山石网科SG神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册
神州数码DCFW-1800 防火墙快速配置
多核防火墙快速配置手册防火墙配置一:SNAT配置 (2)防火墙配置二:DNAT配置 (5)防火墙配置三:透明模式配置 (11)防火墙配置四:混合模式配置 (14)防火墙配置五:DHCP配置 (17)防火墙配置六:DNS代理配置 (19)防火墙配置七:DDNS配置 (21)防火墙配置八:负载均衡配置 (24)防火墙配置九:源路由配置 (26)防火墙配置十:双机热备配置 (28)防火墙配置十一:QoS配置 (32)防火墙配置十二:Web认证配置 (36)防火墙配置十三:会话统计和会话控制配置 (44)防火墙配置十四:IP-MAC绑定配置 (46)防火墙配置十五:禁用IM配置 (48)防火墙配置十六:URL过滤配置 (50)防火墙配置十七:网页内容过滤配置 (54)防火墙配置十八:IPSEC VPN配置 (58)防火墙配置十九:SSL VPN配置 (65)防火墙配置二十:日志服务器配置 (74)防火墙配置二十一:记录上网URL配置 (76)防火墙配置二十二:配置管理及恢复出厂 (79)防火墙配置二十三:软件版本升级 (82)防火墙配置一:SNAT配置一、网络拓扑网络拓扑二、需求描述配置防火墙使内网192.168.1.0/24网段可以访问internet三、配置步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址内口网地址使用缺省192.168.1.1第二步:添加路由添加到外网的缺省路由,在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
网神SecGate至中神通UTMWALL的功能迁移手册
网神SecGate至中神通UTMWALL的功能迁移手册更多产品迁移说明:网神SecGate 3600安全网关(UTM)是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上,经过12个月的精心研发, 专门为大型单位的分支机构和中小企业打造的集防火墙、防病毒、抗DDoS攻击、VPN、内容过滤、反垃圾邮件、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御网关系统。
武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。
以下是两者之间的功能对比迁移表:网神SecGate 3600功能项页码中神通UTMWALL v1.8功能项页码1 导言10A功能简介82 登录安全网关WEB界面23B快速安装指南93 首页29 1.1 系统概要/仪表盘174 系统配置332系统管理47 4.1 系统配置>>系统时钟33 2.5 本地时间564.2 系统配置>>升级许可35 2.1 许可证2.7 升级管理47 604.3 系统配置>>导入导出37 2.6 配置管理58 4.4 系统配置>>报警邮箱39 2.1 许可证管理员邮箱47 4.5 系统配置>>日志服务器40 1.14 系统日志434.6 系统配置>>域名服务器41 3.7 DNS解析805 管理配置432系统管理47 5.1 管理配置>>管理方式43 3.1 网卡设置67 5.2 管理配置>>管理主机44 2.2 初始设置管理主机49 5.3 管理配置>>管理员帐号46 2.8 帐号口令62 5.4 管理配置>>管理员证书49 2.8 帐号口令625.5 管理配置>>集中管理51 4.6 SNMP服务916 网络配置553网络设置673.1 网卡设置3.1 网卡设置3.4 网桥设置5.7 总控策略策略路由3.1 网卡设置监控缺省网关3.5 双机热备3.1 网卡设置6.5 DNS代理过滤4.1 ARP服务4.1 ARP服务3.6 路由设置4.3 DHCP服务3.1 网卡设置DHCP方式10 IPSEC VPN10.1 IPSEC VPN总体设置10.3 IPSEC VPN网关10.3 IPSEC VPN网关10.4 IPSEC VPN连接10.3 IPSEC VPN网关10.2 IPSEC VPN本机设置11.1 SSL接入11.2 SSLVPN总体设置9.1 PPTP总体设置5基础策略5基础策略5.1 地址对象5.7 总控策略6.5 DNS代理过滤6.8 WEB代理过滤6.15 FTP代理过滤6.16 POP3代理过滤6.17 SMTP代理过滤6.18 MSN审计过滤5.2 时间对象5.5 QoS对象6.4 WEB审计过滤6.9 WEB代理过滤规则6.6 DNS&URL库6.24 防病毒引擎6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤<见下>5.7 总控策略5.6 NAT策略5.6 BINAT策略5.6 DNAT策略5.6 DNAT策略6.10 WEB内容过滤6.14 防病毒例外6.16 POP3代理过滤6.17 SMTP代理过滤4.1 ARP服务6.2 特殊应用功能设置5.7 总控策略内置7.7 IPS状态调用阻拦URL 7 入侵检测与防御WEB分类7 入侵检测与防御5.6 DNAT策略6.4 WEB审计过滤WEB审计日志5.4 会话对象3.5 双机热备8用户认证8.1 认证方法8.2 用户8.3 用户组1.13 测试工具1状态统计1.11 会话状态1.8 流量统计1.12 实时监控5.7 总控策略包过滤日志3.5 双机热备1.14 系统日志1.15 日志统计1.3 系统状态1.5 网卡状态10.4 IPSEC VPN连接状态1.7 ARP状态9.2 PPTP用户状态4.3 DHCP服务租用状态1.10 在线主机1.14 系统日志1.10 在线主机1.5 网卡状态缺省路由IP1.7 ARP状态1.13 测试工具1.14 系统日志4.1 ARP服务ARP日志3.6 路由设置1.2 源IP功能统计参考文件:1. 网神SecGate 3600安全网关WEB界面手册(388页)2. 中神通UTMWALL网关管理员手册。
DCFW-1800GES 防火墙快速配置手册--v4[1].0版本
