4)定义规则的目的
规则的目的既可以是一个已经定义好的 VLAN 或区域,也可以细化到一个或多个地 址对象以及用户组对象,如下图所示。
另外,用户还可以设置进行地址转换前的目的地址,如下图所示。
5)定义服务
选择访问规则包含的服务,如果用户需要制定的服务没有包含在服务列表中,可以通过 添加自定义服务添加所需服务。如果没有选择任何服务,则系统默认为选择全部服务。
6)定义辅助选项
各项参数说明如下:
7)点击“提交设定”完成该条访问控制规则的设定。
8)用户可以点击 “修改”按钮,对现有规则进行编辑。可以点击 “插入”按钮,在现有规则间插入一条新规则。
8)点击“清空配置”,可以清除所有的访问控制规则,便于重新配置。
9)需要更改规则的匹配顺序时点击该规则右侧 “移动”按钮,如下图所示。
用户可以选择相应 ID、位置,移动策略。完成后点击“提交设定”保存或“取消 返回”放弃移动。 5. 高可用性配置
配置网络卫士防火墙双机热备的步骤如下:
1)选择 系统 > 高可用性,进入高可用性设置页面,如下图所示。
2) 设置主/从设备参数,参数说明请参见下表。
3)点击“提交设定”,完成双机热备设置。
四、 透明模式配置示例
拓补结构:
1. 用串口管理方式进入命令行
用WINDOWS自带的超级终端或者SecureCRT软件,使用9600的速率,用串口线连接到防火墙,用户名是superman,密码是talent。(具体方法见第一节),下面是具体配置,加粗显示的为命令行。 2. 配置接口属性 ETH0
将ETH0口配置为交换模式: network interface eth0 switchport 配置ETH0口的METRIC值,用于计算双机热备的权值: network interface eth0 ha-metric 100
ETH1
将ETH1口配置为交换模式: network interface eth1 switchport 配置ETH1口的METRIC值,用于计算双机热备的权值: network interface eth1 ha-metric 100
ETH2
配置ETH2口的METRIC值,用于计算双机热备的权值: network interface eth2 ha-metric 100 将没有使用的ETH2口关闭: network interface eth2 shutdown
ETH3
配置同步接口ETH3的IP地址和HA标记:(11.1.1.0/30)
network interface eth3 ip add 11.1.1.1 mask 255.255.255.252 ha-static label 0 配置ETH3口的METRIC值,用于计算双机热备的权值: network interface eth3 ha-metric 100
3. 配置VLAN
添加VLAN1: network vlan add id 1 为VLAN1添加IP地址:
network interface vlan.0001 ip add 192.168.1.250 mask 255.255.255.0 label 0
4. 配置区域属性
将区域缺省访问权限为禁止
define area add name area_eth0 attribute 'eth0 ' access off define area add name area_eth1 attribute 'eth1 ' access off
5. 定义对象
定义主机地址对象
define host add name 192.168.1.10 ipaddr '192.168.1.10 ' macaddr 00:19:21:50:15:1f define host add name 192.168.1.20 ipaddr '192.168.1.20 ' 定义时间对象
define schedule add name 上班时间 week 12345 start 08:00 end 18:00
6. 添加系统权限
为ETH0口添加TELNET权限
pf service add name telnet area area_eth0 addressname any
相关推荐:
loading