天融信版本防火墻常用功能配置手冊(cè)v

天融信版本防火墻

常用功能配置手冊(cè)北京天融信南京分公司2008年5月目錄一、前曰我們制作本安裝手冊(cè)的目的是使工程技術(shù)人員在配置天融信網(wǎng)絡(luò)衛(wèi)士防火墻（在本安裝手冊(cè)中簡(jiǎn)稱為“天融信防火墻”）時(shí)，可以通過(guò)此安裝手冊(cè)完成對(duì)天融信防火墻基本功能的實(shí)現(xiàn)和應(yīng)用。二、天融信版本防火墻配置概述天融信防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備，可以支持各種復(fù)雜網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)安全應(yīng)用需求。在配置天融信防火墻之前我們通常需要先了解用戶現(xiàn)有網(wǎng)絡(luò)的規(guī)劃情況和用戶對(duì)防火墻配置及實(shí)現(xiàn)功能的諸多要求，建議參照以下思路和步驟對(duì)天融信防火墻進(jìn)行配置和管理。1、根據(jù)網(wǎng)絡(luò)環(huán)境考慮防火墻部署模式（路由模式、透明模式、混合模式），根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址。2、防火墻接口IP配置3、區(qū)域和缺省訪問(wèn)權(quán)限配置4、防火墻管理權(quán)限配置5、路由表配置6、定義對(duì)象（地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）7、制定地址轉(zhuǎn)換策略（包括四種地址轉(zhuǎn)換策略：源地址轉(zhuǎn)換、目的地址轉(zhuǎn)換、雙向轉(zhuǎn)換、不做轉(zhuǎn)換）8、制定訪問(wèn)控制策略9、其他特殊應(yīng)用配置10、配置保存11、配置文件備份提示：每次修改配置前，建議首先備份防火墻再修改配置，避免防火墻配置不當(dāng)造成網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷。三、天融信防火墻一些基本概念接口：和防火墻的物理端口——對(duì)應(yīng)，如Eth0、Eth1等。區(qū)域：可以把區(qū)域看作是一段具有相似安全屬性的網(wǎng)絡(luò)空間。在區(qū)域的劃分上，防火墻的區(qū)域和接口并不是一一對(duì)應(yīng)的，也就是說(shuō)一個(gè)區(qū)域可以包括多個(gè)接口。在安裝防火墻前，首先要對(duì)整個(gè)受控網(wǎng)絡(luò)進(jìn)行分析，并根據(jù)網(wǎng)絡(luò)設(shè)備，如主機(jī)、服務(wù)器等所需要的安全保護(hù)等級(jí)來(lái)劃分區(qū)域。對(duì)象:防火墻大多數(shù)的功能配置都是基于對(duì)象的。如訪問(wèn)控制策略、地址轉(zhuǎn)換策略、服務(wù)器負(fù)載均衡策略、認(rèn)證管理等。可以說(shuō)，定義各種類型的對(duì)象是管理員在對(duì)防火墻進(jìn)行配置前首先要做的工作之一。對(duì)象概念的使用大大簡(jiǎn)化了管理員對(duì)防火墻的管理工作。當(dāng)某個(gè)對(duì)象的屬性發(fā)生變化時(shí)，管理員只需要修改對(duì)象本身的屬性即可，而無(wú)需修改所有涉及到這個(gè)對(duì)象的策略或規(guī)則。防火墻中，用戶可定義的對(duì)象類型包括：區(qū)域、地址、地址組、服務(wù)、服務(wù)組、以及時(shí)間等。。提示：對(duì)象名稱不允許出現(xiàn)的特殊字符：空格、“’”、"〃”、“\”、“/”、“；”、“〃”、“$”、"&”、"<”、">”、"#”、"+”。。提示：防火墻所有需要引用對(duì)象的配置，請(qǐng)先定義對(duì)象，才能引用。四、防火墻管理防火墻缺省管理接口為eth0口，管理地址為，缺省登錄管理員帳號(hào)：用戶名superman，口令talent。防火墻出廠配置如下：■mmi火墻直i餌時(shí)使出nmnbkb傍理用尸的抑.員用戶￡^upei'man管押?jiǎn)T拆媽xalenx;同一曾理員最多允許登景火湫次數(shù)晌一管理場(chǎng)景丈養(yǎng)SMffgI&DifeOS5為鍋t號(hào)光在的最.J、也拉麟也.:分之一同一茯JW捉舊滂費(fèi)管理地點(diǎn)最Jt莞錄用尸數(shù)C管舞員?空用超時(shí)物理接口EihOJELANH)IP：192.】槌.1.254些他接口ShuTiiom曜務(wù)訪何麴制W53LT.；亍如."密眺"〔峋|充*來(lái)自改MH值浦＜日）上的GUI管理|通過(guò)TO?SECg中心＞AflF>BEihO(j^LMI：nJ:的ft務(wù)iff求SSH(3111：SSHii■龍曹來(lái)自EthO〈或UH口）上的膻普if拿|F|■甄■回緋|J1志*酒進(jìn)打柚｝小詼來(lái)自EthO（成LAN口）上的禺強(qiáng)請(qǐng)壤PINntPING到網(wǎng)爵衛(wèi)上防火增的檢口IF地址或VUNjft接曰的1P地址｝其他Ut套E：h0（或或「，1?麗Mi#京t禁止地址對(duì)蒙地址段■忠地址攻范ILANVG.0.0.0-255.2s5.255.2550點(diǎn)1!點(diǎn)戴荊BMP1*址日志H務(wù)繇開(kāi)故的日志胺務(wù)嘩#IP>電讒.￡.貌UDP的511端18坤沖性＜HA＞鋼防火墻支持以下管理方式:串口（console）管理方式：超級(jí)終端參數(shù)設(shè)置波特率9600。輸入helpmodeChinese命令可以看到中文化菜單。WEBUI管理方式（https協(xié)議）：在輸入U(xiǎn)RL時(shí)要注意以“，例如推薦使用IE瀏覽器進(jìn)行登錄管理。在瀏覽器輸入：，看到下列提示，選擇“是”◎rheVcrldl立仲CE｝。任）逐若口｝嶼5心工旦也囪口也】帶助t由1，Of??Jtnfit|離蛔在爭(zhēng)麻兀"-固a*-[□OO-'曲位村httpfr^/iw.lES.L.254hgHl駐』68,1.254|寶全告抿摩墨盈弊膂迎邕■■不當(dāng)楂立云人立君牽更改.也溟中點(diǎn)主管卷喪拽*我巨投呂E或矣西任安全狂書(shū)前日期石理?至呈金延-h上的名聊無(wú)點(diǎn)『成善與站點(diǎn)名彌不皿3藥是吾地參FI.心]II二苴jfc匚二1|董菅GE書(shū)-）|TELNET管理方式：模擬console管理方式SSH管理方式：模擬console管理方式提示：要想通過(guò)TELNET、SSH方式管理防火墻，必須首先打開(kāi)防火墻的服務(wù)端口，系統(tǒng)默認(rèn)打開(kāi)“HTTP”方式。在“系統(tǒng)管理”一“配置”一“開(kāi)放服務(wù)”中選擇“啟動(dòng)”即可，并且在開(kāi)放服務(wù)里面相關(guān)接口區(qū)域添加TELNET、SSH方式等管理方式即可。五、防火墻配置（1）防火墻路由模式案例配置在路由模式下，天融信防火墻類似于一臺(tái)路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址，然后轉(zhuǎn)發(fā)。該模式適用于每個(gè)區(qū)域都不在同一個(gè)網(wǎng)段的情況。和路由器一樣，天融信防火墻的每個(gè)接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。配置需求：1、內(nèi)網(wǎng)客戶機(jī)可以訪問(wèn)互聯(lián)網(wǎng)2、外網(wǎng)僅可以訪問(wèn)WEB服務(wù)器HTTP應(yīng)用，禁止其他訪問(wèn)3、外網(wǎng)禁止訪問(wèn)內(nèi)網(wǎng)拓?fù)鋱D如下:

EthW接□10,1,1.254/24EthQ接054/24Web服務(wù)器/24/24^段1、防火墻接口IP地址配置EthW接□10,1,1.254/24EthQ接054/24Web服務(wù)器/24進(jìn)入防火墻管理界面，點(diǎn)擊”網(wǎng)絡(luò)管理“一“接口”一”物理接口“，依次點(diǎn)擊每個(gè)接口的“設(shè)置”按鈕可以添加每個(gè)接口的描述和接口IP地址。齡理接口I子接口物理密口援一污中莊三共委地址NTU捫尚AthD硒偌三L72IB.1254/255.2E5.255.0L500啟用AUtOAU.tOeiktTU-1111L1.LIL23Q/E55.￡55255.D1500H用Buteau.io乖I牌斧ii—10.1.1.ESV2EE.2S5.255.0L500riffliauioEk.u.io略由LHJD名用autoauto恂丑接口I子接口基本信息【最多印個(gè)宇符或者街個(gè)滉宇］基本信息【最多印個(gè)宇符或者街個(gè)滉宇］噠M據(jù)壬：/匚Ic地址屬悻卅1際54255.255.255.D碑定高魄居性口取消2、區(qū)域和缺省訪問(wèn)權(quán)限配置在“資產(chǎn)管理”一“區(qū)域”中定義防火墻區(qū)域（接入相同安全等級(jí)的網(wǎng)絡(luò)接口的組合為一個(gè)區(qū)域），點(diǎn)擊“添加”。權(quán)限選擇為“禁止訪問(wèn)”，即訪問(wèn)該區(qū)區(qū)域域缺省權(quán)限為禁止訪問(wèn)。區(qū)域eth3,ethOeth2■->ethlethOadslX被選屆性確定取消依次創(chuàng)建若干區(qū)域（添加ETH0接口為“內(nèi)網(wǎng)”區(qū)域；ETH1接口為“外網(wǎng)”區(qū)域；添加ETH2接口為“服務(wù)器”區(qū)域；）提示：有幾個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建幾個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置訪問(wèn)規(guī)則，那就需要配置不同的區(qū)域。

名稱綁定屆性N多選】祝限正釋隆改冊(cè)豚內(nèi)網(wǎng)ethO禁1L外網(wǎng)禁止aeth2禁止n［添Do］［者生］3、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）默認(rèn)只能從ETH0接口對(duì)防火墻進(jìn)行管理“內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)“外網(wǎng)”區(qū)域添加），點(diǎn)擊“系統(tǒng)管理”一“配置”一“開(kāi)放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI（即WEB管理）、ping、Telnet等（請(qǐng)根據(jù)管理需要添加相應(yīng)管理服務(wù)）株改配置系統(tǒng)參數(shù)I開(kāi)放服芬I時(shí)間株改配置系統(tǒng)參數(shù)I開(kāi)放服務(wù)I時(shí)間修改配置取消確定修改配置取消確定啟E槨止啟動(dòng)■e_t啟動(dòng)■e_t啟動(dòng)?Q||Ikl.NHT服.簽以TF帔務(wù)皿服努:洵II1控制巨W,控刊地.止?g.冊(cè).眸welui內(nèi)網(wǎng)wyveliui升阿anypinsnFlanyping樸網(wǎng)sny內(nèi)網(wǎng)wy4、路由表配置添加靜態(tài)路由，在“網(wǎng)絡(luò)管理”一“路由”-“靜態(tài)路由”，點(diǎn)擊添加。添加缺省路由時(shí)，目的地址和目的掩碼都為,網(wǎng)關(guān)為下一條地址，其他選項(xiàng)為空。靜態(tài)路由I策略路由I多播路由I凌加配置確定取消箸直既［tI圭屋隹［tI零奔旺口I靜在路由去:^jii：irsv1=的網(wǎng)關(guān)標(biāo)記Flatrie接口17L.16.1.251J32a.a.o.oVL1lo111LL111L.2CC/CZa.a.o.oVL110IT；IF1IF0.0.110VC10ethO111Lil二：.LjWJC10etlil0.0.O.O/DL54UGS1etlil3。如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路由器），

請(qǐng)注意添加相應(yīng)靜態(tài)路由。5、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）提示：防火墻所有需要引用對(duì)象（如地址轉(zhuǎn)換策略、訪問(wèn)控制策略等）的配置，請(qǐng)先定義對(duì)象，才能引用。<1>定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“一“地址”一“主機(jī)”，點(diǎn)擊右上角“添加配置”添加地址范圍點(diǎn)擊”資源管理“一“地址”一“范圍”，點(diǎn)擊右上角“添加配置”