DCFW-1800G/E/S系列防火墙快速配置手册-4.0版本神州数码网络集团客服中心技术支持部第1章硬件说明 (4)第2章安装前准备 (4)2.1通过控制台接入防火墙(CLI) (4)2.2SSH远程管理方法 (4)2.3WEB页面管理方法 (5)2.4防火墙密码恢复方法 (6)2.5恢复出厂配置方法 (7)2.6防火墙升级方法 (8)2.7恢复备份版本方法 (9)2.8更改逻辑端口同物理端口对应关系方法 (10)2.9防火墙当前运行配置下载方法 (11)2.10防火墙出厂默认配置 (12)第3章功能配置 (12)3.1防火墙接口IP地址更改方法 (12)3.2防火墙默认网关配置方法 (13)3.3防火墙静态路由添加方法 (14)3.4服务(端口)添加方法 (14)3.5服务分组添加方法 (15)3.6网络对象添加方法 (18)3.7网络分组添加方法 (19)3.8策略添加方法 (22)3.9动态NAT配置方法 (22)3.10静态NAT配置方法 (23)3.11端口映射配置方法 (23)3.12日志记录方法 (24)3.13源地址路由配置方法 (28)第4章典型应用 (32)4.1DCFW-1800G/E/S路由模式的配置步骤 (32)4.2防火墙做PPTP拨号服务器的配置 (42)4.2.1 Windows PPTP客户端配置说明 (44)4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)4.3如何封堵某些服务端口 (53)4.4如何阻止某台主机访问网络 (55)4.5DCFW-1800G-E-S网桥模式配置步骤 (56)4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)关于本手册本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法,并举例进行说明,希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。
如果系统升级,本手册内容进行相应更新,恕不事先通知。
DCFW-1800ES-UTM ADSL线路源地址路由配置指南
DCFW-1800E/S-UTM ADSL线路策略路由配置指南网络拓扑:实现目标:1、内网192.168.1.0/24网段通过UTM上的ADSL线路访问互联网2、剩下的内网网段通过eth2接口的专线访问互联网配置步骤:初次配置使用超级终端进入防火墙控制台:初始配置管理员用户名:admin 密码:adminhawk> enable --- 进入配置模式hawk# configure terminal--- 进入特权模式hawk(config)# set interface eth0 ip 192.168.1.81/24--- 设置eth0接口的IP地址hawk(config)# unset interface eth0 manage-ip 192.168.1.80/24--- 设置eth0接口的管理IP地址hawk(config)# set interface eth0 up --- 设置eth0接口为活动状态,缺省所有的接口都是down状态WAN1eth0192.168.1.0/24Eth0 ip:192.168.1.81/24Manage_ip:192.168.1.80/24Eth1接口 PPPOE拨号上网192.168.2.0/24 WAN2Eth2 以太网接入Internethawk(config)# set interface eth1 up--- 设置eth1接口为活动状态hawk(config)# set eth0 manage-service web--- 设置可以用eth0接口的管理地址对UTM进行管理hawk(config)# set adminhost 192.168.1.85 --- 添加对UTM具有管理权限的主机地址hawk(config)# exit--- 退回到特权模式hawk# save configuration--- 把当前运行配置保存到启动配置配置完以上基本信息后,即可通过Web界面来对UTM进行配置。
DCFW1800操作指南
保存配置
1.apply 使配置生效 # apply 修改配置后,要用apply 命令才能使新配置生效 2.save 将配置写入flash 中 # save 修改配置后,如果不用save 命令写到非易失存储 器中,下次重启防火墙后,当前运行的配 置将丢失。
Ruleconfig命令
1、回复出厂设置 #ruleconfig load defaultruleconfig save 2、保存策略 语法 ruleconfig save <index> <comment> 描述:保存当前配置用来将当前的防火墙策略配 置保存到防火墙主机的非易失存储器中,以备以 后加载。参数
常用命令
接口配置 1.察看网口当前地址 # ifconfig list 2.配置网口IP # ifconfig if0 1.2.3.4/24 3.添加管理主机地址 # adminhost add 10.0.0.56 4.设置管理主机的名称 # hostname firewall 5.管理主机的删除 # adminhost del <index>(指定要删除的WEB管理机的序 号)
物理规格 机型 处理器 DRAM 内存 Flash 闪存 USB 接口 网络接口 MTBF 电源配置 输入范围 1U 可上架标准设备 多核 64 位处理器 1GB 256MB 0 8×GE 10 万小时 单电源 100AC 100-240V 50/60Hz
产品规格
外形尺寸(W×D×H) 外形尺寸(W×D×H) 1 U (442×367×44) 工作环境温度 环境相对湿度 重量 0-45℃ 10-95%(不结露) 10-95%(不结露) 不结露 2.8kg
配置方式
防火墙的配置方式有两种:web 浏览器和命令 行。下表列出了这两种方式的系统要求:
神州数码DCFW-1800系列安全网关安装手册_4.0R4C6
神州数码 DCFW-1800 系列安全网关安装手册
1.2.1. 领先的系统结构设计 ............................................................................ 1
1.2.2. 强健的专用实时操作系统 ....................................................................... 1
2.3.
