天融信版本防火墙常用功能配置手册v2.docx

天融信3.3版本防火墙常用功能配置手册北京天融信南京分公司2008年5月 Bei iinCj TOMec Sui-dnut! ft'PechnuluuY CD.,Lrd.目录一、刖言3二、天融信3.3版本防火墙配置概述3三、天融信防火墙一些基本概念4四、防火墙管理4五、防火墙配置6（1）防火墙路由模式案例配置61、防火墙接口 IP地址配置72、区域和缺省访问权限配置83、防火墙管理权限设置（定义希望从哪个区域管理防火墙）94、路由表配置105、定义对象（包括地址对象、服务对象、时间对象）116、地址转换策略147、制定访问控制策略268、配置保存319、配置文件备份31（2）防火墙透明模式案例配置321、防火墙接口 IP配置332、区域和缺省访问权限配置353、防火墙管理权限设置（定义希望从哪个区域管理防火墙）354、路由表配置365、定义对象（包括地址对象、服务对象、时间对象）376、制定访问控制策略417、配置保存468、配置文件备份46 Bei iinCj TOMec Sci-driut! ft'PechnuluuY CD-,Lrd.一、前曰我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火 墙（在本安装手册中简称为“天融信防火墙”）时，可以通过此安装手册完成对 天融信防火墙基本功能的实现和应用。二、天融信3.3版本防火墙配置概述天融信防火墙作为专业的网络安全设备，可以支持各种复杂网络环境中的网 络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络 的规划情况和用户对防火墙配置及实现功能的诸多要求，建议参照以下思路和步 骤对天融信防火墙进行配置和管理。1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式）， 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。2、防火墙接口 IP配置3、区域和缺省访问权限配置4、防火墙管理权限配置5、路由表配置6、定义对象（地址对象、服务对象、时间对象）7、制定地址转换策略（包括四种地址转换策略：源地址转换、目的地址转 换、双向转换、不做转换）8、制定访问控制策略9、其他特殊应用配置10、配置保存11、配置文件备份提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙 配置不当造成网络长时间中断。/ Bfcii iiriLJ TOMec Sui-dnut! ft'PechnuluuY CD-,Lrd.三、天融信防火墙一些基本概念接口：和防火墙的物理端口对应，如Eth0、Eth1等。区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上，防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接 口。在安装防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主 机、服务器等所需要的安全保护等级来划分区域。对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转 换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的对象是管 理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管 理员对防火墙的管理工作。当某个对象的属性发生变化时，管理员只需要修改对 象本身的属性即可，而无需修改所有涉及到这个对象的策略或规则。防火墙中， 用户可定义的对象类型包括：区域、地址、地址组、服务、服务组、以及时间等。提示：对象名称不允许出现的特殊字符：空格、“”、"”、“”、 “/”、“； ”、“”、“$”、"&”、"<”、">”、"#”、"+”。提示：防火墙所有需要引用对象的配置，请先定义对象，才能引用。四、防火墙管理防火墙缺省管理接口为eth0 口，管理地址为192.168.1.254，缺省登录管 理员帐号：用户名superman，口令talent。防火墙出厂配置如下：亨四anral起口k T&psecOS同一曾理威呆步$匕许昱某火畋故数同一管理员景大步何TF理员最大为醐暗地点最汰霓录用尸跋管无员-管理员剧户名 代催员密周 设备为埠#大连擅#ft/认陞塑俺钢EihO tiJtLAN n> |'件他接口祯IH曾匐W尚适函览痴管理函页诵）cur管理（通过TOPSEC中心XSSH通过SW远程登盘管理为该型弓允许漩大连接败的三介之一3沪中IP： 192.168. 