启明星辰P系列防火墙产品安装调试.
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置导出
在导出配臵前,对防火墙的配臵进行保存,即可以通过WEB页
面保存,也可以通过newconfig save保存,如图:
配置导入导出
配置导出
系统管理——维护——备份与恢复——导出全部配置
配置导入导出
配置导入
配臵导入功能在很多场景下可以为操作提供便捷,比如更换或
者升级设备后,可以很快的使新设备恢复配臵。
console口管理
设置CRT或者超级终端属性: —设置serial port连接工具 (e.g. 微软超级终端) —Connect RS-232 —波特率9600 , 8 bits, No parity,1 stop bit 如图:
登陆管理
SSH管理和Telnet管理
防火墙默认关闭该功能,需要通过WEB管理 方式或者命令行方式手动开启。 一旦开启以后,该登陆方式适用于防火墙上的 所有的三层接口 一、 WEB管理方式开启 二、命令行管理方式开启
接口设备相关介绍
别名设备
逻辑接口,与对应的物理设备共享MAC,相当于cisco的secondry IP。 目的是给三层设备接口(包括物理接口和逻辑接口)配置多个IP地址。
接口设备相关介绍
冗余设备
逻辑接口,将多个物理设备绑定起来,组成一个逻辑接口。冗余的方式 有轮循方式、热备方式及802.3ad(LACP),其中轮循和热备方式都为静 态方式,802.3ad为动态方式。
日志管理
日志服务器配置
由于防火墙本身的存储空间有限,最多只能提供10M的大小空间 (10M空间用完后可以选择停止存储日志或者覆盖日志),当需要保存更 多的日志信息时,需要将防火墙连接日志服务器,将日志传输给日志服务 器(如syslog服务器或者安管服务器)。
日志——日志配置——日志服务器
配置导入导出
系统管理——管理员设置——管理主机
登陆管理
GUI管理
P系统防火墙使用HTTPS方式登陆,使用8889端 口。同时需要使用证书认证。
一、安装管理员证书 二、登陆防火墙 三、特殊情况应对
当遇到没有安装证书,但又需要通过 GUI 方式管理防火墙时,可以通过在后台 URL :https://IPv4地址:8889 输入命令(命令可以咨询400或者专家支 持) user: administrator pass:bane@7766 然后直接通过8888接口管理防火墙, 但这种方式在重启设备后会失效 URL:https://IPv4地址:8888
日志管理
日志查看
防火墙日志包括系统日志及功能模块日志。系统日志是防火墙 自身产生的信息,如管理员管理日志和设备状态日志(如接口 up/down);功能模块日志是防火墙功能模块启用后产生的信息, 如HA日志、IPS日志、包过滤日志,这类日志需要防火墙对应的 功能模块启动日志记录功能。
日志——日志访问——日志查看
接口设备相关介绍
接口引用关系 1、物理设备可以被所有其它设备调用; 2、桥接设备只能被别名设备调用; 3、冗余设备可以被桥设备、别名设备、拨号设备、VLAN 设备调用; 4、VLAN设备可以被别名设备和桥设备调用; 5、拨号设备和别名设备不能被任何设备调用;
路由&NAT方式接入
eth1
C:192.168.1.100
接口设备相关介绍
vlan设备
逻辑接口,与对应的物理接口共享MAC,为数据提供doltq封装,可以 提供路由模式和透明模式。配置了vlan设备后,数据在离开防火墙时会被封 装对应的vlan ID
接口设备相关介绍
vlan设备
Vlan 100: 192.168.1.254/24
trunk
192.168.1.100/24
P系列防火墙产品安装调试
启明星辰网关本部 2014.6
目录
1 2 3
4 5
防火墙基础功能操作 防火墙接入模式简介 防火墙路由功能配置简介 防火墙高可用性功能原理及配置简介 入侵防护,病毒防护,反垃圾邮件配置简介
第一章
防火墙基础功能操作
登陆管理 日志管理 配置导入导出 批处理的使用
wk.baidu.com
