天融信防火墙NGFW4000配置手册

1、NGFW4000快速配置手册防火墙的几种管理方式41 串口管理42 TELNET管理53 SSH管理54 WEB管理65 GUI管理7命令行常用配置121 系统管理命令(SYSTEM)12命令12功能12WEBUI界面操作位置12二级命令名12VERSION12系统版本信息12系统基本信息12INFORMATION12当前设备状态信息12系统运行状态12TIME12系统时钟管理12系统系统时间12CONFIG12系统配置管理12管理器工具栏“保存设定”按钮12REBOOT12重新启动12系统系统重启12SSHD12SSH服务管理命令12系统系统服务12TELNETD12TELNET服务管理12

2、系统系统服务命令12HTTPD12HTTP服务管理命12系统系统服务令12MONITORD12MONITOR12服务管理命令无122 网络配置命令(NETWORK)133 双机热备命令(HA)134 定义对象命令(DEFINE)135包过滤命令(PF)136 显示运行配置命令(SHOW_RUNNING)137 保存配置命令(SAVE)13三、WEB界面常用配置141系统管理配置14A) 系统>基本信息14B) 系统>运行状态14C) 系统>配置维护15D) 系统>系统服务15E) 系统>开放服务16F) 系统>系统重启162 网络接口、路由配置16A) 设置

3、防火墙接口属性16B) 设置路由183 对象配置20A) 设置主机对象20B) 设置范围对象21C) 设置子网对象21D) 设置地址组21E) 自定义服务22F) 设置区域对象22G) 设置时间对象234 访问策略配置235 高可用性配置26透明模式配置示例28拓补结构：281 用串口管理方式进入命令行282 配置接口属性283 配置VLAN284 配置区域属性285 定义对象286 添加系统权限287 配置访问策略298 配置双机热备29五、路由模式配置示例30拓补结构：301 用串口管理方式进入命令行302 配置接口属性303 配置路由304 配置区域属性305 配置主机对象306 配置访

4、问策略307 配置双机热备31防火墙的几种管理方式通过CONSOLE 口以命令行方式进行配置和管理1.串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用coml）和防火墙的CONSOLE口。2）选择开始>程序>附件>通讯超级终端，系统提示输入新建连接的

5、名称。3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用coml）参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：,14）设置 coml 口的属性，按照以下参数进行设置。5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图6)输入系统默认的用户名：superman和密码：talent,即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2. TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1) 在串口下用“pfserviceaddnametel

6、netareaarea_eth0addressnameany”命令添力口管理权限2) 在串口下用“systemtelnetdstart”命令启动TELNET管理服务3) 知道管理IP地址，或者用“networkinterfaceeth0ipadd50mask”命令添加管理IP地址4) 然后用各种命令行客户端(如WINDOWSCMD命令行)管理：TELNET50login:supermanPassword：TopsecOStt_3. SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1） 在

7、串口下用“pfserviceaddnamesshareaarea_eth0addressnameany”命令添力口管理权限2)在串口下用“systemsshdstart”命令启动TELNET管理服务命令3） 知道管理IP地址，或者用“networkinterfaceeth0ipadd50mask添加管理IP地址4） 然后用各种命令行客户端（如putty命令行）管理：505）最后输入用户名和密码进行管理命令行如图:4. WEB管理1）防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pfserviceaddnam

8、ewebuiareaarea_eth0addressnameany”命令添力口。2） WEB管理服务缺省是启动的，如果没有启动，也可用“systemhttpdstart”命令打开，管理员在管理主机的浏览器上输入防火墙的管理URL,例如：50,弹出如下的登录页面。输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent)，点击“提交”，就可以进入管理页面工。SS+ Q网陪也口对象t U认证七0+妇K 出8引整照土军.统基本信息弟蜕；WGF>V40atXTG424)IS 校：TOPSEC斯去:FBWM 匚耻tama Syste

