Juniper SRX防火墙简明配置手册
Juniper SRX防火墙简明配置手册
SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统,JUNOS是全球首款将转发与控制功能相隔离,并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper 真正成功的基石,它让企业级产品同样具有电信级的不间断运营特性,更好的安全性和管理特性,JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、SSL VPN和UTM 等全系列安全功能,其安全功能主要来源于已被广泛证明的ScreenOS操作系统。
本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置,以便于大家能够快速部署和维护SRX防火墙,文档介绍JUNOS操作系统,并参考ScreenOS配置介绍SRX防火墙配置方法,最后对SRX防火墙常规操作与维护做简要说明。
一、JUNOS操作系统介绍
1.1 层次化配置结构
JUNOS采用基于FreeBSD内核的软件模块化操作系统,支持CLI命令行和WEBUI两种接口配置方式,本文主要对CLI命令行方式进行配置说明。JUNOS CLI使用层次化配置结构,分为操作(operational)和配置(configure)两类模式,在操作模式下可对当前配置、设备运行状态、路由及会话表等状态进行查看及设备运维操作,并通过执行config或edit命令进入配置模式,在配置模式下可对各相关模块进行配置并能够执行操作模式下的所有命令(run)。在配置模式下JUNOS采用分层分级模块下配置结构,如下图所示,edit命令进入下一级配置(类似unix cd命令),exit命令退回上一级,top命令回到根级。
1.2 JunOS配置管理
JUNOS通过set语句进行配置,配置输入后并不会立即生效,而是作为候选配置(Candidate Config)等待管理员提交确认,管理员通过输入commit命令来提交配置,配置内容在通过SRX语法检查后才会生效,一旦commit通过后当前配置即成为有效配置(Active config)。另外,JUNOS允许执行commit命令时要求管理员对提交的配置进行两次确认,如执行commit confirmed 2命令要求管理员必须在输入此命令后2分钟内再次输入commit以确认提交,否则2分钟后配置将自动回退,这样可以避免远程配置变更时管理员失去对SRX的远程连接风险。
在执行commit命令前可通过配置模式下show命令查看当前候选配置(Candidate Config),在执行commit后配置模式下可通过run show config命令查看当前有效配置(Active config)。此外可通过执行show | compare比对候选配置和有效配置的差异。
SRX上由于配备大容量硬盘存储器,缺省按先后commit顺序自动保存50份有效配置,并可通过执行rolback和commit命令返回到以前配置(如rollback 0/commit可返回到前一commit配置);也可以直接通过执行save configname.conf手动保存当前配置,并执行load override configname.conf / commit调用前期手动保存的配置。执行load factory-default / commit命令可恢复到出厂缺省配置。
SRX可对模块化配置进行功能关闭与激活,如执行deactivate security nat/comit命令可使NAT相关配置不生效,并可通过执行activate security nat/commit使NAT配置再次生效。
SRX通过set语句来配置防火墙,通过delete语句来删除配置,如delete security nat 和edit security nat / delete一样,均可删除security防火墙层级下所有NAT相关配置,删除配置和ScreenOS不同,配置过程中需加以留意。
1.3 SRX主要配置内容
部署SRX防火墙主要有以下几个方面需要进行配置:
System:主要是系统级内容配置,如主机名、管理员账号口令及权限、时钟时区、Syslog、SNMP、系统级开放的远程管理服务(如telnet)等内容。
Interface:接口相关配置内容。
Security:是SRX防火墙的主要配置内容,安全相关部分内容全部在Security层级下完成配置,如NAT、Zone、Policy、Address-book、Ipsec、Screen、Idp等,可简单理解为ScreenOS 防火墙安全相关内容都迁移至此配置层次下,除了Application自定义服务。Application:自定义服务单独在此进行配置,配置内容与ScreenOS基本一致。
routing-options:配置静态路由或router-id等系统全局路由属性配置。
二、SRX防火墙配置对照说明
2.1 初始安装
2.1.1登陆
Console口(通用超级终端缺省配置)连接SRX,root用户登陆,密码为空login: root
Password:
--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC
root% cli /***进入操作模式***/ root>
root> configure
Entering configuration mode /***进入配置模式***/
[edit]
Root#
2.1.2设置root用户口令
设置root用户口令
root# set system root-authentication plain-text-password
root# new password : root123
root# retype new password: root123
密码将以密文方式显示
root# show system root-authentication
encrypted-password "$1$xavDeUe6$fNM6olGU.8.M7B62u05D6."; # SECRET-DATA
注意:强烈建议不要使用其它加密选项来加密root和其它user口令(如
encrypted-password加密方式),此配置参数要求输入的口令应是经加密算法加密后的字符串,采用这种加密方式手工输入时存在密码无法通过验证风险。
注:root用户仅用于console连接本地管理SRX,不能通过远程登陆管理SRX,必须成功设置root口令后,才能执行commit提交后续配置命令。
2.1.3设置远程登陆管理用户
root# set system login user lab class super-user authentication plain-text-password root# new password : lab123
root# retype new password: lab123
