網(wǎng)御神州防火墻安裝調(diào)試培訓(xùn)課件

1、網(wǎng)御神州科技有限公司網(wǎng)御神州防火墻安裝調(diào)試培訓(xùn)目錄1 防火墻登錄管理2防火墻的功能模塊的配置使用3 防火墻的配置管理1、登錄防火墻管理頁面1.1 安裝調(diào)試前的工作1.2 安裝調(diào)試的準(zhǔn)備工作1.3 管理方式簡介1.4 登錄防火墻1.1安裝調(diào)試前的工作拆箱檢查 請安照裝箱單的提示進(jìn)行檢查機(jī)箱內(nèi)所有的配件： 防火墻主機(jī)、USB電子鑰匙、隨機(jī)光盤(電子鑰匙驅(qū)動、電子鑰匙初始化程序、管理員登錄認(rèn)證程序)、電源線、網(wǎng)線(交叉線）、串口線、安裝支架、保修卡*注：如發(fā)現(xiàn)有問題，請及時(shí)與您的供貨商進(jìn)行溝通解決。1.1安裝調(diào)試前的工作前期工作 一、第一時(shí)間內(nèi)填寫保修卡的回執(zhí)卡，并郵寄回網(wǎng)神公司，以便于成為網(wǎng)神公司

2、永遠(yuǎn)服務(wù)的對象。 二、在線服務(wù)網(wǎng)站 網(wǎng)神信息安全網(wǎng)站為http:/用戶注冊后可以在網(wǎng)站上自行下載防火墻升級包與相應(yīng)升級說明文檔等服務(wù)。 三、進(jìn)行產(chǎn)品注冊，請您詳細(xì)填寫用戶名、通信地址、聯(lián)系電話、Email地址等信息，以便于將新的技術(shù)成果迅速及時(shí)的傳遞給您！ 一、接通防火墻電源，開啟防火墻(聽到“滴滴滴) 后防火墻啟動完成)二、選用一臺帶USB接口、以太網(wǎng)卡和光驅(qū)的PC機(jī)作為防火墻的管理主機(jī)，操作系統(tǒng)應(yīng)為Window98/2000/XP/2003(暫不支持linux、unix)三、使用隨機(jī)提供的交叉線，連接管理主機(jī)和防火墻的FE1網(wǎng)口5(出廠默認(rèn)的地址),將管理主機(jī)的IP地址改為4（防火墻出廠時(shí)

3、默認(rèn)指定的管理主機(jī)IP）1.2安裝調(diào)試的準(zhǔn)備工作1.3管理方式介紹支持多種管理方式； 串口命令行管理-常用于災(zāi)難的恢復(fù)工作 Web頁面管理-常用于正常管理 ssh遠(yuǎn)程管理-常用于管理調(diào)試 集中管理-方便管理 PPP遠(yuǎn)程撥號接入-專線遠(yuǎn)程撥入1.4登錄防火墻 A.電子鑰匙認(rèn)證 需要安裝電子鑰匙驅(qū)動程序和防火墻管理員登錄認(rèn)證程序。 B.證書認(rèn)證 需要管理主機(jī)導(dǎo)入IE證書，網(wǎng)神防火墻證書已經(jīng)存在于防火墻系統(tǒng)內(nèi)無需導(dǎo)入。認(rèn)證方式安裝電子鑰匙驅(qū)動程序?qū)㈦S機(jī)光盤放入管理主機(jī)的光驅(qū)，進(jìn)入隨機(jī)附帶的光盤的Ikey Driver目錄， 執(zhí)行該目錄下的INSTDRV，提示“退出請重新插鎖”。則表示已正確安裝完網(wǎng)神

4、電子鑰匙的驅(qū)動程序。*注意：安裝驅(qū)動程序過程中，請不要先將網(wǎng)神電子鑰匙插入管理主機(jī)的USB口。1.4登錄防火墻電子鑰匙認(rèn)證1.4登錄防火墻點(diǎn)擊“退出請重新插鎖”后裝電子鑰匙插入管理主機(jī)USB接口中，XP/2000/2003系統(tǒng)提示自動搜索電子鑰匙驅(qū)動程序,自動安裝即可。*注意：安裝驅(qū)動程序過程中，請不要先將網(wǎng)神電子鑰匙插入管理主機(jī)的USB口。電子鑰匙認(rèn)證在管理主機(jī)上，運(yùn)行隨機(jī)光盤Admin Auth目錄下的ikeyc 程序, 程序?qū)⑻崾居脩糨斎隤IN口令首次使用默認(rèn)PIN為“12345678”，1.4登錄防火墻電子鑰匙認(rèn)證 通過后彈出管理員身份認(rèn)證對話框,首次登錄點(diǎn)擊“連接”成功后,會顯示“通

