转换现在防火墙都集成了路由功能。

路由功能简单的说法就是告诉访问者怎么走，相当于引路。

比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。

我们使用的互联网是基于TCP/IP协议的。

所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。

互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。

当前互联网中应用的大都是IPV4。

比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。

由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。

目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。

比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。

天融信防火墙双机热备配置说明天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。