天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目 录

一、 防火墙的几种管理方式 . ....................................................................................................................................... 4 1．

2．

3．

4．

5． 串口管理............................................................................................................................................................ 4 TELNET 管理 ...................................................................................................................................................... 5 SSH 管理 ............................................................................................................................................................ 5 WEB 管理 . .......................................................................................................................................................... 6 GUI 管理 ............................................................................................................................................................ 7

二、 命令行常用配置 . ................................................................................................................................................. 12

1． 系统管理命令(SYSTEM) .................................................................................................................................. 12

命令 . ............................................................................................................................................................................. 12

功能 . ............................................................................................................................................................................. 12

WEBUI 界面操作位置 . ................................................................................................................................................. 12

二级命令名 .................................................................................................................................................................. 12 V ERSION .......................................................................................................................................................................... 12

系统版本信息 .............................................................................................................................................................. 12

系统>基本信息 ............................................................................................................................................................ 12 INFORMATION ................................................................................................................................................................... 12

当前设备状态信息 ...................................................................................................................................................... 12

系统>运行状态 ............................................................................................................................................................ 12 TIME ............................................................................................................................................................................... 12

系统时钟管理 .............................................................................................................................................................. 12

系统>系统时间 ............................................................................................................................................................ 12 CONFIG . ........................................................................................................................................................................... 12

系统配置管理 .............................................................................................................................................................. 12

管理器工具栏“保存设定”按钮 .............................................................................................................................. 12 REBOOT ........................................................................................................................................................................... 12

重新启动 ...................................................................................................................................................................... 12

系统>系统重启 ............................................................................................................................................................ 12 SSHD ............................................................................................................................................................................... 12

SSH 服务管理命令 ....................................................................................................................................................... 12

系统>系统服务 ............................................................................................................................................................ 12 TELNETD .......................................................................................................................................................................... 12

TELNET 服务管理 ......................................................................................................................................................... 12

系统>系统服务命令 .................................................................................................................................................... 12 HTTPD ............................................................................................................................................................................. 12

HTTP 服务管理命 . ........................................................................................................................................................ 12

系统>系统服务令 ........................................................................................................................................................ 12 MONITORD ....................................................................................................................................................................... 12

MONITOR . ..................................................................................................................................................................... 12

服务管理命令无 .......................................................................................................................................................... 12 2．

3．

4． 网络配置命令(NETWORK) .............................................................................................................................. 13 双机热备命令(HA) .......................................................................................................................................... 13 定义对象命令(DEFINE) ................................................................................................................................... 13

5．

6．

7． 包过滤命令(PF) ............................................................................................................................................... 13 显示运行配置命令(SHOW_RUNNING) ........................................................................................................... 13 保存配置命令(SAVE) ....................................................................................................................................... 13

三、 WEB 界面常用配置 ............................................................................................................................................. 14 1．

B)

C)

E)

F)

2．

B)

3．

B)

C)

E)

F)

4．

5． 系统管理配置 . ................................................................................................................................................. 14 系统 > 运行状态 . ......................................................................................................................................... 14 系统 > 配置维护 . ......................................................................................................................................... 15 系统 > 开放服务 . ......................................................................................................................................... 16 系统 > 系统重启 . ........................................................................................................................................... 16 网络接口、路由配置 . ..................................................................................................................................... 16 设置路由.......................................................................................................................................................... 18 对象配置.......................................................................................................................................................... 20 设置范围对象 . ................................................................................................................................................. 21 设置子网对象 . ................................................................................................................................................. 21 自定义服务...................................................................................................................................................... 22 设置区域对象 . ................................................................................................................................................. 22 访问策略配置 . ................................................................................................................................................. 23 高可用性配置 . ................................................................................................................................................. 26 A) 系统 > 基本信息 . ......................................................................................................................................... 14 D) 系统 > 系统服务 . ......................................................................................................................................... 15 A) 设置防火墙接口属性 . ..................................................................................................................................... 16 A) 设置主机对象 . ................................................................................................................................................. 20 D) 设置地址组...................................................................................................................................................... 21 G) 设置时间对象 . ................................................................................................................................................. 23

四、 透明模式配置示例 . ............................................................................................................................................. 28

拓补结构： .................................................................................................................................................................. 28 1．

2．

3．

4．

5．

6．

7．

8． 用串口管理方式进入命令行 . ......................................................................................................................... 28 配置接口属性 . ................................................................................................................................................. 28 配置VLAN . ....................................................................................................................................................... 28 配置区域属性 . ................................................................................................................................................. 28 定义对象.......................................................................................................................................................... 28 添加系统权限 . ................................................................................................................................................. 28 配置访问策略 . ................................................................................................................................................. 29 配置双机热备 . ................................................................................................................................................. 29

五、 路由模式配置示例 . ............................................................................................................................................. 30

拓补结构： .................................................................................................................................................................. 30 1．

2．

3．

4．

5．

6．

7． 用串口管理方式进入命令行 . ......................................................................................................................... 30 配置接口属性 . ................................................................................................................................................. 30 配置路由.......................................................................................................................................................... 30 配置区域属性 . ................................................................................................................................................. 30 配置主机对象 . ................................................................................................................................................. 30 配置访问策略 . ................................................................................................................................................. 30 配置双机热备 . ................................................................................................................................................. 31