1.25!Shut demI Etho (it UN )允许来H EhO (LANU) t的肥务iff求升缎f瓣利T UI；防火牌进行升ttt）PINGPISG到闷蜻卫上防火琦的接口IF地址或VUN虚按的I?地址，北他麟务地畦段圭豚I!志BHHGMP地址II志厩务糕祚技的LI志膈务胡口龙谨来自Etho f或LANTI）上的U新野求 尤许乘口 EtM匚戒LAN 口）上的眼宓谓求哭止ANYd；O. diO - 255. B55, 255, 55 瓦瞄审a.：软酬UDF 的 514 曜口美雨龙注来i'i Etho或如 m 上的服务浦柬防火墙支持以下管理方式:串口（console）管理方式：超级终端参数设置波特率9600。输入helpmodeChinese命令可以看到中文化菜单。WEBUI管理方式（https协议）：在输入URL时要注意以“https:/”作为协 议类型，例如https:/192.168.L 254,推荐使用IE浏览器进行登录管理。在浏览器输入：HTTPS/192a68O.254，看到下列提示，选择“是”vj vj II |/j:Jcoi iso _Le |提示：要想通过TELNET. SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“ HTTP ”方式。在“系统管理”一“配置”一“开放 服务”中选择“启动”即可，并且在开放服务里面相关接口区域添加TELNET、SSH方式等管理方式即可。五、防火墙配置(1)防火墙路由模式案例配置在路由模式下，天融信防火墙类似于一台路由器转发数据包，将接收到的数 据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个 区域都不在同一个网段的情况。和路由器一样，天融信防火墙的每个接口均要根 据区域规划配置IP地址。配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网拓扑图如下：172.16.1.0/24 网段1、防火墙接口 IP地址配置进入防火墙管理界面，点击”网络管理“一 “接口”一 ”物理接口 “，依次点击每个接口的“设置”按钮可以添加每个接口的描述和接口IP地址。物理接口 |子接口物理接口接口名称描述路由堂换地址MTU状态协商速率设置ethO内网路由172.16.1.254/255.255.255.01500启用autosuit, cethl外网路由111.111.111.230/255.255. 255. 01500启用autosuit, ceth2服荟器路由10. 1. 1.254/255.255.255.01500启用anteautoeth3路由1500启用anteauto物理接口 I子接口基本信息名称：ethO描述：内网是去如个字符或者15个汉字状态:启用V模式：路由V路由模式地址/掩码：/1 1 ha-static 地址掩码屈性册1除1T2.16.1.254255.255.255.0高疆届性确定 取消2、区域和缺省访问权限配置在“资产管理”一“区域”中定义防火墙区域（接入相同安全等级的网络接口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区域缺省权限为禁止访问。区域确定 取消被选属性依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网”区域；添加ETH2接口为“服务器”区域；）提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置访问规则，那就需要配置不同的区域。3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）默认只能从ETH 0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加）， 点击“系统管理”一“配置”一“开放服务”，点击添加，常用服务有WEBUI（即 WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）系统参数I开放服荟I时间系统参数I开放服务I时间修改配置系统参数I开放服蓉I时间启动停止停止启动停止启动监控服务:TELHETfl艮苗:IffTF服备:NTF服务:服务名称控制区域控制地址web ui内网:ElTlYwebui外网anyping内网anyping外网:ElTlYtelnet内网:ElTlY开放服翦添加4、路由表配置添加静态路由，在“网络管理”一“路由”-“静态路由”，点击添加添加缺省路由时，目的地址和目的掩码都为0.0.0.0,网关为下一条地址， 其他选项为空。静态路由I策略路由I多播路由I添加配置目的地址：0.0.0.0*目的掩码：0.0.0.0*Metric :1-65535网关：111. 111. 