天融信防火墙NGFW4000快速配置手册之勘阻及广创作目录一、防火墙的几种管理方式41.串口管理52.TELNET管理53.SSH管理64.WEB管理65.GUI管理7二、命令行经常使用配置81.系统管理命令(SYSTEM)8命令9功能9WEBUI界面操纵位置9二级命令名9V ERSION9系统版本信息9系统>基本信息9INFORMATION9当前设备状态信息9系统>运行状态9TIME9系统时钟管理9系统>系统时间9CONFIG9系统配置管理9管理器工具栏“保管设定”按钮9 REBOOT9重新启动9系统>系统重启9SSHD9SSH服务管理命令9系统>系统服务9TELNETD9TELNET服务管理9系统>系统服务命令9HTTPD9HTTP服务管理命9系统>系统服务令9MONITORD9MONITOR9服务管理命令无92.网络配置命令(NETWORK)9 3.双机热备命令(HA)94.定义对象命令(DEFINE)105.包过滤命令(PF)106.显示运行配置命令(SHOW_RUNNING)10 7.保管配置命令(SAVE)10三、WEB界面经常使用配置111.系统管理配置11A)系统 > 基本信息11B)系统 > 运行状态11C)系统 > 配置维护11D)系统 > 系统服务11E)系统 > 开放服务11F)系统 > 系统重启112.网络接口、路由配置11A)设置防火墙接口属性11B)设置路由123.对象配置14A)设置主机对象14B)设置范围对象14C)设置子网对象14D)设置地址组14E)自定义服务15F)设置区域对象15G)设置时间对象164.访问战略配置175.高可用性配置18四、透明模式配置示例20拓补结构:201.用串口管理方式进入命令行20 2.配置接口属性203.配置VLAN214.配置区域属性215.定义对象216.添加系统权限217.配置访问战略218.配置双机热备22五、路由模式配置示例23拓补结构:231.用串口管理方式进入命令行23 2.配置接口属性233.配置路由244.配置区域属性245.配置主机对象246.配置访问战略247.配置双机热备24一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的 CONSOLE 口。
2)选择开始 > 程序 > 附件 > 通讯 > 超等终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,依照以下参数进行设置。
5)成功连接到防火墙后,超等终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add192.168.1”命令添加管理IP地址4)5)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步调管理:1)在串口下用“pf service add name ssh area area_eth0 addressnameany”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add192.168.1”命令添加管理IP地址4)5)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
2)WEB管理服务缺省是启动的,如果没有启动,也可用“system httpd start”命令打开,管理员在管理主机的浏览器上输入防火墙的管理 URL,例如:https://192.168.1.250,弹出如下的登录页面。
输入用户名密码后(网络卫士防火墙默认出厂用户名/密码为:superman/talent),点击“提交”,就可以进入管理页面。
5.GUI管理GUI图形界面管理跟WEB界面一样,只是,在管理中心中集成了一些平安工具,如监控,抓包,跟踪等1)装置管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址,选择“管理”,输入用户名和密码进行管理5)也可右击管理IP地址,选择“平安工具”,进行实时监控选择:平安工具-连接监控点击启动,在弹出的窗口中增加过滤条件,可用缺省值监控所有连接。
选中增加的过滤条件,点设置就可以看到实时的监控效果了,如下图:二、命令行经常使用配置(注:用串口、TELNET、SSH方式进入到命令行管理界面,天融信防火墙命令行管理可以完成所有图形界面管理功能,命令行支持TAB键补齐和TAB键帮忙,命令支持多级操纵,可以在系统级,也就是第一级直接输入完整的命令;也可以进入相应的功能组件级,输入对应组件命令。
具体分级如下表:)系统级系统级为第一级,提供设备的基本管理命令。
CLI管理员登录后,直接进入该级,显示为:TopsecOS#。
组件级组件级为第二级,提供每个平安组件(SE)所独有的管理命令。
在系统级下,TopsecOS #<tab> 按 tab键,则显示出平安组件级命令见下表。
1.系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和检查系统配置:2.网络配置命令(NETWORK)3.双机热备命令(HA)HA LOCAL <ipaddress> 设置 HA接口的本机地址HA PEER <ipaddress> 设置 HA接口的对端地址HA PEER-SERIAL <string> 设置 HA接口的对端的 licence 序列号HA NO <local|peer|peer-serial> 复位 HA接口的本机地址/对端地址/对端 licence序列号HA PRIORITY <primary|backup> 设定 HA 优先级是主机优先还是备份机优先(默认为 backup,即如果同时启动主机成为活HA SHOW <cr> 检查 HA的配置信息HA ENABLE<cr> 启动 HAHA DISABLE<cr> 停用 HAHA CLEAN<cr> 清除 HA配置信息HA SYNC <from-peer|to-peer> HA同步(从对端机上同步配置/同步配置到对端机上)4.定义对象命令(DEFINE)5.包过滤命令(PF)增加一条服务访问规则SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth |ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area <string> <[addressid <number>]| [addressname <addr_name>]>6.显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7.保管配置命令(SAVE)SAVE三、WEB界面经常使用配置用浏览器或者集中管理中心登录到WEB管理界面如下:1.系统管理配置在“系统”下,可以显示或配置系统相关设置8.系统 > 基本信息显示系统的型号、版本、功能模块、接口信息等等:9.系统 > 运行状态检查系统的运行状态,包含CPU、内存使用情况和当前连接数等10.系统 > 配置维护上传或下载配置文件11.系统 > 系统服务系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和 HTTP服务。
TOS系统提供了对这些服务的控制(启动和停止)功能,其具体的操纵如下:12.系统 > 开放服务添加或检查系统权限,包含WEB管理、GUI管理、TELNET管理、SSH管理、监控等等13.系统 > 系统重启2.网络接口、路由配置A)设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置,具体步调如下:1)在管理界面左侧导航菜单中选择网络 > 物理接口,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口:Eth0、Eth1、Eth2。
2)如果要将某端口设为路由模式,点击该端口后的路由修改图标“”,弹出“设定路由”对话框,如下图所示。
可以为某个端口设置多个 IP 地址,点击“添加配置”按钮,添加接口的 IP 地址。
如果选择“ha-static”,暗示双机热备的两台设备在进行主从切换时,可以保管原来的地址不变,否则,从墙的地址将被主墙覆盖。
网络卫士防火墙不支持分歧的物理接口配置相同的 IP地址或 IP 地址在同一子网内。
3)如果要将某端口设交换模式,点击该端口后的交换修改图标“”,弹出“交换”设置窗口,如下图所示。
首先,需要确定该接口的类型是“Access”还是“Trunk”。
如果是“Access”接口,则暗示该交换接口只属于一个 VLAN,需要指定所属的 VLID 号码,如上图所示。
如是“Trunk”接口,则设置参数界面如下图所示。
上图参数说明如下表所示:点击“提交设定”则完成接口从路由模式向交换模式的转换。
4)点击“其他”按钮,可以设置接口的其他信息,如下图。