联想网御防火墙安装调试培训.ppt
- 文档编号:18740611
- 上传时间:2023-10-25
- 格式:PPT
- 页数:98
- 大小:5.72MB
联想网御防火墙安装调试培训.ppt
《联想网御防火墙安装调试培训.ppt》由会员分享,可在线阅读,更多相关《联想网御防火墙安装调试培训.ppt(98页珍藏版)》请在冰点文库上搜索。
联想网御防火墙安装调试培训,目录,1防火墙登录管理2防火墙的功能模块介绍3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理,1.1安装调试前的工作1.2安装调试的准备工作1.3管理方式简介1.4登录防火墙,登陆防火墙管理页面,拆箱检查,请按照装箱单的提示检查机箱内所有的配件:
防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序、网御事件服务器软件)、电源线、交叉线、串口线、安装支架、保修卡。
注:
如发现有问题,请及时与你的供货商进行沟通解决。
1.1安装调试前的工作,一、第一时间内填写保修卡的回执卡,并邮寄回联想公司,以便于成为联想公司永远服务的对象。
二、在线服务网站联想信息安全网站为http:
/用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档,并且提供在线问答等特色服务。
三、进行产品注册,请您详细填写用户名、通信地址、联系电话、E-mail地址等信息,以便于将新的技术成果迅速及时的传递给您!
前期工作,1.1安装调试前的工作,一、接通防火墙电源,启动防火墙(听到“滴滴滴”后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机,操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线,连接管理主机和防火墙的FE1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP),1.2安装调试的准备工作,支持多种管理方式;串口命令行管理-常用于灾难的恢复工作Web页面管理-常用于正常管理SSH远程管理-常用于管理调试集中管理-方便管理PPP远程拨号接入-专线远程拨入,1.3管理方式介绍,A.电子钥匙认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。
B.证书认证需要导入IE证书,和防火墙证书(IE证书与防火墙证书要一一对应),防火墙证书支持页面与串口两种方式。
认证方式,1.4登录防火墙,安装电子钥匙驱动程序将随机光盘放入管理主机的光驱,进入随机附带的光盘的key目录,执行该目录下的INSTDRV.EXE,提示“退出请重新插锁”。
则表示已正确安装完网御电子钥匙的驱动程序。
1.4登录防火墙,电子钥匙认证,*注意:
安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。
1.4登录防火墙,点击“退出请重新插锁”后将电子钥匙插入管理主机USB接口中,XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。
*注意:
安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。
电子钥匙认证,在管理主机上,运行随机光盘administrator目录下的ikeyc.exe程序,程序将提示用户输入PIN口令。
首次使用默认PIN为“12345678”,1.4登录防火墙,电子钥匙认证,*注:
在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此,不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。
1.4登录防火墙,通过后弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。
退出防火墙管理之前请不要关闭此页面。
电子钥匙认证,通过认证程序后,在IE中输入https:
/防火墙IP:
8888出厂默认地址10.1.5.254,默认的用户密码administrator。
1.4登录防火墙,电子钥匙认证,1.4登录防火墙,电子钥匙认证,一、使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。
二、管理主机需要导入IE浏览器证书。
证书认证,1.4登录防火墙,首先以电子钥匙方式登录到防火墙,进入“系统配置”-“管理配置”-“管理员证书”-管理员证书模块中选择浏览,在本地计算机文件夹中选择CACert.pem、leadsec.pem、leadsec_key.pem分别对应防火墙的中的CA中心证书、安全网关证书、安全网关密钥。
点击“导入”。
