方正防火墙用户手册v4

方正防火墙用户手册v4内容摘要：

录地址为 ，用户在 管理主 机的 IE 浏 览器 地址栏中 输入 55443 即 可登录到管理界面 （注意：请保证控制机与 方正防火墙 设备路由可达）。 登录界面如下图所示： 方正防火墙用户手册 第 6 页 共 69 页 图 22 系统 登录界面 在用 户登录界面中输入用户名和密码信息，点击“确定”登录系统。 方正防火墙 默认用户名和密码都是： admin。 初次 登录系统后，请在“ 维护工具 |权限管理 |管理员 管理”模块中更改管理员密码 ； “网络配 置 管理 |接口管理 |物理接口 ”中根据实际网络环境设置控制 IP。 设置完毕后退出 配置界面， 请 使用新的控制 IP和用户信息登录系统。 主界面介绍 方正防火墙 主界面包括：功能模块栏、登录信息、功能配置区三部分。 （ 注意 ：以下举例的 方正防火墙 系统管理地址是根据实际网络环境设置的）。 方正 防火墙 主界面如下图所示： 图 23 系统主界 面介绍 功能模块栏 ： 方正防火墙 将功能模块使用列表形式 显示。 用户只需要点击某一个模方正防火墙用户手册 第 7 页 共 69 页 块即可方便进入相关模块配置界面进行功能配置操作。 登录信息： 显示当前登录系统的 IP 地址、登录时间等信息。 在登录信息右下方提供了 “保存”“帮助”和“退出”功能。 点击“保存”保存所有模块的配置信息。 配置 某个功能模块后 ，请及时 点击“保存”按钮保存配置 ，否则重启机器后，配置显示为未保存前的配置。 点击“帮助”按钮获得 方正防火墙 系统功能的 在线 帮助信息。 点击“退出”按钮退出当前管理界面。 功能配置区： 功能 配 置区 对应于相应的功 能模块，用于 查看、 配置功能模块。 方正防火墙用户手册 第 8 页 共 69 页 第三章 方正防火墙 功能配置 方正防火墙 包括配置规则、资 源管理、网络配置管理、设备参数管理、状态监视、维护工具、 系统等功能 模块，下面分别说明： 配置规则 方正防火墙 规则的配 置是安全功能的最重要体现， 包括 ： 包 过滤规则 、 NAT 规则 、代理规则 、 IP/MAC 绑定规则 、 攻击防范规则 、动态端口支持。 策略组 方正防火墙 包过滤 规则 主要是通过制定过滤规则集，对数据 包头源地址 、 目的地址、 协议类型及端口 等标志 进行检查，判定 数据包 是否允许通过。 当 满足过滤 规则 的数据包 通过 方正防火墙 时 ，根据规则的策略决定 允许或者禁止通过 ，不满足规则的包 则被丢弃。 用户可以通过策略组的形式管理多条策略。 配置 界面如下图所示： 图 311 防火墙策略组 界面 界面提供上下两个 “删除” “清空”和“添加”按钮，用户 可以方便的选择上面或下面的按钮进行相应操作。  删除： 删除某条被勾选的策略组。 删除操作前请勾选需要删除的规则前的“ ”，可以选择一条，也可以选择多条。  清空 ：清空所有策略组。  添加 ： 输入“名称”和“描述”信息 添加 一条策略组。 添加 界面 如下图所示： 图 312 添加防火墙策略组界面 方正防火墙用户手册 第 9 页 共 69 页 添加一 条策略组后，可以点击列表界面中的“ ”按钮管理一条或多条策略。 选择一条策略组，点击“ ”按钮后，管理界面如下图所示： 图 313 策略组管理界面 界面提供上下两个 “查询” “删除” “清空” 和 “添加” 按钮，用户 可以方便的选择上面或下面的按钮 进行相 应 操作。  查询： 依据条件 查询 已配置 的 安全策略。 点击“查询”按钮，可以在弹出的查询框中，输入或选择查询条件，查询条件可以为一个，也可以为多个，设置好查询条件后，点击提交，系统将符合条件的策略显示在查询结果中。  删除： 删除某条被 勾选 的规则。 删除操作前请 勾选需要删除的规则 前的 “ ” ，可以选择一条，也可以选择多条。  清空 ：清空列表中的所有策略。  添加 ：添加 一条防火墙过滤 规则。 添加 界面 如下图所示： 图 314 添加 防火墙 过滤 规则 启用 ：“是”启用 当前 策略，当前策略生效； “否”禁用 当前 策略 ，当前策略失效。 名称 ： 策略名称，允许为空。 方正防火墙用户手册 第 10 页 共 69 页 组名称 ： 策略所在组的名称。 