漢柏防火墻安裝調(diào)試及故障排查技術(shù)培訓(xùn)課件

漢柏防火墻

產(chǎn)品技術(shù)培訓(xùn)漢柏科技有限公司二○一五年十一月漢柏防火墻

產(chǎn)品技術(shù)培訓(xùn)漢柏科技有限公司產(chǎn)品維護(hù)產(chǎn)品部署模式設(shè)備管理日志相關(guān)版本及特征庫升級(jí)license升級(jí)恢復(fù)出廠及配置備份和恢復(fù)產(chǎn)品維護(hù)產(chǎn)品部署模式

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法透明部署

路由部署

混合部署旁路部署議題：產(chǎn)品部署模式漢柏安全網(wǎng)關(guān)概述透明部署議題：產(chǎn)品部署模式路由部署網(wǎng)關(guān)模式：把設(shè)備當(dāng)作網(wǎng)絡(luò)出口，充分使用設(shè)備的NAT、路由選路、行為控制、VPN等功能的部署方式路由部署網(wǎng)關(guān)模式：把設(shè)備當(dāng)作網(wǎng)絡(luò)出口，充分使用設(shè)備的NAT、透明部署透明模式：當(dāng)用戶網(wǎng)絡(luò)已具備高性能的網(wǎng)絡(luò)出口，又想使用防火墻的功能，則可以把防火墻串接在內(nèi)網(wǎng)核心交換機(jī)和網(wǎng)絡(luò)出口設(shè)備之間，用戶將不必變更網(wǎng)絡(luò)拓?fù)浜托薷穆酚桑涂墒褂梅阑饓Φ男袨榭刂?、VPN等功能透明部署透明模式：當(dāng)用戶網(wǎng)絡(luò)已具備高性能的網(wǎng)絡(luò)出口，又想使用旁路部署旁路模式：當(dāng)用戶網(wǎng)絡(luò)已具備高性能的網(wǎng)絡(luò)出口，也不想把設(shè)備串接在內(nèi)網(wǎng)核心交換機(jī)和出口設(shè)備之間，又想使用防火墻的VPN、DHCP等功能，則可將設(shè)備像一臺(tái)服務(wù)器一樣旁掛在核心交換機(jī)上旁路部署旁路模式：當(dāng)用戶網(wǎng)絡(luò)已具備高性能的網(wǎng)絡(luò)出口，也不想把混合部署混合模式：指設(shè)備同時(shí)工作于是路由模式和透明模式，將多個(gè)接口配置為一組透明橋，同時(shí)此橋組上實(shí)現(xiàn)NAT、路由等功能混合部署混合模式：指設(shè)備同時(shí)工作于是路由模式和透明模式，將多

