天融信版本防火墙常用功能配置手册v

《天融信版本防火墙常用功能配置手册v》由会员分享，可在线阅读，更多相关《天融信版本防火墙常用功能配置手册v（50页珍藏版）》请在装配图网上搜索。

1、天融信版本防火墙 常用功能配置手册北京天融信南京分公司2008年5月目录、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火 墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对 天融信防火墙基本功能的实现和应用。二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网 络安全应用需求。 在配置天融信防火墙之前我们通常需要先了解用户现有网络 的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步 骤对天融信防火墙进行配置和管理。1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据确定好

2、的防火墙的工作模式给防火墙分配合理的IP地址。2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转 换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙 配置不当造成网络长时间中断。三、天融信防火墙一些基本概念接口：和防火墙的物理端口一一对应，如 Eth0、Eth1 等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上，防火墙的

3、区域和接口并不是一一对应的，也就是说一个区域可以包括多个接 口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主 机、服务器等所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转 换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管 理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管 理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对 象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中， 用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间

4、等。提示：对象名称不允许出现的特殊字符：空格“/”、“;”、“”、“$”、“&”、“”、“#”、“+”。 提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理防火墙缺省管理接口为 eth0 口，管理地址为，缺省登录管理员帐号：用户 名 superman，口令 t ale nt。防火墙出厂配置如下：MMMHKU时同円广以下St认配豐泮列用户贸押.员用卩也upeimanlatent网一管理员ft券允谍壹蚤尖殴次殖I&DifeOS5为勰号处许的用.、也據逖旳二好之一3芳钟M-jT茨服井笈餐理地点 最试畫录用户豪（普理凤L世U认饰樹理按口ExhQ 9 应 LAN 门）哄 192.

5、 ICS. 1.254体他搖口ShmiAam巖务访何輕制W ； .7 U附毎卿尻戈皺充髀来自Ethi） （iUNn）上的巖务请躱CUI 卜用，UK T0PSEC 艸中 1AflF B EihO t成LAN门）：的展徘iff求SSH，卯SSH噫程菱录脅割I .1 192rlKS. 1.263UDP 514玷町用牲（恥】防火墙支持以下管理方式：串口（console）管理方式：超级终端参数设置波特率9600。输入helpmodechinese 命令可以看到中文化菜单。WEBUI管理方式（https协议）：在输入URL时要注意以“，例如推荐使用IE 浏览器进行登录管理。在浏览器输入：，看到下列提示，选

6、择“是”Q rheVArld立冲住鎮世隹玄若閃贱电去仏工呂H宙口 也】帝出I帕!-&. “MMK.LNf 固 51*” O U地址 杓 httpK/im.l ES. L .254htTTWAl/L 66.1.254|TELNET管理方式：模拟console管理方式SSH 管理方式：模拟 console 管理方式提示：要想通过 TELNET、SSH 方式管理防火墙，必须首先打开防火墙的 服务端口，系统默认打开“HTTP”方式。在“系统管理”一“配置”一“开放 服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加 TELNET、 SSH方式等管理方式即可。五、防火墙配置（1）防火墙路由模式

7、案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数 据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个 区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根 据区域规划配置IP地址。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网拓扑图如下：Internety ；：；Wdj服务器10.1.1.1/24Ul.LUJ 11.254/14172.16.1.0/24 网段Ethl Dill J1L11E23W24 IP Eth2 接口血.254/24EttiD 接172.1

8、6.1.254/S4J霁户机1、防火墙接口 IP地址配置进入防火墙管理界面，点击”网络管理“接口” ”物理接口“，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口 IP地址。阳理接口 I子摇口*理橙口抿一西it=5iSi地址NTU幻両AthD得三172 IB. 1 254/255. 2E5.255. 0L500启用AU.1OeikttU-111 1L1. LIL 23Q/E55. 55 255. D1500Buteau.io叭12ii10. 1.1.ES4Z2EE.2S5.255.0L500ri用lauioku. ioEtK3閒由LEOO.amautoa.u. to士址;掩廷：/匚I

