网神防火墙配置说明
网神SecGate 3600防火墙快速指南

v1.0 可编辑可修改声明服务修订:本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。
网神信息技术(北京)股份有限公司1网神信息技术(北京)股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1.安全使用注意事项 (2)2.检查安装场所 (3)温度/湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3.安装 (5)4.加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1.选用管理主机 (6)2.连接防火墙 (6)3.登录CLI界面 (7)五、通过WEB界面进行管理 (9)1.选用管理主机 (9)2.安装认证驱动程序 (9)3.安装USB电子钥匙 (9)4.连接管理主机与防火墙 (10)5.认证管理员身份 (10)6.登录防火墙WEB界面 (10)7.许可证导入 (12)2网神信息技术(北京)股份有限公司 28.WEB界面配置向导 (14)六、常见问题解答FAQ(需根据测试提供的FAQ整理) (21)3网神信息技术(北京)股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式(3)拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。
WEB方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。
奇安信网神智慧防火墙组播路由总结

防火墙组播路由总结1.VLC使用总结 (3)2.静态组播路由测试 (3)2.1 测试拓扑 (3)2.2 测试步骤 (3)3.动态组播路由测试 (6)3.1 测试拓扑 (6)3.2 测试步骤 (6)4.测试过程所遇问题总结 (12)4.1 虚拟双网卡问题: (12)4.2 VLC发送报文TTL值问题 (12)1. VLC 使用总结参考:VLC测试组播总结.pdf 我的其他百度文库文章2. 静态组播路由测试2.1 测试拓扑PC110.10.10.51/24MCS20.20.20.51/24s1ge220.20.20.1/24s1ge210.10.10.1/24OSPFs1ge412.12.12.56/24s1ge412.12.12.55/24FW1FW22.2 测试步骤2.2.1 按拓扑图配置IP 地址。
2.2.2 公网IGP 使用OSPF 互联 2.2.3 FW2防火墙配置静态多播路由a) 网络配置->路由->静态多播路由->添加->确定b)启用多播路由->确认2.2.4FW1防火墙配置静态多播路由a)网络配置->路由->静态多播路由->添加->确定b)启用多播路由2.2.5MCS发送组播视频,PC1接收视频参考1. VLC使用总结3. 动态组播路由测试 3.1 测试拓扑PC110.10.10.51/24MCS20.20.20.51/24s1ge220.20.20.1/24s1ge210.10.10.1/24OSPFs1ge412.12.12.56/24s1ge412.12.12.55/24FW1FW23.2 测试步骤3.2.1 按拓扑图配置IP 地址。
3.2.2 公网IGP 使用OSPF 互联 3.2.3 FW1防火墙配置静态多播路由a) 网络配置->路由->动态多播路由->接口配置->确定b)启用多播路由->确认备注:所有接口全部开启pim-smc)网络配置->路由->动态多播路由->候选RP ->确定->应用RP地址:12.12.12.56;添加多播控制列表:多播地址:235.1.1.1,掩码:255.255.255.0备注:RP地址必须是开启pim-sm功能的接口IP地址。
网神防火墙产品应用培训

防火墙HA配置-VRRP-主备
网络描述: 主墙(master)ge1:10.20.10.121/24 ge2: 192.168.1.1/24 ge3:1.1.1.1/24 备墙(backup)ge1:10.20.10.122/24 ge2: 192.168.1.2/24 ge3:1.1.1.2/24
IPSec-VPN快速排错
1.检查网络通断性,是否能够PING对端地址。 2.是否在网路链路之间有阻止IKE(UDP500)\NAT-T(UDP-4500)的安全策略,在 NAT-T转换的设备上是否设置了地址映射 3.两端的端点和隧道是否是生效状态。 4.DPD设置不会影响隧道的建立 5.两端加密、生存期、PSK等参数是否一致 6.和其他厂商设备互联时,隧道一定按照要求设置本段和对端proxy-id 7.隧道起来了,但是业务不通,检查防火墙VPN策略及相应安全规则是否设定,检查终 端防火墙是否开启阻挡了ICMP入站数据包
IPSec-VPN网关到网关配置
1.配置接口IP
IPSec-VPN网关到网关配置
2. VPN的基本配置,单击“VPN配置”>“IPsecVPN”>“基本配置”。
注意:修改完的预共享密钥一定要和VPN端点的预共享密钥保持一致,否则隧道无法正常建立。
IPSec-VPN网关到网关配置
3.配置VPN端点,该部分实现的主要作用为VPN第一阶段的协商过程, 单击“VPN配置”>“IPsecVPN”>“VPN端点”>“添加”。
防火墙证书安装
双击防火墙证书后点击下一步
防火墙证书安装
不用更改路径,使用默认路径即可
防火墙证书安装
在密码一栏中输入密钥:123456
防火墙证书安装
网神防火墙工作模式

