海信防火墙安装手册.doc

版权声明Copyright 1998-2002北京海信数码科技有限公司。版权所有，复制必究。未经北京海信数码科技有限公司的书面许可，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。北京海信数码科技有限公司保留在不通知用户的情况下对本手册进行改版或者更改本手册内容的权利。北京海信数码科技有限公司在编写本手册时已尽力保证其内容准确可靠，对于因本手册中存在的遗漏和印刷错误及用户对本手册误解造成的损失，我们皆不承担直接或间接的责任。名 称IP地址子网掩码是否控制接口是否允许PINGeth035Yeth115YYeth234Yeth3Y表0-0防火墙接口默认配置帐 号口 令权 限使用IP备 注administratorhisense超级所有WEBadminhisense系统、策略、日志所有WEBadminhisense所有所有串口表0-1 防火墙默认帐号目 录前 言1第 1 章海信防火墙系统的安装21.1海信防火墙系统的组成21.2面板说明21.3运行环境要求61.4海信防火墙的安装71.5注意事项8第 2 章系统的启动与登录92.1规划防火墙安装92.2登录海信防火墙11第 3 章常见问题及设备维护16第 4 章技术支持与服务17海信FW3010PF防火墙 17 前 言安装手册介绍了海信防火墙FW3010PF的组成、安装步骤、启动步骤、安全注意事项以及技术支持与服务信息。本手册仅适用于使用海信FW3010PF防火墙的用户。本手册针对的对象是受过专业训练、负责安装和管理网络硬件的网络管理员。网络管理员需要具备局域网（LAN）和广域网（WAN）运行知识，并具备安装网络设备以及在安装过程中规避危险的相关经验。为使您能正确操作防火墙，请保存好该手册，以备随时参考。第 1 章 海信防火墙系统的安装1.1 海信防火墙系统的组成海信防火墙系统由海信防火墙硬件和海信防火墙软件两部分组成。海信防火墙硬件部分：即防火墙主机，用于网络通信的保护和控制。海信防火墙软件部分：包括各型号的基本功能软件模块和可选软件模块。1.2 面板说明面板仅为示意图，具体参考表0-0。1.2.1 海信FW3010PF百兆1U机箱防火墙面板说明图 11 FW3010PF百兆1U机箱防火墙前面板1机箱手柄 2液晶显示控制按键 3液晶显示屏 4电源指示灯 5串口 6USB接口 7IDE数据指示灯 图 12 FW3010PF百兆1U机箱防火墙后面板1 电源插座 2电源开关 3内网口 4DMZ网口 5外网口 6扩展1网口1.2.2 海信FW3010PF百兆2U机箱防火墙面板说明图 13 FW3010PF百兆2U机箱防火墙前面板1机箱手柄 2IC卡插槽（可选） 3电源指示灯 4IDE数据灯 5告警灯 6IC卡指示灯 7液晶显示屏 8电源开关 9串口 10USB端口 11双机热备接口 12网络接口扩展1 13网络接口扩展2 14内网口 15DMZ口 16外网口 图 14 FW3010PF百兆2U机箱防火墙后面板1电源插口 2安全锁1.2.3 海信FW3010PF千兆1U机箱防火墙面板说明图 15 FW3010PF千兆1U机箱防火墙前面板1面板锁 2见（千兆平台按键和指示灯图）图 16 FW3010PF千兆1U机箱防火墙后面板1PCI插槽 2内网口 3PCI插槽 4电源插口 5USB端口 6显示端口 7SCSI接口 8外网口 9PS/2鼠标/键盘接口 10串口 11USB端口1.2.4 海信FW3010PF千兆2U机箱防火墙面板说明图 17 FW3010PF千兆2U机箱防火墙后面板1管理串口 2eth2 3eth34主电源插座 5USB口 6显示端口7SCSI接口 8eth1 9eth010PS/2鼠标/键盘接口 11双机热备口 12USB口 13主电源图 18 FW3010PF千兆防火墙按键与指示灯1内网口（eth1）指示灯 2外网口（eth0）指示灯 3开机/休眠按键4电源指示灯 5系统状态指示灯 6IDE数据指示灯ID指示灯 7串口 8ID灯控制按键 9显示端口 10USB端口 11RESET按键1.3 运行环境要求1.3.1 海信FW3010PF防火墙的放置位置要求海信FW3010PF防火墙应安装在标准的19英寸的机柜里。防火墙机箱的位置、机柜或配线室的布局对系统的安全运行非常重要。