9、 h.43 liti c添加 |地址It岛眉件AFI际172.16. 1. 25425E.255.25E. 3恥直级居性口诵定 琅消基朮信耳【昂欽|叶宇袴或荀汁祝宇2、区域和缺省访问权限配置匡域在“资产管理”“区域”中定义防火墙区域（接入相同安全等级的网络接 口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区 域缺省权限为禁止访问。eth3A.ethOeth2_ethlethOAadsl彼选雇性确走 取消依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网” 区域；添加ETH2接口为“服务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需

10、要配置访问规则，那就需要配置不同的区域。名称綁走鹿注冋爹选1汪释踐改删區ethO禁止B外网eth禁止aeth2辛1卜n添加港空3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）默认只能从ETH 0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加）点击“系统管理”一“配置”一“开放服务”，点击添加，常用服务有WEBUI（即WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）系纸参数I开放服勞I时间:1VEBUI2内网any 范围服务称控制医域控制地址修改配置系编奉數I开放服芻I时间修改配置确定取消用j停止启动e t启动停止启幻Q | |

11、Ikl.hHT 般.备EITP跟芻NIF服第澤| 月躍名舟控制工叫拒和地址welui内网wyif eluianypinsnFlanyFing外网sny内网wy4、路由表配置添加静态路由，在“网络管理” “路由”“静态路由”，点击添加添加缺省路由时，目的地址和目的掩码都为0.0.0.0,网关为下一条地址,其他选项为空。静态路由I策昭埠由I爹播踣由I蠡加配萱1-65535*吏瓷说tt |牛吃醛tt |參雀血口 |靜烝當由克:Jh： ir sv 1訓网关掠记ria trie接口172.16. 1.254/32a. a. o.oKL1lo111 LL1 11L.2CC/CZa. a. o.oKL110

12、IT； IF 1 1a.o.o.oUC10ethO111 ILL .0/240.0. 0.0UC0etlilC.C.O. 3/3L11.111. 111.254UGS1etlil3 如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），请注意添加相应静态路由。5、定义对象（包括地址对象、服务对象、时间对象）提示：防火墙所有需要引用对象（如地址转换策略、访问控制策略等）的配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源管理“地址”“主机”，点击右上角“添加配置”名称：工P地址:主机IE性添加地址范围点击”资源管理“地址”“范围”，点击右上角“添加配置”主机I范围I子网

13、I世址组地址范围展性取消:啪疋=可输入舍亍:F地址用空格分幵添加子网点击”资源管理“地址”“子网”，点击右上角“添加配置”主机I范围I子阿I地址爼子网屋性可输AS-ti用空格分幵取消确定添加地址组点击”资源管理“地址”“地址组”，点击右上角“添加配置”主机I范围I子网I地址组it址组屋性名称：允许上网地址爼成员列表选择成员；已经选择；172.16.1.56 Jl172. 16. 1. 56any 范围172. 16. 1. 10-20172. 16. 1. 10-20 耙围-X确定 取消定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标 准端口，用户在端口引用时，需要

14、我们通过自定义方式加以定义。点击 “资源管理”“服务”“自定义服务”，点击“添加”，可以添加单个端口或范围 。注意单个端口只填起始端口焉统定义服各I目定义服各I服务迴服务属性类型：TCPv名称:TCF8888*端 口；施詞 -一单J端1_1或粕目，1-如灶起招-玮止；丄MF是尖型伯叶；单十话1_1只迫起姑端口诵走| 取消系纤宇女昭各I 口応殳聘善I昭搭纭虽务屋性冥型：BFvS 称：uirsojo loooD*辅 口 ； yLUU - luuuu|1-65535起贻-垮止；匸粧是奕型恒0Y ；旦T湍口只塩起昭喘-1确定 | 职希定义时间对象点击“资源管理”“时间”，点击“添加”，可以设置单次和多