防静电要求........................................................................................... 14
2.4.
电磁环境要求 ........................................................................................ 14
3.4.3. 连接以太网电缆................................................................................ 18
3.4.4. 连接电源线 ..................................................................................... 18
3.5.
DCFW-1800ES-UTM配置指南之日志收集
DCFW-1800E/S-UTM日志配置指南需求I:对trust访问untrust web服务分别采用三种方式(本地缓冲区、发送至日志服务器、发送日志邮件)进行日志记录。
首先用“配置管理员”admin帐号登陆在“防火墙”-》“安全策略”-》“域间安全策略”中点击“新增”服务:http审计ID:80 ---该ID从1-65535之间选择,起到标识匹配该条策略的日志之作用配置完后注销admin帐号,重新使用“审计管理员”audit帐号登陆日志收集方案一:将审计ID 80产生的日志缓存在UTM本地在“日志”-》“日志策略”-》“流量日志策略”中点击“新增”审计ID:80记录目标:本地缓冲区配置完毕后可以在“日志”-》“系统日志信息”-》“流量日志”中查看缓存在本地的日志注意其中“ID”标识为80的日志日志收集方案二:将审计ID 80产生的日志以syslog格式发往日志服务器在“日志”-》“日志目标设置”-》“日志接收主机列表”中点击“新增”添加接收日志的主机地址:192.168.1.240指定将审计ID为80的日志发往日志主机在“日志”-》“日志策略”-》“流量日志策略”中点击“新增”审计ID:80记录目标:远程接受主机192.168.1.1240在日志主机192.168.1.240上安装接收syslog日志的日志管理软件即可收到来自UTM的日志。
日志收集方案三:将审计ID 80产生的日志以邮件形式发往特定邮箱首先设定用来发送日志的邮件帐号信息,UTM将用该帐号向指定的邮箱地址发送日志邮件。
在“日志”-》“日志目标设置”-》“日志邮件发送服务器”邮件服务器地址:发送邮件服务器的地址在“日志”-》“日志目标设置”-》“日志接收邮箱列表”中点击“新增”邮箱地址:填入要将日志信息发往的邮箱地址需求二、1)对PPPOE域开启异常流量防护功能,并对检测到的异常流量进行日志记录。
2)使用IPS模块对流经UTM的BT和QQ应用进行封锁,并对违规的流量进行日志记录。
DCFW-1800-神州数码防火墙安全策略高级特性
则,添加和删除对应关系。
→ 映射规则名称 需映射用户
→→ 对应角色
用户>AAA服务器>编辑 界面绑定映射规则
→ 绑定角色映射规则
角色(实现Web认证)
网络>Web认证 界面开启认证模式,可根据需要调整超时值和认证端口。
➢ 网络攻击防护
• 二层防护
攻击防护
• 网络中存在多种防不胜防的攻击,如侵入或破坏 网络上的服务器、盗取服务器的敏感数据、破坏 服务器对外提供的服务,或者直接破坏网络设备 导致网络服务异常甚至中断。作为网络安全设备 的防火墙,必须具备攻击防护功能来检测各种类 型的网络攻击,从而采取相应的措施保护内部网 络免受恶意攻击,以保证内部网络及系统正常运 行。神州数码防火墙提供基于域的攻击防护功能
攻击防护
防火墙>攻击防护
检测阀值
→是否启用防护
→ →
该防护功能动作
攻击防护(续)
防火墙>攻击防护
→是否启用防护
代理阀值
Syn cookie 代理时间
→
议程:安全策略高级特性
• 基于角色的策略 • 基于时间表的策略 • 网络攻击防护
➢ 二层防护
主机防御
• 防火墙>二层防护>主机防御 安全网关代替不同主机发送 免费arp包,保护被代理主机免受arp攻击。
dcfw1800神州数码防火墙安全策略高级特性防火墙安全策略防火墙安全策略配置简述防火墙的安全策略防火墙的安全策略h3a523c防火墙安全策略神州数码防火墙神州数码防火墙配置神州数码防火墙实训神州数码防火墙ospf
安全策略高级特性
神州数码dcfw1800系列安全网关命令手册40r4c
神州数码dcfw1800系列安全网关命令手册40r4c一、系统基本命令1. 登录与退出(1)登录网关admindcfw1800> enablePassword:admindcfw1800configure terminal输入管理员密码后,即可进入配置模式。
(2)退出网关admindcfw1800exit退出配置模式后,系统将返回用户模式。
2. 查看系统信息(1)查看系统版本admindcfw1800show version执行此命令,可以查看当前网关的软件版本、硬件版本等信息。
(2)查看系统状态admindcfw1800show system status执行此命令,可以查看网关的运行状态、CPU使用率、内存使用率等信息。
3. 配置系统时间(1)设置系统时间admindcfw1800clock set HH:MM:SS YYYYMMDD将HH:MM:SS替换为具体的小时、分钟和秒,将YYYYMMDD替换为具体的年、月、日。
(2)查看系统时间admindcfw1800show clock执行此命令,可以查看当前网关的系统时间。
二、接口配置命令1. 查看接口状态admindcfw1800show interface执行此命令,可以查看所有接口的状态、速率、双工模式等信息。
2. 配置接口(1)进入接口配置模式admindcfw1800interface <interfacetype> <interfacenumber>将<interfacetype>替换为接口类型(如GigabitEthernet),将<interfacenumber>替换为接口编号(如0/0)。
