搜索
1联想网御强五防火墙安装调试培训目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙常用串口命令4防火墙产品的典型应用5防火墙产品的日常管理及故障处理目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙常用串口命令4防火墙产品的典型应用5防火墙产品的日常管理及故障处理登录防火墙管理页面•1.1安装调试前的工作•1.2安装调试的准备工作•1.3管理方式简介•1.4登录防火墙1.1安装调试前的工作拆箱检查请安照装箱单的提示进行检查机箱内所有的配件:防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线)、串口线、安装支架、保修卡*注:如发现有问题,请及时与你的供货商进行沟通解决。1.1安装调试前的工作一、第一时间内填写保修卡的回执卡,并邮寄回联想公司,以便于成为联想公司永远服务的对象。二、在线服务网站联想信息安全网站为用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档,并且提供在线问答等特色服务。三、进行产品注册,请您详细填写用户名、通信地址、联系电话、E-mail地址等信息,以便于将新的技术成果迅速及时的传递给您!一、接通防火墙电源,开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线,连接管理主机和防火墙的FE1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP)1.2安装调试的准备工作1.3管理方式介绍支持多种管理方式:•串口命令行管理-常用于灾难的恢复工作•Web页面管理-常用于正常管理•ssh远程管理-常用于管理调试•集中管理-方便管理•PPP远程拨号接入-专线远程拨入1.4登录防火墙A.电子钥匙认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。B.证书认证需要导入IE证书,和防火墙证书(IE证书与防火墙证书要一一对应,防火墙证书支持页面与串口两种方式。认证方式•安装电子钥匙驱动程序将随机光盘放入管理主机的光驱,进入随机附带的光盘的key目录,执行该目录下的INSTDRV,提示“退出请重新插锁”。•则表示已正确安装完网御电子钥匙的驱动程序。*注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。1.4登录防火墙电子钥匙认证1.4登录防火墙点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中,XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。*注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口电子钥匙认证•在管理主机上,运行随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令•首次使用默认PIN为“12345678”,1.4登录防火墙电子钥匙认证通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面*注:在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此,不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。1.4登录防火墙电子钥匙认证通过认证程序后,在IE中输入https://防火墙IP:8888出厂默认地址10.1.5.254,默认的用户密码administrator1.4登录防火墙电子钥匙认证1.4登录防火墙电子钥匙认证一、使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。二、导入IE浏览器证书。1.4登录防火墙证书认证首先以电子钥匙方式登录到防火墙,进入“系统配置”—“管理配置”—“管理员证书”--管理员证书模块中选择浏览,在本地计算机文件夹中选择ca.pem、fw.pem、fwkey.pem分别对应防火墙的中的CA中心证书、安全网关证书、安全网关密钥。点击“导入”。然后在本地计算机文件夹中再选择administrator.pem对应防火墙的中的管理员证书,点击“导入”1.4登录防火墙证书认证1.4登录防火墙证书认证导入证书后选择生效选项保存配置证书生效1.4登录防火墙证书认证最后在首页点击保存导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书,按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。证书认证1.4登录防火墙当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.1.5.254,出现选择证书提示后点击“确定”1.4登录防火墙证书认证1.4登录防火墙证书认证出现安全警报后点击“是(Y)”就会出现防火墙登录页面XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉:如下图1.4登录防火墙证书认证用户名密码为:administrator/administrator目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的常用串口命令4防火墙产品的典型应用5防火墙产品的日常管理及故障处理2防火墙界面介绍管理首页各级子菜单2防火墙界面介绍管理配置-管理主机2防火墙界面介绍管理方式设定2防火墙界面介绍网络配置2防火墙界面介绍物理设备2防火墙界面介绍网桥设备2防火墙界面介绍网桥设备2防火墙界面介绍域名服务器2防火墙界面介绍静态路由2防火墙界面介绍HA双机热备2防火墙界面介绍HA探测网口2防火墙界面介绍连接管理2防火墙界面介绍连接规则2防火墙界面介绍连接状态2防火墙界面介绍连接排行2防火墙界面介绍安全规则•包流经规则的顺序:应用代理,端口映射,IP映射,过滤规则,地址转换•增加源端口,源MAC地址,URL过滤,网页关键字过滤,入网口,出网口,时间调度,长连接等选项3防火墙的配置管理安全选项2防火墙界面介绍默认全通/全禁包过滤规则2防火墙界面介绍包过滤3防火墙的配置管理端口映射3防火墙的配置管理IP映射3防火墙的配置管理注意:如果源地址包含管理主机,公开地址是防火墙的管理IP,该管理主机将不能管理防火墙。