天融信防火墻NGFW4000配置手冊

天融信防火墻NGFW4000快速配置手冊目錄一、防火墻的幾種管理方式31．串口管理32．TELNET管理43．SSH管理54．WEB管理65．GUI管理6二、命令行常用配置121．系統(tǒng)管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二級命令名12Version12系統(tǒng)版本信息12系統(tǒng)>根本信息12information12當(dāng)前設(shè)備狀態(tài)信息12系統(tǒng)>運(yùn)行狀態(tài)12time12系統(tǒng)時鐘管理12系統(tǒng)>系統(tǒng)時間12config12系統(tǒng)配置管理12管理器工具欄“保存設(shè)定〞按鈕12reboot12重新啟動12系統(tǒng)>系統(tǒng)重啟12sshd12SSH效勞管理命令12系統(tǒng)>系統(tǒng)效勞12telnetd12TELNET效勞管理12系統(tǒng)>系統(tǒng)效勞命令12d12效勞管理命12系統(tǒng)>系統(tǒng)效勞令12monitord12MONITOR12效勞管理命令無122．網(wǎng)絡(luò)配置命令(NETWORK)133．雙機(jī)熱備命令(HA)134．定義對象命令(DEFINE)135．包過濾命令(PF)136．顯示運(yùn)行配置命令(SHOW_RUNNING)137．保存配置命令(SAVE)13三、WEB界面常用配置141．系統(tǒng)管理配置14A)系統(tǒng)>根本信息14B)系統(tǒng)>運(yùn)行狀態(tài)14C)系統(tǒng)>配置維護(hù)15D)系統(tǒng)>系統(tǒng)效勞15E)系統(tǒng)>開放效勞16F)系統(tǒng)>系統(tǒng)重啟162．網(wǎng)絡(luò)接口、路由配置16A)設(shè)置防火墻接口屬性16B)設(shè)置路由183．對象配置20A)設(shè)置主機(jī)對象20B)設(shè)置范圍對象21C)設(shè)置子網(wǎng)對象21D)設(shè)置地址組21E)自定義效勞22F)設(shè)置區(qū)域?qū)ο?2G)設(shè)置時間對象234．訪問策略配置235．高可用性配置26四、透明模式配置例如28拓補(bǔ)結(jié)構(gòu)：281．用串口管理方式進(jìn)入命令行282．配置接口屬性283．配置VLAN284．配置區(qū)域?qū)傩?85．定義對象286．添加系統(tǒng)權(quán)限297．配置訪問策略298．配置雙機(jī)熱備29五、路由模式配置例如30拓補(bǔ)結(jié)構(gòu)：301．用串口管理方式進(jìn)入命令行302．配置接口屬性303．配置路由304．配置區(qū)域?qū)傩?05．配置主機(jī)對象306．配置訪問策略307．配置雙機(jī)熱備31防火墻的幾種管理方式串口管理第一次使用網(wǎng)絡(luò)衛(wèi)士防火墻，管理員可以通過CONSOLE口以命令行方式進(jìn)行配置和管理。通過CONSOLE口登錄到網(wǎng)絡(luò)衛(wèi)士防火墻，可以對防火墻進(jìn)行一些根本的設(shè)置。用戶在初次使用防火墻時，通常都會登錄到防火墻更改出廠配置〔接口、IP地址等〕，使在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下將防火墻接入網(wǎng)絡(luò)中。這里將詳細(xì)介紹如何通過CONSOLE口連接到網(wǎng)絡(luò)衛(wèi)士防火墻：1〕使用一條串口線〔包含在出廠配件中〕，分別連接計算機(jī)的串口〔這里假設(shè)使用com1〕和防火墻的CONSOLE口。2〕選擇開始>程序>附件>通訊>超級終端，系統(tǒng)提示輸入新建連接的名稱。3〕輸入名稱，這里假設(shè)名稱為“TOPSEC〞，點(diǎn)擊“確定〞后，提示選擇使用的接口〔假設(shè)使用com1〕。4〕設(shè)置com1口的屬性，按照以下參數(shù)進(jìn)行設(shè)置。