網(wǎng)神-LS01 如何快速管理防火墻

1、如何快速管理防火墻（v1.2）網(wǎng)御神州 產(chǎn)品部（內(nèi)部資料注意保密）2007.04學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠 了解網(wǎng)御神州防火墻的出廠默認(rèn)配置 學(xué)會如何使用Console界面配置防火墻 學(xué)會如何使用Web界面配置防火墻課程內(nèi)容1. 防火墻出廠默認(rèn)配置介紹防火墻出廠默認(rèn)配置介紹2. 防火墻的防火墻的console管理管理3. 防火墻的防火墻的web管理管理4. FAQ1 防火墻出廠默認(rèn)配置介紹網(wǎng)御神州防火墻出廠后，擁有以下基本配置：網(wǎng)御神州防火墻出廠后，擁有以下基本配置：1.默認(rèn)防火墻超級管理員名稱：默認(rèn)防火墻超級管理員名稱：admin 密碼：密碼：firewall .2.默認(rèn)防火墻默認(rèn)防火

2、墻fe1口擁有口擁有IP地址：地址：5 屬性：屬性：可可Ping 可以管理可以管理 .3.默認(rèn)管理主機默認(rèn)管理主機IP地址：地址：4 不允許多用戶管理不允許多用戶管理. 4. 端口默認(rèn)屬性是路由模式，網(wǎng)口速率端口默認(rèn)屬性是路由模式，網(wǎng)口速率:自動協(xié)商自動協(xié)商.2 Console 管理方式 2.1 通過通過console口命令行管理：口命令行管理： 1. 電源連接防火墻，啟動防火墻，（啟動大概30秒后聽到防火墻有三聲嘟嘟嘟的聲音，說明防火墻正常啟動了） 2. 連接串口線，一端連接管理主機，另一端連接防火墻的console口 2 Console 管理方式3.

3、 配置超級終端，以Windows自帶“超級終端”為例：點擊“開始 - 所有程序 - 附件 - 通訊 - 超級終端”2 Console 管理方式名稱可以根據(jù)你的需要隨意填寫2 Console 管理方式選擇串口根據(jù)不同PC不同2 Console 管理方式端口設(shè)置參數(shù)：端口設(shè)置參數(shù)： （1）每秒位數(shù)：9600； （2）數(shù)據(jù)位：8； （3）奇偶校驗：無； （4）停止位：1； （5）數(shù)據(jù)流控制：無；2 Console 管理方式2 Console 管理方式登錄登錄 CLI 界面：界面：連接成功以后，提示輸入管理員賬號和口令時，輸入出廠默認(rèn)賬號“admin”和口令“firewall”即可進(jìn)入登錄界面，注意所

4、有的字母都是小寫的 2 Console 管理方式顯示當(dāng)前的設(shè)備接口IP地址添加設(shè)備管理IP地址刪除接口IP地址為了可以通過為了可以通過Internet遠(yuǎn)程配置，請輸入以下命令：遠(yuǎn)程配置，請輸入以下命令：sysip add ping on admin on adminping on traceroute on注意：需要配置缺省路由注意：需要配置缺省路由/ 下一條下一條 route add droute / 2 Console 管理方式顯示當(dāng)前的被允許管理主機的IP地址添加管理主機的IP地址刪除管理主機的IP地址如果需要網(wǎng)御神州公司遠(yuǎn)程支持，

5、請加入如下命令：mnghost add 02 Console 管理方式顯示當(dāng)前的管理員賬號允許多重管理注意：如果使用Web或其他非console方式進(jìn)行管理，必須打開允許多重管理。2 Console 管理方式存儲、導(dǎo)出、導(dǎo)入配置；恢復(fù)出廠配置重啟動2 Console 管理方式管理總結(jié)：通過以上方式就可以在下用命令行管理防火墻了，具體配置防火墻，如修改管理員密碼，修改等等請看防火墻命令行手冊建議:如果對命令行非常熟悉的網(wǎng)絡(luò)管理人員,管理和設(shè)置,以及維護(hù)防火墻等方面建議在CLI下使用命令行3 Web 管理方式 3.1 Web管理防火墻管理防火墻: (一般防火墻出廠默認(rèn)FE1口

6、的IP地址:5/24,管理主機的IP地址是:4/24 另外必須在console 打開允許多用戶管理。Secgatemngacct multi on)第一步: 用 交叉線交叉線 把防火墻的FE1口和管理主機連接,設(shè)置電腦的IP地址是:4/24. 要求:具有以太網(wǎng)卡、USB接口和光驅(qū)，操作系統(tǒng)可以為Window98/2000/XP中的任意一種，管理主機IE建議為5.0以上版本、文字大小為中等，屏幕顯示建議設(shè)置為10247683 Web 管理方式 第二步:安裝認(rèn)證驅(qū)動程序 進(jìn)入光盤Ikey Driver目錄，雙擊運行INSTDRV程序，選擇

