方正方御FG系列防火墙配置详解

小网御POWER-V 系列防火墙配置IP、端口应射简易文档(适用于对外发布服务)注意事项：1：请确认您的防火墙硬件型号为POWER-V 系列(包括POWER-V 203、303、304、306、404、406、408)2：请您在参照文档开始操作前，确认对防火墙的配置权限。

即拥有USB口电子加密锁。

同时在管理主机上安装过“网御防火墙管理员认证程序”3：确保在配置过程中管理主机与防火墙的连接状态。

4：文档中所使用的拓扑图如下，配置目的为对IP为10.1.5.200的内网“服务器”1.1.1.1的某项服务做IP、或是端口映射。

同时假设分配给防火墙的外网IP为一、认证登录1.1 启用管理员认证程序,并输入“用户PIN值”点击确定。

(出厂默认为12345678)2.1 出现认证程序界面后点击连接。

待出现认证通过的提示后，指示灯会变为绿色。

3.1 在IE浏览器地址栏中输入https://10.1.5.254:88883.2会出现如下图的登录界面。

在默认没有设置过的情况后口令与用户名相同都是administrator2.1 先在菜单中选中“网络配置-网络设备”已经由防火墙默认) 点击fe2行最后的操作栏图标后弹出如下界面。

2.3 在上图中，主要需要配置的是网络接口的IP地址。

在IP地址输入1.1.1.1、在掩码输入对应的掩码。

这里输入255.255.255.0。

跟据需要选择其他选项(用于管理、允许PING、允许Traceroute) 然后选中“是否启用”点击确定后。

网络设备的界面中fe2的设备会显示已经启用。

三、基本配置2(资源定义)3.1 添加服务器地址在资源定义->地址->服务器地址中进行设定。

3.2 名称可以随意。

请注意，必须使用字母开头，并且暂时不支持中文。

在标识为1的行中输入服务器的内网IP即可。

备注是对服务器的说明，可以随意。

3.3 对需要对外发布的服务做定义。

如果是使用常见服务比如HTTP、FTP等服务，防火墙有预定义服务，就不需再做定义。

防火墙的配置在前几篇对防火墙的有关知识和技术作了一个较全面的介绍，本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。

但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。

同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。

首先介绍一些基本的配置原则。

一. 防火墙的基本配置原则默认情况下，所有的防火墙都是按以下两种情况配置的：●拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。

●允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。

可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。

一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。

换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3和SMTP 的进程。

在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。

其实这也是任何事物的基本原则。

越简单的实现方式，越容易理解和使用。

而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。

每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。

但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。

但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。

2.5 控制台的安装和卸载.............................................................................15
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8

对于目前的环境我们可以考虑两种方法来设置：1，透明桥接模式这种模式就是把三个网卡的IP地址设置成一个网段，比如NET1设置成10.10.200.101（连接PC机）、NET2设置成10.10.200.102（连接服务器网段）、NET3设置成10.10.200.103（上连路由器的以太口），然后指定每个网卡的有效网络范围（先在对象当中定义好IP范围，然后对每个网卡绑定相应的有效网络）因为是透明桥接模式，所以所有机器的网关均指向10.10.200.1（路由器的以太口）2，混合模式这时防火墙的工作方式是NET1和NET3做透明桥接，NET2和NET3之间做NAT模式（地址映射），NET1和NET3的网络地址保持不变或者NET1和NET3的地址一样（都为10.10.200.101或者10.10.200.103）都无所谓，NET2的网络地址为192.168.0.1，这种模式很重要的一点是每个网卡的有效网络一定要绑对，并且NET3的有效网络要包括NET1的有效网络，既NET3的有效网络只需要把NET2的有效网络抠去就可以了。

（比如NET1的有效网络是10.10.200.1-10.10.200.254；NET2的有效网络是192.168.0.1-192.168.0.254；那么NET3的有效网络是0.0.0.1-192.167.255.255和192.168.1.0-255.255.255.255；主要是因为NET1和NET3之间是透明桥接模式，所以NET3的有效网络只需要把NET2的有效网络抠掉，并且在192.168.0.0这个网段的网关应该是192.168.0.1。

