系统管理课件

系统管理,讲解人：朱建英2010、07,通过完成此章节课程，您将可以-通过多种方式对设备进行管理-通过管理“许可证”扩展产品功能-管理设备配置文件、Image-熟悉设备系统维护及配置恢复过程,章节目标,议程：系统管理,系统管理功能许可证管理配置文件管理DCFOS版本升级,配置主机名称：,为区分安全网关，可以为每一台安全网关指定不同的名称安全网关的默认名称是其平台名称。例如DCFW-1800WebUI：访问页面“系统设备管理基本信息”，将名称输入文本框，然后点击确定按钮。CLI通过CLI配置安全网关名称，在全局配置模式下输入以下命令：hostnamehost-name恢复安全网关的默认名称，在全局配置模式下输入以下命令：nohostname,密码策略神州数码提供密码复杂检测功能，可以通过启用该功能强制新建管理员账号的密码符合复杂度需求WebUI:系统设备管理基本信息,密码策略,系统管理安全网关设备由系统管理员（administrator）管理、配置系统管理员的配置包括创建管及管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员”admin“，用户可以更改其密码，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。,系统管理员,WebUI：系统设备管理基本信息：,配置系统管理员（WebUI）,在全局配置模式下输入以下命令配置管理员adminuseruser-name在全局配置模式下输入以下命令删除指定配置管理员noadminuseruser-name在管理员配置模式下，输入以下命令配置管理员的密码：passwordpassword在管理员配置模式下，输入以下命令配置管理员的特权privilegeRX|RXW在管理员配置模式下，输入以下命令配置管理员的访问方式：accessconsole|http|https|ssh|telnet|any显示系统管理员信息：showadminuser显示系统管理员具体配置信息：showadminuseruser-name,配置系统管理员（WebUI）,可信主机安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。系统设备管理可信主机,可信主机,配置系统的可信主机，在全局配置模式下，使用以下命令adminhostA.B.C.DA.B.C.D|anyhttp|https|ssh|telnet|anyA.B.C.DA.B.C.D|any指定可信主机的IP地址范围，例如：。Any表示任何IP地址。http|https|ssh|telnet|any-指定可信主机的登录类型any表示可以使用http、https、ssh和telnet任意一种登录类型用户可以配置多条该命令添加多个可信主机范围。系统最多允许配置128条可信主机范围。取消可信主机的指定使用以下命令noadminhostA.B.C.DA.B.C.D取消对可信主机特定登录类型的指定使用以下命令noadminhostA.B.C.DA.B.C.D|anyhttp|https|ssh|telnet使用show命令查看可信主机配置：showadminhost,配置可信主机（CLI）,安全网关支持的用户管理接口类型Console、Telnet、SSH、WebUI自定义用户管理接口：各种访问方式的超时时间、端口号以及HTTPS的PKI信任域在一分钟内连续三次登录失败，系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接,用户接口,系统设备管理用户接口,配置用户接口(WebUI),配置Telnet超时时间，在全局配置模式下，使用以下命令telnettimeouttimeout-value（单位分钟）配置telnet端口号，在全局配置模式下，使用以下命令telnetportport-number配置telnet最大登录次数，在全局配置模式下，使用以下命令telnetauthorization-try-countcount-number配置SSH管理接口sshtimeouttimeout-valuesshportport-numbersshconcention-intervalinterval-time（配置SSH连接时间间隔）,配置用户接口(CLI),配置WebUI管理接口webtimeouttimeout-valuehttpportport-numberhttpsportport-numberhttpstrust-domaintrust-domain-name(指定HTTPS方式访问时使用PKI信任域)显示用户接口配置showconsoleshowtelnetshowsshshowhttp,配置用户接口(CLI),议程：系统管理,系统管理功能许可证管理配置文件管理DCFOS版本升级,一、平台许可证：平台许可证是其他许可证运行的基础。如果设备缺少有效的平台许可证。其他许可证均不生效。平台许可证分试用许可和标准许可两种。1、PlatformTrial试用平台许可证设备出厂默认已预装15天试用许可证。如在产品正式销售前需要客户测试，可在此申请试用许可证。测试许可证可申请多次累加，每次为15天测试时间（以实际加电运行时间计算）注意：用户试用期满将无法修改防火墙配置，在不重启的情况下，设备通信正常，但会对通过的http会话，每5000个连接中随机抽取一个，进行WEB页面的重定向，向用户提示设备试用期已到；当超期3个月后，则将所有的用户请求均定向到此页面，中断用户网络。用户试用期满重启防火墙后，将不加载配置文件2、PlatformNormal标准平台许可证当设备正式销售后，可以安装标准平台许可证。标准平台许可证许可以永久试用。许可证中的“licenseworkfor”时间对应的是购买产品服务的有效时间。也就是说，这个License可以支持这个时间段发布的DCFOS系统升级服务,许可证的分类,二、服务许可证：AV、IPS、URL许可证：它的有效时间神州数码升级库服务器时间为准。试用病毒库、IPS功能，可通过申请一个短时间的使用许可证来实现注意：加载防病毒、IPS许可证后，系统为了保护处理能力会将整机并发连接数减少一半，添加多个服务License不会叠加减半。您可在命令行下通过showsessiongeneric命令进行查看。例：DCFW-1800#showsessiongenericVSYS0,max80000,alloced16,denysession0,free79984,tunnel0,allocfailed0,许可证的分类,三、特征/Capacity许可证：1、app许可证提供QoS与应用特征库升级功能2、SSLVPN许可证用来支持更多的SSLVPN并发用户数。