-天融信版本防火墙常用功能配置手册v2

天融信3.3版本防火墙常用功能配置手册

北京天融信南京分公司

2008年5月

目录

一、前言 (2)

二、天融信3.3版本防火墙配置概述 (2)

三、天融信防火墙一些基本概念 (3)

四、防火墙管理 (3)

五、防火墙配置 (5)

（1）防火墙路由模式案例配置 (5)

1、防火墙接口IP地址配置 (6)

2、区域和缺省访问权限配置 (7)

3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (8)

4、路由表配置 (9)

5、定义对象（包括地址对象、服务对象、时间对象） (10)

6、地址转换策略 (13)

7、制定访问控制策略 (24)

8、配置保存 (29)

9、配置文件备份 (29)

（2）防火墙透明模式案例配置 (30)

1、防火墙接口IP配置 (31)

2、区域和缺省访问权限配置 (33)

3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (33)

4、路由表配置 (34)

5、定义对象（包括地址对象、服务对象、时间对象） (35)

6、制定访问控制策略 (39)

7、配置保存 (43)

8、配置文件备份 (43)

一、前言

我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和使用。

二、天融信3.3版本防火墙配置概述

天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全使用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。

1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。

2、防火墙接口IP配置

3、区域和缺省访问权限配置

4、防火墙管理权限配置

5、路由表配置

6、定义对象（地址对象、服务对象、时间对象）

7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）

8、制定访问控制策略

9、其他特殊使用配置

10、配置保存

11、配置文件备份

?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念

接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。

区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。

对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。

?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。

?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。

四、防火墙管理

防火墙缺省管理接口为eth0口，管理地址为192.168.1.254，缺省登录管理员帐号：用户名superman，口令talent。

防火墙出厂配置如下：

防火墙支持以下管理方式：

串口(console)管理方式：超级终端参数设置波特率9600。输入helpmode chinese命令可以看到中文化菜单。

WEBUI管理方式（https协议）：在输入URL时要注意以“https://”作为协议类型，例如,推荐使用IE 浏览器进行登录管理。

在浏览器输入：，看到下列提示，选择“是”

TELNET管理方式：模拟console管理方式

SSH管理方式：模拟console管理方式

?提示：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的

服务端口，系统默认打开“HTTP”方式。在“系统管理”－“配置”－“开放服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加 TELNET、SSH方式等管理方式即可。

五、防火墙配置

（1）防火墙路由模式案例配置

在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根据区域规划配置IP 地址。

配置需求：

1、内网客户机可以访问互联网

2、外网仅可以访问WEB服务器HTTP使用，禁止其他访问

3、外网禁止访问内网

拓扑图如下：

1、防火墙接口IP地址配置

进入防火墙管理界面，点击”网络管理“－“接口”－”物理接口“，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。

2、区域和缺省访问权限配置

在“资产管理”－“区域”中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区域缺省权限为禁止访问。

依次创建若干区域（添加ETH0接口为“内网”区域； ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）

?提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。

3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）

?默认只能从ETH0接口对防火墙进行管理

“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”—“配置”—“开放服务”，点击添加，常用服务有WEBUI(即WEB管理)、ping、Telnet等（请根据管理需要添加相应管理服务）

4、路由表配置

添加静态路由，在“网络管理”－“路由”－“静态路由”，点击添加?添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。

?如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），

请注意添加相应静态路由。

5、定义对象（包括地址对象、服务对象、时间对象）

?提示：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才能引用。

<1>定义地址对象

添加单个主机对象

点击”资源管理“－“地址”－“主机”，点击右上角“添加配置”

添加地址范围

点击”资源管理“－“地址”－“范围”，点击右上角“添加配置”

添加子网

点击”资源管理“－“地址”－“子网”，点击右上角“添加配置”

添加地址组

点击”资源管理“－“地址”－“地址组”，点击右上角“添加配置”

<2>定义服务对象

防火墙内置一些标准服务端口，，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。

点击“资源管理”－“服务”－“自定义服务”，点击“添加”，可以添加单个端口或范围。注意单个端口只填起始端口

<3>定义时间对象

点击“资源管理”－“时间”，点击“添加”，可以设置单次和多次

6、地址转换策略

<1>内网可以访问互联网，需要配置源转换

在“防火墙”－“地址转换”，点击“添加”

选择“源转换”，点击“高级”，源选择源区域“内网”，目的选择目的区

域“外网”，源转换为Eth1接口（即转换为Eth1接口IP地址）或者转换111.111.111.230主机地址。

?如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该地址范围不能设置排除IP地址。

<2>Web服务器发布，需要配置目的转换

首先需要添加Web服务器地址对象（10.1.1.1，服务器真实地址）、外网访问的地址对象（111.111.111.230，合法地址），具体配置见定义对象章节。

?目的转换有两种方式：地址转换、端口转换。

地址转换：从一个 IP 地址到另一个 IP 地址的映射。安全网关设备将到达映射地址（合法IP）的所有信息流中的目标IP 地址转换成主机 IP 地址（即服务器真实地址）。地址转换建议在映射地址资源充裕时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。

端口转换：从一个 IP 地址到基于目标端口号的多个IP 地址的映射，即单个IP 地址可以托管从若干服务( 使用不同的目标端口号标识) 到同样多主机的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。 配置Web服务器映射有两种方式：

（Ⅰ）端口转换

在“防火墙”－“地址转换”，点击“添加”

选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（111.111.111.230）”，服务选择“HTTP”服务，目的地址转换为选择“Web服务器地址对象（10.1.1.1），即服务器真实地址”，目的端口转换为“HTTP”服务。

（Ⅱ）地址映射

在“防火墙”－“地址转换”，点击“添加”

选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（111.111.111.230）”，目的地址转换为选择“Web服务器地址对象（10.1.1.1），即服务器真实地址”。