发帖回复

537阅读
2回复

[分享]【TL-FW6300】防火墙配置指南——账号管理

楼层直达

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2020-01-21

管理员角色介绍

TL-FW6300支持三种管理员角色，精细化权限管理。管理员角色主要有以下三种：

1. 系统管理员：可以配置和查看除审计相关功能之外所有的功能；

默认系统管理员的账号密码是：admin/admin

2. 审计管理员：仅可以配置和查看审计相关功能。

默认审计管理员的账号密码是：audit_admin/admin

3. 配置管理员：与系统管理员相比，仅不能配置“管理员”及“设备管理”功能，其他功能均可配置。

默认审计管理员的账号密码是：config_admin/admin

怎么添加管理员账号

账号新增功能仅系统管理员有此权限，可以新增三种账号，在“管理员”——“管理员”页面点击“新增”，如下图所示：

按照页面提示的字符要求，设置新账号的用户和密码，并选择账号角色，然后点击“确定”，新建完成。

各角色权限怎么查看

TL-FW6300在系统管理员账号登录情况下，可以查看各个角色账号的权限，查看方法：打开“管理员”——“管理角色”页面，如下图所示：

点击旁边的编辑图标

，即可显示此角色可访问的菜单页面和权限，如下图所示：

关键词: 系统

分享到 淘江湖新浪 QQ微博 QQ空间开心人人豆瓣网易微博百度鲜果白社会飞信

我不喜欢说话却每天说最多的话，我不喜欢笑却总笑个不停，身边的每个人都说我的生活好快乐，于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默，为什么在人群中看到个相似的背影就难过，看见秋天树木疯狂地掉叶子我就忘记了说话，看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。

回复引用

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看该作者 1 发表于: 2020-01-21

【TL-FW6300】防火墙配置指南——两种组网模式介绍

TL-FW6300目前支持两种组网模式：1.作为三层路由网关接入网络；2.作为二层透明网桥接入网络。下面分别对上述两种组网模式进行介绍。

三层路由网关模式介绍

1. 应用拓扑

2. 模式特点

可替代路由器使用 防火墙业务接口的IP地址作为所连接网段中设备的默认网关，实际部署时可能需要改变现有的网络拓扑结构，可在防火墙上启用路由和NAT功能，内部不同网段之间数据通信通过路由进行转发，内网和外网之间通过NAT地址转换后实现数据通信。
报文处理机制完善 无论是内网不同网段之间的数据通信，还是内网与外网之间的数据通信，所有流量都需要经过防火墙转发，这种情况下防火墙的报文处理机制更加完善，对网络安全防护能力更强。

二层透明网桥模式介绍

1. 应用拓扑

2. 模式特点

不改变原有网络结构 使用二层网桥模式之后，原有网络中不同网段之间的数据转发还是依赖于网络中的路由器和三层交换机，但是只要数据流量经过防火墙的不同网络接口，就能够命中防火墙中的安全策略。
可以与路由模式共存 在实际网络环境中，三层路由网关模式与二层透明网桥模式是可以共存的，我们可以将防火墙的部分接口设置成网桥模式，部分接口设置成路由模式，根据实际需求，选择最合适的组合，最大程度减少网络拓扑变化与配置工作量。

两种模式的配置方法

1. 三层路由网关模式

详细请见文档：《【TL-FW6300】防火墙配置指南——三层路由网关实例设置》。

2. 二层透明网桥模式

二层透明网桥下，防火墙在安全策略的设置上与三层路由网关模式一样，在文档： 中已经详细介绍，故这里只介绍二层透明网桥的基本设置，并以如下拓扑为例：

基本设置分为三步：
第一步：进入防火墙管理界面
电脑连接防火墙MGMT接口，并给电脑固定IP地址：192.168.1.5/255.255.255.0，在浏览器输入192.168.1.1进入防火墙管理界面，如下图所示。

使用系统管理员身份登录，默认用户名admin，默认密码admin，登录后页面会提示修改防火墙密码，这里我们直接点击“确定”即可，如下图所示。
[size=; font-size: 10.5pt,10.5pt]

