WatchGuard防火墙 XTM 介绍

目 录1 了解WatchGuard® 公司 (1)1.1 公司背景 (1)1.2 产品简介 (2)1.3 WatchGuard® UTM产品优势 (3)2 选择WatchGuard® 的十大理由 (7)2.1 专注于网络安全技术与产品的国际知名品牌 (7)2.2 可以提供真正的、最全面的UTM功能 (7)2.3 真正提供预防御技术的网关产品 (7)2.4 深度的应用层安全检测控制 (8)2.5 独有的产品硬件、软件升级特点，为用户节省投资 (8)2.6 高级的网络互联功能，适用于更多的网络环境 (9)2.7 独特的拖拽式VPN配置方法，轻松管理VPN网络 (9)2.8 拥有多种直观的、实时的、图形化的网络管理工具 (10)2.9 强大的、易用的、免费的日志分析报告系统 (10)2.10 邮件告警、在线问答等多种LiveSecurity安全顾问服务 (11)3 Firebox可以更好地帮助您 (12)3.1 组建灵活、可靠的网络环境 (12)3.2 控制和管理内部用户的上网行为 (12)3.2.1 控制在网页中传输的内容 (12)3.2.2 控制用户对IM和P2P的使用 (13)3.2.3 防止病毒、木马、蠕虫、间谍软件进入 (13)3.2.4 限制对邮件系统的滥用 (13)3.2.5 阻挡垃圾邮件进入到邮件系统中 (14)3.2.6 管理对Internet站点的访问控制 (14)3.2.7 利用用户名/组控制对Internet的访问 (14)3.3 组建自己的VPN网络 (15)3.4 组建便捷、安全的SSL VPN接入 (16)3.5 从无头绪的网络问题分析中解脱出来 (16)3.6 最先获得第一手的安全通告 (16)4 Firebox系列产品参数表 (18)4.1 Firebox X Peak E系列 (18)4.2 Firebox X Core E系列 (20)4.3 Firebox X Edge E系列 (22)5 典型案例 (24)5.1 高效的反垃圾邮件功能保护银行邮件服务器 (24)5.2 灵活的高级网络功能，满足金融业的要求 (25)5.3 组建大型VPN网络 (25)5.4 VPN应用为连锁行业提供快捷、廉价的通讯网络 (27)5.5 省税务事务所网上报税VPN系统 (28)5.6 关键业务前端的保护 (30)5.7 电信增值领域的增值应用 (30)5.8 网通全省办公网VPN接入 (32)6 WatchGuard®在国内外获得的奖项 (35)7 中国部分用户列表 (36)1 了解WatchGuard® 公司1.1 公司背景WatchGuard®成立于1996年，公司总部位于美国的西雅图，是世界领先的高效率和全系列Internet安全方案供应商，UTM（统一威胁管理）市场占有率全球第一位，防火墙/VPN 市场占有率居全球前五位。

WatchGuard Technologies, Inc.功能与优势•借助我们的全功能安全套件(Total Security Suite)，实现从外围到到端点的企业级防御、检测、关联和响应。