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法WEB管理

命令行管理議題：設(shè)備管理漢柏安全網(wǎng)關(guān)概述WEB管理議題：設(shè)備管理出廠配置下可以通過接口Ge0/0/0或Man0/0/0口的默認(rèn)地址54進(jìn)行web管理：將電腦IP地址設(shè)置為/24網(wǎng)段地址，并連到Ge0/0/0或Man0/0/0口，打開Chrome瀏覽器，輸入54:8888登陸WEB管理頁面，輸入用戶名administrator、默認(rèn)密碼administrator進(jìn)入設(shè)備首頁。WEB管理出廠配置下可以通過接口Ge0/0/0或Man0/0/0口的默WEB管理WEB管理1、修改管理員administrator的默認(rèn)密碼為admin123456（密碼必須10-50位，且必須包含字母、數(shù)字），且保持administrator賬號(hào)擁有所有權(quán)限。設(shè)置管理員administrator賬號(hào)的管理主機(jī)IP為08/32，即只有08這臺(tái)主機(jī)可以用administrator賬號(hào)管理設(shè)備。2、添加管理員賬號(hào)test，配置密碼為admin123456，權(quán)限設(shè)置為“審計(jì)”，管理主機(jī)IP不限，即所有主機(jī)都能用此賬號(hào)登陸設(shè)備管理，建議具有配置權(quán)限的賬號(hào)不要配置為管理主機(jī)不限。3、設(shè)置web頁面超時(shí)時(shí)間：若設(shè)置為10分鐘，則10分鐘內(nèi)管理員未做任何操作，則自動(dòng)退出管理頁面；管理員最大登陸重試次數(shù)：若密碼錯(cuò)誤，共可嘗試登陸的次數(shù)（最多可重復(fù)登錄10次）管理員登陸失敗阻斷間隔：若連續(xù)輸入錯(cuò)誤密碼達(dá)到最大登陸重試次數(shù)，則會(huì)阻斷一段時(shí)間不允許登陸。（阻斷間隔60-65535s）WEB管理--管理員配置要點(diǎn)1、修改管理員administrator的默認(rèn)密碼為admi命令行管理-concole登錄用串口線連接波特率38400命令行管理-concole登錄用串口線連接命令行管理--concole登錄直接進(jìn)入設(shè)備命令行模式。輸入“uc3”密碼為：admin進(jìn)入設(shè)備命令行下命令行管理--concole登錄直接進(jìn)入設(shè)備命令行模式。輸入命令行管理--Telnet登錄使用telnet方式管理首先要保證管理主機(jī)到設(shè)備的接口地址的連通性是好的的，若能ping通管理接口則說明連通性沒問題（設(shè)備默認(rèn)開啟ping服務(wù)）。1、開啟設(shè)備telnet服務(wù)，設(shè)備的telnet服務(wù)默認(rèn)是沒有開啟的，需要到“系統(tǒng)安全”開啟此功能。2、telnet管理地址，輸入用戶名密碼，用戶名密碼與web登錄的一致，設(shè)備默認(rèn)用戶中沒有開啟Telnet服務(wù)，需要手動(dòng)開啟。命令行管理--Telnet登錄使用telnet方式管理首先命令行管理--SSH登錄使用ssh方式管理首先要保證管理主機(jī)到設(shè)備的接口地址的連通性是好的的，若能ping通管理接口則說明連通性沒問題（設(shè)備默認(rèn)開啟ping服務(wù)）。1、設(shè)備默認(rèn)開啟ssh服務(wù)，不需要另行配置。2、使用終端軟件(如SecuityCRT)新建一個(gè)ssh連接，輸入用戶名密碼（用戶名密碼與web登錄的一致）對(duì)設(shè)備進(jìn)行管理。命令行管理--SSH登錄使用ssh方式管理首先要保證管理主命令行管理--常用命令PA-5500-AF50C>uc3password:PA-5500-AF50C#configure進(jìn)入配置模式PA-5500-AF50C#configurePA-5500-AF50C(config)#showrun：查看所有配置PA-5500-AF50C(config)#shrunsaveconfiguration:保存配置PA-5500-AF50C(config)#saveconfigurationSavingcurrentconfigurationtofilenamedcfi:/config.cfg.也可以指定配置文件名稱，如：PA-5500-AF50C(config)#saveconfigurationcfi:/test.cfgresetconfiguration:恢復(fù)出廠設(shè)置PA-5500-AF50C(debug)#resetconfiguration（resetconfiguration后需要保存配置并重啟設(shè)備才會(huì)生效）reboot：重啟設(shè)備PA-5500-AF50C(sysmgr)#rebootAreyousuretoreboot(Y/N)?Y命令行管理--常用命令PA-5500-AF50C>uc3命令行管理--常用命令showversion：查看版本PA-5500-AF50C(config)#shversionSN:123ABC456DEF7890TYPE:PA-5500-AF50CISOS:V5.0BOOTLOADER:V5.X.1SOFTWARE:V500H010P003D019B03,BUILD57274,RELEASEBUILDTIME:Thu30-Jul-1517:45Copyright(C)2009-2015OpzoonTechnologyCo.,Ltd.

配置接口地址：PA-5500-AF50C(config)#interman0/0/0PA-5500-AF50C(config-if-Man0/0/0)#ipadd24開啟http、telnet管理功能：PA-5500-AF50C(config)#local-securityhttphttp-serverPA-5500-AF50C(config)#local-securitytelnettelnet-server為某一用戶指定http、Telnet訪問權(quán)限：PA-5500-AF50C(config)#useradministratortypeadministratorPA-5500-AF50C(config-user-admin-administrator)#service-typehttp-serverPA-5500-AF50C(config-user-admin-administrator)#service-typetelnet-server命令行管理--常用命令showversion：查看版本配置

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法

用戶administrator查看用戶audit查看SOC軟件查看議題：日志相關(guān)漢柏安全網(wǎng)關(guān)概述議題：日志相關(guān)用戶administrator查看使用administrator賬號(hào)登錄后(默認(rèn)密碼為administrator123)，可在本地日志查看相關(guān)功能的日志及系統(tǒng)日志：使用admin賬號(hào)登錄后本地日志中含有多個(gè)分類：所有日志、系統(tǒng)日志、操作日志、應(yīng)用安全日志、入侵防護(hù)日志、垃圾郵件日志、DDOS防護(hù)日志、其他日志。注：這些分類日志除所有日志、系統(tǒng)日志、操作日志外均需要開啟相應(yīng)的功能且開啟相應(yīng)功能的日志通知后，才能有日志信息。用戶administrator查看使用administrat用戶audit查看使用audit賬號(hào)登錄(默認(rèn)密碼為administrator后，可查看設(shè)備的管理日志，即可看到哪個(gè)IP地址在什么時(shí)間登錄設(shè)備對(duì)設(shè)備做了哪些操作配置。 登錄成功后，到可視>日志顯示里就可查看相應(yīng)日志，也可以配置查詢條件查詢某段時(shí)間、某種類型的日志。用戶audit查看使用audit賬號(hào)登錄(默認(rèn)密碼為admi

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法版本升級(jí)