注:此lab用户拥有超级管理员权限,可用于console和远程管理访问,另也可自行灵活定义其它不同管理权限用户。
2.1.4远程管理SRX相关配置
run set date YYYYMMDDhhmm.ss/***设置系统时钟***/
set system time-zone Asia/Shanghai/***设置时区为上海***/
set system host-name SRX3400-A/***设置主机名***/
set system name-server 1.1.1.1/***设置DNS服务器***/
set system services ftp
set system services telnet
set system services web-management http
/***在系统级开启ftp/telnet/http远程接入管理服务***/
set interfaces ge-0/0/0.0 family inet address 10.1.1.1/24
或
set interfaces ge-0/0/0 unit 0 family inet address 10.1.1.1/24
set interfaces ge-0/0/1 unit 0 family inet address 10.1.2.1/24
set routing-options static route 0.0.0.0/0 next-hop 10.1.1.1
/***配置逻辑接口地址及缺省路由,SRX接口要求IP地址必须配置在逻辑接口下(类似ScreenOS的子接口),通常使用逻辑接口0即可***/
set security zones security-zone untrust interfaces ge-0/0/0.0
/***将ge-0/0/0.0接口放到untrust zone去,类似ScreenOS***/
set security zones security-zone untrust host-inbound-traffic system-services ping set security zones security-zone untrust host-inbound-traffic system-services http set security zones security-zone untrust host-inbound-traffic system-services telnet
/***在untrust zone打开允许远程登陆管理服务,ScreenOS要求基于接口开放服务,SRX 要求基于Zone开放,从SRX主动访问出去流量开启服务,类似ScreenOS***/
2.2 Policy
Policy配置方法与ScreenOS基本一致,仅在配置命令上有所区别,其中策略的允许/拒绝的动作(Action)需要额外配置一条then语句(将ScreenOS的一条策略分解成两条及以上
配置语句)。Policy需要手动配置policy name,policy name可以是字符串,也可以是数字(与ScreenOS的policy ID类似,只不过需要手工指定)。
set security zones security-zone trust address-book address pc1 10.1.1.10/32
set security zones security-zone untrust address-book address server1 10.0.2.1/32 /***与ScreenOS一样,在trust和untrust zone下分别定义地址对象便于策略调用,地址对象的名称可以是地址/掩码形式***/
set security zones security-zone trust address-book address-set addr-group1 address pc1
/***在trust zone下定义名称为add-group1的地址组,并将pc1地址放到该地址组中***/ set security policies from-zone trust to-zone untrust policy 001 match
source-address addr-group1 destination-address server1 application any
set security policies from-zone trust to-zone untrust policy 001 then permit
/***定义从trust 到untrust方向permit策略,允许addr-group1组的源地址访问server1地址any服务***/
2.3 NAT
SRX NAT较ScreenOS在功能实现方面基本保持一致,但在功能配置上有较大区别,配置的主要差异在于ScreenOS的NAT与policy是绑定的,无论是MIP/VIP/DIP还是基于策略的NAT,在policy中均要体现出NAT内容(除了缺省基于untrust接口的Souec-NAT模式外),而SRX 的NAT则作为网络层面基础内容进行独立配置(独立定义地址映射的方向、映射关
系及地址范围),Policy中不再包含NAT相关配置信息,这样的好处是易于理解、简化运维,当网络拓朴和NAT映射关系发生改变时,无需调整Policy配置内容。
SRX NAT和Policy执行先后顺序为:目的地址转换-目的地址路由查找-执行策略检查-源地址转换,结合这个执行顺序,在配置Policy时需注意:Policy中源地址应是转换前的源地址,而目的地址应该是转换后的目的地址,换句话说,Policy中的源和目的地址应该是源和目的两端的真实IP地址,这一点和ScreenOS存在区别,需要加以注意。
SRX中不再使用MIP/VIP/DIP这些概念,其中MIP被Static静态地址转换取代,两者在功能上完全一致;DIP被Source NAT取代;基于Policy的目的地址转换及VIP被 Destination NAT取代。ScreenOS中基于Untrust zone接口的源地址转换被保留下来,但在SRX中不再是缺省模式(SRX中Trust Zone接口没有NAT模式概念),需要手工配置。类似ScreenOS,Static属于双向NAT,其他类型均属于单向NAT,
此外,SRX还多了一个proxy-arp概念,如果定义的IP Pool(可用于源或目的地址转换)与接口IP在同一子网时,需配置SRX对这个Pool内的地址提供ARP代理功能,这样对端设备能够解析到IP Pool地址的MAC地址(使用接口MAC地址响应对方),以便于返回报文能够送达SRX。下面是配置举例及相关说明:
2.3.1 Interface based NAT
NAT:
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat interface
