inforcube新一代防火墻v6快速使用手冊

本文檔歸上訊 所有，并保留一切權(quán)利。書面，任何公司和個人不得將此文檔中的包括其中所含的所有資料進行、公開、或以其他方式、散發(fā)給第。否則，本公司將必將其本文檔僅提供階段性信息，因市場情況變化迅速，所含內(nèi)容可根據(jù)產(chǎn)品的實際情況隨時更新、修改，恕不另行通知。所以，本文檔參考使用，不提供任何形式的擔保，如因文檔使用不當造成的直接或間接損失，本公司不承擔任何責任。地址：市浦東新區(qū)路498號20號樓3：201203：86- 傳真：86-郵箱： INFORCUBE管理方 網(wǎng)絡(luò)配 DNS配 路由配 靜態(tài)路 策略路 配置虛擬 對單個IP地址與端口設(shè)置靜態(tài)NAT端口轉(zhuǎn) 對一個IP地址范圍與端口范圍設(shè)置靜態(tài)NAT端口轉(zhuǎn)發(fā)設(shè) 添加動態(tài)虛擬 安全策略配 特征庫升 關(guān)于上訊信 系列產(chǎn)品默認在internal 或者mgmt 口上有IP 地址：。用戶名為：admin為suninfo123。通過瀏覽器可通過上面的管理地址來進行web頁面的登陸。結(jié)果如下圖所示：我們現(xiàn)在來介紹對一般用戶來說難度較高的初始配置方法，也是我們后期真正做調(diào)試的過程中用的比較多的法，就是使用Console口來進行配置。首先，使用Console口進行連接，線接好之后，我們使用的是SecureCRT來創(chuàng)建連接。SecureCRT界面SecureCRT新建連接我們需要在連接到設(shè)備之前新建接，協(xié)議選擇的地方選擇串口協(xié)議。選完協(xié)議后會被要求選擇接口，具體是 3。。。我們就要到計算機的設(shè)備管理器中查看了，看一下端口（COM和LPT）這一項下面虛擬出來的COM口是幾，我們的計算機顯示為COM3，就回到SecureCRT中選擇COM3接口，然后波特率選擇9600。初始化連接建立配置Admin

連接建立成功如果修改的話可以點擊“系統(tǒng)管理—管理員設(shè)置—管理員”進行修改由于這款設(shè)備支持雙WAN接入，因此在圖中您可以看到有單以太網(wǎng)和雙以太網(wǎng)兩個，可以將上網(wǎng)卡插到設(shè)備的USB接口上。由于我們演示環(huán)境只有單線接入，因此我們選擇單以太網(wǎng)，然后點擊下一步。網(wǎng)絡(luò)配置界面WAN1接口配置設(shè)備提供3WAN網(wǎng)絡(luò)接入類型，DHCP類型，靜態(tài)IP類型，和PPPoE撥號類型。PPPoE就像是ADSL接入，設(shè)置方法和家用無線路由器一樣，將ADSL賬號和輸入就好了。上圖所示為靜態(tài)IP的配置情況，填寫好就可以了。我們演示環(huán)境是DHCP，也是大多數(shù)企業(yè)場景。LAN口設(shè)置其實選擇了DHCPLAN配置的界面上，設(shè)備自動生成了默認的一套配置?？梢钥吹絠nternal接口默認啟用DHCP，接口ip192.168.1.99，24位掩碼。地址池為110-210。DNS轉(zhuǎn)至系統(tǒng)>網(wǎng)絡(luò)>選項，添加主服務(wù)器和次服務(wù)器的IP地址。這些服務(wù)器應(yīng)為ISP所提供的DNS服務(wù)器或其他公共DNS服務(wù)器。單元利用這些DNS服務(wù)器來進行其DNS查詢，并且為你內(nèi)部網(wǎng)絡(luò)提供DNS查詢。您可以通過定義數(shù)據(jù)包的目標IP地址與掩碼配置FortiGate設(shè)備截取的數(shù)據(jù)包，并指定這些數(shù)據(jù)包的IP地址（網(wǎng)關(guān)）。網(wǎng)關(guān)地址是指數(shù)據(jù)包所到達的下一站中繼路由。包含出廠配置的靜態(tài)路由列表（參見“默認的路由與網(wǎng)關(guān)”）注意：除非另有注明，靜態(tài)路由舉例與配置步驟均針對IPv4圖5所示的編輯靜態(tài)路由的框?qū)儆贔ortiGate設(shè)備中接口名為“內(nèi)部接口”的接口。在您配圖5