如果取消选中,既能通过公开地址和端口访问内部服务器,也可以直接访问服务器;如果选中,只能通过公开地址和端口访问内部服务器。源端口可以用英文逗号分割表示多个端口,或用英文冒号分割表示端口段注意:下一条IP映射规则,如果没有选择“包过滤缺省策略通过”,还必须再下一条相应的包过滤规则才能生效。方法如下:包过滤规则的源地址是IP映射规则的源地址,包过滤规则的目的地址是IP映射规则的内部地址。端口映射3防火墙的配置管理NAT3防火墙的配置管理注意:设置一条NAT规则,必须再设置一条相应的包过滤规则才能生效。NAT规则2防火墙界面介绍代理服务2防火墙界面介绍地址列表定义2防火墙界面介绍定义域名地址2防火墙界面介绍定义地址组2防火墙界面介绍定义地址池2防火墙界面介绍定义服务器地址2防火墙界面介绍定义服务2防火墙界面介绍定义动态服务2防火墙界面介绍定义基本服务2防火墙界面介绍定义服务组2防火墙界面介绍系统监控2防火墙界面介绍系统监控2防火墙界面介绍多默认路由均衡多默认路由均衡功能主要是对各路由网关的可连通性进行实时监测,并提供给内核路由表,以供系统作出合理的路由选择。对每个路由可以设定权重,设置可以依据该由的处理能力或路由的繁忙程度等。当新建连接与已建立连接的源IP或目的IP不同时,将设计所权重选择默认路由。亮点功能2防火墙界面介绍多默认路由均衡亮点功能2防火墙界面介绍更多协议支持集中管理支持SnmpV3及需要填写参数。亮点功能2防火墙界面介绍SnmpV1/V2C/V3设置亮点功能2防火墙界面介绍SIP协议SIP(SessionInitiationProtocol)是由IETF定义,基于IP的一个应用层控制协议。常用于视频会议、语音能话、共享白板、游戏会话、应用共享、桌面共享、文件传输等应用的协议族。它与H.323协议族类似。它有两种工作模式,我们建议用户使用代理模式。本版防火墙支持对SIP协议的源地址转换,端口/IP映射。亮点功能2防火墙界面介绍蠕虫过滤系统预先定义好NIMDA(或者其他防火墙支持的蠕虫)的攻击特征。在用户操作界面上,用户可以先择或停用过滤NIDMA(或者其他防火墙支持的蠕虫)蠕虫攻击包的功能。系统根据蠕虫特征模式,检测网络数据包。一旦发现符合特征的数据包,则禁止该网络数据包通过。亮点功能2防火墙界面介绍P2P过滤P2P,英文Peer-to-Peer的缩写,中译为对等互联或点对点技术。P2P技术可以让用户可以直接连接到其他用户的计算机,进行文件共享与交换,同时P2P在深度搜索、分布计算、协同工作等方面也大有用途。简单地说,P2P就是一种用于不同PC用户之间,不经过中继设备直接交换数据或服务的技术,它允许Internet用户直接使用对方的文件。每个人可以直接连接到其他用户的计算机,并进行文件的交换,而不需要连接到服务器上再进行浏览与下载。软件有BT、Edonkey、emule亮点功能2防火墙界面介绍命令批处理将原有的界面调用后台命令行的日志记录,按一定的格式显示在界面上,用户可以拷贝这些命令行,在此基础上修改添加,可加入用时延时、注释、生成自己的命令行批处理文件,交提交后以批处理执行。常用于多台防火墙重复配置工作。亮点功能2防火墙界面介绍命令批处理目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的常用串口命令4防火墙产品的典型应用5防火墙产品的日常管理及故障处理•使用随机所附的串口线(兰),将防火墙的console与一台装有超级终端的个人计算机的串口连接起来。•设置超级终端的波特率:9600;数据位:8;奇偶校验:无;停止位:1;流量控制:硬件/无•登录用户名密码:administrator串口命令行命令介绍登录介绍•acsystemshow(显示系统信息防火墙序列号、版本号)•acinterfaceshowall(显示所有网络端口的ip)•acinterfacesetphyiffe3ip1.1.1.1netmask255.255.255.0activeonadminonpingon(设定fe3的ip为1.1.1.1,网口启用允许web管理、ping)•acadmhostshow(查看管理主机ip)•acadmhostaddip192.168.0.1(添加一个地为192.168.0.1的管理主机)•acconfigsave(防火墙配置保存)串口命令行命令介绍•用户名:dump;密码:dump;通过“?”命令查看可用命令•Tcpdump命令使用参数如下:•tcpdump[-Cfile_size][-Ffile][-iinterface][-rfile][-Ttype][-wfile][-Ealgo:secret][expression]串口命令行抓包命令介绍参数介绍-ieth2表示在fe3口上抓包host1.1.1.1表示抓发往或源自1.1.1.1主机的包tcp(udp)表示抓tcp包或udp包port80表示抓80端口的包and表示“与”or表示“或”not表示“非”一个例子tcpdump–ieth2host1.1.1.1andtcpandport80andvlan表示从fe3口上抓源自或发往1.1.1.1主机的TCP80端口的,还未解vlan标志的包注:凡从交换机trunk进入墙的包,均使用vlan参数抓包,从墙出去进入交换机trunk口的包,均使用notvlan参数tcpdump(host1.1.1.1orhost2.2.2.2)andnotudp表示抓源自或发往1.1.1.1或2.2.2.2且不是udp的数据包目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处