•使用WatchGuard Cloud 随时随地获取有关网络安全的重要见解。

•内置合规报告，包括PCI 和HIPAA ，意味着一键访问您所需的数据，确保满足合规性要求。

•高达18 Gbps 防火墙吞吐量。

开启所有额外的安全服务后仍可以看到最高2.4 Gbps 的吞吐量。

快速简单的部署借助 WatchGuard Cloud ，IT 员工可以在共有或私有云中创建并存储配置数据，同时将设备直接运送到目的地。

设备到达后，可以连接到云中安全下载配置设置，减少员工出行时间和金钱。

核心自动化WatchGuard Firebox M 系列设备设计自动化至核心，可让您的IT 团队事半功倍。

WatchGuard 自动化核心使得从云中进行部署、阻止威胁、更新特征库以及检测和杀死恶意软件成为可能，而这一切都无需手动操作。

统一安全战胜复杂性WatchGuard Unified Security Platform™ 是IT 团队真正的好帮手。

通过将 WatchGuard Firebox 与 WatchGuard 身份验证、端点安全和 Wi-Fi 解决方案相集成，可实现系统的多层安全性，从而简化操作。

将安全性统一到单个平台中，实现孤立系统无法达成的效率，从而将频繁的耗时的手动任务进行自动化。

整个网络的云视图WatchGuard Cloud 可提供对网络的全面可视化视角，以便您随时随地及时、明智地做出有效的网络安全决策。

该平台可以显示100多个仪表板和报告，使您可以快速查看高层趋势和异常，然后深入了解每个趋势和异常的详细信息。

使用扩展模块增加端口密度Firebox M 系列提供可用于添加网络模块的扩展插槽，可定义几乎符合所有网络配置要求的端口配置。

Before You Begin2WatchGuard Technologies,Inc.LocalizationWhen you install WSM,you can choose what language packs you want to install.The language displayed in WSM will match the language you select in your Microsoft Windows environment.For example,if you use Windows7and want to use WSM in Japanese,go to Control Panel>Regions and Languages and select Japanese on the Keyboards and Languages tab as your Display Language.Release Notes3Fireware XTM and WSM v11.8.3Operating System Compatibility2444WatchGuard Technologies,Inc.Fireware XTM and WSM v11.8.3Operating System Compatibility3Terminal Services support with manual or Single Sign-On authentication operates in a Microsoft Terminal Services or Citrix XenApp4.5,5.0,6.0and6.5environment.4Native(Cisco)IPSec client and OpenVPN are supported for Mac OS and iOS.For Mac OS X10.8and10.9,we also support the WatchGuard IPSec Mobile VPN Client for Mac,powered by NCP.Release Notes5Authentication SupportThis table gives you a quick view of the types of authentication servers supported by key features of Fireware ing an authentication server gives you the ability to configure user and group-based firewall and VPN policies in your XTM device configuration.With each type of third-party authentication server supported,you can specify a backup server IP address for failover.Fully supported by WatchGuardNot yet supported,but tested with success by WatchGuard customers122Mobile VPN with IPSec/Shrew Soft 3–Mobile VPN with IPSec/WatchGuard client (NCP)Mobile VPN with IPSec for OS and Mac OS X native VPN clientMobile VPN with IPSec for Android devices –Mobile VPN with SSL for Windows 44Mobile VPN with SSL for MacMobile VPN with SSL for iOS and Android devicesMobile VPN with L2TP 6––Mobile VPN with PPTP––N/ABuilt-in Authentication Web Page on Port 4100Single Sign-On Support (with or without clientsoftware)–––Terminal Services Manual Authentication Terminal Services Authentication with Single Sign-On5––––Citrix Manual AuthenticationCitrix Manual Authentication with Single Sign-On5––––Fireware XTM and WSM v11.8.3Operating System Compatibility6WatchGuard Technologies,Inc.Fireware XTM and WSM v11.8.3Operating System CompatibilityRelease Notes 71.Active Directory support includes both single domain and multi-domain support,unless otherwise noted.2.RADIUS and SecurID support includes support for both one-time passphrases and challenge/responseauthentication integrated with RADIUS.In many cases,SecurID can also be used with other RADIUS implementations,including Vasco.3.The Shrew Soft client does not support two-factor authentication.4.Fireware XTM supports RADIUS Filter ID 11for group authentication.5.Both single and multiple domain Active Directory configurations are supported.For information about the supported Operating System compatibility for the WatchGuard TO Agent and SSO Agent,see the current Fireware XTM and WSM Operating System Compatibility table.6.Active Directory authentication methods are supported only through a RADIUS server.System RequirementsMinimum CPUIntel Pentium IV 1GHzIntel Pentium IV 2GHz Minimum Memory 1GB 2GB Minimum Available Disk Space 250MB1GBMinimumRecommended Screen Resolution1024x7681024x768XTMv System RequirementsWith support for installation in both a VMware and a Hyper-V environment,a WatchGuard XTMv virtual machine can run on a VMware ESXi 4.1,5.0or 5.1host,or on Windows Server 2008R2,Windows Server 2012,Hyper-V Server 2008R2,or Hyper-V Server 2012.The hardware requirements for XTMv are the same as for the hypervisor environment it runs in.Each XTMv virtual machine requires 3GB of disk space.Recommended Resource Allocation SettingsVirtual CPUs 1248or more Memory1GB2GB4GB4GB or moreDownloading Software8WatchGuard Technologies,Inc.Downloading SoftwareRelease Notes 9Fireware XTM OSSelect the correct Fireware XTM OS image for your Firebox or XTM e the.exe file if you want to install or upgrade the OS using e the.zip file if you want to install or upgrade the OS using the Fireware XTM Web e the.ova file to deploy a new XTMv device.XTM 2500SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 2050XTM_OS_XTM2050_11_8_3.exe xtm_xtm2050_11_8_3.zipXTM 1500SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 1050XTM_OS_XTM1050_11_8_3.exe xtm_xtm1050_11_8_3.zipXTM 800SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 8Series XTM_OS_XTM8_11_8_3.exe xtm_xtm8_11_8_3.zip XTM 5SeriesXTM_OS_XTM5_11_8_3.exe xtm_xtm5_11_8_3.zip XTM 330XTM_OS_XTM330_11_8_3.exe xtm_xtm330_11_8_3.zip XTM 33XTM_OS_XTM33_11_8_3.exe xtm_xtm33_11_8_3.zip XTM 2Series Models 25,26XTM_OS_XTM2A6_11_8_3.exe xtm_xtm2a6_11_8_3.zip Firebox T10XTM_OS_T10_11_8_3.exe firebox_T10_11_8_3.zip XTMvAll editions for VMware xtmv_11_8_3.ova xtmv_11_8_3.exe xtmv_11_8_3.zip XTMvAll editions for Hyper-Vxtmv_11_8_3_vhd.zipDownloading Software10WatchGuard Technologies,Inc.Upgrade from Fireware XTM v11.x to v11.8.xIf you use an XTM5Series or8Series device,you must upgrade to Fireware XTM v11.7.4before you can upgrade to Fireware XTM v11.8.x.We recommend that you reboot your Firebox or XTM device