天融信防火墻NGFW4000配置手冊

天融信防火墻NGFW4000迅速配置手冊之勘阻及廣創(chuàng)作目錄一、防火墻的幾種管理方式41．串口管理52．TELNET管理53．SSH管理64．WEB管理65．GUI管理7二、命令行常常使用配置81．系統(tǒng)管理命令(SYSTEM)8命令9功能9WEBUI界面操控地點9二級命令名9VERSION9系統(tǒng)版本信息9系統(tǒng)>基本信息9INFORMATION9目前設施狀態(tài)信息9系統(tǒng)>運轉(zhuǎn)狀態(tài)9TIME9系統(tǒng)時鐘管理9系統(tǒng)>系統(tǒng)時間9CONFIG9系統(tǒng)配置管理9管理器工具欄“保存設定”按鈕9REBOOT9從頭啟動9系統(tǒng)>系統(tǒng)重啟9SSHD9SSH服務管理命令9系統(tǒng)>系統(tǒng)服務9TELNETD9TELNET服務管理9系統(tǒng)>系統(tǒng)服務命令9HTTPD9HTTP服務管理命9系統(tǒng)>系統(tǒng)服務令9MONITORD9MONITOR9服務管理命令無92．網(wǎng)絡配置命令(NETWORK)93．雙機熱備命令(HA)94．定義對象命令(DEFINE)105．包過濾命令(PF)106．顯示運轉(zhuǎn)配置命令(SHOW_RUNNING)107．保存配置命令(SAVE)10三、WEB界面常常使用配置111．系統(tǒng)管理配置11系統(tǒng)>基本信息11系統(tǒng)>運轉(zhuǎn)狀態(tài)11系統(tǒng)>配置保護11系統(tǒng)>系統(tǒng)服務11系統(tǒng)>開放服務11系統(tǒng)>系統(tǒng)重啟112．網(wǎng)絡接口、路由配置11設置防火墻接口屬性11設置路由123．對象配置14設置主機對象14設置范圍對象14設置子網(wǎng)對象14設置地點組14自定義服務15設置地區(qū)對象15設置時間對象164．接見戰(zhàn)略配置175．高可用性配置18四、透明模式配置示例20拓補構(gòu)造：201．用串口管理方式進入命令行202．配置接口屬性203．配置VLAN214．配置地區(qū)屬性215．定義對象216．增添系統(tǒng)權(quán)限217．配置接見戰(zhàn)略218．配置雙機熱備22五、路由模式配置示例23拓補構(gòu)造：231．用串口管理方式進入命令行232．配置接口屬性233．配置路由244．配置地區(qū)屬性245．配置主機對象246．配置接見戰(zhàn)略247．配置雙機熱備24一、防火墻的幾種管理方式1．串口管理第一次使用網(wǎng)絡衛(wèi)士防火墻，管理員能夠經(jīng)過CONSOLE口以命令行方式進行配置和管理。經(jīng)過CONSOLE口登錄到網(wǎng)絡衛(wèi)士防火墻，能夠?qū)Ψ阑饓M行一些基本的設置。用戶在首次使用防火墻時，往常都會登錄到防火墻改正出廠配置（接口、IP地點等），使在不改變現(xiàn)有網(wǎng)絡構(gòu)造的狀況下將防火墻接入網(wǎng)絡中。這里將詳盡介紹怎樣經(jīng)過CONSOLE口連結(jié)到網(wǎng)絡衛(wèi)士防火墻：1）使用一條串口線（包括在出廠配件中），分別連結(jié)計算機的串口（這里假定使用com1）和防火墻的CONSOLE口。2）選擇開始>程序>附件>通信>超等終端，系統(tǒng)提示輸入新建連結(jié)的名稱。3）輸入名稱，這里假定名稱為“TOPSEC”，點擊“確立”后，提示選擇使用的接口（假定使用com1）。4）設置

