启明星辰P系列防火墙产品安装调试

系统管理——管理员设置——管理主机
登陆管理
GUI管理
P系统防火墙使用HTTPS方式登陆，使用8889端 口。同时需要使用证书认证。
一、安装管理员证书 二、登陆防火墙 三、特殊情况应对
当遇到没有安装证书，但又需要通过 GUI 方式管理防火墙时，可以通过在后台 URL ：https://IPv4地址：8889 输入命令（命令可以咨询400或者专家支 持） user: administrator pass:bane@7766 然后直接通过8888接口管理防火墙， 但这种方式在重启设备后会失效 URL：https://IPv4地址：8888
配置导出
在导出配臵前，对防火墙的配臵进行保存，即可以通过WEB页
面保存，也可以通过newconfig save保存，如图：
配置导入导出
配置导出
系统管理——维护——备份与恢复——导出全部配置
配置导入导出
配置导入
配臵导入功能在很多场景下可以为操作提供便捷，比如更换或
者升级设备后，可以很快的使新设备恢复配臵。
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
路由管理——基本路由——默认路由
监测频率：防火墙向网关发送ICMP或者ARP报文的频率 metric ：相同路由之间区分优先级，越小越优先 权重值 ：两条路由相同且metic也相同的情况下，分担流量的比重
静态路由
静态路由
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1
Eth
2
1. :1.
1.2
Eth3
:2.2
.2.2
2.2.2.1
联通
注释：这个功能主要适用于内网向外网发起的访问
静态路由
默认路由——基于状态回包
1.1.1.1
电信
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2
Eth
eth2
1.1.1.2
eth1：192.168.1.1 eth2：1.1.1.1
三、配置安全策略，允许流量通过
透明方式接入
eth1
C:192.168.1.100
eth2
1.1.1.2
brg1： eth1 eth2
一、设置接口工作模式，将eth1和eth2划到brg1下
透明方式接入
eth1
C:192.168.1.100
trunk
vlan 100---200
方式二：将eth1和eth2划入透明桥，再放通带vlan的流量
防火墙——安全选项——二层协议包过滤策略
第三章
防火墙路由功能配置简介
静态路由
OSPF
策略路由&ISP路由
静态路由
默认路由
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1
系统管理——维护——备份与恢复——导入全部配置
注意： 导入配臵后需要重启网关，配臵才可以生效。 3.6.0.1版本的配臵导入3.6.0.2时，需要为防火墙打
上前14个升级包，否则只能导入关键配臵（NAT
配臵无法导入）
批处理的使用
在好多情况下，我们的配臵工作都是重复操作过程，如果能将这些
操作写在一个文件下执行，那么对我们的执行效率将大大提高。
P系列防火墙产品安装调试
启明星辰网关本部 2014.6
目录
1 2 3
4 5
防火墙基础功能操作 防火墙接入模式简介 防火墙路由功能配置简介 防火墙高可用性功能原理及配置简介 入侵防护，病毒防护，反垃圾邮件配置简介
第一章
防火墙基础功能操作
登陆管理 日志管理 配置导入导出 批处理的使用
登陆管理
接口设备相关介绍
接口引用关系 1、物理设备可以被所有其它设备调用； 2、桥接设备只能被别名设备调用； 3、冗余设备可以被桥设备、别名设备、拨号设备、VLAN 设备调用； 4、VLAN设备可以被别名设备和桥设备调用； 5、拨号设备和别名设备不能被任何设备调用；
路由&NAT方式接入
eth1
C:192.168.1.100
接口设备相关介绍
vlan设备
逻辑接口，与对应的物理接口共享MAC，为数据提供doltq封装，可以 提供路由模式和透明模式。配置了vlan设备后，数据在离开防火墙时会被封 装对应的vlan ID
接口设备相关介绍
vlan设备
Vlan 100: 192.168.1.254/24
trunk
192.168.1.100/24
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
路由管理——基本路由——静态路由表
OSPF
OSPF介绍
注意： 防火墙厂商对于OSPF的支持度不 如路由器厂商，在双机情况下不 建议使用OSPF
OSPF（开放最短路径优先），像所有 链路状态协议一样，OSPF协议和 距离矢量协议相比，主要的改善在于它的快速收敛，这使得OSPF协议可以支 持更大型的网络。OSPF通过各类LSA信息学习全网的路由，然后每台运行 OSPF的路由器再根据SPF算法计算自己去往其它节点的最短路径。 防火墙目前使用的OSPF是采用zebra软件实现，zebra是一种标准的开源 软件。因此我们的OSPF可以满足一般企业网的使用需要，保存的路由条目不 受限制，只与各型号设备的内存有关。 除了支持骨干区域、普通区域、stub区域之外，还支持接口认证、区域认 证和路由重发布。同时也支持OSPFv3。
src:192.168.1.100 dst:192.168.1.254
vlan 100
src:0000.0000.0001 dst:0000.0000.0002
接口设备相关介绍
桥设备
逻辑接口，可以将多个透明模式的设备划到同一个区域内，除了透明模 式的物理设备可以被划到桥设备以外，透明的vlan设备也可以被划到桥设备 内。
OSPF
OSPF配置
此时的防火墙被部署在骨干区域内，充当骨干 router，需要维护整个Area 0区域的LSA。 防火墙需要分别在3个接口上启用OSPF，因此将 1.1.1.0/24、2.2.2.0/24、10.1.5.0/24发布出去
OSPF
OSPF后台配置
一、后台输入 advroute terminal ospf 二、通过cisco 路由器的命令行方式进行调试
第一步：获取命令行格式
最新操作对应的命令行在历史记 录的最底层显示
系统管理——维护——批处理——历史记录
批处理的使用
第二步：提交批处理命令并执行
A、获取相关命令行以后，可以对命令行进行增量 系统管理 —— 维护 ——批处理——命令批处理 修改（使用 excel 或者批处理工具） B、将新生成的命令行复制粘贴到命令批处理文本框 内，点提交； C、提交完成后，点击执行批处理
日志管理
日志服务器配置
由于防火墙本身的存储空间有限，最多只能提供10M的大小空间 （10M空间用完后可以选择停止存储日志或者覆盖日志），当需要保存更 多的日志信息时，需要将防火墙连接日志服务器，将日志传输给日志服务 器（如syslog服务器或者安管服务器）。
日志——日志配置——日志服务器
配置导入导出
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
注释：默认路由网关探测可以使防火墙以 最快的速度感知到故障的链路，使对应的 默认路由失效，从而保证多出口网络的稳 定性。探测方式为ICMP和ARP探测。
静态路由
默认路由——网关探测
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1
eth2
1.1.1.2
eth1：192.168.1.1 eth2：1.1.1.1
一、配置防火墙接口模式及IP
路由&NAT方式接入
eth1
C:192.168.1.100
eth2
1.1.1.2
eth1：192.168.1.1 eth2：1.1.1.1
二、配置NAT
路由&NAT方式接入
eth1
C:192.168.1.100
2
1. :1.
