天融信防火墻NGFW4000配置手冊

天融信防火墻NGFW4000迅速配置手冊目錄一、防火墻的幾種管理方式....................................................錯(cuò)誤!不決義書簽。1．串口管理..............................................................錯(cuò)誤!不決義書簽。2．TELNET管理............................................................錯(cuò)誤!不決義書簽。3．SSH管理..............................................................錯(cuò)誤!不決義書簽。4．WEB管理..............................................................錯(cuò)誤!不決義書簽。5．GUI管理..............................................................錯(cuò)誤!不決義書簽。二、命令行常用配置..........................................................錯(cuò)誤!不決義書簽。1．系統(tǒng)管理命令(SYSTEM)..................................................錯(cuò)誤!不決義書簽。命令........................................................................錯(cuò)誤!不決義書簽。功能........................................................................錯(cuò)誤!不決義書簽。WEBUI界面操作地點(diǎn)...........................................................錯(cuò)誤!不決義書簽。二級命令名..................................................................錯(cuò)誤!不決義書簽。VERSION......................................................................錯(cuò)誤!不決義書簽。系統(tǒng)版本信息................................................................錯(cuò)誤!不決義書簽。系統(tǒng)>基本信息...............................................................錯(cuò)誤!不決義書簽。INFORMATION...................................................................錯(cuò)誤!不決義書簽。目前設(shè)施狀態(tài)信息............................................................錯(cuò)誤!不決義書簽。系統(tǒng)>運(yùn)轉(zhuǎn)狀態(tài)...............................................................錯(cuò)誤!不決義書簽。TIME.........................................................................錯(cuò)誤!不決義書簽。系統(tǒng)時(shí)鐘管理................................................................錯(cuò)誤!不決義書簽。系統(tǒng)>系統(tǒng)時(shí)間...............................................................錯(cuò)誤!不決義書簽。CONFIG.......................................................................錯(cuò)誤!不決義書簽。系統(tǒng)配置管理................................................................錯(cuò)誤!不決義書簽。管理器工具欄“保留設(shè)定”按鈕................................................錯(cuò)誤!不決義書簽。REBOOT.......................................................................錯(cuò)誤!不決義書簽。從頭啟動(dòng)....................................................................錯(cuò)誤!不決義書簽。系統(tǒng)>系統(tǒng)重啟...............................................................錯(cuò)誤!不決義書簽。