【正文】 、 TELNET、 SSH 方式進入到命令行管理界面， 天融信 防火墻命令行管理可以完成所有圖形界面管理功能，命令行支持 TAB 鍵補齊和 TAB 鍵幫助，命令支持多級操作， 可以在系統(tǒng)級，也就是第一級直接輸入完整的命令；也可以進入相應(yīng)的功能組件級，輸入對應(yīng)組件命令。 CLI 管理員登錄后，直接進入該級，顯示為： TopsecOS。 在系統(tǒng)級下， TopsecOS tab 按 tab 鍵，則顯示出安全組件級命令見下表。 TOS 系統(tǒng)提供了對這些服務(wù)的控制（啟動和停止）功能，其具體的操作如下： E) 系統(tǒng) 開放服務(wù) 添加或查看系統(tǒng)權(quán)限，包括 WEB 管理、 GUI 管理、 TELNET 管理、 SSH 管理、監(jiān)控等等 F) 系統(tǒng) 系統(tǒng)重啟 2． 網(wǎng)絡(luò) 接口、路由配置 A) 設(shè)置防火墻接口屬性 用戶可以對網(wǎng)絡(luò)衛(wèi)士防火墻的物理接口的屬性進行設(shè)置，具體步驟如下： 1）在管理界面左側(cè)導(dǎo)航菜單中選擇 網(wǎng)絡(luò) 物理接口 ，可以看到防火墻的所有物理接口，如下圖所示，共有三個物理接口： Eth0、 Eth Eth2。 可以為 某個端口設(shè)置多個 IP 地址，點擊“添加配置”按鈕，添加接口的 IP 地址。網(wǎng)絡(luò)衛(wèi)士防火墻不支持不同的物理接口配 置相同的 IP 地址或 IP 地址在同一子網(wǎng)內(nèi)。 首先，需要確定該接口的類型是“ Access”還是“ Trunk”。 如是“ Trunk”接口，則設(shè)置參數(shù)界面如下圖所示。 4）點擊“其他”按鈕，可以設(shè)置接口的其他信息，如下圖。 2）設(shè)置策略路由，點擊“添加策略路由”，如下 圖所示。 Metric 為接口躍點數(shù)，默認(rèn)為 1。默認(rèn)為“否”，策略路由添加成功后的“標(biāo)記”一欄顯示為“ U”。點擊“取消返回”則放棄添加，返回上一界面。 4）移動策略路由。 具體設(shè)置方法為： 在策略路由表中點擊要移動的路由選項（例如要移動策略路由 102）后的“移動”圖標(biāo)按鈕 ，進入如下界面。例如：要將路由 102 移動到路由 101 之前，則第一個下拉框選 擇 ID“ 101”，第二個下拉 框選擇“之前”，點擊“提交設(shè)定”按鈕，則彈出移動成功 對話框。 3． 對象配置 A) 設(shè)置主機對象 選擇 對象 地址對象 主機對象，右側(cè)界面顯示已有的主機對象，如下圖所示。 B) 設(shè)置范圍對象 選擇 對象 地址對象 地址范圍，右側(cè)界面顯示已有的地址范圍對象，如下圖所示。 C) 設(shè)置子網(wǎng)對象 選擇 對象 地址對象 子網(wǎng)對象，在右側(cè)頁面內(nèi)顯示已有的子網(wǎng)地址對象，如下圖所示。地址組的支持 增強了對象管理的層次性，使管理更加靈活。 2）選擇“添加配置”，系統(tǒng)出現(xiàn)如下圖所示的頁面。 2）輸入對象名稱后，設(shè)置協(xié)議類型及端口號范圍。 F) 設(shè)置區(qū)域?qū)ο? 系統(tǒng)支持區(qū)域的概念，用戶可以根據(jù)實際情況，將網(wǎng)絡(luò)劃分為不同的安全域，并根據(jù)其不同的安全需求，定義相應(yīng)的規(guī)則進行區(qū)域邊界防護。 設(shè)置區(qū)域?qū)ο?，具體操作如下： 1）選擇 對象 區(qū)域?qū)ο?，顯示已有的區(qū)域?qū)ο蟆? 2）點擊“添加配置”，增加一個區(qū)域?qū)ο?，如下圖所示。 在“選擇屬性”部分的左側(cè)文本框中選擇接口，然后點擊 添加該區(qū)域具有的屬性，被選接口將出現(xiàn)在右側(cè)的“被選屬性”文本框中，可以同時選擇一個 或多個。 4）點擊“取消返回”則放棄添加，返回上一界面。 6）若要刪除區(qū)域?qū)ο?，點擊該區(qū)域?qū)ο笏谛械膭h除圖標(biāo)“ ”進行刪除。比如，用戶希望針對工作時間和非工作時間設(shè)置不同的訪問控制規(guī)則，引入時間對象的概念很容易解決該類問題。 2）依次設(shè)置“對象名稱”、“每周時段”和“每日時段”。新添加的對象將顯示在時間對象列表 中，如下圖所示。 4． 訪問策略 配置 用戶可以通過設(shè)置訪問控制規(guī)則實現(xiàn)靈活、強大的三到七層的訪問控制。與報文阻斷策略相同，訪問控制規(guī)則也是順序匹配的，但與其不同，訪問控制規(guī)則沒有默認(rèn)規(guī)則。 定義訪問規(guī)則，操作步驟如下： 1） 選擇 防火墻引擎 訪問控制，點擊“添加配置”，進入訪問控制規(guī)則定義界面?！翱刂啤敝械膱D標(biāo) 和 ，分別表示該項規(guī)則是否啟用。 訪問權(quán)限定義了是否允許訪問由規(guī)則源到規(guī)則目的所指定的服務(wù)。 圖中“選擇源”右側(cè)的 按鈕為正序排列和倒序排列，用戶可以方便的按序查 找項目。 4）定義規(guī)則的目的 規(guī)則的目的既可以是一個已經(jīng)定義好的 VLAN 或區(qū)域，也可以細化到一個或多個地 址對象以及用戶組對 象，如下圖所示。 5）定義服務(wù) 選擇訪問規(guī)則包含的服務(wù)，如果用戶需要制定的服務(wù)沒有包含在服務(wù)列表中，可以通過 添加自定義服務(wù)添加所需服務(wù)。 6）定義輔助選項 各項參數(shù)說明如下： 7）點擊“提交設(shè)定”完成該條訪問控制規(guī)則的設(shè)定?？梢渣c擊 “插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。 9）需要更改規(guī)則的匹配順序時點擊該規(guī)則右側(cè) “移動”按鈕，如下圖所示。完成后點擊“提交設(shè)定”保存或“取消 返回”放棄移動。 2） 設(shè)置主 /從設(shè)備參數(shù)，參數(shù)說明請參見下表。 四、 透明模式配置示例 拓補結(jié)構(gòu)： 1． 