然后在本地计算机文件夹中再选择admin.pem对应防火墙的中的管理员证书,点击“导入”。
证书认证,1.4登录防火墙,证书认证,导入证书后选择生效选项,1.4登录防火墙,保存配置,证书生效,证书认证,1.4登录防火墙,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书,按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。
证书认证,1.4登录防火墙,当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https:
/防火墙ip:
8889出厂默认防火墙IP为10.1.5.254,出现选择证书提示后点击“确定”。
证书认证,1.4登录防火墙,证书认证,出现安全警报后点击“是(Y)”就会出现防火墙登录页面,XP系统请确认去掉IE浏览器中internet选项-隐私选项-中的阻止弹出窗口:
如下图,1.4登录防火墙,证书认证,默认用户名/密码为:
administrator/administrator,1.4登录防火墙,目录,1防火墙登录管理2防火墙的功能模块介绍3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理,基本应用,管理主机、网络配置、安全选项、地址列表、服务列表,2防火墙界面介绍,管理首页,2防火墙界面介绍,工具区,菜单区,显示区,各级子菜单,2防火墙界面介绍,管理主机,2防火墙界面介绍,管理方式设定,2防火墙界面介绍,网络配置,2防火墙界面介绍,物理设备,这里可以设定是否被管理,是否可以PING,等功能。
2防火墙界面介绍,网桥设备,2防火墙界面介绍,静态路由,2防火墙界面介绍,包过滤规则,2防火墙界面介绍,端口映射规则,2防火墙界面介绍,IP映射规则,2防火墙界面介绍,NAT规则,2防火墙界面介绍,定义地址列表,2防火墙界面介绍,定义地址组,2防火墙界面介绍,定义地址池,2防火墙界面介绍,定义服务器地址,2防火墙界面介绍,定义基本服务,2防火墙界面介绍,定义服务组,2防火墙界面介绍,高级应用,高可用性HA、连接管理、地址绑定、产品许可证、VPN相关,2防火墙界面介绍,HA双机热备,2防火墙界面介绍,HA探测网口,2防火墙界面介绍,HA探测ip,2防火墙界面介绍,2防火墙界面介绍,地址绑定,IPSecVPN,2防火墙界面介绍,IPSecVPN,2防火墙界面介绍,IPSecVPN,2防火墙界面介绍,IPSecVPN,2防火墙界面介绍,日志服务器,2防火墙界面介绍,集中管理,2防火墙界面介绍,配置导入导出,2防火墙界面介绍,目录,1防火墙登录管理2防火墙的功能模块介绍3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理,安全规则,包流经规则的顺序:
应用代理,端口映射,IP映射,过滤规则,地址转换增加源端口,源MAC地址,URL过滤,网页关键字过滤,入网口,出网口,时间调度,长连接等选项,代理规则,端口映射规则,IP映射规则,包过滤规则,NAT规则,流入,流出,3防火墙的配置管理,端口映射,3防火墙的配置管理,IP映射,3防火墙的配置管理,注意:
如果源地址包含管理主机,公开地址是防火墙的管理IP,该管理主机将不能管理防火墙。
如果取消选中“隐藏内部地址”,则既能通过公开地址和端口访问内部服务器,也可以直接通过内部地址访问服务器;如果选中,则只能通过公开地址和端口访问内部服务器。
注意:
添加一条IP映射规则,如果没有选择“包过滤缺省策略通过”,还必须再添加一条相应的包过滤规则才能生效。
方法如下:
包过滤规则的源地址是IP映射规则的源地址,包过滤规则的目的地址是IP映射规则的内部地址。
添加规则说明,3防火墙的配置管理,包过滤,3防火墙的配置管理,NAT,注意:
设置一条NAT规则,必须再设置一条相应的包过滤规则才能生效。
3防火墙的配置管理,常用命令介绍,CLI命令行、TCPDUMP,3防火墙的配置管理,串口命令行常用命令介绍acsystemshow(显示系统信息防火墙序列号、版本号)acinterfaceshowall(显示所有网络端口的ip)acinterfacesetphyiffe3ip1.1.1.1netmask255.255.255.0activeonadminonpingon(设定fe3的ip为1.1.1.1/255.255.255.0允许管理、ping)acadmhostshow(查看管理主机ip)acadmhostaddip192.168.0.1(添加一个地址为192.168.0.1的管理主机)acconfigsave(保存防火墙配置),串口命令行抓包命令介绍(TCPDUMP)使用随机所附的串口线,将防火墙的console与一台装有超级终端的个人计算机的串口连接起来。
设置超级终端的波特率:
9600;数据位:
8;奇偶校验:
无;停止位:
1;流量控制:
硬件/无用户名:
dump;密码:
dump;通过“?
