天融信下一代防火墙(NGFW)常用命令示例
define host add name oa服务器 ipaddr 192.168.1.1#添加名称为“oa服务器”的主机对象,ip为192.168.1.1#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’#添加名称为“oa服务器”的主机对象,ip为192.168.1.1、192.168.1.2以及192
一、接口配置
1. 查看接口信息
#network interface eth0/feth0 show #查看eth0接口的状态信息
#network interface eth0 show #查看接口相关信息
#network interface eth0 show configuration #查看eth0接口的配置信息
注:其他接口请替换“eth0”
2. 配置路由接口的相关命令
#network interface eth0 no switchport #将eth0接口改为路由模式
#network interface eth0 ip clean #清除eth0接口的ip地址
#network interface eth0 ip add 192.168.1.1 mask 255.255.255.0 #给eth0接口添加ip地址为192.168.1.1/24
#network interface eth0 ip add 192.168.1.1 mask 255.255.255.0 ha-static #给eth0接口添加ip地址为192.168.1.1/24(非同步地址)
注:其他接口请替换“eth0”
3. 配置交换access接口的相关命令
#network vlan add id 100 #添加vlan.0100
#network interface eth0 switchport #将eth0接口改为交换模式
#network interface eth0 switchport mode access #将eth0接口的交换模式改为access
#network interface eth0 swithchport access-vlan 100 #将eth0接口加入到vlan.0100
注:可以给vlan配置ip地址,使用路由接口的相关命令,将接口用vlan替换,例如vlan.0100
4. 配置trunk接口的相关命令
#network interface eth0 switchport #将eth0接口改为交换模式
#network interface eth0 switchport mode trunk #将eth0接口的交换模式改为trunk
#network interface eth0 switchport trunk allow-vlan 1-1000 #配置允许通过的vlan为1-1000,默认不改就是1-1000
注:还需添加对应的vlan,使用添加vlan的命令,例如network vlan add id 1
5. 配置bond接口的相关命令
#network bond add id 0 #添加bond0接口(只支持0-3)
#network bond join id 0 dev eth0 #将eth0接口加入到bond0,多个接口需要重复配置多次,只有路由模式的接口才可以加入到bond
#network bond leave id 0 dev eth0 #将eth0接口从bond0中移除
#network interface bond0 attribute add bond0 #将bond0接口与bond0属性绑定
注:可以给bond接口配置路由模式或者交换模式,使用路由模式接口或者交换模式接口的配置命令,将对应接口替换为bond接口,例如bond0
6. 添加虚拟线
network virtual-line add dev1 eth10 dev2 eth11
查看虚拟线,已添加成功
二、静态路由
#network route show #查看静态路由
#network route add dst 192.168.1.0/24 gw 192.168.2.1 #添加目的地址为192.168.1.0/24网段的路由网关指向192.168.2.1
#network route delete id 100 #删除id号为100的路由条目
三、定义对象
1. 定义主机对象
#define host add name oa服务器 ipaddr 192.168.1.1 #添加名称为“oa服务器”的主机对象,ip为192.168.1.1
#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’ #添加名称为“oa服务器”的主机对象,ip为192.168.1.1、192.168.1.2以及192.168.1.3三个ip
2.定义范围对象
#define range add name 服务器 ip1 192.168.1.2 ip2 192.168.1.10 #添加名称为“服务器“的范围对象,ip为192.168.1.2到192.168.1.10九个ip
3. 定义子网对象
#define subnet add name 内网网段 ipaddr 192.168.1.0 mask 255.255.255.0 #添加名称为”内网网段“的子网对象,ip为192.168.1.0/24
4. 定义地址组
#define group_address add name 内网网段加服务器 member ‘内网网段 服务器‘ #添加名称为“内网网段加服务器”的地址组对象,包含“内网网段”的子网对象以及“服务器”的范围对象
5. 定义区域对象
#define area add name outside attribute eth0 access on #添加名称为”outside“的区域对象,绑定接口eth0,区域属性允许
#define area add name inside attribute eth1 access off #添加名称为”inside“的区域对象,绑定接口eth1,区域属性禁止
6.定义自定义服务
#define service add name tcp_8080 protocol 6 port 8080 #添加名称为“tcp_8080”的自定义服务对象,三四层协议号为6代表tcp协议,端口号为8080
#define service add name tcp_8080-8081 protocol 6 port 8080 port2 8081 #添加名称为“tcp_8080-8081”的自定义服务对象,三四层协议号为6代表tcp协议,端口号为8080-8081
#define service add name udp_8080 protocol 17 port 8080 #添加名称为“udp_8080”的自定义服务对象,三四层协议号为17代表udp协议,端口号为8080