Fe1或者fe2可以添加此IP地址,也可以不添加IP地址。添 加IP地址为了方便管理而已
2 透明模式
• 定义安全规则
进入防火墙web界面:安全策略-〉安全规则,点击添加内网访问外 网的包过滤规则
3 混合模式
• 案例拓扑
Cisco 路由器 Cisco 路由器
fa 0/1 IP:172.18.2.1 fe1
5 FAQ
欢迎大家批评指正!
谢谢!
Cisco 路由器
fa 0/0 IP:172.18.1.1/24
fa 0/1 IP:10.50.10..2/24
客户机PC IP:172.18.1.2/24 gw:172.18.1.1
互联网
2 透明模式
• 假设除防火墙外其它设备都已配置完成, 客户机PC欲通过路由器-防火墙-路由器 访问互联网,防火墙在整个网络环境的位 置是不改变原先拓扑环境, 进而防火墙模式 设置为透明模式,且安全规则设置为包过 滤规则
• 定义安全规则
1 路由模式
进入防火墙web界面:安全策略-〉安全规则,点击添加一 条内网访问外网NAT规则
2 透明模式
• 案例拓扑
Cisco 路由器
fa 0/1 IP:172.18.2.1 fe1
br:fe1 IP:172.18.2.3/24 fe2
网神防火墙
fa 0/0 IP:172.18.2.2/24
2 透明模式
配置方法: • 定义接口属性 • 定义安全规则
2 透明模式
• 定义接口属性
进入防火墙web界面:网络配置-〉网络接口,点击编辑,如 图编辑fe1,fe2
2 透明模式
• 定义接口属性
进入防火墙web界面:网络配置-〉网络接口,点击编辑,如 图编辑fe1,fe2
网御神州防火墙调试指南

网御神州防火墙调试指南设备信号:网御神州SecGate 3600 F3-2804客户名称:xxxxxxxx网络结构:如右图网络要求:要能使学校内用户能上网;且能满足基本的安全特性。
IP地址情况:外网:172.16.7.10/30 网关:172.16.7.9内外:192.168.1.1/24 网关:192.168.1.1产品序列号:SS00053563SecGate 3600安全网关缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。
WEB方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。
要快速配置使用安全网关,推荐采用CONSOLE口命令行方式;日常管理监控安全网关时,WEB方式则是更方便的选择。
不管是Console登陆管理还是WEB登陆管理,网神设备默认的用户名是admin,密码是firewall。
安全网关主要以两种模式接入网络:路由模式和混合模式。
在路由模式下,配置完安全网关后您可能还需要把受保护区域内三层设备或主机的网关指向安全网关;混合模式时,由安全网关自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发,如果为透明桥模式,则不用修改已有网络配置。
我们下面将以WEB界面的调试为例:对于以前没有或很少接触网御设备的人来说,初次使用WEB登陆设备是有分多需要注意的。
登陆WEB页面的配置流程如下::安装USB电子钥匙驱动—>认证管理员身份—>开始配置管理1.安装认证驱动程序在第一次使用电子钥匙前,需要先按照电子钥匙的认证驱动程序。
插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。
切记:安装驱动前不要插入USB电子钥匙,否则驱动安装完毕后需要重新拔插电子钥匙!2.安装USB电子钥匙在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。
360 网神虚拟化下一代防火墙 部署青云指导手册说明书

