渠道培训之联想网御powerv安装调试培训教材

《渠道培训之联想网御powerv安装调试培训教材》由会员分享，可在线阅读，更多相关《渠道培训之联想网御powerv安装调试培训教材（107页珍藏版）》请在装配图网上搜索。

1、 联想网御强五防火墙联想网御强五防火墙 安装调试培训安装调试培训目录目录1 1 防火墙登录管理防火墙登录管理2 2防火墙的功能模块的配置使用防火墙的功能模块的配置使用3 3 防火墙常用串口命令防火墙常用串口命令4 4 防火墙产品的典型应用防火墙产品的典型应用5 5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理目录目录1 1 防火墙登录管理防火墙登录管理2 2防火墙的功能模块的配置使用防火墙的功能模块的配置使用3 3 防火墙常用串口命令防火墙常用串口命令4 4 防火墙产品的典型应用防火墙产品的典型应用5 5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理登录防火墙管

2、理页面登录防火墙管理页面1.1 1.1 安装调试前的工作安装调试前的工作1.2 1.2 安装调试的准备工作安装调试的准备工作1.3 1.3 管理方式简介管理方式简介1.4 1.4 登录防火墙登录防火墙1.11.1安装调试前的工作安装调试前的工作拆箱检查拆箱检查 请安照装箱单的提示进行检查机箱内所有的配件：防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线）、串口线、安装支架、保修卡*注：如发现有问题，请及时与你的供货商进行沟通解决。注：如发现有问题，请及时与你的供货商进行沟通解决。1.11.1安装调试前的工作安装调试前的工作 一、

3、第一时间内填写保修卡的回执卡，并邮寄回联想公司，以便于成为联想公司永远服务的对象。二、在线服务网站 联想信息安全网站为http:/用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档，并且提供在线问答等特色服务。三、进行产品注册，请您详细填写用户名、通信地址、联系电话、Email地址等信息，以便于将新的技术成果迅速及时的传递给您！一、接通防火墙电源，开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为Window98/2000/XP/2003(暂不支持linux、unix)三、使用随机提供的交叉线，连接管理主机和

4、防火墙的FE1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200（防火墙出厂时默认指定的管理主机IP）1.2安装调试的准备工作1.3管理方式介绍支持多种管理方式支持多种管理方式:串口命令行管理串口命令行管理-常用于灾难的恢复工作 WebWeb页面管理页面管理-常用于正常管理 sshssh远程管理远程管理-常用于管理调试 集中管理集中管理-方便管理 PPPPPP远程拨号接入远程拨号接入-专线远程拨入1.4登录防火墙 A.电子钥匙认证电子钥匙认证 需要安装电子钥匙驱动程序和防火墙管理员登录认证需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。程序。B.证书认

5、证证书认证 需要导入需要导入IE证书，和防火墙证书证书，和防火墙证书(IE证书与防火墙证证书与防火墙证书要一一对应，防火墙证书支持页面与串口两种方式。书要一一对应，防火墙证书支持页面与串口两种方式。认证方式认证方式安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的key目录，执行该目录下的INSTDRV，提示“退出请重新插锁”。则表示已正确安装完网御电子钥匙的驱动程序。*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口口。1.4登录防火墙电子钥匙认证电子钥匙认证1.4登录防火墙点击点击“退出

6、请重新插锁退出请重新插锁”后装电子钥匙插入管理主机后装电子钥匙插入管理主机USBUSB接口中，接口中，XP/2000/2003XP/2000/2003系统提示自动搜索电子钥系统提示自动搜索电子钥匙驱动程序匙驱动程序,自动安装即可。自动安装即可。*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口口电子钥匙认证电子钥匙认证在管理主机上，运行随机光盘administrator目录下的ikeyc 程序,程序将提示用户输入PIN口令首次使用默认PIN为“12345678”，1.4登录防火墙电子钥匙认证电子钥匙认证 通过后

7、弹出管理员身份认证对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面*注：在管理防火墙过程中，本程序每注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不秒将向防火墙提交一次认证信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。1.4登录防火墙电子钥匙认证电子钥匙认证通过认证程序后，在IE中输入https:/https:/防火墙防火墙IP:8888IP:8888出厂默认地址10.1.5.254，默认的用户密码administr

