天融信版本防火墙常用功能配置手册v.doc

《天融信版本防火墙常用功能配置手册v.doc》由会员分享，可在线阅读，更多相关《天融信版本防火墙常用功能配置手册v.doc（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、. .天融信3.3版本防火墙常用功能配置手册天融信XX分公司2008年5月目录一、前言3二、天融信3.3版本防火墙配置概述3三、天融信防火墙一些根本概念4四、防火墙管理4五、防火墙配置61防火墙路由模式案例配置61、防火墙接口IP地址配置72、区域和缺省访问权限配置83、防火墙管理权限设置定义希望从哪个区域管理防火墙94、路由表配置105、定义对象包括地址对象、效劳对象、时间对象116、地址转换策略147、制定访问控制策略268、配置保存319、配置文件备份312防火墙透明模式案例配置321、防火墙接口IP配置332、区域和缺省访问权限配置353、防火墙管理权限设置定义希望从哪个区域管理防火墙

2、354、路由表配置365、定义对象包括地址对象、效劳对象、时间对象376、制定访问控制策略417、配置保存468、配置文件备份46一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙在本安装手册中简称为“天融信防火墙时，可以通过此安装手册完成对天融信防火墙根本功能的实现和应用。二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络平安设备，可以支持各种复杂网络环境中的网络平安应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进展配置和管理。1、根据网络环境考虑防火墙部署

3、模式路由模式、透明模式、混合模式，根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象地址对象、效劳对象、时间对象7、制定地址转换策略包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份J 提示：每次修改配置前，建议首先备份防火墙再修改配置，防止防火墙配置不当造成网络长时间中断。三、天融信防火墙一些根本概念接口：和防火墙的物理端口一一对应，如Eth0、Eth1 等。区域：可以把区域看作是一段具有相似平安属性的网

4、络空间。在区域的划分上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进展分析，并根据网络设备，如主机、效劳器等所需要的平安保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、效劳器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进展配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象本身的属性即可，而无需修改所有涉及到这个对象的策略或规那么。防火墙中，用户可定义的对象类型包括：区域、地址、地址组、效

5、劳、效劳组、以及时间等。J 提示：对象名称不允许出现的特殊字符：空格、“、“、“、“/、“;、“、“$、“&、“、“#、“+。J 提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理防火墙缺省管理接口为eth0口，管理地址为192.168.1.254，缺省登录管理员XX：用户名superman，口令talent。防火墙出厂配置如下：防火墙支持以下管理方式：串口(console)管理方式：超级终端参数设置波特率9600。输入helpmode chinese命令可以看到中文化菜单。WEBUI管理方式 s协议：在输入URL时要注意以“ s:/作为协议类型，例如 s:/192.1

6、68.1.254,推荐使用IE 浏览器进展登录管理。在浏览器输入： S:/192.168.1.254，看到以下提示，选择“是TELNET管理方式：模拟console管理方式SSH管理方式：模拟console管理方式J 提示：要想通过TELNET、SSH方式管理防火墙，必须首先翻开防火墙的效劳端口，系统默认翻开“ 方式。在“系统管理“配置 “开放效劳中选择“启动即可，并且在开放效劳里面相关接口区域添加 TELNET、SSH方式等管理方式即可。五、防火墙配置1防火墙路由模式案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然

7、后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根据区域规划配置IP 地址。配置需求：1、 内网客户机可以访问互联网2、 外网仅可以访问WEB效劳器 应用，制止其他访问3、 外网制止访问内网拓扑图如下：1、防火墙接口IP地址配置进入防火墙管理界面，点击网络管理“接口 物理接口“，依次点击每个接口的“设置按钮可以添加每个接口的描述和接口IP地址。2、区域和缺省访问权限配置在“资产管理“区域中定义防火墙区域接入一样平安等级的网络接口的组合为一个区域，点击“添加。权限选择为“制止访问，即访问该区域缺省权限为制止访问。依次创立假设干区域添加ETH0接口为“内

8、网区域； ETH1接口为“外网区域；添加ETH2接口为“效劳器区域；J 提示：有几个平安等级就需要创立几个区域，即如果网络之间需要配置访问规那么，那就需要配置不同的区域。3、防火墙管理权限设置定义希望从哪个区域管理防火墙J 默认只能从ETH0接口对防火墙进展管理“内网区域添加对防火墙的管理权限当然也可以对“外网区域添加，点击“系统管理“配置“开放效劳，点击添加，常用效劳有WEBUI(即WEB管理)、ping、Telnet等请根据管理需要添加相应管理效劳4、路由表配置添加静态路由，在“网络管理 “路由“静态路由，点击添加J 添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，

9、其他选项为空。J 如果防火墙和客户端之间有三层设备比方三层交换机或者路由器，请注意添加相应静态路由。5、定义对象包括地址对象、效劳对象、时间对象J 提示：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击资源管理“地址“主机，点击右上角“添加配置添加地址X围点击资源管理“地址“X围，点击右上角“添加配置添加子网点击资源管理“地址“子网，点击右上角“添加配置添加地址组点击资源管理“地址“地址组，点击右上角“添加配置定义效劳对象防火墙内置一些标准效劳端口，但有时用户的系统没有使用某些效劳的标准端口，用户在端口引用时，需要我们通过

