防火墻配置與維護課件

防火墻配置與維護課件防火墻配置王光春雨天融信公司技術(shù)工程師防火墻配置第一部分：防火墻基礎(chǔ)知識第二部分：防火墻配置案例第三部分：防火墻特殊應(yīng)用第四部分：防火墻輔助功能第五部分：防火墻日常維護目錄第一部分：防火墻基礎(chǔ)知識目錄Internet一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域之間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全策略控制（允許、拒絕、監(jiān)視、記錄）進出網(wǎng)絡(luò)的訪問行為。兩個安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostA目的協(xié)議控制源根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為內(nèi)部網(wǎng)防火墻知識介紹－防火墻定義（作用）Internet一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間

硬件設(shè)備

外形：1U/2U標準機箱接COM口管理機直通線交叉線串口線PCRouteSwich、Hub交叉線防火墻知識介紹－線纜連接方式硬件設(shè)備接COM口管理機直通線交叉線串口線PCRouteS透明模式(提供橋接功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。也就是說，對于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時不作任何改動，包括IP和MAC地址，直接把包轉(zhuǎn)發(fā)出去。同時，網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP的VLAN之間進行路由轉(zhuǎn)發(fā)。路由模式(靜態(tài)路由功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址，然后轉(zhuǎn)發(fā)。該模式適用于每個區(qū)域都不在同一個網(wǎng)段的情況。和路由器一樣，網(wǎng)絡(luò)衛(wèi)士防火墻的每個接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。綜合模式(透明+路由功能)顧名思義，這種模式是前兩種模式的混合。也就是說某些區(qū)域（接口）工作在透明模式下，而其他的區(qū)域（接口）工作在路由模式下。該模式適用于較復(fù)雜的網(wǎng)絡(luò)環(huán)境。說明：防火墻采用何種通訊方式是由用戶的網(wǎng)絡(luò)環(huán)境決定的，用戶需要根據(jù)自己的網(wǎng)絡(luò)情況，合理的確定防火墻的通訊模式；并且防火墻采用何種通訊方式都不會影響防火墻的訪問控制功能。

防火墻知識介紹－防火墻提供的通訊模式透明模式(提供橋接功能)防火墻知識介紹－防火墻提供的通訊模式防火墻知識介紹－透明模式典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0：ETH1：ETH2：0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個廣播域，防火墻做透明設(shè)置。此時防火墻為透明模式。防火墻知識介紹－透明模式典型應(yīng)用Internet內(nèi)部網(wǎng)202內(nèi)部網(wǎng)ETH0：ETH1：ETH2：/24網(wǎng)段/24網(wǎng)段外網(wǎng)、SSN區(qū)、內(nèi)網(wǎng)都不在同一網(wǎng)段，防火墻做路由方式。這時，防火墻相當于一個路由器。防火墻知識介紹－路由模式典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0：ETH1：02ETH2：00/24網(wǎng)段/24網(wǎng)段此時整個防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式/24網(wǎng)段ETH0：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式防火墻知識介紹－混合模式典型應(yīng)用ETH1：02ETH2：192.168防火墻知識介紹－防火墻出廠默認配置防火墻知識介紹－防火墻出廠默認配置串口(console)管理方式：管理員為空，回車后直接輸入口令即可，初始口令talent,用passwd修改管理員密碼，請牢記修改后的密碼。WEBUI（瀏覽器）管理方式：

