防火墙维护手册目录1.日常维护内容................................................................ 错误！未指定书签。

1.1.配置主机名................................................................ 错误！未指定书签。

1.2.接口配置.................................................................... 错误！未指定书签。

1.3.路由配置.................................................................... 错误！未指定书签。

1.4.高可用性配置（双机配置）.................................... 错误！未指定书签。

1.5.配置（通过图形界面配置）.................................... 错误！未指定书签。

1.6.配置访问策略（通过图形界面配置）.................... 错误！未指定书签。

2.的管理............................................................................ 错误！未指定书签。

2.1.访问方式.................................................................... 错误！未指定书签。

2.2.用户............................................................................ 错误！未指定书签。

2.3.日志............................................................................ 错误！未指定书签。

2.4.性能............................................................................ 错误！未指定书签。

2.5.其他常用维护命令.................................................... 错误！未指定书签。

3.其他的配置.................................................................... 错误！未指定书签。

1.日常维护内容1.1. 配置主机名防火墙出厂配置的机器名为，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名：> 11 >1.2. 接口配置配置接口的工作包括配置接口属于什么区域、接口的地址、管理地址、接口的工作模式、接口的一些管理特性。

接口的管理与接口在同一网段，用于专门对接口进行管理时用。

在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理，则不能对备用防火墙进行登录了。

一般在单机时，不需要配置接口的管理，但在双机时，建议对区域的接口配置管理。

接口的一些管理特性包括是否允许对本接口的进行、、等操作。

注意：接口的工作模式可以工作在路由模式，模式和透明模式。

在产品线应用中，透明模式很少用，而模式只有在到的数据流才起作用，建议把防火墙的所有接口都配置成的工作模式，用命令接口名配置即可，缺省情况下需要在区段中的接口使用此命令。

本例子中，配置接口2属于区，地址为202.38.12.23/28，如设置管理方式是，命令如下：204 -> 1204 -> 1 10.243.194.194/29204 -> 1204 -> 1204 -> 2 202.38.12.23/28204 -> 1选择接口后按键后进入以下页面进行配置接口特性：透明模式只需要将防火墙的接口配置为V1或V1等二层的区段，不需要配置接口的，设置的命令如下：1 -> 1/1 V11 -> 1/2 V11.3. 路由配置防火墙有路由功能，缺省情况下，内部有和两个路由器，为了能与外部通讯，需要在这两个虚拟路由器上配置路由。

如果没有使用的话，不需要在上配置路由。

一般应用中，配置静态路由即可满足要求。

配置静态路由时，需要配置目的网络、下一跳及出去的接口。

透明模式的防火墙不需要设置路由信息。

本例中，在上配置默认的路由下一跳通过接口指向网关202.38.12.17 204 -> 0.0.0.0/0 2 211.136.202.9用的方式配置接口，菜单：>>按按钮可以配置一个新的路由：1.4. 高可用性配置（双机配置）双机的基本配置步骤：1、检查双机的版本是否一致，原则上两台防火墙的版本要求相同。

如果版本不同，建议升级到相同的版本。

防火墙版本的检查命令：1 ->: 1000: 0136, : 00000000: 3010(0)-(04), : 00000000, 1 (0.0.0.0): 5.3.0r7.0, :2、连接线，把接口划分到区段中。

线是防火墙的心跳线，1000没有专门的接口，必须设置接口来并划分到区段中。

如果心跳线采用光纤则只需要设置一个口和一根心跳线，如果采用双绞线作为心跳线，则需要设置两个口和两条双胶线，接口之间采用交叉线相连接。

本例将1/3及1/4设置为接口：1 -> "1/3" ""1 -> "1/4" ""3、配置号防火墙双机也叫，同一个双机的号应相同。

在两台防火墙上都用命令配置成同一个：(M)-> 1则两台防火墙一台会变成1 (M)，另一台会变成1 (B)，(M)表示主用，(B)表示备用，（I）表示初始化。

注意：在（I）状态下，防火墙是不能正常工作的，出现此状态时一定要注意。

用方式配置双机的，菜单：>>4、配置组及优先级虚拟安全设备组用于防火墙工作在方式下，缺省情况下两台防火墙都属于组0，可以设置组的优先级，优先级数值越小，则越优先。