上述配置定义NAT源地址映射规则,从Trust Zone访问Untrust Zone的所有流量用Untrust Zone接口IP做源地址转换。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.2.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行接口源地址转换。
2.3.2 Pool based Source NAT
NAT:
set security nat source pool pool-1 address 100.1.1.10 to 100.1.1.20
set security nat source rule-set 1 from zone trust
set security nat source rule-set 1 to zone untrust
set security nat source rule-set 1 rule rule1 match source-address 0.0.0.0/0 destination-address 0.0.0.0/0
set security nat source rule-set 1 rule rule1 then source-nat pool pool-1
set security nat proxy-arp interface ge-0/0/2 address 100.1.1.10 to 100.1.1.20上述配置表示从trust方向(any)到untrust方向(any)访问时提供源地址转换,源地址池为pool1(100.1.1.10 -100.1.1.20),同时ge-0/0/2接口为此pool IP提供ARP代理。需要注意的是:定义Pool时不需要与Zone及接口进行关联。配置proxy-arp目的是让返回包能够送达SRX,如果Pool与出接口IP不在同一子网,则对端设备需要配置指向100.1.1.1的Pool地址路由。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address 10.1.1.2
set security policies from-zone trust to-zone untrust policy 1 match destination-address any
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Trust zone 10.1.2.2地址访问Untrust方向任何地址,根据前面的NAT配置,SRX在建立session时自动执行源地址转换。
2.3.3 Pool base destination NAT
NAT:
set security nat destination pool 111 address 192.168.1.100/32
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0 set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 then destination-nat pool 111上述配置将外网any访问100.100.100.100地址映射到内网192.168.1.100地址,注意:定义的Dst Pool是内网真实IP地址,而不是映射前的公网地址。这点和Src-NAT Pool有所区别。
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.100
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit
上述配置定义Policy策略,允许Untrust方向任何地址访问Trust方向192.168.1.100,根据前面的NAT配置,公网访问100.100.100.100时,SRX自动执行到192.168.1.100的目的地址转换。
ScreenOS VIP功能对应的SRX Dst-nat配置:
set security nat destination pool 222 address 192.168.1.200/32 port 8000
set security nat destination rule-set 1 from zone untrust
set security nat destination rule-set 1 rule 111 match source-address 0.0.0.0/0 set security nat destination rule-set 1 rule 111 match destination-address 100.100.100.100/32
set security nat destination rule-set 1 rule 111 match destination-port 8000 set security nat destination rule-set 1 rule 111 then destination-nat pool 222 上述NAT配置定义:访问100.100.100.100地址8000端口映射至192.168.1.200地址8000端口,功能与ScreenOS VIP端口映射一致。
2.3.4 Pool base Static NAT
NAT:
set security nat static rule-set static-nat from zone untrust
set security nat static rule-set static-nat rule rule1 match destination-address 100.100.100.100
set security nat static rule-set static-nat rule rule1 then static-nat prefix 192.168.1.200
Policy:
set security policies from-zone trust to-zone untrust policy 1 match source-address any
set security policies from-zone trust to-zone untrust policy 1 match destination-address 192.168.1.200
set security policies from-zone trust to-zone untrust policy 1 match application any
set security policies from-zone trust to-zone untrust policy 1 then permit Static NAT概念与ScreenOS MIP一致,属于静态双向一对一NAT,上述配置表示访问100.100.100.100时转换为192.168.1.200,当192.168.1.200访问Internet时自动转换为100.100.100.100。