before you upgrade.While this isnot necessary for most higher-model XTM devices,a reboot clears your device memory andcan prevent many problems commonly associated with upgrades in XTM2Series,3Series,and some5Series devices.Upgrade from Fireware XTM v11.x to v11.8.x2.On your management computer,launch the OS software file you downloaded from the WatchGuardSoftware Downloads Center.If you use the Windows-based installer,this installation extracts an upgrade file called[xtm series orfirebox]_[product code].sysa-dl l to the default location of C:\Program Files(x86)\Commonfiles\WatchGuard\resources\FirewareXTM\11.8_3\[model]or[model][product_code].3.Connect to your XTM device with the Web UI and select System>Upgrade OS.4.Browse to the location of the[xtm series or firebox]_[product code].sysa-dl from Step2and clickUpgrade.Upgrade to Fireware XTM v11.8.x from WSM/Policy Manager v11.x1.Select File>Backup or use the USB Backup feature to back up your current configuration file.2.On your management computer,launch the OS executable file you downloaded from the WatchGuardPortal.This installation extracts an upgrade file called[xtm series]_[product code].sysa-dl l to thedefault location of C:\Program Files(x86)\Common files\WatchGuard\resources\FirewareXTM\11.8_3\ [model]or[model][product_code].3.Install and open WatchGuard System Manager v11.8.3.Connect to your XTM device and launch PolicyManager.4.From Policy Manager,select File>Upgrade.When prompted,browse to and select the[xtm series orfirebox]_[product code].sysa-dl file from Step2.Upgrade your FireCluster to Fireware XTM v11.8.xIf you use an XTM5Series or8Series device,you must upgrade your FireCluster to FirewareXTM v11.7.4before you can upgrade your FireCluster to Fireware XTM v11.8.x.Downgrade InstructionsIf you use the Fireware XTM Web UI or CLI to downgrade from Fireware XTM v11.8.x to anearlier version,the downgrade process resets the network and security settings on your Fireboxor XTM device to their factory-default settings.The downgrade process does not change thedevice passphrases and does not remove the feature keys and certificates.Some downgrade restrictions apply:-You cannot downgrade a Firebox T10to a version of Fireware XTM OS lower than v11.8.3.You cannot downgrade an XTM2050or an XTM330to a version of Fireware XTM OS lowerthan v11.5.1.-You cannot downgrade an XTM25,26,or33device to a version of Fireware XTM OS lowerthan v11.5.2.-You cannot downgrade an XTM5Series model515,525,535or545to a version of FirewareXTM OS lower than v11.6.1.-You cannot downgrade XTMv in a VMware environment to a version of Fireware XTM OSlower than v11.5.4.-You cannot downgrade XTMv in a Hyper-V environment to a version of Fireware XTM OSlower than v11.7.3.Resolved IssuesWhen you downgrade the Fireware XTM OS on your Firebox or XTM device,the firmware onany paired AP devices is not automatically downgraded.We recommend that you reset the AP device to its factory-default settings to make sure that it can be managed by the older version of Fireware XTM OS.Resolved IssuesAuthenticationl LDAP user authentication with groupMembership attribute no longer fails.[78057]l This release includes improved tab formatting in the Custom Authentication Portal Disclaimer message.[78584]Managementl This release resolves an issued that prevented a managed device from consistently contacting the Management Server when the device lease expired.[78880]l This release resolves an issue that prevented a template save from Management Server v11.8.1to a device configured with Deep Packet Inspection running a release prior to v11.8.1.The configurationsave from the Management Server failed and generated this log message in the appliance log file:dvcpcd Error line13025:Element'allow-non-ssl':This element is not expected.Expected is on of(bypass-list,transaction,self-signed,filter,domain-name).Debug[78766]l An Apache server crash on the WatchGuard Management Server has been resolved in this release.[78643,78483]l This release resolves an issue that prevented a template save from Management Server v11.8.1when the managed device uses a third-party web server certificate.[76648]l The managed device folder on the Management Server now shows the model number of the device,the software version in use,the management mode(Full or Basic)and what management groups the device belongs to.[78041]l You can now use SSL Management Tunnels on devices with static IP addresses on their external interfaces.[78089]l Traffic Monitor has been improved to better escape invalid characters and prevent blank displays.[71266]Logging and Reportingl The WSM Report Server PDF report now displays Japanese fonts correctly.[78851]Networkingl Dynamic Routing now continues to work after an external interface is unplugged,in a network configured for Multi-WAN with failover from a dynamic route to a branch office VPN.[76986] l This release resolves an issue that prevented proxy traffic from passing through an XTM device configured in bridge mode with a tagged VLAN.[78239]l A problem that caused a network card interface to hang under high load with very small packets has been resolved.[76405]l The wrong source IP address is no longer used for DHCP relay packets sent though a VLAN interface and a Branch Office VPN tunnel.[78831,78146]FireClusterl This release resolves an issue that caused a FireCluster member to remain in the IDLE state when the member loses the Master election process.[78331]VPNl When using the updated WatchGuard IPSec Mobile VPN Client v11.32(released on3/19),users no longer experience a connection failure in Phase1negotiations,with the log message:“Peer proposesKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsUsing the CLIU.S.End Users877.232.3531 International End Users+1206.613.0456 Authorized WatchGuard Resellers206.521.8375。

