方正方通3.0防火墙快速安装指南.doc

方方正正方方通通3 0 防防火火墙墙 安装指南 方正信息安全技术有限公司方正信息安全技术有限公司 目目 录录 版权声明版权声明2 前言前言4 哪些人应阅读本指南4 关于本指南4 本用户指南中使用的惯例4 方通防火墙概述方通防火墙概述6 产品面板6 硬件规范9 方通防火墙的安装方通防火墙的安装10 安装注意事项10 安装位置及安装工具10 方通防火墙网络连接10 方通防火墙的配置方通防火墙的配置12 配置顺序12 防火墙初始化12 防火墙重要概念 有效网络16 防火墙典型配置16 前言前言 本指南介绍了如何操作和管理 方正方通方正方通 3 0 防火墙防火墙 系统 下面向您说明阅读本指南之前 需要知道哪些内容 哪些人应阅读本指南哪些人应阅读本指南 本指南的用户需要具备计算机 网络技术 安全性以及一般的软件安装过程方面的基础知 识 如果用户不熟悉计算机或安全系统 请向方正科技软件有限公司或其它专家咨询 了 解本系统的安装和操作信息 关于本指南关于本指南 本指南概括性地介绍了 方正方通方正方通 3 0 防火墙防火墙 及其操作和管理 本指南中的内容按照工作 时的先后顺序进行组织 这样您可以很方便地查找并阅读相关的章节 用户要安装和操作 方正方通方正方通 3 0 防火墙防火墙 即使熟悉与 方正方通方正方通 3 0 防火墙防火墙 相象的其它 安全系统 也应参阅本指南 本用户指南中使用的惯例本用户指南中使用的惯例 本用户指南使用以下惯例来表示各种信息 警告和注意警告和注意 本指南中标注的警告和注意分别表示以下含义 警告表示如果未能按照指示操作 可能会损坏 方正方通方正方通 3 0 防火墙防火墙 系统或者导致 方正方通方正方通 3 0 防火墙防火墙 的功能出现故障 注意提供了一些有益的提示 便于您使用 方正方通方正方通 3 0 防火墙防火墙 系统 的各种功能 如果您在使用 方正方通方正方通 3 0 防火墙防火墙 时遇到问题 请与产品经销商联系 由专家来帮助您解决问题 如果您遇到任何问题或产品出现损坏 请与产品经销商联系 计算机命令和屏幕命令惯例计算机命令和屏幕命令惯例 计算机命令以粗体表示 窗口名称以 表示 窗口按钮以 按钮名称 表示 方通防火墙概述方通防火墙概述 产品面板产品面板 以下小节介绍了 方正方通方正方通 3 0 防火墙防火墙 前面板和背面板的 LED 指示灯和端口 方正方通方正方通 3 03 0 防火墙防火墙 的前面的前面 以实物为准 以实物为准 在 方正方通方正方通 3 0 防火墙防火墙 的前面有七 7 个 LED 指示灯 如下图所示 Power 当接通电源并且 方正方通方正方通 3 0 防火墙防火墙 正常运行时绿灯会亮起 Alarm 如果 方正方通方正方通 3 0 防火墙防火墙 被设置为出厂设置 或由于硬件故障而未正常运 行 警告 LED 指示灯会亮起 例如 用于保存内部信息的电池已用完或硬件 自测失败 这时警告 LED 指示灯就会亮起 Secure 绿灯 亮起 表示已将安全信息顺利保存到 方正方通方正方通 3 0 防火墙防火墙 中 同时防 火墙和虚拟专用网络正在工作 在安装完成之前 安全 LED 指示灯不会亮起 但会在初始设置完成后亮起 NetNet 1 1 NetNet 2 2 NetNet 3 3 NetNet 4 4 Net LED 指示灯表示 方正方通方正方通 3 0 防火墙防火墙 是否在通信 Net LED 指示灯有 四 4 个 分别连接至端口 Net1 內网 端口 Net2 Multi 端口 Net3 外网 和端口 Net4 Multi 在通过每个端口发送或接收信息包时 与端 口对应的 LED 指示灯就会闪烁 7 LEDs 方正方通方正方通 3 0 防火墙防火墙 的背面 以实物为准 的背面 以实物为准 NetNet 端口端口 端口端口 Net1Net1 內网端口 內网端口 端口 Net1 用于连接要保护的内部网络 请将要保护的服务器或网络设备 如转换设备和集线器 连接至此端口 端口端口 Net2Net2 Multi 端口 端口 方正方通方正方通 3 0 防火墙防火墙 提供了一个端口 Net2 您可以根据需要将其用作 Multi 端口 既可以使用于内网端口 DMZ 端口或 BZ 端口 Multi 端口从物理上将 Intranet 与外部网络分隔开来 通常可用于连接对 公众开放的 Web 服务器 FTP 服务器或邮件服务器 如果将 Multi 端口连接至 Web 服务器 您可以通过应用安全策略防止从 外部网络对 Intranet 进行不必要的访问 而只能通过端口 80 进行访问 BZ 端口用于监控安全网络 在 方正方通方正方通 3 0 防火墙防火墙 中 如果将端口 Net2 用作 BZ 端口 则所有收到的信息包都将被发送到所连接的 IDS 入侵检测系统 中以便进行统计分析 端口 Net2 