东软防火墙 NetEye FW 用户管理器 使用
04.neteye firewall 5200_用户认证

3 Sept. 2008 NEUSOFT SECRET
用户配置
• 以管理员身份登录防火墙,选择“系统“>“配置”
>“服务配置”>“管理用户”进入用户页面。如下图所 示:
3 Sept. 2008 NEUSOFT SECRET
用户配置(续)
• 创建用户:在“管理用户”页面的“添加用户”区域创
建用户。如下图所示:
Vsys Auditor
根管理员(Root Administrator)
• 根管理员从属于根系统。在创建其他用户之前,根管理
员是防火墙系统的唯一用户,并且不能被删除。其用户 名和初始口令分别为root和neteye。
• 以Root Administrator身份登录,可执行以下操作: – 设置管理用户; – 设置防火墙; – 查看配置信息。
NetEye FW5200
Radห้องสมุดไป่ตู้us 服务器
图示 VPN用户 请求接入VPN
用户提供用户名和口令请求验证。 NetEye FW5200向Radius服务器验证用户身份。
3 Sept. 2008 NEUSOFT SECRET
NetEye FW5200 词典文件
• 当通过Radius服务器进行认证时,用户需要在Radius服
3 Sept. 2008 NEUSOFT SECRET
Vsys审计员(Vsys Auditor)
• Vsys Auditor用户只能由其所在的Vsys Administrator
用户设置、管理和分配Vsys信息。
• Vsys Auditor具有只读权限,只可以查看防火墙的配置,
不可以设置防火墙。
• 以Vsys Auditor身份登录,可执行以下操作: – 设置管理用户; – 查看配置信息。
东软NetEye网络审计系统产品用户手册

东软NetEye网络审计系统V5.0用户手册2014年9月目录第一部分产品快速向导 (1)1图形界面格式约定 (1)2环境要求 (1)3接线方式 (1)4登录设备 (2)5刷新/保存/注销 (3)6密码恢复 (3)第二部分产品配置 (4)7设备状态 (4)8实时监控 (6)8.1设备资源 (6)8.2物理接口 (7)8.3服务监控 (8)8.3.1服务趋势叠加图 (8)8.3.2服务组趋势图 (9)8.3.3活跃服务统计 (10)8.3.4所有服务统计 (10)8.4用户监控 (11)8.4.1流量分析 (11)8.4.2会话分析 (12)8.4.3活跃会话 (13)8.5上网行为 (14)8.6在线用户 (15)8.7防共享上网 (17)8.8当前黑名单 (18)8.9应用限额用户 (20)9系统配置 (21)9.1设备工作模式 (21)9.1.1网桥模式 (21)9.1.2路由模式 (23)9.1.3旁路模式 (24)9.2系统维护 (25)9.2.1系统升级 (25)9.2.2自动升级 (27)9.2.3备份与恢复 (28)9.2.4重启/关机 (29)9.3系统管理员 (30)9.3.1配置系统管理员 (30)9.3.2角色管理 (32)9.4网管策略 (33)9.6网络工具 (35)9.6.1Ping (35)9.6.2TraceRoute (36)9.7系统时间 (37)9.8系统信息 (38)9.9邮件配置 (38)9.10集中管理 (39)10系统对象 (40)10.1地址簿 (40)10.2网络服务 (41)10.2.1内置服务 (41)10.2.2自定义普通服务 (42)10.2.3自定义特征识别 (43)10.2.4自定义论坛/网评特征 (44)10.2.5协议剥离 (45)10.3时间计划 (47)10.4URL库 (48)10.5关键字组 (49)10.6文件类型 (50)11网络配置 (52)11.1接口配置 (52)11.1.1物理接口 (52)11.1.2链路聚合 (53)11.1.3VLAN接口 (54)11.1.4PPPoE (55)11.1.5DHCP客户端 (56)11.1.6GRE隧道 (56)11.2配置IP地址 (57)11.3静态路由 (58)11.4OSPF路由 (59)11.4.1网络配置 (59)11.4.2接口配置 (60)11.4.3参数配置 (61)11.4.4虚连接配置 (62)11.4.5信息显示 (63)11.5策略路由 (65)11.5.1策略路由 (65)11.5.2均衡策略 (67)11.5.3持续路由 (69)11.5.4链路健康检查 (70)11.6DNS 配置 (72)11.7DDNS 配置 (73)11.8智能DNS (73)11.8.3均衡策略 (75)11.8.4DNS策略 (77)11.9ARP表 (79)11.10DHCP配置 (80)11.10.1基本参数 (80)11.10.2DHCP中继 (81)11.10.3已分配IP地址 (82)11.11SNMP服务器 (82)11.12代理服务器列表 (82)11.13代理配置 (83)12防火墙 (85)12.1安全策略 (85)12.2NAT规则 (87)12.2.1内网代理 (87)12.2.2一对一地址转换 (88)12.2.3端口映射 (90)12.2.4服务器池 (92)12.3防DOS攻击 (93)12.4ARP 欺骗防护 (94)12.5应用层网关 (95)12.6加速老化 (96)12.7防病毒设置 (97)12.8移动终端管理 (97)13VPN配置 (99)13.1IPSec (99)13.1.1IPSec隧道 (99)13.1.2IPSec规则 (100)13.2PPTP (102)13.3L2TP (103)13.4VPN 用户 (104)14组织管理 (105)14.1组织结构 (105)14.1.1定位并选中当前操作对象 (105)14.1.2修改根组 (106)14.1.3新增子组 (106)14.1.4修改子组 (107)14.1.5新增普通用户 (109)14.1.6新增认证用户 (110)14.1.7修改用户 (111)14.1.8绑定检查 (112)14.1.9导出用户和组 (116)14.1.10移动用户和组 (117)14.2批量导入 (120)14.3LDAP/AD导入 (120)14.4扫描内网主机 (122)14.5临时账户管理 (124)14.5.1临时账户设置 (124)14.5.2申请临时账户的步骤(页面与Email获取密码) (127)14.5.3申请临时账户的步骤(短信获取密码) (129)14.5.4未审核账户列表 (130)14.5.5已审核账户列表 (131)14.5.6批量生成 (131)14.6Dkey管理 (132)15流量管理 (133)15.1线路带宽配置 (133)15.2基于策略的流控 (134)15.3基于用户的流控 (137)16行为管理 (141)16.1认证策略 (142)16.2上网策略 (145)16.2.1上网权限策略 (145)16.2.2终端提醒策略 (155)16.2.3准入策略 (158)16.2.4应用限额策略 (162)16.2.5黑名单策略 (163)16.2.6上网审计策略 (166)16.3认证选项 (169)16.3.1跨三层MAC识别 (169)16.3.2认证参数 (170)16.3.3自定义认证页面 (171)16.3.4未认证权限 (172)16.3.5SSO (173)16.3.6短信认证 (181)16.4认证服务器 (184)16.4.1RADIUS服务器 (184)16.4.2AD服务器 (185)16.4.3LDAP服务器 (186)16.4.4POP3服务器 (187)16.4.5服务器测试 (188)16.5白名单管理 (189)16.5.1IP 白名单 (190)16.5.2URL 白名单 (191)16.5.3即时通讯白名单 (192)17酒店管理-即插即用 (193)19系统日志 (197)19.1命令日志 (197)19.2事件日志 (198)19.3PPTP/L2TP日志 (199)19.4IPSec日志 (199)19.5黑名单日志 (200)19.6安全日志 (201)19.7日志服务器 (202)19.8短信配置 (203)19.9告警配置 (203)20故障排除 (209)20.1捕获数据包 (209)20.2查看数据包 (210)20.3调试信息下载 (210)20.4上网故障调试 (211)21报表中心 (212)21.1报表中心配置 (212)21.2内置报表中心 (213)第一部分产品快速向导1图形界面格式约定2环境要求设备系列产品可在如下环境使用:输入电压: 220~240V温度: -10~50 ℃湿度: 5~90%电源:交流电源110V ~230V为保证系统能长期稳定的运行,应保证电源有良好的接地措施、防尘措施、保持使用环境的空气通畅和室温稳定。
