天融信防火墙配置与维护

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。

用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。

这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。

2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

4）设置 com1 口的属性，按照以下参数进行设置。

/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET5)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址，或者用“network interface eth0 ip add mask4)然后用各种命令行客户端(如putty命令行)管理：5)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

天融信防火墙NGFW4000快速设置装备摆设手册一、防火墙的几种治理方法1．串口治理第一次运用收集卫士防火墙,治理员可以经由过程 CONSOLE 口以敕令行方法进行设置装备摆设和治理.经由过程 CONSOLE 口登录到收集卫士防火墙,可以对防火墙进行一些根本的设置.用户在初次运用防火墙时,平日都邑登录到防火墙更改出厂设置装备摆设（接口.IP 地址等）,使在不转变现有收集构造的情形下将防火墙接入收分散.这里将具体介绍若何经由过程 CONSOLE口衔接到收集卫士防火墙：1）运用一条串口线（包含在出厂配件中）,分离衔接盘算机的串口（这里假设运用 com1）和防火墙的 CONSOLE 口.2）选择开端 > 程序 > 附件 > 通信 > 超等终端,体系提醒输入新建衔接的名称.3）输入名称,这里假设名称为“TOPSEC”,点击“肯定”后,提醒选择运用的接口（假设运用 com1）.4）设置 com1 口的属性,按照以下参数进行设置.5）成功衔接到防火墙后,超等终端界面会消失输入用户名/暗码的提醒,如下图.6）输入体系默认的用户名：superman 和暗码：talent,即可登录到收集卫士防火墙.登录后,用户就可运用敕令行方法对收集卫士防火墙进行设置装备摆设治理.2．TELNET治理TELNET治理也是敕令行治理方法,要进行TELNET治理,必须进行以下设置：1)在串口下用“pf service add name telnet area area_eth0addressname any”敕令添加治理权限2)在串口下用“system telnetd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：3．SSH治理SSH治理和TELNET根本一至,只不过SSH是加密的,我们用如下步调治理：1)在串口下用“pf service add name ssh area area_eth0 addressnameany”敕令添加治理权限2)在串口下用“system sshd start”敕令启动TELNET治理办事3)知道治理IP地址,或者用“network interface eth0 ip add192.168.1”敕令添加治理IP地址4)最后输入用户名和暗码进行治理敕令行如图：4．WEB治理1)防火墙在出厂时缺省已经设置装备摆设有WEB界面治理权限,假如没有,可用“pf service add name webui area area_eth0 addressname any”敕令添加.2)WEB治理办事缺省是启动的,假如没有启动,也可用“system httpd start”敕令打开,治理员在治理主机的阅读器上输入防火墙的治理 URL,例如：0,弹出如下的登录页面.输入用户名暗码后（收集卫士防火墙默认出厂用户名/暗码为：superman/talent）,点击“提交”,就可以进入治理页面.5．GUI治理GUI图形界面治理跟WEB界面一样,只是,在治理中间中集成了一些安然对象,如监控,抓包,跟踪等1)装配治理中间软件2)运行治理软件3)右击树形“TOPSEC治理中间”添加治理IP4)右击治理IP地址,选择“治理”,输入用户名和暗码进行治理5)也可右击治理IP地址,选择“安然对象”,进行及时监控选择：安然对象-衔接监控点击启动,在弹出的窗口中增长过滤前提,可用缺省值监控所有衔接.选中增长的过滤前提,点设置就可以看到及时的监控后果了,如下图：二、敕令行经常运用设置装备摆设(注：用串口.TELNET.SSH方法进入到敕令行治理界面,天融信防火墙敕令行治理可以完成所有图形界面治理功效,敕令行支撑TAB键补齐和TAB键帮忙,敕令支撑多级操纵,可以在体系级,也就是第一级直接输入完全的敕令;也可以进入响应的功效组件级,输入对应组件敕令.具体分级如下表：)体系级体系级为第一级,供给装备的根本治理敕令.CLI治理员登录后,直接进入该级,显示为：TopsecOS#.组件级组件级为第二级,供给每个安然组件（SE）所独有的治理敕令.在体系级下,TopsecOS #<tab> 按 tab键,则显示出安然组件级敕令见下表.1．体系治理敕令(SYSTEM)在敕令行下一般用SYSTEM敕令来治理和检讨体系设置装备摆设：2．