网神防火墙配置说明

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

防火墙组播路由总结1.VLC使用总结 (3)2.静态组播路由测试 (3)2.1 测试拓扑 (3)2.2 测试步骤 (3)3.动态组播路由测试 (6)3.1 测试拓扑 (6)3.2 测试步骤 (6)4.测试过程所遇问题总结 (12)4.1 虚拟双网卡问题： (12)4.2 VLC发送报文TTL值问题 (12)1. VLC 使用总结参考：VLC测试组播总结.pdf 我的其他百度文库文章2. 静态组播路由测试2.1 测试拓扑PC110.10.10.51/24MCS20.20.20.51/24s1ge220.20.20.1/24s1ge210.10.10.1/24OSPFs1ge412.12.12.56/24s1ge412.12.12.55/24FW1FW22.2 测试步骤2.2.1 按拓扑图配置IP 地址。

2.2.2 公网IGP 使用OSPF 互联 2.2.3 FW2防火墙配置静态多播路由a) 网络配置->路由->静态多播路由->添加->确定b)启用多播路由->确认2.2.4FW1防火墙配置静态多播路由a)网络配置->路由->静态多播路由->添加->确定b)启用多播路由2.2.5MCS发送组播视频，PC1接收视频参考1. VLC使用总结3. 动态组播路由测试 3.1 测试拓扑PC110.10.10.51/24MCS20.20.20.51/24s1ge220.20.20.1/24s1ge210.10.10.1/24OSPFs1ge412.12.12.56/24s1ge412.12.12.55/24FW1FW23.2 测试步骤3.2.1 按拓扑图配置IP 地址。

3.2.2 公网IGP 使用OSPF 互联 3.2.3 FW1防火墙配置静态多播路由a) 网络配置->路由->动态多播路由->接口配置->确定b)启用多播路由->确认备注：所有接口全部开启pim-smc)网络配置->路由->动态多播路由->候选RP ->确定->应用RP地址：12.12.12.56；添加多播控制列表：多播地址：235.1.1.1，掩码：255.255.255.0备注：RP地址必须是开启pim-sm功能的接口IP地址。

网御神州防火墙调试指南设备信号：网御神州SecGate 3600 F3-2804客户名称：xxxxxxxx网络结构：如右图网络要求：要能使学校内用户能上网；且能满足基本的安全特性。

IP地址情况：外网：172.16.7.10/30 网关：172.16.7.9内外：192.168.1.1/24 网关：192.168.1.1产品序列号：SS00053563SecGate 3600安全网关缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

不管是Console登陆管理还是WEB登陆管理，网神设备默认的用户名是admin，密码是firewall。

安全网关主要以两种模式接入网络：路由模式和混合模式。

在路由模式下，配置完安全网关后您可能还需要把受保护区域内三层设备或主机的网关指向安全网关；混合模式时，由安全网关自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

我们下面将以WEB界面的调试为例：对于以前没有或很少接触网御设备的人来说，初次使用WEB登陆设备是有分多需要注意的。

登陆WEB页面的配置流程如下：：安装USB电子钥匙驱动—>认证管理员身份—>开始配置管理1.安装认证驱动程序在第一次使用电子钥匙前，需要先按照电子钥匙的认证驱动程序。

插入随机附带的驱动光盘，进入光盘Ikey Driver目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出”。

切记：安装驱动前不要插入USB电子钥匙，否则驱动安装完毕后需要重新拔插电子钥匙！2.安装USB电子钥匙在管理主机上插入USB电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。