參數(shù)名稱取值每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗：無停止位：15〕成功連接到防火墻后，超級終端界面會出現(xiàn)輸入用戶名/密碼的提示，如下列圖。6〕輸入系統(tǒng)默認(rèn)的用戶名：superman和密碼：talent，即可登錄到網(wǎng)絡(luò)衛(wèi)士防火墻。登錄后，用戶就可使用命令行方式對網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行配置管理。TELNET管理TELNET管理也是命令行管理方式，要進(jìn)行TELNET管理，必須進(jìn)行以下設(shè)置：在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany〞命令添加管理權(quán)限在串口下用“systemtelnetdstart〞命令啟動TELNET管理效勞知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1〞命令添加管理IP地址最后輸入用戶名和密碼進(jìn)行管理命令行如圖：SSH管理SSH管理和TELNET根本一至，只不過SSH是加密的，我們用如下步驟管理：在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany〞命令添加管理權(quán)限在串口下用“systemsshdstart〞命令啟動TELNET管理效勞知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1〞命令添加管理IP地址最后輸入用戶名和密碼進(jìn)行管理命令行如圖：WEB管理1)防火墻在出廠時缺省已經(jīng)配置有WEB界面管理權(quán)限，如果沒有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany〞命令添加。2)WEB管理效勞缺省是啟動的，如果沒有啟動，也可用“systemdstart〞命令翻開，管理員在管理主機(jī)的瀏覽器上輸入防火墻的管理URL，例如：s://50，彈出如下的登錄頁面。輸入用戶名密碼后〔網(wǎng)絡(luò)衛(wèi)士防火墻默認(rèn)出廠用戶名/密碼為：superman/talent〕，點(diǎn)擊“提交〞，就可以進(jìn)入管理頁面。GUI管理GUI圖形界面管理跟WEB界面一樣，只是，在管理中心中集成了一些平安工具，如監(jiān)控，抓包，跟蹤等安裝管理中心軟件運(yùn)行管理軟件右擊樹形“TOPSEC管理中心〞添加管理IP右擊管理IP地址，選擇“管理〞，輸入用戶名和密碼進(jìn)行管理也可右擊管理IP地址，選擇“平安工具〞，進(jìn)行實(shí)時監(jiān)控選擇：平安工具-連接監(jiān)控點(diǎn)擊啟動，在彈出的窗口中增加過濾條件，可用缺省值監(jiān)控所有連接。選中增加的過濾條件，點(diǎn)設(shè)置就可以看到實(shí)時的監(jiān)控效果了，如下列圖：命令行常用配置(注：用串口、TELNET、SSH方式進(jìn)入到命令行管理界面，天融信防火墻命令行管理可以完成所有圖形界面管理功能，命令行支持TAB鍵補(bǔ)齊和TAB鍵幫助，命令支持多級操作，可以在系統(tǒng)級，也就是第一級直接輸入完整的命令；也可以進(jìn)入相應(yīng)的功能組件級，輸入對應(yīng)組件命令。具體分級如下表：)系統(tǒng)級系統(tǒng)級為第一級，提供設(shè)備的根本管理命令。CLI管理員登錄后，直接進(jìn)入該級，顯示為：TopsecOS#。組件級組件級為第二級，提供每個平安組件〔SE〕所獨(dú)有的管理命令。在系統(tǒng)級下，TopsecOS#<tab>按tab鍵，那么顯示出平安組件級命令見下表。