com1

口的屬性，依據(jù)以下參數(shù)進行設置。參數(shù)名稱

取值每秒位數(shù)：

9600數(shù)據(jù)位：奇偶校驗：

8無停止位：

15）成功連結(jié)到防火墻后，超等終端界面會出現(xiàn)輸入用戶名

/密碼的提示，如下列圖。6）輸入系統(tǒng)默認的用戶名：

superman

和密碼：

talent

，即可登錄到網(wǎng)絡衛(wèi)士防火墻。登錄后，用戶便可使用命令行方式對網(wǎng)絡衛(wèi)士防火墻進行配置管理。2．TELNET管理TELNET管理也是命令行管理方式，要進行TELNET管理，一定進行以下設置：1)在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany”命令增添管理權(quán)限2)在串口下用“systemtelnetdstart”命令啟動TELNET管理服務3)知道管理IP地點，或許用“networkinterfaceeth0ipadd”命令增添管理IP地點4)最后輸入用戶名和密碼進行管理命令行如圖：3．SSH管理SSH管理和TELNET基本一至，只可是SSH是加密的，我們用以下步伐管理：在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany”命令增添管理權(quán)限在串口下用“systemsshdstart”命令啟動TELNET管理服務3)知道管理IP地點，或許用“networkinterfaceeth0ipadd”命令增添管理IP地點4)最后輸入用戶名和密碼進行管理命令行如圖：4．WEB管理防火墻在出廠時缺省已經(jīng)配置有WEB界面管理權(quán)限，假如沒有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany

”命令增添。2)WEB管理服務缺省是啟動的

，假如沒有啟動，也可用“

systemhttpdstart

”命令翻開，管理員在管理主機的閱讀器上輸入防火墻的管理

URL，比如：，彈出以下的登錄頁面。輸入用戶名密碼后（網(wǎng)絡衛(wèi)士防火墻默認出廠用戶名/密碼為：superman/talent），點擊“提交”，就能夠進入管理頁面。5．GUI管理GUI圖形界面管理跟WEB界面同樣，不過，在管理中心中集成了一些安全工具，如監(jiān)控，抓包，追蹤等裝置管理中心軟件運轉(zhuǎn)管理軟件右擊樹形“TOPSEC管理中心”增添管理IP右擊管理IP地點，選擇“管理”，輸入用戶名和密碼進行管理也可右擊管理IP地點，選擇“安全工具”，進行及時監(jiān)控選擇：安全工具-連結(jié)監(jiān)控點擊啟動，在彈出的窗口中增添過濾條件，可用缺省值監(jiān)控所有連結(jié)。選中增添的過濾條件，點設置就能夠看到及時的監(jiān)控成效了，以下列圖：二、命令行常常使用配置(注：用串口、TELNET、SSH方式進入到命令行管理界面，天融信防火墻命令行管理能夠達成所有圖形界面管理功能，命令行支持TAB鍵補齊和TAB鍵幫忙，命令支持多級操控，能夠在系統(tǒng)級，也就是第一級直接輸入完好的命令；也能夠進入相應的功能組件級，輸入對應組件命令。詳細分級以下表：)系統(tǒng)級系統(tǒng)級為第一級，供給設施的基本管理命令。CLI管理員登錄后，直接進入該級，顯示為：TopsecOS#。組件級組件級為第二級，供給每個安全組件（SE）所特有的管理命令。在系統(tǒng)級下，TopsecOS#<tab>按tab鍵，則顯示出安全組件級命令見下表。類型重點字內(nèi)容systemnetworkHadefinedebuglogauthenticationSnmppfdpi一級命令名firewallnatVpnIDSQosAVSEsaveShow_runningShowhelpmodeexit