111.254*接口： -选择接口-p确定 取消静态路由I策略路由I多播路由I目的网关标记Metri c接口册除1T2.16.1.254/320. 0. 0. 0UL11.：.111.111.111.230/320. 0. 0. 0UL1101T2. 16. 1.0/240. 0. 0. 0UC10e + hU111.111.111.0/240. 0. 0. 0UC10e + hl0.0. 0.0/0111.111.111.254UGS1ethl静态路由表弥加活空。如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），请注意添加相应静态路由。5、定义对象（包括地址对象、服务对象、时间对象）。提示：防火墙所有需要引用对象（如地址转换策略、访问控制策略等）的 配置，请先定义对象，才能引用。<1>定义地址对象添加单个主机对象点击”资源管理“一“地址”一“主机”,点击右上角“添加配置”添加地址范围点击''资源管理“一“地址”一“范围”，点击右上角“添加配置”式天融信TpPsec主机I范围I子网I地址蛆地址范围屈性名称： 1 花.16. 1. 1CI-2D*起始地址：172. 16. 1. 10*终止地址：17巳16. 1.雹*排除地址：172.16.1.15可输入多个工F地址，用空格分开并发连接数：添加子网点击”资源管理“一“地址”一“子网”,点击右上角“添加配置”主机I范围I子网I地址组子网尾性名称：172. 16. 1.0网洛地址:172. 16. 1.0子网掩码:255.255.255.0排除地址:172. 16. 1.55|可输入多个，用空格分开并发连接数：确定| 取消添加地址组点击”资源管理“一“地址”一“地址组”，点击右上角“添加配置”<2>定义服务对象防火墙内置一些标准服务端口，但有时用户的系统没有使用某些服务的标准端口，用户在端口引用时，需要我们通过自定义方式加以定义。点击“资源管理”-“服务”一“自定义服务”，点击“添加”，可以添加单个端口或范围。注意单个端口只填起始端口，统定曳服曾I自定曳服曾I服曾组TCF8888类型：TCP名称：赫 口 : 8888| -单个赫口或范围，1-65535起始-终止；ICMF是类型值A8 ；单个端口只埴起始赫口<3>定义时间对象点击“资源管理”-“时间”，点击“添加”，可以设置单次和多次时间多次I时间单次时间尾性名称：每周时段：每日时段：开始时间：结束时间：星期一0星期二0星期三0星期四0星期五0星期六星期日08:3017:30上班时间*6、地址转换策略 <1>内网可以访问互联网，需要配置源转换在“防火墙”一“地址转换”，点击“添加”目的选择目的区选择“源转换"，点击“高级"，源选择源区域“内网"域“外网”，源转换为Eth1接口（即转换为Eth1接口 IP地址）或者转换111.111.111.230主机地址。增址转换规则增址转换祝则或，源转换。目的转棘向转换不作转换源目的服罟选择目的：排序巴已选目的：172. 16. 1. 56 庄和 any 范围172； 16. 1. 10-20 范围 充许上网地址组组 eth3 属性 eth2 属性 ethl LI性 ethO 属性 Mw 1 席性 ipsecO 属性 ipsipcl 属性 ipsec2 属性 ipseq 属性 wan 属性 lan 属性 ：ssn .属性 PPP .属性 免P II性1->物!高级选择其他类型的目的已选目的VUN：1 匹律 tltU'FlJtB .->ipsec2 属性 ipsec3 属性 wan 属性 lan 属性 ssn 属性 PPP 属性 12tp 属性回«有皱选择其他类型的目的 迷粹目的VLAN：已选目的心N：->坯奔日的AEEA :口匹曰的AEEA：内网 外网 服务器->外网源地址转棘为：ethl 属性源端口不做转棘:源端口固定启用规则： 0 默认启用规则，不选为不生效确定| 取消如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该 地址范围不能设置排除IP地址。主机I范围I子网I地址组名称：rL：±t_piuulE:+:起始地址：111.111. 111.231:*:终止地址：111.111.111.233:*:1排除地址：可输入多个IF地址，用空格分开并发连接数：地址范围尾性源地址地转为一段地址时,排除地址必须为空.确定 取消<2>Web服务器发布，需要配置目的转换首先需要添加Web服务器地址对象（10.1.1.1，服务器真实地址）、外网访 问的地址对象（111.111.111.230，合法地址），具体配置见定义对象章节。目的转换有两种方式：地址转换、端口转换。地址转换：从一个IP地址到另一个IP地址的映射。安全网关设备将到达 映射地址（合法IP）的所有信息流中的目标IP地址转换成主机IP地址（即服 务器真实地址）。地址转换建议在映射地址资源充裕时、服务器使用端口较多且 端口不连续、服务器端口不是固定端口时使用。