资源预览内容
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
第9页 / 共40页
第10页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
多核安全网关基本操作及配置神州数码网络有限公司神州数码网络有限公司企业网事业部企业网事业部售前工程师售前工程师李越飞李越飞QQ:350383928TEL:0931-8235121/18693100003E-mail:liyfedigitalchina.com提纲提纲l系统管理功能1.管理方式2.许可证管理3.配置文件管理4.DCFOS版本升级5.诊断工具、恢复出厂配置l基本配置1.接口配置2.路由配置3.网络地址转换NAT配置4.安全策略配置参数 数值 波特率 9600 bit/s 数据位 8停止位 1校验/流控无支持本地与远程两种环境配置方法,可以通过CLI和WebUI两种方式进行配置支持Console、telnet、ssh、http、https管理管理方式Console网线参数数值 接口Eth0/0 用户名admin密码admin管理IP192.168.1.1通过Web方式进行管理缺省的管理信息 允许管理的接口 ethernet 0/0 http:/192.168.1.1 用户名和密码为adminWebUI方式系统状态显示系统设备管理配置主机名称: 为区分安全网关,可以为每一台安全网关指定不同的名称安全网关的默认名称是其平台名称。例如DCFW-1800 WebUI WebUI:访问页面“系统系统 设备管理设备管理 基本信息基本信息”,将名称输入文本框,然后点击确定按钮。WebUIWebUI:系统:系统 设备管理设备管理 基本信息:基本信息:配置系统管理员(WebUI)编辑管理员属性编辑管理员属性删除管理员删除管理员可管理方式可管理方式管理员账号管理员账号管理员权限管理员权限管理员密码管理员密码管理员访问方式管理员访问方式安全网关拥有一个默认管理员”admin“,用户可以更改其密码,但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员可信主机可信主机 安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。 系统系统 设备管理设备管理 可信主机可信主机可信主机系统系统 设备管理设备管理 用户接口用户接口配置用户接口(WebUI)安全网关支持的用户管理接口类型 Console、Telnet、SSH、WebUI自定义用户管理接口: 各种访问方式的超时时间、端口号以及HTTPS的 PKI信任 域在一分钟内连续三次登录失败,系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接一、平台许可证:一、平台许可证: 平台许可证是其他许可证运行的基础。如果设备缺少有效的平台许可证。其他许可证均不生效。平台许可证分试用许可试用许可和标准许可标准许可两种。 1、Platform Trial试用平台许可证 设备出厂默认已预装15天试用许可证。如在产品正式销售前需要客户测试,可在此申请试用许可证。测试许可证可申请多次累加,每次为15天测试时间(以实际加电运行时间计算) 注意:用户试用期满将无法修改防火墙配置,在不重启的情况下,设备通信正常,但会对通过的http会话,每5000个连接中随机抽取一个,进行WEB页面的重定向,向用户提示设备试用期已到;当超期3个月后,则将所有的用户请求均定向到此页面,中断用户网络。用户试用期满重启防火墙后,将不加载配置文件 2、 Platform Normal标准平台许可证 当设备正式销售后,可以安装标准平台许可证。标准平台许可证许可以永久试用。许可证中的“license work for”时间对应的是购买产品服务的有效时间。也就是说,这个License可以支持这个时间段发布的DCFOS系统升级服务许可证的分类 二、服务许可证:二、服务许可证: AV、IPS、URL许可证: 它的有效时间神州数码升级库服务器时间为准。试用病毒库、IPS功能,可通过申请一个短时间的使用许可证来实现三、特征三、特征/Capacity/Capacity许可证:许可证: 1、app许可证 提供QoS与应用特征库升级功能 2、SSL VPN许可证 用来支持更多的SSL VPN并发用户数。支持多个许可证累加,并且可以与设备自带的免费用户数进行累加。