下载文档原格式
天融信防火墙通用配置 Document number【SA80SAB-SAA9SYT-SAATC-SA6UT-SA18】天融信防火墙通用配置一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。
出厂默认eth0口IP为: 出厂用户名为:superman,密码为:talent或。
现IP改为,用户名为:superman,密码为:topsec0471。
在浏览器上输入防火墙的管理URL,例如:,弹出如下的登录页面。
输入用户名为:superman,密码为:topsec0471,登陆进入。
二.接口IP地址的配置:1.点击:网络管理---接口Eth0口接在WEB服务器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web 服务器在同一网段,eth1口与miss网在同一网段。
现例:WEB服务器端在网段,MISS网在网段。
eth0口IP为服务器实际IP为,eth1IP 口为。
接口模式选择:路由。
其余选项采用默认配置。
三.路由配置点击:网络管理----路由,现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB服务器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。
若遇复杂网络,则需添加路由关系,确保两端网络能相互PING通即可。
四.地址转换:1.配置转换对象:点击:资源管理----地址;点击:添加:该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。
Xnweb 为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。
以后miss网的主机只需浏览:,不需浏览地址。
以达到伪装IP的目的。
2.区域设置:点击:资源管理---区域;将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。
3.地址转换:点击:防火墙----地址转换;点击添加:在此我们只需设置目的转换,选中:[目的转换]选项。
天融信版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。
区域:可以把区域看作是一段具有相似安全属性的网络空间。
在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。
在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
对象:防火墙大多数的功能配置都是基于对象的。
如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。
可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。
对象概念的使用大大简化了管理员对防火墙的管理工作。
当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。
天融信防火墙简要配置步骤
天融信防火墙配置简介:
此手册主要针对天融信防火墙型号是NGFW4000,一下简介是根据此型号做的说明。
1、设备登录
Web登录:
天融信默认web配置口:ETH0口,默认ip地址:192.168.1.254/24,默认登录名:superman,默认密码:talent,笔记本通过直连线即可利用浏览器登录配置,注意要用https协议登录,即:https://192.168.1.254。
登录后显示状态如下:
Console口登录:
登录方式与一般路由器的console口登录方式一样。
2、路由器与交换机之间透明模式配置
防火墙的接口有两种状态:路由模式、交换模式,当防火墙与路由器和交换机的互联接口均指定为交换模式时,路由器与防火墙以透明模式实现互联。
指定接口模式的位置如下图所示:
3、通过防火墙实现外网互联
防火墙与外网互联接口暂时成为外网口,与内网互联接口暂时称为内网口,具体实现步骤如下:A、外网口与运营商线路互联,内网口与内网核心交换机规划好的端口互联。
此处暂用ETH7外联运营商,用ETH6内联交换机。
B、外网口配置运营商提供的公网ip地址,内网口配置与核心交换机互联vlan对应的ip地址。
C、定义区域,区域是指防火墙接口互联的网段,定义区域是为了后续的防火墙配置,如配
置地址转换、防火墙策略、访问控制、内容过滤等。
定义区域:
D、配置地址转换。
点击添加开始地址转换配置:
E、配置缺省路由和回指路由。
配置缺省路由:
配置回指路由:
4、其他配置详见NGFW4000管理手册。
网络卫士防火墙系统命令手册索引分册天融信TOPSEC® 北京市海淀区上地东路1号华控大厦,100085电话:(8610)82776666传真:(8610)8277667服务热线:800 810 5119http: //版权声明 本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。
版权所有不得翻印 © 2009天融信公司商标声明 本手册中所谈及的产品名称仅做识别之用。