8、ator1.4登录防火墙电子钥匙认证电子钥匙认证1.4登录防火墙电子钥匙认证电子钥匙认证 一、一、使用防火墙证书管理之前需要先把防火墙的使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。证书导入到防火墙上并启用。二、二、导入导入IEIE浏览器证书浏览器证书。1.4登录防火墙证书认证证书认证首先以电子钥匙方式登录到防火墙，进入“系统配置”“管理配置”“管理员证书”-管理员证书模块中选择浏览，在本地计算机文件夹中选择ca.pem、fw.pem、fwkey.pem分别对应防火墙的中的CA中心证书、安全网关证书、安全网关密钥。点击“导入”。然后在本地计算机文件夹中再选择administr

9、ator.pem对应防火墙的中的管理员证书，点击“导入”1.4登录防火墙证书认证证书认证1.4登录防火墙证书认证证书认证导导入入证书证书后后选择选择生效生效选项选项保存配置保存配置证书生效证书生效1.4登录防火墙证书认证证书认证最后在首最后在首页页点点击击保存保存 导入防火墙证书要导入相对应的导入防火墙证书要导入相对应的IEIE浏览器证书浏览器证书.在管理主机本地双击在管理主机本地双击IEIE浏览器证书，按照提示进行安浏览器证书，按照提示进行安装，需要输入密码时输入装，需要输入密码时输入“hhhhhhhhhhhh”，当出现导入成，当出现导入成功后点击确定完成。功后点击确定完成。证书认证证书认证

10、1.4登录防火墙 当防火墙与当防火墙与IEIE证书均导入成功后，我们在管理证书均导入成功后，我们在管理主机打开主机打开IEIE浏览器并输入浏览器并输入https:/防火墙ip:8889出厂出厂默认默认IPIP为为10.1.5.25410.1.5.254,出现选择证书提示后点击出现选择证书提示后点击“确定确定”1.4登录防火墙证书认证证书认证1.4登录防火墙证书认证证书认证出现安全警报后点击出现安全警报后点击“是（是（Y)”就会出现防火就会出现防火墙登录页面墙登录页面XP系统请确认系统请确认IE浏览器中浏览器中internet选项选项-隐私选项隐私选项-中的阻止弹出窗口选取去掉：如下图中的阻止弹

11、出窗口选取去掉：如下图1.4登录防火墙证书认证证书认证用户名密码为用户名密码为:administrator/administratoradministrator/administrator目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块的配置使用防火墙的功能模块的配置使用防火墙的常用串口命令防火墙的常用串口命令防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理2 2防火墙界面介绍防火墙界面介绍管理首页管理首页各级子菜单各级子菜单2 2防火墙界面介绍防火墙界面介绍管理配置-管理主机2 2防火墙界面介绍防火墙界面介绍管理方式设定2 2

12、防火墙界面介绍防火墙界面介绍网络配置2 2防火墙界面介绍防火墙界面介绍物理设备2 2防火墙界面介绍防火墙界面介绍网桥设备2 2防火墙界面介绍防火墙界面介绍网桥设备2 2防火墙界面介绍防火墙界面介绍域名服务器2 2防火墙界面介绍防火墙界面介绍静态路由2 2防火墙界面介绍防火墙界面介绍HA双机热备2 2防火墙界面介绍防火墙界面介绍HA探测网口2 2防火墙界面介绍防火墙界面介绍连接管理2 2防火墙界面介绍防火墙界面介绍连接规则2 2防火墙界面介绍防火墙界面介绍连接状态2 2防火墙界面介绍防火墙界面介绍连接排行2 2防火墙界面介绍防火墙界面介绍安全规则包流经规则的顺序：应用代理，端口映射，包流经规则的

13、顺序：应用代理，端口映射，IPIP映射，过滤规则，地址转换映射，过滤规则，地址转换增加源端口，源增加源端口，源MACMAC地址，地址，URLURL过滤，网页关键过滤，网页关键字过滤，入网口，出网口，时间调度，长连接字过滤，入网口，出网口，时间调度，长连接等选项等选项3 3防火墙的配置管理防火墙的配置管理安全选项2 2防火墙界面介绍防火墙界面介绍默认全通/全禁包过滤规则2 2防火墙界面介绍防火墙界面介绍包过滤3 3防火墙的配置管理防火墙的配置管理端口映射3 3防火墙的配置管理防火墙的配置管理IP映射3 3防火墙的配置管理防火墙的配置管理注意：如果源地址包含管理主机，公开地址是防火墙的管理IP，该

