【正文】 ...................................... 30 3． 配置路由 ................................................................................................................................................................. 30 4． 配置區(qū)域?qū)傩?......................................................................................................................................................... 30 5． 配置主機對象 ......................................................................................................................................................... 30 6． 配置訪問策略 ......................................................................................................................................................... 30 7． 配置雙機熱備 ......................................................................................................................................................... 31 一、 防火墻的幾種管理方式 1． 串口管理 第一 次使用網(wǎng)絡(luò)衛(wèi)士防火墻，管理員可以 通過 CONSOLE 口以命令行方式進行配置和管理 。 6）輸入系統(tǒng)默認的用戶名： superman 和密碼： talent， 即可登錄到網(wǎng)絡(luò)衛(wèi)士防火 墻。 組件級 組件級為第二級，提供每個安全組件（ SE）所獨有的管理命令。 3）如果要將某端口設(shè)交換模式，點擊該端口后的交換修改圖標“ ”，彈出“交換”設(shè)置窗口，如下圖所示。 其中“網(wǎng)關(guān)”為下一跳路由器的入口地址，“端口”指定了從防火墻設(shè)備的哪一個接口（包括物理接口和 VLAN 虛接口）發(fā)送數(shù)據(jù)包。由于策略執(zhí)行為第一匹配原則，則策略的順序與策略的邏輯相關(guān)，在此可以改變添加策略時候的缺省的執(zhí)行順序（按照添加順序排列）。 點擊“添加配置”，進入地址范圍對象屬性的頁面，如下圖所 示。 3）點擊“提交設(shè)定”，完成設(shè)置。 3）設(shè)置完成后，點擊“提交設(shè)定”按鈕，如果添加成功會彈出“添加成功”對話 框。 3）最后點擊“提交設(shè)定”，完成對象設(shè)置。 表中“ ID”為每項規(guī)則的編號，在移動規(guī)則順序時將會使用。 另外，用戶還可以設(shè)置進行地址轉(zhuǎn)換前的目的地址，如下圖所示。 用戶可以選擇相應(yīng) ID、位置，移動策略。eth0 39。上班時間 39。 39。eth0 39。area_eth0 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 39。 39。 五、 路由模式配置示例 拓補結(jié)構(gòu)： 1． 用串口管理方式進入命令行 方法同上面的透明模式。 39。 39。 (具體方法見第一節(jié) )，下面是具體配置，加粗顯示的為命令行。 8）點擊“清空配置”，可以清除所有的訪問 控制規(guī)則，便于重新配置。 另外，用戶還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，如下圖所示。也就是說，如果 沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報文。設(shè)置時間對象，具體操作如下： 1） 選 擇 對象 時間對象，點擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。 在“對象名稱”部分輸入?yún)^(qū)域?qū)ο竺Q； 在“權(quán)限選擇”部分設(shè)定和該區(qū)域所屬屬性綁定的接口的缺省屬性（允許訪問或禁止訪問）。 E) 自定義服務(wù) 當(dāng)預(yù)定義的服務(wù)中找不到我們需要的服務(wù)端口時，我們可以自己定義 服務(wù)端口： 1） 選擇 對象 服務(wù)對象 自定義服務(wù)，點擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。 點擊“添加配置”，系統(tǒng)出現(xiàn)添加主機對象屬性的頁面，如下圖所示。 若要刪除某路由項， 點擊該路由項所在行的刪除圖標“ ”進行刪除。 B) 設(shè)置路由 用戶可以在網(wǎng)絡(luò)衛(wèi)士防火墻上設(shè)置策略路由及靜態(tài)路由，具體步驟如下： 1）在左側(cè)導(dǎo)航菜單中選擇 網(wǎng)絡(luò) 靜態(tài)路由，可以看到已經(jīng)添加的策略路由表以 及系統(tǒng)自動添加的靜態(tài)路由表，如下圖所示。如果選擇“ hastatic” ,表示雙機熱備的兩臺設(shè)備在進行主從切換時，可以保存原來的地址不變，否則，從墻的地址將被主墻覆蓋。具體分級如下表： ) 系統(tǒng)級 系統(tǒng)級為第一級，提供設(shè)備的基本管理命令。 4）設(shè)置 1 口的屬性，按照以下參數(shù)進行設(shè)置。 通過 CONSOLE 口登錄到網(wǎng)絡(luò)衛(wèi)士防火墻，可以對防火墻進行一些基本的設(shè)置。登錄后，用 戶就可使用命令行方式對網(wǎng)絡(luò)衛(wèi)士防火墻進行配置管理。 在系統(tǒng)級下， TopsecOS tab 按 tab 鍵，則顯示出安全組件級命令見下表。 