手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司信息反馈目录前言 (1)1概述 (3)1.1手册使用指南 (3)1.2人机命令的描述 (3)1.3命令辅助功能 (4)1.4命令模式 (4)2命令索引 (8)2.1 A开头的命令 (8)2.2 B开头的命令 (13)2.3 C开头的命令 (15)2.4 D开头的命令 (19)2.5 E开头的命令 (29)2.6 F开头的命令 (31)2.7 G开头的命令 (32)2.8 H开头的命令 (33)2.9 I开头的命令 (34)2.10 J开头的命令 (48)2.11 K开头的命令 (49)2.12 L开头的命令 (49)2.13 M开头的命令 (53)2.14 N开头的命令 (58)2.15 O开头的命令 (61)2.16 P开头的命令 (62)2.17 Q开头的命令 (64)2.18 R开头的命令 (65)2.19 S开头的命令 (68)2.20 T开头的命令 (92)2.21 U开头的命令 (96)2.22 V开头的命令 (97)2.23 W开头的命令 (100)2.24 X开头的命令 (101)2.25 Z开头的命令 (101)前言手册说明《网络卫士防火墙系统命令手册》共有16个分册,手册和内容分别为:手册名称手册内容《网络卫士防火墙系统命令手册_索引分册》介绍网络卫士防火墙每条命令对应的分册、章节《网络卫士防火墙系统命令手册_IPv6分册》介绍网络卫士防火墙与IPv6相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册一》介绍网络卫士防火墙与RIP、OSPF和IS-IS 路由协议相关的命令《网络卫士防火墙系统命令手册_IPv4路由分册二》介绍网络卫士防火墙与BGP路由协议、路由映射和路由策略相关的命令《网络卫士防火墙系统命令手册_MPLS分册》介绍网络卫士防火墙与MPLS相关的命令《网络卫士防火墙系统命令手册_QoS分册》介绍网络卫士防火墙与QoS相关的命令《网络卫士防火墙系统命令手册_安全分册》介绍网络卫士防火墙与网络安全相关的命令《网络卫士防火墙系统命令手册_防火墙分册》介绍网络卫士防火墙与防火墙相关的命令《网络卫士防火墙系统命令手册_基本配置分册一》介绍网络卫士防火墙与系统管理、文件管理、用户界面、日志统计、FTP/TFTP服务器和IPv4基础协议相关的命令《网络卫士防火墙系统命令手册_基本配置分册二》介绍网络卫士防火墙与接口配置、DHCP和VRRP相关的命令《网络卫士防火墙系统命令手册_基本配置分册三》介绍网络卫士防火墙与NAT、Time Range、堆叠和DEBUG调试相关的命令《网络卫士防火墙系统命令手册_网络管理分册》介绍网络卫士防火墙与网络管理相关的命令《网络卫士防火墙系统命令手册_以太网交换分册》介绍网络卫士防火墙与MAC、VLAN、SuperVLAN、STP、链路聚合、VBAS、MAC PING和UDLD相关的命令《网络卫士防火墙系统命令手册_组播分册》介绍网络卫士防火墙与组播协议相关的命令内容介绍本手册主要介绍了《网络卫士防火墙系统命令手册》的命令索引部分,本手册的章节名及其概要如下:章名概要第1章概述本章介绍命令手册的使用方法、命令的描述、格式约定、辅助功能和模式第2章命令索引本章以表格形式指明了《网络卫士防火墙命令手册》中每条命令所在的分册、章节,其中命令以字母A~Z的顺序进行排列1概述1.1手册使用指南《网络卫士防火墙命令手册》按内容分为16个分册,各分册的内容请参看本手册前言部分。
天融信防火墙NGFW4000快速配置手册一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。
通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。
用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。
这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙:1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。
2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。
3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。
4)设置com1 口的属性,按照以下参数进行设置。
参数名称取值每秒位数:9600数据位:8奇偶校验:无停止位: 15)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。
6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火墙。
登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。
2.TELNET管理TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置:1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限2)在串口下用“system telnetd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.2505)最后输入用户名和密码进行管理命令行如图:3.SSH管理SSH管理和TELNET基本一至,只不过SSH是加密的,我们用如下步骤管理:1)在串口下用“pf service add name ssh area area_eth0 addressname any”命令添加管理权限2)在串口下用“system sshd start”命令启动TELNET管理服务3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管理IP地址4)然后用各种命令行客户端(如putty命令行)管理:192.168.1.2505)最后输入用户名和密码进行管理命令行如图:4.WEB管理1)防火墙在出厂时缺省已经配置有WEB界面管理权限,如果没有,可用“pf service add name webui area area_eth0 addressname any”命令添加。