(2)设置接口描述admindcfw1800description <descriptiontext>将<descriptiontext>替换为接口描述信息。
(3)设置接口速率和双工模式admindcfw1800speed <speed> duplex <duplexmode>将<speed>替换为接口速率(如1000),将<duplexmode>替换为双工模式(如full或half)。
DCFW-1800-UTM配置指南之NAT
DCFW-1800E/S-UTM 地址转换(NAT )配置指南网络拓扑:网络环境及配置需求:I 、内网网段192.168.1.0/24,通过UTM 做动态NAT 上网,动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66,外网网关为202.127.192.66II 、对内网FTP server:192.168.1.10做端口映射,将外网口地址202.127.192.66的tcp21端口映射到该FTP server 的tcp21端口,放行外网到FTP Server 的ftp 服务。
III 、配置让内网用户可以通过FTP Server 映射后的公网地址访问FTP Server.IV 、对DMZ 区的Web Server 做静态地址映射,将公网地址202.127.192.67静态映射到172.16.1.10,放行外网到Web Server 的http 服务。
V 、配置让内网用户可以通过Web Server 映射后的公网地址访问Web Server.需求I内网网段192.168.1.0/24,通过UTM 做动态NAT 上网,动态NAT 地址使用UTM 外网接口if2的地址---202.127.192.66,外网网关为202.127.192.65Internetif0:192.168.1.81/24 Manage_ip:192.168.1.80/24DCFW-1800-UTM网关:202.127.192.65/24FTP Server:192.168.1.10/24内网DMZ外网配置步骤:1、使用“超级终端”登陆UTM,参数设置如下:初始配置管理用户名:admin 密码:admin进入配置模式:Hawk>enableHawk#进入特权模式:Hawk#config terminalHawk(config)#将if0接口加入trust安全域:Hawk(config)#set interface eth0 zone trust为if0接口配置ip地址:Hawk(config)# set interface eth0 ip 192.168.1.81/24为if0接口配置管理ip地址:Hawk(config)#set interface eth0 manage-ip 192.168.1.80/24开启if0接口的Web管理权限(只有添加了管理地址的主机才具有管理权限):Hawk(config)#set interface eth0 manage-service web开启if0接口可以被ping的功能(只接受管理主机的ping,并且只能ping该接口的管理ip):Hawk(config)#set interface eth0 manage-service ping添加管理主机地址:Hawk(config)#set adminhost 192.168.1.85退出特权模式到配置模式并保存配置:Hawk(config)#exitHawk#save config此后的配置可以用ip地址为192.168.1.85的管理主机连接到if0接口上通过Web界面配置2、登陆web管理界面打开一个IE浏览器窗口,在地址栏里输入https://192.168.1.80:2000(注意此处的地址为if0接口的管理ip --- manage-ip)登陆角色选择为:配置管理员初始用户名:admin初始密码:admin3、配置接口地址添加外网接口eth2 IP地址:在“网络”->“网络接口”中点击“修改”eth2接口将eth2接口状态设为:“up”工作模式设为“NAT”所属安全域设为“untrust”IP/位掩码:202.127.192.66/29设定完毕后点击“确定”在“网络”->“路由”->“静态路由”中点击“新增”。
DCFW-1800S-L-V3
支持带宽保证功能
支持基于优先级的QoS(IP优先级、DSCP等)
支持二级带宽控制(每接口同时对IP和应用进行控制)
病毒防护
支持在线实时病毒查杀
支持的病毒检测协议包括HTTP\FTP\POP3\SMTP\IMAP
最大支持对于5层压缩包的病毒扫描
支持RAR、ZIP等5种压缩格式
支持GRE VPN
支持L2TP VPN
系统管理
支持备份系统映像,在当前系统映像出现故障时可切换至备份固件运行
支持WEB和TFTP方式升级系统映像
支持配置的备份和恢复,配置可导出保存至安全位置
支持SNMPv1/v2/v3
支持本地和远程管理,远程管理支持HTTPS\HTTP\TELNET\SSH管理方式。
用户认证
本地认证
外部认证支持Radius、LADP、MS Active Diectory
WEB认证
802.1X认证
流量控制
QoS功能
支持基于IP的上下行带宽控制
支持基于协议、应用的上下行带宽控制
支持基于用户认证角色的上下行带宽控制
支持对自定义数据流的带宽控制
支持带宽策略生效的时间控制
支持基于IP、协议、应用、用户角色、自定义数据流和时间混合嵌套的精细带宽控制
系统规格及其参数
机型
1U可上架桌面型设备
处理器
64位多核处理器
DRAM内存
512MB
Flash闪存
256MB
接口
5×GE
1个console口
1个AUX口
1个USB口
MTBF
10万小时
电源配置
单电源
输入范围
AC 100-240V 50/60Hz
神州数码DCFW-1800防火墙快速安装指南