360网神虚拟化下一代防火墙部署青云指导手册360企业安全集团2017年4月目录第一章概述 (3)1.1.产品介绍 (3)1.2.安装要求及其注意事项 (3)第二章设备介绍 (4)2.1.设备列表 (4)第三章上线购买说明 (4)3.1.登录青云网站 (4)3.2.创建VPC网络 (5)3.3.创建私有网络 (5)3.4.创建虚拟主机 (6)3.4.1.创建vNGFW (6)3.4.2.创建web服务器 (7)3.5.加入私有网络 (8)3.6.查看拓扑 (9)3.7.申请公网IP (10)3.8.配置默认防火墙规则 (11)3.9.配置VPC网络转发规则 (13)3.10.访问V NGFW (14)第四章部署案例 (15)4.1.配置V NGFW (15)4.1.1.配置DNAT规则 (15)4.1.2.配置策略 (16)4.2.配置WEB服务器 (17)4.3.配置青云 (18)4.3.1.创建默认防火墙规则 (18)4.3.2.配置VPC网络转发规则 (18)4.4.验证结果 (19)第五章许可证 (19)5.1.许可证作用 (19)5.2.许可证类型 (19)5.3.获得许可证 (20)第一章概述1.1.产品介绍“360网神虚拟化下一代防火墙”简称为vNGFW,它是一个纯软件形态的产品,是运行在虚拟机上的完全自主知识产权的SecOS操作系统之上。
360网神vNGFW是虚拟机镜像方式存放在青云平台上,所以您需要在创建主机的时候选择360网神虚拟镜像。
1.2.安装要求及其注意事项●本文档适用于青云平台的网络1.0环境,所以在安装部署360网神vNGFW的时候必须选择北京2区或者广东1区。
●安装的配置要求必须选择2个vCPU,内存最低是2G。
●启动实例以后您必须在控制台重置密码才能正常使用(新密码包括字母,数字,特殊字符,至少12位)。
●产品授权方式分为试用版本和正式版本,镜像本身默认提供给用户30天的试用期,在此期间所有的功能都可以正常试用,提前15天会有到期告警信息,试用期过后如果没有新的授权,所有的功能均不能使用。
网神防火墙配置HA双机热备

VRRP的演示试验fw1fw2pc1pc2 172.16.30.2172.16.30.3172.16.30.4fe2fe2fe3fe3fe4fe4192.168.1.3192.168.1.4192.168.1.21.1.1.11.1.1.2172.16.30.1192.168.1.1链路1链路2拓扑说明:PC1通过HUB连接到fw1和fw2(172.16.30.1这个地址是虚拟IP,下面将会在配置防火墙的过程中讲到),PC2也是通过HUB连接到fw1和fw2。
实验要求:PC1和PC2能够互相ping通,当链路1或者链路2断开时,照样可以互相PING,并且可以在两个防火墙上抓包分析,ICMP包是通过哪个防火墙。
实验步骤:我们设fw1为主墙,下面我们首先为主墙进行配置。
1、配置IP2、配置安全规则P1这条规则允许双向同步secgate_ha_conf服务,必须加的。
其中P2这条规则是允许VRRP组播报告,可加可不加,不会影响实验过程。
P3、P4两个包过滤想必不说也应该清楚吧。
3、HA基本配置同步网口为fe4,同步IP为1.1.1.1,主墙一定要设置为控制节点。
注意实例名称和VRID和备墙一一对应起来。
把两个接口关联起来点启启动。
下面我们再来配置下备墙。
1、配置IP2、HA基本配置需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置,这样就能实现手动同步。
注:同步完后需重启备墙才能生效,备墙不能选择为控制节点。
3、添加VRRP实例4、添加VRRP关联添加完后点击启动注意:1、两台防火墙最好是同一个版本。
2、备墙没有配置安全规则是因为它可以跟主墙同步,而且一旦两个墙的关联都启动后,备墙就不能自己添加安全规则以及其它信息。
网神SecGate 3600 F1 F2防火墙产品介绍 V2.0

