天融信版本防火墙常用功能配置手册.doc

资源描述

1、天融信天融信 3.33.3 版本防火墙版本防火墙常用功能配置手册常用功能配置手册北京天融信南京分公司北京天融信南京分公司 20232023 年年 5 5 月月目录目录一、前言.错误错误!未定义书签。未定义书签。二、天融信 3.3 版本防火墙配置概述.错误错误!未定义书签。未定义书签。三、天融信防火墙一些基本概念.错误错误!未定义书签。未定义书签。四、防火墙管理.错误错误!未定义书签。未定义书签。五、防火墙配置.错误错误!未定义书签。未定义书签。（1）防火墙路由模式案例配置.错误错误!未定义书签。未定义书签。1、防火墙接口 IP 地址配置.错误错误!未定义书签。未定义书签。2、区域和缺

2、省访问权限配置.错误错误!未定义书签。未定义书签。3、防火墙管理权限设立（定义希望从哪个区域管理防火墙）.错误错误!未定义书签。未定义书签。4、路由表配置.错误错误!未定义书签。未定义书签。5、定义对象（涉及地址对象、服务对象、时间对象）.错误错误!未定义书签。未定义书签。6、地址转换策略.错误错误!未定义书签。未定义书签。7、制定访问控制策略.错误错误!未定义书签。未定义书签。8、配置保存.错误错误!未定义书签。未定义书签。9、配置文献备份.错误错误!未定义书签。未定义书签。（2）防火墙透明模式案例配置.错误错误!未定义书签。未定义书签。1、防火墙接口 IP 配置.错误错误!未定义书签。未定

3、义书签。2、区域和缺省访问权限配置.错误错误!未定义书签。未定义书签。3、防火墙管理权限设立（定义希望从哪个区域管理防火墙）.错误错误!未定义书签。未定义书签。4、路由表配置.错误错误!未定义书签。未定义书签。5、定义对象（涉及地址对象、服务对象、时间对象）.错误错误!未定义书签。未定义书签。6、制定访问控制策略.错误错误!未定义书签。未定义书签。7、配置保存.错误错误!未定义书签。未定义书签。8、配置文献备份.错误错误!未定义书签。未定义书签。一一、前言前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完毕对

4、天融信防火墙基本功能的实现和应用。二二、天融信、天融信 3.3 版本防火墙配置概述版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多规定，建议参照以下思绪和环节对天融信防火墙进行配置和管理。1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式），根据拟定好的防火墙的工作模式给防火墙分派合理的IP地址。2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象（地址对象、服务对象、时间对象）7

5、、制定地址转换策略（涉及四种地址转换策略：源地址转换、目的地址转换、双向转换、不做转换）8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文献备份提醒：每次修改配置前，建议一方面备份防火墙再修改配置，避免防火墙配置不妥导致网络长时间中断。三三、天融信防火墙一些基本概念、天融信防火墙一些基本概念接口：和防火墙的物理端口一一相应，如 Eth0、Eth1 等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，防火墙的区域和接口并不是一一相应的，也就是说一个区域可以涉及多个接口。在安装防火墙前，一方面要对整个受控网络进行分析，并根据网络设备，如主机、服务器等

6、所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管理员在对防火墙进行配置前一方面要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对象自身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中，用户可定义的对象类型涉及：区域、地址、地址组、服务、服务组、以及时间等。提醒：对象名称不允许出现的特殊字符：空格、“”、“”、“”、“/”、“;”、“”、“$”、“&”、“”、“#”、“+”。提醒：防火墙所有需要引用对象

7、的配置，请先定义对象，才干引用。四四、防火墙管理、防火墙管理防火墙缺省管理接口为 eth0 口，管理地址为 192.168.1.254，缺省登录管理员帐号：用户名 superman，口令 talent。防火墙出厂配置如下：防火墙支持以下管理方式：防火墙支持以下管理方式：串口(console)管理方式：超级终端参数设立波特率 9600。输入 helpmode chinese 命令可以看到中文化菜单。WEBUI 管理方式（https 协议）：在输入 URL 时要注意以“https:/”作为协议类型，例如,推荐使用 IE 浏览器进行登录管理。在浏览器输入：HTTPS:/192.168.1.254，