2.1.1.1. 命令的基本结构.......................................................................................5 2.1.1.2. 基本命令行参数.......................................................................................5 2.1.1.3. 命令行使用技巧.......................................................................................6 2.1.1.4. 常用命令...................................................................................................7 2.1.1.5. 保留字.......................................................................................................8 2.2. WEB 管理方式.........................................................................................................8 2.2.1. 管理员登录.......................................................................................................8 2.2.1.1. 如何进入 WEB 管理界面 ........................................................................9 2.2.1.2. 单一管理员.............................................................................................11 2.2.1.3. 多个管理员.............................................................................................12 2.2.2. 管理员必读.....................................................................................................12 3. 防火墙接入配置用例.............................................................................................................14 3.1. 防火墙路由接入模式(启用 NAT) ....................................................................14 3.1.1. 拓扑结构.........................................................................................................14 3.1.2. 用户需求.........................................................................................................14 3.1.3. 配置流程图.....................................................................................................15
第三章 神州数码DCFW-1800系列防火墙配置
增加出DMZ的安全规则
完成后的安全规则
动态NAT配置
注意事项
注意: 1800s防火墙的这里有两个选项: [指定转换地址范围] 和 [转换成外网地址] 1800E中只有[指定转换地址范围] 如果是1800E防火墙,将内网网段转换成外网口ip地址,可以选择[指定转换地址范围] 在起始地 址处输入防火墙的外网口ip地址就可以,终止地址不用填写。 如果是1800s防火墙,并用adsl拨号方式或者通过dhcp方式获得地址,那么在作动态地址转换的 时候,此处一定要选择[转换成外网地址]; 对于1800s防火墙来说,如果外网口是固定ip地址,将内网网段转换成外网口ip地址时,也可以直 接选择[转换成外网地址]
拨号用户到网关的VPN
202.1.1.1
Internet
192.168.1.254
ISP
拨号用户 192.168.1.1 PC#1
192.168.1.0
配置流程图
配置流程 设置PPTP选项 设置安全策略 应用 保存
界面配置路径 VPN→ 选项 VPN →安全策略 应用 保存
192.168.2.254
192.168.1.1 PC#1
192.168.1.0
192.168.2.1 PC#2
192.168.2.0
配置流程图
配置流程 设置IPsec选项 设置密钥 设置安全策略 应用 保存 界面配置路径 VPN→ 选项 VPN →密钥 VPN →安全策略 应用 保存 apply save 命令行
配置流程 配置端口 设置缺省路由 增加管理主机地址 设置网络对象 设置安全规则 设置NAT 应用 保存 界面配置路径 防火墙(系统)→ 端口设置 防火墙(系统)→端口设置 →缺省网关 防火墙(系统)→端口设置→防火墙 管理员IP→修改 网络对象→新增 安全规则→新增 命令行 ifconfig route add default adminhost add netobj add policy add nat add
DCFW-1800-S-LAB防火墙使用手册
DCFW-1800-S-LAB 防火墙使用手册
神州数码网络(北京)有限公司
0
DCFW-1800-S-LAB 防火墙使用手册
版权声明
本文档中的内容是神州数码DCFW-1800-S-LAB 防火墙使用手册。本材料的相关权力 归神州数码网络有限公司所有。文档中的任意部分未经本公司许可,不得转印、影印 或复印。