主機(jī)I范圍I子網(wǎng)I地址蛆地址范圍屈住名禰：0-20起始地址：0捋止地址：0排除地址：5［畝輸入多個(gè)吁地址’用空格分■升］并發(fā)連接數(shù):WjjTjl職消添加子網(wǎng)點(diǎn)擊”資源管理“一“地址”一“子網(wǎng)”，點(diǎn)擊右上角“添加配置”主機(jī)1范圍子網(wǎng)1地址組子同尾性名稱：*網(wǎng)貉地址::*:子網(wǎng)撞碼：排除地址：5［可輸入多個(gè)，用空格分開(kāi)］并發(fā)連接數(shù)■確定取消添加地址組點(diǎn)擊”資源管理“一“地址”一“地址組”，點(diǎn)擊右上角“添加配置”

<2>定義服務(wù)對(duì)象防火墻內(nèi)置一些標(biāo)準(zhǔn)服務(wù)端口，，但有時(shí)用戶的系統(tǒng)沒(méi)有使用某些服務(wù)的標(biāo)準(zhǔn)端口，用戶在端口引用時(shí)，需要我們通過(guò)自定義方式加以定義。點(diǎn)擊“資源管理”-“服務(wù)”一“自定義服務(wù)”，點(diǎn)擊“添加”，可以添加單個(gè)端口或范圍。注意單個(gè)端口只填起始端口

荃緯寧義服實(shí)I自E安陽(yáng)冬I服葬非翼型：TDFv名稱：urrsojoloooD*輻口；yLUU-luuuu|L^TSffiU^范有，1-6*35起始-備止；ICMF是奕型值A(chǔ)E；旦T、晡U只垣起皓晰-1」嘛長(zhǎng)|膽淚<3>定義時(shí)間對(duì)象點(diǎn)擊“資源管理”-“時(shí)間”，點(diǎn)擊“添加”，可以設(shè)置單次和多次時(shí)間多次I時(shí)間單次時(shí)間尾性名稱:上班時(shí)間*每周時(shí)段：星期一回星期二回星期三0星期四0星期五H星期六口星期日□每日時(shí)段：開(kāi)始時(shí)間：OS;30*結(jié)束時(shí)間：17:30+6、地址轉(zhuǎn)換策略<1>內(nèi)網(wǎng)可以訪問(wèn)互聯(lián)網(wǎng)，需要配置源轉(zhuǎn)換在“防火墻”一“地址轉(zhuǎn)換”，點(diǎn)擊“添加”目的選擇目的區(qū)選擇“源轉(zhuǎn)換"，點(diǎn)擊“高級(jí)"，源選擇源區(qū)域“內(nèi)網(wǎng)"目的選擇目的區(qū)域“外網(wǎng)”，源轉(zhuǎn)換為Eth1接口（即轉(zhuǎn)換為Eth1接口IP地址）或者轉(zhuǎn)換主機(jī)地址。排序地址轉(zhuǎn)換據(jù)JU已選源：1'72716?1「虱-［王機(jī)］any［芭國(guó)］0-20［范圍］允許上阿故址組［紙］回！高級(jí)［定擇其他類型的源］己讓海:蠢；目的服務(wù)C：■目的轉(zhuǎn)損E.向轉(zhuǎn)換：二不作轉(zhuǎn)抵排序叵］!高繳［選擇其他類型的源］選您游VL心:已選源3：選揮i?AEEA已選源如也大:內(nèi)網(wǎng)外網(wǎng)服務(wù)器選擇游端口已述源商口：TCP8888(TCP:8888)UDP9000-10D00(U1)P:9OOQ-10000)Echo(TC?)(TCP：7：Echo(UDP)(UDP:7；DiscardCIC??；l(_T:9JDiscard(UDP)【ITOPE)Daytime(TCP)(TCP:13)baytimetULJ?):UUP:L)NFTSrAT(TCP::F)Quotd(TCP)(TCP:17)Quotd(UIiF)(UDF:17)CharsentTCP)(TCP:19)漕地址轉(zhuǎn)塊為:內(nèi)網(wǎng)①源芮換C1目的轉(zhuǎn)換O藏向轉(zhuǎn)喚。不作轉(zhuǎn)換ipsec2性］ipsec3［屬性］g［屬注］lan【屬，生］gi【屬性］_PP。【原吐］12-r「同件1_|回！高寒淮揮苴也類型的日的：送薛日的心W已選日的V1A1T:->遠(yuǎn)捽日的蛔EA：□遠(yuǎn)MAEEA：內(nèi)網(wǎng)外網(wǎng)服務(wù)器->源地址轉(zhuǎn)賣為：eihl［屬性］騾端I-不瓠轉(zhuǎn)畏：□［源端口固定］啟月規(guī)則：回［g啟用艦，不選為不頊!］

如果需要源地址轉(zhuǎn)換為一段地址，則首先需要?jiǎng)?chuàng)建一段地址范圍，且該地址范圍不能設(shè)置排除IP地址。主機(jī)I范圍I子網(wǎng)I地址也名禰;rLat_p<'<'ls:+;起始地址：111.名禰;rLat_p<'<'ls:+;起始地址：31終止地址:33:*:排除地址:1t可輸并發(fā)直接數(shù)：增址范圍屆性個(gè)邛地址,用空格分開(kāi)］確定取消'源地址地轉(zhuǎn)為一段地址時(shí),排除地址必須為空。<2>Web服務(wù)器發(fā)布，需要配置目的轉(zhuǎn)換首先需要添加Web服務(wù)器地址對(duì)象（，服務(wù)器真實(shí)地址）、外網(wǎng)訪問(wèn)的地址對(duì)象（，合法地址），具體配置見(jiàn)定義對(duì)象章節(jié)。。目的轉(zhuǎn)換有兩種方式：地址轉(zhuǎn)換、端口轉(zhuǎn)換。地址轉(zhuǎn)換：從一個(gè)IP地址到另一個(gè)IP地址的映射。安全網(wǎng)關(guān)設(shè)備將到達(dá)映射地址（合法IP）的所有信息流中的目標(biāo)IP地址轉(zhuǎn)換成主機(jī)IP地址（即服務(wù)器真實(shí)地址）。地址轉(zhuǎn)換建議在映射地址資源充裕時(shí)、服務(wù)器使用端口較多且端口不連續(xù)、服務(wù)器端口不是固定端口時(shí)使用。端口轉(zhuǎn)換：從一個(gè)IP地址到基于目標(biāo)端口號(hào)的多個(gè)IP地址的映射，即單個(gè)IP地址可以托管從若干服務(wù)（使用不同的目標(biāo)端口號(hào)標(biāo)識(shí)）到同樣多主機(jī)的映射。端口轉(zhuǎn)換建議在映射地址資源短缺且服務(wù)器端口為固定端口時(shí)使用。氣配置Web服務(wù)器映射有兩種方式：（I）端口轉(zhuǎn)換在“防火墻”一“地址轉(zhuǎn)換”，點(diǎn)擊“添加”

