【正文】 。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 39。 39。area_eth1 39。area_eth0 39。 39。 39。eth1 39。eth0 39。 五、 路由模式配置示例 拓補(bǔ)結(jié)構(gòu)： 1． 用串口管理方式進(jìn)入命令行 方法同上面的透明模式。上班時(shí)間 39。PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal 39。 39。 39。area_eth1 39。area_eth0 39。上班時(shí)間 39。 39。 39。eth1 39。eth0 39。 (具體方法見第一節(jié) )，下面是具體配置，加粗顯示的為命令行。 3）點(diǎn)擊“提交設(shè)定”，完成雙機(jī)熱備設(shè)置。 5． 高可用性配置 配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟如下： 1）選擇 系統(tǒng) 高可用性，進(jìn)入高可用性設(shè)置頁面，如下圖所示。 用戶可以選擇相應(yīng) ID、位置，移動(dòng)策略。 8）點(diǎn)擊“清空配置”，可以清除所有的訪問 控制規(guī)則，便于重新配置。 8）用戶可以點(diǎn)擊 “修改”按鈕，對(duì)現(xiàn)有規(guī)則進(jìn)行編輯。如果沒有選 擇任何服務(wù)，則系統(tǒng)默認(rèn)為選擇全部服務(wù)。 另外，用戶還可以設(shè)置進(jìn)行地址轉(zhuǎn)換前的目的地址，如下圖所示。 另外，用戶還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，如下圖所示。 3）定義規(guī)則的源 規(guī)則的源既可以是一個(gè)已經(jīng)定義好的 VLAN 或區(qū)域，也可以細(xì)化到一個(gè)或多個(gè)地址 對(duì)象以及用戶組對(duì)象，如下圖所示。 2）定義是否啟用該訪問控制規(guī)則（默 認(rèn)為啟用該規(guī)則），以及訪問權(quán)限。 表中“ ID”為每項(xiàng)規(guī)則的編號(hào)，在移動(dòng)規(guī)則順序時(shí)將會(huì)使用。也就是說，如果 沒有在訪問控制規(guī)則列表的末尾添加一條全部拒絕的規(guī)則的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問或禁止訪問）處理該報(bào)文。系統(tǒng)不但可以從區(qū)域、 VLAN、地址、用戶、連接、時(shí)間等多個(gè)層面對(duì)數(shù)據(jù)報(bào)文進(jìn)行判別和匹配，而且還可以針對(duì)多種應(yīng)用層協(xié)議進(jìn)行 深度內(nèi)容檢測(cè)和過濾。 4）對(duì)已經(jīng)添加的時(shí)間對(duì)象，可以點(diǎn)擊修改圖標(biāo)修改其屬性，也可以點(diǎn)擊刪除圖標(biāo) 刪除該對(duì)象。 3）最后點(diǎn)擊“提交設(shè)定”，完成對(duì)象設(shè)置。設(shè)置時(shí)間對(duì)象，具體操作如下： 1） 選 擇 對(duì)象 時(shí)間對(duì)象，點(diǎn)擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。 G) 設(shè)置時(shí)間對(duì)象 用戶可以設(shè)置時(shí)間對(duì)象，以便在訪問控制規(guī)則中引用，從而實(shí)現(xiàn)更細(xì)粒度的控制。 5）若要修改區(qū)域?qū)ο蟮脑O(shè)置，點(diǎn)擊該區(qū)域?qū)ο笏谛械男薷膱D標(biāo)“ ”進(jìn)行修改。 3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，如果添加成功會(huì)彈出“添加成功”對(duì)話 框。 