《FF3040系列售后培训文档课件》由会员分享,可在线阅读,更多相关《FF3040系列售后培训文档课件(47页珍藏版)》请在金锄头文库上搜索。
1、FreeFirewall2040简单配置,上海斐讯数据通讯技术有限公司,1.默认登录FF3040,FF2040系列默认登录名为admin密码为admin。将电脑和防火墙的E0口相连接,E0端口默认有管理地址192.168.1.1/24,该管理地址可以修改,端口号为2000,端口号不能修改,但初始状态只允许192.168.1.100的PC访问。 开始时将计算机IP配置成192.168.1.100/24,用浏览器打开http:/192.168.1.1:2000地址就能对FF2040进行管理,1.查询防火墙的各种状态,点击“系统管理”,1.口令更改,主机名修改,系统升级,1.保存配置,备份配置,恢复
2、配置,点击“系统管理”“维护”“备份与恢复”,1.恢复出厂设置,重启,点击“系统管理”“维护”“关机”,1.恢复密码,超级用户/密码:super/super 恢复超级用户密码: 在启动时的boot:后键入rescue。以rescue/rescue登录。输入restorepasswd命令恢复超级用户密码。,2.系统网络管理(域配置),域(zone)可以理解为接口的集合。通过域,可以把相关的接口或 VLAN 子接口组合在一起,这样为应用策略提供了方便。例如把一个或多个接口或 VLAN 组合成一个域后,对此域应用策略后,此域下的所有接口或 VLAN 都受到影响,这样比指定单个接口或 VLAN 更实用
3、。 点击“系统管理”“网络”“域”,2.系统网络管理(域配置),路由域,透明域,2.系统网络管理(接口配置),系统管理网络接口,2.系统网络管理(管理地址),系统管理网络管理地址 管理地址指可以管理防火墙的 IP地址,为了安全,你可以设定能连接上管理页面的 IP。防火墙产品出厂默认有一个管理地址。,2.系统网络管理(别名地址),系统管理网络别名地址 别名地址就是为接口指定一个其它的 IP地址。,13,2.系统网络管理(IP池),系统管理网络IP池 IP 池(也称动态 IP 池)指应用在防火墙接口的一个 IP 地址段。当你在防火墙SNAT策略中开启池功能后,出口数据包就会从 IP池中随机地选择一
4、个地址作为 IP源地址。,14,14,2.系统网络管理(DNS),系统管理网络DNS,15,15,3.路由(静态路由),路由静态路由,16,16,16,3.路由(策略路由),使用策略路由,我们可以基于协议、源接口和源地址来指定数据包的走向。,17,17,17,4.防火墙(策略),使用策略路由,我们可以基于协议、源接口和源地址来指定数据包的走向。,18,18,18,4.防火墙(策略高级选项),19,19,19,19,4.防火墙(策略高级选项授权认证),当防火墙策略里面使用了授权认证,并且配置了认证用户(参见认证用户)。则认证用户组里面的用户在输入用户名和密码认证成功之后方可访问对应网络。 打开浏
5、览器,在地址栏中输入http:/192.168.1.1:2000/authlogin将会出现登录页面。,选择认证方式,本地认证或者Radius认证,然后输入正确的用户名与密码后即登录,登录成功后浏览器即会显示具体的配置页面。,认证用户认证成功之后,会出现以下页面。注意:请不要关闭此页面,以保持和服务器的连接。 此时用户可访问相应网络。,20,20,20,4.防火墙(地址),我们将策略中地址引用部分定义成对象方式,方便策略引用,包括地址和地址组两部分。,21,21,21,4.防火墙(地址地址组),地址组是指包含多个地址的一个集合。,22,22,22,4.防火墙(服务预定义),防火墙使用服务来区分
6、通讯类型(如 HTTP、FTP、PING 等),包括单个服务和服务组,以下部分我们把单个服务简称为服务。 服务包括系统预定义的和用户自定义的,包括:协议号、源端口、目的端口。,23,23,23,4.防火墙(服务定制),为了更加灵活,我们加入了用户定制部分。定制部分可以允许用户自己定义服务,包括指定协议号、源端口、目的端口。,24,24,24,4.防火墙(服务服务组),服务组则是包含若干个服务的集合。,4.防火墙(时间表单次),时间表是指按时间启用策略,包括单次时间和循环时间两种,单次时间是指从某个时间开始到某个时间结束,只在这段时间范围内规则才有效。,4.防火墙(时间表循环),循环时间用户设置