一、 防火墙的几种管理方式

1． 串口管理

第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：

1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。

2）选择 开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC ”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent ，即可登录到网络卫士防火

墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2． TELNET 管理

TELNET 管理也是命令行管理方式，要进行TELNET 管理，必须进行以下设置：

1) 在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2) 在串口下用“system telnetd start” 命令启动TELNET 管理服务

3) 知道管理IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令

添加管理IP 地址

4) 然后用各种命令行客户端(如WINDOWS CMD命令行) 管理：TELNET 192.168.1.250

5) 最后输入用户名和密码进行管理命令行如图：

3． SSH 管理

SSH 管理和TELNET 基本一至，只不过SSH 是加密的，我们用如下步骤管理：

1) 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限 2) 在串口下用“system sshd start” 命令启动TELNET 管理服务

3) 知道管理IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令

添加管理IP 地址

4) 然后用各种命令行客户端(如putty 命令行) 管理：192.168.1.250

5) 最后输入用户名和密码进行管理命令行如图：

4． WEB 管理

1) 防火墙在出厂时缺省已经配置有WEB 界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

2) WEB 管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：

https://192.168.1.250，弹出如下的登录页面。

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），

点击“提交”，就可以进入管理页面。

5． GUI 管理

GUI 图形界面管理跟WEB 界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等

1) 安装管理中心软件

2) 运行管理软件

3) 右击树形“TOPSEC 管理中心”添加管理

IP

4) 右击管理IP 地址，选择“管理”，输入用户名和密码进行管理

5) 也可右击管理IP 地址，选择“安全工具”，进行实时监控

选择：安全工具-连接监控

点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。

选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：

二、 命令行常用配置

(注：用串口、TELNET 、SSH 方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB 键补齐和TAB 键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：) 系统级

系统级为第一级，提供设备的基本管理命令。CLI 管理员登录后，直接进入该级，显示为：TopsecOS#。 组件级

组件级为第二级，提供每个安全组件（SE ）所独有的管理命令。

1． 系统管理命令(SYSTEM)

3． 双机热备命令(HA)

HA LOCAL 设置 HA 接口的本机地址 HA PEER 设置 HA 接口的对端地址

HA PEER-SERIAL 设置 HA 接口的对端的 licence 序列号

HA NO 复位 HA 接口的本机地址/对端地址/对端 licence 序列号

HA PRIORITY 设定 HA 优先级是主机优先还是备份机优先（默认为 backup ，即如果同时启动主机成为活

HA SHOW 查看 HA 的配置信息 HA ENABLE 启动 HA HA DISABLE 停用 HA

HA CLEAN 清除 HA 配置信息

HA SYNC HA同步（从对端机上同步配置/同步配置到对端机上）

5． 包过滤命令(PF) 增加一条服务访问规则

SERVICE ADD name area ]| [addressname ]> 6． 显示运行配置命令(SHOW_RUNNING) SHOW_RUNNING

7． 保存配置命令(SAVE) SAVE

三、 WEB 界面常用配置

用浏览器或者集中管理中心登录到WEB 管理界面如下：

1． 系统管理配置

在“系统”下，可以显示或配置系统相关设置 A) 系统 > 基本信息

显示系统的型号、版本、功能模块、接口信息等等：

B) 系统 > 运行状态

查看系统的运行状态，包括CPU 、内存使用情况和当前连接数等

C) 系统 > 配置维护 上传或下载配置文件

D) 系统 > 系统服务

系统服务在本系统中主要是指监控服务、SSH 服务、Telnet 服务和 HTTP 服务。TOS 系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：

E) 系统 > 开放服务

添加或查看系统权限，包括WEB 管理、GUI 管理、TELNET 管理、SSH 管理、监控等等

F) 系统 > 系统重启

2． 网络接口、路由配置 A) 设置防火墙接口属性

用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：

1）在管理界面左侧导航菜单中选择 网络 > 物理接口 ，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口：Eth0、Eth1、Eth2。

2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“ ”，弹出“设 定路由”对话框，如下图所示。

可以为某个端口设置多个 IP 地址，点击“添加配置”按钮，添加接口的 IP 地址。如果选择“ha-static ”, 表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的 IP 地址或 IP 地址在同一子网内。

3）如果要将某端口设交换模式，点击该端口后的交换修改图标“ ”，弹出“交换”设置窗口，如下图所示。

首先，需要确定该接口的类型是“Access ”还是“Trunk ”。

如果是“Access ”接口，则表示该交换接口只属于一个 VLAN ，需要指定所属的 VLID 号码，如上图所示。

如是“Trunk ”接口，则设置参数界面如下图所示。

上图参数说明如下表所示：

点击“提交设定”则完成接口从路由模式向交换模式的转换。 4）点击“其他”按钮，可以设置接口的其他信息，如下图。

B) 设置路由

用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：

1）在左侧导航菜单中选择 网络 > 静态路由，可以看到已经添加的策略路由表以 及系统自动添加的静态路由表，如下图所示。

2）设置策略路由，点击“添加策略路由”，如下图所示。

其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和 VLAN 虚接口）发送数据包。Metric 为接口跃点数，默认为 1。如果选择“NAT 后的源”为“是”，表示策略路由的源地址为 NAT 后的地址，策略路由添加成功后的“标记”一栏显示为“UGM ”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U ”。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。

若要删除某路由项，点击该路由项所在行的删除图标“ ”进行删除。

4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。

具体设置方法为：

在策略路由表中点击要移动的路由选项（例如要移动策略路由 102）后的“移动”图标按钮 ，进入如下界面。

在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到 参考路由之前还是之后。例如：要将路由 102 移动到路由 101 之前，则第一个下拉框选 择 ID “101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功 对话框。

点击“确定”返回路由界面，可以看到路由 102 已经移动到了 101 之前，如下图所 示。

3． 对象配置

A) 设置主机对象

选择 对象 > 地址对象 > 主机对象，右侧界面显示已有的主机对象，如下图所示。

点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示。

B) 设置范围对象

选择 对象 > 地址对象 > 地址范围，右侧界面显示已有的地址范围对象，如下图所示。

点击“添加配置”，进入地址范围对象属性的页面，如下图所示。

C) 设置子网对象

选择 对象 > 地址对象 > 子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。

D) 设置地址组

不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持 增强了对象管理的层次性，使管理更加灵活。 设置地址组对象的步骤如下：

1）选择 对象 > 地址对象 > 地址组，在右侧页面内显示已有的地址组对象，如下 图所示。

2）选择“添加配置”，系统出现如下图所示的页面。

E) 自定义服务

当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口： 1） 选择 对象 > 服务对象 > 自定义服务，点击“添加配置”，系统出现如下页面。

2）输入对象名称后，设置协议类型及端口号范围。 3）点击“提交设定”，完成设置。 F) 设置区域对象

系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需求，定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网络卫士防火墙将根据目的接口所在区域的权限处理该报文。 设置区域对象，具体操作如下：

1）选择 对象 > 区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0，并已和缺省属性对象 eth0 绑定，而属性对象 eth0 已和接口eth0 绑定，因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。 2）点击“添加配置”，增加一个区域对象，如下图所示。

在“对象名称”部分输入区域对象名称；

在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。

在“选择属性”部分的左侧文本框中选择接口，然后点击 添加该区域具有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个或多个。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话 框。

4）点击“取消返回”则放弃添加，返回上一界面。

5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“ ”进行修改。 6）若要删除区域对象，点击该区域对象所在行的删除图标“ ”进行删除。 G) 设置时间对象

用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间对象，具体操作如下：

1） 选择 对象 > 时间对象，点击“添加配置”，系统出现如下页面。

2）依次设置“对象名称”、“每周时段”和“每日时段”。 3）最后点击“提交设定”，完成对象设置。新添加的对象将显示在时间对象列表 中，如下图所示。

4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标 删除该对象。 4． 访问策略配置

用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN 、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同，访问控制规则也是顺序匹配的，但与其不同，访问控制规则没

有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。

定义访问规则，操作步骤如下：

1） 选择 防火墙引擎 > 访问控制，点击“添加配置”，进入访问控制规则定义界面。

表中“ID ”为每项规则的编号，在移动规则顺序时将会使用。

“控制”中的图标规则是否启用。

2）定义是否启用该访问控制规则（默认为启用该规则），以及访问权限。

和

，分别表示该项

访问权限定义了是否允许访问由规则源到规则目的所指定的服务。 3）定义规则的源

规则的源既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地址 对象以及用户组对象，如下图所示。

图中“选择源”右侧的

按钮为正序排列和倒序排列，用户可以方便的按序查

找项目。

另外，用户还可以选择相应的服务，即设置源端口，如下图所示。

4）定义规则的目的

规则的目的既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地 址对象以及用户组对象，如下图所示。

另外，用户还可以设置进行地址转换前的目的地址，如下图所示。

5）定义服务

选择访问规则包含的服务，如果用户需要制定的服务没有包含在服务列表中，可以通过 添加自定义服务添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。

6）定义辅助选项

各项参数说明如下：

7）点击“提交设定”完成该条访问控制规则的设定。

8）用户可以点击 “修改”按钮，对现有规则进行编辑。可以点击 “插入”按钮，在现有规则间插入一条新规则。

8）点击“清空配置”，可以清除所有的访问控制规则，便于重新配置。

9）需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮，如下图所示。

用户可以选择相应 ID 、位置，移动策略。完成后点击“提交设定”保存或“取消 返回”放弃移动。 5． 高可用性配置

配置网络卫士防火墙双机热备的步骤如下：

1）选择 系统 > 高可用性，进入高可用性设置页面，如下图所示。

2） 设置主/从设备参数，参数说明请参见下表。

3）点击“提交设定”，完成双机热备设置。

四、 透明模式配置示例

拓补结构：

1． 用串口管理方式进入命令行

用WINDOWS 自带的超级终端或者SecureCRT 软件，使用9600的速率，用串口线连接到防火墙，用户名是superman ，密码是talent 。(具体方法见第一节) ，下面是具体配置，加粗显示的为命令行。 2． 配置接口属性 ETH0

将ETH0口配置为交换模式： network interface eth0 switchport 配置ETH0口的METRIC 值，用于计算双机热备的权值： network interface eth0 ha-metric 100

ETH1

将ETH1口配置为交换模式： network interface eth1 switchport 配置ETH1口的METRIC 值，用于计算双机热备的权值： network interface eth1 ha-metric 100

ETH2

配置ETH2口的METRIC 值，用于计算双机热备的权值： network interface eth2 ha-metric 100 将没有使用的ETH2口关闭： network interface eth2 shutdown

ETH3

配置同步接口ETH3的IP 地址和HA 标记：(11.1.1.0/30)

network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC 值，用于计算双机热备的权值： network interface eth3 ha-metric 100

3． 配置VLAN

添加VLAN1： network vlan add id 1 为VLAN1添加IP 地址：

network interface vlan.0001 ip add 192.168.1.250 mask 255.255.255.0 label 0

4． 配置区域属性

将区域缺省访问权限为禁止

define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off

5． 定义对象

定义主机地址对象

define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 ' 定义时间对象

define schedule add name 上班时间 week 12345 start 08:00 end 18:00

6． 添加系统权限

为ETH0口添加TELNET 权限

pf service add name telnet area area_eth0 addressname any

7． 配置访问策略

允许192.168.1.10在' 上班时间 '访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务：

firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时间 '

8． 配置双机热备 配置本机同步IP

ha local 11.1.1.1

配置对端机器同步IP

ha peer 11.1.1.2 启动双机热备功能 ha enable

注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP 地址为11.1.1.2；另一个是双机热备配置中的本机同步IP 和对端机器同步IP 相反，本机IP 为11.1.1.2，对端机器IP 为11.1.1.1，完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。

五、 路由模式配置示例

拓补结构：

1． 用串口管理方式进入命令行 方法同上面的透明模式。 2． 配置接口属性

配置ETH0口的IP 地址：

network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0 配置ETH0口的METRIC 值，用于计算双机热备的权值： network interface eth0 ha-metric 100 配置ETH1口的IP 地址：

network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0 配置ETH1口的METRIC 值，用于计算双机热备的权值： network interface eth1 ha-metric 100

配置ETH2口的METRIC 值，用于计算双机热备的权值： network interface eth2 ha-metric 100 将没有使用的ETH2口关闭： network interface eth2 shutdown

配置同步接口ETH3的IP 地址和HA 标记：

network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC 值，用于计算双机热备的权值： network interface eth3 ha-metric 100

3． 配置路由

配置到192.168.3.0/24网段的路由：

network route add dst 192.168.3.0/24 gw 192.168.1.254 metric 1 id 100 配置到192.168.4.0/24网段的路由：

network route add dst 192.168.4.0/24 gw 192.168.2.254 metric 1 id 101

4． 配置区域属性

将区域缺省访问权限为禁止

define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off

5． 配置主机对象

define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 '

6． 配置访问策略

允许192.168.1.10访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务：

firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '

7． 配置双机热备

配置本机同步IP

ha local 11.1.1.1

配置对端机器同步IP

ha peer 11.1.1.2

启动双机热备功能

ha enable

注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP 地址为11.1.1.2；另一个是双机热备配置中的本机同步IP 和对端机器同步IP 相反，本机IP 为11.1.1.2，对端机器IP 为11.1.1.1，完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。

天融信防火墙NGFW4000快速配置手册

目 录

一、 防火墙的几种管理方式 . ....................................................................................................................................... 4 1．

2．

3．

4．

5． 串口管理............................................................................................................................................................ 4 TELNET 管理 ...................................................................................................................................................... 5 SSH 管理 ............................................................................................................................................................ 5 WEB 管理 . .......................................................................................................................................................... 6 GUI 管理 ............................................................................................................................................................ 7

二、 命令行常用配置 . ................................................................................................................................................. 12

1． 系统管理命令(SYSTEM) .................................................................................................................................. 12

命令 . ............................................................................................................................................................................. 12

功能 . ............................................................................................................................................................................. 12

WEBUI 界面操作位置 . ................................................................................................................................................. 12

二级命令名 .................................................................................................................................................................. 12 V ERSION .......................................................................................................................................................................... 12

系统版本信息 .............................................................................................................................................................. 12

系统>基本信息 ............................................................................................................................................................ 12 INFORMATION ................................................................................................................................................................... 12

当前设备状态信息 ...................................................................................................................................................... 12

系统>运行状态 ............................................................................................................................................................ 12 TIME ............................................................................................................................................................................... 12

系统时钟管理 .............................................................................................................................................................. 12

系统>系统时间 ............................................................................................................................................................ 12 CONFIG . ........................................................................................................................................................................... 12

系统配置管理 .............................................................................................................................................................. 12

管理器工具栏“保存设定”按钮 .............................................................................................................................. 12 REBOOT ........................................................................................................................................................................... 12

重新启动 ...................................................................................................................................................................... 12

系统>系统重启 ............................................................................................................................................................ 12 SSHD ............................................................................................................................................................................... 12

SSH 服务管理命令 ....................................................................................................................................................... 12

系统>系统服务 ............................................................................................................................................................ 12 TELNETD .......................................................................................................................................................................... 12

TELNET 服务管理 ......................................................................................................................................................... 12

系统>系统服务命令 .................................................................................................................................................... 12 HTTPD ............................................................................................................................................................................. 12

HTTP 服务管理命 . ........................................................................................................................................................ 12

系统>系统服务令 ........................................................................................................................................................ 12 MONITORD ....................................................................................................................................................................... 12

MONITOR . ..................................................................................................................................................................... 12

服务管理命令无 .......................................................................................................................................................... 12 2．

3．

4． 网络配置命令(NETWORK) .............................................................................................................................. 13 双机热备命令(HA) .......................................................................................................................................... 13 定义对象命令(DEFINE) ................................................................................................................................... 13

5．

6．

7． 包过滤命令(PF) ............................................................................................................................................... 13 显示运行配置命令(SHOW_RUNNING) ........................................................................................................... 13 保存配置命令(SAVE) ....................................................................................................................................... 13

三、 WEB 界面常用配置 ............................................................................................................................................. 14 1．

B)

C)

E)

F)

2．

B)

3．

B)

C)

E)

F)

4．

5． 系统管理配置 . ................................................................................................................................................. 14 系统 > 运行状态 . ......................................................................................................................................... 14 系统 > 配置维护 . ......................................................................................................................................... 15 系统 > 开放服务 . ......................................................................................................................................... 16 系统 > 系统重启 . ........................................................................................................................................... 16 网络接口、路由配置 . ..................................................................................................................................... 16 设置路由.......................................................................................................................................................... 18 对象配置.......................................................................................................................................................... 20 设置范围对象 . ................................................................................................................................................. 21 设置子网对象 . ................................................................................................................................................. 21 自定义服务...................................................................................................................................................... 22 设置区域对象 . ................................................................................................................................................. 22 访问策略配置 . ................................................................................................................................................. 23 高可用性配置 . ................................................................................................................................................. 26 A) 系统 > 基本信息 . ......................................................................................................................................... 14 D) 系统 > 系统服务 . ......................................................................................................................................... 15 A) 设置防火墙接口属性 . ..................................................................................................................................... 16 A) 设置主机对象 . ................................................................................................................................................. 20 D) 设置地址组...................................................................................................................................................... 21 G) 设置时间对象 . ................................................................................................................................................. 23

四、 透明模式配置示例 . ............................................................................................................................................. 28

拓补结构： .................................................................................................................................................................. 28 1．

2．

3．

4．

5．

6．

7．

8． 用串口管理方式进入命令行 . ......................................................................................................................... 28 配置接口属性 . ................................................................................................................................................. 28 配置VLAN . ....................................................................................................................................................... 28 配置区域属性 . ................................................................................................................................................. 28 定义对象.......................................................................................................................................................... 28 添加系统权限 . ................................................................................................................................................. 28 配置访问策略 . ................................................................................................................................................. 29 配置双机热备 . ................................................................................................................................................. 29

五、 路由模式配置示例 . ............................................................................................................................................. 30

拓补结构： .................................................................................................................................................................. 30 1．

2．

3．

4．

5．

6．

7． 用串口管理方式进入命令行 . ......................................................................................................................... 30 配置接口属性 . ................................................................................................................................................. 30 配置路由.......................................................................................................................................................... 30 配置区域属性 . ................................................................................................................................................. 30 配置主机对象 . ................................................................................................................................................. 30 配置访问策略 . ................................................................................................................................................. 30 配置双机热备 . ................................................................................................................................................. 31

一、 防火墙的几种管理方式

1． 串口管理

第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。

通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙：

1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。

2）选择 开始 > 程序 > 附件 > 通讯 > 超级终端，系统提示输入新建连接的名称。

3）输入名称，这里假设名称为“TOPSEC ”，点击“确定”后，提示选择使用的接口（假设使用 com1）。

5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。

6）输入系统默认的用户名：superman 和密码：talent ，即可登录到网络卫士防火

墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。

2． TELNET 管理

TELNET 管理也是命令行管理方式，要进行TELNET 管理，必须进行以下设置：

1) 在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2) 在串口下用“system telnetd start” 命令启动TELNET 管理服务

3) 知道管理IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令

添加管理IP 地址

4) 然后用各种命令行客户端(如WINDOWS CMD命令行) 管理：TELNET 192.168.1.250

5) 最后输入用户名和密码进行管理命令行如图：

3． SSH 管理

SSH 管理和TELNET 基本一至，只不过SSH 是加密的，我们用如下步骤管理：

1) 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限 2) 在串口下用“system sshd start” 命令启动TELNET 管理服务

