天融信NGFW4000UF防火墙产品白皮书

天融信产品白皮书网络卫士防火墙NGFW 4000UF系列

NGFW4000-UF是网络卫士防火墙系统的中高端产品，适用于网络结构复杂、应用丰富、政府、金融、学校、中小型企业等各种网络环境。是国内应用最广、部署量最大的防火墙产品之一，也是国内率先支持防病毒和SSL VPN功能的防火墙产品。此产品基于天融信自主设计的专用硬件平台，采用开放性的系统架构及模块化的设计思想，具备超强的接口扩展能力，极高的性价比。

安全高效的TOS操作系统

具有完全自主知识产权的TOS(TopsecOperating System)安全操作系统，采用全模块化设计，使用中间层理念，减少了系统对硬件的依赖性，有效保障了防火墙、SSL VPN、IPSEC VPN、防病毒、内容过滤、抗攻击、带宽管理等功能模块的优异性能。TOS良好的扩展性为未来迅速扩展更多特性提供了无限可能。

集成多种安全引擎：FIREWALL+IPSEC+SSL+ANTIVIRUS+IPS

基于专有硬件平台的NGFW4000-UF产品采用TOS操作系统，集成了丰富的安全引擎，包括：防火墙引擎，IPSesVPN引擎，SSLVPN引擎，防病毒引擎，IPS引擎等。这些引擎的紧密集成使得NGFW4000-UF成为了可以防范多种威胁、功能丰富的防火墙产品。

完全内容检测CCI技术

网络卫士猎豹防火墙采用最新的CCI技术，提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象（如文件、网页、邮件等）进行病毒查杀，并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威

胁，实现彻底防范。

超强的接口扩展能力

最大配置为26个接口，包括3个可插拔的扩展槽和2个10/100/1000BASE-T接口（可作为HA口和管理口）；可支持8～24个千兆接口（光口或电口）。

集成多种安全功能

NGFW4000-UF由于集成了多种安全引擎，使其具备了防火墙、IPSEC VPN、SSL VPN、防病毒、IPS等安全功能，成为了国内安全功能最丰富的防火墙产品。

虚拟防火墙

虚拟防火墙，是指在一台物理防火墙上可以存在多套虚拟系统，每套虚拟系统在逻辑上都相互独立，具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙，但使用不同的虚拟系统。对于用户来说，就像是使用独立的防火墙，大大节省了成本。

强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如MSN，QQ、Skype、新浪UC、阿里旺旺、Google Talk等即时通信应用，以及BT、

Edonkey、Emule、讯雷等p2p应用实行灵活的访问控制策略，如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能，可以对用户所关心的网络应用进行全面控制。CleanVPN服务

企业对VPN应用越来越普及，但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时，病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC或网络传递进来，这种威胁的传播方式极具隐蔽性，很难防范。

网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能，并且各功能相互融合，能够对VPN数据进行检查，拦截病毒、蠕虫、木马、恶意代码等有害数据，彻底保证了VPN通信的安全，为用户提供放心的CleanVPN服务。

Active/Active高可用性

能够在核心网络中同所有网络设备一起构建高可用性及高安全性的拓扑结构，自身能够实现A/A部署和状态同步，能够实现动态的链路切换，同时提供了电源冗余功能，最大限度地满足了网络的健壮性及稳定性，保证了整个网络的不间断工作。