類別關(guān)鍵字內(nèi)容說明一級命令名system系統(tǒng)管理目錄network網(wǎng)絡(luò)設(shè)置Ha高可用性設(shè)置define網(wǎng)絡(luò)對象定義debug調(diào)試log日志設(shè)置authentication認(rèn)證設(shè)置Snmp簡單網(wǎng)絡(luò)管理協(xié)議配置pf包過濾規(guī)那么設(shè)置dpi深度報文檢測策略定義firewall防火墻規(guī)那么設(shè)置nat地址轉(zhuǎn)換策略配置Vpn虛擬私有網(wǎng)隧道配置與操作IDS入侵監(jiān)測配置Qos帶寬控制配置AVSE防病毒平安引擎管理設(shè)置save保存配置Show_running查看運(yùn)行時配之信息Show查看配置helpmode幫助模式設(shè)定exit退出系統(tǒng)系統(tǒng)管理命令(SYSTEM)在命令行下一般用SYSTEM命令來管理和查看系統(tǒng)配置：命令功能WEBUI界面操作位置二級命令名Version系統(tǒng)版本信息系統(tǒng)>根本信息information當(dāng)前設(shè)備狀態(tài)信息系統(tǒng)>運(yùn)行狀態(tài)time系統(tǒng)時鐘管理系統(tǒng)>系統(tǒng)時間config系統(tǒng)配置管理管理器工具欄“保存設(shè)定〞按鈕reboot重新啟動系統(tǒng)>系統(tǒng)重啟sshdSSH效勞管理命令系統(tǒng)>系統(tǒng)效勞telnetdTELNET效勞管理系統(tǒng)>系統(tǒng)效勞命令d效勞管理命系統(tǒng)>系統(tǒng)效勞令monitordMONITOR效勞管理命令無網(wǎng)絡(luò)配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墻接口管理網(wǎng)絡(luò)>物理接口vlanVlan配置管理網(wǎng)絡(luò)>VLANroute路由表配置管理網(wǎng)絡(luò)>靜態(tài)路由Ping驗證網(wǎng)絡(luò)連接無雙機(jī)熱備命令(HA)HALOCAL<ipaddress>設(shè)置HA接口的本機(jī)地址HAPEER<ipaddress>設(shè)置HA接口的對端地址HAPEER-SERIAL<string>設(shè)置HA接口的對端的licence序列號HANO<local|peer|peer-serial>復(fù)位HA接口的本機(jī)地址/對端地址/對端licence序列號HAPRIORITY<primary|backup>設(shè)定HA優(yōu)先級是主機(jī)優(yōu)先還是備份機(jī)優(yōu)先〔默認(rèn)為backup，即如果同時啟動主機(jī)成為活HASHOW<cr>查看HA的配置信息HAENABLE<cr>啟動HAHADISABLE<cr>停用HAHACLEAN<cr>去除HA配置信息HASYNC<from-peer|to-peer>HA同步〔從對端機(jī)上同步配置/同步配置到對端機(jī)上〕定義對象命令(DEFINE)命令功能WEBUI操作位置area區(qū)域?qū)ο蠊芾韺ο?gt;區(qū)域?qū)ο骾nterface配置防火墻接口對應(yīng)的區(qū)域?qū)傩詫ο?gt;區(qū)域?qū)ο骽ost主機(jī)地址對象管理對象>地址對象>主機(jī)對象range地址范圍對象管理對象>地址對象>范圍對象subnet子網(wǎng)地址對象對象>地址對象>子網(wǎng)對象group_address地址組對象管理對象>地址對象>地址組對象service子定義效勞對象管理對象>效勞對象>自定義效勞group_service效勞組對象管理對象>效勞對象>效勞組schedule時間表對象管理對象>時間對象server效勞器對象管理對象>負(fù)載均衡>效勞器virtual_server虛擬效勞器對象管理對象>負(fù)載均衡>均衡組包過濾命令(PF)增加一條效勞訪問規(guī)那么SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>area<string><[addressid<number>]|[addressname<addr_name>]>顯示運(yùn)行配置命令(SHOW_RUNNING)SHOW_RUNNING保存配置命令(SAVE)SAVEWEB界面常用配置用瀏覽器或者集中管理中心登