天融信版本防火墙常用功能配置手册模版.docx

《天融信版本防火墙常用功能配置手册模版.docx》由会员分享，可在线阅读，更多相关《天融信版本防火墙常用功能配置手册模版.docx（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、天融信版本防火墙常用功能配置手册北京天融信南京分公司2022 年 5 月名目一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火 墙在本安装手册中简称为“天融信防火墙”时，可以通过此安装手册完成对天融信防火墙根本功能的实现和应用。二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种简单网络环境中的网络安全应用需求。 在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划状况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步骤对天融信防火墙进展配置和治理。1、依据网络环境考虑防火墙部署模式路由模式、透亮模式、混合模式， 依据确定好的防火墙

2、的工作模式给防火墙分协作理的IP地址。2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙治理权限配置5、路由表配置6、定义对象地址对象、效劳对象、时间对象7、制定地址转换策略包括四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换8、制定访问掌握策略9、其他特别应用配置10、配置保存11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避开防火墙配置不当造成网络长时间中断。三、天融信防火墙一些根本概念接口：和防火墙的物理端口一一对应，如 Eth0、Eth1 等。区域：可以把区域看作是一段具有相像安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一对

3、应的，也就是说一个区域可以包括多个接口。在安装防火墙前，首先要对整个受控网络进展分析，并依据网络设备，如主机、效劳器等所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问掌握策略、地址转换策略、效劳器负载均衡策略、认证治理等。可以说，定义各种类型的对象是治理员在对防火墙进展配置前首先要做的工作之一。对象概念的使用大大简化了治理员对防火墙的治理工作。当某个对象的属性发生变化时，治理员只需要修改对象本身的属性即可，而无需修改全部涉及到这个对象的策略或规章。防火墙中， 用户可定义的对象类型包括：区域、地址、地址组、效劳、效劳组、以准时间等。J提示：对象名称不允许消灭的特

4、别字符：空格、“”、“”、“”、“/”、“;”、“”、“$”、“&”、“”、“#”、“+”。J提示：防火墙全部需要引用对象的配置，请先定义对象，才能引用。四、防火墙治理防火墙缺省治理接口为 eth0 口，治理地址为，缺省登录治理员帐号：用户名 superman，口令 talent。防火墙出厂配置如下：防火墙支持以下治理方式：串口(console)治理方式：超级终端参数设置波特率 9600。输入 helpmode chinese 命令可以看到中文化菜单。WEBUI 治理方式 s 协议：在输入 URL 时要留意以“，例如推举使用 IE 扫瞄器进展登录治理。在扫瞄器输入：，看到以下提示，选择“是”T

5、ELNET 治理方式：模拟 console 治理方式SSH 治理方式：模拟 console 治理方式提示：要想通过 TELNET、SSH 方式治理防火墙，必需首先翻开防火墙的效劳端口，系统默认翻开“ ”方式。在“系统治理”“配置” “开放效劳”中选择“启动”即可，并且在开放效劳里面相关接口区域添加 TELNET、SSH 方式等治理方式即可。五、防火墙配置（1） 防火墙路由模式案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数据包的源 MAC 地址替换为相应接口的 MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的状况。和路由器一样，天融信防火墙的每个接口均要

6、依据区域规划配置 IP 地址。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问 WEB 效劳器 应用，制止其他访问3、外网制止访问内网拓扑图如下：1、防火墙接口 IP 地址配置进入防火墙治理界面，点击”网络治理“接口” ”物理接口“，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。2、区域和缺省访问权限配置在“资产治理”“区域”中定义防火墙区域接入一样安全等级的网络接口的组合为一个区域，点击“添加”。权限选择为“制止访问”，即访问该区 域缺省权限为制止访问。依次创立假设干区域添加ETH0接口为“内网”区域； ETH1接口为“外网” 区域；添加ETH2接口为“效劳器”

7、区域；提示：有几个安全等级就需要创立几个区域，即假设网络之间需要配置访问规章，那就需要配置不同的区域。3、防火墙治理权限设置定义期望从哪个区域治理防火墙默认只能从ETH0接口对防火墙进展治理 “内网”区域添加对防火墙的治理权限固然也可以对“外网”区域添加，点击“系统治理”“配置”“开放效劳”，点击添加，常用效劳有WEBUI(即 WEB治理)、ping、Telnet等请依据治理需要添加相应治理效劳4、路由表配置添加静态路由，在“网络治理” “路由”“静态路由”，点击添加J添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。J假设防火墙和客户端之间有三层设备比方三

8、层交换机或者路由器，请留意添加相应静态路由。5、定义对象包括地址对象、效劳对象、时间对象提示：防火墙全部需要引用对象(如地址转换策略、访问掌握策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源治理“地址”“主机”，点击右上角“添加配置”添加地址范围点击”资源治理“地址”“范围”，点击右上角“添加配置”添加子网点击”资源治理“地址”“子网”，点击右上角“添加配置”添加地址组点击”资源治理“地址”“地址组”，点击右上角“添加配置”定义效劳对象防火墙内置一些标准效劳端口，但有时用户的系统没有使用某些效劳的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击 “

