天融信防火墙NGFW4000快速配置手册VIP免费

天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1．串口管理第一次使用网络卫士防火墙，管理员可以通过CONSOLE口以命令行方式进行配置和管理。通过CONSOLE口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙：1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用com1）和防火墙的CONSOLE口。2）选择开始>程序>附件>通讯>超级终端，系统提示输入新建连接的名称。3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用com1）。4）设置com1口的属性，按照以下参数进行设置。参数名称取值每秒位数：9600数据位：8奇偶校验：无停止位：15）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。6）输入系统默认的用户名：superman和密码：talent，即可登录到网络卫士防火墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。2．TELNET管理TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置：1)在串口下用“pfserviceaddnametelnetareaarea_eth0addressnameany”命令添加管理权限2)在串口下用“systemtelnetdstart”命令启动TELNET管理服务3)知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1.250mask255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWSCMD命令行)管理：TELNET192.168.1.2505)最后输入用户名和密码进行管理命令行如图：3．SSH管理SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理：1)在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany”命令添加管理权限2)在串口下用“systemsshdstart”命令启动TELNET管理服务3)知道管理IP地址，或者用“networkinterfaceeth0ipadd192.168.1.250mask255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理：192.168.1.2505)最后输入用户名和密码进行管理命令行如图：4．WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany”命令添加。2)WEB管理服务缺省是启动的，如果没有启动，也可用“systemhttpdstart”命令打开，管理员在管理主机的浏览器上输入防火墙的管理URL，例如：https://192.168.1.250，弹出如下的登录页面。输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），点击“提交”，就可以进入管理页面。5．GUI管理GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等1)安装管理中心软件2)运行管理软件3)右击树形“TOPSEC管理中心”添加管理IP4)右击管理IP地址，选择“管理”，输入用户名和密码进行管理5)也可右击管理IP地址，选择“安全工具”，进行实时监控选择：安全工具-连接监控点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：二、命令行常用配置(注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：)系统级系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。组件级组件级为第二级，提供每个安全组件（SE）所独有的管理命令。在系统级下，TopsecOS#按tab键，则显示出安全组件级命令见下表。类别关键字内容说明一级命令名system系统管理目录network网络设置Ha高可用性设置define网络对象定义debug调试log日志设置authentication认证设置Snmp简单网络管理协议配置pf包过滤规则设置dpi深度报文检测策略定义firewal...