支持多个许可证累加，并且可以与设备自带的免费用户数进行累加。,许可证的分类,申请许可证,第1步：生成申请许可证所需的许可证请求WebUI：访问页面“系统-许可证”，填入用户信息，点击【生成】按钮，然后将许可申请发给zhujya注意：这里的用户信息不要填写真实信息,登录防火墙，依次点击系统-许可证-在许可证安装框中，粘贴生成的license代码后，点击确定。,许可证WebUI装载,您可以在命令行下装载License:例：DCFW-1800#execlicenseinstall+license代码注意：在命令行下加载licesne时需要去掉代码头的“license：”回车后等待几秒钟，将会出现“successfullyinstallthelicense，youcanreboottoactiveit”字样提示，重启后生效。,许可证命令行下装载,议程：系统管理,系统管理功能许可证管理配置文件管理DCFOS版本升级,配置文件：以命令行的格式保存配置安全网关的配置信息1台安全网关可最多支持保存10份配置文件配置文件中保存的用来初始化安全网关的配置信息称做起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作如果找不到起始配置信息，安全网关则使用安全网关的缺省配置初始化系统记录最近十次保存的配置信息，最后一次保存的配置信息会记录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记；前九次的配置信息按照保存时间的先后以数字0到8作为标记。,配置文件管理,系统配置管理员可以导入、导出或者将系统恢复出厂配置，当前配置窗口提供对current配置的Web方式查询。系统能够记录十次保存的起始配置信息，用户可以根据需要导出或回退到已保存的指定起始配置信息。如需新选定配置记录生效，需手工重启系统。,配置文件管理（WebUI）,查看当前配置，输入以下命令showconfiguration查看安全网关的当前起始配置信息，输入以下命令showconfigurationsavedcurrent当前系统配置信息以“current”作为标记，前九次的配置信息按照保存时间的先后以数字0到8作为标记查看安全网关的备份起始信息，使用以下命令showconfigurationsavednumbernumber-备份起始信息的数字标记查看安全网关的备份起始信息记录，输入以下命令showconfigurationsavedrecord,配置文件管理（CLI）,回退起始配置信息rollbackconfigurationsavednumber删除配置文件deleteconfigurationsavedcurrent|number保存配置文件savestringstring是所保存配置信息的描述导出配置信息exportconfigurationcurrent|numberto导入配置信息importconfigurationfrom恢复出厂配置unsetall,配置文件管理（CLI）,议程：系统管理,系统管理功能许可证管理配置文件管理DCFOS版本升级,通过WebUI升级DCFOS：系统系统版本安全网关可以同时保存2个系统固件，系统将在上载的同时备份所选择的DCFOS。5、点击浏览按钮并且选中要上载的DCFOS6、点击确定按钮，系统开始上载指定的DCFOS完成升级后，需要重启安全网关启动新升级的DCFOS,DCFOS升级（WEB）,启动系统过程安全网关的启动系统分为三个部分：分别是Bootloader、Sysloader和DCFOS。它们各自的作用如下：Bootloader-安全网关加电后最先运行的程序。Bootloader装载执行DCFOS或者Sysloader。Sysloader-升级DCFOS。DCFOS-升级网关的操作系统软件。系统启动后，Bootloader尝试启动DCFOS或者Sysloader。DCFOS是安全网关的操作系统软件。Sysloader实现DCFOS的更新和选择，支持FTP、TFTP以及直接通过USB接口升级Sysloader本身的升级由Bootloader通过TFTP下载完成,设备启动过程,安全网关的时间影响到VPN隧道的建立和时间表的时间，并且日志都是基于系统时间记录的，因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式，分别是手动设置和通过NTP与服务器同步。,系统时间,手动设置系统时间：系统日期/时间可以手动设置系统时间，或者点击“同步”按钮通过浏览器获取管理员本地电脑时间,系统时间（WebUI）,点击按钮获取本地电脑时间,手动设置时间（CLI）在全局配置模式下使用clocktime命令。具体命令描述如下：clocktimeHH:MM:SSMonthDayYearMonth的取值范围是1到12；Day的取值范围是1到31；Year的取值范围是2000到2035.以下是设置时间的命令配置示例：DCFW-1800(config)#clocktime14:26:00742010手动设置系统的时区：在全局模式下使用clockzone命令。具体命令及描述如下：clockzonetimezone-name输入clockzone？可以查看所有支持的时区。以下是设置时区的命令配置示例：DCFW-1800(config)#clockzonechina,系统时间（CLI）,系统工具：安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。,系统诊断工具（WebUI）,安全网关支持网络连接测试工具ping和Traceroute，当网络出现问题时，用户可以用这些工具对网络进行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅和分析。Ping命令主要用于检查网络连接状态以及主机是否可达。Pingip-address|hostnamecountnumbersizenumbersourceip-addresstimeouttimeTaceroute用户测试数据包从发送主机到目的地所经过的网关它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。Tracerouteip-address|hostnamenumbericportport-numberprobep