端口转换：从一个IP地址到基于目标端口号的多个IP地址的映射，即单 个IP地址可以托管从若干服务（使用不同的目标端口号标识）到同样多主机 的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。气配置Web服务器映射有两种方式:（I）端口转换在“防火墙”一“地址转换”，点击“添加”选择“目的转换”，点击“高级”，源选择源区域“外网”，目的选择“外 网访问的地址对象(111.111.111.230)”，服务选择“HTTP”服务，目的地址 转换为选择“Web服务器地址对象(10.1.1.1)，即服务器真实地址”，目的端口转换为“HTTP”服务。O源转换 目的转换。双向转锁。不作转锁源目的服荟选择目的：172. 16. 1.况主机10. 1. 1. 1 主机111. 111. 111.网口 主机llilIany 氾围172. 16. 1. 10-20 范围 允许上网地址组组 eth3 eth2 ethl ethO adsl属性 属性 属性 属性 属性IipsecO ipsecl ipsec2 ipsec3属性属性属性属性wan 属性 lan 属性 ssn 属性高皱选择其他类型的目的目的地址转换为：-一不作转换一-目的满口转祺为：一-不作转换一-度地址转麴腕则O源转换 目的转换。双向转换。不作转换源目的服曾唾择服曾：排序已选服备:HTTP (TCP:80)HTTP|KEEEEROS_KEY(TCP) (TCP:88)KEEEEROS_KEY(UDP) (UDP:88)NPP (TCP:92)K.400 (TCP:102)RTELNET (TCP:107)1SNA_GAS (TCP:108)POPS (TCP:110)SUWRPC (TCP:111)AUTH (TCP:113)SQLSERV (TCP:118)NNTP (TCP:119)_|->目的地址转换为:10. 1. 1. 1 主机V目的端口转换为：HTTP (TCP:80)V启用规则： 0 默认启用规则，不选为不生效确定 取消(II)地址映射在“防火墙”一“地址转换”，点击“添加”选择“目的转换"，点击“高级"，源选择源区域“外网"，目的选择“外 网访问的地址对象(111.111.111.230) ”，目的地址转换为选择“ Web服务器 地址对象(10.1.1.1)，即服务器真实地址”。已选源：Q源转换目的转换 O双向转换 C不作转换源目的服蓉选择源:排序1花.1.况主机10. 1. 1. 1 主机111. 111. 1 1 1. 230 主机any 范围172. 16. 1. 10-20 范围充许上网地址组组|口高皱选择其他类型的源目的地址转棘为：-一不作转换-一。源转换目的转换。双向转换。不作转换第一条为内网访问外网做源转换;第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP。添加活空吨地址转换ID类型源目的服务转换修改移动插入册除8031源转换(:内网)例网)源： ethl四8047目的转换斜网)111. 111. 111.230KTTF目的：10. 1.1.1 服客HTTPn源区域所有区域V目的区域所有区域V地址服务查找地址转换需要注意的问题：1、天融信防火墙先匹配目的转换规则，再对其他的地址转换规则按照从上 往下的顺序进行匹配，在目的转换规则中也是按照排列顺序进行匹配。在匹配过 程中，一旦存在一条匹配的地址转换规则，防火墙将停止检索，并按所定义的规 则处理数据包，所以规则的类型和先后顺序决定了数据包的处理方式，目的丁 规则要优先于其他NAT规则。2、如果内网用户需要通过服务器映射地址访问web服务器时，还需针对内 网添加地址转换。如案例如果内网需要访问111.111.111.230 (合法地址)来访 问web服务器需要单独添加地址转换。下面以端口转换为例，地址转换请参照外 网访问web服务器。在“防火墙”一“地址转换”，点击“添加”选择“双向转换"，点击“高级"，源选择源区域“内网”，目的选择“外 网访问的地址对象(111.111.111.230) ”，服务选择“HTTP"服务，目的端口 转换为“ HTTP "服务。源地址转为选择“外网访问的地址对象 (111.111.111.230 ) ”，目的地址转换为选择“Web服务器地址对象(10.1.1.1)， 即服务器真实地址”，目的转换为选择“HTTP服务“。贤地址转换祝则o源转换o目的转棘戏向转棘o不作转换源 选择目的：目的服冬排序1 花.M. 1. S6 主机10. 1. 1. 1 主机111. 111. 111. W3D 主机Iany 氾围172. 16. 1. 