1、合用文檔天融信防火墻NGFW4000快速配置手冊(cè)一、防火墻的幾種管理方式1串口管理第一次使用網(wǎng)絡(luò)衛(wèi)士防火墻，管理員可以經(jīng)過(guò)CONSOLE口以命令行方式進(jìn)行配置和管理。經(jīng)過(guò)CONSOLE口登錄到網(wǎng)絡(luò)衛(wèi)士防火墻，可以對(duì)防火墻進(jìn)行一些基本的設(shè)置。用戶(hù)在初次使用防火墻時(shí)，平時(shí)都會(huì)登錄到防火墻更正出廠(chǎng)配置（接口、IP地址等），使在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下將防火墻接入網(wǎng)絡(luò)中。這里將詳細(xì)介紹如何經(jīng)過(guò)CONSOLE口連接到網(wǎng)絡(luò)衛(wèi)士防火墻：1）使用一條串口線(xiàn)（包括在出廠(chǎng)配件中），分別連接計(jì)算機(jī)的串口（這里假設(shè)使用com1）和防火墻的CONSOLE口。2）選擇開(kāi)始程序附件通訊超級(jí)終端，系統(tǒng)提示輸入新建連接的名稱(chēng)

2、。3）輸入名稱(chēng)，這里假設(shè)名稱(chēng)為“TOPSEC”，點(diǎn)擊“確定”后，提示選擇使用的接口（假設(shè)使用com1）。4）設(shè)置com1口的屬性，依照以下參數(shù)進(jìn)行設(shè)置。參數(shù)名稱(chēng)取值每秒位數(shù)：9600數(shù)據(jù)位：8文案大全合用文檔奇偶校驗(yàn)：無(wú)停止位：15）成功連接到防火墻后，超級(jí)終端界面會(huì)出現(xiàn)輸入用戶(hù)名/密碼的提示，以以下圖。6）輸入系統(tǒng)默認(rèn)的用戶(hù)名：superman和密碼：talent，即可登錄到網(wǎng)絡(luò)衛(wèi)士防火墻。登錄后，用戶(hù)即可使用命令行方式對(duì)網(wǎng)絡(luò)衛(wèi)士防火墻進(jìn)行配置管理。2TELNET管理TELNET管理也是命令行管理方式，要進(jìn)行TELNET管理，必定進(jìn)行以下設(shè)置：1)在串口下用“pfserviceaddname

3、telnetareaarea_eth0addressnameany”命令增加管理權(quán)限2)在串口下用“systemtelnetdstart”命令啟動(dòng)TELNET管理服務(wù)3)知道管理IP地址，也許用“networkinterfaceeth0ipaddmask”命令增加管理IP地址爾后用各種命令行客戶(hù)端(如WINDOWSCMD命令行)管理：TELNET最后輸入用戶(hù)名和密碼進(jìn)行管理命令行如圖：3SSH管理文案大全合用文檔SSH管理和TELNET基本一至，只但是SSH是加密的，我們用以下步驟管理：1)在串口下用“pfserviceaddnamesshareaarea_eth0addressnameany

4、”命令增加管理權(quán)限在串口下用“systemsshdstart”命令啟動(dòng)TELNET管理服務(wù)3)知道管理IP地址，也許用“networkinterfaceeth0ipaddmask”命令增加管理IP地址爾后用各種命令行客戶(hù)端(如putty命令行)管理：最后輸入用戶(hù)名和密碼進(jìn)行管理命令行如圖：4WEB管理1)防火墻在出廠(chǎng)時(shí)缺省已經(jīng)配置有WEB界面管理權(quán)限，若是沒(méi)有，可用“pfserviceaddnamewebuiareaarea_eth0addressnameany”命令增加。2)WEB管理服務(wù)缺省是啟動(dòng)的，若是沒(méi)有啟動(dòng)，也可用“systemhttpdstart”命令打開(kāi)，管理員在管理主機(jī)的閱讀器

