第3部分锐捷防火墙部署解析

RG-Wall防火墙命令行手册(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究锐捷网络产品部测试中心第1页，共197页目录RG-Wall防火墙命令行手册 (1)1.导言 (8)1.1.本书适用对象 (8)1.2.手册章节组织 (8)1.3.登录命令行页面 (9)1.4.命令行概述 (10)1.5.相关参考手册 (13)2.2系统配置 (14)2.1.系统时钟systime (14)2.2.系统启动和运行时间runtime (15)2.3.超时退出时间timeout (15)2.4.时钟服务器timesrv (16)2.5.升级许可sysupdate (17)2.6.系统配置syscfg (18)2.7.报警邮箱mngmailbox (20)2.8.日志服务器logsrv (21)2.9.域名服务器dns (22)3.管理配置 (23)3.1.管理方式mngmode (23)锐捷网络产品部测试中心第2页，共197页3.2.管理主机mnghost (24)3.3.系统主机名dns (24)3.4.管理员帐号mngacct (25)3.5.管理员口令mngpass (27)3.6.管理员证书mngcert (27)3.7.集中管理mngglobal (29)3.8.初始配置向导fastsetup (32)4.网络配置 (34)4.1.网络接口sysif (34)4.2.接口IP地址sysip (37)4.3.策略路由route (38)4.4.ADSL拨号adsl (41)4.5.DHCP配置 (43)4.5.1.DHCP服务器dhcpserver (43)4.5.2.DHCP客户端dhcpclient (47)4.5.3.DHCP中继dhcprelay (47)5.VPN配置 (49)VPN 命令概述 (49)5.1.VPN基本配置 (50)5.1.1.设置基本参数 (50)5.1.2.显示基本参数 (51)5.1.3.设置DHCP over IPSec信息 (51)5.1.4.显示DHCP over IPSec信息 (52)锐捷网络产品部测试中心第3页，共197页5.1.5.VPN模块启动、停止 (52)5.2.VPN客户端分组 (53)5.2.1.添加VPN客户端分组 (53)5.2.2.设置VPN客户端分组 (54)5.2.3.删除VPN分组 (55)5.3.远程VPN配置 (56)5.3.1.添加远程VPN (56)5.3.2.设置远程VPN (63)5.3.3.显示远程VPN网关 (68)5.3.4.删除网关 (69)5.3.5.网关生效 (69)5.3.6.网关失效 (70)5.4.隧道配置 (70)5.4.1.添加隧道 (70)5.4.2.设置隧道 (72)5.4.3.显示隧道 (73)5.4.4.删除隧道 (73)5.4.5.隧道生效 (74)5.4.6.隧道失效 (74)5.5.VPN设备 (75)5.5.1.添加虚设备 (75)5.5.2.编辑虚设备 (75)5.5.3.删除虚设备 (76)5.5.4.显示虚设备 (76)5.6.证书管理 (76)锐捷网络产品部测试中心第4页，共197页5.6.1.显示证书 (77)5.6.2.删除证书 (77)5.7.PPTP/L2TP配置 (78)5.7.1.服务器配置pptpserver (78)5.7.2.拨号用户pptpuser (79)6.对象定义 (82)6.1.地址defaddr (82)6.2.地址组defaddrgrp (83)6.3.服务器地址defsrvaddr (84)6.4.NAT地址池defaddrpool (85)6.5.服务defsvc (87)6.6.服务组defsvcgrp (90)6.7.代理defproxy (92)6.8.邮件过滤defmail (95)6.9.时间deftime (97)6.10.时间组deftimegrp (99)6.11.保护主机hostprotect (100)6.12.保护服务svcprotect (103)6.13.限制主机hostlimit (106)6.14.限制服务svclimit (108)6.15.带宽策略bandwidth (111)6.16.URL列表defurl (112)6.17.病毒过滤 (113)7.安全策略 (115)锐捷网络产品部测试中心第5页，共197页7.1.安全规则policy (115)7.2.地址绑定ipmac (128)7.3.P2P限制 (130)7.4.IDS产品联动ids (134)7.5.抗攻击anti (137)7.6.入侵防护ips (140)8.高可用性 (142)8.1.HA基本配置 (142)8.2.路由模式HA (144)8.2.1.VRRP实例vrrp (144)8.2.2.VRRP关联vrrpbunch (145)8.3.桥模式HA (148)8.3.1.桥配置 (148)9.用户认证 (151)9.1.用户认证服务器authsrv (151)9.2.用户defuser (152)9.3.用户组defusergrp (154)10.系统监控 (159)10.1.网络监控netmonitor (159)10.2.系统信息sysinfo (164)10.3.看日志log (165)10.4.ipsec隧道监控 (166)10.5.在线用户defuser (167)锐捷网络产品部测试中心第6页，共197页10.6.查看ARP表arp (167)10.7.IP探测ping (168)10.8.域名查询dnssearch (168)10.9.路由探测traceroute (168)11.其它 (170)11.1.接收文件rcvfile (170)11.2.显示分页disppage (170)11.3.设置提示符prompt (170)11.4.退出命令行界面quit (171)12.使用技巧 (172)13.命令索引 (173)锐捷网络产品部测试中心第7页，共197页1. 导言1.1. 本书适用对象本手册是RG Wall防火墙管理员手册中的一本，主要介绍如何通过终端的命令行（Command Line Interface，以下简称CLI）方式对RG Wall防火墙进行配置管理。

