![DCFW-1800GES 防火墙快速配置手册--v4[1].0版本](https://img.doczj.com/img28/017mxb0uavq0nhy6m4e9-81.webp)
![DCFW-1800GES 防火墙快速配置手册--v4[1].0版本](https://img.doczj.com/img28/017mxb0uavq0nhy6m4e9-62.webp)
DCFW-1800G/E/S系列防火墙快速配置手册-4.0版本
神州数码网络集团客服中心技术支持部
第1章硬件说明 (4)
第2章安装前准备 (4)
2.1通过控制台接入防火墙(CLI) (4)
2.2SSH远程管理方法 (4)
2.3WEB页面管理方法 (5)
2.4防火墙密码恢复方法 (6)
2.5恢复出厂配置方法 (7)
2.6防火墙升级方法 (8)
2.7恢复备份版本方法 (9)
2.8更改逻辑端口同物理端口对应关系方法 (10)
2.9防火墙当前运行配置下载方法 (11)
2.10防火墙出厂默认配置 (12)
第3章功能配置 (12)
3.1防火墙接口IP地址更改方法 (12)
3.2防火墙默认网关配置方法 (13)
3.3防火墙静态路由添加方法 (14)
3.4服务(端口)添加方法 (14)
3.5服务分组添加方法 (15)
3.6网络对象添加方法 (18)
3.7网络分组添加方法 (19)
3.8策略添加方法 (22)
3.9动态NAT配置方法 (22)
3.10静态NAT配置方法 (23)
3.11端口映射配置方法 (23)
3.12日志记录方法 (24)
3.13源地址路由配置方法 (28)
第4章典型应用 (32)
4.1DCFW-1800G/E/S路由模式的配置步骤 (32)
4.2防火墙做PPTP拨号服务器的配置 (42)
4.2.1 Windows PPTP客户端配置说明 (44)
4.2.2 神州数码 DCFW-1800G/E/S防火墙PPTP配置 (47)
4.3如何封堵某些服务端口 (53)
4.4如何阻止某台主机访问网络 (55)
4.5DCFW-1800G-E-S网桥模式配置步骤 (56)
4.6DCFW-1800G/E/S IPSEC VPN配置步骤 (61)
关于本手册
本手册主要介绍DCFW-1800G/E/S防火墙的常用配置方法,并举例进行说明,希望能够帮助用户快速的了解和使用DCFW-1800G/E/S防火墙。
如果系统升级,本手册内容进行相应更新,恕不事先通知。
第1章硬件说明
无
第2章安装前准备
2.1 通过控制台接入防火墙(CLI)
z将DCFW-1800防火墙console线缆一端和防火墙控制台端口相连,另一端与计算机的串口相连。
z打开计算机超级终端,将串口设置为如下模式:9600波特率,8个数据位,无奇偶校验位,1个停止位,无流控。
z终端正确连接到交换机的串行端口后,启动防火墙,在终端屏幕上会显示登录提示符。z默认登录密码:用户名:admin ,密码:admin 。
2.2 SSH远程管理方法
z首先进入防火墙CLI管理模式(进入方法参考2.1)
z添加防火墙管理主机,将安装SSH客户端的PC机的IP地址添加到防火墙的管理主机中:
#adminhost add PC机IP地址
#save
#apply
z SSH默认登录密码:用户名:admin ,密码:admin 。
z SSH 客户端配置方法(以SecureCRT4.0软件为例),如下图
2.3 WEB页面管理方法
z首先进入防火墙CLI管理模式(进入方法参考2.1)
z添加防火墙管理主机,管理机的IP地址添加到防火墙的管理主机中:
#adminhost add PC机IP地址
#save
#apply
z进入防火墙管理主机,打开IE浏览器,在地址栏中输入:
HTTPS://防火墙内网口IP:1211(注意:防火墙地址和端口号之间的冒号不要有空格)
WEB界面默认用户名:admin ,密码:admin
2.4 防火墙密码恢复方法
1 进入防火墙的超级终端管理模式(CLI模式-参考2.1)
2重新启动1800E/S防火墙
3当超级终端中出现第一组!!!!!时按p键,这样1800E/S将会恢复到出厂的配置
login: !!!!!! (这是第一组!!!!!!,按p键)>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
韉cfos> Find CPU: Intel Pentium III (Coppermine) ("GenuineIntel" 686-class) 1.01 GHz
dcfos> Find Memory: 266977280 (260720K)
dcfos> Find Ethernet Card: irq 11 address 00:90:0b:03:3b:41
dcfos> Find Ethernet Card: irq 5 address 00:90:0b:03:3b:42
dcfos> Find Ethernet Card: irq 12 address 00:90:0b:03:3b:43
dcfos> Find Ethernet Card: irq 10 address 00:90:0b:03:3b:44
!!!!!!
