【正文】 src 39。 schedule 39。 access off5． 定義對象定義主機(jī)地址對象define host add name ipaddr 39。6）定義輔助選項(xiàng) 各項(xiàng)參數(shù)說明如下：7）點(diǎn)擊“提交設(shè)定”完成該條訪問控制規(guī)則的設(shè)定。4． 訪問策略配置用戶可以通過設(shè)置訪問控制規(guī)則實(shí)現(xiàn)靈活、強(qiáng)大的三到七層的訪問控制。設(shè)置區(qū)域?qū)ο?，具體操作如下： 1）選擇 對象 區(qū)域?qū)ο?，顯示已有的區(qū)域?qū)ο?。例如：要將路?102 移動(dòng)到路由 101 之前，則第一個(gè)下拉框選擇 ID“101”，第二個(gè)下拉框選擇“之前” ，點(diǎn)擊“提交設(shè)定 ”按鈕，則彈出移動(dòng)成功對話框。 如是“Trunk”接口，則設(shè)置參數(shù)界面如下圖所示。2)WEB 管理服務(wù)缺省是啟動(dòng)的，如果沒有啟動(dòng)，也可用“system d start”命令打開，管理員在管理主機(jī)的瀏覽器上輸入防火墻的管理 URL，例如：輸入用戶名密碼后（網(wǎng)絡(luò)衛(wèi)士防火墻默認(rèn)出廠用戶名/密碼為：superman/talent） ，點(diǎn)擊“提交” ，就可以進(jìn)入管理頁面。 2）選擇 開始 程序 附件 通訊 超級終端，系統(tǒng)提示輸入新建連接的名稱。 2）如果要將某端口設(shè)為路由模式，點(diǎn)擊該端口后的路由修改圖標(biāo)“ ” ，彈出“設(shè)定路由”對話框，如下圖所示。 3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，如果添加成功會彈出“添加成功”對話框。 設(shè)置地址組對象的步驟如下： 1）選擇 對象 地址對象 地址組，在右側(cè)頁面內(nèi)顯示已有的地址組對象，如下圖所示。G) 設(shè)置時(shí)間對象用戶可以設(shè)置時(shí)間對象，以便在訪問控制規(guī)則中引用，從而實(shí)現(xiàn)更細(xì)粒度的控制。 3）定義規(guī)則的源 規(guī)則的源既可以是一個(gè)已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地址對象以及用戶組對象，如下圖所示。3）點(diǎn)擊“提交設(shè)定” ，完成雙機(jī)熱備設(shè)置。area_eth1 39。 39。eth1 39。area_eth0 39。5． 高可用性配置配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟如下： 1）選擇 系統(tǒng) 高可用性，進(jìn)入高可用性設(shè)置頁面，如下圖所示。 2）定義是否啟用該訪問控制規(guī)則（默認(rèn)為啟用該規(guī)則） ，以及訪問權(quán)限。 5）若要修改區(qū)域?qū)ο蟮脑O(shè)置，點(diǎn)擊該區(qū)域?qū)ο笏谛械男薷膱D標(biāo)“ ”進(jìn)行修改。D) 設(shè)置地址組不同的地址對象可以組合為一個(gè)地址組，用作定義策略的目的或源。如果選擇“NAT 后的源”為“是”，表示策略路由的源地址為 NAT 后的地址，策略路由添加成功后的“標(biāo)記”一欄顯示為“UGM ”。 類別 關(guān)鍵字內(nèi)容 說明system 系統(tǒng)管理目錄work 網(wǎng)絡(luò)設(shè)置Ha 高可用性設(shè)置define 網(wǎng)絡(luò)對象定義debug 調(diào)試log 日志設(shè)置authentication 認(rèn)證設(shè)置Snmp 簡單網(wǎng)絡(luò)管理協(xié)議配置pf 包過濾規(guī)則設(shè)置dpi 深度報(bào)文檢測策略定義firewall 防火墻規(guī)則設(shè)置nat 地址轉(zhuǎn)換策略配置Vpn 虛擬私有網(wǎng)隧道配置與操作IDS 入侵監(jiān)測配置Qos 帶寬控制配置AVSE 防病毒安全引擎管理設(shè)置save 保存配置Show_running 查看運(yùn)行時(shí)配之信息Show 查看配置helpmode 幫助模式設(shè)定一級命令名exit 退出系統(tǒng)1． 系統(tǒng)管理命令(SYSTEM)在命令行下一般用 SYSTEM 命令來管理和查看系統(tǒng)配置：命令 功能 WEBUI 界面操作位置Version 系統(tǒng)版本信息 系統(tǒng)基本信息information 當(dāng)前設(shè)備狀態(tài)信息 系統(tǒng)運(yùn)行狀態(tài)time 系統(tǒng)時(shí)鐘管理 系統(tǒng)系統(tǒng)時(shí)間config 系統(tǒng)配置管理 管理器工具欄“保存設(shè)定”按鈕reboot 重新啟動(dòng) 系統(tǒng)系統(tǒng)重啟sshd SSH 服務(wù)管理命令 系統(tǒng)系統(tǒng)服務(wù)teld TELNET 服務(wù)管理 系統(tǒng)系統(tǒng)服務(wù)命令d HTTP 服務(wù)管理命 系統(tǒng)系統(tǒng)服務(wù)令二級命令名monitord MONITOR 服務(wù)管理命令無2． 