【第一部分】交换机支持的命令：1.交换机基本状态：switch: ；ROM状态，路由器是rommon>hostname> ；用户模式hostname# ；特权模式hostname(config)# ；全局配置模式hostname(config-if)# ；接口状态2.交换机口令设置：switch>enable ；进入特权模式switch#config terminal ；进入全局配置模式switch(config)#hostname；设置交换机的主机名switch(config)#enable secret xxx ；设置特权加密口令switch(config)#enable password xxa ；设置特权非密口令switch(config)#line console 0 ；进入控制台口switch(config-line)#line vty 0 4 ；进入虚拟终端switch(config-line)#login ；允许登录switch(config-line)#password xx ；设置登录口令xxswitch#exit ；返回命令3.交换机VLAN设置：switch#vlan database ；进入VLAN设置switch(vlan)#vlan 2 ；建VLAN 2switch(vlan)#no vlan 2 ；删vlan 2switch(config)#int f0/1 ；进入端口1switch(config-if)#switchport access vlan 2 ；当前端口加入vlan 2 switch(config-if)#switchport mode trunk ；设置为干线switch(config-if)#switchport trunk allowed vlan 1，2 ；设置允许的vlan switch(config-if)#switchport trunk encap dot1q ；设置vlan 中继switch(config)#vtp domain；设置发vtp域名switch(config)#vtp password；设置发vtp密码switch(config)#vtp mode server ；设置发vtp模式switch(config)#vtp mode client ；设置发vtp模式4.交换机设置IP地址：switch(config)#interface vlan 1 ；进入vlan 1switch(config-if)#ip address；设置IP地址switch(config)#ip default-gateway；设置默认网关switch#dir flash: ；查看闪存5.交换机显示命令：switch#write ；保存配置信息switch#show vtp ；查看vtp配置信息switch#show run ；查看当前配置信息switch#show vlan ；查看vlan配置信息switch#show interface ；查看端口信息switch#show int f0/0 ；查看指定端口信息【第二部分】路由器支持的命令：1.路由器显示命令：router#show run ；显示配置信息router#show interface ；显示接口信息router#show ip route ；显示路由信息router#show cdp nei ；显示邻居信息router#reload ；重新起动2.路由器口令设置：router>enable ；进入特权模式router#config terminal ；进入全局配置模式router(config)#hostname；设置交换机的主机名router(config)#enable secret xxx ；设置特权加密口令router(config)#enable password xxb ；设置特权非密口令router(config)#line console 0 ；进入控制台口router(config-line)#line vty 0 4 ；进入虚拟终端router(config-line)#login ；要求口令验证router(config-line)#password xx ；设置登录口令xx router(config)#(Ctrl+z) ；返回特权模式router#exit ；返回命令3.路由器配置：router(config)#int s0/0 ；进入Serail接口router(config-if)#no shutdown ；激活当前接口router(config-if)#clock rate 64000 ；设置同步时钟router(config-if)#ip address；设置IP地址router(config-if)#ip address second ；设置第二个IProuter(config-if)#int f0/0.1 ；进入子接口router(config-subif.1)#ip address；设置子接口IProuter(config-subif.1)#encapsulation dot1q；绑定vlan中继协议router(config)#config-register 0x2142 ；跳过配置文件router(config)#config-register 0x2102 ；正常使用配置文件router#reload ；重新引导4.路由器文件操作：router#copy running-config startup-config ；保存配置router#copy running-config tftp ；保存配置到tftprouter#copy startup-config tftp ；开机配置存到tftprouter#copy tftp flash: ；下传文件到flashrouter#copy tftp startup-config；下载配置文件ROM状态：Ctrl+Break ；进入ROM监控状态rommon>confreg 0x2142 ；跳过配置文件rommon>confreg 0x2102 ；恢复配置文件rommon>reset；重新引导rommon>copy xmodem: flash: ；从console传输文件rommon>IP_ADDRESS=10.65.1.2 ；设置路由器IP rommon>IP_SUBNET_MASK=255.255.0.0 ；设置路由器掩码rommon>TFTP_SERVER=10.65.1.1 ；指定TFTP服务器IP rommon>TFTP_FILE=c2600.bin ；指定下载的文件rommon>tftpdnld ；从tftp下载rommon>dir flash: ；查看闪存内容rommon>boot ；引导IOS5.静态路由：ip route；命令格式router(config)#ip route 2.0.0.0 255.0.0.0 1.1.1.2 ；静态路由举例router(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.2 ；默认路由举例6.动态路由：router(config)#ip routing ；启动路由转发router(config)#router rip ；启动RIP路由协议。