登陆管理
src:192.168.1.100 dst:192.168.1.254
vlan 100
src:0000.0000.0001 dst:0000.0000.0002
接口设备相关介绍
桥设备
逻辑接口,可以将多个透明模式的设备划到同一个区域内,除了透明模 式的物理设备可以被划到桥设备以外,透明的vlan设备也可以被划到桥设备 内。
系统管理——管理员设置——设置——开启SSH或者Telnet
登陆管理
启用GUI管理
设备出厂时默认只允许IP地址为10.1.5.200/49、 10.1.6.200的PC对防火墙过街GUI管理。 出厂时eth0接口的默认IP为10.1.5.254。
一、WEB方式添加管理主 二、命令行方式添加管理主机 机
eth2
1.1.1.2
eth1:192.168.1.1 eth2:1.1.1.1
第二章
防火墙接入模式简介
接口设备相关介绍
路由&NAT方式接入
透明方式接入 冗余方式接入 Trunk方式接入
接口设备相关介绍
物理设备
注意: 以下介绍的设备都是代表接口 的含义,只是各安全厂商叫法 不同
对应防火墙外观上的接口,通过eth x来表示。物理设备可以提 供路由模式、透明模式、冗余模式、trunk模式
系统管理——维护——备份与恢复——导入全部配置
注意: 导入配臵后需要重启网关,配臵才可以生效。 3.6.0.1版本的配臵导入3.6.0.2时,需要为防火墙打
上前14个升级包,否则只能导入关键配臵(NAT
配臵无法导入)
批处理的使用
在好多情况下,我们的配臵工作都是重复操作过程,如果能将这些
操作写在一个文件下执行,那么对我们的执行效率将大大提高。
第一步:获取命令行格式
最新操作对应的命令行在历史记 录的最底层显示
系统管理——维护——批处理——历史记录
批处理的使用
第二步:提交批处理命令并执行
A、获取相关命令行以后,可以对命令行进行增量 系统管理 —— 维护 ——批处理——命令批处理 修改(使用 excel 或者批处理工具) B、将新生成的命令行复制粘贴到命令批处理文本框 内,点提交; C、提交完成后,点击执行批处理
在导出配臵前,对防火墙的配臵进行保存,即可以通过WEB页
面保存,也可以通过newconfig save保存,如图:
配置导入导出
配置导出
系统管理——维护——备份与恢复——导出全部配置
配置导入导出
配置导入
配臵导入功能在很多场景下可以为操作提供便捷,比如更换或
者升级设备后,可以很快的使新设备恢复配臵。
console口管理
设置CRT或者超级终端属性: —设置serial port连接工具 (e.g. 微软超级终端) —Connect RS-232 —波特率9600 , 8 bits, No parity,1 stop bit 如图:
登陆管理
SSH管理和Telnet管理
防火墙默认关闭该功能,需要通过WEB管理 方式或者命令行方式手动开启。 一旦开启以后,该登陆方式适用于防火墙上的 所有的三层接口 一、 WEB管理方式开启 二、命令行管理方式开启
接口设备相关介绍
别名设备
逻辑接口,与对应的物理设备共享MAC,相当于cisco的secondry IP。 目的是给三层设备接口(包括物理接口和逻辑接口)配置多个IP地址。
接口设备相关介绍
冗余设备
逻辑接口,将多个物理设备绑定起来,组成一个逻辑接口。冗余的方式 有轮循方式、热备方式及802.3ad(LACP),其中轮循和热备方式都为静 态方式,802.3ad为动态方式。
日志管理
日志服务器配置
由于防火墙本身的存储空间有限,最多只能提供10M的大小空间 (10M空间用完后可以选择停止存储日志或者覆盖日志),当需要保存更 多的日志信息时,需要将防火墙连接日志服务器,将日志传输给日志服务 器(如syslog服务器或者安管服务器)。
日志——日志配置——日志服务器
配置导入导出
系统管理——管理员设置——管理主机
登陆管理
GUI管理
P系统防火墙使用HTTPS方式登陆,使用8889端 口。同时需要使用证书认证。
一、安装管理员证书 二、登陆防火墙 三、特殊情况应对
