锐捷网络防火墙配置指南
(更新日期)
锐捷网络800技术支持中心
技术热线:800-858-1360
目录
一、RG-Wall防火墙注册指南 .............................................................................. 错误!未定义书签。
二、RG-Wall防火墙PAT设置指南....................................................................... 错误!未定义书签。
三、RG-Wall防火墙DNS分离功能设置.............................................................. 错误!未定义书签。
四、RG-Wall防火墙LSNAT设置指南 .................................................................. 错误!未定义书签。
五、RG-Wall防火墙反向PAT设置指南............................................................... 错误!未定义书签。
六、RG-Wall防火墙配置VPN指南...................................................................... 错误!未定义书签。
七、RG-Wall防火墙日志服务器部署指南........................................................... 错误!未定义书签。
一、RG-Wall防火墙注册指南
用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口;使用windwos自带的通讯工具”超级终端”登录防火墙(→开始→程序→附件→通讯→超级终端):
设置好超级终端参数之后,接通防火墙电源,RG-WALL系统开始启动。
系统登入的默认ID和口令值如下(注意区分大小写):ID : root PW : rg-wall123
登录系统,在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面,要求输入用户名密码。用户名为admin ,口令为admin123。
登录后,即出现如下所示的登陆界面:
输入reinstall注册防火墙,系统提示”Do you want to proceed anyway “输入Y继续,防火墙重启。系统重启完后,重新登陆后,会进入以下状态:
按“任意键”正式进入注册步骤:
输入防火墙的软件序列号、授权代码(在防火墙随机带的“产品授权使用证书”上)
输入”O”(下同)进入防火墙工作模式的设置(默认情况下为“路由模式”):
进入超级管理员的帐号、密码、管理权限设置:
进入设定防火墙的机器名,语言版本等信息,注意防火墙机器名为了便于以后管理,请一定采用()的域名表示方式。这里使用中文版本:
进入防火墙的时间设定,在此采用系统默认时间:
进入防火墙管理员IP地址设置(最多可以设置10个管理员IP地址):
进入防火墙网卡的IP地址设置如下图(LAN 1口IP地址为):
进入防火墙VLAN设置,在此处跳过:
进入防火墙静态路由设置,添加Default gateway(缺省网关,在此为)
进入防火墙动态路由设置,以下都跳过:
进入配置域名服务的有关信息。提示:输入域名时,一定是前面输入过的机器名的域名部分。
进入防火墙策略的设置,在此,允许所有的的数据通过并进行PAT:
至此,完成防火墙的注册。防火墙重启之后,在管理主机(比如)上,使用防火墙的IP地址即可登录防火墙的IE管理界面:
二、RG-Wall防火墙PAT设置指南
使用防火墙RG-WALL50的0口(DMZ)与1口分别连接不同网段的内网,同时实现两个网段共享上网。
RG-WALL50防火墙2口用于连接internet(在此为),缺省网关为;1口用于与网段主机连接,接口IP地址为;0口用于连接网段(WEB服务器为,tcp80端口),接口IP地址为。
三、RG-Wall防火墙DNS分离功能设置
防火墙DNS分离功能设置
防火墙LSNAT设置
1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。
2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):
应用之后,点击确定,即可完成LSNAT的配置。
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备 回答: 步骤一:配置VLAN1的IP地址 S5750>en ----进入特权模式 S5750#conf ----进入全局配置模式 S5750(config)#int vlan 1 ----进入vlan 1接口 S5750(config-if)#ip address ----为vlan 1接口上设置管理ip S5750(config-if)#exit ----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4 ----进入telnet密码配置模式S5750(config-line)#login ---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar ----将telnet密码设置为rscstar S5750(config-line)#exit ----回到全局配置模式 enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar
更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令 回答: S5750(config)#username dixy password dixy ----设置dixy 用户名和密码 S5750(config)#username dixy privilege 10 ----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4 ----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 设备时钟设置 提问:如何设置设备时钟 回答:
一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻: 用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到 58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNAT)。比如A学校有100台计算机,但是只有一个互联网IP,上网的时候就将所有上网的计算机都伪装为这个唯一的互联网IP进行访问。实际的网络访问都是基于IP和端口的访问,比如计算机A访问计算机B,那么,计算机B 相当于服务器,计算机A相当于客户机。如果是访问网页,一般就是客户机访问服务器的80端口。在访问的过程中,浏览器会主动开放一个端口(就是客户端端口)与服务器的80端口进行连接访问。一般客户端端口号都比较大。现在的BT、迅雷等P2P软件就是利用了客户端端口作为服务端口来运行的,就是你进行下载的同时也同时提供了被下载的服务,你的客户端端口也是一个服务端口。 在防火墙中应用较多的是源转换(SNAT)和目标转换(DNAT)。DNAT相当于路由功能。一般都是把服务器和上网区域放在防火墙后面,如下面的图例。