收集设置装备摆设敕令(NETWORK)3．双机热备敕令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先照样备份机优先（默认为 backup,即假如同时启动主机成为活HA SHOW <cr> 检讨 HA的设置装备摆设信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 消除 HA设置装备摆设信息HA SYNC <from-peer|to-peer> HA同步（从对端机上同步设置装备摆设/同步设置装备摆设到对端机上）4．界说对象敕令(DEFINE)5．包过滤敕令(PF)增长一条办事拜访规矩SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6．显示运行设置装备摆设敕令(SHOW_RUNNING)SHOW_RUNNING7．保管设置装备摆设敕令(SAVE)SAVE三、WEB界面经常运用设置装备摆设用阅读器或者分散治理中间登录到WEB治理界面如下：1．体系治理设置装备摆设在“体系”下,可以显示或设置装备摆设体系相干设置A)体系 > 根本信息显示体系的型号.版本.功效模块.接口信息等等：B)体系 > 运行状况检讨体系的运行状况,包含CPU.内存运用情形和当前衔接数等C)体系 > 设置装备摆设保护上传或下载设置装备摆设文件D)体系 > 体系办事体系办事在本体系中主如果指监控办事.SSH 办事.Telnet办事和 HTTP办事.TOS体系供给了对这些办事的掌握（启动和停滞）功效,其具体的操纵如下：E)体系 > 凋谢办事添加或检讨体系权限,包含WEB治理.GUI治理.TELNET治理.SSH治理.监控等等F)体系 > 体系重启2．收集接口.路由设置装备摆设A)设置防火墙接口属性用户可以对收集卫士防火墙的物理接口的属性进行设置,具体步调如下：1）在治理界面左侧导航菜单中选择收集 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口：Eth0.Eth1.Eth2.2）假如要将某端口设为路由模式,点击该端口后的路由修正图标“”,弹出“设定路由”对话框,如下图所示.可认为某个端口设置多个 IP 地址,点击“添加设置装备摆设”按钮,添加接口的 IP 地址.假如选择“ha-static”,暗示双机热备的两台装备在进行主从切换时,可以保管本来的地址不变,不然,从墙的地址将被主墙笼罩.收集卫士防火墙不支撑不合的物理接口设置装备摆设雷同的 IP地址或 IP 地址在统一子网内.3）假如要将某端口设交流模式,点击该端口后的交流修正图标“”,弹出“交流”设置窗口,如下图所示.起首,须要肯定该接口的类型是“Access”照样“Trunk”.假如是“Access”接口,则暗示该交流接口只属于一个 VLAN,须要指定所属的 VLID 号码,如上图所示.如是“Trunk”接口,则设置参数界面如下图所示.上图参数解释如下表所示：点击“提交设定”则完成接口从路由模式向交流模式的转换.4）点击“其他”按钮,可以设置接口的其他信息,如下图.B)设置路由用户可以在收集卫士防火墙上设置计谋路由及静态路由,具体步调如下：1）在左侧导航菜单中选择收集 > 静态路由,可以看到已经添加的计谋路由表以及体系主动添加的静态路由表,如下图所示.2）设置计谋路由,点击“添加计谋路由”,如下图所示.个中“网关”为下一跳路由器的进口地址,“端口”指定了从防火墙装备的哪一个接口（包含物理接口和 VLAN 虚接口）发送数据包.Metric 为接口跃点数,默认为 1.假如选择“NAT 后的源”为“是”,暗示计谋路由的源地址为 NAT 后的地址,计谋路由添加成功后的“标识表记标帜”一栏显示为“UGM”.默认为“否”,计谋路由添加成功后的“标识表记标帜”一栏显示为“U”.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.点击“撤消返回”则废弃添加,返回上一界面.若要删除某路由项,点击该路由项地点行的删除图标“”进行删除.4）移动计谋路由.因为计谋履行动第一匹配原则,则计谋的次序与计谋的逻辑相干,在此可以转变添加计谋时刻的缺省的履行次序（按照添加次序分列）.具体设置办法为：在计谋路由表中点击要移动的路由选项（例如要移动计谋路由 102）后的“移动”图标按钮 ,进入如下界面.在第一个下拉框中选择参考地位路由,第二个下拉框中则是选择将当前路由移动到参考路由之前照样之后.例如：要将路由 102 移动到路由 101 之前,则第一个下拉框选择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功对话框.点击“肯定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所示.3．对象设置装备摆设A)设置主机对象选择对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示.点击“添加设置装备摆设”,体系消失添加主机对象属性的页面,如下图所示.B)设置规模对象选择对象 > 地址对象 > 地址规模,右侧界面显示已有的地址规模对象,如下图所示.