WatchGuard Firebox 防火墙安装实施文档一、实施目的针对企业网络面临的主要安全威胁，构建安全的防火墙安全体系，保护企业网络安全。

目前企业网络面临的主要安全威胁分为两类：来自的外部和来自内部的安全威胁。

在企业对外网关处安装防火墙可以有效地抵御来自外部的安全威胁；解决内部安全问题主要通过加强网络管理来解决，也可在重要部门网络前端添加防火墙以保护其数据安全。

这里主要针对企业网关对外安全问题实施防火墙安全策略。

企业网络面临的主要安全威胁：1．端口和IP空间扫描2．网络监听3．IP欺骗4．缓存区溢出5．拒绝服务6．电子邮件攻击7．病毒攻击我们将针对这些安全威胁部署企业防火墙，解决网络安全问题。

二、安装规划客户公司要求保护公司网络安全，阻止外部网络的非法访问，同时需要和电信IDC 机房的服务器进行安全的数据通信。

针对这些需求我们在公司网关和IDC机房的服务器前部署两台WatchGuard Firebox III 700防火墙，然后在它们之间建立VPN隧道，保证数据通信安全。

三、安装步骤检查安装步骤. 选择防火墙配置模式. 收集网络信息. 设置管理工作站. 连接到Firebox X. 运行QuickSetup Wizard. 将Firebox X 部署到您的网络. 注册LiveSecurity® 服务1、分析企业网络需求，确定实施项目要完成的项目有配置HTTP,FTP,SMTP,POP3,DataBase,RemoteCortrol,VPN2、了解网络现状，收集相关网络信息收集局域网内的IP地址分配，代理服务器IP，网关IP，网段划分，ADSL帐号，IDC机房服务器应用类型和IP地址，IDC分配的可用地址3、配置防火墙1）WatchGuard Firebox防火墙网络逻辑结构External Interface: 外网口（WAN）；Tusted Interface: 受信口（LAN）；Optional Interface: 可选口（DMZ）对Firebox X系列则是：2）准备：◆License Keys( LiveSecurity,MobileUser,HA等)；◆记录外网（Wan ）、内外（Lan）、路由器和服务器IP地址；当使用ADSL拨号时需要帐号信息：或参照下表收集信息：◆确定防火墙接入模式（Routed Mode或 Drop-in Mode）；路由模式（Routed Mode ）透明模式（Drop-in Mode）3）连接Firebox 与控制工作站Firebox防火墙与控制工作站有两种通信方式：串行口和TCP/IP 。