1.2
Eth3
:2.2
Baidu Nhomakorabea
.2.2
2.2.2.1
联通
注释：这个功能主要适用于外网向内网发起的访问， 原因在于不同运营商之间可能存在路由不可达问题， 基于状态回包可以将风险降到最低。即使回包时能 被策略路由匹配，也不会选择策略路由转发。
静态路由
默认路由——网关探测
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1
二、创建冗余设备，并为冗余设备配IP
Trunk方式接入
vlan 100---200
trunk
eth1
eth2
trunk
vlan 100---200
方式一：防火墙的eth1、eth2配置为trunk模式，并将他们划到同一个透明桥 内
Trunk方式接入
vlan 100---200
trunk
eth1
eth2
console口管理
设置CRT或者超级终端属性： —设置serial port连接工具 (e.g. 微软超级终端) —Connect RS-232 —波特率9600 , 8 bits, No parity,1 stop bit 如图：
登陆管理
SSH管理和Telnet管理
防火墙默认关闭该功能，需要通过WEB管理 方式或者命令行方式手动开启。 一旦开启以后，该登陆方式适用于防火墙上的 所有的三层接口 一、 WEB管理方式开启 二、命令行管理方式开启
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
注释：默认路由网关探测可以使防火墙以 最快的速度感知到故障的链路，使对应的 默认路由失效，从而保证多出口网络的稳 定性。探测方式为ICMP和ARP探测。
静态路由
默认路由——配置
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2 1.1.1.1
eth2
192.168.1.200
brg1： eth1 eth2
二、配置安全策略，放通流量
冗余方式接入
eth1 eth1 bond1：1.1.1.2 eth2 eth2
bond1：1.1.1.1
一、设置接口模式
冗余方式接入
eth1 eth1 bond1：1.1.1.2 eth2 eth2
bond1：1.1.1.1
第二章
防火墙接入模式简介
接口设备相关介绍
路由&NAT方式接入
透明方式接入 冗余方式接入 Trunk方式接入
接口设备相关介绍
物理设备
注意： 以下介绍的设备都是代表接口 的含义，只是各安全厂商叫法 不同
对应防火墙外观上的接口，通过eth x来表示。物理设备可以提 供路由模式、透明模式、冗余模式、trunk模式
日志管理
日志查看
防火墙日志包括系统日志及功能模块日志。系统日志是防火墙 自身产生的信息，如管理员管理日志和设备状态日志（如接口 up/down）；功能模块日志是防火墙功能模块启用后产生的信息， 如HA日志、IPS日志、包过滤日志，这类日志需要防火墙对应的 功能模块启动日志记录功能。
日志——日志访问——日志查看
系统管理——管理员设置——设置——开启SSH或者Telnet
登陆管理
启用GUI管理
设备出厂时默认只允许IP地址为10.1.5.200/49、 10.1.6.200的PC对防火墙过街GUI管理。 出厂时eth0接口的默认IP为10.1.5.254。
一、WEB方式添加管理主 二、命令行方式添加管理主机 机
电信
Eth
.1 2:1
.1.
2
Eth3
:2.2
.2.2
2.2.2.1
联通
支持多默认路由负载均衡 支持基于状态回包
支持默认网关探测机制
静态路由
默认路由——负载均衡
1.1.1.1
电信
172.16.1.1 Vlan100:192.168.1.1 Vlan200:192.168.2.1 Eth1:172.16.1.2
接口设备相关介绍
别名设备
逻辑接口，与对应的物理设备共享MAC，相当于cisco的secondry IP。 目的是给三层设备接口（包括物理接口和逻辑接口）配置多个IP地址。
接口设备相关介绍
冗余设备
逻辑接口，将多个物理设备绑定起来，组成一个逻辑接口。冗余的方式 有轮循方式、热备方式及802.3ad（LACP），其中轮循和热备方式都为静 态方式，802.3ad为动态方式。