这一步做完以后，然后就要对防火墙做NA T，我们现在要保证192.168.0.0这个网段能够上网，只要把这个网段映射到NET1或者NET3或者是10.10.200.0这个网段的任何一个IP地址（10.10.200.1）除外。

比如假设我们已经把相应的对象定义好了，具体的NA T规则应该是：转换之前转换之后方向源地址目的地址服务源地址目的地址服务OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.101 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 10.10.200.103 外网范围ANY OUTGOING：192.168.0.0/24 外网范围ANY 见说明1 外网范围ANY 说明1：这里的源地址也可以是10.10.200.0/24这个网段中没有用过的IP地址比如也可以是10.10.200.99。

Page45
添加静态路由界面，如下图所示：

Page46
策略路由 策略路由功能提供了更丰富的路由选择条件，网络管理员不仅可以根据 目的地址进行路由选择，而且还可以根据源地址来进行路由选择。系统支持用 户最多设置200条策略路由。 。 策略路由配置界面，如下图所示：
Page7
防火墙主界面，如下图所示：

Page8
方正FS防火墙的配置功能 方正FS防火墙的配置功能 FS
1、配置规则
方正防火墙规则的配置是安全功能的最重要体现，包括：包过滤规则、 NAT规则、代理规则、IP/MAC绑定规则、攻击防范规则、动态端口支持。 1.1 策略组 方正防火墙包过滤规则主要是通过制定过滤规则集，对数据包头源地址 、目的地址、协议类型及端口等标志进行检查，判定数据包是否允许通过。当 满足过滤规则的数据包通过方正防火墙时，根据规则的策略决定允许或者禁止 通过，不满足规则的包则被丢弃。 用户可以通过策略组的形式管理多条策略。

Page14
源地址转换
当使用保留IP地址的内部网用户访问外部网时，经过源地址转换， 将源地址转换为一个固定IP，也可以从一个地址池中根据某种策略动态 选择一个。用户经过SNAT转换获取合法的IP地址，实施外部访问。这样 既可以解决IP地址匮乏问题，又能够隐藏受保护网络的内部拓扑结构， 在一定程度上提高网络的安全性。 方正防火墙可以实现一对一、多对一和多对多的源地址转换方式。

Page23
IP/MAC地址自动搜索列表，如下图所示：

Page24
1.4 带宽管理 方正防火墙提供带宽管理策略，可方便的根据源或者目的地址对流量进 行控制管理，以防止线路资源的非许可消耗，有效地管理带宽资源，从而使网 络资源得到有效利用。 设置流量控制规则，如下图所示：

常见防火墙设置图文说明〓〓〓一、天网防火墙天网防火墙有正式版（收费的版本，服务好，功能强）和试用版（免费，用的人很多，IP编辑高级功能受一些限制）之分，试用版的界面和操作基本都一样，使用试用版的可以参考类似的操作。

安装完后要重起，重启后打开天网防火墙就能起到作用了。

默认的中级状态下，它的作用就基本可以了。

但有时它苛刻的IP规则也带来了很多不便，后面再说。

所以，如果没什么特殊要求的，就设置为默认就OK了，安全级别为中就好。

一、普通应用（默认情况）下面来介绍天网的一些简单设置，如下图一是系统设置界面，大家可以参照来设置：图一下面是IP规则，一般默认就可以了，其实在未经过修改的自定义IP规则是与默认中级的规则一样的。

但如果你想新建新的IP规则也是可以的，这里是默认情况就不多说了。

图二下面是各个程序使用及监听端口的情况，可以查看什么程序使用了端口，使用哪个端口，是不是有可疑程序在使用网络资源，如木马程序，然后可以根据要求再自定义IP规则里封了某些端口以及禁止某些IP访问自己的机子等等。

再看下图就是日志，上面记录了你程序访问网络的记录，局域网，和网上被IP扫描你端口的情况，供参考以便采取相应对策，由于是默认就不多说了，日志上基本都是拒绝的操作。

图四以上是天网在默认下的一些情况，只要你没什么特殊要求，如开放某些端口或屏蔽某些端口，或某些IP操作等等，默认下就能起到防火墙的强大作用。

但是防火墙的苛刻要求给某些程序的使用带来麻烦。

以下就介绍开放某些端口的设置方法，大家可以依次类推，完成你想要的相关操作。

二、防火墙开放端口应用如果想开放端口就得新建新的IP规则，所以在说开放端口前，我们来说说怎么新建一个新的IP规则，如下图五，在自定义IP规则里双击进行新规则设置。