点击“添加设置装备摆设”,进入地址规模对象属性的页面,如下图所示.C)设置子网对象选择对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示.D)设置地址组不合的地址对象可以组合为一个地址组,用作界说计谋的目标或源.地址组的支撑加强了对象治理的层次性,使治理加倍灵巧.设置地址组对象的步调如下：1）选择对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下图所示.2）选择“添加设置装备摆设”,体系消失如下图所示的页面.E)自界说办事当预界说的办事中找不到我们须要的办事端口时,我们可以本身界说办事端口：1）选择对象 > 办事对象 > 自界说办事,点击“添加设置装备摆设”,体系消失如下页面.2）输入对象名称后,设置协定类型及端标语规模.3）点击“提交设定”,完成设置.F)设置区域对象体系支撑区域的概念,用户可以依据现实情形,将收集划分为不合的安然域,并依据其不合的安然需求,界说响应的规矩进行区域鸿沟防护.假如不消失可匹配的拜访掌握规矩,收集卫士防火墙将依据目标接口地点区域的权限处理该报文.设置区域对象,具体操纵如下：1）选择对象 > 区域对象,显示已有的区域对象.防火墙出厂设置装备摆设中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象eth0 已和接口eth0 绑定,是以出厂设置装备摆设中防火墙的物理接口eth0 已属于区域 AREA_ETH0.2）点击“添加设置装备摆设”,增长一个区域对象,如下图所示.在“对象名称”部分输入区域对象名称;在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（许可拜访或制止拜访）.在“选择属性”部分的左侧文本框中选择接口,然后点击添加该区域具有的属性,被选接口将出如今右侧的“被选属性”文本框中,可以同时选择一个或多个.3）设置完成后,点击“提交设定”按钮,假如添加成功会弹出“添加成功”对话框.4）点击“撤消返回”则废弃添加,返回上一界面.5）若要修正区域对象的设置,点击该区域对象地点行的修正图标“”进行修正.6）若要删除区域对象,点击该区域对象地点行的删除图标“”进行删除.G)设置时光对象用户可以设置时光对象,以便在拜访掌握规矩中引用,从而实现更细粒度的掌握.比方,用户愿望针对工作时光和非工作时光设置不合的拜访掌握规矩,引入时光对象的概念很轻易解决该类问题.设置时光对象,具体操纵如下：1）选择对象 > 时光对象,点击“添加设置装备摆设”,体系消失如下页面. 2）依次设置“对象名称”.“每周时段”和“每日时段”.3）最后点击“提交设定”,完成对象设置.新添加的对象将显示在时光对象列表中,如下图所示.4）对已经添加的时光对象,可以点击修正图标修正其属性,也可以点击删除图标删除该对象.4．拜访计谋设置装备摆设用户可以经由过程设置拜访掌握规矩实现灵巧.壮大的三到七层的拜访掌握.体系不单可以从区域.VLAN.地址.用户.衔接.时光等多个层面临数据报文进行判别和匹配,并且还可以针对多种运用层协定进行深度内容检测和过滤.与报文阻断计谋雷同,拜访掌握规矩也是次序匹配的,但与其不合,拜访掌握规矩没有默认规矩.也就是说,假如没有在拜访掌握规矩列表的末尾添加一条全体谢绝的规矩的话,体系将依据目标接口地点区域的缺省属性（许可拜访或制止拜访）处理该报文.界说拜访规矩,操纵步调如下：1）选择防火墙引擎 > 拜访掌握,点击“添加设置装备摆设”,进入拜访掌握规矩界说界面.表中“ID”为每项规矩的编号,在移动规矩次序时将会运用.“掌握”中的图标和 ,分离暗示该项规矩是否启用.2）界说是否启用该拜访掌握规矩（默认为启用该规矩）,以及拜访权限.拜访权限界说了是否许可拜访由规矩源到规矩目标所指定的办事.3）界说规矩的源规矩的源既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.图中“选择源”右侧的按钮为正序分列和倒序分列,用户可以便利的按序查找项目.别的,用户还可以选择响应的办事,即设置源端口,如下图所示.4）界说规矩的目标规矩的目标既可所以一个已经界说好的 VLAN 或区域,也可以细化到一个或多个地址对象以及用户组对象,如下图所示.别的,用户还可以设置进行地址转换前的目标地址,如下图所示.5）界说办事选择拜访规矩包含的办事,假如用户须要制订的办事没有包含在办事列表中,可以经由过程添加自界说办事添加所需办事.假如没有选择任何办事,则体系默认为选择全体办事.6）界说帮助选项各项参数解释如下：7）点击“提交设定”完成该条拜访掌握规矩的设定.8）用户可以点击“修正”按钮,对现有规矩进行编辑.可以点击“拔出”按钮,在现有规矩间拔出一条新规矩.8）点击“清空设置装备摆设”,可以消除所有的拜访掌握规矩,便于从新设置装备摆设.9）须要更改规矩的匹配次序时点击该规矩右侧“移动”按钮,如下图所示.用户可以选择响应 ID.地位,移动计谋.完成后点击“提交设定”保管或“撤消返回”废弃移动.5．高可用性设置装备摆设设置装备摆设收集卫士防火墙双机热备的步调如下：1）选择体系 > 高可用性,进入高可用性设置页面,如下图所示.2）设置主/从装备参数,参数解释请拜见下表.3）点击“提交设定”,完成双机热备设置.