#define service add name udp_8080-8081 protocol 17 port 8080 port2 8081
NG-防火墙#define service add name udp_8080-8081 protocol 17 ports 8080- 8081
#添加名称为“udp_8080-8081”的自定义服务对象,三四层协议号为17代表udp协议,端口号为8080-8081
#define group_service add name tcp_udp_8080 member 'tcp_8080 udp_8080' #添加名称为“tcp_udp_8080’的自定义服务组对象,包含”tcp_8080“和”udp_8080“两个自定义服务器对象
注:自定义服务的名称不能只使用端口号,例如”8080“不符合规定
四、开放服务
#pf service add name webui area inside addressname any #给inside区域添加webui服务,控制地址为any
#system httpd start #开启httpd服务
#system httpd stop #关闭httpd服务
#system sshd start #开启sshd服务
#system sshd stop #关闭sshd服务
#system telnetd start #开启telnetd服务
#system telnetd stop #关闭telnetd服务
注:常用的服务有ping、webui、ssh、telnet、snmp
五、访问控制
1. 查看访问控制
#firewall policy show #查看所有的访问控制
2. 添加访问控制
# firewall policy add action accept src '182.87.97.111 182.87.97.112' dst '182.248.21.170 182.248.21.171' service 'tcp_8080 HTTP' #添加源地址为”182.87.97.111、182.87.97.112“、目的地址为”182.248.21.170、182.248.21.171“、服务为”tcp_8080、HTTP“并且动作为允许的访问控制策略
# firewall policy add action deny src '182.87.97.111 182.87.97.112' dst '182.248.21.170 182.248.21.171' service 'tcp_8080 HTTP' #添加源地址为”182.87.97.111、182.87.97.112“、目的地址为”182.248.21.170、182.248.21.171“、服务为”tcp_8080、HTTP“并且动作为禁止的访问控制策略在NG防火墙上若只有一个服务的话则不用加引号
3. 删除访问控制
#firewall policy delete id 5000 #删除id号为5000的访问控制
4. 移动访问控制
#firewall policy move 5000 before 4000 #将id号为5000的访问控制移动到id号为4000的访问控制之前
#firewall policy move 5000 after 4000 #将id号为5000的访问控制移动到id号为4000的访问控制之后
六、地址转换
1. 源地址转换
#nat policy add srcarea 'inside ' dstarea 'outside ' orig-src '182.95.5.68 ' orig-dst ‘any’ trans-src 182.87.200.201 #将源区域是inside、目的区域是outside、源地址是182.95.5.68、目的地址是any的数据包的源转换成182.87.200.201
2. 目的地址转换
#nat policy add srcarea 'outside ' orig-dst '182.87.200.201 ' trans-dst 182.95.5.68 #将源区域是outside、目的地址是182.87.200.201的数据包的目的地址转换成182.95.5.68
3. 双向地址转换
#nat policy add srcarea 'inside ' orig-dst '182.87.200.245 ' trans-src 182.87.200.245 trans-dst 192.168.33.22 #将源地址是inside、目的地址是182.87.200.245的数据包的源转换成182.87.200.245,目的地址转换成192.168.33.22
七、双机热备:
1. 查看双机配置
#ha show #查看双机配置
2. 配置双机热备
#ha mode as #配置双机模式为双机热备
#ha as-vrid 100 #配置双机热备的组号为100
#ha local 1.1.1.1 #配置本地心跳地址为1.1.1.1
#ha peer 1.1.1.2 #配置对端心跳地址为1.1.1.2
#ha vrid 100 priority 254/100 #配置本地身份为主/从
#ha vrid 100 preempt enable/disable #配置抢占模式开启/关闭
#ha hello-interval 3 #配置心跳间隔为3秒(只支持1-3)
#ha enable #开启ha
#ha disable #关闭ha
3. 查看双机状态
#ha show status #查看双机状态
4. 同步配置
#ha sync to-peer #从本地同步配置到对端
#ha sync from-peer #从对端同步配置到本地
5. 切换主备状态
#ha change(按tab补全) #切换主备状态(没有设备忘了具体命令,请tab补全)
6. 对比主备配置
#ha cheak peer-config detail #对比本地与对端的配置
八、运维相关
#ping 192.168.1.1 #使用防火墙ping 192.168.1.1
#system traceroute 8.8.8.8 #使用防火墙跟踪到8.8.8.8的路径
#system show config #查看系统配置,可使用”|”符号进行搜索,例如system show
config |network搜索包含network的配置信息
#save #保存配置
#system config reset #重置配置
#system reboot #重启设备
#system version #查看系统版本
#system uptime #查看系统持续运行时间
#system information #查看系统状态
开放原子开发者工作坊旨在鼓励更多人参与开源活动,与志同道合的开发者们相互交流开发经验、分享开发心得、获取前沿技术趋势。工作坊有多种形式的开发者活动,如meetup、训练营等,主打技术交流,干货满满,真诚地邀请各位开发者共同参与!
更多推荐
56
0- 0
已为社区贡献1条内容
所有评论(0)