5、上輸入防火墻的管理URL，比方：，彈出以下的登錄頁(yè)面。文案大全合用文檔輸入用戶(hù)名密碼后（網(wǎng)絡(luò)衛(wèi)士防火墻默認(rèn)出廠(chǎng)用戶(hù)名/密碼為：superman/talent），點(diǎn)擊“提交”，就可以進(jìn)入管理頁(yè)面。5GUI管理GUI圖形界面管理跟WEB界面相同，可是，在管理中心中集成了一些安全工具，如監(jiān)控，抓包，追蹤等安裝管理中心軟件運(yùn)行管理軟件文案大全合用文檔3)右擊樹(shù)形“TOPSEC管理中心”增加管理IP文案大全合用文檔4)右擊管理IP地址，選擇“管理”，輸入用戶(hù)名和密碼進(jìn)行管理文案大全合用文檔也可右擊管理IP地址，選擇“安全工具”，進(jìn)行實(shí)時(shí)監(jiān)控選擇：安全工具-連接監(jiān)控點(diǎn)擊啟動(dòng)，在彈出的窗口中增加過(guò)濾條件，可

6、用缺省值監(jiān)控全部連接。文案大全合用文檔選中增加的過(guò)濾條件，點(diǎn)設(shè)置就可以看到實(shí)時(shí)的監(jiān)控收效了，以以下圖：文案大全合用文檔二、命令行常用配置(注：用串口、TELNET、SSH方式進(jìn)入到命令行管理界面，天融信防火墻命令行管理可以完成全部圖形界面管理功能，命令行支持TAB鍵補(bǔ)齊和TAB鍵幫助，命令支持多級(jí)操作，可以在系統(tǒng)級(jí)，也就是第一級(jí)直接輸入完滿(mǎn)的命令；也可以進(jìn)入相應(yīng)的功能組件級(jí)，輸入對(duì)應(yīng)組件命令。詳細(xì)分級(jí)以下表：)系統(tǒng)級(jí)系統(tǒng)級(jí)為第一級(jí)，供應(yīng)設(shè)備的基本管理命令。CLI管理員登錄后，直接進(jìn)入該級(jí)，顯示為：TopsecOS#。組件級(jí)組件級(jí)為第二級(jí)，供應(yīng)每個(gè)安全組件（SE）所獨(dú)有的管理命令。在系統(tǒng)級(jí)下，T

7、opsecOS#按tab鍵，則顯示出安全組件級(jí)命令見(jiàn)下表。種類(lèi)要點(diǎn)字內(nèi)容說(shuō)明system系統(tǒng)管理目錄network網(wǎng)絡(luò)設(shè)置Ha高可用性設(shè)置define網(wǎng)絡(luò)對(duì)象定義debug調(diào)試log日志設(shè)置authentication認(rèn)證設(shè)置Snmp簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議配置pf包過(guò)濾規(guī)則設(shè)置dpi深度報(bào)文檢測(cè)策略定義一級(jí)命令名firewall防火墻規(guī)則設(shè)置nat地址變換策略配置Vpn虛假私有網(wǎng)地道配置與操作IDS入侵監(jiān)測(cè)配置Qos帶寬控制配置AVSE防病毒安全引擎管理設(shè)置save保存配置Show_running查察運(yùn)行時(shí)配之信息Show查察配置helpmode幫助模式設(shè)定exit退出系統(tǒng)1系統(tǒng)管理命令(SYSTE