第 4 章网络接入管理.....................................................................................................................14 4.1. 网络接入管理介绍.................................................................................................14 4.2. 配置接口.................................................................................................................14 4.3. 接入方式.................................................................................................................14 4.3.1. 接入方式介绍.................................................................................................14 4.3.2. 基本概念.........................................................................................................14 1. 域.....................................................................................................................15 2. 可信域.............................................................................................................15 3. 不可信域.........................................................................................................15 4. 三层接口.........................................................................................................15 5. 二层接口.........................................................................................................15 4.3.3. 路由接入方式.................................................................................................15 4.3.4. 桥接入方式.....................................................................................................16 4.4. 接口参数.................................................................................................................17 4.5. 地址绑定.................................................................................................................17 4.5.1. 地址绑定概念.................................................................................................17 4.5.2. 地址绑定作用.................................................................................................18 4.6. VLAN 设定...............................................................................................................18
DCFW-1800ES-UTM 常用基本配置速查 - 完成
DCFW-1800ES-UTM 常用基本配置速查z初始登陆基本配置通过串口使用超级终端登陆UTM的参数如下设置z登陆帐号初始配置管理员登陆login: adminPassword: admin --登陆密码在命令行状态下输入时不会显现,确定输入正确后直接敲回车即可成功登陆还有另外两个角色的帐号:超级管理员:super,初始密码:super使用该帐号登陆可对UTM进行版本升级、配置的备份及更新、各种管理帐号的添加修改、各种许可证文件的导入激活等等操作。
审计管理员:audit 初始密码:audit对UTM进行日志管理,包括日志策略的制定,日志信息的查看等。
z UTM登陆管理配置对任意接口配置通信IP及管理IP(下面以配置eth0接口为例)User Access VerificationUTM>enableUTM#config t进入配置模式UTM(config)# set interface eth0 ip 192.168.1.81/24为eth0接口配置通信IPUTM(config)# set interface eth0 manage-ip 192.168.1.80/24为eth0接口配置管理IP,使用该地址对UTM进行管理UTM(config)# set interface eth0 up将eth0接口激活启用UTM(config)# set interface eth0 manage-service web激活管理主机对eth0接口使用web管理的权限UTM(config)# set interface eth0 manage-service ping激活管理主机对eth0接口进行ping操作的权限UTM(config)#set adminhost 192.168.1.1添加对UTM具有管理权限的主机地址添加完上述配置即可使用IP地址为192.168.1.1的主机通过web方式对UTM进行管理。