灵活的接入方式防火墙系统可以提供对复杂环境的接入支持，包括路由、透明以及混合接入模式。

强大的访问控制●支持基于源IP地址、目的IP地址、源端口、目的端口、时间、用户、文

件、网址、关键字、邮件地址、脚本、MAC地址等多种方式进行访问控制；

●支持对HTTP、SMTP、POP3、FTP等协议的深度内容过滤，支持URL、关键字过

滤；

●支持对移动代码如Java applet、Active-X、VBScript、Jscript、Java

script的过滤；

●动态端口支持协议：H.323、SIP、FTP、RTSP、SQL*NET、MMS、TFTP、

RPC(msrpc,dcerpc)等；

●可实现静态或自动的IP/MAC绑定；

●支持MSN、QQ、新浪UC、阿里旺旺、google talk等Instant Messenger通

信，并可以对于这些应用进行登陆限制,支持根据登陆等帐号进行登陆限制；

●支持对MSN，QQ等IM应用通信的连接统计,支持对指定IP地址的IM应用

通信的连接统计；

●可限制BT，eMule，eDonkey、讯雷等多种P2P应用，可以统计和控制P2P流

量和连接数；

●可屏蔽受保护主机/服务器系统信息，可以替换服务器(FTP、SMTP、POP3、

Telnet,HTTP)的BANNER信息；

●可以实现telnet、DNS等应用协议的深度过滤；

●支持HTTP 重定向功能，可以对伪装HTTP的协议进行识别和阻断。

完善的网络地址转换能力防火墙系统有完善的地址转换能力，可以支持正向、反向地址/端口转换、双向地址转换等，能够提供完整的地址转换解决方案。

多种身份认证方式防火墙系统要支持多种、灵活的身份认证技术，至少包括

Radius/OTP/LDAP/TACACS+/SecuID/数字证书/本地认证等。

完善的路由功能支持静态和动态路由，动态路由至少包括：BGP/RIP和OSPF动态路由协议；静态路

由协议支持基于源地址、目的地址、METRIC值、网络接口的路由；

VLAN和生成树支持802.1d生成树，能进行802.1d的生成树协商；支持与交换机的Trunk接口对

接，并且能够实现Vlan间通过防火墙设备进行路由；支持802.1q，能进行802.1q

的封装和解封装；支持ISL，能进行ISL的封装和解封装；在同一个Vlan内能进行

二层交换。

链路备份支持链路备份功能，可以在用户的多条网络出口之间进行自动的切换；

高可用性●支持双机热备功能，包括主备模式(A/S)，主主模式(A/A)

●支持VRRP协议；

●支持对服务器的负载均衡，支持轮询、加权轮询、最少连接、加权最少链

接、基于源IP地址HASH调度等多种负载均衡方式；

●防火墙系统要对长连接的提供全面的解决方案；

●支持链路聚合；

DHCP功能支持DHCP SERVER/CLIENT/RELAY功能

强大的抗攻击能力●支持OPSEC或TOPSEC等类似联动协议，能够与主流入侵检测产品进行联动；

●可以识别并阻断以下攻击行为：

防非法报文攻击：land 、Smurf、Pingofdeath、winnuke 、tcp_sscan、

ip_option、teardrop、targa3、ipspoof；

防统计型报文攻击：Synflood、Icmpflood、Udpflood、Portscan、ipsweep；

●端口阻断：可以根据数据包的来源和数据包的特征进行阻断设置；

●CC攻击：可通过设置端口和阀值阻断CC攻击；

●完善的预防ARP欺骗解决方案；

●支持反向地址检查；

●支持根据协议或地址，限制连接数目；根据连接数目进行源地址排名。

告警能力支持告警信息分类、分级；当发生安全事件的时候支持以邮件、NETBIOS、声音、

SNMP、控制台等方式告警。

管理功能●可以提供多种方式的管理界面，包括GUI、WEBUI、CONSOLE、SSH、TELNET

等；

●远程集中监控管理功能：支持远程集中管理监控功能，在同一个管理平台下

能够对所管理网络中所有的防火墙设备进行管理和监控，提供远程升级和配

置变更方法，非常方便用户对防火墙软件版本和配置变更的管理；

●支持SNMP 的v1 、v2 、v2c 、v3 等不同版本，并与当前通用的网络管理平

台兼容，如HP Openview 等；

●支持Netflow

●各类资源对象、安全策略可单独导入、导出，可以提供简单方便的配置备份

与恢复机制，并且可以恢复到出厂设置；

●支持远程TFTP、FTP、HTTP等方式升级。

完善的日志审计功能日志分级、分类；系统要能够提供多种日志存储方式，可以缓存在设备本地，也可

以将日志以专用格式/Welf/Syslog等多种日志格式的输出；具有完善的日志收集、

传输、存储、分析、报告等解决方案。

完整解决方案防火墙可以内嵌VPN功能模块，并可以提供VPN客户端软件，可方便地建立网关-

网关、网关-客户端、客户端-客户端的加密隧道，具有完善的解决方案。

兼容性支持标准IKE，能与市场上主流的基于标准IKE协议的其他 IPSEC VPN设备进行互

联、互通。

算法要求提供高加密强度，支持国际主流加密算法和经国密办认证的SCB2算法等。

认证支持基于证书的认证，证书遵循X.509证书体系，可自建CA，也支持第三方CA；

支持预共享方式的认证。

网络适用性支持NAT穿越，提供NAT自动发现机制。

支持Cleaned VPN 能对隧道内数据进行病毒查杀和内容过滤。

其它VPN方式得支持允许远程用户通过L2TP/PPTP接入，建立隧道访问内部网络。

支持DDNS 支持DDNS功能，可以在用户的网络环境中没有任何一个合法地址的情况下建立VPN 隧道。

典型应用一：在大型网络中的应用

典型应用二：虚拟防火墙应用

典型应用三：AA模式双机热备

主机订购信息

型号图片描述

TG-5622

2U架式结构，最大配置为6个万兆接口+16个千兆接口，默认2个万兆XFP插槽，2个可插拔的扩展槽和2个10/100/1000BASE-T 接口（可作为HA口和管理口）;标配双电源