3) 知道管理IP 地址，或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令

添加管理IP 地址

4) 然后用各种命令行客户端(如putty 命令行) 管理：192.168.1.250

5) 最后输入用户名和密码进行管理命令行如图：

4． WEB 管理

1) 防火墙在出厂时缺省已经配置有WEB 界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。

2) WEB 管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如：

https://192.168.1.250，弹出如下的登录页面。

输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent），

点击“提交”，就可以进入管理页面。

5． GUI 管理

GUI 图形界面管理跟WEB 界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等

1) 安装管理中心软件

2) 运行管理软件

3) 右击树形“TOPSEC 管理中心”添加管理

IP

4) 右击管理IP 地址，选择“管理”，输入用户名和密码进行管理

5) 也可右击管理IP 地址，选择“安全工具”，进行实时监控

选择：安全工具-连接监控

点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。

选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图：

二、 命令行常用配置

(注：用串口、TELNET 、SSH 方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB 键补齐和TAB 键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：) 系统级

系统级为第一级，提供设备的基本管理命令。CLI 管理员登录后，直接进入该级，显示为：TopsecOS#。 组件级

组件级为第二级，提供每个安全组件（SE ）所独有的管理命令。

1． 系统管理命令(SYSTEM)

3． 双机热备命令(HA)

HA LOCAL 设置 HA 接口的本机地址 HA PEER 设置 HA 接口的对端地址

HA PEER-SERIAL 设置 HA 接口的对端的 licence 序列号

HA NO 复位 HA 接口的本机地址/对端地址/对端 licence 序列号

HA PRIORITY 设定 HA 优先级是主机优先还是备份机优先（默认为 backup ，即如果同时启动主机成为活

HA SHOW 查看 HA 的配置信息 HA ENABLE 启动 HA HA DISABLE 停用 HA

HA CLEAN 清除 HA 配置信息

HA SYNC HA同步（从对端机上同步配置/同步配置到对端机上）

5． 包过滤命令(PF) 增加一条服务访问规则

SERVICE ADD name area ]| [addressname ]> 6． 显示运行配置命令(SHOW_RUNNING) SHOW_RUNNING

7． 保存配置命令(SAVE) SAVE

三、 WEB 界面常用配置

用浏览器或者集中管理中心登录到WEB 管理界面如下：

1． 系统管理配置

在“系统”下，可以显示或配置系统相关设置 A) 系统 > 基本信息

显示系统的型号、版本、功能模块、接口信息等等：

B) 系统 > 运行状态

查看系统的运行状态，包括CPU 、内存使用情况和当前连接数等

C) 系统 > 配置维护 上传或下载配置文件

D) 系统 > 系统服务

系统服务在本系统中主要是指监控服务、SSH 服务、Telnet 服务和 HTTP 服务。TOS 系统提供了对这些服务的控制（启动和停止）功能，其具体的操作如下：

E) 系统 > 开放服务

添加或查看系统权限，包括WEB 管理、GUI 管理、TELNET 管理、SSH 管理、监控等等

F) 系统 > 系统重启

2． 网络接口、路由配置 A) 设置防火墙接口属性

用户可以对网络卫士防火墙的物理接口的属性进行设置，具体步骤如下：

1）在管理界面左侧导航菜单中选择 网络 > 物理接口 ，可以看到防火墙的所有物理接口，如下图所示，共有三个物理接口：Eth0、Eth1、Eth2。

2）如果要将某端口设为路由模式，点击该端口后的路由修改图标“ ”，弹出“设 定路由”对话框，如下图所示。

可以为某个端口设置多个 IP 地址，点击“添加配置”按钮，添加接口的 IP 地址。如果选择“ha-static ”, 表示双机热备的两台设备在进行主从切换时，可以保存原来的地址不变，否则，从墙的地址将被主墙覆盖。网络卫士防火墙不支持不同的物理接口配置相同的 IP 地址或 IP 地址在同一子网内。

3）如果要将某端口设交换模式，点击该端口后的交换修改图标“ ”，弹出“交换”设置窗口，如下图所示。

首先，需要确定该接口的类型是“Access ”还是“Trunk ”。

如果是“Access ”接口，则表示该交换接口只属于一个 VLAN ，需要指定所属的 VLID 号码，如上图所示。

如是“Trunk ”接口，则设置参数界面如下图所示。

上图参数说明如下表所示：

点击“提交设定”则完成接口从路由模式向交换模式的转换。 4）点击“其他”按钮，可以设置接口的其他信息，如下图。

B) 设置路由

用户可以在网络卫士防火墙上设置策略路由及静态路由，具体步骤如下：

1）在左侧导航菜单中选择 网络 > 静态路由，可以看到已经添加的策略路由表以 及系统自动添加的静态路由表，如下图所示。

2）设置策略路由，点击“添加策略路由”，如下图所示。

其中“网关”为下一跳路由器的入口地址，“端口”指定了从防火墙设备的哪一个接口（包括物理接口和 VLAN 虚接口）发送数据包。Metric 为接口跃点数，默认为 1。如果选择“NAT 后的源”为“是”，表示策略路由的源地址为 NAT 后的地址，策略路由添加成功后的“标记”一栏显示为“UGM ”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U ”。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加，返回上一界面。

若要删除某路由项，点击该路由项所在行的删除图标“ ”进行删除。

4）移动策略路由。由于策略执行为第一匹配原则，则策略的顺序与策略的逻辑相关，在此可以改变添加策略时候的缺省的执行顺序（按照添加顺序排列）。

具体设置方法为：

在策略路由表中点击要移动的路由选项（例如要移动策略路由 102）后的“移动”图标按钮 ，进入如下界面。

在第一个下拉框中选择参考位置路由，第二个下拉框中则是选择将当前路由移动到 参考路由之前还是之后。例如：要将路由 102 移动到路由 101 之前，则第一个下拉框选 择 ID “101”，第二个下拉框选择“之前”，点击“提交设定”按钮，则弹出移动成功 对话框。