图五点击增加规则后就会出现以下图六所示界面，我们把它分成四部分图六1）图六1是新建IP规则的说明部分，你可以取有代表性的名字，如“打开BT6881-6889端口”，说明详细点也可以。

Q3 FG 防火墙端口映射的配置
A3
步骤：
1.在“防火墙\虚拟IP”中新建一个虚拟IP ，选择相应的“外部接口”，如WAN1；类型选“端口转发”；外部IP 地址输入“0.0.0.0”表示所有的公网IP ；外部服务端口输入相应的端口号；映射到IP 地址输入内部所要
开放的服务器的IP ，映射到端口输入相应的端口号；协议选择相应的协议。

2.在“防火墙\策略”新建一个外到内的策略，来源选外网口，如WAN1；目的选虚拟IP 组中定义好的那个。

FortiGate 端口映射
版本:FG50B-v300-build0568 上海技术部:冯涛 08-07-14
目的:将内部端口映射到外部
登陆防火墙，进入防火墙—〉虚拟IP 如图：
选择新建，名称：自己定义
外部接口：选择你的外网接口
类型选择： 端口转发
外部IP 地址：公网的IP 地址（如果你是动态IP 则写为0.0.0.0） 外部服务端口：写要映射的端口号（如HTTP ：80，FTP ：21）
映射到IP 地址：内网要开放服务的设备IP 地址
映射到端口：写内网端口号（如HTTP ：80，FTP ：21）
协议：根据服务选择TCP 或UDP （通常为TCP ）
如图：
完成后在策略中新建一条从外到内的策略
如图：
1选择外部接口（wan1或external）到内部接口(internal) 2选择所有的地址(all)到虚拟IP地址（例如：test）3选择内容保护表，通常选scan，也可不启用
建立完成。

方正防火墙认证工程师培训-防火墙基础什么是防火墙防火墙（Firewall）是一种具有数据包过滤功能的安全设备，用来防止网络攻击。

它处于计算机网络的边缘位置，负责管理网络进出的流量，根据预设的规则允许或拒绝通过数据包。

防火墙可以使用各种不同的技术，包括包过滤、状态感知防火墙、代理服务器防火墙和网络地址转换（NAT）防火墙。

方正防火墙简介方正科技股份有限公司成立于1992年，是一家国内领先的软件研发公司。

方正防火墙是方正科技公司的核心产品之一，是业内知名的安全设备，拥有多项专利，适用于各种规模的企业网络。

方正防火墙提供了多种功能，包括数据包过滤、网络地址转换、虚拟专用网（VPN）和入侵检测等。

这些功能可以有效地保护企业网络，防止恶意攻击和未经授权的访问。

防火墙的作用防火墙的主要作用是保护网络安全，提高网络的可靠性和可用性。

具体来说，防火墙的作用包括：1.访问控制：根据预设的规则，控制网络进出的数据包。

2.数据包过滤：对进出网络的数据包进行过滤，阻止不安全的数据包进入网络。

3.支持虚拟专用网（VPN）：通过创建虚拟专用网隧道，保护远程用户和分支机构之间的通信安全。

4.防止入侵：对进入网络的数据包进行检测，防止恶意攻击和未经授权的访问。

5.支持网络地址转换（NAT）：将私有网络内的IP地址转换为公网IP地址，实现内部网络与公网的连接。

方正防火墙认证工程师培训方正防火墙认证工程师培训是一项专业的培训活动，旨在培养专业的防火墙工程师。

培训内容主要涉及方正防火墙的基本原理、配置和管理等方面，包括以下内容：1.防火墙的基本原理：介绍防火墙的基本工作原理，以及数据包过滤和网络地址转换等常用功能的实现方法。