首先，需要確定該接口的類型是“ Access”還是“ Trunk”。 Metric 為接口躍點數(shù)，默認為 1。 具體設(shè)置方法為： 在策略路由表中點擊要移動的路由選項（例如要移動策略路由 102）后的“移動”圖標按鈕 ，進入如下界面。 C) 設(shè)置子網(wǎng)對象 選擇 對象 地址對象 子網(wǎng)對象，在右側(cè)頁面內(nèi)顯示已有的子網(wǎng)地址對象，如下圖所示。 F) 設(shè)置區(qū)域?qū)ο? 系統(tǒng)支持區(qū)域的概念，用戶可以根據(jù)實際情況，將網(wǎng)絡(luò)劃分為不同的安全域，并根據(jù)其不同的安全需求，定義相應(yīng)的規(guī)則進行區(qū)域邊界防護。 4）點擊“取消返回”則放棄添加，返回上一界面。新添加的對象將顯示在時間對象列表 中，如下圖所示?！翱刂啤敝械膱D標 和 ，分別表示該項規(guī)則是否啟用。 5）定義服務(wù) 選擇訪問規(guī)則包含的服務(wù)，如果用戶需要制定的服務(wù)沒有包含在服務(wù)列表中，可以通過 添加自定義服務(wù)添加所需服務(wù)。完成后點擊“提交設(shè)定”保存或“取消 返回”放棄移動。 access off define area add name area_eth1 attribute 39。訪問 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。 service 39。 access off define area add name area_eth1 attribute 39。 dstarea 39。 7． 配置雙機熱 備 配置本機同步 IP ha local 配置對端機器同步 IP ha peer 啟動雙機熱備功能 ha enable 注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機熱備配置中的本機同步 IP 和對端機器同步IP 相反，本機 IP 為 ，對端機器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上其他接口的網(wǎng)線，到此透 明模式的雙機熱備配置完成。 dst 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 8． 配置雙機熱備 配置本機 同步 IP ha local 配置對端機器同步 IP ha peer 啟動雙機熱備功能 ha enable 注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機熱備配置中的本機同步 IP 和對端機器同步IP 相反，本機 IP 為 ，對端機器 IP 為 ，完成配置之后，我們先 接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上 其他接口的網(wǎng)線，到此透明模式的雙機熱備配置完成 。 src 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 四、 透明模式配置示例 拓補結(jié)構(gòu)： 1． 用串口管理方式進入命令行 用 WINDOWS 自帶的超級終 端或者 SecureCRT 軟件，使用 9600 的速率，用串口線連接到防火墻，用戶名是 superman，密碼是 talent?？梢渣c擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 圖中“選擇源”右側(cè)的 按鈕為正序排列和倒序排列，用戶可以方便的按序查 找項目。與報文阻斷策略相同，訪問控制規(guī)則也是順序匹配的，但與其不同，訪問控制規(guī)則沒有默認規(guī)則。比如，用戶希望針對工作時間和非工作時間設(shè)置不同的訪問控制規(guī)則，引入時間對象的概念很容易解決該類問題。 2）點擊“添加配置”，增加一個區(qū)域?qū)ο?，如下圖所示。 2）選擇“添加配置”，系統(tǒng)出現(xiàn)如下圖所示的頁面。 3． 對象配置 A) 設(shè)置主機對象 選擇 對象 地址對象 主機對象，右側(cè)界面顯示已有的主機對象，如下圖所示。點擊“取消返回”則放棄添加，返回上一界面。 4）點擊“其他”按鈕，可以設(shè)置接口的其他信息，如下圖。 可以為 某個端口設(shè)置多個 IP 地址，點擊“添加配置”按鈕，添加接口的 IP 地址。 選中增加的過濾條件，點設(shè)置就可以看到實時的監(jiān)控效果了，如下圖： 二、 命令行常用配置 (注： 用串口、 TELNET、 SSH 方式進入到命令行管理界面， 天融信 防火墻命令行管理可以完成所有圖形界面管理功能，命令行支持 TAB 鍵補齊和 TAB 鍵幫助，命令支持多級操作， 可以在系統(tǒng)級，也就是第一級直接輸入完整的命令；也可以進入相應(yīng)的功能組件級，輸入對應(yīng)組件命令。 3）輸入名稱，這里假設(shè)名稱為“ TOPSEC”，點擊“確定”后，提示選擇使用的接口（假設(shè)使用 1）。用戶在初次使用防火墻時，通常都會登錄到防火墻更改出廠配置（接口、 IP 地址等），使在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下將防火墻接入網(wǎng)絡(luò)中。 2． TELNET 管理 TELNET 管理也是命令行管理方式，要進行 TELNET 管理，必須進行以下設(shè)置： 1) 在串口下用“ pf service add name tel area area_eth0 addressname any”命令添加管理權(quán)限 2) 在串口下用“ system teld start” 命令啟動 TELNET 管理服務(wù) 3) 知道管理 IP地址，或者用“ work interface eth0 ip add mask ”命令添加管理 IP 地址 4) 然后用各種命令行客戶端 (如 WINDOWS CMD 命令行 )管理： TELNET 5) 最后輸入用戶名和密碼進行管理命令行如圖： 3． SSH 管理 SSH管理和 TELNET 基本一至， 只不過 SSH是加密的 ，我們用如下步驟管理： 1) 在串口下用“ pf service add name ssh area area_eth0 addressname any”命令添加管理權(quán)限 2) 在串口下用“ system sshd start” 命令啟動 T