产品 简介：日期:2010.07.23 WatchGuard 网络安全 XTM 10 系列产品 ↓ 产品参数型号 属性成本操作系统（专业版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥4,163,640用户数（10,000+）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥3,202,800XTM - XTM 捆绑服务包1年￥1,264,800XTM - 网关防病毒 特征库1年￥690,120XTM - 入侵防御 特征库1年￥690,120XTM - 网页过滤 特征库1年￥690,120XTM - 邮件过滤 特征库1年￥690,120[硬件]XTM防火墙 1050 （Pro ）标机1年￥2,518,800"XTM 1050" 增加"1年"保修1块￥459,600WG8535 - 专用 4口千兆光纤模块1块￥169,000总部 或 数据中心网络WG8536 - 专用 热插拔风扇1块￥21,000最高版本型号WG8537 - 专用 热插拔电源1个￥105,000WatchGuard 网络安全 XTM 8 系列产品↓ 产品参数型号 属性成本操作系统（专业版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥3,160,300用户数（5,000）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥2,431,000XTM - XTM 捆绑服务包1年￥847,000XTM - 网关防病毒 特征库1年￥438,000XTM - 入侵防御 特征库1年￥438,000XTM - 网页过滤 特征库1年￥438,000XTM - 邮件过滤 特征库1年￥438,000[硬件]XTM防火墙 830-F （Pro ）标机1年￥1,801,000集团总部 或 数据中心网"XTM 830" 增加"1年"保修1套￥292,000系列最高型号,最高版本"XTM 830" 日期同步激活许可1套￥121,000操作系统（专业版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥2,674,100用户数（5,000）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥2,057,000XTM - XTM 捆绑服务包1年￥666,000XTM - 网关防病毒 特征库1年￥371,000XTM - 入侵防御 特征库1年￥371,000XTM - 网页过滤 特征库1年￥371,000XTM - 邮件过滤 特征库1年￥371,000[硬件]XTM防火墙 830 （Pro ）标机1年￥1,524,000集团总部 或 数据中心网"XTM 830" 增加"1年"保修1套￥218,000系列最高型号,最高版本"XTM 830" 日期同步激活许可1套￥121,000操作系统（专业版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥2,187,900用户数（3,000+）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥1,683,000XTM - XTM 捆绑服务包1年￥545,000XTM - 网关防病毒 特征库1年￥304,000XTM - 入侵防御 特征库1年￥304,000XTM - 网页过滤 特征库1年￥304,000XTM - 邮件过滤 特征库1年￥304,000[硬件]XTM防火墙 820 （Pro ）标机1年￥1,247,000中型网络 或 分支中心网"XTM 820" 增加"1年"保修1套￥178,000可升级至 XTM 830"XTM 820" 日期同步激活许可1套￥121,000操作系统（专业版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥1,774,500用户数（2,500+）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥1,365,000XTM - XTM 捆绑服务包1年￥442,000XTM - 网关防病毒 特征库1年￥246,000XTM - 入侵防御 特征库1年￥246,000XTM - 网页过滤 特征库1年￥246,000XTM - 邮件过滤 特征库1年￥246,000[硬件]XTM防火墙 810 （Pro ）标机1年￥1,011,000中型网络 或 分支中心网"XTM 810" 增加"1年"保修1套￥145,000可升级至 XTM820/830"XTM 810" 日期同步激活许可1套￥121,000WatchGuard 网络安全 XTM 5 系列产品 ↓ 产品参数型号 属性成本操作系统（标准版）[硬件]XTM防火墙（捆绑 XTM & 备件服务）1年￥1,193,400用户数（2,000）[硬件]XTM防火墙（捆绑 XTM 服务）1年￥918,000XTM - XTM 捆绑服务包1年￥285,000XTM - 网关防病毒 特征库1年￥147,000WatchGuard®XTM 830-F，适用于拥有5千终端的各类总部，如"教育、金融、能源、酒店、企业集团、运营、政府（机关单位）"支持局域网5000台PC终端(无限制用户) ,6000分支办公室VPN连接总部或数据中心网络使用,通过 XTM的智能分层技术阻止新的未知&已知威胁主动预防御防病毒、入侵防护、垃圾病毒邮件过滤、WEB内容过滤、反间谍软件、SSL-VPN、多链路负载均衡、带宽分配.专业版操作系统"Fireware®XTM-PRO"WSM管理软件,多功能安全防火墙处理性能吞吐量5Gbps，开通XTM处理后吞吐量1.6Gbps吞吐量，VPN吞吐量1.7Gbps、SSL隧道6000、IPSec隧道6000、移动IPSec：8000(默认为800个)、50个PPTP、8个DMZs、并发会话数(双向)1,000,000、每秒新建连接数：30000、局域网IP地址不受限、策略数不受限、VLAN支持400个、 本地用户认证DB 限制6000、 制物理接口：4个光纤口、6个10/100/1000自定义口、2个USB端口、1个串行端口、1个LED操作屏、1U机架式、尺寸：430mmx407mmx44mm、重量：8.8公斤、功耗最大215瓦、电源100-240V自检测。