9、m 2.9c,004 A片可应版本;Q0工安全引空：FK6Q0S课屋内容过渡：HTTP FTP FOP3 SMTPNATSff ：H323 ftPC MMS RTSP SQ1£T TFTP FTP认龊：会请认证后势：CHCP WTF LNCEAK AC-L S5HHA SNPP 冬裔动芯跣由饰设： OGPFRIP京法基末僭且T基本后总系线信息，卜安东务但台室专催 块用务信息至上引 蜜.嫉度成飕.MMT. U 证野动依珞由协议卜阿格口信 土示当 前行或提口信段由由由君君接口地址明意错式mu1Q2 J66 J 2EO/2S5 255.255 0auto150)曲 1K2J50/2552&

10、amp;255.04Ut 口1500auto1500n.m甘乃行.在JLffO15005. GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1）安装管理中心软件2）运行管理软件1硬 交件但1%龈09 TM(D寓的M日中利用芟£ |_R历内拜"1二 启内：P：可闱耳蜀司4 6 |二总在好目山程口枳_£号*手需型I奥班瞋tWg控看喜鞭o HWXMK由“出力口3)右击树形"TOPSEC管理中心”添加管理IP交明F；.xJIO三号小说BTai蚂助:H日， ij 1IM r1T 丁 'fi "

11、;一im.-ji - ijfyMfflF、嚼蚯雷等4）右击管理IP地址，选择“管理”，输入用户名和密码进行管理可声府e<<5Bfga型二tal.券m*iwM!kIC&e-kWUtt-盘咻疝;，府19,kt*卞u国IS.由!LLis即二可上一0:号"顼:TT卜后嚏.里1界:i*i泡蹶r?.gn“Wr-CflB.,T，国丽卜,7!JikMfrifettMAlbi'Chiwl科乳酬IMIM常上“ffSflSft虱i荷陶福舸足爆鹏加凡tB.他肝配同tfiUiol，毛名：19立5）也可右击管理IP地址，选择“安全工具”,进行实时监控:学姐的日工具克着M雁却帮劭知涉备

12、之苛可返内寿广言辱语名日ji-申秋时同常可啪心力*黜tot叱傅16a72Z2U1D.B5.i2-222.1TD.丘生三线番圆"七ki曾.魄m，-T1魄一id国imit11t1和阁ffl2X1.&.UE.ijlfc-iseiw.i.snj!Skr.L安全工具豆看津和选择：安全工具-连接监控安全工具狂）制鹤B云生工具Traosn碣件触目但安全XAT92.168.雕障出手膜械启动T;装向百厘费奈唬升m；槽让肉附IIDLESfc：SYHRCVDS«SACKVaIT2£STAV>目的地址源前口目的口悔百saa«)点击启动，在弹出的窗口中增加过滤条件，

13、可用缺省值监控所有连接。选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图:安空工日耶助®签注销甲所口中止翱s置酒动国f察量H<ffiSII1UJE薪5TM_ftC¥BSW;SJCKWMTE;屿TAB优秀二鹿地址;目的地址iS端口目的崩I口蜒,提送季节数mferffSr挣梦才静1制1B3E1SII9E.G661Z5Dii融目讪F朦5T«：彳3*>-J瞳逾6山睚192网tMEtig3E5STC75983120管1运3,LujISEJI1L25ClUM4000TCZ1遇强t|53thKjrDKu工11.L1.EILLLIMOO90DDOTT39M

14、0tr：汹50美汪晅薄面注口1和1眄CBCWSEJ1>发电字节型覆单字节数发送报文期接收报文箴I 西Sfi12TUA证二1181常"轴德3.1慧6&1dU11里1M1,25011MEBTCF二、命令行常用配置（注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：）系统级系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：T

15、opsecOS#组件级组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS#tab按tab键，则显示出安全组件级命令见下表类别关键字内容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义firewall防火墙规则设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Showrunning查看运行

