锐捷网络防火墙配置指南

RG-WALL 160E/T/M系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL160M系列防火墙前面板示意图如下图所示：RG-WALL160T系列防火墙前面板示意图如下图所示：RG-WALL160E系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

RG-Wall防火墙命令行手册(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究锐捷网络产品部测试中心第1页，共197页目录RG-Wall防火墙命令行手册 (1)1.导言 (8)1.1.本书适用对象 (8)1.2.手册章节组织 (8)1.3.登录命令行页面 (9)1.4.命令行概述 (10)1.5.相关参考手册 (13)2.2系统配置 (14)2.1.系统时钟systime (14)2.2.系统启动和运行时间runtime (15)2.3.超时退出时间timeout (15)2.4.时钟服务器timesrv (16)2.5.升级许可sysupdate (17)2.6.系统配置syscfg (18)2.7.报警邮箱mngmailbox (20)2.8.日志服务器logsrv (21)2.9.域名服务器dns (22)3.管理配置 (23)3.1.管理方式mngmode (23)锐捷网络产品部测试中心第2页，共197页3.2.管理主机mnghost (24)3.3.系统主机名dns (24)3.4.管理员帐号mngacct (25)3.5.管理员口令mngpass (27)3.6.管理员证书mngcert (27)3.7.集中管理mngglobal (29)3.8.初始配置向导fastsetup (32)4.网络配置 (34)4.1.网络接口sysif (34)4.2.接口IP地址sysip (37)4.3.策略路由route (38)4.4.ADSL拨号adsl (41)4.5.DHCP配置 (43)4.5.1.DHCP服务器dhcpserver (43)4.5.2.DHCP客户端dhcpclient (47)4.5.3.DHCP中继dhcprelay (47)5.VPN配置 (49)VPN 命令概述 (49)5.1.VPN基本配置 (50)5.1.1.设置基本参数 (50)5.1.2.显示基本参数 (51)5.1.3.设置DHCP over IPSec信息 (51)5.1.4.显示DHCP over IPSec信息 (52)锐捷网络产品部测试中心第3页，共197页5.1.5.VPN模块启动、停止 (52)5.2.VPN客户端分组 (53)5.2.1.添加VPN客户端分组 (53)5.2.2.设置VPN客户端分组 (54)5.2.3.删除VPN分组 (55)5.3.远程VPN配置 (56)5.3.1.添加远程VPN (56)5.3.2.设置远程VPN (63)5.3.3.显示远程VPN网关 (68)5.3.4.删除网关 (69)5.3.5.网关生效 (69)5.3.6.网关失效 (70)5.4.隧道配置 (70)5.4.1.添加隧道 (70)5.4.2.设置隧道 (72)5.4.3.显示隧道 (73)5.4.4.删除隧道 (73)5.4.5.隧道生效 (74)5.4.6.隧道失效 (74)5.5.VPN设备 (75)5.5.1.添加虚设备 (75)5.5.2.编辑虚设备 (75)5.5.3.删除虚设备 (76)5.5.4.显示虚设备 (76)5.6.证书管理 (76)锐捷网络产品部测试中心第4页，共197页5.6.1.显示证书 (77)5.6.2.删除证书 (77)5.7.PPTP/L2TP配置 (78)5.7.1.服务器配置pptpserver (78)5.7.2.拨号用户pptpuser (79)6.对象定义 (82)6.1.地址defaddr (82)6.2.地址组defaddrgrp (83)6.3.服务器地址defsrvaddr (84)6.4.NAT地址池defaddrpool (85)6.5.服务defsvc (87)6.6.服务组defsvcgrp (90)6.7.代理defproxy (92)6.8.邮件过滤defmail (95)6.9.时间deftime (97)6.10.时间组deftimegrp (99)6.11.保护主机hostprotect (100)6.12.保护服务svcprotect (103)6.13.限制主机hostlimit (106)6.14.限制服务svclimit (108)6.15.带宽策略bandwidth (111)6.16.URL列表defurl (112)6.17.病毒过滤 (113)7.安全策略 (115)锐捷网络产品部测试中心第5页，共197页7.1.安全规则policy (115)7.2.地址绑定ipmac (128)7.3.P2P限制 (130)7.4.IDS产品联动ids (134)7.5.抗攻击anti (137)7.6.入侵防护ips (140)8.高可用性 (142)8.1.HA基本配置 (142)8.2.路由模式HA (144)8.2.1.VRRP实例vrrp (144)8.2.2.VRRP关联vrrpbunch (145)8.3.桥模式HA (148)8.3.1.桥配置 (148)9.用户认证 (151)9.1.用户认证服务器authsrv (151)9.2.用户defuser (152)9.3.用户组defusergrp (154)10.系统监控 (159)10.1.网络监控netmonitor (159)10.2.系统信息sysinfo (164)10.3.看日志log (165)10.4.ipsec隧道监控 (166)10.5.在线用户defuser (167)锐捷网络产品部测试中心第6页，共197页10.6.查看ARP表arp (167)10.7.IP探测ping (168)10.8.域名查询dnssearch (168)10.9.路由探测traceroute (168)11.其它 (170)11.1.接收文件rcvfile (170)11.2.显示分页disppage (170)11.3.设置提示符prompt (170)11.4.退出命令行界面quit (171)12.使用技巧 (172)13.命令索引 (173)锐捷网络产品部测试中心第7页，共197页1. 导言1.1. 本书适用对象本手册是RG Wall防火墙管理员手册中的一本，主要介绍如何通过终端的命令行（Command Line Interface，以下简称CLI）方式对RG Wall防火墙进行配置管理。

