1、天融信3. 3版本防火墻常用功能配置手冊(cè)北京天融信南京分公司2008年5月目錄 TOC o 1-5 h z 一、前言2二、天融信3.3版本防火墻配宜概述2三、天融信防火墻一些基本概念3四、防火墻管理3五、防火墻配置5（1）防火墻路由模式案例配置51、防火墻接口 IP地址配置62、區(qū)域和缺省訪問(wèn)權(quán)限配置73、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）84、路由表配置95、沱義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）106、地址轉(zhuǎn)換策略137、制定訪問(wèn)控制策略248、配置保存299、配置文件備份29（2）防火墻透明模式案例配置301、防火墻接口 IP配置312、區(qū)域和缺省訪問(wèn)權(quán)限配置333

2、、防火墻管理權(quán)限設(shè)置（龍義希望從哪個(gè)區(qū)域管理防火墻）334、路由表配宜345、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）356、制左訪問(wèn)控制策略397、配置保存438、配置文件備份43一、前言我們制作本安裝手冊(cè)的U的是使丄程技術(shù)人員在配置天融信網(wǎng)絡(luò)衛(wèi)士防火墻（在本安裝手冊(cè)中簡(jiǎn)稱為“天融信防火墻”）時(shí)，可以通過(guò)此安裝手冊(cè)完成對(duì) 天融信防火墻基本功能的實(shí)現(xiàn)和使用。二、天融信33版本防火墻配置概述天融信防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以支持各種復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng) 絡(luò)安全使用需求。在配置天融信防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò) 的規(guī)劃情況和用戶對(duì)防火墻配置及實(shí)現(xiàn)功能的諸多要求，建議參照以下思路

3、和步 驟對(duì)天融信防火墻進(jìn)行配置和管理。1、根據(jù)網(wǎng)絡(luò)環(huán)境考慮防火墻部署模式（路山模式、透明模式、混合模式）， 根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址。2、防火墻接口 IP配置3、區(qū)域和缺省訪問(wèn)權(quán)限配置4、防火墻管理權(quán)限配置5、路由表配置6、定義對(duì)象（地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）7、制定地址轉(zhuǎn)換策略（包括四種地址轉(zhuǎn)換策略：源地址轉(zhuǎn)換、LI的地址轉(zhuǎn) 換、雙向轉(zhuǎn)換、不做轉(zhuǎn)換）8、制定訪問(wèn)控制策略9、其他特殊使用配置10、配置保存11、配置文件備份提示：每次修改配置詢，建議首先備份防火墻再修改配置，避免防火墻 配置不當(dāng)造成網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷。三、天融信防火墻一些基本概念接口：和防火墻的物理

4、端口一一對(duì)應(yīng)，如EthO、Ethl等。區(qū)域：可以把區(qū)域看作是一段具有相似安全屬性的網(wǎng)絡(luò)空間。在區(qū)域的劃分 上，防火墻的區(qū)域和接口并不是一一對(duì)應(yīng)的，也就是說(shuō)一個(gè)區(qū)域可以包括多個(gè)接 口。在安裝防火墻前，首先要對(duì)整個(gè)受控網(wǎng)絡(luò)進(jìn)行分析，并根據(jù)網(wǎng)絡(luò)設(shè)備，如主 機(jī)、服務(wù)器等所需要的安全保護(hù)等級(jí)來(lái)劃分區(qū)域。對(duì)象:防火墻大多數(shù)的功能配置都是基于對(duì)象的。如訪問(wèn)控制策略、地址轉(zhuǎn) 換策略、服務(wù)器負(fù)載均衡策略、認(rèn)證管理等。可以說(shuō)，定義各種類型的對(duì)象是管 理員在對(duì)防火墻進(jìn)行配置前首先要做的工作之一。對(duì)象概念的使用大大簡(jiǎn)化了管 理員對(duì)防火墻的管理工作。當(dāng)某個(gè)對(duì)象的屬性發(fā)生變化時(shí)，管理員只需要修改對(duì) 象本身的屬性即可，而無(wú)

5、需修改所有涉及到這個(gè)對(duì)象的策略或規(guī)則。防火墻中， 用戶可定義的對(duì)象類型包括：區(qū)域、地址、地址組、服務(wù)、服務(wù)組、以及時(shí)間等。提示：對(duì)象名稱不允許出現(xiàn)的特殊字符：空格、“”、“”、 “/” 、 “；”、 、 “$”、 “&” 、 “”、 “”、 “#”、 “+” 。提示：防火墻所有需要引用對(duì)象的配置，請(qǐng)先定義對(duì)象，才能引用。四、防火墻管理防火墻缺省管理接口為ethO 口，管理地址為192. 168. 1.254,缺省登錄管 理員帳號(hào)：用戶名superman, 口令talento防火墻出廠配置如下:網(wǎng)絡(luò)衛(wèi)士防火墻在出廠時(shí)便用了以下默認(rèn)配置:醫(yī)理用戶T曙superman強(qiáng)理員密碼talent系統(tǒng)參數(shù)設(shè)