®锐捷NBR系列路由器用户手册V1.2版权声明福建星网锐捷网络有限公司©2005版权所有，保留一切权利。

没有经过本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或者全部，并且不得以任何形式传播。

RGNOS®、锐捷®、®、®都是福建星网锐捷网络有限公司的注册商标，不得仿冒。

前言版本说明本手册适用于锐捷NBR系列NBR1000, NBR1000E 和NBR200路由器。

内容介绍这份手册主要介绍了锐捷NBR系列路由器的硬件特性、常用功能的软件配置以及常见故障的排除等。

在安装路由器之前及安装过程中为避免可能出现的设备损坏和人身伤害，请仔细阅读本手册。

建议：建议由熟悉电气环境、线缆连接以及有实际安装和配置路由器经验的专业技术人员进行安装和配置。

这份手册包括以下章节：第一章产品介绍介绍了锐捷NBR系列路由器的外观图以及系统特性；第二章安装路由器前的准备描述了安装路由器的环境要求、安装前和安装过程中需要注意的事项、安装所需工具。

第三章路由器的安装介绍路由器的机械安装方法、电源连接方法、配置口电缆连接方法；第四章快速配置指导介绍如何启动并对路由器、搭建路由器的配置环境以及针对网吧的不同应用模式如何进行快速配置；第五章故障处理介绍了如何处理安装过程中可能出现的问题以及各种LED的含义；第六章高级配置指导介绍如何进行路由器的IP地址配置、静态路由配置、防火墙配置、PPPoE配置、DHCP配置以及NAT配置。

第七章路由器的维护介绍如何进行路由器的维护和升级。

感谢您选择锐捷NBR系列路由器！说明：该安装手册只介绍如何安装锐捷NBR系列路由器，以及一些常用功能的配置指南，要对路由器进行更进一步的配置，请参考随机光盘中的配置指南和命令参考。