入设备 、 出设备 、 源地址 、 目的地址： 系统在 包过滤规则 中增加了方向控制，除了指定源地址和目的地址外，还可以指定数据包进入防火墙和离开防火墙的接口设备（包括网口设备和 VLAN 设备），即一个数据包从哪个设备进入，从哪个设备 出去。 比如：网口 1网口3，表示 包从 网口 1 进入防火墙，需要从网口 3 转发出去。 注意：这是一个很强的限制，除非必须， 设备选项与地址 选项不建议同时限制。 入设备和出设备是防火墙配置的网络接口，缺省显示在下拉框中。 源地址及目的地址请选择已在 地址资源模块中 存在 的 地址资源 ，也可 在此页面 点击“添加 IP 地址资源 ”或“ IP组地址资源 ”按钮 添加 地址资源 后再 在“源地址及目的地址”中 选择 相应 地址资源 名称。 服务类型 ： 默认为 ALL，即所有协议。 也可以点击下拉框选择相应服务 资源。 服务类型可以选择在地址资源模块中存在的服务 资源 或服务 资 源 组，也可 在此页面点击“添加服务对象”或“添加服务对象组”按钮添加后再在服务类型下拉框中选择。 时间设置 ： 系统提供 根据 时间 范围 来 控制 数据包 的 访问。 默认为 ALL，也可以点击下拉框选择相应时间资源。 时间 资源 可以选择在地址资源模块中已存在的时间 资源 ， 对于不存在的时间资源，也可以在此页面中点击 “添加时间对象”按钮添加后再 在时间设置下拉框中选择。 处理策略： 针对 满足 时间范围、 数据流向及 协议 的 数据包提供 允许、禁止 的策略， 允许 ：接受此包，使此数据包正常通过。 禁止 ： 禁止此数据包通 过，直接 丢弃。 记录流量日志： 选择是 否记录与此策略相关的流量日志。 提交 ： 提交 当前 所做的 配置。 返回： 撤销 当前操作，返回到过滤 策略主界面。 策略添加成功后，显示在当前安全策略列表中。 列表中的 操 作栏中 可以进行插入、 删除、编辑当前规则的操作。 “ ”按钮在当前策略之前添加一条策略， “ ”按钮删除当前策略， “ ”按钮编辑当前策略。 ：包过滤 策略将 按顺序进行匹配，首先匹配前面的策略，若匹配，则不再向下执行，因此要注意安全策略的顺序。 当需要调整策略顺序时，只需 勾选某条策略，在输入框中输入想要移动的位置号 ， 点击“确定”后， 系统 将 依据设置 重新排列。 方正防火墙用户手册 第 11 页 共 69 页 ： 显示策略 总条数及页数，用户 可以方便的点击“前页”“后页”“末页”按钮查看 其它页面的策略； 也可直接在输入框中输入页码，跳转到相应列表页面。 “ 每页显示 ” 用于设置每页显示的策略条数 ， 缺省 每 页 显示 10 条 ，也可以点击下拉框设置每页显示条数，并 点击“刷新” 按钮， 系统 即 依据新的 条数 显示。 NAT规则 方正防火墙 可以实现一对一、多对一和多对多的源 、目的地址转换方式，也可以实现源、目的地址的同时转换。 界面提供上下两个 “查询” “删除” “添加”和“清空”按钮， 用户 可以方便的选择上面或下面的按钮进行配置。 地址转 换规则 配置主界面 如下图所示： 图 315 SNAT 规则 主界面 图 316 DNAT 规则主界面  查询： 依据条件 查询已配置 的 NAT 规则。 点击“查询”按钮，可以在弹出的查询框中，输入或选择查询条件，查询条件可以为一个，也可以为多个，设置好查询条件后，点击提交，系统将符合条件的 NAT 规则 显示在查询结果中。  删除 ： 删除某条被勾选的规则。 删除操作前请勾选需要删除的规则前的“ ”，可以选择一条，也可以选择多条。 方正防火墙用户手册 第 12 页 共 69 页  清空 ：清空列表中 所有 NAT 规则。  添加 ： NAT 规则包括源地址转换、目的地址转换规则及源 、 目的地址同 时转换规则。 现在分别 介绍 如何添加 三 种地址转换规则。 源地址转换 当使用保留 IP 地址的内部网用户访问外部网时，经过源地址转换，将源地址转换为一个固定 IP，也可以从一个地址池中根据某种策略动态选择一个。 用户经过 SNAT 转换获取合法的 IP 地址，实施外部访问。 这样既可以 解决 IP 地址匮乏问题 ，又能够 隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。 