TG-5330 TG-5230 TG-5130 2U机型，最大配置为26个接口，包括3个可插拨的扩展槽和2个10/100/1000BASE-T接口（可作为HA口和管理口）；另外具有专

门的RJ45终端管理接口。

TG-5114 2U机型，4个10/100/1000MBase-T端口，1个扩展槽，可扩展不

同子卡，最多可达12端口

TG-5030 1U机型，最大配置为26个接口，包括3个可插拨的扩展槽和2个10/100/1000BASE-T接口（可作为HA口和管理口）；另外具有专

门的RJ45终端管理接口。

TG-5014 1U机型，4个10/100/1000MBase-T端口，1个扩展槽，可扩展不

同子卡，最多可达12端口

模块订购信息

模块订购信息

产品型号描述备注TOPSEC-CARD-2X 2端口万兆XFP插槽接口卡TG-5622选配TopSEC-CARD-8S8端口千兆SFP插槽接口卡SFP模块需另配TopSEC-CARD-8A 8个千兆自适应电口无需另配模块

TopSEC-CARD-4S4A 4端口千兆SFP插槽接口卡+4

个千兆自适应电口

SFP模块需另配

TopSEC-CARD-2S2A 2端口千兆SFP插槽接口卡+2

个千兆自适应电口

SFP模块需另配

TOPSEC-PWR88-AC 交流冗余电源模块TG-5130、TG-5230、TG-5330选配

IPSECVPN-MODULE-UF IPSECVPN扩展模块IPSEC VPN模块；支持无限隧道数，缺省含5个客户端IPSECVPN-VRC-LICENCSE

IPSECVPN-VRC-LICENCSE IPSECVPN并发客户端需要安装客户端

SSLVPN-MODULE-UF SSLVPN扩展模块SSLVPN模块，最大支持3500并发用户，缺省5个

SSLVPN的License

SSLVPN-VRC-LICENSE SSLVPN并发客户端不需要安装客户端

ANTIVIRUS-MODULE-2Y AV病毒扩展模块防病毒模块；AV与SSL不能同时购买，防病毒模块的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-MODULE-3Y AV病毒扩展模块防病毒模块；AV与SSL不能同时购买，防病毒模块的升级服务年限最多3年，到期后可再购买服务。

ANTIVIRUS-LIC-1Y AV病毒库1年防病毒模块的1年升级服务ANTIVIRUS-LIC-2Y AV病毒库2年防病毒模块的2年升级服务ANTIVIRUS-LIC-3Y AV病毒库3年防病毒模块的3年升级服务

IDP3000-MODULE 入侵防御扩展模块IDP扩展模块，含1年IDP规则库license IDP3000-LIC-1Y 入侵防御规则库1年IDP规则库1年升级license

IDP3000-LIC-2Y 入侵防御规则库2年IDP规则库2年升级license

IDP3000-LIC-3Y 入侵防御规则库3年IDP规则库3年升级license IPSECVPN-CARD-500 VPN算法加速卡加密速度>400M

IPSECVPN-CARD-800 VPN算法加速卡加密速度>600M

SJY-SCB2-CARD-BM VPN算法加速卡加解密速度>300M SSLVPN-RAM-H SSLVPN的扩展内存1G内存，只用于SSLVPN扩展用，已购产品须返厂

◆ 公安部颁发的《计算机信息系统安全专用产品销售许可证》

◆ 中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》

◆ 国家保密局涉密信息系统安全保密测评中心颁发的《涉密信息系统产品检测证书》

◆ 中国人民解放军信息安全测评认证中心颁发的《军用信息安全产品认证证书》

天融信(C)版权所有V1.0

https://www.sodocs.net/doc/ba3885973.html,

文档维护：吴青松、董爱祥、叶进声明：非官方文档，仅供参考

天融信防火墙配置指南

一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻： 用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNAT）。比如A学校有100台计算机，但是只有一个互联网IP，上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问，比如计算机A访问计算机B，那么，计算机B 相当于服务器，计算机A相当于客户机。如果是访问网页，一般就是客户机访问服务器的80端口。在访问的过程中，浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的，就是你进行下载的同时也同时提供了被下载的服务，你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换（SNAT）和目标转换（DNAT）。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面，如下面的图例。