用串口管理方式進入命令行 用 WINDOWS 自帶的超級終 端或者 SecureCRT 軟件，使用 9600 的速率，用串口線連接到防火墻，用戶名是 superman，密碼是 talent。 2． 配置接口屬性 將 ETH0口配置為交換模式： work interface eth0 switchport 配置 ETH0口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth0 hametric 100 將 ETH1口配置為交換模式： work interface eth1 switchport 配置 ETH1口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth2 hametric 100 將沒有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth3 hametric 100 3． 配置 VLAN 添加 VLAN1： work vlan add id 1 為 VLAN1 添加 IP 地址： work interface ip add mask label 0 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問權(quán)限為禁止 define area add name area_eth0 attribute 39。 access off define area add name area_eth1 attribute 39。 access off 5． 定義對象 定義主機地址對象 define host add name ipaddr 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 定義時間對象 define schedule add name 上班時間 week 12345 start 08:00 end 18:00 6． 添加系統(tǒng)權(quán)限 為 ETH0 口添加 TELNET 權(quán)限 pf service add name tel area area_eth0 addressname any 7． 配置訪問策略 允許 39。訪問 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。 dstarea 39。 src 39。 dst 39。 service 39。 schedule 39。 8． 配置雙機熱備 配置本機 同步 IP ha local 配置對端機器同步 IP ha peer 啟動雙機熱備功能 ha enable 注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機熱備配置中的本機同步 IP 和對端機器同步IP 相反，本機 IP 為 ，對端機器 IP 為 ，完成配置之后，我們先 接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上 其他接口的網(wǎng)線，到此透明模式的雙機熱備配置完成 。 2． 配置接口屬性 配置 ETH0口的 IP地址： work interface eth0 ip add mask label 0 配置 ETH0口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth0 hametric 100 配置 ETH1口的 IP地址： work interface eth1 ip add mask label 0 配置 ETH1口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth1 hametric 100 配置 ETH2口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth2 hametric 100 將沒有使用的 ETH2口關(guān)閉： work interface eth2 shutdown 配置同步接口 ETH3 的 IP 地址和 HA 標(biāo)記： work interface eth3 ip add mask hastatic label 0 配置 ETH3口的 METRIC值，用于計算雙機熱備的權(quán)值： work interface eth3 hametric 100 3． 配置路由 配置到 ： work route add dst 配置到 ： work route add dst 4． 配置區(qū)域?qū)傩? 將區(qū)域缺省訪問權(quán)限為禁止 define area add name area_eth0 attribute 39。 access off define area add name area_eth1 attribute 39。 access off 5． 配置主 機對象 define host add name ipaddr 39。 macaddr 00:19:21:50:15:1f define host add name ipaddr 39。 6． 配置訪問策略 允許 PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOSSSN(TCP) MICROSOFTDS(TCP) MSTerminal這些服務(wù)： firewall policy add action accept srcarea 39。 dstarea 39。 src 39。 dst 39。 service 39。 7． 配置雙機熱 備 配置本機同步 IP ha local 配置對端機器同步 IP ha peer 啟動雙機熱備功能 ha enable 注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，唯一不同的只有兩個地方，一個是同步接口 ETH3 的 IP 地址為 ；另一個是雙機熱備配置中的本機同步 IP 和對端機器同步IP 相反，本機 IP 為 ，對端機器 IP 為 ，完成配置之后，我們先接好心跳線，將兩臺防火墻的 ETH3 口連接，然后接上其他接口的網(wǎng)線，到此透 明模式的雙機熱備配