天融信防火墙NGFW4000快速配置手册簿

1、实用文档天融信防火墙NGFW4000快速配置手册防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE 以命令行方式进行配置和管理 。通过CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、 IP地址等），使在不改变现有网络结构的情况下将防 火墙接入网络中。这里将详细介绍如何通过CONSOLES连接到网络卫士防火墙：1）使用一条串口线 （包含在出厂配件中），分别连接计算机的串口（这里假设使用coml）和防火墙的CONSOLES。2）选择 开始 程序 附件 通讯 超级终端，系统提示

2、输入新建连接的名称。3）输入名称，这里假设名称为“ TOPSEC,点击“确定”后，提示选择使用的接口（假设使用coml）。4）设置coml 的属性，按照以下参数进行设置。参数名称取值每秒位数：9600数据位：8文案大全实用文档奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman和密码：talent ,即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2. TELNET 管理TELNE审理也是命令行管理方式，要进行TELNET1理，必须进行以下设置：1） 在串口下用 pf s

3、ervice add name telnet area area_eth0 addressname any”命令添力口管理权限2）在串口下用system telnetd start ” 命令启动TELNET管理服务3） 知道管理 IP 地址，或者用 “ network interface eth0 ip add 50 mask ” 命令添加管理IP地址4）然后用各种命令行客户端（如 WINDOWS CMD令行）管理：TELNET 505）最后输入用户名和密码进行管理命令行如图：3. SSH管理文案大全实用文档SSH管理和TE

4、LNE饵本一至，只不过SSH是加密的，我们用如下步骤管理：1） 在串口下用 pf service add name ssh area area_eth0 addressname any” 命令添力口管理权限2）在串口下用“ system sshd start ”命令启动TELNET管理服务3） 知道管理 IP 地址，或者用 “ network interface eth0 ip add 50 mask ” 命令添加管理IP地址4）然后用各种命令行客户端（如putty命令行）管理：505）最后输入用户名和密码进行管理命令行如图

5、:f 192. 168. U 250 - PuTT:|叵|区login as: supermanTopsec Operating System v04.1HTopsec Networl: Secyirity Technology CD. 1r LTDHhttp: / /w* topaec coir. cnHsuperitian 192.158. 1.2 50, s password:TopsecOS4. WEB管理1）防火墙在出厂时缺省已经配置有WE阱面管理权限，如果没有，可用pf service add name webui areaarea_eth0 addressname

6、 any ” 命令添力口。2） WEB!理服务缺省是启动的，如果没有启动，也可用“ system httpd start ”命令打开，管理员在管理 主机的浏览器上输入防火墙的管理 URL,例如： 50,弹出如下的登录页面。（天融信TOf用尸名：密码：提交输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent ）,点击“提交”，就可以进入管理页面。天融信A 1 Ol *SEC幅科I保存I4新茂接退出与g浜婉It 网珞 由O对匏 ，认证 + OQ06Lb &防火他引芈 口退出系虢y T In .旦第版版tfi根本NC3=W4000

7、(li&424)TOPSECTopsec Opera&ra System v3.2.9D.00,L察班茎本信旦基本信月系蜕信息.版本.版权，评灯徒版本许可证版本：ooi安全JR各安全引解：障度内若过速:克特：证若密认服动F内 3DSQ3SHTTP FTP POP3 SMTPH323 RPC MMS RTSP SQLNET TFTp lFTp会话认证DHCP NTP UMOBAK MGL S5H HA SNMP 多播QSPF REP安全星学包含安全事 炭和服静信H安全引 孥F深度过货NAT ,认 证,.限芬动态路由协议,同编整口UW显水当 前物理短口信息接口名祢格由芟扣接口地址协喀模式MTUet

8、hO1辔,166.1.250/ayhg1500ethl.132,169.2.25Q/255,255.255.0suto1500ath2auto1500Btte/255,255,255,252auto15005. GUI管理GUI图形界面管理跟 WE解面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1）安装管理中心软件2）运行管理软件文案大全3）右击树形 TOPSEC;理中心”添加管理IPTopSEC官理中心二二监校列表匠同 X |:承文件设备0）工具（！）更后四粗图（也）砧吃!田 bSIfa电 皿1翡心播 U,落海.乳.我CF哧丽率可