6、備名稱同一符理員最多允許輕錄塊敗次敦用人竊錄用八數(shù)；4 顯次連後數(shù)默認(rèn)值空閑趙時(shí)TopseeOS555|為該塑號(hào)允許的最火連按敷的二分之一 3分鐘的理接口EthO （或 LAN 口）J.IPS 192,168. 1.254ShutdownIK務(wù)訪何控制IEBUIaiitwon 理防火増）GUIrOPSEC心SSH m sshHIBHI 對(duì)網(wǎng)絡(luò)衛(wèi)防滅JI陋疔升如PINGtPING 到燭：IP地址或VLAN虛接口的IP地址） 其他脳允許來(lái)Fl EthO （或LAN 口）上的IK務(wù)iff來(lái) ri 5TethO確定| 職消依次創(chuàng)建若干區(qū)域（添加ETHO接口為“內(nèi)網(wǎng)”區(qū)域；ETH1接口為“外網(wǎng)” 區(qū)域；

7、添加ETH2接口為“服務(wù)器”區(qū)域；）提示：有兒個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建兒個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置 訪問(wèn)規(guī)則，那就需要配置不同的區(qū)域。添加港空名稱綁走屬性冋多選）權(quán)限注釋修改刪除內(nèi)網(wǎng)etliO奈止外網(wǎng)cthl禁止服芻8eth2辛止3、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）默認(rèn)只能從ETHO接口對(duì)防火墻進(jìn)行管理內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)外網(wǎng)”區(qū)域添加）,點(diǎn)擊“系統(tǒng)管理”一“配置”一“開(kāi)放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI （即WEB管理）、ping、Telnet等（請(qǐng)根據(jù)管理需要添加相應(yīng)管理服務(wù)）係紜參數(shù)I開(kāi)啟服務(wù)I時(shí)間修改配置服務(wù)名稱：控制區(qū)域：控制地址：確

8、定：取消j系統(tǒng)參數(shù)I開(kāi)放服算I時(shí)間修改配置服務(wù)名稱：控制區(qū)域：控制地址:I確定取消I控制地址修改vclxii內(nèi)網(wǎng)01velui外網(wǎng)nyapins內(nèi)網(wǎng)anyapiy外網(wǎng)Any3talaat內(nèi)網(wǎng)cnya路由表配置添加靜態(tài)路山，在“網(wǎng)絡(luò)管理”一“路由”一“靜態(tài)路由”，點(diǎn)擊添加添加缺省路山時(shí)，U的地址和U的掩碼都為o. o. o. 0,網(wǎng)關(guān)為下一條地址, 其他選項(xiàng)為空。接口： -選擇接口-V由表目的網(wǎng)吳Metric接口54/32VL1lo111 111 U1.230/3ZVL110H2. 16. 1.0/24IfCWetlO111 111. H.0/24uc10othl/0Ml.ill.111.254

9、vcs1ctM3如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路山器），請(qǐng)注意添加相應(yīng)靜態(tài)路山。5、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）提示：防火墻所有需要引用對(duì)象（如地址轉(zhuǎn)換策略、訪問(wèn)控制策略等）的 配置，請(qǐng)先定義對(duì)象，才能引用。1定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“一“地址”一“主機(jī)”，點(diǎn)擊右上角“添加配置”主機(jī)I范圉I子網(wǎng)I地址組名稱:IP地址:172.16. 1.56172. 16. 1.56ipsecfl 劇生 ipsecl 劇生 ipsec2 劇生 ipsec3 購(gòu)性j 皿屈也 lan 厲性 ssn點(diǎn)性】 ppp 屈性jX12tp隱性高級(jí)選擇如他類型的目的】源

10、地址轉(zhuǎn)換為：ethl 屬性源端口不做轉(zhuǎn)換：痂口固走啟冃規(guī)血：0啾認(rèn)啟用規(guī)則卞迭為不生效確定I 貶消如果需要源地址轉(zhuǎn)換為一段地址，則首先需要?jiǎng)?chuàng)建一段地址范兩，且該 地址范禺不能設(shè)置排除IP地址。主機(jī)I范圉I子網(wǎng)I地址組覽址范圉顯性確定取消wan 屆世慘 lan 屆性二3茗級(jí)選捺左他類型的E的選擇目的VLAN： 已逸目的VLAH：-X圭需目的AKEN：己選目的AKEL-X遞述址轉(zhuǎn)渙為：:natpools血圍v I瀝端口不哉轉(zhuǎn)換：源端口固定啟用規(guī)Hl:0默認(rèn).8用朝則，不選為不生效確定| 取消|Web服務(wù)器發(fā)布，需要配置目的轉(zhuǎn)換首先需要添加Web服務(wù)器地址對(duì)象（,服務(wù)器真實(shí)地址）、外網(wǎng)訪 問(wèn)的地址對(duì)