�
分支结构和总部之间数据的安全传输
– 公网传输数据暴露,容易被窃取或者篡改,无法保证传输数据的机密性与完整性 – 专有线路虽能解决安全问题,但成本太高,同时链路无法与公网链路共用,配置和使 用不便
2. 网神F1/F2防火墙产品规格介绍
SOHO/分支机构 中小企业
SecGate 3600-F2 3600-
优化网络使用,提高办公效率
– – – – – – 解决公网地址资源不足 部门用户P2P或视频等带宽滥用,使带宽资源耗尽,关键业务无法保障 无法实时了解网络带宽资源状况,并根据网络状况做出合理的调整 大量外来的病毒和蠕虫通过网络进入内部个人电脑,造成内网混乱甚至崩溃 个人办公电脑被病毒或木马,导致不能正常使用或泄漏机密 工作时间只允许与工作相关的网络行为,禁止MSN/QQ聊天等
SecGate 3600-F1 3600-
2. 网神F1/F2防火墙产品规格介绍
网络吞 吐
最大并 发连接 40万
每秒新 建连接 2000
MTBF (小时) 70,000
延时
VPN隧 道数 200
接口
机箱电源
F2
150Mbps
70μs
3个10/100M自适应 电口和4个10/100M 交换口 1个10/100M自适应 电口和4个10/100M 交换口
多种接入模式:支持透明,路由,混合模式 多纯透明子桥和接口联动 多条ADSL(最多支持3条)同时拨号和自动负载均衡方式 支持基于应用(ARP/PING/TCP/HTTP)的链路探测 多出口(最多支持6条)的路由自动负载均衡和故障线路切换设计 支持DNS中继及自动寻找上级DNS服务器功能 支持源/目的地址路由,支持基于协议的策略路由,动态路由 (唯一) (唯一) (唯一) (唯一) (唯一) (优势)
网神防火墙(配图)配置说明

网神配置说明技术部2010 年 4 月 1 日1. 文档说明本文档由圣博润技术部编写,主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题,可以作为重要的参考性文件。
实现目标:通过认证的合法主机可以访问内网,未通过认证的非法主机禁止访问内网,并将非法主机重定向到指定页面。
2. 网络环境办公M图一(混合模式)3. 防火墙配置1)预先导入管理证书(登入设备时需要该证书访问)SecGateAdmi n.p12, 导入时所有步骤都是默认,私钥密码为:123456。
2) 在IE 地址栏中敲入:https://10.50.10.45:8889 进行登入,默认密码为:firewall (IP 地址为设备出厂默认地址)。
3) 选择系统配置一升级许可,观察网神防火墙版本及许可文件最后终止时间,5)点击网络配置一选择网络接口一将内网口FE3外网口 FE2设置为混合模式, 如下图:如下图:如果发现许可证失效,请及时申请 lice4)点击管理配置-添加管理主机(只允许此 IP 地址管理防火墙),如下图:T^K& 淖a ■ ■目 •上一5 * T-S ■置貝它8!王!11帶灿.1-臥监 96)选择接口IP,将FE3 口IP地址为192.168.0.228,并允许所有主机PING,如下图:7)选择对象定义一选择地址列表,,设定需要对哪些网段或IP地址进行认证(未定义的地址,将不受网关的影响)如图一;在“地址组”中,可以将多个网段地址进行归类,如图二。
册棚魚I ■応阴 弱 L [«£ O .D .0 a o Q .CLO 71) 2 Tn 叭 0.0.0 a Q.a.Dia j 阳“科i. o.c.o a o a.D o z 育a Uiirsil 3" 0 4 』1口 ii£ iE3 1 11 J fill JU B f 0 5 出i 昭 1® IM 1 ED E55 2W ;S5 Z55 苗ES S bdfai Z IJE IE3 1 ZT I 1 S3 Z3S 2S& zn 0 t u I ■■園 ■ ±-H * T-El ・| PEC 图一8)选择对象定义-选择服务列表,将 UDP55555端口,添加至此列表并命名为 Ian secs,女口下图:或Ian secs ,如下图:“ URL 重定向”,对指定的IP/网段进行认证过滤,未认证的将被重新定向到指定的地址。
网神SecGate 防火墙快速指南

声明服务修订:●本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。
网神信息技术(北京)股份有限公司目录一、概述SecGate 3600防火墙缺省支持两种管理方式:(1)通过CONSOLE口的命令行管理方式(2)通过网口的WEB(https)管理方式(3)拨号( PPP ) 接入( 连接AUX口)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。
WEB 方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。
要快速配置使用防火墙,推荐采用CONSOLE口命令行方式;日常管理监控防火墙时,WEB 方式则是更方便的选择。
安装防火墙之前,请您务必阅读本指南的“二、三”两节。
如果希望使用CONSOLE 口命令行方式管理防火墙,请您仔细阅读本指南的第四节;如果希望使用WEB方式管理防火墙,请您仔细阅读本指南的第五节。
防火墙主要以两种模式接入网络:路由模式和混合模式。
在路由模式下,配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙;混合模式时,由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发,如果为透明桥模式,则不用修改已有网络配置。
二、防火墙硬件描述SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。
三、防火墙安装1.安全使用注意事项本节列出安全使用注意事项,请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。
网神防火墙VPN的配置与管理

