网神防火墙安装调试培训教材.ppt

防火墙安装调试培训教材,网御神州科技(北京)有限公司 北方大区 曾品 MPE_Mail:,目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙的配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,1防火墙的硬件安装及使用方法,SecGate 3600-G4（SJW-79） 产品外观,1防火墙的硬件安装及使用方法,千兆前面板,从左到右是Aux和Console，用于串口命令行登录和远程支持PPP接入。,POWER：电源指示灯 START：读写状态指示灯 防火墙启动时，两个灯全部亮起，启动后，依照各自的作用分时亮。,6个标准10/100/1000MBase-TX(RJ45)接口，从左到右依次为Ge1，Ge2，Ge3，Ge4,Ge5,Ge6,规格与电气指数,1防火墙的硬件安装及使用方法,千兆正/后面板,正面板图,后面板图,1防火墙的硬件安装及使用方法,从左到右是Console和Aux，用于串口命令行登录。,4个10/100/1000自适应以太网卡，依次为ge1，ge2，ge3,ge4,可插拔光纤插槽,千兆前面板,防火墙的硬件安装及使用方法,连接、应答灯( LINK/ACT ): 绿色 当网线连通后，此灯为绿色且长亮； 当此网卡有通信时，此灯会闪烁。 网卡速度指示灯( SPEED ): 3种状态 当网卡与10M设备相连时，此灯不亮 当网卡与100M设备相连时，此灯为绿色 当网卡与1000M设备相连时，此灯为黄色,千兆网卡,1防火墙的硬件安装及使用方法,START灯: 红色，在系统启动过程中会闪烁，在对系统进行写操作时会闪烁。 POWER灯: 绿色，在系统通电后，此灯会常亮。 注意事项: 在进行故障判断时，通常会观察START灯，如果此灯在系统加电后1-3分钟内没有闪烁，可能是系统无法启动故障；或只闪烁2下，可能是系统没有完全启动。,千兆电源灯,1防火墙的硬件安装及使用方法,规格与电气指数,1防火墙的硬件安装及使用方法,目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,2、登录防火墙管理页面,2.1 安装调试前的工作 2.2 安装调试的准备工作 2.3 管理方式简介 2.4 登录防火墙,2.1安装调试前的工作,拆箱检查,请安照装箱单的提示进行检查机箱内所有的配件： 防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线）、串口线、安装支架、保修卡 *注：如发现有问题，请及时与你的供货商进行沟通解决。,2.1安装调试前的工作,前期工作,一、第一时间内填写保修卡的回执卡，并邮寄回网神公司，以便于成为网神公司永远服务的对象。 二、在线服务网站 网神信息安全网站为用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档，并且提供在线问答等特色服务。 三、进行产品注册，请您详细填写用户名、通信地址、联系电话、Email地址等信息，以便于将新的技术成果迅速及时的传递给您！,一、接通防火墙电源，开启防火墙(听到“滴滴滴) 后防火墙启动完成) 二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为Window98/2000/XP/2003(暂不支持linux、unix) 三、使用随机提供的交叉线，连接管理主机和防火墙的FE1网口4(出厂默认的地址),将管理主机的IP地址改为5（防火墙出厂时默认指定的管理主机IP）,2.2安装调试的准备工作,2.3管理方式介绍,支持多种管理方式； 串口命令行管理-常用于灾难的恢复工作 Web页面管理-常用于正常管理 ssh远程管理-常用于管理调试 集中管理-方便管理 PPP远程拨号接入-专线远程拨入,2.4登录防火墙,A.电子钥匙认证 需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。 B.证书认证 需要导入IE证书，和防火墙证书(IE证书与防火墙证书要一一对应，防火墙证书支持页面与串口两种方式。,认证方式,安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的Ikey Driver目录， 执行该目录下的INSTDRV，提示“退出请重新插锁”。 则表示已正确安装完网御电子钥匙的驱动程序。,*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。,2.4登录防火墙,电子钥匙认证,2.4登录防火墙,点击“退出请重新插锁”后装电子钥匙插入管理主机USB接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。,*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。,电子钥匙认证,在管理主机上，运行随机光盘Admin Auth目录下的ikeyc 程序, 程序将提示用户输入PIN口令 首次使用默认PIN为“123456”，,2.4登录防火墙,电子钥匙认证,通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面,*注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。,2.4登录防火墙,电子钥匙认证,通过认证程序后，在IE中输入https:/防火墙IP:8888出厂默认地址5，默认的用户密码firewall,2.4登录防火墙,电子钥匙认证,2.4登录防火墙,电子钥匙认证,一、 使用防火墙证书管理 二、 导入IE浏览器证书,2.4登录防火墙,证书认证,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“123456”，当出现导入成功后点击确定完成。