Quidway SecPath 系列防火墙提供了一个RS232异步串行配置口(CONSOLE),通过这个接口用户可完成对防火墙的配置操作。
配置口电缆是一根8芯屏蔽电缆,一端压接RJ45插头,插入防火墙的CONSOLE口;另一端则带有一个DB9(母)连接器,可插入配置终端的串口。
通过PC进行终端连接:
防火墙配置有两种模式:
1:路由模式下的防火墙配置;
(1) 为使防火墙可以与其它网络设备互通,必须先将相应接口加入到某一安全区域中,且将缺省的过滤行为设置为允许,并为接口(以GigabitEthernet0/0为例)配置IP地址。
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
[lgmi-fwl] interface GigabitEthernet0/0
[lgmi-fwl-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
(2) 为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
(3) 使用Ping命令验证网络连接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=2ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/0/1ms
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
[lgmi-fwl] interface GigabitEthernet0/0
[lgmi-fwl-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
(2) 为PC配置IP地址。
假设PC的IP地址为192.168.0.2。
(3) 使用Ping命令验证网络连接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=2ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/0/1ms
2. 透明模式下的防火墙配置
当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP地址。这样,用户若要对防火墙进行Web管理,需在透明模式下为防火墙配置一个系统IP地址(System IP)。用户可以通过此地址对防火墙进行Web管理。缺省情况下,防火墙工作在路由模式。
(1) 配置防火墙工作在透明模式。
[lgmi-fwl] firewall mode transparent
Set system ip address successfully.
All the Interfaces's ip addresses have been deleted.
The mode is set successfully.
从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP地址已经被删除。
(2) 为防火墙配置系统IP地址。
[lgmi-fwl] firewall system-ip 192.168.0.1 255.255.255.0
Set system ip address successfully.
(当防火墙切换到透明模式时,系统为防火墙分配了一个缺省系统IP地址 169.0.0.1/8,可以使用上述命令更改系统IP地址。)
当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP地址。这样,用户若要对防火墙进行Web管理,需在透明模式下为防火墙配置一个系统IP地址(System IP)。用户可以通过此地址对防火墙进行Web管理。缺省情况下,防火墙工作在路由模式。
(1) 配置防火墙工作在透明模式。
[lgmi-fwl] firewall mode transparent
Set system ip address successfully.
All the Interfaces's ip addresses have been deleted.
The mode is set successfully.
从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP地址已经被删除。
(2) 为防火墙配置系统IP地址。
[lgmi-fwl] firewall system-ip 192.168.0.1 255.255.255.0
Set system ip address successfully.
(当防火墙切换到透明模式时,系统为防火墙分配了一个缺省系统IP地址 169.0.0.1/8,可以使用上述命令更改系统IP地址。)
(3) 将连接PC的接口加入到安全区域中,且将缺省的过滤行为设置为允许。假设防火墙连接PC的接口为GigabitEthernet0/0。
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
(4) 为PC配置IP地址。
假设PC的IP地址为192.168.0.2
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
(4) 为PC配置IP地址。
假设PC的IP地址为192.168.0.2
(5) 使用Ping命令验证网络连接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=3ms
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=3ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=3 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=1 ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max =0/0/2 ms
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max =0/0/2 ms
添加登录用户
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为管理员添加登录帐户并且赋予其权限。例如:建立一个用户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。
[lgmi-fwl] local-user admin
[lgmi-fwl-luser-admin] password Cipher admin
[lgmi-fwl-luser-admin] service-type telnet
[lgmi-fwl-luser-admin] level 3
为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为管理员添加登录帐户并且赋予其权限。例如:建立一个用户名和密码都为admin,帐户类型为telnet,权限等级为3的管理员用户。
[lgmi-fwl] local-user admin
[lgmi-fwl-luser-admin] password Cipher admin
[lgmi-fwl-luser-admin] service-type telnet
[lgmi-fwl-luser-admin] level 3
在IE上敲入192.168.0.1出现
本文转自 yirehe 51CTO博客,原文链接:http://blog.51cto.com/yirehe/28776,如需转载请自行联系原作者