Setting up network... done
Recovering factory...
Recovered to factory default configuration!
Loading rules...
100% Rules loaded successfully!
done
Config networks... done
Starting dcfw... done
S
Welcome to Digital China DCFW (C)
Copyright 2003 Digital China, All rights reserved
https://www.doczj.com/doc/2b10139199.html,
login: [ 此时1800E/S防火墙密码恢复为admin)]
待防火墙启动后,进入系统,修改密码,修改管理员的密码并进行保存和应用。注意,必须重新修改密码并保存和应用,否则系统重新启动后仍然是忘记的那个密码。
2.5 恢复出厂配置方法
当你拿到1800E或者1800S后发现里面有配置,或者你配置了之后发现了一些问题,那么可以将1800E或者1800S进行出厂恢复,恢复成出厂的默认配置,之后在进行配置。
出厂恢复的配置步骤如下:
首先进入防火墙的超级终端管理模式:
#
# ruleconfig load default
# apply (应用之后才能生效)
# save
如果不能进入防火墙的上述界面,我们还可以通过下面的方法进行出厂恢复:
恢复出厂配置方法二
1 进入防火墙的超级终端管理模式
2重新启动1800G/E/S防火墙
3当超级终端中出现第二组!!!!!时按F键,这样1800E/S将会恢复到出厂的配置
login: !!!!!! (这是第一组!!!!!! ,不要做任何操作)>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
韉cfos> Find CPU: Intel Pentium III (Coppermine) ("GenuineIntel" 686-class) 1.01 GHz
dcfos> Find Memory: 266977280 (260720K)
dcfos> Find Ethernet Card: irq 11 address 00:90:0b:03:3b:41
dcfos> Find Ethernet Card: irq 5 address 00:90:0b:03:3b:42
dcfos> Find Ethernet Card: irq 12 address 00:90:0b:03:3b:43
dcfos> Find Ethernet Card: irq 10 address 00:90:0b:03:3b:44
!!!!!! (这是第二组!!!!!! ,按F键)
Setting up network... done
Recovering factory...
Recovered to factory default configuration!
Loading rules...
100% Rules loaded successfully!
done
Config networks... done
Starting dcfw... done
S
Welcome to Digital China DCFW (C)
Copyright 2003 Digital China, All rights reserved
https://www.doczj.com/doc/2b10139199.html,
login: [ 此时1800G/E/S防火墙密码恢复为admin)]
待防火墙启动后,进入系统,必须进行保存和应用。否则系统重新启动后仍然是以前的配置,而不会是出厂配置。
2.6 防火墙升级方法
说明:DCFW-1800G/E/S防火墙只能在WEB管理放松下进行升级
4.0版本升级步骤:
1 进入防火墙WEB管理界面
2 如果防火墙内有备份版本,请先删除备份版本,如下图:
3 删除备份版本后上传新版本
点击浏览:
4 请耐心等待一段时间,上传完毕后,请重新启动防火墙,即可使用最新的内核版本,原
来运行的防火墙版本自动变为备份版本,一旦新版本运行有问题,可以随时切换到备份版本上去。(如何切换到备份版本请参见相关说明)
特别提示:
3.6及3.6之前版本升级到
4.0版本时请注意:由于4.0版本在结构上做了很大调整,导致
3.6之前版本同
4.0版本不兼容;建议从3.6及3.6之前版本升级到4.0版本上时,先把防
火墙配置导出记录(防火墙配置导出方法请参见相关说明),一旦升级之后有问题,我们可以恢复到旧的版本上去,同时把备份版本导入(3.6之前的版本无法识别4.0版本的配置文件)。
2.7 恢复备份版本方法
方法一:
1 进入防火墙命令行界面
2 输入下面命令:
# osconfig restore
#save
#apply
方法二:
1 进入防火墙的超级终端管理模式
2重新启动1800E/S防火墙
3当超级终端中出现第一组!!!!!时按O键,这样1800E/S将会恢复备份版本
login: !!!!!! (这是第一组!!!!!!,按O 键)提示:O为字母
!