超級管理員:superman，口令:talentTELNET管理方式：

模擬console管理方式，用戶名superman，口令：talentSSH管理方式：模擬console管理方式，用戶名superman，口令：talent如果密碼管理不善而丟失，只能返回廠家維修防火墻知識介紹－防火墻提供的管理方式串口(console)管理方式：防火墻知識介紹－防火墻提供的超級終端參數(shù)設(shè)置：防火墻知識介紹－CONSOLE口管理超級終端參數(shù)設(shè)置：防火墻知識介紹－CONSOLE口管理防火墻的命令菜單：防火墻知識介紹－CONSOLE口管理防火墻的命令菜單：防火墻知識介紹－CONSOLE口管理輸入helpmodechinese命令可以看到中文化菜單防火墻知識介紹－CONSOLE口管理輸入helpmodechinese命令防火墻知識介紹－CO在瀏覽器輸入：HTTPS://54，看到下列提示，選擇“是”防火墻知識介紹－瀏覽器管理方式在瀏覽器輸入：HTTPS://54，看輸入用戶名和密碼后，按“提交”按鈕防火墻知識介紹－瀏覽器管理方式輸入用戶名和密碼后，按“提交”按鈕防火墻知識介紹－瀏覽器管理防火墻知識介紹－瀏覽器管理方式防火墻知識介紹－瀏覽器管理方式通過TELNET方式管理防火墻：防火墻知識介紹－telnet管理方式通過TELNET方式管理防火墻：防火墻知識介紹－telnet注意：要想通過TELNET、SSH方式管理防火墻，必須首先打開防火墻的服務(wù)端口，系統(tǒng)默認打開“HTTP”方式。在“系統(tǒng)”－“系統(tǒng)服務(wù)”中選擇“啟動”即可防火墻知識介紹－啟動防火墻管理服務(wù)注意：要想通過TELNET、SSH方式管理防火墻，必須首先打?qū)ο蟮母拍睿悍阑饓Υ蠖鄶?shù)的功能配置都是基于資源對象的。如訪問控制策略、地址轉(zhuǎn)換策略、服務(wù)器負載均衡策略、認證管理等?？梢哉f，定義各種類型的資源對象是管理員在對網(wǎng)絡(luò)衛(wèi)士防火墻進行配置前首先要做的工作之一。使用對象好處：資源對象概念的使用大大簡化了管理員對網(wǎng)絡(luò)衛(wèi)士防火墻的管理工作。當某個資源對象發(fā)生變化時，管理員只需要修改對象本身屬性即可，而無需逐一的修改所有涉及到這個對象的策略或規(guī)則。對象的類型：在網(wǎng)絡(luò)衛(wèi)士防火墻中，用戶可定義的資源對象的類型包括：地址對象：包括IP地址對象、MAC地址對象、地址范圍對象、子網(wǎng)對象和地址組等。屬性對象：包括屬性對象和屬性組。屬性對象需要與其他對象綁定方能生效（如與接口、子接口、區(qū)域?qū)ο蟮冉壎ǎ?。區(qū)域?qū)ο螅和ㄟ^與屬性對象綁定，定義區(qū)域的訪問權(quán)限。時間對象：包括多次循環(huán)的時間對象和單次時間對象。防火墻知識介紹－資源對象的概念對象的概念：防火墻知識介紹－資源對象的概念接口和區(qū)域是兩個不同的概念接口：和網(wǎng)絡(luò)衛(wèi)士防火墻的物理端口一一對應(yīng)，如Eth0、Eth1等。區(qū)域：可以把區(qū)域看作是一段具有相似安全屬性的網(wǎng)絡(luò)空間。在區(qū)域的劃分上，網(wǎng)絡(luò)衛(wèi)士防火墻的區(qū)域和接口并不是一一對應(yīng)的，也就是說一個區(qū)域可以包括多個接口。在安裝網(wǎng)絡(luò)衛(wèi)士防火墻前，首先要對整個受控網(wǎng)絡(luò)進行分析，并根據(jù)網(wǎng)絡(luò)設(shè)備，如主機、服務(wù)器等所需要的安全保護等級來劃分區(qū)域。