天融信版本防火墙常用功能配置手册v.docxVIP

天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月 目录 一、前曰 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象） 7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换） 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。 三、天融信防火墙一些基本概念 接口：和防火墙的物理端口——对应，如Eth0、Eth1等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。 。提示：对象名称不允许出现的特殊字符：空格、“’”、〃”、“\”、“/”、“；”、“〃”、“$”、”、”、”、#”、+”。 。提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。 四、防火墙管理 防火墙缺省管理接口为eth0口，管理地址为，缺省登录管理员帐号：用户名superman，口令talent。 防火墙出厂配置如下： ■mmi火墙直i饵时使出nmnbkb 傍理用尸 的抑.员用户￡ ^upeiman 管押员拆妈 xalenx; 同一曾理员最多允许登景火湫次数晌一管理场景丈养SMffg IDifeOS 5 为锅t号光在的最.J、也拉麟也.:分之一 同一茯JW捉旧滂费管理地点最Jt莞录用尸数C管舞员? 空用超时 物理接口 EihOJELANH) IP：192.】槌.1.254 些他接口 ShuTiiom 曜务访何麴制 W53LT.；亍如.密眺〔峋| 充*来自改MH值浦＜日）上的 GUI管理|通过TO?SECg中心＞ AflFBEihO(j^LMI：nJ:的ft务iff求 SSH(3111：SSHii■ 龙曹来自EthO〈或UH口）上的膻普if拿 |F|■甄■回绯|J1志*酒进打柚｝ 小诙来自EthO（成LAN口）上的禺强请壤 PINntPING到网爵卫上防火增的检口IF地址或VUNjft接曰的1P地址｝其他Ut套 E：h0（或或「，1?丽Mi#京t 禁止 地址对蒙 地址段■忠 地址攻范IL ANV G.0.0.0-255.2s5.255.255 0点 1!点戴荆BMP1*址 日志H务繇开故的日志胺务哗# IP电谗.￡.貌 UDP的511端18 坤冲性＜HA＞ 钢 防火墙支持以下管理方式: 串口（console）管理方式：超级终端参数设置波特率9600。输入helpmodeChinese命令可以看到中文化菜单。 WEBUI管理方式（https协议）：在输入URL时要注意以“，例如推荐使用IE浏览器进行登录管理。 在浏览器输入：，看到下列提示，选择“是” ◎rheVcrldl 立仲CE｝。任）逐若口｝屿5心工旦也囱口也】带助t由1，Of??Jtnfit|离蛔在争麻兀-固a*-[□OO-曲位村httpfr^/iw.lES.L.254hgHl驻』68,1.254|宝全告抿 摩墨盈弊膂迎邕■■不当楂立云人立君牵更改.也溟中点主管卷丧拽*我巨投吕E或矣西任安全狂书前日期石理?至呈金延-h上的名聊无点『成善与站点名弥不皿3药是吾地参F I.心]II二苴jfc匚二1|董菅GE书-）| TELNET管理方式：模拟console管理方式 SSH管理方式：模拟