16、时配之信息Show查看配置helpmode帮助模式设定exit退出系统1.系统管理命令（SYSTEM）在命令行下一般用SYSTEM命令来管理和查看系统配置:命令功能WEBUI界面操作位置二级命令名Version系统版本信息系统基本信息information当前设备状态信息系统运行状态time系统时钟管理系统系统时间config系统配置管理管理器工具栏“保存设定”按钮reboot重新启动系统系统重启sshdSSH服务管理命令系统系统服务telnetdTELNET月艮务管王里系统系统服务命令httpdHTTP服务管理命系统系统服务今monitordMONITOR服务管理命令而2.网络配置命令（NE

17、TWORK）命令功能WEBUI界面操作位置interface防火墙接口管理|网络>物理接口vlanVlan配置管理网络>VLANroute路由表配置管理网络>静态路由Ping验证网络连接无3 .双机热备命令（HA）HALOCAL<ipaddress>设置HA接口的本机地址HAPEER<ipaddress>设置HA接口的对端地址HAPEER-SERIAL<string>设置HA接口的对端的licence序列号HANO<local|peer|peer-serial>复位HA接口的本机地址/对端地址/对端licence序列号HAPRI

18、ORITY<primary|backup>设定HA优先级是主机优先还是备份机优先（默认为backup,即如果同时启动主机成为活HASHOW<cr>查看HA的配置信息HAENABLE<cr>启动HAHADISABLE<cr>停用HAHACLEAN<cr>清除HA配置信息HASYNC<from-peer|to-peer>HA同步（从对端机上同步配置/同步配置到对端机上）4 .定义对象命令（DEFINE）命令功能WEBUI操作位置area区域对象管理对象>区域对象interface；配置防火墙接口对应的区域属性对象>

19、区域对象host主机地址对象管理对象>地址对象>主机对象range地址范围对象管理对象>地址对象>范围对象subnet子网地址对象对象>地址对象>子网对象groupaddress地址组对象管理对象>地址对象>地址组对象service1子定义服务对象管理对象>服务对象>自定义服务groupservice服务组对象管理对象>服务对象>服务组schedule时间去对象管理.对象>时间对象server服务器对象管理对象>负载均衡>服务器virtualserver.虚拟服务器对象管理对象>负载均衡>均衡

20、组5.包过滤命令(PF)增加一条服务访问规则SERVICEADDname<gui|snmp|ssh|monitor|ping|telnet|tosids|pluto|auth|ntp|update|otp|dhcp|rip112tp|pptp|webui|vrc|vdc>area<string><addressid<number>|addressname<addr_name>>6.显示运行酉已置命令(SHOW_RUNNING)SHOW_RUNNING7 .保存配置命令(SAVE)SAVE三、WEB界面常用配置7口系按匕蝙 r(L) H

21、 千东场鼻本哈R用浏览器或者集中管理中心登录到WEB管理界面如下:，n不信a系唬佶史， 整事康权.算可施i 患町+ Qqos1 CJ即火培弓¥£111再同一挈退出挈脸NGF明附陷TOPSECTB的匚8如MEe谁a血m4mVPNi M快本二 v3,2.eei2,OfiOMMa祥可谢陆：m；vmft：o!ft： waawaFK ； imo个安全外包含安全福 耀和,借信也真有t 斜碗I过虑> NATO 证.解哥.勖曲电蝴耐ft挂口花且提示急 前咖蝴口雷层TEfTPM附 SHIPUSS RPC 忸HE RTSP SKJ.nET TFTP FTP益必在DKP MTP UI他恢A

