东软NetEye防火墙快速向导-FW5200系列

ITSOLUTIONS&SERVICES东软NetEye防火墙快速向导FW5200系列东软NetEye——您可信赖的网络安全专家东软NetEye防火墙快速向导FW5200系列1版权所有本软件和相关文档的版权归沈阳东软系统集成工程有限公司所有，任何侵犯版权的行为都将被追究法律责任。未经版权所有者的书面许可，不得将本软件的任何部分或全部及其用户手册以任何形式、采用任何手段(电子的或机械的，包括照相复制或录制)、为任何目的，进行复制或传播。Copyright©2001-2009沈阳东软系统集成工程有限公司。所有权利保留，侵权必究。沈阳东软系统集成工程有限公司不对因使用本软件及其用户手册所造成的任何损失承担任何责任。免责声明由于产品版本升级或其他原因，本向导内容可能不定期更新，恕不另行通知。沈阳东软系统集成工程有限公司不对本向导中的遗漏、不准确、或错误导致的损失和损害承担责任。在使用本产品以前，请您仔细阅读本向导及相关使用指南，因您不当操作所带来的各种损失，本公司概不承担赔偿责任。文档简介《东软NetEye防火墙快速向导―FW5200系列》主要介绍了东软NetEye防火墙FW5200系列（以下简称防火墙）的主要功能特性、硬件特性及防火墙的安装、配置和维护。在安装防火墙前及安装过程中，为避免可能出现的设备损坏和人身伤害，请仔细阅读本向导。本向导主要由以下几部分组成：„第1章，NetEye防火墙特性介绍。„第2章，防火墙的硬件结构。„第3章，防火墙的安装与连接，介绍防火墙对安装环境的要求、安装注意事项、防火墙的安装方法、电源连接方法以及各接口的连接方法。„第4章，防火墙的启动和配置，介绍如何启动防火墙、如何登录防火墙、首次使用防火墙的相关注意事项等内容。„第5章，局限性。„附录A,常见故障。列举了防火墙的一些常见故障以及可能的原因。2东软NetEye防火墙快速向导FW5200系列针对用户类型本向导主要为负责安装和配置NetEye防火墙的技术人员编写，要求读者具有一定的网络基础知识，并熟知局域网和广域网的相关术语及概念。相关文档除本快速向导，防火墙管理员还可获得产品附带的以下文档：„东软NetEye防火墙软件用户使用指南„东软NetEye防火墙软件命令参考手册„东软NetEye安全集中管理平台用户使用指南图标说明警告告知防火墙管理员可能由于物质危险造成身体伤害，或者由于设备损坏造成结构损害，比如房间结构或存放设备地处所结构。注意告知防火墙管理员可能会发生的潜在设备损坏和设备故障、性能下降、数据丢失或服务中断。提示告知防火墙管理员应注意的事项。环境保护本产品的存放、使用和弃置应遵照相关国家法律、法规要求进行。东软NetEye——您可信赖的网络安全专家东软NetEye防火墙快速向导FW5200系列3目录第1章NetEye防火墙特性介绍..............................51.1功能特性.................................................51.2物理特性.................................................7第2章防火墙的硬件结构......................................112.1FW5200-G系列.......................................112.2FW5200-S系列.......................................13第3章防火墙的安装与连接...................................193.1安装前的准备............................................193.2防火墙主机的安装......................................203.3连接防火墙..............................................21第4章防火墙的启动和配置...................................274.1初始配置过程............................................274.2其他配置.................................................34第5章局限性....................................................37附录A常见故障..................................................394东软NetEye防火墙快速向导FW5200系列东软NetEye——您可信赖的网络安全专家东软NetEye防火墙快速向导FW5200系列5第1章NetEye防火墙特性介绍1.1功能特性1.提供每秒数G流量的处理能力，对不同网络或安全域之间的数据流进行安全访问控制。2.支持多种管理方式，包括以WebUI、SSH、Telnet、Console方式管理防火墙系统。3.支持远程认证服务。防火墙可作为Radius客户端，使用Radius服务器提供的认证服务，对管理用户、WebAuth用户与VPN用户进行远程认证，还可以通过Radius服务器实现对WebAuth用户与VPN用户的计费功能。4.支持虚拟系统。一台防火墙可以被逻辑地划分成多个虚拟防火墙，每个虚拟防火墙拥有自己的管理员、审计员、安全策略等。5.支持在同一个系统上实现交换机和路由器的功能，并使网络中交换的数据能够得到有效的安全控制，相当于一个系统包含了一个路由器和多个与路由器相连的交换机。6.支持虚拟局域网。可以将一个物理网络逻辑划分成不同的广播域。支持基于802.1Q协议的Trunk封装。7.支持策略路由，可通过设置一些限定条件来决定哪些数据包使用特定的静态路由表进行路由，包括入口接口、源IP地址、协议、目的端口等。