網(wǎng)絡(luò)配置命令(NETWORK)命令 功能 WEBUI 界面操作位置interface 防火墻接口管理 網(wǎng)絡(luò)物理接口vlan Vlan 配置管理 網(wǎng)絡(luò)VLANroute 路由表配置管理 網(wǎng)絡(luò)靜態(tài)路由Ping 驗(yàn)證網(wǎng)絡(luò)連接 無3． 雙機(jī)熱備命令(HA)HA LOCAL ipaddress 設(shè)置 HA 接口的本機(jī)地址 HA PEER ipaddress 設(shè)置 HA 接口的對端地址 HA PEERSERIAL string 設(shè)置 HA 接口的對端的 licence 序列號 HA NO local|peer|peerserial 復(fù)位 HA 接口的本機(jī)地址/對端地址/對端 licence 序列號 HA PRIORITY primary|backup 設(shè)定 HA 優(yōu)先級是主機(jī)優(yōu)先還是備份機(jī)優(yōu)先（默認(rèn)為 backup，即如果同時(shí)啟動(dòng)主機(jī)成為活HA SHOW cr 查看 HA 的配置信息 HA ENABLEcr 啟動(dòng) HA HA DISABLEcr 停用 HA HA CLEANcr 清除 HA 配置信息 HA SYNC frompeer|topeer HA 同步（從對端機(jī)上同步配置/同步配置到對端機(jī)上）4． 定義對象命令(DEFINE)命令 功能 WEBUI 操作位置 area 區(qū)域?qū)ο蠊芾?對象 區(qū)域?qū)ο?interface 配置防火墻接口對應(yīng)的區(qū)域?qū)傩?對象 區(qū)域?qū)ο骽ost 主機(jī)地址對象管理 對象 地址對象 主機(jī)對象 range 地址范圍對象管理 對象地址對象 范圍對象 sub 子網(wǎng)地址對象 對象地址對象 子網(wǎng)對象 group_address 地址組對象管理 對象地址對象 地址組對象 service 子定義服務(wù)對象管理 對象服務(wù)對象 自定義服務(wù) group_service 服務(wù)組對象管理 對象服務(wù)對象 服務(wù)組 schedule 時(shí)間表對象管理 對象 時(shí)間對象 server 服務(wù)器對象管理 對象 負(fù)載均衡 服務(wù)器 virtual_server 虛擬服務(wù)器對象管理 對象 負(fù)載均衡 均衡組5． 包過濾命令(PF)增加一條服務(wù)訪問規(guī)則SERVICE ADD name gui|snmp|ssh|monitor|ping|tel|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp| pptp|webui|vrc|vdc area string [addressid number]| [addressname addr_name]6． 顯示運(yùn)行配置命令(SHOW_RUNNING)SHOW_RUNNING7． 保存配置命令(SAVE)SAVE三、 WEB 界面常用配置用瀏覽器或者集中管理中心登錄到 WEB 管理界面如下：1． 系統(tǒng)管理配置在“系統(tǒng)”下，可以顯示或配置系統(tǒng)相關(guān)設(shè)置A) 系統(tǒng) 基本信息顯示系統(tǒng)的型號、版本、功能模塊、接口信息等等：B) 系統(tǒng) 運(yùn)行狀態(tài)查看系統(tǒng)的運(yùn)行狀態(tài)，包括 CPU、內(nèi)存使用情況和當(dāng)前連接數(shù)等C) 系統(tǒng) 配置維護(hù)上傳或下載配置文件D) 系統(tǒng) 系統(tǒng)服務(wù)系統(tǒng)服務(wù)在本系統(tǒng)中主要是指監(jiān)控服務(wù)、SSH 服務(wù)、Tel 服務(wù)和 HTTP 服務(wù)。用戶在初次使用防火墻時(shí)，通常都會登錄到防火墻更改出廠配置（接口、IP 地址等） ，使在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下將防火墻接入網(wǎng)絡(luò)中。選中增加的過濾條件，點(diǎn)設(shè)置就可以看到實(shí)時(shí)的監(jiān)控效果了，如下圖：二、 命令行常用配置(注：用串口、TELNET、SSH 方式進(jìn)入到命令行管理界面，天融信防火墻命令行管理可以完成所有圖形界面管理功能，命令行支持 TAB 鍵補(bǔ)齊和 TAB 鍵幫助，命令支持多級操作，可以在系統(tǒng)級，也就是第一級直接輸入完整的命令；也可以進(jìn)入相應(yīng)的功能組件級，輸入對應(yīng)組件命令。