說明系統(tǒng)管理目錄網(wǎng)絡設置高可用性設置網(wǎng)絡對象定義調(diào)試日記設置認證設置簡單網(wǎng)絡管理協(xié)議配置包過濾規(guī)則設置深度報文檢測戰(zhàn)略定義防火墻規(guī)則設置地點變換戰(zhàn)略配置虛構(gòu)私有網(wǎng)地道配置與操控入侵監(jiān)測配置帶寬控制配置防病毒安全引擎管理設置保存配置檢查運轉(zhuǎn)時配之信息檢查配置幫忙模式設定退出系統(tǒng)1．系統(tǒng)管理命令(SYSTEM)在命令行下一般用SYSTEM命令來管理和檢查系統(tǒng)配置：命令功能WEBUI界面操控地點Version系統(tǒng)版本信息系統(tǒng)>基本信息information目前設施狀態(tài)信息系統(tǒng)>運轉(zhuǎn)狀態(tài)time系統(tǒng)時鐘管理系統(tǒng)>系統(tǒng)時間二級命令名config系統(tǒng)配置管理管理器工具欄“保存設定”按鈕reboot從頭啟動系統(tǒng)>系統(tǒng)重啟sshdSSH服務管理命令系統(tǒng)>系統(tǒng)服務telnetdTELNET服務管理系統(tǒng)>系統(tǒng)服務命令httpdHTTP服務管理命系統(tǒng)>系統(tǒng)服務令monitordMONITOR服務管理命令無2．網(wǎng)絡配置命令(NETWORK)命令功能WEBUI界面操控地點interface防火墻接口管理網(wǎng)絡>物理接口vlanVlan配置管理網(wǎng)絡>VLANroute路由表配置管理網(wǎng)絡>靜態(tài)路由Ping考證網(wǎng)絡連結(jié)無3．雙機熱備命令(HA)HALOCAL<ipaddress>設置HA接口的本機地點HAPEER<ipaddress>設置HA接口的對端地點HAPEER-SERIAL<string>設置HA接口的對端的licence序列號HANO<local|peer|peer-serial>復位HA接口的本機地點/對端地點/對端licence序列號HAPRIORITY<primary|backup>設定HA優(yōu)先級是主機優(yōu)先仍是備份機優(yōu)先（默認為backup，即假如同時啟動主機成為活HASHOW<cr>檢查HA的配置信息HAENABLE<cr>啟動HAHADISABLE<cr>停用HAHACLEAN<cr>消除HA配置信息HASYNC<from-peer|to-peer>HA同步（從對端機上同步配置/同步配置到對端機上）4．定義對象命令(DEFINE)命令功能WEBUI操控地點area地區(qū)對象管理對象>地區(qū)對象interface配置防火墻接口對應的地區(qū)屬性對象>地區(qū)對象host主機地點對象管理對象>地點對象>主機對象range地點范圍對象管理對象>地點對象>范圍對象subnet子網(wǎng)地點對象對象>地點對象>子網(wǎng)對象group_address地點組對象管理對象>地點對象>地點組對象service子定義服務對象管理對象>服務對象>自定義服務group_service服務組對象管理對象>服務對象>服務組schedule時間表對象管理對象>時間對象server服務器對象管理對象>負載平衡>服務器virtual_server虛構(gòu)服務器對象管理對象>負載平衡>平衡組5．包過濾命令(PF)增添一條服務接見規(guī)則SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area<string><[addressid<number>]|[addressname<addr_name>]>6．顯示運轉(zhuǎn)配置命令(SHOW_RUNNING)SHOW_RUNNING7．保存配置命令(SAVE)SAVE三、WEB界面常常使用配置用閱讀器或許集中管理中心登錄到WEB管理界面以下：1．系統(tǒng)管理配置在“系統(tǒng)”下，能夠顯示或配置系統(tǒng)有關設置8．系統(tǒng)>基本信息顯示系統(tǒng)的型號、版本、功能模塊、接口信息等等：9．系統(tǒng)>運轉(zhuǎn)狀態(tài)檢查系統(tǒng)的運轉(zhuǎn)狀態(tài)，包括CPU、內(nèi)存使用狀況和目前連結(jié)數(shù)等10．系統(tǒng)>配置保護上傳或下載配置文件11．系統(tǒng)>系統(tǒng)服務系統(tǒng)服務在本系統(tǒng)中主假如指監(jiān)控服務、SSH服務、Telnet服務和HTTP服務。TOS系統(tǒng)供給了對這些服務的控制（啟動和停止）功能，其詳細的操控以下：12．系統(tǒng)>開放服務增添或檢查系統(tǒng)權(quán)限，包括WEB管理、GUI管理、TELNET管理、SSH管理、監(jiān)控等等13．系統(tǒng)>系統(tǒng)重啟2．