天融信防火墙命令

天融信防火墙命令 Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】

Helpmode chinesel 区域权限：pf service add name webui(gui/ping/telent) area 区域名 addressname any web管理服务开启：system httpd start web界面权限添加：pf service add name webui area 区域名 addressname any 添加网口ip： 禁用网口： network interface eth16 shutdown 启用网口： network interface eth16 no shutdown 交换模式： network interface eth16 switchport（no switchport路由模式） 区域设置： define area add name E1 attribute 网口 access off（on）《off权限禁止，on 权限允许》 主机地址： define host add name 主机名 子网地址： define host subnet add name 名字 自定义服务：define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码) vlan添加ip： web服务器外网访问 1）设置 E1 区域 #define area add name E1 access on attribute eth1 2）定义 WEB 服务器真实地址 #define host add name WEB_server ipaddr 3)定义 WEB 服务器访问地址 #define host add name MAP_IP ipaddr 4)定义服务端口 #define service add name Web_port protocol 6 port 8080 说明：“6”是 TCP 协议的协议码 5)设置地址转换规则 #nat policy add srcarea E1 orig_dst MAP_IP orig_service http trans_dst Web_server trans_service Web_port 路由adls ADS拨号设置 1）设置 ADSL 拨号参数 #network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl 2）定义外网区域（adsl-a） #define area add name adsl-a attribute adsl access on 3）配置地址转换策略 #nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl 4）拨号 #network adsl start 5）查看拨号连接情况 # network adsl show status STATE: PHASE_RUNNING RX_BYTES: 815 TX_BYTES: 2021 RX_PKTS: 13

天融信版本防火墙常用功能配置手册v

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月

目录

一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。

三、天融信防火墙一些基本概念 接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 ?提示：对象名称不允许出现的特殊字符：空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下：

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

天融信防火墙日常维护及常见问题

天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。 一、 防火墙的连接方式 5 硬件一台 ?外形：19寸1U 标准机箱 产品外形 接COM 口 管理机 直通线交叉线 串口线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式

产品提供的附件及线缆使用方式 ?CONSOLE线缆 ?UTP5双绞线 -直通(1条，颜色:灰色) -交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） ?软件光盘 ?上架附件 6 二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 体请见下表： 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

天融信防火墙NGFW4000快速配置手册

天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1．串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的CONSOLE 口。 2）选择开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2．TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图： 3．SSH管理

(完整版)天融信防火墙日常维护与常见问题

天融信防火墙日常维护及常见问题 综述: 防火墙作为企业核心网络中的关键设备，需要为所有进出网络的信息流提供安全保护，对于企业关键的实时业务系统，要求网络能够提供7*24小时的不间断保护，保持防火墙系统可靠运行及在故障情况下快速诊断恢复成为维护人员的工作重点。 天融信防火墙提供了丰富的冗余保护机制和故障诊断、排查方法，通过日常管理维护可以使防火墙运行在可靠状态，在故障情况下通过有效故障排除路径能够在最短时间内恢复网络运行。本文对天融信防火墙日常维护进行较系统的总结，为防火墙维护人员提供设备运维指导。 一、防火墙的连接方式

5 硬件一台 ?外形：19寸1U 标准机箱产品外形接COM 口管理机 直通线交叉线串口 线 PC Route Swich 、Hub 交叉线 1-1 产品提供的附件及线缆使用方式 6 ?CONSOLE 线缆 ?UTP5双绞线 - 直通(1条，颜色:灰色)-交叉(1条，颜色:红色) 使用: –直通:与HUB/SWITCH –交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） ?软件光盘 ?上架附件 产品提供的附件及线缆使用方式

二、防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 具用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 体请见下表： 2-1防火墙安装前的准备 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 三、防火墙的管理及登录方式

天融信防火墙 通用配置

天融信防火墙通用配置 Document serial number【LGGKGB-LGG98YT-LGGT8CB-LGUT-

天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂用户名为：superman，密码为：talent或superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与web 服务器在同一网段，eth1口与miss网在同一网段。现例eth0口IPIP其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加： 该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。X 2.区域设置： 点击：资源管理---区域； 将eth0口名称改为scada，权限选：允许；eth1口名称改为：miss，权限：允许。 3．地址转换： 点击：防火墙----地址转换；点击添加： 在此我们只需设置目的转换，选中：[目的转换]选项。 在：[源]选项栏中，将any从选择源：移到：已选源中。 在：[目的]选项栏中将虚拟的主机对象（即xnweb）从选择源移到：已选源中。 下面的：[目的地址转换为：]选择：wcj-web(主机)即实际的web服务器的地址对象。 其他选项采用默认配置。 点击：确定。 最后要保存配置：如下图操作： 至此，该防火墙配置完成。