2.4 IPSEC VPN
SRX IPSEC VPN支持Site-to-Site VPN 和基于NS-remote的拨号VPN,和ScreenOS一样,site-to-site VPN也支持路由模式和Policy模式,在配置方面也和ScreenOS基本一致。SRX中的加密/验证算法在命名上和ScreenOS存在一些区别,配置过程中建议选择ike和ipsec的proposal为 standard模式,standard中包含SRX支持的全部加密/验证算法,只要对端设备支持其中任何一种即可。SRX中通道接口使用st0接口,对应ScreenOS中的tunnel虚拟接口。
下面是图中左侧SRX基于路由方式Site-to-site VPN配置:
set interfaces st0 unit 0 family inet address 10.2.0.1/24
set security zones security-zone untrust interfaces st0.0
set routing-options static route 10.1.2.0/24 next-hop st0.0
定义st0 tunnel接口地址/Zone及通过VPN通道到对端网络路由
set security ike policy ABC mode main
set security ike policy ABC proposal-set standard
set security ike policy ABC pre-shared-key ascii-text juniper
定义IKE Phase1 policy参数,main mode,standard proposal及预共享密钥方式
set security ike gateway gw1 ike-policy ABC
set security ike gateway gw1 address 10.0.2.1
set security ike gateway gw1 external-interface ge-0/0/1.0
定义IKE gaeway参数,预共享密钥认证,对端网关10.0.2.1,出接口ge-0/0/1(位于untrust zone)
set security ipsec policy AAA proposal-set standard
set security ipsec vpn vpn1 bind-interface st0.0
set security ipsec vpn vpn1 ike gateway gw1
set security ipsec vpn vpn1 ike ipsec-policy AAA
set security ipsec vpn vpn1 establish-tunnels immediately
定义ipsec Phase 2 VPN参数:standard proposal、与st0.0接口绑定,调用Phase 1 gw1 ike网关。
set security policies from-zone untrust to-zone trust policy vpn-policy match source-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match destination-address any
set security policies from-zone untrust to-zone trust policy vpn-policy match application any
set security policies from-zone untrust to-zone trust policy vpn-policy then permit
set security policies from-zone trust to-zone untrust policy vpn-policy match source-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match destination-address any
set security policies from-zone trust to-zone untrust policy vpn-policy match application any
set security policies from-zone trust to-zone untrust policy vpn-policy then permit 开启双向policy以允许VPN流量通过
2.5 Application and ALG
SRX中自定义服务及ALG使用方法与ScreenOS保持一致,系统缺省开启FTP ALG,为TCP 21服务提供FTP应用ALG。自定义服务如果属于FTP类应用,需要将此自定义服务(非TCP 21端口)与FTP应用进行关联。下面举例定义一个FTP类服务ftp-test,使用目的端口为TCP
2100,服务超时时间为3600秒,并将此自定义服务与FTP应用关联(ALG),系统将识别此服务为FTP应用并开启FTP ALG来处理该应用流量。
set applications application ftp-test protocol tcp destination-port 2100 inactivity-timeout 3600
set applications application ftp-test application-protocol ftp
2.6 JSRP
JSRP是Juniper SRX的私有HA协议,对应ScreenOS的NSRP双机集群协议,支持A/P和A/A 模式,JSRP对ScreenOS NSRP协议和JUNOS Cluster集群技术进行了整合集成,熟悉NSRP 协议有助于对JSRP协议的理解。JSRP和NSRP最大的区别在于JSRP是完全意义上的Cluster 概念,两台设备完全当作一台设备来看待,两台设备的接口板卡顺序编号、运维变更将对两台设备同时进行操作,无需额外执行ScreenOS的配置和会话同步等操作,而ScreenOS NSRP 可看作在同步配置和动态对象(session)基础上独立运行的两台单独设备。
JSRP要求两台设备在软件版本、硬件型号、板卡数量、插槽位置及端口使用方面严格一一对应。由于SRX 是转发与控制层面完全分裂架构,JSRP需要控制层面 (配置同步)和数据层面(Session同步)两个平面的互联,建议控制和数据层面互联链路使用光纤链路直连(部分平台强制要求光纤链路直连)。
JSRP接口命名方式采用多个机箱抽象成一个逻辑机箱之后再统一为各个槽位进行编号,如上所示的SRX5800,每个SRX5800机箱有12个业务槽位,节点0槽位号从0开始编号,节点1槽位号从12开始往后编。
