《防火墙配置管理》由会员分享,可在线阅读,更多相关《防火墙配置管理(37页珍藏版)》请在金锄头文库上搜索。
1、网威防火墙配置介绍,主要内容,一、串口、ssh及客户端软件登录方法 二、路由配置方式 三、网桥配置方式 四、灾难恢复方法 五、手动升级 六、远程协助,一、配置串口程序,用户登录,默认用户名root 默认口令firewall,SSH登录,使用SSH登录工具,例如putty,登录后状态,串口登录和SSH登录后界面相同,默认登录后为普通管理员状态,键入?可以查看能够使用的命令,切换超级管理员,输入enable可以切换超级管理员状态,口令为firewall,超级管理员可以使用的命令用?可以查看。,获取防火墙地址,防火墙默认出厂网卡地址为:eth0:172.16.0.1/16eth1:10.0.0.1/
2、8eth2:192.168.0.101/24 在串口或者SSH下面使用get interface命令获取网卡地址,输入命令时按tab键可以自动补齐。,客户端软件运行,运行客户端软件后,选择全局添加防火墙,输入要连接的防火墙地址,如图,客户端软件登录,默认登录用户名均为admin,添加防火墙后可以右键点击选择登录。,请牢记 密码,配置策略,登录防火墙后,图标变绿,右键点击选择策略,或者点击 ,可以读取防火墙当前策略。 如果登录防火墙不能成功,可能是由于网络状况导致超时,此时可以修改超时为120。 防火墙配置策略如下页图所示。,二、路由模式配置基本步骤,配置网卡地址,保存配置,应用网卡设置,重新登
3、录 配置区域配置 配置对象,添加主机对象、服务对象、时间对象,主机组对象、服务组对象。 添加DIP、VIP 添加访问控制策略 上传配置、保存配置,启动规则,网卡地址配置,配置网卡地址,系统信息网络接口,如图所示,配置完成3个网卡后,上传策略,选择系统命令应用网络接口,然后重新登录。注:三个网卡的地址所在的网络不要出现重叠,区域配置,注: 防火墙区域代号不能是中文。,对象管理,添加主机对象,其中掩码为对象范围计算结果 添加服务对象 添加VIP、 DIP对象,此对象中的掩码为防火墙网卡地址所使用的掩码。 时间对象有不同需要时,需分别添加。例如:周一、周二等。 带宽对象中缺省带宽为时间段外使用带宽,
4、DIP详解,DIP为源地址转换所使用。地址绑定接口和转换后接口相同,均为地址所在网卡。,VIP详解,VIP为目的地址转换所使用。地址绑定接口为虚拟IP地址所在的接口,转换前地址接口为使用此VIP的策略中源地址所在区域网卡,三、网桥模式配置基本步骤,配置网桥并应用网桥设置 配置区域配置 配置对象,添加主机对象、服务对象、时间对象,主机组对象、服务组对象 添加访问控制策略 上传配置、保存配置,启动规则,配置网桥,打开透明网桥配置,将加入网桥的接口加入,配置桥名称和桥的IP地址,选择启动,点击确定。,配置网桥前注意事项,在配置网桥之前,如果防火墙曾经进行过其他配置,需要导入空模版,清空原来的配置,再
5、进行新配置。,启动网桥,选择保存配置,然后应用网桥设置,即可启动网桥,此时,需要重新使用桥地址进行登录管理。 重新登录后,选择区域配置,确认桥内接口所对应区域的名称和对应的子网,建议将所对应子网设为4个0。 添加相应的主机对象、时间对象、带宽对象。,设置访问控制策略,保存配置,选择策略上传(F2)、保存配置(F3)、重新启动规则(F5)。 可以将配置好的策略保存为本地策略。,四、灾难恢复方法,如果防火墙策略混乱,可以直接导入保存的配置。 选择将防火墙恢复默认设置,然后重启防火墙。 如果恢复出厂设置后,用默认地址登录后,选择“配置管理”中的“导入本地策略模板”,读取原来保存的策略。,策略读取成功
6、后,首先选择“上传配置”-“保存配置”后,选择“应用网卡设置”或者“应用网桥设置”,重新登录。 选择启动规则即可。 建议上传策略,保存配置后,重新启动防火墙。 注:检查恢复是否成功,通过访问之前可以访问的主机,检验恢复默认设置。,五、手动升级,通过点击“帮助”-“手动升级”,完成安装升级包,在升级文件路径内输入升级包所在目录,例如:E:netpowersp051026.tgz,点击升级按钮 成功或者失败,系统会给出相应提示!,通过串口或者SSH升级,当成为超级管理员时,输入patch命令进行升级,升级成功后重新启动防火墙注:升级包需要放在防火墙可以访问到的FTP服务器上,六、远程协助,防火墙网口上具有公网地址 允许防火墙客户端连接 允许SSH连接防火墙 内网主机可以访问Internet,借助PCANYWHERE或者远程桌面,控制用户主机,防火墙客户端连接,选中可用作管理区域 上传策略 重新启动规则,SSH连接防火墙,添加一条netfw允许NPssh通过的策略,借助工具,Pcanywhere,需要开TCP5631端口和UDP5632端口 远程桌面需要开TCP3389端口,谢 谢!,
