强五防火墙安装调试培训

PowerV系列防火墙安装工程实施部2007年4月目录一．初次安装管理二．常见配置步骤与功能配置说明三．典型应用环境配置方法四．日常故障处理方法初次安装管理1.准备工作2.通过串口管理防火墙3.通过WEB页面管理防火墙初次安装管理1.准备工作接通防火墙电源，开启防火墙(听到“滴滴滴”后防火墙启动完成)选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为Window98/2000/XP/2003(不支持linux、unix其它系统)使用随机提供的交叉线，连接管理主机和防火墙的FE1网口使用随机附带的串口线连接管理主机的串口（RS232）和防火墙console口（部分产品串口1）初次安装管理2.串口管理基本步骤：①连接串口线－②配置超级终端－③配置管理初次安装管理2.串口管理配置超级终端Window98/2000/XP，系统包含超级终端工具如windows超级终端或SecureCRT。以windows自带超级终端为例：选择程序-附件-通讯-超级终端，选择用于连接的串口设备。定制通讯参数：每秒位数：9600；数据位：8；奇偶校验：无；停止位：1；数据流控制：无。初次安装管理2.串口管理登录防火墙UseradminadministratordumpPassadmin123administratordump初次安装管理3.WEB页面管理防火墙使用电子认证管理基本过程：①配置管理主机-②安装usb钥匙并认证管理员身份－③配置管理初次安装管理3.WEB页面管理防火墙①配置管理主机说明：在缺省情况下，网御防火墙PowerV的FE1网口地址设定为10.1.5.254/24(出厂默认的地址),防火墙出厂时默认指定的管理主机IP地址10.1.5.200/24通过WEB页面管理防火墙前首先需要将管理主机的地址配置成10.1.5.200/24,将管理主机与防火墙FE1接口通过随机附带交叉线进行连接。验证：在管理主机运行ping10.1.5.254验证是否真正连通。初次安装管理3.WEB页面管理防火墙②安装usb钥匙并认证管理员身份首先安装认证驱动程序。插入随机附带的驱动光盘，进入光盘ikeydriver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出重新插锁”。切记：安装驱动前不要插入USB电子钥匙。初次安装管理3.WEB页面管理防火墙②安装usb钥匙并认证管理员身份在管理主机上，运行随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令，首次使用默认PIN为“12345678”初次安装管理3.WEB页面管理防火墙②安装usb钥匙并认证管理员身份电子钥匙中存储的默认防火墙IP地址为10.1.5.254，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了，在管理过程中，本程序每5秒向防火墙提交一次认证信息，因此，不能拔出电子钥匙或者关闭认证程序，否则将导致对防火墙的管理被立即中断。初次安装管理3.WEB页面管理防火墙②安装usb钥匙并认证管理员身份运行IE浏览器，在地址栏输入等待约20秒左右会弹出一个对话框提示接受证书，选择接受即可。初次安装管理3.WEB页面管理防火墙使用证书认证管理基本过程：①安装管理主机IE证书-②安装防火墙证书－③配置管理初次安装管理3.WEB页面管理防火墙①导入防火墙证书首先以电子钥匙方式登录到防火墙，进入“系统配置”-“管理配置”-“管理员证书”-管理员证书模块中选择浏览，在本地计算机文件夹中选择CACert.pem、leadsec.pem、leadsec_key.pem分别对应防火墙的中的CA中心证书、安全网关证书、安全网关密钥。点击“导入”。然后在本地计算机文件夹中再选择admin.pem对应防火墙的中的管理员证书，点击“导入”初次安装管理3.WEB页面管理防火墙①导入防火墙证书导入证书后选择生效选项初次安装管理3.WEB页面管理防火墙①导入防火墙证书导入证书后选择生效选项初次安装管理3.WEB页面管理防火墙②导入IE证书导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”（生成证书时设定的密码），当出现导入成功后点击确定完成。初次安装管理3.WEB页面管理防火墙②导入IE证书当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入https://防火墙ip:8889出厂默认IP为10.1.5.254,出现选择证书提示后点击“确定”目录一．初次安装管理二．常见配置步骤与功能配置说明三．典型应用环境配置方法四．日常故障处理方法配置管理主机配置网络接口配置路由/网关资源定义配置安全规则其它功能配置常见配置步骤常见配置步骤①常见配置步骤配置管理主机防火墙出厂时默认的管理主机地址为10.1.5.200，当接入一个新的网络环境中时，首先要进行管理主机的配置。①常见配置步骤配置管理主机防火墙出厂时默认的管理方式有两种方式，在管理方式里可以增加远程SSH和PPP接入方式。常见配置步骤①常见配置步骤配置管理主机防火墙出厂时默认的管理员帐号有两个，超时时间为600S常见配置步骤①常见配置步骤配置管理主机管理主机无法管理防火墙问题说明墙接口与默认管理主机不在同一网段；而管理主机列表中没有能管理墙的主机常见配置步骤①常见配置步骤网络接口配置防火墙接入方式主要分三种情况：透明方式，即防火墙工作在数据链路层，不需改动现有的网络结构。