网络技术方案目录第一章项目概述 (3)第二章需求分析 (3)2.1 防病毒需求分析 (3)2.2 攻击防护需求分析 (4)第三章项目解决方案 (5)3.1网络拓扑 (5)3.2设备选型 (5)3.3 防病毒解决方案 (6)3.4 防攻击解决方案 (7)3.4.1 异常——DoS攻击 (9)3.5 QOS带宽管理解决方案 (10)第四章设备选型和报价 (10)第五章WatchGuard沃奇卫士产品优势 (11)4.1网络安全性能优势 (11)4.2 基于ILS核心的预防御保护 (12)4.3 集成防火墙/VPN功能 (12)4.4 全面的网络安全管理 (13)4.5 生成网络活动报告 (13)4.6网络活动实时监控 (15)4.7 多种告警方式 (15)第六章Watchguard公司简介 (16)附件参数 (18)第一章项目概述随着网络的发展，互联网的普及迅速，面对着各种不同的网络攻击和病毒攻击，给政府带来诸多不必要的麻烦，对于web服务器来讲，攻击性入侵或是病毒和木马入侵都会给web服务器带来不同层面上的损害甚至导致服务器挂机，从而保护服务器的正常运作是首要任务。

在许多政府的web服务器里都是存放着政府的信息和公告，不允许有入侵修改服务器的相关重要信息，因此，保护web服务器的安全性是非常重要的。

大量的信息和资料表明，99%政府的网站被篡改都是属于黑客入侵或是病毒木马程序的入侵，从而导致政府花费许多时间去修改整个网站和发布信息澄清，这些数据也表明政府的web服务器是不可出错的。

第二章需求分析2.1 防病毒需求分析随着互联网的普及和飞速发展，不可避免的带来诸如病毒、蠕虫等对网络安全的危害。

据统计，目前在全球有70%以上的电子邮件是垃圾邮件，而每70封电子邮件中，就有1封含有病毒。

如果加上通过HTTP和FTP协议传播的病毒，高大99％以上的病毒是通过网络进行传播。

对企业来说，具有如下特点：◆办公自动化程度都很高，政府网络里，重要的商业信息在大量传送。

WatchGuard 安全设备当公司需要成熟的网络安全解决方案时，WatchGuard 是一个不错的选择。

我们致力于为客户提供卓越的服务、可靠的产品、杰出的技术支持与创新，供应多样化的产品，以满足客户特殊的业务需求。

作为XTM 产品，是否具有主动防御的功能？WatchGuard® 公司通过其 XTM 设备的智能分层安全（IntelligentLayered Security）技术提供了“预防御保护”（Zero Day Protection），能够有效地主动阻止新的未知的攻击，同时不再完全依靠攻击特征的支持。

“预防御保护”是指在发现漏洞，以及黑客在建立和发起真正的攻击之前，就阻止新的或未知的威胁。

智能分层安全技术具有多种分析技术：协议异常检测——阻止与协议标准不符的恶意通信。

模式匹配——通过全面检查整个数据包，在系统中标记并移除高风险文件，比如.exe 和 脚本文件、病毒、间谍软件和木马。

行为分析——识别并阻止来自主机的可疑通信，其中包括DoS 和DDoS 攻击、端口扫 描和地址扫描。

们能适应各种规模的企业，包括用户数量低于 50 的企业到拥有超过 10,000 名用户的企业。

XTM 在性能上的优化，得益于智能分层安全技术构架。

和市面上的许多病毒墙和入侵防护产品不同，XTM 产品的各网络安全层能够协同工作，以加强总体安全性。

如：当入侵防御服务发现攻击时，可通知XTM设备进行处理。

层与层之间是流水线式的合作关系，从而减轻了XTM 整体的处理压力，在保证安全的同时优化了性能。

部署XTM 后是否可以实时拦截来自Internet 的病毒和入侵攻击？网关防病毒/入侵防御服务（Gateway AntiVirus/Intrusion Prevention Service）是XTM® 系列设备的基于特征的安全服务。