網(wǎng)關(guān)輸入FortiGate設(shè)備將截取的數(shù)據(jù)包轉(zhuǎn)發(fā)到的下一站路由的IP地址。設(shè)備路由數(shù)據(jù)包通過的FortiGate接口名稱。管理距離輸入路由的管理距離。通過設(shè)定管理距離，您可以指定在具有相同離是相對更優(yōu)先的路徑。距離可以設(shè)置為1到255進入路由>靜態(tài)>策略路由并點擊“新建”圖7所示的具有“外部接口”與“內(nèi)部接口”的FortiGate設(shè)備中顯示的新策略路由的框。您協(xié)議端口根據(jù)數(shù)據(jù)包協(xié)議字段的數(shù)值執(zhí)行策略路由，輸入相匹配的協(xié)議號進入接口點擊選擇接收流入數(shù)據(jù)包的接口。源地址/掩碼根據(jù)數(shù)據(jù)包的IP源地址執(zhí)行策略路由，輸入相匹配的源地址與掩

目的端口根據(jù)接收數(shù)據(jù)包的接口執(zhí)行策略路由。在“從”與“至”字段輸入相起始與結(jié)束的端范圍。設(shè)定為零表示撤消該功能項。 配置擬一個虛擬IP的外部IP地址可以是與Inforcube設(shè)備接口的單個IP地址或一IP地址范圍。當一個IP地址或IP地址群與Inforcube設(shè)備接口綁定后，默認情況下，網(wǎng)絡(luò)接口將對綁定IP地址或IP地址范圍的ARP請求作出響應(yīng)。虛擬IP使用RFC1027中定義的ARP，因此Inforcube設(shè)備將對實際安裝在其他網(wǎng)絡(luò)中發(fā)出的ARP做出響應(yīng)。一個虛擬IP的映射IP地址可以是單個的IP地址、IP地址范圍或?qū)ω撦d平衡中定義的一套服務(wù)器。當數(shù)據(jù)包與策略列表中策略比較，鎖定匹配策略時，如果策略的目標地址是一個虛擬IP，Inforcube設(shè)備應(yīng)用NAT，將數(shù)據(jù)包的目標地址轉(zhuǎn)換為虛擬IP映射的IP地址。為實現(xiàn)IP地址或IP地址池配置的轉(zhuǎn)換，必須添加NAT防護墻策略。例如，添加策略將公共網(wǎng)絡(luò)地址映射到私有網(wǎng)絡(luò)，添加從外部接口到內(nèi)部接口的防火墻策略，將目標地址字段設(shè)置為一個虛擬IP。創(chuàng)建虛擬名稱輸入虛擬IP的名稱。地址，地址組與虛擬IP必須具有單獨的名稱避免在配置策略中發(fā)生。外部接口從列表中選擇虛擬IP外部接口。外部接口與源網(wǎng)絡(luò)連接并接收數(shù)據(jù)類型選擇“靜態(tài)NAT”或“負載平衡”

外部服務(wù)端口輸入在配置端口轉(zhuǎn)發(fā)時外部服務(wù)端。該選項只有在啟動端口轉(zhuǎn) 外部端映射到目標網(wǎng)絡(luò)中的端您也可以一個端范圍將數(shù)據(jù)包轉(zhuǎn)發(fā)到目標網(wǎng)絡(luò)中多個端口設(shè)備將計算出外部端范圍并將其添加到外部服務(wù)端口字段。對單個IP地址與端口設(shè)置靜態(tài)NAT聯(lián)網(wǎng)試圖與192.168.37.4.端口80建立連接時地址被轉(zhuǎn)換并通過Inforcube設(shè)備發(fā)送到10.10.10.10.42.端口8000?；ヂ?lián)網(wǎng)中的計算機設(shè)備并不會對該轉(zhuǎn)換有所反映，認為連接的是 靜態(tài)