2.防火墙的配置和管理：介绍如何配置和管理方正防火墙，包括基本配置、安全配置、日志管理等方面。

3.防火墙安全策略的制定：介绍如何根据企业的实际需求，制定防火墙的安全策略，以保障网络安全。

4.防火墙的故障排除：介绍如何对防火墙的故障进行排除，以保证网络的正常运行。

» 会话跟踪 »Session helpers »SSL VPN » 用户认证 » 流量整形
29
数据包处理流程：步骤 3
阶段 1 - Ingress
DDoS 触发器 IP完整性头检验 IPSec 连接检查
阶段 3 – UTM扫描
流模式扫描检测 » IPS » 应用控制 » 电子邮件过滤 » Web过滤 » 防病毒 代理模式扫描检测 » VoIP检测 » 数据防泄漏 » 电子邮件过滤 » Web过滤 » 防病毒 » ICAP
77
防火墙策略：接口和区域
Incoming
Outgoing
• 入接口: 接收数据包的接口或区域（zone） • 出接口: 发送数据包的接口或区域（zone）
区域：一个逻辑的接口的组合 为了让流量匹配策略，必须选择一个或多个接口，或者选择any
88
源匹配
必须 指定至少一个源 可能 是如下两种源的组合：
FortiGate I
防火墙策略
FortiGate 5.2.1
© Copyright Fortinet Inc. All rights reserved.
Last Modified: 24 July 2015
什么是防火墙策略? 策略的定义:
»流量需要匹配什么样的条件 »如何处理匹配策略的流量
当收到新建session的第一个数据包时，FortiGate会查找 匹配的策略
Authentication
Threat Management
Traffic Shaping
Logging
33
策略列表：分区视图
在GUI上点击 Policy & Objects > Policy > IPv4 策略按照定义的出入接口对分组

Fortigate防火墙安全配置规范Fortigate防火墙安全配置规范1.概述1.1. 目的本规范明确了Fortigate防火墙安全配置方面的基本要求。

为了提高Fortigate防火墙的安全性而提出的。

1.2. 范围本标准适用于XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置2.1. 配置设备名称制定一个全网统一的名称规范，以便管理。

2.2. 配置设备时钟建议采用NTP server同步全网设备时钟。

如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。

2.3. 设置Admin口令缺省情况下，admin的口令为空，需要设置一个口令。

密码长度不少于8个字符，且密码复杂。

2.4. 设置LCD口令从设备前面板的LCD可以设置各接口IP地址、设备模式等。

需要设置口令，只允许管理员修改。

密码长度不少于8个字符，且密码复杂。

2.5. 用户管理用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。

用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。

单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。

2.6. 设备管理权限设置为每个设备接口设置访问权限，如下表所示：接口名称允许的访问方式Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式Port5 （保留）Port6 （保留）且只允许内网的可信主机管理Fortinet设备。

2.7. 管理会话超时管理会话空闲超时不要太长，缺省5分钟是合适的。

2.8. SNMP设置设置SNMP Community值和TrapHost的IP。

联想网御防火墙配置手册（3213)
1、根据防火墙接口数量及业务系统需求规划防火墙各接口用途、
IP地址信息、及各接口的策略等。

2、防火墙设备安装，连接各种线缆.
3、安装防火墙管理密钥驱动.
4、插入管理密钥，运行防火墙管理认证程序。

默认管理IP地址
10.1.5。

254 端口9999。

5、认证程序连接防火墙成功后，利用浏览器登陆防火墙，地址：
https：//10.1.5.254：8888默认用户名：administrator密码：administrator。

6、设置各物理接口IP地址、工作模式等信息.
7、设置别名设备，绑定外网地址到外网的物理接口上,以备设置
端口或IP映射做准备。

8、设置管理主机，提高系统安全性，只有设置的管理主机范围才
有访问防火墙的权限.
9、按系统规划需求，定义所需地址列表及服务器地址等信息，以
备后期定义策略时使用。

10、根据系统规划需求，设置默认路由。

11、配置NAT规则.
12、配置IP或端口映射.IP映射会对此映射IP的所有端口开放，端
口映射只开放相应映射的端口.
13、配置包过滤规则。

14、配置其它安全选项。

15、。

第3章系统配备3.1 本章重要简介防火墙旳系统配备, 由如下部分构成: 日期时间, 系统参数, 系统更新, 管理配备, 联动, 报告设立, 入侵检测和产品许可证。