点击“确定”后，页面会进入快速向导，这里我们点击“取消”，直接进行下一步设置，如下图所示：

第二步：设置网桥接口
点击“网络”——“接口设置”——“网桥设置”，点击“新增”（注意，防火墙只有在出厂状态下才能进行网桥设置，如果已经进行了其他配置，则此处不显示“新增”的按钮），将需要用到的接口设置成网桥，如下图所示：

l 网桥名称：默认为LAN，不可编辑。
l 包含接口：选择要设置成网桥的各个接口，本例中需要用到三个接口，故选择“GE5,GE6,GE7,MGMT”。
l STP：生成树，本例中选择为“启用”。
第三步：划分安全区域
点击“网络”——“安全区域”，可以看到系统默认有四个安全区域，其中三个可以编辑，如下图所示。

GE5接路由器，故将GE5划分至untrust区域，如下图所示：

GE6接服务器，故将GE6划分至dmz区域，如下图所示：

GE7接三层交换机，故将GE7划分至trust区域，如下图所示：

通过上述三步，就完成了防火墙作为二层透明网桥的基本设置，后面还需要进行的安全策略设置、审计策略设置等步骤，与三层路由网关模式一样，

回复引用

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看该作者 2 发表于: 2020-01-21

【TL-FW6300】防火墙配置指南——三层路由网关实例设置

网络场景

某公司使用TL-FW6300搭建网络，防火墙连接互联网，并划分多个网段内部使用，网络拓扑结构如下图所示。

需求分析

安全需求

n 需求1：访客网络可以访问互联网，但是不能访问内部其他网络；
n 需求2：销售部可以访问内部服务器网络以及互联网，但是禁止访问常见的游戏、视频、炒股类网站和应用；
n 需求3：研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站www.test.com；
n 需求4：出差员工可以通过互联网访问内网的8080端口的WEB服务器；
n 需求5：内部各个部门以及访客区域之间禁止互相访问；
n 需求6：管理接口仅用于管理防火墙自身。

审计需求

n 需求1：对所有流经防火墙的数据进行审计，并记录到审计日志；
n 需求2：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。

设置步骤

1. 配置接口参数。

点击“网络”——“接口设置”，如下图所示。

（1）设置GE1连接互联网
本例中以设置静态IP联网方式为例。

按照运营商提供的联网参数进行填写即可。
（2）设置GE2连接服务器区
服务器区域网段是172.16.0.0/24，配置如下图所示。

l 连接方式：设置接口IP地址的配置方式，本例中选择“静态IP”。
l IP地址：设置接口的IP地址，本例中为“172.16.0.1”。
l 子网掩码：设置接口的子网掩码，本例中为“255.255.255.0”。
l 网关地址：设置接口的网关地址，本例中不填。
l 上行带宽：设置接口的上行带宽值，本例中保持默认。
l 下行带宽：设置接口的下行带宽值，本例中保持默认。
l MTU：设置接口的MTU值，本例中保持默认。
l 首选DNS服务器：设置接口的首选DNS服务器IP地址，本例中保持默认，不填写。
l 备用DNS服务器：设置接口的备用DNS服务器IP地址，本例中保持默认，不填写。
l MAC地址：设置接口的MAC地址，本例中保持默认。
l 备注：添加备注，方便后期维护，本例中为“服务器”。
1. 设置完毕点击“确定”，如下图所示。

（3）设置GE3—GE7连接到其他内部各个区域的接口
配置方法与服务器区类似，如下图所示。

接口参数设置完毕。

2. 设置NAPT

配置各个网段通过GE1进行NAT联网。如下图所示。

l 出接口：选择连接宽带的接口，本例中为“GE1”。
l 源地址范围：设置为内部的网段，本例中为了简化设置，网段归纳为“172.16.0.0/16”。

3. 设置DHCP服务器

为内网设备分配IP地址。如下图所示。

为每个网段添加一个DHCP服务器，简化客户端配置。

4. 设置安全区域

为每个接口定义所属的安全区域。打开“网络”——“安全区域”菜单，如下图所示。

将GE3-GE7以及MGMT添加到trust安全区域，点击trust区域的编辑图标，如下图所示。

l 备注：添加备注，本例中为“内网”。
l 接口：选择属于trust安全区域的接口，本例中包括“GE3-GE7以及MGMT”。点击“确定”，添加完成，如下图所示。