14、管理主机将不能管理防火墙。如果取消选中，既能通过公开地址和端口访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端口访问内部服务器。源端口可以用英文逗号分割表示多个端口，或用英文冒号分割表示端口段 注意：下一条IP 映射规则，如果没有选择“包过滤缺省策略通过”，还必须再下一条相应的包过滤规则才能生效。方法如下：包过滤规则的源地址是IP 映射规则的源地址，包过滤规则的目的地址是IP 映射规则的内部地址。端口映射3 3防火墙的配置管理防火墙的配置管理NAT 3 3防火墙的配置管理防火墙的配置管理 注意：设置一条NAT 规则，必须再设置一条相应的包过滤规则才能生效。NAT规则2 2防

15、火墙界面介绍防火墙界面介绍代理服务2 2防火墙界面介绍防火墙界面介绍地址列表定义2 2防火墙界面介绍防火墙界面介绍定义域名地址2 2防火墙界面介绍防火墙界面介绍定义地址组2 2防火墙界面介绍防火墙界面介绍定义地址池2 2防火墙界面介绍防火墙界面介绍定义服务器地址2 2防火墙界面介绍防火墙界面介绍定义服务2 2防火墙界面介绍防火墙界面介绍定义动态服务2 2防火墙界面介绍防火墙界面介绍定义基本服务2 2防火墙界面介绍防火墙界面介绍定义服务组2 2防火墙界面介绍防火墙界面介绍系统监控2 2防火墙界面介绍防火墙界面介绍系统监控2 2防火墙界面介绍防火墙界面介绍多默认路由均衡 多默认路由均衡功能主要是对

16、各路由网关的可连通性进行实时监测，并提供给内核路由表，以供系统作出合理的路由选择。对每个路由可以设定权重，设置可以依据该由的处理能力或路由的繁忙程度等。当新建连接与已建立连接的源IP或目的IP不同时，将设计所权重选择默认路由。亮点功能2 2防火墙界面介绍防火墙界面介绍多默认路由均衡亮点功能2 2防火墙界面介绍防火墙界面介绍更多协议支持集中管理支持Snmp V3及需要填写参数。亮点功能2 2防火墙界面介绍防火墙界面介绍SnmpV1/V2C/V3设置亮点功能2 2防火墙界面介绍防火墙界面介绍SIP协议SIP（Session Initiation Protocol）是由IETF定义，基于IP的一个应

17、用层控制协议。常用于视频会议、语音能话、共享白板、游戏会话、应用共享、桌面共享、文件传输等应用的协议族。它与H.323协议族类似。它有两种工作模式，我们建议用户使用代理模式。本版防火墙支持对SIP协议的源地址转换，端口/IP映射。亮点功能2 2防火墙界面介绍防火墙界面介绍蠕虫过滤 系统预先定义好NIMDA（或者其他防火墙支持的蠕虫）的攻击特征。在用户操作界面上，用户可以先择或停用过滤NIDMA（或者其他防火墙支持的蠕虫）蠕虫攻击包的功能。系统根据蠕虫特征模式，检测网络数据包。一旦发现符合特征的数据包，则禁止该网络数据包通过。亮点功能2 2防火墙界面介绍防火墙界面介绍P2P过滤P2P，英文Pee

18、r-to-Peer的缩写，中译为对等互联或点对点技术。P2P技术可以让用户可以直接连接到其他用户的计算机，进行文件共享与交换，同时P2P在深度搜索、分布计算、协同工作等方面也大有用途。简单地说，P2P就是一种用于不同PC用户之间，不经过中继设备直接交换数据或服务的技术，它允许Internet用户直接使用对方的文件。每个人可以直接连接到其他用户的计算机，并进行文件的交换，而不需要连接到服务器上再进行浏览与下载。软件有软件有BTBT、EdonkeyEdonkey、emuleemuleNoImageNoImageNoImage亮点功能2 2防火墙界面介绍防火墙界面介绍命令批处理将原有的界面调用后台命