選擇“目的轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“外網(wǎng)”，目的選擇“外網(wǎng)訪問(wèn)的地址對(duì)象（）”，服務(wù)選擇“HTTP”服務(wù)，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（10?1?1?1），即服務(wù)器真實(shí)地址”，目的端口轉(zhuǎn)換為“HTTP”服務(wù)。排吊I口高燈［選揮苴他關(guān)型的'原］地址轉(zhuǎn)魏雙則己選源：6［王機(jī)］1U.1.1.1［主機(jī)］30［主機(jī)］函項(xiàng)［范圍］0-2］【范圍］允許上風(fēng)地址組［狙］C源磚換③目的關(guān)換O排吊I口高燈［選揮苴他關(guān)型的'原］地址轉(zhuǎn)魏雙則己選源：6［王機(jī)］1U.1.1.1［主機(jī)］30［主機(jī)］函項(xiàng)［范圍］0-2］【范圍］允許上風(fēng)地址組［狙］C源磚換③目的關(guān)換O莎向芯琪OTf-R換~目―曜目的地比轉(zhuǎn)憤為：匕選濾頃：TCPa888(TCP:8888)UITSOOO10000(UDP;JOOO1C003)Echc(TCP)ITCP:7)Echc(UDP):UI'P:7)Dirc-ard(rCP)(ICP:?'DLrc-ard(JDP)(ITP:Daytime(TCP)(TCP:13)Daytime(UDP)(UDP:13)NFTSTATCTCP:1F1Quotd(TCP)(7CP:17)Quo-td(UD?)(UDF:17)CharsetifrCP)(ICP:1?)選擇源AEEA已選源aEEA:排序I-旗源扁1_|:目的地1L轉(zhuǎn)換為X回高敏［也擇豆他類型即謂］場(chǎng)廛算踱吃岫!-一不作轉(zhuǎn)換——V不作轉(zhuǎn)換-V目構(gòu)荀口轉(zhuǎn)妝.方0源勞橫。目的苦或0頁(yè)向轉(zhuǎn)或0不作轉(zhuǎn)換6［主機(jī)］［主嘰］Ian/［氾圍］0-20［范圍］充許上風(fēng)地址組：蛆］eth3［窟性］eth2［屬性］ethl［屬性］ethO［屬性］adsl1屬性jipmecCi［屬性］ipsecl［屬性］［屬性］ipsec3I■厘件-—wan「居世1lan「屈忙1,ssti「宣忙1工］□高魅［也淫其愴類型的日的］目的地比轉(zhuǎn)換為：-一不作轉(zhuǎn)檢一-v目的端口轉(zhuǎn)換加——不作轉(zhuǎn)換——v］■O源皆檢缶目殷轉(zhuǎn)物O期向轉(zhuǎn)換0不咋輯情源目的服蓉選醐家'梯序—5已定服務(wù)：HTTP->［HiTP"ncp：'8oyHTTP->KERBEROS_KEY(TZP；(TCP:88)KEEKRQS_KEY(IDP:(UDP:88)Wh?(K?:JZ；K.403:TC?；102)RIFT.MF"(rrP：117：—ISNA.GAS(TCP:108)PCP3(TCP:l：0)SUNRPC(T：P:111)Al'TH(7CF:1.3)SQLSERV(TCP:118)TOC\o"1-5"\h\zNNTPLCP：10|目為地址轉(zhuǎn)您為：一K件轉(zhuǎn)或—v目的蒲口轉(zhuǎn)拱為：-一K作轉(zhuǎn)渙-一V啟書(shū)包貝L：0［欺認(rèn)啟用規(guī)史，不選為不生效］誦定|牧我

。源轉(zhuǎn)換①目的轉(zhuǎn)換。雙苛轉(zhuǎn)換0不佗轉(zhuǎn)換段目的'服務(wù)選擇服備:排序已誑旅務(wù)：HTTP(TCP:B0)廠1|HTTP1KEKBEROS_KEY(TCP)KPF(rCF；92)X.WO(JCP：102)RTELNET(TCP:10T)(TCP:88)一->XSNa_GAS(TCP:108)POP3(TCP:110)3LUIKKiIU?:111；AU?II(TCP：113)SQLSERV(TCP:118)NN7P(TCP:119)目的地址轉(zhuǎn)換為:■n.1.1.1和1V目的端=1轉(zhuǎn)換為：HTTPiTC?:E0)7啟月規(guī)則：0［默：A后用現(xiàn)貝」，小選為小生效I誦走取消（II）地址映射在“防火墻”一“地址轉(zhuǎn)換”，點(diǎn)擊“添加”選擇“目的轉(zhuǎn)換"，點(diǎn)擊“高級(jí)"，源選擇源區(qū)域“外網(wǎng)”，目的選擇“外網(wǎng)訪問(wèn)的地址對(duì)象（）”，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（）,即服務(wù)器真實(shí)地址”。

0商歐［藏?fù)穸够愋偷闹^］▲外網(wǎng)已選源aEEA:TCPaSSS(TCP;8888)ui'rsoooloooo(udp：joooicood)Echc(TCP):TCP：?)Echc(UDP)IUI'P:7)Di-card(rCP)Di-c-ard(JIiP)Daytime(TCP)Tlqy+-i0商歐［藏?fù)穸够愋偷闹^］▲外網(wǎng)已選源aEEA:(ICP：Q'(ITP：Qi(irp：1%)(TTiP:1*)NFTSTATCTCP：1F1Quotd(TCP)(ICP：Q'(ITP：Qi(irp：1%)(TTiP:1*)目的地坦琶換為：一-不作賓換一-日為煢口軒魏為：匚二彳件轉(zhuǎn)換二O源勞橫。目的苦或O蕙可轉(zhuǎn)或。不作轉(zhuǎn)掠也攔E的：祁序*①M(fèi)S的：3030［主機(jī)］Ian/［氾圍］0-20［范圍］充許上風(fēng)地址組：蛆］eth3幅性］eth2［屬性］ethl［屬性］ethO［屬性］adslj屬性jipgCi［屬性］ipsecl［屬性］ipsec21屬性jipsec3［屬性］wan虐忙1lan「屈世1ssn「信世1目的地比轉(zhuǎn)換討：-一不作轉(zhuǎn)栓-一v目的端口轉(zhuǎn)換為：——不作轉(zhuǎn)換——vl