防火墻中對象的概念防火墻設(shè)置策略時，首先要有已定義好的可操作對象地址對象、服務(wù)對象、時間對象、區(qū)域?qū)ο蟮确阑饓χR介紹－區(qū)域?qū)ο蠛蛥^(qū)域權(quán)限接口和區(qū)域是兩個不同的概念防火墻中對象的概念防火墻知識介紹－互聯(lián)網(wǎng)區(qū)域C_eth3辦公區(qū)域DInternet辦公區(qū)域A_eth1辦公區(qū)域B_eth2防火墻知識介紹－定義區(qū)域互聯(lián)網(wǎng)區(qū)域C_eth3辦公區(qū)域DInternet辦公區(qū)域A_Internet辦公_eth1拒絕SSN區(qū)_eth2拒絕互聯(lián)網(wǎng)區(qū)_eth3允許外網(wǎng)區(qū)域權(quán)限：允許其它區(qū)域發(fā)起的對互聯(lián)網(wǎng)區(qū)域的訪問都被允許通過辦公區(qū)、ssn區(qū)權(quán)限：拒絕其它區(qū)域內(nèi)發(fā)起的對內(nèi)網(wǎng)辦公和SSN的訪問都被拒絕，這時候需要添加訪問控制規(guī)則，允許互聯(lián)網(wǎng)和辦公區(qū)訪問SSN區(qū)的服務(wù)器允許允許拒絕拒絕防火墻知識介紹－定義區(qū)域權(quán)限Internet辦公_eth1拒絕SSN區(qū)_eth2規(guī)則列表需要注意的問題：1、規(guī)則作用有順序：阻斷策略－訪問控制策略－區(qū)域權(quán)限

2、訪問控制列表遵循第一匹配規(guī)則：先后順序匹配

3、規(guī)則的一致性和邏輯性：策略相互包含關(guān)系、冗余重復(fù)防火墻知識介紹－訪問控制規(guī)則說明規(guī)則列表需要注意的問題：防火墻知識介紹－訪問控制規(guī)則說明第一部分：防火墻基礎(chǔ)知識第二部分：防火墻配置案例第三部分：防火墻特殊應(yīng)用第四部分：防火墻輔助功能第五部分：防火墻日常維護目錄第一部分：防火墻基礎(chǔ)知識目錄路由走向(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)

確定防火墻的工作模式：路由、透明、綜合。IP地址的分配(包括防火墻及其相關(guān)設(shè)備的IP地址分配)根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向(各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號或者協(xié)議類型)要達到的安全目的(即要做什么樣的訪問控制)在安裝防火墻之前必須弄清楚的幾個問題：防火墻配置－配置前的準備路由走向(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)網(wǎng)絡(luò)衛(wèi)士防火墻的基本配置過程：1、配置接口的通訊模式：路由模式、交換模式2、配置接口IP地址：可以再串口下配置IP及管理權(quán)限，

串口下用命令save保存配置3、配置路由策略：靜態(tài)路由、策略路由4、定義資源對象：區(qū)域、地址、服務(wù)、時間5、開放對應(yīng)區(qū)域的防火墻管理權(quán)限6、定義地址轉(zhuǎn)換策略：源、目的、雙向轉(zhuǎn)換7、定義訪問控制策略：基于各種資源對象靈活的控制8、系統(tǒng)參數(shù)調(diào)整及輔助功能配置：管理用戶參數(shù)、日志等9、保存和導(dǎo)出配置：備份配置文件需要時導(dǎo)入防火墻配置－配置流程簡述網(wǎng)絡(luò)衛(wèi)士防火墻的基本配置過程：1、配置接口的通訊模式：路由模配置案例1（路由模式）：INTERNET93505400/24應(yīng)用需求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)服務(wù)器對外網(wǎng)做映射映射地址為49外網(wǎng)禁止訪問內(nèi)網(wǎng)WEB服務(wù)器防火墻接口分配如下：ETH0接INTERNETETH1接內(nèi)網(wǎng)ETH2接服務(wù)器區(qū)防火墻配置－路由模式配置案例配置案例1（路由模式）：INTERNET202.99.27.