《汉柏防火墙安装调试及故障排查技术培训ppt课件》由会员分享,可在线阅读,更多相关《汉柏防火墙安装调试及故障排查技术培训ppt课件(34页珍藏版)》请在金锄头文库上搜索。
1、汉柏防火墙汉柏防火墙产品技术培训产品技术培训汉柏科技有限公司 二一五年十一月 产品维护产品部署模式设备管理日志相关版本及特征库升级license升级恢复出厂及配置备份和恢复p汉柏安全网关概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法p透明部署p路由部署p混合部署p旁路部署议题:产品部署模式路由部署v网关模式:把设备当作网络出口,充分使用设备的NAT、路由选路、行为控制、VPN等功能的部署方式透明部署v透明模式:当用户网络已具备高性能的网络出口,又想使用防火墙的功能,则可以把防火墙串接在内网核心交换机和网络出口设备之间,用户将不必变更网络拓扑和修改路由,就可使用防火墙的行为控
2、制、VPN等功能旁路部署v旁路模式:当用户网络已具备高性能的网络出口,也不想把设备串接在内网核心交换机和出口设备之间,又想使用防火墙的VPN、DHCP等功能,则可将设备像一台服务器一样旁挂在核心交换机上混合部署v混合模式:指设备同时工作于是路由模式和透明模式,将多个接口配置为一组透明桥,同时此桥组上实现NAT、路由等功能p汉柏安全网关概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法pWEB管理p命令行管理议题:设备管理l出厂配置下可以通过接口Ge0/0/0或Man0/0/0口的默认地址192.168.1.254进行web管理:l将电脑IP地址设置为192.168.1.0/24
3、网段地址,并连到Ge0/0/0或Man0/0/0口,打开Chrome浏览器,输入https:/192.168.1.254:8888登陆WEB管理页面,输入用户名administrator、默认密码administrator进入设备首页。WEB管理WEB管理l1、修改管理员administrator的默认密码为admin123456(密码必须10-50位,且必须包含字母、数字),且保持administrator账号拥有所有权限。l设置管理员administrator账号的管理主机IP为192.168.40.108/32,即只有192.168.40.108这台主机可以用administrator账
4、号管理设备。l2、添加管理员账号test,配置密码为admin123456,权限设置为“审计”,管理主机IP不限,即所有主机都能用此账号登陆设备管理,建议具有配置权限的账号不要配置为管理主机不限。l3、设置web页面超时时间:若设置为10分钟,则10分钟内管理员未做任何操作,则自动退出管理页面;l管理员最大登陆重试次数:若密码错误,共可尝试登陆的次数(最多可重复登录10次)l管理员登陆失败阻断间隔:若连续输入错误密码达到最大登陆重试次数,则会阻断一段时间不允许登陆。(阻断间隔60-65535s)WEB管理-管理员配置要点命令行管理-concole登录用串口线连接波特率38400命令行管理-co
5、ncole登录l直接进入设备命令行模式。输入“uc3”密码为:admin进入设备命令行下命令行管理-Telnet登录使用telnet方式管理首先要保证管理主机到设备的接口地址的连通性是好的的,若能ping通管理接口则说明连通性没问题(设备默认开启ping服务)。l1、开启设备telnet服务,设备的telnet服务默认是没有开启的,需要到“系统安全”开启此功能。l2、telnet管理地址,输入用户名密码,用户名密码与web登录的一致,设备默认用户中没有开启Telnet服务,需要手动开启。命令行管理-SSH登录使用ssh方式管理首先要保证管理主机到设备的接口地址的连通性是好的的,若能ping通管
6、理接口则说明连通性没问题(设备默认开启ping服务)。l1、设备默认开启ssh服务,不需要另行配置。l2、使用终端软件(如SecuityCRT)新建一个ssh连接,输入用户名密码(用户名密码与web登录的一致)对设备进行管理。命令行管理-常用命令PA-5500-AF50Cuc3password:PA-5500-AF50C#configure进入配置模式PA-5500-AF50C#configurePA-5500-AF50C(config)#showrun:查看所有配置PA-5500-AF50C(config)#shrunsaveconfiguration:保存配置PA-5500-AF50C(c
7、onfig)#saveconfigurationSavingcurrentconfigurationtofilenamedcfi:/config.cfg.也可以指定配置文件名称,如:PA-5500-AF50C(config)#saveconfigurationcfi:/test.cfgresetconfiguration:恢复出厂设置PA-5500-AF50C(debug)#resetconfiguration(resetconfiguration后需要保存配置并重启设备才会生效)reboot:重启设备PA-5500-AF50C(sysmgr)#rebootAreyousuretoreboot
8、(Y/N)?Y命令行管理-常用命令showversion:查看版本PA-5500-AF50C(config)#shversionSN:123ABC456DEF7890TYPE:PA-5500-AF50CISOS:V5.0BOOTLOADER:V5.X.1SOFTWARE:V500H010P003D019B03,BUILD57274,RELEASEBUILDTIME:Thu30-Jul-1517:45Copyright(C)2009-2015OpzoonTechnologyCo.,Ltd.配置接口地址:PA-5500-AF50C(config)#interman0/0/0PA-5500-AF50
9、C(config-if-Man0/0/0)#ipadd192.168.20.124开启http、telnet管理功能:PA-5500-AF50C(config)#local-securityhttphttp-serverPA-5500-AF50C(config)#local-securitytelnettelnet-server为某一用户指定http、Telnet访问权限:PA-5500-AF50C(config)#useradministratortypeadministratorPA-5500-AF50C(config-user-admin-administrator)#service-t
10、ypehttp-serverPA-5500-AF50C(config-user-admin-administrator)#service-typetelnet-serverp汉柏安全网关概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法p用户administrator查看p用户audit查看pSOC软件查看议题:日志相关用户administrator查看l使用administrator账号登录后(默认密码为administrator123),可在本地日志查看相关功能的日志及系统日志:l使用admin账号登录后本地日志中含有多个分类:所有日志、系统日志、操作日志、应用安全日志、入
11、侵防护日志、垃圾邮件日志、DDOS防护日志、其他日志。注:这些分类日志除所有日志、系统日志、操作日志外均需要开启相应的功能且开启相应功能的日志通知后,才能有日志信息。用户audit查看使用audit账号登录(默认密码为administrator后,可查看设备的管理日志,即可看到哪个IP地址在什么时间登录设备对设备做了哪些操作配置。登录成功后,到可视日志显示里就可查看相应日志,也可以配置查询条件查询某段时间、某种类型的日志。p汉柏安全网关概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法p版本升级p特征库升级议题:版本及特征库升级版本升级-WEB界面下l版本升级要点1、防火墙的软
12、件版本是通用的,不同设备通过license和pd文件控制。2、升级包的升级失败后能及时处理。后缀名默认必须为.rom,前缀任意。3、升级前必须准备配置线,以防在升级失败。4、升级过程中请不要切换到其他界面,更不能断电或重启设备。5、版本导入后需要重启设备才能生效6、注意:升级会造成网络中断。升级过程中时,请按照操作步骤进行升级,操作不当会造成系统丢失版本升级-WEB界面下命令行下升级l版本升级要点1、防火墙的软件版本是通用的。2、命令行下升级又可分为ssh方式升级和console线方式升级,方式不一样,但是使用的命令是一样的,本案例介绍console线方式升级3、升级前必须准备配置线,以防在升
13、级失败后能及时处理4、软件版本较大,推荐使用FTP软件:3CDaemon。特征库升级l当防火墙需要经常更新病毒库、应用特征库、入侵防御特征库,才能更有效的起到防护效果,升级的前提是已经购买了更新授权的许可,并且该许可已经导入到防火墙。1、升级分为手动升级和自动升级,升级有效的前提是已经购买过相关的授权许可,且导入到防火墙里面。可以使用自动升级,只要防火墙有设置正确的DNS地址,且能和互联网正常通信,就会自动将特征库升级,以保持特征库为最新版本。若设备与互联网不能正常通信无法自动更新,也可以手动升级,即通过汉柏科技客服电话索取特征库,然后从本地电脑以浏览方式导入到防火墙(如果没有授权许可,特征库
14、是无法导入的)。2、由于升级过程中,防火墙需要从外网下载升级包,会占用网络带宽,且会影响设备的数据转发,所以建议将自动升级时间设置在在上网低峰的时候特征库升级p汉柏安全网关概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法license升级议题:license升级license导入l1、入侵防御、防病毒、应用识别等功能需要有特征库才能使用。出厂时自带特征库。l2、若没有购买正式授权,则设备无法更新这些功能对应的特征库,特征库不准则会导致识别不准确,从而导致功能效果不理想。这些功能的授权可根据实际需要单独购买。提示:license文件只能使用一次。license导入p汉柏安全网关
15、概述p安全网关的快速安装操作p安全网关主要功能点操作p故障排除方法p恢复出厂配置p配置备份p配置恢复议题:恢复出厂及配置备份和恢复恢复出厂配置l1、通过web管理方式恢复出厂设置。恢复出厂设置会清空所有配置,恢复出厂后需要重启才生效。恢复出厂设置后,管理口地址恢复为192.168.1.254,可通过此地址登陆https:/192.168.1.254:8888进行管理,用户名密码也恢复默认的administrator和administratorl2、通过命令行的next-startloadconfigurationcfi:/default.cfg命令恢复出厂设置,同样需要重启才生效。恢复出厂配置配置备份及恢复配置l1、保存配置每次修改配置后务必保存配置,否则重启设备后配置会丢失。l2、导出配置l3、恢复配置导入的配置文件必须是cfg格式,否则无法识别。导入配置后需要设置以该配置启动,并重启才会生效。谢谢!谢谢!