8、M)在命令行下一般用SYSTEM命令來(lái)管理和查察系統(tǒng)配置：命令功能WEBUI界面操作地址Version系統(tǒng)版本信息系統(tǒng)基本信息information當(dāng)前設(shè)備狀態(tài)信息系統(tǒng)運(yùn)行狀態(tài)time系統(tǒng)時(shí)鐘管理系統(tǒng)系統(tǒng)時(shí)間config系統(tǒng)配置管理管理器工具欄“保存設(shè)定”按鈕二級(jí)命令名reboot重新啟動(dòng)系統(tǒng)系統(tǒng)重啟sshdSSH服務(wù)管理命令系統(tǒng)系統(tǒng)服務(wù)telnetdTELNET服務(wù)管理系統(tǒng)系統(tǒng)服務(wù)命令httpdHTTP服務(wù)管理命系統(tǒng)系統(tǒng)服務(wù)令monitordMONITOR服務(wù)管理命令無(wú)文案大全合用文檔2網(wǎng)絡(luò)配置命令(NETWORK)命令功能WEBUI界面操作地址interface防火墻接口管理網(wǎng)絡(luò)物理接口v

9、lanVlan配置管理網(wǎng)絡(luò)VLANroute路由表配置管理網(wǎng)絡(luò)靜態(tài)路由Ping考據(jù)網(wǎng)絡(luò)連接無(wú)3雙機(jī)熱備命令(HA)HALOCAL設(shè)置HA接口的本機(jī)地址HAPEER設(shè)置HA接口的對(duì)端地址HAPEER-SERIAL設(shè)置HA接口的對(duì)端的licence序列號(hào)HANO復(fù)位HA接口的本機(jī)地址/對(duì)端地址/對(duì)端licence序列號(hào)HAPRIORITY設(shè)定HA優(yōu)先級(jí)是主機(jī)優(yōu)先還是備份機(jī)優(yōu)先（默以為backup，即若是同時(shí)啟動(dòng)主機(jī)成為活HASHOW查察HA的配置信息HAENABLE啟動(dòng)HAHADISABLE停用HAHACLEAN除去HA配置信息HASYNCHA同步（從對(duì)端機(jī)上同步配置/同步配置到對(duì)端機(jī)上）4定義對(duì)

10、象命令(DEFINE)命令功能WEBUI操作地址area地域?qū)ο蠊芾韺?duì)象地域?qū)ο骾nterface配置防火墻接口對(duì)應(yīng)的地域?qū)傩詫?duì)象地域?qū)ο骽ost主機(jī)地址對(duì)象管理對(duì)象地址對(duì)象主機(jī)對(duì)象range地址范圍對(duì)象管理對(duì)象地址對(duì)象范圍對(duì)象subnet子網(wǎng)地址對(duì)象對(duì)象地址對(duì)象子網(wǎng)對(duì)象group_address地址組對(duì)象管理對(duì)象地址對(duì)象地址組對(duì)象service子定義服務(wù)對(duì)象管理對(duì)象服務(wù)對(duì)象自定義服務(wù)group_service服務(wù)組對(duì)象管理對(duì)象服務(wù)對(duì)象服務(wù)組schedule時(shí)間表對(duì)象管理對(duì)象時(shí)間對(duì)象server服務(wù)器對(duì)象管理對(duì)象負(fù)載均衡服務(wù)器virtual_server虛假服務(wù)器對(duì)象管理對(duì)象負(fù)載均衡均衡組5包

11、過(guò)濾命令(PF)增加一條服務(wù)接見(jiàn)規(guī)則SERVICEADDnameareaaddressid|addressname6顯示運(yùn)行配置命令(SHOW_RUNNING)SHOW_RUNNING7保存配置命令(SAVE)SAVE文案大全合用文檔三、WEB界面常用配置用閱讀器也許集中管理中心登錄到WEB管理界面以下：1系統(tǒng)管理配置在“系統(tǒng)”下，可以顯示或配置系統(tǒng)相關(guān)設(shè)置系統(tǒng)基本信息顯示系統(tǒng)的型號(hào)、版本、功能模塊、接口信息等等：系統(tǒng)運(yùn)行狀態(tài)查察系統(tǒng)的運(yùn)行狀態(tài)，包括CPU、內(nèi)存使用情況和當(dāng)前連接數(shù)等文案大全合用文檔系統(tǒng)配置保護(hù)上傳或下載配置文件系統(tǒng)系統(tǒng)服務(wù)系統(tǒng)服務(wù)在本系統(tǒng)中主若是指監(jiān)控服務(wù)、SSH服務(wù)、Tel