3.2 日期时间防火墙系统时间旳精确性是非常重要旳。

可以采用两种方式来同步防火墙旳系统时钟1)与管理主机时间同步2)与网络时钟服务器同步（NTP协议）图3-1配备防火墙时间与管理主机时间同步1.调节管理主机时钟2.点击“时间同步”按钮与时钟服务器时间同步有两种方式1.立即同步2.周期性自动同步立即同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.点击“立即同步”按钮周期性自动同步1.选中“启用时钟服务器”, 输入“时钟同步服务器IP”2.设定同步周期3.点击“拟定”按钮系统参数注意事项:3.3 防火墙旳诸多操作依赖于系统时间, 变化系统时间会对这些操作发生影响, 例如更改时间后配备管理界面登录超时等。

3.4 系统参数系统参数设立防火墙名称和动态域名注册所使用旳顾客名、密码。

防火墙名称旳最大长度是14个英文字符, 不能有空格。

默认旳防火墙名称是themis, 顾客可以自己修改这个名称。

动态域名注册所使用旳顾客名、密码旳最大长度是31个英文字符, 不能有空格。

动态域名旳设立在网络配备>>网络设备旳物理网络配备中。

图3-2系统参数配备图3.5 系统更新3.5.1 模块升级防火墙系统升级功能可以迅速响应安全需求, 保证防火墙功能与安全旳迅速升级。

图3-3导入升级文献模块升级界面涉及如下功能1.模块升级2.导出升级历史3.检查最新升级包4.重启防火墙模块升级1.点击“浏览”按钮, 选择管理主机上旳升级包2.点击“升级”按钮点击“重启防火墙”按钮, 重启防火墙完毕升级导出升级历史点击“导出升级历史”按钮, 导出升级历史做备份。

检查最新升级包管理员可以查看”系统目前软件版本”, 点”检查最新升级包”, 系统会弹出新旳IE窗口并连接联想安全服务网站（防火墙可以连接Internet）。

防火墙配置手册
防火墙形态
类似于一台路由器设备，是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES－M)为实例，来测试防火墙各 区域的访问控制机制：
目标一： 了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企
业内联网）,SSN（安全服务区，即DMZ（非军事区）,Internet（互联网） 区域之间访问控制机制。
通过地址映射后，访问虚口地址即实际转向访问到节点B.
说明： Internet
必外须网针对不D同M区Z域设区置访问权限，同一区域2内.的25主0机防火墙是不能控制6权.2限5的0，设置的策In略t也er是n无et用外的。网
报 2通、头过禁这止种1网S方9S数式关N2据主.，1：机互618访联9.问2网2.互.上510联主6/86网机.0。2可/.7不205需/08路0由/9（0 网关）到企业内网。
特别注意：访问策略应在被访问对象所在的目标区域设 置策略。如：访问SSN区域内主机，则应在SSN区域内设 置策略。
访问控制测试
2) 在本区域内增加‘包过滤策略’，建立禁止对方主机（策略源）访 问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。
Connection to inside network
Intranet 内部网络
Internet
Web e-mail FTP
防火墙
为网络用户提供安全 的 Internet 接 入
DMZ WEB服务层
Connection to www network
• Web 站 点 访 问 过 滤
Web Site Filter
– 限制对非本企业 业务目的的
Internet 资 源 的 访 问