02.neteye firewall 5200_初始设置

课程目标
• 了解初始设置的连接方式 • 了解初始设置的配置过程
初始设置的连接方式
• 设备初始设置的准备工作,连接方式,用一 台PC连接防火墙的CONSOLE口,如下图 :
配置过程
• 打开PC “开始菜单”>“附件” >“通讯” >“ 超级终端”,任意输入名称点击确定,如 图:
配置过程
• 选择相应的连接端口,通常默认为COM1口 ,然后确定,如图:
配置过程
• 进行所选网卡的设置,直接回车代表选择 括号中默认值:
• Please input IP address (192.168.1.100): 10.1.1.1
• Please input subnet mask (255.255.255.0):
• Please enter default router to use with selected interface (192.168.1.1):
回顾
• NetEye FW5200如何进行初始设置。 • NetEye FW5200初始设置的连接方式。 • NetEye FW5200初始设置的配置过程。
初始设置
演讲人: 唐作夫 tangzf@ 网络安全产品营销中心 东软集团股份有限公司
Copyright 2008 By Neusoft Group. All rights reserved
初始设置
• NetEye FW5200防火墙提供了方便快捷的 初始化设置功能,设备开箱后必须进行初 始设置,设置后才可以对防火墙进行进一 步配置。另外,当防火墙执行恢复出厂设 置操作后也必须进行该操作。
配置过程
• 配置完成进行登录: • You now have access to WebUI and can
NetEye FW 3.2.2培训PPT

V 3.2.2
Neusoft Group Ltd.
浏览地址绑定规则
V 3.2.2
Neusoft Group Ltd.
添加地址绑定规则
V 3.2.2
Neusoft Group Ltd.
V 3.2.2
Neusoft Group Ltd.
添加多播规则
• 规则可用/禁用 • 配置方向 • 配置动作
V 3.2.2
V 3.2.2
Neusoft Group Ltd.
系统管理
系统维护 • 用户管理 • 备份恢复
V 3.2.2
Neusoft Group Ltd.
系 统 信 息
V 3.2.2
Neusoft Group Ltd.
License相关
重新安装系 统时使用
配置防火墙前 ,进行此操作
V 3.2.2
Neusoft Group Ltd.
V 3.2.2
Neusoft Group Ltd.
V 3.2.2
Neusoft Group Ltd.
V 3.2.2
Neusoft Group Ltd.
注意事项
• 在使用浏览器对防火墙进行管理时,将提示需要安装一 个控件“fwctl.cab”才能时网页正常显示。当您进行安全 配置或者下载文件时,系统将自动弹出安装控件窗口, 点击《是》,安装完成后,web中的各界面均可正常显 示,且下一次使用时将不再提示安装控件。
Neusoft Group Ltd.
添加多播规则
• 配置多播地址
V 3.2.2
Neusoft Group Ltd.
添加本地访问控制规则
• 规则可用/禁用 • 配置访问源IP地址 • 配置动作
东软防火墙 NetEye FW 安装

5
2012-10-8
Neusoft Group Ltd.
管理主机的配置要求
• 硬件要求 – Pentium 450、256M内存、硬盘4GB以上的自由空间、 10M/100M以太网卡(ISA/PCI) • 软件要求 – Windows 2000、Windows XP – 安装Internet Explorer 4.0或以上版本 – TCP/IP协议 – IP地址为192.168.1.0网段
6
2012-10-8
Neusoft Group Ltd.
管理软件ቤተ መጻሕፍቲ ባይዱ安装
• • •
将机箱中 NetEye 防火墙管理系统安装光盘放入管理主机的光驱中,自动弹出“选择 安装程序”窗口; 此光盘显示:管理工具和认证客户端,其中管理工具安装在管理主机上; 想浏览整个光盘的内容,点击右下角的光盘图标;
7
2012-10-8
12
2012-10-8
Neusoft Group Ltd.
