网康下一代防火墙--上线指南.pptx

2012年11月 网康互联网控制网关NGFW 网康产品上线指南 提纲 镜像模式配置 NGFW部署模式 NGFW上线指南 网关模式配置 网桥模式配置 Page2 镜像模式 不改变现有网络拓扑补充主动防御分析能力深度洞察威胁及时发现未知威胁 异构组网联合形成全方位防护体系具备应用层防护能力全面应对下一代威胁 桥接模式 网关模式 替换现有防护体系支持传统防火墙所有功能具备应用层防护能力全面应对下一代威胁 NGFW主要部署方式 NGFW NS ICG上线指南 提纲 上线信息收集 NS ICG上线概述 应急与回退操作 NS ICG远程协助 Page4 镜像模式配置 NGFW部署模式 NGFW上线指南 网关模式配置 网桥模式配置 NS ICG上线指南 网关模式 单出口 明确网络拓扑信息及外网接入方式1 静态地址 互联地址信息 ADSL拨号 拨号账号及密码 DHCP2 完成网络拓扑信息 是否有DMZ DNS服务器位置 3 用户和服务器需要SNAT DNAT BNAT 双向 明确网络地址信息1 出口多IP信息 内网口IP信息 路由信息2 各服务器IP及映射端口3 NAT源 目的地址明确设备上线的断网时间段 不会给客户造成损失 Page5 NGFW上线指南 透明网桥模式 设备架下上电 启动 NGFW设备的出厂默认IP信息为 192 168 1 23 24 修改PC网络配置为该地址段地址 用网线连接至设备的 MGT 接口 使用浏览器访问 https 192 168 1 23 登录设备 默认系统管理员用户名 admin密码 ngfw2012 Page6 NGFW上线指南 透明网桥模式 NGFW首界面 设备登录成功 Page7 NS ICG上线指南 提纲 上线信息收集 NS ICG上线概述 应急与回退操作 NS ICG远程协助 Page8 镜像模式配置 NGFW部署模式 NGFW上线指南 网关模式配置 网桥模式配置 NGFW上线概述 Internet 核心交换 部门1 部门2 部门n 网康NGFW单网口网关模式部署 外网口 连接Internet 内网口 连接交换机 二层环境下该地址作为内网用户的 默认网关 三层环境下网关一般指向核心交换 Console 可连接串口线 通过命令行管理设备 Mgt 带外管理口 HA 双机热备接口 USB接口 用于数据备份等 BYPASS按钮 网关模式下不可用 E 0 1 千兆网口 网关模式下不存在桥的概念 Page9 NS ICG上线指南 网关模式 单出口 设置内部网口地址 配置内网口地址 掩码 以网段形式填写 但代表该网口IP和对应的掩码 Page10 选择接口的接入方式 每个接口只能选择一种接入方式接入方式选择 静态IP 并配置IP及对应的掩码 开启后内网口可用作带内管理 网关模式一般用带内管理 NS ICG上线指南 网关模式 选择接口的接入方式 每个接口只能选择一种接入方式接入方式选择 静态IP ADSL 或 DHCP 静态IP接入方式请填写IP地址及对应掩码 配置外网口接入方式为 静态IP ADSL DHCP Page11 NS ICG上线指南 网关模式 填写该VLAN的网关IP 回指到交换机 填写防火墙到交换机之间的VLAN 从外网回来的请求的路由 Page12 三层环境下配置 二层环境下无需配置 NS ICG上线指南 网关模式 填写0 0 0 0 0 即所有外网地址 从内网到互联网 填写运营商给的互联地址 即出口IP的网关 Page13 NS ICG上线指南 网关模式 为了内部所有用户能够访问互联网 需要对整个内网配置ACL访问控制 允许用户 Page14 填写0 0 0 0 0 即整个内网到整个互联网 允许访问 NS ICG上线指南 网关模式 为了内部所有用户能够访问互联网 需要对整个内网配置SNAT Page15 选择内网段 指定外网口 将整个内网转换成外网口地址 外网口IP才能访问互联网 NS ICG上线指南 网关模式 为了外网用户能够访问内网服务器 需要对内网服务器配置DNAT Page16 选择外网口 内网服务器对应的公网IP 将目的地址填写为内网服务器的私网IP NS ICG上线指南 网关模式 如果内网某台服务器的DNS解析在公网上 内网和外网用户都需要通过域名来访问该服务器 需要对该服务器配置DNAT和BNAT 前者为了外网用户访问 后者为了内网用户访问 Page17 整个内网网段 都指定内网口 内网用户从LAN口入 找到公网地址 而后又从LAN出 回到内网找私网IP VPN服务器对应的公网IP 指定服务器对应的公网IP 同时指定回来后应找该服务器的私网IP NS ICG上线指南 网关模式 内网某台服务器的指定端口映射到出口IP的某个端口上 常见的是VPN映射 443 500 4500等 原理同DNAT相同 只不过增加端口即可 Page18 指定出口IP的端口号 将目的地址的同时指定端口号 NS ICG上线指南 网关单出口模式 确认内 外网地址信息填写正确无误后 点击 确定 等待网关模式生效系统生效后 设备地址将改变 请使用系统的内部网口地址访问系统 即修改PC网络配置中的IP地址后重新登入系统 Page19 NS ICG上线指南 提纲 上线信息收集 NS ICG上线概述 应急与回退操作 NS ICG远程协助 Page20 镜像模式配置 NGFW部署模式 NGFW上线指南 网关模式配置 网桥模式配置 NS ICG上线指南 网桥模式 填写1 4094之间的任意值 Page21 选择 透明 模式 NS ICG上线指南 网桥模式 填写1 4094之间的任意值 Page22 选择 透明 模式 NS ICG上线指南 网桥模式 可选择管理口可进行的服务 Page23 配置管理口IP NS ICG上线指南 网桥模式 填写管理口同网段的网关IP 填写包含内网所有网段地址 Page24 NS ICG上线指南 提纲 上线信息收集 NS ICG上线概述 应急与回退操作 NS ICG远程协助 Page25 镜像模式配置 NGFW部署模式 NGFW上线指南 网关模式配置 网桥模式配置 NS ICG上线指南 镜像模式 默认即可 Page26 选择 旁路 模式 NS ICG上线指南 镜像模式 可选择管理口可进行的服务 Page27 配置管理口IP NS ICG上线指南 镜像模式 填写管理口同网段的网关IP 填写包含内网所有网段地址 Page28 NS ICG远程协助 网