5 客户端接入
配置方法: • 启用VPN • 定义VPN端点 • 定义VPN隧道 • 定义安全规则
5 客户端接入
• 启用VPN
分别进入总部防火墙web界面:VPN配置->基本配 置,启用VPN功能
5 客户端接入
• 定义VPN端点
进入防火墙web界面:VPN配置-〉VPN端点,点击添加, 如图设置
4 动态IP
4 动态IP
(2)进入分部防火墙web界面:VPN配置-〉VPN端点, 点击添加,如图
4 动态IP
• 定义VPN隧道
进入总部防火墙web界面:VPN配置-〉VPN隧道,点击添 加,如图设置:
4 动态IP
• 进入分部防火墙web界面:VPN配置-〉VPN隧道,点击 添加,如图设置:
5 客户端接入
• 添加内网访问外网的NAT规则
5 客户端接入
• 防火墙规则总体如下
本次VPN添加只是定义了一个客户端 (172.21.10.2)的访问内网,如果要定义很多 个,那么就按照上述方法添加即可。或者通过 vpn配置-〉vpn客户端分组方式添加多个客户端
5 客户端接入
• 运行客户端软件-〉选择VPN隧道-〉单击向导按钮
5 客户端接入
• 如果连接成功,可以查看SA状态
5 客户端接入
• 在网关的日志中可以看到协商的过程
5 客户端接入
• 在网关的系统监控-〉VPN隧道监控 可以查看IP地址,ID 号,算法等
6 FAQ
欢迎大家批评指正!
谢谢!
4 动态IP
服务器 工作站
……
192.168.1.0/24
总部 VPN
北京 上海
动态IP
61.232.2.2
netscreen防火墙的配置说明书

NETSCREEN防火墙的配置说明书第一部分服务器网络设备配置公司服务器使用联通公司光纤宽带,带宽2M;硬件防火墙采用netsreen 5GT防火墙,其应用软件为全英文;交换机有固网和阿尔卡特两个(其中一个备用);服务器采用DELL 服务器。
服务器网络设置为:宽带光纤→信号转换器→netcreen防火墙→交换机→服务器。
网络结构为:固定IP设置到防火墙上,服务器是内网IP,因此,外网如果要访问服务器,必须经过地址映射才能访问到服务器。
一、防火墙的基本设置1、防火墙程序的重装如果防火墙出现故障,需要重装程序或重新配置,可以采用超级终端,先清空程序,再进行安装。
具体操作为:第一步:用9针数据线(防火墙有带)连接防火墙和电脑(下图画红线端口),打开电源。
第二步:打开程序—附件—通讯—超级终端(下图),第四步:打开超级终端出现下图,随便填写连接名称,按确定,第五步:确定后出现下图,“连接使用”选择COM1,其它不填第六步:再确定后出现下图,第七步:再按确定,就出现名为“1111”的超级终端第八步:当防火墙接上电脑后,超级终端就会出现login: ,如果要重装软件,就输入防火墙产品背面的序列号,本公司使用的产品序列号为0064092004011007,再按回车,出现password: ,再输入序列号,回车,就出现重启画面。
下图红线部分是询问是否重启y/n,键盘输入y,回车,自动重启,防火墙恢复到出厂设置,web入口为192.168.1.1:第九步:把防火墙拆下,通过网络线放入到服务器端(或者用网络线与任意一机器相连都行,但机器的本地连接要与防火墙同一网段,即网关设为192.168.1.1),接上电源,然后打开IE,输入http://192.168.1.1,就可登录防火墙首页,然后进行防火墙的基本程序重装。
2、防火墙程序重装第一步:打开IE,输入http://192.168.1.1,可见下图第二步:直接按“下一步”,出现下图第三步:再按next ,出现下图。
NETSCREEN25软防火墙配置简要手册