可用作 Multi 端口或 BZ 端口 您需要选择将端口设置为具有何种功能 电源 通风孔 控制台端口 端口 Net1 Net2 Net3 Net4 紧急删除开关 端口端口 Net3 外网端口 外网端口 端口 Net3 用于从外部网络或 Internet 接收信息包 此端口 Net3 外网端口 的 IP 地址可用作 方正方通方正方通 3 0 防火墙防火墙 IP 地址 外部网络中的用户可使用 此地址连接至 Intranet 连接至外部网络的网络设备 如路由器或转换设备 可连接至此端口 端口端口 Net4 Multi 端口 端口 端口 Net4 您可以根据需要将其用作 Multi 端口 既可以使用于内网端口 DMZ 端口 控制台端口控制台端口 控制台端口是用于调试或管理的串行端口 您可以通过串行通信程序 如超级 终端 连接至 方正方通方正方通 3 0 防火墙防火墙 要通过超级终端连接至 方正方通方正方通 3 0 防火墙防火墙 请连接可用的串行端口 将波特率设置为 38400 并将流量控制设 置为 无 同时 在将 FOUND SecuwayCenter 2000 与 方正方通方正方通 3 0 防火墙防火墙 一起使用时 此控制台端口还可用作智能卡阅读器的连接端口 电电源源 额定电压为 AC 100 250V 自由电压 额定功率为 25W 通风孔通风孔 由于 方正方通方正方通 3 0 防火墙防火墙 的内部会产生热量 因此通风孔用于降低其内部 温度 请确保没有其它设备或装置阻挡这些通风孔 紧急删除开关紧急删除开关 使用在需要对系统执行完全初始化的情况 使用方法是在关闭 方正方通方正方通 3 0 防火防火墙墙 的状况下 在紧急删除开关插入大头 针 在插入状态中再开 方正方通方正方通 3 0 防火防火墙墙 后保持插入大约 7 8 秒直到重新 起动 等到 方正方通方正方通 3 0 防火防火墙墙 重新起动完毕后拔出大头针确定初始化 初 始化成功时 Secure LED 会变成红色 硬件规范硬件规范 下表列出了 方正方通方正方通 3 0 防火墙防火墙 的硬件规范 CPU体系结构IBM PPC 规范IEEE ANSI 802 3 CSMA CD 速度10 100Mbps 全双工 接口TCP IP 10 100BASE TX RJ 45 LAN 端口4 个 公用 Multi 专用 Multi 速度38 400 bps控制台 端口接口RJ 45 LED 指示灯7 个 Power Alarm Secure Net1 Net2 Net3 Net4 实时时钟内置 蜂鸣器内置 电池内置 尺寸 长 x 宽 x 厚 290 x215x68 mm 外部 AC 100 250 VAC 或 120 300 VDC 内部DC 3 3V 最大值 6 5A DC 5V 最大值 3A 电源 功率20 W 标准 加密加速器卡配有专用加密 ASIC 芯片 可选 方通防火墙的安装方通防火墙的安装 本章描述方正方通方正方通 3 0 防火墙防火墙的硬件安装步骤 以及在网络中的典型连接方式 安装注意事项安装注意事项 在安装防火墙以前 请您注意如下安全守则 注意工作区可能的危险 例如潮湿的底板 未接地的电源 寻找并且确认你工作处的电源总闸 以防意外发生 不要带电操作 安装位置及安装工具安装位置及安装工具 方正方通方正方通 3 0 防火墙防火墙的机箱既可以放置在桌面上 也可以安装在标准机架上 安放在 桌面时无需工具 安放在机架上时需要螺丝刀 将方正方通方正方通 3 0 防火墙防火墙固定在机架上用的 固定托架 相应的 4 个螺丝 这些均随机配备在产品包装中 方通防火墙网络连接方通防火墙网络连接 请按照以下步骤进行方正方通方正方通 3 0 防火墙防火墙与网络的连接 1 请安装方正方通方正方通 3 0 防火墙防火墙在机架上或者摆放在一个水平面上 2 确认这时方正方通方正方通 3 0 防火墙防火墙 的电源是关闭的 3 电源开关打在 0 时表示关闭 4 连上电源线 5 连接防火墙到网络中 请参照下图 6 如果所有的连接都正常的话 设备上的指示灯将会有指示 图 1 内部服务器安全系统实例 图 2 Intranet 安全系统实例 方通防火墙的配置方通防火墙的配置 配置顺序配置顺序 防火墙初始化防火墙初始化 1 配置超级终端 连接串口 2 用户登录及初始化命令配置 1 超级终端连接成功之后 出现用户登录提示 输入用户名称 admin 敲击回车键 进 入 提示符状态 2 在 提示符状态下 输入 admin 命令 进入 提示符状态 3 在 提示符状态下 输入 initialize 管理 IP 地址 命令 对系统进行初始化 4 系统自动重新启动 使用用户 admin 密码 admin 登录 进入 提示符状态 5 在 提示符状态下 使用 ifconfig 命令查看管理 IP 地址是否配置好 3 安装使用 SecuwayAdmin Pro 