【導(dǎo)讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 此出廠配置中防火墻的物理接口 eth0 已屬于區(qū)域 AREA_ETH0。 2）點(diǎn)擊“添加配置”，增加一個(gè)區(qū)域?qū)ο?，如下圖所示。 在“對(duì)象名稱(chēng)”部分輸入?yún)^(qū)域?qū)ο竺Q(chēng)； 在“權(quán)限選擇”部分設(shè)定和該區(qū)域所屬屬性綁定的接口的缺省屬性（允許訪問(wèn)或禁止訪問(wèn)）。 在“選擇屬性”部分的左側(cè)文本框中選擇接口，然后點(diǎn)擊 添加該區(qū)域具有的屬性，被選接口將出現(xiàn)在右側(cè)的“被選屬性”文本框中，可以同時(shí)選擇一個(gè) 或多個(gè)。 3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，如果添加成功會(huì)彈出“添加成功”對(duì)話 框。 4）點(diǎn)擊“取消返回”則放棄添加，返回上一界面。 5）若要修改區(qū)域?qū)ο蟮脑O(shè)置，點(diǎn)擊該區(qū)域?qū)ο笏谛械男薷膱D標(biāo)“ ”進(jìn)行修改。 6）若要?jiǎng)h除區(qū)域?qū)ο螅c(diǎn)擊該區(qū)域?qū)ο笏谛械膭h除圖標(biāo)“ ”進(jìn)行刪除。 G) 設(shè)置時(shí)間對(duì)象 用戶(hù)可以設(shè)置時(shí)間對(duì)象，以便在訪問(wèn)控制規(guī)則中引用，從而實(shí)現(xiàn)更細(xì)粒度的控制。比如，用戶(hù)希望針對(duì)工作時(shí)間和非工作時(shí)間設(shè)置不同的訪問(wèn)控制規(guī)則，引入時(shí)間對(duì)象的概念很容易解決該類(lèi)問(wèn)題。設(shè)置時(shí)間對(duì)象，具體操作如下： 1） 選 擇 對(duì)象 時(shí)間對(duì)象，點(diǎn)擊“添加配置”，系統(tǒng)出現(xiàn)如下頁(yè)面。 2）依次設(shè)置“對(duì)象名稱(chēng)”、“每周時(shí)段”和“每日時(shí)段”。 3）最后點(diǎn)擊“提交設(shè)定”，完成對(duì)象設(shè)置。新添加的對(duì)象將顯示在時(shí)間對(duì)象列表 中，如下圖所示。 4）對(duì)已經(jīng)添加的時(shí)間對(duì)象，可以點(diǎn)擊修改圖標(biāo)修改其屬性，也可以點(diǎn)擊刪除圖標(biāo) 刪除該對(duì)象。 4． 訪問(wèn)策略 配置 用戶(hù)可以通過(guò)設(shè)置訪問(wèn)控制規(guī)則實(shí)現(xiàn)靈活、強(qiáng)大的三到七層的訪問(wèn)控制。系統(tǒng)不但可以從區(qū)域、 VLAN、地址、用戶(hù)、連接、時(shí)間等多個(gè)層面對(duì)數(shù)據(jù)報(bào)文進(jìn)行判別和匹配，而且還可以針對(duì)多種應(yīng)用層協(xié)議進(jìn)行 深度內(nèi)容檢測(cè)和過(guò)濾。與報(bào)文阻斷策略相同，訪問(wèn)控制規(guī)則也是順序匹配的，但與其不同，訪問(wèn)控制規(guī)則沒(méi)有默認(rèn)規(guī)則。也就是說(shuō)，如果 沒(méi)有在訪問(wèn)控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問(wèn)或禁止訪問(wèn)）處理該報(bào)文。 定義訪問(wèn)規(guī)則，操作步驟如下： 1） 選擇 防火墻引擎 訪問(wèn)控制，點(diǎn)擊“添加配置”，進(jìn)入訪問(wèn)控制規(guī)則定義界面。 表中“ ID”為每項(xiàng)規(guī)則的編號(hào)，在移動(dòng)規(guī)則順序時(shí)將會(huì)使用。“控制”中的圖標(biāo) 和 ，分別表示該項(xiàng)規(guī)則是否啟用。 2）定義是否啟用該訪問(wèn)控制規(guī)則（默 認(rèn)為啟用該規(guī)則），以及訪問(wèn)權(quán)限。 訪問(wèn)權(quán)限定義了是否允許訪問(wèn)由規(guī)則源到規(guī)則目的所指定的服務(wù)。 3）定義規(guī)則的源 規(guī)則的源既可以是一個(gè)已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地址 對(duì)象以及用戶(hù)組對(duì)象，如下圖所示。 圖中“選擇源”右側(cè)的 按鈕為正序排列和倒序排列，用戶(hù)可以方便的按序查 找項(xiàng)目。 另外，用戶(hù)還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，如下圖所示。 4）定義規(guī)則的目的 規(guī)則的目的既可以是一個(gè)已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地 址對(duì)象以及用戶(hù)組對(duì) 象，如下圖所示。 另外，用戶(hù)還可以設(shè)置進(jìn)行地址轉(zhuǎn)換前的目的地址，如下圖所示。 5）定義服務(wù) 選擇訪問(wèn)規(guī)則包含的服務(wù)，如果用戶(hù)需要制定的服務(wù)沒(méi)有包含在服務(wù)列表中，可以通過(guò) 添加自定義服務(wù)添加所需服務(wù)。如果沒(méi)有選 擇任何服務(wù)，則系統(tǒng)默認(rèn)為選擇全部服務(wù)。 6）定義輔助選項(xiàng) 各項(xiàng)參數(shù)說(shuō)明如下： 7）點(diǎn)擊“提交設(shè)定”完成該條訪問(wèn)控制規(guī)則的設(shè)定。 8）用戶(hù)可以點(diǎn)擊 “修改”按鈕，對(duì)現(xiàn)有規(guī)則進(jìn)行編輯。可以點(diǎn)擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 8）點(diǎn)擊“清空配置”，可以清除所有的訪問(wèn) 控制規(guī)則，便于重新配置。 9）需要更改規(guī)則的匹配順序時(shí)點(diǎn)擊該規(guī)則右側(cè) “移動(dòng)”按鈕，如下圖所示。 用戶(hù)可以選擇相應(yīng) ID、位置，移動(dòng)策略。完成后點(diǎn)擊“提交設(shè)定”保存或“取消 返回”放棄移動(dòng)。 5． 高可用性配置 配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟如下： 1）選擇 系統(tǒng) 高可用性，進(jìn)入高可用性設(shè)置頁(yè)面，如下圖所示。 2） 設(shè)置主 /從設(shè)備參數(shù)，參數(shù)說(shuō)明請(qǐng)參見(jiàn)下表。 