9、资源治理”“效劳”“自定义效劳”，点击“添加”，可以添加单个端口或范围 。留意单个端口只填起始端口定义时间对象点击“资源治理”“时间”，点击“添加”，可以设置单次和屡次6、地址转换策略内网可以访问互联网，需要配置源转换在“防火墙” “地址转换”，点击 “添加”选择“源转换”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网”，源转换为Eth1接口即转换为Eth1接口IP地址或者转换主机地址。假设需要源地址转换为一段地址，则首先需要创立一段地址范围，且该地址范围不能设置排解IP地址。Web 效劳器公布，需要配置目的转换首先需要添加Web效劳器地址对象 10.1.1.1，效劳器真实地址、

10、外网访问的地址对象，合法地址，具体配置见定义对象章节。J 目的转换有两种方式：地址转换、端口转换。地址转换：从一个 IP 地址到另一个 IP 地址的映射。安全网关设备将到达映射地址合法IP的全部信息流中的目标IP 地址转换成主机 IP 地址即效劳器真实地址。地址转换建议在映射地址资源充裕时、效劳器使用端口较多且 端口不连续、效劳器端口不是固定端口时使用。端口转换：从一个 IP 地址到基于目标端口号的多个IP 地址的映射，即单个 IP 地址可以托管从假设干效劳 ( 使用不同的目标端口号标识) 到同样多主机的映射。端口转换建议在映射地址资源短缺且效劳器端口为固定端口时使用。8 配置Web效劳器映射

11、有两种方式：端口转换在“防火墙” “地址转换”，点击 “添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象”，效劳选择“ ”效劳，目的地址转换为选择“Web 效劳器地址对象10.1.1.1，即效劳器真实地址”，目的端口转换为“ ” 效劳。地址映射在“防火墙” “地址转换”，点击 “添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象”，目的地址转换为选择“Web效劳器地址对象10.1.1.1， 即效劳器真实地址”。第一条为内网访问外网做源转换；其次条为外网访问WEB效劳器的映射地址，防火墙把包转发给效劳器的真实 IP。地

12、址转换需要留意的问题：1、天融信防火墙先匹配目的转换规章，再对其他的地址转换规章依据从上往下的挨次进展匹配，在目的转换规章中也是依据排列挨次进展匹配。在匹配过程中，一旦存在一条匹配的地址转换规章，防火墙将停顿检索，并按所定义的规章处理数据包，所以规章的类型和先后挨次打算了数据包的处理方式，目的NAT 规章要优先于其他NAT规章。2、假设内网用户需要通过效劳器映射地址访问web效劳器时，还需针对内网添加地址转换。如案例假设内网需要访问合法地址来访问web效劳器需要单独添加地址转换。下面以端口转换为例，地址转换请参照外网访问web效劳器。在“防火墙” “地址转换”，点击 “添加”选择“双向转换”，

13、点击“高级”，源选择源区域“内网”，目的选择“外 网访问的地址对象”，效劳选择“ ”效劳，目的端口转换为“ ”服 务。源地址转为选择“外网访问的地址对象”，目的地址转换为选择“Web 效劳器地址对象 10.1.1.1，即效劳器真实地址 ”，目的转换为选择“ 效劳“。7、制定访问掌握策略在“防火墙” “访问掌握”，点击 “添加”第一条规章定义内网可以访问外网在“防火墙” “访问掌握”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外 网” , 点击“高级”, 动作“允许”默认选项。其次条规章定义外网可以访问效劳器的对外公布的应用端口，只能访问效劳器 应用。在“防

14、火墙” “访问掌握”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网、外网”， 目的选择“Web 效劳器地址对象10.1.1.1，即效劳器真实地址”, 效劳选择” 效劳”，动作“允许”默认选项。第一条规章定义内网可以访问外网。源选择“外网”；目的可以选择目的区域“外网”，动作“允许”默认选项。其次条规章定义外网可以访问效劳器的对外公布的应用端口，只能访问效劳器 应用。源选择“内网、外网”，目的选择效劳器真实的IP地址10.1.1.1， 效劳选择“ ”效劳。访问规章需要留意的问题：访问掌握规章描述了天融信防火墙允许或制止匹配访问掌握规章的报文通 过。防火墙接收到报文后，将挨次匹配访问

15、掌握规章表中所设定规章。一旦查找到匹配的规章，则依据该策略所规定的操作允许或丢弃处理该报文，不再进展区域缺省属性的检查。假设不存在可匹配的访问策略，天融信防火墙将依据目的接口所在区域的缺省属性允许访问或制止访问，处理该报文。区域属性设置请参见 “3、区域和缺省访问权限配置”。1、规章作用有挨次2、访问掌握列表遵循第一匹配规章3、规章的全都性和规律性8、配置保存点击治理界面右上角“保存配置”配置完成后，配置马上生效，但是肯定要保存配置，否则设备断电或重启动后未保存配置将丧失。保存的配置将作为下次设备启动配置。9、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统治理”“维护”“配

