03联想网御防火墙安装调试培训.ppt

联想网络皇家防火墙安装调试培训，目录，1防火墙登录管理2防火墙功能模块配置使用3防火墙配置管理4防火墙产品典型应用5防火墙产品日常管理和故障处理，目录，1防火墙登录管理2防火墙功能模块配置使用3防火墙配置管理4防火墙产品典型应用5防火墙产品日常管理和故障处理，1。登录防火墙管理页面，1.1安装调试前的工作1.2安装调试准备1.3管理方法简介1.4登录防火墙，1.1安装调试前的工作，开箱检查，请按照装箱单中的说明检查机箱中的所有附件：防火墙主机、u盘电子钥匙、随机光盘(电子钥匙驱动程序、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线)、串口线、 安装支架、保修卡*注意：如果发现任何问题，请及时与您的供应商联系解决。 1.1安装调试前的工作，前期工作，1。首先填写保修卡并寄回联想公司，成为联想公司的永久服务对象。第二，在线服务网站联想信息安全可以在用户注册后在网站上下载防火墙升级包和相应的升级文件，并提供在线问答等特色服务。第三，对于产品注册，请详细填写用户名、通讯地址、联系电话、电子邮件地址等信息，以便于新技术成果快速、及时地向您转移！首先打开防火墙的电源，打开防火墙(听到“滴水声”后)，然后选择一台带USB接口、以太网卡和光驱的电脑作为防火墙的管理主机，操作系统为windows 98/2000/XP/2003(暂时不支持linux和unix)，第三，使用随机提供的交叉电缆。连接管理主机和防火墙的FE1网络端口54(工厂默认地址)将管理主机的IP地址更改为00(防火墙出厂时指定的默认管理主机IP)，1.2为安装和调试做准备，1.3引入管理方法，支持各种管理方法。串口命令行管理-常用于灾难恢复网页管理-常用于正常管理ssh远程管理-常用于集中管理调试-方便管理PPP远程拨号接入-专线远程拨号接入，1.4登录防火墙，a. e-key认证需要安装e-key驱动程序和防火墙管理员登录认证程序。证书认证需要导入IE证书和防火墙证书(IE证书和防火墙证书应该一一对应，防火墙证书支持两种方式：页面和串口。在认证模式下，安装电子钥匙驱动程序，将随机光盘放入管理主机的光驱，进入随机附盘的钥匙目录，在目录下执行INSTDRV，并提示“退出时请再次插入锁”。它表示网络控制电子钥匙的驱动程序已正确安装。*注意：在安装驱动程序时，请不要将网络控制电子钥匙插入管理主机的USB端口。1.4登录防火墙、电子钥匙认证、1.4登录防火墙，点击“退出请再次插入锁”并将电子钥匙安装到管理主机的USB接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程序并自动安装。*注意：在安装驱动程序时，请不要将网络控制电子钥匙插入管理主机的USB端口。电子密钥认证。在管理主机上，在随机光盘的管理员目录下运行ikeyc程序。该程序将提示用户输入密码。第一次默认的个人识别码为“12345678”，1.4登录防火墙，通过后会弹出管理员身份认证对话框。首次单击“连接”后，将显示“通过身份验证”对话框。请不要在退出防火墙管理之前关闭此页面。*注意：在管理防火墙的过程中，该程序将每5秒钟向防火墙提交一次身份验证信息。因此通过认证程序后，输入https:/防火墙IP:8888出厂默认地址54，默认用户密码管理员，1.4登录防火墙，电子密钥认证，1.4登录防火墙，电子密钥认证，首先，防火墙证书必须导入防火墙并启用后才能使用防火墙证书管理。第二，导入IE浏览器证书。1.4、登录防火墙，进行证书认证，首先通过电子密钥登录防火墙，进入系统配置-管理配置-管理员证书-在管理员证书模块中选择浏览，在本地计算机文件夹中选择CACert.pem、Leadsec.pem和Leadsec _ key.pem，分别对应防火墙中的CA中心证书、安全网关证书和安全网关密钥。