天融信下一代防火墙（NGFW）常用命令示例

运维_xiaoma

已于 2024-03-20 13:57:11 修改

阅读量4k

点赞数 53

文章标签：网络 windows 服务器

于 2024-03-11 14:45:06 首次发布

本文链接：https://blog.csdn.net/weixin_42048685/article/details/136623258

版权

一、接口配置

1. 查看接口信息

#network interface eth0/feth0 show #查看eth0接口的状态信息

#network interface eth0 show #查看接口相关信息

#network interface eth0 show configuration #查看eth0接口的配置信息

注：其他接口请替换“eth0”

2. 配置路由接口的相关命令

#network interface eth0 no switchport #将eth0接口改为路由模式

#network interface eth0 ip clean #清除eth0接口的ip地址

#network interface eth0 ip add 192.168.1.1 mask 255.255.255.0 #给eth0接口添加ip地址为192.168.1.1/24

#network interface eth0 ip add 192.168.1.1 mask 255.255.255.0 ha-static #给eth0接口添加ip地址为192.168.1.1/24（非同步地址）

注：其他接口请替换“eth0”

3. 配置交换access接口的相关命令

#network vlan add id 100 #添加vlan.0100

#network interface eth0 switchport #将eth0接口改为交换模式

#network interface eth0 switchport mode access #将eth0接口的交换模式改为access

#network interface eth0 swithchport access-vlan 100 #将eth0接口加入到vlan.0100

注：可以给vlan配置ip地址，使用路由接口的相关命令，将接口用vlan替换，例如vlan.0100

4. 配置trunk接口的相关命令

#network interface eth0 switchport #将eth0接口改为交换模式

#network interface eth0 switchport mode trunk #将eth0接口的交换模式改为trunk

#network interface eth0 switchport trunk allow-vlan 1-1000 #配置允许通过的vlan为1-1000，默认不改就是1-1000

注：还需添加对应的vlan，使用添加vlan的命令，例如network vlan add id 1

5. 配置bond接口的相关命令

#network bond add id 0 #添加bond0接口（只支持0-3）

#network bond join id 0 dev eth0 #将eth0接口加入到bond0，多个接口需要重复配置多次，只有路由模式的接口才可以加入到bond

#network bond leave id 0 dev eth0 #将eth0接口从bond0中移除

#network interface bond0 attribute add bond0 #将bond0接口与bond0属性绑定

注：可以给bond接口配置路由模式或者交换模式，使用路由模式接口或者交换模式接口的配置命令，将对应接口替换为bond接口，例如bond0

6. 添加虚拟线

network virtual-line add dev1 eth10 dev2 eth11

查看虚拟线，已添加成功

二、静态路由

#network route show #查看静态路由

#network route add dst 192.168.1.0/24 gw 192.168.2.1 #添加目的地址为192.168.1.0/24网段的路由网关指向192.168.2.1

#network route delete id 100 #删除id号为100的路由条目

三、定义对象

1. 定义主机对象

#define host add name oa服务器 ipaddr 192.168.1.1 #添加名称为“oa服务器”的主机对象，ip为192.168.1.1

#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’ #添加名称为“oa服务器”的主机对象，ip为192.168.1.1、192.168.1.2以及192.168.1.3三个ip

2.定义范围对象

#define range add name 服务器 ip1 192.168.1.2 ip2 192.168.1.10 #添加名称为“服务器“的范围对象，ip为192.168.1.2到192.168.1.10九个ip

3. 定义子网对象

#define subnet add name 内网网段 ipaddr 192.168.1.0 mask 255.255.255.0 #添加名称为”内网网段“的子网对象，ip为192.168.1.0/24

4. 定义地址组

#define group_address add name 内网网段加服务器 member ‘内网网段服务器‘ #添加名称为“内网网段加服务器”的地址组对象，包含“内网网段”的子网对象以及“服务器”的范围对象

5. 定义区域对象

#define area add name outside attribute eth0 access on #添加名称为”outside“的区域对象，绑定接口eth0，区域属性允许

#define area add name inside attribute eth1 access off #添加名称为”inside“的区域对象，绑定接口eth1，区域属性禁止

6.定义自定义服务

#define service add name tcp_8080 protocol 6 port 8080 #添加名称为“tcp_8080”的自定义服务对象，三四层协议号为6代表tcp协议，端口号为8080

#define service add name tcp_8080-8081 protocol 6 port 8080 port2 8081 #添加名称为“tcp_8080-8081”的自定义服务对象，三四层协议号为6代表tcp协议，端口号为8080-8081

#define service add name udp_8080 protocol 17 port 8080 #添加名称为“udp_8080”的自定义服务对象，三四层协议号为17代表udp协议，端口号为8080

