《阿姆瑞特防火墙详细中文说明书》由会员分享,可在线阅读,更多相关《阿姆瑞特防火墙详细中文说明书(142页珍藏版)》请在金锄头文库上搜索。
1、Amaranten ACSA掌握 TCP/IP 协议,IP地址及子网掩码等基本知识掌握路由和交换技术,internet通讯原理了解防火墙概念,初步的网络安全知识网络管理员经验第一章节 防火墙管理 三种管理方式 Console管理 做初始化配置 恢复出厂设置 恢复默认管理密钥 一些其他基本设置 SNMP管理 只读管理,可以察看防火墙的一些工作信息,不需要MIB库 GUI图形界面管理 C/S管理体系,使用一台管理主机可集中管理3万台防火墙 防火墙的配置、修改、配置的应用,均使用此管理软件完成 在开始配置防火墙前,首先做如下准备工 作 选择一台具备串口以及网卡的电脑 从防火墙包装中找到一条交叉网线,
2、以及 一根防火墙随机提供的Console连线 在电脑上安装防火墙管理软件 管理软件安装过程准备工作 将管理器安装光盘放入光驱,管理软件自动运行 。如果没有自动运行,则手动运行光盘根目录下 的Launch.exe文件 出现如下画面: 选择第一项:阿姆瑞特防火墙管理器 按照屏幕提示,安装防火墙管理器第一步 安装管理器第二步 运行管理器 在程序组中选择Firewall Manager 8, 出现如下登 录画面 输入默认用户名:admin 默认密码:manager 出现用户设置界面 在用户设置标签页,增加一个防火墙管理员 注意:隶属组一定要选择Firewall Manager,是否 锁定要选择为Unl
3、ocked第三步 运行管理器 在程序组中选择Firewall Manager 8, 出现如下 登录画面,使用前一步建立的用户名及密码登录 使用前一步建立的用户名和密码登录管理器后, 出现如下画面: 在出现的对话框中晃动鼠标以及敲击键盘,用以 生成随机数种子第四步 进入管理器 当生成随机数种子的进度完成后,则进入管理器 的管理界面 更详细的关于管理器的介绍,请参考文档 :FW_Config - manager illustrated.ppt防火墙的初始化设置 使用Console对防火墙进行初始化连接 可以完成如下工作: 做初始化配置 恢复出厂设置 恢复默认管理密钥 一些其他基本设置第一步 连接防
4、火墙终端或带串口的能够模拟终端( 多数Windows)安装中包含的 超级终端软件)的个人计算机。 终端应配置:9600波特,无奇 偶校验,8比特和一个停止位 RS-232电缆的连接防火墙 Console口和计算机串口 打开防火墙电源开关 如果防火墙中做了初始化的 配置,则超级终端软件出现 上面的信息 敲任意键可进入系统菜单, 如果不做任何操作,则防火 墙正常启动,出现System running提示如果防火墙没有进行初始 化设置,则出现右侧画面 第一步应该选择一个管理 接口,并且设置管理接口 地址: 选择int接口,然后回车 输入ip地址及子网掩码 Ctrl+S保存 防火墙自动启动 测试管理接
5、口 使用交叉线与管理机连 接 将管理机ip设置为与防 火墙在同一网段,在 cmd提示符下ping防火 墙接口地址常用命令Help列出所有终端命令 Ifstat输出各端口IP地址、MAC地址信息 About输出防火墙内核版本信息 Arp输出各接口arp table shutdown防火墙重新启动,shut 1 表示1秒后重新启动 Stats输出cpu,并发连接数,buffer等实时信息 PingPing命令Command “ping“ (“pi“): Sends one or more ICMP ECHO datagrams to the specified host. All datagram
6、s are sent preloaded-style (all at once).Usage: ping The data size given is the ICMP data size. 1472 bytes of ICMP data results in a 1500-byte IP datagram (1514 bytes ethernet).Options:-r - Pass packet through the rule set, simulating that thepacket was received by -s - Use this source IP-p - Route
7、using PBR table -v - Verbose (more information)可以用这个命令来测试防火墙的规则配置是否正确,如下:Cmd ping 202.99.8.1 -s 172.16.10.100 -r int -v Rule and routing information for ping:allowed by rule “Int2all_ext“sent via route “0.0.0.0/0 via EXT_adsl, no gw“ in PBR table “main“Sending 1 4-byte ping to 202.99.8.1 from 61.49.
