《网康下一代防火墙--上线指南(新)》由会员分享,可在线阅读,更多相关《网康下一代防火墙--上线指南(新)(30页珍藏版)》请在金锄头文库上搜索。
1、,2012年11月,网康互联网控制网关 NGFW,网康产品上线指南,提纲,镜像模式配置,NGFW部署模式,NGFW上线指南,网关模式配置,网桥模式配置,| Page 2,镜像模式,不改变现有网络拓扑 补充主动防御分析能力 深度洞察威胁 及时发现未知威胁,异构组网 联合形成全方位防护体系 具备应用层防护能力 全面应对下一代威胁,桥接模式,网关模式,替换现有防护体系 支持传统防火墙所有功能 具备应用层防护能力 全面应对下一代威胁,NGFW主要部署方式,NGFW,NS-ICG上线指南,提纲,上线信息收集,NS-ICG上线概述,应急与回退操作,NS-ICG远程协助,| Page 4,镜像模式配置,NG
2、FW部署模式,NGFW上线指南,网关模式配置,网桥模式配置,NS-ICG上线指南网关模式(单出口),明确网络拓扑信息及外网接入方式 1.静态地址(互联地址信息)、ADSL拨号(拨号账号及密码)、DHCP 2.完成网络拓扑信息(是否有DMZ、DNS服务器位置) 3.用户和服务器需要SNAT、DNAT、BNAT(双向) 明确网络地址信息 1、出口多IP信息、内网口IP信息、路由信息 2、各服务器IP及映射端口 3、NAT源、目的地址 明确设备上线的断网时间段,不会给客户造成损失,| Page 5,NGFW上线指南透明网桥模式,设备架下上电,启动; NGFW设备的出厂默认IP信息为:“192.168
3、.1.23/24”,修改PC网络配置为该地址段地址,用网线连接至设备的 “MGT”接口; 使用浏览器访问“https: /192.168.1.23”,登录设备; 默认系统管理员 用户名:admin 密 码:ngfw2012,| Page 6,NGFW上线指南透明网桥模式,NGFW首界面,设备登录成功。,| Page 7,NS-ICG上线指南,提纲,上线信息收集,NS-ICG上线概述,应急与回退操作,NS-ICG远程协助,| Page 8,镜像模式配置,NGFW部署模式,NGFW上线指南,网关模式配置,网桥模式配置,NGFW上线概述,Internet,核心交换,部门1,部门2,部门n,网康NGF
4、W 单网口网关模式部署,外网口,连接Internet,内网口,连接交换机,二层环境下该地址作为内网用户的“默认网关”;三层环境下网关一般指向核心交换,Console:可连接串口线,通过命令行管理设备; Mgt:带外管理口; HA:双机热备接口; USB接口:用于数据备份等; BYPASS按钮:网关模式下不可用; E(0、1、):千兆网口,网关模式下不存在桥的概念。,| Page 9,NS-ICG上线指南网关模式(单出口),设置内部网口地址,配置内网口地址、掩码(以网段形式填写,但代表该网口IP和对应的掩码),| Page 10,选择接口的接入方式,每个接口只能选择一种接入方式 接入方式选择“静
5、态IP”并配置IP及对应的掩码,开启后内网口可用作带内管理(网关模式一般用带内管理),NS-ICG上线指南网关模式,选择接口的接入方式,每个接口只能选择一种接入方式 接入方式选择“静态IP”、“ADSL”或“DHCP”,静态IP接入方式请填写IP地址及对应掩码,配置外网口接入方式为“静态IP”/“ADSL”/“DHCP”,| Page 11,NS-ICG上线指南网关模式,填写该VLAN的网关IP(回指到交换机),填写防火墙到交换机之间的VLAN(从外网回来的请求的路由),| Page 12,三层环境下配置,二层环境下无需配置,NS-ICG上线指南网关模式,填写0.0.0.0/0,即所有外网地址
6、(从内网到互联网),填写运营商给的互联地址,即出口IP的网关,| Page 13,NS-ICG上线指南网关模式,为了内部所有用户能够访问互联网,需要对整个内网配置ACL访问控制,允许用户,| Page 14,填写0.0.0.0/0,即整个内网到整个互联网,允许访问,NS-ICG上线指南网关模式,为了内部所有用户能够访问互联网,需要对整个内网配置SNAT,| Page 15,选择内网段,指定外网口,将整个内网转换成外网口地址(外网口IP才能访问互联网),NS-ICG上线指南网关模式,为了外网用户能够访问内网服务器,需要对内网服务器配置DNAT,| Page 16,选择外网口,内网服务器对应的公网
7、IP,将目的地址填写为内网服务器的私网IP,NS-ICG上线指南网关模式,如果内网某台服务器的DNS解析在公网上,内网和外网用户都需要通过域名来访问该服务器,需要对该服务器配置DNAT和BNAT,前者为了外网用户访问,后者为了内网用户访问,| Page 17,整个内网网段,都指定内网口(内网用户从LAN口入,找到公网地址,而后又从LAN出,回到内网找私网IP),VPN服务器对应的公网IP,指定服务器对应的公网IP,同时指定回来后应找该服务器的私网IP,NS-ICG上线指南网关模式,内网某台服务器的指定端口映射到出口IP的某个端口上,常见的是VPN映射(443、500、4500等),原理同DNA
8、T相同,只不过增加端口即可,| Page 18,指定出口IP的端口号,将目的地址的同时指定端口号,NS-ICG上线指南网关单出口模式,确认内、外网地址信息填写正确无误后,点击“确定”,等待网关模式生效 系统生效后,设备地址将改变,请使用系统的内部网口地址访问系统,即修改PC网络配置中的IP地址后重新登入系统。,| Page 19,NS-ICG上线指南,提纲,上线信息收集,NS-ICG上线概述,应急与回退操作,NS-ICG远程协助,| Page 20,镜像模式配置,NGFW部署模式,NGFW上线指南,网关模式配置,网桥模式配置,NS-ICG上线指南网桥模式,填写1-4094之间的任意值,| Pa
9、ge 21,选择“透明”模式,NS-ICG上线指南网桥模式,填写1-4094之间的任意值,| Page 22,选择“透明”模式,NS-ICG上线指南网桥模式,可选择管理口可进行的服务,| Page 23,配置管理口IP,NS-ICG上线指南网桥模式,填写管理口同网段的网关IP,填写包含内网所有网段地址,| Page 24,NS-ICG上线指南,提纲,上线信息收集,NS-ICG上线概述,应急与回退操作,NS-ICG远程协助,| Page 25,镜像模式配置,NGFW部署模式,NGFW上线指南,网关模式配置,网桥模式配置,NS-ICG上线指南镜像模式,默认即可,| Page 26,选择“旁路”模式,NS-ICG上线指南镜像模式,可选择管理口可进行的服务,| Page 27,配置管理口IP,NS-ICG上线指南镜像模式,填写管理口同网段的网关IP,填写包含内网所有网段地址,| Page 28,NS-ICG远程协助网桥模式,上线实施过程中遇到任何问题,经排查仍无法解决时,首先应该通过客户服务热线与网康工程师取得联系: 400-678-3600,| Page 29,您身边的应用层网络专家,网康科技有限公司 电话:01062670909 传真:01062670958 网址: 咨询热线:4006783600,