網(wǎng)絡(luò)管理——接口——物理接口——eth0——設(shè)置接口為路由模式（缺?。┒x防火墻每個接口的IP地址，注意子網(wǎng)掩碼不要輸錯防火墻配置－配置網(wǎng)絡(luò)接口網(wǎng)絡(luò)管理——接口——物理接口——eth0——設(shè)置接口為路網(wǎng)絡(luò)管理——接口——物理接口——eth1——設(shè)置防火墻配置－接口配置網(wǎng)絡(luò)管理——接口——物理接口——eth1——設(shè)置防火墻配網(wǎng)絡(luò)管理——接口——物理接口——eth2——設(shè)置防火墻配置－接口配置網(wǎng)絡(luò)管理——接口——物理接口——eth2——設(shè)置防火墻配進入防火墻管理界面，點擊“網(wǎng)絡(luò)管理”“接口”可以看到物理接口定義結(jié)果：可以設(shè)置每個接口的描述進行區(qū)分注：防火墻每個接口的默認狀態(tài)均為“路由”模式防火墻配置－接口模式配置進入防火墻管理界面，點擊“網(wǎng)絡(luò)管理”“接口”可以看到物設(shè)置缺省網(wǎng)關(guān)時，目的地址和掩碼為全“0”防火墻的缺省網(wǎng)關(guān)在靜態(tài)路由時，必須放到最后一條路由，設(shè)備會根據(jù)子網(wǎng)掩碼大小自動排序防火墻配置－路由配置設(shè)置缺省網(wǎng)關(guān)時，防火墻配置－路由配置在“網(wǎng)絡(luò)”－“靜態(tài)路由”添加缺省路由防火墻配置－路由配置在“網(wǎng)絡(luò)”－“靜態(tài)路由”添加缺省路由防火墻配置－路由配置在“對象”－“區(qū)域?qū)ο蟆敝卸x防火墻區(qū)域（接口）的默認權(quán)限防火墻配置－定義區(qū)域缺省權(quán)限在“對象”－“區(qū)域?qū)ο蟆敝卸x防火墻區(qū)域（接口）的默認權(quán)限防系統(tǒng)默認只能從ETH0接口（區(qū)域）對防火墻進行管理添加ETH1接口為“AREA_ETH1”區(qū)域；ETH2接口為“AREA_ETH2”區(qū)域?qū)Α癆REA_ETH1”區(qū)域添加對防火墻的管理權(quán)限（當然也可以對“AREA_ETH2”區(qū)域添加）定義你希望從哪個接口（區(qū)域）管理防火墻防火墻配置－定義設(shè)備管理權(quán)限系統(tǒng)默認只能從ETH0接口（區(qū)域）對防火墻進行管理添加E主機對象中可以定義多個IP地址防火墻配置－資源管理－地址－定義主機主機對象中可以定義多個IP地址防火墻配置－資源管理－地址－定防火墻配置－資源管理－地址－定義子網(wǎng)防火墻配置－資源管理－地址－定義子網(wǎng)根據(jù)前面的需求如果內(nèi)網(wǎng)要訪問外網(wǎng)，則必須定義NAT策略；同樣外網(wǎng)要訪問WEB服務(wù)器的映射地址，也要定義MAP策略定義NAT策略，選擇源為已定義的內(nèi)部子網(wǎng)，目的為“AERA_ETH0”區(qū)域防火墻配置－定義地址轉(zhuǎn)換（通信策略）根據(jù)前面的需求如果內(nèi)網(wǎng)要訪問外網(wǎng)，則必須定義NAT策略；同樣轉(zhuǎn)換地址要選擇”源地址轉(zhuǎn)換為“ETH0”，也就是防火墻外網(wǎng)接口IP地址；也可以選擇定義好的“NAT地址池”（在“對象”－“地址范圍中定義”）使用地址池使用防火墻接口防火墻配置－定義地址轉(zhuǎn)換（通信策略）轉(zhuǎn)換地址要選擇”源地址轉(zhuǎn)換為“ETH0”，也就是防火墻外網(wǎng)接配置MAP（映射）策略源地址可以選擇區(qū)域“AERA_ETH0”;也可以選擇“ANY”目的選擇服務(wù)器映射后的IP（合法IP）選擇已定義的“WEB服務(wù)器－MAP”防火墻配置－定義地址轉(zhuǎn)換（通信策略）配置MAP（映射）策略源地址可以選擇區(qū)域目的選擇服務(wù)目的地址轉(zhuǎn)換為必須選擇服務(wù)器映射前的IP（也就是WEB服務(wù)器的真實IP地址），選擇“WEB服務(wù)器”主機對象即可。