與互聯(lián)網(wǎng)發(fā)生通信使用的端。對于web服務(wù)器，一般通常使用的端為80。 將wan1接口應(yīng)用虛擬IP設(shè)置添加dmz1策略中，那么當位于互聯(lián)網(wǎng)中的用戶試圖與服進入>策略，并點擊“新建”配置策略 目標接口/區(qū)域dmz1目標地址名稱 與192.168.37.5.端為82的通信過程中地址將被轉(zhuǎn)換并由Inforcube設(shè)備發(fā)送到地址為進入>虛擬IP>虛擬IP 靜態(tài)

映射到端口web服務(wù)器接收流量使用的端口。通過在第一個字段輸入起始IP地將設(shè)置了靜態(tài)NATIPIP進 配 策略 目標接口/區(qū)域dmz1目標地址名稱 添加動態(tài)擬輸入外部服務(wù)端，配置動態(tài)端口轉(zhuǎn)發(fā)外部端必須與被轉(zhuǎn)發(fā)數(shù)據(jù)包的目標地址端相匹配。例如，虛擬IP提供從互聯(lián)網(wǎng)輸入配置動態(tài)端口轉(zhuǎn)發(fā)的外部服務(wù)端外部服務(wù)端必須與數(shù)據(jù)包被轉(zhuǎn)發(fā)的目標端口匹配。例如，如果虛擬IP提供從互聯(lián)網(wǎng) 輸入映射 ，該端添加在轉(zhuǎn)發(fā)的數(shù)據(jù)包中如果該端口沒有被轉(zhuǎn)換，輸入與外部服務(wù)端相同的號碼這是要控制允許設(shè)備如何上，是否是允許設(shè)備總是通過設(shè)備上?；蛘咴诠潭ǖ臅r間段內(nèi)可以上。比的公司要求某些部門的員工在9點到12點，14點到18點是上的，就會用到這樣的策略。在這里我們選擇總是允許來進行下一步的配置。時間表配置策略配置內(nèi)網(wǎng)設(shè)備要上必須要有從私網(wǎng)地址到公網(wǎng)地址的轉(zhuǎn)換，因此NAT是默認開啟的，其余的安全功能比如UTM功能，用戶行為限制等等也是默認開啟的。用戶為了快速上線可以先不考慮，把界面上的勾點掉。后續(xù)有需求的時候可以再自行根據(jù)需求來開啟相應(yīng)的功能并且配置策略。Inforcube設(shè)備可以手動或自動更新特征庫，手動更新需要通過web界面登錄，點擊“系統(tǒng)管理”—>“特征庫”—>“更新”。特征庫更新的特征庫文件，找到需要更新的特征庫，選擇“升級”，然后再通過“瀏覽”選擇的文件，點擊“確認”上傳的特征文件，需要數(shù)分鐘時間。建議大家在客戶測試和正式使用之前進行特征庫的更新，以獲得最佳的的測試效果和使用效果。（）上訊 以下簡稱上訊信息 領(lǐng)域企業(yè)之一，可提供咨詢及評估、數(shù)據(jù)安全產(chǎn)品、合規(guī)與審計產(chǎn)品、信息安全及優(yōu)化整體解決方案與安全運維服務(wù)。公司以前瞻性的眼光，組織頂尖專家自主研發(fā)以及甄選出最符合市場發(fā)展方向且覆蓋各個層面的尖端安全產(chǎn)品以滿足的客戶需求。（）而今的上訊信息已經(jīng)逐步成為了具有強大自主研發(fā)能力和雄厚經(jīng)營實力的信息安全企業(yè)。目前公司在西安、、設(shè)立研發(fā)中心，擁有遍布各地的20個本地化技術(shù)服務(wù)機構(gòu)，服務(wù)可覆蓋31個省市地區(qū)，完善的服務(wù)體系使得上訊信息具備高效快速為客戶解決各種問題的能力，最大程度的節(jié)省和保護客戶的投資，為客戶排憂解難，保證客戶的IT信息系統(tǒng)連續(xù)、穩(wěn)定、高效、安全地運行。