15、次时间塑次I时间单次吋间屋性名称：上班时间*毎周时段：星期一回星期二回星期三0星期四0星期五H星期六口星期日口每日时段：开皓时间：曲；和水结束时间：17:30+6、地址转换策略 内网可以访问互联网，需要配置源转换在“防火墙” “地址转换”，点击 “添加”选择“源转换”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网”，源转换为Ethl接口（即转换为Ethl接口IP地址）或者转换主机地址。排序、-忌-權址转换挥JU已选源：172716? 1756 主叽 any 芮團172. 16. 1. 10-20 范阖 允许上阿地址组姐回高红迤择耳他类型的源己选源也：丟 ； 目的服务匚：目的蒔折

16、门或向转虺 匚不作转捱排序回$高级选弄其曲艾型的沥 选释潘咖:已选源VLMT选挥沥AEEa选ifSAREA :內网 外网 服务器园鄴茄帝口已谨潞帝口：TCP8888 (TCP: 8888)UDP9000-10OOO (ULP:900Q-10000)Echo(TC?) (TCP：7：Echo(UDP) (UDP:7；DiscardClCJJ ；T(JF:旳Discard(UDP) ITOPTDaytime(TCP) (TCP:13)Daytime(UDF) (UDF:13)NFTSrAT (TCP:F)Quotd(TCP) (TCP:17)Quotd(UIiF) (UDF: 17)匚h打汗MTD

17、 fTCP： K)濾地址转换対:|叵画红选择苴他捱型的目的已选目的VLM :已选目的：夕源转换C目的转换匚）玫向转换 O不诈转换源目的服勞选择目的：排序itWiei.囲主机any 范围H2. 16. 1. 1 卜20 范阖！ 允许上岡地址组俎 eih3 属性 eih2 属性 eihl 属性 eihO 厲性 adsl 厲也 ipsecO 寓I生 ipsecl 届性 ipsec 属性 ipsec 属性 wan 屈陛 lan 眉性 ssn 属性 ppp 眉肚 fip 属性ipsec2 属性 ipsec3 属性 wan 膚注 lan【寓生【寓注 ppn【屈吐 12tp 融回高毅逵挥弍也类里的日的逵霹目

18、旳3：已选 3 &T/1A1T :-:述辞日的启EA：匚囲旳AEEA：内网外阿服务器!.凉啟址转卖为：elhl 届性熄唏I-小徴韩换：煩端口固运启月扭则：0 轶认启硕贝I,下泌不兰和如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该地址范围不能设置排除IP地址。馮比丄丄转赵:llt IODlS iEI馮诉口下故铁换：炳端3|直走W4点世 laii 属性回 肓灯:先择:E恤娄犁齐UITT 选弄日的VUH：选弄目Eaeia：已违 3 StVlAT :-X已违目北:-外网X启用规期:0 默认己疋如贝不选为=土放Web服务器发布，需要配置目的转换首先需要添加Web服务器地址对象（10.1.

19、1.1，服务器真实地址）、外网访问的地址对象（，合法地址），具体配置见定义对象章节。目的转换有两种方式：地址转换、端口转换。地址转换：从一个IP地址到另一个IP地址的映射。安全网关设备将到达 映射地址（合法IP）的所有信息流中的目标IP地址转换成主机IP地址（即服 务器真实地址）。地址转换建议在映射地址资源充裕时、服务器使用端口较多且 端口不连续、服务器端口不是固定端口时使用。端口转换：从一个IP地址到基于目标端口号的多个IP地址的映射，即单 个 IP 地址可以托管从若干服务 （ 使用不同的目标端口号标识） 到同样多主机 的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。 建

