Quidway SecPath 系列防火牆提供了一個RS232異步串行配置口(CONSOLE),通過這個接口用戶可完成對防火牆的配置操作。
配置口電纜是一根8芯屏蔽電纜,一端壓接RJ45插頭,插入防火牆的CONSOLE口;另一端則帶有一個DB9(母)連接器,可插入配置終端的串口。
通過PC進行終端連接:
防火牆配置有兩種模式:
1:路由模式下的防火牆配置;
(1) 爲使防火牆可以與其它網絡設備互通,必須先將相應接口加入到某一安全區域中,且將缺省的過濾行爲設置爲允許,併爲接口(以GigabitEthernet0/0爲例)配置IP地址。
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
[lgmi-fwl] interface GigabitEthernet0/0
[lgmi-fwl-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
(2) 爲PC配置IP地址。
假設PC的IP地址爲192.168.0.2。
(3) 使用Ping命令驗證網絡連接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=2ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/0/1ms
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
[lgmi-fwl] interface GigabitEthernet0/0
[lgmi-fwl-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0
(2) 爲PC配置IP地址。
假設PC的IP地址爲192.168.0.2。
(3) 使用Ping命令驗證網絡連接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=2ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/0/1ms
2. 透明模式下的防火牆配置
當防火牆工作在透明模式下時,其所有接口都將工作在第二層,即不能爲接口配置IP地址。這樣,用戶若要對防火牆進行Web管理,需在透明模式下爲防火牆配置一個系統IP地址(System IP)。用戶可以通過此地址對防火牆進行Web管理。缺省情況下,防火牆工作在路由模式。
(1) 配置防火牆工作在透明模式。
[lgmi-fwl] firewall mode transparent
Set system ip address successfully.
All the Interfaces's ip addresses have been deleted.
The mode is set successfully.
從以上顯示的系統提示信息可以看出,防火牆已經工作在透明模式下,且所有接口上的IP地址已經被刪除。
(2) 爲防火牆配置系統IP地址。
[lgmi-fwl] firewall system-ip 192.168.0.1 255.255.255.0
Set system ip address successfully.
(當防火牆切換到透明模式時,系統爲防火牆分配了一個缺省系統IP地址 169.0.0.1/8,可以使用上述命令更改系統IP地址。)
當防火牆工作在透明模式下時,其所有接口都將工作在第二層,即不能爲接口配置IP地址。這樣,用戶若要對防火牆進行Web管理,需在透明模式下爲防火牆配置一個系統IP地址(System IP)。用戶可以通過此地址對防火牆進行Web管理。缺省情況下,防火牆工作在路由模式。
(1) 配置防火牆工作在透明模式。
[lgmi-fwl] firewall mode transparent
Set system ip address successfully.
All the Interfaces's ip addresses have been deleted.
The mode is set successfully.
從以上顯示的系統提示信息可以看出,防火牆已經工作在透明模式下,且所有接口上的IP地址已經被刪除。
(2) 爲防火牆配置系統IP地址。
[lgmi-fwl] firewall system-ip 192.168.0.1 255.255.255.0
Set system ip address successfully.
(當防火牆切換到透明模式時,系統爲防火牆分配了一個缺省系統IP地址 169.0.0.1/8,可以使用上述命令更改系統IP地址。)
(3) 將連接PC的接口加入到安全區域中,且將缺省的過濾行爲設置爲允許。假設防火牆連接PC的接口爲GigabitEthernet0/0。
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
(4) 爲PC配置IP地址。
假設PC的IP地址爲192.168.0.2
[lgmi-fwl] firewall zone trust
[lgmi-fwl-zone-trust] add interface GigabitEthernet0/0
[lgmi-fwl-zone-trust] quit
[lgmi-fwl] firewall packet-filter default permit
(4) 爲PC配置IP地址。
假設PC的IP地址爲192.168.0.2
(5) 使用Ping命令驗證網絡連接性。
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=3ms
<lgmi-fwl> ping 192.168.0.2
PING 192.168.0.2: 56 data bytes, press CTRL_C to break
Reply from 192.168.0.2: bytes=56 Sequence=1 ttl=255 time=2 ms
Reply from 192.168.0.2: bytes=56 Sequence=2 ttl=255 time=3ms
Reply from 192.168.0.2: bytes=56 Sequence=3 ttl=255 time=3 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=1 ms
Reply from 192.168.0.2: bytes=56 Sequence=4 ttl=255 time=1ms
Reply from 192.168.0.2: bytes=56 Sequence=5 ttl=255 time=1 ms
--- 192.168.0.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max =0/0/2 ms
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max =0/0/2 ms
添加登錄用戶
爲使用戶可以通過Web登錄,並且有權限對防火牆進行管理,必須爲管理員添加登錄帳戶並且賦予其權限。例如:建立一個用戶名和密碼都爲admin,帳戶類型爲telnet,權限等級爲3的管理員用戶。
[lgmi-fwl] local-user admin
[lgmi-fwl-luser-admin] password Cipher admin
[lgmi-fwl-luser-admin] service-type telnet
[lgmi-fwl-luser-admin] level 3
爲使用戶可以通過Web登錄,並且有權限對防火牆進行管理,必須爲管理員添加登錄帳戶並且賦予其權限。例如:建立一個用戶名和密碼都爲admin,帳戶類型爲telnet,權限等級爲3的管理員用戶。
[lgmi-fwl] local-user admin
[lgmi-fwl-luser-admin] password Cipher admin
[lgmi-fwl-luser-admin] service-type telnet
[lgmi-fwl-luser-admin] level 3
在IE上敲入192.168.0.1出現