5、過認(rèn)證”對話框。退出防火墻管理之前請不要關(guān)閉此頁面*注：在管理防火墻過程中，本程序每5秒將向防火墻提交一次認(rèn)證信息，因此，不能拔出電子鑰匙，或者關(guān)閉認(rèn)證程序，否則將導(dǎo)致對防火墻的管理被立即中斷。1.4登錄防火墻電子鑰匙認(rèn)證通過認(rèn)證程序后，在IE中輸入https:/防火墻IP:8888出廠默認(rèn)地址5，默認(rèn)的用戶密碼firewall1.4登錄防火墻電子鑰匙認(rèn)證1.4登錄防火墻電子鑰匙認(rèn)證 一、 使用防火墻證書管理 二、 導(dǎo)入IE瀏覽器證書1.4登錄防火墻證書認(rèn)證 導(dǎo)入防火墻證書要導(dǎo)入相對應(yīng)的IE瀏覽器證書.在管理主機(jī)本地雙擊IE瀏覽器證書，按照提示進(jìn)行安裝，需要輸入密碼時(shí)輸入“123456”，當(dāng)出

6、現(xiàn)導(dǎo)入成功后點(diǎn)擊確定完成。證書認(rèn)證1.4登錄防火墻 當(dāng)防火墻與IE證書均導(dǎo)入成功后，我們在管理主機(jī)打開IE瀏覽器并輸入https:/防火墻ip:8889出廠默認(rèn)IP為5,出現(xiàn)選擇證書提示后點(diǎn)擊“確定”1.4登錄防火墻證書認(rèn)證1.4登錄防火墻證書認(rèn)證出現(xiàn)安全警報(bào)后點(diǎn)擊“是(Y)”就會出現(xiàn)防火墻登錄頁面XP系統(tǒng)請確認(rèn)IE瀏覽器中internet選項(xiàng)-隱私選項(xiàng)-中的阻止彈出窗口選取去掉：如下圖1.4登錄防火墻證書認(rèn)證默認(rèn)用戶名密碼為:admin/firewall目錄1 防火墻登錄管理2防火墻的功能模塊的配置使用3 防火墻的配置管理2防火墻界面介紹管理首頁2防火墻界面介紹 首頁介紹在首頁大家可以看到,

7、設(shè)備信息(包括網(wǎng)關(guān)名稱,版本,序列號,型號),網(wǎng)絡(luò)接口(包括各網(wǎng)口的連接壯態(tài)等),資源狀態(tài)(包括CPU,內(nèi)存的利用率和當(dāng)前連接數(shù)),在線管理員,最近事件(包括所有的日志信息)等信息系統(tǒng)配置,管理配置模塊及各級子菜單2防火墻界面介紹系統(tǒng)配置升級許可配置2防火墻界面介紹1點(diǎn)擊瀏覽按鈕選中升級文件2打開pkg文件后點(diǎn)擊升級按鈕3點(diǎn)擊重啟網(wǎng)關(guān)，注意不要保存配置4升級后選中要導(dǎo)入license文件5點(diǎn)擊導(dǎo)入許可證2防火墻界面介紹系統(tǒng)配置導(dǎo)入導(dǎo)出配置1點(diǎn)擊瀏覽按鈕2選中要導(dǎo)入的防火墻配置3點(diǎn)擊導(dǎo)入配置按鈕管理配置添加管理主機(jī)2防火墻界面介紹1點(diǎn)擊添加按鈕添加IP地址2輸入管理主機(jī)ip地址3點(diǎn)擊確定管理配置

8、修改管理員賬號2防火墻界面介紹1點(diǎn)擊操作圖標(biāo)彈出對話框2點(diǎn)擊修改口令方框修改口令框顯示被選中3在口令中輸入字符串4再次輸入口令字符串確認(rèn)5點(diǎn)擊確認(rèn)使修改口令生效網(wǎng)絡(luò)配置修改網(wǎng)絡(luò)接口2防火墻界面介紹1點(diǎn)擊操作圖標(biāo)2修改工作模式3選中支持vlan4點(diǎn)擊確定修改生效網(wǎng)絡(luò)配置修改接口ip地址2防火墻界面介紹點(diǎn)擊操作圖標(biāo)修改接口地址1點(diǎn)擊添加按鈕添加ip地址2添加新ip地址3添加ip地址掩碼4點(diǎn)擊確定生效網(wǎng)絡(luò)配置添加策略路由2防火墻界面介紹1點(diǎn)擊添加按鈕2添加目的地址及掩碼3輸入下一跳地址或默認(rèn)網(wǎng)關(guān)地址4點(diǎn)擊確定生效對象定義添加地址列表2防火墻界面介紹1點(diǎn)擊添加按鈕增加列表2添加定義地址段3點(diǎn)擊確定生效