在“對(duì)象名稱”部分輸入?yún)^(qū)域?qū)ο竺Q； 在“權(quán)限選擇”部分設(shè)定和該區(qū)域所屬屬性綁定的接口的缺省屬性（允許訪問或禁止訪問）。防火墻出廠配置中缺 省區(qū)域?qū)ο鬄? AREA_ETH0，并已和缺省屬性對(duì)象 eth0 綁定，而屬性對(duì)象 eth0 已和接口 eth0 綁定，因此出廠配置中防火墻的物理接口 eth0 已屬于區(qū)域 AREA_ETH0。如果不存在可匹配的訪問控制規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的權(quán)限處理該報(bào)文。 3）點(diǎn)擊“提交設(shè)定”，完成設(shè)置。 E) 自定義服務(wù) 當(dāng)預(yù)定義的服務(wù)中找不到我們需要的服務(wù)端口時(shí)，我們可以自己定義 服務(wù)端口： 1） 選擇 對(duì)象 服務(wù)對(duì)象 自定義服務(wù)，點(diǎn)擊“添加配置”，系統(tǒng)出現(xiàn)如下頁面。 設(shè)置地址組對(duì)象的步驟如下： 1）選擇 對(duì)象 地址對(duì)象 地址組，在右側(cè)頁面內(nèi)顯示已有的地址組對(duì)象，如下 圖所示。 D) 設(shè)置地址組 不同的地址對(duì)象可以組合為一個(gè)地址組，用作定義策略的目的或源。 點(diǎn)擊“添加配置”，進(jìn)入地址范圍對(duì)象屬性的頁面，如下圖所 示。 點(diǎn)擊“添加配置”，系統(tǒng)出現(xiàn)添加主機(jī)對(duì)象屬性的頁面，如下圖所示。 點(diǎn)擊“確定”返回路由界面，可以看到路由 102 已經(jīng)移動(dòng)到了 101 之前，如下圖所 示。 在第一個(gè)下拉框中選擇參考位置路由，第二個(gè)下拉框中則是選擇將當(dāng)前路由移動(dòng)到 參考路由之前還是之后。由于策略執(zhí)行為第一匹配原則，則策略的順序與策略的邏輯相關(guān)，在此可以改變添加策略時(shí)候的缺省的執(zhí)行順序（按照添加順序排列）。 若要?jiǎng)h除某路由項(xiàng)， 點(diǎn)擊該路由項(xiàng)所在行的刪除圖標(biāo)“ ”進(jìn)行刪除。 3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，如果添加成功會(huì)彈出“添加成功”對(duì)話框。如果選擇“ NAT 后的源”為“是”，表示策略路由的源地址為 NAT 后的地址，策略路由添加成功后的“標(biāo)記”一欄顯示為“ UGM”。 其中“網(wǎng)關(guān)”為下一跳路由器的入口地址，“端口”指定了從防火墻設(shè)備的哪一個(gè)接口（包括物理接口和 VLAN 虛接口）發(fā)送數(shù)據(jù)包。 B) 設(shè)置路由 用戶可以在網(wǎng)絡(luò)衛(wèi)士防火墻上設(shè)置策略路由及靜態(tài)路由，具體步驟如下： 1）在左側(cè)導(dǎo)航菜單中選擇 網(wǎng)絡(luò) 靜態(tài)路由，可以看到已經(jīng)添加的策略路由表以 及系統(tǒng)自動(dòng)添加的靜態(tài)路由表，如下圖所示。 上圖參數(shù)說明如下表所示： 點(diǎn)擊“提交設(shè)定”則完成接口從路由模式向交換模式的轉(zhuǎn)換。 如果是“ Access”接口，則表示該交換接口只屬于 一個(gè) VLAN，需要指定所屬的 VLID 號(hào)碼，如上圖所示。 3）如果要將某端口設(shè)交換模式，點(diǎn)擊該端口后的交換修改圖標(biāo)“ ”，彈出“交換”設(shè)置窗口，如下圖所示。如果選擇“ hastatic” ,表示雙機(jī)熱備的兩臺(tái)設(shè)備在進(jìn)行主從切換時(shí)，可以保存原來的地址不變，否則，從墻的地址將被主墻覆蓋。 