点击“确定”返回路由界面，可以看到路由 102 已经移动到了 101 之前，如下图所 示。

3． 对象配置

A) 设置主机对象

选择 对象 > 地址对象 > 主机对象，右侧界面显示已有的主机对象，如下图所示。

点击“添加配置”，系统出现添加主机对象属性的页面，如下图所示。

B) 设置范围对象

选择 对象 > 地址对象 > 地址范围，右侧界面显示已有的地址范围对象，如下图所示。

点击“添加配置”，进入地址范围对象属性的页面，如下图所示。

C) 设置子网对象

选择 对象 > 地址对象 > 子网对象，在右侧页面内显示已有的子网地址对象，如下图所示。

D) 设置地址组

不同的地址对象可以组合为一个地址组，用作定义策略的目的或源。地址组的支持 增强了对象管理的层次性，使管理更加灵活。 设置地址组对象的步骤如下：

1）选择 对象 > 地址对象 > 地址组，在右侧页面内显示已有的地址组对象，如下 图所示。

2）选择“添加配置”，系统出现如下图所示的页面。

E) 自定义服务

当预定义的服务中找不到我们需要的服务端口时，我们可以自己定义服务端口： 1） 选择 对象 > 服务对象 > 自定义服务，点击“添加配置”，系统出现如下页面。

2）输入对象名称后，设置协议类型及端口号范围。 3）点击“提交设定”，完成设置。 F) 设置区域对象

系统支持区域的概念，用户可以根据实际情况，将网络划分为不同的安全域，并根据其不同的安全需求，定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则，网络卫士防火墙将根据目的接口所在区域的权限处理该报文。 设置区域对象，具体操作如下：

1）选择 对象 > 区域对象，显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0，并已和缺省属性对象 eth0 绑定，而属性对象 eth0 已和接口eth0 绑定，因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。 2）点击“添加配置”，增加一个区域对象，如下图所示。

在“对象名称”部分输入区域对象名称；

在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性（允许访问或禁止访问）。

在“选择属性”部分的左侧文本框中选择接口，然后点击 添加该区域具有的属性，被选接口将出现在右侧的“被选属性”文本框中，可以同时选择一个或多个。

3）设置完成后，点击“提交设定”按钮，如果添加成功会弹出“添加成功”对话 框。

4）点击“取消返回”则放弃添加，返回上一界面。

5）若要修改区域对象的设置，点击该区域对象所在行的修改图标“ ”进行修改。 6）若要删除区域对象，点击该区域对象所在行的删除图标“ ”进行删除。 G) 设置时间对象

用户可以设置时间对象，以便在访问控制规则中引用，从而实现更细粒度的控制。比如，用户希望针对工作时间和非工作时间设置不同的访问控制规则，引入时间对象的概念很容易解决该类问题。设置时间对象，具体操作如下：

1） 选择 对象 > 时间对象，点击“添加配置”，系统出现如下页面。

2）依次设置“对象名称”、“每周时段”和“每日时段”。 3）最后点击“提交设定”，完成对象设置。新添加的对象将显示在时间对象列表 中，如下图所示。

4）对已经添加的时间对象，可以点击修改图标修改其属性，也可以点击删除图标 删除该对象。 4． 访问策略配置

用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN 、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配，而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同，访问控制规则也是顺序匹配的，但与其不同，访问控制规则没

有默认规则。也就是说，如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话，系统将根据目的接口所在区域的缺省属性（允许访问或禁止访问）处理该报文。