锐捷WALL 1600系列老防火墙管理证书更新指导【命令行方式】（V1.3）第一章背景说明锐捷WALL 1600系列老防火墙的原管理证书已于2016年9月3日过期。

过期后将无法通过WEB（HTTPS）方式管理防火墙，命令行（SSH/TELNET/串口）的方式仍然可以正常管理。

所以超过9月3日后，就需要采用命令行方式更新防火墙证书。

具体操作详见“命令行方式更新指导”章节。

涉及的型号：WALL120WALL 160、160A/T/M/S/EWALL 1600、1600A/T/M/S/E/P特别说明：1、涉及型号不在以上列表中无需更新（型号的数字、字母完全匹配），例如：WALL 1600-SI、WALL 1600E-V等都无需更新。

2、管理证书过期仅影响WEB（HTTPS）的管理，其它防火墙功能不影响，正常使用。

3、由于WALL 60采用不一样的软件架构，同时产品生命周期已达10年，所以此次无新证书更新。

推荐您继续采用命令行管理方式。

如需WEB方式管理，可临时将WALL 60的系统时间和管理电脑时间调至2016年9月3日之前（命令范例：systime set 2015/9/1 18:50:00）。

第二章获取最新的管理证书版本、最新管理证书和命令行方式更新指导可通过锐捷官网获取。

下载链接：/fw/rj/57193。

所需的升级文件：1、防火墙证书更新版本：RG-WALL-manage-cert-20150115.pkg，MD5：7163b0fe6ab8834dcc1852fd0294fd1b2、管理电脑新证书：admin2015.p12，MD5：BC58478E37AD781B4EBEA5C857A18D3F第三章命令行方式更新指导以下以SecureCRT工具（推荐此工具）、SSH登陆方式为例。

当然采用TELNET或串口的方式也是可以的；但需要注意采用TELNET方式，需要提前建立放通TELNET协议的安全策略才可以登陆。

RG-WALL 1600T/M/S系列防火墙快速指南(V1.0)（内部资料，严禁复制）福建星网锐捷网络有限公司版权所有侵权必究目录一、概述 (3)二、防火墙硬件描述 (3)三、防火墙安装 (4)2.1 温度／湿度要求 (5)2.2 洁净度要求 (5)2.3 抗干扰要求 (5)四、通过CONSOLE口命令行进行管理 (6)五、通过WEB界面进行管理 (13)六、常见问题解答FAQ (19)一、概述RG-WALL防火墙缺省支持两种管理方式：CONSOLE口命令行方式通过网口的WEB（https）管理CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式直观方便，为保证安全，连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE 口命令行方式；日常管理监控防火墙时，WEB方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种方式接入网络：路由方式和混合方式。