SSHD.........................................................................錯(cuò)誤!不決義書簽。SSH服務(wù)管理命令.............................................................錯(cuò)誤!不決義書簽。系統(tǒng)>系統(tǒng)服務(wù)...............................................................錯(cuò)誤!不決義書簽。TELNETD.......................................................................錯(cuò)誤!不決義書簽。TELNET服務(wù)管理..............................................................錯(cuò)誤!不決義書簽。系統(tǒng)>系統(tǒng)服務(wù)命令...........................................................錯(cuò)誤!不決義書簽。HTTPD........................................................................錯(cuò)誤!不決義書簽。HTTP服務(wù)管理命..............................................................錯(cuò)誤!不決義書簽。系統(tǒng)>系統(tǒng)服務(wù)令.............................................................錯(cuò)誤!不決義書簽。MONITORD......................................................................錯(cuò)誤!不決義書簽。MONITOR.....................................................................錯(cuò)誤!不決義書簽。服務(wù)管理命令無..............................................................錯(cuò)誤!不決義書簽。2．網(wǎng)絡(luò)配置命令(NETWORK).................................................錯(cuò)誤!不決義書簽。3．雙機(jī)熱備命令(HA)......................................................錯(cuò)誤!不決義書簽。4．定義對象命令(DEFINE)..................................................錯(cuò)誤!不決義書簽。5．包過濾命令(PF)........................................................錯(cuò)誤!不決義書簽。6．顯示運(yùn)轉(zhuǎn)配置命令(SHOW_RUNNING)........................................錯(cuò)誤!不決義書簽。7．保留配置命令(SAVE)....................................................錯(cuò)誤!不決義書簽。三、WEB界面常用配置.........................................................錯(cuò)誤!不決義書簽。1．系統(tǒng)管理配置..........................................................錯(cuò)誤!不決義書簽。A)系統(tǒng)>基本信息......................................................錯(cuò)誤!不決義書簽。B)系統(tǒng)>運(yùn)轉(zhuǎn)狀態(tài)......................................................錯(cuò)誤!不決義書簽。C)系統(tǒng)>配置保護(hù)......................................................錯(cuò)誤!不決義書簽。D)系統(tǒng)>系統(tǒng)服務(wù)......................................................錯(cuò)誤!不決義書簽。E)系統(tǒng)>開放服務(wù)......................................................錯(cuò)誤!不決義書簽。F)系統(tǒng)>系統(tǒng)重啟.......................................................錯(cuò)誤!不決義書簽。2．網(wǎng)絡(luò)接口、路由配置....................................................錯(cuò)誤!不決義書簽。A)設(shè)置防火墻接口屬性....................................................