錄到WEB管理界面如下：系統(tǒng)管理配置在“系統(tǒng)〞下，可以顯示或配置系統(tǒng)相關(guān)設(shè)置系統(tǒng)>根本信息顯示系統(tǒng)的型號、版本、功能模塊、接口信息等等：系統(tǒng)>運(yùn)行狀態(tài)查看系統(tǒng)的運(yùn)行狀態(tài)，包括CPU、內(nèi)存使用情況和當(dāng)前連接數(shù)等系統(tǒng)>配置維護(hù)上傳或下載配置文件系統(tǒng)>系統(tǒng)效勞系統(tǒng)效勞在本系統(tǒng)中主要是指監(jiān)控效勞、SSH效勞、Telnet效勞和效勞。TOS系統(tǒng)提供了對這些效勞的控制〔啟動和停止〕功能，其具體的操作如下：系統(tǒng)>開放效勞添加或查看系統(tǒng)權(quán)限，包括WEB管理、GUI管理、TELNET管理、SSH管理、監(jiān)控等等系統(tǒng)>系統(tǒng)重啟網(wǎng)絡(luò)接口、路由配置設(shè)置防火墻接口屬性用戶可以對網(wǎng)絡(luò)衛(wèi)士防火墻的物理接口的屬性進(jìn)行設(shè)置，具體步驟如下：1〕在管理界面左側(cè)導(dǎo)航菜單中選擇網(wǎng)絡(luò)>物理接口，可以看到防火墻的所有物理接口，如下列圖所示，共有三個物理接口：Eth0、Eth1、Eth2。2〕如果要將某端口設(shè)為路由模式，點(diǎn)擊該端口后的路由修改圖標(biāo)“〞，彈出“設(shè)定路由〞對話框，如下列圖所示?？梢詾槟硞€端口設(shè)置多個IP地址，點(diǎn)擊“添加配置〞按鈕，添加接口的IP地址。如果選擇“ha-static〞,表示雙機(jī)熱備的兩臺設(shè)備在進(jìn)行主從切換時，可以保存原來的地址不變，否那么，從墻的地址將被主墻覆蓋。網(wǎng)絡(luò)衛(wèi)士防火墻不支持不同的物理接口配置相同的IP地址或IP地址在同一子網(wǎng)內(nèi)。3〕如果要將某端口設(shè)交換模式，點(diǎn)擊該端口后的交換修改圖標(biāo)“〞，彈出“交換〞設(shè)置窗口，如下列圖所示。首先，需要確定該接口的類型是“Access〞還是“Trunk〞。如果是“Access〞接口，那么表示該交換接口只屬于一個VLAN，需要指定所屬的VLID號碼，如上圖所示。如是“Trunk〞接口，那么設(shè)置參數(shù)界面如下列圖所示。上圖參數(shù)說明如下表所示：點(diǎn)擊“提交設(shè)定〞那么完成接口從路由模式向交換模式的轉(zhuǎn)換。4〕點(diǎn)擊“其他〞按鈕，可以設(shè)置接口的其他信息，如下列圖。設(shè)置路由用戶可以在網(wǎng)絡(luò)衛(wèi)士防火墻上設(shè)置策略路由及靜態(tài)路由，具體步驟如下：1〕在左側(cè)導(dǎo)航菜單中選擇網(wǎng)絡(luò)>靜態(tài)路由，可以看到已經(jīng)添加的策略路由表以及系統(tǒng)自動添加的靜態(tài)路由表，如下列圖所示。2〕設(shè)置策略路由，點(diǎn)擊“添加策略路由〞，如下列圖所示。其中“網(wǎng)關(guān)〞為下一跳路由器的入口地址，“端口〞指定了從防火墻設(shè)備的哪一個接口〔包括物理接口和VLAN虛接口〕發(fā)送數(shù)據(jù)包。Metric為接口躍點(diǎn)數(shù)，默認(rèn)為1。如果選擇“NAT后的源〞為“是〞，表示策略路由的源地址為NAT后的地址，策略路由添加成功后的“標(biāo)記〞一欄顯示為“UGM〞。默認(rèn)為“否〞，策略路由添加成功后的“標(biāo)記〞一欄顯示為“U〞。3〕設(shè)置完成后，點(diǎn)擊“提交設(shè)定〞按鈕，如果添加成功會彈出“添加成功〞對話框。點(diǎn)擊“取消返回〞那么放棄添加，返回上一界面。假設(shè)要刪除某路由項，點(diǎn)擊該路由項所在行的刪除圖標(biāo)“〞進(jìn)行刪除。4〕移動策略路由。由于策略執(zhí)行為第一匹配原那么，那么策略的順序與策略的邏輯相關(guān)，在此可以改變添加策略時候的缺省的執(zhí)行順序〔按照添加順序排列〕。