神州数码网络防火墙解决方案
神州数码Juniper防火墙安装手册
Juniper防火墙安装手册神州数码(深圳)有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录:日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1.1 、网络结构图 (5)1.2、配置文件 (5)二、NAT模式 (8)2.1 、网络结构图 (8)2.2、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3.1 、网络结构图 (24)3.2、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)6.1、网络拓扑结构图 (56)6.2、设置步骤 (56)6.3、命令行配置方式 (57)6.4、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误(以下日志是从VPN接收端收集) (76)一、透明模式1.1 、网络结构图接口为透明模式时,NetScreen设备过滤通过防火墙的数据包,而不会修改IP数据包包头中的任何源或目的地信息。
(参考资料)神州数码防火墙命令
Configure static MAC address entry Configure the description of MAC address
解释
Enter configuration mode Import image/license/configuration to system
Export image/license/log/configuration/database/pktdumpfrom
system Reset functions or clear the screen
Configure ECMP route selection type Expand source NAT's port resource
Configure Flex QoS for IP queue Configure Flex QoS ramp-up rate
Configure flow Configure the work status of the flow on core0
Configure block notification Configure class map Configure clock time
Configure serial console functions
contentfilter contentfilter-profile
cwmp ddns dhcp-server dot1x ecmp-route-select expanded-port-pool flex-qos flex-qos-up-rate flow flow-on-core0 fragment ftp gratuitous-arp-send gtp-profile ha host-blacklist hostname http https im-profile interface
神州数码大型企业网络防火墙解决方案
神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案,在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求,在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。
另一方面,神州数码DCFW-1800系列防火墙还内置了VPN 功能,可以实现利用Internet构建企业的虚拟专用网络。
返回页首防火墙VPN解决方案作为增值模块,神州数码DCFW-1800防火墙内置了VPN模块支持,既可以利用因特网(Internet)IPSEC 通道为用户提供具有保密性,安全性,低成本,配置简单等特性的虚拟专网服务,也可以为移动的用户提供一个安全访问公司内部资源的途径,通过对PPTP协议的支持,用户可以从外部虚拟拨号,从而进入公司内部网络。
神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性:- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形(star)连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥,预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用:管理员可以根据自己的实际需要,手工禁止和启用单条IPSEC安全策略,也为用户提供了更大的方便。
- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法:- 加密算法:DES, 3DES,AES,CAST,BLF,PAP,CHAP- 认证算法:SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制:管理员可以根据自己的实际需要,手工禁止和启用PPTP。
返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性,神州数码DCFW-1800E防火墙提供了双机热备份功能,即在同一个网络节点使用两个配置相同的防火墙。