7、每周固定时间规则生效。,4.防火墙(保护设置),保护设置用于定制应用防护内容,用来对符合规则的流量进行应用层的防护,目前支持(HTTP,SMTP,POP3,IPS)。,4.防火墙(应用层过滤协议),防火墙采用应用层数据包特征匹配的方式来有效过滤各种应用层的网络协议,包括流行的即时通讯协议:qq、msn、p2p,下载协议:bittorrent、edonkey、迅雷,股票交易软件:大智慧、同花顺等等。 极大的方便了网管对于网络应用的管理控制,特别是P2P下载的过滤,保证了带宽的有效利用。 应用层过滤具有良好的扩展性,各种新的网络协议将不断的被加入,目前已支持125种不同的应用过滤。,4.防火墙(应
8、用层过滤组),协议组是包含了若干个协议的集合。,4.防火墙(NAT策略SNAT),SNAT即源地址转换,一般用户将内部私有地址转换成一个公网地址。,在配置NAT策略时,对新生成的数据流将立即生效,而对于已经存在的经过防火墙的数据流无法立即生效,所以建议在配置完所有NAT策略后,保存配置且重启防火墙。,4.防火墙(NAT策略虚拟IP),虚拟IP主要用于将内部服务映射到外部端口供外部访问,包括两种方式:主机映射和端口映射。,外部地址需要在系统管理网络IP池中建立相应的IP地址,4.防火墙(MAC绑定),MAC地址绑定是指将IP地址与MAC地址进行一对一绑定方式,对于IP地址与MAC地址不匹配的数据
9、包,我们就可以认为是地址伪装(欺骗),从而可以有效的对用户IP进行管理,防止地址欺骗。,4.防火墙(MAC绑定ARP扫描),可以在ARP扫描状态中查看扫描的结果,4.防火墙(MAC绑定ARP扫描状态),可以在扫描结果中选择需要的条目添加到MAC绑定表中去,5.WEB防护,WEB防护是指能够对不安全、不健康、含有病毒等的网页进行过滤,有效的保证WEB访问的安全性。 为了设置WEB防护,我们需要在防火墙-保护设置中新建保护设置,选择启用WEB防护,然后在防火墙策略中选择启用保护设置并选择它。 WEB防护支持:文件大小过滤、文件扩展名过滤、MIME类型过滤、站点过滤、URL过滤、内容过滤和记录日志等
10、, WEB防护下添加匹配顺序的说明: 匹配顺序:在扩展名,MIME,站点过滤,url过滤都有例外、禁止两种表项;先匹配所有例外的表项,匹配成功则允许访问,如果不匹配,则继续和所有禁止的表项进行匹配,匹配成功则不允许访问,如果两种情况都不匹配默认允许访问。,5.WEB防护(HTTP设置),HTTP设置部分用来设置WEB上传的最大文件大小,关键字过滤权值以及日志记录。,5.WEB防护(扩展名),扩展名是指网页中包含的文件的后缀(如”.gif”等),包括例外扩展名和禁止扩展名两种类型。设置例外扩展名可以在病毒扫描部分不检测包含例外扩展名文件的网页,而禁止扩展名则禁止包含该扩展名文件的网页访问。,5.
11、WEB防护(MIME),多用途互联网邮件扩展(MIME,Multipurpose Internet Mail Extensions)是一个互联网标准,指明了Web 浏览器或邮件应用程序如何处理从服务器接收的文件。 MIME类型设置包括例外MIME和禁止MIME两种类型。设置例外MIME可以在病毒扫描部分不检测包含例外MIME类型的网页,而禁止MIME则禁止包含该MIME类型的网页访问。,5.WEB防护(站点过滤),站点过滤是指对整个WEB网站进行过滤,即针对该WEB网站的所有网页。站点过滤又分为例外站点和禁止站点两种。例外站点是指对该站点不进行过滤,而禁止站点则是禁止访问该站点。,5.WEB防
12、护(URL过滤),URL过滤是指对该URL路径下的网页进行过滤,即针对WEB网站的部分网页。,5.WEB防护(关键字过滤),关键词过滤是指对网页正文内容进行过滤,能够有效的过滤不安全,不健康的网页。我们采取加权方式进行过滤,即根据过滤关键词及其权值计算网页的总的权值,如果超过我们设置的最大权值的话,我们则认为该网页为不安全网页。,5.WEB防护(日志),6.日志与报告,日志是系统重要的审计和统计手段,它能够向用户提供必要的信息,方便我们连接系统的运行状态。我们可以设置需要记录日志的模块和记录日志的级别来有选择的记录日志。同时我们也可以设置邮件告警部分来定时发送日志到管理员或其他用户邮箱中。 我们将日志分为3大类:配置(config)、事件(event)和流量(traffic)。 配置日志:主要用于记录用户的配置动作,方便了解用户操作。 事件日志:主要用于记录系统各个模块的工作状态和运行信息。 流量日志:主要用于记录系统的网络流量,方便管理员了解当前系统的网络状况,如是否出现异常流量等,从而可以采取有效的动作。,6.日志与报告,我们将每类日志又分为7个级别,按照严重级别分别用0到6来表示,依次为:,6.日志与报告(日志设置),6.日志与报告(邮件告警),6.日志与报告(日志过滤),