8、看到下列提醒，选择“是”TELNET 管理方式：模拟 console 管理方式 SSH 管理方式：模拟 console 管理方式提醒：要想通过 TELNET、SSH 方式管理防火墙，必须一方面打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统管理”“配置”“开放服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加 TELNET、SSH 方式等管理方式即可。五五、防火墙防火墙配置配置（1 1）防火墙）防火墙路由模式路由模式案例案例配置配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接受到的数据包的源 MAC 地址替换为相应接口的 MAC 地址，然后转发。该模式合

9、用于每个区域都不在同一个网段的情况。和路由器同样，天融信防火墙的每个接口均要根据区域规划配置 IP 地址。配置需求：配置需求：1、内网客户机可以访问互联网 2、外网仅可以访问 WEB 服务器 HTTP 应用，严禁其他访问 3、外网严禁访问内网拓扑图如下：拓扑图如下：1 1、防火墙防火墙接口接口 IPIP 地址地址配置配置进入防火墙管理界面，点击”网络管理网络管理“接口接口”物理接口物理接口“，依次点击每个接口的“设立设立”按钮可以添加每个接口的描述和接口IP地址。2 2、区域和缺省访问权限配置、区域和缺省访问权限配置在“资产管理资产管理”“区域“区域”中定义防火墙区域（接入相同安全等级的

10、网络接接入相同安全等级的网络接口的组合为一个区域口的组合为一个区域），点击“添加”“添加”。权限选择为“严禁访问”“严禁访问”，即访问该区域缺省权限为严禁访问。依次创建若干区域依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）提醒：有几个安全等级就需要创建几个区域，即假如网络之间需要配置访问规则，那就需要配置不同的区域。3 3、防火墙管理权限设立（定义希望从哪个区域管理防火墙）、防火墙管理权限设立（定义希望从哪个区域管理防火墙）默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加）

11、，点击“系统管理系统管理”“配置配置”“开放服务开放服务”，点击添加，常用服务有WEBUI(即WEB管理)、ping、Telnet等（请根据管理需要添加相应管理服务）4 4、路由表配置、路由表配置添加静态路由，在“网络管理网络管理”“路由路由”“静态路由静态路由”，点击添加添加添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。假如防火墙和客户端之间有三层设备（比如三层互换机或者路由器），请注意添加相应静态路由。5 5、定义定义对象对象（涉及地址对象、服务对象、时间对象）（涉及地址对象、服务对象、时间对象）提醒：防火墙所有需要引用对象(如地址转换策略、访问

12、控制策略等)的配置，请先定义对象，才干引用。定义地址对象定义地址对象添加单个主机对象添加单个主机对象点击”资源管理资源管理“地址地址”“主机主机”，点击右上角“添加配置添加配置”添加地址范围添加地址范围点击”资源管理资源管理“地址地址”“范围范围”，点击右上角“添加配置添加配置”添加子网添加子网点击”资源管理资源管理“地址地址”“子网子网”，点击右上角“添加配置添加配置”添加地址组添加地址组点击”资源管理资源管理“地址地址”“地址组地址组”，点击右上角“添加配置添加配置”定义服务对象定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时

13、，需要我们通过自定义方式加以定义。点击“资源管理”“资源管理”“服务”“服务”“自定义服务”“自定义服务”，点击“添加”“添加”，可以添加单个端口或范围。注意单个端口只填起始端口定义时间对象定义时间对象点击“资源管理”“资源管理”“时间时间”，点击“添加添加”，可以设立单次和多次 6 6、地址转换策略、地址转换策略内网可以访问互联网，需要配置源转换内网可以访问互联网，需要配置源转换在“防火墙防火墙”“地址转换地址转换”，点击 “添加添加”选择“源转换”“源转换”，点击“高级”“高级”，源选择源区域“内内网网”，目的选择目的区域“外网外网”，源转换为Eth1接口（即转换为Eth1接口IP

