天融信防火墙 4000 快速配置手册

如何去判断网络是否连通

1
点击开始，在搜索框里输入cmd，然后回车。XP系统的话，要先点击运行，再输入cmd，然后回车。

HYPERLINK "http://jingyan.baidu.com/album/7f41ececc3aa76593d095cb6.html?picindex=2" \t "_self"

2
我们先输入ipconfig/all，然后回车看看。会弹出一大堆的东西，我们找找对我们有用的信息就好了。主要看路由器的网关和运营商的网关即可。具体请看图片标识。

3

4
然后我们分别ping一下两个网关，例如小编这里应该是输入ping 192.69.69.1 -t再回车。-t的意思就是一直ping下去。

5
如果想更准确的测试，需要PING大包或者时间久一些。大概几分钟后，按住键盘的Ctrl+c,终止它继续ping下去，让我们来看看网络连接的状态吧。主要看两个地方，一是看看有没有丢包，二是有没有延时。在图片丢失率为0，但是有一些延时，不过对于家用的话不算大问题，是正常现象。

6
PING路由器的网关后我们再ping 221.5.88.88 -t，这个是联通的DNS，这个延时会比较大，但不要太过分就是正常的。

7

8
如果ping通了路由器的网关后，说明你的电脑和路由器之间的链接是正常的，反之，则说明这段链路出现问题。如果ping路由器网关正常后，再ping运营商的dns，发现ping不同，一般是路由器到运营商之间的问题。

天融信防火墙简单操作手册

管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：

https://192.168.1.250，弹出如下的登录页面。

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），

点击“提交”，就可以进入管理页面。

1
WEB界面常用配置

用浏览器或者集中管理中心登录到WEB管理界面如下：

1
系统管理配置

在“系统”下，可以显示或配置系统相关设置

A
系统 >  基本信息

显示系统的型号、版本、功能模块、接口信息等等：

B
系统 >  运行状态

查看系统的运行状态，包括CPU、内存使用情况和当前连接数等

C
系统 >  配置维护

上传或下载配置文件

D
系统 >  系统服务

系统服务在本系统中主要是指监控服务、SSH 服务、Telnet服务和 HTTP服务。TOS系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：

E
系统 >  开放服务

添加或查看系统权限，包括WEB管理、GUI管理、TELNET管理、SSH管理、监控等等

F
系统 > 系统重启

2
网络接口、路由配置

A
设置防火墙接口属性

用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：

1）在管理界面左侧导航菜单中选择 网络 > 物理接口  ，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口：Eth0、Eth1、Eth2。

2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“ ”，弹出“设

定路由”对话框，如下图所示。

可以为某个端口设置多个 IP 地址，点击“添加配置”按钮，添加接口的 IP 地址。如果选择“ha-static”,表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的 IP地址或 IP 地址在同一子网内。

3）如果要将某端口设交换模式，点击该端口后的交换修改图标“ ”，弹出“交换”设置窗口，如下图所示。

首先，需要确定该接口的类型是“Access”还是“Trunk”。

如果是“Access”接口，则表示该交换接口只属于一个 VLAN，需要指定所属的 VLID 号码，如上图所示。

如是“Trunk”接口，则设置参数界面如下图所示。

上图参数说明如下表所示：

点击“提交设定”则完成接口从路由模式向交换模式的转换。

4）点击“其他”按钮，可以设置接口的其他信息，如下图。

B
设置路由

用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：

1）在左侧导航菜单中选择 网络 > 静态路由，可以看到已经添加的策略路由表以

及系统自动添加的静态路由表，如下图所示。

2）设置策略路由，点击“添加策略路由”，如下图所示。

其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和 VLAN 虚接口）发送数据包。Metric 为接口跃点数，默认为 1。如果选择“NAT 后的源”为“是”，表示策略路由的源地址为 NAT 后的地址，策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U”。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。

若要删除某路由项，点击该路由项所在行的删除图标“ ”进行删除。

4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。

具体设置方法为：

在策略路由表中点击要移动的路由选项（例如要移动策略路由 102）后的“移动”图标按钮 ，进入如下界面。

在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到

参考路由之前还是之后。例如：要将路由 102 移动到路由 101 之前，则第一个下拉框选

择 ID“101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功

对话框。

点击“确定”返回路由界面，可以看到路由 102 已经移动到了 101 之前，如下图所

示。

3
对象配置

A
设置主机对象

选择 对象 >  地址对象 >  主机对象，右侧界面显示已有的主机对象，如下图所示。

点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示。

B
设置范围对象

选择 对象 >  地址对象 >  地址范围，右侧界面显示已有的地址范围对象，如下图所示。

点击“添加配置”，进入地址范围对象属性的页面，如下图所示。

C
设置子网对象

选择 对象 >  地址对象 >  子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。

D
设置地址组

不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持

增强了对象管理的层次性，使管理更加灵活。

设置地址组对象的步骤如下：

1）选择 对象 >  地址对象 >  地址组，在右侧页面内显示已有的地址组对象，如下

图所示。

2）选择“添加配置”，系统出现如下图所示的页面。

E
自定义服务

当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口：

1
选择 对象 >  服务对象 >  自定义服务，点击“添加配置”，系统出现如下页面。

2）输入对象名称后，设置协议类型及端口号范围。

3）点击“提交设定”，完成设置。

F
设置区域对象

系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需求，定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网络卫士防火墙将根据目的接口所在区域的权限处理该报文。

设置区域对象，具体操作如下：

1）选择 对象 >  区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0，并已和缺省属性对象 eth0 绑定，而属性对象 eth0 已和接口eth0 绑定，因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。

2）点击“添加配置”，增加一个区域对象，如下图所示。

在“对象名称”部分输入区域对象名称；

在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。

在“选择属性”部分的左侧文本框中选择接口，然后点击 添加该区域具有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个或多个。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话

框。

4）点击“取消返回”则放弃添加，返回上一界面。

5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“ ”进行修改。

6）若要删除区域对象，点击该区域对象所在行的删除图标“ ”进行删除。

G
设置时间对象

用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间对象，具体操作如下：

1
选择 对象 >  时间对象，点击“添加配置”，系统出现如下页面。

2）依次设置“对象名称”、“每周时段”和“每日时段”。

3）最后点击“提交设定”，完成对象设置。新添加的对象将显示在时间对象列表

中，如下图所示。

4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标

删除该对象。