22、EWL 设依钟翼5AO6PFRIP忆话陪口接口君梆略由交些指口地址河南观式K>.翻度 甥由1如J661团妲历.西生帮司CiuTG 15001 .系统管理配置在“系统”下，可以显示或配置系统相关设置A) 系统 > 基本信息显示系统的型号、版本、功能模块、接口信息等等：基本信息系统：NGFW40QQP版权胃TCPHECMt *lessee Qper占随9%盘8m帼熹用B和许可国朗本：002/彳比道散：皿vncfflF®:10SSLVPN用户数：0安至踪务安全引第：腼曲 QDB 9BLWN WN深度内容过酒：HTTP FTP POP3 SMTP-NHT支持：H323 RPC M

23、MS RTSP SQUMET TFTP FTPUuE1会话认定服务：'DHCP NTP LINKS/ ADSL SSH HA SNMP 播动态路由防谀士 OSPF RIP网络接口接口名粉路由交携接口地址协 IMS： MTUettiQethleth2路由那由路由192.168B3；240/255.255，251§百藏q h 1crr1Q2 16S 100.1/285.255,255,0 2一2127 1叫255.255.25591SC010.10.10.y2S525S.25S.flBUtO 15CDB) 系统 > 运行状态查看系统的运行状态，包括CPU、内存使用情况和当前

24、连接数等C) 系统>配置维护上传或下载配置文件1浏览|上镯Eg|系既配置维护查看运行罐小看假存配置一|F越运行配置|F餐保存屋量3D) 系统>系统服务系统服务在本系统中主要是指监控服务、SSH服务、Telnet服务和HTTP服务。TOS系统提供了对这些服务的控制(启动和停止)功能，其具体的操作如下：E) 系统>开放服务添加或查看系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等F)系统>系统重启重默启动家妹童即启动(童噬否当曲配置)重新启动F) 网络接口、路由配置A) 设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤

25、如下：1)在管理界面左侧导航菜单中选择网络>物理接口，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口:Eth0、Eth1、Eth2。接口信尽康口艇性地址MBEMANlMTU状毒物高圜度路密处其它揖细郭定,thTntranBt隐曲192116包83一L"上二DU1%0月用110,加演©曲®手ethl冶temet交鞅<ebss(1J1900启用黑JbojuW国母学国岁交知1-TlF.褊#1J15001g用第1_：d，。加母公后曲2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“”，弹出“设定路由”对话框，如下图所示。设定路由.1瞬加配

26、部触腐事性am1弦16aH3237295,255.255.0T|可以为某个端口设置多个IP地址，点击“添加配置”按钮，添加接口的IP地址。如果选择“ha-static表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的IP地址或IP地址在同一子网内。设定要由度交设定取消返回3）如果要将某端口设交换模式，点击该端口后的交换修改图标“ 图所示。”，弹出“交换”设置窗口，如下首先，需要确定该接口的类型是“ Access”还是“ Trunk ”。如果是“ Access”接口，则表示该交换接口只属于一个VLAN ,需要

27、指定所属的图所示。如是“ Trunk ”接口，则设置参数界面如下图所示。VLID 号码，如上交携皎迎志眼滴返回上图参数说明如下表所示:点击“提交设定”则完成接口从路由模式向交换模式的转换。4）点击“其他”按钮，可以设置接口的其他信息，如下图蹩口值胤理口名称；2师择口港榔接口如：|打开康军r<ru：MAC：HAMetric：自动物商：mssfB :接口逢串:pB）设置路由用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下:1）在左侧导航菜单中选择 网络 > 静态路由，可以看到已经添加的策略路由表以及系 统自动添加的静态路由表，如下图所示。jrnss由表添加第吃主主一跖卸口

28、网关 标记Metric鼓口暮动常彩眯由森添加繇辎由目的后记Metre授口财h92,0.O.D-0/D1.1 12-112.112/32QQ,Q1随IS圈疆的 1/32 5-QQ QQ0.0 .0ucID工。口0川192. lfi& 83.0/240.0.0-0/0 姆 2，侬的0/24O-DmO-0/O 1040.10,0/2400.0-0/0 0.00.0/0000.0/0 0.000/0-prprr'弋小 |ti1 '0.00.0 o.aiaoo.o192,168,03410412 112 112UC 10UCGD 1b100vian.0001“一OPP羸；-2）设