9、對象定義添加地址組2防火墻界面介紹點(diǎn)擊操作修改定義的地址組2將左邊地址表中已定義的成員添加到地址組3點(diǎn)擊添加按鈕（符號）4查看已添加地址組成員5點(diǎn)擊確定生效1點(diǎn)擊添加按鈕對象定義添加服務(wù)列表2防火墻界面介紹1點(diǎn)擊添加按鈕添加服務(wù)列表對象定義添加服務(wù)列表2防火墻界面介紹1添加名稱2選中http服務(wù)協(xié)議3選中DNS服務(wù)協(xié)議4添加http服務(wù)端口號添加dns服務(wù)端口號點(diǎn)擊確定生效對象定義添加帶寬列表2防火墻界面介紹1點(diǎn)擊添加按鈕2定義帶寬1Mb3點(diǎn)擊確定生效安全策略包過濾規(guī)則2防火墻界面介紹1選中包過濾規(guī)則2輸入ip地址3選擇禁止動作安全策略NAT規(guī)則2防火墻界面介紹1選擇nat規(guī)則2輸入源地址3選

10、擇服務(wù)類型4選擇轉(zhuǎn)換后的公網(wǎng)地址安全策略IP映射規(guī)則2防火墻界面介紹1選擇nat規(guī)則2輸入源地址3輸入外網(wǎng)訪問地址4輸入外網(wǎng)地址轉(zhuǎn)換后的ip地址5外網(wǎng)映射內(nèi)部服務(wù)器地址安全策略端口映射規(guī)則2防火墻界面介紹1選擇端口映射規(guī)則2輸入源地址3輸入外網(wǎng)訪問地址4選擇對外服務(wù)類型5輸入外網(wǎng)地址轉(zhuǎn)換后的ip地址6外網(wǎng)映射內(nèi)部服務(wù)器地址7選擇對外服務(wù)類型高可用性HA基本配置2防火墻界面介紹1選擇設(shè)置HA同步接口2選擇HA同步接口地址3點(diǎn)擊確定生效設(shè)置主防火墻為控制節(jié)點(diǎn)4設(shè)置自動配置同步5設(shè)置自動狀態(tài)同步6設(shè)置主墻同步的ip地址7點(diǎn)擊確定生效2防火墻界面介紹HAVRRP實(shí)例配置1點(diǎn)擊添加按鈕2添加實(shí)例名3選擇

11、網(wǎng)絡(luò)接口4設(shè)置優(yōu)先級值5添加虛ip地址6添加地址掩碼7點(diǎn)擊添加按鈕導(dǎo)入到右邊的信息欄8點(diǎn)擊確定生效HAVRRP關(guān)聯(lián)2防火墻界面介紹1點(diǎn)擊添加按鈕2輸入關(guān)聯(lián)名稱3輸入優(yōu)先級值4選中關(guān)聯(lián)列表點(diǎn)擊按鈕導(dǎo)入到右邊的關(guān)聯(lián)信息框點(diǎn)擊確定生效網(wǎng)絡(luò)監(jiān)控實(shí)時(shí)監(jiān)控2防火墻界面介紹1點(diǎn)擊選擇查詢的協(xié)議2選擇過濾的源地址及掩碼3選擇按連接數(shù)或流量監(jiān)控4點(diǎn)擊按鈕查詢結(jié)果目錄1 防火墻登錄管理2防火墻的功能模塊的配置使用3 防火墻的配置管理安全規(guī)則包流經(jīng)規(guī)則的順序是根據(jù)：應(yīng)用代理，端口映射，IP映射，過濾規(guī)則，地址轉(zhuǎn)換規(guī)則中的排列順序,誰排列在安全規(guī)則的最前面,最先執(zhí)行那條規(guī)則.增加源端口，源MAC地址，URL過濾，入網(wǎng)

12、口，出網(wǎng)口，時(shí)間調(diào)度，長連接,P2P等選項(xiàng).包流經(jīng)順序例如如下圖所示:NAT規(guī)則流入流出3 防火墻的配置管理代理規(guī)則端口映射規(guī)則IP映射規(guī)則包過濾規(guī)則安全規(guī)則概述包過濾NATIP映射端口映射3 防火墻的配置管理1 安全規(guī)則概述防火墻根據(jù)網(wǎng)絡(luò)環(huán)境應(yīng)用的不同，分為：包過濾NAT端口映射IP映射代理2. 防火墻安全規(guī)則默認(rèn)下是禁止所有通信3. 網(wǎng)絡(luò)所有通信都要通過安全規(guī)則來控制2 包過濾 包過濾規(guī)則 右圖拓?fù)涫堑湫偷木W(wǎng)絡(luò)環(huán)境。內(nèi)網(wǎng)有兩個(gè)網(wǎng)段，內(nèi)網(wǎng)1訪問內(nèi)網(wǎng)2一般采用普通的包過濾規(guī)則，內(nèi)網(wǎng)訪問外網(wǎng)，則采用NAT規(guī)則。本案例主要講解包過濾規(guī)則Internet內(nèi)網(wǎng)1192.168. 10.0/24Gw:f