12、net服務(wù)和HTTP服務(wù)。TOS系統(tǒng)供應(yīng)了對(duì)這些服務(wù)的控制（啟動(dòng)和停止）功能，其詳細(xì)的操作以下：文案大全合用文檔系統(tǒng)開(kāi)放服務(wù)增加或查察系統(tǒng)權(quán)限，包括WEB管理、GUI管理、TELNET管理、SSH管理、監(jiān)控等等系統(tǒng)系統(tǒng)重啟2網(wǎng)絡(luò)接口、路由配置設(shè)置防火墻接口屬性用戶(hù)可以對(duì)網(wǎng)絡(luò)衛(wèi)士防火墻的物理接口的屬性進(jìn)行設(shè)置，詳細(xì)步驟以下：1）在管理界面左側(cè)導(dǎo)航菜單中選擇網(wǎng)絡(luò)物理接口，可以看到防火墻的全部物理接口，以以下圖所示，共有三個(gè)物理接口：Eth0、Eth1、Eth2。文案大全合用文檔2）若是要將某端口設(shè)為路由模式，點(diǎn)擊該端口后的路由更正圖標(biāo)“”，彈出“設(shè)定路由”對(duì)話(huà)框，以以下圖所示。可以為某個(gè)端口設(shè)置多

13、個(gè)IP地址，點(diǎn)擊“增加配置”按鈕，增加接口的IP地址。若是選擇“ha-static”,表示雙機(jī)熱備的兩臺(tái)設(shè)備在進(jìn)行主從切換時(shí)，可以保存原來(lái)的地址不變，否則，從墻的地址將被主墻覆蓋。網(wǎng)絡(luò)衛(wèi)士防火墻不支持不相同的物理接口配置相同的IP地址或IP地址在同一子網(wǎng)內(nèi)。3）若是要將某端口設(shè)交換模式，點(diǎn)擊該端口后的交換更正圖標(biāo)“”，彈出“交換”設(shè)置窗口，以下圖所示。第一，需要確定該接口的種類(lèi)是“Access”還是“Trunk”。若是是“Access”接口，則表示該交換接口只屬于一個(gè)VLAN，需要指定所屬的VLID號(hào)碼，如上圖所示。如是“Trunk”接口，則設(shè)置參數(shù)界面以以下圖所示。上圖參數(shù)說(shuō)明以下表所示：文

14、案大全合用文檔點(diǎn)擊“提交設(shè)定”則完成接口從路由模式向交換模式的變換。4）點(diǎn)擊“其他”按鈕，可以設(shè)置接口的其他信息，以以下圖。設(shè)置路由用戶(hù)可以在網(wǎng)絡(luò)衛(wèi)士防火墻上設(shè)置策略路由及靜態(tài)路由，詳細(xì)步驟以下：1）在左側(cè)導(dǎo)航菜單中選擇網(wǎng)絡(luò)靜態(tài)路由，可以看到已經(jīng)增加的策略路由表以及系統(tǒng)自動(dòng)增加的靜態(tài)路由表，以以下圖所示。文案大全合用文檔2）設(shè)置策略路由，點(diǎn)擊“增加策略路由”，以以下圖所示。其中“網(wǎng)關(guān)”為下一跳路由器的入口地址，“端口”指定了從防火墻設(shè)備的哪一個(gè)接口（包括物理接口和VLAN虛接口）發(fā)送數(shù)據(jù)包。Metric為接口躍點(diǎn)數(shù)，默以為1。若是選擇“NAT后的源”為“是”，表示策略路由的源地址為NAT后的地