網(wǎng)絡接口、路由配置設置防火墻接口屬性用戶能夠?qū)W(wǎng)絡衛(wèi)士防火墻的物理接口的屬性進行設置，詳細步伐如下：1）在管理界面左邊導航菜單中選擇網(wǎng)絡>物理接口，能夠看到防火墻的所有物理接口，以下列圖所示，共有三個物理接口：Eth0、Eth1、Eth2。2）假如要將某端口設為路由模式，點擊該端口后的路由改正圖標“”，彈出“設定路由”對話框，以下列圖所示。能夠為某個端口設置多個IP地點，點擊“增添配置”按鈕，增添接口的IP地點。假如選擇“ha-static”,示意雙機熱備的兩臺設施在進行主從切換時，能夠保存本來的地點不變，不然，從墻的地點將被主墻覆蓋。網(wǎng)絡衛(wèi)士防火墻不支持分歧的物理接口配置同樣的IP地點或IP地點在同一子網(wǎng)內(nèi)。3）假如要將某端口設互換模式，點擊該端口后的互換改正圖標“”，彈出“互換”設置窗口，以下列圖所示。第一，需要確立該接口的種類是“Access”仍是“Trunk”。假如是“Access”接口，則示意該互換接口只屬于一個VLAN，需要指定所屬的VLID號碼，如上圖所示。如是“Trunk”接口，則設置參數(shù)界面以下列圖所示。上圖參數(shù)說明以下表所示：點擊“提交設定”則達成接口從路由模式向互換模式的變換。4）點擊“其余”按鈕，能夠設置接口的其余信息，以下列圖。設置路由用戶能夠在網(wǎng)絡衛(wèi)士防火墻上設置戰(zhàn)略路由及靜態(tài)路由，詳細步伐如下：1）在左邊導航菜單中選擇網(wǎng)絡>靜態(tài)路由，能夠看到已經(jīng)增添的戰(zhàn)略路由表以及系統(tǒng)自動增添的靜態(tài)路由表，以下列圖所示。2）設置戰(zhàn)略路由，點擊“增添戰(zhàn)略路由”，以下列圖所示。此中“網(wǎng)關”為下一跳路由器的進口地點，“端口”指定了從防火墻設備的哪一個接口（包括物理接口和VLAN虛接口）發(fā)送數(shù)據(jù)包。Metric為接口躍點數(shù)，默認為1。假如選擇“NAT后的源”為“是”，示意戰(zhàn)略路由的源地點為NAT后的地點，戰(zhàn)略路由增添成功后的“表記表記標記”一欄顯示為“UGM”。默認為“否”，戰(zhàn)略路由增添成功后的“表記表記標記”一欄顯示為“U”。3）設置達成后，點擊“提交設定”按鈕，假如增添成功會彈出“增添成功”對話框。點擊“撤消返回”則放棄增添，返回上一界面。若要刪除某路由項，點擊該路由項所內(nèi)行的刪除圖標“”進行刪除。4）挪動戰(zhàn)略路由。因為戰(zhàn)略履行為第一般配原則，則戰(zhàn)略的次序與戰(zhàn)略的邏輯有關，在此能夠改變增添戰(zhàn)略時候的缺省的履行次序（依據(jù)增添順序擺列）。詳細設置方法為：在戰(zhàn)略路由表中點擊要挪動的路由選項（比如要挪動戰(zhàn)略路由102）后的“挪動”圖標按鈕，進入以下界面。在第一個下拉框中選擇參照地點路由，第二個下拉框中則是選擇將目前路由挪動到參照路由以前仍是以后。比如：要將路由102挪動到路由101以前，則第一個下拉框選擇ID“101”，第二個下拉框選擇“以前”，點擊“提交設定”按鈕，則彈出挪動成功對話框。點擊“確立”返回路由界面，能夠看到路由102已經(jīng)挪動到了101之前，以下列圖所示。3．對象配置設置主機對象選擇對象>地點對象>主機對象，右邊界面顯示已有的主機對象，如下列圖所示。點擊“增添配置”，系統(tǒng)出現(xiàn)增添主機對象屬性的頁面，以下列圖所示。設置范圍對象選擇對象>地點對象>地點范圍，右邊界面顯示已有的地點范圍對象，以下列圖所示。點擊“增添配置”，進入地點范圍對象屬性的頁面，以下列圖所示。設置子網(wǎng)對象選擇對象>地點對象>子網(wǎng)對象，在右邊頁面內(nèi)顯示已有的子網(wǎng)地點對象，以下列圖所示。設置地點組分歧的地點對象能夠組合為一個地點組，用作定義戰(zhàn)略的目的或源。地址組的支持加強了對象管理的條理性，使管理更為靈巧。設置地點組對象的步伐以下：1）選擇對象>地點對象>地點組，在右邊頁面內(nèi)顯示已有的地點組對象，以下圖所示。2）選擇“增添配置”，系統(tǒng)出現(xiàn)以下列圖所示的頁面。自定義服務當預約義的服務中找不到我們需要的服務端口時，我們能夠自己定義服務端口：選擇對象>服務對象>自定義服務，點擊“增添配置”，系統(tǒng)出現(xiàn)以下頁面。2）輸入對象名稱后，設置協(xié)議種類及端口號范圍。3）點擊“提交設定”，達成設置。設置地區(qū)對象系統(tǒng)支持地區(qū)的觀點，用戶能夠依據(jù)實質(zhì)狀況，將網(wǎng)絡區(qū)分為分歧的平安域，并依據(jù)其分歧的安全需求，定義相應的規(guī)則進行地區(qū)鴻溝防備。假如不存在可般配的接見控制規(guī)則，網(wǎng)絡衛(wèi)士防火墻將依據(jù)目的接口所在地區(qū)的權(quán)限辦理該報文。設置地區(qū)對象，詳細操控以下：1）選擇對象>地區(qū)對象，顯示已有的地區(qū)對象。防火墻出廠配置中缺省地區(qū)對象為