防火墙配置
此时,最好不要强行登录,如果确认第一个管理员没有在进行配置,或得到许可后,可以 强行登录,则在此界面上选择“是”,并用管理员身份登录,此时系统将自动使第一管理 员失效。若不选择“是”,则即便用管理员身份登录,也是禁止的。
网络安全无忧 源自神州数码
登陆时注意
注意:1)、在进行强行登录操作时,一定要谨慎; 2)、系统管理员如果连续三次登录失败,则自动将其 从管理员主机列表中删除,即该管理主机不能再对防火墙进行管 理。如仍需要管理,可通过终端控制台或其它管理主机登录后, 将该地址重新加入管理主机列表中。
网络安全无忧 源自神州数码
端口NAT
用来将所有要送到某特定公共IP地址上某个端口的包全部转送到某个私有IP地址的内部机器的 某个特定端口上,仅对TCP、UDP有效。(或称为“端口NAT”,有些参考书称这种方式为“网络 端口翻译NPT”。)
转换前地址:内部网络或DMZ的IP地址 转换前端口:与内部网络或DMZ地址对应的端口 转换后地址:外部网络所映射的地址,为可路由到的任意IP地址。如果指定转换后的地址, 由需在此编辑栏手工输入; 如果要转换成接口地址,只需要选中“同步接口地址”选项,即 可转成当前接口地址 转换后端口:与转换后地址对应的端口 协议:目前的端口NAT规则仅对TCP、UDP有效,在新增端口NAT规则时,需要指定其中的一 种协议 接口:指定做NAT的网卡接口 目前,端口NAT的最大可配置数目为256条。
anti-synflood
除第3章所述的抗DoS选项外,防火墙还支持TCP协议策略级的anti-synflood功能。在新增策略规则时,可定制是否启 用anti-synflood模块。在透明模式trunk下不支持anti-synflood功能。 入侵检测 在新增策略规则时,可定制是否启用入侵检测模块。关于此模块的详细描述,参见第11章。 ICMP Filter 当选择Ping服务时,才会激活是否使用ICMP Filter选项,此选项只对ICMP服务有效。 Fastpath 在新增策略规则时,如果数据包在快速路径方式下进行传输,可以简化包过滤状态检测过程,加快策略通过的速率, 但在某种程度上也会降低安全性。相反,不选择快速路径时,检查过程精细,安全性较高(通常建议不要使用快速路径方 式)。 输入完上述内容后,按 [确定] 按钮,返回策略规则浏览界面,可以看到新增的策略规则,表明成功加入了新规则。 按[退出]按钮,取消已进行的新增操作。
DCFW-1800-EG8000入侵检测系统产品彩页
神州数码IPSDCFW-1800-EG8000安全的解决方案 全面优化您的网络DCFW-1800-EG8000入侵防御系统是神州数码网络公司面向政府、教育、能源、军队、大中小型企业及分支机构等用户设计开发的下一代多功能安全网关产品。
他将一流的硬件与软件完美结合,为您提供经济高效、未来就绪的安全解决方案。
它综合集成了下一代防火墙、VPN 网关、WAN带宽管理、入侵检测、防病毒、反垃圾邮件、上网行为管理等安全功能,并且可基于用户身份和应用类型部署上述安全策略组合,为企业提供高安全性、高可靠性保证,帮助企业提升生产力。
DCFW-1800-EG8000安全网关对外提供4个GE接口和24个交换口,可充分满足大中型网络、园区网等不同接口类型的需求。
产品特点防火墙功能防火墙提供基于身份识别的状态和深层网络检测,保护企业遭受DoS拒绝服务攻击,DDoS 和IP欺骗攻击.基于身份验证的防火墙技术,可以根据工作属性定制策略并且使用单一接口实现UTM全部功能,提供高安全简单管理的灵活性。
保护动态IP环境,比如Wi-Fi 和用户共享终端等情况,基于用户验证策略能够防止IP地址等信息错误配置漏洞,基于用户身份验证,便于审计需求。
智能化的高级防火墙策略,可有效的阻断病过滤无效流量、非法流量、IP欺骗等攻击。
安全高效的VPN功能提供了IPSec,LT2P,PPTP和SSL VPN及GRE功能,提供安全的远程访问。
支持与第三方VPN通讯,使其与现有的网络基础设施兼容,并提供与远程员工,合作伙伴,供应商和客户的安全访问。
建立在外出差员工,网络对网络,主机对网络的连接,全部支持IPSec和IKE,网络认证和加密,通过DES, 3DES和AES,自动失效备援VPN连接,IPSec和L2TP连接到多ISP 网关,扫描IPSec, L2TP, PPTP, SSL VPN流量,包括恶意软件、垃圾邮件、不恰当的内容和入侵,确保VPN连通,因此有更高安全等级。
神州数码 dcfw-1800 防火墙配置手册
神州数码DCFW-1800防火墙配置手册神州数码(上海)网络有限公司二零零二年十月前言计算机和网上技术正以惊人的速度改变着整个世界,全世界的公司都面临着巨大的挑战和机会。
借助网络,人们可以与异地的同事或是客户进行实时交流,快速地接受、发送信息;借助网络,人们可以提高工作效率、减少开支,同时做到了在尽可能短的时间内对客户或市场的形势变化做出应急反应。
但也因此增加了新的危险。
因为要想与别人通信就要对自己的网络进行设置,使之一定程度地对外开放,这样就使自己的内部网络暴露在一些不怀好意的人的面前。
为了使网络信息系统在保障安全的基础上被正常访问,需要一定的设备来对系统实施保护,保证只有合法的用户才可以访问系统。
就目前看,能够实现这种需求的性能价格比最优的设备就是防火墙。
防火墙以其简单、实用、高效、经济等特点受到越来越多的用户的青睐,因此被越来越多地使用在企业与企业之间或企业与Internet之间。
DCFW-1800 防火墙是神州数码网络有限公司自主开发的复合型防火墙设备。
主要实现了检测功能、时间段控制访问功能、代理功能、地址转换功能、带宽管理、流量控制、MAC地址绑定功能和完整的日志审记等功能。