9、用内存Q0总内存00 I可用存储空间如总存健登语I出） 短口欧 |当曾逢短歌I更新时间,EE211111司7I71司司3 动f tg 竽 SJIO咕.3 哂2fl施拄设备麴 0第确久报警港 Q军靡鲁某副耒确口数拉|营理营:理班隹日者箕的的0垃1】耻19的 设备Use. I晅5,珥1歌LSA 5. 2flJ龙拄后动八2008-021 19:54 30番卷口吃陷5.21依L6A 5. 201监控停止设备添加4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理EhtSEU危目中心-延控列左1眼 L总 J0E.6LeL9Z. LH:雷文伸1或*3）工JIB 变看M Hffliwl Bfjlt|

10、嫉普考带 厂ETH用军/ I可用内存OP TjfeW厂可用不胃图a)I 易五低罡偈闺I余口 I号党近褥ZEE. LTD S3 4Z-Z22. LTO.G： 30. 944. 4B. L5-LC. LM 192.LP0 T3 ZM-LK. 1C. Ub限潮.I.T %. M JIT. 1-. LM. raei.fi. I31.S14-2SL.6 件I 342. LUS 5.20-侬侬.5 :后动苴齿疆避& 却璋世算E买至工具IdrctPCJTTacBrt电修端且I ISD-IE- lEfi L ffiflj:19tD9设普口男酹5.20/92 1朝；30茜近时前200609-21归国观 诳爷门餐

11、街5.&0Affi 1M.S 20笈姮*止不加后 R 7 ” 、k，3电 0M ：-3，3. BiZT To.T05戢&管理看-J9W. J58. . Z5U，天融信用户名；superman循，!3别电实用文档5）也可右击管理IP地址，选择“安全工具”，进行实时监控0ETo谴EC笞理中心-监桧列表;学文件正）错备Q）工具1口查看仪）税图理帮助旧涌/ h ；产百二9|设墙昔理T”E冶理中心-7 is? iea. iQ2 6L-L92 国|q| 222. LTD. 63. laTES. 170. 6团 10 144 qfl. 15-10 144.吧团 IS I6Q. 73.3D-L92 1 西(7

12、1 toz-igz. 160. 173.T71 iez. lee. m i-iffi.168. r 团 203. 91 44 7-203 91 44. 7 171 221.6. J3L. ZH-2E1.6.13L(7 iflg. ise. 5. M-ias. its 5 ：设部名称I CT坪Jffl率可用内存，）启动监控 S-iS2 1&6.1.2501瑞辑这步 即除设备管理安打具TehetPngI培 Tracert总内存妁I而用吉储空间的 I急存读型H 00 接口数I当精叵箍数更仍时间名推警类别昶鞘H裁量口 口一口 O堂等错0至啊D心其世I0_查看照日文案大全狙件信息淖接直控Wa.isca

13、设备口B2 16B. 5 20,19? L66. 5. 2D监控总硒2D06 0J-21 10-54-30 在备口 92 16R 5. 0)/肝 i 醺 5 2Q监控停止状密i灌地址一目的糖址T遁端口 目的端口丁协议 神繁黄送宇书数殿拜数胧送报文数报收报支数1 能 166L1111船网L BHID能“TCFi能57643(92. iea.Iilli* m i 25010093232TCP324475I9Z.I&81.ill192. 160 1 SOim4000TCF1228S21531“533II. 1. IEII. 1. LI90009000vnp739680j9GL关闭国 幅注CI；aj(

14、EIMQ CD CLOSE心状含 裴地址目的地址源端匚目的端口忧该转换发送手节数接收字节数段送报支教授收报文数塾CU 32 L.lll L9E. 1E6. 1.Z30 11W 3233 TCF1208日二、命令行常用配置（注：用串口、 TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持 TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：）系统级系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：Topse

