Posts tagged ‘天融信’

天融信资料下载官方FTP服务器

2014年4月1日, 下午9:49

2020年更新:

ftp://ftp.topsec.com.cn/

用户名:topseccs
密码:topseccs1@#

============================================================================

2017年更新:最近发现天融信的FTP服务器变更为了ftp://ftp.topsec.com.cn/,用户名:topsec,密码:topsec2016(不知道后期密码会不会改成topsec2017,如果进不去也可以打天融信800电话询问)。

============================================================================

两台天融信FTP服务器,里面资料很全,内容两台是一样的。

地址:ftp://219.141.223.195  或者  ftp://202.99.27.198

topsecftp

标签:,
Category: 02. 随便写  |  3 Comments

天融信TG-32A-UTM双机热备配置一例

2013年1月21日, 下午10:45

两台天融信TG-32A-UTM统一威胁管理设备(简称UTM),上联核心区包括两台CISCO 3750G三层交换机,下联接入区两台CISCO 2960G二层交换机,如下图所示:

topsecutm3

1、环境描述:
(1) 两台UTM与上、下交换机都通过TRUNK口来连接
(2) UTM将核心交换机上的VLAN1(管理VLAN)、VLAN9(核心应用网段1)、VLAN188(核心应用网段2)透传至CISCO2960G接入交换机上
(3) 两台UTM的心跳口为路由口,主UTM IP为200.200.200.1/30,备UTM IP为200.200.200.2/30
(4) 两台UTM启用生成树协议

2、主UTM配置
将笔记本与UTM的eth0口相连,笔记本配置192.168.1.x段,然后使用浏览器打开https://192.168.1.254,输入superman/talent进入管理主界面。

(1)心跳口配置
将eth9作为心跳口,配置心跳IP为200.200.200.1,如下图,描述写HA,地址处填200.200.200.1,掩码255.255.255.252,非同步地址打钩(即为心跳口,非心跳口不用打钩),点击添加,再点击确定,这样就完成心跳口地址的配置。

topsecutm6

topsecutm5

(2)TRUNK口配置
与上、联两台交换机相连共需要要UTM设备的4个接口,这里选择eth1-4。如需配置eth1为trunk口,首先从“网络管理”->“接口”并点击接口的配置按扭来进入接口的配置界面,然后进行如下填写,模式选择“交换”,类型trunk,VLAN范围选择刚才定义的三个VLAN:1、9、188,封装选择802.1q,点击确定。这样即完成了一个接口的配置。

topsecutm7

当4个接口都完成了,即为如下图所示。

topsecutm8

(3)新建区域
进入左边菜单的“资源管理”->“区域”配置界面,创建两个上联及下联区域,用于后面创建访问控制规则之用,如下图。

topsecutm9

(4)开启生成树协议
进入“网络管理”->“二层网络”->“VLAN”选项,点击“生成树”,在开启上打钩,点击确定来启用生成树,如下图所示。 

topsecutm10

topsecutm11

(5)添加VLAN

就像交换机一样,当要让UTM透传VLAN19188这三个VLAN时,UTM本身需要创建这三个VLAN,进入“网络管理”->“二层网络”->“VLAN”选项,点击“添加”:

topsecutm12

在出现的对话框中输入1,点击确定,VLAN1创建完成,用同样的方法创建VLAN9和VLAN188。

 topsecutm13

完成创建后,即为如下图所示效果。

topsecutm14

(6)高可用性配置

心跳本地地址为本机的心跳地址200.200.200.1,对端为备UTM的地址,规划为200.200.200.2,身份为主,打开抢占功能,监控端口为eth1-4的trunk口,输入后点击应用,再点击启用即可。

下图中的“监控接口异常”是因为UTM还未插网线导致。

topsecutm16

至此,主UTM配置完成。

 

3、备UTM配置

将笔记本与UTM的eth0口相连,笔记本配置192.168.1.x段,然后使用浏览器打开https://192.168.1.254,输入superman/talent进入管理主界面。