单击“导入”。然后在本地计算机文件夹中选择防火墙对应的管理员证书，点击导入， 1.4登录防火墙，证书认证， 1.4登录防火墙，证书认证，导入证书后选择有效选项，保存配置，证书生效， 1.4登录防火墙，证书认证，导入防火墙证书导入相应的IE浏览器证书。在管理主机中双击本地的IE浏览器证书，根据提示进行安装，需要密码时输入“hhhhhhhhh”，导入成功后单击确定完成。证书认证，1.4登录防火墙，当防火墙和IE证书导入成功后，我们在管理主机中打开IE浏览器，输入https:/防火墙ip:8889出厂默认的ip是54，当提示选择证书时点击确定，1.4登录防火墙，证书认证，1.4登录防火墙，证书认证，安全报警出现后点击是(Y)，防火墙登录页面就会出现。对于XP系统，请确认删除IE浏览器中的互联网选项-隐私选项-弹出窗口选择：下图，1.4登录防火墙，证书认证，用户名和密码分别为：管理员/管理员，目录，1防火墙登录管理2防火墙功能模块配置使用3防火墙配置管理4防火墙产品典型应用5防火墙产品日常管理和故障处理，2防火墙界面介绍，管理主页，各级子菜单，2防火墙界面介绍，管理配置-管理主机， 2防火墙接口介绍，管理模式设置，2防火墙接口介绍，与入侵检测系统联动设置，防火墙接口介绍，网络配置，防火墙接口介绍，桥接设备，防火墙接口介绍，物理设备，防火墙接口介绍，在这里可以设置是否被管理，是否PING等功能。网桥设备，防火墙接口介绍，域名服务器，防火墙接口介绍，静态路由，防火墙接口介绍，高可用性热备用，防火墙接口介绍，高可用性探测网络端口，防火墙接口介绍，高可用性探测ip，2防火墙接口介绍，连接管理，防火墙接口介绍，连接规则，防火墙接口介绍，连接状态，防火墙接口介绍，连接排名，防火墙接口介绍，安全选项，防火墙接口介绍，默认全开/全关，包过滤规则，防火墙接口介绍，端口映射规则，防火墙接口介绍，IP映射规则，防火墙接口介绍， NAT规则，防火墙接口介绍，代理服务，防火墙接口介绍，地址绑定，防火墙接口介绍，地址列表定义，防火墙接口介绍，域名地址定义，防火墙接口介绍，域名地址定义，防火墙接口介绍，地址组定义，防火墙接口介绍，地址池定义，防火墙接口介绍，服务器地址定义，防火墙接口介绍，服务定义，防火墙接口介绍，动态服务定义，防火墙接口介绍，ICMP服务，防火墙接口介绍，基本服务定义， 2防火墙接口介绍，服务组的定义，2防火墙接口介绍，系统监控，2防火墙接口介绍，目录，1防火墙登录管理，2防火墙功能模块配置使用3防火墙配置管理，4防火墙产品的典型应用，5防火墙产品日常管理和故障处理，安全规则，分组流规则序列：应用代理，端口映射，IP映射，过滤规则，地址翻译添加源端口，源MAC地址，URL过滤，网页关键词过滤，网络进入，网络退出，时间安排， 长连接和其他选项、代理规则、端口映射规则、IP映射规则、包过滤规则、NAT规则、流入、流出、防火墙配置管理、端口映射、防火墙配置管理、IP映射、防火墙配置管理，注意：如果源地址包含管理主机，则公共地址是防火墙的管理IP，管理主机将无法管理防火墙。 如果未选中，您可以通过公共地址和端口访问内部服务器，也可以直接访问服务器。如果选中，内部服务器只能通过公共地址和端口访问。源端口可以用英文逗号分隔来表示多个端口，或者用英文冒号来表示端口段。注意：如果没有为下一个IP映射规则选择“包过滤默认策略通过”，则必须实施下一个相应的包过滤规则。该方法是：包过滤规则的源地址为IP映射规则的源地址，包过滤规则的目的地址为IP映射规则的内部地址。端口映射，防火墙配置管理，包过滤，防火墙配置管理，NAT，3防火墙配置管理，注意：要设置NAT规则，必须设置另一个相应的包过滤规则才能生效。