NETSCREEN25硬防火墙配置简要手册系统默认情况下通过INTERNET3口接电脑,电脑配置ip:192.168.1.2,在IE栏输入:192.168.1.1USER:NETSCREENPWD:NETSCREEN(均为小写)如果用IE进不了,通过串口访问,串口设置是默认设置,进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0set int eth3 manage然后通过IE访问一样一、资源准备:1、当地的ip资源情况,是否有公网IP,需要配置公网地址多个的话,都要准好,并要定下来公网ip与私网ip的对应。
2、内网IP的地址分配,同时,各个设备的网关地址,在三层交换机中的分配。
现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中,计费服务器的IP地址在一个网关中,数据库应用服务器在一个网段中:二、具体配置端口参考(部分,根据具体应用来定义端口和服务器)三、基本配置流程基本定义策略(polices)二类:1、trust――>untrust源:any目的:any服务:any2、untrust――>trust源:any目的:MIP中的一个地址服务:对应的定义的服务组(依次把MIP的映射都加进来)配置流程:第一步向导的配置图1:可以直接将配置文件导入(如果)图2:图3:配置登陆密码图4:对4个eth进行区域划分,每个eth有4个选项(DMZ、trust、untrust、null)图5:划分地址段图6:配置防火墙的公网ip和内网ip(内部的)图7:是否将netscreen配置成DHCP图8:显示配置信息图9:完成初步配置配置向导完成,将网络接到trust的网络口上第二步地址的配置,通过ie登陆,在向导中配置的防火墙的内部ip地址图10:netscreen、netscreen图11:登陆显示图12:防火墙eth端口状态图13:外网端口配置,点ethernet1->edit进入,选择web和telnet的服务和ping服务图14:地址映射,接上图,点击mip,进行公网ip与内网ip的地址映射图15:点击new,配置每个映射,255.255.255.255表示是对主机图16:重复上面地址配置,配置完本系统所有给的ip地址,后如图:图17:配置默认网关图18:点击new后,配置公网网关图19:路由配置完成图20:定义服务图21:配置orcale的端口服务图24:配置主机服务配置主机的服务图25:new后,配置每个主机的服务,将每个主机的服务都要对开发的服务打开,需要外面可以ping的话将ping服务加上图26:所有的主机配置完,如图:图27:配置访问策略Trust――》untrust图28:new,直接确认就可以图29:untrust-》trust主要要配置,目的地址和服务图29:配置主机与服务图30:colone一个,不用选择区域,把目的地址和服务修改就可以图31:配置完后,如图:登陆用的密码设置规则的导入导出导入配置好的文件:导出现有的配置文件:四、有可能用到的命令默认地址192.168.1.1/24 eth1初始化防火墙:Unset allReset save- config no配置文件的导出:用超级终端登陆netscreenSave config to tftp 172.16.0.34(tftp的服务器) ns25-xxx文件名五、测试1、测试ping2、Web端口测试3、1521测试。
网神防火墙02 安全规则

192.168. 10.0/24 Gw:192.168.10.1 内网
3 NAT
配置方法: • 定义接口IP • 定义策略路由 • 定义安全规则
3 NAT
• 定义接口IP
进入防火墙的web界面:网络配置-〉接口IP,点击添加,如 图设置fe1,fe2的IP地址
3 NAT
• 定义策略路由
进入防火墙web界面:网络配置-〉策略路由,点击添加,如 图设置
Internet
fe1:221.221.10.5/24 Gw:221.221.10.1 fe2:192.168. 10.1/24
192.168. 10.2/24 Server/pc Gw:192.168.10.1
4 IP映射
配置方法: • 定义接口属性 • 定义策略路由 • 定义安全规则
4 IP映射
• 定义接口属性
进入防火墙web界面:网络配置->接口IP,点击添加,如 图设置
4 IP映射
• 定义策略路由
进入防火墙web界面:网络配置-〉策略路由,点击添加,如 图设置
4 IP映射
• 定义安全规则
进入防火墙web界面:安全策略-〉安全规则,点击添加, 如图设置
5 端口映射
端口映射
此案例拓扑是典型的内网一台 server被映射到公网,外网只 能看到它的公网地址,无法知 道它在网络中实际地址,通过 防火墙端口映射规则后真正掩 盖它的实际地址,即达到pc的 FTP服务映射到公网,又保证 了server的安全性。它与IP映 射不同之处就是:端口映射只 是把某一种服务映射到外网; 而IP映射是把整个pc映射到外 网,相当于把一个pc放置在公 网
192.168. 10.0/24 Gw:192.168.10.1 内网1 内网1
网神NSG系列快速入门指南V4.0