360网神虚拟化下一代防火墙部署青云指导手册360企业安全集团2017年4月目录第一章概述 (3)1.1.产品介绍 (3)1.2.安装要求及其注意事项 (3)第二章设备介绍 (4)2.1.设备列表 (4)第三章上线购买说明 (4)3.1.登录青云网站 (4)3.2.创建VPC网络 (5)3.3.创建私有网络 (5)3.4.创建虚拟主机 (6)3.4.1.创建vNGFW (6)3.4.2.创建web服务器 (7)3.5.加入私有网络 (8)3.6.查看拓扑 (9)3.7.申请公网IP (10)3.8.配置默认防火墙规则 (11)3.9.配置VPC网络转发规则 (13)3.10.访问V NGFW (14)第四章部署案例 (15)4.1.配置V NGFW (15)4.1.1.配置DNAT规则 (15)4.1.2.配置策略 (16)4.2.配置WEB服务器 (17)4.3.配置青云 (18)4.3.1.创建默认防火墙规则 (18)4.3.2.配置VPC网络转发规则 (18)4.4.验证结果 (19)第五章许可证 (19)5.1.许可证作用 (19)5.2.许可证类型 (19)5.3.获得许可证 (20)第一章概述1.1.产品介绍“360网神虚拟化下一代防火墙”简称为vNGFW,它是一个纯软件形态的产品，是运行在虚拟机上的完全自主知识产权的SecOS操作系统之上。

360网神vNGFW是虚拟机镜像方式存放在青云平台上，所以您需要在创建主机的时候选择360网神虚拟镜像。

1.2.安装要求及其注意事项●本文档适用于青云平台的网络1.0环境，所以在安装部署360网神vNGFW的时候必须选择北京2区或者广东1区。

●安装的配置要求必须选择2个vCPU,内存最低是2G。

●启动实例以后您必须在控制台重置密码才能正常使用（新密码包括字母，数字，特殊字符，至少12位）。

●产品授权方式分为试用版本和正式版本，镜像本身默认提供给用户30天的试用期，在此期间所有的功能都可以正常试用，提前15天会有到期告警信息，试用期过后如果没有新的授权，所有的功能均不能使用。

VRRP的演示试验fw1fw2pc1pc2 172.16.30.2172.16.30.3172.16.30.4fe2fe2fe3fe3fe4fe4192.168.1.3192.168.1.4192.168.1.21.1.1.11.1.1.2172.16.30.1192.168.1.1链路1链路2拓扑说明：PC1通过HUB连接到fw1和fw2（172.16.30.1这个地址是虚拟IP，下面将会在配置防火墙的过程中讲到），PC2也是通过HUB连接到fw1和fw2。

实验要求：PC1和PC2能够互相ping通，当链路1或者链路2断开时，照样可以互相PING，并且可以在两个防火墙上抓包分析，ICMP包是通过哪个防火墙。

实验步骤：我们设fw1为主墙，下面我们首先为主墙进行配置。

1、配置IP2、配置安全规则P1这条规则允许双向同步secgate_ha_conf服务，必须加的。

其中P2这条规则是允许VRRP组播报告，可加可不加，不会影响实验过程。

P3、P4两个包过滤想必不说也应该清楚吧。

3、HA基本配置同步网口为fe4，同步IP为1.1.1.1，主墙一定要设置为控制节点。

注意实例名称和VRID和备墙一一对应起来。

把两个接口关联起来点启启动。

下面我们再来配置下备墙。

1、配置IP2、HA基本配置需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置，这样就能实现手动同步。

注：同步完后需重启备墙才能生效，备墙不能选择为控制节点。

3、添加VRRP实例4、添加VRRP关联添加完后点击启动注意：1、两台防火墙最好是同一个版本。

2、备墙没有配置安全规则是因为它可以跟主墙同步，而且一旦两个墙的关联都启动后，备墙就不能自己添加安全规则以及其它信息。

网神配置说明技术部2010 年 4 月 1 日1. 文档说明本文档由圣博润技术部编写，主要解决网络接入认证与网神防火墙EPS功能模块结合后的配置问题，可以作为重要的参考性文件。

实现目标：通过认证的合法主机可以访问内网，未通过认证的非法主机禁止访问内网，并将非法主机重定向到指定页面。

2. 网络环境办公M图一（混合模式）3. 防火墙配置1）预先导入管理证书（登入设备时需要该证书访问）SecGateAdmi n.p12, 导入时所有步骤都是默认，私钥密码为：123456。