1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备? 回答: 步骤一:配置VLAN1的IP地址 S5750>en----进入特权模式 S5750#conf----进入全局配置模式 S5750(config)#int vlan 1----进入vlan 1接口 S5750(config-if)#ip address 192.168.0.230 255.255.255.0 ----为vlan 1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码 S5750(config)#line vty 0 4----进入telnet密码配置模式 S5750(config-line)#login---启用需输入密码才能telnet成功 S5750(config-line)#password rscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式
enable secret level 15 0 rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令? 回答: S5750(config)#username dixy password dixy----设置dixy用户名和密码 S5750(config)#username dixy privilege 10----dixy帐户的权限为10 S5750(config)#privilege exec level 10 show arp ----权限10可以使用show arp命令 S5750(config)#privilege config all level 10 arp ----权限10可以使用所有arp打头的命令 S5750(config)#line vty 0 4----配置telnet登陆用户 S5750(config-line)#no password S5750(config-line)#login local 1.3设备时钟设置
DPtech FW1000系列防火墙用户配置 手册
杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区火炬大道581号三维大厦B座901室 邮编:310053
声明 Copyright 2010 杭州迪普科技有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9
锐捷5750基本配置 锐捷5750基本配置并不复杂,可以通过以下方式来进行设备配置。 1.1通过TELNET方式来配置设备 提问:如何通过telnet方式来配置设备, 回答: 步骤一:配置VLAN1的IP地址S5750>en----进入特权模式S5750#conf----进入全局配置模式S5750(config)#intvlan1----进入vlan1接口S5750(config-if)#ip address192.168.0.230255.255.255.0----为vlan1接口上设置管理ip S5750(config-if)#exit----退回到全局配置模式 步骤二:配置telnet密码S5750(config)#linevty04----进入telnet密码配置模式S5750(config-line)#login---启用需输入密码才能telnet成功S5750(config-line)#passwordrscstar----将telnet密码设置为rscstar S5750(config-line)#exit----回到全局配置模式enablesecretlevel150rscstar ----配置进入特权模式的密码为rscstar 1.2更改IOS命令的特权等级 提问:如何只允许dixy这个用户使用与ARP相关的命令,回答: S5750(config)#usernamedixypassworddixy----设置dixy用户名和密码S5750(config)#usernamedixyprivilege10----dixy帐户的权限为10 S5750(config)#privilegeexeclevel10showarp----权限10可以使用showarp命令S5750(config)#privilegeconfigalllevel10arp ----权限10可以使用所有arp打头的命令S5750(config)#linevty04----配置telnet登陆用户S5750(config-line)#nopassword S5750(config-line)#loginlocal 1.3设备时钟设置
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.doczj.com/doc/7912580797.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
NETSCREEN25硬防火墙配置简要手册 系统默认情况下通过INTERNET3口接电脑,电脑配置ip:192.168.1.2, 在IE栏输入:192.168.1.1 USER:NETSCREEN PWD:NETSCREEN(均为小写) 如果用IE进不了,通过串口访问,串口设置是默认设置, 进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0 set int eth3 manage 然后通过IE访问一样 一、资源准备: 1、当地的ip资源情况,是否有公网IP,需要配置公网地址 多个的话,都要准好,并要定下来公网ip与私网ip的对应。 2、内网IP的地址分配,同时,各个设备的网关地址,在三层交换机中的分配。 现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中,计费服务器的IP地址在一个网关中,数据库应用服务器在一个网段中:
二、具体配置端口参考(部分,根据具体应用来定义端口和服务器) 三、基本配置流程 基本定义策略(polices) 二类: 1、trust――>untrust 源:any 目的:any 服务:any 2、untrust――>trust 源:any 目的:MIP中的一个地址 服务:对应的定义的服务组 (依次把MIP的映射都加进来) 配置流程: 第一步向导的配置
图1:可以直接将配置文件导入(如果) 图2: 图3:配置登陆密码
图4:对4个eth进行区域划分,每个eth有4个选项(DMZ、trust、untrust、null) 图5:划分地址段
图6:配置防火墙的公网ip和内网ip(内部的) 图7:是否将netscreen配置成DHCP
c i s c o防火墙配置手册 TTA standardization office【TTA 5AB- TTAK 08- TTA 2C】
一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、 基本配置介绍 1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。 firewall(config)#hostname firewall 设备名称 firewall(config)#ip address outside 1.1.1.1 255.255.255.0 内外口地址设置 firewall(config)#ip address inside 172.16.1.1 255.255.255.0 firewall(config)# interface ethernet0 100full 激活外端口 firewall(config)# interface gb-ethernet0 1000auto 激活内端口 2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。 firewall(config)#telnet 192.168.10.0 255.255.255.0 inside 允许内网此网断内的机器Telnet到防火墙 配置从外网远程登陆到防火墙 Firewall(config)#domain-name https://www.doczj.com/doc/7912580797.html, firewall(config)# crypto key generate rsa firewall(config)#ssh 0.0.0.0 0.0.0.0 outside 允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如:
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
Juniper防火墙简明实用手册 (版本号:)
目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷:基本原理 ...................................................... 错误!未定义书签。 第一章:ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章:路由表和静态路由............................ 错误!未定义书签。 第三章:区段.................................................... 错误!未定义书签。 第四章:接口.................................................... 错误!未定义书签。 第五章:接口模式............................................ 错误!未定义书签。 第六章:为策略构建块.................................... 错误!未定义书签。 第七章:策略.................................................... 错误!未定义书签。 第八章:地址转换............................................ 错误!未定义书签。 第十一章:系统参数........................................ 错误!未定义书签。 第三卷:管理 .............................................................. 错误!未定义书签。 第一章:管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷:高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs:允许哪些主机可以对防火墙进行管理错误!未定
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
S3750>enable 特权模式 S3750#configure terminal 全局模式 S3750(config)#hostname SW1 将交换机命名为SW1 SW1(config)#vlan 10 创建VLAN 10 SW1(config-vlan)#name 1 命名VLAN 10 为1 SW1(config-vlan)#exit 退出到上一级 SW1(config)#vlan 20 创建VLAN 20 SW1(config-vlan)#name 2命名VLAN 20 为2 SW1(config-vlan)#exit退出到上一级 SW1(config)#interface fastEthernet 0/1进入端口0/1 SW1(config-if)#no shutdown启用端口 SW1(config-if)#shutdown禁用端口 SW1(config-if)#exit退出到上一级 SW1(config)#interface range fastEthernet 0/2-5进入端口2-5端口 SW1(config-if-range)#switchport mode access将端口配置为access模式 SW1(config-if-range)#switchport access vlan 1 将端口划分给VLAN 1 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/6-10 进入6-10端口
SW1(config-if-range)#switchport mode access 将端口配置为access模式 SW1(config-if-range)#switchport access vlan 2 将端口划分给VLAN2 SW1(config-if-range)#exit 退出到上一级 SW1(config)#interface fastEthernet 0/1 进入端口0/1 SW1(config-if)#switchport mode trunk 将端口配置为trunk链路 SW1(config-if)#switchport trunk allowed vlan all trunk链路允许所有VLAN数据通过 SW1(config-if)#exit 退出到上一级 SW1(config)#interface aggregateport 1 创建聚合接口AGI SW1(config-if)#switchport mode trunk 配置AGI模式为trunk SW1(config-if)#exit 退出到上一级 SW1(config)#interface range fastEthernet 0/23-24 进入f0/23和f0/24端口 SW1(config-if-range)#port-group 1 配置属于f0/23和f0/24端口属于AGI SW1(config-if-range)#end 退出到特权模式下 SW1#write 保存当前配置 Building configuration...
交换机命令总结 enable进入特权模式 exit退出EXEC configure terminal进入配置模式 delete flash:config.text删除配置 reload停止并执行热启动 hostname {主机名} 配置交换机名 interface vlan 1 ip address {IP地址}{子网掩码} 指定交换机管理IP地址ip default-gateway {网关IP地址} 指定默认网 enable password level 10 {口令} 用户模式口令enable password level 15 0 {口令} 特权模式口令interface type {solt_#}/{port_#} 进入接口 no shutdows启用接口 shutdows禁用接口 duplex {auto | full | half}配置接口的双工模式 speed {100/10/auto}配置接口的速率 copy running-config startup-config write memory write 保存配置 Vlan vlan_# 建立VLAN name vlanname修改VLAN名称 switchport mode {access/Trunk} 配置接口模式switchport trunk allowed vlan remove 2 把端口配置为Trunk端口,但是不包含VLAN 2 no vlan vlan_# 删除VLAN switchport access vlan vlan_#把端口加入VLAN Show vlan 显示vlan信息 show version 显示IOS版本 show interface e0/1 显示接口信息 show configure查看保存在FLASH里的配置信息 show running-config查看RAM里当前生效的配置
天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。 比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。 2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻:用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNA T)。比如A学校有100台计算机,但是只有
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括: