DCN多核安全网关基本操作及配置PPT课件

1、多核安全网关基本操作及配置,神州数码网络有限公司 企业网事业部 售前工程师 李越飞 QQ:350383928 TELE-mail:liyfe,提纲,系统管理功能 管理方式 许可证管理 配置文件管理 DCFOS版本升级 诊断工具、恢复出厂配置 基本配置 接口配置 路由配置 网络地址转换NAT配置 安全策略配置,支持本地与远程两种环境配置方法，可以通过CLI和WebUI两种方式进行配置 支持Console、telnet、ssh、http、https管理,管理方式,通过Web方式进行管理 缺省的管理信息 允许管理的接口 ethernet 0/0

2、 用户名和密码为admin,WebUI方式,系统状态显示,系统设备管理,配置主机名称：,为区分安全网关，可以为每一台安全网关指定不同的名称安全网关的默认名称是其平台名称。例如DCFW-1800 WebUI：访问页面“系统设备管理基本信息”，将名称输入文本框，然后点击确定按钮。,WebUI：系统设备管理基本信息：,配置系统管理员（WebUI）,安全网关拥有一个默认管理员”admin“，用户可以更改其密码，但是不能删除该管理员。 管理员分为读写执行权限管理员、只读执行权限管理员,可信主机 安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围，在

3、该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。 系统设备管理可信主机,可信主机,系统设备管理用户接口,配置用户接口(WebUI),安全网关支持的用户管理接口类型 Console、Telnet、SSH、WebUI 自定义用户管理接口： 各种访问方式的超时时间、端口号以及HTTPS的 PKI信任 域 在一分钟内连续三次登录失败，系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接,一、平台许可证： 平台许可证是其他许可证运行的基础。如果设备缺少有效的平台许可证。其他许可证均不生效。平台许可证分试用许可和标准许可两种。 1、Platform Tr

4、ial试用平台许可证 设备出厂默认已预装15天试用许可证。如在产品正式销售前需要客户测试，可在此申请试用许可证。测试许可证可申请多次累加，每次为15天测试时间（以实际加电运行时间计算） 注意：用户试用期满将无法修改防火墙配置，在不重启的情况下，设备通信正常，但会对通过的http会话，每5000个连接中随机抽取一个，进行WEB页面的重定向，向用户提示设备试用期已到；当超期3个月后，则将所有的用户请求均定向到此页面，中断用户网络。用户试用期满重启防火墙后，将不加载配置文件 2、 Platform Normal标准平台许可证 当设备正式销售后，可以安装标准平台许可证。标准平台许可证许可以永久试用。许

5、可证中的“license work for”时间对应的是购买产品服务的有效时间。也就是说，这个License可以支持这个时间段发布的DCFOS系统升级服务,许可证的分类,二、服务许可证： AV、IPS、URL许可证： 它的有效时间神州数码升级库服务器时间为准。试用病毒库、IPS功能，可通过申请一个短时间的使用许可证来实现 三、特征/Capacity许可证： 1、app许可证 提供QoS与应用特征库升级功能 2、SSL VPN许可证 用来支持更多的SSL VPN并发用户数。支持多个许可证累加，并且可以与设备自带的免费用户数进行累加。,许可证的分类,申请许可证,第1步：生成申请许可证所需的许可证请

6、求 WebUI：访问页面“系统-许可证”，填入用户信息，点击【生成】按钮，然后将许可申请发给zhujya 注意：这里的用户信息不要填写真实信息,登录防火墙，依次点击“系统-许可证”-在许可证安装框中，粘贴生成的license代码后，点击确定。,许可证WebUI装载,配置文件： 以命令行的格式保存配置安全网关的配置信息 1台安全网关可最多支持保存10份配置文件 配置文件中保存的用来初始化安全网关的配置信息称做起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作 如果找不到起始配置信息，安全网关则使用安全网关的缺省配置初始化 系统记录最近十次保存的配置信息，最后一次保存的配置信息会记录

7、为系统的当前起始配置信息，当前系统配置信息以“current”作为标记；前九次的配置信息按照保存时间的先后以数字0到8作为标记。,配置文件管理,系统配置 管理员可以导入、导出或者将系统恢复出厂配置，当前配置窗口提供对current配置的Web方式查询。 系统能够记录十次保存的起始配置信息，用户可以根据需要导出或回退到已保存的指定起始配置信息。如需新选定配置记录生效，需手工重启系统。,配置文件管理（WebUI）,通过WebUI升级DCFOS： 系统系统版本 安全网关可以同时保存2个系统固件，系统将在上载的同时备份所选择的DCFOS。 5、点击浏览按钮并且选中要上载的DCFOS 6、点击确定按钮，