在本手册中，锐捷RG-NBRxxx系列路由器简称为锐捷NBRxxx系列路由器。

详细的说明和配置以随机附带的光盘为准，如果因为时间而有改变，恕不另行通知。

RG-WG系列锐捷WebGuard产品介绍V1.0福建星网锐捷网络有限公司版权所有侵权必究目录1 产品图片 (1)2 产品概述 (2)3 产品特性 (3)4 技术参数 (6)5 典型应用 (7)5.1 部署一：服务器区集中式部署 (7)5.2 部署二：服务器分布部署，WebGuard出口一站式防护 (7)5.3 部署三：旁挂部署，只做监控 (8)6 订购信息 (9)1 产品图片图1-1RG-WG 3000图1-2RG-WG 2000图1-3RG-WG 10002 产品概述随着Web2.0时代的到来，Web已成为社会生活中不可或缺的组成部分。

信息获取、网上购物、社交网络、网上银行等Web应用越来越为人们所熟知。

伴随着Web应用需求的日益多样化，Web应用的开放性与交互性越来越强，相关的安全问题随之而来，而且呈现日益攀升趋势。

据业内报道，Web 应用正成为最大的网络安全盲点。

目前黑客攻击所用到的技术都是防火墙、IPS等传统网络安全范畴之外的基于 Web 应用相关的技术手段，如SQL注入、跨站攻击、网站挂马等，很多是利用URL参数，Web交互内容，Web表单输入等Web应用技术达到攻击目的。

因此，IDC托管机房、商业或业务站点、各类Web应用服务器等长期以来一直被Web应用攻击所困扰，随之而来的是客户投诉、虚拟主机用户受牵连、法律纠纷、商业损失等一系列问题。

同时公共信息服务提供者如政府、高校等网站饱受网页篡改、网站挂马等Web攻击的困扰。

解决Web 应用安全问题已成为当务之急。

RG-WG系列锐捷WebGuard应用保护系统，是锐捷网络专门解决上述Web应用安全问题设计的网络设备。

锐捷WebGuard基于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、URL参数以及表单输入等，为Web应用提供实时、动态的主动性防护。

RG-WG系列有三个型号：RG-WG1000、RG-WG2000和RG-WG3000，分别为不同规模的网络提供Web应用安全解决方案。

锐捷网络防火墙配置指南欧阳家百（2021.03.07）（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录一、RG-Wall防火墙注册指南2二、RG-Wall防火墙PAT设置指南16三、RG-Wall防火墙DNS分离功能设置19四、RG-Wall防火墙LSNAT设置指南25五、RG-Wall防火墙反向PAT设置指南28六、RG-Wall防火墙配置VPN指南32七、RG-Wall防火墙日志服务器部署指南38一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall 的Console口；使用windwos自带的通讯工具”超级终端”登录防火墙（→开始→程序→附件→通讯→超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动。

系统登入的默认ID和口令值如下（注意区分大小写）：ID :rootPW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面，要求输入用户名密码。

用户名为admin ，口令为admin123。

登录后，即出现如下所示的登陆界面：输入reinstall注册防火墙，系统提示”Do you want to proceed anyway? “输入Y继续，防火墙重启。

系统重启完后，重新登陆后，会进入以下状态：按“任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的“产品授权使用证书”上）输入”O”（下同）进入防火墙工作模式的设置（默认情况下为“路由模式”）：进入超级管理员的帐号、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用xxx.xxx.xxx （）的域名表示方式。

这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员IP地址设置（最多可以设置10个管理员IP 地址）：进入防火墙网卡的IP地址设置如下图（LAN 1口IP地址为192.168.1.1）：进入防火墙VLAN设置，在此处跳过:进入防火墙静态路由设置，添加Default gateway（缺省网关，在此为192.168.26.10）进入防火墙动态路由设置，以下都跳过：进入配置域名服务的有关信息。

RG-WALL 1600T/M/S系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL1600M系列防火墙前面板示意图如下图所示：RG-WALL1600T系列防火墙前面板示意图如下图所示：RG-WALL1600S系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