10-20 范围允许上网地址组组 eth3 eth2 ethl ethO adslLI性 11性 属性 II性 11性ipsecU ipsecl ipsec2 ipsecS属性属性属性属性wan 属性 lan 属性 ssn 属性已选目的：高皱选择其他类型的目的7、制定访问控制策略在“防火墙”一“访问控制”，点击“添加”<1>第一条规则定义内网可以访问外网在“防火墙”一“访问控制"，点击“添加”选择“源”，点击“高级”，源选择源区域“内网”，目的选择目的区域“外 网”，点击“高级”，动作“允许”（默认选项）。协问控制祝则排序目的服曾选项选择源地址已选源:1TW. 16. 1. 56 主机10. 1. 1. 1 主机111. 111. 111. 230 主机any 范围172. 16. 1. 10-20 范围 充许上网地址组组已选源VUN：0高缀选择其他类型的源旦：高缀选择其他类型的源如十丰舞VLPJ :己选源VLAN：->X11据择源AEEA ：已选源AEEA ：sf-h 网网务 勺+艮 UK L. Hfl->X内网选择源端口 ：排序B（5）已选源赫口:TCP8888 (TCP:8888)UDP9000-10000 (UDP:9000-10000)二Echo(TCP) (TCP:7)Echo(UDP) (UDP:7)Discard(TCP) (TCP:9)Discard(UDP) (UDP:9)Daytime(TCP) (TCP:13)Daytime (UDP) (UDP: 13)NETSTAT (TCP:15)Quotd(TCP) (TCP: 17)Quotd(UDP) (UDP: 17)Chargen(TCP) (TCP: 19)_|->访问权限：®允许O拒绝启用规则：回启用默认启用规则，不选为暂不生效源目的服务选项选择目的地址：排序已选目的：1花.16. 1. S6 主机10. 1. 1. 1 主机111. 111. 111. 230 主机any 范围172. 16. 1. 10-20 范围 充许上网地址组组回！高缀选择其他类型的目的息弹日酬皿!在“防火墙”“访问控制”，点击“添加”已选目的VUK：1 . 11<2>第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务器http应用。选择“源”，点击“高级”，源选择源区域“内网、外网”，目的选择“Web服务器地址对象（10111），即服务器真实地址”，服务选择” HTTP服务”动作“允许”（默认选项）。源控制规则源目的服务选项睡择源地址：排序已选源：1 花.16. 1. SE 主机10. 1. 1. 1 主机111. 1U. 11 1. 230 主机any 范围172. 16. 1. 10-20 范围Z->已选源VLAN：渺问控制祝则源目南服荟选项选择目的地址：排序9夜）已选目的：1花.16. 1. S6 主机10. 1. 1. 1 主机111. 111. 111. 230 主机any 范围172. 16. 1. 10-20 范围 允许上网地址组组10. 1. 1. 1->高缀选择其他类型的目的第一条规则定义内网可以访问外网。源选择“外网”；目的可以选择目的区域一“外网”，动作“允许”（默认选项）。第二条规则定义外网可以访问服务器的对外发布的应用端口，只能访问服务 器http应用。源选择“内网、外网”，目的选择服务器真实的IP地址10.1.1.1， 服务选择“HTTP”服务。添加清空ID控制源目的服务时间日志选项修改移动插人.册臃8032内网）例网）0向n8049饼网内网）10.1. 1. 1HTTP0向n区域所有区域V目的区域所有区域 V地址服务查找访问规则需要注意的问题：访问控制规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通 过。防火墙接收到报文后，将顺序匹配访问控制规则表中所设定规则。一旦寻找 到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进 行区域缺省属性的检查。如果不存在可匹配的访问策略，天融信防火墙将根据目 的接口所在区域的缺省属性（允许访问或禁止访问），处理该报文。区域属性设 置请参见“3、区域和缺省访问权限配置”。1、规则作用有顺序2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性8、配置保存点击管理界面右上角“保存配置”刷新页面I保存配置I蒂助I退出配置完成后，配置立即生效，但是一定要保存配置，否则设备断电或重 新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。9、配置文件备份配置完成并确认运行正常以后，请备份配置文件。选择“系统管理”一“维护”一“配置维护”，选择“保存配置”珂信系统管理；基本信息 |一运行信息 |卜口配置 |卜口夔 ! i 管理员 inn网貉管理 +卜白资源管理 +卜口用尸认证 +卜口防火墙 +!-内容过滤 +!- FKI 管理 +!