Boot old! >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> > >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> > >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> >
dcfos> Hardware version: 0000001545-0000775160
dcfos> Ethernet interface: irq 11 address 00:90:0b:03:3b:41
dcfos> Ethernet interface: irq 5 address 00:90:0b:03:3b:42
dcfos> Ethernet interface: irq 12 address 00:90:0b:03:3b:43
dcfos> Ethernet interface: irq 10 address 00:90:0b:03:3b:44
启动后1800G/E/S防火墙已经恢复成备份版本,但此时必须进入系统- -产品更新- -恢复备份版本,之后重新启动防火墙。
如果不做上述操作,防火墙重新启动后仍是原来的版本。
2.8 更改逻辑端口同物理端口对应关系方法
如果DCFW-1800防火墙版本是2004年5月份及以后的版本请用下述方法更改:
进入超级终端管理模式:
防火墙启动过程中出现“!!!“时候敲“c”进入shell模式进行更改。
1.缺省配置如下:
> show ifmap
if0 -> if0 fixedfunc external
if1 -> if1 fixedfunc internal
if2 -> if2 fixedfunc dmz
if3 -> if3
if4 -> if4
if5 -> if5
2.通过下面这一命令更改:
> set ifmap if3 if2 if1 if0 if4 if5
更改后的配置如下:
> show ifmap
if3 -> if0 fixedfunc external
if2 -> if1 fixedfunc internal
if1 -> if2 fixedfunc dmz
if0 -> if3
完。
如果DCFW-1800G防火墙版本是2004年5月份以前的版本(不包含5月份的版本)请用下述方法更改:
进入超级终端管理模式:
开启过程中出现!!!时,按 c 键,进入shell 后,输入下列命令:
set ifmap if0:ha if1:internal if2:dmz if3:external
说明:上述命令表示,if0 接口对应防火墙的ha口,if1接口对应防火墙的内口,if2对应防火墙的dmz口,if3对应防火墙的外网口。
(注意if0:ha 空格 if1:internal----格式一定要正确。)
之后 quit 该shell 后,重新启动防火墙后,修改生效。
利用上述命令可以将防火墙的某个电口改为外网口或内口。
set ifmap if0:ha if1:internal if2: external if3: dmz
2.9 防火墙当前运行配置下载方法
4.0版本当前运行版本下载方法
点击此处,根
据系统提示选
择本地保存目
录。
2.10 防火墙出厂默认配置
默认用户名:admin ,默认密码:admin
WEB管理端口号:1211;SSH端口号:22
IP地址的默认配置可以从超级终端进入防火墙命令行管理界面,使用
# ifconfig list 命令来查看(对于DCFW-1800S/E防火墙:if0 外网口,if1内网口,if2 dmz 口)
第3章功能配置
3.1 防火墙接口IP地址更改方法
1 通过命令行修改防火墙接口IP地址
进入防火墙超级终端管理模式(参考2.1),输入下面的命令
# ifconfig if1 192.168.10.1/24 (此命令目的:将内网口地址改为192.168.10.1)
# ifconfig if0 10.1.157.131/24 (此命令目的:将外网口地址改为10.1.157.131)
# ifconfig if2 192.168.20.1/24 (此命令目的:将DMZ口地址改为192.168.20.1)
# adminhost add 192.168.10.2 (为了能够在管理主机上通过web方式管理防火墙,必须添
加管理主机的地址---即:通过浏览器管理防火墙的那台pc
机器的地址)
# ifconfig services if1 ping (防火墙默认是禁止ping的,必须添加此命令才能ping通
内网口。)