密级：受控文档归属：技术培训中心使用对象：技术服务部工程师锐捷防火墙技术实验手册2010-05-11福建星网锐捷网络有限公司版权所有侵权必究文档维护人：徐立欢Tel：010-*******Email：xlh@修订记录目录1防火墙管理 (5)1.1实验目的 (5)1.2实验设备 (5)1.3实验拓扑图 (5)1.4实验步骤 (5)1.5实验作业 (6)1.6实验中遇到问题及解决方法 (6)1.7实验心得 (6)2防火墙基本功能配置 (7)2.1实验目的 (7)2.2实验设备 (7)2.3实验拓扑图 (7)2.4实验步骤 (7)2.5实验作业 (8)2.6实验中遇到问题及解决方法 (8)2.7实验心得 (8)3防火墙包过滤功能应用 (10)3.1实验目的 (10)3.2实验设备 (10)3.3实验拓扑图 (10)3.4实验步骤 (10)3.5实验作业 (11)3.6实验中遇到问题及解决方法 (11)3.7实验心得 (12)4防火墙NA T功能应用 (13)4.1实验目的 (13)4.2实验设备 (13)4.3实验拓扑图 (13)4.4实验步骤 (13)4.5实验作业 (14)4.6实验中遇到问题及解决方法 (14)4.7实验心得 (14)5防火墙端口映射功能应用 (16)5.1实验目的 (16)5.2实验设备 (16)5.3实验拓扑图 (16)5.4实验步骤 (17)5.5实验作业 (17)5.6实验中遇到问题及解决方法 (17)5.7实验心得 (18)6防火墙路由模式综合应用 (19)6.1实验目的 (19)6.2实验设备 (19)6.3实验拓扑图 (19)6.4实验步骤 (20)6.5实验作业 (20)6.6实验中遇到问题及解决方法 (21)6.7实验心得 (21)7防火墙密码恢复 (22)7.1实验目的 (22)7.2实验设备 (22)7.3实验拓扑图 (22)7.4实验步骤 (22)7.5实验作业 (22)7.6实验中遇到问题及解决方法 (23)7.7实验心得 (23)1 防火墙管理1.1 实验目的●掌握防火墙管理方法1.2 实验设备RG-WALL1600系列防火墙一台☺本文推荐防火墙如下：RG-WALL 160T1.3 实验拓扑图1.4 实验步骤1.配置PC机IP地址为（）2.安装防火墙WEB管理证书，证书密码为（）3.将PC机连接至防火墙的第一个接口4.在浏览器中输入地址（）5.在登陆界面中输入用户名（），密码（）登陆到防火墙WEB管理界面6.查看防火墙当前软件版本为（），防火墙序列号为（），防火墙型号为（），CPU利用率为（），内存利用率为（）。

锐捷网络防火墙配置指南（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录一、RG-Wall防火墙注册指南 (2)二、RG-Wall防火墙PA T设置指南 (16)三、RG-Wall防火墙DNS分离功能设置 (19)四、RG-Wall防火墙LSNA T设置指南 (25)五、RG-Wall防火墙反向PAT设置指南 (27)六、RG-Wall防火墙配置VPN指南 (30)七、RG-Wall防火墙日志服务器部署指南 (36)一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口；使用windwos自带的通讯工具”超级终端”登录防火墙（→开始→程序→附件→通讯→超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动。

系统登入的默认ID和口令值如下（注意区分大小写）：ID : root PW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面，要求输入用户名密码。

用户名为admin ，口令为admin123。

登录后，即出现如下所示的登陆界面：输入reinstall注册防火墙，系统提示”Do you want to proceed anyway? “输入Y继续，防火墙重启。

系统重启完后，重新登陆后，会进入以下状态：按“任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的“产品授权使用证书”上）输入”O”（下同）进入防火墙工作模式的设置（默认情况下为“路由模式”）：进入超级管理员的帐号、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用xxx.xxx.xxx （）的域名表示方式。

这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员IP地址设置（最多可以设置10个管理员IP地址）：进入防火墙网卡的IP地址设置如下图（LAN 1口IP地址为192.168.1.1）：进入防火墙VLAN设置，在此处跳过:进入防火墙静态路由设置，添加Default gateway（缺省网关，在此为192.168.26.10）进入防火墙动态路由设置，以下都跳过：进入配置域名服务的有关信息。