8.支持会话级的负载均衡，可根据下一跳路由设备的性能等因素为其设置适当的权重，来将数据包合理地分流。9.支持IP包过滤。可以设置入口、出口、源IP地址、目的IP地址、协议和时间等限定条件，来对IP数据包进行控制。10.支持非IP包过滤。可以设置入口、出口、源MAC地址、目的MAC地址、协议和时间等限定条件，来对非IP数据包进行控制。11.支持信任地址策略。限制某些IP或MAC地址的数据包只能从某个安全域到达防火墙，或限制某些安全域拒绝接收某些IP或MAC地址发来的数据包。12.支持IP-MAC地址绑定功能，防止IP盗用和IP欺骗的发生。13.支持动态主机配置协议，可以为客户端自动分配IP地址、子网掩码以及网关、DNS服务器的IP地址等TCP/IP参数。14.支持对DNS服务器IP地址的设置功能，昀多可以设置三个DNS服务器，包括主DNS服务器、第一备选DNS服务器和第二备选DNS服务器。NetEye防火墙特性介绍6东软NetEye防火墙快速向导FW5200系列15.支持在DNS规则中设置域名的替换，防火墙将把域名所对应的外部IP地址转换为NAT规则中的内部IP地址。16.支持多播访问控制。可以设置源IP地址、多播组地址、入口安全域和出口安全域等限定条件，来决定多播数据包能否被防火墙转发，实现对网络多播数据流的安全控制。17.支持IGMPSnooping，提高数据转发效率。可以监听IGMP成员报告消息，在VLAN内维护多播组地址和VLAN内出口接口之间的转发表，使用转发表来转发VLAN内的多播数据包。18.支持DVMRP协议。可以监听IGMP、DVMRP协议报文，在Vsys内维护多播路由表、进行多播数据包的转发以及维护多播树。19.支持策略NAT，只有数据包中的相关信息符合策略规则中的匹配条件时，防火墙才执行地址转换。匹配条件主要包括某个特定的IP或者IP地址段、某个特定的端口。20.支持基于NAT的负载均衡。通过负载均衡技术来实现数据包的目的IP地址被合理的转换成多个内网服务器的地址。21.支持对安全域内部的数据和安全域之间的传输数据进行检测和防御，包括探测防御、拒绝服务攻击防御和可疑数据包检测与防御。22.支持双机热备功能。可以对两台防火墙之间的部分配置信息和动态运行信息进行同步工作，当主设备发生故障时，备份设备接管主设备的工作，并成为新的主设备。23.支持互联网协议安全（IPSec），主要包含两个安全协议和一个密钥管理协议，分别是AH协议，ESP协议和IKE协议。24.支持两种IPSecVPN接入方式，包括网段到网段的IPSecVPN和远程访问的IPSecVPN。25.支持两种IPSecVPN认证方式，包括预共享密钥和数字证书认证。26.支持两种IPSecVPN数据流控制方式，包括基于策略的VPN和基于路由的VPN。支持L2TPoverIPSec和NAT穿越。27.支持在一台防火墙同时安装两个不同版本的防火墙系统。防火墙管理员能够切换到不同版本的防火墙系统，还可以对防火墙系统进行安装和删除操作。28.支持无缝升级。防火墙升级后的版本可以继承当前版本的license和配置。升级后防火墙可以直接使用。29.支持对防火墙系统进行更新操作，并支持将防火墙系统回退到某次更新之前的状态。东软NetEye——您可信赖的网络安全专家东软NetEye防火墙快速向导FW5200系列730.支持对接口、HA状态、路由、DNS、DHCP、ARP表、CAM表、会话表、系统利用率、系统健康度、多播、系统日志以及VPN隧道等信息进行监控。31.支持SNMP协议，防火墙可作为被管设备接受管理站的访问，允许管理站查询防火墙的状态信息。支持SNMP协议版本包括SNMPv1、SNMPv2和SNMPv3。32.支持将系统日志存储于本地存储介质上，同时也可以将系统日志通过数据载体（Syslog、Email、SNMPTrap）发送给远程服务器，供防火墙管理员进行网络审计，并且可以在硬盘和CF卡之间复制日志信息。33.支持安全集中管理（SecurityCentralizedManagement，SCM），SCMServer集成在NetEye防火墙中，通过SCMConsole可以对网络中的东软NetEye系列防火墙提供集中的安全情况审计、监控、生成报表等功能。1.2物理特性FW5200-GI/II规格参数如表1所示。表1FW5200-GI/II规格参数固定接口6个千兆网卡接口可扩展模块NNCB-2-1000T：双电口千兆扩展网卡模块NNCB-4-1000T：四电口千兆扩展网卡模块NNCB-2-1000G：双口千兆SFP扩展网卡模块NNCB-4-1000G：四口千兆SFP扩展网卡模块终端管理接口1个RJ-45接口输入电源AC：100～240V50～60Hz4ADC：-36～-72V12A(-48V)工作温度5～40℃工作湿度20%～90%NetEye防火墙特性介绍8东软NetEye防火墙快速向导FW5200系列FW5200-SI/II规格参数如表2所示。存储温度0～70℃存储湿度5%～95%外形尺寸（宽×深×高）428.6mm×255mm×44mm表2FW5200-SI/II规格参数固定接口4个千兆网卡接口2个SFP接口可扩展模块NNCC-2-1000T：双电口千兆扩展网卡模块NNCC-4-1000T：四电口千兆扩展网卡模块NNCC-2-1000G：双口千兆SFP扩展网卡模块NNCC-4-1000G：四口千兆SFP扩展网卡模块终端管理接口1个RJ-45接口输入电源AC：90～264VDC：-36～-72V12A(-48V)工作温度5～40℃工作湿度20%～90%存储温度0～70℃表1FW5200-GI/II规格参数东软NetEye——您可信赖的网络安全专家东软NetEye防火墙快速向导FW5200系列9存储湿度5%～95%外形尺寸（宽×深×高）443mm×406mm×88mmFW5200-SIII规格参数如表3所示。表3