19、令行的日志记录，按一将原有的界面调用后台命令行的日志记录，按一定的格式显示在界面上，用户可以拷贝这些命令定的格式显示在界面上，用户可以拷贝这些命令行，在此基础上修改添加，可加入用时延时、注行，在此基础上修改添加，可加入用时延时、注释、生成自己的命令行批处理文件，交提交后以释、生成自己的命令行批处理文件，交提交后以批处理执行。常用于多台防火墙重复配置工作。批处理执行。常用于多台防火墙重复配置工作。亮点功能2 2防火墙界面介绍防火墙界面介绍命令批处理NoImage目录目录1 1 防火墙登录管理防火墙登录管理2 2防火墙的功能模块的配置使用防火墙的功能模块的配置使用3 3 防火墙的常用串口命令防火墙

20、的常用串口命令4 4 防火墙产品的典型应用防火墙产品的典型应用5 5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 使用随机所附的串口线(兰)，将防火墙的console与一台装有超级终端的个人计算机的串口连接起来。设置超级终端的波特率：9600；数据位：8；奇偶校验：无；停止位：1；流量控制：硬件/无 登录用户名密码：administrator串口命令行命令介绍登录介绍串口命令行命令介绍登录介绍 acsystem show (显示系统信息防火墙序列号、版本号)acinterface show all (显示所有网络端口的ip)ac interface set phy if fe

21、3 ip 1.1.1.1 netmask 255.255.255.0 active on admin on ping on (设定fe3的ip为1.1.1.1,网口启用允许web管理、ping）acadmhost show (查看管理主机ip)acadmhost add ip 192.168.0.1(添加一个地 为192.168.0.1的管理主机)acconfig save (防火墙配置保存)串口命令行命令介绍串口命令行命令介绍 用户名：dump；密码：dump；通过“?”命令查看可用命令 Tcpdump命令使用参数如下：tcpdump -C file_size -F file -i inte

22、rface -r file -T type -w file -E algo:secret expression 串口命令行抓包命令介绍串口命令行抓包命令介绍参数介绍参数介绍-i eth2 表示在fe3口上抓包host 1.1.1.1 表示抓发往或源自 1.1.1.1主机的包tcp(udp)表示抓tcp包或udp包port 80 表示抓80端口的包and 表示“与”or 表示“或”not 表示“非”一个例子一个例子tcpdump i eth2 host 1.1.1.1 and tcp and port 80 and vlan表示从fe3口上抓源自或发往1.1.1.1主机的TCP 80端口的，还未

23、解vlan标志的包注：凡从交换机trunk进入墙的包，均使用vlan参数抓包，从墙出去进入交换机trunk口的包，均使用not vlan参数tcpdump(host 1.1.1.1 or host 2.2.2.2)and not udp表示抓源自或发往1.1.1.1或2.2.2.2且不是udp的数据包 目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块的配置使用防火墙的功能模块的配置使用3 防火墙的配置管理防火墙的配置管理4 防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理让合法用户合理利用网络资源使网络免受已知风险防火墙配置的基

24、本原则与连线防火墙配置的基本原则与连线安全与方便之间选择一个平衡点防火墙产品的典型应用防火墙产品的典型应用防火墙-交换机、HUB：直连线（普通网线）防火墙-PC、笔记本、路由器：交叉线防火墙的引入防火墙的引入NoImageNoImageInternetNoImageNoImageHTTP/FTP/SMTPServerFile ServerData BaseProxyServerUser ClientNoImageNoImageNoImageNoImageNoImage边界点安全威胁边界点安全威胁NoImage防火防火墙墙NoImage防火墙产品的典型应用防火墙产品的典型应用典型应用环境典型应用

25、环境拓朴图三网口路由拓朴图三网口路由NoImage典型应用环境典型应用环境一、需求描述内部网络区段主机的缺省网关指向fe1的IP地址192.168.1.1；DMZ网络区段的主机的缺省网关指向fe3的IP地址172.16.1.1；防火墙的缺省网关指向路由器的地址202.100.100.1。WWW服务器的地址是172.16.1.10，端口是80；MAIL服务器的地址是172.16.1.11，端口是25和110；FTP服务器的地址是172.16.1.12，端口是21。安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和Internet区段的http,smtp，pop3，ftp服务；允许In