管理软件的安装
13
2012-10-8
Neusoft Group Ltd.
管理软件的安装
14
2012-10-8
Neusoft Group Ltd.
浏览开始菜单
• 四个应用程序
15
NetEye Firewall的架构
•
网卡
• • •
防火墙
管理主机
• •
防火墙是接入到网络中实现访问控 制等功能的网络设备; 防火墙上的所有软件在出厂时已经 安装完毕; 防火墙没有配置鼠标、键盘、显示 器等设备; 管理主机用于管理防火墙,配置防 火墙的安全策略等; 管理主机和防火墙之间的通信是经 过加密的; 管理主机需要用户单独准备;
NetEye东软防火墙配置手册

东软防火墙配置手册版本历史目录第一章文档说明 (4)1.1 编写目的 (4)1.2 项目背景 (4)第二章配置命令 (5)2.1 通过WEB登录 (5)2.2 虚拟系统 (6)2.2.1 查看虚拟系统信息 (6)2.2.2 创建一个虚拟系统 (6)2.2.3 删除一个虚拟系统 (7)2.2.4 添加描述 (8)2.2.5 启用/ 禁用虚拟系统 (8)2.2.6 切换虚拟系统 (9)2.3 制定安全策略 (10)2.3.1 IP包过滤 (10)2.3.2 安全策略流程 (12)2.4 地址转换NA T (14)2.5 高可用性HA (15)第一章文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范,同时,也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。
1.2 项目背景本项目是贵州电网公司根据《电力二次系统安全防护规定》(电监会5号令)、《电力系统安全防护总体方案》(国家电力监管委员会[2006]34号文及配套文件)和《南方电网电力二次系统安全防护技术实施规范》等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。
通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。
项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全,在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害,特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击,能够减轻严重自然灾害造成的损害,并能在系统遭到损害后,迅速恢复绝大部分功能,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障贵州电网安全稳定运行。
第二章配置命令2.1 通过WEB登录1. 在可通过网络连接到NetEye 的计算机上打开Web 浏览器。
东软防火墙配置手册01

第1章用户管理该章节中的操作仅在root用户登录后可用。
语法:1.添加用户NetEye(config)# user username{ local | radius } { security [ audit ] | audit [ security ] } 2.配置RADIUS服务器NetEye(config)# radius-server host ipaddress]3.配置RADIUS服务器端口NetEye(config)#radius-server port number4.设置RADIUS服务器密码NetEye(config)# radius-server secret5.将RADIUS服务器设置为默认状态NetEye(config)# no radius-server6.查看RADIUS服务器1-1NetEye防火墙3.2.2命令手册NetEye# show radius-server7.删除用户NetEye(config)# no user username8.更改用户口令NetEye(config)# password [ username ]9.显示当前防火墙上的用户信息(包括用户名、权限、认证方式) NetEye#show user [ username ]1-2第1章用户管理表1-1 命令描述关键字和变量描述user 用户管理security 安全员权限audit 审计员权限radius-server 设置RADIUS服务器host RADIUS服务器主机port RADIUS服务器端口secret RADIUS服务器密码password 修改用户的口令show 查看信息username 用户名WORD{1-12}number 端口号<1-65535>ipaddress RADIUS服务器的ip地址1-3。