15、址，策略路由增加成功后的“標(biāo)記”一欄顯示為“UGM”。默以為“否”，策略路由增加成功后的“標(biāo)記”一欄顯示為“U”。3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，若是增加成功會(huì)彈出“增加成功”對(duì)話(huà)框。點(diǎn)擊“取消返回”則放棄增加，返回上一界面。若要?jiǎng)h除某路由項(xiàng)，點(diǎn)擊該路由項(xiàng)所行家的刪除圖標(biāo)“”進(jìn)行刪除。4）搬動(dòng)策略路由。由于策略執(zhí)行為第一般配原則，則策略的序次與策略的邏輯相關(guān)，在此可以改變?cè)黾硬呗詴r(shí)候的缺省的執(zhí)行序次（依照增加序次排列）。詳細(xì)設(shè)置方法為：文案大全合用文檔在策略路由表中點(diǎn)擊要搬動(dòng)的路由選項(xiàng)（比方要搬動(dòng)策略路由102）后的“搬動(dòng)”圖標(biāo)按鈕，進(jìn)入以下界面。在第一個(gè)下拉框中選擇參照地址路由，第二個(gè)

16、下拉框中則是選擇將當(dāng)前路由搬動(dòng)到參照路由從前還是此后。比方：要將路由102搬動(dòng)到路由101從前，則第一個(gè)下拉框選擇ID“101”，第二個(gè)下拉框選擇“從前”，點(diǎn)擊“提交設(shè)定”按鈕，則彈出搬動(dòng)成功對(duì)話(huà)框。點(diǎn)擊“確定”返回路由界面，可以看到路由102已經(jīng)搬動(dòng)到了101從前，以以下圖所示。3對(duì)象配置設(shè)置主機(jī)對(duì)象選擇對(duì)象地址對(duì)象主機(jī)對(duì)象，右界限面顯示已有的主機(jī)對(duì)象，以以下圖所示。點(diǎn)擊“增加配置”，系統(tǒng)出現(xiàn)增加主機(jī)對(duì)象屬性的頁(yè)面，以以下圖所示。文案大全合用文檔設(shè)置范圍對(duì)象選擇對(duì)象地址對(duì)象地址范圍，右界限面顯示已有的地址范圍對(duì)象，以以下圖所示。點(diǎn)擊“增加配置”，進(jìn)入地址范圍對(duì)象屬性的頁(yè)面，以以下圖所示。設(shè)置

17、子網(wǎng)對(duì)象選擇對(duì)象地址對(duì)象子網(wǎng)對(duì)象，在右側(cè)頁(yè)面內(nèi)顯示已有的子網(wǎng)地址對(duì)象，以以下圖所示。文案大全合用文檔設(shè)置地址組不相同的地址對(duì)象可以組合為一個(gè)地址組，用作定義策略的目的或源。地址組的支持增強(qiáng)了對(duì)象管理的層次性，使管理更加靈便。設(shè)置地址組對(duì)象的步驟以下：1）選擇對(duì)象地址對(duì)象地址組，在右側(cè)頁(yè)面內(nèi)顯示已有的地址組對(duì)象，以以下圖所示。2）選擇“增加配置”，系統(tǒng)出現(xiàn)以以下圖所示的頁(yè)面。自定義服務(wù)當(dāng)預(yù)定義的服務(wù)中找不到我們需要的服務(wù)端口時(shí)，我們可以自己定義服務(wù)端口：1）選擇對(duì)象服務(wù)對(duì)象自定義服務(wù)，點(diǎn)擊“增加配置”，系統(tǒng)出現(xiàn)以下頁(yè)面。文案大全”進(jìn)行更正?！边M(jìn)行刪除。合用文檔2）輸入對(duì)象名稱(chēng)后，設(shè)置協(xié)議種類(lèi)及端