26、ternet区段访问DMZ网络区段的服务器。其他的访问都是禁止的。典型应用环境典型应用环境二、网络设备配置网络配置网络设备 编辑物理设备fe1，将它的IP地址配置为192.168.1.1，掩码是 255.255.255.0。编辑物理设备fe3，将IP地址配置为172.16.1.1，掩码是 255.255.255.0。编辑物理设备fe4，将IP地址配置为202.100.100.3，掩码是 255.255.255.0。网络配置静态路由：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择fe4。典型应用环境典型应用环境三、策略配置添加源地址是192.16

27、8.1.0/24，目的地址是any，服务是http，动作是允许的包过滤规则。添加源地址是192.168.1.0/24，目的地址是any，服务是smtp，动作是允许的包过率规则。添加源地址是192.168.1.0/24，目的地址是any，服务是pop3，动作是允许的包过滤规则。添加源地址是192.168.1.0/24，目的地址是any，服务是ftp，动作是允许的包过滤规则。添加源地址是192.168.1.0/24，目的地址是any，服务是any的NAT规则。添加源地址是any，目的地址172.16.1.10，服务是http，动作是允许的包过滤规则。添加源地址是any，目的地址172.16.1.1

28、1，服务是smtp，动作是允许的包过滤规则。添加源地址是any，目的地址172.16.1.11，服务是pop3，动作是允许的包过滤规则。添加源地址是any，目的地址172.16.1.12，服务是ftp，动作是允许的包过滤规则。添加公开地址是202.100.100.3，对外服务是http，内部地址是172.16.1.10，内部服务是http的端口映射规则。添加公开地址是202.100.100.3，对外服务是smtp，内部地址是172.16.1.11，内部服务是smtp的端口映射规则。添加公开地址是202.100.100.3，对外服务是pop3，内部地址是172.16.1.11，内部服务是pop3

29、的端口映射规则。添加公开地址是202.100.100.3，对外服务是ftp，内部地址是172.16.1.12，内部服务是ftp的端口映射规则。典型应环境典型应环境三网口混合模式三网口混合模式NoImage典型应环境典型应环境一、需求描述 fe1工作在透明模式，fe3工作在透明模式，fe4工作在路由模式，IP地址是202.100.100.3，掩码是255.255.255.0。桥接设备brg0的IP地址是10.10.10.1，掩码时255.255.255.0。内网网络区段的缺省网关是10.10.10.1，DMZ网络区段的缺省网关是10.10.10.1。防火墙的缺省网关是202.100.100.1。

30、防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内网网络区段访问Internet和DMZ，允许Internet访问DMZ，其他的访问都禁止。典型应环境典型应环境二、网络设备配置编辑桥接设备brg0，配置它的IP地址是10.10.10.1，掩码是 255.255.255.0，选择可管理。编辑物理设备fe1，选择它的工作模式是“透明模式”。编辑物理设备fe3，选择它的工作模式是“透明模式”。编辑物理设备fe4，配置它的IP地址为202.100.100.3，掩码是255.255.255.0。静态路由：添加网关是202.100.100.1的缺省路由。典型应环境典型应环境三、策略配置策略配置需要先定

31、义如下的资源：LOCAL_NET：10.10.10.2到10.50.10.50，地址段。DMZ_NET：10.10.10.2到10.50.10.50，地址段。WWW_SERVER：10.10.10.100，掩码是255.255.255.255，主机地址。MAIL_SERVER：10.10.10.101，掩码是255.255.255.255，主机地址。FTP_SERVER：10.10.10.102，掩码是255.255.255.255，主机地址。INTERNET：!10.10.10.0，掩码是255.255.255.0，取反网络地址。典型应环境典型应环境三、策略配置添加源地址是LOCAL_NET

32、，目的地址是any，服务是http，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是ftp，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是INTERNET，服务是any的NAT规则。添加源地址是INTERNET，目的地址是WWW_SERVER，服务是http，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是smtp，动作

33、是允许的包过滤规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是pop3，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是FTP_SERVER，服务是ftp，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是WWW_SERVER，服务是http的端口映射规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是smtp的端口映射规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是pop3的端口映射规则。添加源地址是INTERNET，目的地址是FTP_SERVER，服务是ftp的端口映射规则。典型应

