收藏
下载资源

方正fa防火墙配置培训

上传人:Bod****ee 文档编号:54824160 上传时间:2018-09-20 格式:PPT 页数:110 大小:2.48MB
返回 下载 相关 举报
方正fa防火墙配置培训_第1页
第1页 / 共110页
方正fa防火墙配置培训_第2页
第2页 / 共110页
方正fa防火墙配置培训_第3页
第3页 / 共110页
方正fa防火墙配置培训_第4页
第4页 / 共110页
方正fa防火墙配置培训_第5页
第5页 / 共110页
点击查看更多>>
资源描述

《方正fa防火墙配置培训》由会员分享,可在线阅读,更多相关《方正fa防火墙配置培训(110页珍藏版)》请在金锄头文库上搜索。

1、方正防火墙配置培训1,第一章节防火墙的管理, 连接防火墙, 如何备份和恢复防火墙配置, 如何远程配置防火墙, 常用命令,1.如何连接防火墙,终端或带串口的能够模拟终端(多数Windows)安装中包含的超级终端软件)的个人计算机。终端应配置:9600波特,无奇偶校验,8比特和一个停止位 RS-232电缆的连接防火墙Console口和计算机串口,设置管理接口地址:选择DMZ接口,然后回车 输入ip地址及子网掩码 Ctrl+S保存 防火墙自动启动测试管理接口, 常用命令,Help列出所有终端命令 Ifstat输出各端口IP地址、MAC地址信息 About输出防火墙内核版本信息 Arp输出各接口arp

2、 table shutdown防火墙重新启动,shut 1 表示1秒后重新启动 Stats输出cpu,并发连接数,buffer等实时信息,3. 备份和恢复防火墙配置,Backup打开Founder管理器安装目录,配置文件存储于:(FounderFirewall Manager 8Default)备份*.efw 及*.efc 文件 Restore将备份文件拷贝至配置文件所在目录,重新打开防火墙管理器即可如果防火墙密钥和管理器密钥不匹配,请同时恢复防火墙及管理器的默认密钥,认识方正管理器,菜单,安全编辑器,防火墙工具,运行防火墙管理器,使用新建防火墙向导 出现提示,选择下一步,输入防火墙名字,IP

3、地址,选择相应防火墙核心版本,执行下一步 下一个页面提示输入防火墙串口密码,如果在这里输入了密码,则在每次使用串口连接防火墙,需要使用密码才能连接,如果不需要密码,则选择下一步 Note:如果输入密码,一定要记录,密码丢失只能返厂维修,新建防火墙向导自动与防火墙连接,下载配置,并且修改防火墙远程管理密钥,防火墙配置常用项目,局部对象 / 主机和网络,局部对象 / 网络服务,网络接口 / 以太网,路由设置 / 主路由表,其它设置 / 远程访问,过滤规则,NOTE: Always try to filter and block as “high” as possible.! First rule

4、RULES !,过滤规则 源 / 目的,接口 网络,过滤规则 服务,过滤规则 动作,Fast forward Allow NAT SAT DROP REJECT,第二章节NAT转换,internet,Gateway:211.154.0.1/24,192.168.1.0/24,WAN:211.154.0.6,DMZ:192.168.1.1/24,Catalyst 2924,NAT第一种方式,运行防火墙管理器,使用新建防火墙向导 出现提示,选择下一步,输入防火墙名字,IP地址,选择相应防火墙核心版本,执行下一步 下一个页面提示输入防火墙串口密码,如果在这里输入了密码,则在每次使用串口连接防火墙,需