天融信防火墙配置手册

天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理，就是规则。 比如：甲想到A城市B地点。由这个行为就可以制定一些规则进行约束，例如： 1）用户身份识别，是不是甲用户（说明：在实际应用中，甲用户可能是一群人或所有的人）。 2）用户当前的目标是不是A城市，是不是B地点。 3）用户当前状态中是否符合规定，比如，是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻：用户-->访问者 城市-->主机 地点-->端口 为了安全，我们就可以制定一个规则：如果用户甲或所有的人到达A城市B地点，并且没有携带任何危险品，就允许他或他们通过，否则就禁止通行。翻译成防火墙的规则就是：如果访问者访问目标区域中的开放主机中的允许访问的端口，并且访问的过程中没有防火墙禁止的恶意行为，就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走，相当于引路。比如：甲要到美国洛杉矶，甲城市的路由器就告诉甲，你应该先到上海，然后上海的路由器再告诉甲，该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的，相当于在互联网上的用户身份，没有IP地址是无法进行网络访问的。互联网中的主机中（包括访问者与被访问者）是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如：我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机，所以发展到现在，IP 地址是非常紧缺的。目前，已不可能为世界上的所有的计算机都分配一个IP地址，这就产生了源地址转换又称为源地址伪装技术（SNA T）。比如A学校有100台计算机，但是只有

天融信防火墙配置

天融信防火墙配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:192.168.1.254, 出厂用户名为：superman，密码为：talent或12345678。现IP改为192.168.4.21，用户名为：superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：https://192.168.1.254，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与

web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在192.168.4.0/24网段，MISS网在172.20.40.0/24网段。eth0口IP为192.168.4.21(WEB服务器实际IP为192.168.4.20)，eth1IP口为172.20.40.1。接口模式选择：路由。其余选项采用默认配置。三．路由配置 点击：网络管理----路由， 现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：192.168.4.21既eth0口的IP，MISS网端的主机网关设成：172.20.40.1即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加：

防火墙配置实例

C I S C O5520防火墙配置实例 本人在项目中已经两次接触到思科5500系列防火墙的配置应用了，根据项目的需求不同，详细的配置也不一样，因此汇总了一个通用版本的思科5500系列防火墙的配置，不详之处，请各位大虾给予指点，谢谢！ CD-ASA5520# show run : Saved : ASA Version (2) ! hostname CD-ASA5520&nb sp; //给防火墙命名 enable password 9jNfZuG3TC5tCVH0 encrypted // 进入特权模式的密码 names dns-guard ! interface GigabitEthernet0/0 //内网接口： duplex full //接口作工模式：全双工，半双，自适应 nameif inside //为端口命名：内部接口inside security-level 100 //设置安全级别 0~100 值越大越安全 ! interface GigabitEthernet0/1 //外网接口 nameif outside //为外部端口命名：外部接口outside

security-level 0 ! interface GigabitEthernet0/2 nameif dmz security-level 50 ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 //防火墙管理地址shutdown no nameif no security-level no ip address ! passwd encrypted ftp mode passive clock timezone CST 8 dns server-group DefaultDNS

-天融信版本防火墙常用功能配置手册v2

天融信3.3版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月 目录 一、前言 (2) 二、天融信3.3版本防火墙配置概述 (2) 三、天融信防火墙一些基本概念 (3) 四、防火墙管理 (3) 五、防火墙配置 (5) （1）防火墙路由模式案例配置 (5) 1、防火墙接口IP地址配置 (6) 2、区域和缺省访问权限配置 (7) 3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (8) 4、路由表配置 (9) 5、定义对象（包括地址对象、服务对象、时间对象） (10) 6、地址转换策略 (13) 7、制定访问控制策略 (24) 8、配置保存 (29) 9、配置文件备份 (29) （2）防火墙透明模式案例配置 (30) 1、防火墙接口IP配置 (31) 2、区域和缺省访问权限配置 (33) 3、防火墙管理权限设置（定义希望从哪个区域管理防火墙） (33)

4、路由表配置 (34) 5、定义对象（包括地址对象、服务对象、时间对象） (35) 6、制定访问控制策略 (39) 7、配置保存 (43) 8、配置文件备份 (43) 一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和使用。 二、天融信3.3版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全使用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊使用配置 10、配置保存 11、配置文件备份

全新的天融信防火墙NGFW的配置

全新的天融信防火墙NGFW4000_配置 配置一台全新的天融信防火墙NGFW4000，配置完后，内网用户10.10.1.0/24和10.10.2.0/24可以通过防火墙上网，外网用户可以通过访问防火墙的外网接口地址来访问内网的WEB服务器10.10.1.200，并且内网用户也可以通过WEB服务器的外网地址进行访问。 网络说明： 防火墙外网接口地址：218.90.123.121/30 防火墙内网接口地址：192.168.0.253/30 核心交换机防火墙VLAN：192.168.0.254/30 核心交换机用户群A的VLAN：10.10.1.0/24 核心交换机用户群B的VLAN：10.10.2.0/24 用户群A的默认网关：10.10.1.254 用户群B的默认网关：10.10.2.254 防火墙至出口的默认网关：218.90.123.122/30 核心交换机至防火墙的默认网关：192.168.0.253 内网WEB服务器地址：10.10.1.200/32（通过防火墙映射成公网地址） 简单拓扑图如下：