堪址轉(zhuǎn)畏暴則。漉轉(zhuǎn)換④巨的磚換。雙苛轉(zhuǎn)換。不1E轉(zhuǎn)換源目的服務(wù)詵徑用察:卻f序已選服案:T：r3888(T：r：8888)TDPJOOO10003W；D000100CO)二I?(E7H:0x0800)熾P(ETE:0-0306)loop(ip：ge)ftp仔PJPAT(ETH:0k0201)K25(ETE:OkO3O5)B?Q(ETHiOsOSff)IEEEPUP(ETH:OxOaOC)IEEEPUPAT(ETH:0x0a01)DEC(ETE:Ok6300)_|->I斤的Hdil■轉(zhuǎn)摘為：in.1.1.1［主機(jī)］V］巨的端口轉(zhuǎn)換為：——不作轉(zhuǎn)換V戶用地叫：回【糕乂啟用觀則，不選為不蘭蔥］確定瑕消第一條為內(nèi)網(wǎng)訪問(wèn)外網(wǎng)做源轉(zhuǎn)換；第二條為外網(wǎng)訪問(wèn)WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實(shí)IP。［怎如I【活至］原M述.折打17域￥巨生區(qū):孔寸?一忙1：-J理堊祗巨笙服芬泠蟲(chóng)傳￡球引珞肚院一房沔匚問(wèn)g同：S-.季u右。E0：:：uu目的妙?沖叩■.：!■.：!-.11-VK-nHI7F地址轉(zhuǎn)換需要注意的問(wèn)題：1、天融信防火墻先匹配目的轉(zhuǎn)換規(guī)則，再對(duì)其他的地址轉(zhuǎn)換規(guī)則按照從上往下的順序進(jìn)行匹配，在目的轉(zhuǎn)換規(guī)則中也是按照排列順序進(jìn)行匹配。在匹配過(guò)程中，一旦存在一條匹配的地址轉(zhuǎn)換規(guī)則，防火墻將停止檢索，并按所定義的規(guī)則處理數(shù)據(jù)包，所以規(guī)則的類型和先后順序決定了數(shù)據(jù)包的處理方式，目的^丁規(guī)則要優(yōu)先于其他NAT規(guī)則。2、如果內(nèi)網(wǎng)用戶需要通過(guò)服務(wù)器映射地址訪問(wèn)web服務(wù)器時(shí)，還需針對(duì)內(nèi)網(wǎng)添加地址轉(zhuǎn)換。如案例如果內(nèi)網(wǎng)需要訪問(wèn)（合法地址）來(lái)訪問(wèn)web服務(wù)器需要單獨(dú)添加地址轉(zhuǎn)換。下面以端口轉(zhuǎn)換為例，地址轉(zhuǎn)換請(qǐng)參照外網(wǎng)訪問(wèn)web服務(wù)器。

在“防火墻”一“地址轉(zhuǎn)換”，點(diǎn)擊“添加”選擇“雙向轉(zhuǎn)換”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇“外網(wǎng)訪問(wèn)的地址對(duì)象（）”，服務(wù)選擇“HTTP”服務(wù)，目的端口轉(zhuǎn)換為“HTTP”服務(wù)。源地址轉(zhuǎn)為選擇“外網(wǎng)訪問(wèn)的地址對(duì)象（）”，目的地址轉(zhuǎn)換為選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址”，目的轉(zhuǎn)換為選擇“HTTP服務(wù)“。地址轉(zhuǎn)換規(guī)則。源轉(zhuǎn)至O目的轉(zhuǎn)換。應(yīng)宜轉(zhuǎn)換。工作轉(zhuǎn)換源1目的服務(wù)地址轉(zhuǎn)換規(guī)則。源轉(zhuǎn)至O目的轉(zhuǎn)換。應(yīng)宜轉(zhuǎn)換。工作轉(zhuǎn)換源1目的服務(wù)選揮源：排片己選源:172.It.1.5d［i+Jl］［主機(jī)］Lil.111.111.230［主機(jī)］any［范匿］L0-20L池困］允諾上回也址組［組］（0高縱［選擇其怛類型豹源：||?1已隹i原VT.AH:；也控叫臥LXN:->性擇源AEZA:已走源婚EA:內(nèi)內(nèi)網(wǎng)III外阿服務(wù)器|:..二:|選擇源藏=1:排序0已?能源端口：

島《址轉(zhuǎn)魚(yú)投則源目的服茶選擇服務(wù)：排序。就琶換。目的轉(zhuǎn)換171JA(J5_FLU^(.1LP:4』JT虹偵.；(ITTiPiilA)TMAC5-D5(ICP:65)iyL*Wii::iCk:tic)Rnn+s!-r3p_SFrvFr(D^CPi<TT)P:fi71BootSTrap_Clier.t(JDP:68'源目的服茶選擇服務(wù)：排序。就琶換。目的轉(zhuǎn)換171JA(J5_FLU^(.1LP:4』JT虹偵.；(ITTiPiilA)TMAC5-D5(ICP:65)iyL*Wii::iCk:tic)Rnn+s!-r3p_SFrvFr(D^CPi<TT)P:fi71BootSTrap_Clier.t(JDP:68'DWS_Transfer(ICF:53)DMSQuery(UDP:53)TFTP(UDP:6t)Gopher(TCP；70)FitiEEt(TCF:79)HTTP(TCF:8［)111.111.1:1.?3n［主機(jī)］日的地.dL轉(zhuǎn)換為：［主機(jī)］目的端=1轉(zhuǎn)換為：HTTP(rCP:80；源揣口不做轉(zhuǎn)換:□［源端口固定］源地址轉(zhuǎn)換定要可以選器映或者防網(wǎng)靖口、防火墻外網(wǎng)端口)啟用規(guī)則:回［默認(rèn)啟用規(guī)則，不選為可生架］,蟀R的：排序0已造目的:172.1G.1.5G［^H.］It.1-1.1［主杠,］Jhill.111.1H.230I|111.11I.111卯沱「二11anyL氾圍］0-2J［范圍］尤訐上網(wǎng)地址組L紐JeihJ［屬性］clh2［屬性］c-thl氓性］ethO［屬性］adsl度性］ipsecO［屬性］ijseclL屬性」ipsecZ［屬性］偵沁心［屬性］g［局佳］M［屬性］ssn［屬性］□高皺［選芷其他其型的目的］地址轉(zhuǎn)換規(guī)則|璃定|取消7、制定訪問(wèn)控制策略在“防火墻”一“訪問(wèn)控制”，點(diǎn)擊“添加”<1>第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)在“防火墻”一“訪問(wèn)控制"，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇目的區(qū)域“外網(wǎng)”，點(diǎn)擊“高級(jí)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。<2>第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的應(yīng)用端口，只能訪問(wèn)服務(wù)器http應(yīng)用。在“防火墻”一“訪問(wèn)控制"，點(diǎn)擊“添加”選擇“源"，點(diǎn)擊“高級(jí)"，源選擇源區(qū)域“內(nèi)網(wǎng)、外網(wǎng)“，目的選擇“Web服務(wù)器地址對(duì)象（10?1?1?1），即服務(wù)器真實(shí)地址”，服務(wù)選擇"HTTP服務(wù)"，

