产品说明-天融信WEB应用安全网关系统
天融信WEB应用安全网关系统
TopWAF
产品说明
天融信
TOPSEC?
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-400-610-5119
+8610-800-810-5119
http: //https://www.360docs.net/doc/fe3304731.html,
版权声明本手册的所有内容,其版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。本手册没有任何形式的担保、立场倾向或其他暗示。
若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失,天融信及其员工恕不承担任何责任。本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不承担另行通知之义务。
版权所有不得翻印? 1995-2012天融信公司
商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC? 天融信公司
信息反馈
https://www.360docs.net/doc/fe3304731.html,
天融信WEB应用安全网关产品说明
目录
1. 产品概述 (1)
2. 产品主要特性 (2)
2.1先进的设计理念 (2)
2.1.1“三高”设计理念 (2)
2.1.2“一站式”解决方案 (2)
2.1.3 “无故障运行时间提升”的核心原则 (2)
2.2独有的核心技术 (2)
2.2.1稳定、高效、安全的系统内核 (2)
2.2.2领先的多维防护体系 (2)
2.2.3“主动式”应用安全加固技术 (3)
2.3丰富的数据展现 (3)
2.3.1多角度的决策支撑数据 (3)
2.3.2多角色视角的数据展示 (3)
2.3.3清晰详尽的阶段性报表 (3)
3. 产品功能 (4)
3.1产品核心功能 (4)
3.1.1 WEB应用威胁防御 (4)
3.1.2网页防篡改 (5)
3.1.3抗拒绝服务攻击 (5)
3.1.4 WEB应用漏洞扫描 (6)
3.1.5 WEB应用加速 (6)
3.1.6 业务智能分析 (6)
3.2产品功能列表 (8)
4. 产品部署 (11)
4.1透明串接部署 (11)
4.2反向代理部署 (12)
4.3单臂部署 (13)
5. 产品规格 (14)
6. 产品资质 (15)
7. 特别声明 (15)
1.产品概述
天融信WEB应用安全网关系统(以下简称TopWAF)是天融信公司根据当前的互联网安全形势,并经过多年的技术积累,研制出品的专业级WEB安全防护类网络安全产品。
TopWAF是天融信WEB安全专家团针对“网站型”服务器量身定制的产业化产品,汇聚了天融信公司长期对网站系统进行安全研究的成果。产品主要从网站系统可用性和信息可靠性的角度出发,满足用户对于WEB防护及加速、网页防篡改及网站业务分析等功能的核心需求。提供事前预警、事中防护、事后分析的全周期安全防护解决方案。
图 1-1 TopWAF工作原理示意图
事前,TopWAF对网站服务进行动态监视,实时监测系统的服务能力及服务质量,建立安全隐患预警机制。
事中,TopWAF基于“无故障运行时间”原则,依托稳定、高效、安全的系统内核及先进的多维防护体系,通过WEB应用威胁防御、网页防篡改、抗拒绝服务攻击和WEB应用优化等多项功能,保障网站应用服务系统的运行质量。
事后,TopWAF提供多角度的决策支撑数据,为用户提供清晰详尽的阶段性报表,帮助网站管理者准确地了解网站的运行状况并进行有针对性的调整。
2.产品主要特性
2.1先进的设计理念
2.1.1“三高”设计理念
TopWAF秉承了天融信公司对于信息安全产品应具有高可靠性、高安全性及高易用性的设计理念。该系统对网站的总体战略目标作深入理解,针对网站系统的可用性和内容可信任问题,提供全方位的安全解决方案。从网站如何提高业务效率,以及如何量化服务品质的角度出发,为网站业务的正常运行保驾护航。
2.1.2“一站式”解决方案
TopWAF为“网站型”服务器的可用性问题、内容可信任问题提供“一站式”解决方案。用“一个帐号,一次登录,一套界面,三次点击”的高效设计解决网站安全问题。
2.1.3 “无故障运行时间提升”的核心原则
天融信深入理解用户对于网站服务质量的要求,首先提出网站“无故障运行时间”的产品核心原则。TopWAF产品设计综合考虑网站应用威胁防护、服务效率动态监视、服务带宽保护等方面,致力于提高网站系统的服务不间断时间,保障网站业务的服务质量。
2.2独有的核心技术
2.2.1稳定、高效、安全的系统内核
天融信公司利用在安全操作系统开发以及硬件电路设计方面的多年技术积累,结合当前WEB应用数据的深度检测技术,研制出精简、稳定、安全、高效的TopWAF系统内核,为TopW AF系列产品的整体性能及稳定性提供了良好的保证。
2.2.2领先的多维防护体系
TopWAF通过“宏观判断,微观分析”的方式,对网站应用数据、实时流量及历史特征等多方面信息进行聚合,并将WEB应用威胁防御、网页防篡改及抗拒绝服务攻击等产品核心功能进行多元化组合,构建多维防护体系。
2.2.3“主动式”应用安全加固技术
TopW AF通过漏洞扫描、WEB威胁实时防护以及WEB应用架构协议规范化等多种手段,主动发现WEB安全漏洞并及时提供相应的解决方案进行修复。
2.3丰富的数据展现
2.3.1多角度的决策支撑数据
TopWAF在安全防护的基础上,为网站管理者提供多角度的决策支撑数据,使其充分了解网站的整体运行情况。数据不仅包括网站安全统计、还包括网站业务及管理情况分析等。通过分析用户访问网站的行为数据,为管理员改进网站功能及合理分配服务器资源提供可靠的依据。