2）如果要將某端口設(shè)為路由模式，點(diǎn)擊該端口后的路由修改圖標(biāo)“ ”，彈出“設(shè) 定路由”對(duì)話框，如下圖所示。 類別 關(guān)鍵字內(nèi)容 說明 一級(jí) 命令名 system 系統(tǒng)管理目錄 work 網(wǎng)絡(luò)設(shè)置 Ha 高可用性設(shè)置 define 網(wǎng)絡(luò)對(duì)象定義 debug 調(diào)試 log 日志設(shè)置 authentication 認(rèn)證設(shè)置 Snmp 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議配置 pf 包過濾規(guī)則設(shè)置 dpi 深度報(bào)文檢測(cè)策略定義 firewall 防火墻規(guī)則設(shè)置 nat 地址轉(zhuǎn)換策略配置 Vpn 虛擬私有網(wǎng)隧道配置與操作 IDS 入侵監(jiān)測(cè)配置 Qos 帶寬控制配置 AVSE 防病毒安全引擎管理設(shè)置 save 保存配置 Show_running 查看運(yùn)行時(shí)配之信息 Show 查看配置 helpmode 幫助模式設(shè)定 exit 退出系統(tǒng) 1． 系統(tǒng)管理 命令 (SYSTEM) 在命令行下一般用 SYSTEM 命令來管理和查看系統(tǒng)配置： 命令 功能 WEBUI 界面操作位置 二級(jí)命令名 Version 系統(tǒng)版本信息 系統(tǒng) 基本信息 information 當(dāng)前設(shè)備狀態(tài)信息 系統(tǒng) 運(yùn)行狀態(tài) time 系統(tǒng)時(shí)鐘管理 系統(tǒng) 系統(tǒng)時(shí)間 config 系統(tǒng)配置管理 管理器工具欄“保存設(shè)定”按鈕 reboot 重新啟動(dòng) 系統(tǒng) 系統(tǒng)重啟 sshd SSH 服務(wù)管理命令 系統(tǒng) 系統(tǒng)服務(wù) teld TELNET 服務(wù)管理 系統(tǒng) 系統(tǒng)服務(wù)命令 d HTTP 服務(wù)管理命 系統(tǒng) 系統(tǒng)服務(wù)令 monitord MONITOR 服務(wù)管理命令無 2． 網(wǎng)絡(luò)配置命令 (NETWORK) 命令 功能 WEBUI 界面操作位置 interface 防火墻接口管理 網(wǎng)絡(luò) 物理接口 vlan Vlan 配置管理 網(wǎng)絡(luò) VLAN route 路由表配置管理 網(wǎng)絡(luò) 靜態(tài)路由 Ping 驗(yàn)證網(wǎng)絡(luò)連接 無 3． 雙機(jī)熱備命令 (HA) HA LOCAL ipaddress 設(shè)置 HA 接口的本機(jī)地址 HA PEER ipaddress 設(shè)置 HA 接口的對(duì)端地址 HA PEERSERIAL string 設(shè)置 HA 接口的對(duì)端的 licence 序列號(hào) HA NO local|peer|peerserial 復(fù)位 HA 接口的本機(jī)地址 /對(duì)端地址 /對(duì)端 licence 序列號(hào) HA PRIORITY primary|backup 設(shè)定 HA 優(yōu)先級(jí)是主機(jī)優(yōu)先還是備份機(jī)優(yōu)先（默認(rèn)為 backup，即如果同時(shí)啟動(dòng)主機(jī)成為活 HA SHOW cr 查看 HA 的配置信息 HA ENABLEcr 啟動(dòng) HA HA DISABLEcr 停用 HA HA CLEANcr 清除 HA 配置信息 HA SYNC frompeer|topeer HA 同步（從對(duì)端機(jī)上同步配置 /同步配置到對(duì)端機(jī)上） 4． 