動(dòng)作“允許”（默認(rèn)選項(xiàng)）。源］|目的服案選項(xiàng)適投源出扯:卻1:序*已詵.原17L16一：導(dǎo)：主磯］10.1.1.：［主機(jī)］30［主機(jī)］迎「L也司］172.1G.1.1320［范圍-Z->Lai-.匕選源山心：|h高瓠［選擇其他類型的源］遠(yuǎn)洋勰VLAN:已選海VUN：-;?11矣擇源AEEA:已選游ABEA:網(wǎng)網(wǎng)務(wù)勺牛艮UK力....nfl-:■外網(wǎng)選擇滑藏口：排序4已選海端口：?jiǎn)柨刂埔?guī)則源目的服套選項(xiàng)選擇目的地址：排序E。已卷目的：173.16.1.S6［主機(jī)］［主機(jī)］30［主機(jī)］tiiy［范圍］0-20［范圍］尤許上網(wǎng)地批組［組］->□高級(jí)［選擇其粗類型的目的］

源目的I服音選項(xiàng)泣擇.服.備：林序%已造服備:TCP8888(TCP:8888)UDP9000-10000(UDP:9000-10000)IP(ETH:0k0800)AEP(ETH:0s0806)LOOP(IP：96)PUP(ETH:OkO2O0)PUTaT(ZTII;0x0201)K25(ETH:0k0805)ti典！IEEEPUP(EIH:0i:0a0J)IEEEPUPAT(ETHiOKOaOl)DEC(ETH:0x6000)DNA_DL(ETH:0k6001>DNA_RC(ETI：;0^6002>DNA_RT(ETE:0K6003iLAT(ETH:0k6004)DIAG(ErH:Cx6005)CUS?(ErH:Cs6006)HTTP訪問(wèn)萩.限:但允許c?拒鮑啟用也則：回啟用［默隊(duì)啟書(shū)規(guī)則，人選力皙不生芯］第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)。源選擇“外網(wǎng)”；目的可以選擇目的區(qū)域一“外網(wǎng)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的應(yīng)用端口，只能訪問(wèn)服務(wù)器http應(yīng)用。源選擇“內(nèi)網(wǎng)、外網(wǎng)”，目的選擇服務(wù)器真實(shí)的IP地址，服務(wù)選擇“HTTP”服務(wù)。陵區(qū)或|所有底，可目的區(qū)埔|所有迎可地址］眼君］|查找|LD晅RJHE.吉.±5穌HF43032心乓b■a§040山珥內(nèi)陽(yáng)]UL.].1HTTJ歸a訪問(wèn)規(guī)則需要注意的問(wèn)題：訪問(wèn)控制規(guī)則描述了天融信防火墻允許或禁止匹配訪問(wèn)控制規(guī)則的報(bào)文通過(guò)。防火墻接收到報(bào)文后，將順序匹配訪問(wèn)控制規(guī)則表中所設(shè)定規(guī)則。一旦尋找到匹配的規(guī)則，則按照該策略所規(guī)定的操作（允許或丟棄）處理該報(bào)文，不再進(jìn)行區(qū)域缺省屬性的檢查。如果不存在可匹配的訪問(wèn)策略，天融信防火墻將根據(jù)目的接口所在區(qū)域的缺省屬性（允許訪問(wèn)或禁止訪問(wèn)），處理該報(bào)文。區(qū)域?qū)傩栽O(shè)置請(qǐng)參見(jiàn)“3、區(qū)域和缺省訪問(wèn)權(quán)限配置”。1、規(guī)則作用有順序

2、訪問(wèn)控制列表遵循第一匹配規(guī)則3、規(guī)則的一致性和邏輯性8、配置保存點(diǎn)擊管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否則設(shè)備斷電或重點(diǎn)擊管理界面右上角“保存配置”配置完成后，配置立即生效，但是一定要保存配置，否則設(shè)備斷電或重呼白矛魏s理;□在行倚息:呼白矛魏s理;□在行倚息:g鋸:扣町I;□詈型員t網(wǎng)絡(luò)管理+□用戶認(rèn)征+二I黃水墻*n西容過(guò)浦+3乩朝+口虎蛆專間+n入朝御'■□高可用性H□日志與報(bào)警；Q退出五穌9、配置文件備份配置完成并確認(rèn)運(yùn)行正常以后，請(qǐng)備份配置文件。選擇“系統(tǒng)管理”一“維護(hù)”一“配置維護(hù)”，選擇“保存配置”配宜始羅）I升鼻I玉后I說(shuō)壓記示博:攵出J,,理I曜最初出廠日SSGE6:恢復(fù)出F0己點(diǎn)卮網(wǎng)"斑帝全部丟失,話酮導(dǎo)出當(dāng)前日SS!?批呈配fiitS漁；■、配置口一上仕-1酉釜|.計(jì)?京..卜i&下裁配置：地址口照募口時(shí)伺口阻斷策略口擊旬必S1期口下,|配吉奔曠配己#留|?普聯(lián)配己j?」配宜耳去土芝|波型|日"可