相同设置方法将GE1添加到untrust安全区域，将GE2添加到dmz安全区域，添加完成，如下图所示。

5. 设置对象参数

(1) 地址
添加各个区域的IP地址段。打开“对象”——“地址”——“地址”页面，点击“新增”，如下图所示。

以服务器区IP地址为例：
l 地址名称：自定义，本例中为“Servers”。
l IP类型：本例中选择IP/Mask，设置IP地址段“172.16.0.0/24”。
l 备注：添加备注“服务器区”
按照上述方式依次添加防火墙内部各个区域的地址段，添加完毕如下图所示。

添加地址组，打开“对象”——“地址”——“地址组”页面，点击“新增”，如下图所示。

l 组名称：自定义，本例中为“Servers”。
l 地址名称：选择已经定义的地址名称，本例中选择服务器地址段“Servers”。
l 备注：添加备注方便后期维护，本例中为“服务器IP地址段”。
点击确定添加成功，如下图所示。

按照此方式添加其他地址组，包括访客、销售部、研发部、财务部和行政部的地址组。另外单独添加一个包含研发部、财务部以及行政部的内网部门Internal。添加完毕如下如所示。

(3) 服务
设置外网可以访问的内部WEB服务器服务条目，首先新增服务，打开“对象”——“服务”——“服务”，点击“新增”，如下图所示。

l 服务名称：自定义，本例为“WEB_Server”。
l 协议类型：选择“TCP”。
l 源端口范围：本例中任意端口，即“0-65535”。
l 目的端口范围：本例中为8080，即“8080-8080”。.
l 备注：自定义，本例中为“内部WEB服务器”。
点击“确定”，添加完毕。如下图所示。

接下来新增服务组，打开“对象”——“服务”——“服务组”，点击“新增”，如下图所示。

l 组名称：自定义，本例中为“WEB_Server”。
l 服务类型：选择已定义的服务名称，本例中选择“WEB_Server”。
l 备注：添加备注，方便后期维护，本例中为“内部WEB服务器”。
点击“确定”，添加完成，如下图所示。

(4) 网站
设置内部网络可以访问的公司官网网址，打开“对象”——“网站”——“网站组”，点击“新增”，如下图所示。

l 组名称：自定义，本例为“公司官网”。
l 组成员：设置公司官网的网址，本例为“www.test.com”。
l 备注：添加备注，方便后期维护，本例为“公司官方网站”。
l 点击“确定”，新建完成，如下图所示。

(5) 应用
定义销售部禁止访问的应用，打开“对象”——“应用”——“应用组”，点击“新增”，如下图所示。

l 名称：设置应用组名称，本例为“entertainment”。
l 软件：选择需要控制的软件，本例中选择“游戏、视频、炒股”软件。
l 备注：添加备注方便后期维护，本例中为“游戏、视频、炒股”。
点击“确定”，添加完毕。如下图所示。

(6) 安全配置文件
设置内网设备允许访问的公司官方网站的URL过滤条目。打开“对象”——“安全配置文件”——“URL过滤”，点击“新增”，如下图所示。

l 名称：设置URL过滤条目的名称，本例为“official_WEB”。
l 策略类型：本例中选择“仅允许访问下列的URL”。
l 过滤方式：本例中选择“网站分组”。
l 网站分组：选择已经添加的网站分组，本例中选择“公司官网”。
l 备注：添加备注，便于后期维护，本例中设置“允许访问公司官网”。
点击“确定”，添加完成，如下图所示。