防火墙 接口IP定义：
– LAN接口接内网 – FW接口防火墙FW2 – R接口路由器R1
防火墙 接口IP定义： LAN接口接内网 FW接口防火墙FW2 R接口路由器R2 IP_LAN: IP_FW: IP_R:
IP_LAN: IP_FW: IP_R:
172.16.0.1/24 192.168.1.1/24 192.168.3.1/24
拓扑环境描述和目的
实验环境描述：
• 网络有两个出口，分别是中国电信和中国网通，都可以接入因 特网 • 内网有多个子网，由三层交换接入防火墙lan1接口 • 防火墙接口定义：
– lan1接内网，连接三层交换机，IP地址为：10.10.10.2/30，内部网 关为：10.10.10.1/30 – lan2接中国电信 GW_World-Telcom : 218.10.0.1/29 接口IP地址为：Net_WAN-Telcom : 218.10.0.2/29 – lan3接中国电信 GW_World-CNC : 64.134.0.1/29 接口IP地址为：Net_WAN-CNC : 64.134.0.2/29
• 建立网络对象：检查“局部对象” - “主机和网 络”中定义网络拓扑中出现的所有对象
定义内网接口lan1 的IP地址（lan1 下联 三层设备）,以及内网接口lan1 所连接网 络的广播地址和网络地址； Internal网关地址：GW_Internal
防火墙配置 第一步<2>
定义电信接口lan2 的IP地址, 以及电信分配的接口lan2 所连接网络的广播地址 和网络地址； Internet的电信网关地址：GW_World-Telcom 定义网通接口lan3 的IP地址, 以及网通分配的接口lan3 所连接网络的广播地址 和网络地址； Internet的网通网关地址：GW_World-CNC 定义内网接口三层设备（GW_Internal）所连接的 网络, 并将连接的网络Net_LAN01和Net_LAN02 组合成 为一个Group_All_LAN组

• W（输入命令w）
查看VPN的后台配置：等 c, line: 850 --->Could not parse start line of message. 示例2: 配置eth0别名设备 eth0:1 的IP admmode show 查看管理方式
这就说明防火非墙常的某简个模单块的使用命率特令别，大，但要注是意很优化有。 用，应该说非常有用。
• acsc on和acsc show top
– 开启连接管理功能
– 查看top 10的连接
（含）以下版本防火墙语音传输不通或者有时通，有时不通或者日志中有大量关于sip、h323的报错信息时，可以用如下命令，彻底删
除但s是ip卸和载h3以23上模模以块块上。会命牺令牲掉主ha要模是块，让以工后程将无师法在使用双机功能。
• 使用ifconfig命令配置并查看网络接口情况 示例1: 配置eth0的IP，同时激活设备: # ifconfig eth0 192.168.4.1 netmask 255.255.255.0 up 示例2: 配置eth0别名设备 eth0:1 的IP
示例3:激活（禁用）设备 # ifconfig eth0:1 up(down)
示例4:查看所有（指定）网络接口配置 # ifconfig (eth0)
备注：如果要对接口添加允许管理允许ping等相关参数的时候，则要使 用防火墙自身的命令interface set phy if fe0 ip 10.1.5.254 netmask 255.255.255.0 active on admin on ping on traceroute on
查看防火墙磁盘不大打小开的页一系面列的操情作 况下可以更
filterconfig state remove 清除防火墙上的连接（所有连接包括你的web连接和SSH连接）