錯(cuò)誤!不決義書簽。B)設(shè)置路由..............................................................錯(cuò)誤!不決義書簽。3．對象配置..............................................................錯(cuò)誤!不決義書簽。A)設(shè)置主機(jī)對象..........................................................錯(cuò)誤!不決義書簽。B)設(shè)置范圍對象..........................................................錯(cuò)誤!不決義書簽。C)設(shè)置子網(wǎng)對象..........................................................錯(cuò)誤!不決義書簽。D)設(shè)置地點(diǎn)組............................................................錯(cuò)誤!不決義書簽。E)自定義服務(wù)............................................................錯(cuò)誤!不決義書簽。F)設(shè)置地區(qū)對象..........................................................錯(cuò)誤!不決義書簽。G)設(shè)置時(shí)間對象..........................................................錯(cuò)誤!不決義書簽。4．接見策略配置..........................................................錯(cuò)誤!不決義書簽。5．高可用性配置..........................................................錯(cuò)誤!不決義書簽。四、透明模式配置示例........................................................錯(cuò)誤!不決義書簽。拓補(bǔ)構(gòu)造：..................................................................錯(cuò)誤!不決義書簽。1．用串口管理方式進(jìn)入命令行..............................................錯(cuò)誤!不決義書簽。2．配置接口屬性..........................................................錯(cuò)誤!不決義書簽。3．配置VLAN..............................................................錯(cuò)誤!不決義書簽。4．配置地區(qū)屬性..........................................................錯(cuò)誤!不決義書簽。5．定義對象..............................................................錯(cuò)誤!不決義書簽。6．增添系統(tǒng)權(quán)限..........................................................錯(cuò)誤!不決義書簽。7．配置接見策略..........................................................錯(cuò)誤!不決義書簽。8．配置雙機(jī)熱備..........................................................錯(cuò)誤!不決義書簽。五、路由模式配置示例........................................................錯(cuò)誤!不決義書簽。拓補(bǔ)構(gòu)造：..................................................................錯(cuò)誤!不決義書簽。1．用串口管理方式進(jìn)入命令行..............................................錯(cuò)誤!不決義書簽。2．配置接口屬性..........................................................錯(cuò)誤!不決義書簽。3．配置路由..............................................................錯(cuò)誤!不決義書簽。4．配置地區(qū)屬性..........................................................錯(cuò)誤!不決義書簽。5．配置主機(jī)對象..........................................................錯(cuò)誤!不決義書簽。6．