经过以上设置，设置安全策略所需的对象已经准备完毕。接下来进行安全策略的配置。

6. 设置安全策略

打开“策略”——“安全策略”页面，如下图所示。

防火墙出厂默认已经存在一条禁止所有的安全策略。所以接下来需要根据之前定义的需求将需要允许的内容一一添加上去，分别是：
n 需求1：访客网络可以访问互联网，但是不能访问内部其他网络；
n 需求2：销售部可以访问内部服务器网络以及互联网，但是禁止访问常见的游戏、视频、炒股类网站和应用；
n 需求3：研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站www.test.com；
n 需求4：出差员工可以通过互联网访问内网的8080端口的WEB服务器；
n 需求5：）内部各个部门以及访客区域之间禁止互相访问；
n 需求6：管理接口仅用于管理防火墙自身。
(1) 设置第1条需求，点击“新增”，如下图所示。

l 规则名称：自定义，本例为“GUEST_Internet”。
l 描述：自定义，本例为“访客上网”。
l 源安全区域：选择访客网络所在区域，本例中选择“trust”。
l 目的安全区域：选择互联网所在区域，本例中选择“untrust”。
l 源地址：选择访客网络IP地址范围，本例中选择“GUEST”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“Any”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“允许”。
l 内容安全：选择URL过滤和文件过滤配置文件，本例中留空，不选择。
l 记录策略命中日志：本例中不启用。
l 状态：选择“启用”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。如下图所示。

(2) 设置第2条需求，点击“新增”，如下图所示。
相同方法设置销售部允许上互联网。
设置销售部允许访问服务器网段。点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择销售部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择服务器所在区域，本例中选择“dmz”。
l 源地址：选择销售部IP地址范围，本例中选择“Sales”。
l 目的地址：选择服务器IP地址范围，本例中选择“Servers”。
l 设置完毕，点击“确定”，添加完成。
设置销售部禁止访问娱乐软件，点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择销售部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择互联网所在区域，本例中选择“untrust”。
l 源地址：选择销售部IP地址范围，本例中选择“Sales”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“IPGROUP_ANY”。
l 添加到指定位置（第几条）：该规则应当放在销售上网规则的前面，本例中设置为“2”。
设置完毕，点击“确定”，添加完成。如下图所示。

销售部规则添加完毕。
(3) 设置第3条需求，研发部、财务部、行政部可以访问内部服务器网络，但是不能访问互联网，仅允许访问公司外部官方网站www.test.com。
(4) 相同设置方法设置研发部、财务部、行政部可以访问内部服务器网络。如下图所示。

设置研发部、财务部、行政部允许访问公司外部官方网站www.test.com。点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择研发部、财务部、行政部网络所在区域，本例中选择“trust”。
l 目的安全区域：选择官方网站服务器所在区域，本例中选择“untrust”。
l 源地址：选择研发部、财务部、行政部IP地址范围，本例中选择“Internal”。
l 目的地址：选择Internet网络IP地址范围，本例中选择“IPGROUP_ANY”。
l URL过滤：选择已设定的官方网站条目“official_WEB”。
设置完毕，点击“确定”，添加完成。如下图所示。

出差员工可以通过互联网访问内网的8080端口的WEB服务器。
点击“新增”，如下图所示。

关键设置如下：
l 源安全区域：选择互联网所在区域，本例中选择“untrust”。
l 目的安全区域：选择服务器所在区域，本例中选择“dmz”。
l 源地址：选择互联网IP地址范围，本例中选择“IPGROUP_ANY”。
l 目的地址：选择服务器IP地址范围，本例中选择“Servers”。
l 服务组：选择已设定的内部WEB服务器的服务组“WEB_Server”。
设置完毕，点击“确定”，添加完成。如下图所示。

(5) 第5、6条需求默认已经如此，无需专门设置。至此所有安全策略设置完毕。

7. 设置审计策略

设置审计需求一：对所有流经防火墙的数据进行审计，并记录到审计日志。
以审计管理员身份登录防火墙，打开“对象”——“审计配置文件”，点击“新增”，设置需要审计的URL以及IM行为：

l 名称：设置审计配置文件的名称，本例为“audit_all”。
l 描述：添加描述，便于后期维护，本例中设置为：“审计所有网站”。
l IM行为审计：通讯软件行为审计，目前仅支持记录QQ上下线，本例中设置为“启用”。
l HTTP行为审计（URL访问）：设置需要审计的URL，本例中设置为“记录所有URL”
l 网站组选择：仅记录指定URL时，可选择要记录的URL，本例中已设置为“记录所有URL”，故无需选择。
点击“确定”，添加完成，如下图所示。