这里着重介绍的是出口防火墙的配置，从上图中可以看出，防火墙位于核心交换机至INTERNET 出口的中间。我们首先需通过某种方式对防火墙进行管理配置。 1、连接防火墙 首先查看防火墙的出厂随机光盘，里面其中有个防火墙安装手册，描述了防火墙的出厂预设置：管理用户 管理员用户名 superman 管理员密码 talent 或12345678 系统参数 设备名称 TopsecOS 同一管理员最多允许登录失败次数 5 最大并发管理数目 5 最大并发管理地点 5

同一用户最大登录地点 5 空闲超时 3 分钟 物理接口 Eth0（或LAN 口） IP：192.168.1.254/24 其他接口 Shutdown 服务访问控制 WEBUI 管理（通过浏览器管理防火墙）：允许来自Eth0（或LAN 口）上的服务请求 GUI 管理（通过TOPSEC 管理中心）：允许来自Eth0（或LAN 口）上的服务请求 SSH（通过SSH 远程登录管理）：允许来自Eth0（或LAN 口）上的服务请求 升级（对网络卫士防火墙进行升级）：允许来自Eth0（或LAN 口）上的服务请求 PING（PING 到网络卫士防火墙的接口IP 地址或VLAN虚接口的IP 地址）：允许来自Eth0（或LAN 口）上的服务请求 其他服务禁止 地址对象 地址段名称 any 地址段范围 0.0.0.0 – 255.255.255.255 区域对象 区域对象名称 area_eth0 绑定属性 eth0 权限允许 日志 日志服务器IP 地址 IP：192.168. 1.253 日志服务器开放的日志服务端口 UDP 的514 端口 高可用性（HA）关闭 从中可以看出，管理口为ETH0口，地址为192.168.1.254，我们将一台电脑直接与ETHO接口相连，然后配置一个192.168.1段的地址，然后在浏览器上访问https://192.168.1.254，就进入了WEB管理界面（如出现安装证书问题，直接点继续浏览此网站），如下。

(完整word版)天融信防火墙双机热备配置说明

天融信防火墙双机热备配置说明 一、防火墙的接口设置： ifconfig 'eth0' 10.1.3.4 255.255.255.0 内网接口//接内网交换机 ifconfig 'eth4' 211.141.203.74 255.255.255.0 外网接口口//上接F5 ifconfig 'eth5' 211.141.203.76 255.255.255.240 服务器区//接服务器区交换机 ifconfig 'eth6' 192.168.1.250 255.255.255.0 防火墙同步接口//主备防火墙间同步接口互连 二、按需配置好主防火墙 三、配置双击热备过程： 1、配置主防火墙的双机设置，并使之处于工作状态： system -n 'work' //给主防火墙取名为work system -i 0 //配置主防火墙的设备号为0 system -h backup working 3 //配置主防火墙为双机热备方式并处于工作状态 system ssp on //在主防火墙上打开状态同步协议 2、在从防火墙上清空所有配置： restore config //恢复防火墙出厂默认值 ifconfig eth6 off //清空防火墙所有接口地址（默认出厂只有eth6有地址） 3、配置从防火墙的双机设置，并使之处于备用状态： system -n 'standby' //给从防火墙取名为standby system -i 1 //配置从防火墙的设备号为1 system -h backup standby 3 //配置从防火墙为双机热备方式并处于备用状态 system ssp on //在从防火墙上打开状态同步协议

天融信防火墙的一个典型配置方案

[原创]天融信防火墙的一个典型配置方案 一个典型配置方案 现在根据我们的经验，假设几种典型的网络环境，描述“网络卫士”防火墙在这些环境中应 该如何配置。 以3个端口的“网络卫士”防火墙为例，其中一个接外网，一个接内网，一个接SSN，在SSN 中有三台服务器，一台是HTTP服务器，一台是FTP服务器，一台是邮件服务器。有如下需求：内网的机器可以任意访问外网，可以访问SSN中指定的服务器，外网和SSN的机器不能 访问内网；外网可以访问SSN中的服务器。 在非动态地址环境下： 防火区域配置 外网：接在eth1上，缺省访问策略为any（即缺省可读、可写），日志选项为空，禁止ping。 内网：接在eth2上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，允 许ping。 SSN：接在eth0上，缺省访问策略为none（不可读、不可写），日志选项为日志命令，禁 止ping。 经过以上的配置后，如果没有其他的访问策略和通信策略，则防火墙允许内网上的机器访问外网，允许SSN上的机器访问外网，不允许内网被外网或SSN访问，不允许SSN被外网、内网访问。（允许访问并不表示可以成功通信，尽管内网被允许访问外网，但假如没有合法的IP地址，也无法进行成功的访问，这个问题在后面NAT配置中将进行详细描述。） 定义三个网络节点 FTP_SERVER：代表FTP服务器，区域=DMZ，IP地址=…，物理地址=…。 HTTP_SERVER：代表HTTP服务器，区域=DMZ，IP地址=…，物理地址=…。 MAIL_SERVER：代表邮件服务器，区域=DMZ，IP地址=…，物理地址=…。