具體設(shè)置方法為：在策略路由表中點(diǎn)擊要移動的路由選項〔例如要移動策略路由102〕后的“移動〞圖標(biāo)按鈕，進(jìn)入如下界面。在第一個下拉框中選擇參考位置路由，第二個下拉框中那么是選擇將當(dāng)前路由移動到參考路由之前還是之后。例如：要將路由102移動到路由101之前，那么第一個下拉框選擇ID“101〞，第二個下拉框選擇“之前〞，點(diǎn)擊“提交設(shè)定〞按鈕，那么彈出移動成功對話框。點(diǎn)擊“確定〞返回路由界面，可以看到路由102已經(jīng)移動到了101之前，如下列圖所示。對象配置設(shè)置主機(jī)對象選擇對象>地址對象>主機(jī)對象，右側(cè)界面顯示已有的主機(jī)對象，如下列圖所示。點(diǎn)擊“添加配置〞，系統(tǒng)出現(xiàn)添加主機(jī)對象屬性的頁面，如下列圖所示。設(shè)置范圍對象選擇對象>地址對象>地址范圍，右側(cè)界面顯示已有的地址范圍對象，如下列圖所示。點(diǎn)擊“添加配置〞，進(jìn)入地址范圍對象屬性的頁面，如下列圖所示。設(shè)置子網(wǎng)對象選擇對象>地址對象>子網(wǎng)對象，在右側(cè)頁面內(nèi)顯示已有的子網(wǎng)地址對象，如下列圖所示。設(shè)置地址組不同的地址對象可以組合為一個地址組，用作定義策略的目的或源。地址組的支持增強(qiáng)了對象管理的層次性，使管理更加靈活。設(shè)置地址組對象的步驟如下：1〕選擇對象>地址對象>地址組，在右側(cè)頁面內(nèi)顯示已有的地址組對象，如下圖所示。2〕選擇“添加配置〞，系統(tǒng)出現(xiàn)如下列圖所示的頁面。自定義效勞當(dāng)預(yù)定義的效勞中找不到我們需要的效勞端口時，我們可以自己定義效勞端口：選擇對象>效勞對象>自定義效勞，點(diǎn)擊“添加配置〞，系統(tǒng)出現(xiàn)如下頁面。2〕輸入對象名稱后，設(shè)置協(xié)議類型及端口號范圍。3〕點(diǎn)擊“提交設(shè)定〞，完成設(shè)置。設(shè)置區(qū)域?qū)ο笙到y(tǒng)支持區(qū)域的概念，用戶可以根據(jù)實(shí)際情況，將網(wǎng)絡(luò)劃分為不同的平安域，并根據(jù)其不同的平安需求，定義相應(yīng)的規(guī)那么進(jìn)行區(qū)域邊界防護(hù)。如果不存在可匹配的訪問控制規(guī)那么，網(wǎng)絡(luò)衛(wèi)士防火墻將根據(jù)目的接口所在區(qū)域的權(quán)限處理該報文。設(shè)置區(qū)域?qū)ο螅唧w操作如下：1〕選擇對象>區(qū)域?qū)ο螅@示已有的區(qū)域?qū)ο蟆７阑饓Τ鰪S配置中缺省區(qū)域?qū)ο鬄锳REA_ETH0，并已和缺省屬性對象eth0綁定，而屬性對象eth0已和接口eth0綁定，因此出廠配置中防火墻的物理接口eth0已屬于區(qū)域AREA_ETH0。2〕點(diǎn)擊“添加配置〞，增加一個區(qū)域?qū)ο?，如下列圖所示。在“對象名稱〞局部輸入?yún)^(qū)域?qū)ο竺Q；在“權(quán)限選擇〞局部設(shè)定和該區(qū)域所屬屬性綁定的接口的缺省屬性〔允許訪問或禁止訪問〕。在“選擇屬性〞局部的左側(cè)文本框中選擇接口，然后點(diǎn)擊添加該區(qū)域具有的屬性，被選接口將出現(xiàn)在右側(cè)的“被選屬性〞文本框中，可以同時選擇一個或多個。3〕設(shè)置完成后，點(diǎn)擊“提交設(shè)定〞按鈕，如果添加成功會彈出“添加成功〞對話框。4〕點(diǎn)擊“取消返回〞那么放棄添加，返回上一界面。5〕假設(shè)要修改區(qū)域?qū)ο蟮脑O(shè)置，點(diǎn)擊該區(qū)域?qū)ο笏谛械男薷膱D標(biāo)“〞進(jìn)行修改。6〕假設(shè)要刪除區(qū)域?qū)ο?，點(diǎn)擊該區(qū)域?qū)ο笏谛械膭h除圖標(biāo)“〞進(jìn)行刪除。設(shè)置時間對象用戶可以設(shè)置時間對象，以便在訪問控制規(guī)那么中引用，從而實(shí)現(xiàn)更細(xì)粒度的控制。