在路由方式下，配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙；混合方式时，由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发，如果为透明桥方式，则不用修改已有网络配置。

二、防火墙硬件描述RG-WALL1600M系列防火墙前面板示意图如下图所示：RG-WALL1600T系列防火墙前面板示意图如下图所示：RG-WALL1600S系列防火墙前面板示意图如下图所示：说明如下：三、防火墙安装1．安全使用注意事项本章列出安全使用注意事项，请仔细阅读并在使用RG-WALL防火墙过程中严格执行。

这将有助于您更安全地使用和维护您的防火墙。

（1）您使用的RG-WALL防火墙采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。

密级：受控文档归属：技术培训中心使用对象：技术服务部工程师锐捷防火墙技术实验手册2010-05-11福建星网锐捷网络有限公司版权所有侵权必究文档维护人：徐立欢Tel：010-*******Email：xlh@修订记录目录1防火墙管理 (5)1.1实验目的 (5)1.2实验设备 (5)1.3实验拓扑图 (5)1.4实验步骤 (5)1.5实验作业 (6)1.6实验中遇到问题及解决方法 (6)1.7实验心得 (6)2防火墙基本功能配置 (7)2.1实验目的 (7)2.2实验设备 (7)2.3实验拓扑图 (7)2.4实验步骤 (7)2.5实验作业 (8)2.6实验中遇到问题及解决方法 (8)2.7实验心得 (8)3防火墙包过滤功能应用 (10)3.1实验目的 (10)3.2实验设备 (10)3.3实验拓扑图 (10)3.4实验步骤 (10)3.5实验作业 (11)3.6实验中遇到问题及解决方法 (11)3.7实验心得 (12)4防火墙NA T功能应用 (13)4.1实验目的 (13)4.2实验设备 (13)4.3实验拓扑图 (13)4.4实验步骤 (13)4.5实验作业 (14)4.6实验中遇到问题及解决方法 (14)4.7实验心得 (14)5防火墙端口映射功能应用 (16)5.1实验目的 (16)5.2实验设备 (16)5.3实验拓扑图 (16)5.4实验步骤 (17)5.5实验作业 (17)5.6实验中遇到问题及解决方法 (17)5.7实验心得 (18)6防火墙路由模式综合应用 (19)6.1实验目的 (19)6.2实验设备 (19)6.3实验拓扑图 (19)6.4实验步骤 (20)6.5实验作业 (20)6.6实验中遇到问题及解决方法 (21)6.7实验心得 (21)7防火墙密码恢复 (22)7.1实验目的 (22)7.2实验设备 (22)7.3实验拓扑图 (22)7.4实验步骤 (22)7.5实验作业 (22)7.6实验中遇到问题及解决方法 (23)7.7实验心得 (23)1 防火墙管理1.1 实验目的●掌握防火墙管理方法1.2 实验设备RG-WALL1600系列防火墙一台☺本文推荐防火墙如下：RG-WALL 160T1.3 实验拓扑图1.4 实验步骤1.配置PC机IP地址为（）2.安装防火墙WEB管理证书，证书密码为（）3.将PC机连接至防火墙的第一个接口4.在浏览器中输入地址（）5.在登陆界面中输入用户名（），密码（）登陆到防火墙WEB管理界面6.查看防火墙当前软件版本为（），防火墙序列号为（），防火墙型号为（），CPU利用率为（），内存利用率为（）。

锐捷网络防火墙配置指南（更新日期）锐捷网络800技术支持中心技术热线：800-858-1360目录一、RG-Wall防火墙注册指南 (2)二、RG-Wall防火墙PA T设置指南 (16)三、RG-Wall防火墙DNS分离功能设置 (19)四、RG-Wall防火墙LSNA T设置指南 (25)五、RG-Wall防火墙反向PAT设置指南 (27)六、RG-Wall防火墙配置VPN指南 (30)七、RG-Wall防火墙日志服务器部署指南 (36)一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口；使用windwos自带的通讯工具”超级终端”登录防火墙（→开始→程序→附件→通讯→超级终端）：设置好超级终端参数之后，接通防火墙电源，RG-WALL系统开始启动。

