天融信防火墙NGFW4000配置手册图表说明

1、天融信防火墙NGFW4000快速配置手册说明目 录 TOC o 1-3 h z u HYPERLINK l _Toc272743143 一、防火墙的几种管理方式 PAGEREF _Toc272743143 h 3 HYPERLINK l _Toc272743144 1串口管理 PAGEREF _Toc272743144 h 3 HYPERLINK l _Toc272743145 2TELNET管理 PAGEREF _Toc272743145 h 4 HYPERLINK l _Toc272743146 3SSH管理 PAGEREF _Toc272743146 h 5 HYPERLINK l _T

2、oc272743147 4WEB管理 PAGEREF _Toc272743147 h 6 HYPERLINK l _Toc272743148 5GUI管理 PAGEREF _Toc272743148 h 6 HYPERLINK l _Toc272743149 二、命令行常用配置 PAGEREF _Toc272743149 h 12 HYPERLINK l _Toc272743150 1系统管理命令(SYSTEM) PAGEREF _Toc272743150 h 12 HYPERLINK l _Toc272743151 命令 PAGEREF _Toc272743151 h 12 HYPERLIN

3、K l _Toc272743152 功能 PAGEREF _Toc272743152 h 12 HYPERLINK l _Toc272743153 WEBUI界面操作位置 PAGEREF _Toc272743153 h 12 HYPERLINK l _Toc272743154 二级命令名 PAGEREF _Toc272743154 h 12 HYPERLINK l _Toc272743155 Version PAGEREF _Toc272743155 h 12 HYPERLINK l _Toc272743156 系统版本信息 PAGEREF _Toc272743156 h 12 HYPERLI

4、NK l _Toc272743157 系统基本信息 PAGEREF _Toc272743157 h 12 HYPERLINK l _Toc272743158 information PAGEREF _Toc272743158 h 12 HYPERLINK l _Toc272743159 当前设备状态信息 PAGEREF _Toc272743159 h 12 HYPERLINK l _Toc272743160 系统运行状态 PAGEREF _Toc272743160 h 12 HYPERLINK l _Toc272743161 time PAGEREF _Toc272743161 h 12 HY

5、PERLINK l _Toc272743162 系统时钟管理 PAGEREF _Toc272743162 h 12 HYPERLINK l _Toc272743163 系统系统时间 PAGEREF _Toc272743163 h 12 HYPERLINK l _Toc272743164 config PAGEREF _Toc272743164 h 12 HYPERLINK l _Toc272743165 系统配置管理 PAGEREF _Toc272743165 h 12 HYPERLINK l _Toc272743166 管理器工具栏“保存设定”按钮 PAGEREF _Toc272743166

6、 h 12 HYPERLINK l _Toc272743167 reboot PAGEREF _Toc272743167 h 12 HYPERLINK l _Toc272743168 重新启动 PAGEREF _Toc272743168 h 12 HYPERLINK l _Toc272743169 系统系统重启 PAGEREF _Toc272743169 h 12 HYPERLINK l _Toc272743170 sshd PAGEREF _Toc272743170 h 12 HYPERLINK l _Toc272743171 SSH服务管理命令 PAGEREF _Toc272743171

7、h 12 HYPERLINK l _Toc272743172 系统系统服务 PAGEREF _Toc272743172 h 12 HYPERLINK l _Toc272743173 telnetd PAGEREF _Toc272743173 h 12 HYPERLINK l _Toc272743174 TELNET服务管理 PAGEREF _Toc272743174 h 12 HYPERLINK l _Toc272743175 系统系统服务命令 PAGEREF _Toc272743175 h 12 HYPERLINK l _Toc272743176 httpd PAGEREF _Toc2727

8、43176 h 12 HYPERLINK l _Toc272743177 HTTP服务管理命 PAGEREF _Toc272743177 h 12 HYPERLINK l _Toc272743178 系统系统服务令 PAGEREF _Toc272743178 h 12 HYPERLINK l _Toc272743179 monitord PAGEREF _Toc272743179 h 12 HYPERLINK l _Toc272743180 MONITOR PAGEREF _Toc272743180 h 12 HYPERLINK l _Toc272743181 服务管理命令无 PAGEREF

