收藏
下载资源

《防火墙操作手册》doc版

上传人:tian****1990 文档编号:81519353 上传时间:2019-02-21 格式:DOC 页数:20 大小:805.50KB
返回 下载 相关 举报
《防火墙操作手册》doc版_第1页
第1页 / 共20页
《防火墙操作手册》doc版_第2页
第2页 / 共20页
《防火墙操作手册》doc版_第3页
第3页 / 共20页
《防火墙操作手册》doc版_第4页
第4页 / 共20页
《防火墙操作手册》doc版_第5页
第5页 / 共20页
点击查看更多>>
资源描述

《《防火墙操作手册》doc版》由会员分享,可在线阅读,更多相关《《防火墙操作手册》doc版(20页珍藏版)》请在金锄头文库上搜索。

1、 操作手册防火墙日常操作1.1 管理器登陆界面(贴图)图(2)登陆界面注:默认登录用户名:superman;口令:talentIP地址:防火墙100.100.100.11.2 系统基本信息状态查看(贴图)选择 系统管理 基本信息,在“基本信息”处可以查看当前设备的型号、软件平台版本、各个功能模块版本、许可证版本、VRC用户最大数值等。在“安全服务”处查看系统提供的安全服务功能。在“网络接口信息”处可以查看网络接口的工作模式、接口地址以及是否启用等信息。如下图所示:图(3)基本信息1.3 运行信息查看运行信息指的是当前系统CPU、内存等系统资源的占用情况以及当前通过防火墙建立的连接信息。1)选择

2、 系统管理 运行信息,用户可以在“系统状态”页签查看设备的系统日期、设备当前CPU占用情况、内存的使用情况以及当前系统不间断运行的时间。2)在“当前连接”页签可以查看当前(用户访问此菜单时刻)通过防火墙建立的连接信息。每一条连接信息包括如下内容:当前连接正在建立还是已经拆除连接、当前连接所使用的协议、连接的源/目的地址和端口号、该连接是否应用源NAT/目的NAT策略、该连接建立过程中源地址发送的数据报文个数、目的地址发送的数据报文的个数等信息。当连接数量较多时,可以在“条数”处选择一次查看多少条连接信息:可选30、100或1000。也可以通过点击“上一页”和“下一页”翻页查看信息。点击“刷新”

3、按钮可以在界面显示最新的连接信息。在“源IP”、“源端口”、“目的IP”、“目的端口”和“协议”处可以输入一个或多个查询参数,并点击“查找”按钮,则在下面会显示查询的结果信息。当输入多个查询参数时,同时满足这些条件的连接信息才会显示在列表中。也可以点击某条连接信息对应的删除图标删除该条连接信息。点击“清空连接表”一次性删除所有的连接信息。点击“端口服务名”按钮,可以实现对目的端口的识别功能,对常见知名端口翻译为对应的协议,如监控中看到TCP:80的可自动识别为HTTP协议。图(4)运行信息1.4 网络区域对象配置(贴图) 系统支持区域的概念,用户可以根据实际情况,将网络划分为不同的安全域,并根

4、据其不同的安全需求,定义相应的规则进行区域边界防护。如果不存在可匹配的访问控制规则,网络卫士防火墙将根据目的接口所在区域的权限处理该报文。 图(5)网络区域对象1.5 静态路由表配置(贴图) 静态路由在网络卫士防火墙上设置步骤如下:1)在左侧导航菜单中选择 网络管理 路由, 点击“静态路由”页签,可以看到静态路由表。2)点击“添加”,进入静态路由的设置页面。各参数的具体说明请参见下表。参数说明目的地址用来标识IP 包的目的地址或目的网络。需要填写目的地址转换后的真实地址。目的掩码目的IP地址的掩码。与目的地址一起来标识目的主机或路由器所在的网段的地址。Metric接口跃点数,默认为1,取值范围