10、自定义方式加以定义。点击 “资源管理“效劳“自定义效劳，点击“添加，可以添加单个端口或X围 。注意单个端口只填起始端口 定义时间对象点击“资源管理“时间，点击“添加，可以设置单次和屡次6、地址转换策略内网可以访问互联网，需要配置源转换在“防火墙 “地址转换，点击“添加选择“源转换，点击“高级，源选择源区域“内网，目的选择目的区域“外网，源转换为Eth1接口即转换为Eth1接口IP地址或者转换111.111.111.230主机地址。J 如果需要源地址转换为一段地址，那么首先需要创立一段地址X围，且该地址X围不能设置排除IP地址。Web效劳器发布，需要配置目的转换首先需要添加Web效劳器地址对象1

11、0.1.1.1，效劳器真实地址、外网访问的地址对象111.111.111.230，合法地址，具体配置见定义对象章节。J 目的转换有两种方式：地址转换、端口转换。地址转换：从一个IP 地址到另一个IP 地址的映射。平安网关设备将到达映射地址合法IP的所有信息流中的目标IP 地址转换成主机IP 地址即效劳器真实地址。地址转换建议在映射地址资源充裕时、效劳器使用端口较多且端口不连续、效劳器端口不是固定端口时使用。端口转换：从一个IP 地址到基于目标端口号的多个IP 地址的映射，即单个IP 地址可以托管从假设干效劳( 使用不同的目标端口号标识) 到同样多主机的映射。端口转换建议在映射地址资源短缺且效劳

12、器端口为固定端口时使用。8 配置Web效劳器映射有两种方式：端口转换在“防火墙 “地址转换，点击“添加选择“目的转换，点击“高级，源选择源区域“外网，目的选择“外网访问的地址对象111.111.111.230，效劳选择“ 效劳，目的地址转换为选择“Web效劳器地址对象10.1.1.1，即效劳器真实地址，目的端口转换为“ 效劳。地址映射在“防火墙 “地址转换，点击“添加选择“目的转换，点击“高级，源选择源区域“外网，目的选择“外网访问的地址对象111.111.111.230，目的地址转换为选择“Web效劳器地址对象10.1.1.1，即效劳器真实地址。第一条为内网访问外网做源转换；第二条为外网访问

13、WEB效劳器的映射地址，防火墙把包转发给效劳器的真实IP。J 地址转换需要注意的问题：1、天融信防火墙先匹配目的转换规那么，再对其他的地址转换规那么按照从上往下的顺序进展匹配，在目的转换规那么中也是按照排列顺序进展匹配。在匹配过程中，一旦存在一条匹配的地址转换规那么，防火墙将停顿检索，并按所定义的规那么处理数据包，所以规那么的类型和先后顺序决定了数据包的处理方式，目的NAT 规那么要优先于其他NAT规那么。2、如果内网用户需要通过效劳器映射地址访问web效劳器时，还需针对内网添加地址转换。如案例如果内网需要访问111.111.111.230合法地址来访问web效劳器需要单独添加地址转换。下面以

14、端口转换为例，地址转换请参照外网访问web效劳器。在“防火墙 “地址转换，点击“添加选择“双向转换，点击“高级，源选择源区域“内网，目的选择“外网访问的地址对象111.111.111.230，效劳选择“ 效劳，目的端口转换为“ 效劳。源地址转为选择“外网访问的地址对象111.111.111.230，目的地址转换为选择“Web效劳器地址对象10.1.1.1，即效劳器真实地址，目的转换为选择“ 效劳“。7、制定访问控制策略在“防火墙 “访问控制，点击“添加第一条规那么定义内网可以访问外网在“防火墙 “访问控制，点击“添加选择“源，点击“高级，源选择源区域“内网，目的选择目的区域“外网 , 点击“高

15、级, 动作“允许默认选项。第二条规那么定义外网可以访问效劳器的对外发布的应用端口，只能访问效劳器 应用。在“防火墙 “访问控制，点击“添加选择“源，点击“高级，源选择源区域“内网、外网， 目的选择“Web效劳器地址对象10.1.1.1，即效劳器真实地址, 效劳选择 效劳，动作“允许默认选项。第一条规那么定义内网可以访问外网。源选择“外网；目的可以选择目的区域“外网，动作“允许默认选项。第二条规那么定义外网可以访问效劳器的对外发布的应用端口，只能访问效劳器 应用。源选择“内网、外网，目的选择效劳器真实的IP地址10.1.1.1，效劳选择“ 效劳。J 访问规那么需要注意的问题：访问控制规那么描述了