四、透明模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行用WINDOWS自带的超等终端或者SecureCRT软件,运用9600的速度,用串口线衔接到防火墙,用户名是superman,暗码是talent.(具体办法见第一节),下面是具体设置装备摆设,加粗显示的为敕令行.2．设置装备摆设接口属性将ETH0口设置装备摆设为交流模式：network interface eth0 switchport设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100将ETH1口设置装备摆设为交流模式：network interface eth1 switchport设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设VLAN添加VLAN1：network vlan add id 1为VLAN1添加IP地址：network interface vlan.0001 ip add 192.168.1.250 mask255.255.255.0 label 04．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off5．界说对象界说主机地址对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '界说时光对象define schedule add name 上班时光 week 12345 start 08:00 end 18:006．添加体系权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any7．设置装备摆设拜访计谋'上班时光 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时光 ' 8．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.五、路由模式设置装备摆设示例拓补构造：1．用串口治理方法进入敕令行办法同上面的透明模式.2．设置装备摆设接口属性设置装备摆设ETH0口的IP地址：network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0设置装备摆设ETH0口的METRIC值,用于盘算双机热备的权值：network interface eth0 ha-metric 100设置装备摆设ETH1口的IP地址：network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0设置装备摆设ETH1口的METRIC值,用于盘算双机热备的权值：network interface eth1 ha-metric 100设置装备摆设ETH2口的METRIC值,用于盘算双机热备的权值：network interface eth2 ha-metric 100将没有运用的ETH2口封闭：network interface eth2 shutdown设置装备摆设同步接口ETH3的IP地址和HA标识表记标帜：network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0设置装备摆设ETH3口的METRIC值,用于盘算双机热备的权值：network interface eth3 ha-metric 1003．设置装备摆设路由设置装备摆设到192.168.3.0/24网段的路由：设置装备摆设到192.168.4.0/24网段的路由：4．设置装备摆设区域属性将区域缺省拜访权限为制止define area add name area_eth0 attribute 'eth0 ' access offdefine area add name area_eth1 attribute 'eth1 ' access off5．设置装备摆设主机对象define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1fdefine host add name 192.168.1.20 ipaddr '192.168.1.20 '6．设置装备摆设拜访计谋PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些办事：firewall policy add action accept srcarea 'area_eth0 ' dstarea'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '7．设置装备摆设双机热备设置装备摆设本机同步IP设置装备摆设对端机械同步IP启动双机热备功效ha enable注：设置装备摆设好一台防火墙后,我们要设置装备摆设另一台热备的防火墙,其设置装备摆设根本上与致,独一不合的只有两个地方,一个是同步接口ETH3的IP地址为11.1.1.2;另一个是双机热备设置装备摆设中的本机同步IP和对端机械同步IP相反,本机IP为11.1.1.2,对端机械IP为11.1.1.1,完成设置装备摆设之后,我们先接恶意跳线,将两台防火墙的ETH3口衔接,然后接上其他接口的网线,到此透明模式的双机热备设置装备摆设完成.。