东软防火墙配置

阅读指南〖手册目标〗本手册是沈阳东软软件股份有限公司的产品NetEye防火墙CLI的使用指南,它详细地介绍了CLI的功能和操作。
通过阅读本手册,用户可以掌握NetEye防火墙CLI的使用方法。
〖阅读对象〗本手册专为购买NetEye防火墙的用户编写。
用户在使用防火墙之前请仔细阅读本手册,以免误操作,造成不必要的损失。
〖手册构成〗本手册主要由以下几个部分组成:1.2.3.4. 第1章用户管理介绍管理员(root)登录CLI后所能进行的操作,如添加、编辑或删除其他具有管理权限的用户,以及修改自身或其它用户口令。
第2章安全管理介绍具有安全管理权限的用户登录CLI后所能进行的一系列操作,主要是防火墙接口的配置以及各种规则的配置。
第3章审计管理介绍具有安全管理权限的用户登录CLI后所能进行的关于审计功能的开启和关闭的操作。
附录命令速查为用户提供了快速查找命令的工具。
〖手册约定〗CLI约定y斜体——命令行参数(命令中必须由实际值进行替代的部分)采用斜体表示。
y[ ]——表示用“[ ]”括起来的部分在命令配置时是可选的。
y{ x | y | ... }——表示从两个或多个选项中必须选取一个。
y[ x | y | ... ]——表示从两个或多个选项中选取一个或者不选。
范例:sync { info-down | info-up } ipaddress filenamesync info-down 10.1.2.110 neteyefwCLI模式NetEye防火墙CLI配置共提供三种模式,分别为:普通模式:管理员(root)和安全员可以进入该模式。
在该模式下可以进行的操作有:进入特权模式、退出和语言管理。
特权模式:管理员(root)和安全员可以进入该模式。
在该模式下,可以查看系统信息及配置信息,可以对系统进行高级别的操作,但不能更改配置信息。
不同权限的用户进入特权模式后,所能做的操作也不同。
管理员(root)进入特权模式后可以进行的操作有:进入全局配置模式、退出特权模式、退出命令控制台、测试连通性、显示和终端配置。
NetEye FW 过滤规则配置

4-13
连接建立过程
内网接口 192.168.0.2
外网接口 Internet
服务器
客户端
3 2 ‘
ACK SYN ACK SYN
3 ‘ 2 1 ‘
ACK SYN ACK SYN
1
NetEye Firewall 使用指南
4-14
外到内的访问,拒绝
提示: • 允许只是部分的允许; • 拒绝是绝对的禁止;
NetEye Firewall 使用指南
4-6
经过防火墙的典型访问
192.168.0.0/24 ……
内部网络
Internet
•
举例: 192.168.0.2 能够通过防火墙访问 ;
NetEye Firewall 使用指南
4-32
新建包过滤规则-3.2
•
•
可以输入:单个IP地址、IP地 址范围、域名; “去除下列地址”是指在一个 地址范围中,被去除的地址不 匹配此规则;
NetEye Firewall 使用指南
4-33
新建包过滤规则-3.3
•
例如: 192.168.0.16 属于 192.168.0.15 - 192.168.0.20 这个范围,但管理员不希望这 个IP匹配这个规则,就 “去 除”这个IP地址的,去除的IP 地址前面用“!”标识;
• •
NetEye Firewall 使用指南
4-28
新建包过滤规则-2.1
• • • 拒绝”意味着匹配该规则的连 接不允许通过; “允许”意味着匹配该规则的 连接可以通过;“允许”包括 两个内容; 选中复选框“对TCP连接进行 认证” ,表示:防火墙对TCP 请求包进行认证后,才允许通 过,认证需要的用户名/密码信 息存放在指定的认证域中,关 于认证域请参见《NetEye Firewall安全控制台使用指南》 中的“认证管理”章节;
NetEye FW 配置使用技术培训v3

Page 4
认识工程
NETEYE防火墙是基于工程的 结构框架,实现对防火墙运行 模式、硬件配置、规则策略制 定等功能操作。左框架为防火 墙工作于路由模式的一个基本 配置结构。
•
运行模式: 运行模式: 运行模式是防火墙一个重要 属性,他指定防火墙运行方 式。 交换模式:也称为桥模式, 是一种不更改网络拓朴的应 用模式。运行此模式下的防 火墙多处于原网络路由及交 换机间 路由模式:与桥模式相对不 同,此模式需对原网络结构 进行修改。运行此模式下的 防火墙可以看作是一台路由 器及运行于桥模式下的防火 墙
© 2004, 东软
Page 2
首次登录
防火墙初始root用户,密码为 neteye。此用户只可用于管理 用户(如新增用户,重置用户密 码)。初始化帐户ROOT无法更 改用户名,但用户可以根据自 己需要更改其初始密码。
