文档介绍：天融信防火墙配置手册
防火墙形态
类似于一台路由器设备, 是一台特殊 计算机。
以天融信防火墙(TOPSEC FireWall ARES－M)为实例, 来测试防火墙各区域 访问控制机制:
目标一:
了解访问策略 原理与作用。经过设置访问策略, 测试Intranet（企业内联网）,SSN（安全服务区, 即DMZ（非军事区）,Internet（互联网）区域之间访问控制机制。
目标二:
了解NAT原理与作用。测试内网经过NAT方法相互访问。并经过NAT访问因特网, 过滤特定网站和特定网页。
目标三:
了解MAP原理与作用。测试外网经过MAP访问企业内部服务器。
了解防火墙三种接入模式。
配置目标
防 火 墙
为 网 络 用 户 提 供 安 全 Internet 接 入
Internet
DMZ WEB服务层
Intranet 内部网络
Web e-mail FTP
防火墙 FireWall
Web Site Filter
Web 站 点 访 问 过 滤
限 制 对 非 本 企 业 业 务 目 的 的 Internet 资 源 的 访 问
Connection to outside network
Connection to inside network
Connection to www network
防火墙在企业网 接入
Intranet区域
SSN区域
Internet区域
大门
试验室分布情况
Internet
试验网络结构图

网关:
DMZ 区
Intranet 内网
Web e-mail FTP
Internet 外网

网关：

网关：



防火墙
路由模式访问控制测试结构
一、经过防火墙 路由功效实现访问控制, 操作步骤以下:
STEP1:线路连接
依据图示设置主机IP地址(注意主机IP与连接 防火墙端口地址为同一网段, 不能与连接 防火墙端口地址冲突), 设置防火墙本区域端口IP地址为主机网关地址。
测试能否PING通防火墙端口IP地址。
上半部份
STEP2:经过软件登陆Firewall
打开防火墙配置软件“TOPSEC集中管理器”, ‘新建项目’, 输入防火墙本区域端口IP地址, 登陆到防火墙。查看防火墙　“基础信息”　和“实时监控”, 　了解其她各菜单功效。
说明: 登陆下列其中一个用户: user1/2/3/4/5/6/7/8/9/10, 口令为: 123456
防火墙配置通常有三种方法:
B/S配置 ,C/S配置,Console口配置.
本试验防火墙采取C/S方法。
区域之间缺省权限 设置
STEP3: 防火墙区域缺省权限设置
　‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为许可访问。
操作说明: 选择“可读、可写、可实施”选项, 表示为许可访问。
本机PING其她区域内主机, 测试连通性。
　‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为严禁访问。
操作说明: 不选择“可读、可写、可实施”选项, 表示为严禁访问。
本机PING其她区域内主机, 测试连通性。
第四个区域area_4为该软件上带 区域名, 可不管,实际硬件上没有。

缺省访问权限是指区域之间主机 默认权限。
假如是PING本区域内主机, 因为是经过交换机进行通信, 防火墙不能控制同一区域主机之间 权限, 本区域内主机是能够连通 。
主机节点对象 建立
接下来在防火墙三个区域‘缺省权限’设为‘严禁访问’ 情况下,
做以下步骤:
STEP4: 主机节点对象建立
　　高级管理→网络对象→本主机所在区域→定义新对象→定义节点
把本主机IP地址定义为一个节点。定义名称可任意, 物理地址可不填。
说明: 定义对象应在该对象所在区域内设置。本机在哪个区域, 则在那个区域内设置。定义节点针对一个主机定义, 定义子网可定义一个网络地址段。定义对象没有任何权限 作用, 只有经过访问策略（STEP5设置）调用这些对象才能