配置接見策略..........................................................錯(cuò)誤!不決義書簽。7．配置雙機(jī)熱備..........................................................錯(cuò)誤!不決義書簽。一、防火墻的幾種管理方式1．串口管理第一次使用網(wǎng)絡(luò)衛(wèi)士防火墻，管理員能夠經(jīng)過CONSOLE口以命令行方式進(jìn)行配置和管理。經(jīng)過CONSOLE口登錄到網(wǎng)絡(luò)衛(wèi)士防火墻，能夠?qū)Ψ阑饓M(jìn)行一些基本的設(shè)置。用戶在首次使用防火墻時(shí)，往常都會(huì)登錄到防火墻改正出廠配置（接口、IP地點(diǎn)等），使在不改變現(xiàn)有網(wǎng)絡(luò)構(gòu)造的狀況下將防火墻接入網(wǎng)絡(luò)中。這里將詳盡介紹怎樣經(jīng)過CONSOLE口連結(jié)到網(wǎng)絡(luò)衛(wèi)士防火墻：1）使用一條串口線（包含在出廠配件中），分別連結(jié)計(jì)算機(jī)的串口（這里假定使用com1）和防火墻的CONSOLE口。2）選擇開始>程序>附件>通信>超級終端，系統(tǒng)提示輸入新建連結(jié)的名稱。3）輸入名稱，這里假定名稱為“TOPSEC”，點(diǎn)擊“確立”后，提示選擇使用的接口（假定使用com1）。4）設(shè)置com1口的屬性，依據(jù)以下參數(shù)進(jìn)行設(shè)置。參數(shù)名稱取值每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗(yàn)：無停止位：15）成功連結(jié)到防火墻后，超級終端界面會(huì)出現(xiàn)輸入用戶名/密碼的提示，以下列圖。6）輸入系統(tǒng)默認(rèn)的用戶名：superman和密碼：talent，即可登錄到網(wǎng)絡(luò)衛(wèi)士防火墻。登錄后，用戶便可使用命令行方式對網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行配置管理。2．TELNET管理TELNET管理也是命令行管理方式，要進(jìn)行TELNET管理，一定進(jìn)行以下設(shè)置：1)在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany”命令增添管理權(quán)限2)在串口下用“systemtelnetdstart”命令啟動(dòng)TELNET管理服務(wù)3)知道管理IP地點(diǎn)，或許用“networkinterfaceeth0ipaddmask命令增添管理IP地點(diǎn)而后用各樣命令行客戶端(如WINDOWSCMD命令行)管理：TELNET最后輸入用戶名和密碼進(jìn)行管理命令行如圖：3．SSH管理SSH管理和TELNET基本一至，只可是SSH是加密的，我們用以下步驟管理：1)在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany”命令增添管理權(quán)限在串口下用“systemsshdstart”命令啟動(dòng)TELNET管理服務(wù)3)知道管理IP地點(diǎn)，或許用“networkinterfaceeth0ipaddmask命令增添管理IP地點(diǎn)而后用各樣命令行客戶端(如putty命令行)管理：最后輸入用戶名和密碼進(jìn)行管理命令行如圖：4．WEB管理1)防火墻在出廠時(shí)缺省已經(jīng)配置有WEB界面管理權(quán)限，假如沒有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany”命令增添。2)WEB管理服務(wù)缺省是啟動(dòng)的，假如沒有啟動(dòng)，也可用“systemhttpdstart”命令翻開，管理員在管理主機(jī)的閱讀器上輸入防火墻的管理URL，比如：，彈出以下的登錄頁面。輸入用戶名密碼后（網(wǎng)絡(luò)衛(wèi)士防火墻默認(rèn)出廠用戶名/密碼為：superman/talent），點(diǎn)擊“提交”，就能夠進(jìn)入管理頁面。5．GUI管理GUI圖形界面管理跟WEB界面同樣，不過，在管理中心中集成了一些安全工具，如監(jiān)控，抓包，追蹤等安裝管理中心軟件運(yùn)轉(zhuǎn)管理軟件右擊樹形“TOPSEC管理中心”增添管理IP右擊管理IP地點(diǎn)，選擇“管理”，輸入用戶名和密碼進(jìn)行管理也可右擊管理IP地點(diǎn)，選擇“安全工具”，進(jìn)行及時(shí)監(jiān)控選擇：安全工具-連結(jié)監(jiān)控點(diǎn)擊啟動(dòng)，在彈出的窗口中增添過濾條件，可用缺省值監(jiān)控所有連結(jié)。選中增添的過濾條件，點(diǎn)設(shè)置就能夠看到及時(shí)的監(jiān)控成效了，以下列圖：二、命令行常用配置(注：用串口、TELNET、SSH方式進(jìn)入到命令行管理界面，天融信防火墻命令行管理能夠達(dá)成所有圖形界面管理功能，命令行支持TAB鍵補(bǔ)齊和TAB鍵幫助，命令支持多級操作，能夠在系統(tǒng)級，也就是第一級直接輸入完好的命令；也能夠進(jìn)入相應(yīng)的功能組件級，輸入對應(yīng)組件命令。詳細(xì)分級以下表：)系統(tǒng)級系統(tǒng)級為第一級，供給設(shè)施的基本管理命令。