14、地址）或者转换111.111.111.230主机地址。假如需要源地址转换为一段地址，则一方面需要创建一段地址范围，且该地址范围不能设立排除IP地址。WWe eb b 服务器发布，需要配置目的转换服务器发布，需要配置目的转换一方面需要添加Web服务器地址对象（10.1.1.1，服务器真实地址）、外网访问的地址对象（111.111.111.230，合法地址），具体配置见定义对象定义对象章节。目的转换有两种方式：地址转换、端口转换。地址转地址转换：换：从一个 IP 地址到另一个 IP 地址的映射。安全网关设备将到达映射地址（合法IP）的所有信息流中的目的IP 地址转换成主机 IP 地址（即服务器真

15、实地址）。地址转换建议在映射地址资源富余时、服务器使用端口较多且地址转换建议在映射地址资源富余时、服务器使用端口较多且端口不连续、服务器端口不是固定端口时使用。端口不连续、服务器端口不是固定端口时使用。端口转换：端口转换：从一个 IP 地址到基于目的端标语的多个IP 地址的映射，即单个 IP 地址可以托管从若干服务(使用不同的目的端标语标记)到同样多主机的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。配置配置WebWeb服务器映射有两服务器映射有两种方式种方式：（）端口转换（）端口转换在“防火墙防火墙”“地址转换

16、地址转换”，点击 “添加添加”选择“目的“目的转换”转换”，点击“高级”“高级”，源选择源区域“外外网网”，目的选择“外外网访问的地址对象（网访问的地址对象（111.111.111.230111.111.111.230）”，服务选择“HTTPHTTP”服务，目的地址转换为选择“WebWeb服务器地址对象（服务器地址对象（10.1.1.110.1.1.1），即服务器真实地址，即服务器真实地址”，目的端口转换为“HTTPHTTP”服务。（）地址映射（）地址映射在“防火墙防火墙”“地址转换地址转换”，点击 “添加添加”选择“目的“目的转换”转换”，点击“高级”“高级”，源选择源区域“外网外网”，目

17、的选择“外外网访问的地址对象（网访问的地址对象（11111.111.111.2301.111.111.230）”，目的地址转换为选择“WebWeb服务器服务器地址对象（地址对象（10.1.1.110.1.1.1），即服务器真实地址，即服务器真实地址”。第一条为内网访问外网做第一条为内网访问外网做源转换源转换；第二条为外网访问第二条为外网访问WEBWEB服务器的映射地址，防火墙把包转发给服务器的真实服务器的映射地址，防火墙把包转发给服务器的真实IPIP。地址转换需要注意的问题：地址转换需要注意的问题：1、天融信防火墙先匹配目的转换规则，再对其他的地址转换规则按照从上往下的顺序进行匹配，在目的转换

18、规则中也是按照排列顺序进行匹配。在匹配过程中，一旦存在一条匹配的地址转换规则，防火墙将停止检索，并按所定义的规则解决数据包，所以规则的类型和先后顺序决定了数据包的解决方式，目的NAT 规则要优先于其他NAT 规则。2、假如内网用户需要通过服务器映射地址访问假如内网用户需要通过服务器映射地址访问webweb服务器时，还需针对内服务器时，还需针对内网添加地址转换。网添加地址转换。如案例假如内网需要访问111.111.111.230（合法地址）来访问web服务器需要单独添加地址转换。下面以端口转换为例，地址转换请参照外网访问web服务器。在“防火墙防火墙”“地址转换地址转换”，点击 “添加添加”选择

19、“双向“双向转换”转换”，点击“高级”“高级”，源选择源区域“内网内网”，目的选择“外外网访问的地址对象（网访问的地址对象（111.111.111.230111.111.111.230）”，服务选择“HTTPHTTP”服务，目的端口转换为“HTTPHTTP”服务。源地址转为选择“外网访问的地址对象外网访问的地址对象（111.111.111.230111.111.111.230）”，目的地址转换为选择“WebWeb服务器地址对象（服务器地址对象（10.1.1.110.1.1.1），即服务器真实地址即服务器真实地址”，目的转换为选择“HTTPHTT

20、P服务“服务“。7 7、制定访问控制策略制定访问控制策略在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”第一条规则定义内网可以访问外网第一条规则定义内网可以访问外网在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”选择“源“源”，点击“高级”“高级”，源选择源区域“内网内网”，目的选择目的区域“外外网网”,点击“高级”“高级”,动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”选择“源“源”，点击“高级”“高级”，源选择源区域“内网、内网、外网外网”，目的选

21、择“WebWeb服务器地址对象（服务器地址对象（10.1.1.110.1.1.1），即服务器真实地址，即服务器真实地址”,服务选择”HTTPHTTP服务服务”，动作“允许”“允许”（默认选项）。第一条规则定义内网可以访问外网。源选择“外网“外网”；目的可以选择目的区域“外网”“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。源选择“内网、内网、外网”外网”，目的选择服务器真实的IP地址10.1.1.1，服务选择“HTTPHTTP”服务。访问规则访问规则需要注意的问题：需要注意的问题：访问控制规则描述了天融信防火墙允许或严禁匹配

22、访问控制规则的报文通过。防火墙接受到报文后，将顺序匹配访问控制规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）解决该报文，不再进行区域缺省属性的检查。假如不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性（允许访问或严禁访问），解决该报文。区域属性设立请参见“3、区域和缺省访问权限配置”。1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 8 8、配置保存、配置保存点击管理界面右上角“保存配置”“保存配置”配置完毕后，配置立即生效，但是一定要保存配置，否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设

23、备启动配置。9 9、配置文献备份、配置文献备份配置完毕并确认运营正常以后，请备份配置文献。选择“系统管理“系统管理”“维“维护”护”“配置维护”“配置维护”，选择“保存配置”“保存配置”提醒：每次修改配置前，建议一方面备份防火墙再修改配置，避免防火墙配置不妥导致网络长时间中断。（2 2）防火墙透明模式案例配置）防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为互换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，涉及IP 和MAC 地址，直接把包转发出去。同时，天融信防火墙可以在设立了IP 的VLAN 之间进行路由转发。配置需求：配置需求：1、内网客户机可以

24、访问互联网 2、外网仅可以访问 WEB 服务器 HTTP 应用，严禁其他访问 3、外网严禁访问内网拓扑图如下：拓扑图如下：1 1、防火墙接口、防火墙接口 IPIP 配置配置定义一个VLAN(本案例创建VLAN 1)，点击“网络管理网络管理”“二层网二层网络络”“VLAN”“VLAN”“添加添加/删除删除VLANVLAN范围范围”。设立VLAN 1接口IP地址及子网掩码。分别把ETH0、ETH1、ETH2接口加入到VLAN 1中，点击”网络管理网络管理“接接口口”物理接口物理接口“，依次点击接口的“设立“设立”按钮可以把接口加入到VLAN 1中。2 2、区域和缺省访问权限配置、区域和缺省访问

25、权限配置在“资产管理资产管理”“区域“区域”中定义防火墙区域（接入相同安全等级的网络接接入相同安全等级的网络接口的组合为一个区域口的组合为一个区域），点击“添加”“添加”。权限选择为“严禁访问”“严禁访问”，即访问该区域缺省权限为严禁访问。依次创建若干区域依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）提醒：有几个安全等级就需要创建几个区域，即假如网络之间需要配置访问规则，那就需要配置不同的区域。3 3、防火墙管理权限设立（定义希望从哪个区域管理防火墙）、防火墙管理权限设立（定义希望从哪个区域管理防火墙）默认只能从ETH0接口

26、对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理系统管理”“配置配置”“开放服务开放服务”，点击添加，常用服务有WEBUI(即WEB管理)、ping、Telnet等（请根据管理需要添加相应管理服务）4 4、路由表配置、路由表配置假如防火墙和客户端之间有三层设备（比如三层互换机或者路由器），非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参与防火墙管理，与数据通信无关。假如不需要跨网段管理防火墙，无需设立路由表。添加静态路由，在“网络管理网络管理”“路由路由”“静态路由静态路由”，点击添加添加添加缺省路由时，目的地址和

27、目的掩码都为0.0.0.0，网关为下一条地址，其他选项为空。5 5、定义对象（涉及地址对象、服务对象、时间对象）、定义对象（涉及地址对象、服务对象、时间对象）提醒：防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的配置，请先定义对象，才干引用。定义地址对象定义地址对象添加单个主机对象添加单个主机对象点击”资源管理资源管理“地址地址”“主机主机”，点击右上角“添加配置添加配置”添加地址范围添加地址范围点击”资源管理资源管理“地址地址”“范围范围”，点击右上角“添加配置添加配置”添加子网添加子网点击”资源管理资源管理“地址地址”“子网子网”，点击右上角“添加配置添加配置”添加地址组

28、添加地址组点击”资源管理资源管理“地址地址”“地址组地址组”，点击右上角“添加配置添加配置”定义服务对象定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击“资源管理”“资源管理”“服务”服务”“自定义服务”“自定义服务”，点击“添加”“添加”，可以添加单个端口或范围。注意单个端口只填起始端口定义时间对象定义时间对象点击“资源管理”“资源管理”“时间时间”，点击“添加添加”，可以设立单次和多次 6 6、制定访问控制策略、制定访问控制策略在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”第一条

29、规则定义内网可以访问外网第一条规则定义内网可以访问外网在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”选择“源“源”，点击“高级”“高级”，源选择源区域“内网内网”，目的选择目的区域“外外网网”,点击“高级”“高级”,动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。在“防火墙防火墙”“访问控制访问控制”，点击 “添加添加”选择“源“源”，点击“高级”“高级”，源选择源区域“内网、外网内网、外网”，目的选择“WebWeb服务器地址对象（服务器地址对象（111111.1.11111.11111.11.1），即服务器真实地址，即

30、服务器真实地址”,服务选择”HTTPHTTP服服务务”，动作“允许”“允许”（默认选项）。第一条规则定义内网可以访问外网。源选择“外网“外网”；目的可以选择目的区域“外网”“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。源选择“内网、内网、外网”外网”，目的选择服务器真实的IP地址111.111.111.1，服务选择“HTTPHTTP”服务。访问规则访问规则需要注意的问题：需要注意的问题：访问控制规则描述了天融信防火墙允许或严禁匹配访问控制规则的报文通过。防火墙接受到报文后，将顺序匹配访问控制规则表中所设定规则。一旦寻找到匹

31、配的规则，则按照该策略所规定的操作（允许或丢弃）解决该报文，不再进行区域缺省属性的检查。假如不存在可匹配的访问策略，天融信防火墙将根据目的接口所在区域的缺省属性（允许访问或严禁访问），解决该报文。区域属性设立请参见“3、区域和缺省访问权限配置”。1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 7 7、配置保存、配置保存点击管理界面右上角“保存配置”“保存配置”配置完毕后，配置立即生效，但是一定要保存配置，否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。8 8、配置文献备份、配置文献备份配置完毕并确认运营正常以后，请备份配置文献。选择“系统管理“系统管理”“维“维护”护”“配置维护”“配置维护”，选择“保存配置”“保存配置”提醒：每次修改配置前，建议一方面备份防火墙再修改配置，避免防火墙配置不妥导致网络长时间中断。

展开阅读全文