系统登入的默认ID和口令值如下（注意区分大小写）：ID : root PW : rg-wall123登录系统，在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面，要求输入用户名密码。

用户名为admin ，口令为admin123。

登录后，即出现如下所示的登陆界面：输入reinstall注册防火墙，系统提示”Do you want to proceed anyway? “输入Y继续，防火墙重启。

系统重启完后，重新登陆后，会进入以下状态：按“任意键”正式进入注册步骤：输入防火墙的软件序列号、授权代码（在防火墙随机带的“产品授权使用证书”上）输入”O”（下同）进入防火墙工作模式的设置（默认情况下为“路由模式”）：进入超级管理员的帐号、密码、管理权限设置：进入设定防火墙的机器名，语言版本等信息，注意防火墙机器名为了便于以后管理，请一定采用xxx.xxx.xxx （）的域名表示方式。

这里使用中文版本：进入防火墙的时间设定，在此采用系统默认时间：进入防火墙管理员IP地址设置（最多可以设置10个管理员IP地址）：进入防火墙网卡的IP地址设置如下图（LAN 1口IP地址为192.168.1.1）：进入防火墙VLAN设置，在此处跳过:进入防火墙静态路由设置，添加Default gateway（缺省网关，在此为192.168.26.10）进入防火墙动态路由设置，以下都跳过：进入配置域名服务的有关信息。

Juniper SSG—5(NS—5GT)防火墙配置手册初始化设置 (2)Internet网络设置 (6)一般策略设置 (16)VPN连接设置 (28)初始化设置1。

将防火墙设备通电，连接网线从防火墙e0\2口连接到电脑网卡.2.电脑本地连接设置静态IP地址，IP地址192。

168。

1。

2（在192.168。

1。

0/24都可以）,子网掩码255。

255.255。

0，默认网关192.168.1.1，如下图:3。

设置好IP地址后，测试连通，在命令行ping 192。

168.1.1，如下图：4.从IE浏览器登陆防火墙web页面，在地址栏输入192。

168。

1.1，如下图向导选择最下面No，skip--，然后点击下面的Next：5.在登录页面输入用户名，密码，初始均为netscreen，如下图：6。

登陆到web管理页面,选择Configuration – Date/Time，然后点击中间右上角Sync Clock With Client选项，如下图：7。

选择Interfaces – List，在页面中间点击bgroup0最右侧的Edit，如下图：8.此端口为Trust类型端口，建议IP设置选择Static IP,IP Address输入规划好的本地内网IP地址，如192。

168.22。

1/24，Manage IP 192。

168。

22。

1。

之后勾选Web UI,Telnet,SSH，SNMP，SSL，Ping。

如下图:Internet网络设置1.修改本地IP地址为本地内网IP地址，如下图：2.从IE浏览器打开防火墙web页面，输入用户名密码登陆，如下图：3。

选择Interfaces – List，点击页面中ethernet0/0最右侧的Edit选项，如下图：4。

此端口为Untrust类型端口，设置IP地址有以下三种方法：（根据ISP提供的网络服务类型选择）A．第一种设置IP地址是通过DHCP端获取IP地址，如下图：B．第二种设置IP地址的方法是通过PPPoE拨号连接获取IP，如下图，然后选择Create new pppoe setting,在如下图输入本地ADSL pppoe拨号账号,PPPoE Instance输入名称，Bound to Interface选择ethernet0/0，Username和Password输入ADSL账号密码，之后OK，如下图:PPPoE拨号设置完毕之后，点击Connect，如下图:回到Interface –List，可以看到此拨号连接的连接状态，如下图:ethernet0/0右侧PPPoE一栏有一个红叉，表示此连接已经设置但未连接成功，如连接成功会显示绿勾。