11、象（30,合法地址），具體配置見(jiàn)定義對(duì)象章節(jié)。庠機(jī)I苑因|子網(wǎng)|地址組主機(jī)堆廿【運(yùn)加H潔空名稱n地址修改 擁除6172. IS. 1.56會(huì)3111. IM.111.23011L.111.1M.230目的轉(zhuǎn)換有兩種方式：地址轉(zhuǎn)換、端口轉(zhuǎn)換。地址轉(zhuǎn)換：從一個(gè)IP地址到另一個(gè)IP地址的映射。安全網(wǎng)關(guān)設(shè)備將到達(dá) 映射地址（合法IP）的所有信息流中的口標(biāo)IP地址轉(zhuǎn)換成主機(jī)IP地址（即服 務(wù)器真實(shí)地址）。地址轉(zhuǎn)換建議在映射地址資源充裕時(shí)、服務(wù)器使用端口較多且 端口不連續(xù)、服務(wù)器端口不是固定端口時(shí)使用。端口轉(zhuǎn)換：從一個(gè)IP地址到基于口標(biāo)端口號(hào)的多個(gè)IP地址的映射，即單 個(gè)3P地址可以托管從若干服務(wù)（使用不

12、同的U標(biāo)端口號(hào)標(biāo)識(shí)）到同樣多主機(jī) 的映射。端口轉(zhuǎn)換建議在映射地址資源短缺且服務(wù)器端口為固定端口時(shí)使用。 勺配置Web服務(wù)器映射有兩種方式：（I）端口轉(zhuǎn)換在“防火墻” 一 “地址轉(zhuǎn)換”，點(diǎn)擊“添加”選擇“目的轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“外網(wǎng)”，LI的選擇“外網(wǎng)訪問(wèn)的地址對(duì)象(111. 111. 1H. 230) ” ,服務(wù)選擇“HTTP”服務(wù)，LI的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象(),即服務(wù)器真實(shí)地址” ,LI的端口轉(zhuǎn)換為“HTTP”服務(wù)。比址轉(zhuǎn)換規(guī)則目的地址轉(zhuǎn)換為:-一不作轉(zhuǎn)換-一目的請(qǐng)口轉(zhuǎn)換為:-一不作轉(zhuǎn)換-一-A O源涉換G1目的詰袂O或向轉(zhuǎn)訣0不作轉(zhuǎn)換源 | 目的 服務(wù)龍擇

13、目的：秣序己選日的：172.16. 1.56 主機(jī)111. 111. 1 11. 230|10. 1. 1. 1 主機(jī)1 11. 1 11. 1 11. 230 主機(jī)；any 范圍172. 16. 1. 10-20 范固 允許上網(wǎng)地址組組 eth3 盧性 eth2 屬性 ethl 1屈性j ethO 屬性 adsl i慮性j ipsecO 屬性 ips ecl i屬性 j ipsec2 i屬性 j ipsec3 i屬性j wan購(gòu)性 lan 屬性 ssn為性jX高級(jí)選癢;B；他類型的目的目的地址轉(zhuǎn)換為：二二不作拎換 vl目的端口轉(zhuǎn)換為：二-不作轉(zhuǎn)換 v|O瀝無(wú)蘊(yùn) 目的轉(zhuǎn)換 O艱向轉(zhuǎn)撿 O不作皆

14、拯源目的服務(wù)選擇腮冬：排序已選駁芻：|H7TP (7CP:80)HTTPKERBEROSJCEY (TCP) (TCP: 88) KERBEROS_KET(UDP) (UDP: 88) NPP (TCP:92)X.400 (TCP:102)R1ELNE7 (TCP:107)SKA.GAS (TCP:108)POP3 (TCP:110)SUNRPC (TCP:ill)AUTH (TCP:113) SQLSERY (TCP:118)NKTP (TCP:119)1-X一-不作轉(zhuǎn)換一-一-不作轉(zhuǎn)渙一-1目的地址轉(zhuǎn)換為：目的誦口轉(zhuǎn)換為：?jiǎn)⒂靡?guī)則：0洪認(rèn)啟用規(guī)則，不選為不生效0滾轉(zhuǎn)換目的轉(zhuǎn)換O雙解m O不

15、作轉(zhuǎn)換遞目的腋務(wù)童樣服務(wù)：井序)9已遠(yuǎn)服務(wù)：HTTP (TCP:80)HTTPKERBEROS_KEY(TCP) KERBEROS_KEY(UDP) NPP (TCP: 92) X.400 (ICP:102)RTELNET (TCP: 107)SNA_GAS (TCP:108) POP3 (TCP：110)SUURPC (TCP:111) AUTH (TCP:113)SQLSERV (TCP:118) NNTP (TCP：119)(TCP:88)(UDP:88)1-zlX目的地址轉(zhuǎn)換為:10.1. 1. 1 主機(jī)V目的端口轉(zhuǎn)換為：HTTP (TCP:80)T啟用規(guī)則：h 默認(rèn)啟用規(guī)則，不選為不

16、生效】(II)地址映射在“防火墻” 一 “地址轉(zhuǎn)換”，點(diǎn)擊“添加”選擇“目的轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“外網(wǎng)”，LI的選擇“外 網(wǎng)訪問(wèn)的地址對(duì)象(lll.lll.ni.230) ”，LI的地址轉(zhuǎn)換為選擇“Web服務(wù)器 地址對(duì)象(10. 1.1.1),即服務(wù)器真實(shí)地址”。比址轉(zhuǎn)換規(guī)則O遞轉(zhuǎn)換|G目的轉(zhuǎn)換O棗向瑋換O豐作轉(zhuǎn)換瀝一1目的躺源：排序巴選源；172.16. 1.56 主機(jī)10. 1. 1. 1 主機(jī)111. 111. 111. 230 主機(jī) any 范圍172. 16. 1. 10-20 范圍 允i午上圓地址組俎-X!高級(jí)選揮其他類型的頑目的地址轉(zhuǎn)換為：一-不作轉(zhuǎn)検-TCP888