管理软件 FOUND SecuwayAdmin Pro 是一个 JAVA 程序 在使用前需要安装 JAVA 运行环 境 在随机光盘中带有 JRE 安装程序 它的文件名随版本可能会有所不同 双击 Jre 1 3 1 02 win i exe 此时会显示以下安装程序起始窗口 必须使用防火墙随机带的串口线 必须使用防火墙随机带的串口线 login login admin Welcome to FOS3 0 SecuwayGate admin console admin Entering character mode Escape character is GATE100 root eraseobj all GATE100 root initialize 192 168 0 1 GATE100 root Object Validity Check Done system reset 单击 是 此时将开始复制文件 在随机光盘上有一个名称为 GateAdmin jar 的文件 代表不同的版本号 建议 使用最新的软件版本 运行该程序 此时将显示以下窗口 在所显示的窗口中 键入管理 IP 地址 这时管理者帐户输入位置上 输入已设置的初始值 用户 admin 密码 admin 后登陆实行 2 如果成功地通过 FOUND SecuwayAdmin Pro 进行连接 系统将显示以下主屏幕 防火墙重要概念防火墙重要概念 有效网络有效网络 防火墙典型配置防火墙典型配置 1 透明模式 透明模式 要求 要求 外部 Internet 可以访问各服务器的相应服务 外部可以 Ping 通各服务器以检测服务器 是否工作正常 内部服务器不能主动访问外部 Internet 分析 分析 IDC 托管机房内 内部服务器地址与外部网关地址处在同一网段 这时防火墙可以设 置成透明模式 即通常所说的桥模式 这里我们只使用 Net 1 和 Net 3 即内网口和外网 口 这时 防火墙的两端可以任意配置 IP 地址和路由信息 问题的关键在于 有效网络的 正确配置 定义对象定义对象 IP 地址范围 地址范围 定义对象定义对象 路由器对象 路由器对象 注意在配置透明模式的时候 一定要在路由器对象中的 Script 添加命令 transparent mode on 定义对象定义对象 VPN 对象 对象 注 对于注 对于 GateAdmin 2 0 2 1 CFN000 来说 就不需要配置来说 就不需要配置 VPN 对象对象 门向导门向导 配置接口配置接口 IP 地址和有效网络地址和有效网络 Net1 Net2 Net3 门向导门向导 其他设置 其他设置 注 对于注 对于 GateAdmin 2 0 2 1 CFN000 来说 就不需要配置此步来说 就不需要配置此步 配置安全策略 配置安全策略 将配置传送至防火墙 将配置传送至防火墙 重新启动防火墙 重新启动防火墙 防火墙重启完毕后就可以正常使用防火墙重启完毕后就可以正常使用 2 局域网上因特网 局域网上因特网 要求 要求 内部网使用保留 IP 地址 192 168 1 0 24 并要通过防火墙上 Internet DMZ 区使用真实 IP 地址 并且只对内部网和外部网开放相应服务 DMZ 区服务器不 能直接访问内部网和外部网 分析 分析 由于内部网使用保留 IP 地址 192 168 1 0 24 所以防火墙要设置从内到外的 NAT SNAT 地址为 61 152 167 250 DMZ 区使用真实 IP 地址 并且只对内部网和外部网开放相应端口 在这种情况下 要确认 Net2 和 Net3 的 Interface type 为 Public 定义对象定义对象 单个单个 IP 地址 地址 定义对象定义对象 IP 范围 范围 定义对象定义对象 路由器对象 路由器对象 注意在配置透明模式的时候 一定要在路由器对象中的注意在配置透明模式的时候 一定要在路由器对象中的 Script 添加命令添加命令 transparent mode on 定义对象定义对象 VPN 对象 对象 注 对于注 对于 GateAdmin 2 0 2 1 CFN000 来说 就不需要配置来说 就不需要配置 VPN 对象对象 门向导门向导 配置网口配置网口 IP 地址和有效网络 地址和有效网络 Net1 Net2 Net3 门向导门向导 其他设置 其他设置 注 对于注 对于 GateAdmin 2 0 2 1 CFN000 来说 就不需要配置如下步骤来说 就不需要配置如下步骤 配置配置 NAT 策略 策略 配置安全策略 配置安全策略 将配置传送至防火墙 将配置传送至防火墙 重新启动防火墙 重新启动防火墙 防火墙重启完毕后就可以正常使用防火墙重启完毕后就可以正常使用 3 局域网上因特网 真实 局域网上因特网 真实 IP 不足不足 要求 要求 内部网使用保留 IP 地址 192 168 1 0 2