天融信防火墙 NGFW4000快速配置手册目录一、防火墙的几种管理方式 .........................................................................................................................................1． 串口管理 ............................................................................................................................................................. 2． TELNET 管理 ........................................................................................................................................................ 3． SSH 管理 .............................................................................................................................................................. 4． WEB 管理 ............................................................................................................................................................ 5． GUI 管理 .............................................................................................................................................................. 二、命令行常用配置.....................................................................................................................................................1．系统管理命令 (SYSTEM)......................................................................................................................................命令 .................................................................................................................................................................................. 功能 .................................................................................................................................................................................. WEBUI 界面操作位置 ..................................................................................................................................................... 二级命令名 ......................................................................................................................................................................V ERSION.............................................................................................................................................................................. 系统版本信息 ..................................................................................................................................................................系统 >基本信息 ................................................................................................................................................................INFORMATION.......................................................................................................................................................................当前设备状态信息 ..........................................................................................................................................................系统 >运行状态 ................................................................................................................................................................TIME ...................................................................................................................................................................................系统时钟管理 .................................................................................................................................................................. 系统 >系统时间 ................................................................................................................................................................CONFIG ...............................................................................................................................................................................系统配置管理 .................................................................................................................................................................. 管理器工具栏“保存设定”按钮..................................................................................................................................REBOOT...............................................................................................................................................................................重新启动 ..........................................................................................................................................................................系统 >系统重启 ................................................................................................................................................................SSHD...................................................................................................................................................................................SSH 服务管理命令 ...........................................................................................................................................................系统 >系统服务 ................................................................................................................................................................TELNETD ..............................................................................................................................................................................TELNET 服务管理 ............................................................................................................................................................. 系统 >系统服务命令 ........................................................................................................................................................HTTPD .................................................................................................................................................................................HTTP 服务管理命 ............................................................................................................................................................ 系统 >系统服务令 ............................................................................................................................................................MONITORD ...........................................................................................................................................................................服务管理命令无..............................................................................................................................................................2．网络配置命令 (NETWORK) ..................................................................................................................................3．双机热备命令 (HA) ..............................................................................................................................................4．定义对象命令 (DEFINE) .......................................................................................................................................5．包过滤命令 (PF)...................................................................................................................................................6．显示运行配置命令 (SHOW_RUNNING)...............................................................................................................7．保存配置命令 (SAVE)...........................................................................................................................................三、WEB 界面常用配置 .................................................................................................................................................1．系统管理配置 .....................................................................................................................................................A) 系统 > 基本信息 .............................................................................................................................................B) 系统 > 运行状态 .............................................................................................................................................C) 系统 > 配置维护 .............................................................................................................................................D) 系统 > 系统服务 .............................................................................................................................................E) 系统 > 开放服务 .............................................................................................................................................F) 系统 > 系统重启 ...............................................................................................................................................2．网络接口、路由配置 .........................................................................................................................................A) 设置防火墙接口属性 .........................................................................................................................................B) 设置路由.............................................................................................................................................................3．对象配置.............................................................................................................................................................A) 设置主机对象 .....................................................................................................................................................B) 设置范围对象 .....................................................................................................................................................C) 设置子网对象 .....................................................................................................................................................D) 设置地址组 .........................................................................................................................................................E) 自定义服务 .........................................................................................................................................................F) 设置区域对象 .....................................................................................................................................................G) 设置时间对象 .....................................................................................................................................................4．访问策略配置 .....................................................................................................................................................5．高可用性配置 .....................................................................................................................................................四、透明模式配置示例 .................................................................................................................................................拓补结构： ......................................................................................................................................................................1．用串口管理方式进入命令行.............................................................................................................................2．配置接口属性 .....................................................................................................................................................3．配置 VLAN ...........................................................................................................................................................4．配置区域属性 .....................................................................................................................................................5．定义对象.............................................................................................................................................................6．添加系统权限 .....................................................................................................................................................7．配置访问策略 .....................................................................................................................................................8．配置双机热备 .....................................................................................................................................................五、路由模式配置示例 .................................................................................................................................................拓补结构： ......................................................................................................................................................................1．用串口管理方式进入命令行.............................................................................................................................2．配置接口属性 .....................................................................................................................................................3．配置路由.............................................................................................................................................................4．配置区域属性 .....................................................................................................................................................6．配置访问策略.....................................................................................................................................................7．配置双机热备.....................................................................................................................................................一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE口以命令行方式进行配置和管理。