# save (此命令目的:保存我们所作的修改)
# apply (此命令目的:使我们修改后的配置马上生效,切记!)
2 通过WEB浏览器修改防火墙接口IP地址方法
建议更改防火墙某接口IP时,先从防火墙其他接口管理防火墙(原因:更改接口IP后,便无法从该接口登录了)
首先进入防火墙WEB管理界面(请参考2.3)
更改后,必须保存应用。
3.2 防火墙默认网关配置方法
进入防火墙超级终端管理模式(参考2.1),输入下面的命令
# route add default 网关地址(此命令目的:添加默认网关)
# save (此命令目的:保存我们所作的修改)
# apply
(适用于3.6、3.0、4.0版本)
3.3 防火墙静态路由添加方法
进入防火墙超级终端管理模式(参考2.1),输入下面的命令
# route add 192.168.100.0/24 192.168.10.254 (192. 168.100.0 是目的地址,/24表示24位掩码:255.255.255.0 ;192.168.10.254表示防火墙收到发送给192. 168.100.0网段的数据后都会发送给该地址-192.168.10.254)
# save
# apply
(适用于3.6、3.0、4.0版本)
3.4 服务(端口)添加方法
1 进入管理界面,对象-网络-服务对象;如下图
2 点击上图中的新增,进入添加网络对象界面,如下图
添加服务端口,类型选择标准服务
3
之后保存并应用。
3.5 服务分组添加方法
在添加服务群组之前,必须先按照上面描述的方法定义服务对象(单个的服务端口或服务端口范围),定义服务对象后,将定义好的服务对象添加到服务分组中。
配置步骤:1 先定义服务对象,2 定义服务分组名称,3 将定义好的服务对象添加到服务分组中。
1 定义服务对象(参见3.5描述,添加服务对象TCP135,和端口范围UDP135-139)
2 定义服务分组,如下图:
服务分组—图1
点击上图新增后进入下面页面
定义完服务对象组名后
点击确定。
之后:
向定义好的服务分组中添加服务对象,见下页。
向定义好的服务分组中添加服务对象
步骤 1
添加完成后,保存并应用。
3.6 网络对象添加方法
1 进入管理界面,对象-网络-网络对象;如下图
2 点击上图中的新增,进入添加网络对象界面,如下图
此图介绍了如何添加一台单机
若添加单机或网段对象,类型选择标准
若添加一个IP地址,掩码必须是32位。
如果添加IP网段,则掩码根据实际情况填写。
3 添加网络范围(DCFW-1800E防火墙支持添加一段连续的IP地址)如下图:
此图介绍了如何添加IP地址范围
若添加IP范围对象,类型选择地址范围
在此处输入起始地址和结束地址。
添加完成后,保存并应用
3.7 网络分组添加方法
在添加网络群组之前,必须先按照上面描述的方法定义网络对象(单机地址、IP网段、或IP 范围),定义网络对象后,将定义好的网络对象添加到网络分组中。
配置步骤:1 先定义网络对象,2 定义网络分组名称,3 将定义好的网络对象添加到网络分组中。
1 定义网络对象(如3.6描述,添加网络对象zhanghjb,和IP 范围10 - 19)
2 定义网络分组,如下图:
点击上图新增后进入下面页面
向定义好的网络分组中添加网络对象,见下页。
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
DPtech FW1000系列防火墙用户配置 手册
杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区火炬大道581号三维大厦B座901室 邮编:310053
声明 Copyright 2010 杭州迪普科技有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9
fortigate 简易设置手册 一、更加语言设置: 1、首先把PC的网卡IP修改成192.168.1.*的网段地址,在IE中输入: https://192.168.1.99进入设置界面,如下图: 2、进入设置界面后,点击红框标注的位置(系统管理→状态→管理员设置), 进入如下图:在红框标注的位置进行语言选择。 二、工作模式的设置:
Fortigate防火墙可以工作在以下几种模式:路由/NAT模式、透明模式; 要修改工作模式可在下图标注处进行更改,然后设置相应的IP地址和掩码等。 三、网络接口的设置: 在系统管理→点击网络,就出现如下图所示,在下图所指的各个接口,您可以自已定义各个接口IP地址。 点击编辑按钮,进入如下图所示: 在下图地址模式中,在LAN口上根据自已需要进行IP地址的设置,接着在管理访问中指定管理访问方式。
在WAN口上,如果是采用路由/NAT模式可有两种方式: 1、采用静态IP的方式:如下图: 在红框标注的地方,选中自定义,输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中,指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话,你可以在如下图中输入进去。 在如下图红框标注的地方,输入IP地址和掩码以及管理访问方式,点击ADD 即可。
注: 采用静态IP地址的方式,一定要加一条静态路由,否则就不能上网。如下图:
2、如采用ADSL拨号的方式,如下图: 当你选中PPOE就会出现如下图所示的界面: 在红框标注的地址模式中,输入ADSL用户和口令,同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要,选中相应的管理方式,对于MTU值一般情况下都采用默认值就行了.