CLI管理員登錄后，直接進(jìn)入該級，顯示為：TopsecOS#。組件級組件級為第二級，供給每個(gè)安全組件（SE）所特有的管理命令。在系統(tǒng)級下，TopsecOS#<tab>按tab鍵，則顯示出安全組件級命令見下表。類型重點(diǎn)字內(nèi)容說明system系統(tǒng)管理目錄network網(wǎng)絡(luò)設(shè)置Ha高可用性設(shè)置define網(wǎng)絡(luò)對象定義debug調(diào)試log日記設(shè)置authentication認(rèn)證設(shè)置Snmp簡單網(wǎng)絡(luò)管理協(xié)議配置pf包過濾規(guī)則設(shè)置dpi深度報(bào)文檢測策略定義一級命令名firewall防火墻規(guī)則設(shè)置nat地點(diǎn)變換策略配置Vpn虛構(gòu)私有網(wǎng)地道配置與操作IDS入侵監(jiān)測配置Qos帶寬控制配置AVSE防病毒安全引擎管理設(shè)置save保留配置Show_running查察運(yùn)轉(zhuǎn)時(shí)配之信息Show查察配置helpmode幫助模式設(shè)定exit退出系統(tǒng)1．系統(tǒng)管理命令(SYSTEM)在命令行下一般用命令二級命令名

SYSTEM命令來管理和查察系統(tǒng)配置：功能WEBUI界面操作地點(diǎn)Version系統(tǒng)版本信息系統(tǒng)>基本信息information目前設(shè)施狀態(tài)信息系統(tǒng)>運(yùn)轉(zhuǎn)狀態(tài)time系統(tǒng)時(shí)鐘管理系統(tǒng)>系統(tǒng)時(shí)間config系統(tǒng)配置管理管理器工具欄“保留設(shè)定”按鈕reboot從頭啟動(dòng)系統(tǒng)>系統(tǒng)重啟sshdSSH服務(wù)管理命令系統(tǒng)>系統(tǒng)服務(wù)telnetdTELNET服務(wù)管理系統(tǒng)>系統(tǒng)服務(wù)命令httpdHTTP服務(wù)管理命系統(tǒng)>系統(tǒng)服務(wù)令monitordMONITOR服務(wù)管理命令無2．網(wǎng)絡(luò)配置命令(NETWORK)命令功能WEBUI界面操作地點(diǎn)interface防火墻接口管理網(wǎng)絡(luò)>物理接口vlanVlan配置管理網(wǎng)絡(luò)>VLANroute路由表配置管理網(wǎng)絡(luò)>靜態(tài)路由Ping考證網(wǎng)絡(luò)連結(jié)無3．雙機(jī)熱備命令(HA)HALOCAL<ipaddress>設(shè)置HA接口的本機(jī)地點(diǎn)HAPEER<ipaddress>設(shè)置HA接口的對端地點(diǎn)HAPEER-SERIAL<string>設(shè)置HA接口的對端的licence序列號(hào)HANO<local|peer|peer-serial>復(fù)位HA接口的本機(jī)地點(diǎn)/對端地點(diǎn)/對端licence序列號(hào)HAPRIORITY<primary|backup>設(shè)定HA優(yōu)先級是主機(jī)優(yōu)先仍是備份機(jī)優(yōu)先（默認(rèn)為backup，即假如同時(shí)啟動(dòng)主機(jī)成為活HASHOW<cr>查察HA的配置信息HAENABLE<cr>啟動(dòng)HAHADISABLE<cr>停用HAHACLEAN<cr>消除HA配置信息HASYNC<from-peer|to-peer>HA同步（從對端機(jī)上同步配置/同步配置到對端機(jī)上）4．定義對象命令(DEFINE)命令功能WEBUI操作地點(diǎn)area地區(qū)對象管理對象>地區(qū)對象interface配置防火墻接口對應(yīng)的地區(qū)屬性對象>地區(qū)對象host主機(jī)地點(diǎn)對象管理對象>地點(diǎn)對象range地點(diǎn)范圍對象管理對象>地點(diǎn)對象subnet子網(wǎng)地點(diǎn)對象對象>地點(diǎn)對象group_address地點(diǎn)組對象管理對象>地點(diǎn)對象service子定義服務(wù)對象管理對象>服務(wù)對象group_service服務(wù)組對象管理對象>服務(wù)對象schedule時(shí)間表對象管理對象>時(shí)間對象server服務(wù)器對象管理對象>負(fù)載平衡virtual_server虛構(gòu)服務(wù)器對象管理對象>負(fù)載平衡5．包過濾命令(PF)

主機(jī)對象范圍對象子網(wǎng)對象地點(diǎn)組對象自定義服務(wù)服務(wù)組服務(wù)器平衡組增添一條服務(wù)接見規(guī)則SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area<string><[addressid<number>]|[addressname<addr_name>]>6．顯示運(yùn)轉(zhuǎn)配置命令(SHOW_RUNNING)SHOW_RUNNING7．保留配置命令(SAVE)SAVE三、WEB界面常用配置用閱讀器或許集中管理中心登錄到WEB管理界面以下：1．