,证书认证,2.4登录防火墙,当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入https:/防火墙ip:8889出厂默认IP为5,出现选择证书提示后点击“确定”,2.4登录防火墙,证书认证,2.4登录防火墙,证书认证,出现安全警报后点击“是（Y)”就会出现防火墙登录页面,XP系统请确认IE浏览器中internet选项-隐私选项-中的阻止弹出窗口选取去掉：如下图,2.4登录防火墙,证书认证,用户名密码为:admin/firewall,目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙的配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,3防火墙界面介绍,管理首页,各级子菜单,3防火墙界面介绍,导入LICENSE,3防火墙界面介绍,管理配置-管理主机,3防火墙界面介绍,管理方式设定,3防火墙界面介绍,与IDS联动设置,3防火墙界面介绍,网络配置,3防火墙界面介绍,物理设备,3防火墙界面介绍,这里可以设定是否被管理，是否可以PING，等功能。,接口设置主界面,3防火墙界面介绍,域名服务器,3防火墙界面介绍,静态路由,3防火墙界面介绍,HA双机热备,3防火墙界面介绍,安全选项,3防火墙界面介绍,包过滤规则,3防火墙界面介绍,端口映射规则,3防火墙界面介绍,IP映射规则,3防火墙界面介绍,NAT规则,3防火墙界面介绍,代理服务,3防火墙界面介绍,地址绑定,3防火墙界面介绍,抗攻击,3防火墙界面介绍,定义地址列表,3防火墙界面介绍,定义地址组,3防火墙界面介绍,定义地址池,3防火墙界面介绍,定义服务器地址,3防火墙界面介绍,定义服务,3防火墙界面介绍,定义动态服务,3防火墙界面介绍,ICMP服务,3防火墙界面介绍,定义基本服务,3防火墙界面介绍,定义服务组,3防火墙界面介绍,系统监控,3防火墙界面介绍,目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙的配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,安全规则,包流经规则的顺序是依照：应用代理，端口映射，IP映射，过滤规则，地址转换规则谁放在最面,最先执行那条规则. 增加源端口，源MAC地址，URL过滤，入网口，出网口，时间调度，长连接等选项. 包流经顺序例如如下图所示:,代理规则,端口映射规则,IP映射规则,包过滤规则,NAT规则,流入,流出,防火墙的配置管理,端口映射,防火墙的配置管理,IP映射,防火墙的配置管理,包过滤,防火墙的配置管理,NAT,4 防火墙的配置管理,串口命令行命令介绍 sysinfo disp(显示系统信息防火墙序列号、版本号) sysip disp(显示所有网络端口的ip) sysip add fe3 netmask admin on ping on（设定fe3的ip为 网口启用允许web管理、 ping） sysip disp (查看管理主机ip) mnghost add (添加一个地 为的管理主机) syscfg save (防火墙配置保存),目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙的配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,典型应用环境 拓朴图三网口路由,典型应用环境 三网口路由,一、需求描述,内部网络区段主机的缺省网关指向fe1的IP地址；DMZ网络区段的主机的缺省网关指向fe3的IP地址；防火墙的缺省网关指向路由器的地址。 WWW服务器的地址是0，端口是80；MAIL服务器的地址是1，端口是25和110；FTP服务器的地址是2，端口是21。 安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许Internet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。,典型应用环境 三网口路由,二、网络设备配置,网络配置网络设备 编辑物理设备fe1，将它的IP地址配置为，掩码是 。 编辑物理设备fe3，将IP地址配置为，掩码是 。 编辑物理设备fe4，将IP地址配置为，掩码是 。 网络配置静态路由： 添加下一跳地址是的默认路由。目的地址， 掩码都是，接口选择fe4。,典型应用环境 三网口路由,三、策略配置,添加源地址是/24，目的地址是any，服务是any的NAT规则。 添加源地址为any公开地址是，对外服务是http，内部地址是0 ，内部服务是http的端口映射规则。 添加源地址为any公开地址是，对外服务是smtp，内部地址是1 ，内部服务是smtp的端口映射规则。 添加源地址为any公开地址是，对外服务是pop3，内部地址是1 ，内部服务是pop3的端口映射规则。 添加源地址为any公开地址是，对外服务是ftp，内部地址是2 ，内部服务是ftp的端口映射规则。,典型应环境 三网口混合模式,典型应环境 三网口混合模式,一、需求描述 fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式，IP地址是，掩码是。桥接设备brg0的IP地址是，掩码时。内网网络区段的缺省网关是，DMZ网络区段的缺省网关是。防火墙的缺省网关是。 防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内网网络区段访问Internet和DMZ，允许Internet访问DMZ，其他的访问都禁止。