天融信-3.3版本防火墙高级功能配置手册

天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。

二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。

在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。

区域：可以把区域看作是一段具有相似安全属性的网络空间。

在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。

在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。

对象:防火墙大多数的功能配置都是基于对象的。

如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。

可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。

对象概念的使用大大简化了管理员对防火墙的管理工作。

当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。

天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (3)二、天融信版本防火墙配置概述 (3)三、天融信防火墙一些基本概念 (4)四、防火墙管理 (4)五、防火墙配置 (6)（1）防火墙路由模式案例配置 (6)1、防火墙接口IP地址配置 (7)2、区域和缺省访问权限配置 (8)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (9)4、路由表配置 (10)5、定义对象（包括地址对象、服务对象、时间对象） (11)6、地址转换策略 (14)7、制定访问控制策略 (25)8、配置保存 (30)9、配置文件备份 (30)（2）防火墙透明模式案例配置 (31)1、防火墙接口IP配置 (32)2、区域和缺省访问权限配置 (34)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (34)4、路由表配置 (35)5、定义对象（包括地址对象、服务对象、时间对象） (36)6、制定访问控制策略 (40)7、配置保存 (44)8、配置文件备份 (44)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。

二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。

在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

天融信防火墙配置指南一、对象与规则现在大多防火墙都采用了面向对象的设计。

针对对象的行为进行的快速识别处理，就是规则。

比如：甲想到A城市B地点。

由这个行为就可以制定一些规则进行约束，例如：1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。

2）用户当前的目标是不是A城市，是不是B地点。

3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。

用户、城市、地点等等均可以看作为一个个的对象。

在防火墙中我们可以这样来比喻：用户-->访问者城市-->主机地点-->端口为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。

翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。

二、路由功能与地址转换现在防火墙都集成了路由功能。

路由功能简单的说法就是告诉访问者怎么走，相当于引路。

比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。

我们使用的互联网是基于TCP/IP协议的。

所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。

互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。

当前互联网中应用的大都是IPV4。

比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。

由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。

目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。

比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。

天融信防火墙双机热备配置说明一、防火墙的接口设置：ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连二、按需配置好主防火墙三、配置双击热备过程：1、配置主防火墙的双机设置，并使之处于工作状态：system -n 'work' //给主防火墙取名为worksystem -i 0 //配置主防火墙的设备号为0system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态system ssp on //在主防火墙上打开状态同步协议2、在从防火墙上清空所有配置：restore config //恢复防火墙出厂默认值ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址）3、配置从防火墙的双机设置，并使之处于备用状态：system -n 'standby' //给从防火墙取名为standbysystem -i 1 //配置从防火墙的设备号为1system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态system ssp on //在从防火墙上打开状态同步协议4、把主防火墙和从防火墙的所有接口按照要求接到相应的设备5、在主防火墙执行同步命令，将主防火墙的所有配置同步到从防火墙上：writep //同步命令。

天融信防火墙配置步骤1. 登录天融信防火墙首先，需要通过浏览器访问天融信防火墙的管理地址，输入正确的用户名和密码进行登录。

2. 进入配置页面登录成功后，点击左侧导航栏中的“配置”，选择“网络”或“安全策略”，根据不同需求进行配置。

2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中，选择“VLAN”进行配置。

首先需要新建一个VLAN，输入VLAN ID、VLAN名称等信息，并设置IP地址和子网掩码。

接下来，需要将新建的VLAN绑定到对应的物理接口上，以实现网络的隔离和控制。

2.1.2 VPN配置在天融信防火墙的“网络”界面中，选择“VPN”进行配置。

首先需要设置VPN基本信息，包括VPN名称、本地地址、远端地址等。

接下来，需要根据需要设置VPN的安全协议、身份验证方式等。

2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中，选择“访问控制规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址、服务等信息，并设置允许或拒绝访问。

接下来，需要设置规则优先级、生效时间等。

2.2.2 NAT规则在天融信防火墙的“安全策略”界面中，选择“NAT规则”进行配置。

首先需要添加新的规则，设置规则名称、源地址、目的地址等信息，并设置源地址转换和目的地址转换。

接下来，需要设置规则优先级、生效时间等。

3. 保存配置并重启配置完成后，需要保存当前配置，并重启天融信防火墙以使配置生效。

重启后，可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。

结论天融信防火墙作为一种重要的网络安全设备，需要进行正确的配置以保证网络的安全和可用性。

本文介绍了天融信防火墙的基本配置步骤，希望能够对读者有所帮助。

QoS（服务质量），是Quality of Service的缩写。

通过QoS管理，用户可以根据实际用户网络规划，方便、灵活地定制带宽策略，防止带宽滥用现象，并可以确保关键应用的带宽需求。

网络卫士防火墙的带宽策略采用了分层的带宽管理机制，用户可以通过设置细粒度的带宽规则来实现基于源和目的IP 地址（或地址段）、服务的带宽的集中管理。

同时，同层的带宽策略还可以根据业务需求，设置带宽策略的优先级，为关键业务流量优先分配带宽，从而合理、有效地为用户网络分配带宽资源。

图 12网络卫士防火墙分层带宽管理示意图图中的网络卫士防火墙工作在纯透明模式（即所有接口均工作在交换模式下，且属于同一个VLAN），只起到限制带宽的作用，不做任何访问策略配置。

网络卫士防火墙的初始配置不需要用户进行修改。

上传带宽管理基本需求子网1（10.200.51.0/24）向网段10.200.2.0/24上传数据，网络卫士防火墙为其分配7K （如果没有特殊说明单位均为字节/秒）的限制带宽，7K的保证带宽。

并对不同的应用设置不同的优先级控制以及带宽优化：¾ICMP为最高优先级，保证带宽为1K（最大限制带宽为7K）¾数据库为第二优先级，保证带宽为2K（最大限制带宽为7K）¾FTP为第三优先级，保证带宽为2K（最大限制带宽为7K）¾SMTP为最低优先级，保证带宽为1K（最大限制带宽为7K）配置要点带宽策略的设置包括以下方面：¾设置采用QoS的物理接口。

¾在接口下设置一到多个类及其子类。

¾在类下设置数据流的匹配规则。

WEBUI配置步骤1）设置采用QoS的物理接口。

选择网络管理 > 流量管理，在“带宽控制”页面点击“添加接口”，添加采用上传带宽配置策略的物理接口eth0。

接口的配置原则是以数据流流向为准，在数据流出网络卫士防火墙的物理接口上配置才能生效，本例中即eth0接口。

-天融信版本防火墙常用功能配置手册v2天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (3)二、天融信3.3版本防火墙配置概述 (3)三、天融信防火墙一些基本概念 (4)四、防火墙管理 (4)五、防火墙配置 (6)（1）防火墙路由模式案例配置 (6)1、防火墙接口IP地址配置 (7)2、区域和缺省访问权限配置 (8)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (9)4、路由表配置 (10)5、定义对象（包括地址对象、服务对象、时间对象） (11)6、地址转换策略 (14)7、制定访问控制策略 (26)8、配置保存 (31)9、配置文件备份 (31)（2）防火墙透明模式案例配置 (32)1、防火墙接口IP配置 (33)2、区域和缺省访问权限配置 (35)3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (35)4、路由表配置 (36)5、定义对象（包括地址对象、服务对象、时间对象） (37)6、制定访问控制策略 (41)7、配置保存 (46)8、配置文件备份 (46)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。

二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。

在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。