如何配置天融信NGFW4000防火墙基于长连接的访问策略

　　a. 假设你已经通过串口初始化了防火墙4000（配置接口IP、GUI 登录权限等），并按照以上拓扑图连接好网络、创建了相关网络对象（如有疑问请参看“防火墙4000 管理配置”和“防火墙4000属性配置”相关文档或DEMO演示）；

　　b. 要求：创建一条用户访问策略，允许内网区域中的lihua能够通过防火墙4000 使用ftp与外网区域中Server服务器进行数据传输，并能够保持此连接长时间不中断。实现方式如下：

　　c. 首先在防火墙管理器中选取“网络”→“区域”菜单，会弹出区域管理窗口，将内网区域和外网区域的默认访问权限改为“默认禁止”；

　　d. 然后点击“高级管理”→“访问策略”，并选取外网区域，在右边空白区域点击右键，选取“增加”：

　　e. 接下来会弹出“访问策略”对话框，源选择IP对象lihua，目的为server，服务选取ftp和http，控制方式为“允许”，连接属性设定为“长连接”，如下图所示：

　　f. 最后完整的策略如下：

　　g. 详细操作请参看DEMO演示。

　　关键词：

　　基于区域控制的访问策略：在防火墙4000中，每条访问策略都从属于某个网络区域，描述其他区域中的主机对此区域中的主机进行访问时应该如何控制；每条访问策略必定有目的、源、动作；并且在一条访问策略中对于同一个目的而言，可以有不同的源，每个源可以有不同的访问权限。

　　知识点：

　　长连接：对于普通连接而言，如果在一段时间内没有收到报文则连接超时并断开，以防止连接积累得越来越多；而长连接则不受这个限制，除非通信的一方主动拆除连接，否则连接不会被断开。此项功能主要用在某些必须一直保持在线的应用中，例如ATM机器必须和处理中心的服务器一直保持着连接，这个连接必须设置为长连接。