9、_Toc272743181 h 12 HYPERLINK l _Toc272743182 2网络配置命令(NETWORK) PAGEREF _Toc272743182 h 13 HYPERLINK l _Toc272743183 3双机热备命令(HA) PAGEREF _Toc272743183 h 13 HYPERLINK l _Toc272743184 4定义对象命令(DEFINE) PAGEREF _Toc272743184 h 13 HYPERLINK l _Toc272743185 5包过滤命令(PF) PAGEREF _Toc272743185 h 13 HYPERLINK l _

10、Toc272743186 6显示运行配置命令(SHOW_RUNNING) PAGEREF _Toc272743186 h 13 HYPERLINK l _Toc272743187 7保存配置命令(SAVE) PAGEREF _Toc272743187 h 13 HYPERLINK l _Toc272743188 三、WEB界面常用配置 PAGEREF _Toc272743188 h 14 HYPERLINK l _Toc272743189 1系统管理配置 PAGEREF _Toc272743189 h 14 HYPERLINK l _Toc272743190 A)系统 基本信息 PAGEREF

11、 _Toc272743190 h 14 HYPERLINK l _Toc272743191 B)系统 运行状态 PAGEREF _Toc272743191 h 14 HYPERLINK l _Toc272743192 C)系统 配置维护 PAGEREF _Toc272743192 h 15 HYPERLINK l _Toc272743193 D)系统 系统服务 PAGEREF _Toc272743193 h 15 HYPERLINK l _Toc272743194 E)系统 开放服务 PAGEREF _Toc272743194 h 16 HYPERLINK l _Toc272743195 F)

12、系统 系统重启 PAGEREF _Toc272743195 h 16 HYPERLINK l _Toc272743196 2网络接口、路由配置 PAGEREF _Toc272743196 h 16 HYPERLINK l _Toc272743197 A)设置防火墙接口属性 PAGEREF _Toc272743197 h 16 HYPERLINK l _Toc272743198 B)设置路由 PAGEREF _Toc272743198 h 18 HYPERLINK l _Toc272743199 3对象配置 PAGEREF _Toc272743199 h 20 HYPERLINK l _Toc2

13、72743200 A)设置主机对象 PAGEREF _Toc272743200 h 20 HYPERLINK l _Toc272743201 B)设置范围对象 PAGEREF _Toc272743201 h 21 HYPERLINK l _Toc272743202 C)设置子网对象 PAGEREF _Toc272743202 h 21 HYPERLINK l _Toc272743203 D)设置地址组 PAGEREF _Toc272743203 h 21 HYPERLINK l _Toc272743204 E)自定义服务 PAGEREF _Toc272743204 h 22 HYPERLINK

14、 l _Toc272743205 F)设置区域对象 PAGEREF _Toc272743205 h 22 HYPERLINK l _Toc272743206 G)设置时间对象 PAGEREF _Toc272743206 h 23 HYPERLINK l _Toc272743207 4访问策略配置 PAGEREF _Toc272743207 h 23 HYPERLINK l _Toc272743208 5高可用性配置 PAGEREF _Toc272743208 h 26 HYPERLINK l _Toc272743209 四、透明模式配置示例 PAGEREF _Toc272743209 h 28

15、 HYPERLINK l _Toc272743210 拓补结构： PAGEREF _Toc272743210 h 28 HYPERLINK l _Toc272743211 1用串口管理方式进入命令行 PAGEREF _Toc272743211 h 28 HYPERLINK l _Toc272743212 2配置接口属性 PAGEREF _Toc272743212 h 28 HYPERLINK l _Toc272743213 3配置VLAN PAGEREF _Toc272743213 h 28 HYPERLINK l _Toc272743214 4配置区域属性 PAGEREF _Toc27274

16、3214 h 28 HYPERLINK l _Toc272743215 5定义对象 PAGEREF _Toc272743215 h 28 HYPERLINK l _Toc272743216 6添加系统权限 PAGEREF _Toc272743216 h 29 HYPERLINK l _Toc272743217 7配置访问策略 PAGEREF _Toc272743217 h 29 HYPERLINK l _Toc272743218 8配置双机热备 PAGEREF _Toc272743218 h 29 HYPERLINK l _Toc272743219 五、路由模式配置示例 PAGEREF _To

