2019年3月底，我留了个白，直到快两个月后的今天，终于有空来折腾这篇文章。。
该文也只能说是一个简单的入门和科普吧~

防火墙的配置，很有趣。

防火墙有多种配置方式：
方法一：通过console口。
console线，一端接console口，一端连笔记本后，在资源管理器里找到具体是com几，然后，通过securtCRT 或者 超级终端等工具，连接到防火墙:
我多年前的某篇文章应该有详细介绍吧~~

方法二：通过直连eth0
eth0是防火墙的管理接口。
通过网线，一头接防火墙的eth0，一头接自己的笔记本
天融信防火墙默认的管理地址是：https://192.168.1.254 用户名为：superman，密码为talent。
之所以是 https，不是http，因为防火墙是安全设备，必须加s。http，一般是普通的网页。
这个时候，您只要将自己的笔记本，IP配成： 192.168.1.2 （该子网段，任何都行），掩码：255.255.255.0，网关：192.168.1.254.
这是不修改默认管理地址的情况下。
如果修改了的话，就只能先方法一或方法三，获取eth0的管理地址了。

方法三:其他eth口
获取到防火墙某个eth口的地址，比如：74.74.74.74
然后直接在这个74的子网段里：https://74.74.74.74就可以了。

  
防火墙常用功能
 
 
想看该防火墙的具体的eth0的管理地址，在 网络管理-接口这个功能下，看具体每个接口的IP。
 
 
天融信防火墙核心防火墙功能在：防火墙 这个功能下。
有一个 访问控制，是防火墙的核心所在。
允许谁访问谁，不允许谁访问谁。
在访问控制这一块，有一个必须得提：一般，先特例，后通例。
什么意思，比如，你不允许A访问B，但是允许其他任何人访问B。
那你的策略，就先写：permit A访问B。 再：Deny any 访问B。
而且必须这样写。
否则，先：Deny any 访问B，再：permit A访问B。
直接先匹配 Deny any 访问 该策略被命中，好了，任何人都没法访问B了。即使后面有 A能访问Ｂ。
 
这里面会涉及到，比如：区域，子网、主机等概念
这些概念的定义都在：　资源管理　下。
其实这也很好理解，他们都是对象，对象即资源，对吧～
 
“防火墙”菜单下，还有一个地址转换。
这个应该是防火墙不同端口之间访问的核心技术吧，这也是折腾我好久，一直不能很好明白的一个技术痛点。
等有机会了还是把这个研究透吧。。
 
 
在 网络管理下有一个 路由功能。这个功能在上文也讲过，
如果 A能到B，但是到不了B的下一个节点C。
那么就是要添加 目的地址是C，下一跳为B 这样的一条路由。
 
 
需要指出的是，在天融信的部分型号上，给出了：系统管理-维护-诊断 工具，
让你实现在防火墙上，查看到别的地方的连通性测试工具：ping 和 traceroute。
如果您所在天融信防火墙没能实现这个功能，那么也很简单，通过securtCRT，或超级终端，您当前终端跟防火墙是通过防火墙的哪个口连接的（无论eth0、eth1、eth2、eth3），找到同网段eth口的管理地址，进去后，也可以直接进行 ping traceroute 等操作~
 
 
还需要指出及强调的是，一般，防火墙对外的eth口的管理地址，会被目的地址转换成允许它访问的内部地址。
因为，如果不这样做，外单位同事可以通过自己网段内逐一扫描，然后，找到防火墙的管理地址，用上文所述方法，对防火墙进行管理、配置修改。
那这个防火墙到时候就形同虚设了。
所以，一般，这个目的转换也是必要的。