16、天融信防火墙允许或制止匹配访问控制规那么的报文通过。防火墙接收到报文后，将顺序匹配访问控制规那么表中所设定规那么。一旦寻找到匹配的规那么，那么按照该策略所规定的操作允许或丢弃处理该报文，不再进展区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性允许访问或制止访问，处理该报文。区域属性设置请参见“3、区域和缺省访问权限配置。1、规那么作用有顺序 2、访问控制列表遵循第一匹配规那么 3、规那么的一致性和逻辑性8、配置保存点击管理界面右上角“保存配置J 配置完成后，配置立即生效，但是一定要保存配置，否那么设备断电或重新启动后未保存配置将丧失。保存的配置将作为

17、下次设备启动配置。9、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理“维护“配置维护，选择“保存配置J 提示：每次修改配置前，建议首先备份防火墙再修改配置，防止防火墙配置不当造成网络长时间中断。2防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，天融信防火墙可以在设置了IP 的VLAN 之间进展路由转发。配置需求：1、 内网客户机可以访问互联网2、 外网仅可以访问WEB效劳器 应用，制止其他访问3、 外网制止访问内网拓扑图如下：1、防火

18、墙接口IP配置定义一个VLAN(本案例创立VLAN 1)，点击“网络管理“二层网络“VLAN“添加/删除VLANX围。设置VLAN 1接口IP地址及子网掩码。分别把ETH0、ETH1、ETH2接口参加到VLAN 1中，点击网络管理“接口 物理接口“，依次点击接口的“设置按钮可以把接口参加到VLAN 1中。2、区域和缺省访问权限配置在“资产管理“区域中定义防火墙区域接入一样平安等级的网络接口的组合为一个区域，点击“添加。权限选择为“制止访问，即访问该区域缺省权限为制止访问。依次创立假设干区域添加ETH0接口为“内网区域； ETH1接口为“外网区域；添加ETH2接口为“效劳器区域；J 提示：有几个

19、平安等级就需要创立几个区域，即如果网络之间需要配置访问规那么，那就需要配置不同的区域。3、防火墙管理权限设置定义希望从哪个区域管理防火墙J 默认只能从ETH0接口对防火墙进展管理“内网区域添加对防火墙的管理权限当然也可以对“外网区域添加，点击“系统管理“配置“开放效劳，点击添加，常用效劳有WEBUI(即WEB管理)、ping、Telnet等请根据管理需要添加相应管理效劳4、路由表配置J 如果防火墙和客户端之间有三层设备比方三层交换机或者路由器，非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参与防火墙管理，与数据通信无关。如果不需要跨网段管理防火墙，无需设置路由表。添加

20、静态路由，在“网络管理 “路由“静态路由，点击添加J 添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。5、定义对象包括地址对象、效劳对象、时间对象J 提示：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击资源管理“地址“主机，点击右上角“添加配置添加地址X围点击资源管理“地址“X围，点击右上角“添加配置添加子网点击资源管理“地址“子网，点击右上角“添加配置添加地址组点击资源管理“地址“地址组，点击右上角“添加配置定义效劳对象防火墙内置一些标准效劳端口，但有时用户的系统没有使用某些效劳的

21、标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击 “资源管理“效劳“自定义效劳，点击“添加，可以添加单个端口或X围 。注意单个端口只填起始端口 定义时间对象点击“资源管理“时间，点击“添加，可以设置单次和屡次6、制定访问控制策略在“防火墙 “访问控制，点击“添加第一条规那么定义内网可以访问外网在“防火墙 “访问控制，点击“添加选择“源，点击“高级，源选择源区域“内网，目的选择目的区域“外网 , 点击“高级, 动作“允许默认选项。第二条规那么定义外网可以访问效劳器的对外发布的应用端口，只能访问效劳器 应用。在“防火墙 “访问控制，点击“添加选择“源，点击“高级，源选择源区域“内网

22、、外网， 目的选择“Web效劳器地址对象111.111.111.1，即效劳器真实地址, 效劳选择 效劳，动作“允许默认选项。第一条规那么定义内网可以访问外网。源选择“外网；目的可以选择目的区域“外网，动作“允许默认选项。第二条规那么定义外网可以访问效劳器的对外发布的应用端口，只能访问效劳器 应用。源选择“内网、外网，目的选择效劳器真实的IP地址111.111.111.1，效劳选择“ 效劳。J 访问规那么需要注意的问题：访问控制规那么描述了天融信防火墙允许或制止匹配访问控制规那么的报文通过。防火墙接收到报文后，将顺序匹配访问控制规那么表中所设定规那么。一旦寻找到匹配的规那么，那么按照该策略所规定

23、的操作允许或丢弃处理该报文，不再进展区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性允许访问或制止访问，处理该报文。区域属性设置请参见“3、区域和缺省访问权限配置。1、规那么作用有顺序 2、访问控制列表遵循第一匹配规那么 3、规那么的一致性和逻辑性7、配置保存点击管理界面右上角“保存配置J 配置完成后，配置立即生效，但是一定要保存配置，否那么设备断电或重新启动后未保存配置将丧失。保存的配置将作为下次设备启动配置。8、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理“维护“配置维护，选择“保存配置J 提示：每次修改配置前，建议首先备份防火墙再修改配置，防止防火墙配置不当造成网络长时间中断。. .word.zl.