天融信防火墙NGFW4000快速配置手册簿Word格式文档下载.docx

天融信防火墙NGFW4000快速配置手册簿Word格式文档下载.docx

《天融信防火墙NGFW4000快速配置手册簿Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《天融信防火墙NGFW4000快速配置手册簿Word格式文档下载.docx（35页珍藏版）》请在冰豆网上搜索。

superman和密码：

talent，即可登录到网络卫士防火

墙。

登录后，用户就可使用命令行方式对网络卫士防火墙进展配置管理。

2．TELNET管理

TELNET管理也是命令行管理方式，要进展TELNET管理，必须进展以下设置：

1）在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany〞命令添加管理权限

2）在串口下用“systemtelnetdstart〞命令启动TELNET管理效劳

3）知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1.250mask255.255.255.0〞命令添加管理IP地址

4）然后用各种命令行客户端（如WINDOWSCMD命令行）管理：

TELNET192.168.1.250

5）最后输入用户名和密码进展管理命令行如图：

3．SSH管理

SSH管理和TELNET根本一至，只不过SSH是加密的，我们用如下步骤管理：

1）在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany〞命令添加管理权限

2）在串口下用“systemsshdstart〞命令启动TELNET管理效劳

4）然后用各种命令行客户端（如putty命令行）管理：

192.168.1.250

4．WEB管理

1）防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany〞命令添加。

2）WEB管理效劳缺省是启动的，如果没有启动，也可用“systemdstart〞命令翻开，管理员在管理主机的浏览器上输入防火墙的管理URL，例如：

s:

//192.168.1.250，弹出如下的登录页面。

输入用户名密码后〔网络卫士防火墙默认出厂用户名/密码为：

superman/talent〕，

点击“提交〞，就可以进入管理页面。

5．GUI管理

GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些平安工具，如监控，抓包，跟踪等

1）安装管理中心软件

2）运行管理软件

3）右击树形“TOPSEC管理中心〞添加管理IP

4）右击管理IP地址，选择“管理〞，输入用户名和密码进展管理

5）也可右击管理IP地址，选择“平安工具〞，进展实时监控

选择：

平安工具-连接监控

点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。

选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下列图：

二、命令行常用配置

（注：

用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；

也可以进入相应的功能组件级，输入对应组件命令。

具体分级如下表：

）

系统级

系统级为第一级，提供设备的根本管理命令。

CLI管理员登录后，直接进入该级，显示为：

TopsecOS#。

组件级

组件级为第二级，提供每个平安组件〔SE〕所独有的管理命令。

在系统级下，TopsecOS#<

tab>

按tab键，那么显示出平安组件级命令见下表。

类别

关键字容

说明

一级命令名

system

系统管理目录

network

网络设置

Ha

高可用性设置

define

网络对象定义

debug

调试

log

日志设置

authentication

认证设置

Snmp

简单网络管理协议配置

pf

包过滤规那么设置

dpi

深度报文检测策略定义

firewall

防火墙规那么设置

nat

地址转换策略配置

Vpn

虚拟私有网隧道配置与操作

IDS

入侵监测配置

Qos

带宽控制配置

AVSE

防病毒平安引擎管理设置

save

保存配置

Show_running

查看运行时配之信息

Show

查看配置

helpmode

帮助模式设定

exit

退出系统

1．系统管理命令（SYSTEM）

在命令行下一般用SYSTEM命令来管理和查看系统配置：

命令

功能

WEBUI界面操作位置

二级命令名

Version

系统版本信息

系统>

根本信息

information

当前设备状态信息

运行状态

time

系统时钟管理

系统时间

config

系统配置管理

管理器工具栏“保存设定〞按钮

reboot

重新启动

系统重启

sshd

SSH效劳管理命令

系统效劳

telnetd

TELNET效劳管理

系统效劳命令

d

效劳管理命

系统效劳令

monitord

MONITOR

效劳管理命令无

2．网络配置命令（NETWORK）

interface

防火墙接口管理

网络>

物理接口

vlan

Vlan配置管理

VLAN

route

路由表配置管理

静态路由

Ping

验证网络连接

3．双机热备命令（HA）

HALOCAL<

ipaddress>

设置HA接口的本机地址

HAPEER<

设置HA接口的对端地址

HAPEER-SERIAL<

string>

设置HA接口的对端的licence序列号

HANO<

local|peer|peer-serial>

复位HA接口的本机地址/对端地址/对端licence序列号

HAPRIORITY<

primary|backup>

设定HA优先级是主机优先还是备份机优先〔默认为backup，即如果同时启动主机成为活

HASHOW<

cr>

查看HA的配置信息

HAENABLE<

启动HA

HADISABLE<

停用HA

HACLEAN<

去除HA配置信息

HASYNC<

from-peer|to-peer>

HA同步〔从对端机上同步配置/同步配置到对端机上〕

4．定义对象命令（DEFINE）

WEBUI操作位置

area

区域对象管理

对象>

区域对象

配置防火墙接口对应的区域属性

区域对象

host

主机地址对象管理

地址对象>

主机对象

range

地址围对象管理

对象>

围对象

subnet

子网地址对象

子网对象

group_address

地址组对象管理

地址组对象

service

子定义效劳对象管理

效劳对象>

自定义效劳

group_service

效劳组对象管理

效劳组

schedule

时间表对象管理

时间对象

server

效劳器对象管理

负载均衡>

效劳器

virtual_server

虚拟效劳器对象管理

均衡组

5．包过滤命令（PF）

增加一条效劳访问规那么

SERVICEADDname<

gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip|l2tp|pptp|webui|vrc|vdc>

area<

<

[addressid<

number>

]|[addressname<

addr_name>

]>

6．显示运行配置命令（SHOW_RUNNING）

SHOW_RUNNING

7．保存配置命令（SAVE）

SAVE

三、WEB界面常用配置

用浏览器或者集中管理中心登录到WEB管理界面如下：

1．系统管理配置

在“系统〞下，可以显示或配置系统相关设置

A）系统>

根本信息

显示系统的型号、版本、功能模块、接口信息等等：

B）系统>

运行状态

查看系统的运行状态，包括CPU、存使用情况和当前连接数等

C）系统>

配置维护

上传或下载配置文件

D）系统>

系统效劳

系统效劳在本系统中主要是指监控效劳、SSH效劳、Telnet效劳和效劳。

TOS系统提供了对这些效劳的控制〔启动和停顿〕功能，其具体的操作如下：

E）系统>

开放效劳

添加或查看系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等

F）系统>

系统重启

2．网络接口、路由配置

A）设置防火墙接口属性

用户可以对网络卫士防火墙的物理接口的属性进展设置，具体步骤如下：

1〕在管理界面左侧导航菜单中选择网络>

物理接口，可以看到防火墙的所有物理接口，如下列图所示，共有三个物理接口：

Eth0、Eth1、Eth2。

2〕如果要将某端口设为路由模式，点击该端口后的路由修改图标“〞，弹出“设

定路由〞对话框，如下列图所示。

可以为某个端口设置多个IP地址，点击“添加配置〞按钮，添加接口的IP地址。

如果选择“ha-static〞,表示双机热备的两台设备在进展主从切换时，可以保存原来的地址不变，否那么，从墙的地址将被主墙覆盖。

网络卫士防火墙不支持不同的物理接口配置一样的IP地址或IP地址在同一子网。

3〕如果要将某端口设交换模式，点击该端口后的交换修改图标“〞，弹出“交换〞设置窗口，如下列图所示。

首先，需要确定该接口的类型是“Access〞还是“Trunk〞。

如果是“Access〞接口，那么表示该交换接口只属于一个VLAN，需要指定所属的VLID，如上图所示。

如是“Trunk〞接口，那么设置参数界面如下列图所示。

上图参数说明如下表所示：

点击“提交设定〞那么完成接口从路由模式向交换模式的转换。

4〕