20、配置Web服务器映射有两种方式：（I）端口转换在“防火墙” “地址转换”，点击“添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外网访问的地址对象（）”，服务选择“HTTP”服务，目的地址转换为选择“Web 服务器地址对象（10111），即服务器真实地址”，目的端口转换为“HTTP”服务。地址转换覘則日的地址转换苛：不咋转捞-(TCP:9) (ITP: O(ICP：1可(UDP:13)0咼鉞咗择其世英型的眇选蝉匪NFTSTAT CTCP:1F1 Quotd(TCP) (7CP: 17) Quo-td(UD?) (UDF: 17) Chargen(TCP) (TCP:ID)

21、已选源皿:TCPa888 (TCP:8888)UITSOOO 10000 (UDP; JOOO 1C003) Echo(TCP) (TCP:7) Echc (UDP) :UIP:7)Dirc-ard(rCP) DLrc-ard(JDP) Dayt-i me (TCP) Daytime (UDP)-环作转換V齐作转换-V目豹地1L转换为日的请口转枚尙0源勞换目的洁尬0对向洁血0不性转找箭 | 服齐荊序172. 16. 1. 56 主机10. 1. 1. 1 主机111.111.111.230 EiWan/ 氾围172. 16. 1. 10-20 范围 允许上岡地址组 eth3 eth2 ethl

22、 ethU adsl属性 属性属性属性属性属性ipsecU ips ecl 厲性 ipsec2 ipsecS 屮:an属性 属性属性 lan 属性 ssn谊性j 高站咗痒苴也尖型的日的目的地址转换为：一-不作辂柜-一目的端口转换肖： T作转换-一目的服务排序目曲转换O取向转换0不吃菽撷HTTP (7CP:80)I-1KERBEROS KET(TCP) KEEBEROS_KET(UDP) NPF (TCF:9Z)K.403 :TC?；102) RIFT .MF (rrP: 117： SNA ；AS (rCP:1J8； POP3 (7CP:110) SIHR?C TIP:111) AlTH (7C

23、F: 1.3) SQLSERV (TCP: 118) NNTP rCP: (TCP: 88)(UDP:88)|选择服务:目妁地址诧找天：目的端口转换K:启用规则:（II）地址映射在“防火墙” “地址转换”，点击 “添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外 网访问的地址对象（）”，目的地址转换为选择“Web服务器地址对象（10.1.1.1）, 即服务器真实地址”。匹洋慷酹:口匚P:中 (ITP： 0 (TCP:13) (TTiP: 1 可0高皴迤捧瓦也英型的砂NFTSTAT CTCP：1F1 Quotd(TCP) (TCP: IT) Quo-td(UD?) (UD

24、F: 17) Char gen (TCP) (TCP: IP)TCPaSSS (TCP;8888) uirsooo loooo (udp：jooo icood) Echc(TCP) :TCP：7)Echc (UDP) IUIP:7) Discard(TCP) Di-c-ard(JIiP) Daytime (TCP) Daytime (UDP)-环作转換V齐作转摂-目豹地iL转换为日的请口转拔力O源旁找目的洁尬G对向洁血O不性转捉目的服务172. 16. 1. 56 主机10. 1. 1. 1 主机111. 111. 111.叮0 主机ary 氾围172. 16. 1. 10-20 范围 允许上

25、冈地址组 eth3 eth2 ethl ethO adsl属性属性属性属性 属性ipsecO 属性 ips ecl 属性 ipsec2 1 属性 j ipsec3 属性 wan眉忖 lan 属性 ssn谊性j 高誌选痒苴也尖型的日的已选源晦：目旳地址转换为:-一不作转拒一-i址转换理JU0邇转换巨的转换O孜商转拒O不作转换源目的服务恍程闊冬:3已选服婆:T：r3888 (T：r： 8888)TDrJOOO 10003 W；D000 100CO) I? (E7H:0x0800)a (ETE: 0-0306) loop (ip：ge)ftp fFTF：nn?nnPJPAT (ETH: 0k0201