防火墙多出口配置
防火墙多出口配置实例目前国内的骨干网南有电信北有网通,除此之外还有移动、教育网等。
考虑到不同运营商之间的通信都需要到骨干网进行数据交换,因此跨运营商访问时比较慢。
由此很多大型网络设置双出口、甚至多出口来规避这个问题。
本文档以某高校实际环境、实际需求为例来讲解神州数码多核防火墙在多出口环境下的配置实例。
文档中涉及到目的路由、ISP路由、源路由和策略路由,涉及到等价路由的负载均衡,路由转发权值、线路监控,还有多线路服务器映射后的逆向路由问题。
一、网络拓扑及描述用户环境描述:用户出口设备使用神州数码DCFW-1800E-10G防火墙,内网主要分成宿舍子网区、教学子网区、服务应用区及服务器区。
外线总共有八条,四条电信线路都是100M带宽,一条网通线路100M,一条教育网线路100M,两条移动线路都是1G。
二、用户需求描述a)禁止banip_class地址列表中地址访问外网;b)cernet_host地址列表外的地址禁止访问discardsite列表中的外网地址(只有前者才能访问后者);c)cernet_host地址列表中的地址只通过教育网链路对外进行访问,同时对外访问时不做地址转换;d)目标地址在zdserver列表中,使用电信3链路进行访问(银行或其他部分对访问地址比较严格的站点);e)目标地址是教育网地址段的,通过教育网链路进行访问;f)目标地址是移动cmhost列表铁通crc列表的通过移动链路进行访问;g)目的地址是电信段的走电信线路,其中电信1和其他三条按8:10比例;h)目的地址是网通和unicom地址段的通过网通线路访问外网;i)源地址在hcsp列表中的使用电信3链路进行访问(测试或内网特殊用户);j)P2P流量走移动线路;k)考虑到八条外线带宽不同转发流量时要按照实际带宽的比例转发,另外很多服务器都是通过电信1映射,因此电信1和其他电信线路流量转发按照8:10的比例。
l)一旦某条链路出现故障后,该链路不再转发流量。
神州数码DCFW-1800 防火墙快速配置
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
神州数码防火墙讲解PPT-2-搭建配置环境
……
Copyright (c) 2001-2010 by DigitalChina Networks Limited. Product name: DCFW-1800S-L-V3 S/N: 0802049090018950 Assembly number: B056 Boot file is DCFOS-4.0R4.bin from flash Built by buildmaster2 2010/06/08 10:58:01
搭建配置环境
章节目标
• 通过完成此章节课程,您将可以:
● ●
●
了解系统构架的功能 根据需要选择配置环境 搭建配置环境
议程:搭建配置环境
系统构件
• 搭建配置环境
系统构件
外部存储
FTP/TFTP USB
DCFW Networks Device
Interface
RAM
Tables Buffers Running Config Serial cable
允许管理的接口 ethernet 0/0 http://192.168.1.1 用户名和密码为admin
配置接口(WebUI)
• 网络>接口 点击需配置接口右侧编辑按钮
编辑接口
• 网络>接口>基本配置
选择安全域类型 绑定到何安全域
↖
接口IP地址
开放管理服务 开放管理服务
配置默认路由(WebUI)
CLI:
Console connection (安全) Telnet (TCP/IP port 23) SSH(密文传输 TCP22)
WebUI:
HTTP port 80 (缺省tcp80,可以修改) HTTPS port443 (可以修改)
01 - DCN多核防火墙初始配置
神州数码网络
11
The End
神州数码网络
需要使用admin账户创建新的管理员账户,并可对其修改、删除。 使用admin添加的新管理员账户可赋予不同的权限(读、写) 使用admin添加的新管理员账户可赋予不同的管理方式(Console、Telnet、SSH、
HTTP、HTTPS) 神州数码网络 9
恢复出厂设置
CLI
命令: unset all
WebUI
系统> 维护> 配置 >管理>重置
硬件
开机加电前按住前面板“CLR”,然后加电;加电15秒后松开。
神州数码网络
10
常用查看命令
Show config Show version Show interface Show zone Show ip route Show admin user/host/auth-server Show arp
这表示192.168.1.0/24网段 的设备都具备对防火墙的 https管理权限
方式对防火墙进行管理) (完成以上配置就可通过WEBUI方式对防火墙进行管理) 完成以上配置就可通过 方式对防火墙进行管理 神州数码网络 8
具有安全意义的步骤
修改缺省管理员admin口令