4）點(diǎn)擊“其他”按鈕，可以設(shè)置接口的其他信息，如下圖。3． 對象配置A) 設(shè)置主機(jī)對象選擇 對象 地址對象 主機(jī)對象，右側(cè)界面顯示已有的主機(jī)對象，如下圖所示。 2）點(diǎn)擊“添加配置” ，增加一個(gè)區(qū)域?qū)ο?，如下圖所示。與報(bào)文阻斷策略相同，訪問控制規(guī)則也是順序匹配的，但與其不同，訪問控制規(guī)則沒有默認(rèn)規(guī)則?？梢渣c(diǎn)擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 8． 配置雙機(jī)熱備配置本機(jī)同步 IPha local 配置對端機(jī)器同步 IPha peer 啟動(dòng)雙機(jī)熱備功能ha enable注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個(gè)地方，一個(gè)是同步接口 ETH3 的 IP 地址為 ；另一個(gè)是雙機(jī)熱備配置中的本機(jī)同步 IP 和對端機(jī)器同步 IP 相反，本機(jī) IP 為 ，對端機(jī)器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上其他接口的網(wǎng)線，到此透明模式的雙機(jī)熱備配置完成。 dst 39。 dstarea 39。 service 39。 access offdefine area add name area_eth1 attribute 39。5）定義服務(wù) 選擇訪問規(guī)則包含的服務(wù)，如果用戶需要制定的服務(wù)沒有包含在服務(wù)列表中，可以通過 添加自定義服務(wù)添加所需服務(wù)。新添加的對象將顯示在時(shí)間對象列表中，如下圖所示。F) 設(shè)置區(qū)域?qū)ο笙到y(tǒng)支持區(qū)域的概念，用戶可以根據(jù)實(shí)際情況，將網(wǎng)絡(luò)劃分為不同的安全域，并根據(jù)其不同的安全需求，定義相應(yīng)的規(guī)則進(jìn)行區(qū)域邊界防護(hù)。 具體設(shè)置方法為： 在策略路由表中點(diǎn)擊要移動(dòng)的路由選項(xiàng)（例如要移動(dòng)策略路由 102）后的“移動(dòng)”圖標(biāo)按鈕 ，進(jìn)入如下界面。首先，需要確定該接口的類型是“Access”還是“Trunk” 。登錄后，用戶就可使用命令行方式對網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行配置管理。4）設(shè)置 1 口的屬性，按照以下參數(shù)進(jìn)行設(shè)置。如果選擇“hastatic”,表示雙機(jī)熱備的兩臺設(shè)備在進(jìn)行主從切換時(shí)，可以保存原來的地址不變，否則，從墻的地址將被主墻覆蓋。若要?jiǎng)h除某路由項(xiàng)，點(diǎn)擊該路由項(xiàng)所在行的刪除圖標(biāo)“ ”進(jìn)行刪除。E) 自定義服務(wù)當(dāng)預(yù)定義的服務(wù)中找不到我們需要的服務(wù)端口時(shí)，我們可以自己定義服務(wù)端口：1） 選擇 對象 服務(wù)對象 自定義服務(wù)，點(diǎn)擊“添加配置” ，系統(tǒng)出現(xiàn)如下頁面。設(shè)置時(shí)間對象，具體操作如下： 1） 選擇 對象 時(shí)間對象，點(diǎn)擊“添加配置” ，系統(tǒng)出現(xiàn)如下頁面。 另外，用戶還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，如下圖所示。( 具體方法見第一節(jié))，下面是具體配置，加粗顯示的為命令行。 39。 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。eth0 39。上班時(shí)間 39。用戶可以選擇相應(yīng) ID、位置，移動(dòng)策略。表中“ID ”為每項(xiàng)規(guī)則的編號，在移動(dòng)規(guī)則順序時(shí)將會使用。 3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，如果添加成功會彈出“添加成功”對話框。點(diǎn)擊“添加配置” ，進(jìn)入地址范圍對象屬性的頁面，如下圖所示。其中“網(wǎng)關(guān)”為下一跳路由器的入口地址， “端口”指定了從防火墻設(shè)備的哪一個(gè)接口（包括物理接口和 VLAN 虛接口）發(fā)送數(shù)據(jù)包。組件級 組件級為第二級，提供每個(gè)安全組件（SE）所獨(dú)有的管理命令。天融信防火墻 NGFW4000 快速配置手冊目 錄一、 防火墻的幾種管理方式 ...