FG产品特性描述：FG全线产品功能列表产品功能3000-FG-D 3000-FG-E 3000-FG-6340 3000-FG-T 8000-FG-P 8000-FG-F 8000-FG-G1.1 包过滤Y Y Y Y Y Y Y1.2 状态检测Y Y Y Y Y Y Y1.3 智能IP识别（初级：快速Y Y Y Y Y Y Y 规则定位）1.4 智能IP识别（高级：零拷贝分类引擎＋快速规Y Y Y Y Y Y Y 则定位）1.5 碎片处理Y Y Y Y Y Y Y1.6 DMZ支持Y Y Y Y Y Y Y1.7 ARP代理Y Y Y Y Y Y Y1.8 URL过滤Y Y Y Y Y Y Y1.9 多媒体支持，全面支持视Y Y Y Y Y Y Y 频、音频、文字应用1.10 N AT模式下多媒体支持，Y Y Y Y Y Y Y 全面支持视频、音频、文字应用1.11 时间规则Y Y Y Y Y Y Y1.12 其他IP协议支持Y Y Y Y Y Y Y2.1 反端口扫描行为Y Y Y Y Y Y Y2.2 防御DOS、DDOS攻击Y Y Y Y Y Y Y2.3 检测其他共2000种常见Y Y Y Y Y Y Y 和非常见攻击2.4 可根据攻击类型选择是否Y Y Y Y Y Y Y 检测此类攻击2.5 可在线升级攻击数据库Y Y Y Y Y Y Y2.6 实时报警和自动封禁Y Y Y Y Y Y Y2.7 第三方IDS互动Y Y Y Y Y Y Y3.1 主机信息扫描 Y Y Y Y Y Y Y 3.2 端口扫描Y Y Y Y Y Y Y 3.3 Web CGI 漏洞扫描 Y Y Y Y Y Y Y 3.4 常见服务扫描 Y Y Y Y Y Y Y 3.5 Web 漏洞扫描YY Y Y Y Y Y 3.6 RPC 远程过程调用扫描 Y Y Y Y Y Y Y 3.7 自动生成安全报告 Y Y Y Y Y Y Y 4.1透明网桥/路由混合模式Y Y Y Y Y Y Y 4.2 桥模式 Y Y Y Y Y Y Y 4.3 路由模式Y Y Y Y Y Y Y 4.4 网络地址转换（NAT ） Y Y Y Y Y Y Y 4.5 动态地址路由 Y Y Y Y Y Y Y 4.6 流量控制（带宽管理） Y Y Y Y Y Y Y 4.7 流量统计YYYYYYY代理服务HTTP Y Y Y Y Y Y YHTTPS FTPSMTP DNS POP3 NNTP SOCKS5TELNET4.8 VLAN 支持 Y Y Y Y Y Y Y 4.9 IP/MAC 地址绑定 Y Y Y Y Y Y Y5.1 3DES/算法支持 Y Y Y Y Y Y Y 5.2 国密办算法支持YYYYYYY5.3 Pre share, IKE,Y Y Y Y Y Y Y PKI(x.509)5.4 网关-网关Y Y Y Y Y Y Y 5.5 客户端-网关Y Y Y Y Y Y Y6.1 系统帐号管理Y Y Y Y Y Y Y 6.2 Radius认证Y Y Y Y Y Y Y 6.3 NT域认证Y Y Y Y Y Y Y7.1 完全中国化设计，可视化Y Y Y Y Y Y Y 配置7.2 基于PKI的高级安全认证、Y Y Y Y Y Y Y 授权与数据通信机制7.3 集中管理Y Y Y Y Y Y Y 7.4 实施域Y Y Y Y Y Y Y 7.5 实时监控和日志转存Y Y Y Y Y Y Y 7.6 SNMP支持Y Y Y Y Y Y Y 7.7 双机热备Y Y Y Y Y Y Y8.1 审计管理Y Y Y Y Y Y Y 8.2 取日志Y Y Y Y Y Y Y 8.3 日志查询Y Y Y Y Y Y Y 8.4 统计Y Y Y Y Y Y Y主要技术参数技术参数 3000-FG-D3000-FG-E3000-FG-63403000-FG-T8000-FG-P8000-FG-F8000-FG-G1.1 吞吐量 120M 220M 400M 600M 1000M 2000M 4000M 1.2 并发接连数 60万 100万 150万 150万 200万 400万 600万 1.3 每秒钟新建连接数 7000 10000 18000 20000 30000 30000 30000 1.4 软件VPN 吞吐量 10M 30M 30M 70M 70M 100M 100M 1.5 硬件VPN 吞吐量 N/A 50M 70M 200M 200M 400M 400M 1.6 国密办算法吞吐量 N/A 50M 70M 200M 200M 400M 400M 1.7 VPN 用户数 200 1000 2000 2000 2000 5000 8000 1.8 双机热备切换时间 1S 1s 1s 1s 1s 1s 1s 1.9 MTBF >8万小时 >8万小时 >8万小时 >8万小时 >8万小时 >8万小时 >8万小时 1.10 策略数量无限制 无限制 无限制 无限制 无限制 无限制无限制2.1 尺寸 433×308×44mm 433×308×44mm 396×430×44mm 433X308X44mm 433X308X44mm 467×483×148mm 467×483×148mm 2.2重量5 Kg 5 Kg 5 Kg 5 Kg 5 Kg 24 Kg 24 Kg3.1 温度 0℃-60℃ 0℃-60℃ 0℃-40℃ 0℃-50℃ 5℃-35℃ 5℃-35℃ 5℃-35℃ 3.2 相对湿度 20%-90% 20%-90% 40%-90% 5%-95% 20%-90% 20%-90% 20%-90% 3.3 冲击 300m/S² 300m/S² 300m/S² 300m/S² 150m/S² 150m/S² 150m/S² 3.4震动0.15mm/10-55Hz 0.15mm/10-55Hz 0.15mm/10-55Hz 0.15mm/10-55Hz 0.15mm/5-35Hz 0.15mm/5-35Hz 0.15mm/5-35Hz4.1网络接口（标配）10/100MB ×410/100MB ×310/100MB ×410/100MB ×4 1000MB(T) ×210/100MB ×1 1000MB(T) ×1 1000MB(F) ×2 可灵活扩充10/100MB ×1 1000MB(T) ×11000MB(F) ×2 可灵活扩充 10/100MB ×1 1000MB(T) ×1 1000MB(F) ×2 可灵活扩充 4.2 控制台接口 RS232(COM1) 9600BaudRS232(COM1) 9600Baud RS232(COM1) 9600Baud RS232(COM1) 9600Baud RS232(COM1) 9600Baud RS232(COM1) 9600Baud RS232(COM1) 9600Baud5.1 输入电压：86-240V电流：2-6A频率：50-60Hz 电压：86-240V电流：2-6A频率：50-60Hz电压：200-240V电流：2-6A频率：50-60Hz电压：86-240V电流：2-6A频率：50-60Hz电压：86-240V电流：2-6A频率：50-60Hz电压：200-240V电流：2-6A频率：50-60Hz电压：200-240V电流：2-6A频率：50-60Hz5.2 输出最大功率：65W 最大功率：65W 最大功率：250W 最大功率：250W 最大功率：250W 最大功率：400W 最大功率：400W6.1 安全CCEE CCEE CCEE CCEE CCEE CCEE CCEE6.2 环境适应性GB/T 9813-2000 GB/T 9813-2000 GB/T 9813-2000 GB/T 9813-2000 GB/T 9813-2000 GB/T 9813-2000 GB/T 9813-20006.3 电磁兼容性GB 9254-1998GB/T 17618-1998GB 17625.1-1998 GB 9254-1998GB/T 17618-1998GB 17625.1-1998GB 9254-1998GB/T 17618-1998GB 17625.1-1998GB 9254-1998GB/T 17618-1998GB 17625.1-1998GB 9254-1998GB/T 17618-1998GB 17625.1-1998GB 9254-1998GB/T 17618-1998GB 17625.1-1998GB 9254-1998GB/T 17618-1998GB 17625.1-19986.4 防火墙GB/T 19019-1999 GB/T 19019-1999 GB/T 19019-1999 GB/T 19019-1999 GB/T 19019-1999 GB/T 19019-1999 GB/T 19019-1999 注：N/A表示该产品中此项对应的功能不存在。