路由方式、混合模式，即防火墙工作网口既有路由模式又有透明模式常见配置步骤①常见配置步骤网络接口配置路由方式下的物理设备配置常见配置步骤可选网口工作模式，即路由模式和透明模式①常见配置步骤网络接口配置可以选择网络接口的属性常见配置步骤①常见配置步骤网络接口配置透明方式下的桥设备配置常见配置步骤①常见配置步骤路由/网关配置默认网关及路由配置常见配置步骤①常见配置步骤路由/网关配置需要配置路由拓朴常见配置步骤①常见配置步骤安全规则配置防火墙出厂默认的规则是全通的。需要更改为默认全禁止，再详细配置允许规则；或相反。把这个对勾去掉变为全禁止常见配置步骤①常见配置步骤安全规则配置配置详细的包过滤安全规则常见配置步骤①常见配置步骤安全规则配置配置详细的包过滤安全规则常见配置步骤①常见配置步骤NAT什么是NAT？网络地址转换(NAT)是一个Internet工程任务组(InternetEngineeringTaskForce，IETF)标准，用于允许专用网络上的多台PC(使用专用地址段，例如10.0.x.x、192.168.x.x、172.x.x.x)共享单个、全局路由的IPv4地址。IPv4地址日益不足是经常部署NAT的一个主要原因。WindowsXP和WindowsMe中的“Internet连接共享”及许多Internet网关设备都使用NAT，尤其是在通过DSL或电缆调制解调器连接宽带网的情况下。常见配置步骤①常见配置步骤NAT什么是映射就是当外网访问防火墙的一个公网地址时，防火墙会自动将访问请求映射到对应局域网主机/服务器。常见配置步骤①常见配置步骤NATNAT和映射实例常见配置步骤①常见配置步骤NAT配置在强五系统防火墙中每条NAT/SNAT规则都需要有相对应的包过滤规则支持才可以生效。常见配置步骤①常见配置步骤NAT配置端口映射配置常见配置步骤①常见配置步骤NAT配置IP映射NAT配置常见配置步骤①常见配置步骤服务和地址资源定义常见配置步骤①常见配置步骤服务和地址资源定义常见配置步骤①常见配置步骤服务和地址资源定义常见配置步骤①常见配置步骤服务和地址资源定义常见配置步骤②其它重要功能配置及说明连接管理其它重要功能主要用途&技术亮点主要用途：实现基于多出口的均衡实现出口冗余技术亮点：实现基于权值的均衡1.多默认路由均衡功能实现原理对各路由网关的可连通性进行实时监测，并提供给内核路由表，以供系统作出合理的路由选择。对每个路由可以设定权重，其设置可以依据该路由的处理能力或路由的繁忙程度等。1.多默认路由均衡当新建连接与已建立连接的源IP或目的IP不同时，将依据权重选择默认路由。基于多个默认路由的均衡，即对于某个网络接口卡来讲，本来可能是属于它的流量，被分配到其他的网络接口卡上，使该出口的“负载”得以减轻。基于路由算法（即路由的权重、超时等因素）1.多默认路由均衡典型拓扑：1.多默认路由均衡多默认路由均衡1.多默认路由均衡主要用途&技术亮点主要用途针对常用P2P下载工具（BT、edonkey、emule），可完全禁止其穿过防火墙，或对通过防火墙的流量限制带宽。技术亮点支持的协议比较全可完全禁止P2P流量可对P2P流量进行带宽限制2.P2P过滤功能实现原理P2P即PeertoPeer,称为对等连接或对等网络。P2P的通信方式是本身即做S（Server）又做C（Client），可以与同类P2P形成专用的P2P网络，Peer与Peer之间可以共享资源，可极大的提高数据共享的效率。目前典型的应用是BT（BitTorrent）。2.P2P过滤BT通信步骤：BT客户端取得种子文件，种子文件中包含供下载的文件信息及相应的Tracker服务器信息；BT客户端向Tracker服务器发起查询请求，Tracker服务器返回其它BT客户端的IP地址和端口；BT客户端向其它BT客户端发起TCP连接，下载文件。2.P2P过滤通过分析bt、emule、edonkey协议，总结出bt、emule、edonkey的特征，依据这些特征识别出经过防火墙的数据包是否属于bt、emule、edonkey的应用，实现对经过防火墙的P2P应用的连接进行过滤，包括阻断或允许通过。天融信的防火墙宣称也能够支持P2P过滤，但只是一种url过滤的扩展，做不到像网御在基于协议分析的基础上进行过滤2.P2P过滤P2P带宽限制在原有带宽管理功能的基础上实现P2P带宽限制配置方法类似于带宽管理规则可分别对BT与eMule、eDonkey设置带宽限制对于p2p的带宽管理，如果要对某类型p2p流量进行过滤则是在相应的p2p过滤中选择bt过滤还emule，edonkey过滤。注意带宽管理规则中所谓的某类p2p过滤指的是对该类p2p流量进行带宽管理。包过滤规则上可以完全禁止P2P下载，有日志记录2.P2P过滤对于有关对bt等p2p做带宽限制的注意事项，如果同时选择了服务，只有那些可能是BT连接的服务，比如tcp_any才可能进行BT过滤，而ftp这样不可能是BT的服务则不会进行BT过滤。如果服务类型不包括BT/eMule时，同时又选择了p2p过滤，该规则不仅对BT/eMule不生效，对所选的服务也不会生效同样建议在碰到类似涉及到状态表的测试时，在后台使用命令filterconfigstateremove清空状态表，或重启防火墙2.P2P过滤2.P2P过滤主要用途&技术亮点主要用途：替代原有代理实现的大多数应用层过滤功能技术亮点：原来通过代理方式实现，现在直接在连接中检查，性能提升3.深度过滤功能详述针对HTTP、FTP、SMTP三种协议进行在深度过滤资源组中定义在过滤策略中引用在包过滤规则中使用3.深度过滤注意事项有部分代理中实现的内容过滤功能没有在深度过滤中实现在包过滤规则中引用（而不再是代理规则）3.深度过滤由于深度过滤中的http、ftp、smtp与代理中实现的功能不完全一样，建议可以配合使用注意需先在深度过滤基本配置中先启用该功能，最后还需在包过滤中引用定义好的深度过滤策略注意若相应的服务并不开在默认端口上，需在基本配置处服务端口定义处把相应的端口加上去应用代理和深度过滤相应功能的对比应用代理HTTP代理能够对Java