发布时间 : 星期六 文章天融信防火墙NGFW4000配置手册更新完毕开始阅读7ae01a5aa100a6c30c22590102020740be1ecd9f
点击“提交设定”则完成接口从路由模式向交换模式的转换。 4)点击“其他”按钮,可以设置接口的其他信息,如下图。
B) 设置路由
用户可以在网络卫士防火墙上设置策略路由及静态路由,具体步骤如下:
1)在左侧导航菜单中选择 网络 > 静态路由,可以看到已经添加的策略路由表以 及系统自动添加的静态路由表,如下图所示。
2)设置策略路由,点击“添加策略路由”,如下图所示。
其中“网关”为下一跳路由器的入口地址,“端口”指定了从防火墙设备的哪一个接口(包括物理接口和 VLAN 虚接口)发送数据包。Metric 为接口跃点数,默认为 1。如果选择“NAT 后的源”为“是”,表示策略路由的源地址为 NAT 后的地址,策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”,策略路由添加成功后的“标记”一栏显示为“U”。
3)设置完成后,点击“提交设定”按钮,如果添加成功会弹出“添加成功”对话框。点击“取消返回”则放弃添加,返回上一界面。
若要删除某路由项,点击该路由项所在行的删除图标“ ”进行删除。
4)移动策略路由。由于策略执行为第一匹配原则,则策略的顺序与策略的逻辑相关,在此可以改变添加策略时候的缺省的执行顺序(按照添加顺序排列)。
具体设置方法为:
在策略路由表中点击要移动的路由选项(例如要移动策略路由 102)后的“移动”图标按钮 ,进入如下界面。
在第一个下拉框中选择参考位置路由,第二个下拉框中则是选择将当前路由移动到 参考路由之前还是之后。例如:要将路由 102 移动到路由 101 之前,则第一个下拉框选 择 ID“101”,第二个下拉框选择“之前”,点击“提交设定”按钮,则弹出移动成功 对话框。
点击“确定”返回路由界面,可以看到路由 102 已经移动到了 101 之前,如下图所 示。
3. 对象配置
A) 设置主机对象
选择 对象 > 地址对象 > 主机对象,右侧界面显示已有的主机对象,如下图所示。
点击“添加配置”,系统出现添加主机对象属性的页面,如下图所示。
B) 设置范围对象
选择 对象 > 地址对象 > 地址范围,右侧界面显示已有的地址范围对象,如下图所示。
点击“添加配置”,进入地址范围对象属性的页面,如下图所示。
C) 设置子网对象
选择 对象 > 地址对象 > 子网对象,在右侧页面内显示已有的子网地址对象,如下图所示。
D) 设置地址组
不同的地址对象可以组合为一个地址组,用作定义策略的目的或源。地址组的支持 增强了对象管理的层次性,使管理更加灵活。 设置地址组对象的步骤如下:
1)选择 对象 > 地址对象 > 地址组,在右侧页面内显示已有的地址组对象,如下 图所示。
2)选择“添加配置”,系统出现如下图所示的页面。
E) 自定义服务
当预定义的服务中找不到我们需要的服务端口时,我们可以自己定义服务端口: 1) 选择 对象 > 服务对象 > 自定义服务,点击“添加配置”,系统出现如下页面。
2)输入对象名称后,设置协议类型及端口号范围。 3)点击“提交设定”,完成设置。 F) 设置区域对象
系统支持区域的概念,用户可以根据实际情况,将网络划分为不同的安全域,并根据其不同的安全需求,定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则,网络卫士防火墙将根据目的接口所在区域的权限处理该报文。 设置区域对象,具体操作如下:
1)选择 对象 > 区域对象,显示已有的区域对象。防火墙出厂配置中缺省区域对象为 AREA_ETH0,并已和缺省属性对象 eth0 绑定,而属性对象 eth0 已和接口eth0 绑定,因此出厂配置中防火墙的物理接口 eth0 已属于区域 AREA_ETH0。 2)点击“添加配置”,增加一个区域对象,如下图所示。
在“对象名称”部分输入区域对象名称;
在“权限选择”部分设定和该区域所属属性绑定的接口的缺省属性(允许访问或禁止访问)。
在“选择属性”部分的左侧文本框中选择接口,然后点击 添加该区域具有的属性,被选接口将出现在右侧的“被选属性”文本框中,可以同时选择一个或多个。
3)设置完成后,点击“提交设定”按钮,如果添加成功会弹出“添加成功”对话 框。
4)点击“取消返回”则放弃添加,返回上一界面。
5)若要修改区域对象的设置,点击该区域对象所在行的修改图标“ ”进行修改。 6)若要删除区域对象,点击该区域对象所在行的删除图标“ ”进行删除。 G) 设置时间对象
用户可以设置时间对象,以便在访问控制规则中引用,从而实现更细粒度的控制。比如,用户希望针对工作时间和非工作时间设置不同的访问控制规则,引入时间对象的概念很容易解决该类问题。设置时间对象,具体操作如下:
1) 选择 对象 > 时间对象,点击“添加配置”,系统出现如下页面。
2)依次设置“对象名称”、“每周时段”和“每日时段”。 3)最后点击“提交设定”,完成对象设置。新添加的对象将显示在时间对象列表 中,如下图所示。
4)对已经添加的时间对象,可以点击修改图标修改其属性,也可以点击删除图标 删除该对象。 4. 访问策略配置
用户可以通过设置访问控制规则实现灵活、强大的三到七层的访问控制。系统不但可以从区域、VLAN、地址、用户、连接、时间等多个层面对数据报文进行判别和匹配,而且还可以针对多种应用层协议进行深度内容检测和过滤。与报文阻断策略相同,访问控制规则也是顺序匹配的,但与其不同,访问控制规则没有默认规则。也就是说,如果没有在访问控制规则列表的末尾添加一条全部拒绝的规则的话,系统将根据目的接口所在区域的缺省属性(允许访问或禁止访问)处理该报文。
定义访问规则,操作步骤如下:
1) 选择 防火墙引擎 > 访问控制,点击“添加配置”,进入访问控制规则定义界面。
表中“ID”为每项规则的编号,在移动规则顺序时将会使用。“控制”中的图标和 ,分别表示该项规则是否启用。
2)定义是否启用该访问控制规则(默认为启用该规则),以及访问权限。
访问权限定义了是否允许访问由规则源到规则目的所指定的服务。 3)定义规则的源
规则的源既可以是一个已经定义好的 VLAN 或区域,也可以细化到一个或多个地址 对象以及用户组对象,如下图所示。
图中“选择源”右侧的按钮为正序排列和倒序排列,用户可以方便的按序查 找项目。
另外,用户还可以选择相应的服务,即设置源端口,如下图所示。
4)定义规则的目的
规则的目的既可以是一个已经定义好的 VLAN 或区域,也可以细化到一个或多个地 址对象以及用户组对象,如下图所示。
另外,用户还可以设置进行地址转换前的目的地址,如下图所示。
5)定义服务
选择访问规则包含的服务,如果用户需要制定的服务没有包含在服务列表中,可以通过 添加自定义服务添加所需服务。如果没有选择任何服务,则系统默认为选择全部服务。
6)定义辅助选项
各项参数说明如下:
7)点击“提交设定”完成该条访问控制规则的设定。
8)用户可以点击 “修改”按钮,对现有规则进行编辑。可以点击 “插入”按钮,在现有规则间插入一条新规则。
8)点击“清空配置”,可以清除所有的访问控制规则,便于重新配置。
9)需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮,如下图所示。
用户可以选择相应 ID、位置,移动策略。完成后点击“提交设定”保存或“取消
返回”放弃移动。 5. 高可用性配置
配置网络卫士防火墙双机热备的步骤如下:
1)选择 系统 > 高可用性,进入高可用性设置页面,如下图所示。
2) 设置主/从设备参数,参数说明请参见下表。
3)点击“提交设定”,完成双机热备设置。