系統(tǒng)管理配置在“系統(tǒng)”下，能夠顯示或配置系統(tǒng)有關(guān)設(shè)置系統(tǒng)>基本信息顯示系統(tǒng)的型號(hào)、版本、功能模塊、接口信息等等：系統(tǒng)>運(yùn)轉(zhuǎn)狀態(tài)查察系統(tǒng)的運(yùn)轉(zhuǎn)狀態(tài)，包含CPU、內(nèi)存使用狀況和目前連結(jié)數(shù)等系統(tǒng)>配置保護(hù)上傳或下載配置文件系統(tǒng)>系統(tǒng)服務(wù)系統(tǒng)服務(wù)在本系統(tǒng)中主假如指監(jiān)控服務(wù)、SSH服務(wù)、Telnet服務(wù)和HTTP服務(wù)。TOS系統(tǒng)供給了對這些服務(wù)的控制（啟動(dòng)和停止）功能，其詳細(xì)的操作以下：系統(tǒng)>開放服務(wù)增添或查察系統(tǒng)權(quán)限，包含WEB管理、GUI管理、TELNET管理、SSH管理、監(jiān)控等等F)系統(tǒng)>系統(tǒng)重啟2．網(wǎng)絡(luò)接口、路由配置A)設(shè)置防火墻接口屬性用戶能夠?qū)W(wǎng)絡(luò)衛(wèi)士防火墻的物理接口的屬性進(jìn)行設(shè)置，詳細(xì)步驟以下：1）在管理界面左邊導(dǎo)航菜單中選擇網(wǎng)絡(luò)>物理接口，能夠看到防火墻的所有物理接口，以下列圖所示，共有三個(gè)物理接口：Eth0、Eth1、Eth2。2）假如要將某端口設(shè)為路由模式，點(diǎn)擊該端口后的路由改正圖標(biāo)“”，彈出“設(shè)定路由”對話框，以下列圖所示。能夠?yàn)槟硞€(gè)端口設(shè)置多個(gè)IP地點(diǎn)，點(diǎn)擊“增添配置”按鈕，增添接口的IP地點(diǎn)。假如選擇“ha-static”,表示雙機(jī)熱備的兩臺(tái)設(shè)施在進(jìn)行主從切換時(shí)，能夠保留本來的地點(diǎn)不變，不然，從墻的地址將被主墻覆蓋。網(wǎng)絡(luò)衛(wèi)士防火墻不支持不一樣的物理接口配置同樣的IP地點(diǎn)或IP地點(diǎn)在同一子網(wǎng)內(nèi)。3）假如要將某端口設(shè)互換模式，點(diǎn)擊該端口后的互換改正圖標(biāo)“”，彈出“互換”設(shè)置窗口，以下圖所示。第一，需要確立該接口的種類是“Access”仍是“Trunk”。假如是“Access”接口，則表示該互換接口只屬于一個(gè)VLAN，需要指定所屬的VLID號(hào)碼，如上圖所示。如是“Trunk”接口，則設(shè)置參數(shù)界面以下列圖所示。上圖參數(shù)說明以下表所示：點(diǎn)擊“提交設(shè)定”則達(dá)成接口從路由模式向互換模式的變換。4）點(diǎn)擊“其余”按鈕，能夠設(shè)置接口的其余信息，以下列圖。設(shè)置路由用戶能夠在網(wǎng)絡(luò)衛(wèi)士防火墻上設(shè)置策略路由及靜態(tài)路由，詳細(xì)步驟以下：1）在左邊導(dǎo)航菜單中選擇網(wǎng)絡(luò)>靜態(tài)路由，能夠看到已經(jīng)增添的策略路由表以及系統(tǒng)自動(dòng)增添的靜態(tài)路由表，以下列圖所示。2）設(shè)置策略路由，點(diǎn)擊“增添策略路由”，以下列圖所示。此中“網(wǎng)關(guān)”為下一跳路由器的進(jìn)口地點(diǎn)，“端口”指定了從防火墻設(shè)施的哪一個(gè)接口（包含物理接口和VLAN虛接口）發(fā)送數(shù)據(jù)包。Metric為接口躍點(diǎn)數(shù)，默認(rèn)為1。假如選擇“NAT后的源”為“是”，表示策略路由的源地點(diǎn)為NAT后的地點(diǎn)，策略路由增添成功后的“標(biāo)志”一欄顯示為“UGM”。默認(rèn)為“否”，策略路由增添成功后的“標(biāo)志”一欄顯示為“U”。3）設(shè)置達(dá)成后，點(diǎn)擊“提交設(shè)定”按鈕，假如增添成功會(huì)彈出“增添成功”對話框。點(diǎn)擊“撤消返回”則放棄增添，返回上一界面。若要?jiǎng)h除某路由項(xiàng)，點(diǎn)擊該路由項(xiàng)所內(nèi)行的刪除圖標(biāo)“”進(jìn)行刪除。4）挪動(dòng)策略路由。因?yàn)椴呗月男袨榈谝话闩湓瓌t，則策略的次序與策略的邏輯有關(guān)，在此能夠改變增添策略時(shí)候的缺省的履行次序（依據(jù)增添次序擺列）。詳細(xì)設(shè)置方法為：在策略路由表中點(diǎn)擊要挪動(dòng)的路由選項(xiàng)（比如要挪動(dòng)策略路由102）后的“挪動(dòng)”圖標(biāo)按鈕，進(jìn)入以下界面。在第一個(gè)下拉框中選擇參照地點(diǎn)路由，第二個(gè)下拉框中則是選擇將目前路由挪動(dòng)到參照路由以前仍是以后。比如：要將路由102挪動(dòng)到路由101以前，則第一個(gè)下拉框選擇ID“101”，第二個(gè)下拉框選擇“以前”，點(diǎn)擊“提交設(shè)定”按鈕，則彈出挪動(dòng)成功對話框。點(diǎn)擊“確立”返回路由界面，能夠看到路由102已經(jīng)挪動(dòng)到了101以前，以下列圖所示。3．對象配置設(shè)置主機(jī)對象選擇對象>地點(diǎn)對象>主機(jī)對象，右邊界面顯示已有的主機(jī)對象，以下列圖所示。點(diǎn)擊“增添配置”，系統(tǒng)出現(xiàn)增添主機(jī)對象屬性的頁面，以下列圖所示。設(shè)置范圍對象選擇對象>地點(diǎn)對象>地點(diǎn)范圍，右邊界面顯示已有的地點(diǎn)范圍對象，以下列圖所示。