注：方正防火墙设备网口1、2、3成桥配置后的状态信息 方正防火墙设备网口 、 、 成桥配置后的状态信息
方正防火墙设备的“别名”设置，分为“端口别名设定” 方正防火墙设备的“别名”设置，分为“端口别名设定”和 “ 子网 别名设定”两部分： 别名设定”两部分：
注：方正防火墙设备网口1的安全策略 方正防火墙设备网口 的安全策略
标准应用—路由 标准应用 路由/NAT模式 路由 模式
外部网
Internet
DMZ区 区
web server 218.23.156.1 桥 218.23.156.5 218.23.156.2 ftp server 218.23.156.3 192.168.0.254
NAT
防火墙
mail server 218.23.156.4
192.168.0.0/24
内部网
FG—混杂模式
桥配置” 选项： 方正防火墙设备 “桥配置” 选项：
注：防火墙2、3口配置成桥 防火墙 、 口配置成桥
注：混杂模式下防火墙源地址转换
方正防火墙设备的“别名”设置，分为“端口别名设定” 方正防火墙设备的“别名”设置，分为“端口别名设定”和 “ 子网 别名设定”两部分： 别名设定”两部分：
Tel: 8008101353 / 4006781353 Email: support.aq@
注：网口1的安全策略 网口 的安全策略
网口2安全策略 注： 网口 安全策略
<<防火墙安全策略设置>> <<防火墙安全策略设置>> 防火墙安全策略设置 <<VPN配置指导>> <<VPN配置指导>> 配置指导
方正信息安全技术有限公司售后服务（7*24小时） 方正信息安全技术有限公司售后服务（7*24小时） 小时