2.3.2多角色视角的数据展示
TopWAF从网站应用系统的服务类型、服务对象及服务价值三个方面,提供多视角的数据展示,同时支持展示界面自定义的功能。
通过TOPWAF产品,用户可以:
按照业务视角,将当前各类业务的运行状态和安全威胁分等级列出;
按照行业视角,将网站应用系统对服务对象的服务情况列出;
根据自身的角色,选择查看不同范围、明细度及侧重点的数据报表;
根据自身操作习惯和业务需要,自定义多种展示界面。
2.3.3清晰详尽的阶段性报表
TopWAF可按照不同的统计周期为网站管理者提供清晰详尽的数据报表。统计内容丰富,展示效果直观。为网站管理者提供有针对性的决策依据。
3.产品功能
3.1产品核心功能
3.1.1WEB应用威胁防御
TopWAF采用先进的多维防护体系,对HTTP数据流进行深度分析。通过对WEB应用安全的深入研究,固化了一套针对WEB攻击防护的专用特征规则库,规则涵盖诸如SQL注入、XSS (跨站脚本攻击)等OWASP TOP10中的WEB应用安全风险,及远程文件包含漏洞利用、目录遍历、OS命令注入等当今黑客常用的针对WEB基础架构的攻击手段。
TopWAF对于HTTP数据包内容具有完全的访问控制权限,检查所有经过网络的HTTP 流量,回应请求并建立安全规则。一旦某个会话被控制,WAF就会对内外双向流量进行多重检查,以阻止内嵌的攻击,保证数据不被窃取。网站管理者也可以指定各种策略对URL、参数和格式等进行安全检查。
SQL注入攻击防护
TopWAF致力于跟踪SQL注入技术的最新动态,防SQL注入策略不断更新,规则不断完善,支持对GET、POST、COOKIE全部数据提交方式的过滤;实行过滤规则分离原则:不同方法(GET、POST、COOKIE)提交的数据,过滤的规则相互独立,最大限度的加强了对SQL 注入的防御,同时,也从根本上杜绝了对正常访问的误拦;支持“模式匹配”,用户可以使用“正则表达式”构造具有超强防御效果的防御策略,使用“正则表达式”的规则,具有人工智能特性,一条防SQL注入规则,即可以阻止同一类的SQL注入,有效的杜绝了其它WEB 应用防火墙产品很容易被高级黑客饶过的情况,从而从根本上杜绝SQL注入,进而防止网站数据泄漏或内容被篡改。
XSS攻击防护
TopWAF基于特征分析,内置上百条从实际攻击行为中提炼的防护规则,并支持自定义规则。在实时攻击检测阶段,对所有可能实现XSS攻击的数据来源,如HTTP-Refere、URL、COOKIE、表单数据等进行检查过滤,全面、有效地阻止XSS攻击。
盗链攻击防护
TopWAF通过实现URL级别的访问控制,对客户端请求进行检测,如果发现图片、视频
等资源信息的HTTP请求来自于其它网站,则阻止盗链请求,节省因盗用资源链接而消耗的带宽和性能。
爬虫防护
TopWAF将爬虫行为分为搜索引擎爬虫及扫描程序爬虫,可屏蔽特定的搜索引擎爬虫节省带宽和性能,也可屏蔽扫描程序爬虫,避免网站被恶意抓取页面。
恶意扫描防护
TopWAF可以屏蔽Web扫描器的检测,如:Acunetix Web Vulnerability Scanner及IBM AppScan,有效阻止攻击者利用扫描器进行更换Web网站主页、盗取管理员密码、破坏整个网站数据等攻击。
3.1.2网页防篡改
TopWAF能够监控网页请求的合法性,实时拦截篡改攻击。
同时,通过比对请求页面的哈希指纹,校验被请求的网页是否被篡改。一旦检测到页面被篡改,则将URL重定向到正常页面,使篡改攻击者的意图不能得逞。
发生网页篡改紧急事件时,TopWAF防篡改功能会将用户请求重定向到默认页面或指定页面,视篡改的程度或网站特殊需求,启动专业的应急机制。对网络流量进行有效控制,及时阻止篡改攻击行为,保证网站形象。另一方面系统会提供多种形式的告警机制,通知网站管理者进行事件分析和历史追溯,从而完成WEB服务器的配置及数据恢复,杜绝网页内容连续被篡改。
3.1.3抗拒绝服务攻击
拒绝服务攻击是攻击者利用目标服务器的网络协议漏洞对系统及网络资源进行强行占用的行为,使得目标服务器业系统瘫痪,无法响应正常用户请求。近年来,随着互联网的高速发展,针对网站系统的拒绝服务攻击事件呈大规模上升趋势,如何有效的防范此类攻击便成了当今网站管理者需要考虑的重点安全问题。
TopWAF集成了具有核心知识产权的抗拒绝服务攻击功能,能够防御迄今已知的所有种类DDoS攻击,如SYN Flood、UDP Flood、ICMP Flood、ping of Death、Smurf、HTTP-get Flood 等。同时TopWAF对未知攻击也能进行有效防护。
攻击指纹识别
TopWAF利用多种技术手段对网络数据包进行特征统计和发现,能够准确定位当前的攻
击类型,并触发不同的防御机制,在提高效率的同时确保防护准确度。
异常流量识别
TopWAF创造性地提出了一种全新的、基于数据挖掘的DDoS攻击盲检测技术。利用关联算法和聚类算法自适应的产生检测模型,任何偏离这些正常状态的流量特征都可以被捕获,从而可以实时、自动、有效地识别出异常流量。
攻击特征挖掘
TopWAF具备高效的攻击特征挖掘能力。系统通过对网络流量的显微分析,挖掘出攻击特征,并将攻击特征移交给规则执行机进行高效执行。
攻击流量过滤
TopWAF针对检测出的攻击流量,采用规则执行机技术,准确彻底地过滤攻击流量,放行正常流量,保证网站服务的正常进行。
3.1.4 WEB应用漏洞扫描
TopWAF可提供对网站应用漏洞的扫描功能。该功能基于先进的漏洞扫描引擎及庞大漏洞信息库。扫描内容涵盖: SQL注入、跨站脚本编制及操作系统命令注入等WEB常见漏洞。扫描任务支持单任务及批量任务。执行方式可按时间周期进行灵活设置。扫描结束后,自动生成全中文网站漏洞分析报告。此功能可以使网站管理者在不需要安装任何漏洞扫描软件的情况下,直观地了解到网站存在的安全漏洞情况,以及时进行相关修补工作。