17、c272743219 h 30 HYPERLINK l _Toc272743220 拓补结构： PAGEREF _Toc272743220 h 30 HYPERLINK l _Toc272743221 1用串口管理方式进入命令行 PAGEREF _Toc272743221 h 30 HYPERLINK l _Toc272743222 2配置接口属性 PAGEREF _Toc272743222 h 30 HYPERLINK l _Toc272743223 3配置路由 PAGEREF _Toc272743223 h 30 HYPERLINK l _Toc272743224 4配置区域属性 PAGE

18、REF _Toc272743224 h 30 HYPERLINK l _Toc272743225 5配置主机对象 PAGEREF _Toc272743225 h 30 HYPERLINK l _Toc272743226 6配置访问策略 PAGEREF _Toc272743226 h 30 HYPERLINK l _Toc272743227 7配置双机热备 PAGEREF _Toc272743227 h 31防火墙的几种管理方式串口管理第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设

19、置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。 2）选择 开始 程序 附件 通讯 超级终端，系统提示输入新建连接的名称。3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。4）设置 com1 口的属性，按照以下参数进行设置。 参数名称取值每秒位数：9600数据位：8奇偶校验：无

20、停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限在串口下用“system telnetd start” 命令启动TELNET管理服务知道管理IP地址，或者用“network

21、interface eth0 ip add 50 mask ”命令添加管理IP地址然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 50最后输入用户名和密码进行管理命令行如图：SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限在串口下用“system sshd start” 命令启动TELNET管理服务知道管理IP地址，或者用“network interface eth0 ip add 50 ma

22、sk ”命令添加管理IP地址然后用各种命令行客户端(如putty命令行)管理：50最后输入用户名和密码进行管理命令行如图：WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。2)WEB管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：50，弹出如下的登录页面。输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），

23、点击“提交”，就可以进入管理页面。GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等安装管理中心软件运行管理软件右击树形“TOPSEC管理中心”添加管理IP右击管理IP地址，选择“管理”，输入用户名和密码进行管理也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支

24、持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：)系统级 系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。组件级 组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS # 按 tab键，则显示出安全组件级命令见下表。 类别关键字内容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp

25、简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义firewall防火墙规则设置nat地址转换策略配置Vpn虚拟私有网隧道配置与操作IDS入侵监测配置Qos带宽控制配置AVSE防病毒安全引擎管理设置save保存配置Show_running查看运行时配之信息Show查看配置helpmode帮助模式设定exit退出系统系统管理命令(SYSTEM)在命令行下一般用SYSTEM命令来管理和查看系统配置：命令功能WEBUI界面操作位置二级命令名Version系统版本信息系统基本信息information当前设备状态信息系统运行状态time系统时钟管理系统系统时间config系统配置管理管理

26、器工具栏“保存设定”按钮reboot重新启动系统系统重启sshdSSH服务管理命令系统系统服务telnetdTELNET服务管理系统系统服务命令httpdHTTP服务管理命系统系统服务令monitordMONITOR服务管理命令无网络配置命令(NETWORK)命令功能WEBUI界面操作位置interface防火墙接口管理网络物理接口vlanVlan配置管理网络VLANroute路由表配置管理网络静态路由Ping验证网络连接无双机热备命令(HA)HA LOCAL 设置 HA接口的本机地址 HA PEER 设置 HA接口的对端地址 HA PEER-SERIAL 设置 HA接口的对端的 licenc

27、e 序列号 HA NO 复位 HA接口的本机地址/对端地址/对端 licence序列号 HA PRIORITY 设定 HA 优先级是主机优先还是备份机优先（默认为 backup，即如果同时启动主机成为活HA SHOW 查看 HA的配置信息 HA ENABLE 启动 HA HA DISABLE 停用 HA HA CLEAN 清除 HA配置信息 HA SYNC HA同步（从对端机上同步配置/同步配置到对端机上）定义对象命令(DEFINE)命令功能WEBUI 操作位置 area区域对象管理对象 区域对象 interface配置防火墙接口对应的区域属性对象 区域对象host主机地址对象管理对象 地址对

28、象 主机对象 range地址范围对象管理对象地址对象 范围对象 subnet子网地址对象对象地址对象 子网对象 group_address地址组对象管理对象地址对象 地址组对象 service子定义服务对象管理对象服务对象 自定义服务 group_service服务组对象管理对象服务对象 服务组 schedule时间表对象管理对象 时间对象 server服务器对象管理对象 负载均衡 服务器 virtual_server虚拟服务器对象管理对象 负载均衡 均衡组包过滤命令(PF)增加一条服务访问规则SERVICE ADD name area addressid | addressname 显示运行