定义访问规则，操作步骤如下：

1） 选择 防火墙引擎 > 访问控制，点击“添加配置”，进入访问控制规则定义界面。

表中“ID ”为每项规则的编号，在移动规则顺序时将会使用。

“控制”中的图标规则是否启用。

2）定义是否启用该访问控制规则（默认为启用该规则），以及访问权限。

和

，分别表示该项

访问权限定义了是否允许访问由规则源到规则目的所指定的服务。 3）定义规则的源

规则的源既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地址 对象以及用户组对象，如下图所示。

图中“选择源”右侧的

按钮为正序排列和倒序排列，用户可以方便的按序查

找项目。

另外，用户还可以选择相应的服务，即设置源端口，如下图所示。

4）定义规则的目的

规则的目的既可以是一个已经定义好的 VLAN 或区域，也可以细化到一个或多个地 址对象以及用户组对象，如下图所示。

另外，用户还可以设置进行地址转换前的目的地址，如下图所示。

5）定义服务

选择访问规则包含的服务，如果用户需要制定的服务没有包含在服务列表中，可以通过 添加自定义服务添加所需服务。如果没有选择任何服务，则系统默认为选择全部服务。

6）定义辅助选项

各项参数说明如下：

7）点击“提交设定”完成该条访问控制规则的设定。

8）用户可以点击 “修改”按钮，对现有规则进行编辑。可以点击 “插入”按钮，在现有规则间插入一条新规则。

8）点击“清空配置”，可以清除所有的访问控制规则，便于重新配置。

9）需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮，如下图所示。

用户可以选择相应 ID 、位置，移动策略。完成后点击“提交设定”保存或“取消 返回”放弃移动。 5． 高可用性配置

配置网络卫士防火墙双机热备的步骤如下：

1）选择 系统 > 高可用性，进入高可用性设置页面，如下图所示。

2） 设置主/从设备参数，参数说明请参见下表。

3）点击“提交设定”，完成双机热备设置。

四、 透明模式配置示例

拓补结构：

1． 用串口管理方式进入命令行

用WINDOWS 自带的超级终端或者SecureCRT 软件，使用9600的速率，用串口线连接到防火墙，用户名是superman ，密码是talent 。(具体方法见第一节) ，下面是具体配置，加粗显示的为命令行。 2． 配置接口属性 ETH0

将ETH0口配置为交换模式： network interface eth0 switchport 配置ETH0口的METRIC 值，用于计算双机热备的权值： network interface eth0 ha-metric 100

ETH1

将ETH1口配置为交换模式： network interface eth1 switchport 配置ETH1口的METRIC 值，用于计算双机热备的权值： network interface eth1 ha-metric 100

ETH2

配置ETH2口的METRIC 值，用于计算双机热备的权值： network interface eth2 ha-metric 100 将没有使用的ETH2口关闭： network interface eth2 shutdown

ETH3

配置同步接口ETH3的IP 地址和HA 标记：(11.1.1.0/30)

network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC 值，用于计算双机热备的权值： network interface eth3 ha-metric 100

3． 配置VLAN

添加VLAN1： network vlan add id 1 为VLAN1添加IP 地址：

network interface vlan.0001 ip add 192.168.1.250 mask 255.255.255.0 label 0

4． 配置区域属性

将区域缺省访问权限为禁止

define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off

5． 定义对象

定义主机地址对象

define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 ' 定义时间对象

define schedule add name 上班时间 week 12345 start 08:00 end 18:00

6． 添加系统权限

为ETH0口添加TELNET 权限

pf service add name telnet area area_eth0 addressname any

7． 配置访问策略

允许192.168.1.10在' 上班时间 '访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务：

firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal ' schedule '上班时间 '

8． 配置双机热备 配置本机同步IP

ha local 11.1.1.1

配置对端机器同步IP

ha peer 11.1.1.2 启动双机热备功能 ha enable

注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP 地址为11.1.1.2；另一个是双机热备配置中的本机同步IP 和对端机器同步IP 相反，本机IP 为11.1.1.2，对端机器IP 为11.1.1.1，完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。

五、 路由模式配置示例

拓补结构：

1． 用串口管理方式进入命令行 方法同上面的透明模式。 2． 配置接口属性

配置ETH0口的IP 地址：

network interface eth0 ip add 192.168.1.250 mask 255.255.255.0 label 0 配置ETH0口的METRIC 值，用于计算双机热备的权值： network interface eth0 ha-metric 100 配置ETH1口的IP 地址：

network interface eth1 ip add 192.168.2.250 mask 255.255.255.0 label 0 配置ETH1口的METRIC 值，用于计算双机热备的权值： network interface eth1 ha-metric 100

配置ETH2口的METRIC 值，用于计算双机热备的权值： network interface eth2 ha-metric 100 将没有使用的ETH2口关闭： network interface eth2 shutdown

配置同步接口ETH3的IP 地址和HA 标记：

network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC 值，用于计算双机热备的权值： network interface eth3 ha-metric 100

3． 配置路由

配置到192.168.3.0/24网段的路由：

network route add dst 192.168.3.0/24 gw 192.168.1.254 metric 1 id 100 配置到192.168.4.0/24网段的路由：

network route add dst 192.168.4.0/24 gw 192.168.2.254 metric 1 id 101

4． 配置区域属性

将区域缺省访问权限为禁止

define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off

5． 配置主机对象

define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 '

6． 配置访问策略

允许192.168.1.10访问192.168.1.20的PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal这些服务：

firewall policy add action accept srcarea 'area_eth0 ' dstarea 'area_eth1 ' src '192.168.1.10 ' dst '192.168.1.20 ' service 'PING FTP SSH TELNET SMTP DNS_Query TFTP HTTP POP3 NETBIOS-SSN(TCP) MICROSOFT-DS(TCP) MSTerminal '

7． 配置双机热备

配置本机同步IP

ha local 11.1.1.1

配置对端机器同步IP

ha peer 11.1.1.2

启动双机热备功能

ha enable

注：配置好一台防火墙后，我们要配置另一台热备的防火墙，其配置基本上与致，唯一不同的只有两个地方，一个是同步接口ETH3的IP 地址为11.1.1.2；另一个是双机热备配置中的本机同步IP 和对端机器同步IP 相反，本机IP 为11.1.1.2，对端机器IP 为11.1.1.1，完成配置之后，我们先接好心跳线，将两台防火墙的ETH3口连接，然后接上其他接口的网线，到此透明模式的双机热备配置完成。