许可证的分类申请许可证第1步:生成申请许可证所需的许可证请求 WebUIWebUI:访问页面“系统系统-许可证许可证”,填入用户信息,点击【生成生成】按钮,然后将许可申请发给zhujya 注意:这里的用户信息不要填写真实信息注意:这里的用户信息不要填写真实信息 登录防火墙,依次点击“系统系统- -许可证许可证”-在许可证安装框中,粘贴生成的license代码后,点击确定。许可证WebUI装载配置文件:以命令行的格式保存配置安全网关的配置信息1台安全网关可最多支持保存10份配置文件配置文件中保存的用来初始化安全网关的配置信息称做起始配置信息,安全网关通过读取起始配置信息进行启动时的初始化工作如果找不到起始配置信息,安全网关则使用安全网关的缺省配置初始化系统记录最近十次保存的配置信息,最后一次保存的配置信息会记录为系统的当前起始配置信息,当前系统配置信息以“current”作为标记;前九次的配置信息按照保存时间的先后以数字0到8作为标记。配置文件管理系统配置 管理员可以导入、导出或者将系统恢复出厂配置,当前配置窗口提供对current配置的Web方式查询。 系统能够记录十次保存的起始配置信息,用户可以根据需要导出或回退到已保存的指定起始配置信息。如需新选定配置记录生效,需手工重启系统。配置文件管理(WebUI)当前运行配置当前运行配置当前运行配置当前运行配置置为当前配置置为当前配置置为当前配置置为当前配置通过WebUI升级DCFOS: 系统系统版本 安全网关可以同时保存2个系统固件,系统将在上载的同时备份所选择的DCFOS。5、点击浏览按钮并且选中要上载的DCFOS6、点击确定按钮,系统开始上载指定的DCFOS 完成升级后,需要重启安全网关启动新升级的DCFOSDCFOS升级(WEB)输入测试目标输入测试目标输入测试目标输入测试目标测试结果输出测试结果输出测试结果输出测试结果输出系统工具:安全网关提供基本的诊断工具,方便用户可以通过这些工具察看网络和路由是否连通。系统诊断工具(WebUI)警告:请谨慎使用该功能。安全网关恢复到出厂配置后,所有已做配置都将会被清除。CLICLI -命令:unset allWebUIWebUI -系统配置清除硬件硬件CLRCLR CLR按键位于前面板的针孔内,其功能为恢复安全网关的出厂配置。用户忘记密码无法登陆时,可通过此方法恢复登陆。 恢复安全网关出厂配置的操作步骤如下: 1、关闭安全网关的电源 2、用针状物按住CLR按键的同时打开安全网关的电源 3、此时按住状态直到指示灯STA和ALM均变为红色常亮,释放CLR按 键。此时系统开始恢复出厂配置。 4、出厂配置恢复完毕,系统将会自动重新启动恢复出厂配置提纲提纲l系统管理功能1.管理方式2.许可证管理3.配置文件管理4.DCFOS版本升级5.诊断工具、恢复出厂配置l基本配置1.接口配置2.路由配置3.网络地址转换NAT配置4.安全策略配置配置需求配置需求InternetGW:218.95.240.209Eth0:192.168.1.1/24Zone: trustEth1:218.95.240.210/24Zone: untrust内网网段:192.168.0.0/16网络拓扑网络拓扑配置防火墙使内网192.168.0.0/16网段可以访问internet1 1、接口配置、接口配置 -绑定内/外网【trust/untrust】接口到安全域, -配置接口地址 -启用接口管理模式http/https/telnet/ping 2、路由配置、路由配置 添加默认路由,回指路由 3 3、网络地址转换、网络地址转换NATNAT配置配置 源NAT动态端口PAT,目的NAT端口映射TELNET 4 4、安全策略配置、安全策略配置 trust域 及untrust域间的安全策略基本配置步骤网络网络 接口接口 点击需配置接口右侧编辑按钮网络网络 接口接口 基本配置基本配置1、接口配置(WebUI) 编辑接口编辑接口接口接口IP地址地址 选择安全域类型选择安全域类型绑定到何安全域绑定到何安全域开放管理服务开放管理服务开放管理服务开放管理服务1、接口配置(高级配置)WebUI方式:网络方式:网络接口接口 2、路由配置静态路由静态路由(目的路由(目的路由-默认、回指默认、回指)源路由(SBR,SIBR) 策略路由(policy-based Routing)动态路由是根据网络系统的运行情况而自动调整的路由,DCFSO支持:RIP、OSPF 、BGPu路由选路顺序: 策略路由-源接口路由-源路由-目的路由2、路由配置(目的路由)静态路是手工定义的路由条目,根据目的地址指定下一跳,也称作目的路由对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由默认路由是静态路由的一种通过WebUI配置静态路由,如下图:点击新建按钮添加路由点击新建按钮添加路由添加回指路由添加回指路由分别添加回指、默认路由;配置完成后,在“目的路由列表目的路由列表”会有两条路由显示,如下图:2、路由配置(目的路由)网络地址转换(Network Address Translation)简称为NAT是将IP数据包包头中的IP地址转换为另一个IP地址。