配置访问策略 根据区域的定义，外网和内网的缺省访问权限已经满足要求，现在只需要进行一些访问策略 设置。在SSN区域中增加三条访问策略： ① 访问目的=FTP_SERVER，目的端口=TCP 21。 源=内网，访问权限=读、写。 源=外网，访问权限=读。 这条配置表示内网的用户可以读、写FTP服务器上的文件，而外网的用户只能读文件，不能 写文件。 ② 访问目的=HTTP_SERVER，目的端口=TCP 80。 源=内网+外网，访问权限=读、写。 这条配置表示内网、外网的用户都可以访问HTTP服务器。 ③ 访问目的=MAIL_SERVER，目的端口=TCP 25，TCP 110。 源=内网+外网，访问权限=读、写。 这条配置表示内网、外网的用户都可以访问MAIL服务器。 假如所有的机器都有合法的IP地址，则配置到此为止就结束了。否则， 假设内网的机器没有合法的IP地址，它们访问外网需要进行地址转换。当内部机器访问外部机器时，可以将其地址转换为防火墙的地址，也可以转换成某个地址池中的地址。这里描述将地址转换成防火墙地址的方法：增加一条通信策略，目的=外网，源=内网，方式=NAT，目的端口=所有端口。如果需要转换成某个地址池中的地址，则必须先在外网中定义一个子网，地址范围就是地址池的范围，然后在通信策略中选择NAT方式，在地址池类型中选择刚 才定义的地址池。 假设SSN中的服务器也没有合法的IP地址，必须依靠防火墙做地址映射来提供对外服务。

天融信防火墙通用配置

天融信防火墙通用配置 The following text is amended on 12 November 2020.

天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂默认eth0口IP为: 出厂用户名为：superman，密码为：talent或。现IP改为，用户名为：superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口

Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在网段，MISS网在网段。eth0口IP为服务器实际IP为，eth1IP 口为。接口模式选择：路由。其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：既eth0口的IP，MISS网端的主机网关设成：即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加：

该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。Xnweb 为转换后的IP地址为：，该地址与MISS网的主机在同一网段，只要不被使用即可。以后miss网的主机只需浏览：，不需浏览地址。以达到伪装IP的目的。 2.区域设置： 点击：资源管理---区域；

天融信防火墙通用配置

天融信防火墙通用配置 一. 通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。 出厂默认eth0口IP为:, 出厂用户名为：superman，密码为：talent或。现IP改为，用户名为：superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口 Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与

web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在/24网段，MISS网在/24网段。eth0口IP为(WEB服务器实际IP为)，eth1IP口为。接口模式选择：路由。其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：既eth0口的IP，MISS 网端的主机网关设成：即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加：

该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。Xnweb为转换后的IP 地址为：，该地址与MISS网的主机在同一网段，只要不被使用即可。以后miss网的主机只需浏览：，不需浏览地址。以达到伪装IP的目的。 2.区域设置： 点击：资源管理---区域； 将eth0口名称改为scada，权限选：允许；eth1口名称改为：miss，权限：允许。

天融信防火墙通用配置

天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】

天融信防火墙通用配置 一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的 网口相连。 出厂默认eth0口IP为: 出厂用户名为：superman，密码为：talent或。现IP改为，用户名为：superman，密码为：topsec0471。 在浏览器上输入防火墙的管理URL，例如：，弹出如下的登录页面。 输入用户名为：superman，密码为：topsec0471，登陆进入。 二．接口IP地址的配置： 1.点击：网络管理---接口

Eth0口接在WEB服务器端网络，eth1口接在MISS网络，根据实际情况配置IP，eth0口与web 服务器在同一网段，eth1口与miss网在同一网段。现例：WEB服务器端在网段，MISS网在网段。eth0口IP为服务器实际IP为，eth1IP 口为。接口模式选择：路由。其余选项采用默认配置。 三．路由配置 点击：网络管理----路由， 现有四条路由是设备自身生成的路由，现例不牵扯到复杂网络带有路由器等相关网络设备，所以不需添加静态路由，只需将WEB服务器主机的网关设成：既eth0口的IP，MISS网端的主机网关设成：即eth1口的IP。若遇复杂网络，则需添加路由关系，确保两端网络能相互PING通即可。 四．地址转换： 1.配置转换对象： 点击：资源管理----地址； 点击：添加：