打开“策略”——“审计策略”，如下图所示：

可以看到系统默认有一条不审计的策略。下面我们根据审计需求设置审计策略，之前的需求为：对所有流经防火墙的数据进行审计。故设置如下图所示：

l 策略名称：可自定义，本例设置为“audit_all_data”。
l 描述：添加描述，便于后期维护，本例设置为“审计所有流量”。
l 源安全区域：选择源安全区域，本例中选择“Any”。
l 目的安全区域：选择目的安全区域，本例中选择“Any”。
l 源地址：选择源地址，本例中选择“Any”。
l 目的地址：选择目的地址，本例中选择“Any”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“审计”。
l 审计配置文件：选择审计配置文件，本例中选择“audit_all”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。如下图所示。

通过上述步骤，则完成了防火墙审计策略的设置。

8. 对接审计服务器

设置需求二：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。
设置好审计策略后，可以登录防火墙查看审计信息，但防火墙自身存储能力有限，为了存储更多更久的审计信息，可以把审计信息上传到安装了TP-LINK安全审计系统的服务器上。设置方法如下：
以审计管理员身份登录防火墙，打开“系统”——“日志配置”，做如下设置：

l 上传用户上网行为：本例中选择为“启用”。
l 行为审计服务器地址：本例中设置为“172.16.0.2”
然而，仅通过上述设置无法实现防护墙与审计服务器的对接，还需要设置一条安全策略，允许防火墙去访问审计服务器，设置方法如下：
以系统管理员身份登录防火墙，打开“对象”——“地址”，增加审计服务器地址，设置如下图所示：

l 地址名称：本例中设置为“audit_server_ip”。
l IP类型：本例选择为“IP/Mask”，设置为“172.16.0.2 / 32”。
l 备注：本例设置为“审计服务器地址”。
再新增地址组，将审计服务器地址添加到组，设置如下图所示：

l 组名称：本例设置为“audit_server”。
l 地址名称：本例选择为“audit_server_ip”。
l 备注：本例设置为“审计服务器”。
打开“策略”——“安全策略”，点击“新增”，设置一条安全策略，允许防火墙访问服务器，如下图所示：

l 规则名称：自定义，本例为“allow_audit”。
l 描述：自定义，本例为“允许防火墙访问审计服务器”。
l 源安全区域：选择防火墙所在区域，即设置为“local”。
l 目的安全区域：选择审计服务器所在区域，本例中选择“dmz”。
l 源地址：由于安全区域已经选择为“local”，故源地址可不选择，保持默认为“Any”。
l 目的地址：选择审计服务器的地址，本例中选择“audit_server”。
l 服务组：选择服务组，本例中选择“Any”。
l 应用组：选择应用组，本例中选择“Any”。
l 时间段：选择时间段，本例中选择“Any”。
l 动作：选择命中规则后的处理动作，本例中选择“允许”。
l 内容安全：选择URL过滤和文件过滤配置文件，本例中留空，不选择。
l 记录策略命中日志：本例中不启用。
l 状态：选择“启用”。
l 添加到指定位置（第几条）：本例中无需设置。
点击“确定”，添加成功。

通过上述步骤，防火墙上的审计信息就可以上传至审计服务器，这就满足了审计需求一。
而对于需求二：将防火墙的审计日志、系统日志、操作日志、流量日志、策略命中日志全部上传至安装了TP-LINK安全审计系统的审计服务器。可以用系统管理员身份登录防火墙，打开“系统”——“日志”，做如下设置：

l 选择系统日志等级：是否选择要上传的系统日志的等级，本例中勾选，且选择为“所有等级”。
l 选择系统日志模块类别：是否选择要上传的系统日志模块类别，本例中勾选，且选择为“所有模块”。
l 发送日志：是否发送日志，本例中勾选，且设置服务器地址为“172.16.0.2”。

回复引用

发帖回复

« 返回列表


	关闭您还没有登录，快捷通道只有在登录后才能使用。立即登录还没有帐号？赶紧注册一个


	关闭选中1篇全选

帖子

[分享]【TL-FW6300】防火墙配置指南——账号管理