整个JSRP配置过程包括如下7个步骤
l 配置Cluster id和Node id (对应ScreenOS NSRP 的cluster id并需手工指定设备使用节点id)
l 指定Control Port (指定控制层面使用接口,用于配置同步及心跳)
l 指定Fabric Link Port (指定数据层面使用接口,主要session等RTO同步)
l 配置Redundancy Group (类似NSRP的VSD group,优先级与抢占等配置)
l 每个机箱的个性化配置(单机无需同步的个性化配置,如主机名、带外管理口IP地址等)
l 配置Redundant Ethernet Interface (类似NSRP的Redundant冗余接口)
l 配置Interface Monitoring (类似NSRP interface monitor,是RG数据层面切换依据)
SRX JSRP配置样例:
l 配置Cluster id和Node id
SRX-A>set chassis cluster cluster-id 1 node 0 reboot(注意该命令需在operational 模式下输入,Cluster ID取值范围为1 – 15,当Cluster ID = 0时将unsets the cluster)SRX-B>set chassis cluster cluster-id 1 node 1 reboot
l 指定Control Port(如果主控板RE上有固定control-ports,则无需指定):
set chassis cluster control-ports fpc 11 port 0
set chassis cluster control-ports fpc 23 port 0
l 指定Fabric Link Port
set interfaces fab0 fabric-options member-interfaces ge-1/0/0
set interfaces fab1 fabric-options member-interfaces ge-13/0/0
注:Fabric Link中的Fab0固定用于node 0,Fab1固定用于node 1
l 配置Redundancy Group
RG0固定用于主控板RE切换,RG1以后用于redundant interface切换,RE切换独立于接口切换
set chassis cluster reth-count 10 (指定整个Cluster中redundant ethernet interface最多数量)
set chassis cluster redundancy-group 0 node 0 priority 200(高值优先,与NSRP 相反)
set chassis cluster redundancy-group 0 node 1 priority 100
set chassis cluster redundancy-group 1 node 0 priority 200(高值优先,与NSRP 相反)
set chassis cluster redundancy-group 1 node 1 priority 100
l 每个机箱的个性化配置,便于对两台设备的区分与管理
set groups node0 system host-name SRX-A
set groups node0 interfaces fxp0 unit 0 family inet address 1.1.1.1/24 (带外网管口名称为fxp0,区别ScreenOS的MGT口)
set groups node1 system host-name SRX-B
set groups node1 interfaces fxp0 unit 0 family inet address 1.1.1.2/24
set apply-groups ${node} (应用上述groups配置)
l 配置Redundant Ethernet Interface
Redundant Ethernet Interface类似ScreenOS里的redundant interface,只不过Redundant Ethernet interface是分布在不同的机箱上 (这一特性又类似ScreenOS 的VSI接口)。Set interface ge-0/0/0 gigether-options redundant-parent reth0 (node 1的
ge-0/0/0接口)
Set interface ge-13/0/0 gigether-options redundant-parent reth0 (node 1的
ge-0/0/0接口)
Set interface reth0 redundant-ether-options redundancy-group 1(reth0属于RG1)
Set interface reth0 unit 0 family inet address 192.168.0.1/24
l 配置Interface Monitoring,被监控的接口Down掉后,RG1将自动进行主备切换(与ScreenOS类似),
Set cluster redundancy-group 1 interface-monitor ge-0/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-0/0/1 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/0 weight 255
Set cluster redundancy-group 1 interface-monitor ge-13/0/1 weight 255
l JSRP维护命令
a) 手工切换JSRP Master,RG1 原backup将成为Master
root@srx5800a> request chassis cluster failover redundancy-group 1 node 1
b) 手工恢复JSRP状态,按照优先级重新确定主备关系(高值优先)
root@srx5800b> request chassis cluster failover reset redundancy-group 1
c) 查看cluster interface
root@router> show chassis cluster interfaces
d) 查看cluster 状态、节点状态、主备关系
lab@srx5800a# run show chassis cluster status
e) 取消cluster配置
srx5800a# set chassis cluster disable reboot
f) 升级JSRP软件版本
SRX目前暂不支持软件在线升级(ISSU),升级过程会中断业务。
升级步骤如下:
1.升级node 0,注意不要重启系统
2.升级node 1,注意不要重启系统.