u 确保防火墙的机箱放置在水平面上；u 电源应在防火墙安装位置的两米以内；u 防火墙应使用单独的、接地良好的电源；u 在防火墙机箱周围应该有足够的空间放置电源线和网线。1.3.2 海信FW3010PF防火墙的使用环境要求海信FW3010PF防火墙的运行环境应满足下表要求：运行温度环境温度0 40运行湿度10% 90%储存温度-20 50储存湿度10% 90%电源规格220VAC，50Hz表格 11防火墙使用环境要求1.3.3 海信防火墙远程日志审计系统的运行环境要求海信防火墙远程日志审计系统需要安装在一台管理主机上，其具体运行环境要求如下：1. 硬件要求Pentium 450、128M内存、硬盘100M以上的自由空间（根据记录日志的要求，可能所需硬盘空间更大）、10/100M以太网卡。2. 软件要求操作系统： Windows 2000 Pro、Windows 2000 Server；Windows 2000 Advance Server、Windows XP Pro。1.3.4 管理主机的要求管理员应该指定一台管理主机专门用于防火墙的管理。管理主机的要求如下：1. 硬件要求Pentium 450、256M内存、硬盘100M以上的自由空间、10/100M以太网卡、COM口。2. 软件要求管理主机需安装Windows98、Windows NT4.0（Service Pack 6或以上版本）、Windows2000或者Windows xp操作系统，Internet Explorer 5.0或以上版本及Windows操作系统所带的超级终端软件。1.4 海信防火墙的安装1.4.1 设备清单检查打开包装后，请您先对照机型和装箱单检查部件是否完备，如有缺损请及时和系统供货商联系。取出防火墙主机后，不要将外包装箱丢弃，当您需要维修服务时可能会需要用原包装箱将系统返回到我公司。1.4.2 海信防火墙设备安装防火墙的硬件安装分为设备的安放和线路的连接。防火墙的安放要符合1.3中对安装环境的相关规定。防火墙的线路连接步骤如下：1. 连接电源确保防火墙的电源开关是关闭的。使用防火墙随机携带的电源线，一端与防火墙主机后面的电源插口相连，另一端与专用的电源插座相连。2. 连接网络线路用直通线（Straight-through cable）将防火墙内网口和内部网络区交换机的任意非级联口相连；用交叉线（Cross-over cable）将防火墙外网口和路由器（或三层交换机）的对内网口相连，这样可以避免攻击者利用旁路绕过防火墙对内网进行攻击；用直通线（Cross-over cable）将防火墙的DMZ网口和DMZ区交换机的任意非级联口相连（DMZ区的概念见2.1）。直通线为两端均为MDI接头的网线，交叉线为一端为MDI接头，另一端为MDIX接头的网线。插针编号MDI接头MDIX接头1传输数据接收数据2传输数据接收数据3接收数据传输数据6接收数据传输数据表格 12直通线与交叉线的针指定1.5 注意事项为了安全使用本产品，请仔细阅读安全注意事项，并在使用时严格执行。u 确保防火墙的运行环境符合1.3.1和1.3.2的要求；u 使用防火墙专门配备的标准电源线，切断电源时应握住电源插头拔出，而不是握住电源线；u 避免拉扯、割裂和严重压挤、弯曲电源线，以免引起火灾。发现电源线损坏时，请先关掉防火墙电源，然后再更换电源线；u 如果防火墙在工作中发出不正常的声音、冒烟或散发异常气味时，请立即拔掉电源并与我公司联系；u 防火墙在出厂时内部的硬件均已按型号配置好了，请不要打开防火墙的外壳，任何人为的硬件损坏都不在免费保修范围之内。只有专业人员才能打开机箱，如需维护请与我公司联系；u 防火墙在运行时严禁移动，以防损坏其内部的硬件。如果需要移动，请先关闭电源，拔掉电源线，然后再移动防火墙；u 在连接防火墙串口时，请先关闭防火墙的电源，以免烧坏串口；u 外部电源不能正常、稳定提供电力时，请谨慎使用防火墙，最好和UPS搭配使用。第 2 章 系统的启动与登录2.1 规划防火墙安装图21是一个常见的局域网络，服务器和工作站接在同一个交换机上，整个局域网通过路由器连接到Internet网。由于工作站和服务器对网络安全性的要求不尽相同，服务器不仅要对内提供服务，也需要对Internet网上的用户提供服务，工作站只需要访问服务器和Internet上的服务，而下图服务器与工作站置于同一层次，并没有把这种需求体现出来。图 21没有防火墙时的网络结构为了体现不同的安全性需求，我们必须划分网络安全区域，即把安全性需求不同的网络设备划分到不同的安全区域当中，把安全性需求相同的设备划分到同一个安全区域中。