26、)K25 (ETH:QkO8O5)B?Q (ETHiOsOSff)IEEEPUP (ETH: OxOaOC)IEEEPUPAT (ETH:0x0a01)DEC (ETH:Ok6000)-|匸的Hdii黔拘齿：in. 1. 1. 1 主机V1目的端口转换为:不作转换-一V忘甲规川：0【默、启斥削叫,不诜为下兰尅确定 印消第一条为内网访问外网做源转换；第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实屹堆址传楔应域|所有医域込|目的区墩|所有区期T比扯IP。ID珀0).13031洌网）祿：卩右38047.: 1 . ：1 -.11 ?E0：:K.niu . 1 妙:-nv?卩勺3

27、Isfi-5 ?同高纽选择苴植类型的源严:r丰臨vljm匚述煤V1AN ；1 JI1（0高级选择其也类型的源：|1已先洱VT.AN :-性择源AEZA :已选源艇A :向內网III外网 服务器选持源喘=1 :排序僅已噬源姑口：虹址转摊拥則O沥劳换O目肉鞋担 刃向转换O不咋转捉目的服勢选拦服务：徘序O遞转换 O目的转换TMH(J5_F1U5TLF：qJT旷忙.；(lTTiP：ilA) TJi：AC3-DS (ICP:65) iyL*WiI :iCk : tic) Rnn+s!-r3p_SFrvFr (DCPi TT)P:fi71 BootSTrap_Clier.t (JDP: 68 DWS_Tr

28、ansfer (ICF:53)DNS Query (UDP:53)TFTP (UDP:6t)Gopher (TCP；70) Fitiwe: (HP:T9)HTTP (TCF:S)111. 111. 111. 230 主机日的电址转换沟：10. 1. 1. 1 :主机目的端=1转换芮：HTTP (rCP:80；源请口不做转换：源端口因定源地址转换定要 可以选器映或者防岡靖口、防火墙外网端口启用规则:0 默认启用规刖下选为可土叙谊目的服各隹弄匸的：卫序已选目酮:1T2. 16, 1.56 主机Jhill. 111. 111. 2301Q. 1. 1. 1 主机1111.111.1 1 1. 230

29、 工机any L氾围172. 16. 1. 10-2J 范围 允许上F却地址组L俎 eihJ 厲性dh2 属性 ethl 属性 ethO 屈性 adsl 属性 ipsecO 属性 ipsecl 1 厲性 ipsecZ 厲性 ipsec3 厲性 、z 屈也屏性 ssn 属性高级选拦其他尖型的目的I诵走I7、制定访问控制策略在“防火墙” “访问控制”，点击 “添加”第一条规则定义内网可以访问外网在“防火墙” “访问控制”，点击 “添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网” , 点击“高级”,动作“允许”（默认选项）。源井序冋控制规11已选溉172. 16. I.

30、 55 Liy,JID. 1. 1. 1 主机111. 1U. 111. 230 主机 any 范围172. 16. I. 1D-2D 范围 允许上网地址组组已选邇VLM：目的服务选项选李滥地址回j高纺诜擇苴M举型肃沥1世丰踮TLPJ ；启用规则：0启用【默认启用规则，不选为暂不生效凹高级选择其他类型的嗚已选源vuu：-X往择源ABIA :已选源AEEk :内唧 外网 服务器-内岡选择源端口 ：排序噫）-已选源端口：TCP8888 (TCP:8838)UDP9000-10030 (ITP: 93OO-1OOOO；二Echo(TCF) (TCP: 7)Echo (UDP) CJDP: 7)Dis

31、card (TCP) (TCP: 9)Discard (UDP) (UIP:9)Daytime (TCP) (TCP: 13Daytime (UDP) (UIP: 13NETSTA7 (TCP:15)QuotdCCP) (TCP: 17)Quotd(UDP) (UDP: 17)ChiLLen(TCF) (TCP; 19|访问权限：死许O扌E绝第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙” “访问控制”，点击 “添加”选择“源”，点击“高级”,源选择源区域“内网、外网”，目的选择“Web 服务器地址对象（10111），即服务器真实地址”，服务选择”