天融信防火墙常用命令天融信防火墙是一种网络安全设备，用于保护企业内部网络免受网络攻击和恶意软件的侵害。

在使用天融信防火墙时，我们需要掌握一些常用的命令，以便进行配置和管理。

下面将介绍几个常用的天融信防火墙命令。

一、show命令show命令用于查看防火墙的各种状态和配置信息。

例如，可以使用show running-config命令查看当前的配置文件内容。

show version命令则可以查看防火墙的硬件和软件版本信息。

通过使用show命令，管理员可以及时获取到防火墙的运行状态，以便进行故障排查和性能优化。

二、config命令config命令用于进入防火墙的配置模式，以便对防火墙进行各种配置操作。

例如，可以使用config system命令进入系统配置模式，然后使用config firewall命令进入防火墙策略配置模式。

在配置模式下，管理员可以对防火墙的各种功能进行详细的配置，如访问控制、NAT转换、VPN设置等。

三、set命令set命令用于设置防火墙的各种参数。

例如，可以使用set interface命令设置防火墙的接口参数，如IP地址、子网掩码、MTU等。

使用set policy命令可以设置防火墙的安全策略，如允许或禁止某个IP地址的访问。

通过使用set命令，管理员可以根据实际需求对防火墙进行个性化的配置。

四、get命令get命令用于获取防火墙的各种状态和配置信息。

例如，可以使用get system status命令获取防火墙的系统状态信息，如CPU利用率、内存使用情况等。

通过使用get命令，管理员可以实时监控防火墙的运行情况，以便及时发现和解决问题。

五、ping命令ping命令用于测试防火墙与其他设备之间的连通性。

例如，可以使用ping命令测试防火墙与某个服务器之间的网络延迟和丢包率。

通过使用ping命令，管理员可以快速判断网络连接是否正常，以便进行故障排查和网络优化。

六、diagnose命令diagnose命令用于进行防火墙的故障诊断。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (5)4．WEB管理 (6)5．GUI管理 (7)二、命令行常用配置 (12)1．系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2．网络配置命令(NETWORK) (13)3．双机热备命令(HA) (13)4．定义对象命令(DEFINE) (13)5．包过滤命令(PF) (13)6．显示运行配置命令(SHOW_RUNNING) (13)7．保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1．系统管理配置 (14)A)系统> 基本信息 (14)B)系统> 运行状态 (14)C)系统> 配置维护 (15)D)系统> 系统服务 (15)E)系统> 开放服务 (16)F)系统> 系统重启 (16)2．网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3．对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4．访问策略配置 (23)5．高可用性配置 (26)四、透明模式配置示例 (28)拓补结构： (28)1．用串口管理方式进入命令行 (28)2．配置接口属性 (28)3．配置VLAN (28)4．配置区域属性 (28)5．定义对象 (28)6．添加系统权限 (29)7．配置访问策略 (29)8．配置双机热备 (29)五、路由模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置路由 (30)4．配置区域属性 (30)5．配置主机对象 (30)6．配置访问策略 (30)7．配置双机热备 (31)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1．串口管理 (4)2．TELNET管理 (5)3．SSH管理 (6)4．WEB管理 (7)5．GUI管理 (8)二、命令行常用配置 (13)1．系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3．双机热备命令(HA) (14)4．定义对象命令(DEFINE) (14)5．包过滤命令(PF) (14)6．显示运行配置命令(SHOW_RUNNING) (14)7．保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1．系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2．网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3．对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4．访问策略配置 (25)5．高可用性配置 (28)四、透明模式配置示例 (30)拓补结构： (30)1．用串口管理方式进入命令行 (30)2．配置接口属性 (30)3．配置VLAN (30)4．配置区域属性 (30)5．定义对象 (30)6．添加系统权限 (30)7．配置访问策略 (31)8．配置双机热备 (31)五、路由模式配置示例 (32)拓补结构： (32)1．用串口管理方式进入命令行 (32)2．配置接口属性 (32)3．配置路由 (32)4．配置区域属性 (32)6．配置访问策略 (32)7．配置双机热备 (33)一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

一、防火墙地址转换配置步骤（内网经过地址转换访问外网）
:
1，配置防火墙内网接口地址
3，配置防火墙默认网关：
4，在通讯策略里设置防火墙地址转换策略：
源：需要访问的网络目的：需要被访问网络通讯方式：NA T 5，在访问策略里设置允许内网地址访问外网：
策略源：内网（intranet）
策略目的：外网（internet）
策略服务：内网需要访问外网的什么服务端口（例如：网页80端口）
访问控制：允许
二、防火墙地址映射配置步骤（允许外网通过防火墙的地址映射访问内网的一台服务器）1，设置服务器内网地址对象：
2，设置服务器影射后的外网地址对象：
3，在通讯策略里设置地址映射策略：
源：外网（internet）目的：服务器映射外网地址通讯方式：MAP目标机器：服务器内部地址
4，在访问策略里设置允许外网访问内网服务器：
策略源：外网（internet）策略目的：服务器内网地址策略服务：服务端口策略动作：允许。