防火墻配置－定義地址轉(zhuǎn)換（通信策略）目的地址轉(zhuǎn)換為必須選擇服務(wù)器映射前的IP（也就是WEB服務(wù)器設(shè)置好的地址轉(zhuǎn)換策略（通信策略）第一條為內(nèi)網(wǎng)訪問外網(wǎng)做NAT；第二條為外網(wǎng)訪問WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實IP防火墻配置－定義地址轉(zhuǎn)換（通信策略）設(shè)置好的地址轉(zhuǎn)換策略（通信策略）防火墻配置－定義地址轉(zhuǎn)換（通點擊防火墻管理頁面右上角“保存”按鈕，然后選擇彈出對話框“確定”即可保存當前配置防火墻配置－配置保存點擊防火墻管理頁面右上角“保存”按鈕，然后選擇彈出對話框“確第一條規(guī)則定義“內(nèi)網(wǎng)”可以訪問互聯(lián)網(wǎng)。源選擇“內(nèi)部子網(wǎng)_1”；目的可以選擇目的區(qū)域“AERA_ETH0”，也可以是“ANY[范圍]”防火墻配置－配置訪問控制規(guī)則第一條規(guī)則定義“內(nèi)網(wǎng)”可以訪問互聯(lián)網(wǎng)。源選擇“內(nèi)部子網(wǎng)_1”第二條規(guī)則定義外網(wǎng)可以訪問WEB服務(wù)器的映射地址，并只能訪問TCP80端口。源選擇“AERA_ETH0”、目的選擇”WEB服務(wù)器（服務(wù)器真實的IP地址）防火墻配置－配置訪問控制規(guī)則第二條規(guī)則定義外網(wǎng)可以訪問WEB服務(wù)器的映射地址，并只能訪問定義好的兩條訪問策略防火墻配置－配置訪問控制規(guī)則定義好的兩條訪問策略防火墻配置－配置訪問控制規(guī)則在“系統(tǒng)管理”－“維護”中進行防火墻當前配置的保存、下載、上傳等操作防火墻配置－查看配置、備份配置在“系統(tǒng)管理”－“維護”中進行防火墻當前配置的保存、下載、上按照下圖中數(shù)字所示順序即可把防火墻配置導(dǎo)出到本地防火墻配置－查看配置、備份配置按照下圖中數(shù)字所示順序即可把防火墻配置導(dǎo)出到本地防火墻配置－配置案例（透明模式）：省專網(wǎng)應(yīng)用需求：內(nèi)網(wǎng)可以訪問省web服務(wù)器http服務(wù)防火墻接口分配如下：ETH0接路由AETH1接內(nèi)網(wǎng)核心ETH2接路由BETH4接內(nèi)網(wǎng)核心/24路由B路由AETH0ETH1ETH2ETH3VLAN100VLAN20000WEB服務(wù)器防火墻配置－透明（交換）模式配置案例配置案例（透明模式）：省專網(wǎng)應(yīng)用需求：防火墻接口分配如下：1首先通過防火墻的缺省IP：54登陸防火墻第一步，定義一個VLAN。點擊“網(wǎng)絡(luò)管理”－“二層網(wǎng)絡(luò)”－“vlan”－“添加/刪除VLAN范圍”防火墻配置－創(chuàng)建VLAN首先通過防火墻的缺省IP：54登陸防火分別點擊屬于VLAN中物理接口的“設(shè)置”圖標，把物理接口的模式改為“交換”Access中填寫所屬vlanID防火墻配置－將接口加入VLAN（透明域）分別點擊屬于VLAN中物理接口的“設(shè)置”圖標，把物理接口的模當把ETH0接口的模式改為“交換”后，管理會丟失。因為此接口設(shè)為“交換”后，其原來的IP（54)地址會自動刪除。這時，可以通過新定義的地址進行管理。下圖中可以看到添加到VLAN100和VLAN200中的四個接口都沒有IP，模式為“交換”防火墻配置－透明（交換）模式配置案例當把ETH0接口的模式改為“交換”后，管理會丟失。因為此接口定義主機對象（WEB服務(wù)器）定義內(nèi)網(wǎng)對象（你的內(nèi)網(wǎng)網(wǎng)段）防火墻配置－定義資源對象定義主機對象（WEB服務(wù)器）定義內(nèi)網(wǎng)對象（你的內(nèi)網(wǎng)網(wǎng)段）防火注：透明模式下防火墻不參與任何路由轉(zhuǎn)發(fā)，因此不需要設(shè)置地址轉(zhuǎn)換策略。