17、8 (TCP:8888)UPP9000-10000 (UDP:9000-10000)Echo (TCP) (TCP:7)Echo(UDP) (UPP:7)Discard(TCP)Discard(UDP)Daytinie (TCP)Daytime (CJDP)(TCP:9)(UDP:9(TCP: 13)(UDP: 13)NETSTAT (TCP:15)Quotd (TCP) (7CP: 17)Quotd (UDP) (UDP: 17)Chargen(TCP) (TCP:19)-一不作轉(zhuǎn)換一1-一不作轉(zhuǎn)換-一目自勺地址轉(zhuǎn)換為:目的請(qǐng)口鞋換為:A O源轉(zhuǎn)換G）目的詰?zhàn)璒孜向轉(zhuǎn)渙O不作轉(zhuǎn)換源 | 目的

18、 服務(wù)龍揮目的：秤序己選日的：172. 16. 1.56 主機(jī)111. 111. 1 1 1. 230|10. 1. 1. 1 主機(jī)1 11. 1 11.1 11.230 主機(jī)1any 范圍172. 16. 1. 10-20 范闔 允許上網(wǎng)地址組組 eth3 扈性 eth2 屬性 ethl i屈性j ethO 屬性 adsl i盧性j ipsecO 屬性 ips ecl i屬性 j ipsec2 i屬性 j ipsec3 謔性j wan 層性 lan 屬性 ssn誼性jX高級(jí)選癢；H；憶類型約目的目的地址轉(zhuǎn)換為：二-不作轉(zhuǎn)換 v|目的端口轉(zhuǎn)換為：一-不作轉(zhuǎn)換y :O遞轉(zhuǎn)換巨的轉(zhuǎn)換C雙向轉(zhuǎn)換0不

19、作轉(zhuǎn)換源目的垠務(wù)先擇3?冬：排序Q已選服冬：TCPB888 (TCP;8888)UDP9000-10000 (UDP:9000-10000)二IP (E7H:0 x0800)ARP (ETK: 0 x0306)LOOP (IP: 96)PrjP (ETH: 0 x0200)PUPAT (ETH: 0 x0201)X25 (ETH:0 x0805)BPQ (ETH:0 x08ff)IEEEPUP (ETH:OxOaOO)IEEEPUPAT (ETH:0 x0a01)DEC (ETH: 0 x6000)!-X|目的瞅址轉(zhuǎn)拘為：10. 1. 1. 1 主機(jī)目的輔口轉(zhuǎn)換為：不作轉(zhuǎn)換 v啟用規(guī)則：0歐認(rèn)

20、啟斥規(guī)則，不選為不生效確定 取消第一條為內(nèi)網(wǎng)訪問(wèn)外網(wǎng)做源轉(zhuǎn)換；第二條為外網(wǎng)訪問(wèn)WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實(shí)地址轉(zhuǎn)換需要注意的問(wèn)題：1、天融信防火墻先匹配口的轉(zhuǎn)換規(guī)則，再對(duì)其他的地址轉(zhuǎn)換規(guī)則按照從上 往下的順序進(jìn)行匹配，在LI的轉(zhuǎn)換規(guī)則中也是按照排列順序進(jìn)行匹配。在匹配過(guò) 程中，一旦存在一條匹配的地址轉(zhuǎn)換規(guī)則，防火墻將停止檢索，并按所定義的規(guī) 則處理數(shù)據(jù)包，所以規(guī)則的類型和先后順序決定了數(shù)據(jù)包的處理方式，LI的NAT 規(guī)則要優(yōu)先于其他NAT規(guī)則。2、如果內(nèi)網(wǎng)用戶需要通過(guò)服務(wù)器映射地址訪問(wèn)web服務(wù)器時(shí)，還需針對(duì)內(nèi) 網(wǎng)添加地址轉(zhuǎn)換。如案例如果內(nèi)網(wǎng)需要訪問(wèn)30 （合法地址）來(lái)

21、訪 問(wèn)web服務(wù)器需要單獨(dú)添加地址轉(zhuǎn)換。下面以端口轉(zhuǎn)換為例，地址轉(zhuǎn)換請(qǐng)參照外網(wǎng)訪問(wèn)web服務(wù)器。在“防火墻”“地址轉(zhuǎn)換”，點(diǎn)擊“添加”選擇“雙向轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)” ,LI的選擇“外網(wǎng)訪問(wèn)的地址對(duì)象(111. 111. 111. 230) ”，服務(wù)選擇“HTTF”服務(wù)，U的端口轉(zhuǎn)換為“ HTTF ”服務(wù)。源地址轉(zhuǎn)為選擇“外網(wǎng)訪問(wèn)的地址對(duì)象(111- 111. 111. 230) J目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象(10. 1. L 1),即服務(wù)器真實(shí)地址” ,LI的轉(zhuǎn)換為選擇“HTTP服務(wù)地址轉(zhuǎn)換扳則O遞轉(zhuǎn)狽O目的轉(zhuǎn)換 包雙向轉(zhuǎn)換O不作轉(zhuǎn)換目的服務(wù)172. 16.