2008-06-26 14:56:14, Event ERR@NET: Failed to execute configuration command interface ethernet0/1 :ip address 192.168.10.1 255.255.255.0 error:the interface doesn't bind to any zone, please bind to a zone before config ip address
神州数码防火墙系统FAQ V4.1
神州数码DCFW-1800S/E防火墙系统FAQ DCFW-1800 S/E文档发布版本号 V4.1神州数码网络有限公司Digital China Networks LTDAll Rights Reserved.神州数码DCFW-1800S/E防火墙系统FAQ版权声明本文档中的内容是神州数码DCFW-1800 S(C)/S/E-VII/G防火墙系统FAQ文档。
本文档的相关权力归神州数码网络有限公司所有。
文档中的任何部分未经本公司许可,不得转印、影印或复印。
由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。
本声明仅为文档信息的使用而发表,非为广告或产品背书目的。
支持信息本资料将定期更新,如欲获取最新相关信息,请查阅公司网站: 或 或直接致电神州数码客服中心服务热线8008109119您的意见和建议请发送至:Zhanghfc@神州数码DCFW-1800S/E防火墙系统FAQQ: 忘记了管理员密码怎么办?A: 将防火墙重新启动,并在控制终端上观察启动过程,在启动出现若干个“!”时,按键盘“p”,将自动清除当前管理员密码,并恢复为出厂密码设置“admin”。
重新启动后共出现两次“!”,都可以按“P”恢复密码,但是第一次出现时按“P”有提示,“Set Password!”,第二次出现时没有提示。
Q: 如果防火墙不通,可能是哪几个方面的原因?A:首先看是否按照说明书的配置方法进行配置(参见《神州数码防火墙系统基本功能用户指南》第2章快速入门)。
特别注意的是:是否配置了缺省网关外网口的IP地址是否有冲突在NAT规则配置时,映射的外网地址是否有冲突如果防火墙处于HA的备机状态,且无处于主机状态的防火墙,也会导致服务不通Q: 如果防火墙内部主机不能访问外网的站点,可能是什么原因?A:在包过滤策略的配置中,检查是否配置了允许该内部主机由内到外的访问策略;是否配置了允许由内到外的DNS服务通过,并且在系统中正确地配置了DNS服务器;该内部主机是否在策略配置的阻止主机列表中。
WEB应用防火墙安装和快速使用指南
WEB应用防火墙(DCN WAF)安装和快速使用指南版本V2.0神州数码网络(北京)有限公司地址:北京市海淀区上地九街9号100085网址: 目录第1章搭建配置环境........................................................................... 1-11.1 配置环境介绍 ............................................................................................. 1-11.2 搭建Console口配置环境.......................................................................... 1-11.3 搭建SSH配置环境.................................................................................... 1-21.4 搭建WebUI配置环境 ................................................................................ 1-21.5 首页功能介绍 ............................................................................................. 1-41.5.1 网站防火墙数据统计.......................................................................................... 1-41.5.2 系统信息............................................................................................................ 1-51.5.3 系统日志............................................................................................................ 1-61.5.4 WEB服务器运行状态......................................................................................... 1-61.5.5 许可状态............................................................................................................ 1-71.5.6 接口状态............................................................................................................ 1-7第2章出厂配置.................................................................................. 2-12.1 通讯口初始配置.......................................................................................... 2-12.2 Web用户初始配置...................................................................................... 2-12.3 命令行用户初始配置 .................................................................................. 2-12.4 管理口和带外口映射 .................................................................................. 2-1第1章搭建配置环境1.1 配置环境介绍将DCNWAF按照安装手册指导安装完毕,用户需要为DCNWAF搭建合适的配置环境,然后进行配置。
神州数码路由交换命令
特别注意交换机恢复出厂:set dfault write reloadfirewall enable#全局开启firewall enablefirewall default {permit | deny} 设置防火墙默认动作跟踪路由tracertTelnet,SSH远程登录路由器aaa authentication login default localaaa authentication enable default enableusername abc password 123enable password 0 123line vty 0login authentication default交换机Switch(config)# telnet-server enableSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localauthentication securityip <ip-addr> 配置Telnet登录到交换机的安全IP地址限制允许IP地址段Telnet登录交换机switch(config)#access-list1permit192.168.1.0 0.0.0.255switch(config)#authentication ip access-class 1 inSwitch(config)#ssh-server enableSwitch(config)#username test privilege 15 password 0 testSwitch(config)#authentication line vty login localSwitch(config)#interface vlan 1Switch(Config-if-Vlan1)#ip address 100.100.100.200 255.255.255.0ssh-server timeout <timeout> 设置SSH认证超时时间ssh-server authentication-retries <authentication-retires> 设置SSH认证重试次数switch(config)#ip http serverswitch(config)#username test privilege15password0 testswitch(config)#authentication line web login localswitch(config)#ip http secure-serverDHCPswitch(config)#service dhcpswitch(config)#ip dhcp pool vlan10switch(dhcp-vlan10-config)#network10.1.1.1 24switch(dhcp-vlan10-config)#default-router10.1.1.1中继:switch(config)#service dhcpswitch(config)#ip forward-protocol udp bootpsswitch(config-Vlan20)#ip help-address 10.1.1.1dhcp绑定,不允许手动配置ip地址#全局开启DHCP Snooping和DHCP Snooping绑定功能DHCP分配固定ip:switch(config)#ip dhcp excluded-address 10.1.1.2 10.1.1.10 不自动分配地址池switch(config)#ip dhcp pool 10switch(dhcp-vlan10-config)#host10.1.1.5switch(dhcp-vlan10-config)#default-router10.1.1.1switch(dhcp-vlan10-config)#hardware-address 00-0B-4C-9E-2a -1C绑定硬件地址#全局开启DHCP Snooping和DHCP Snooping绑定功能switch(config)#ip dhcp snooping enableswitch(config)#ip dhcp snooping binding enableswitch(config)#interface ethernet1/24switch(Config-Ethernet1/24)#ip dhcp snooping trust#设置E 1/1端口可以自动绑定DHCP获得的IP地址switch(config)#interface ethernet1/1switch(Config-Ethernet1/1)#ip dhcp snooping binding user-controlswitch(Config-Ethernet1/1)#exit#手动绑定PC 1的IP地址和MAC地址switch(config)#ip dhcp snooping binding user 00-11-11-11-11-11address 10.1.1.2mask 255.255.255.0vlan1interface 1/2路由器:Router_config#ip dhcpd enable //启动DHCP 服务Router_config#ip dhcpd pool 1Router_config_dhcp#network 192.168.1.0 255.255.255.0Router_config_dhcp#range 192.168.1.11 192.168.1.20Router_config_dhcp#lease 1 //定义租期Router_config_dhcp#dns-server 1.1.1.1 //定义DNS服务器地址Router_config_dhcp#default-router 192.168.1.1端口安全Switchport port-security lock 锁定安全端口,使pc只能通过此端口通信Switchport port-security convert 动态学习macMac-address-table blackhole address aa-bb-cc-dd-ee-ff vlan 30 mac表过滤端口操作端口IP mac绑定#全局打开AM功能Switch(config)#am enable#端口 1/1开启AM功能,绑定IPSwitch(config)#interface ethernet 1/1Switch(config-If-Ethernet 1/1)#am portSwitch(config-If-Ethernet 1/1)#am ip-pool 1.1.1.2 2Switch(config-If-Ethernet 1/1)#exit#端口 1/2开户AM功能,绑定IP、MACSwitch(config)#interface ethernet1/2Switch(config-If-Ethernet 1/2)#am portSwitch(config-If-Ethernet 1/2)#am mac-ip-pool00-44-44-44-44-44 1.1.1.4Switch(config-If-Ethernet 1/2)#exit端口限速Switch(config)#interface ethernet 1/1Switch(Config-If-Ethernet1/1)#bandwidth control10000both 限速10MB参数:both为端口收发时均进行带宽控制;receive为仅在端口接收数据时进行带宽控制;transmit为仅在端口发送数据时进行带宽控制。
神州数码防火墙 1800 17-负载均衡
PBR的匹配顺序:入接口>入安全域>VRouter
链路负载均衡
4、ISP路由 很多用户通常会申请多条线路进行流量负载均衡。然而, 一般的均衡是不会根据流量的流向做均衡的,如果网通的 服务器通过电信访问,网速就会很慢。安全网关针对该问 题,提供ISP路由功能,使不同ISP流量走专有路由,从而 提高网络速度。 配置ISP路由,用户首先需要将子网条目添加到一个ISP,然 后才可以配置以ISP名称为目的地的ISP路由。用户可以自 定义ISP信息,也可以上传ISP包含不同ISP信息的配置文件 。同时DCFOS提供一个预定义ISP配置文件,包含两个ISP, 分别是中国电信(China-telecom)和中国网通(Chinanetcom)。同时我们提供教育网ISP配置文件
链路负载均衡
2、源路由(SBR)/源接口路由(SIBR) 访问页面“网络>路由>源路由”中,点击新建
添加源接口路由,访问页面“网络>路由>源路由”中,新建
链路负载均衡
3、策略路由 策略路由功能检查数据包的源IP、目的IP和服务类型,对匹 配策略的数据包的下一跳进行指定。 WebUI,访问页面“网络>路由>策略路由”,新建
负载均衡
讲解人:朱建英 2010、07
章节目标 • 通过完成此章节课程,您将可以:
- 理解链路均衡,服务器均衡功能 - 配置多链路负载均衡 - 配置服务器负载均衡
议程:负载均衡
链路负载均衡
• 服务器负载均衡
链路负载均衡
神州数码多核防火墙提供多种链路负载均衡方式,可根据网 络环境按需配置 1、等价多径路由(ECMP) 等价多径路由(ECMP)是对经过安全设备的数据流量在多条 等价路径(同协议)上进行负载均衡转发的方法。 配置ECMP功能: 默认情况下,系统的ECMP功能为开启状态,并允许最多40 条等价路由条目进行负载均衡。在VRouter配置模式下,使用 以下命令开启或关闭ECMP功能: ecmp enable ecmp-route-num Ecmp-route-num –系统允许的最大ECMP路由条目数。取值范 围为1到40。当取值为1时表示不使用ECMP功能。
神州数码防火墙命令
webauth webpost-profile zone
Configure Web Authentication Configure webpost profile Configure security zone
神州数码防火墙命令
命令
Login:admin Password:admin DCFW-1800# ? configure import export clear debug delete exec exit help ping reboot remove rollback save show terminal traceroute undebug unset DCFW-1800# configure DCFW-1800(config)# ? aaa-server address admin alg app arp behavior-profile block-notification class-map clock console Configure AAA server Configure address (address-group) Configure admin options Configure ALG options Configure application Configure static ARP entry Configure behavior profile Configure block notification Configure class map Configure clock time Configure serial console functions Enter configuration mode Import image/license/configuration to system Export image/license/log/configuration/database/pktdumpfrom system Reset functions or clear the screen Debugging functions Delete a file Perform command operation Exit CLI help Test network connectivity Reboot system Remove nbc database Rollback startup with one backup Save configuration Show running system information Configure terminal line parameters Trace route to destination Negate debugging functions Back to the default configuration
防火墙安全解决方案建议书
..密级:文档编号:项目代号:广西XX单位网络安全方案建议书网御神州科技()目录1 概述 (4)1.1引言 (4)2 网络现状分析 (5)2.1网络现状描述 (5)2.2网络安全建设目标 (5)3 安全方案设计 (6)3.1方案设计原则 (6)3.2网络边界防护安全方案 (7)3.3安全产品配置与报价 (8)3.4安全产品推荐 (9)4 项目实施与产品服务体系 (14)4. 1 一年硬件免费保修 (14)4.2 快速响应服务 (14)4.3 免费咨询服务 (15)4.4 现场服务 (15)4.5 建立档案 (15)1 概述1.1 引言随着政府上网、电子商务、网上娱乐、网上证券、网上银行等一系列网络应用的蓬勃发展,Internet正在越来越多地离开原来单纯的学术环境,融入到社会的各个方面。
一方面,网络用户成分越来越多样化,出于各种目的的网络入侵和攻击越来越频繁;另一方面,网络应用越来越深地渗透到金融、证券、商务、国防等等关键要害领域。
换言之,Internet网的安全,包括其上的信息数据安全和网络设备服务的运行安全,日益成为与国家、政府、企业、个人的利益休戚相关的大事。
网御神州科技()是一家具有国一流技术水平,拥有多年信息安全从业经验,由信息安全精英技术团队组成的信息安全公司。
公司以开发一流的信息安全产品,提供专业的信息安全服务为主业,秉承“安全创造价值”的业务理念,以追求卓越的专业精神,诚信负责的服务态度以及业界领先的技术和产品,致力于成为“客户最值得信赖的信息安全体系设计师与建设者”,从而打造一流的民族信息安全品牌,为神州的信息化建设保驾护航。
网御神州有幸能够参与XX单位的信息化的安全规划,并且在前期与信息中心领导进行了交流与研讨,本方案以前期交流的结果为基础,将围绕着目前的网络现状、应用系统等因素,为XX单位提供边界网络防护方案,希望该方案能够为XX单位安全建设项目提供有益的参考。
2 网络现状分析2.1 网络现状描述目前XX单位已经采用快速以太网技术建成了部的办公网络,网络分为两部分:部办公网络、外部办公网络。
神州数码认证上网常见故障与解决方法
上网认证常见故障与排除方法以Windows XP为例,请安装神州数码客户端软件最新版本(下载地址ftp://,“-=DigialChinaSupplicant@学校计费认证软件=-”文件夹下20090306版本):●故障现象:神码连上了,可以上QQ但打不开网页。
(2)●故障现象:神州数码客户端软件停留在“开始认证请求”一段时间后弹出对话框“服务器没有响应,请联系网络管理员” (3)●故障现象:正在获取IP地址信息或者本地连接显示受限制 (12)●故障现象:WinPcap打开设备失败,请退出程序后重新运行! (14)●故障现象:您选择的网卡已禁用,请启用后重新连接! (14)●故障现象:网卡断开连接,请检查网卡连接状态! (16)●故障现象: 提示“验证用户信息失败”后直接返回认证软件登录界面 (19)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口,显示“用户名不存在或密码错!” (20)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口,显示“您的用户已经在上网,禁止登陆” (20)●故障现象: 提示“验证用户信息失败”后有弹出系统信息窗口,显示“您的用户名当前被禁止使用” (20)●故障现象:接收到无效的认证报文! (20)●故障现象:您更改了认证时候用的IP! (21)●故障现象:无可用网卡,请选择网卡 (23)●故障现象:DigitalChinaSujpplicant: DigitalChinaSujpplicant.exe-应用程序错误 (27)●故障现象:发现网卡MAC地址盗用 (27)●故障现象:您与交换机之间的保活失败,请重新连接! (29)●故障现象:发现启用DHCP,您被强制下线! (30)●故障现象:“开始认证请求”后对话框消失 (31)●故障现象:双击神州数码客户端软件后没有反应 (32)●障现象:能上QQ、MSN、飞信等但不能开网页 (32)三、附录: (33)●如何打开“网络连接”查看“本地连接” (33)●ARP防火墙设置(以360安全卫士为例,用户如使用其它防火墙请参照本例并按相应情况自行设置) (35)可以到校园网FTP二下载防火墙 (35)●故障现象:神码连上了,可以上QQ但打不开网页。
防火墙配置
此时,最好不要强行登录,如果确认第一个管理员没有在进行配置,或得到许可后,可以 强行登录,则在此界面上选择“是”,并用管理员身份登录,此时系统将自动使第一管理 员失效。若不选择“是”,则即便用管理员身份登录,也是禁止的。
网络安全无忧 源自神州数码
登陆时注意
注意:1)、在进行强行登录操作时,一定要谨慎; 2)、系统管理员如果连续三次登录失败,则自动将其 从管理员主机列表中删除,即该管理主机不能再对防火墙进行管 理。如仍需要管理,可通过终端控制台或其它管理主机登录后, 将该地址重新加入管理主机列表中。
网络安全无忧 源自神州数码
端口NAT
用来将所有要送到某特定公共IP地址上某个端口的包全部转送到某个私有IP地址的内部机器的 某个特定端口上,仅对TCP、UDP有效。(或称为“端口NAT”,有些参考书称这种方式为“网络 端口翻译NPT”。)
转换前地址:内部网络或DMZ的IP地址 转换前端口:与内部网络或DMZ地址对应的端口 转换后地址:外部网络所映射的地址,为可路由到的任意IP地址。如果指定转换后的地址, 由需在此编辑栏手工输入; 如果要转换成接口地址,只需要选中“同步接口地址”选项,即 可转成当前接口地址 转换后端口:与转换后地址对应的端口 协议:目前的端口NAT规则仅对TCP、UDP有效,在新增端口NAT规则时,需要指定其中的一 种协议 接口:指定做NAT的网卡接口 目前,端口NAT的最大可配置数目为256条。
anti-synflood
除第3章所述的抗DoS选项外,防火墙还支持TCP协议策略级的anti-synflood功能。在新增策略规则时,可定制是否启 用anti-synflood模块。在透明模式trunk下不支持anti-synflood功能。 入侵检测 在新增策略规则时,可定制是否启用入侵检测模块。关于此模块的详细描述,参见第11章。 ICMP Filter 当选择Ping服务时,才会激活是否使用ICMP Filter选项,此选项只对ICMP服务有效。 Fastpath 在新增策略规则时,如果数据包在快速路径方式下进行传输,可以简化包过滤状态检测过程,加快策略通过的速率, 但在某种程度上也会降低安全性。相反,不选择快速路径时,检查过程精细,安全性较高(通常建议不要使用快速路径方 式)。 输入完上述内容后,按 [确定] 按钮,返回策略规则浏览界面,可以看到新增的策略规则,表明成功加入了新规则。 按[退出]按钮,取消已进行的新增操作。
神码防火墙
DCFW-1800E-N5002多核安全网关红的部分是不同的地方:提供8个GE接口和2个GE/SPF(Combo)接口1.DCFW-1800E-N5002多核安全网关采用64位多核MIPS处理器和128G Crossbar高速交换总线技术,带来多种安全性能的全面突破。
神州数码DCFW-1800系列多核安全网关拥有业界领先的工业化设计工艺,硬件上广泛采用高品质的元器件,这让产品不但在可靠性和稳定性上具有了电信级的水平,而且也使得整机功耗大大降低,神州数码DCFW-1800系列多核安全网关还率先通过了RoHS环保认证和欧洲CE认证,因此DCFW-1800E-N5002多核安全网关是真正意义上的绿色环保产品。
2.DCFW-1800E-N5002安全网关拥有先进的安全防护功能,除具有高级状态检测包过滤技术外,还支持对应用层报文进行检测和过滤,可根据包括安全域、协议、端口、应用、用户以及时段等在内的诸多条件定制访问控制策略,DCFW-1800E-N5002的ALG功能还支持对FTP、HTTP、MS-RPC、H.323、RTSP、SIP、RSA、SQLNetV2等应用层协议进行状态监控。
3.DCFW-1800E-N5002安全网关采用基于硬件加速方案的高效专业防病毒引擎,结合会话流智能病毒扫描技术,能够对HTTP、FTP、POP3、SMTP、IMAP等应用协议进行在线实时病毒查杀,DCFW-1800E-N5002采用了创新性的病毒检测技术,能将接收数据和病毒扫描同步进行,对扫描的文件大小及数量没有限制,该技术在提升防病毒吞吐量的同时也降低了延迟。
4.DCFW-1800E-N5002多核安全网关提供基于深度应用识别的入侵防御解决方案,能有效防范网络中各种复杂的应用攻击,DCFW-1800E-N5002多核安全网关支持超过3000种以上的攻击检测和防御,并以强大的多核处理器为后盾,能为用户提供强劲精准的入侵防御功能。
神州数码无线传输解决方案
神州数码CDMA无线数据传输-税务解决方案神州数码无线传输解决方案的核心是其DCWL-280CR无线路由器系列产品。
该系列产品采用的是2.5代的移动通信技术。
相对于传统的有线连接方式而言,无线网络方案具有实时在线、按数据流量计费、登录时间短、数据传输速度快、覆盖范围广、线路租金低、不受地域环境制约等诸多优势,可以通过无线方式较好地解决数据传输问题。
无线联网方案主要优点是:1、构建实时交易系统要求数据通信覆盖范围广,扩容无限制,接入地点无限制,能满足城区和跨地区的接入需求。
由于目前CDMA无线广域网已覆盖绝大部分地区,能够满足实时交易系统对覆盖范围的要求。
2、数据传输速率高。
3、通信费用低。
4、良好的实时响应与处理能力。
由于CDMA具有“始终在线”特性,无需拨号,使业务认证访问服务变得非常简单、快速。
5、安全、专有的应用网络。
应用先进网络加密手段,对数据传输任何一个环节都进行加密处理。
6、项目工期短、网络结构简单、建设成本合理、维护成本低廉,网络具有良好的拓展能力,能够根据将来需求平滑快速升级。
对现有应用及系统不做任何更改,以免影响现有系统运行,可以根据项目需要在应用上适当拓展。
税务业务的特性,决定了无线ATM系统的设计需要遵循以下几个重要的原则:∙正确性,系统保证业务完全符合税务处理的要求;∙可靠性,系统在运行过程中,不存在意外或不可预测的错误或故障;∙安全性,系统能满足业务安全的要求,不存在如泄露客户密码等情况;∙兼容性,系统在尽量少改动现有系统后台的情况下完成,保证程序的稳定性。
DCWL280CR无线路由器不改变原有业务处理方式,并保障数据的准确性,业务处理的要求。
网络带宽要满足用户现有需求,响应时间短。
产品内置硬件看门狗,自监测自复位,网络断线自动重连,保障系统可靠运行。
提供安全、专有的应用网络。
应用先进网络加密手段,对数据传输任何一个环节都进行加密处理。
(安全的详细介绍见附件1)DCWL280CR无线路由器本身内置系统,无需安装驱动,对现有银行应用及系统不做任何更改,以免影响现有系统运行。
神州数码防火墙系统快速安装指南4.1
¾ guest 只能查看配置 ¾ admin 可授权新的管理员帐户
常用命令
接口配置 1.察看网口当前地址 # ifconfig list 2.配置网口 IP # ifconfig if0 1.2.3.4/24 3.添加管理主机地址 # adminhost add 10.0.0.56 4.设置管理主机的名称 # hostname firewall 5.管理主机的添加 # adminhost add 10.0.0.58 6.管理主机的删除 # adminhost del <index>(指定要删除的WEB管理机的 防火墙系统快速安装指南
版权声明 本文档中的内容是神州数码DCFW-1800 S / E防火墙系统快速安装指南。本材料的
相关权力归神州数码网络有限公司所有。文档中的任何部分未经本公司许可,不得 转印、影印或复印。
由于产品版本升级或其它原因本文档内容会不定期进行更新除非另有约定本文档仅 作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。 此文档针对1800全系列产品,因1800全系列产品各功能模块并不相同,恕不另行通 知。 本声明仅为文档信息的使用而发表,非为广告或产品背书目的。 支持信息 本资料将定期更新,如欲获取最新相关信息,请查阅公司网站: 或 或直接致电神州数码客服中心服务热线 8008109119 您的意见和建议请发送至:zongyu@
神州数码网络集团客户服务中心 800-810-9119
面
ssl 加密
命令行
使用管理主机上的 Hyperterminal® 或 VT100 终端仿 真器和 RS-232 Console 电缆,通过 console 口进行配 置