8、145.214.使用管理器连接防火墙 首先用Console给防火墙一个接口配置一个 管理IP 其次给管理主机配置一个同网段IP 用交叉线连接管理主机和防火墙的管理接 口使用管理器连接防火墙运行管理器 首先测试管理机能否与防火墙通讯 管理机配置与防火墙管理接口同网段地址 Ping 防火墙管理地址打开防火墙管理器,选择安全编辑器在防火墙文件夹上点击右键,选择新建-防火墙 出现新建防火墙向导 出现提示,选择下一步,按照提示可以进行新建防火墙操作使用管理器连接防火墙输入防火墙名字,IP地址 ,选择相应防火墙核心版 本,执行下一步 下一个页面提示输入防火 墙串口密码,如果在这里 输入了密码,则在每次使
9、用串口连接防火墙,需要 使用密码才能连接,如果 不需要密码,则选择下一 步 Note:如果输入密码,一定要 记录,密码丢失只能返厂 维修使用管理器连接防火墙 新建防火墙向导自动 与防火墙连接,下载 配置,并且修改防火 墙远程管理密钥 下一个界面提示设置 时区及DNS,点完成 即可 下一个界面提示注册 。可以选择取消在管理器防火墙列表 中可以看到新建的防 火墙,并且防火墙处 于签出状态(防火墙 名字前有一个红色的 加号) 防火墙签出状态表示 防火墙处于可配置的 状态,对防火墙配置 进行修改之前,首先 要做签出操作。具体 方法为在防火墙名字 上右键,选择版本控 制,并且选择签出实验 安装防火墙管理
10、器,对防火 墙做初始化设置,并用管理 器连接防火墙。 配置任何一个接口做为防火 墙管理接口,接口地址为: 192.168.0.1/255.255.255.0 管理主机用交叉线与防火墙 连接 使用新建防火墙向导连接防 火墙FWPC192.168.0.1/24第二章节 防火墙配置 第一部分:路由模式拓扑结构用户有一组服务器,使用 ISP提供的公网地址。在 没有考虑网络安全前,使 用一台路由器。 现在打算在网络中安装一 台防火墙,并且将原有路 由器替换掉202.100.100.0/24InternetInternet202.100.100.1/2461.134.0.2/3061.134.0.1/30
11、202.100.100.0/24InternetInternet202.100.100.1/2461.134.0.2/3061.134.0.1/30配置过程 阿姆瑞特防火墙的配置过程,大体可以分成如下 的流程 签出(使防火墙处于允许配置的状态) 配置修改 定义网络参数 定义路由 定义过滤规则 签入,并且部署配置注:在配置修改这一步中,根据拓扑的不同,可能 会增加相应的配置步骤。进行配置 首先,对防火墙进行初始化设置 在本例中,配置防火墙一个接口ip地址为 202.100.100.1,子网掩码255.255.255.0 按照前一章节的方法,使用防火墙管理器 连接防火墙,并且使防火墙处于签出状态定
12、义局部对象 局部对象中,可以定义需要 用到的一些参数。 在本例中,只需要在主机和 网络中做相关的定义就可以 了。 主机和网络中默认包括了接 口地址以及接口路由的定义 ,而不存在的地址信息,则 需要在主机和网络中新建对 象。定义主机和网络 修改接口相关参数 每个接口有三个相 关参数需要修改 ip 接口的ip地址 br 接口的广播地址 net 接口的网段 根据拓扑中提供的 IP/Mask,可以计 算出上述三个参数 增加没有的参数, 如本例中,需要增 加一个网关定义主机和网络 对于没有的网络参数, 需要在主机和网络中新 建 在主机和网络上点击右 键,选择新建主机和网 络 在弹出的对话框中,根 据需要
13、选择类型。比如 本例中,只需要定义一 个地址,那么应该类型 选择 “主机”定义路由 路由部分的配置,在“路由 设置”文件夹下完成 本例只需要配置主路由表 主路由表中有默认的接口 路由,这个部分在路由模 式是不需要做改动的,只 要在局部对象中修改了相 关参数就可以 没有的路由,则应该在主 路由表中新建路由 在这个例子中,只需要增 加一条默认路由。定义路由增加默认路由 阿姆瑞特防火墙,在增加路由的时候,需要指明接口。在本例中,if2做为 外口,那么增加路由的时候,接口需要选择if2。也就是告诉防火墙,可以 通过if2接口到达all-nets(0.0.0.0/0)定义路由 最终路由表如下:FWPC2
14、02.100.100.100 访问 202.99.8.1R目标地址if1if2if1 202.100.100.100/24 if2 61.134.0.0/30 if2 0.0.0.0/0 61.134.0.1防火墙查询路由表要访问的目标地址,涵盖在if2 0.0.0.0/0 61.134.0.1 这条路由中,所以防火墙根据路由的配置,将数据包 从if2接口发出由此可见,防火墙路由的设置,一定要注意接口的配置 如果接口配置错误,将导致数据包由错误的接口发出 如路由被错误的写成如下形式: if1 0.0.0.0/0 61.134.0.1 那么防火墙将会从if1接口将数据包发出,很显然数据包 将无法
15、到达目标地址定义规则 防火墙根据过滤规则的配置,决定对于收到的数 据包做何处理(丢弃或者转发) 状态检测防火墙,在制定规则时,只需要考虑一 个方向即可,比如用户需求是允许内部用户正常 访问外部,而外部用户不能访问内部。那么在规 则设置中,只需要增加一条允许从内部访问外部 的规则即可,不需要向包过滤防火墙一样,还得 考虑返回数据包的规则。 阿姆瑞特防火墙的过滤规则,是自顶向下查询的 ,遇到匹配的规则,则按照规则中的动作处理数 据包。FWPC目标查询规则集有/否有匹配无匹配丢弃转发否丢弃是 建立状态表转发数据查询状态表有/无丢弃无状态有状态 转发数据定义规则 根据需要,制定相应过滤规则。 本例中,我们只设定一条允许内网访问外网的规则 增加允许内网访问外网的规则定义规则激活配置 将配置签入: 在“工具栏”里点击 或如下 图,成功后防火墙旁边的小红点将消失激活配置 将配置上传到防火墙并激活: 在“工具栏”里点击 或 , 选择需要配置的防火墙实验 按照右侧拓扑配置防火墙 实现如下功能: 允许内部访问外网 允许外部主机访问内部 202.100.100
