【導(dǎo)讀】天融信防火墻NGFW4000快速配置手冊說

　　

【正文】 訪問權(quán)限定義了是否允許訪問由規(guī)則源到規(guī)則目的所指定的服務(wù)。 3）定義規(guī)則的源 規(guī)則的源既可以是一個已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個或多個地址 對象以及用戶組對象，如下圖所示。 圖中“選擇源”右側(cè)的 按鈕為正序排列和倒序排列，用戶可以方便的按序查 找項目。 另外，用戶還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，如下圖所示。 4）定義規(guī)則的目的 規(guī)則的目的既可以是一個已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個或多個地 址對象以及用戶組對象，如下圖所示。 另外，用戶還可以設(shè)置進(jìn)行地址轉(zhuǎn)換前的目的地址，如下圖所示。 5）定義服務(wù) 選擇訪問規(guī)則包含的服務(wù)，如果用戶需要制定的服務(wù)沒有包含在服務(wù)列表 中，可以通過 添加自定義服務(wù)添加所需服務(wù)。如果沒有選 擇任何服務(wù)，則系統(tǒng)默認(rèn)為選擇全部服務(wù)。 6）定義輔助選項 各項參數(shù)說明如下： 7）點擊“提交設(shè)定”完成該條訪問控制規(guī)則的設(shè)定。 8）用戶可以點擊 “修改”按鈕，對現(xiàn)有規(guī)則進(jìn)行編輯?？梢渣c擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 8）點擊“清空配置”，可以清除所有的訪問控制規(guī)則，便于重新配置。 9）需要更改規(guī)則的匹配順序時點擊該規(guī)則右側(cè) “移動”按鈕，如下圖所示。 用戶可以選擇相應(yīng) ID、位置，移動策略。完成后點擊“提交設(shè)定” 保存或“取消 返回”放棄移動。 5． 高可用性配置 配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟如下： 1）選擇 系統(tǒng) 高可用性，進(jìn)入高可用性設(shè)置頁面，如下圖所示。 2） 設(shè)置主 /從設(shè)備參數(shù)，參數(shù)說明請參見下表。 3）點擊“提交設(shè)定”，完成雙機(jī)熱備設(shè)置。 四、 透明模式配置示例 拓補(bǔ)結(jié)構(gòu)： 1． 用串口管理方式進(jìn)入命令行 用 WINDOWS 自帶的超級終端或者 SecureCRT 軟件，使用 9600 的速率，用串口線連接到防火墻，用戶名是 superman，密碼是 talent。 (具體方法見第一節(jié) )，下面是具體配置，加粗顯示的 為命令行。 2． 配置接口屬性 將 ETH0口配置為交換模式： work interface eth0 switchport 配置 ETH0口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth0 hametric 100 將 ETH1口配置為交換模式： work interface eth1 switchport 配置 ETH1口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth2 hametric 100 將沒有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth3 hametric 100 3． 配置 VLAN 添加 VLAN1： work vlan add id 1 為 VLAN1 添加 IP 地址： work interface ip add mask label 0 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問權(quán)限為禁止 define area add name area_eth0 attribute 39。eth0 39。 access off define area add name area_eth1 attribute 39。eth1 39。 access off 5． 定義對象 定義主機(jī)地址對象 define host add name ipaddr 39。 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 39。 定義時間對象 define schedule add name 上班時間 week 12345 start 08:00 end 18:00 6． 添加系統(tǒng)權(quán)限 為 ETH0 口添加 TELNET 權(quán)限 pf service add name tel area area_eth0 addressname any 7． 配置訪問策略 允許 39。上班時間 39。訪問 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。area_eth0 39。 dstarea 39。area_eth1 39。 src 39。 39。 dst 39。 39。 service 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 schedule 39。上班時間 39。 8． 配置雙機(jī)熱備 配置本機(jī) 同步 IP ha local 配置對端機(jī)器同步 IP ha peer 啟動雙機(jī)熱備功能 ha enable 注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機(jī)熱備配置中的本機(jī)同步 IP 和對端機(jī)器同步IP 相反，本機(jī) IP 為 ，對端機(jī)器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上 其他接口的網(wǎng)線，到此透明模式的雙機(jī)熱備配置完成 。 五、 路由模式配置示例 拓補(bǔ)結(jié)構(gòu)： 1． 用串口管理方式進(jìn)入命令行 方法同 上面的透明模式。 2． 配置接口屬性 配置 ETH0口的 IP地址： work interface eth0 ip add mask label 0 配置 ETH0口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth0 hametric 100 配置 ETH1口的 IP地址： work interface eth1 ip add mask label 0 配置 ETH1口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth2 hametric 100 將沒有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計算雙機(jī)熱備的權(quán)值： work interface eth3 hametric 100 3． 配置路由 配置到 ： work route add dst 配置到 ： work route add dst 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問權(quán)限為禁止 define area add name area_eth0 attribute 39。eth0 39。 access off define area add name area_eth1 attribute 39。eth1 39。 access off 5． 配置主機(jī)對象 define host add name ipaddr 39。 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 39。 6． 配置訪問策略 允許 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。area_eth0 39。 dstarea 39。area_eth1 39。 src 39。 39。 dst 39。 39。 service 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 7． 配置雙機(jī)熱備 配置本機(jī)同步 IP ha local 配置對端機(jī)器同步 IP ha peer 啟動雙機(jī)熱備功能 ha enable 注：配置好一臺 防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機(jī)熱備配置中的本機(jī)同步 IP 和對端機(jī)器同步IP 相反，本機(jī) IP 為 ，對端機(jī)器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上其他接口的網(wǎng)線，到此透明模式的雙機(jī)熱備配置完成。（英文版 ） easily blame, to prevent the broken window effect. Supervise the leading cadres to play an exemplary role, take the lead in the strict implementation of the code and rule , lead to safeguard the solemnity and authority of the party discipline, ensure that the party discipline and the laws and regulations for implementation in place. Throughout the discipline in the daily supervision and management , strengthen supervision and inspection, from the thorough investigation of violations of discipline behavior. Strengthen to key areas, key departments and key projects as well as the masses reflect the concentration of the units and departments for supervision. strengthening supervision, discipline inspection and supervision of cadres to set an example for pliance with the code and rule is a man must be hexyl, blacksmith needs its own hardware. Discipline inspection ans as the executor of the party discipline, and supervisor of the defenders, for its supervision must be more strictly, discipline inspection and supervision of cadres to firmly establish the awareness of Party Constitution, sense of discipline and rules consciousness, politics loyalty, sense obey. Action speak Ji Ordinance to set an example of the regulations of the rule of law, strengthen supervision and accept the supervision of the firmness and consciousness, do ply with and . To firmly establish the discipline must first be disciplined, the supervisor will be subject to the supervision of concept, and consciously safeguard and implement party passes party, take