7、“開始安裝”，隨后出現(xiàn)安裝成功的提示，選擇“退出” 切記：安裝驅(qū)動前不要插入切記：安裝驅(qū)動前不要插入usb電子鑰匙電子鑰匙 3 Web 管理方式 第三步:安裝USB電子鑰匙 在管理主機上插入usb電子鑰匙，系統(tǒng)提示找到新硬件，稍后提示完全消失，說明電子鑰匙已經(jīng)可以使用了。如果您在安裝驅(qū)動前插了一次電子鑰匙，此時系統(tǒng)會彈出“歡迎使用找到新硬件向?qū)А睂υ捒?。直接選擇“下一步”并耐心等待，約半分鐘后系統(tǒng)將提示驅(qū)動程序沒有經(jīng)過windows兼容性測試，選擇“仍然繼續(xù)”即可 3 Web 管理方式 第四步:認(rèn)證管理員身份 插入電子鑰匙,運行Admin Auth目錄中的ikeyc程序(ikeyc程序在隨機光

8、盤的Admin Auth目錄中)，提示輸入用戶pin，輸12345678即可 . 此時電子鑰匙中存儲的默認(rèn)防火墻IP地址為5，認(rèn)證端口為9999。如果認(rèn)證成功，將彈出對話框提示“通過認(rèn)證”。說明管理員已經(jīng)通過了身份認(rèn)證，可以對防火墻進(jìn)行配置管理了.管理方式二 第五步:連接管理主機與防火墻 打開window 系統(tǒng)的IE瀏覽器,在地址欄輸入 5:8889,等待約20秒鐘會彈出一個對話框提示接受證書，選擇確認(rèn)即可。系統(tǒng)提示輸入管理員帳號和口令。缺省情況下，管理員帳號是admin，密碼是：firewall 3 Web 管理方式 上面是通過電子鑰匙認(rèn)

9、證，然后通過WEB管理，另外我們可以通過使用文件證書的WEB管理方式：1 直接運行隨即光盤中/admin cert/文件夾里的firewalladmin.p12安裝，密碼：123456，其他默認(rèn)即可2打開IE瀏覽器，輸入5:8889 ,然后回車即可3輸入帳號：admin，密碼：firewall，這樣就可以管理防火墻了3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式所有功能菜單3 Web 管理方式1.管理方式2.管理IP地址3.管理主機4.管理員賬號5.管理員證書6.集中

10、管理7.配置存儲、導(dǎo)入導(dǎo)出管理配置管理配置3 Web 管理方式管理方式3 Web 管理方式管理IP地址管理IP地址在網(wǎng)絡(luò)配置-接口IP中設(shè)置。該菜單還可以配置接口上的非管理功能的IP地址。單擊添加可以添加IP地址。3 Web 管理方式管理IP地址3 Web 管理方式管理主機3 Web 管理方式3 Web 管理方式允許多個管理員同時管理允許多個管理員同時管理管理員訪問策略管理員訪問策略管理員賬號3 Web 管理方式3 Web 管理方式管理員證書3 Web 管理方式注意：為了啟用集中管理，必須在安全規(guī)則中添加“允許集中管理主機訪問安全網(wǎng)關(guān)secgate_global服務(wù)”的包過濾規(guī)則。集中管理3

11、Web 管理方式配置存儲導(dǎo)入導(dǎo)出3 Web 管理方式總 結(jié) 通過以上步驟就可以通過IE瀏覽器管理防火墻,防火墻的所有功能很直觀的呈現(xiàn)在WEB頁面上.具體配置防火墻請看防火墻WEB操作手冊 注意:以上管理是通過默認(rèn)的IP地址管理的,如果不想用默認(rèn)值管理,那么我必須通過console口進(jìn)行修改fe1口的IP地址或者修改管理主機的IP地址.命令行如下: 刪除原有FE1口的地址:sysip del 5 添加你需要的IP地址: sysip add fe1 ip_address mask 255.*.*.* admin on ping on 添加管理主機: mnghost add ip_address 另外注意的是管理主機的IP地址必須與放火墻的管理口(FE1)在同一網(wǎng)段FAQ 1. 防火墻默認(rèn)一個端口FE1可以管理,但是其他端口(例如FE2,FE3,FE4)也可以設(shè)置具有管理屬性,具體配置方法可以看用戶手冊,考慮到安全和管理方面的因素,建議一個防火墻最好不要太多端口進(jìn)行管理,最好只有一個端口可以進(jìn)行管理 2. 防火墻默認(rèn)只有單用戶管理,也就只能有admin這個用戶且只能同時登陸一次.如果想多用戶管理,那么可以在CLI下