,典型应环境 三网口混合模式,二、网络设备配置 编辑桥接设备brg0，配置它的IP地址是，掩码是 ，选择可管理。 编辑物理设备fe1，选择它的工作模式是“透明模式”。 编辑物理设备fe3，选择它的工作模式是“透明模式”。 编辑物理设备fe4，配置它的IP地址为，掩码是 。 静态路由：添加网关是的缺省路由。,典型应环境 三网口混合模式,三、策略配置 策略配置需要先定义如下的资源： LOCAL_NET：到0，地址段。 DMZ_NET：到0，地址段。 WWW_SERVER：00，掩码是55，主机地址。 MAIL_SERVER：01，掩码是55，主机地址。 FTP_SERVER：02，掩码是55，主机地址。 INTERNET：，掩码是，取反网络地址。,典型应环境 三网口混合模式,三、策略配置 添加源地址是LOCAL_NET，目的地址是INTERNET，服务是any的NAT规则。 添加源地址是INTERNET，目的地址是WWW_SERVER，服务是http的端口映射规则。 添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是smtp的端口映射规则。 添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是pop3的端口映射规则。 添加源地址是INTERNET，目的地址是FTP_SERVER，服务是ftp的端口映射规则。,典型应环境 三网口透明模式,典型应环境 三网口透明模式,一、需求描述 fe1工作在透明模式，fe3工作在透明模式，fe4工作在透明模式。桥接设备brg0的IP地址是，允许管理。 防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内部网络区段访问DMZ区段和INTERNET的http，smtp，pop3，ftp服务，允许INTERNET区段访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。,典型应环境 三网口透明模式,二、网络设备配置 编辑桥接设备brg0，将它的IP地址配置为，掩码是 ，允许管理，确定。 编辑物理设备fe1，选择工作模式为“透明”，确定。 编辑物理设备fe3，选择工作模式为“透明”，确定。 编辑物理设备fe4，选择工作模式为“透明”，确定。,典型应环境 三网口透明模式,三、策略配置 在策略配置前，先添加如下的资源： LOCAL_NET：到0，网络地址段。 DMZ_NET：00到50，网络地址段。 EXTERNAL_NET：00到54，网络地址段。 INTERNET：地址是，掩码是，反网络地址。 WWW_SERVER：地址是00，掩码是55。 MAIL_SERVER：地址是01，掩码是55.。 FTP_SERVER：地址是02，掩码是55。,典型应环境 三网口透明模式,三、策略配置 添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。 添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。 添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。 添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。 添加源地址是any，目的地址是WWW_SERVER，服务是http，动作是允许的包过滤规则。 添加源地址是any，目的地址是MAIL_SERVER，服务是smtp，动作是允许的包过滤规则。 添加源地址是any，目的地址是MAIL_SERVER，服务是pop3，动作是允许的包过滤规则。 添加源地址是any，目的地址是FTP_SERVER，服务是ftp，动作是允许的包过滤规则。,目录,1 防火墙的硬件安装及使用方法 2 防火墙登录管理 3 防火墙的功能模块的配置使用 4 防火墙的配置管理 5 防火墙产品的典型应用 6 防火墙产品的日常管理及故障处理,防火墙在配置与使用过程中，如果配置不当往往会造成防火墙无法管理，网络中断等现场。为了有效的避免这些故障的发生，我们在配置过程中应该注意以下的问题。,6防火墙产品的日常管理及故障处理,电子钥匙认证问题 电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”. 处理方法:防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机ip. 2)电子钥匙认证时窗口弹出一个空白. 处理方法:防火墙的电子钥匙的ID号中有一个空格的存在,需要重新写电子钥匙。,6防火墙产品的日常管理及故障处理,防火墙策略配置问题 防火墙中配置了端口映射或IP映射规则后，为什么外网和内网用户还是无法访问DMZ区服务器？ 处理方法：在配置了映射规则后，还需要将规则移动到NAT前。,6防火墙产品的日常管理及故障处理,管理主机配置问题 为什么我们更改了防火墙的fe1口的地址后,却管理不上了? 当我们更改防火墙的网络接口的同时，要确认你已经添加了此接口网段的管理主机，否则你将无法管理防火墙。没有用的管理主机址尽量删除，因为管理主机的IP地址是做为管理防火墙的一个很重要的条件。,6防火墙产品的日常管理及故障处理,网络设备配置问题 当不同的设备地址进行工作模式的转换时候，注意它的附加选项。如拨号设备要先关闭管理属性才能删除。当墙连接的对端的设备工作速率不支持自适应的时候，要注意设定墙接口的工作方式与速率。,6防火墙产品的日常管理及故障处理,防火墙名称命名问题 防火墙的名称可以用中文名吗? 在防火墙的内部程序中，有很多程序处理不了中文名字。所以在资源定义，导入导出，规则名称等地方尽量或不使用中文名字。,6防火墙产品的日常管理及故障处理,防火墙路由配置问题 防火墙可以添加多条默认路由吗? 不可以添加相