当遇到没有安装证书,但又需要通过 GUI 方式管理防火墙时,可以通过在后台 URL :https://IPv4地址:8889 输入命令(命令可以咨询400或者专家支 持) user: administrator pass:bane@7766 然后直接通过8888接口管理防火墙, 但这种方式在重启设备后会失效 URL:https://IPv4地址:8888
日志管理
日志查看
防火墙日志包括系统日志及功能模块日志。系统日志是防火墙 自身产生的信息,如管理员管理日志和设备状态日志(如接口 up/down);功能模块日志是防火墙功能模块启用后产生的信息, 如HA日志、IPS日志、包过滤日志,这类日志需要防火墙对应的 功能模块启动日志记录功能。
日志——日志访问——日志查看
接口设备相关介绍
接口引用关系 1、物理设备可以被所有其它设备调用; 2、桥接设备只能被别名设备调用; 3、冗余设备可以被桥设备、别名设备、拨号设备、VLAN 设备调用; 4、VLAN设备可以被别名设备和桥设备调用; 5、拨号设备和别名设备不能被任何设备调用;
路由&NAT方式接入
eth1
C:192.168.1.100
接口设备相关介绍
vlan设备
逻辑接口,与对应的物理接口共享MAC,为数据提供doltq封装,可以 提供路由模式和透明模式。配置了vlan设备后,数据在离开防火墙时会被封 装对应的vlan ID
接口设备相关介绍
vlan设备
Vlan 100: 192.168.1.254/24
trunk
192.168.1.100/24
P系列防火墙产品安装调试
启明星辰网关本部 2014.6
目录
1 2 3
4 5
防火墙基础功能操作 防火墙接入模式简介 防火墙路由功能配置简介 防火墙高可用性功能原理及配置简介 入侵防护,病毒防护,反垃圾邮件配置简介
第一章
防火墙基础功能操作
登陆管理 日志管理 配置导入导出 批处理的使用
wk.baidu.com
登陆管理
src:192.168.1.100 dst:192.168.1.254
vlan 100
src:0000.0000.0001 dst:0000.0000.0002
接口设备相关介绍
桥设备
逻辑接口,可以将多个透明模式的设备划到同一个区域内,除了透明模 式的物理设备可以被划到桥设备以外,透明的vlan设备也可以被划到桥设备 内。
系统管理——管理员设置——设置——开启SSH或者Telnet
登陆管理
启用GUI管理
设备出厂时默认只允许IP地址为10.1.5.200/49、 10.1.6.200的PC对防火墙过街GUI管理。 出厂时eth0接口的默认IP为10.1.5.254。
一、WEB方式添加管理主 二、命令行方式添加管理主机 机
eth2
1.1.1.2
eth1:192.168.1.1 eth2:1.1.1.1
第二章
防火墙接入模式简介
接口设备相关介绍
路由&NAT方式接入
透明方式接入 冗余方式接入 Trunk方式接入
接口设备相关介绍
物理设备
注意: 以下介绍的设备都是代表接口 的含义,只是各安全厂商叫法 不同
对应防火墙外观上的接口,通过eth x来表示。物理设备可以提 供路由模式、透明模式、冗余模式、trunk模式
系统管理——维护——备份与恢复——导入全部配置
注意: 导入配臵后需要重启网关,配臵才可以生效。 3.6.0.1版本的配臵导入3.6.0.2时,需要为防火墙打
上前14个升级包,否则只能导入关键配臵(NAT
配臵无法导入)
批处理的使用
在好多情况下,我们的配臵工作都是重复操作过程,如果能将这些
操作写在一个文件下执行,那么对我们的执行效率将大大提高。
第一步:获取命令行格式
最新操作对应的命令行在历史记 录的最底层显示
系统管理——维护——批处理——历史记录
批处理的使用
第二步:提交批处理命令并执行
A、获取相关命令行以后,可以对命令行进行增量 系统管理 —— 维护 ——批处理——命令批处理 修改(使用 excel 或者批处理工具) B、将新生成的命令行复制粘贴到命令批处理文本框 内,点提交; C、提交完成后,点击执行批处理