2） 在IE 地址栏中敲入：https://10.50.10.45:8889 进行登入，默认密码为:firewall （IP 地址为设备出厂默认地址）。

3） 选择系统配置一升级许可，观察网神防火墙版本及许可文件最后终止时间，5）点击网络配置一选择网络接口一将内网口FE3外网口 FE2设置为混合模式, 如下图：如下图：如果发现许可证失效，请及时申请 lice4）点击管理配置-添加管理主机（只允许此 IP 地址管理防火墙），如下图:T^K& 淖a ■ ■目 •上一5 * T-S ■置貝它8!王！11帶灿.1-臥监 96）选择接口IP，将FE3 口IP地址为192.168.0.228,并允许所有主机PING,如下图:7）选择对象定义一选择地址列表，，设定需要对哪些网段或IP地址进行认证（未定义的地址，将不受网关的影响）如图一；在“地址组”中，可以将多个网段地址进行归类，如图二。

册棚魚I ■応阴 弱 L [«£ O .D .0 a o Q .CLO 71) 2 Tn 叭 0.0.0 a Q.a.Dia j 阳“科i. o.c.o a o a.D o z 育a Uiirsil 3" 0 4 』1口 ii£ iE3 1 11 J fill JU B f 0 5 出i 昭 1® IM 1 ED E55 2W ；S5 Z55 苗ES S bdfai Z IJE IE3 1 ZT I 1 S3 Z3S 2S& zn 0 t u I ■■園 ■ ±-H * T-El ・| PEC 图一8）选择对象定义-选择服务列表，将 UDP55555端口，添加至此列表并命名为 Ian secs,女口下图:或Ian secs ，如下图:“ URL 重定向”，对指定的IP/网段进行认证过滤，未认证的将被重新定向到指定的地址。

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号( PPP ) 接入( 连接AUX口)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种模式接入网络：路由模式和混合模式。

在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

二、防火墙硬件描述SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。

三、防火墙安装1．安全使用注意事项本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。

NETSCREEN防火墙的配置说明书第一部分服务器网络设备配置公司服务器使用联通公司光纤宽带，带宽2M；硬件防火墙采用netsreen 5GT防火墙，其应用软件为全英文；交换机有固网和阿尔卡特两个（其中一个备用）；服务器采用DELL 服务器。

服务器网络设置为：宽带光纤→信号转换器→netcreen防火墙→交换机→服务器。

网络结构为：固定IP设置到防火墙上，服务器是内网IP，因此，外网如果要访问服务器，必须经过地址映射才能访问到服务器。

一、防火墙的基本设置1、防火墙程序的重装如果防火墙出现故障，需要重装程序或重新配置，可以采用超级终端，先清空程序，再进行安装。

具体操作为：第一步：用9针数据线（防火墙有带）连接防火墙和电脑（下图画红线端口），打开电源。

第二步：打开程序—附件—通讯—超级终端（下图），第四步：打开超级终端出现下图，随便填写连接名称，按确定，第五步：确定后出现下图，“连接使用”选择COM1，其它不填第六步：再确定后出现下图，第七步：再按确定，就出现名为“1111”的超级终端第八步：当防火墙接上电脑后，超级终端就会出现login: ,如果要重装软件，就输入防火墙产品背面的序列号，本公司使用的产品序列号为0064092004011007，再按回车，出现password: ，再输入序列号，回车，就出现重启画面。

下图红线部分是询问是否重启y/n，键盘输入y，回车，自动重启，防火墙恢复到出厂设置，web入口为192.168.1.1：第九步：把防火墙拆下，通过网络线放入到服务器端（或者用网络线与任意一机器相连都行，但机器的本地连接要与防火墙同一网段，即网关设为192.168.1.1），接上电源，然后打开IE,输入http://192.168.1.1，就可登录防火墙首页，然后进行防火墙的基本程序重装。