18、口號(hào)范圍。3）點(diǎn)擊“提交設(shè)定”，完成設(shè)置。設(shè)置地域?qū)ο笙到y(tǒng)支持地域的看法，用戶(hù)可以依照實(shí)質(zhì)情況，將網(wǎng)絡(luò)劃分為不相同的安全域，并依照其不相同的安全需求，定義相應(yīng)的規(guī)則進(jìn)行地域界線(xiàn)防范。若是不存在可般配的接見(jiàn)控制規(guī)則，網(wǎng)絡(luò)衛(wèi)士防火墻將依照目的接口所在地域的權(quán)限辦理該報(bào)文。設(shè)置地域?qū)ο?，詳?xì)操作以下：1）選擇對(duì)象地域?qū)ο?，顯示已有的地域?qū)ο?。防火墻出廠(chǎng)配置中缺省地域?qū)ο鬄锳REA_ETH0，并已和缺省屬性對(duì)象eth0綁定，而屬性對(duì)象eth0已和接口eth0綁定，因此出廠(chǎng)配置中防火墻的物理接口eth0已屬于地域AREA_ETH0。2）點(diǎn)擊“增加配置”，增加一個(gè)地域?qū)ο?，以以下圖所示。在“對(duì)象名稱(chēng)”部分

19、輸入地域?qū)ο竺Q(chēng)；在“權(quán)限選擇”部分設(shè)定和該地域所屬屬性綁定的接口的缺省屬性（贊同接見(jiàn)或禁止接見(jiàn)）。在“選擇屬性”部分的左側(cè)文本框中選擇接口，爾后點(diǎn)擊增加該地域擁有的屬性，被選接口將出現(xiàn)在右側(cè)的“被選屬性”文本框中，可以同時(shí)選擇一個(gè)或多個(gè)。3）設(shè)置完成后，點(diǎn)擊“提交設(shè)定”按鈕，若是增加成功會(huì)彈出“增加成功”對(duì)話(huà)框。4）點(diǎn)擊“取消返回”則放棄增加，返回上一界面。5）若要更正地域?qū)ο蟮脑O(shè)置，點(diǎn)擊該地域?qū)ο笏屑业母龍D標(biāo)“6）若要?jiǎng)h除地域?qū)ο螅c(diǎn)擊該地域?qū)ο笏屑业膭h除圖標(biāo)“設(shè)置時(shí)間對(duì)象用戶(hù)可以設(shè)置時(shí)間對(duì)象，以便在接見(jiàn)控制規(guī)則中引用，從而實(shí)現(xiàn)更細(xì)粒度的控制。比方，用戶(hù)希望針對(duì)工作時(shí)間和非工作時(shí)間設(shè)

20、置不相同的接見(jiàn)控制規(guī)則，引入時(shí)間對(duì)象的看法很簡(jiǎn)單解決該類(lèi)問(wèn)題。設(shè)置時(shí)間對(duì)象，詳細(xì)操作以下：1）選擇對(duì)象時(shí)間對(duì)象，點(diǎn)擊“增加配置”，系統(tǒng)出現(xiàn)以下頁(yè)面。文案大全合用文檔2）依次設(shè)置“對(duì)象名稱(chēng)”、“每周時(shí)段”和“每日時(shí)段”。3）最后點(diǎn)擊“提交設(shè)定”，完成對(duì)象設(shè)置。新增加的對(duì)象將顯示在時(shí)間對(duì)象列表中，以以下圖所示。4）對(duì)已經(jīng)增加的時(shí)間對(duì)象，可以點(diǎn)擊更正圖標(biāo)更正其屬性，也可以點(diǎn)擊刪除圖標(biāo)刪除該對(duì)象。4接見(jiàn)策略配置用戶(hù)可以經(jīng)過(guò)設(shè)置接見(jiàn)控制規(guī)則實(shí)現(xiàn)靈便、富強(qiáng)的三到七層的接見(jiàn)控制。系統(tǒng)不僅可以從地域、VLAN、地址、用戶(hù)、連接、時(shí)間等多個(gè)層面對(duì)數(shù)據(jù)報(bào)文進(jìn)行鑒識(shí)和般配，而且還可以針對(duì)多種應(yīng)用層協(xié)議進(jìn)行深度內(nèi)容檢