#define service add name udp_8080-8081 protocol 17 port 8080 port2 8081

NG-防火墙#define service add name udp_8080-8081 protocol 17 ports 8080- 8081

#添加名称为“udp_8080-8081”的自定义服务对象，三四层协议号为17代表udp协议，端口号为8080-8081

#define group_service add name tcp_udp_8080 member 'tcp_8080 udp_8080' #添加名称为“tcp_udp_8080’的自定义服务组对象，包含”tcp_8080“和”udp_8080“两个自定义服务器对象

注：自定义服务的名称不能只使用端口号，例如”8080“不符合规定

四、开放服务

#pf service add name webui area inside addressname any #给inside区域添加webui服务，控制地址为any

#system httpd start #开启httpd服务

#system httpd stop #关闭httpd服务

#system sshd start #开启sshd服务

#system sshd stop #关闭sshd服务

#system telnetd start #开启telnetd服务

#system telnetd stop #关闭telnetd服务

注：常用的服务有ping、webui、ssh、telnet、snmp

五、访问控制

1. 查看访问控制

#firewall policy show #查看所有的访问控制

2. 添加访问控制

# firewall policy add action accept src '182.87.97.111 182.87.97.112' dst '182.248.21.170 182.248.21.171' service 'tcp_8080 HTTP' #添加源地址为”182.87.97.111、182.87.97.112“、目的地址为”182.248.21.170、182.248.21.171“、服务为”tcp_8080、HTTP“并且动作为允许的访问控制策略

# firewall policy add action deny src '182.87.97.111 182.87.97.112' dst '182.248.21.170 182.248.21.171' service 'tcp_8080 HTTP' #添加源地址为”182.87.97.111、182.87.97.112“、目的地址为”182.248.21.170、182.248.21.171“、服务为”tcp_8080、HTTP“并且动作为禁止的访问控制策略在NG防火墙上若只有一个服务的话则不用加引号

3. 删除访问控制

#firewall policy delete id 5000 #删除id号为5000的访问控制

4. 移动访问控制

#firewall policy move 5000 before 4000 #将id号为5000的访问控制移动到id号为4000的访问控制之前

#firewall policy move 5000 after 4000 #将id号为5000的访问控制移动到id号为4000的访问控制之后

六、地址转换

1. 源地址转换

#nat policy add srcarea 'inside ' dstarea 'outside ' orig-src '182.95.5.68 ' orig-dst ‘any’ trans-src 182.87.200.201 #将源区域是inside、目的区域是outside、源地址是182.95.5.68、目的地址是any的数据包的源转换成182.87.200.201

2. 目的地址转换

#nat policy add srcarea 'outside ' orig-dst '182.87.200.201 ' trans-dst 182.95.5.68 #将源区域是outside、目的地址是182.87.200.201的数据包的目的地址转换成182.95.5.68

3. 双向地址转换

#nat policy add srcarea 'inside ' orig-dst '182.87.200.245 ' trans-src 182.87.200.245 trans-dst 192.168.33.22 #将源地址是inside、目的地址是182.87.200.245的数据包的源转换成182.87.200.245，目的地址转换成192.168.33.22

七、双机热备：

1. 查看双机配置

#ha show #查看双机配置

2. 配置双机热备

#ha mode as #配置双机模式为双机热备

#ha as-vrid 100 #配置双机热备的组号为100

#ha local 1.1.1.1 #配置本地心跳地址为1.1.1.1

#ha peer 1.1.1.2 #配置对端心跳地址为1.1.1.2

#ha vrid 100 priority 254/100 #配置本地身份为主/从

#ha vrid 100 preempt enable/disable #配置抢占模式开启/关闭

#ha hello-interval 3 #配置心跳间隔为3秒（只支持1-3）

#ha enable #开启ha

#ha disable #关闭ha

3. 查看双机状态

#ha show status #查看双机状态

4. 同步配置

#ha sync to-peer #从本地同步配置到对端

#ha sync from-peer #从对端同步配置到本地

5. 切换主备状态

#ha change（按tab补全） #切换主备状态（没有设备忘了具体命令，请tab补全）

6. 对比主备配置

#ha cheak peer-config detail #对比本地与对端的配置

八、运维相关

#ping 192.168.1.1 #使用防火墙ping 192.168.1.1

#system traceroute 8.8.8.8 #使用防火墙跟踪到8.8.8.8的路径

#system show config #查看系统配置，可使用”|”符号进行搜索，例如system show

config |network搜索包含network的配置信息

#save #保存配置

#system config reset #重置配置

#system reboot #重启设备

#system version #查看系统版本

#system uptime #查看系统持续运行时间

#system information #查看系统状态