34、环境典型应环境三网口透明模式三网口透明模式NoImage典型应环境典型应环境一、需求描述 fe1工作在透明模式，fe3工作在透明模式，fe4工作在透明模式。桥接设备brg0的IP地址是10.10.10.1，允许管理。防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内部网络区段访问DMZ区段和INTERNET的http，smtp，pop3，ftp服务，允许INTERNET区段访问DMZ网络的http，smtp，pop3，ftp服务。其他的访问都禁止。典型应环境典型应环境二、网络设备配置编辑桥接设备brg0，将它的IP地址配置为10.10.10.1，掩码是 255.255.255.0，允许管理

35、，确定。编辑物理设备fe1，选择工作模式为“透明”，确定。编辑物理设备fe3，选择工作模式为“透明”，确定。编辑物理设备fe4，选择工作模式为“透明”，确定。典型应环境典型应环境三、策略配置在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2到10.10.10.50，网络地址段。DMZ_NET：10.10.10.100到10.10.10.150，网络地址段。EXTERNAL_NET：10.10.10.200到10.10.10.254，网络地址段。INTERNET：地址是10.10.10.0，掩码是255.255.255.0，反网络地址。WWW_SERVER：地址是10.10

36、.10.100，掩码是255.255.255.255。MAIL_SERVER：地址是10.10.10.101，掩码是255.255.255.255.。FTP_SERVER：地址是10.10.10.102，掩码是255.255.255.255。典型应环境典型应环境三、策略配置添加源地址是LOCAL_NET，目的地址是any，服务是http，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是smtp，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是pop3，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是any，服务是

37、ftp，动作是允许的包过滤规则。添加源地址是any，目的地址是WWW_SERVER，服务是http，动作是允许的包过滤规则。添加源地址是any，目的地址是MAIL_SERVER，服务是smtp，动作是允许的包过滤规则。添加源地址是any，目的地址是MAIL_SERVER，服务是pop3，动作是允许的包过滤规则。添加源地址是any，目的地址是FTP_SERVER，服务是ftp，动作是允许的包过滤规则。目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块的配置使用防火墙的功能模块的配置使用3 防火墙的配置管理防火墙的配置管理4 防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理

38、及故障处理防火墙产品的日常管理及故障处理 防火墙在配置与使用过程中，如果配置防火墙在配置与使用过程中，如果配置不当往往会造成防火墙无法管理，网络中断不当往往会造成防火墙无法管理，网络中断等现场。为了有效的避免这些故障的发生，等现场。为了有效的避免这些故障的发生，我们在配置过程中应该注意以下的问题。我们在配置过程中应该注意以下的问题。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理NoImage 电子钥匙连接防火墙时提示电子钥匙连接防火墙时提示“认证失败，请检查认证失败，请检查IPIP地址及地址及网络网络”.处理方法处理方法:防火墙设置的管理主机的防火墙设置的管理主机的IP地址

39、和目前正在使地址和目前正在使用的管理主机地址不一致造成用的管理主机地址不一致造成,更改管理主机更改管理主机ip.5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 防火墙中配置了端口映射或防火墙中配置了端口映射或IPIP映射规则后，为什么外网映射规则后，为什么外网和内网用户还是无法访问和内网用户还是无法访问DMZDMZ区服务器？区服务器？处理方法：在配置了映射规则后，还需要配置相应的包处理方法：在配置了映射规则后，还需要配置相应的包过滤规则才可以。过滤规则才可以。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 为什么我们更改了防火墙的为什么我们更改了防火墙的

40、fe1fe1口的地址后口的地址后,却管理不上了却管理不上了?当我们更改防火墙的网络接口的同时，要确认你已经添加当我们更改防火墙的网络接口的同时，要确认你已经添加了此接口网段的管理主机，否则你将无法管理防火墙。没有了此接口网段的管理主机，否则你将无法管理防火墙。没有用的管理主机址尽量删除，因为管理主机的用的管理主机址尽量删除，因为管理主机的IPIP地址是做为管地址是做为管理防火墙的一个很重要的条件。理防火墙的一个很重要的条件。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理NoImage 当不同的设备地址进行工作模式的转换时候，注意它当不同的设备地址进行工作模式的转换时候，注意