AREA_ETH0，并已和缺省屬性對象

eth0

綁定，而屬性對象eth0

已和接口

eth0

綁定，所以出廠配置中防火墻的物理接口

eth0

已屬于地區(qū)

AREA_ETH0。2）點擊“增添配置”，增添一個地區(qū)對象，以下列圖所示。在“對象名稱”部分輸入地區(qū)對象名稱；在“權(quán)限選擇”部分設定和該地區(qū)所屬屬性綁定的接口的缺省屬性（允許接見或嚴禁接見）。在“選擇屬性”部分的左邊文本框中選擇接口，而后點擊增添該地區(qū)擁有的屬性，被選接口將出此刻右邊的“被選屬性”文本框中，能夠同時選擇一個或多個。）設置達成后，點擊“提交設定”按鈕，假如增添成功會彈出“增添成功”對話框。4）點擊“撤消返回”則放棄增添，返回上一界面。5）若要改正地區(qū)對象的設置，點擊該地區(qū)對象所內(nèi)行的改正圖標“”進行改正。6）若要刪除地區(qū)對象，點擊該地區(qū)對象所內(nèi)行的刪除圖標“”進行刪除。設置時間對象用戶能夠設置時間對象，以便在接見控制規(guī)則中引用，進而實現(xiàn)更細粒度的控制。比方，用戶希望針對工作時間和非工作時間設置分歧的接見控制規(guī)則，引入時間對象的觀點很簡單解決該類問題。設置時間對象，詳細操控以下：1）選擇對象>時間對象，點擊“增添配置”，系統(tǒng)出現(xiàn)以下頁面。2）挨次設置“對象名稱”、“每周時段”和“每天時段”。3）最后點擊“提交設定”，達成對象設置。新增添的對象將顯示在時間對象列表中，以下列圖所示。4）對已經(jīng)增添的時間對象，能夠點擊改正圖標改正其屬性，也能夠點擊刪除圖標刪除該對象。4．接見戰(zhàn)略配置用戶能夠經(jīng)過設置接見控制規(guī)則實現(xiàn)靈巧、強盛的三到七層的接見控制。系統(tǒng)不但能夠從地區(qū)、VLAN、地點、用戶、連結(jié)、時間等多個層面對數(shù)據(jù)報文進行鑒別和般配，并且還能夠針對多種應用層協(xié)議進行深度內(nèi)容檢測和過濾。與報文阻斷戰(zhàn)略同樣，接見控制規(guī)則也是次序般配的，但與其分歧，接見控制規(guī)則沒有默認規(guī)則。也就是說，假如沒有在接見控制規(guī)則列表的末端增添一條所有拒絕的規(guī)則的話，系統(tǒng)將依據(jù)目的接口所在地區(qū)的缺省屬性（同意接見或嚴禁接見）辦理該報文。定義接見規(guī)則，操控步伐以下：1）選擇防火墻引擎>接見控制，點擊“增添配置”，進入接見控制規(guī)則定義界面。表中“ID”為每項規(guī)則的編號，在挪動規(guī)則次序時將會使用?！翱刂啤敝械膱D標和，分別示意該項規(guī)則能否啟用。2）定義能否啟用該接見控制規(guī)則（默認為啟用該規(guī)則），以及接見權(quán)限。接見權(quán)限制義了能否同意接見由規(guī)則源到規(guī)則目的所指定的服務。3）定義規(guī)則的源規(guī)則的源既能夠是一個已經(jīng)定義好的VLAN或地區(qū)，也能夠細化到一個或多個地點對象以及用戶組對象，以下列圖所示。圖中“選擇源”右邊的按鈕為正序擺列和倒序擺列，用戶能夠方便的順次查找項目。此外，用戶還能夠選擇相應的服務，即設置源端口，以下列圖所示。4）定義規(guī)則的目的規(guī)則的目的既能夠是一個已經(jīng)定義好的VLAN或地區(qū)，也能夠細化到一個或多個地址對象以及用戶組對象，以下列圖所示。此外，用戶還能夠設置進行地點變換前的目的地點，以下列圖所示。5）定義服務選擇接見規(guī)則包括的服務，假如用戶需要擬訂的服務沒有包括在服務列表中，能夠經(jīng)過增添自定義服務增添所需服務。假如沒有選擇任何服務，則系統(tǒng)默認為選擇所有服務。6）定義協(xié)助選項各項參數(shù)說明以下：7）點擊“提交設定”達成該條接見控制規(guī)則的設定。8）用戶能夠點擊“改正”按鈕，對現(xiàn)有規(guī)則進行編寫。能夠點擊“拔出”按鈕，在現(xiàn)有規(guī)則間拔出一條新規(guī)則。8）點擊“清空配置”，能夠消除所有的接見控制規(guī)則，便于從頭配置。9）需要改正規(guī)則的般配次序時點擊該規(guī)則右邊“挪動”按鈕，以下列圖所示。用戶能夠選擇相應ID、地點，挪動戰(zhàn)略。達成后點擊“提交設定”保存或“撤消返回”放棄挪動。5．高可用性配置配置網(wǎng)絡衛(wèi)士防火墻雙機熱備的步伐以下：1）選擇系統(tǒng)>高可用性，進入高可用性設置頁面，以下列圖所示。2）設置主/從設施參數(shù)，參數(shù)說明請拜會下表。3）點擊“提交設定”，達成雙機熱備設置。四、透明模式配置示例拓補構(gòu)造：1．用串口管理方式進入命令行用WINDOWS自帶的超等終端或許SecureCRT軟件，使用9600的速率，用串口線連結(jié)到防火墻，用戶名是superman，密碼是talent。(詳細方法見第一節(jié))，下邊是詳細配置，加粗顯示的為命令行。2．配置接口屬性ETH0將ETH0口配置為互換模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于計算雙機熱備的權(quán)值：networkinterfaceeth0ha-metric100ETH1將ETH1口配置為互換模式：networkinterfaceeth1switchport配置ETH1口的METRIC值，用于計算雙機熱備的權(quán)值：