3.1.5 WEB应用加速
TopWAF在对网站进行全面的安全防护的同时,通过连接池、缓存等机制,实现应用加速,优化网站性能的功效。
WEB应用加速功能通过高性能的硬件平台及软件加速算法,可以将用户的WEB请求响应速度提高数倍,大幅提升网站系统的可用性。
3.1.6 业务智能分析
TopWAF提供强大的网站业务智能分析功能。内容丰富,涵盖网站业务数据智能分析、网站安全数据智能分析以及网站管理数据智能分析三大模块。展现形式为数据表格搭配统计图示,效果清晰、直观。为网站管理者提供有针对性的决策依据。
图 3-1 业务智能分析功能页面
网站业务数据智能分析
传统安全产品的日志内容主要以安全防护及操作管理为主。TopWAF 提供强大的网站业务统计分析功能。针对网站管理者希望了解到的网站业务参数指标,TopWAF 按照不同时间段、不同地区及不同内容,分别对网站流量、网站访问者以及网站内容进行统计分析。统计内容专业、准确,完全可以替代市面上的网站业务监测软件。
网站安全数据智能分析
TopWAF 对来自于互联网的各种攻击行为进行详细记录。通过WEB 攻击日志、DDOS 攻击日志、网页防篡改日志及网页敏感关键字过滤日志,将网站的安全现状直观的展现给网站管理者。统计类型包括时间段、地址来源及攻击种类等,管理者可以通过分析相关数据对网站
实施更有针对性的安全策略。
网站管理数据智能分析
管理员操作记录是安全产品不可或缺的功能,TopWAF 在此基础上增加了告警统计及监控统计报表功能。系统会自动记录所有的报警事件及监控状态,为网站管理者提供良好的管理凭证。
3.2产品功能列表
4.产品部署
TopWAF支持多种部署方式,适应各种WEB网络结构,可以根据实际网络环境进行灵活部署。
4.1透明串接部署
透明模式是最为便捷的部署方式。在已经交付使用的系统中需要快速部署TopWAF时,推荐使用此种方式。选用透明模式时,网关工作在链路层,不需要对服务器和其他的网络设备作任何调整。
图 4-1 透明串接部署示意图
4.2反向代理部署
反向代理模式是在大多数情况下推荐使用的部署方式,俗称为“替身模式”。此时,TopWAF 位于网站服务器的前端,所有与网站应用系统交互的数据流量都必须经过TopWAF,该部署模式能够对应用数据进行全面细致的检查。
图 4-2 反向代理部署示意图
4.3单臂部署
以单臂模式部署时,TopWAF将与网站服务器位于同一个子网或者任意路由可达子网。网站服务器的网络设置无需做任何更改。此种方式非常适合不能运行中断的系统。
图 4-3 单臂部署示意图
5.产品规格
6.产品资质
7.特别声明
1.本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不
另行通知。
2.本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而
有所差异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。
3.本手册中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表
达意见,如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。
4.本手册中提到的信息为正常公开的信息,若因本手册或其所提到的任何信息引起了
他人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。
天融信防火墙配置指南
一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问,比如计算机A访问计算机B,那么,计算机B 相当于服务器,计算机A相当于客户机。如果是访问网页,一般就是客户机访问服务器的80端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT)。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。
天融信版本防火墙常用功能配置手册v
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
天融信防火墙命令
天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名 addressname any 添加网口ip: 禁用网口: network interface eth16 shutdown 启用网口: network interface eth16 no shutdown 交换模式: network interface eth16 switchport(no switchport路由模式) 区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on 权限允许》 主机地址: define host add name 主机名 子网地址: define host subnet add name 名字 自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip: web服务器外网访问 1)设置 E1 区域 #define area add name E1 access on attribute eth1 2)定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明:“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1)设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2)定义外网区域(adsl-a) #define area add name adsl-a attribute adsl access on 3)配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4)拨号 #network adsl start 5)查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