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.doczj.com/doc/2b10139199.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
NETSCREEN25硬防火墙配置简要手册 系统默认情况下通过INTERNET3口接电脑,电脑配置ip:192.168.1.2, 在IE栏输入:192.168.1.1 USER:NETSCREEN PWD:NETSCREEN(均为小写) 如果用IE进不了,通过串口访问,串口设置是默认设置, 进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0 set int eth3 manage 然后通过IE访问一样 一、资源准备: 1、当地的ip资源情况,是否有公网IP,需要配置公网地址 多个的话,都要准好,并要定下来公网ip与私网ip的对应。 2、内网IP的地址分配,同时,各个设备的网关地址,在三层交换机中的分配。 现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中,计费服务器的IP地址在一个网关中,数据库应用服务器在一个网段中:
二、具体配置端口参考(部分,根据具体应用来定义端口和服务器) 三、基本配置流程 基本定义策略(polices) 二类: 1、trust――>untrust 源:any 目的:any 服务:any 2、untrust――>trust 源:any 目的:MIP中的一个地址 服务:对应的定义的服务组 (依次把MIP的映射都加进来) 配置流程: 第一步向导的配置
图1:可以直接将配置文件导入(如果) 图2: 图3:配置登陆密码
图4:对4个eth进行区域划分,每个eth有4个选项(DMZ、trust、untrust、null) 图5:划分地址段
图6:配置防火墙的公网ip和内网ip(内部的) 图7:是否将netscreen配置成DHCP
飞塔防火墙fortigate的show命令显示相关配置,而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名,管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态,,如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X
Juniper防火墙简明实用手册 (版本号:)
目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷:基本原理 ...................................................... 错误!未定义书签。 第一章:ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章:路由表和静态路由............................ 错误!未定义书签。 第三章:区段.................................................... 错误!未定义书签。 第四章:接口.................................................... 错误!未定义书签。 第五章:接口模式............................................ 错误!未定义书签。 第六章:为策略构建块.................................... 错误!未定义书签。 第七章:策略.................................................... 错误!未定义书签。 第八章:地址转换............................................ 错误!未定义书签。 第十一章:系统参数........................................ 错误!未定义书签。 第三卷:管理 .............................................................. 错误!未定义书签。 第一章:管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷:高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs:允许哪些主机可以对防火墙进行管理错误!未定
天融信防火墙NGFW4000快速配置手册
目录 一、防火墙的几种管理方式 (3) 1.串口管理 (3) 2.TELNET管理 (4) 3.SSH管理 (5) 4.WEB管理 (6) 5.GUI管理 (6) 二、命令行常用配置 (12) 1.系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2.网络配置命令(NETWORK) (13)
4.定义对象命令(DEFINE) (13) 5.包过滤命令(PF) (13) 6.显示运行配置命令(SHOW_RUNNING) (13) 7.保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1.系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2.网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3.对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4.访问策略配置 (23) 5.高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构: (28) 1.用串口管理方式进入命令行 (28) 2.配置接口属性 (28) 3.配置VLAN (28) 4.配置区域属性 (28) 5.定义对象 (28) 6.添加系统权限 (29) 7.配置访问策略 (29) 8.配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构: (30) 1.用串口管理方式进入命令行 (30) 2.配置接口属性 (30) 3.配置路由 (30) 4.配置区域属性 (30) 5.配置主机对象 (30) 6.配置访问策略 (30)
