网御神州防火墙安装调试培训

网御神州科技有限公司网御神州防火墙安装调试培训目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理1、登录防火墙管理页面•1.1安装调试前的工作•1.2安装调试的准备工作•1.3管理方式简介•1.4登录防火墙1.1安装调试前的工作拆箱检查请安照装箱单的提示进行检查机箱内所有的配件：防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线）、串口线、安装支架、保修卡*注：如发现有问题，请及时与您的供货商进行沟通解决。1.1安装调试前的工作前期工作一、第一时间内填写保修卡的回执卡，并邮寄回网神公司，以便于成为网神公司永远服务的对象。二、在线服务网站网神信息安全网站为用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档等服务。三、进行产品注册，请您详细填写用户名、通信地址、联系电话、E－mail地址等信息，以便于将新的技术成果迅速及时的传递给您！一、接通防火墙电源，开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线，连接管理主机和防火墙的FE1网口10.50.10.45(出厂默认的地址),将管理主机的IP地址改为10.50.10.44（防火墙出厂时默认指定的管理主机IP）1.2安装调试的准备工作1.3管理方式介绍支持多种管理方式；•串口命令行管理-常用于灾难的恢复工作•Web页面管理-常用于正常管理•ssh远程管理-常用于管理调试•集中管理-方便管理•PPP远程拨号接入-专线远程拨入1.4登录防火墙A.电子钥匙认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。B.证书认证需要管理主机导入IE证书，网神防火墙证书已经存在于防火墙系统内无需导入。认证方式•安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的IkeyDriver目录，执行该目录下的INSTDRV，提示“退出请重新插锁”。•则表示已正确安装完网神电子钥匙的驱动程序。*注意：安装驱动程序过程中，请不要先将网神电子钥匙插入管理主机的USB口。1.4登录防火墙电子钥匙认证1.4登录防火墙点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。*注意：安装驱动程序过程中，请不要先将网神电子钥匙插入管理主机的USB口。电子钥匙认证•在管理主机上，运行随机光盘AdminAuth目录下的ikeyc程序,程序将提示用户输入PIN口令•首次使用默认PIN为“12345678”，1.4登录防火墙电子钥匙认证通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面*注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。1.4登录防火墙电子钥匙认证通过认证程序后，在IE中输入https://防火墙IP:8888出厂默认地址10.50.10.45，默认的用户密码firewall1.4登录防火墙电子钥匙认证1.4登录防火墙电子钥匙认证一、使用防火墙证书管理二、导入IE浏览器证书1.4登录防火墙证书认证导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“123456”，当出现导入成功后点击确定完成。证书认证1.4登录防火墙当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.50.10.45,出现选择证书提示后点击“确定”1.4登录防火墙证书认证1.4登录防火墙证书认证出现安全警报后点击“是(Y)”就会出现防火墙登录页面XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉：如下图1.4登录防火墙证书认证默认用户名密码为:admin/firewall目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理2防火墙界面介绍管理首页2防火墙界面介绍首页介绍在首页大家可以看到,设备信息(包括网关名称,版本,序列号,型号),网络接口(包括各网口的连接壮态等),资源状态(包括CPU,内存的利用率和当前连接数),在线管理员,最近事件(包括所有的日志信息)等信息系统配置,管理配置模块及各级子菜单2防火墙界面介绍系统配置－升级许可配置2防火墙界面介绍1点击浏览按钮选中升级文件2打开pkg文件后点击升级按钮3点击重启网关，注意不要保存配置4升级后选中要导入license文件5点击导入许可证2防火墙界面介绍系统配置－导入导出配置1点击浏览按钮2选中要导入的防火墙配置3点击导入配置按钮管理配置－添加管理主机2防火墙界面介绍1点击添加按钮添加IP地址2输入管理主机ip地址3点击确定管理配置－修改管理员账号2防火墙界面介绍1点击操作图标弹出对话框2点击修改口令方框修改口令框显示被选中3在口令中输入字符串4再次输入口令字符串确认5点击确认使修改口令生效网络配置－修改网络接口2防火墙界面介绍1点击操作图标2修改工作模式3选中支持vlan4点击确定修改生效网络配置－修改接口ip地址2防火墙界面介绍点击操作图标修改接口地址1点击添加按钮添加ip地址2添加新ip地址3添加ip地址掩码4点击确定生效网络配置－添加策略路由2防火墙界面介绍1点击添加按钮2添加目的地址及掩码3输入下一跳地址或默认网关地址4点击确定生效对象定义－添加地址列表2防火墙界面介绍1点击添加按钮增加列表2添加定义地址段3点击确定生效对象定义－添加地址组2防火墙界面介绍点击操作修改定义的地址组2将左