天融信防火墙日常维护及常见问题资料
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
(完整版)天融信防火墙日常维护与常见问题
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、防火墙的连接方式
5 硬件一台 ?外形:19寸1U 标准机箱产品外形接COM 口管理机 直通线交叉线串口 线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条,颜色:灰色)-交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 产品提供的附件及线缆使用方式
二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式
天融信防火墙 通用配置
天融信防火墙通用配置 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-
天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂用户名为:superman,密码为:talent或superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口 Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。现例eth0口IPIP其余选项采用默认配置。 三.路由配置 点击:网络管理----路由, 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加: 该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。X 2.区域设置: 点击:资源管理---区域; 将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。 3.地址转换: 点击:防火墙----地址转换;点击添加: 在此我们只需设置目的转换,选中:[目的转换]选项。 在:[源]选项栏中,将any从选择源:移到:已选源中。 在:[目的]选项栏中将虚拟的主机对象(即xnweb)从选择源移到:已选源中。 下面的:[目的地址转换为:]选择:wcj-web(主机)即实际的web服务器的地址对象。 其他选项采用默认配置。 点击:确定。 最后要保存配置:如下图操作: 至此,该防火墙配置完成。
天融信防火墙配置手册
天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。 比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。 2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻:用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNA T)。比如A学校有100台计算机,但是只有
天融信防火墙配置
天融信防火墙配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:192.168.1.254, 出厂用户名为:superman,密码为:talent或12345678。现IP改为192.168.4.21,用户名为:superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:https://192.168.1.254,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口 Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与
web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在192.168.4.0/24网段,MISS网在172.20.40.0/24网段。eth0口IP为192.168.4.21(WEB服务器实际IP为192.168.4.20),eth1IP口为172.20.40.1。接口模式选择:路由。其余选项采用默认配置。三.路由配置 点击:网络管理----路由, 现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:192.168.4.21既eth0口的IP,MISS网端的主机网关设成:172.20.40.1即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加:
防火墙配置实例
C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了,根据项目的需求不同,详细的配置也不一样,因此汇总了一个通用版本的思科5500系列防火墙的配置,不详之处,请各位大虾给予指点,谢谢! CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口: duplex full //接口作工模式:全双工,半双,自适应 nameif inside //为端口命名:内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名:外部接口outside