15、cOS#。组件级组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS #tab按tab键，则显示出安全组件级命令见下表。类别关键字内容 说明一级命令名system系统管理目录networkHa网络设置高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置Pf包过滤规则设置dpi深度报文检测策略定义firewall防火墙规则设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Show_running查看运

16、行时配之信息Show查看配置helpmode帮助模式设定exit退出系统1.系统管理命令（SYSTEM）在命令行下一般用 SYSTEM命令来管理和查看系统配置:命令功能WEBUI界囿操作位置二级命令名Version系统版本信息系统 基本信息information当前设备状态信息系统 运行状态time系统时钟管理系统系统时间config系统配置管理管理器工具栏“保存设定”按钮reboot重新启动系统 系统重启sshdSSH服务管理命令系统 系统服务telnetdTELNET服务管理系统 系统服务命令httpdHIIP服务管理命系统 系统服务令monitordMONITOR服务管理命令无实用文档2

17、.网络配置命令（NETWORK）命令功能WEBUI界囿操作位置interface防火墙接口管理网络物理接口vlanVlan配置管理网络VLANroute路由表配置管理网络静态路由Ping验证网络连接无3 .双机热备命令（HA）HA LOCAL ipaddress设置 HA接口的本机地址HA PEER ipaddress设置HA接口的对端地址HA PEER-SERIAL string 设置 HA 接口的对端的 licence 序列号HA NO local|peer|peer-serial复位 HA接口的本机地址/对端地址/对端licence序列号HA PRIORITY primary|backu

18、p设定HA优先级是主机优先还是备份机优先（默认为backup,即如果同时启动主机成为活HA SHOW cr查看 HA的配置信息HA ENABLE cr 启动 HAHA DISABLE cr 停用 HAHA CLEAN cr清除HA配置信息HA SYNC from-peer|to-peer HA同步（从对端机上同步配置 /同步配置到对端机上）4 .定义对象命令（DEFINE）命令功能WEBUI 操作位置area区域对象管理对象 区域对象interface配置防火墙接口对应的区域属性对象 区域对象host主机地址对象管理对象 地址对象 主机对象range地址范围对象管理对象 地址对象 范围对象su

19、bnet子网地址对象对象 地址对象 子网对象group_address地址组对象管理对象 地址对象 地址组对象service子定义服务对象管理对象 服务对象 自定义服务group_service服务组对象管理对象服务对象 服务组schedule时间表对象管理对象 时间对象server服务器对象管理对象 负载均衡 服务器virtual_server虚拟服务器对象管理对象 负载均衡 均衡组5 .包过滤命令(PF)增加一条服务访问规则SERVICE ADD name area addressid | addressname 6 .显示运行配置命令(SHOW_RUNNING)SHOW_RUNNING7

20、 .保存配置命令(SAVE)SAVE文案大全实用文档三、WEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界面如下:国第1保存lifl我送技退出 0系晚!d鹤基本信息+ Li对象市场：MffWOCD-Qt认证版机：TCPSEiZ+ Qqos甑*.皿Topsec Operating SystEnii十Q防火喑引掌版率,值2如00%1_间心，通虚犯专网七邯VPM即学原本二 3.2,6812.060605-00口退出聚耗详可ill版本：007叩HR8道敬：100CVTW：用尸数;1D0D安至崖笛生全弓 I拿：FW IDS ,wPN温度内容道谢； http ftp pops smthMAT支持

21、：H323 RPC MM5 RTSP SQ.NET TFTP FTPWliE :哈话认反用翦：CHOP HTTP LllEAK ADSL SSH HA SNtJP 去抽劫赵曙由四：06PFRDP求当庭本信息注本信息系筑信息.原本，康投，许町证版本T安全K易包吉安主理 埃和国翳信息曼至引 争，麓侬希NRT,认 证,胡努，动怒跻由曲调t网曙接口信且显示当 前较避口信息接口名称蜀由台指口地it协商程式MTUeitio由192 163 5.20/auto1500网姻接口1.系统管理配置在“系统”下，可以显示或配置系统相关设置A）系统 基本信息显示系统的型号、版本、功能模块、接