0配置維護(hù)I畚粉和恢復(fù)I升紋I重啟I健康舟錄恢堂出廠|恢復(fù)配置|恢復(fù)最初出廠配置&主意：恢復(fù)出廠配置后,原有配置將全部丟失，話及時(shí)導(dǎo)出當(dāng)前配置!）推呈配置姓理輸入配置：口—上傳上傳配置：|劇覽...上傳下載配置：地址□服務(wù)□時(shí)間□阻斷策略口訪問(wèn)控制策略口下載配置維護(hù)配置替換:?■■■替換配置下載：運(yùn)行配置保存配置』類型明文丘最近一次保存配置點(diǎn)擊下載［明文］［或用右鍵另存］提示：每次修改配置前，建議首先備份防火墻再修改配置，避免防火墻配置不當(dāng)造成網(wǎng)絡(luò)長(zhǎng)時(shí)間中斷。（2）防火墻透明模式案例配置在透明模式下，天融信防火墻的所有接口均作為交換接口工作。也就是說(shuō)，對(duì)于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動(dòng)，包括IP和MAC地址，直接把包轉(zhuǎn)發(fā)出去。同時(shí)，天融信防火墻可以在設(shè)置了IP的VLAN之間進(jìn)行路由轉(zhuǎn)發(fā)。配置需求：1、內(nèi)網(wǎng)客戶機(jī)可以訪問(wèn)互聯(lián)網(wǎng)2、外網(wǎng)僅可以訪問(wèn)WEB服務(wù)器HTTP應(yīng)用，禁止其他訪問(wèn)3、外網(wǎng)禁止訪問(wèn)內(nèi)網(wǎng)拓?fù)鋱D如下:111.111,111,254/24Wd）服務(wù)器H1J1M11.1/241、防火墻接口IP配置111.111,111,254/24Wd）服務(wù)器H1J1M11.1/24<1>定義一個(gè)VLAN（本案例創(chuàng)建VLAN1）,點(diǎn)擊“網(wǎng)絡(luò)管理”—“二層網(wǎng)絡(luò)”一“VLAN”—“添加/刪除VLAN范圍”。AKF|VUN|MAC|CIF添加yn除配直添加VLANID：$）1添加vim范圍：0-冊(cè)1除VL坤范圍：O-注意:VIANID范圍是1-4094j忘數(shù)是對(duì)口個(gè)|確定|取消<2>設(shè)置VLAN1接口IP地址及子網(wǎng)掩碼。

A3P|VLAjTIMAC|?D?接口若息地址『掩碼:榭止A3P|VLAjTIMAC|?D?接口若息地址『掩碼:榭止掩碼屆世flfll防111.Lil.111.253<3>分別把ETH0、ETH1、ETH2接口加入到VLAN1中，點(diǎn)擊”網(wǎng)絡(luò)管理“一“接口””物理接口“，依次點(diǎn)擊接口的“設(shè)置”按鈕可以把接口加入到VLAN1中。物理搔口I子接口基本信息［最寥花個(gè)字符或者15-?漢字］口”中。物理搔口I子接口基本信息［最寥花個(gè)字符或者15-?漢字］類型:accessAccess:[1一4ITM]高鍛屈性口確定取消明理成口I子低二teSKn歿口國(guó)行住文象也工NTUWil*ethOlnir-Miet芟換access[t]LfflOJ0用?thletti2mtgrngtssn[1]3Z1Saccess[I]L5QO1910啟用J0用autoautvautflE由L500E用butt典七電

2、區(qū)域和缺省訪問(wèn)權(quán)限配置在“資產(chǎn)管理”一“區(qū)域”中定義防火墻區(qū)域（接入相同安全等級(jí)的網(wǎng)絡(luò)接口的組合為一個(gè)區(qū)域），點(diǎn)擊“添加”。權(quán)限選擇為“禁止訪問(wèn)”，即訪問(wèn)該區(qū)域缺省權(quán)限為禁止訪問(wèn)。區(qū)域eth3eth2ethlethOadsl區(qū)域eth3eth2ethlethOadslZ]->被選屆性確定取消依次創(chuàng)建若干區(qū)域（添加ETH0接口為“內(nèi)網(wǎng)”區(qū)域；ETH1接口為“外網(wǎng)”區(qū)域；添加ETH2接口為“服務(wù)器”區(qū)域；）。提示：有幾個(gè)安全等級(jí)就需要?jiǎng)?chuàng)建幾個(gè)區(qū)域，即如果網(wǎng)絡(luò)之間需要配置訪問(wèn)規(guī)則，那就需要配置不同的區(qū)域。3、防火墻管理權(quán)限設(shè)置（定義希望從哪個(gè)區(qū)域管理防火墻）。默認(rèn)只能從ETH0接口對(duì)防火墻進(jìn)行管理“內(nèi)網(wǎng)”區(qū)域添加對(duì)防火墻的管理權(quán)限（當(dāng)然也可以對(duì)“外網(wǎng)”區(qū)域添加），點(diǎn)擊“系統(tǒng)管理”一“配置”一“開(kāi)放服務(wù)”，點(diǎn)擊添加，常用服務(wù)有WEBUI（即WEB管理）、ping、Telnet等（請(qǐng)根據(jù)管理需要添加相應(yīng)管理服務(wù)）

系統(tǒng)參數(shù)I開(kāi)放服芬I時(shí)間株改配置服務(wù)名稱控制區(qū)域控制地址服務(wù)名稱控制區(qū)域控制地址系統(tǒng)參數(shù)I開(kāi)放服務(wù)I時(shí)間修改配置.3.虬如數(shù).|汗找腥苓|H「可取J與止■e_t啟動(dòng)■eJz啟刃?Q||TEEHET服務(wù)皿服募:浴Jll1在制巨y控刊地.止?g冊(cè).哼weL'u.i內(nèi)網(wǎng)wy01veluin阿any3PinanFlanyaping樸網(wǎng)anya■LslnQtn網(wǎng)onya4、路由表配置如果防火墻和客戶端之間有三層設(shè)備（比如三層交換機(jī)或者路由器），非VLAN接口地址網(wǎng)段需要管理防火墻時(shí)，請(qǐng)注意添加相應(yīng)靜態(tài)路由。該路由只參與防火墻管理，與數(shù)據(jù)通信無(wú)關(guān)。如果不需要跨網(wǎng)段管理防火墻，無(wú)需設(shè)置路由