22、 156 主機(jī) 1011. 1 主機(jī)111. 111. 111.230 主機(jī) arty 范圍己選源：-己選預(yù)VLAN :0高級(jí)選揮苴他類型的瀾172. 16. 1.10-20 范圍 允說(shuō)上網(wǎng)抱址組組|0高級(jí)選擇其也類型的源1己世遞皿山：-證揮源ARZA :己選源魅EA :內(nèi)網(wǎng)內(nèi)網(wǎng)服務(wù)器：.H7TP戶選服務(wù)：111. 1 11. 111.230 主機(jī)目的地址轉(zhuǎn)換為：io. 17171 Y至機(jī)目的端口轉(zhuǎn)換為：HTTP (TCP: 80)濾端口不做轉(zhuǎn)換：源諦口因定盍：源地址轉(zhuǎn)換一定耍 擇服務(wù)器映 火堵內(nèi)網(wǎng)靖 、防火墻外網(wǎng)端口啟用規(guī)別:0 默認(rèn)啟用規(guī)則不選為不生效Gopher (TCP:70)確定|取

23、消7、制定訪問(wèn)控制策略在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”Cl第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，口的選擇H的區(qū)域“外 網(wǎng)”，點(diǎn)擊“高級(jí)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。筋冋控制規(guī)則1源目的服務(wù)選項(xiàng)選擇源地址：祥序已選涼172. 16.1. 56 tTl10. 1. 1.1 主機(jī)111. 1H. 111. 230 主機(jī) any 范釦172. 16. 1. 10-20 范匡 允許上網(wǎng)地址組組-叼：高卽選參苴他壟型的涮己選遞VLAN :器 網(wǎng)網(wǎng)務(wù) 內(nèi)外服H 內(nèi)0 序 trnu Ilf If I9 )33 9

24、9 9 11 )1 8ro)pppp lip 8w77CTCro): : c 8(: : TUTU5PPT8 p p ( /l ( rl 1 c D ( :o c ro Tu p o T Hu 7 11/ l 11/ p /11. /IX 7 co(ppppc p T o crocroT)cpHJd-X訪問(wèn)權(quán)限：允許O扌瞬啟用規(guī)則：叼宕用 獻(xiàn)認(rèn)啟用規(guī)則，不選為暫不生效U訪円控制規(guī)則源 目的 I 翳 項(xiàng) 序 kr棚 王川30o 機(jī)2-2且主1.0-出 511 h 1.1圍匚撾 lb.lllr16上 11 2 1 y 20 1 7 t 11 1A11a41-x一_mI n_ n茫 % Y 巧J 諺

25、tt 高口 拜-X器 網(wǎng)網(wǎng)務(wù) 內(nèi)外服-xV A 序TJ 二 一&TJ 機(jī)or邀 主Jl30O 機(jī)2-2且主1.O-出 511 L 1 H 圍 hw 6.1.11范6.胡 41 1A rL 1A 一丄 1 i 2 lly2 皆0 1Ln7 C 11 1* 41 3 41-X訪問(wèn)權(quán)限：G)允許o拒絕訪問(wèn)權(quán)限缺省為允許”啟用規(guī)則：0啟用默認(rèn)啟用規(guī)則，不選為哲不生效2第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的使用端口，只能訪問(wèn) 服務(wù)器http使用。在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng).外網(wǎng)”，L1的選擇“Web服務(wù)器地址對(duì)象(),即服務(wù)器真實(shí)地址”

26、，服務(wù)選擇” HTTP服務(wù)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。膈希制規(guī)則訪冃控制規(guī)則AI 服務(wù) I選擇躬.冬:排序b 1己選服芻：TCP8888 (TCP:8888)UDP9000-10000 (UDP:9000-10000)IP (ETH: 0 x0800)JARP (ETH:0 x0806)LOOP (IP：96)PUP (ETH:0 x0200)PUPAT (ETII; 0 x0201)X25 (ETH:0 x0805)BPQ (Era：0 x08ff)IEEEPUP (ETH:OxOaOO)IEEEPUPAT (ETH:0 x0a01)DEC (ETH:0 x6000)DNA.DL (ETE

27、:0 x6001)DNA_RC (ETB:0 x6002DNA RT (ETE:0 x6003)LAT (ETH:0 x6004)DIAC (ETH:fe6005)CUST (ETH:0 x6006)1Ihttp25T訪問(wèn)稅限：允許o拒絕啟用拔則：回啟用軟認(rèn)啟書規(guī)則，入選為暫不生效第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)。源選擇“外網(wǎng)”；口的可以選擇L1的區(qū) 域一“外網(wǎng)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的使用端口，只能訪問(wèn)服務(wù) 器http使用。源選擇“內(nèi)網(wǎng)、外網(wǎng)”，H的選擇服務(wù)器真實(shí)的IP地址, 服務(wù)選擇“HTTP”服務(wù)。訪円檸制規(guī)期猱加【笛空1ID控制源目的抿務(wù)時(shí)