5、要使用密码才能连接,如果不需要密码,则选择下一步 Note:如果输入密码,一定要记录,密码丢失只能返厂维修,新建防火墙向导自动与防火墙连接,下载配置,并且修改防火墙远程管理密钥,在管理器防火墙列表中可以看到新建的防火墙,在防火墙名字上右键,选择版本控制,并且选择签出,第一步:在局部对象中定义网络对象,如图:,第二步:在路由设置里添加路由,如图:,第三步,在路由设置里设置访问控制规则,如图: 添加FTP规则,(2)指定日志服务器和NAT后地址,过滤规则里设置其他访问控制规则,第四步,把配置文件下载到防火墙中并激活,internet,Gateway:211.154.0.1/24,192.168.1

6、.0/24,WAN:211.154.0.6,DMZ:192.168.1.1/24,Catalyst 2924,211.154.0.7(Nat以后地址),NAT第二种方式,第一步:在局部对象中定义网络对象,如图:,第二步:在主路由表里添加路由,如图:,第三步,在过滤规则里设置访问控制规则,如图: (1)添加规则,(2)选定允许通过的Service服务类型并指定日志服务器,第四步,把配置文件下载到防火墙中并激活,试验一:使用防火墙外接口做NAT转换试验二:使用防火墙外接口其 他地址做NAT转换,安装日志服务器,运行“方正安装文件”,分别在服务器上安装“防火墙管理器”和“日志接收器” 管理器默认安装

7、在 C:Program FilesFounderFirewall Manager8 日志接收器默认安装在 C:Program FilesFounderFirewall Logger,强烈建议将“防火墙日志接收器”安装在D或E盘上。,导入日志服务器 ,添加日志服务器:运行“防火墙管理器”,在“工具栏”-“选项”-“日志服务器”添加一个日志服务器, “位置”里添你的安装目录,导入日志服务器 ,添加需要记录的防火墙:编辑刚才添加的日志服务器,将需要记录日志的防火墙添加进去,并设置好日志文件的参数,方正防火墙的日志接收的默认端口是:999,测 试,Intervall有四种指定时间段的选择: 选择Tim

8、es后,在右侧的两个文本框里输入日期范围。必须以ISO标准格式指定日期,yyyy-mm-dd HH:MM:SS,日期段可随时中断。如,如果愿意的话,可以省去日期部分的时间。 选择Last days可以限制搜索最后n天的日志,在右侧的文本框中指定n。 Last full days与上一个选择项类似,区别在于从一天的开始进行搜索,只包括截止前一天23:59:59的事件。 选择Last hours是限制搜索最后n个小时的日志,在右侧的文本框中指定n。 Last full hours与上一个选择项类似,区别在于从一个小时的开始进行搜索,与“full days“选项非常相似。,在“管理器”上启动“日志分

9、析”,在“防火墙”选项中选择您需要查看的防火墙,测 试,运行查询就可以看到防火墙的日志,我们可以对日志做过滤,也可以采用日志分析工具做测试,详情请查看防火墙管理器的帮助文档。,日志服务器相关实验,第三章节建立DHCP服务器,拓扑结构,DHCP Server的配置 分配地址范围: 192.168.0.100 -192.168.0.200 分配子网掩码: 255.255.255.0 DNS Server: 202.99.8.1 网关 防火墙内口地址:192.168.0.1,运行防火墙管理器,使用新建防火墙向导 出现提示,选择下一步,输入防火墙名字,IP地址,选择相应防火墙核心版本,执行下一步 下一

10、个页面提示输入防火墙串口密码,如果在这里输入了密码,则在每次使用串口连接防火墙,需要使用密码才能连接,如果不需要密码,则选择下一步 Note:如果输入密码,一定要记录,密码丢失只能返厂维修,新建防火墙向导自动与防火墙连接,下载配置,并且修改防火墙远程管理密钥,在管理器防火墙列表中可以看到新建的防火墙,在防火墙名字上右键,选择版本控制,并且选择签出,第一步:定义主机和网络。除了常规的主机和网络定义外,还定义配置DHCP Server需要的一些定义,定义DHCP Server,第二步:在路由设置里添加路由,如图:,第三步,在过滤规则里设置访问控制规则,如图: (1)添加规则,试验:建立DHCP S