这本手册主要是描述如何正确配置、管理和使用DCFW-1800 防火墙,以便您能够预防有害的或未授权的信息出入您所要保护的网络,保障系统的安全。
读者对象本手册是对应高级用户和网络管理员编写的。
配置、使用防火墙所必备的知识:在安装和配置防火墙之前,具备充分的关于 TCP/IP、网络掩码、网络管理等等的知识是非常重要的。
您首先必须理解网络的工作原理,因为您将要安装、配置防火墙来控制进、出所保护网络的数据流。
您尤其要掌握 IP 地址、身份验证系统以及子网掩码的基础知识。
一本称得上出色的关于 TCP/IP 网络管理的书籍应囊括 netstat、arp、ifconfig、ping、nslookup、DNS、sendmail、routing 和更多的相关内容,由于本手册的主旨及篇幅所限,无法全面介绍,请您在相关书籍上查阅更多的资料。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
山石网科SG/神州数码DCFW-1800系列安全网关至中神通UTMWALL的功能迁移手册
更多产品迁移说明:
山石网科安全网关是Hillstone针对中小企业及分支机构用户的安全现状和需求推出的全新高性能多核安全网关。
产品采用业界领先的多核Plus G2安全架构和64位实时安全操作系统StoneOS®,提供全方位的安全防护、易用的可视化管理和卓越的性能,为中小企业和分支机构用户提供高性价比的全面安全解决方案。
山石网科下一代智能防火墙采用创新的主动检测技术和智能多维处理架构,通过全网健康指数帮助用户实时掌握安全状况;基于先进的应用识别和用户识别技术,为用户提供高性能应用层安全防护及增强的智能流量管理功能。
神州数码DCFW-1800系列防火墙是神州数码网络有限公司自主开发、拥有知识产权的新一代高性能纯硬件网络安全产品,能够为大中型企业、政府机关、教育机构等的网络安全问题提供安全高速的解决方案。
DCFW-1800系列防火墙拥有集成的网络安全硬件平台,采用专有的实时操作系统,可以灵活的划分安全域,并且可以自定义其它安全级别的域,防火墙的安全策略规则会对信息流进行检查和处理,从而保证网络的安全。
武汉中神通信息技术有限公司历经15年的开发和用户使用形成了中神通UTMWALL®系列产品,有硬件整机、OS软件、虚拟化云网关等三种产品形式,OS 由50多个不断增长的功能APP、32种内置日志和5种特征库组成,每个APP都有配套的在线帮助、任务向导、视频演示和状态统计,可以担当安全网关、防火墙、UTM、NGFW等角色,胜任局域网接入、服务器接入、远程VPN接入、流控审计、行为管理、安全防护等重任,具备稳定、易用、全面、节能、自主性高、扩展性好、性价比优的特点,是云计算时代的网络安全产品。
以下是两者之间的功能对比迁移表:
山石网科SG v5.0功能项页码中神通UTMWALL v1.8功能项页码第1章产品概述 1 A功能简介8
第2章搭建配置环境 6 B快速安装指南9
第3章命令行接口(CLI)10 B快速安装指南9
第4章系统管理15 2系统管理47
C缺省配置
3.7 DNS解析
2.4 菜单界面
2.8 帐号口令
2.2 初始设置
1.7 ARP状态
8.2 用户
8.3 用户组
3.1 网卡设置
直接使用内置存储器
2.6 配置管理
1.13 测试工具
1.2 功能统计重启关闭系统
2.7 升级管理
2.1 许可证
4.6 SNMP服务
本版本暂无,山石自有产品2.5 本地时间
5.2 时间对象
3.1 网卡设置监控缺省网关1.14 系统日志
A功能简介
3.1 网卡设置
3.1 网卡设置
3.4 网桥设置
3.1 网卡设置
5基础策略
A功能简介
5.4 会话对象
5.7 总控策略内置
<见下>
<见下>
3.4 网桥设置
2.2 初始设置
2.2 初始设置
2.2 初始设置
1.7 ARP状态
3.4 网桥设置
硬件设备BIOS设置
3.3 VLAN
3.4 网桥设置
3.1 网卡设置
3.6 路由设置
2.2 初始设置
3.1 网卡设置
3.1 网卡设置
5.1 地址对象
5.7 总控策略
5.7 总控策略
8.3 用户组
<见下>
<见下>
4.1 ARP服务
5.1 地址对象
4.1 ARP服务
1.12 实时监控
1.8 流量统计
4.1 ARP服务
8用户认证
5.7 总控策略
8.3 用户组
5.6 NAT策略
6.2 特殊应用功能设置10.1 IPSEC VPN总体设置10.2 IPSEC VPN本机设置10.3 IPSEC VPN网关10.4 IPSEC VPN连接
本版本暂无,山石自有产品9.1 PPTP总体设置
9.1 PPTP总体设置
9.1 PPTP总体设置
9.1 PPTP总体设置
11.1 SSL接入
11.2 SSLVPN总体设置5.7 总控策略内置
3.4 网桥设置
3.1 网卡设置
3.6 路由设置
3.7 DNS解析
4.4 DDNS服务
4.3 DHCP服务
9.3 PPPOE总体设置
使用UTMWALL-VM虚拟机
5.5 QoS对象
10.2 IPSEC VPN本机设置
8.2 用户用户证书
2.8 帐号口令管理员证书
3.5 双机热备
6.24 防病毒引擎
6.10 WEB内容过滤
6.14 防病毒例外
6.16 POP3代理过滤
6.17 SMTP代理过滤
7 入侵检测与防御
6.6 DNS&URL库
6.8 WEB代理过滤HTTPS代理6.3 网络审计
6.4 WEB审计过滤
6.4 WEB审计过滤
6.9 WEB代理过滤规则
6.6 DNS&URL库
6.12 关键词规则
6.13 关键词例外
6.4 WEBPOST审计日志
6.4 WEB审计过滤
6.9 WEB代理过滤规则
6.26 防垃圾邮件引擎
6.16 POP3代理过滤
6.17 SMTP代理过滤
6.18 MSN审计过滤
6.19 审计过滤
6.2 特殊应用功能设置
6.2 特殊应用功能设置
6.4 WEB审计过滤
6.15 FTP代理过滤
1.15 日志统计
1.15 日志统计
1.15 日志统计
参考文件:
1. Hillstone山石网科多核安全网关使用手册_5.0R1P1
2. 神州数码DCFW-1800系列安全网关使用手册_4.0R4C6 (588页)
3. 中神通UTMWALL网关管理员手册。