8、系统开始上载指定的DCFOS 完成升级后，需要重启安全网关启动新升级的DCFOS,DCFOS升级（WEB）,系统工具： 安全网关提供基本的诊断工具，方便用户可以通过这些工具 察看网络和路由是否连通。,系统诊断工具（WebUI）,警告：请谨慎使用该功能。安全网关恢复到出厂配置后，所有已做配置都将会被清除。 CLI -命令：unset all WebUI -系统配置清除 硬件CLR CLR按键位于前面板的针孔内，其功能为恢复安全网关的出厂配置。用户忘记密码无法登陆时，可通过此方法恢复登陆。 恢复安全网关出厂配置的操作步骤如下： 1、关闭安全网关的电源 2、用针状物按住CLR按键的同时打开安全网关的

9、电源 3、此时按住状态直到指示灯STA和ALM均变为红色常亮，释放CLR按 键。此时系统开始恢复出厂配置。 4、出厂配置恢复完毕，系统将会自动重新启动,恢复出厂配置,提纲,系统管理功能 管理方式 许可证管理 配置文件管理 DCFOS版本升级 诊断工具、恢复出厂配置 基本配置 接口配置 路由配置 网络地址转换NAT配置 安全策略配置,配置需求,配置防火墙使内网/16网段可以访问internet,1、接口配置 -绑定内/外网【trust/untrust】接口到安全域， -配置接口地址 -启用接口管理模式http/https/telnet/ping 2、路由配置 添加默认路由,

10、回指路由 3、网络地址转换NAT配置 源NAT动态端口PAT,目的NAT端口映射TELNET 4、安全策略配置 trust域 及untrust域间的安全策略,基本配置步骤,网络接口 点击需配置接口右侧编辑按钮 网络接口基本配置,1、接口配置(WebUI),开放管理服务,1、接口配置（高级配置）,WebUI方式：网络接口,2、路由配置,静态路由（目的路由-默认、回指） 源路由(SBR，SIBR) 策略路由（policy-based Routing） 动态路由是根据网络系统的运行情况而自动调整的路由，DCFSO支持:RIP、OSPF 、BGP 路由选路顺序： 策略路由-源接口路由-源路由-目的路由

11、,2、路由配置（目的路由）,静态路是手工定义的路由条目，根据目的地址指定下一跳，也称作目的路由 对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由 默认路由是静态路由的一种 通过WebUI配置静态路由，如下图：,点击新建按钮添加路由,添加回指路由,分别添加回指、默认路由； 配置完成后，在“目的路由列表”会有两条路由显示，如下图：,2、路由配置（目的路由）,网络地址转换（Network Address Translation）简称为NAT是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过路由器或者防火墙时，路由器或者防火墙会把IP数据包的源IP地址和/或者目的IP地址进

12、行转换。在实际应用中，NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。 NAT分为源NAT和目的NAT,3、网络地址转换NAT,SNAT（源NAT） 转换源IP地址，从而隐藏内部IP地址或者分享IP有限的IP地址。根据工作模式分为以下三种：,3、网络地址转换NAT,3、网络地址转换NAT,源NAT高级配置,最终配置,DNAT（目的NAT规则） 转换目的IP地址，通常是将受防火墙保护的内部服务器（如WWW服务器或者SMTP服务器）的IP地址转换成公网IP地址。 主要应用：通过IP映射或者端口映射对外发布服务器 根据工作模式分为以下两种： 端口映射 -该模式为一对多的映射，将公网某

13、一IP的不同端口，映射到内网不 同IP的不同端口，解决公网IP有限时多个服务器需对外发布的需求 IP映射 -该模式为一对一的映射，端口一一对应不做转换，通常用于公网IP 足够时服务器的对外发布。,3、网络地址转换NAT,3、网络地址转换NAT,先增加对象：点击“对象 地址薄 新建”,3、网络地址转换NAT,最终配置,安全策略基础 策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。系统缺省的策略是拒绝所有的流量 策略分为两种 域间策略：域间策略对安全域间的流量进行控制可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量 域内策略：安全域内策略对绑定到同一个安全域的接口间流量进行控制。源地址和目的地址都在同一个安全域中，但是通过安全网关的不同接口到达。 策略规则 过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。 对于匹配过滤条件的流量可以制定处理行为，如perm