32、 HTTP服务”动作“允许”（默认选项）。源|目的服筠选项诜 捋滙地址:徘序172. 16. 1. 56【主机 10.1.1.1 主机111. 111. 111. 230 主机 any L池剛172. 16. 1. 10 20 范围-同高浚:选澤直他类型的頑匕选強LAW:屮:r卄赏3I1h高级选择其他类型的源711 |已选滥VUN：注璋硯VLAN :!l1鴛择滙AEEA :已选濾ABEA :内网,外网外网:服务器X选挥濾端口 ：排序（I）已选洒喘口：问控制規則源目函服芻选顶谨样目的地址：排序=已临目的：172. 16. 1. 56 主机10. 1. 1. 1 主机10. 1. 1. 1111.

33、 111. 1 11. 230 主机 tuy 范围172. 16. 1. 10-20 范围 弋许上刚地址组组-高级选择苴也类型E勺目的访号控制规JU诉目的 I 服务选项选挥朋.莓：科1:茅g已诜服莓：TCP3888 (TCP:8888)亠UDP9000-10000 (UDP:9000-10000)IP ；ETH: OkCSOO；1AEP (ETH:0s0806)loop (i?：ge)PUP (ETH:OkO2O0)UTaT (ZTII;0x0201)K25 (ETH:0k0805)EFQ (HId:Ui?UMiJIEEEPUP (EIH:0i:0a0J)IEEEPUPAT (ETH:0K0a

34、01)DEC (ETH:0x6000)DNA_DL (ETH:0k6001DNA_RC (ETI：; 06002 DNA RT (ETB:0k6003LAT (ETH:0k6004)DIAC (ETH:Ok6005)CUS? (ErH:Cs6006)|HTTP访1可根限：允许o拒鎚启用或则：回启毘默认启书规J!U, A选肓皙彳生尅第一条规则定义内网可以访问外网。源选择“外网”；目的可以选择目的区 域“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。源选择“内网、外网”，目的选择服务器真实的IP地址10.1.1.1, 服务选择“

35、HTTP”服务。 pp ir .a? iLD3=服苦RJH巳占选顶3032?E：aS04QU L. . 1HTTJ2电3牌所右玄域V Ft戎M有三炳 y地址杏札，访问规则需要注意的问题：访问控制规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通 过。防火墙接收到报文后，将顺序匹配访问控制规则表中所设定规则。一旦寻找 到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进 行区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目 的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。区域属性设 置请参见 “3、区域和缺省访问权限配置”。1、规则作用有顺序

36、2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性8、配置保存点击管理界面右上角“保存配置” :基丰f誼；运行洁息 ES 1 1日尹町I;Q営理豆 t二网络冒理 t Affifi +二|咱户认证 +二|贡交弗 + V内客过浦 + J曲趣 + n虚也芒冋 + 口人翩押 高可用性 I- 日志与压警 ;氓出杲妊配置完成后，配置立即生效，但是一定要保存配置，否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。9、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理”“维护”“配置维护”，选择“保存配置”配迓枪罗）丨升总I圣后I说床记示sfiur恢但超I

37、飓垠初出厂日SS GE6 :恢复出r0E胡,眾有H甜圭部去先佶期导出当訓SS! ?JHSR3处理箱；、生置一上性-刈辛| .沪血.卜&下至B：地址口噩矣口时用口 阻删略口 L&iim T IW音界1T卜岸皆博| i!圧呂也芒r童_；叙宜|沖严肖_兰_|去型|阳 灯k配畳雉护I备拎和恢复I升级I董启I催康诃录康复出厂|恢复配置 恢复摄初出厂配置主意：恢复出厂配置后,原有配置将全部丢失，谙及时导出当前配置! 排呈配萱处理输入配畳： _上隹上传配置：|浏1览上传下载配置：地址 服务 时间 阻断策略口 访问控制策略 _下我配置錐护配置替换:浏览 替换配置下我：运行配置 保存配置类型明文丘 盘近一次保存