29、置策略路由，点击“添加策略路由”,如下图所示添加L=.目的掩码：司_二55,云。僻源捷码：2552S2SJJ:1924684W4产Metricr1111（L65s35端口F|eth?三|的后睡：否FM提交设定取荫步同其中“网关”为下一跳路由器的入口地址,“端口”指定了从防火墙设备的哪一个接口（包括物理接口和VLAN虚接口）发送数据包。Metric为接口跃点数，默认为1。如果选择“NAT表示策略后的源”为“是”，路由的源地址为NAT后的地址，策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U”。3）设置完成后，点击“提交设定”按钮，如果添加

30、成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。第嗒龄由表承加戢笔跖由路由ID现目的网关标记Metric接口寤动册除1Q1£92,38400.0/242C2.16S.1.0/24192463.1004必M由更'母|侬1-1,L0/2410口膈岫.若要删除某路由项，点击该路由项所在行的删除图标“”进行删除。4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。具体设置方法为：在策略路由表中点击要移动的路由选项（例如要移动策略路由102）后的“移动”图标按钮，进入如下界面在

31、第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到参考路由之前还是之后。例如：要将路由102移动到路由101之前，则第一个下拉框选择ID“101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功对话框。点击“确定”返回路由界面，可以看到路由102已经移动到了101之前，如下图所策略跣由寰承加策略路面躇由ID遇目的将关海记Metri匚接口嵌:骞篇i.口谶口11口管10119168.100.0/24202.168-1,0/24192,168.100.1GethpM10311LOK篇露工期建繇L3；U3H*vlan.00013.对象配置A)设置主机对象选择对象&g

32、t;地址对象>主机对象，右侧界面显示已有的主机对象，如下图所示3塔比MACtftlfc 并次连授数5YN代理ms L-ranl¥entef7ZT3j11.1111.2IS?166g.KO192l&eJOO.17102468,100,143192166400.143点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示米加/睡改配置对墓名配I.四典照MB典I域如<6*处一，|DWt：1并发停播敷：SVMttH：r一ifej设匐J取奥运国1*字E加慕、义对像好:1U户定5H：J也机对像的名称用理地h1L该主机M年的Mac地址旭址类型目前以/持并地址1P地前而不州

33、的kd、w;脸大rpjfe址竽行叭脸！1的£事瞬事未看泌上机对农的IP以对向T切扇疝&*生+小血匕晶网惋输入潮本ip地附.点南尸0.地川鹿港足。刻只为芮足！孙削阳端密勺判康率f书可:甲即窕群与遢V.机驱比的北烟遇SYM代理1J上丁；(ii1HSnRP：上以预防H对该1.机1期时修碗rtUE青景.B) 设置范围对象选择对象>地址对象>地址范围，右侧界面显示已有的地址范围对象，如下图所示范圉地址对重一添加配置I名源起购地址狒止地址二除去地址修改HMtI40Q瑚T可翱翳&255255国用W点击“添加配置”，进入地址范围对象属性的页面，如下图所示。C) 设置子网对

34、象选择对象>地址对象>子网对象，在右侧页面内显示已有的子网地址对象，如下图所示孑网对象展性L_,_对象名猫；幄型_阿si地址：Aleass'+孑同拉吗，2SS淳.2S5.Q1典再除地址：II可输其补用空格分别提爻设定I取梢返回D) 设置地址组不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持增强了对象管理的层次性，使管理更加灵活。设置地址组对象的步骤如下：1)选择对象>地址对象>地址组，在右侧页面内显示已有的地址组对象，如下图所示2）选择“添加配置”,系统出现如下图所示的页面。选奇卜旗:土.subnet 81 F1行5535起蛤芽止;ICM