它与 XTM “预防御”联手打造强大的实时防护，能够防止间谍软件、病毒、木马、缓存溢出、资料隐码、即时消息和点对点（P2P）通讯。

Firewall Basics with Fi 11Presenter Name,P Ti l Fireware XTM Presenter Title Quick SetupUpgrade To XTM入门准备管理主机与Firebox学标学习目标•使用快速配置向导完成初始化•使用WSM连接设备与服务器•使用策略编辑器使用各个应用•WSM•登录XTM Web界面注册Firebox必须拥有个有效的账户•必须拥有一个有效的账户•在配置Firebox 前，必须对设备进行注册•准备好Firebox 的序列号管理工作站管作站•使用WSM管理•管理工作站运行Windows Vista（32‐bit）、Windows XP SP2、Windows Server2003•安装WSM软件•安装Fireware XTM软件使管•使用Web管理•支持浏览器的工作站•使用命令行管理•支持SSH协议WSM 软件介绍WSM软件介绍•下载必要的软件•https:///archive/softwarecenter.asp •选择对应的设备型号，并下载软件选择对应的设备型号并下载软件•WSM为管理器•Fireware是Firebox的OS•使用新软件版本前，请仔细阅读Release Note 文档Upgrade to XTM学标学习目标•Edge的XTM OS升级Ed•Edge的XTM OS降级•Core/Peak的XTM OS升级•Core/Peak的XTM OS降级将Edge的OS升级到XTM‐适用于Edge e Series注意事项•确认License文件的LSS许可在有效期内•确认当前Edge系统所运行的版本•Edge当前运行的OS版本低于v10.2.9时，请先升级OS到v10.2.9或更高版本•Edge当前运行的OS版本为XTM v11.0、v11.0.1，请先升版本或降级到更高版本级OS到v11.0.2版本，或降级到v10.2.9及更高版本•WatchGuard Management Server管理的Edge不由h可以集中统一升级到XTM，需要按照后面的步骤做单台设备升级的载设备OS的下载•Edge的OS文件从下载，这里Ed t h d下载这里有3个不同的升级文件包，请根据Edge当前的OS 版本和您的目的，选择下载。

Firebox ® X Core™WatchGuard ®产品介绍高级多层安全防御Firebox X Core 是在智能分层架构的基础上开发而来。

在此架构中，各安全保护层共同加强整体防御功能，同时层与层之间的协作通信减少并优化了处理过程。

因此，您无需牺牲网络性能即可获得安全防御。

预防御在软件安全漏洞使新型的网络攻击变为可能的形势下，Firebox X Core 的内置式预防御随时准备保障您客户网络的安全。

这些预防御功能包括先进的代理技术，能够在新威胁出现之时就加以分辨和阻止，保障您能够不受影响，顺利开展业务。

直观的集中管理WatchGuard® System Manager (WSM)提供直观的图形化用户界面，用于管理Firebox X Core UTM 解决方案的所有功能。

WSM 提供综合日志系统、创建拖放VPN 以及实时监控功能，而且不存在隐含成本，也无需购买更多硬件。

只用一种界面即可管理安全解决方案(包括部署多台设备的情况)的所有方面，因此该产品更加节约您的时间及金钱。

综合安全功能提供更加精心的保护每一项WatchGuard 的安全服务与Firebox X Core 的内置式预防御功能联手打造超强安全保护能力。

所有新添加的安全分层均高度集成，而且定购价格均按每一设备(而非按用户数量)计算，因此绝对不会增加额外成本。

所有服务均由WSM 统一管理，用户可实时查看所有服务状态，而且，可以持续更新这些服务，获得最新的保护。

•网关防病毒/入侵防御服务： 基于攻击特征的强大的安全保护，阻止间谍软件、木马、病毒及其它基于网络的漏洞攻击。

•spamBlocker业内最佳的垃圾邮件过滤系统，阻止垃圾邮件的有效率可高达97%。

•WebBlocker强化对员工在上班时间浏览网络内容的访问限制，同时，保护用户免受恶意网站的攻击。

专家指导与支持WatchGuard LiveSecurity®服务为您提供全球安全专家团队支持，帮助您将复杂的IT 管理工作变得更为便捷。

51cto学院-美国WatchGuard防火墙VPN视频教程(支持中文)课程目标通过学习watchguard设备课程，可以掌握VPN的设计与部署，可以掌握访问控制列表，可以防攻击，可以掌握上网行为的管理。

适用人群系统工程师、网络工程师、信息安全工程师、网络管理员、计算机网络方向在职教师、在校学生、网络爱好者课程简介美国watchguard（沃奇卫士）公司出品的Firebox安全设备，也是支持多国语言，面向全球销售的高端企业级防火墙VPN设备。

本课程以设备型号Firebox-XTM5-520为例，操作系统以Fi rebox-OS-11.74为例，进行讲述与演示。

本课程讲述了沃奇卫士防火墙基本的UTM标配功能，还讲述了向互联网发布常用服务器的方法，特别是搭建VPN的方法，不仅支持IPSec-VPN和SSL-VPN，还讲述了PPTP协议的VPN。