•
注意事项: 注意事项: NETEYE系列防火墙对登录 错误是有限制,超过五次错 误登录,防火墙将暂时锁定 请于半个小时再次登录。锁 定期间,即使输入正确用户 名及密码防火墙也不予登录 内置ROOT用户的权限权可 管理用户。并可重置用户新 建帐户的密码,所以请慎重 更改其口令。如防火墙管理 帐户口令遗失或忘记可与我 们联系。
步骤 1
步骤 2
步骤 3
新建工程
建立规则
应用规则
© 2004, 东软
Page 5
新建工程
新建工程时,首先需要确认的 就是此工程的运行模式。图示 选择为交换模式。系统默认的 default工程即为一个全通规则 的交换模式工程。 •
小知识: 小知识:
源路由攻击: 源路由攻击: 攻击者利用TCP/IP协议支 持IP包的源路由选项这一特 性,指定一个IP包传输时所 经过的特定路由,从而绕开 网络安全检查。
东软防火墙NetEye FW5000系列技术白皮书

NetEye Firewall 5000 Series东软防火墙NetEye FW5000系列技术白皮书目录应用背景 (3)东软NetEye FW5000系列的技术特点 (4)面向关键业务提供全面可用性保证 (4)优异的网络适应性 (5)充分适应特殊应用环境要求 (6)支持基于策略的透明VPN (7)强大的攻击防御能力 (7)东软NetEye FW5000系列防火墙主要功能 (8)基于状态检测技术的访问控制 (8)网络地址转换(NAT) (8)IP与MAC地址绑定 (9)支持VLAN Trunk (9)支持 Radius 、XAUTH、Web等认证协议 (10)支持NTP (10)SCM安全集中管理 (11)服务器负载均衡 (12)并发连接数限制 (12)对多播协议的支持 (12)可视化管理 (12)强大便利的向导功能 (13)支持SNMP (13)2应用背景网络和信息安全基础设施己经和电力、水力一样,成为国家稳定和发展的关键基础设施。
因此,保证关键行业的业务应用和信息资产安全显得日益紧迫和重要。
在这些应用环境中,业务服务器、核心骨干设备以及内网的安全性和可用性一旦遭到破坏,后果不堪设想,因此必须采用高性能的防火墙设备加以严密保护。
政府、金融、电信、电力等行业对网络安全的强劲需求推动了防火墙技术的不断发展。
本白皮书将说明东软NetEye FW5000系列防火墙如何帮助客户满足关键网络骨干节点的安全防护和性能保障要求。
关键行业骨干节点的边界安全防护有着共同的特点,最主要的就是对防火墙的性能、稳定性、网络适应性和应用适应性有着严苛的要求。
以性能的要求为例,一些大型商业银行数据中心的服务器数量高达上千台,仅备份网络的带宽就达 2.5G;大型政府网站的对外服务处理的查询量高达每秒20000次以上,而响应时间的要求是5秒以下。
因此,理想的防火墙设备应该能够提供最佳的安全性、性能、网络适应性和应用适应性,达到以下标准:l将高安全性放在首要地位,可抵御各种网络入侵和攻击,在瞬间做出安全和流量路由决策,即使在处理数Gbps的网络流量时也能做到这一点;l支持多样化的部署方式,具备面向复杂应用环境的功能特性,适应复杂且变化迅速的业务需求;l采用高性能的硬件架构,提供最佳的产品性价比,提高行业安全项目建设的投资回报率。
03.neteye firewall 5200_路由配置

FW5200的IP路由功能对具有特定信息的IP数据包进行控制 (决定按哪条路径进行转发,或是丢弃),从而使数据包按 照用户指定的路径到达目的主机。
3 Sept. 2008 NEUSOFT SECRET
路由表(续)
• 路由表中,路由条目的基本属性包括:目的IP地址,掩
路由
网络安全产品营销中心 东软集团股份有限公司
3 Sept. 20082008 By Neusoft Group. All rights reserved Copyright © NEUSOFT SECRET
路由
• 数据包从一个网络的某个源主机选择一条合适的路径到达
另一个网络中某个目的主机的过程被称为路由。路由发生 在网络层,网络层数据包即为IP数据包,因此路由也称IP 路由。
网关地址为10.1.1.1的metric值小于网 关地址为10.1.2.1的metric值
3 Sept. 2008 NEUSOFT SECRET
静态路由的选路流程(续)
• 如果有多条既与数据包完全匹配,匹配长度又相同并
且跃点数也相同的路由条目,数据包将选择用户在时 间上最先添加的路由;
• 如果数据包找到了匹配的路由条目,那么防火墙将会
路由表的配置(续)
• 查看路由:在缺省路由表页面中查看创建的结果。如下图
所示:
新添加的路由
删除选项
3 Sept. 2008 NEUSOFT SECRET
路由表的配置(续)
• 编辑路由:在“缺省路由表”页面中点击路由的ID号,进
入路由的编辑页面。如下图所示:
3 Sept. 2008 NEUSOFT SECRET
东软防火墙配置过程

Password(6-128): < 密码>Repeat Password(6-128): < 密码>选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
1.选择配置系统的方式并配置一个可连接的端口。
Allow managing the firewall by using the WebUI?(y/n)(y):yAllow managing the firewall by using the CLI?(y/n)(y):n管理员可以通过WebUI 界面配置系统,或者通过CLI 界面配置系统。
Select an interface from the list :( 1 ) eth0( 2 ) eth1( 3 ) eth2( 4 ) eth3Please input ethernet interface [1-4](1): < 端口ID 或序号> 1Please input IP address (192.168.1.100): <IP 地址>192.168.1.100Please input subnet mask (255.255.255.0): < 子网掩码>255.255.255.0Please input default router to use with selected interface (192.168.1.1): <缺省路由>192.168.1.1You have input the following parameters:Interface for initial connection: <eth0>IP address: <192.168.1.100>Subnet mask: <255.255.255.0>Default route: < 192.168.1.1>Is this information correct(y/n) yYou now have access to WebUI and CLI and can continue to configure thesystem via these interface.Start SCM Server?(y/n)(n): < 开启SCM Server>n Allow managing the firewall by using the SCMServer(y/n)(n): <允许SCM Server管理>n2.登录NetEye 系统。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙
Radius服务器
18
2012-10-8
Neusoft Group Ltd.
Radius认证的设置
– 通过超级终端修改防火墙主机上的文件 /fwsys/var/conf/auth.conf ,格式如下 RADIUS:host 192.168.1.105 RADIUS:port 1645 RADIUS:secret secretkey –执行“/fwsys/scripts/rc.auth restart”,使配置 生效
7
2012-10-8
Neusoft Group Ltd.
管理器连接防火墙
root neteye
•
防火墙出厂时,管理器默认的用户名 / 口令为: root / neteye ;
8
2012-10-8
Neusoft Group Ltd.
新建NetEye防火墙管理器
• 再启动一个防火墙管理器程序,当需要同时管理多台防 火墙时,用到此功能。
16
2012-10-8
Neusoft Group Ltd.
NetEye防火墙支持的Radius认证
• 只要是其认证产品符合标准的Radius协议,都可 以与NetEye防火墙的认证机制兼容 – RSA公司的Secure ID等等……
17
2012-10-8
Neusoft Group Ltd.
Radius认证的工作原理
9
2012-10-8
Neusoft Group Ltd.
断开连接
• 管理员在工作过程中,可能会因为某些原因,需要暂时 离开一段时间,建议管理员在这种情况下执行“断开连 接”。
10
2012-10-8
Neusoft Group Ltd.
更改登录口令
11
2012-10-8
Neusoft Group Ltd.
维护防火墙用户
12
2012-10-8
Neusoft Group Ltd.