特征庫升級(jí)議題：版本及特征庫升級(jí)漢柏安全網(wǎng)關(guān)概述版本升級(jí)議題：版本及特征庫升級(jí)版本升級(jí)--WEB界面下版本升級(jí)要點(diǎn)1、防火墻的軟件版本是通用的，不同設(shè)備通過license和pd文件控制。2、升級(jí)包的升級(jí)失敗后能及時(shí)處理。后綴名默認(rèn)必須為.rom，前綴任意。3、升級(jí)前必須準(zhǔn)備配置線，以防在升級(jí)失敗。4、升級(jí)過程中請(qǐng)不要切換到其他界面，更不能斷電或重啟設(shè)備。5、版本導(dǎo)入后需要重啟設(shè)備才能生效6、注意：升級(jí)會(huì)造成網(wǎng)絡(luò)中斷。升級(jí)過程中時(shí)，請(qǐng)按照操作步驟進(jìn)行升級(jí)，操作不當(dāng)會(huì)造成系統(tǒng)丟失版本升級(jí)--WEB界面下版本升級(jí)要點(diǎn)版本升級(jí)--WEB界面下版本升級(jí)--WEB界面下命令行下升級(jí)版本升級(jí)要點(diǎn)1、防火墻的軟件版本是通用的。2、命令行下升級(jí)又可分為ssh方式升級(jí)和console線方式升級(jí)，方式不一樣，但是使用的命令是一樣的，本案例介紹console線方式升級(jí)3、升級(jí)前必須準(zhǔn)備配置線，以防在升級(jí)失敗后能及時(shí)處理4、軟件版本較大，推薦使用FTP軟件：3CDaemon。命令行下升級(jí)版本升級(jí)要點(diǎn)特征庫升級(jí)當(dāng)防火墻需要經(jīng)常更新病毒庫、應(yīng)用特征庫、入侵防御特征庫，才能更有效的起到防護(hù)效果，升級(jí)的前提是已經(jīng)購買了更新授權(quán)的許可，并且該許可已經(jīng)導(dǎo)入到防火墻。1、升級(jí)分為手動(dòng)升級(jí)和自動(dòng)升級(jí)，升級(jí)有效的前提是已經(jīng)購買過相關(guān)的授權(quán)許可，且導(dǎo)入到防火墻里面?？梢允褂米詣?dòng)升級(jí)，只要防火墻有設(shè)置正確的DNS地址，且能和互聯(lián)網(wǎng)正常通信，就會(huì)自動(dòng)將特征庫升級(jí)，以保持特征庫為最新版本。若設(shè)備與互聯(lián)網(wǎng)不能正常通信無法自動(dòng)更新，也可以手動(dòng)升級(jí)，即通過漢柏科技客服電話索取特征庫，然后從本地電腦以瀏覽方式導(dǎo)入到防火墻（如果沒有授權(quán)許可，特征庫是無法導(dǎo)入的）。2、由于升級(jí)過程中，防火墻需要從外網(wǎng)下載升級(jí)包，會(huì)占用網(wǎng)絡(luò)帶寬，且會(huì)影響設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)，所以建議將自動(dòng)升級(jí)時(shí)間設(shè)置在在上網(wǎng)低峰的時(shí)候特征庫升級(jí)當(dāng)防火墻需要經(jīng)常更新病毒庫、應(yīng)用特征庫、入侵防御特特征庫升級(jí)特征庫升級(jí)

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法license升級(jí)議題：license升級(jí)漢柏安全網(wǎng)關(guān)概述議題：license升級(jí)license導(dǎo)入1、入侵防御、防病毒、應(yīng)用識(shí)別等功能需要有特征庫才能使用。出廠時(shí)自帶特征庫。2、若沒有購買正式授權(quán)，則設(shè)備無法更新這些功能對(duì)應(yīng)的特征庫，特征庫不準(zhǔn)則會(huì)導(dǎo)致識(shí)別不準(zhǔn)確，從而導(dǎo)致功能效果不理想。這些功能的授權(quán)可根據(jù)實(shí)際需要單獨(dú)購買。提示：license文件只能使用一次。license導(dǎo)入1、入侵防御、防病毒、應(yīng)用識(shí)別等功能需要有l(wèi)icense導(dǎo)入license導(dǎo)入

漢柏安全網(wǎng)關(guān)概述

安全網(wǎng)關(guān)的快速安裝操作

安全網(wǎng)關(guān)主要功能點(diǎn)操作故障排除方法恢復(fù)出廠配置

配置備份配置恢復(fù)議題：恢復(fù)出廠及配置備份和恢復(fù)漢柏安全網(wǎng)關(guān)概述議題：恢復(fù)出廠及配置備份和恢復(fù)恢復(fù)出廠配置1、通過web管理方式恢復(fù)出廠設(shè)置?；謴?fù)出廠設(shè)置會(huì)清空所有配置，恢復(fù)出廠后需要重啟才生效?；謴?fù)出廠設(shè)置后，管理口地址恢復(fù)為54，可通過此地址登陸54:8888進(jìn)行