F o r t i g a t e3.0M R4中文配置向导 目录 介绍(关于这篇文章介绍)-------------------------------------------------------------------------------------3 Fortigate 60防火墙介绍---------------------------------------------------------------------------------------4其他systex安全产品---------------------------------------------------------------------------------------4 SOHU&中小型网络拓扑结构-------------------------------------------------------------------------------5注:文中的IP地址以实际操作时配置的地址为准。不必照搬。 准备工作 1.修改自己电脑IP 2.进入防火墙界面 3.修改防火墙密码(以及忘记密码如何操作) 4. 配置防火墙的内网IP地址----------------------------------------------------------------------------------9目的:把防火墙的IP修改成自己想要的IP 配置局域网共享上网----------------------------------------------------------------------------------------10目的:使局域网的PC都能通过防火墙连接到Internet 设置ADSL用户名和密码拨号上网 设置固定IP上网 设置动态分配IP上网 配置双WAN共享上网---------------------------------------------------------------------------------------14目的:使用2根宽带线路连接到Internet 设置WAN2 设置WAN2 ADSL用户名和密码拨号上网 设置WAN2 固定IP上网 设置WAN2动态分配IP上网 配置特定人员从指定WAN口上网------------------------------------------------------------------------17目的:使特定人员从指定的WAN口上网 设置步骤 配置WEB服务器映射---------------------------------------------------------------------------------------19目的 设置虚拟服务器 设置地址映射 设置开放端口 配置过滤---------------------------------------------------------------------------------------------------------26目的 设置URL(网站地址)过滤
飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件,日志,报告,网络管理,安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息,详见https://www.doczj.com/doc/2b10139199.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建,以最低的运行成本考虑设计。 fortiguard 服务订制包括: 1、fortiguard 反病毒服务 2、fortiguard 入侵防护(ips)服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括: 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式,管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail
fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc(distributed checksum clearinghouse)与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下,fortimail反病毒技术深入扩展到全部的内容检测功能,能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息,避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能: 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备,用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况,管理带宽,监控网络使用情况,并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应,包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时,提供给企业用户持续的网络流量。fortibridge绕过fortigate设备,确保网络能够继续进行流量处理。fortibridge产品使用简单,部署方便;您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业(包括管理安全服务的提供商)的需要。拥有该系统,您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志,包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的(包括远程工作用户),集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性(ha)性能。
第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2 录 FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29) 防火墙配置......29 防火墙日常检查 (29) 防火墙的会话表:(系统管理-状态-会话)......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31) 异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤…… 33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33) 第1章Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址,缺省的基本管理地址为P1 口192.168.1.99,P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口,因此需要使用Console 口和命令行进行初始配置,为了配置方便起见,建议将P5 口配置一个管理地址,由于P5 口是铜缆以太端口,可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口,就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单1.1.1 “状态”界面 “状态”菜单显示防火墙设备当前的重要系统信息,包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%,则往往意味着有异常的网络流量(病毒或网络攻击)存在。 