11、ERVER,拓扑结构,Internet,192.168.100.3,Int,Ext,dhcp,方正FA防火墙的Int接口连接int-net, Ext连接电信网络,通过Dhcp获得地址 Int-net:192.168.100.0/24 ip_int:192.168.100.3/24 Ext-net: dhcp ip_ext: dhcp Gateway: dhcp,建立DHCP客户端,DHCP客户端的配置方法,第一步:在网络接口中选择通过Dhcp自动获得地址的网卡,打开dhcp client:,第二步:自动创建gw-world,自动把获得的地址赋予ip_wan和br_wan,如图:,第三步,主机和

12、网络,如图:,自动创建: Gw-world,第四步,在主路由表里设置路由,如图:,选择自动生成的wannet,第五步,设置规则,如图:,试验:防火墙作DHCP 客户端,第四章节,SAT配置,Internet,192.168.1.1,WWW服务器 172.16.1.2 80,特点: 只有一个公有IP,具有三个不同的服务器 内部网访问Internet需要做NAT 内外网访问DMZ区的服务器需要做SAT (端口映射),61.156.37.102/30,NAT,SAT,172.16.1.1,Int,Ext,Dmz,61.156.37.101/30,网络结构介绍,F100防火墙的lan接口连接lan-n

13、et,Dmz连接web服务器,wan连接电信网络 lan-net:192.168.1.0/24 ip_lan:192.168.1.1/24 Dmz-net:172.16.1.0/24 ip_dmz:172.16.1.1/24 wan-net:61.156.37.100/30 ip_wan:61.156.37.102/30 Gateway:61.156.37.101/30 Webserver:172.16.1.2/24 只有一个公网地址,既要为内网访问外网提供地址翻译,又要为服务器提供地址映射。,SAT的配置方法,第一步:在局部对象中定义网络对象,如图:,第二步:在主路由表里添加路由,如图:,第

14、三步,在过滤规则里设置SAT-Allow规则,如图: (1)添加规则,(2)选择需要做映射的服务,可以选择预定义的服务,也可以定制,(3)指定映射到哪一台主机的哪一个端口,(4)设置SAT规则对应的Allow规则,因为SAT规则不转发数据,必须用Allow规则转发数据,成对使用。,备注: 如果Webserver的公网地址不是采用配置在外口的地址,需要在arp中做一下发布.,第四步,在过滤规则里设置允许内网访问外网的NAT规则,如图: (1)添加规则,(2)选择允许那些服务可以通过,采用那个地址进行翻译,本例选择wan口的地址,第五步,配置完成,保存并上传配置,试验:使用防火墙外接口做SAT转换

15、试验:使用防火墙外接口其他地址做NAT转换,第五章节VLAN间的路由,用户,用户,用户,用户,WWW服务器,FTP服务器,数据库服务器,用户,用户,用户,用户,WWW服务器,FTP服务器,数据库服务器,Ip_lan1: 192.168.4.1,Default VLAN: 192.168.4.0/24,VLAN4 : 192.168.0.0/24,VLAN3 : 192.168.3.0/24,VLAN2 : 192.168.2.0/24,方正 F300,职能部门根据IP地址段分别划为Default Vlan、Vlan2、3、4 接入F300 LAN1 口 服务器组分配公网IP,与外网透明,定义主机和网络,默认Vlan IP,透明模式,不需配IP,Internet接口,Vlan2、3、4 网关及网络定义,Internet 出口网关,定义VLAN,逐个定义,确保VLAN ID 与交换机配置相吻合 由于Default VLAN 已在主机与网络中定义,此处无需再次定义!,定义路由规则,增加相应的路由规则 第一条规则定义了到内部网关的路由 第二、三、四条规则定义了到Vlan2、3、4子网的路由 第五至八条规则定义lan2、3、5口间为透明模式 第九条规则定义了防火墙的缺省路由。,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 经营企划

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号