网神防火墙安装调试培训教材网御神州科技(北京)有限公司目录1防火墙的硬件安装及使用方法2防火墙登录管理3防火墙的功能模块的配置使用4防火墙的配置管理5网神防火墙的典型应用6网神防火墙的日常管理及故障处理百兆系列防火墙正面板图1防火墙的硬件安装及使用方法千兆正/后面板正面板图后面板图1防火墙的硬件安装及使用方法千兆正/后面板正面板图后面板图1防火墙的硬件安装及使用方法从左到右是Aux和Console,用于串口命令行登录。6个10/100/1000自适应以太网卡,依次为ge1,ge2,ge3,ge4,ge5,ge6以上六个接口可设置ip地址也可作为Mng的管理口状态灯包括电源指示灯和防火墙状态灯千兆前面板防火墙的硬件安装及使用方法机箱风扇电源开关电源插口千兆后面板防火墙的硬件安装及使用方法连接、应答灯(LINK/ACT):橙色当网线连通后,此灯为橙色且长亮;当此网卡有通信时,此灯会闪烁。网卡速度指示灯(SPEED):3种状态当网卡与10M设备相连时,此灯不亮当网卡与100M设备相连时,此灯为绿色当网卡与1000M设备相连时,此灯为深橙色千兆网卡1防火墙的硬件安装及使用方法START灯:红色,在系统启动过程中会闪烁,在对系统进行写操作时会闪烁。POWER灯:绿色,在系统通电后,此灯会常亮。注意事项:在进行故障判断时,通常会观察START灯,如果此灯在系统加电后1-3分钟内没有闪烁,可能是系统无法启动故障;或只闪烁2下,可能是系统没有完全启动。千兆电源灯1防火墙的硬件安装及使用方法目录1防火墙的硬件安装及使用方法2防火墙登录管理3防火墙的功能模块的配置使用4防火墙的配置管理5网神防火墙的典型应用6网神防火墙的日常管理及故障处理2、登录防火墙管理页面•2.1安装调试前的工作•2.2安装调试的准备工作•2.3管理方式简介•2.4登录防火墙2.1安装调试前的工作拆箱检查请安照装箱单的提示进行检查机箱内所有的配件:防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线)、串口线、安装支架、保修卡*注:如发现有问题,请及时与您的供货商进行沟通解决。2.1安装调试前的工作前期工作一、第一时间内填写保修卡的回执卡,并邮寄回网神公司,以便于成为网神公司永远服务的对象。二、在线服务网站网神信息安全网站为用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档等服务。三、进行产品注册,请您详细填写用户名、通信地址、联系电话、E-mail地址等信息,以便于将新的技术成果迅速及时的传递给您!一、接通防火墙电源,开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线,连接管理主机和防火墙的FE1网口10.50.10.45(出厂默认的地址),将管理主机的IP地址改为10.50.10.44(防火墙出厂时默认指定的管理主机IP)2.2安装调试的准备工作2.3管理方式介绍支持多种管理方式;•串口命令行管理-常用于灾难的恢复工作•Web页面管理-常用于正常管理•ssh远程管理-常用于管理调试•集中管理-方便管理•PPP远程拨号接入-专线远程拨入2.4登录防火墙A.电子钥匙认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。B.证书认证需要管理主机导入IE证书,网神防火墙证书已经存在于防火墙系统内无需导入。认证方式•安装电子钥匙驱动程序将随机光盘放入管理主机的光驱,进入随机附带的光盘的IkeyDriver目录,执行该目录下的INSTDRV,提示“退出请重新插锁”。•则表示已正确安装完网神电子钥匙的驱动程序。*注意:安装驱动程序过程中,请不要先将网神电子钥匙插入管理主机的USB口。2.4登录防火墙电子钥匙认证2.4登录防火墙点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中,XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。*注意:安装驱动程序过程中,请不要先将网神电子钥匙插入管理主机的USB口。电子钥匙认证•在管理主机上,运行随机光盘AdminAuth目录下的ikeyc程序,程序将提示用户输入PIN口令•首次使用默认PIN为“12345678”,2.4登录防火墙电子钥匙认证通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面*注:在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此,不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。2.4登录防火墙电子钥匙认证通过认证程序后,在IE中输入https://防火墙IP:8888出厂默认地址10.50.10.45,默认的用户密码firewall2.4登录防火墙电子钥匙认证2.4登录防火墙电子钥匙认证一、使用防火墙证书管理二、导入IE浏览器证书2.4登录防火墙证书认证导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书,按照提示进行安装,需要输入密码时输入“123456”,当出现导入成功后点击确定完成。