2、防火墙程序重装第一步：打开IE,输入http://192.168.1.1，可见下图第二步：直接按“下一步”，出现下图第三步：再按next ，出现下图。

NETSCREEN25硬防火墙配置简要手册系统默认情况下通过INTERNET3口接电脑，电脑配置ip：192.168.1.2，在IE栏输入:192.168.1.1USER:NETSCREENPWD:NETSCREEN(均为小写)如果用IE进不了,通过串口访问,串口设置是默认设置,进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0set int eth3 manage然后通过IE访问一样一、资源准备：1、当地的ip资源情况，是否有公网IP，需要配置公网地址多个的话，都要准好，并要定下来公网ip与私网ip的对应。

2、内网IP的地址分配，同时，各个设备的网关地址，在三层交换机中的分配。

现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中，计费服务器的IP地址在一个网关中，数据库应用服务器在一个网段中：二、具体配置端口参考（部分，根据具体应用来定义端口和服务器）三、基本配置流程基本定义策略（polices）二类：1、trust――>untrust源：any目的：any服务：any2、untrust――>trust源：any目的：MIP中的一个地址服务：对应的定义的服务组（依次把MIP的映射都加进来）配置流程：第一步向导的配置图1：可以直接将配置文件导入（如果）图2：图3：配置登陆密码图4：对4个eth进行区域划分，每个eth有4个选项（DMZ、trust、untrust、null）图5：划分地址段图6：配置防火墙的公网ip和内网ip（内部的）图7：是否将netscreen配置成DHCP图8：显示配置信息图9：完成初步配置配置向导完成，将网络接到trust的网络口上第二步地址的配置，通过ie登陆，在向导中配置的防火墙的内部ip地址图10：netscreen、netscreen图11：登陆显示图12：防火墙eth端口状态图13：外网端口配置，点ethernet1->edit进入，选择web和telnet的服务和ping服务图14：地址映射，接上图，点击mip，进行公网ip与内网ip的地址映射图15：点击new，配置每个映射，255.255.255.255表示是对主机图16：重复上面地址配置，配置完本系统所有给的ip地址，后如图：图17：配置默认网关图18：点击new后，配置公网网关图19：路由配置完成图20：定义服务图21：配置orcale的端口服务图24：配置主机服务配置主机的服务图25：new后，配置每个主机的服务，将每个主机的服务都要对开发的服务打开，需要外面可以ping的话将ping服务加上图26：所有的主机配置完，如图：图27：配置访问策略Trust――》untrust图28：new，直接确认就可以图29：untrust－》trust主要要配置，目的地址和服务图29：配置主机与服务图30：colone一个，不用选择区域，把目的地址和服务修改就可以图31：配置完后，如图：登陆用的密码设置规则的导入导出导入配置好的文件：导出现有的配置文件：四、有可能用到的命令默认地址192.168.1.1/24 eth1初始化防火墙：Unset allReset save- config no配置文件的导出：用超级终端登陆netscreenSave config to tftp 172.16.0.34(tftp的服务器) ns25－xxx文件名五、测试1、测试ping2、Web端口测试3、1521测试。

对象定义—URL列表
URL列表中自定义分为黑名单和白名单，白名单既只有在白名单列表中已经添加的关键字才可以访问。

黑名单既只要添加进该列表那就不允许访问。

一、首先介绍一下白名单的应用：
1.定义白名单中的关键字。

2.在安全规则中引用这条url列表：
这样192.168.1.0这个网段的所有主机就只能访问带有“”关键字的网址了，其他的网址都不能访问了。

二、然后介绍一下黑名单的应用：
1. 定义黑名单中的关键字
2.在安全规则中引用这条黑名单url列表
这样192.168.1.0这个网段的所有主机就不能访问带有“”关键字的网址了，其他的网址都能访问了。