16、置维护”，选择“保存配置”提示：每次修改配置前，建议首先备份防火墙再修改配置，避开防火墙配置不当造成网络长时间中断。（2） 防火墙透亮模式案例配置在透亮模式下，天融信防火墙的全部接口均作为交换接口工作。也就是说， 对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，天融信防火墙可以在设置了IP 的VLAN 之间进展路由转发。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问 WEB 效劳器 应用，制止其他访问3、外网制止访问内网拓扑图如下：1、防火墙接口 IP 配置 定义一个 VLAN(本案例创立 VLAN 1) ，点击 “网络治理” “二层

17、网络”“VLAN”“添加/删除VLAN范围”。设置VLAN 1接口IP地址及子网掩码。分别把ETH0、ETH1、ETH2接口参加到VLAN 1中，点击”网络治理“接口” ”物理接口“，依次点击接口的“设置”按钮可以把接口参加到VLAN 1 中。2、区域和缺省访问权限配置在“资产治理”“区域”中定义防火墙区域接入一样安全等级的网络接口的组合为一个区域，点击“添加”。权限选择为“制止访问”，即访问该区 域缺省权限为制止访问。依次创立假设干区域添加ETH0接口为“内网”区域； ETH1接口为“外网” 区域；添加ETH2接口为“效劳器”区域；J提示：有几个安全等级就需要创立几个区域，即假设网络之间需要

18、配置访问规章，那就需要配置不同的区域。3、防火墙治理权限设置定义期望从哪个区域治理防火墙J默认只能从ETH0接口对防火墙进展治理 “内网”区域添加对防火墙的治理权限固然也可以对“外网”区域添加，点击“系统治理”“配置”“开放效劳”，点击添加，常用效劳有WEBUI(即 WEB治理)、ping、Telnet等请依据治理需要添加相应治理效劳4、路由表配置假设防火墙和客户端之间有三层设备比方三层交换机或者路由器， 非VLAN接口地址网段需要治理防火墙时，请留意添加相应静态路由。该路由只参与防火墙治理，与数据通信无关。假设不需要跨网段治理防火墙，无需设置路由表。添加静态路由，在“网络治理” “路由”“静

19、态路由”，点击添加J添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。5、定义对象包括地址对象、效劳对象、时间对象J提示：防火墙全部需要引用对象(如地址转换策略、访问掌握策略等)的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源治理“地址”“主机”，点击右上角“添加配置”添加地址范围点击”资源治理“地址”“范围”，点击右上角“添加配置”添加子网点击”资源治理“地址”“子网”，点击右上角“添加配置”添加地址组点击”资源治理“地址”“地址组”，点击右上角“添加配置”定义效劳对象防火墙内置一些标准效劳端口，但有时用户的系统没有使用某些效劳的标准

20、端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击 “资源治理”“效劳”“自定义效劳”，点击“添加”，可以添加单个端口或范围 。留意单个端口只填起始端口定义时间对象点击“资源治理”“时间”，点击“添加”，可以设置单次和屡次6、制定访问掌握策略在“防火墙” “访问掌握”，点击 “添加”第一条规章定义内网可以访问外网在“防火墙” “访问掌握”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外 网” , 点击“高级”, 动作“允许”默认选项。其次条规章定义外网可以访问效劳器的对外公布的应用端口，只能访问效劳器 应用。在“防火墙” “访问掌握”，点击 “添加

21、”选择“源”，点击“高级”，源选择源区域“内网、外网”， 目的选择“Web 效劳器地址对象，即效劳器真实地址”, 效劳选择” 效劳”，动作“允许”默认选项。第一条规章定义内网可以访问外网。源选择“外网”；目的可以选择目的区域“外网”，动作“允许”默认选项。其次条规章定义外网可以访问效劳器的对外公布的应用端口，只能访问效劳器 应用。源选择“内网、外网”，目的选择效劳器真实的IP地址，效劳选择“ ”效劳。J访问规章需要留意的问题：访问掌握规章描述了天融信防火墙允许或制止匹配访问掌握规章的报文通 过。防火墙接收到报文后，将挨次匹配访问掌握规章表中所设定规章。一旦查找到匹配的规章，则依据该策略所规定的

22、操作允许或丢弃处理该报文，不再进展区域缺省属性的检查。假设不存在可匹配的访问策略，天融信防火墙将依据目的接口所在区域的缺省属性允许访问或制止访问，处理该报文。区域属性设置请参见 “3、区域和缺省访问权限配置”。1、规章作用有挨次2、访问掌握列表遵循第一匹配规章3、规章的全都性和规律性7、配置保存点击治理界面右上角“保存配置”J配置完成后，配置马上生效，但是肯定要保存配置，否则设备断电或重启动后未保存配置将丧失。保存的配置将作为下次设备启动配置。8、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统治理”“维护”“配置维护”，选择“保存配置”提示：每次修改配置前，建议首先备份防火墙再修改配置，避开防火墙配置不当造成网络长时间中断。