41、它的附加选项。如拨号设备要先关闭管理属性才能删除。的附加选项。如拨号设备要先关闭管理属性才能删除。当墙连接的对端的设备工作速率不支持自适应的时候，当墙连接的对端的设备工作速率不支持自适应的时候，要注意设定墙接口的工作方式与速率。要注意设定墙接口的工作方式与速率。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 防火墙的名称可以用中文名吗防火墙的名称可以用中文名吗?在防火墙的内部程序中，有很多程序处理不了中文名在防火墙的内部程序中，有很多程序处理不了中文名字。所以在资源定义，导入导出，规则名称等地方尽量字。所以在资源定义，导入导出，规则名称等地方尽量或不使用中文名字。或不使用中

42、文名字。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 防火墙规则根据作用顺序分为代理、端口映射、防火墙规则根据作用顺序分为代理、端口映射、IP映射、包过滤、映射、包过滤、NAT规则五类。其中代理规则是最优规则五类。其中代理规则是最优先生效的规则，最后为先生效的规则，最后为NAT，这几类规则在界面上排列，这几类规则在界面上排列的顺序也体现了这一顺序的顺序也体现了这一顺序.我们的规则要尽量精简，目我们的规则要尽量精简，目的是为了让墙处理的更快。的是为了让墙处理的更快。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 为什么有一个被引用的安全规则不能被删除？为

43、什么有一个被引用的安全规则不能被删除？处理方法处理方法:资源被规则使用资源被规则使用,或被组引用时或被组引用时,不进行删除，不进行删除，必须从规则中或引用组中删掉后，才可以进行删除必须从规则中或引用组中删掉后，才可以进行删除.5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 为什么刚刚登陆到防火墙的界面后为什么刚刚登陆到防火墙的界面后CPUCPU利用率有时会变利用率有时会变得很高？得很高？这是正常的，因为登陆时占用资源比较多，造成了瞬这是正常的，因为登陆时占用资源比较多，造成了瞬时时CPU利用率增高利用率增高。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理

44、为什么防火墙配置完毕为什么防火墙配置完毕,重启后配置却丢失了重启后配置却丢失了?配置过程中防火墙的规则生效的，这样就会造成一配置过程中防火墙的规则生效的，这样就会造成一个错觉，认为配置已经保存下来了，实际上只是生效并个错觉，认为配置已经保存下来了，实际上只是生效并没有保存下来，因此需要我们手工的保护才能在防火墙没有保存下来，因此需要我们手工的保护才能在防火墙重启以后保留你的配置。重启以后保留你的配置。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 配置的导入导出分析配置与解决问题的好方法。当配置的导入导出分析配置与解决问题的好方法。当使用防火墙的过程中我们要经常的备份防火墙

45、的配置文使用防火墙的过程中我们要经常的备份防火墙的配置文件，以便于我们对于处理故障更有效。件，以便于我们对于处理故障更有效。5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理为什么有时登陆防火墙时会弹出超时界面呢为什么有时登陆防火墙时会弹出超时界面呢?退出防火墙操作时尽量点击界面上的退出防火墙操作时尽量点击界面上的“退出退出”按钮，按钮，而不要直接关闭浏览器。按而不要直接关闭浏览器。按“退出退出”按钮，则防火墙可按钮，则防火墙可以判定这个会话结束了。如果直接关闭防火墙界面以判定这个会话结束了。如果直接关闭防火墙界面,会话会话就会一直保持到就会一直保持到 超时超时,所以登陆时会弹

46、出超时界面所以登陆时会弹出超时界面.5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理 详细填写我们的产品回执卡注册为我们的会员，定期详细填写我们的产品回执卡注册为我们的会员，定期网站上查看相应的补丁通知等信网站上查看相应的补丁通知等信息。并留意我们在网站上公布的一些最新的安全漏洞等息。并留意我们在网站上公布的一些最新的安全漏洞等信息。信息。拨打我们的拨打我们的24小时热线电话小时热线电话4008-107-766,与我们的与我们的技术专家取得联系技术专家取得联系.5 5防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理NoImageNoImage问题交流问题交流?NoImage