29、配置命令(SHOW_RUNNING)SHOW_RUNNING保存配置命令(SAVE)SAVEWEB界面常用配置用浏览器或者集中管理中心登录到WEB管理界面如下：系统管理配置在“系统”下，可以显示或配置系统相关设置系统 基本信息显示系统的型号、版本、功能模块、接口信息等等：系统 运行状态查看系统的运行状态，包括CPU、内存使用情况和当前连接数等系统 配置维护上传或下载配置文件系统 系统服务系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和 HTTP服务。TOS系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：系统 开放服务添加或查看系统权限，包括WEB管理、GUI

30、管理、TELNET管理、SSH管理、监控等等系统 系统重启网络接口、路由配置设置防火墙接口属性用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下： 1）在管理界面左侧导航菜单中选择 网络 物理接口 ，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口：Eth0、Eth1、Eth2。 2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“ ”，弹出“设定路由”对话框，如下图所示。 可以为某个端口设置多个 IP 地址，点击“添加配置”按钮，添加接口的 IP 地址。如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地

31、址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的 IP地址或 IP 地址在同一子网内。3）如果要将某端口设交换模式，点击该端口后的交换修改图标“ ”，弹出“交换”设置窗口，如下图所示。首先，需要确定该接口的类型是“Access”还是“Trunk”。 如果是“Access”接口，则表示该交换接口只属于一个 VLAN，需要指定所属的 VLID 号码，如上图所示。 如是“Trunk”接口，则设置参数界面如下图所示。上图参数说明如下表所示：点击“提交设定”则完成接口从路由模式向交换模式的转换。4）点击“其他”按钮，可以设置接口的其他信息，如下图。设置路由用户可以在网络卫士防火墙上设置策略路

32、由及静态路由，具体步骤如下： 1）在左侧导航菜单中选择 网络 静态路由，可以看到已经添加的策略路由表以及系统自动添加的静态路由表，如下图所示。2）设置策略路由，点击“添加策略路由”，如下图所示。其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和 VLAN 虚接口）发送数据包。Metric 为接口跃点数，默认为 1。如果选择“NAT 后的源”为“是”，表示策略路由的源地址为 NAT 后的地址，策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U”。 3）设置完成后，点击“提交设定”按钮，如果添加成功会

33、弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。若要删除某路由项，点击该路由项所在行的删除图标“ ”进行删除。 4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。 具体设置方法为： 在策略路由表中点击要移动的路由选项（例如要移动策略路由 102）后的“移动”图标按钮 ，进入如下界面。在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到参考路由之前还是之后。例如：要将路由 102 移动到路由 101 之前，则第一个下拉框选择 ID“101”，第二个下拉框选择“之前”，点击

34、“提交设定”按钮，则弹出移动成功对话框。点击“确定”返回路由界面，可以看到路由 102 已经移动到了 101 之前，如下图所示。对象配置设置主机对象选择 对象 地址对象 主机对象，右侧界面显示已有的主机对象，如下图所示。点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示。设置范围对象选择 对象 地址对象 地址范围，右侧界面显示已有的地址范围对象，如下图所示。点击“添加配置”，进入地址范围对象属性的页面，如下图所示。设置子网对象选择 对象 地址对象 子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。设置地址组不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支

35、持增强了对象管理的层次性，使管理更加灵活。 设置地址组对象的步骤如下： 1）选择 对象 地址对象 地址组，在右侧页面内显示已有的地址组对象，如下图所示。2）选择“添加配置”，系统出现如下图所示的页面。自定义服务当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口：选择 对象 服务对象 自定义服务，点击“添加配置”，系统出现如下页面。2）输入对象名称后，设置协议类型及端口号范围。 3）点击“提交设定”，完成设置。设置区域对象系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需求，定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网

36、络卫士防火墙将根据目的接口所在区域的权限处理该报文。设置区域对象，具体操作如下： 1）选择 对象 区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0，并已和缺省属性对象 eth0 绑定，而属性对象 eth0 已和接口eth0 绑定，因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。 2）点击“添加配置”，增加一个区域对象，如下图所示。在“对象名称”部分输入区域对象名称； 在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。 在“选择属性”部分的左侧文本框中选择接口，然后点击 添加该区域具有的属性，被选接口将出现