比方，用戶希望針對工作時間和非工作時間設(shè)置不同的訪問控制規(guī)那么，引入時間對象的概念很容易解決該類問題。設(shè)置時間對象，具體操作如下：選擇對象>時間對象，點(diǎn)擊“添加配置〞，系統(tǒng)出現(xiàn)如下頁面。2〕依次設(shè)置“對象名稱〞、“每周時段〞和“每日時段〞。3〕最后點(diǎn)擊“提交設(shè)定〞，完成對象設(shè)置。新添加的對象將顯示在時間對象列表中，如下列圖所示。4〕對已經(jīng)添加的時間對象，可以點(diǎn)擊修改圖標(biāo)修改其屬性，也可以點(diǎn)擊刪除圖標(biāo)刪除該對象。訪問策略配置用戶可以通過設(shè)置訪問控制規(guī)那么實(shí)現(xiàn)靈活、強(qiáng)大的三到七層的訪問控制。系統(tǒng)不但可以從區(qū)域、VLAN、地址、用戶、連接、時間等多個層面對數(shù)據(jù)報文進(jìn)行判別和匹配，而且還可以針對多種應(yīng)用層協(xié)議進(jìn)行深度內(nèi)容檢測和過濾。與報文阻斷策略相同，訪問控制規(guī)那么也是順序匹配的，但與其不同，訪問控制規(guī)那么沒有默認(rèn)規(guī)那么。也就是說，如果沒有在訪問控制規(guī)那么列表的末尾添加一條全部拒絕的規(guī)那么的話，系統(tǒng)將根據(jù)目的接口所在區(qū)域的缺省屬性〔允許訪問或禁止訪問〕處理該報文。定義訪問規(guī)那么，操作步驟如下：選擇防火墻引擎>訪問控制，點(diǎn)擊“添加配置〞，進(jìn)入訪問控制規(guī)那么定義界面。表中“ID〞為每項規(guī)那么的編號，在移動規(guī)那么順序時將會使用。“控制〞中的圖標(biāo)和，分別表示該項規(guī)那么是否啟用。2〕定義是否啟用該訪問控制規(guī)那么〔默認(rèn)為啟用該規(guī)那么〕，以及訪問權(quán)限。訪問權(quán)限定義了是否允許訪問由規(guī)那么源到規(guī)那么目的所指定的效勞。3〕定義規(guī)那么的源規(guī)那么的源既可以是一個已經(jīng)定義好的VLAN或區(qū)域，也可以細(xì)化到一個或多個地址對象以及用戶組對象，如下列圖所示。圖中“選擇源〞右側(cè)的按鈕為正序排列和倒序排列，用戶可以方便的按序查找工程。另外，用戶還可以選擇相應(yīng)的效勞，即設(shè)置源端口，如下列圖所示。4〕定義規(guī)那么的目的規(guī)那么的目的既可以是一個已經(jīng)定義好的VLAN或區(qū)域，也可以細(xì)化到一個或多個地址對象以及用戶組對象，如下列圖所示。另外，用戶還可以設(shè)置進(jìn)行地址轉(zhuǎn)換前的目的地址，如下列圖所示。5〕定義效勞選擇訪問規(guī)那么包含的效勞，如果用戶需要制定的效勞沒有包含在效勞列表中，可以通過添加自定義效勞添加所需效勞。如果沒有選擇任何效勞，那么系統(tǒng)默認(rèn)為選擇全部效勞。6〕定義輔助選項各項參數(shù)說明如下：7〕點(diǎn)擊“提交設(shè)定〞完成該條訪問控制規(guī)那么的設(shè)定。8〕用戶可以點(diǎn)擊“修改〞按鈕，對現(xiàn)有規(guī)那么進(jìn)行編輯。可以點(diǎn)擊“插入〞按鈕，在現(xiàn)有規(guī)那么間插入一條新規(guī)那么。8〕點(diǎn)擊“清空配置〞，可以去除所有的訪問控制規(guī)那么，便于重新配置。9〕需要更改規(guī)那么的匹配順序時點(diǎn)擊該規(guī)那么右側(cè)“移動〞按鈕，如下列圖所示。用戶可以選擇相應(yīng)ID、位置，移動策略。完成后點(diǎn)擊“提交設(shè)定〞保存或“取消返回〞放棄移動。高可用性配置配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟如下：1〕選擇系統(tǒng)>高可用性，進(jìn)入高可用性設(shè)置頁面，如下列圖所示。設(shè)置主/從設(shè)備參數(shù)，參數(shù)說明請參見下表。3〕點(diǎn)擊“提交設(shè)定〞，完成雙機(jī)熱備設(shè)置。