28、間日志選項(xiàng)侈改移動(dòng)插入V目趣所有空V地址査撈803Z（內(nèi)網(wǎng)）外網(wǎng)）a804910 1.1.1XTITa訪問(wèn)規(guī)則需要注意的問(wèn)題：訪問(wèn)控制規(guī)則描述了天融信防火墻允許或禁止匹配訪問(wèn)控制規(guī)則的報(bào)文通 過(guò)。防火墻接收到報(bào)文后，將順序匹配訪問(wèn)控制規(guī)則表中所設(shè)定規(guī)則。一旦尋找 到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報(bào)文，不再進(jìn) 行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問(wèn)策略，天融信防火墻將根據(jù)L1 的接口所在區(qū)域的缺省屬性（允許訪問(wèn)或禁止訪問(wèn)），處理該報(bào)文。區(qū)域?qū)傩栽O(shè) 置請(qǐng)參見(jiàn)“3、區(qū)域和缺省訪問(wèn)權(quán)限配置”。1、規(guī)則作用有順序2、訪問(wèn)控制列表遵循第一匹配規(guī)則3、規(guī)則的一致性和邏輯性配置

29、保存點(diǎn)擊管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否則設(shè)備斷電或重 新啟動(dòng)后未保存配置將丟失。保存的配置將作為下次設(shè)備啟動(dòng)配置。配置文件備份配置完成并確認(rèn)運(yùn)行正常以后，請(qǐng)備份配置文件。選擇“系統(tǒng)管理”一“維護(hù)” 一 “配置維護(hù)”，選擇“保存配置”巧匕無(wú)尬邂1 運(yùn)石信息 i ES5 皆理員二瓷豳避 -用尸認(rèn)征命口內(nèi)客垃濾 j n虔擬弋冋 也- I入融詢 山二j高可用性 口日志與孫警:退出采統(tǒng)配戲fe護(hù)）備份和I滅復(fù)I升級(jí)I車啟I冊(cè)記示軌伍上傳1a=e 創(chuàng)丸上傳下劇基覽址圮務(wù)口時(shí)舊口偲斷筮昭匚訪問(wèn)控制沁口下較配青第護(hù)1瀏菟替執(zhí)ttfiiu 廠恢負(fù)配置恢復(fù)聶初岀廠近圭葩

30、意：恢復(fù)出廠配乏怎漿奄伍中全部藝先詒射笛岀勻曲至jjaassitaK5下載:運(yùn)釘配怪11保存紀(jì)置I芙型明文p條配置維護(hù)I備檢和恢復(fù)I升級(jí)I重啟I憧康記錄恢復(fù)擊廠恢復(fù)配置I恢復(fù)境初出廠配置往意：恢復(fù)出廠配置后,原有配置將全部丟失，諳及時(shí)導(dǎo)出當(dāng)前配置!）批塑配置處理輸入配置： 上僅：上傳配這：|瀏覽|上傳：下載配置：地址口服務(wù)口時(shí)間口陰斷策略口訪問(wèn)控制策略下載|配置錐護(hù)配置替換：瀏覽1替換配置下載：運(yùn)行配置|保存配置丨舉型丨明丈V 最近一次傑存配置點(diǎn)計(jì)載明文或甬右鍵另存|提示：每次修改配置詢，建議首先備份防火墻再修改配置，避免防火墻 配置不當(dāng)造成網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷。（2）防火墻透明模式案例配置在透明模

31、式下，天融信防火墻的所有接口均作為交換接口工作。也就是說(shuō)， 對(duì)于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動(dòng)，包括IP和MAC地址，直接把包 轉(zhuǎn)發(fā)出去。同時(shí)，天融信防火墻可以在設(shè)置了IP的VLAN之間進(jìn)行路由轉(zhuǎn)發(fā)。 配置需求：1、內(nèi)網(wǎng)客戶機(jī)可以訪問(wèn)互聯(lián)網(wǎng)2、外網(wǎng)僅可以訪問(wèn)WEB服務(wù)器HTTP使用，禁止其他訪問(wèn)3、外網(wǎng)禁止訪問(wèn)內(nèi)網(wǎng) 拓?fù)鋱D如下:111. 111.InternetK防火墻接口 IP配置1定義一個(gè)VLAN（本案例創(chuàng)建VLAN 1）,點(diǎn)擊“網(wǎng)絡(luò)管理”一“二層網(wǎng) 絡(luò)” 一“VLAN” 添加/刪除VLAN范圍”。ART | VLA | MAC | CUP除配置添加VLAB ID： 1添加VLW