另外还演示了web认证、应用控制、网页过滤、流量管理……。

适合对象：在工作岗位中，想学会防火墙调试和VPN搭建的系统运维工程师或网络工程师。

学习条件：零基础也可快速学会。

课程1第1讲：Watchguard公司产品线介绍[免费观看]18分钟2第2讲：Watchguard－XTM主要功能（支持多国语言）[免费观看]19分钟3第3讲：防火墙Firebox-XTM-520面板接口介绍[免费观看]24分钟4第4讲：怎样恢复到出厂默认值[免费观看]10分钟5第5讲：恢复出厂值后，利用向导配置网络接口[免费观看]24分钟6第6讲：Firebox-XTM的web界面[免费观看]42分钟7第7讲：按计划自动重启（每隔多少天设备自动重启）[免费观看]4分钟8第8讲：备份镜像与还原镜像[免费观看]2分钟9第9讲：怎样配置网络接口IP相关信息[免费观看]13分钟10第10讲：WAN接口开启外地web管理（出厂默认是关闭web-UI）[免费观看]11第11讲：LAN接口开启DHCP和DNS（支持多个DHCP）19分钟12第12讲：一个内网接口可以绑定多个IP地址5分钟13第13讲：保留固定IP分给指定经理使用（IP与MAC绑定）8分钟14第14讲：怎样实现NAT上网（动态NAT）12分钟15第15讲：怎样让LAN区和DMZ区都能上网4分钟16第16讲：实现LAN区与DMZ区可以相互访问23分钟17第17讲：让LAN区PC加入到DMZ区AD域服务器（跨网段加入域）14分钟18第18讲：发布远程桌面24分钟19第19讲：发布web服务器19分钟20第20讲：发布FTP或mail服务器18分钟21第21讲：多台服务器的负载平衡20分钟22第22讲：自定义IP地址对象（包括IP地址池）18分钟23第23.1讲：两个点的IPSec-VPN(总部的配置)27分钟24第23.2讲：两个点的IPSec-VPN(分部的配置)10分钟25第23.3讲：两个点的IPSec-VPN（最后检验两地的内网互访）8分钟26第24.1讲：两个点的IPSec-VPN（总部是公网IP,分部是ADSL）15分钟27第24.2讲：两个点的IPSec-VPN（分部防火墙的配置）13分钟28第24.3讲：检验两个点IPSec-VPN是否成功4分钟29第25讲：三个点的IPSec-VPN（首先配置总部的防火墙）37分钟30第26讲：三个点的IPSec-VPN（然后配置北京分支的防火墙）11分钟31第27讲：三个点的IPSec-VPN（最后配置深圳分支的防火墙）9分钟32第28讲：三个点的IPSec-VPN（检验三个地方内网的互访）13分钟33第29讲：基于SSL协议的移动VPN（出差或家庭办公的VPN）48分钟34第30讲：基于IPSec协议的移动VPN（出差或家庭办公的VPN）49分钟35第31讲：基于PPTP协议的移动VPN（出差或家庭办公的VPN）33分钟36第32讲：本地用户与用户组的创建（自定义用户组）14分钟37第33讲：本地用户web认证（防火墙配成web认证服务器）36分钟38第34讲：怎样注销在线的web认证用户（强制下线）8分钟39第35讲：页面重定向（跳转到指定的广告页面）10分钟40第36讲：指定OA网站不需进行web认证（OA网站绕过认证）19分钟41第37讲：HR总监不需要web认证，并且可访问任何网页21分钟42第38讲：QC帐号可以访问任何网页，但需要经过web认证18分钟43第39讲：只许指定帐号上网，不许收发邮件（针对用户进行控制）9分钟44第40讲：只允许访问指定的网站22分钟45第41讲：怎样把领导的上网帐号用户名与MAC绑定5分钟46第42讲：只能针对IP地址进行封锁,不能针对MAC进行封锁6分钟47第43讲：针对URL（域名）进行上网控制4分钟48第44讲：防火墙与AD服务器对接,用AD用户进行web身份验证44分钟49第45讲：把防火墙内网某个接口开启Hotspot热点服务20分钟50第46讲：防火墙的DHCP中继49分钟51第47讲：封锁QQ类IM即时通信软件15分钟52第48讲：封锁P2P应用程序8分钟53第49讲：禁止各类网页的下载9分钟54第50讲：封锁在线的网页游戏3分钟55第51讲：流量管理8分钟56第52讲：Watchguard-XTM防火墙的小结15分钟课程地址：/course/course_id-1932.html。