（當然，如果用戶有需求，也可以設(shè)置相關(guān)NAT策略和MAP策略）防火墻配置－定義訪問策略注：透明模式下防火墻不參與任何路由轉(zhuǎn)發(fā)，因此不需要設(shè)置地址轉(zhuǎn)系統(tǒng)默認只能從ETH0接口（區(qū)域）對防火墻進行管理，新建區(qū)域并定義你希望從哪個接口（區(qū)域）管理防火墻防火墻配置－定義區(qū)域及缺省權(quán)限系統(tǒng)默認只能從ETH0接口（區(qū)域）對防火墻進行管理，新建區(qū)域第一部分：防火墻基礎(chǔ)知識第二部分：防火墻配置案例第三部分：防火墻特殊應(yīng)用第四部分：防火墻輔助功能第五部分：防火墻日常維護目錄第一部分：防火墻基礎(chǔ)知識目錄在訪問規(guī)則中，對于TCP的連接可以設(shè)置為普通連接，也可以設(shè)置為長連接，一般地防火墻對通信空閑一定時間的TCP連接將自動斷開，以提高安全性和釋放通信資源，但某些應(yīng)用所建立的TCP連接需要長時期保持，即使處于空閑狀態(tài)！普通連接如果在一段時間內(nèi)沒有收到報文則連接超時，以防止連接積累得越來越多。而長連接則不受這個限制，除非通信的一方主動拆除連接，否則連接不會被刪除。主要應(yīng)用在數(shù)據(jù)庫和視頻系統(tǒng)。防火墻特殊應(yīng)用－長連接應(yīng)用在訪問規(guī)則中，對于TCP的連接可以設(shè)置為普通連接，也長連接在訪問規(guī)則中的應(yīng)用：注意：只對需要的TCP協(xié)議的單個或多個端口使用長連接，不能默認對所有TCP端口都設(shè)置為長連接。不能對非TCP協(xié)議的端口做長連接。否則，會大量消耗掉防火墻的系統(tǒng)資源。防火墻特殊應(yīng)用－長連接應(yīng)用長連接在訪問規(guī)則中的應(yīng)用：注意：只對需要的TCP協(xié)議的單個或通過設(shè)置包過濾策略可以對IP協(xié)議和非IP協(xié)議進行控制。當設(shè)備接收到一個數(shù)據(jù)報文后，會順序匹配包過濾策略，如果沒有匹配到任何策略，則會依據(jù)默認規(guī)則對該報文進行處理。從具體應(yīng)用上，一般用來阻斷一些病毒傳播端口包過濾策略的優(yōu)先級高于“訪問控制策略防火墻特殊應(yīng)用－阻斷策略通過設(shè)置包過濾策略可以對IP協(xié)議和非IP協(xié)議進行控制。當設(shè)備第一部分：防火墻基礎(chǔ)知識第二部分：防火墻配置案例第三部分：防火墻特殊應(yīng)用第四部分：防火墻輔助功能第五部分：防火墻日常維護目錄第一部分：防火墻基礎(chǔ)知識目錄防火墻本身不存儲日志信息，如果要保留相關(guān)日志，請安裝隨機光盤的日志服務(wù)器軟件。然后設(shè)置日志服務(wù)器地址，防火墻就會把日志信息發(fā)送到日志服務(wù)器上防火墻輔助功能－日志設(shè)置防火墻本身不存儲日志信息，如果要保留相關(guān)日志，請安裝隨機光盤防火墻輔助功能－開放服務(wù)防火墻輔助功能－開放服務(wù)管理員可以定期生成、下載設(shè)備的健康記錄，以便當設(shè)備出現(xiàn)異常時，可以幫助天融信的技術(shù)支持人員快速地定位并解決故障。防火墻輔助功能－健康記錄管理員可以定期生成、下載設(shè)備的健康記錄，以便當設(shè)備出現(xiàn)異常時系統(tǒng)除了提供上節(jié)所述的設(shè)備配置維護功能外，還提供了恢復(fù)出廠默認配置的功能，以方便用戶重新配置設(shè)備。恢復(fù)出廠配置后，設(shè)備的網(wǎng)絡(luò)接口地址可能會改變，配置信息會被清除，進而導(dǎo)致失去連接，請用戶提前做好準備。防火墻輔助功能－恢復(fù)出廠設(shè)置系統(tǒng)除了提供上節(jié)所述的設(shè)備配置維護功能外，還提供了恢復(fù)出廠默設(shè)備支持基于TFTP協(xié)議的升級方式和專用升級工具注意：請在升級前進行系統(tǒng)備份?。?！防火墻輔助功能－系統(tǒng)升級設(shè)備支持基于TFTP協(xié)議的升級方式和專用升級工具注意：請在設(shè)備支持多級用戶管理，不同類型的用戶具有不同的操作權(quán)限。用戶權(quán)限基本可分為三種：超級管理員、管理用戶與審計用戶。