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (3)1.串口管理 (3)2.TELNET管理 (4)3.SSH管理 (5)4.WEB管理 (6)5.GUI管理 (6)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统>基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统>运行状态 (12)TIME (12)系统时钟管理 (12)系统>系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统>系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统>系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统>系统服务命令 (12)HTTPD (12)HTTP服务管理命 (12)系统>系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB界面常用配置 (14)1.系统管理配置 (14)A)系统 > 基本信息 (14)B)系统 > 运行状态 (14)C)系统 > 配置维护 (15)D)系统 > 系统服务 (15)E)系统 > 开放服务 (16)F)系统 > 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (29)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙NGFW4000快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (6)4.WEB管理 (7)5.GUI管理 (8)二、命令行常用配置 (13)1.系统管理命令(SYSTEM) (13)命令 (13)功能 (13)WEBUI界面操作位置 (13)二级命令名 (13)V ERSION (13)系统版本信息 (13)系统>基本信息 (13)INFORMATION (13)当前设备状态信息 (13)系统>运行状态 (13)TIME (13)系统时钟管理 (13)系统>系统时间 (13)CONFIG (13)系统配置管理 (13)管理器工具栏“保存设定”按钮 (13)REBOOT (13)重新启动 (13)系统>系统重启 (13)SSHD (13)SSH服务管理命令 (13)系统>系统服务 (13)TELNETD (13)TELNET服务管理 (13)系统>系统服务命令 (13)HTTPD (13)HTTP服务管理命 (13)系统>系统服务令 (13)MONITORD (14)MONITOR (14)服务管理命令无 (14)3.双机热备命令(HA) (14)4.定义对象命令(DEFINE) (14)5.包过滤命令(PF) (14)6.显示运行配置命令(SHOW_RUNNING) (14)7.保存配置命令(SAVE) (14)三、WEB界面常用配置 (15)1.系统管理配置 (15)A)系统> 基本信息 (15)B)系统> 运行状态 (15)C)系统> 配置维护 (16)D)系统> 系统服务 (16)E)系统> 开放服务 (17)F)系统> 系统重启 (17)2.网络接口、路由配置 (17)A)设置防火墙接口属性 (17)B)设置路由 (19)3.对象配置 (21)A)设置主机对象 (21)B)设置范围对象 (22)C)设置子网对象 (22)D)设置地址组 (23)E)自定义服务 (23)F)设置区域对象 (24)G)设置时间对象 (24)4.访问策略配置 (25)5.高可用性配置 (28)四、透明模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置VLAN (30)4.配置区域属性 (30)5.定义对象 (30)6.添加系统权限 (30)7.配置访问策略 (31)8.配置双机热备 (31)五、路由模式配置示例 (32)拓补结构: (32)1.用串口管理方式进入命令行 (32)2.配置接口属性 (32)3.配置路由 (32)4.配置区域属性 (32)6.配置访问策略 (32)7.配置双机热备 (33)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。
天融信防火墙 NGFW4000 快速配置手册目录一、防火墙的几种管理方式 (4)1.串口管理 (4)2.TELNET管理 (5)3.SSH管理 (5)4.WEB 管理 (6)5.GUI 管理 (7)二、命令行常用配置 (12)1.系统管理命令(SYSTEM) (12)命令 (12)功能 (12)WEBUI 界面操作位置 (12)二级命令名 (12)V ERSION (12)系统版本信息 (12)系统 >基本信息 (12)INFORMATION (12)当前设备状态信息 (12)系统 >运行状态 (12)TIME (12)系统时钟管理 (12)系统 >系统时间 (12)CONFIG (12)系统配置管理 (12)管理器工具栏“保存设定”按钮 (12)REBOOT (12)重新启动 (12)系统 >系统重启 (12)SSHD (12)SSH服务管理命令 (12)系统 >系统服务 (12)TELNETD (12)TELNET服务管理 (12)系统 >系统服务命令 (12)HTTPD (12)HTTP 服务管理命 (12)系统 >系统服务令 (12)MONITORD (12)MONITOR (12)服务管理命令无 (12)2.网络配置命令(NETWORK) (13)3.双机热备命令(HA) (13)4.定义对象命令(DEFINE) (13)5.包过滤命令(PF) (13)6.显示运行配置命令(SHOW_RUNNING) (13)7.保存配置命令(SAVE) (13)三、WEB 界面常用配置 (14)1.系统管理配置 (14)A)系统>基本信息 (14)B)系统>运行状态 (14)C)系统>配置维护 (15)D)系统>系统服务 (15)E)系统>开放服务 (16)F)系统> 系统重启 (16)2.网络接口、路由配置 (16)A)设置防火墙接口属性 (16)B)设置路由 (18)3.对象配置 (20)A)设置主机对象 (20)B)设置范围对象 (21)C)设置子网对象 (21)D)设置地址组 (21)E)自定义服务 (22)F)设置区域对象 (22)G)设置时间对象 (23)4.访问策略配置 (23)5.高可用性配置 (26)四、透明模式配置示例 (28)拓补结构: (28)1.用串口管理方式进入命令行 (28)2.配置接口属性 (28)3.配置VLAN (28)4.配置区域属性 (28)5.定义对象 (28)6.添加系统权限 (28)7.配置访问策略 (29)8.配置双机热备 (29)五、路由模式配置示例 (30)拓补结构: (30)1.用串口管理方式进入命令行 (30)2.配置接口属性 (30)3.配置路由 (30)4.配置区域属性 (30)5.配置主机对象 (30)6.配置访问策略 (30)7.配置双机热备 (31)一、防火墙的几种管理方式1.串口管理第一次使用网络卫士防火墙,管理员可以通过 CONSOLE口以命令行方式进行配置和管理。