38、配置点击下载明丈或用右龍另存提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙 配置不当造成网络长时间中断。（2）防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为交换接口工作。也就是说， 对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包 转发出去。同时，天融信防火墙可以在设置了IP的VLAN之间进行路由转发。 配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网 拓扑图如下：客戶机iuteine t11111.111.254/24111.111.1 ii.n/24 网段wz服务

39、器LI Lil Id 11.1/24EUil接口防火墙VLAN管理地址111. 111. 111.253 iEESBE EthZ按口EihD 接口1、防火墙接口 IP配置定义一个VLAN（本案例创建VLAN 1），点击“网络管理”一“二层网络” 一“VLAN” 一 “添加/删除VLAN范围”。舔加際配置添加VLAN ID ；添加VI抑范围：删除讥胡范围:注意:VLO切范围是1 - 4094 j总数是20Crt设置VLAN 1接口IP地址及子网掩码。ASP | VLAjT I MAC | ?D?摄口信段地址/掩话:/h：=L_staii c 竊加膛止掩莊融删陈111.UL. 111.Z53255

40、.255.255.0奇飯屋性碓兀飓袴分别把ETHO、ETH1、ETH2接口加入到VLAN 1中，点击”网络管理“一“接 口” 一 ”物理接口“，依次点击接口的“设置”按钮可以把接口加入到VLAN1中。摄戛如字符或者15-?汉字类型:物理援口 I子接口1 -4094accessAccess :叨理安口丨子盪二teSKn接口若称Jihl站tt卫决bl.rNTUWil*“L0l nir-Miet3Z换access tLfflO启用autdat hlLntgmgt1L5Q0启月elti2ssn3Z换access ID启用autoautfl詁L500启冃O.TLt42、区域和缺省访问权限配置在“资产管理

41、”“区域”中定义防火墙区域（接入相同安全等级的网络接 口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区 域缺省权限为禁止访问。注釋；权限选择:被选雇性选择雇性确定 取消依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网” 区域；添加ETH2接口为“服务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加） 点击“系统管理”一“配置”一“开放服务

42、”，点击添加，常用服务有WEBUI（即 WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）係纸参数I开放服勞I时间修改配置确定 取消系编奉數I开放服芻I时间修改配置卡止启勺e t启动eJz启幻Q | |M.IMT凰备NIF服务勳雌名称腔制工叫匡和地止welui内网wy01vslui旧any3PinanFlanyaPinS外网anyaiQlnsk.nkdonya4、路由表配置如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参与防火墙管理，与数据通信无关。如果不需要跨网段管理防火墙，无需设置

43、路由表。添加静态路由，在“网络管理” “路由”“静态路由”，点击添加添加缺省路由时，目的地址和目的掩码都为0.0.0.0,网关为下一条地址,其他选项为空。静蛊路由1策昭跻由1多播路由1蠡加配置目的地址： 目的掩码：Metric : 网关： 接口：0.0. 0.0:+:0.0. 0.0：+：1-65535111. 111. 111. 254*-迭樺接口-V确定取消靜态跻由表希加【石空諭网关标记metric按口D度172.IB.1.Z54/3Za. a. o.oKL110 L.1 /.-0.0.0.0UL110 iL. It. 1. J-Zl0.0. 0.0VC0ctM111 ILL 111.0/

44、24a. a. o.oUC30etlilC.C.O. 3/3L11. 111. 111.254UGS1亡 till35、定义对象（包括地址对象、服务对象、时间对象） 提示：防火墙所有需要引用对象（如地址转换策略、访问控制策略等）的 配置，请先定义对象，才能引用。定义地址对象添加单个主机对象点击”资源管理“地址”“主机”，点击右上角“添加配置”添加地址范围点击”资源管理“地址”“范围”，点击右上角“添加配置”主机I范围I子网I也址组地址范围屋性:+:可输入蛊个工F地址用空格分开H定二| 取消添加子网点击”资源管理“地址”“子网”，点击右上角“添加配置”主机I范国I子网I地址组子网属性可输入窑个用