點(diǎn)擊“增添配置”，進(jìn)入地點(diǎn)范圍對象屬性的頁面，以下列圖所示。設(shè)置子網(wǎng)對象”進(jìn)行改正?！边M(jìn)行刪除。選擇對象>地點(diǎn)對象>子網(wǎng)對象，在右邊頁面內(nèi)顯示已有的子網(wǎng)地點(diǎn)對象，以下列圖所示。設(shè)置地點(diǎn)組不一樣的地點(diǎn)對象能夠組合為一個(gè)地點(diǎn)組，用作定義策略的目的或源。地點(diǎn)組的支持加強(qiáng)了對象管理的層次性，使管理更為靈巧。設(shè)置地點(diǎn)組對象的步驟以下：1）選擇對象>地點(diǎn)對象>地點(diǎn)組，在右邊頁面內(nèi)顯示已有的地點(diǎn)組對象，以下列圖所示。2）選擇“增添配置”，系統(tǒng)出現(xiàn)以下列圖所示的頁面。自定義服務(wù)當(dāng)預(yù)約義的服務(wù)中找不到我們需要的服務(wù)端口時(shí)，我們能夠自己定義服務(wù)端口：1）選擇對象>服務(wù)對象>自定義服務(wù)，點(diǎn)擊“增添配置”，系統(tǒng)出現(xiàn)以下頁面。2）輸入對象名稱后，設(shè)置協(xié)議種類及端口號(hào)范圍。3）點(diǎn)擊“提交設(shè)定”，達(dá)成設(shè)置。設(shè)置地區(qū)對象系統(tǒng)支持地區(qū)的觀點(diǎn)，用戶能夠依據(jù)實(shí)質(zhì)狀況，將網(wǎng)絡(luò)區(qū)分為不一樣的安全域，并依據(jù)其不一樣的安全需求，定義相應(yīng)的規(guī)則進(jìn)行地區(qū)界限防備。假如不存在可般配的接見控制規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將依據(jù)目的接口所在地區(qū)的權(quán)限辦理該報(bào)文。設(shè)置地區(qū)對象，詳細(xì)操作以下：1）選擇對象>地區(qū)對象，顯示已有的地區(qū)對象。防火墻出廠配置中缺省地區(qū)對象為AREA_ETH0，并已和缺省屬性對象eth0綁定，而屬性對象eth0已和接口eth0綁定，所以出廠配置中防火墻的物理接口eth0已屬于地區(qū)AREA_ETH0。2）點(diǎn)擊“增添配置”，增添一個(gè)地區(qū)對象，以下列圖所示。在“對象名稱”部分輸入地區(qū)對象名稱；在“權(quán)限選擇”部分設(shè)定和該地區(qū)所屬屬性綁定的接口的缺省屬性（同意接見或嚴(yán)禁接見）。在“選擇屬性”部分的左邊文本框中選擇接口，而后點(diǎn)擊增添該地區(qū)擁有的屬性，被選接口將出現(xiàn)在右邊的“被選屬性”文本框中，能夠同時(shí)選擇一個(gè)或多個(gè)。3）設(shè)置達(dá)成后，點(diǎn)擊“提交設(shè)定”按鈕，假如增添成功會(huì)彈出“增添成功”對話框。4）點(diǎn)擊“撤消返回”則放棄增添，返回上一界面。5）若要改正地區(qū)對象的設(shè)置，點(diǎn)擊該地區(qū)對象所內(nèi)行的改正圖標(biāo)“6）若要?jiǎng)h除地區(qū)對象，點(diǎn)擊該地區(qū)對象所內(nèi)行的刪除圖標(biāo)“設(shè)置時(shí)間對象用戶能夠設(shè)置時(shí)間對象，以便在接見控制規(guī)則中引用，進(jìn)而實(shí)現(xiàn)更細(xì)粒度的控制。比方，用戶希望針對工作時(shí)間和非工作時(shí)間設(shè)置不一樣的接見控制規(guī)則，引入時(shí)間對象的觀點(diǎn)很簡單解決該類問題。設(shè)置時(shí)間對象，詳細(xì)操作以下：1）選擇對象>時(shí)間對象，點(diǎn)擊“增添配置”，系統(tǒng)出現(xiàn)以下頁面。2）挨次設(shè)置“對象名稱”、“每周時(shí)段”和“每天時(shí)段”。3）最后點(diǎn)擊“提交設(shè)定”，達(dá)成對象設(shè)置。新增添的對象將顯示在時(shí)間對象列表中，以下列圖所示。4）對已經(jīng)增添的時(shí)間對象，能夠點(diǎn)擊改正圖標(biāo)改正其屬性，也能夠點(diǎn)擊刪除圖標(biāo)刪除該對象。4．接見策略配置用戶能夠經(jīng)過設(shè)置接見控制規(guī)則實(shí)現(xiàn)靈巧、強(qiáng)盛的三到七層的接見控制。系統(tǒng)不只能夠從地區(qū)、VLAN、地點(diǎn)、用戶、連結(jié)、時(shí)間等多個(gè)層面對數(shù)據(jù)報(bào)文進(jìn)行鑒別和般配，并且還能夠針對多種應(yīng)用層協(xié)議進(jìn)行深度內(nèi)容檢測和過濾。與報(bào)文阻斷策略同樣，接見控制規(guī)則也是次序般配的，但與其不一樣，接見控制規(guī)則沒有默認(rèn)規(guī)則。也就是說，假如沒有在接見控制規(guī)則列表的末端增添一條所有拒絕的規(guī)則的話，系統(tǒng)將依據(jù)目的接口所在地區(qū)的缺省屬性（同意接見或嚴(yán)禁接見）辦理該報(bào)文。定義接見規(guī)則，操作步驟以下：1）選擇防火墻引擎>接見控制，點(diǎn)擊“增添配置”，進(jìn)入接見控制規(guī)則定義界面。表中“ID”為每項(xiàng)規(guī)則的編號(hào)，在挪動(dòng)規(guī)則次序時(shí)將會(huì)使用。“控制”中的圖標(biāo)和，分別表示該項(xiàng)規(guī)則是否啟用。