21、測(cè)和過(guò)濾。與報(bào)文阻斷策略相同，接見(jiàn)控制規(guī)則也是序次般配的，但與其不相同，接見(jiàn)控制規(guī)則沒(méi)有默認(rèn)規(guī)則。也就是說(shuō)，若是沒(méi)有在接見(jiàn)控制規(guī)則列表的尾端增加一條全部拒絕的規(guī)則的話(huà)，系統(tǒng)將依照目的接口所在地域的缺省屬性（贊同接見(jiàn)或禁止接見(jiàn)）辦理該報(bào)文。定義接見(jiàn)規(guī)則，操作步驟以下：1）選擇防火墻引擎接見(jiàn)控制，點(diǎn)擊“增加配置”，進(jìn)入接見(jiàn)控制規(guī)則定義界面。表中“ID”為每項(xiàng)規(guī)則的編號(hào)，在搬動(dòng)規(guī)則序次時(shí)將會(huì)使用?！翱刂啤敝械膱D標(biāo)和，分別表示該項(xiàng)規(guī)則可否啟用。文案大全合用文檔2）定義可否啟用該接見(jiàn)控制規(guī)則（默以為啟用該規(guī)則），以及接見(jiàn)權(quán)限。接見(jiàn)權(quán)限制義了可否贊同接見(jiàn)由規(guī)則源到規(guī)則目的所指定的服務(wù)。3）定義規(guī)則的源規(guī)則

22、的源既可以是一個(gè)已經(jīng)定義好的VLAN或地域，也可以細(xì)化到一個(gè)或多個(gè)地址對(duì)象以及用戶(hù)組對(duì)象，以以下圖所示。圖中“選擇源”右側(cè)的按鈕為正序排列和倒序排列，用戶(hù)可以方便的挨次查找項(xiàng)目。別的，用戶(hù)還可以選擇相應(yīng)的服務(wù)，即設(shè)置源端口，以以下圖所示。4）定義規(guī)則的目的規(guī)則的目的既可以是一個(gè)已經(jīng)定義好的VLAN或地域，也可以細(xì)化到一個(gè)或多個(gè)地址對(duì)象以及用戶(hù)組對(duì)象，以以下圖所示。文案大全合用文檔別的，用戶(hù)還可以設(shè)置進(jìn)行地址變換前的目的地址，以以下圖所示。5）定義服務(wù)選擇接見(jiàn)規(guī)則包括的服務(wù)，若是用戶(hù)需要擬定的服務(wù)沒(méi)有包括在服務(wù)列表中，可以經(jīng)過(guò)增加自定義服務(wù)增加所需服務(wù)。若是沒(méi)有選擇任何服務(wù)，則系統(tǒng)默以為選擇全部

23、服務(wù)。6）定義輔助選項(xiàng)各項(xiàng)參數(shù)說(shuō)明以下：文案大全合用文檔7）點(diǎn)擊“提交設(shè)定”完成該條接見(jiàn)控制規(guī)則的設(shè)定。8）用戶(hù)可以點(diǎn)擊“更正”按鈕，對(duì)現(xiàn)有規(guī)則進(jìn)行編寫(xiě)?？梢渣c(diǎn)擊“插入”按鈕，在現(xiàn)有規(guī)則間插入一條新規(guī)則。8）點(diǎn)擊“清空配置”，可以除去全部的接見(jiàn)控制規(guī)則，便于重新配置。9）需要更正規(guī)則的般配序次時(shí)點(diǎn)擊該規(guī)則右側(cè)“搬動(dòng)”按鈕，以以下圖所示。用戶(hù)可以選擇相應(yīng)ID、地址，搬動(dòng)策略。完成后點(diǎn)擊“提交設(shè)定”保存或“取消返回”放棄搬動(dòng)。5高可用性配置配置網(wǎng)絡(luò)衛(wèi)士防火墻雙機(jī)熱備的步驟以下：1）選擇系統(tǒng)高可用性，進(jìn)入高可用性設(shè)置頁(yè)面，以以下圖所示。2）設(shè)置主/從設(shè)備參數(shù)，參數(shù)說(shuō)明請(qǐng)拜會(huì)下表。文案大全合用文檔3）