1 (M)-> 0 50用的方式配置组的优先级，菜单：>>，选择或菜单则可。

5、配置双机同步配置成双机后，把在防火墙上新增加的配置会自动同步到另一台防火墙上：注意：在配置成双机前的防火墙上的配置不会主动同步到另一台机器上；如果在防火墙1上做配置时，防火墙2是的，则此时在防火墙1上做的配置，是不会主动同步到另一台防火墙上的。

如果要同步这些异常情况下的配置，则需要在备机上运行相应的命令。

配置，相当于防火墙上的连接信息，在两台防火墙上分别配置：1 (M)->1 (B)->用的方式配置同步，菜单：>>1.5. 配置（通过图形界面配置）1、命令行204 (M)-> 0/2 211.136.202.19 10.243.194.195 255.255.255.255方式选择菜单：>，选择0/2，按按钮：再选择进入：选择选项，配置一个新的：1.6. 配置访问策略（通过图形界面配置）通过配置访问策略来控制通过防火墙的访问，1、配置地址配置地址的对象，可以是单个或一个网段。

选择>> ，再选择你配置源的安全区（或目的地址的安全区），设置单个：设置段：2、配置访问防火墙中内置了许多的，如，等，你可以在策略中直接选择需要访问的，如果你需要设置自定义的，可按如下步骤：进入>>>,本例设置的是7001端口（用于）当然，你也可以配置地址的组，将你需要的地址放入组中，并在策略中引用组。

4、配置策略本例配置从到区允许访问172.16.1.122服务器的7001服务，已定义172.16.1.122地址为。

进入，选择源安全区到目的安全区，并点击有上角6、配置访问策略步骤与上相同，本例是从访问地址202.38.12.17。

2.的管理2.1. 访问方式防火墙支持多种的管理方式：、、、、防火墙管理软件等。

常用的有、和。

是通过直接的串口线连接防火墙，对防火墙进行管理和配置；是通过终端仿真协议登录到防火墙上的可管理地址，对防火墙进行管理和配置；是通过或登录到防火墙的可管理地址，对防火墙进行管理和配置。

通过串口直接登录到防火墙时，超级终端的端口配置如下：串行通讯96008位无奇偶校验1停止位无信息流控制或登录后的命令行界面如下：登录的界面如下：注意：如果要通过或登录和管理防火墙，所登录的防火墙的接口需要打开或的功能；如果防火墙的接口配置了管理，一般只能对接口的管理进行或，而不能直接对接口地址进行或(版本不支持)。

用命令行的方式检查接口是否打开或功能的方式：204-> 22:25, 10280, 0,,, ,0, 1500, 1500* 211.136.202.10/30 0014642475* 211.136.202.10, 00146424754, , ,, ,, , p 0.0.0.0:: 100000, [ 0 0]0, 0: 128052, 0用的方式检查接口是否打开或功能的方式：选择菜单：>选择对应接口的菜单：2.2. 用户设备支持多个管理用户级别。

这些级别的可用性取决于设备的模式。

根管理员具有完全的管理权限。

每个设备只有一个根管理员。

缺省情况下根管理员的用户名和密码为。

在进行防火墙配置时，务必先修改防火墙根用户的默认用户名和默认口令。

用命令行的方式修改根用户的用户名和口令的命令：(M)->其中为根用户的用户名，为根用户的密码。

用的方式修改根用户名和密码的方式选择菜单：>>：选择按钮后可出现以下菜单，可以输入新的根用户和口令：注意：防火墙在启用后，强烈建议修改缺省密码。

同时在上线后，每次修改防火墙的配置，都建议对配置作备份。

因为防火墙密码丢失后，恢复密码的操作会把防火墙所有的配置丢掉。

2.3. 日志防火墙有各种日志，常用的有告警日志和事件日志，这些日志信息对于维护防火墙时是非常有用的。

用命令行的方式查看告警日志的命令：5001(M)->= 442004-12-07 15:14:26 00015 8319360.2004-12-07 15:14:25 00071 8318976(0), .用命令行的方式查看事件日志的命令：(M)->= 412007-01-01 12:27:44 00767.2007-01-01 12:21:13 00515172.16.1.119:26672007-01-01 12:21:13 00515172.16.1.119:2667 ( )2007-01-01 12:21:08 00518 :'':通过方式查看告警日志和事件日志的方法：通过登录到防火墙上即可：2.4. 性能维护时检查防火墙的性能主要是查看防火墙和的使用情况。