”命令查看可用命令tcpdump命令使用参数如下:
tcpdump-Cfile_size-Ffile-iinterface-rfile-Ttype-wfile-Ealgo:
secretexpression,例如:
1、tcpdumpieth0host83.16.16.1eth0是对应防火墙前面板的FE1口,是在Eth0网口上数据抓包。
host83.16.16.1是指对83.16.16.1这台主机进行数据抓包。
此条命令是指:
在防火墙eth0网口对主机83.16.16.1的所有访问进行数据抓包。
2、tcpdumpieth0dsthost83.16.16.1andport53dsthost83.16.16.1是指对目标主机83.16.16.1进行数据抓包。
port53是指对目标主机83.16.16.1的53端口进行数据抓包。
此条命令是指:
在防火墙eth0网口对目标主机83.16.16.1的53端口上进行数据抓包。
3、tcpdumpieth0srchost83.84.16.1dsthost83.16.16.1andport53此条命令是指:
在防火墙eth0网口上对源地址是83.84.16.1对目标地址是83.16.16.1的端口53进行数据抓包tcpdump命令主要是用在对应用服务器无法确定开放服务端口时,用此命令来分析应用服务器的端口是多少。
目录,1防火墙登录管理2防火墙的功能模块介绍3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理,典型应用环境三网口透明拓扑图,一、需求描述fe1工作在透明模式,fe2工作在透明模式,fe3工作在透明模式。
桥接设备brg0的IP地址是10.10.10.254,允许管理。
防火墙的缺省安全策略是禁止。
区段间的安全策略是:
允许内部网络区段访问DMZ区段和INTERNET的http,smtp,pop3,ftp服务,允许INTERNET区段访问DMZ网络的http,smtp,pop3,ftp服务。
其他的访问都禁止。
典型应用环境三网口透明模式,二、网络设备配置编辑桥接设备brg0,将它的IP地址配置为10.10.10.254,掩码是255.255.255.0,允许管理,确定。
编辑物理设备fe1,选择工作模式为“透明”,确定。
编辑物理设备fe3,选择工作模式为“透明”,确定。
编辑物理设备fe4,选择工作模式为“透明”,确定。
典型应用环境三网口透明模式,三、策略配置在策略配置前,先添加如下的资源:
LOCAL_NET:
10.10.10.150到10.10.10.200,网络地址段。
DMZ_NET:
10.10.10.100到10.10.10.150,网络地址段。
EXTERNAL_NET:
10.10.10.1到10.10.10.100,网络地址段。
INTERNET:
地址是10.10.10.0,掩码是255.255.255.0,反网络地址。
WWW_SERVER:
地址是10.10.10.101,掩码是255.255.255.255。
MAIL_SERVER:
地址是10.10.10.102,掩码是255.255.255.255.。
FTP_SERVER:
地址是10.10.10.103,掩码是255.255.255.255。
典型应用环境三网口透明模式,三、策略配置添加源地址是LOCAL_NET,目的地址是any,服务是http,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是pop3,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动作是允许的包过滤规则。
添加源地址是any,目的地址是WWW_SERVER,服务是http,动作是允许的包过滤规则。
添加源地址是any,目的地址是MAIL_SERVER,服务是smtp,动作是允许的包过滤规则。
添加源地址是any,目的地址是MAIL_SERVER,服务是pop3,动作是允许的包过滤规则。
添加源地址是any,目的地址是FTP_SERVER,服务是ftp,动作是允许的包过滤规则。
典型应用环境三网口透明模式,典型应用环境三网口路由拓扑图,一、需求描述,典型应用环境三网口路由模式,如上图所示,防火墙各接口设置为路由模式。
内网(LAN)主机的缺省网关指向防火墙fe1口:
192.168.1.254/24;服务器区(DMZ)主机的缺省网关指向防火墙fe2口:
172.16.1.254/24;防火墙外网口fe3的IP地址是200.1.0.254/24,默认网关指向对端路由器的地址200.1.0.1/24。
Web服务器的地址是172.16.1.1/24,端口是80POP服务器的地址是172.16.1.2/24,端口是25和110FTP服务器的地址是172.16.1.3/24,端口是21安全规则的缺省策略是禁止。
允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp,pop3,ftp服务;允许Internet区段访问DMZ网络区段的服务器。
其他的访问都是禁止的。
二、网络设备配置,典型应用环境三网口路由模式,网络配置网络设备编辑物理设备fe1,将IP地址配置为192.168.1.254,掩码是255.255.255.0。
编辑物理设备fe2,将IP地址配置为172.16.1.254,掩码是255.255.255.0。
编辑物理设备fe3,将IP地址配置为200.1.0.254,掩码是255.255.255.0。
网络配置静态路由:
在页面右上“默认网关”专有项,添加默认出口地址200.1.0.1。
三、策略配置,端口映射规则添加公开地址是200.1.0.254/24,对外服务是http,内部地址是172.16.1.1,内部服务是http。