security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS
-天融信版本防火墙常用功能配置手册v2
天融信3.3版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月 目录 一、前言 (2) 二、天融信3.3版本防火墙配置概述 (2) 三、天融信防火墙一些基本概念 (3) 四、防火墙管理 (3) 五、防火墙配置 (5) (1)防火墙路由模式案例配置 (5) 1、防火墙接口IP地址配置 (6) 2、区域和缺省访问权限配置 (7) 3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (8) 4、路由表配置 (9) 5、定义对象(包括地址对象、服务对象、时间对象) (10) 6、地址转换策略 (13) 7、制定访问控制策略 (24) 8、配置保存 (29) 9、配置文件备份 (29) (2)防火墙透明模式案例配置 (30) 1、防火墙接口IP配置 (31) 2、区域和缺省访问权限配置 (33) 3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (33)
4、路由表配置 (34) 5、定义对象(包括地址对象、服务对象、时间对象) (35) 6、制定访问控制策略 (39) 7、配置保存 (43) 8、配置文件备份 (43) 一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和使用。 二、天融信3.3版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全使用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊使用配置 10、配置保存 11、配置文件备份
天融信防火墙命令
天融信防火墙命令 This model paper was revised by the Standardization Office on December 10, 2020
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名 addressname any 添加网口ip: network interface eth16 ip add mask label 0 禁用网口: network interface eth16 shutdown 启用网口: network interface eth16 no shutdown 交换模式: network interface eth16 switchport(no switchport路由模式) 区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on权限允许》 主机地址: define host add name 主机名 ipaddr 子网地址: define host subnet add name 名字 ipaddr mask 自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip:network interface ip add mask label 0 web服务器外网访问
全新的天融信防火墙NGFW的配置
全新的天融信防火墙NGFW4000_配置 配置一台全新的天融信防火墙NGFW4000,配置完后,内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200,并且内网用户也可以通过WEB服务器的外网地址进行访问。 网络说明: 防火墙外网接口地址:218.90.123.121/30 防火墙内网接口地址:192.168.0.253/30 核心交换机防火墙VLAN:192.168.0.254/30 核心交换机用户群A的VLAN:10.10.1.0/24 核心交换机用户群B的VLAN:10.10.2.0/24 用户群A的默认网关:10.10.1.254 用户群B的默认网关:10.10.2.254 防火墙至出口的默认网关:218.90.123.122/30 核心交换机至防火墙的默认网关:192.168.0.253 内网WEB服务器地址:10.10.1.200/32(通过防火墙映射成公网地址) 简单拓扑图如下:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间。我们首先需通过某种方式对防火墙进行管理配置。 1、连接防火墙 首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户 管理员用户名 superman 管理员密码 talent 或12345678 系统参数 设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 最大并发管理地点 5