添加用户
• 3个权限代表可以使用不同的管理组 件; – 管理器 – 安全控制台和实时监控 – 审计分析系统
13
2012-10-8
Neusoft Group Ltd.
不同用户的权限
• 不同权限的用户,具有不同的NetEye专业称谓 – 使用管理器的用户为:用户管理员; – 使用安全控制台和实时监控系统的用户为:安全员; – 使用审计分析系统的用户为:审计员;
14
2012-10-8
Neusoft Group Ltd.
用户的约束关系
用户 / 权限 root 管理用户权限 用户管理员 + 安全员 + + 审计员 + + 安全控制权限 审计权限
用户管理员
安全员 审计员
+
+Biblioteka 152012-10-8
Neusoft Group Ltd.
认证方式
• 本地认证代表用户名 / 口令信息存放在防火墙上 • Radius认证采用第三方标准的认证方式
用户分类
• 管理用户 – 本章讲述的内容 – 配置、维护防火墙主机 • 普通认证用户 – 《NetEye Firewall安全控制台使用指南》中讲述 – 对经过防火墙的网络连接进行身份认证
3
2012-10-8
Neusoft Group Ltd.
启动管理器
• • • 会默认地去打开“地址簿”窗口; 几个管理组件共用一个“地址簿”; 因为地址簿的存在,一个管理主机 可以同时维护多个防火墙;
Neusoft Group Ltd.
NetEye Firewall管理器使用指南
2012-10-8
Neusoft Group Ltd.
目标
• 维护管理用户信息
2
2012-10-8
Neusoft Group Ltd.
4
2012-10-8
Neusoft Group Ltd.
添加防火墙IP
• •
IP地址是指要维护的防火墙IP地址,通常为防火墙的管理口IP;出厂时,管理 口网卡默认为eth0,IP地址为192.168.1.100; 主机名只是一个标识,不具有实际意义;
5
2012-10-8
Neusoft Group Ltd.
管理主机
1.帐号发起“登录防火墙”的请求 5.防火墙根据Radius返回的认证信息,如果成功,则 允许此帐号登录;如果失败,给出相应的错误提示
3. Radius服务器根据用 户名 / 口令检查数据库 2.防火墙检测此帐号为Radius认证,将管理主机 发送过来的用户名 / 口令发送给Radius服务器 4. Radius服务器将认证 结果返回给防火墙主机
20
2012-10-8
Neusoft Group Ltd.
Q & A
Q:使用同一个帐号连续登录5次失败后,帐号不可用? A:防火墙认为你可能进行暴力破解,为保护帐号安 全,故锁定,必须等待20分钟后,此帐号自动激活。 在此期间,即使输入正确密码也无效。 Q:登录管理器的root口令忘记,怎么办? A:通过超级终端登录到防火墙,进入目录 /fwsys/services/bin ,执行 ./authuser –n root ,即 可根据提示修改口令。
19
2012-10-8
Neusoft Group Ltd.
通过超级终端调试防火墙
串口
防火墙
• • • • •
管理主机
使用串口线连接防火墙的串口和管理主机的串口; 启动管理主机中,程序->附件->超级终端; 设置属性,还原为默认值(波特率为9600) 用户名/口令为:root / neteye; 此帐号为超级终端的登录帐号,与管理器中的root没有任何关系;
21
2012-10-8
Neusoft Group Ltd.
Q & A
Q:管理器的root帐号不能被删除? A:防火墙的初始化帐号,必须存在,不能修改其认证 方式,不能修改名字,否则无法通过管理器登录到防 火墙。 Q:超级终端登录的root口令忘记怎么办? A:向东软NetEye产品维护人员寻求帮助。
物理连接防火墙
网卡
• • • 使用交叉线连接管理主机和防火 墙的管理口; 交叉线和网线有一定的区别; 管理主机的IP必须为192.168.1.0 网段;
防火墙
管理主机
6
2012-10-8
Neusoft Group Ltd.
管理器连接防火墙
• 在已有的地址簿中,选择要维护 的防火墙IP地址,进行连接;
22