45、空格分幵取消确定添加地址组点击”资源管理“地址”“地址组”，点击右上角“添加配置”定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标 准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击 “资源管理”“服务”“自定义服务”，点击“添加”，可以添 加单个端口或范围 。注意单个端口只填起始端口称：型：口 ；，统运义服爸I目运义服爸I服务沮1-bbb-b起招-藝止；丄MF是奚型伯叶；单十端1_1只出起姑端口系纤宇女昭各I 口応殳聘善I昭搭纭虽务屋性冥型：BFvS 称：uirsojo loooD*辅 口 ； yLUU - luuuu|1-65535起贻-垮止；匸粧是

46、奕型恒0Y ；旦T湍口只塩起昭喘-1|确壬| 职希定义时间对象点击“资源管理”“时间”，点击“添加”，可以设置单次和多次时间蟹次|时间单次吋间屋性名称：上班时间*毎周时段：星期一回星期二回星期三0星期四0星期五0星期六星期日口每日时段：开始时间：OS; 30*结束时间：17:30+确定| 取消6、制定访问控制策略在“防火墙” “访问控制”，点击“添加” 第一条规则定义内网可以访问外网在“防火墙” “访问控制”，点击“添加” 选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外网” , 点击“高级”,动作“允许”（默认选项）。访问权限：死许O扌E绝启用规则：0启用【默认启用规则，

47、不选为暂不生效血甘控制規则源II目的服务选项选择目的地址：排序已选目的：172. 16. 1.56 trJ10. 1. 1. 1 主机111. 1 1 1. 111.230 主机 any 范围172. 16. 1, 10-20 范围 允许上网地址组组肓領选挥苴他些型的目的I 总禅目伽剧!第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙” “访问控制”，点击 “添加”选择“源”，点击“高级”,源选择源区域“内网、外网”，目的选择“Web 服务器地址对象（），即服务器真实地址”，服务选择” HTTP服务”，动作“允 许”（默认选项）。涯1目加服番诜顼选挥

48、遞地址：已选原172. 10. 1. 56【主机10. 1. 1. 1 土机111. 11 1.1 11. 230 主机 airr 范司172. 16. 1. 10-20 范围何1高圾【选李直他类型的媳战曲駅鈕：|0高级选择其他类型的源|丞璋觀VLAN :已选洒VLAN：-;1律样瀬AEEA :-:已选源ABEA :罟 网网务 勺+艮 HK 占7nfl外网选挥濾端口：排序士已选源喘口：访月控制規則诱目的 I 服务选项选择J3S.鋒：甘序迪已进服零：TCP8888 (TCP:8888)UDP9000-10000 (UDP:9000-10000)IP (ETH: 0x0800)ARP (ETH:0

49、s0806)LOOP (IP： 96)PUP (ETH:OkO2O0)rUTAT (3111:00201)X25 (ETH: 0x0805)EPQ Id:UsUBtJIEEEPUP (EIH:0y0a0)IEEEPUPAT (ETH:0K0a01)DFC (FT壬门朋fW(nDNA_DL (ETE:0x6001DNA_EC (ETI：； 06002 DNA_RT (ETE:0x6003iLAT (ETH: 0k6004)DIAC (ETH:Qk6005)CUST (ETH:Ok6006)HTTP访问萩.限:允许0拒绝启用或则：回启毘默认启书规则，八谨力皙幷生翦第一条规则定义内网可以访问外网。源选择“外网”；目的可以选择目的区域“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务 器http应用。源选择“内网、外网”，目的选择服务器真实的IP地址，服务选择 “HTTP” 服务。访印序制率則-ir .a? i