13、e2:192.168. 10.1/24fe1:/24Gw:Fe3：172.21. 10.1/24172.21. 10.0/24Gw:內(nèi)網(wǎng)22 包過濾配置方法：定義接口IP定義安全規(guī)則2 包過濾定義接口IP進(jìn)入防火墻的web界面：網(wǎng)絡(luò)配置-接口IP，點(diǎn)擊添加，如圖設(shè)置fe1，fe2，fe3的IP地址2 包過濾定義安全規(guī)則進(jìn)入防火墻的web界面：安全策略-安全規(guī)則，添加一條內(nèi)網(wǎng)1訪問內(nèi)網(wǎng)2的包過濾規(guī)則3 NATInternet內(nèi)網(wǎng)192.168. 10.0/24Gw:fe2:192.168. 10.1/24fe1:/24Gw: NAT規(guī)則 右圖是典型的內(nèi)網(wǎng)訪問外網(wǎng)的拓?fù)?。?nèi)網(wǎng)通過 防火墻NAT規(guī)則

14、后，內(nèi)網(wǎng)地址被轉(zhuǎn)換為外網(wǎng)地址3 NAT配置方法：定義接口IP定義策略路由定義安全規(guī)則3 NAT定義接口IP進(jìn)入防火墻的web界面：網(wǎng)絡(luò)配置-接口IP，點(diǎn)擊添加，如圖設(shè)置fe1，fe2的IP地址3 NAT定義策略路由進(jìn)入防火墻web界面：網(wǎng)絡(luò)配置-策略路由，點(diǎn)擊添加，如圖設(shè)置3 NAT定義安全規(guī)則近進(jìn)入防火墻web界面：安全策略-安全規(guī)則，點(diǎn)擊添加，如圖設(shè)置4 IP映射InternetServer/pc192.168. 10.2/24Gw:fe2:192.168. 10.1/24fe1:/24Gw: IP映射 此案例拓?fù)涫堑湫偷膬?nèi)網(wǎng)一臺pc或者server被映射到公網(wǎng)，外網(wǎng)只能看到它的公網(wǎng)地址，

15、無法知道它在網(wǎng)絡(luò)中實(shí)際地址，通過防火墻IP映射規(guī)則后真正掩蓋它的實(shí)際地址，即達(dá)到pc的所有服務(wù)和功能映射到公網(wǎng)，又保證了pc的安全性 4 IP映射配置方法：定義接口屬性定義策略路由定義安全規(guī)則4 IP映射定義接口屬性 進(jìn)入防火墻web界面：網(wǎng)絡(luò)配置-接口IP，點(diǎn)擊添加，如圖設(shè)置4 IP映射定義策略路由進(jìn)入防火墻web界面：網(wǎng)絡(luò)配置-策略路由，點(diǎn)擊添加，如圖設(shè)置4 IP映射定義安全規(guī)則 進(jìn)入防火墻web界面：安全策略-安全規(guī)則，點(diǎn)擊添加，如圖設(shè)置5 端口映射InternetFTP server192.168. 10.2/24Gw:fe2:192.168. 10.1/24fe1:/24Gw: 端口

16、映射 此案例拓?fù)涫堑湫偷膬?nèi)網(wǎng)一臺server被映射到公網(wǎng)，外網(wǎng)只能看到它的公網(wǎng)地址，無法知道它在網(wǎng)絡(luò)中實(shí)際地址，通過防火墻端口映射規(guī)則后真正掩蓋它的實(shí)際地址，即達(dá)到pc的FTP服務(wù)映射到公網(wǎng)，又保證了server的安全性。它與IP映射不同之處就是：端口映射只是把某一種服務(wù)映射到外網(wǎng)；而IP映射是把整個(gè)pc映射到外網(wǎng)，相當(dāng)于把一個(gè)pc放置在公網(wǎng) 5 端口映射配置方法：定義接口屬性定義策略路由定義安全規(guī)則5 端口映射定義接口屬性 進(jìn)入防火墻web界面：網(wǎng)絡(luò)配置-接口IP，點(diǎn)擊添加，如圖設(shè)置5 端口映射定義策略路由進(jìn)入防火墻web界面：網(wǎng)絡(luò)配置-策略路由，點(diǎn)擊添加，如圖設(shè)置5 端口映射定義安全規(guī)則 進(jìn)入