22、口信息等等:基本信目统权本m系版版评廿不隧道数：URC用尸融：55LVPN用户数：MGFW4000-PTOPSECTopsec Operating System 323840.1002200100安全报多安全引擎;深度内容过谑：N4T支持：认证：服劳：动态曙由构设二FW IDS QOS SSL VPN VPNHTTP FTP POP3 SMTP14323 RPC MMS RTSP SQLNET TFTP FTP 会话i入证DHCP NTP L1NK6AK ADSL SSH HA SNMP 多播 OSPFRIP网通援口接口名称跳囹交界接口地址协商榄式MTUetho踪由ethl第由eth2篇由19

23、2.160.63,240//295.295.255.0202 99.27.199/0,10.1DJ/255 255 255,0auto 150Dauto15U0auto1500文案大全B）系统 运行状态查看系统的运行状态，包括 CPU、内存使用情况和当前连接数等合话获评用户嫌计“用出隹接】用户高:0,6%核心感：口一4%2f程调度：.0%总使用：1.0%空闲：90.9%内存信息总散：458340可用数：293154 可用比例：63.9%键存：1520高速房存：907B0座接数目C）系统 配置维护上传或下载配置文件系蜕

24、配置上传浏览_ 上佶配置系统配置维货查看运庠己置查看保存配置下酝行配置下保存配置D）系统 系统服务系统服务在本系统中主要是指监控服务、SSH服务、Telnet服务和HTTP服务。TOS系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：眼芳投制服势：匚J停止|E）系统 开放服务添加或查看系统权限，包括 WEB管理、GUI管理、TELNET管理、SSH管理、监控等等TOS服务名称控制端口控制地址姗除QU3ea.ethOanyasshareaethOanynU 口由恒areaethDanyapingate_ethownyawebuarea_ethOanyItelnetarea_ethD

25、102,168,63,01ntparea_ethoanyImonitorarea_ethQ192.1GB.83.1iwebmallportsanyBssh制 pcrUwnyiauthAlportswnyidhcprtranetany惊务控制傣地己置F） 系统 系统重启重新启动系统重新启动（重新启当前惜腺定是否屎存当前配置）重新自动|2 .网络接口、路由配置A）设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：1）在管理界面左侧导航菜单中选择网络 物理接口，可以看到防火墙的所有物理接口，如下图所示,共有三个物理接口：Eth。、Eth1、Eth2。擅口信息腐口腌 显

26、性地址二：MOOeVLMJMTU指患物商厚度貂由交到其它评细螂定BthO ntranet KeS 192.166,63,237/1500启用autoautd母 全 0 & $BthlEemet 交换accesstl 1300 JB用出而 auto曲 阜 序 曲多eth2 n 交损trunkl1500 .后用 autoaut0国 & 序 序,弹出“设2）如果要将某端口设为路由模式，点击该端口后的路由修改图标 定路由”对话框，如下图所示。设定器加藤加配韵健码思性国赊192A60 03,Z372SS.255.255.03可以为某个端口设置多个IP地址，点击“添加配置”按钮，

27、添加接口的IP地址。如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的IP地址或IP地址在同一子网内。设定骂由吸址：撞同： |也木就七：r提交谈定取消返国|3）如果要将某端口设交换模式，点击该端口后的交换修改图标”，弹出“交换”设置窗口，如下图所示。接口烟（access jJACCeSS ：I1-4094提交设定取治返国首先，需要确定该接口的类型是“Access”还是“ Trunk”。如果是“ Access”接口，则表示该交换接口只属于一个VLAN ,需要指定所属的VLID号