添加公开地址是200.1.0.254/24,对外服务是smtp,内部地址是172.16.1.2,内部服务是smtp。
添加公开地址是200.1.0.254/24,对外服务是pop3,内部地址是172.16.1.2,内部服务是pop3。
添加公开地址是200.1.0.254/24,对外服务是ftp,内部地址是172.16.1.3,内部服务是ftp。
包过滤规则添加源地址是192.168.1.0/24,目的地址any,服务http、smtp、pop3、ftp,动作是允许。
添加源地址是any,目的地址172.16.1.1,服务是http,动作是允许的包过滤规则。
添加源地址是any,目的地址172.16.1.2,服务是smtp,动作是允许的包过滤规则。
添加源地址是any,目的地址172.16.1.2,服务是pop3,动作是允许的包过滤规则。
添加源地址是any,目的地址172.16.1.3,服务是ftp,动作是允许的包过滤规则。
NAT规则添加源地址是192.168.1.0/24,目的地址是any,服务any的NAT规则,转换为200.1.0.254/24。
添加源地址是172.16.1.0/24,目的地址是any,服务any的NAT规则,转换为200.1.0.254/24。
典型应用环境三网口路由模式,典型应用环境三网口混合拓扑图,一、需求描述fe1工作在透明模式,fe3工作在透明模式,fe2工作在路由模式,IP地址是172.16.1.254,掩码是255.255.255.0。
桥接设备brg0的IP地址是10.10.10.254,掩码时255.255.255.0。
内网网络区段的缺省网关是10.10.10.1,DMZ网络区段的缺省网关是172.16.1.254。
防火墙的缺省网关是10.10.10.1。
防火墙的缺省安全策略是禁止。
区段间的安全策略是:
允许内网网络区段访问Internet和DMZ,允许Internet访问DMZ,其他的访问都禁止。
典型应用环境三网口混合模式,二、网络设备配置编辑桥接设备brg0,配置它的IP地址是10.10.10.254,掩码是255.255.255.0,选择可管理。
编辑物理设备fe1,选择它的工作模式是“透明模式”。
编辑物理设备fe3,选择它的工作模式是“透明模式”。
编辑物理设备fe2,配置它的IP地址为172.16.1.254,掩码是255.255.255.0。
静态路由:
添加网关是10.10.10.1的缺省路由。
典型应用环境三网口混合模式,三、策略配置策略配置需要先定义如下的资源:
LOCAL_NET:
10.10.10.2到10.10.10.200,地址段。
DMZ_NET:
172.16.1.1到172.16.1.100,地址段。
WWW_SERVER:
172.16.1.1,掩码是255.255.255.255,主机地址。
MAIL_SERVER:
172.16.1.2,掩码是255.255.255.255,主机地址。
FTP_SERVER:
172.16.1.3,掩码是255.255.255.255,主机地址。
INTERNET:
!
10.10.10.0,掩码是255.255.255.0,取反网络地址。
典型应用环境三网口混合模式,添加源地址是LOCAL_NET,目的地址是any,服务是http,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是smtp,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是pop3,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是any,服务是ftp,动作是允许的包过滤规则。
添加源地址是LOCAL_NET,目的地址是INTERNET,服务是any的NAT规则。
添加源地址是INTERNET,目的地址是WWW_SERVER,服务是http,动作是允许的包过滤规则。
添加源地址是INTERNET,目的地址是MAIL_SERVER,服务是smtp,动作是允许的包过滤规则。
添加源地址是INTERNET,目的地址是MAIL_SERVER,服务是pop3,动作是允许的包过滤规则。
添加源地址是INTERNET,目的地址是FTP_SERVER,服务是ftp,动作是允许的包过滤规则。
添加源地址是INTERNET,目的地址是WWW_SERVER,服务是http的端口映射规则。
添加源地址是INTERNET,目的地址是MAIL_SERVER,服务是smtp的端口映射规则。
添加源地址是INTERNET,目的地址是MAIL_SERVER,服务是pop3的端口映射规则。
添加源地址是INTERNET,目的地址是FTP_SERVER,服务是ftp的端口映射规则。
典型应用环境三网口混合模式,目录,1防火墙登录管理2防火墙的功能模块介绍3防火墙的配置管理4防火墙产品的典型应用5防火墙产品的日常管理及故障处理,防火墙在配置与使用过程中,如果配置不当往往会造成防火墙无法管理,网络中断等现场。
为了有效的避免这些故障的发生,我们在配置过程中应该注意以下的问题。
5防火墙的日常管理和故障处理,电子钥匙认证问题电子钥匙连接防火墙时提示“认证失败,请检查IP地址及网络”.处理方法:
防火墙设置的管理主机的IP地址和目前正在使用的管理主机地址不一致造成,更改管理主机IP.2)电子钥匙认证时窗口弹出一个空白.处理方法:
防火墙的电子钥匙的ID号中有一个空格的存在,需要重新写电子钥匙。
5防火墙的日常管理和故障处理,防火墙策略配置问题防火墙中配置了端口映射或IP映射规则后,为什么外网和内网用户还是无法访问DMZ区服务器?
