EqLlyHJ5w6,694hQRgLWm
天融信防火墙 4000 快速配置手册如何去判断网络是否连通 1 HYPERLINK "http://jingyan.baidu.com/album/7f41ececc3aa76593d095cb6.html?picindex=2" \t "_self" 2 3 4 5 6 7 8 天融信防火墙简单操作手册 管理员在管理主机的浏览器上输入防火墙的管理 URL,例如: https://192.168.1.250,弹出如下的登录页面。 输入用户名密码后(网络卫士防火墙默认出厂用户名/密码为:superman/talent), 点击“提交”,就可以进入管理页面。 1 用浏览器或者集中管理中心登录到WEB管理界面如下: 1 在“系统”下,可以显示或配置系统相关设置 A 显示系统的型号、版本、功能模块、接口信息等等: B 查看系统的运行状态,包括CPU、内存使用情况和当前连接数等 C 上传或下载配置文件 D 系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和 HTTP服务。TOS系统提供了对这些服务的控制(启动和停止)功能,其具体的操作如下: E 添加或查看系统权限,包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等 F 2 A 用户可以对网络卫士防火墙的物理接口的属性进行设置,具体步骤如下: 1)在管理界面左侧导航菜单中选择 网络 > 物理接口 ,可以看到防火墙的所有物理接口,如下图所示,共有三个物理接口:Eth0、Eth1、Eth2。 2)如果要将某端口设为路由模式,点击该端口后的路由修改图标“ ”,弹出“设 定路由”对话框,如下图所示。 可以为某个端口设置多个 IP 地址,点击“添加配置”按钮,添加接口的 IP 地址。如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时,可以保存原来的地址不变,否则,从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的 IP地址或 IP 地址在同一子网内。 3)如果要将某端口设交换模式,点击该端口后的交换修改图标“ ”,弹出“交换”设置窗口,如下图所示。 首先,需要确定该接口的类型是“Access”还是“Trunk”。 如果是“Access”接口,则表示该交换接口只属于一个 VLAN,需要指定所属的 VLID 号码,如上图所示。 如是“Trunk”接口,则设置参数界面如下图所示。 上图参数说明如下表所示: 点击“提交设定”则完成接口从路由模式向交换模式的转换。 4)点击“其他”按钮,可以设置接口的其他信息,如下图。 B 用户可以在网络卫士防火墙上设置策略路由及静态路由,具体步骤如下: 1)在左侧导航菜单中选择 网络 > 静态路由,可以看到已经添加的策略路由表以 及系统自动添加的静态路由表,如下图所示。 2)设置策略路由,点击“添加策略路由”,如下图所示。 其中“网关”为下一跳路由器的入口地址,“端口”指定了从防火墙设备的哪一个接口(包括物理接口和 VLAN 虚接口)发送数据包。Metric 为接口跃点数,默认为 1。如果选择“NAT 后的源”为“是”,表示策略路由的源地址为 NAT 后的地址,策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”,策略路由添加成功后的“标记”一栏显示为“U”。 3)设置完成后,点击“提交设定”按钮,如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加,返回上一界面。 若要删除某路由项,点击该路由项所在行的删除图标“ ”进行删除。 4)移动策略路由。由于策略执行为第一匹配原则,则策略的顺序与策略的逻辑相关,在此可以改变添加策略时候的缺省的执行顺序(按照添加顺序排列)。 具体设置方法为: 在策略路由表中点击要移动的路由选项(例如要移动策略路由 102)后的“移动”图标按钮 ,进入如下界面。 在第一个下拉框中选择参考位置路由,第二个下拉框中则是选择将当前路由移动到 参考路由之前还是之后。例如:要将路由 102 移动到路由 101 之前,则第一个下拉框选 择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功 对话框。 点击“确定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所 示。 3 A 选择 对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示。 点击“添加配置”,系统出现添加主机对象属性的页面,如下图所示。 B 选择 对象 > 地址对象 > 地址范围,右侧界面显示已有的地址范围对象,如下图所示。 点击“添加配置”,进入地址范围对象属性的页面,如下图所示。 C 选择 对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示。 D 不同的地址对象可以组合为一个地址组,用作定义策略的目的或源。地址组的支持 增强了对象管理的层次性,使管理更加灵活。 设置地址组对象的步骤如下: 1)选择 对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下 图所示。 2)选择“添加配置”,系统出现如下图所示的页面。 E 当预定义的服务中找不到我们需要的服务端口时,我们可以自己定义服务端口: 1 2)输入对象名称后,设置协议类型及端口号范围。 3)点击“提交设定”,完成设置。 F 系统支持区域的概念,用户可以根据实际情况,将网络划分为不同的安全域,并根据其不同的安全需求,定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则,网络卫士防火墙将根据目的接口所在区域的权限处理该报文。 设置区域对象,具体操作如下: 1)选择 对象 > 区域对象,显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象 eth0 已和接口eth0 绑定,因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。 2)点击“添加配置”,增加一个区域对象,如下图所示。 在“对象名称”部分输入区域对象名称; 在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性(允许访问或禁止访问)。 在“选择属性”部分的左侧文本框中选择接口,然后点击 添加该区域具有的属性,被选接口将出现在右侧的“被选属性”文本框中,可以同时选择一个或多个。 3)设置完成后,点击“提交设定”按钮,如果添加成功会弹出“添加成功”对话 框。 4)点击“取消返回”则放弃添加,返回上一界面。 5)若要修改区域对象的设置,点击该区域对象所在行的修改图标“ ”进行修改。 6)若要删除区域对象,点击该区域对象所在行的删除图标“ ”进行删除。 G 用户可以设置时间对象,以便在访问控制规则中引用,从而实现更细粒度的控制。比如,用户希望针对工作时间和非工作时间设置不同的访问控制规则,引入时间对象的概念很容易解决该类问题。设置时间对象,具体操作如下: 1 2)依次设置“对象名称”、“每周时段”和“每日时段”。 3)最后点击“提交设定”,完成对象设置。新添加的对象将显示在时间对象列表 中,如下图所示。
4)对已经添加的时间对象,可以点击修改图标修改其属性,也可以点击删除图标 删除该对象。
|