-虚拟专网 +卜口入侵防御 +卜口高司用性 +卜口日志与报警 ：C退出系统配置护)备份和恢复I升皱I重启I健康记录恢复出厂恢复配置 恢复是初出厂配置主意：恢复出厂配置后,原有配置将全部去失，话及时导出当前配置!)批星配sas输入配置：口上传上佳配置：训览.上佳下载配置：地址服荟时间阻断策略访问控制策略下载配置巍护配置替换:II浏览.替换配置下载:运行配置保存配置II类型I明文 司提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络长时间中断。（2）防火墙透明模式案例配置在透明模式下，天融信防火墙的所有接口均作为交换接口工作。也就是说， 对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包 转发出去。同时，天融信防火墙可以在设置了IP的VLAN之间进行路由转发。 配置需求：1、内网客户机可以访问互联网2、外网仅可以访问WEB服务器HTTP应用，禁止其他访问3、外网禁止访问内网拓扑图如下：11 LI 11.111.254/24Ethl 接口防火墙VLAN管理地址111. HL L1L253EnSBBF Eth2接口防弘墙EthO 接口Web服务器H1J11.11L1/24l 宜户机 J111.111.111.山 24 网段1、防火墙接口 IP配置<1>定义一个VLAN（本案例创建VLAN 1）,点击“网络管理”“二层网 络” 一“VLAN” “添加/删除VLAN范围”。AKP | VIAff | MAC | CDF添加蜘除配置添加VLAN ID ： 1添加VLAB范围：O-册除VLAU范围：O-注意：VLAN ID范围是1-4094 j总数是ZW个确定| 取消<2>设置VLAN 1接口 IP地址及子网掩码。接口信息接口名称：LILILIl接口描述：接口状态：启用v地址信息地址/掩码：/1 1 has+at.i c添加地址掩码属性朋除111. 111.111.253255.255.255.0高级届性W I VLAN I MAC I CHF<3>分别把ETH0、ETH1、ETH2接口加入到VLAN 1中，点击”网络管理“一 “接口” 一 ”物理接口 “，依次点击接口的“设置”按钮可以把接口加入到VLAN1中。物理接口 I子接口基本信息最多明个字符或者比个祖字类型:ac cess VAccess :1-4094确定 取消物理接口 I子接口物理接口接口名称描述路由变换地址MTU状态协商速率设置e thOintr：=LTiH +交换accessfl 1500启用autoautoethlinternet变换accesstl 1500启用autoautoeth2交换 accessl 1500启用autoautoeth3路由1500启用autoauto2、区域和缺省访问权限配置在“资产管理”一“区域”中定义防火墙区域（接入相同安全等级的网络接 口的组合为一个区域），点击“添加”。权限选择为“禁止访问”，即访问该区 域缺省权限为禁止访问。区域确定 取消被选属性依次创建若干区域（添加ETH0接口为“内网”区域；ETH1接口为“外网” 区域；添加ETH2接口为“服务器”区域；）。提示：有几个安全等级就需要创建几个区域，即如果网络之间需要配置 访问规则，那就需要配置不同的区域。3、防火墙管理权限设置（定义希望从哪个区域管理防火墙）。默认只能从ETH0接口对防火墙进行管理“内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加）， 点击“系统管理”一“配置”一“开放服务”，点击添加，常用服务有WEBUI（即WEB管理）、ping、Telnet等（请根据管理需要添加相应管理服务）系统参数1开放服茶1时间修改配置服务名称：V/EBUIv控制区域：内1网jv控制地址：any 范围确定取消系统参数I开放服务|时间修改配置服君名称:控制区域:控制地址:系统参数|开放服务|时间服务名称webuiwebui启动停止启动停止停止启动控制区域监控服苗:TELHETfl艮苗:KTTF服务:NTF服募:控制地址添加修改内网外网anyanypingpingtelnet内网 外网 内网4、路由表配置如果防火墙和客户端之间有三层设备（比如三层交换机或者路由器），非VLAN接口地址网段需要管理防火墙时，请注意添加相应静态路由。该路由只参 与防火墙管理，与数据通信无关。如果不需要跨网段管理防火墙，无需设置路由 表。添加静态路由，在“网络管理”-“路由”一“静态路由"，点击添加。添加缺省路由时，目的地址和目的掩码都为0.0.0.0，网关为下一条地址， 其他选项为空。静态路由I策略路由I多播路由I添加配置目的地址：0.0.0.0*目的掩码：0.0.0.0*Metric :1-65535网关:111. 111. 111.254*接口： -选择援口-蓦确定 取消静态路由I策略路由I多播路由I