超級管理員是系統(tǒng)的內(nèi)建帳號，具有全部的功能權(quán)限；管理用戶可以設(shè)定和查看規(guī)則，但沒有綜合配置（例如分配管理員、配置維護等）的權(quán)限。審計用戶權(quán)限最小，只可以查看已有規(guī)則，沒有添加和修改規(guī)則的權(quán)限。超級管理員是系統(tǒng)內(nèi)建帳號，用戶名是superman，密碼talent用戶可以對其帳號及口令進行修改防火墻輔助功能－管理員配置設(shè)備支持多級用戶管理，不同類型的用戶具有不同的操作權(quán)限。用戶網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張ARP表，維護了網(wǎng)絡(luò)衛(wèi)士防火墻所學(xué)習(xí)到的主機IP和MAC地址的對應(yīng)關(guān)系條目。當網(wǎng)絡(luò)衛(wèi)士防火墻轉(zhuǎn)發(fā)數(shù)據(jù)報文時，會首先查看ARP表，如目的IP已經(jīng)在ARP表中，網(wǎng)絡(luò)衛(wèi)士防火墻則不必再發(fā)送ARP廣播就獲取了目的設(shè)備的MAC地址。選項“限制ARP請求個數(shù)”，設(shè)定允許ARP請求的上限值。防火墻輔助功能－ARP及MAC地址網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張ARP表，維護了網(wǎng)絡(luò)衛(wèi)士防火墻設(shè)置IP＋MAC地址綁定：網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張ARP表，維護了網(wǎng)絡(luò)衛(wèi)士防火墻所學(xué)習(xí)到的主機IP和MAC地址的對應(yīng)關(guān)系條目。在ARP表中“定義”好后，系統(tǒng)自動生成“主機對象”（包含了IP及MAC地址）也可以手動填寫mac地址綁定防火墻輔助功能－ARP及MAC地址設(shè)置IP＋MAC地址綁定：網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張ARPMAC地址表網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張VLAN虛接口的MAC地址表，保存了網(wǎng)絡(luò)衛(wèi)士防火墻所學(xué)習(xí)到的物理接口及該接口所在區(qū)域主機MAC地址的對應(yīng)表。當網(wǎng)絡(luò)衛(wèi)士防火墻轉(zhuǎn)發(fā)數(shù)據(jù)幀時，會查看虛接口MAC地址表，如果該目的MAC在網(wǎng)絡(luò)衛(wèi)士防火墻的MAC地址表中，網(wǎng)絡(luò)衛(wèi)士防火墻將直接通過該MAC地址所對應(yīng)的接口發(fā)送數(shù)據(jù)幀。也可以自行添加MAC地址防火墻輔助功能－ARP及MAC地址MAC地址表網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)部維護了一張VLAN虛接口的M第一部分：防火墻基礎(chǔ)知識第二部分：防火墻配置案例第三部分：防火墻特殊應(yīng)用第四部分：防火墻輔助功能第五部分：防火墻日常維護目錄第一部分：防火墻基礎(chǔ)知識目錄防火墻通電后，大約30秒鐘左右，應(yīng)看到防火墻前面板的工作指示燈（綠色）為閃爍狀態(tài)；主/從指示燈（橙色）為常亮狀態(tài)。此狀態(tài)為防火墻的正常工作狀態(tài)。－防火墻接入線纜后的接口狀態(tài)防火墻的接口與交換機相連接后，注意其接口狀態(tài)指示燈（link）要變?yōu)榫G色。如果防火墻接口指示燈不亮，則應(yīng)該檢查線纜的連通性。特殊情況：如果線纜沒有問題，但防火墻接口指示燈還是不亮，則調(diào)整防火墻和交換機的接口協(xié)商模式為一致狀態(tài)即可。（比如：調(diào)整為手動100M/全雙工）防火墻輔助功能－防火墻正常工作狀態(tài)防火墻通電后，大約30秒鐘左右，應(yīng)看到防