2）定義能否啟用該接見控制規(guī)則（默認(rèn)為啟用該規(guī)則），以及接見權(quán)限。接見權(quán)限制義了能否同意接見由規(guī)則源到規(guī)則目的所指定的服務(wù)。3）定義規(guī)則的源規(guī)則的源既能夠是一個(gè)已經(jīng)定義好的VLAN或地區(qū)，也能夠細(xì)化到一個(gè)或多個(gè)地點(diǎn)對象以及用戶組對象，以下列圖所示。圖中“選擇源”右邊的按鈕為正序擺列和倒序擺列，用戶能夠方便的按次查找項(xiàng)目。此外，用戶還能夠選擇相應(yīng)的服務(wù)，即設(shè)置源端口，以下列圖所示。4）定義規(guī)則的目的規(guī)則的目的既能夠是一個(gè)已經(jīng)定義好的VLAN或地區(qū)，也能夠細(xì)化到一個(gè)或多個(gè)地址對象以及用戶組對象，以下列圖所示。此外，用戶還能夠設(shè)置進(jìn)行地點(diǎn)變換前的目的地點(diǎn)，以下列圖所示。5）定義服務(wù)選擇接見規(guī)則包含的服務(wù)，假如用戶需要擬訂的服務(wù)沒有包含在服務(wù)列表中，能夠經(jīng)過增添自定義服務(wù)增添所需服務(wù)。假如沒有選擇任何服務(wù)，則系統(tǒng)默認(rèn)為選擇所有服務(wù)。6）定義協(xié)助選項(xiàng)各項(xiàng)參數(shù)說明以下：7）點(diǎn)擊“提交設(shè)定”達(dá)成該條接見控制規(guī)則的設(shè)定。8）用戶能夠點(diǎn)擊“改正”按鈕，對現(xiàn)有規(guī)則進(jìn)行編寫。能夠點(diǎn)擊“插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。8）點(diǎn)擊“清空配置”，能夠消除所有的接見控制規(guī)則，便于從頭配置。9）需要改正規(guī)則的般配次序時(shí)點(diǎn)擊該規(guī)則右邊“挪動(dòng)”按鈕，以下列圖所示。用戶能夠選擇相應(yīng)ID、地點(diǎn)，挪動(dòng)策略。達(dá)成后點(diǎn)擊“提交設(shè)定”保留或“撤消返回”放棄挪動(dòng)。5．高可用性配置配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟以下：1）選擇系統(tǒng)>高可用性，進(jìn)入高可用性設(shè)置頁面，以下列圖所示。2）設(shè)置主/從設(shè)施參數(shù)，參數(shù)說明請拜見下表。3）點(diǎn)擊“提交設(shè)定”，達(dá)成雙機(jī)熱備設(shè)置。四、透明模式配置示例拓補(bǔ)構(gòu)造：1．用串口管理方式進(jìn)入命令行用WINDOWS自帶的超級終端或許SecureCRT軟件，使用9600的速率，用串口線連結(jié)到防火墻，用戶名是superman，密碼是talent。(詳細(xì)方法見第一節(jié))，下邊是詳細(xì)配置，加粗顯示的為命令行。2．配置接口屬性ETH0將ETH0口配置為互換模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth0ha-metric100ETH1將ETH1口配置為互換模式：networkinterfaceeth1switchport配置ETH1口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth1ha-metric100ETH2配置ETH2口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth2ha-metric100將沒有使用的ETH2口封閉：networkinterfaceeth2shutdownETH3配置同步接口ETH3的IP地點(diǎn)和HA標(biāo)志：networkinterfaceeth3ipaddmaskha-staticlabel0配置ETH3口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth3ha-metric1003．配置VLAN增添VLAN1：networkvlanaddid1為VLAN1增添IP地點(diǎn)：networkinterfaceipaddmasklabel04．配置地區(qū)屬性將地區(qū)缺省接見權(quán)限為嚴(yán)禁defineareaaddnamearea_eth0attribute'eth0'accessoffdefineareaaddnamearea_eth1attribute'eth1'accessoff5．定義對象定義主機(jī)地點(diǎn)對象definehostaddnameipaddr''macaddr00:19:21:50:15:1fdefinehostaddnameipaddr''定義時(shí)間對象definescheduleaddname上班時(shí)間week12345start08:00end18:006．增添系統(tǒng)權(quán)限為ETH0口增添TELNET權(quán)限pfserviceaddnametelnetareaarea_eth0addressnameany7．配置接見策略同意在'上班時(shí)間'接見的PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal這些服務(wù)：firewallpolicyaddactionacceptsrcarea'area_eth0