3）點(diǎn)擊“提交設(shè)定”，完成雙機(jī)熱備設(shè)置。 四、 透明模式配置示例 拓補(bǔ)結(jié)構(gòu)： 1． 用串口管理方式進(jìn)入命令行 用 WINDOWS 自帶的超級(jí)終 端或者 SecureCRT 軟件，使用 9600 的速率，用串口線連接到防火墻，用戶(hù)名是 superman，密碼是 talent。 (具體方法見(jiàn)第一節(jié) )，下面是具體配置，加粗顯示的為命令行。 2． 配置接口屬性 將 ETH0口配置為交換模式： work interface eth0 switchport 配置 ETH0口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth0 hametric 100 將 ETH1口配置為交換模式： work interface eth1 switchport 配置 ETH1口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth2 hametric 100 將沒(méi)有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth3 hametric 100 3． 配置 VLAN 添加 VLAN1： work vlan add id 1 為 VLAN1 添加 IP 地址： work interface ip add mask label 0 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問(wèn)權(quán)限為禁止 define area add name area_eth0 attribute 39。eth0 39。 access off define area add name area_eth1 attribute 39。eth1 39。 access off 5． 定義對(duì)象 定義主機(jī)地址對(duì)象 define host add name ipaddr 39。 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 39。 定義時(shí)間對(duì)象 define schedule add name 上班時(shí)間 week 12345 start 08:00 end 18:00 6． 添加系統(tǒng)權(quán)限 為 ETH0 口添加 TELNET 權(quán)限 pf service add name tel area area_eth0 addressname any 7． 配置訪問(wèn)策略 允許 39。上班時(shí)間 39。訪問(wèn) PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。area_eth0 39。 dstarea 39。area_eth1 39。 src 39。 39。 dst 39。 39。 service 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 schedule 39。上班時(shí)間 39。 8． 配置雙機(jī)熱備 配置本機(jī) 同步 IP ha local 配置對(duì)端機(jī)器同步 IP ha peer 啟動(dòng)雙機(jī)熱備功能 ha enable 注：配置好一臺(tái)防火墻后，我們要配置另一臺(tái)熱備的防火墻，其配置基本上與致，唯一不同的只有兩個(gè)地方，一個(gè)是同步接口 ETH3 的 IP 地址為 ；另一個(gè)是雙機(jī)熱備配置中的本機(jī)同步 IP 和對(duì)端機(jī)器同步IP 相反，本機(jī) IP 為 ，對(duì)端機(jī)器 IP 為 ，完成配置之后，我們先 接好心跳線，將兩臺(tái)防火墻的 ETH3 口連接，然后接上 其他接口的網(wǎng)線，到此透明模式的雙機(jī)熱備配置完成 。 五、 路由模式配置示例 拓補(bǔ)結(jié)構(gòu)： 1． 用串口管理方式進(jìn)入命令行 方法同上面的透明模式。 2． 配置接口屬性 配置 ETH0口的 IP地址： work interface eth0 ip add mask label 0 配置 ETH0口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth0 hametric 100 配置 ETH1口的 IP地址： work interface eth1 ip add mask label 0 配置 ETH1口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth2 hametric 100 將沒(méi)有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值： work interface eth3 hametric 100 3． 配置路由 配置到 ： work route add dst 配置到 ： work route add dst 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問(wèn)權(quán)限為禁止 define area add name area_eth0 attribute 39。eth0 39。 access off define area add name area_eth1 attribute 39。eth1 39。 access off 5． 配置主 機(jī)對(duì)象 define host add name ipaddr 39。 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 39。 6． 配置訪問(wèn)策略 允許 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。area_eth0 39。 dstarea 39。area_eth1 39。 src 39。 39。 dst 39。 39。 service 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 7． 配置雙機(jī)熱 備 配置本機(jī)同步 IP ha local 配置對(duì)端機(jī)器同步 IP ha peer 啟動(dòng)雙機(jī)熱備功能 ha enable 注：配置好一臺(tái)防火墻后，我們要配置另一臺(tái)熱備的防火墻，其配置基本上與致，唯一不同的只有兩個(gè)地方，一個(gè)是同步接口 ETH3 的 IP 地址為 ；另一個(gè)是雙機(jī)熱備配置中的本機(jī)同步 IP 和對(duì)端機(jī)器同步IP 相反，本機(jī) IP 為 ，對(duì)端機(jī)器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺(tái)防火墻的 ETH3 口連接，然后接上其他接口的網(wǎng)線，到此透 明模式的雙機(jī)熱備配置完成。