表。添加靜態(tài)路由，在“網(wǎng)絡(luò)管理”-“路由”一“靜態(tài)路由”，點(diǎn)擊添加。添加缺省路由時(shí)，目的地址和目的掩碼都為,網(wǎng)關(guān)為下一條地址，其他選項(xiàng)為空。靜態(tài)路由I策略路由I多播路由I添加配置TOC\o"1-5"\h\z目的地址：0000*目的掩瑪：0000*Metric:[1-65535]網(wǎng)關(guān)：54*接口：-選擇接口-"VI確定取消費(fèi)左隹左1節(jié)噂■曉成1孝遂盹曰1靜態(tài)踣由表【添加］【i百空］M的網(wǎng)是標(biāo)記Hellie按口D｛藤172.IB.1.Z54/3Za.a.o.oUL110L]]>.1/.->UL110liL.IE.1.貝IUC]0ctM111Lila.a.o.oUC30/DLS4UGS1etlil35、定義對(duì)象（包括地址對(duì)象、服務(wù)對(duì)象、時(shí)間對(duì)象）。提示：防火墻所有需要引用對(duì)象（如地址轉(zhuǎn)換策略、訪問(wèn)控制策略等）的配置，請(qǐng)先定義對(duì)象，才能引用。<1>定義地址對(duì)象添加單個(gè)主機(jī)對(duì)象點(diǎn)擊”資源管理“一“地址”一“主機(jī)”，點(diǎn)擊右上角“添加配置”

主機(jī)屜性名稱；1F地址:確定職消添加地址范圍主機(jī)屜性名稱；1F地址:確定職消添加地址范圍點(diǎn)擊''資源管理“一“地址”一“范圍”，點(diǎn)擊右上角“添加配置"A主機(jī)I范圍I子網(wǎng)I地址蛆地址范圍屈住0-20起始地址:0捋止地址:0排降地址:5［畝輸入會(huì)個(gè)工F地址，用生格分開(kāi)］并發(fā)連接數(shù)：OjQjQI—取消添加子網(wǎng)點(diǎn)擊”資源管理“一“地址”一“子網(wǎng)”，點(diǎn)擊右上角“添加配置”子網(wǎng)屈性確定I取消添加地址組點(diǎn)擊”資源管理“一“地址”一“地址組”，點(diǎn)擊右上角“添加配置”<2>定義服務(wù)對(duì)象防火墻內(nèi)置一些標(biāo)準(zhǔn)服務(wù)端口，，但有時(shí)用戶的系統(tǒng)沒(méi)有使用某些服務(wù)的標(biāo)準(zhǔn)端口，用戶在端口引用時(shí)，需要我們通過(guò)自定義方式加以定義。點(diǎn)擊“資源管理"-“服務(wù)”一“自定義服務(wù)"，點(diǎn)擊“添加"，可以添加單個(gè)端口或范圍。注意單個(gè)端口只填起始端口，統(tǒng)定乂服答I目定乂服答I服務(wù)沮服第屜性TOC\o"1-5"\h\z類型：TCPv|名稱:TCF8888*端□:SSES|-一單十端口成范國(guó)，1-拍5出起:宿-蛭止；_頃卜是類型值UF；單個(gè)晞口只洎起始端口」荃緯寧義服實(shí)I自E安陽(yáng)冬|服葬非保害屜性翼型：TDFv名稱：urrsojoloooD*輻口；yLUU-luuuu|L^TSffiU^范有，1-6*35起始-備止；ICMF是奕型值A(chǔ)E；旦T、晡U只垣起皓晰-1」|」長(zhǎng)|膽淚<3>定義時(shí)間對(duì)象點(diǎn)擊“資源管理”一“時(shí)間”，點(diǎn)擊“添加”，可以設(shè)置單次和多次時(shí)間多次I時(shí)間單次時(shí)間屋性名稱:上班時(shí)間*每周時(shí)段：星期一四星期二回星期三0星期四0星期五0星期六□星期日□每日時(shí)段：開(kāi)始時(shí)間：OS;30*結(jié)束時(shí)間：17:30*確定|取消

6、制定訪問(wèn)控制策略在“防火墻”一“訪問(wèn)控制"，點(diǎn)擊“添加”<1>第一條規(guī)則定義內(nèi)網(wǎng)可以訪問(wèn)外網(wǎng)在“防火墻”一“訪問(wèn)控制"，點(diǎn)擊“添加”選擇“源”，點(diǎn)擊“高級(jí)”，源選擇源區(qū)域“內(nèi)網(wǎng)”，目的選擇目的區(qū)域“外網(wǎng)”，點(diǎn)擊“高級(jí)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。

Mi高瓠［選擇其他類型的騾］已選源VUU：傀指酬；->X11是擇源淄A:已選源曲EA:內(nèi)可外闋服務(wù)器->X內(nèi)風(fēng)選捧源端口：排序D?已選源滿口:TCP8888(TC?:88E8)UDP9000-10030(ITP:93OO-1OOOO；二Echo(TCF)(rCF:7)Echo(UI'P)(JDP:7)DiocQrd(TCP)(TCP:9)Discard(UDP)(UIP:9)Daytime(TCP)(TCP:13'Dajrtime(UDP)(UIP:13'NETSTA7(TC?:15)QuotdCCP)(TCP:17)Quotd(UDP)(UDP:17)CliaL^en(TCF)(TCP;19>_|->訪問(wèn)權(quán)限：@允許O拒絕源目的服舞選項(xiàng)設(shè)擇目的地北：排序已選目的：辱日控制祝則源目的服舞選項(xiàng)設(shè)擇目的地北：排序已選目的：辱日控制祝則17W一16一1.56［主機(jī)］［主機(jī)］30［主機(jī)］any［范圍］172.16.1,10-20［范圍］允許上網(wǎng)地址組［組］已選目的VLAiT：1切i面級(jí)【選擇其他類型的目的］||1已選目的VUN：->X宏擇目的AEZA：已選目的AEEA：ef-h網(wǎng)網(wǎng)務(wù)brAn->杼畏前目的志址:已選目的：173.1&.1.S6［主機(jī)］［主機(jī)］111.1U.111.230［主機(jī)］any［范圍］0-20［范圍］允許上網(wǎng)他址組［組］->訪問(wèn)枳限：②允注O拒絕訪問(wèn)極限缺省為“允許啟用規(guī)則：0啟用［默認(rèn)啟用規(guī)則，不選為哲不生效］<2>第二條規(guī)則定義外網(wǎng)可以訪問(wèn)服務(wù)器的對(duì)外發(fā)布的應(yīng)用端口，只能訪問(wèn)服務(wù)器http應(yīng)用。在“防火墻”一“訪問(wèn)控制"，點(diǎn)擊“添加”選擇“源"，點(diǎn)擊“高級(jí)"，源選擇源區(qū)域“內(nèi)網(wǎng)、外網(wǎng)"，目的選擇“Web服務(wù)器地址對(duì)象（），即服務(wù)器真實(shí)地址'，服務(wù)選擇”HTTP服務(wù)”，動(dòng)作“允許”（默認(rèn)選項(xiàng)）。

:叵］高蛆［選擇