28、码，如上图所示。如是“Trunk”接口，则设置参数界面如下图所示。交掾tiiink1-094fl-4094 格式XkllOO接口类型：Native:Wan箱围:Truik英里：凄交役定取消返回上图参数说明如下表所示:名字意义接11类型选择读交换楼II双手trunk搂【L即 个接口可以川H.旖匕个 MTMotivetnmk瑞11的峨省VLAM ID由乎Trunk蟠口M于容个VLAK*所以需要设 置缺方3通用于当读交换接1 接收到没有标比的揪丈时，该Trunk 端11将北报文发往缺笞VUN H）林U!的V1A1.如冷的蔻困论huiik接I M此小 格弋举例：1 ”）叔小川心外】轲】|）；或L 10

29、裹示属于LAN1剧LAN1ETrunk类型Trunk 口数据的时装方式,系统支势四种数据时装方式：8。七15标然IEEE8G2r 1悔以）方式和 ISL CInter Switch Link C%cq 产招独行的 称汉）方式、点击“提交设定”则完成接口从路由模式向交换模式的转换。4）点击“其他”按钮，可以设置接口的其他信息，如下图。接口信息接口名称：ethD播口描述：ntranet接口状意：附弄3LOM按口连盅：双工花式：丁MTU ：MAC ：HA Metric ：目动协商：手H设置：ms*开关：ES工值：320a-14fiD樨交设定I取消逅回IB） 设置路由用户可以在网络卫士防火墙上设置策略

30、路由及静态路由，具体步骤如下：1）在左侧导航菜单中选择网络 静态路由，可以看到已经添加的策略路由表以及系统自动添加的静态路由表，如下图所示。策嚼路由表添加策略路由跳即口 涯目的 网关 标圮 Metric 接口 超劫 删除静态路由表添加鄙奇路由遮目的网关林记Metric按口删除0.00.0/0192.163. S3.237/3U.1b/010.112,112,112/320.0.D,0UC10PPPO90.00.0/010A0A0 1/3200.0.0UL1!10.00.0/0192.16B. 93,0/UC10ethl3.,0.0/0弱之16日田

31、卬24UC1D0tpsecO00 0 OhO/O10.10.10,0/24OhO.O.OUC10vian.OOOla/0o.n.o.o/0192.16S.B3.1UGS1ethl0.0.0,0/00.0 0,0/010,112.112,112UGD1PPPOa2）设置策略路由，点击“添加策略路由”，如下图所示。添加配置提交设定取消返回其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和VLAN 虚接口）发送数据包。 Metric为接口跃点数，默认为1。如果选择“ NAT后的源”为“是”表示策略路由的源地址为NAT后的地址，策略路由添加成功后

32、的“标记” 一栏显示为“ UGM”。默认为“否”，策略路由添加成功后的“标记” 一栏显示为“U”。3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。点击“取消返 回”则放弃添加，返回上一界面。策喈躅由衷添加策晤跷由斶由心谡目的网关标记Metrlt接口移动删除101/24202,163.1.0/2192,16B. 100.1 G 1eth21021.1,2,0/24LLir/241.L2.3 UGM1ethO1031.1,1.0/2422.2Q/241.1.L3 JGM1vlan.OGOl若要删除某路由项，点击该路由项所在行的删除图标”进行删除

33、。4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变 添加策略时候的缺省的执行顺序（按照添加顺序排列）。具体设置方法为：文案大全实用文档102）后的“移动”图标按钮，进入如下在策略路由表中点击要移动的路由选项（例如要移动策略路由 界面。移动策嗡患由移动策晦路由10102到ID |101_J |N前二J提交艇J取消塞回在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到参考路由之前还是之后。例如：要将路由102移动到路由101之前，则第一个下拉框选择ID “101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功对话框。点

34、击“确定”返回路由界面，可以看到路由102已经移动到了 101之前，如下图所示。策跖蹄由裴建加策略跖由路由心源目的网关标记Metric接口移动删除1021.1.Z0/2-1L1.1 0/24L.1Z3UGM1 th0国a101/24 202.169. L0/34 G 1 eth2侬3103 LLLQ/2W/UGM1 vlan OODI 争 3 .对象配置A） 设置主机对象选择 对象 地址又象 主机对象，右侧界面显示已有的主机对象，如下图所示。名朝旧地址并发连接致SY帆理修改圈除Iveinter11.11.11