透明模式配置例如拓補(bǔ)結(jié)構(gòu)：用串口管理方式進(jìn)入命令行用WINDOWS自帶的超級終端或者SecureCRT軟件，使用9600的速率，用串口線連接到防火墻，用戶名是superman，密碼是talent。(具體方法見第一節(jié))，下面是具體配置，加粗顯示的為命令行。配置接口屬性ETH0將ETH0口配置為交換模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于計算雙機(jī)熱備的權(quán)值：networkinterfaceeth0ha-metric100ETH1將ETH1口配置為交換模式：networkinterfaceeth1switchport配置ETH1口的METRIC值，用于計算雙機(jī)熱備的權(quán)值：networkinterfaceeth1ha-metric100ETH2配置ETH2口的METRIC值，用于計算雙機(jī)熱備的權(quán)值：networkinterfaceeth2ha-metric100將沒有使用的ETH2口關(guān)閉：networkinterfaceeth2shutdownETH3配置同步接口ETH3的IP地址和HA標(biāo)記：(/30)networkinterfaceeth3ha-staticlabel0配置ETH3口的METRIC值，用于計算雙機(jī)熱備的權(quán)值：networkinterfaceeth3ha-metric100配置VLAN添加VLAN1：networkvlanaddid1為VLAN1添加IP地址：networkinterfacevlan.0001label0配置區(qū)域?qū)傩詫^(qū)域缺省訪問權(quán)限為禁止defineareaaddnamearea_eth0attribute'eth0'accessoffdefineareaaddnamearea_eth1attribute'eth1'accessoff定義對象定義主機(jī)地址對象definehostaddipaddr'0'macaddr00:19:21:50:15:1fdefinehostaddname0ipaddr'0'定義時間對象definescheduleaddname上班時間week12345start08:00end18:00添加系統(tǒng)權(quán)限為ETH0口添加TELNET權(quán)限pfserviceaddnametelnetareaarea_eth0addressnameany配置訪問策略允許0在'上班時間'訪問0的PINGFTPSSHTELNETSMTPDNS_QueryTFTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal這些效勞：firewallpolicyaddactionacceptsrcarea'area_eth0'dstarea'area_eth1'src'0'dst'0'service'PINGFTPSSHTELNETSMTPDNS_QueryTFTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal'schedule'上班時間'配置雙機(jī)熱備配置本機(jī)同步IPhalocal配置對端機(jī)器同步IPhapeer啟動雙機(jī)熱備功能haenable注：配置好一臺防火墻后，我們要配置另一臺熱備的防火墻，其配置根本上與致，唯一不同的只有兩個地方，一個是同步接口ETH3的IP地址為；另一個是雙機(jī)熱備配置中的本機(jī)同步IP和對端機(jī)器同步IP相反，本機(jī)IP為，對端機(jī)器IP為，完成配置之后，我們先接好心跳線，將兩臺防火墻的ETH3口連接，然后接上其他接口的網(wǎng)線，到此透明模式的雙機(jī)熱備配置完成。路由模式配置例如拓補(bǔ)結(jié)構(gòu)：用串口管理方式進(jìn)入命令行方法同上面的透明模式。配置接口屬性配置ETH0口的IP地址：networkinterfaceeth0ipadd50masklabel0配置ETH0口的METRIC值，用于計算雙機(jī)熱備的權(quán)值：networkinterfaceeth0ha-metric100配置ETH1口的IP地址：networkinterfaceeth1ip