天融信防火墙NGFW4000快速配置手册..doc

天融信防火墙NGFW4000快速配置手册 防火墙的几种管理方式 串口管理 第一次使用网络卫士防火墙，管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙，可以对防火墙进行一些基本的设置。用户在初次使用防火墙时，通常都会登录到防火墙更改出厂配置（接口、IP 地址等），使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙： 1）使用一条串口线（包含在出厂配件中），分别连接计算机的串口（这里假设使用 com1）和防火墙的 CONSOLE 口。 2）选择 开始 程序 附件 通讯 超级终端，系统提示输入新建连接的名称。 3）输入名称，这里假设名称为“TOPSEC”，点击“确定”后，提示选择使用的接口（假设使用 com1）。 4）设置 com1 口的属性，按照以下参数进行设置。 参数名称 取值 每秒位数： 9600 数据位： 8 奇偶校验： 无 停止位： 1 5）成功连接到防火墙后，超级终端界面会出现输入用户名/密码的提示，如下图。 6）输入系统默认的用户名：superman 和密码：talent，即可登录到网络卫士防火 墙。登录后，用户就可使用命令行方式对网络卫士防火墙进行配置管理。 TELNET管理 TELNET管理也是命令行管理方式，要进行TELNET管理，必须进行以下设置： 在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 在串口下用“system telnetd start” 命令启动TELNET管理服务 知道管理IP地址，或者用“network interface eth0 ip add 50 mask ”命令添加管理IP地址 然后用各种命令行客户端(如WINDOWS CMD命令行)管理：TELNET 50 最后输入用户名和密码进行管理命令行如图： SSH管理 SSH管理和TELNET基本一至，只不过SSH是加密的，我们用如下步骤管理： 在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限 在串口下用“system sshd start” 命令启动TELNET管理服务 知道管理IP地址，或者用“network interface eth0 ip add 50 mask ”命令添加管理IP地址 然后用各种命令行客户端(如putty命令行)管理：50 最后输入用户名和密码进行管理命令行如图： WEB管理 1)防火墙在出厂时缺省已经配置有WEB界面管理权限，如果没有，可用“pf service add name webui area area_eth0 addressname any”命令添加。 2)WEB管理服务缺省是启动的，如果没有启动，也可用“system httpd start”命令打开，管理员在管理主机的浏览器上输入防火墙的管理 URL，例如： 50，弹出如下的登录页面。 输入用户名密码后（网络卫士防火墙默认出厂用户名/密码为：superman/talent）， 点击“提交”，就可以进入管理页面。 GUI管理 GUI图形界面管理跟WEB界面一样，只是，在管理中心中集成了一些安全工具，如监控，抓包，跟踪等 安装管理中心软件 运行管理软件 右击树形“TOPSEC管理中心”添加管理IP 右击管理IP地址，选择“管理”，输入用户名和密码进行管理 也可右击管理IP地址，选择“安全工具”，进行实时监控 选择：安全工具-连接监控 点击启动，在弹出的窗口中增加过滤条件，可用缺省值监控所有连接。 选中增加的过滤条件，点设置就可以看到实时的监控效果了，如下图： 命令行常用配置 (注：用串口、TELNET、SSH方式进入到命令行管理界面，天融信防火墙命令行管理可以完成所有图形界面管理功能，命令行支持TAB键补齐和TAB键帮助，命令支持多级操作，可以在系统级，也就是第一级直接输入完整的命令；也可以进入相应的功能组件级，输入对应组件命令。具体分级如下表：) 系统级 系统级为第一级，提供设备的基本管理命令。CLI管理员登录后，直接进入该级，显示为：TopsecOS#。 组件级 组件级为第二级，提供每个安全组件（SE）所独有的管理命令。 在系统级下，TopsecOS #tab 按 tab键，则显示出安全组件级命令见下表。 类别 关键字内容 说明 一级命令名 system 系统管理目录 network 网络设置 Ha 高可用性设置 define 网络对