(1)心跳口配置
将eth9作为心跳口,配置心跳IP为200.200.200.2,如下图,描述写HA,地址处填200.200.200.2,掩码255.255.255.252,非同步地址打钩(即为心跳口,非心跳口不用打钩),点击添加,再点击确定,这样就完成心跳口地址的配置。

topsecutm15

(2)高可用性配置
心跳本地地址为本机的心跳地址200.200.200.2,对端为主UTM的地址,规划为200.200.200.1,身份为备,打开抢占功能,监控端口为eth1-4的trunk口,输入后点击应用,再点击启用即可。

topsecutm17

 

4、启用双机热备

完成以上配置后,将两台UTM的接口与交换机都连接好,包括心跳网口。完成后,可以查看两台UTM设备的M/S灯,M/S灯亮的即为主防火墙。

5、配置同步

因为备UTM刚才只配置了双机信息,没有其它配置,需要通过主UTM来同步配置至备UTM。登陆主UTM,进入“高可用性”->“高可用性”,点击如下图中的按扭完成主UTM向备UTM同步配置的操作。

topsecutm19

6、查看配置

经过以上配置后,UTM的双机热备已经建立,运行时,只有主UTM进行数据的转发,备UTM不参与数据转发。可以想像成只有一台UTM在工作的环境。所以在拓扑图中,运行时会出现如下的一个网络环:

topsecutm20

进入“网络管理”->“二层网络”->“VLAN”选项,点击后面的生成树按扭,可以看到主UTM与备核心3750交换机相连的口为blocking状态,如下图所示。topsecutm21

双机热备运行时,当主UTM eth1-4口中有一个端口DOWN掉,UTM都会自动切换至备UTM上,完成双机的切换工作。

标签:, ,
Category: 03. 配置笔记  |  评论

topsec集中管理器-老4K天融信防火墙登陆软件

2012年10月31日, 下午2:48

天融信老40000防火墙都是通过客户端管理软件来管理,即topsec集中管理器下载)。如下图所示:

在2012年1月1日后,老4K防火墙出现了证书过期不能管理的情况,天融信针对此出了个证书升级方案,点击下载(包括升级方法及证书)。

标签:, ,
Category: 03. 配置笔记  |  评论

天融信防火墙NGFW4000-UF防火墙启用PPTP笔记

2010年3月24日, 下午9:23

by funpower,2010年3月24日20:33,funpower#gmail.com,转载请注明出处。水平有限,文中难免有错误,望指正。

之前在软路由RouterOS上启用过PPTP,这次是在天融信防火墙上启用PPTP服务,使外网用户可以拨入企业的内网网络来访问相关资料。

网络说明:
1、防火墙外网口IP:218.50.80.xxx/248,内网口IP:192.168.2.253/24
2、连接企业内网服务器资源网络:192.168.2.0/04
3、内网服务器网络IP:192.168.28.0/24
4、远端用户端入后的IP地址范围:192.168.2.50-192.168.2.60
5、本例中建立一个pptp用户:用户名pptpuser,密码000000

配置步骤:

1、启用PPTP服务
默认防火墙是关闭PPTP服务的,所以需要先开启。通过https://192.168.2.253登陆防火墙后,点击左边菜单栏的“系统管理”->“配置”->“开放服务”,点击“添加”按扭,服务名称选择“PPTP”,控制区域选择防火墙的外网口,这里为“area_eth11”,控制地址选择“ANY”,即为任何人都可以连接,设置完后点击“确定”。

2、设置PPTP服务
左边菜单栏选择“虚拟专网”->“PPTP”,对右边栏进行设置,PPTP端口一般默认,使用1723,本地地址使用规划好的分配IP范围中的一个,这里使用192.168.2.50,剩下的都作为外网用户拨入后的地址,如下图。

另外,在“防火墙”->“访问控制”栏中,确保没有将1723端口阻止的规则。

这样,PPTP基本的设置就完成了。下来就可以新建网络链接来测试PPTP。连接成功后,就获取到了192.168.2段的地址。在防火墙上也可以看到连接过来的链接,如下图。

命令行操作:

pf service add name pptp area area_eth11 addressname any
network pptp set ip-pool local 192.168.2.50 min_ip 192.168.2.51 max_ip 192.168.2.60
network pptp start

标签:, ,
Category: 03. 配置笔记  |  2 Comments