处理方法:
在配置了映射规则后,还需要配置相应的包过滤规则才可以。
5防火墙的日常管理和故障处理,管理主机配置问题为什么我们更改了防火墙的fe1口的地址后,却管理不上了?
当我们更改防火墙的网络接口的同时,要确认你已经添加了此接口网段的管理主机,否则你将无法管理防火墙。
没有用的管理主机址尽量删除,因为管理主机的IP地址是做为管理防火墙的一个很重要的条件。
5防火墙的日常管理和故障处理,网络设备配置问题当不同的设备地址进行工作模式的转换时候,注意它的附加选项。
如拨号设备要先关闭管理属性才能删除。
当墙连接的对端的设备工作速率不支持自适应的时候,要注意设定墙接口的工作方式与速率。
5防火墙的日常管理和故障处理,防火墙名称命名问题防火墙的名称可以用中文名吗?
在防火墙的内部程序中,有很多程序处理不了中文名字。
所以在资源定义,导入导出,规则名称等地方尽量或不使用中文名字。
5防火墙的日常管理和故障处理,防火墙路由配置问题防火墙可以添加多条默认路由吗?
不可以添加相同目的地址的多条路由,但可以添加多条默认路由,如果存在多条默认路由,同时启用的只能有一条。
5防火墙的日常管理和故障处理,安全规则生效顺序防火墙规则根据作用顺序分为代理、端口映射、IP映射、包过滤、NAT规则五类。
其中代理规则是最优先生效的规则,最后为NAT,这几类规则在界面上排列的顺序也体现了这一顺序.我们的规则要尽量精简,目的是为了让墙处理的更快。
5防火墙的日常管理和故障处理,资源定义引用问题为什么有一个被引用的安全规则不能被删除?
处理方法:
资源被规则使用,或被组引用时,不进行删除,必须从规则中或引用组中删掉后,才可以进行删除.,5防火墙的日常管理和故障处理,防火墙资源状态问题为什么刚刚登陆到防火墙的界面后CPU利用率有时会变得很高?
这是正常的,因为防火墙打开WEB页面瞬间CPU利用率很高,几妙后会恢复正常。
5防火墙的日常管理和故障处理,防火墙配置保存问题为什么防火墙配置完毕,重启后配置却丢失了?
配置过程中防火墙的规则是即时生效的,这样就会造成一个错觉,认为配置已经保存下来了,实际上只是生效并没有保存下来,因此需要我们点击保存才能在防火墙重启以后保留你的配置。
5防火墙的日常管理和故障处理,配置导入导出问题配置的导入导出分析配置与解决问题的好方法。
当使用防火墙的过程中我们要经常的备份防火墙的配置文件,以便于我们对于处理故障更有效。
导出的配置只对同版本有效。
5防火墙的日常管理和故障处理,防火墙页面超时问题为什么有时登陆防火墙时会弹出超时界面呢?
退出防火墙操作时尽量点击界面上的“退出”按钮,而不要直接关闭浏览器。
按“退出”按钮,则防火墙可以判定这个会话结束了。
如果直接关闭防火墙界面,会话就会一直保持到超时,所以登陆时会弹出超时界面.,5防火墙的日常管理和故障处理,软件升级与补丁下载详细填写我们的产品回执卡注册为我们的会员,定期网站上查看相应的补丁通知等信息。
并留意我们在网站上公布的一些最新的安全漏洞等信息。
拨打我们的热线电话400-810-7766或010-82167766,与我们的技术专家取得联系.,5防火墙的日常管理和故障处理,技术支持技术咨询:
400-810-7766或010-82167766销售热线:
010-82167751传真:
010-82166998E-
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 联想 防火墙 安装 调试 培训