5、为1-65535,Metric值的大小定义了路由的优先级,Metric值越小,优先级越高。针对同一目的地,可能存在不同下一跳的若干条路由,这些不同的路由可能是由不同的路由协议发现的,也可以是手工配置的静态路由。优先级高(数值小)的路由将成为当前的最优路由。网关该路由的网关地址,通常为下一跳路由器的入口IP地址。接口指定数据报文从防火墙的哪个接口进行转发。 3)设置完成后,点击“确定”按钮添加静态路由,也可点击“取消”取消添加并返回上一界面。4)对于手工添加的静态路由,可以选择该路由所在行的删除图标删除该条静态路由,也可以点击“清空”按钮一次性删除所有手工添加的静态路由。图(6)静态路由1.6

6、防火墙配置管理(防火墙的配置保存)(贴图)查看运行配置和保存配置。点击“查看运行”按钮,在下面的文本框中可以查看到设备当前运行状态下的配置情况,包括用户最后一次手工保存在设备上的配置文件的信息,以及用户新添加但没有保存的配置信息。点击“查看保存”按钮,在下面的文本框中可以查看到用户最后一次手工保存在设备上的配置文件的信息。图(7)配置维护1.7 管理员(贴图)在网络卫士防火墙中,只有超级管理员才能够配置管理员账号。增加管理员账号的具体步骤如下所示:1)在左侧导航菜单中选择 系统管理 管理员,进入管理员配置界面。2)添加管理员。点击“添加”,进入“添加用户”界面。“添加用户”界面的参数说明如下表

7、所示。参数说明用户名称指管理员的用户名称。用户描述指管理员的相关描述。用户密码指管理员的用户密码。最少不能低于8位。确认密码再次输入管理员的用户密码。最少不能低于8位。用户权限指管理员的用户权限。可选值为:管理用户、审计用户和虚拟系统用户。说明:管理用户是指对网络卫士防火墙具有管理权限(但不能修改管理员配置)的用户;审计用户只有查看配置的权限,不能修改配置;虚系统用户则只能登录网络卫士防火墙上指定的虚系统。虚拟系统号只有当“用户权限”设定为“虚拟系统用户”时显示该项,用于设定管理员所属的虚拟系统号。取值范围:1-254。 3)参数设置完成后,点击“确定”按钮,完成管理员账号的添加;点击“取消”

8、按钮,取消此次操作。4)在“管理员列表”界面中,点击指定管理员后面的修改图标,可以修改该管理员的用户属性;点击指定管理员后面的删除图标,可以删除该管理员账号。图(8)管理员配置1.8 防火墙管理权限配置(贴图)-开放服务 为了提高设备自身的安全性,系统提供了用户与设备、设备与设备之间管理通信的细粒度访问控制。用户可以通过设置开放服务控制规则加强系统的访问控制。系统可管理的服务分为以下几类:服务名意义GUI 允许用户通过网络卫士防火墙管理器对设备进行配置和管理。WEBUI当防火墙不包含SSL VPN模块时,开放该服务用于允许用户通过WEBUI的443端口对设备进行配置和管理。当防火墙包含SSL

9、VPN模块时,要实现管理员通过WEBUI对设备进行管理无需开放该服务,只需开放SSLVPNMGR服务。要实现普通用户通过443端口访问设备时只需开放SSLVPN服务。AUTH允许用户使用防火墙设备所提供的认证机制。CGI_AUTH允许CGI认证用户使用防火墙设备所提供的认证机制。UPDATE允许用户通过TOPSEC管理中心对设备进行远程升级。MONITOR允许用户根据其设定的条件监控设备的运行状态。SNMP允许设备与SNMP管理主机进行通信。PING允许用户可以PING到设备的物理接口地址、VLAN虚接口和子接口的地址。SSH允许用户通过SSH方式对设备进行配置和管理。TELNET允许用户通过

10、TELNET对设备进行配置和管理。TOSIDS允许与IDS设备间的联动。DHCP允许设备作为DHCP服务器、DHCP客户端或DHCP中继使用。IPSecVPN允许设备与VPN设备建立IPSec VPN隧道进行通信。RIP允许使用RIP动态路由协议。L2TP允许L2TP客户端登录。PPTP允许PPTP客户端登录。NTP允许系统使用NTP协议保持设备本身和其他设备的时钟同步。SSLVPN当防火墙包含SSL VPN模块时,才包含该选项,用于开放443和4430端口,允许使用SSLVPN的相关功能,包括全网接入、普通用户登录网关等。SSLVPNMGR当防火墙包含SSL VPN模块时,才包含该选项,用于