1.1.2 “会话”显示界面 Fortigate 是基于“状态检测”的防火墙,系统会保持所有的当前网络“会话”(sessions)。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤,可以了解更特定的会话信息。例如,下图是对源IP 为10.3.1.1 的会话的过滤显示 通过“过滤器”显示会话,常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口 如上图,“接口”显示了防火墙设备的所有物理接口和VLAN 接口(如果有的话),显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如:对于“PORT1”,我们可以以“HTTPS,TELNET”访问,并且可以PING 这个端口。点击最右边的“编辑”图标,可以更改端口的配置。 如上图,“地址模式”有三类: a.如果使用静态IP 地址,选择“自定义”;b.如果由DHCP 服务器分配IP,选择“DHCP”;c.如果这个接口连接一个xDSL 设备,则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK,使配置生效。 “区”是指可以把多个接口放在一个区里,针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中,没有使用“区”。1.2.2 DNS 如上图,在这里配置防火墙本身使用的DNS 服务器,此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。 1.3 DHCP 如上图,所有的防火墙端口都会显示出来。端口可以1)不提供DHCP 服务;2)作为DHCP 服务器;3)提供DHCP 中继服务。在本例中,External 端口为所有的IPSEC VPN 拨
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过 CONSOLE 口以命令行方式进行配置和管理。 通过 CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过 CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用 com1)和防火墙的CONSOLE 口。 2)选择开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用 com1)。 4)设置 com1 口的属性,按照以下参数进行设置。
5)成功连接到防火墙后,超级终端界面会出现输入用户名/密码的提示,如下图。 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令 添加管理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
juniper防火墙详细配置手册
Juniper防火墙简明实用手册 (版本号:V1.0)
目录 1juniper中文参考手册重点章节导读 (4) 1.1第二卷:基本原理 4 1.1.1第一章:ScreenOS 体系结构 4 1.1.2第二章:路由表和静态路由 4 1.1.3第三章:区段 4 1.1.4第四章:接口 4 1.1.5第五章:接口模式 5 1.1.6第六章:为策略构建块 5 1.1.7第七章:策略 5 1.1.8第八章:地址转换 5 1.1.9第十一章:系统参数 6 1.2第三卷:管理 6 1.2.1第一章:管理 6 1.2.2监控NetScreen 设备 6 1.3第八卷:高可用性
6 1.3.1...................................................... NSRP 6 1.3.2故障切换 7 2Juniper防火墙初始化配置和操纵 (8) 3查看系统概要信息 (9) 4主菜单常用配置选项导航 (10) 5Configration配置菜单 (11) 5.1Date/Time:日期和时间 11 5.2Update更新系统镜像和配置文件 12 5.2.1更新ScreenOS系统镜像 12 5.2.2更新config file配置文件 13 5.3Admin管理 15 5.3.1Administrators管理员账户管理 15 5.3.2Permitted IPs:允许哪些主机可以对防火墙进行管理 16 6Networks配置菜单 (17) 6.1Zone安全区 17 6.2Interfaces接口配置 19 6.2.1查看接口状态的概要信息 19
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
天融信防火墙配置指南 一、对象与规则 现在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别处理,就是规则。 比如:甲想到A城市B地点。由这个行为就可以制定一些规则进行约束,例如: 1)用户身份识别,是不是甲用户(说明:在实际应用中,甲用户可能是一群人或所有的人)。 2)用户当前的目标是不是A城市,是不是B地点。 3)用户当前状态中是否符合规定,比如,是不是带了危险品什么的。 用户、城市、地点等等均可以看作为一个个的对象。在防火墙中我们可以这样来比喻:用户-->访问者 城市-->主机 地点-->端口 为了安全,我们就可以制定一个规则:如果用户甲或所有的人到达A城市B地点,并且没有携带任何危险品,就允许他或他们通过,否则就禁止通行。翻译成防火墙的规则就是:如果访问者访问目标区域中的开放主机中的允许访问的端口,并且访问的过程中没有防火墙禁止的恶意行为,就允许通过。 二、路由功能与地址转换 现在防火墙都集成了路由功能。路由功能简单的说法就是告诉访问者怎么走,相当于引路。比如:甲要到美国洛杉矶,甲城市的路由器就告诉甲,你应该先到上海,然后上海的路由器再告诉甲,该乘飞机到洛杉矶。 我们使用的互联网是基于TCP/IP协议的。所有在网络上的主机都是有IP地址的,相当于在互联网上的用户身份,没有IP地址是无法进行网络访问的。互联网中的主机中(包括访问者与被访问者)是不可能存在两个相同的IP的。 当前互联网中应用的大都是IPV4。比如:我们姜堰教育城域网的IP是58.222.239.1到58.222.239.254。由于当初的IP规划没想到后来会有这么多的计算机,所以发展到现在,IP 地址是非常紧缺的。目前,已不可能为世界上的所有的计算机都分配一个IP地址,这就产生了源地址转换又称为源地址伪装技术(SNA T)。比如A学校有100台计算机,但是只有