networkinterfaceeth1ha-metric100ETH2配置ETH2口的METRIC值，用于計算雙機熱備的權(quán)值：

networkinterfaceeth2ha-metric100將沒有使用的ETH2口封閉：networkinterfaceeth2shutdownETH3配置同步接口ETH3的IP地點和HA表記表記標記：(/30)配置ETH3口的METRIC值，用于計算雙機熱備的權(quán)值：networkinterfaceeth3ha-metric1003．配置VLAN增添VLAN1：networkvlanaddid1為VLAN1增添IP地點：4．配置地區(qū)屬性將地區(qū)缺省接見權(quán)限為嚴禁defineareaaddnamearea_eth0attribute'eth0'accessoffdefineareaaddnamearea_eth1attribute'eth1'accessoff5．定義對象定義主機地點對象definehostaddname0ipaddr'0'macaddr00:19:21:50:15:1fdefinehostaddname0ipaddr'0'定義時間對象definescheduleaddname上班時間week12345start08:00end18:006．增添系統(tǒng)權(quán)限為ETH0口增添TELNET權(quán)限pfserviceaddnametelnetareaarea_eth0addressnameany7．配置接見戰(zhàn)略上班時間'PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal這些服務：firewallpolicyaddactionacceptsrcarea'area_eth0'dstarea'area_eth1'src'0'dst'0'service'PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal'schedule'上班時間'8．配置雙機熱備配置本機同步IPhalocal配置對端機器同步IPhapeer啟動雙機熱備功能haenable注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置基本上與致，獨一分歧的只有兩個地方，一個是同步接口

ETH3

的

IP

地點為；另一個是雙機熱備配置中的本機同步

IP

和對端機器同步

IP

相反，本機

IP

為

，對端機器

IP

為

，達成配置以后，我們先接好意跳線，將兩臺防火墻的ETH3口連結(jié)，而后接上其余接口的網(wǎng)線，到此透明模式的雙機熱備配置達成。五、路由模式配置示例拓補構(gòu)造：2）用串口管理方式進入命令行方法同上邊的透明模式。3）配置接口屬性配置ETH0口的IP地點：label0配置ETH0口的METRI