同一用户最大登录地点 5 空闲超时 3 分钟 物理接口 Eth0(或LAN 口) IP:192.168.1.254/24 其他接口 Shutdown 服务访问控制 WEBUI 管理(通过浏览器管理防火墙):允许来自Eth0(或LAN 口)上的服务请求 GUI 管理(通过TOPSEC 管理中心):允许来自Eth0(或LAN 口)上的服务请求 SSH(通过SSH 远程登录管理):允许来自Eth0(或LAN 口)上的服务请求 升级(对网络卫士防火墙进行升级):允许来自Eth0(或LAN 口)上的服务请求 PING(PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址):允许来自Eth0(或LAN 口)上的服务请求 其他服务禁止 地址对象 地址段名称 any 地址段范围 0.0.0.0 – 255.255.255.255 区域对象 区域对象名称 area_eth0 绑定属性 eth0 权限允许 日志 日志服务器IP 地址 IP:192.168. 1.253 日志服务器开放的日志服务端口 UDP 的514 端口 高可用性(HA)关闭 从中可以看出,管理口为ETH0口,地址为192.168.1.254,我们将一台电脑直接与ETHO接口相连,然后配置一个192.168.1段的地址,然后在浏览器上访问https://192.168.1.254,就进入了WEB管理界面(如出现安装证书问题,直接点继续浏览此网站),如下。
天融信防火墙的一个典型配置方案
[原创]天融信防火墙的一个典型配置方案 一个典型配置方案 现在根据我们的经验,假设几种典型的网络环境,描述“网络卫士”防火墙在这些环境中应 该如何配置。 以3个端口的“网络卫士”防火墙为例,其中一个接外网,一个接内网,一个接SSN,在SSN 中有三台服务器,一台是HTTP服务器,一台是FTP服务器,一台是邮件服务器。有如下需求:内网的机器可以任意访问外网,可以访问SSN中指定的服务器,外网和SSN的机器不能 访问内网;外网可以访问SSN中的服务器。 在非动态地址环境下: 防火区域配置 外网:接在eth1上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping。 内网:接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,允 许ping。 SSN:接在eth0上,缺省访问策略为none(不可读、不可写),日志选项为日志命令,禁 止ping。 经过以上的配置后,如果没有其他的访问策略和通信策略,则防火墙允许内网上的机器访问外网,允许SSN上的机器访问外网,不允许内网被外网或SSN访问,不允许SSN被外网、内网访问。(允许访问并不表示可以成功通信,尽管内网被允许访问外网,但假如没有合法的IP地址,也无法进行成功的访问,这个问题在后面NAT配置中将进行详细描述。) 定义三个网络节点 FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址=…,物理地址=…。 HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址=…,物理地址=…。 MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址=…,物理地址=…。
配置访问策略 根据区域的定义,外网和内网的缺省访问权限已经满足要求,现在只需要进行一些访问策略 设置。在SSN区域中增加三条访问策略: ① 访问目的=FTP_SERVER,目的端口=TCP 21。 源=内网,访问权限=读、写。 源=外网,访问权限=读。 这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能 写文件。 ② 访问目的=HTTP_SERVER,目的端口=TCP 80。 源=内网+外网,访问权限=读、写。 这条配置表示内网、外网的用户都可以访问HTTP服务器。 ③ 访问目的=MAIL_SERVER,目的端口=TCP 25,TCP 110。 源=内网+外网,访问权限=读、写。 这条配置表示内网、外网的用户都可以访问MAIL服务器。 假如所有的机器都有合法的IP地址,则配置到此为止就结束了。否则, 假设内网的机器没有合法的IP地址,它们访问外网需要进行地址转换。当内部机器访问外部机器时,可以将其地址转换为防火墙的地址,也可以转换成某个地址池中的地址。这里描述将地址转换成防火墙地址的方法:增加一条通信策略,目的=外网,源=内网,方式=NAT,目的端口=所有端口。如果需要转换成某个地址池中的地址,则必须先在外网中定义一个子网,地址范围就是地址池的范围,然后在通信策略中选择NAT方式,在地址池类型中选择刚 才定义的地址池。 假设SSN中的服务器也没有合法的IP地址,必须依靠防火墙做地址映射来提供对外服务。
天融信防火墙命令
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名addressname any 添加网口ip: 禁用网口:network interface eth16 shutdown 启用网口:network interface eth16 no shutdown 交换模式:network interface eth16 switchport(no switchport路由模式) 区域设置:define area add name E1 attribute 网口access off(on)《off权限禁止,on权限允许》 主机地址:define host add name 主机名 子网地址:define host subnet add name 名字 自定义服务:define service add name 名称protocol 6 port 端口号(6是tcp的协议码) vlan添加ip: web服务器外网访问 1)设置 E1 区域 #define area add name E1 access on attribute eth1 2)定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明:“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1)设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2)定义外网区域(adsl-a) #define area add name adsl-a attribute adsl access on 3)配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4)拨号 #network adsl start 5)查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13 TX_PKTS: 42