边地址表中已定义的成员添加到地址组3点击添加按钮（符号）4查看已添加地址组成员5点击确定生效1点击添加按钮对象定义－添加服务列表2防火墙界面介绍1点击添加按钮添加服务列表对象定义－添加服务列表2防火墙界面介绍1添加名称2选中http服务协议3选中DNS服务协议4添加http服务端口号添加dns服务端口号点击确定生效对象定义－添加带宽列表2防火墙界面介绍1点击添加按钮2定义带宽1Mb3点击确定生效安全策略－包过滤规则2防火墙界面介绍1选中包过滤规则2输入ip地址3选择禁止动作安全策略－NAT规则2防火墙界面介绍1选择nat规则2输入源地址3选择服务类型4选择转换后的公网地址安全策略－IP映射规则2防火墙界面介绍1选择nat规则2输入源地址3输入外网访问地址4输入外网地址转换后的ip地址5外网映射内部服务器地址安全策略－端口映射规则2防火墙界面介绍1选择端口映射规则2输入源地址3输入外网访问地址4选择对外服务类型5输入外网地址转换后的ip地址6外网映射内部服务器地址7选择对外服务类型高可用性－HA基本配置2防火墙界面介绍1选择设置HA同步接口2选择HA同步接口地址3点击确定生效设置主防火墙为控制节点4设置自动配置同步5设置自动状态同步6设置主墙同步的ip地址7点击确定生效2防火墙界面介绍HA－VRRP实例配置1点击添加按钮2添加实例名3选择网络接口4设置优先级值5添加虚ip地址6添加地址掩码7点击添加按钮导入到右边的信息栏8点击确定生效HA－VRRP关联2防火墙界面介绍1点击添加按钮2输入关联名称3输入优先级值4选中关联列表点击》按钮导入到右边的关联信息框点击确定生效网络监控－实时监控2防火墙界面介绍1点击选择查询的协议2选择过滤的源地址及掩码3选择按连接数或流量监控4点击按钮查询结果目录1防火墙登录管理2防火墙的功能模块的配置使用3防火墙的配置管理安全规则•包流经规则的顺序是根据：应用代理，端口映射，IP映射，过滤规则，地址转换规则中的排列顺序,谁排列在安全规则的最前面,最先执行那条规则.•增加源端口，源MAC地址，URL过滤，入网口，出网口，时间调度，长连接,P2P等选项.•包流经顺序例如如下图所示:NAT规则流入流出3防火墙的配置管理代理规则端口映射规则IP映射规则包过滤规则1.安全规则概述2.包过滤3.NAT4.IP映射5.端口映射3防火墙的配置管理1安全规则概述1.防火墙根据网络环境应用的不同，分为：(1)包过滤(2)NAT(3)端口映射(4)IP映射(5)代理2.防火墙安全规则默认下是禁止所有通信3.网络所有通信都要通过安全规则来控制2包过滤包过滤规则右图拓扑是典型的网络环境。内网有两个网段，内网1访问内网2一般采用普通的包过滤规则，内网访问外网，则采用NAT规则。本案例主要讲解包过滤规则Internet内网1192.168.10.0/24Gw:192.168.10.1fe2:192.168.10.1/24fe1:221.221.10.5/24Gw:221.221.10.1Fe3：172.21.10.1/24172.21.10.0/24Gw:172.21.10.1内网22包过滤配置方法：•定义接口IP•定义安全规则2包过滤•定义接口IP进入防火墙的web界面：网络配置-〉接口IP，点击添加，如图设置fe1，fe2，fe3的IP地址2包过滤•定义安全规则进入防火墙的web界面：安全策略-〉安全规则，添加一条内网1访问内网2的包过滤规则3NATInternet内网192.168.10.0/24Gw:192.168.10.1fe2:192.168.10.1/24fe1:221.221.10.5/24Gw:221.221.10.1NAT规则右图是典型的内网访问外网的拓扑。内网通过防火墙NAT规则后，内网地址被转换为外网地址221.221.10.53NAT配置方法：•定义接口IP•定义策略路由•定义安全规则3NAT•定义接口IP进入防火墙的web界面：网络配置-〉接口IP，点击添加，如图设置fe1，fe2的IP地址3NAT•定义策略路由进入防火墙web界面：网络配置-〉策略路由，点击添加，如图设置3NAT•定义安全规则近进入防火墙web界面：安全策略-〉安全规则，点击添加，如图设置4IP映射InternetServer/pc192.168.10.2/24Gw:192.168.10.1fe2:192.168.10.1/24fe1:221.221.10.5/24Gw:221.221.10.1IP映射此案例拓扑是典型的内网一台pc或者server被映射到公网，外网只能看到它的公网地址，无法知道它在网络中实际地址，通过防火墙IP映射规则后真正掩盖它的实际地址，即达到pc的所有服务和功能映射到公网，又保证了pc的安全性4IP映射配置方法：•定义接口属性•定义策略路由•定义安全规则4IP映射•定义接口属性进入防火墙web界面：网络配置-接口IP，点击添加，如图设置4IP映射•定义策略路由进入防火墙web界面：网络配置-〉策略路由，点击添加，如图设置4IP映射•定义安全规则进入防火墙web界面：安全策略-〉安全规则，点击添加，如图设置5端口映射InternetFTPserver192.168.10.2/24Gw:192.168.10.1fe2:192.168.10.1/24fe1:221.221.10.5/24Gw:221.221.10.1端口映射此案例拓扑是典型的内网一台server被映射到公网，外网只能看到它的公网地址，无法知道它在网络中实际地址，通过防火墙端口映射规则后真正掩盖它的实际地址，即达到pc的FTP服务映射到公网，又保证了server的安全性。它与IP映射不同之处就是：端口映射只是把某一种服务映射到外网；而IP映射是把整个pc映射到外网，相当于把一个pc放置在公网5端口映射配置方法：•定义接口属性•定义策略路由•定义安全规则5端口映射•定义接口属性进入防火墙web界面：网络配置-接口IP，点击添加，如