老4000防火墙升级方案目录一、确认升级权限 (3)二、添加升级权限 (3)1、通过管理器添加升级权限 (3)2、命令行下添加升级权限 (5)三、升级操作 (6)1、通过管理器升级 (6)2、通过升级工具升级 (7)四、替换管理器证书 (8)五、备注 (9)一、确认升级权限首先防火墙管理接口要有升级权限,请到终端(TELNET或CONSOLE)下查看相关权限。
1、system client show 命令。
如下:system client add 'upgrade' -t upgrade -a '内网' -i 0.0.0.0-255.255.255.255则表示内网接口有升级权限。
2、通过area show的命令查看内网接口对应的区域。
area '内网' -d 'eth2' -a any -l session enable ping3、用ifconfig的命令查看eth2口对应的ipifconfig 'eth2' 10.2.6.191 255.0.0.0通过以上3条命令可以看出该设备的eth2口有升级权限,eth2口的ip为10.2.6.191。
若想要升级的接口没有升级权限,可以通过下面方式添加。
二、添加升级权限添加升级权限有两种方式,一是通过修改设备系统时间及管理机器的时间,然后登录设备后添加;二是直接在命令行下添加。
如对命令行不是非常了解,建议采用第一种方式。
1、通过管理器添加升级权限1.1修改设备系统时间。
命令行登录设备(通过console或telnet方式),将设备时间统一更改为2012年01月01日。
修改时间命令:time 2012-01-01 00:00:00如下图所示:1.2将管理器的PC系统时间更改为2012年01月01日,即可用管理器管理设备!1.3点击“选项设置”,双击“安全设备登录控制”(或防火墙登录控制)选项如下图所示:1.4在弹出安全设备登录访问控制窗口以后,点击“增加”选项,弹出安全设备登录客户窗口,如下图所示:1.5添加安全设备登录客户窗口选项参数,点击确定即可。
天融信版本防火墙常用功能配置手册v2天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月目录一、前言 (4)二、天融信3.3版本防火墙配置概述 (4)三、天融信防火墙一些基本概念 (5)四、防火墙管理 (6)五、防火墙配置 (7)(1)防火墙路由模式案例配置 (7)1、防火墙接口IP地址配置 (8)2、区域和缺省访问权限配置 (9)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (10)4、路由表配置 (11)5、定义对象(包括地址对象、服务对象、时间对象) (12)6、地址转换策略 (16)7、制定访问控制策略 (28)8、配置保存 (33)9、配置文件备份 (34)(2)防火墙透明模式案例配置 (35)1、防火墙接口IP配置 (36)2、区域和缺省访问权限配置 (37)3、防火墙管理权限设置(定义希望从哪个区域管理防火墙) (38)4、路由表配置 (39)5、定义对象(包括地址对象、服务对象、时间对象) (40)6、制定访问控制策略 (44)7、配置保存 (49)8、配置文件备份 (49)一、前言我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。
二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。
在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。
1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。
2、防火墙接口IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象(地址对象、服务对象、时间对象)7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换)8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份☺提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
天融信防火墙命令
Document serial number【KK89K-LLS98YT-SS8CB-SSUT-SST108】
Helpmode chinesel
区域权限:pf service add name webui(gui/ping/telent) area 区域名 addressname any
web管理服务开启:system httpd start
web界面权限添加:pf service add name webui area 区域名 addressname any
添加网口ip:
禁用网口: network interface eth16 shutdown
启用网口: network interface eth16 no shutdown
交换模式: network interface eth16 switchport(no switchport路由模式)
区域设置: define area add name E1 attribute 网口 access off(on)《off权限禁止,on
权限允许》
主机地址: define host add name 主机名
子网地址: define host subnet add name 名字