该例需添加两个对象：wcj-web为实际WEB的IP地址，MAC地址为空。Xnweb 为转换后的IP地址为：，该地址与MISS网的主机在同一网段，只要不被使用即可。以后miss网的主机只需浏览：，不需浏览地址。以达到伪装IP的目的。 2.区域设置： 点击：资源管理---区域；

天融信防火墙设置

钟祥水利局防火墙 通过交换机中的主机192.168.1.0 网段访问 在浏览器地址栏中输入 https://192.168.1.1 按回车即可访问 （新防火墙默认只有ETH0口可用WEB访问，地址为https://192.168.0.254）期间会提示证书不完全 点击接受即可 登录页面需输入访问账号和密码 为默认值

账号：superman 密码：talent 正确输入后即可看到默认首页 显示的是防火墙的基本信息 防护墙所有基本功能需要在系统管理=》配置=》开放服务里添加 比如能在网页配置该防火墙 点击【添加】

服务名称为需要添加的服务 Webui为可网页配置 DHCP为该区域可动态获取IP地址 等 具体可参考随机安装光盘 上面有每个服务名称的详细说明 控制区域 需要手动添加后面会讲解 控制地址 默认有一条ANY【范围】

选择此项为所有主机都可以访问，使用 其他主机需手动添加 表示只有该主机才能够访问，使用 添加方式见下文 【管理员】 此项为管理可登陆防火墙的账号名与密码可自行添加账号与修改密码 【资源管理】 该选项需要注意的是地址区域服务 【地址】为每台主机的IP地址 若需要端口映射需要选定主机 则需要在此选项内添加该主机IP地址 点击添加

名称为自己容易记录的名称 可随意输入（但必须输入） 在红框内填写需要添加的主机的IP地址后点击旁边的箭头 然后点击确定 即可添加一条地址信息 【区域】

区域可选择为一个网段，一个VLAN,一个端口等等可视为许多地址的集合 做端口映射 需要选择外端端口作为区域 名称同地址 可随意填写 权限为默认值允许 属性选择一个端口 然后点击右边箭头=》 然后点击确定 即可添加一个区域信息 【服务】 服务就是协议与端口号 我们主要需要在自定义服务内添加需要映射的端口

天融信防火墙配置案例(带宽管理)

QoS（服务质量），是Quality of Service的缩写。通过QoS管理，用户可以根据实际用户网络规划，方便、灵活地定制带宽策略，防止带宽滥用现象，并可以确保关键应用的带宽需求。 网络卫士防火墙的带宽策略采用了分层的带宽管理机制，用户可以通过设置细粒度的带宽规则来实现基于源和目的IP 地址（或地址段）、服务的带宽的集中管理。同时，同层的带宽策略还可以根据业务需求，设置带宽策略的优先级，为关键业务流量优先分配带宽，从而合理、有效地为用户网络分配带宽资源。 图 12网络卫士防火墙分层带宽管理示意图 图中的网络卫士防火墙工作在纯透明模式（即所有接口均工作在交换模式下，且属于同一个VLAN），只起到限制带宽的作用，不做任何访问策略配置。网络卫士防火墙的初始配置不需要用户进行修改。

上传带宽管理 基本需求 子网1（10.200.51.0/24）向网段10.200.2.0/24上传数据，网络卫士防火墙为其分配7K （如果没有特殊说明单位均为字节/秒）的限制带宽，7K的保证带宽。并对不同的应用设置不同的优先级控制以及带宽优化： ?ICMP为最高优先级，保证带宽为1K（最大限制带宽为7K） ?数据库为第二优先级，保证带宽为2K（最大限制带宽为7K） ?FTP为第三优先级，保证带宽为2K（最大限制带宽为7K） ?SMTP为最低优先级，保证带宽为1K（最大限制带宽为7K） 配置要点 带宽策略的设置包括以下方面： ?设置采用QoS的物理接口。 ?在接口下设置一到多个类及其子类。 ?在类下设置数据流的匹配规则。 WEBUI配置步骤 1）设置采用QoS的物理接口。 选择网络管理 > 流量管理，在“带宽控制”页面点击“添加接口”，添加采用上传带宽配置策略的物理接口eth0。 接口的配置原则是以数据流流向为准，在数据流出网络卫士防火墙的物理接口上配置才能生效，本例中即eth0接口。 2) 在物理接口下设置上传类及其四个子类：ICMP上传、Web上传、FTP上传、邮件上传。 a)点击接口eth0对应的“下级”图标，添加eth0口的上传带宽类“上传类”。