串行命令行命令介绍了acsystemshow(显示系统信息防火墙序列号、版本号)a接口显示(显示所有网络端口的ip)a接口显示(显示所有网络端口的IP)a接口显示(显示3 IP 网络掩码活动输入(将3的IP设置为网络端口启用允许网络管理，ping)academostshow(查看管理主机IP)academostaddip 192 . 168 . 0 . 1(添加串行端口命令行捕获命令简介(TCPDUMP)使用随机连接的串行端口线(局域网)将防火墙控制台与配备有超级终端的个人计算机的串行端口连接起来。设置超级终端波特率：9600；数据位：8；奇偶校验：无；停止位：1；流量控制：硬件/无用户名：转储；密码：转储；通过？命令视图可用命令Tcpdump命令使用的参数如下：Tcpdump-cfile _ size-ffile-I interface-rfile-t type-wfile-elago : secretexpression，例如：1。tcpdump-ietH 0 Host 83 . 16 . 16 . 1 eth 0是防火墙前面板对应的FE1端口，是eth0上的数据抓取端口。主机指从的该主机捕获数据。该命令指的是：在防火墙的eth0端口抓取所有访问主机的数据包。2.Tcpdump-IETH端口53是指从目标主机的端口53获取数据。该命令指的是：在防火墙的eth0端口从目标主机的端口53抓取数据。3.tcpdump-IET0 SRCHOST DSHOST 和端口53该命令指的是：在防火墙的eth0网络端口上捕获具有源地址和目的地址的端口53的数据。TCPDUMP命令主要用于在应用服务器无法确定开放服务端口时，分析应用服务器的端口号。目录，1防火墙登录管理，2防火墙功能模块配置，3防火墙配置管理，4防火墙产品典型应用，5防火墙产品日常管理和故障处理，3端口路由典型应用环境拓扑图，3端口路由典型应用环境，1。需求描述，内部网段主机的默认网关指向fe1的IP地址192 . 168 . 1 . 1；非军事区网段主机的默认网关指向fe3的IP地址172 . 16 . 1 . 1；防火墙的默认网关指向路由器的地址。万维网服务器的地址是0，端口是80。邮件服务器的地址是1，端口是25和110。FTP服务器的地址是2，端口是21。安全策略的默认策略是禁止。允许内部网络部分访问非军事区网络部分和互联网部分的http、smtp、pop3、ftp服务；允许互联网网段访问非军事区网段的服务器。禁止所有其他访问。典型应用环境3端口路由2。网络设备配置网络设备编辑物理设备fe1，其IP地址设置为，掩码设置为。编辑物理设备fe3，并将IP地址配置为，掩码为。编辑物理设备fe4，并将IP地址配置为，掩码为。网络配置静态路由：添加下一跳地址是的默认路由。目的地址和掩码都是，接口是fe4。典型的应用环境有三端口路由、三端口策略配置、添加源地址/24、目的地址任意、服务http和允许的操作包过滤规则。添加源地址为/24，目的地址为任意，服务为smtp，操作为允许的数据包通过率规则。添加的源地址是/24，目的地址是任意地址，服务是pop3，操作是允许的包过滤规则。添加的源地址是/24，目的地址是任意地址，服务是ftp，操作是允许的包过滤规则。添加的源地址是/24，目的地址是任意地址，服务是任意NAT规则。添加源地址是任意的，目的地址是0，服务是http，并且动作是允许的包过滤规则。添加源地址为任意，目的地址为1，服务为smtp，并且操作是允许的包过滤规则。添加源地址为任意，目的地址为1，服务为pop3，并且操作是允许的包过滤规则。添加源地址是任意的，目的地址是2，服务是ftp，并且动作是允许的包过滤规则。添加的公共地址是，外部服务是http，内部地址是0，内部服务是http的端口映射规则。添加的公共地址是，外部服务是smtp，内部地址是1，内部服务是smtp的端口映射规则。添加的公共地址是，外部服务是pop3，内部地址是172.