自定义服务:define service add name 名称 protocol 6 port 端口号 (6是tcp的协议码)
vlan添加ip:
web服务器外网访问
1)设置 E1 区域
#define area add name E1 access on attribute eth1
2)定义 WEB 服务器真实地址
#define host add name WEB_server ipaddr
3)定义 WEB 服务器访问地址
#define host add name MAP_IP ipaddr
4)定义服务端口
#define service add name Web_port protocol 6 port 8080
说明:“6”是 TCP 协议的协议码
5)设置地址转换规则
#nat policy add srcarea E1 orig_dst MAP_IP orig_service http
trans_dst Web_server trans_service Web_port
路由adls
ADS拨号设置
1)设置 ADSL 拨号参数
#network adsl set dev eth0 username adsl1234 passwd 123456 attribute adsl
2)定义外网区域(adsl-a)
#define area add name adsl-a attribute adsl access on
3)配置地址转换策略
#nat policy add srcarea area_eth1 dstarea adsl-a trans_src adsl
4)拨号
#network adsl start
5)查看拨号连接情况
# network adsl show status
STATE: PHASE_RUNNING
RX_BYTES: 815
TX_BYTES: 2021
RX_PKTS: 13
TX_PKTS: 42
ELAPS: 586
Dhcp配置
1)配置 Eth1 口的 IP 地址
#network interface eth1 ip add mask
系统自动为物理接口 eth1 绑定属性“eth1”。
2)添加区域对象,指定对区域对象的访问权限为允许访问,并将区域与属性 eth1 绑
定。
#define area add name area_eth1 access on attribute eth1
3)开放该区域的 DHCP 服务
#pf service add name dhcp area area_eth1 addressname any
4)配置 DHCP 服务器
首先要配置 DHCP 服务器的地址池
如果需要,DHCP 服务器可以给指定 MAC 地址的主机绑定 IP 地址。
#network dhcp server add_host name bind macaddr 00:50:04:c3:b0:31 ipaddr
5)在 eth1 口启动 DHCP 服务器
#network dhcp server start on eth1
6)查看已分配的 IP 情况
#network dhcp show binded
web服务器外网访问
1)设置 E1 区域
#define area add name E1 access on attribute eth1
2)定义 WEB 服务器真实地址
#define host add name WEB_server ipaddr
3)定义 WEB 服务器访问地址
#define host add name MAP_IP ipaddr
4)定义服务端口
#define service add name Web_port protocol 6 port 8080
说明:“6,”是 TCP 协议的协议码
5)设置地址转换规则
#nat policy add srcarea E1 orig_dst MAP_IP orig_service http
trans_dst Web_server trans_service Web_port
目的地址转换:
nat policy add srcarea adsla orig_dst adsl orig_service anyshare端口 trans_dst 营销
系统主机
nat policy add orig_src any orig_dst adsl orig_service anyshare端口 trans_dst 营销系
统主机
区域源地址转换:
nat policy add srcarea area_eth11 dstarea adsla trans_src adsl enable yes
访问控制
firewall policy add action accept srcarea area_eth12 dstarea area_eth11
firewall policy add action accept src any dstarea area_eth11
源地址转换
1)定义区域对象
#define area add name area_eth1 access on attribute eth1
#define area add name area_eth0 access off attribute eth0
2)定义内网地址对象
#define subnet add name 子网 100.x ipaddr 1 mask
3)定义 NAT 地址
#define host add name nat-ip ipaddr mask
定义 NAT 地址池
#define range add name nat-pool ip1 .1 ip2 2
4)定义 NAT 地址转换规则
转换为固定 nat-ip
#nat policy add dstarea area-eth1 orig_src 子网 100.x trans_src nat-ip enable yes
在地址池中动态选择转换后的 IP
#nat policy add dstarea area-eth1 orig_src 子网 100.x trans_src nat-pool enable yes