当IP数据包通过路由器或者防火墙时,路由器或者防火墙会把IP数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT主要用于私有网络访问外部网络或外部网络访问私有网络的情况。NAT分为源NAT和目的NAT 3、网络地址转换NATSNAT(源(源NAT) 转换源IP地址,从而隐藏内部IP地址或者分享IP有限的IP地址。根据工作模式分为以下三种:模式模式描述描述Static(静态)静态源NAT转换即一对一的转换。该模式要求被转换到的地址条目(trans-to-address)包含的IP地址数与流量的源地址的地址条目(src-address)包含的IP地址数相同。Dynamicip(动态)动态源NAT转换即多对多的转换。该模式将源地址转换到指定的IP地址。每一个源地址会被映射到一个唯一的IP地址做转换,直到指定地址全部被占用。Dynamicport(动态端口)即PAT。多个源地址将被转换成指定IP地址条目中的一个地址。3、网络地址转换NAT3、网络地址转换NAT点击点击“防火墙防火墙 NAT 源源NAT 新建新建 高级配置高级配置”源源NAT高级配置高级配置最终配置最终配置DNAT(目的(目的NAT规则)规则) 转换目的IP地址,通常是将受防火墙保护的内部服务器(如WWW服务器或者SMTP服务器)的IP地址转换成公网IP地址。 主要应用:通过IP映射或者端口映射对外发布服务器 根据工作模式分为以下两种: 端口映射端口映射 -该模式为一对多的映射,将公网某一IP的不同端口,映射到内网不 同IP的不同端口,解决公网IP有限时多个服务器需对外发布的需求 IP映射映射 -该模式为一对一的映射,端口一一对应不做转换,通常用于公网IP 足够时服务器的对外发布。3、网络地址转换NAT3、网络地址转换NAT先增加对象:点击“对象对象 地址薄地址薄 新建新建”3、网络地址转换NAT最终配置最终配置点击点击“防火墙防火墙 NAT 目的目的NAT 新建新建 ”安全策略基础安全策略基础 策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则(Policy Rule)决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。系统缺省的策略是拒绝所有的流量系统缺省的策略是拒绝所有的流量策略分为两种策略分为两种 域间策略域间策略:域间策略对安全域间的流量进行控制可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量 域内策略域内策略:安全域内策略对绑定到同一个安全域的接口间流量进行控制。源地址和目的地址都在同一个安全域中,但是通过安全网关的不同接口到达。策略规则策略规则 过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。 对于匹配过滤条件的流量可以制定处理行为,如permit或deny等。 策略匹配顺序:系统查找策略顺序为由上至下,对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。 4、安全策略配置配配置置策策略略的的步步骤骤 安全策略的方向安全策略的方向从哪个安全域,到那个安全域从哪个安全域,到那个安全域 如如trust-untrust 网络层的信息网络层的信息源自哪个源自哪个IP/段,到哪个段,到哪个IP/段段 如:从如:从192.168.1.0/24-any 服务信息服务信息 什么服务什么服务 如:如:http、ftp、bt等等 采取的动作采取的动作 允许通过,还是拒绝通过允许通过,还是拒绝通过4、安全策略配置4、配置策略规则(WebUI)防火墙防火墙策略策略 选择源安全域trust和目的安全域untrust点击新建防火墙防火墙策略策略 选择源安全域untrust和目的安全域trust点击新建4、配置策略规则(WebUI)4、配置策略列表4、配置策略移动THANKS!
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号