(完整word版)天融信防火墙双机热备配置说明
天融信防火墙双机热备配置说明 一、防火墙的接口设置: ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机 ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5 ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机 ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连 二、按需配置好主防火墙 三、配置双击热备过程: 1、配置主防火墙的双机设置,并使之处于工作状态: system -n 'work' //给主防火墙取名为work system -i 0 //配置主防火墙的设备号为0 system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态 system ssp on //在主防火墙上打开状态同步协议 2、在从防火墙上清空所有配置: restore config //恢复防火墙出厂默认值 ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址) 3、配置从防火墙的双机设置,并使之处于备用状态: system -n 'standby' //给从防火墙取名为standby system -i 1 //配置从防火墙的设备号为1 system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态 system ssp on //在从防火墙上打开状态同步协议
天融信防火墙通用配置
天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂默认eth0口IP为: 出厂用户名为:superman,密码为:talent或。现IP改为,用户名为:superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口
Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在网段,MISS网在网段。eth0口IP为服务器实际IP为,eth1IP 口为。接口模式选择:路由。其余选项采用默认配置。 三.路由配置 点击:网络管理----路由, 现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加:
该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。Xnweb 为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。以后miss网的主机只需浏览:,不需浏览地址。以达到伪装IP的目的。 2.区域设置: 点击:资源管理---区域;
天融信防火墙配置案例(带宽管理)
QoS(服务质量),是Quality of Service的缩写。通过QoS管理,用户可以根据实际用户网络规划,方便、灵活地定制带宽策略,防止带宽滥用现象,并可以确保关键应用的带宽需求。 网络卫士防火墙的带宽策略采用了分层的带宽管理机制,用户可以通过设置细粒度的带宽规则来实现基于源和目的IP 地址(或地址段)、服务的带宽的集中管理。同时,同层的带宽策略还可以根据业务需求,设置带宽策略的优先级,为关键业务流量优先分配带宽,从而合理、有效地为用户网络分配带宽资源。 图 12网络卫士防火墙分层带宽管理示意图 图中的网络卫士防火墙工作在纯透明模式(即所有接口均工作在交换模式下,且属于同一个VLAN),只起到限制带宽的作用,不做任何访问策略配置。网络卫士防火墙的初始配置不需要用户进行修改。
上传带宽管理 基本需求 子网1(10.200.51.0/24)向网段10.200.2.0/24上传数据,网络卫士防火墙为其分配7K (如果没有特殊说明单位均为字节/秒)的限制带宽,7K的保证带宽。并对不同的应用设置不同的优先级控制以及带宽优化: ?ICMP为最高优先级,保证带宽为1K(最大限制带宽为7K) ?数据库为第二优先级,保证带宽为2K(最大限制带宽为7K) ?FTP为第三优先级,保证带宽为2K(最大限制带宽为7K) ?SMTP为最低优先级,保证带宽为1K(最大限制带宽为7K) 配置要点 带宽策略的设置包括以下方面: ?设置采用QoS的物理接口。 ?在接口下设置一到多个类及其子类。 ?在类下设置数据流的匹配规则。 WEBUI配置步骤 1)设置采用QoS的物理接口。 选择网络管理 > 流量管理,在“带宽控制”页面点击“添加接口”,添加采用上传带宽配置策略的物理接口eth0。 接口的配置原则是以数据流流向为准,在数据流出网络卫士防火墙的物理接口上配置才能生效,本例中即eth0接口。 2) 在物理接口下设置上传类及其四个子类:ICMP上传、Web上传、FTP上传、邮件上传。 a)点击接口eth0对应的“下级”图标,添加eth0口的上传带宽类“上传类”。