天融信防火墙NGFW4000快速配置手册
一、防火墙的几种管理方式
1.串口管理
第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙:
1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的 CONSOLE 口。
2)选择 开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。
4)设置 com1 口的属性,按照以下参数进行设置。
参数名称 | 取值 |
每秒位数: | 9600 |
数据位: | 8 |
奇偶校验: | 无 |
停止位: | 1 |
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火
墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理
TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:
1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限
2)在串口下用“system telnetd start” 命令启动TELNET管理服务
3)知道管理IP地址,或者用“network interface eth0 ip add mask 命令添加管理IP地址
4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 最后输入用户名和密码进行管理命令行如图:
3.SSH管理
SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:
1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限
2)在串口下用“system sshd start” 命令启动TELNET管理服务
3)知道管理IP地址,或者用“network interface eth0 ip add mask 命令添加管理IP地址
4)然后用各种命令行客户端(如putty命令行)管理:最后输入用户名和密码进行管理命令行如图:
4.WEB管理
1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
2)WEB管理服务缺省是启动的,如果没有启动,也可用“system httpd start”命令打开,管理员在管理主机的浏览器上输入防火墙的管理 URL,例如:
,弹出如下的登录页面。
输入用户名密码后(网络卫士防火墙默认出厂用户名/密码为:superman/talent),
点击“提交”,就可以进入管理页面。
5.GUI管理
GUI图形界面管理跟WEB界面一样,只是,在管理中心中集成了一些安全工具,如监控,抓包,跟踪等
1)安装管理中心软件
2)运行管理软件
3)右击树形“TOPSEC管理中心”添加管理IP
4)右击管理IP地址,选择“管理”,输入用户名和密码进行管理
5)也可右击管理IP地址,选择“安全工具”,进行实时监控
选择:安全工具-连接监控
点击启动,在弹出的窗口中增加过滤条件,可用缺省值监控所有连接。
选中增加的过滤条件,点设置就可以看到实时的监控效果了,如下图:
二、命令行常用配置
(注:用串口、TELNET、SSH方式进入到命令行管理界面,天融信防火墙命令行管理可以完成所有图形界面管理功能,命令行支持TAB键补齐和TAB键帮助,命令支持多级操作,可以在系统级,也就是第一级直接输入完整的命令;也可以进入相应的功能组件级,输入对应组件命令。具体分级如下表:)
系统级
系统级为第一级,提供设备的基本管理命令。CLI管理员登录后,直接进入该级,显示为:TopsecOS#。
组件级
组件级为第二级,提供每个安全组件(SE)所独有的管理命令。
在系统级下,TopsecOS #<tab> 按 tab键,则显示出安全组件级命令见下表。
类别 | 关键字内容 | 说明 |
一级命令名 | system | 系统管理目录 |
network | 网络设置 | |
Ha | 高可用性设置 | |
define | 网络对象定义 | |
debug | 调试 | |
log | 日志设置 | |
authentication | 认证设置 | |
Snmp | 简单网络管理协议配置 | |
pf | 包过滤规则设置 | |
dpi | 深度报文检测策略定义 | |
firewall | 防火墙规则设置 | |
nat | 地址转换策略配置 | |
Vpn | 虚拟私有网隧道配置与操作 | |
IDS | ssh命令指定端口入侵监测配置 | |
Qos | 带宽控制配置 | |
AVSE | 防病毒安全引擎管理设置 | |
save | 保存配置 | |
Show_running | 查看运行时配之信息 | |
Show | 查看配置 | |
helpmode | 帮助模式设定 | |
exit | 退出系统 | |
1.系统管理命令(SYSTEM)
在命令行下一般用SYSTEM命令来管理和查看系统配置:
命令 | 功能 | WEBUI界面操作位置 | |
二级命令名 | Version | 系统版本信息 | 系统>基本信息 |
information | 当前设备状态信息 | 系统>运行状态 | |
time | 系统时钟管理 | 系统>系统时间 | |
config | 系统配置管理 | 管理器工具栏“保存设定”按钮 | |
reboot | 重新启动 | 系统>系统重启 | |
sshd | SSH服务管理命令 | 系统>系统服务 | |
telnetd | TELNET服务管理 | 系统>系统服务命令 | |
httpd | HTTP服务管理命 | 系统>系统服务令 | |
monitord | MONITOR | 服务管理命令无 | |
2.网络配置命令(NETWORK)
命令 | 功能 | WEBUI界面操作位置 |
interface | 防火墙接口管理 | 网络>物理接口 |
vlan | Vlan配置管理 | 网络>VLAN |
route | 路由表配置管理 | 网络>静态路由 |
Ping | 验证网络连接 | 无 |
3.双机热备命令(HA)
HA LOCAL <ipaddress> 设置 HA接口的本机地址
HA PEER <ipaddress> 设置 HA接口的对端地址
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论