35、P星竟超值0旬提爻设定取消逅对象名曲：用衷要成员列桑geC升RJ晦期ERI?圣帆lyeaa>a建知0VR£S_natpErolE港图下网100.KIrFM)wiigia|E） 自定义服务当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口：1）选择对象>服务对象>自定义服务，点击“添加配置”，系统出现如下页面。服岳屋性2）输入对象名称后，设置协议类型及端口号范围。3）点击“提交设定”，完成设置。F） 设置区域对象系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需求，定义相应的规则进行区域边界防护。如果不存在可匹配

36、的访问控制规则，网络卫士防火墙将根据目的接口所在区域的权限处理该报文。设置区域对象，具体操作如下：1）选择对象>区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为AREA_ETH0,并已和缺省属性对象eth0绑定，而属性对象eth0已和接口eth0绑定，因此出厂配置中防火墙的物理接口eth0已属于区域AREA_ETH0。2）点击“添加配置”，增加一个区域对象，如下图所示。运耀对于选篝展性搐逸属性eth2etkj«thO耳d式iPsec提交设定It洎返叵在“对象名称”部分输入区域对象名称；在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。

37、在“选择属性”部分的左侧文本框中选择接口，然后点击添加该区域具有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个或多个。3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。4）点击“取消返回”则放弃添加，返回上一界面。5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“”进行修改。”6）若要删除区域对象，点击该区域对象所在行的删除图标“进行删除。G） 设置时间对象用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间对

38、象，具体操作如下：1）选择对象>时间对象，点击“添加配置”，系统出现如下页面。2）依次设置“对象名称”、“每周时段”和“每日时段”o3）最后点击“提交设定”，完成对象设置。新添加的对象将显示在时间对象列表中，如下图所示。4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标删除该对象。4 .访问策略配置、地址、用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN用户、连接、时间等多个层面对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同，访问控制规则也是顺序匹配的，但与其不同，访问控制

39、规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。定义访问规则，操作步骤如下：1）选择防火墙引擎>访问控制，点击“添加配置”，进入访问控制规则定义界面。AOM(D控制01313/1,长廷日疔落酒船 广志改劫入魅(kitrjnet)W. 10.10.2f(pwpeciaiFTPhttpuM m 1 I *! M 禁止-敬俨 IanrtigM驻以.J修.表中“ID ”为每项规则的编号，在移动规则顺序时将会使用 规则是否启用。2）定义是否启用该访问控制规则（默认为启用该规则）“控制”中的

40、图标事和/ ,分别表示该项,以及访问权限。I添加ACL报则,访问权阳M%M：KmH或到则Q词酶朦访问根限：厦北说C拒绝二二访问权限定义了是否允许访问由规则源到规则目的所指定的服务。3）定义规则的源规则的源既可以是一个已经定义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。ACL«J9J.ffi盘舞遇MJMM:巳德避抬|M玄66面ulan.0Q09口|vlvbQQQ8虹口“一9胫L、，一一四E、图中“选择源”右侧的幽一按钮为正序排列和倒序排列，用户可以方便的按序查找项目。另外，用户还可以选择相应的服务，即设置源端口，如下图所示。4）定义规则的目的规则的目的

41、既可以是一个已经定义好的VLAN或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。逸撵目的VLAN鼻vlafeDD03MHQQ2wlflQQDl速挥目的AREA：已途目的VLAN：声：rhpthO电信仙城allports己逸目的AREA：x选将目的：1隰岗/座机1M.1叶：一7；11天机：i电I通后皿t主机】i也I上加L*阕机S3.234生机*1己选目的:另外，用户还可以设置进行地址转换前的目的地址，如下图所示ML粉也对狙前目的选择目的:已逢目的:192.I6B.83.I192.16B.83.01她ISE.M0晔匹堆0_J机同网EC零-TI子5）定义服务选择访问规则包含的服务，

42、如果用户需要制定的服务没有包含在服务列表中，可以通过添加自定义服务添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。连探酎务:巳选服务：BA曦务蛆XPEiQkO8OQ>LOOP(IP:96)6）定义辅助选项诲度过谕官曾时间控制：庆日毒杷录:|音连接选顶：僧通连接各项参数说明如下:7）点击“提交设定”完成该条访问控制规则的设定。8）用户可以点击“修改”按钮，对现有规则进行编辑。可以点击“插入”按钮，在现有规则间插入一条新规则。8）点击“清空配置”，可以清除所有的访问控制规则，便于重新配置。9）需要更改规则的匹配顺序时点击该规则右侧“移动”按钮，如下图所示。提交设定.洎选回用户可

43、以选择相应ID、位置，移动策略。完成后点击“提交设定”保存或“取消返回”放弃移动。5 .高可用性配置配置网络卫士防火墙双机热备的步骤如下：1）选择系统高可用性，进入高可用性设置页面，如下图所示高可用性伏态藕理Nat rurmg. local address not hatatir电身母：土地i也址：对端地址：心畜困是：对随序列：队对编机团承剧本机从本机向螂闲旃机提交役定|限消返回费横决疣幽门礴卫士I为火靖外玄机热芾中工靠伏嵩 JW7机处J 工惆瞌，里1瞬于加。状态.小机用于双机嬉备的物爱瑞1 I的IP地址，3）点击“提交设定”，完成双机热备设置。四、透明模式配置示例拓补结构：1 .用串口管理方

44、式进入命令行用WINDOWS自带的超级终端或者SecureCRT软件，使用9600的速率，用串口线连接到防火墙，用户名是superman,密码是talent。（具体方法见第一节）,下面是具体配置，加粗显示的为命令行。2 .配置接口属性ETH0将ETH0 口配置为交换模式：配置ETH0 口的METRIC值，用于计算双机热备的权值:ETH1将ETH1 口配置为交换模式：配置ETH1 口的METRIC值，用于计算双机热备的权值:ETH2配置ETH2 口的METRIC值，用于计算双机热备的权值:将没有使用的 ETH2 口关闭：network interface eth0 switchportnetwo

45、rk interface eth0 ha-metric 100network interface eth1 switchportnetwork interface eth1 ha-metric 100network interface eth2 ha-metric 100network interface eth2 shutdownETH3配置同步接口ETH3的IP地址和HA标记：(/30)networkinterfaceeth3ipaddmask52ha-staticlabel0配置ETH3口的METRIC值，用于计算双机热备的权值：

46、networkinterfaceeth3ha-metric1003 .配置VLAN添力口VLAN1:networkvlanaddidJ为VLAN1添加IP地址：networkinterfacevlan.0001ipadd50masklabel04 .配置区域属性将区域缺省访问权限为禁止defineareaaddnameareaeth0attribute'eth0'accessoffdefineareaaddnamearea_eth1attribute'eth1'accessoff5 .定义对象定义主机地址对象def

47、inehostaddname0ipaddr'0'macaddr00:19:21:50:15:1fdefinehostaddname0ipaddr'0'定义时间对象definescheduleaddname上班时间week12345start08:00end18:006 .添加系统权限为ETH0口添力口TELNET权限pfserviceaddnametelnetareaarea_eth0addressnameany7 .配置访问策略允许0在上班时间'

48、;访问0的PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal这些月艮务：firewallpolicyaddactionacceptsrcarea'areaeth0'dstarea'areaeth1'src'0'dst'0'service'PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(

49、TCP)MICROSOFT-DS(TCP)MSTerminal'schedule'上班时间'8 .配置双机热备配置本机同步IPhalocal配置对端机器同步IPhapeer启动双机热备功能haenable注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP地址为;另一个是双机热备配置中的本机同步IP和对端机器同步IP相反,本机IP为,对端机器IP为,完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。五、路由模式配置示例