方正防火墙 可以实现一对一、多对一和多对多的源地址转换方式。 配置界面如下图所示： 图 317 添加 源地址 转换规则 启用 ：“是”启用 当前转换规则 ，“否”禁用 当前 转换规则。 名称 ： 规则 名称，允许为空。 源 ： 地址 ： 要进行 SNAT 转换的子网或 IP。 配置时 请 选择在地址资源模块中已存在的 IP/IP组 资源 ，也可在此页面点击“添加 IP 对象”或“添加 IP 组对象”按钮添加 资源 后再选择相应 资源 名称。 端口： 选择 TCP或 UDP协议时，可以 设置 端口 ，输入框中输入端口号即可。 协议：要进行 SNAT 转换的数据包的协议类型。 默认为 ALL，也可以点击下拉框选择 类型为 tcp、 udp、 icmp或其它。 目的 ： 地址 ： 源地址要访问的目的网段或 IP。 配置时请 选择在地址资源模块中已存在的 IP/IP方正防火墙用户手册 第 13 页 共 69 页 组 资源 ，也可在此页面点击“添加 IP 对象 ”或“添加 IP 组对象”按钮添加 资源 后再选择相应 资源 名称。 端口：选择 TCP或 UDP协议时，可以设置端口，输入框中输入端口号即可。 出转换设备 ：指数据包送出的接口设备，包括网口 设备、桥设备和 VLAN设备。 端口：选择 TCP或 UDP协议时，可以设置端口，输入框中输入端口号即可。 将源转换为 ： 地址： 将源地址 转换后的合法 IP 地址。 选择“不变” 时 即不进行地址转换。 配置时请选择在地址资源中已存在的 IP资源 ，也可在此页面点击“添加 IP 对象”按钮添加 IP 资源后再 在“地址”下拉框中 选择相 应 资源 名称。 端口： 选择 TCP或 UDP协议时，可以设置端口，输入框中输入端口号即可。 提交 ： 提交 当前配置。 返回： 撤销 当前操作，返回到 地址转换规则 主界面。 地址转换 规则添加成功后，显示在当前地址转换列表 中，如下图所示： 图 318 源 地址转换规则 列表 在每一行 规则 后的 操作栏中 可以进行插入、删除 、编辑 当前规则的操作。 点击 “ ”在当前 规则 之前添加一条 规则 ， 点击“ ”删除当前规则，点击 “ ” 编辑当前 规则。 ：地址转换规则按顺序依次匹配，首先匹配前面的规则，若匹配，则不再向下执行，因此要注意转换规则的顺序。 当需要调整顺序时，只需勾选某条规则，在输入框中输入想要移动的位置号，点击“确定”后，系统将依据设置重新排列。 ： 显示 规则 总条数及页数，用户 可以方便的点击“前页”“后页”“末页”按钮查看 其它页面的 规则 ； 也可直接在输入框中输入页码，跳转到相应列表页面。 方正防火墙用户手册 第 14 页 共 69 页 每页显示 用于设置每页显示的规则条数 ，点击“刷新”系统依据新的 设置 进行显示，缺省 每 页 显示 10 条 ，也可以点击下拉框选择。 目的地址转换 如果 内部网提供让外部网用户访问的 服务器 ， 方正防火墙 还支持一对一和一对多的目的地址转换方式 ，为内部网络服务器作 IP 和端口映射， 这样外部网用户就可以通过 方正防火墙 直接访问该 服务器。 目 的地址转换规则界面如下图所示： 图 319 添加 DNAT 转换规则 启用 ：“是”启用当前转换规则，“否”禁用当前转换规则。 名称 ： 规则名称，允许为空。 源： 地址 ： 要进行 DNAT转换的 源 子网 地址 或 IP。 配置时请 选择在地址资源模块中已存在的IP/IP 组 资源 ，也可在此页面点击“添加 IP 对象”或“添加 IP 组对象”按钮添加对象后再选择相应 资源 名称。 端口：选择 TCP或 UDP协议时，可以设置端口，输入框中输入端口号即可。 协议：要进行 SNAT 转换的数据包的协议 类型。 默认为 ALL，也可以点击下拉框选择类型为 tcp、 udp、 icmp或其它。 目的： 地址 ： 源地址要访问的目的 IP。 配置时请 选择在地址资源模块中已存在的 IP/IP 组 资源 ，也可在此页面点击“添加 IP 对象”或“添加 IP 组对象”按钮添加 资源 后再选择相应 资源 名称。 端口：选择 TCP或 UDP协议时，可以设置端口，输入框中输入端口号即可。 方正防火墙用户手册 第 15 页 共 69 页 出转换设备 ：指数据包送出的接口设备，包括网口 设备、桥。