neteye5系列防火墙培训手册

NetEye5系列防火墙培训手册Copyright

2009

By

Neusoft

Group.

All

rights

reserved初始化接口

路由地址转换

安全策略

访问管理

命令行扩展基本操作以右图显示了Console

口连接方法示意图PC

的超级终端参数设置如下（windowsxp

的超级终端设置为例）：波特率—9600数据位—8停止位—1奇偶校验位—无数据流控制—无初始化防火墙出厂时并未设置IP地址，只能通过console口进行初始化设置防火墙默认用户名/密码：root/neteye连接准备防火墙开机，用一台PC机（或笔记本电脑）通过CONSOLE线连接到防火墙的CONSLLE口，打开本机“开始菜单”->“所有程序”->“附件”->“通讯”中的“超级终端”，设置名称并选择接口，然后端口设置选择还原默认值，回车会有数据显示。初始化设置超级用户口令，默认主机存在一个超级用户root，提示是否修改口令，Y代表修改，N代表保持默认状态，默认root口令是neteye。Changing

default

password

of

root?(*y/n):

yOld

password(1-128):New

password(1-128):Repeat

password(1-128):设置管理员账号名称和口令Creating

an

administrator?(*y/n):yUsername

:adminPassword(1-128):Repeat

Password(1-128):其他设置可以之间回车，使用缺省值配置防火墙使用初始化设置的ip、用户访问防火墙•在IE浏览器中输入同一时刻只能有一个用户管理防火墙防火墙配置界面接口根据防火墙的数据交换与路由转发原理，防火墙上的接口可以工作在不同的网络层次，从而将接口划分为如下两种：二层接口三层接口二层接口是基于数据链路层的数据转发接口，二层接口只识别MAC地址。初始状态下，防火墙上所有物理接口都是二层接口。三层接口是指工作在网络层的接口。附：防火墙工作模式示意透明模式路由模式混合模式接口配置编辑物理接口：在网络配置>接口页面，点击ethx进入配置页面，如下图所示：安全域安全域可以分为基于二层接口的安全域和基于三层接口的安全域。一个Vsys最多只能创建30个安全域。安全域不限制被划入的接口数量。安全域与防火墙上的策略紧密相关，定义策略时使用安全域来定义数据流的方向。攻击防御和DNS中继代理等功能是基于安全域的。安全域配置防火墙路由功能概述NETEYE5系列支持静态路由功能，用户可以使用防火墙的IP路由功能对具有特定信息的IP数据包进行控制(决定按哪条路径进行转发，或是丢弃)，从而使数据包按照用户指定的路径到达目的主机。防火墙支持的静态路由有以下两种：静态路由基于策略的路由配置静态路由配置静态路由NAT概述地址转换（NetworkAddressTranslation，简称NAT）是将数据包包头中的IP地址转换为其他IP地址的技术。该技术可以有效缓解公网IP地址不足的问题，并可隐藏内网真实的IP地址，从而降低内部网络受到攻击的风险，提高网络安全性。5200系列防火墙支持以下三种地址转换类型：源地址转换（Source

NAT）目的地址转换（Destination

NAT）静态地址映射（Mapped

IP）源地址转换配置多对单地址映射一般用于内网访问互联网内网地址范围映射后地址目的地址转换配置端口映射一般用于一个外网ip对应多个内网服务器（使用不同端口）内网主机地址/端口映射后地址/端口地址映射配置单对单地址转换内网主机地址映射后地址策略概述策略是提供安全服务的一套准则，其主要功能是对流经防火墙的数据包实施访问控制。缺省策略NETEYE5系列为用户提供缺省的安全策略，对没有匹配到任何安全策略的IP数据流进行默认的访问控制，可分为：域间缺省策略（默认为拒绝）域内缺省策略（默认为允许）缺省安全策略的序号（即优先级）低于任何一个用户手动添加的安全策略，如果IP数据流匹配了用户指定的安全策略，则执行其动作后，不再匹配缺省的安全策略。在缺省策略中，用户可以定义全局的超时时间。缺省策略访问策略配置编辑安全策略访问前数据的源ip地址编辑安全策略访问后数据的目的ip地址相应服务及应用端口的填加编辑安全策略对符合条件的流量采取的动作及超时时间的设置（不选使用缺省设置）对应特定的长连接业务我们可以修改其TCP_EST时间，默认TCP/IP长连接的

Established时间为3600S，我们可以修改更大，如四个小时14400S多播策略添加访问设置防火墙在默认情况下允许所有接口通过web管理防火墙需要在访问设置中进行相应配置只允许指定人员管理防火墙访问设置可以telnet管理防火墙的地址范围访问设置可以通过web管理防火墙的地址范围可以ping防火墙的地址命令行扩展NetEye@root>showcurrent-config(显示配置)Build

running

configuration...Current

configuration

is

:

24866

bytes……NetEye@root>show

interface

brief

（显示接口信息）NetEye@root>show

route

（显示路由表）NetEye@root>

configure

modeNetEye@root-system]

（进入配置模式）……详细请参考东软NetEye防火墙软件命令参考手册范例InternetEth2：222.222.222.222东软防火墙Eth1：192.168.130.1E1：192.168.130.2E2：10.42.80.1运营