32、栩圍：0-刪除VL碗圍：0- ：注意：VLWI ID范圉是1 - 4094 j總數(shù)是200個(gè)2設(shè)置VLAN 1接口 IP地址及子網(wǎng)掩碼。ARP | VLAJ | MAC | CD?接口信息地址/掩碼：/_ha-static 添加HW止掩碼屆性111.111.311.253255.2肉.255.0高飯屋性確定| 瑕消|3分別把ETHO、ETH1、ETH2接口加入到VLAN 1中，點(diǎn)擊”網(wǎng)絡(luò)管理“一 “接口” 一 ”物理接口依次點(diǎn)擊接口的“設(shè)置”按鈕可以把接口加入到VLAN 1中。物理接口 I子接口基本信宜名稱：e thl描述：internet狀態(tài)：?jiǎn)⒂肰，模式：交換 v星多30個(gè)字符或者15個(gè)漢

33、字交換模式類型：Access :access V11-4094高級(jí)展性確定| 職消|朋接口 I子接口接口名做站蟲丈換地址NIU狀態(tài)建卒etM)intranet3maccess 1tsoo啟用autoautothlintarixat交換mcy：門1500aatoeth2ssn3Zaccss(l1330啟用autoauto飭理按口X&3站由19J0 啟用auto區(qū)域和缺省訪問(wèn)權(quán)限配置在“資產(chǎn)管理”一“區(qū)域”中定義防火墻區(qū)域（接入相同安全等級(jí)的網(wǎng)絡(luò)接 口的組合為一個(gè)區(qū)域），點(diǎn)擊“添加”。權(quán)限選擇為“禁止訪問(wèn)”，即訪問(wèn)該區(qū) 域缺省權(quán)限為禁止訪問(wèn)。區(qū)域被選麗性eth3 eth2 ethl ethO ad

34、sl-5TethO確定|職消依次創(chuàng)建若干區(qū)域（添加ETHO接口為“內(nèi)網(wǎng)”區(qū)域；ETH1接口為“外網(wǎng)” 區(qū)域；添加ETH2接口為“服務(wù)器”區(qū)域；）提示：有幾個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建幾個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置 訪問(wèn)規(guī)則，那就需要配置不同的區(qū)域。防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）默認(rèn)只能從ETHO接口對(duì)防火墻進(jìn)行管理“內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)“外網(wǎng)”區(qū)域添加）, 點(diǎn)擊“系統(tǒng)管理”一“配置”一“開(kāi)放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI （即 WEB管理八ping. Telnet等（詰根據(jù)管理需要添加相應(yīng)管理服務(wù)）系充參數(shù)I開(kāi)成服務(wù)I時(shí)間修改配置服務(wù)名稱:控制區(qū)

35、域：控制地址：系統(tǒng)參數(shù)I開(kāi)放服務(wù)I時(shí)間修改配置服務(wù)名稱:擔(dān)制區(qū)域：控制地址:I確定取消Ik炙統(tǒng)參數(shù)I開(kāi)戲朋.筠I附詢區(qū)膽務(wù)：?jiǎn)b117FLN&T躺務(wù)：?jiǎn)⒘Υ局笶HP服務(wù)：停止KTT服務(wù)：?jiǎn)?dòng)?11黍加 1脈務(wù)名滋控制地址涪改冊(cè)除vclni內(nèi)網(wǎng)ilvelui外網(wǎng)any3piaz內(nèi)網(wǎng)anyaPi外網(wǎng)atclaatP3網(wǎng)sya路由表配置如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路山器），非VLAN接口地址網(wǎng)段需要管理防火墻時(shí)，請(qǐng)注意添加相應(yīng)靜態(tài)路山。該路山只參和防火墻管理，和數(shù)據(jù)通信無(wú)關(guān)。如果不需要跨網(wǎng)段管理防火墻，無(wú)需設(shè)置路III表。添加靜態(tài)路|,在“網(wǎng)絡(luò)管理” 一 “路由” 一 “靜

36、態(tài)路由”，點(diǎn)擊添加添加缺省路山時(shí)，U的地址和U的掩碼都為o. o. 0.0,網(wǎng)關(guān)為下一條地址, 其他選項(xiàng)為空。靜態(tài)路由1策昭躋由1多播路由1逐加配置目的地址:0.0. 0.0*目的掩碼:0.0. 0.0*Metric 1-65535網(wǎng)關(guān)：111. 111. 111.254*接口：-選擇接口-V確定取消1靜玄路由表渤H 涪空目的網(wǎng)關(guān)標(biāo)記按口172.16.1.Z54/3ZUL110111 111 UJ.230/3ZVL110/24IfC10ctlDill 111.111.072410/054135、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）提示：防火墻所有需要引用對(duì)象（如地址轉(zhuǎn)換策略、訪問(wèn)控制策

37、略等）的 配置，請(qǐng)先定義對(duì)象，才能引用。定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“一“地址”一“主機(jī)”，點(diǎn)擊右上角“添加配置”主機(jī)I范圍I子網(wǎng)I地址組名稱；111. 111.111.1*TF地址：111171117111. 1 勺 _xj確定I職消I添加地址范圍點(diǎn)擊”資源管理“一“地址”一“范圍”，點(diǎn)擊右上角“添加配置”主機(jī)I范圍I子網(wǎng)I地址組K址范圍展性名稱：起始地址： 終止地址： 排除地址: 并發(fā)連接數(shù):*可輸入多個(gè)廿地址，用空格分開(kāi)添加子網(wǎng)點(diǎn)擊汀資源管理“一哋址一“子網(wǎng)S點(diǎn)擊右上角添加配置”主機(jī)I范圉I孑網(wǎng)I地址紐子冋屆性*可輸入多個(gè)，用空格分幵確定 取消添加地址組點(diǎn)擊汀資源管理“一“