24、點(diǎn)擊“提交設(shè)定”，完成雙機(jī)熱備設(shè)置。文案大全合用文檔四、透明模式配置示例拓補(bǔ)結(jié)構(gòu)：1用串口管理方式進(jìn)入命令行用WINDOWS自帶的超級(jí)終端也許SecureCRT軟件，使用9600的速率，用串口線(xiàn)連接到防火墻，用戶(hù)名是superman，密碼是talent。(詳細(xì)方法見(jiàn)第一節(jié))，下面是詳細(xì)配置，加粗顯示的為命令行。2配置接口屬性將ETH0口配置為交換模式：networkinterfaceeth0switchport配置ETH0口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth0ha-metric100將ETH1口配置為交換模式：networkinterfaceeth

25、1switchport配置ETH1口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth1ha-metric100配置ETH2口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth2ha-metric100將沒(méi)有使用的ETH2口關(guān)閉：networkinterfaceeth2shutdown配置同步接口ETH3的IP地址和HA標(biāo)記：networkinterfaceeth3ipaddmaskha-staticlabel0配置ETH3口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth3ha-metric1003配

26、置VLAN增加VLAN1：networkvlanaddid1為VLAN1增加IP地址：networkinterfacevlan.0001ipaddmasklabel04配置地域?qū)傩詫⒌赜蛉笔〗右?jiàn)權(quán)限為禁止defineareaaddnamearea_eth0attributeeth0accessoffdefineareaaddnamearea_eth1attributeeth1accessoff5定義對(duì)象定義主機(jī)地址對(duì)象definehostaddnameipaddrmacaddr00:19:21:50:15:1fdefinehostaddnameipaddr定義時(shí)間對(duì)象文案大全合用文檔defin

27、escheduleaddname上班時(shí)間week12345start08:00end18:006增加系統(tǒng)權(quán)限為ETH0口增加TELNET權(quán)限pfserviceaddnametelnetareaarea_eth0addressnameany7配置接見(jiàn)策略贊同在上班時(shí)間接見(jiàn)的PINGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminal這些服務(wù)：firewallpolicyaddactionacceptsrcareaarea_eth0dstareaarea_eth1srcdstserviceP

28、INGFTPSSHTELNETSMTPDNS_QueryTFTPHTTPPOP3NETBIOS-SSN(TCP)MICROSOFT-DS(TCP)MSTerminalschedule上班時(shí)間8配置雙機(jī)熱備配置本機(jī)同步IPhalocal配置對(duì)端機(jī)器同步IPhapeer啟動(dòng)雙機(jī)熱備功能haenable注：配置好一臺(tái)防火墻后，我們要配置另一臺(tái)熱備的防火墻，其配置基本上與致，唯一不相同的只有兩個(gè)地方，一個(gè)是同步接口ETH3的IP地址為；另一個(gè)是雙機(jī)熱備配置中的本機(jī)同步IP和對(duì)端機(jī)器同步IP相反，本機(jī)IP為，對(duì)端機(jī)器IP為，完成配置此后，我們先接好心跳線(xiàn)，將兩臺(tái)防火墻的ETH3口連接，爾后接上其他接口的

29、網(wǎng)線(xiàn)，到此透明模式的雙機(jī)熱備配置完成。文案大全合用文檔五、路由模式配置示例拓補(bǔ)結(jié)構(gòu)：1用串口管理方式進(jìn)入命令行方法同上面的透明模式。2配置接口屬性配置ETH0口的IP地址：networkinterfaceeth0ipaddmasklabel0配置ETH0口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth0ha-metric100配置ETH1口的IP地址：networkinterfaceeth1ipaddmasklabel0配置ETH1口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：networkinterfaceeth1ha-metric100配置ETH2口的METRIC值，用于計(jì)算雙機(jī)熱備的權(quán)值：netw