3
网神信息技术(北京)股份有限公司
防火墙快速入门指南
第一章 关于网神 SecGate 3600 防火墙 NSG 系列
网神 SecGate 3600 防火墙 NSG 系列使用了网神完全自主知识产权的第三代 SecOS 操作系统,采用 AMP+多核架构,实现并行虚拟计算处理,完成数据包 4-7 层的过滤及转发。同时集防火墙、攻击防护、入侵防护、病毒防护、VPN、行为 管理、 流量管理、 用户认证等多项安全技术于一身, 在强大性能的支持下, 通过: 主动的 IPS 攻击防护。 基于身份的安全过滤。 基于应用层的内容过滤。 更加优化的动态流控技术。 深度的网络行为关联分析。 可视化的多层次报表分析展示。 围绕用户的真实需求,实现了用户智能管控、应用精细识别、多种应用层过 滤技术及立体可视化监控等一系列特有功能; 应用层和网络层安全模块的并行调 度,提升了应用层处理性能;系统引擎与安全引擎的用户态设计,避免了安全扫 描对设备性能的影响,有效提高了整机运行速度;友好的扁平化风格界面,配合 直观的功能模块设计,帮助用户更加方便的进行网络管理。可以说,网神防火墙 NSG 系列在有效解决应用层瓶颈和多样化威胁的基础上,为自身系统调度保证了 足够的冗余空间, 让设备的整体处理性能有了质的飞跃,为用户提供了完美的网 络安全解决方案。
为了方便您阅读本手册,我们针对手册中的内容作了以下约定。
内容约定:
“ ” : 电脑主机操作系统中的菜单或者键盘上的按钮, 如 “开始” 、 “运行” 、 “Enter” 。 【 】 :防火墙 WEB 管理界面中的菜单,如【系统】 、 【安全】 。 :菜单点击顺序,如点击【对象】【地址】【地址对象】 。 :突出其它有用的信息,如注意事项及配置建议。 :对可能造成用户连接断开、数据丢失、业务中断等后果的操作做出 提示。
网神防火墙配置对象定义--URL列表

对象定义—URL列表
URL列表中自定义分为黑名单和白名单,白名单既只有在白名单列表中已经添加的关键字才可以访问。
黑名单既只要添加进该列表那就不允许访问。
一、首先介绍一下白名单的应用:
1.定义白名单中的关键字。
2.在安全规则中引用这条url列表:
这样192.168.1.0这个网段的所有主机就只能访问带有“”关键字的网址了,其他的网址都不能访问了。
二、然后介绍一下黑名单的应用:
1. 定义黑名单中的关键字
2.在安全规则中引用这条黑名单url列表
这样192.168.1.0这个网段的所有主机就不能访问带有“”关键字的网址了,其他的网址都能访问了。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网神防火墙EPS功能
配置说明
技术部
2010年4月1日
1.文档说明
本文档由圣博润技术部编写,主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题,可以作为重要的参考性文件。
实现目标:通过认证的合法主机可以访问内网,未通过认证的非法主机禁止访问内网,并将非法主机重定向到指定页面。
2.网络环境
图一(混合模式)
3.防火墙配置
1)预先导入管理证书(登入设备时需要该证书访问)——SecGateAdmin.p12,
导入时所有步骤都是默认,私钥密码为:123456。
2)在IE地址栏中敲入:https://10.50.10.45:8889进行登入,默认密码为:
firewall(IP地址为设备出厂默认地址)。
3)选择系统配置→升级许可,观察网神防火墙版本及许可文件最后终止时间,
如下图:如果发现许可证失效,请及时申请license。
4)点击管理配置→添加管理主机(只允许此IP地址管理防火墙),如下图:
5)点击网络配置→选择网络接口→将内网口FE3、外网口FE2设置为混合模式,
如下图:
6)选择接口IP,将FE3口IP地址为192.168.0.228,并允许所有主机PING,如
下图:
7)选择对象定义→选择地址列表,,设定需要对哪些网段或IP地址进行认证(未
定义的地址,将不受网关的影响)如图一;在“地址组”中,可以将多个网段地址进行归类,如图二。
图一
图二
8)选择对象定义→选择服务列表,将UDP 55555端口,添加至此列表并命名为
lansecs,如下图:
9)选择安全策略→添加安全规则→源地址any,目的地址any ,服务可以是any
或lansecs,如下图:
10)选择“安全策略”→“URL重定向”,对指定的IP/网段进行认证过滤,未认
证的将被重新定向到指定的地址。
如下图:
11)选择“安全策略”→“EPS配置”,→启用EPS联动,如下图:。