38、地址一“地址組S點(diǎn)擊右上角添加配置乃 舊I范圍I子網(wǎng)Z他址姐屆性名稱:附網(wǎng)地址爼|那成員列表172. 16. 1.56172. 16. 1. 10-20選擇成員：172. 16. 1.56 主機(jī)any 范圍已經(jīng)選擇：X:確走| 取消2定義服務(wù)對(duì)象防火墻內(nèi)置一些標(biāo)準(zhǔn)服務(wù)端口，但有時(shí)用戶的系統(tǒng)沒(méi)有使用某些服務(wù)的標(biāo) 準(zhǔn)端口，用戶在端口引用時(shí)，需要我們通過(guò)自定義方式加以定義。點(diǎn)擊“資源管理” 一 “服務(wù)” 一 “自定義服務(wù)”，點(diǎn)擊“添加”，可以添加單個(gè)端口或范圍。注意單個(gè)端口只填起始端口曉統(tǒng)定義服各I目定義服各I服務(wù)組巌務(wù)屋性類型：TCPV名稱：TCF8888端 口 ：笳倒 -單個(gè)端口或?Bg, 1-

39、6553S起始-終止；ICMF是尖型f宜18 ；單個(gè)速口只埴起垢端口誦定|取消|系統(tǒng)定義服各I自定義服務(wù)I服務(wù)組巌務(wù)屋性類型:UDP“名稱：W90D0-1000D*編 口 ： 9100- 10000|口或范圍，1-65535起始終止；HMP是姿型伯0-8 ； S個(gè)購(gòu)口只塩起貽端口確定| 職消|3定義時(shí)間對(duì)象點(diǎn)擊“資源管理”一“時(shí)間”，點(diǎn)擊“添加”，可以設(shè)置單次和多次時(shí)間多次I時(shí)間單次時(shí)間屋性名稱：I上班時(shí)間I *毎周時(shí)段：星期一 0星期二0星期三0星期四0星期五0星期六口星期日口每日時(shí)段：08:3017:30開(kāi)始時(shí)I間：結(jié)束時(shí)間:6、制定訪問(wèn)控制策略在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”

40、第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，LI的選擇LI的區(qū)域“外 網(wǎng)”，點(diǎn)擊“高級(jí)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。筋冋控制規(guī)則1源目的服務(wù)選項(xiàng)左澤源地址：井序已選涼510. 1. 1. 1 主機(jī)111. 1H. 111. 230 主機(jī) any 范圍172. 16. 1. 10-20 范匡 允許上網(wǎng)地址組組-叼i高級(jí)選參苴他壟型曲渡1己選遞VLAN :匹擇卿3:-器 網(wǎng)網(wǎng)務(wù) 內(nèi)外服-X阿 內(nèi)0 序 LUT一 _If If If )33 9 9 11 ). 1 ppp lip uiitcuii5)p:p:tc /k (

41、 1 c D (Tu p /k / p p p c p ro c ro T ) ) c w T w ( p p TJd/ %訪問(wèn)權(quán)限：把許O拒絕啟用規(guī)則：0啟用 獻(xiàn)認(rèn)啟用規(guī)則，不選為暫不生效U訪円控制規(guī)則源1選項(xiàng)選擇目的地址：排序9已選目的：172. 16. 1. 56 主機(jī)10. 1. 1. 1 主機(jī)111.111.11 1.230 主機(jī) arty 范圍172.16. 1. 10-20 范圍 1 允許上網(wǎng)地址組組-X回 豊字選擇弐他類型的目的已選目的吒小：n1 1IJ-X器 網(wǎng)網(wǎng)務(wù) 內(nèi)外服-xV A 序Lh flU 二 一巳 TJ 機(jī)or邀 主Jl30O 機(jī)2-2且主1.0-出 L 1 1-

42、圍h馳 16.1llr16上 2. 1W2.許0 1 7 i 11 41 41 3 1A ZJX-X訪問(wèn)權(quán)限：允許O拒絕訪問(wèn)權(quán)限缺省為“允許”啟用規(guī)則：0啟用默認(rèn)啟用規(guī)則，不選為皆不生效2第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的使用端口，只能訪問(wèn) 服務(wù)器http使用。在“防火墻” 一 “訪問(wèn)控制”，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)、外網(wǎng)” ,LI的選擇“Web服務(wù)器地址對(duì)象(),即服務(wù)器真實(shí)地址服務(wù)選擇” HTTP服務(wù)”，動(dòng)作“允許”(默認(rèn)選項(xiàng))。膈桁制規(guī)則訪冃控制規(guī)則I回糾選擇苴他類型的源I選拎觀!已選源TLAN :-1加擇遞AREA :已選源AREA :內(nèi)網(wǎng)-W外網(wǎng)服務(wù)器A選擇遞請(qǐng)口 :已選卿口 ：$添諭L-1P選擇躬.冬：排序 |己選服冬：TCP8888 (TCP:8888)UDP