证书认证2.4登录防火墙当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.50.10.45,出现选择证书提示后点击“确定”2.4登录防火墙证书认证2.4登录防火墙证书认证出现安全警报后点击“是(Y)”就会出现防火墙登录页面XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉:如下图2.4登录防火墙证书认证默认用户名密码为:admin/firewall目录1防火墙的硬件安装及使用方法2防火墙登录管理3防火墙的功能模块的配置使用4防火墙的配置管理5网神防火墙的典型应用6网神防火墙的日常管理及故障处理3防火墙界面介绍管理首页3防火墙界面介绍首页介绍在首页大家可以看到,设备信息(包括网关名称,版本,序列号,型号),网络接口(包括各网口的连接壮态等),资源状态(包括CPU,内存的利用率和当前连接数),在线管理员,最近事件(包括所有的日志信息)等信息系统配置,管理配置模块及各级子菜单3防火墙界面介绍系统配置-升级许可配置3防火墙界面介绍1点击浏览按钮选中升级文件2打开pkg文件后点击升级按钮3点击重启网关,注意不要保存配置4升级后选中要导入license文件5点击导入许可证3防火墙界面介绍系统配置-导入导出配置1点击浏览按钮2选中要导入的防火墙配置3点击导入配置按钮管理配置-添加管理主机3防火墙界面介绍1点击添加按钮添加IP地址2输入管理主机ip地址3点击确定管理配置-修改管理员账号3防火墙界面介绍1点击操作图标弹出对话框2点击修改口令方框修改口令框显示被选中3在口令中输入字符串4再次输入口令字符串确认5点击确认使修改口令生效网络配置-修改网络接口3防火墙界面介绍1点击操作图标2修改工作模式3选中支持vlan4点击确定修改生效网络配置-修改接口ip地址3防火墙界面介绍点击操作图标修改接口地址1点击添加按钮添加ip地址2添加新ip地址3添加ip地址掩码4点击确定生效网络配置-添加策略路由3防火墙界面介绍1点击添加按钮2添加目的地址及掩码3输入下一跳地址或默认网关地址4点击确定生效对象定义-添加地址列表3防火墙界面介绍1点击添加按钮增加列表2添加定义地址段3点击确定生效对象定义-添加地址组3防火墙界面介绍点击操作修改定义的地址组2将左边地址表中已定义的成员添加到地址组3点击添加按钮(符号)4查看已添加地址组成员5点击确定生效1点击添加按钮对象定义-添加服务列表3防火墙界面介绍1点击添加按钮添加服务列表对象定义-添加服务列表3防火墙界面介绍1添加名称2选中http服务协议3选中DNS服务协议4添加http服务端口号添加dns服务端口号点击确定生效对象定义-添加带宽列表3防火墙界面介绍1点击添加按钮2定义带宽1Mb3点击确定生效安全策略-包过滤规则3防火墙界面介绍1选中包过滤规则2输入ip地址3选择禁止动作安全策略-NAT规则3防火墙界面介绍1选择nat规则2输入源地址3选择服务类型4选择转换后的公网地址安全策略-IP映射规则3防火墙界面介绍1选择nat规则2输入源地址3输入外网访问地址4输入外网地址转换后的ip地址5外网映射内部服务器地址安全策略-端口映射规则3防火墙界面介绍1选择端口映射规则2输入源地址3输入外网访问地址4选择对外服务类型5输入外网地址转换后的ip地址6外网映射内部服务器地址7选择对外服务类型高可用性-HA基本配置3防火墙界面介绍1选择设置HA同步接口2选择HA同步接口地址3点击确定生效设置主防火墙为控制节点4设置自动配置同步5设置自动状态同步6设置主墙同步的ip地址7点击确定生效3防火墙界面介绍HA-VRRP实例配置1点击添加按钮2添加实例名3选择网络接口4设置优先级值5添加虚ip地址6添加地址掩码7点击添加按钮导入到右边的信息栏8点击确定生效HA-VRRP关联3防火墙界面介绍1点击添加按钮2输入关联名称3输入优先级值4选中关联列表点击》按钮导入到右边的关联信息框点击确定生效网络监控-实时监控3防火墙界面介绍1点击选择查询的协议2选择过滤的源地址及掩码3选择按连接数或流量监控4点击按钮查询结果目录1防火墙的硬件安装及使用方法2防火墙登录管理3防火墙的功能模块的配置使用4防火墙的配置管理5网神防火墙的典型应用6网神防火墙的日常管理及故障处理安全规则•包流经规则的顺序是根据:应用代理,端口映射,IP映射,过滤规则,地址转换规则中的排列顺序,谁排列在安全规则的最前面,最先执行那条规则.•增加源端口,源MAC地址,URL过滤,入网口,出网口,时间调度,长连接,P2P等选项.•包流经顺序例如如下图所示:NAT规则流入流出4防火墙的配置管理代理规则端口映射规则IP映射规则包过滤规则安全规则•源地址转换(SNAT)实现机制如下图所示:4防火墙的配置管理源地址服务端口目的地址源地址转换为业务主机发起IP发起IP要转换的某IP源地址转换为IP是目的地址可以接受的实际地址开放的服务端口对外开放服务的业务主机安全策略安全规则配置NAT规则4防火墙的配置管理安全规则•端口映射(PNAT)实现机制如下图所示:4防火墙的配置管理源地址公开地址映射为(目的地址)服务公开地址业务主机发起IP发起IP要转换的某IP(如果不做源地址转换就属于单向地址转换)源地址转换为IP是目的地址可以接受的对外开放服务的业务主机源地址转换后要访问地址公开地址是源地址可以接受的源地址转换为服务发起IP要访问的服务端口目的地址开放的服务端口安全策略安全规则配置端口映射4防火墙的配置管理安全规则•IP映射(DNAT)实现机制如下图所示:4防火墙的配置管理源地址公开地址映射为(目的地址)公开地址业务主机发起IP发起IP要转换的某IP源地址转换为IP是目的地址可以接受的对外开放服务的业务主机源地址转换后要访问地址公开地址是源地址可以接受的源地址转换为安全策略安全规则配置IP映射4防火墙的配置管理安全策略安全规则配置包过滤4防火墙的配置管理•串口命令行命令介绍•sysinfodisp(显示系统信息防火墙序列号、版本号)•sysipdisp(显示所有网络端口的ip)•sysipaddge31.1.1.1255.255.255.0adminonpingon(设定fe3的ip为1.1.1.1/255.255.255.0网口启用允许web管理、ping)•mnghostdisp(查看管理主机ip)•mnghostadd192.168.0.1(添加一个地址为192.168.0.1的管理主机)•syscfgsave(防火墙配置保存)•mngacctunlock
本文标题:网神防火墙配置指导
链接地址:https://www.777doc.com/doc-4310434 .html