3.同时重启两个系统
g) 恢复处于disabled状态的node
当control port或fabric link出现故障时,为避免出现双master (split-brain)现象,JSRP会把出现故障前状态为secdonary的node设为disabled状态,即除了RE,其余部件都不工作。想要恢复必须reboot该node。
三、SRX防火墙常规操作与维护
3.1 设备关机
天融信防火墙配置指南
一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问,比如计算机A访问计算机B,那么,计算机B 相当于服务器,计算机A相当于客户机。如果是访问网页,一般就是客户机访问服务器的80端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT)。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。
天融信防火墙命令
天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
Helpmode chinesel 区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启:system httpd start web界面权限添加:pf service add name webui area 区域名 addressname any 添加网口ip: 禁用网口: network interface eth16 shutdown 启用网口: network interface eth16 no shutdown 交换模式: network interface eth16 switchport(no switchport路由模式) 区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on 权限允许》 主机地址: define host add name 主机名 子网地址: define host subnet add name 名字 自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip: web服务器外网访问 1)设置 E1 区域 #define area add name E1 access on attribute eth1 2)定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明:“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1)设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2)定义外网区域(adsl-a) #define area add name adsl-a attribute adsl access on 3)配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4)拨号 #network adsl start 5)查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13
天融信版本防火墙常用功能配置手册v
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
天融信防火墙NGFW4000配置手册
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
天融信防火墙日常维护及常见问题资料
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形:19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式
产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条,颜色:灰色) -交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
天融信防火墙NGFW4000系列实战
天融信防火墙NGFW4000快速配置手册说 明
目录 一、防火墙的几种管理方式 (4) 1.串口管理 (4) 2.TELNET管理 (5) 3.SSH管理 (6) 4.WEB管理 (6) 5.GUI管理 (7) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12)
3.双机热备命令(HA) (13) 4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30)
天融信防火墙NGFW4000快速配置手册
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
(完整版)天融信防火墙日常维护与常见问题
天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备,需要为所有进出网络的信息流提供安全保护,对于企业关键的实时业务系统,要求网络能够提供7*24小时的不间断保护,保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法,通过日常管理维护可以使防火墙运行在可靠状态,在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结,为防火墙维护人员提供设备运维指导。 一、防火墙的连接方式
5 硬件一台 ?外形:19寸1U 标准机箱产品外形接COM 口管理机 直通线交叉线串口 线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条,颜色:灰色)-交叉(1条,颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) ?软件光盘 ?上架附件 产品提供的附件及线缆使用方式
二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 体请见下表: 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式
天融信防火墙配置手册
天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。 比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。 2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻:用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNA T)。比如A学校有100台计算机,但是只有
天融信防火墙配置
天融信防火墙配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:192.168.1.254, 出厂用户名为:superman,密码为:talent或12345678。现IP改为192.168.4.21,用户名为:superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:https://192.168.1.254,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口 Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与