定義對(duì)象命令 (DEFINE) 命令 功能 WEBUI 操作位置 area 區(qū)域?qū)ο蠊芾? 對(duì)象 區(qū)域?qū)ο? interface 配置防火墻接口對(duì)應(yīng)的 區(qū)域?qū)傩? 對(duì)象 區(qū)域?qū)ο? host 主機(jī)地址對(duì)象管理 對(duì)象 地址對(duì)象 主機(jī)對(duì)象 range 地址范圍對(duì)象管理 對(duì)象 地址對(duì)象 范圍對(duì)象 sub 子網(wǎng)地址對(duì)象 對(duì)象 地址對(duì)象 子網(wǎng)對(duì)象 group_address 地址組對(duì)象管理 對(duì)象 地址對(duì)象 地址組對(duì)象 service 子定義服務(wù)對(duì)象管理 對(duì)象 服務(wù)對(duì)象 自定義服務(wù) group_service 服務(wù)組對(duì)象管理 對(duì)象 服務(wù)對(duì)象 服務(wù)組 schedule 時(shí)間表對(duì)象管理 對(duì)象 時(shí)間對(duì)象 server 服務(wù)器對(duì)象管理 對(duì)象 負(fù)載均衡 服務(wù)器 virtual_server 虛擬服務(wù)器對(duì)象管理 對(duì)象 負(fù)載均衡 均衡組 5． 包過濾命令 (PF) 增加一 條服務(wù)訪問規(guī)則 SERVICE ADD name gui|snmp|ssh|monitor|ping|tel|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp| pptp|webui|vrc|vdc area string [addressid number]| [addressname addr_name] 6． 顯示運(yùn)行配置命令 (SHOW_RUNNING) SHOW_RUNNING 7． 保存配置命令 (SAVE) SAVE 三、 WEB 界面常用配 置 用瀏覽器或者集中管理中心登錄到 WEB 管理界面如下： 1． 系統(tǒng)管理配置 在 “系統(tǒng)”下，可以顯示或配置系統(tǒng)相關(guān)設(shè)置 A) 系統(tǒng) 基本信息 顯示系統(tǒng)的型號(hào)、版本、功能模塊、接口信息等等： B) 系統(tǒng) 運(yùn)行狀態(tài) 查看系統(tǒng)的運(yùn)行狀態(tài)，包括 CPU、內(nèi)存使用情況和當(dāng)前連接數(shù)等 C) 系統(tǒng) 配置維護(hù) 上傳或下載配置文件 D) 系統(tǒng) 系統(tǒng)服務(wù) 系統(tǒng)服務(wù)在本系統(tǒng)中主要是指監(jiān)控服務(wù)、 SSH 服務(wù)、 Tel 服務(wù)和 HTTP 服務(wù)。 組件級(jí) 組件級(jí)為第二級(jí)，提供每個(gè)安全組件（ SE）所獨(dú)有的管理命令。具體分級(jí)如下表： ) 系統(tǒng)級(jí) 系統(tǒng)級(jí)為第一級(jí)，提供設(shè)備的基本管理命令。 5． GUI 管理 GUI圖形界面管理跟 WEB界面一樣，只是，在管理中心中集成了一些安全工具，如監(jiān)控，抓包，跟蹤等 1) 安裝管理中心軟件 2) 運(yùn)行管理軟件 3) 右擊樹形“ TOPSEC管理中心”添加管理 IP 4) 右擊管理 IP地址，選擇“管理”，輸入用戶名和密碼進(jìn)行管理 5) 也可右擊管理 IP地址，選擇“安全工具”，進(jìn)行實(shí)時(shí)監(jiān)控 選擇：安全工具 連接監(jiān)控 點(diǎn)擊啟動(dòng)，在彈出的窗口中增加過濾條件，可用缺省值監(jiān)控所有連接。 2． TELNET 管理 TELNET 管理也是命令行管理方式，要進(jìn)行 TELNET 管理，必須進(jìn)行以下設(shè)置： 1) 在串口下用“ pf service add nam