一般说来，网络可划分为三个安全区域，即内网区域、DMZ区域和外网区域。内网区域即内网工作站所在的区域，这一部分不对外提供服务，因此不允许来自服务器和Internet对它的主动访问，但它可以访问内部和Internet上的服务器。DMZ区域即内部服务器所在的区域，这一部分不仅要对内网用户而且还要对外部Internet用户提供服务，因此允许来自内网和Internet的用户访问，但它不需要对内网和Internet发起主动请求。外网区域即Internet网络，对内的安全威胁主要来自于这一块，因此不允许它对内网区域发起主动请求，只允许它访问DMZ区域。根据以上安全区域的划分，我们将内网区域连接到防火墙的内网口，DMZ区域连接到防火墙的DMZ网口，外网区域连接到防火墙的外网口，通过防火墙控制安全区域之间的访问。图 22安装防火墙后的网络结构划分安全区域后，我们将对各区域分配地址段，举例如下表所示：子 网接 口IP地址子网掩码外网区路由器内部口37防火墙外口35DMZ区防火墙中立区34中立区服务器192.168.0.*中立区服务器网关地址34内网区防火墙内口15内部工作站192.168.1.*内部工作站网关地址15内部工作站DNS地址8其它（如果扩展）防火墙扩展口1其他（如果扩展）防火墙扩展口2表格 21安装防火墙时网络IP地址划分其中路由器内部口、防火墙外口和内网工作站的DNS地址由ISP提供商提供，在这里只是举例说明，请根据实际情况进行修改。防火墙内网口、DMZ网口和扩展网口1的地址为防火墙出厂时的所设的初始值。2.1.1 启动海信防火墙2.1.2 百兆防火墙的启动按下防火墙的电源开关，电源指示灯变为绿色，IDE数据灯开始闪烁（红色），网卡灯变成绿色，表示网络连接正常，等待一段时间后，IDE数据灯停止闪烁，表示系统已启动。2.1.3 千兆防火墙的启动按下防火墙的电源开关，电源指示灯变为绿色，IDE数据灯开始闪烁（绿色），网卡灯变成绿色，表示网络连接正常，等待一段时间后，IDE数据灯停止闪烁，表示系统已启动。2.2 登录海信防火墙登录海信FW3010PF防火墙有两种方式，分别是WEB页面登录方式和串口管理登录方式。2.2.1 WEB页面登录1. 在内网选择一台管理主机，管理主机应满足1.3.4要求；2. 在管理主机上打开Windows命令行界面，输入命令“ping 15”并回车，确保能够ping通防火墙内网口；图 23 ping防火墙内口3. 在管理主机上打开Internet Explorer，在地址栏输入“15”并回车，如图24所示；图 24在地址栏填入防火墙内口地址4. .出现如图25所示的弹出框，点击“是”按钮； 图 25安全证书提示5. 出现如下图所示的界面，在用户名称一栏填入初始的系统管理员用户名“admin”，初始的系统管理员密码“hisense”,点击登录按钮；图 26登录口令界面6. 出现防火墙的管理主界面，登录成功。图 27管理主界面2.2.2 串口管理登录1、在管理主机上使用防火墙随机所带的接口线，用COM1口与防火墙的串口相连；2、在管理主机上打开超级终端程序，填入连接名称后出现下图界面，在“连接时使用”下拉菜单中选择“COM1”点“确定”；图 28串口连接界面3、出现下图界面，在每秒位数中填入“9600”，在数据位中填入“8”，奇偶校验中填入“无”，停止位为“1”，数据流控制为“无”，点“确定”；图 29串口设定界面4、回车后，出现登录信息“HFW login:”，输入默认的串口登录用户名：admin，默认密码：hisense；图 210串口登录口令界面5、出现串口管理主界面，登录成功。图 211串口管理主面第 3 章 常见问题及设备维护安装防火墙过程中可能出现的问题有以下几种：1. 防火墙开机后电源指示灯不亮如果防火墙开机后电源指示灯不亮，可能是因为：u 电源线插头接触不良，请检查电源插头是否插到位；u 电源电压不符合要求，请测量电源电压是否符合规格；u 如果指示灯仍然不亮，请及时与我公司联系。2. 网口指示灯不亮网口指示灯显示防火墙接口和其他网络设备之间的连接状态，如果该灯不亮说明：u 网络连接不良，请检查网络接口是否接触不良，网线通断状况；u 与防火墙相连的其他网络设备可能没有启动或者运行不正常，请试着把网线插到网络设备的其它接口，或者使用备用的网络设备；u 如果指示灯仍然不亮，请与我公司联系。3. 主机不能p