web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在192.168.4.0/24网段,MISS网在172.20.40.0/24网段。eth0口IP为192.168.4.21(WEB服务器实际IP为192.168.4.20),eth1IP口为172.20.40.1。接口模式选择:路由。其余选项采用默认配置。三.路由配置 点击:网络管理----路由, 现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:192.168.4.21既eth0口的IP,MISS网端的主机网关设成:172.20.40.1即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加:
-天融信版本防火墙常用功能配置手册v2
天融信3.3版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月 目录 一、前言 (2) 二、天融信3.3版本防火墙配置概述 (2) 三、天融信防火墙一些基本概念 (3) 四、防火墙管理 (3) 五、防火墙配置 (5) (1)防火墙路由模式案例配置 (5) 1、防火墙接口IP地址配置 (6) 2、区域和缺省访问权限配置 (7) 3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (8) 4、路由表配置 (9) 5、定义对象(包括地址对象、服务对象、时间对象) (10) 6、地址转换策略 (13) 7、制定访问控制策略 (24) 8、配置保存 (29) 9、配置文件备份 (29) (2)防火墙透明模式案例配置 (30) 1、防火墙接口IP配置 (31) 2、区域和缺省访问权限配置 (33) 3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (33)
4、路由表配置 (34) 5、定义对象(包括地址对象、服务对象、时间对象) (35) 6、制定访问控制策略 (39) 7、配置保存 (43) 8、配置文件备份 (43) 一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和使用。 二、天融信3.3版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全使用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊使用配置 10、配置保存 11、配置文件备份
全新的天融信防火墙NGFW4000的配置
全新的天融信防火墙NGFW4000_配置 配置一台全新的天融信防火墙NGFW4000,配置完后,内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网,外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200,并且内网用户也可以通过WEB服务器的外网地址进行访问。 网络说明: 防火墙外网接口地址:218.90.123.121/30 防火墙内网接口地址:192.168.0.253/30 核心交换机防火墙VLAN:192.168.0.254/30 核心交换机用户群A的VLAN:10.10.1.0/24 核心交换机用户群B的VLAN:10.10.2.0/24 用户群A的默认网关:10.10.1.254 用户群B的默认网关:10.10.2.254 防火墙至出口的默认网关:218.90.123.122/30 核心交换机至防火墙的默认网关:192.168.0.253 内网WEB服务器地址:10.10.1.200/32(通过防火墙映射成公网地址) 简单拓扑图如下:
这里着重介绍的是出口防火墙的配置,从上图中可以看出,防火墙位于核心交换机至INTERNET 出口的中间。我们首先需通过某种方式对防火墙进行管理配置。 1、连接防火墙 首先查看防火墙的出厂随机光盘,里面其中有个防火墙安装手册,描述了防火墙的出厂预设置:管理用户 管理员用户名 superman 管理员密码 talent 或12345678 系统参数 设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 最大并发管理地点 5
同一用户最大登录地点 5 空闲超时 3 分钟 物理接口 Eth0(或LAN 口) IP:192.168.1.254/24 其他接口 Shutdown 服务访问控制 WEBUI 管理(通过浏览器管理防火墙):允许来自Eth0(或LAN 口)上的服务请求 GUI 管理(通过TOPSEC 管理中心):允许来自Eth0(或LAN 口)上的服务请求 SSH(通过SSH 远程登录管理):允许来自Eth0(或LAN 口)上的服务请求 升级(对网络卫士防火墙进行升级):允许来自Eth0(或LAN 口)上的服务请求 PING(PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址):允许来自Eth0(或LAN 口)上的服务请求 其他服务禁止 地址对象 地址段名称 any 地址段范围 0.0.0.0 – 255.255.255.255 区域对象 区域对象名称 area_eth0 绑定属性 eth0 权限允许 日志 日志服务器IP 地址 IP:192.168. 1.253 日志服务器开放的日志服务端口 UDP 的514 端口 高可用性(HA)关闭 从中可以看出,管理口为ETH0口,地址为192.168.1.254,我们将一台电脑直接与ETHO接口相连,然后配置一个192.168.1段的地址,然后在浏览器上访问https://192.168.1.254,就进入了WEB管理界面(如出现安装证书问题,直接点继续浏览此网站),如下。
(完整word版)天融信防火墙双机热备配置说明
天融信防火墙双机热备配置说明 一、防火墙的接口设置: ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机 ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5 ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机 ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连 二、按需配置好主防火墙 三、配置双击热备过程: 1、配置主防火墙的双机设置,并使之处于工作状态: system -n 'work' //给主防火墙取名为work system -i 0 //配置主防火墙的设备号为0 system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态 system ssp on //在主防火墙上打开状态同步协议 2、在从防火墙上清空所有配置: restore config //恢复防火墙出厂默认值 ifconfig eth6 off //清空防火墙所有接口地址(默认出厂只有eth6有地址) 3、配置从防火墙的双机设置,并使之处于备用状态: system -n 'standby' //给从防火墙取名为standby system -i 1 //配置从防火墙的设备号为1 system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态 system ssp on //在从防火墙上打开状态同步协议
天融信防火墙通用配置
天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】
天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂默认eth0口IP为: 出厂用户名为:superman,密码为:talent或。现IP改为,用户名为:superman,密码为:topsec0471。 在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。 输入用户名为:superman,密码为:topsec0471,登陆进入。 二.接口IP地址的配置: 1.点击:网络管理---接口
Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。现例:WEB服务器端在网段,MISS网在网段。eth0口IP为服务器实际IP为,eth1IP 口为。接口模式选择:路由。其余选项采用默认配置。 三.路由配置 点击:网络管理----路由, 现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。 四.地址转换: 1.配置转换对象: 点击:资源管理----地址; 点击:添加:
该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。Xnweb 为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。以后miss网的主机只需浏览:,不需浏览地址。以达到伪装IP的目的。 2.区域设置: 点击:资源管理---区域;
天融信防火墙设置
钟祥水利局防火墙 通过交换机中的主机192.168.1.0 网段访问 在浏览器地址栏中输入 https://192.168.1.1 按回车即可访问 (新防火墙默认只有ETH0口可用WEB访问,地址为https://192.168.0.254)期间会提示证书不完全 点击接受即可 登录页面需输入访问账号和密码 为默认值
账号:superman 密码:talent 正确输入后即可看到默认首页 显示的是防火墙的基本信息 防护墙所有基本功能需要在系统管理=》配置=》开放服务里添加 比如能在网页配置该防火墙 点击【添加】
服务名称为需要添加的服务 Webui为可网页配置 DHCP为该区域可动态获取IP地址 等 具体可参考随机安装光盘 上面有每个服务名称的详细说明 控制区域 需要手动添加后面会讲解 控制地址 默认有一条ANY【范围】
选择此项为所有主机都可以访问,使用 其他主机需手动添加 表示只有该主机才能够访问,使用 添加方式见下文 【管理员】 此项为管理可登陆防火墙的账号名与密码可自行添加账号与修改密码 【资源管理】 该选项需要注意的是地址区域服务 【地址】为每台主机的IP地址 若需要端口映射需要选定主机 则需要在此选项内添加该主机IP地址 点击添加
名称为自己容易记录的名称 可随意输入(但必须输入) 在红框内填写需要添加的主机的IP地址后点击旁边的箭头 然后点击确定 即可添加一条地址信息 【区域】
区域可选择为一个网段,一个VLAN,一个端口等等可视为许多地址的集合 做端口映射 需要选择外端端口作为区域 名称同地址 可随意填写 权限为默认值允许 属性选择一个端口 然后点击右边箭头=》 然后点击确定 即可添加一个区域信息 【服务】 服务就是协议与端口号 我们主要需要在自定义服务内添加需要映射的端口
天融信防火墙配置案例(带宽管理)
QoS(服务质量),是Quality of Service的缩写。通过QoS管理,用户可以根据实际用户网络规划,方便、灵活地定制带宽策略,防止带宽滥用现象,并可以确保关键应用的带宽需求。 网络卫士防火墙的带宽策略采用了分层的带宽管理机制,用户可以通过设置细粒度的带宽规则来实现基于源和目的IP 地址(或地址段)、服务的带宽的集中管理。同时,同层的带宽策略还可以根据业务需求,设置带宽策略的优先级,为关键业务流量优先分配带宽,从而合理、有效地为用户网络分配带宽资源。 图 12网络卫士防火墙分层带宽管理示意图 图中的网络卫士防火墙工作在纯透明模式(即所有接口均工作在交换模式下,且属于同一个VLAN),只起到限制带宽的作用,不做任何访问策略配置。网络卫士防火墙的初始配置不需要用户进行修改。
上传带宽管理 基本需求 子网1(10.200.51.0/24)向网段10.200.2.0/24上传数据,网络卫士防火墙为其分配7K (如果没有特殊说明单位均为字节/秒)的限制带宽,7K的保证带宽。并对不同的应用设置不同的优先级控制以及带宽优化: ?ICMP为最高优先级,保证带宽为1K(最大限制带宽为7K) ?数据库为第二优先级,保证带宽为2K(最大限制带宽为7K) ?FTP为第三优先级,保证带宽为2K(最大限制带宽为7K) ?SMTP为最低优先级,保证带宽为1K(最大限制带宽为7K) 配置要点 带宽策略的设置包括以下方面: ?设置采用QoS的物理接口。 ?在接口下设置一到多个类及其子类。 ?在类下设置数据流的匹配规则。 WEBUI配置步骤 1)设置采用QoS的物理接口。 选择网络管理 > 流量管理,在“带宽控制”页面点击“添加接口”,添加采用上传带宽配置策略的物理接口eth0。 接口的配置原则是以数据流流向为准,在数据流出网络卫士防火墙的物理接口上配置才能生效,本例中即eth0接口。 2) 在物理接口下设置上传类及其四个子类:ICMP上传、Web上传、FTP上传、邮件上传。 a)点击接口eth0对应的“下级”图标,添加eth0口的上传带宽类“上传类”。
天融信防火墙NGFW4000快速配置手册
资料 天融信防火墙 NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。 通过 CONSOLE口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火 墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防 火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1 )和防火墙的CONSOLE口。 2)选择开始>程序>附件>通讯>超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1 )。 4)设置 com1 口的属性,按照以下参数进行设置。 参数名称取值 每秒位数:9600
奇偶校验:无 停止位:1 5)成功连接到防火墙后,超级终端界面会出现输入用户名/ 密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码: talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2. TELNET管理 TELNET管理也是命令行管理方式,要进 行TELNET管理,必须进行以下设置: 1)在串口下用“ pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“ system telnetd start”命令启动 TELNET管理服务 3)知道管理 IP地址,或者用“ network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理 IP地址 4)然后用各种命令行客户端 ( 如 WINDOWS CMD命令行 ) 管理: TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图:
相关文档
- 天融信版本防火墙常用功能配置手册v2
- 天融信防火墙NGFW4000配置手册
- 天融信配置手册
- 天融信防火墙NGFW4000快速配置手册簿
- 天融信防火墙配置手册 PPT
- 天融信防火墙NGFW4000快速配置手册
- 天融信防火墙命令
- 天融信防火墙NGFW4000配置手册图表说明
- 天融信防火墙NGFW配置手册
- 天融信防火墙NGFW4000配置手册
- 天融信防火墙简要配置步骤
- 天融信防火墙命令
- 天融信防火墙NGFW4000配置手册
- 天融信防火墙NGFW4000快速配置手册
- 天融信防火墙NGFW4000配置手册
- 天融信防火墙简要配置步骤
- 天融信版本防火墙常用功能配置手册v2
- 天融信防火墙命令
- 天融信防火墙NGFW4000配置手册
- 天融信防火墙NGFW4000配置手册