11、管理员通过8080端口对防火墙进行管理。BGP允许使用BGP动态路由协议。 开放服务的具体设置方法如下:1)选择 系统管理 配置,选择“开放服务”页签,右侧页面显示已有的服务控制规则。2)点击“添加”,进入添加服务页面。3)参数说明如下表。参数说明服务名称选择需要开放的服务。控制区域准许来自哪些区域的访问使用该服务。控制地址准许来自哪些地址对象(包括主机、范围和子网类地址对象)的访问使用该服务。地址对象设置请参见设置地址资源。 4)点击“确定”,则该服务规则将被添加到列表中。图(9)开放服务的配置(1) 自定义服务配置 用户可以根据需要自行定义服务,操作方法如下:1)选择 资源管理 服务,选择

12、“自定义服务”页签,右侧显示管理员添加的自定义服务。“删除”一列为“”表示该资源对象被规则引用,无法删除。2)点击“添加”,自定义服务参数说明如下表所示:参数意义类型选择自定义服务使用的协议类型。可选值为:TCP、UDP、ICMP、以太网协议、其他IP协议。名称输入自定义服务对象名。端口当“类型”选择TCP、UDP、ICMP时显示该选项。用于输入自定义服务占用的单个端口或端口范围,前后两个文本框分别表示起始和终止端口号。如果是单个端口则只填起始端口。当协议类型为TCP或UDP时,可输入的数值范围为0-65535。当协议类型选择ICMP时,可输入数值范围为0-18; 类型值当协议类型为“以太网协

13、议”或“其他IP协议”时,界面显示该项。对于“以太网协议”,可输入的数值范围为256-65535;对于“其他IP协议”,可输入的数值范围为0-255。 3)点击“确定”,完成设置。点击“取消”放弃添加。4)对已经添加的服务资源,可以点击修改图标修改其属性。点击删除图标可以删除该资源。如果资源对应的“删除”一列为图标“”,则表明该资源被引用,无法删除。管理员也可以点击“清空”一次性删除列表中所有的未被引用的资源。图(10)自定义服务配置1.9 主机对象配置(贴图) 下面主要介绍主机资源设置:1)选择 资源管理 地址,并在右侧页面中选择“主机”页签,将会显示已有的主机资源。“删除”一列为“”表示该

14、主机资源对象被规则引用,无法删除。2)点击“添加”,系统出现添加主机属性的页面。页面中各参数的含义如下。参数说明名称用户定义的主机资源的名称。物理地址主机的MAC地址。当用户同时设置了主机的MAC地址和IP地址时,添加主机后,也会增加一条IP/MAC地址绑定策略。用户可以通过防火墙 IP/MAC绑定进行查看。IP地址在右侧的文本框中输入IP地址字符串,点击“”按钮,则出现在左侧的文本框中,表示该主机资源的IP地址应满足的约束条件。可以对同一个主机资源输入多个IP地址,则只要满足其中一个条件即可。最多可以输入120个IP地址。 依次输入上述内容,点击“确定”完成主机资源的设定。点击对应的修改图标可以修改已设定的主机资源,点击删除图标可以删除该资源。如果主机资源对应的“删除”一列为图标“”,则表明该主机资源被引用,无法删除。点击“清空”可以清除所有未被引用的主机资源。图(11)定义主机资源1.10 地址组配置 不同的地址资源可以组合为一个地址组,用作定义策略的目的或源。地址组的支持增强了资源管理的层次性,使管理更加灵活。设置地址组的步骤如下:1)选择 资源管理 地址,并在右侧页面内选择“地址组”页签,将会显示已有的地址组资源。“删除”一列为“”表示该资源对象被规则引用,无法删除。2)点击“添加”,进入参数设置页面。3)依次输入地

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 模板/表格

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号