37、在右侧的“被选属性”文本框中，可以同时选择一个或多个。 3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。 4）点击“取消返回”则放弃添加，返回上一界面。 5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“ ”进行修改。 6）若要删除区域对象，点击该区域对象所在行的删除图标“ ”进行删除。设置时间对象用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间对象，具体操作如下： 选择 对象 时间对象，点击“添加配置”，系统出现如下页面。2

38、）依次设置“对象名称”、“每周时段”和“每日时段”。 3）最后点击“提交设定”，完成对象设置。新添加的对象将显示在时间对象列表中，如下图所示。 4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标删除该对象。访问策略配置用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同，访问控制规则也是顺序匹配的，但与其不同，访问控制规则没有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，

39、系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。 定义访问规则，操作步骤如下： 选择 防火墙引擎 访问控制，点击“添加配置”，进入访问控制规则定义界面。表中“ID”为每项规则的编号，在移动规则顺序时将会使用。“控制”中的图标和 ，分别表示该项规则是否启用。 2）定义是否启用该访问控制规则（默认为启用该规则），以及访问权限。 访问权限定义了是否允许访问由规则源到规则目的所指定的服务。 3）定义规则的源 规则的源既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。图中“选择源”右侧的按钮为正序排列和倒序排列，用户可以方便的按序

40、查找项目。 另外，用户还可以选择相应的服务，即设置源端口，如下图所示。 4）定义规则的目的 规则的目的既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地址对象以及用户组对象，如下图所示。另外，用户还可以设置进行地址转换前的目的地址，如下图所示。5）定义服务 选择访问规则包含的服务，如果用户需要制定的服务没有包含在服务列表中，可以通过 添加自定义服务添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。6）定义辅助选项 各项参数说明如下：7）点击“提交设定”完成该条访问控制规则的设定。 8）用户可以点击 “修改”按钮，对现有规则进行编辑。可以点击 “插入”按钮，在现有规

41、则间插入一条新规则。 8）点击“清空配置”，可以清除所有的访问控制规则，便于重新配置。 9）需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮，如下图所示。用户可以选择相应 ID、位置，移动策略。完成后点击“提交设定”保存或“取消返回”放弃移动。高可用性配置配置网络卫士防火墙双机热备的步骤如下： 1）选择 系统 高可用性，进入高可用性设置页面，如下图所示。 设置主/从设备参数，参数说明请参见下表。3）点击“提交设定”，完成双机热备设置。透明模式配置示例拓补结构：用串口管理方式进入命令行用WINDOWS自带的超级终端或者SecureCRT软件，使用9600的速率，用串口线连接到防火墙，用户名是

42、superman，密码是talent。(具体方法见第一节)，下面是具体配置，加粗显示的为命令行。配置接口属性将ETH0口配置为交换模式：network interface eth0 switchport配置ETH0口的METRIC值，用于计算双机热备的权值：network interface eth0 ha-metric 100将ETH1口配置为交换模式：network interface eth1 switchport配置ETH1口的METRIC值，用于计算双机热备的权值：network interface eth1 ha-metric 100配置ETH2口的METRIC值，用于计算双机热备

43、的权值：network interface eth2 ha-metric 100将没有使用的ETH2口关闭：network interface eth2 shutdown配置同步接口ETH3的IP地址和HA标记：network interface eth3 ip add mask 52 ha-static label 0配置ETH3口的METRIC值，用于计算双机热备的权值：network interface eth3 ha-metric 100配置VLAN添加VLAN1：network vlan add id 1为VLAN1添加IP地址：network interface vlan.0001

44、 ip add 50 mask label 0配置区域属性将区域缺省访问权限为禁止define area add name area_eth0 attribute eth0 access offdefine area add name area_eth1 attribute eth1 access off定义对象定义主机地址对象define host add name 0 ipaddr 0 macaddr 00:19:21:50:15:1f define host add name 0 ipaddr 0 定义时间对象define schedule add name 上班时间 week 1234

45、5 start 08:00 end 18:00添加系统权限为ETH0口添加TELNET权限pf service add name telnet area area_eth0 addressname any配置访问策略允许0在上班时间 访问0的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务：firewall policy add action accept srcarea area_eth0 dstarea area_eth1 src 0 dst 0 service PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal schedule 上班时间 配置双机热备配置本机同步IPha local 配置对端机器同步IPha peer 启动双机热备功能ha enable注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步