35、.2国3192,109400.140192,168.100.140曲a192J68.100A43192,168,1004*13序3添加配置+机俳k?点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示。酝加悔改曰对集名褥：，物理地址：00:01:00:00:00:00地址类星：工P地址IP地址:代理是告肩用$胴代理,以预防针对该i机的SVMFlood攻击.B) 设置范围对象选择 对象 地址又象 地址范围，右侧界面显示已有的地址范围对象，如下图所示。范围地址对藁添属覆名称起帕地址婢止地址除去地址峰散除w OXJ.O.O 255.2S5.255.255* J点击“添加配置”，进入地址范围对

36、象属性的页面，如下图所示。地址范围对象屏性对象名豚：一 *起蛤地址：终止地址：*用趣地址i I：回蛹入畲个3电址，用空格分开，交设定I般清能回IC) 设置子网对象选择 对象 地址又象 子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。实用文档子网地址对象添加配置名称即地址捧码地址除去地址降改删除192,168,83.0弱Z16&83Q255.255,255.0中1192.168,04.0192.166.04.0255,255.255.03子网对象保性对象名称：文带姐*网捕地址：192.168.63,0*孑网播码：

37、2S5,2S5.255.0+存除地址：mi6B.B3.12皿输入去个，用空格分开提交设定能潮逅间|D） 设置地址组不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持 增强了对象管理的层次性，使管理更加灵活。设置地址组对象的步骤如下：1）选择 对象 地址对象 地址组，在右侧页面内显示已有的地址组对象，如下 图所示。文案大全2）选择“添加配置”，系统出现如下图所示的页面。制装名麻：职派部战员列荏好成员：|由泣2- L主机3W.USERIP【主机】lye-c 主机any K&Snat-pool 范围 1|干网10口干牌】提交谀冠 取消落回E）自定义服务当预定义的服务中找不到我们

38、需要的服务端口时，我们可以自己定义服务端口：1）选择对象 服务对象 自定义服务，点击“添加配置”，系统出现如下页面。服务属性美里：TCF三名称： *端口：单个端口或者苑圉, 1-65535起始其止;KMP是类型楫提交设定I取揩返回2）输入对象名称后，设置协议类型及端口号范围。3）点击“提交设定”，完成设置。F） 设置区域对象系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需 求，定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网络卫士防火墙将根据目的 接口所在区域的权限处理该报文。设置区域对象，具体操作如下：1）选择对象 区域对象，显示已有

39、的区域对象。防火墙出厂配置中缺省区域对象为AREA_ETH0 ,并已和缺省属性对象 eth0绑定，而属性对象 eth0已和接口 eth0绑定，因此出厂配置中防火墙的物理接口 eth0已属于区域 AREA_ETH0 。2）点击“添加配置”，增加一个区域对象，如下图所示。区域对象eth2上ethl_ethO adsl ip sec. j提交设定理消返回在“对象名称”部分输入区域对象名称；在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。在“选择属性”部分的左侧文本框中选择接口，然后点击添加该区域具有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个

40、或多个。3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话 框。4）点击“取消返回”则放弃添加，返回上一界面。5）若要修改区域对象的设置，点击该区域对象所在行的修改图标”进行修改。6）若要删除区域对象，点击该区域对象所在行的删除图标”进行删除。G）设置时间对象用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针 对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间 对象，具体操作如下：1）选择对象 时间对象，点击“添加配置”，系统出现如下页面。实用文档通目的.01002 as)ai 访问控制，点击

41、“添加配置”，进入访问控制规则定义界面。添比配置显空配置谢转换前时2t长连日修稔而捌口 目的间指志改动人院http_auth 前金己七通表中“ID”为每项规则的编号，在移动规则顺序时将会使用。“控制”中的图标/和,分别表示该项规则是否启用。 文案大全2）定义是否启用该访问控制规则（默认为启用该规则），以及访问权限。询触CL族耻访问叔眼启用规胤：“启用谶认自用翻删,不该为智不生池】 访问权隔：才允许r拒蛆访问权限定义了是否允许访问由规则源到规则目的所指定的服务。3）定义规则的源规则的源既可以是一个已经定义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。AC.fJ,选

42、抨郎.&J ：岫源：1至和已选遇VLAN ：巳选滁AREA ：巳喳源19您 16九 83. 1 any闹留 122.16S.S3L 口 192.1BB.84, D 192. J6B. 85. D子网子陶【子网-图中“选择源”右侧的 4 2按钮为正序排列和倒序排列，用户可以方便的按序查找项目。另外，用户还可以选择相应的服务，即设置源端口，如下图所示。AOMM胸口选捍服务:g1已透眼努；ftpsepecial (TCP;3l)Echo (TCP) (TCP 二qrEcho (UDP) CUBPsT)-5JDiscard(TCP) (TCP:9)二4）定义规则的目的规则的目的既可以是一个已经定义好的

43、VLAN 或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。文案大全逸择目的VLAN：己遗目的VLAK：Ivlan. 0003 vlan. 0002 |vlan, 0001X选择目的AREA：己选目的口 REA：area ethO电信ADSLallport5-X选择目的；2已选目的：192. 163.83. 1【主机 J*|1B2H08. 33.214 主机192. 16乩肛192住机10. 10.10. 2 主机83.234 住机T2 XA二L视则的另外，用户还可以设置进行地址转换前的目的地址，如下图所示。41胡网，转热前目的192. 160. 5X 1主机/any施国 19

44、2. 16B.8X0仔因192. 1GB. M.Q192, 168,85, 0可期 仔和zJ遗撵目的：|已选目的;5）定义服务选择访问规则包含的服务，如果用户需要制定的服务没有包含在服务列表中，可以通过 添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。添加自定义服务ML换则服塔列表ftpsepecial (TCP:3)BA【服务组IP (ETH:Dm080D)ARP (ETH:0xQ806)LOOP (IPi96)已选服珞：16）定义辅助选项次并内-理电.辅助卉顶各项参数说明如下:名字蔻义时间控制这条规则生效的时间段.如果没选择时间段对象则我上所叫小潦度过渡选择骡解用的深度过滋策

45、略,匹配到本条访向控制规则的数热;包档根 据相应的深度过池第略对其进i处驯；日志记量设置H志迷豳，可以为不用H志、做H志或报警一连接选隙可以为普通连接二时以力氏直楼* 般来说.叨火口对述博刑 定间的通接将自幼断汗,以提高安全性却祥放通储资源.但某些危 用所建立的正接餐要长时期保符.即使处空闱状态一例如ATH机器 必辄和处理中心的服务潘向保外者姓接，这个连接必魏设置为氏it 接*7）点击“提交设定”完成该条访问控制规则的设定。8）用户可以点击“修改”按钮，对现有规则进行编辑。可以点击“插入”按钮，在现有规则间插入一条新规则。8）点击“清空配置”，可以清除所有的访问控制规则，便于重新配置。9）需要

46、更改规则的匹配顺序时点击该规则右侧“移动”按钮，如下图所示。胸醐剌策略.移动访问控需慷略iceioe到idoq:11之后一q度交设定取清返回用户可以选择相应 ID、位置，移动策略。完成后点击“提交设定”保存或“取消 返回”放弃移动。5 .高可用性配置配置网络卫士防火墙双机热备的步骤如下：1）选择 系统 高可用性，进入高可用性设置页面，如下图所示。高打用性图数设定Not runmqj kicall address not ha-static提交设定理清返回2）设置主/从设备参数，参数说明请参见下表。参数说明务份身份淡定网台网咻火靖四艰机热备中的忤状态,其中】机处J 作状态, 从机处于雅祝状态.本他地址军机用于双机热晶的物理端口的IP地址一对鼎地址对豳小着用J双机热备的捌理端口的IP地加心跳间隔两台网络1L劭火堵之间用f 1作状为圈测的间阴,默认为3次，抄一村瑞存列对端