第2章如何开始
本章包括联想网御防火墙PowerV硬件安装和随机附带的软件安装介绍,以及开机登录配置管理界面的方法。这些有助于管理员完成防火墙软硬件的快速安装和启用。
如果您想尽快配置使用联想网御防火墙,可跳过概述部分,直接阅读2.5章(第12页)。
2.1 网御防火墙PowerV概述
随着宽带网络的飞速发展、网络安全问题的突出和人们安全意识的提高,以防火墙为代表的网络安全设备已经成为不可或缺的设备。
网御防火墙PowerV在防火墙硬件板级设计、防火墙安全体系结构、配置管理操作系统、配套的管理软件等方面有重大创新。可广泛应用于电信、金融、电力、交通、政府等行业的网络环境。
2.1.1 产品特点
联想网御防火墙PowerV是联想防火墙的换代产品,该产品的特点是高安全性,高可用性和高性能的“三高”“管理者的”防火墙,是国内一流的防火墙。
●高安全
●高可用性
●高性能
2.1.2 主要功能
网御防火墙PowerV系统为了满足用户的复杂应用和多种需求,采用模块化设计,包括基本功能模块、可选功能模块(VPN模块需要许可证才能使用)。主要具有以下功能:
●状态检测和动态过滤
采取主动过滤技术,在链路层截取并分析数据包以提高处理性能,对流经数据包进行基于IP地址、端口、用户、时间等的动态过滤,还可以结合定义好的策略,动态生成规则,这样既保证了安全,又满足应用服务动态端口变化的要求。可支持多个动态应用,包括ftp、h323、pptp、rtsp、tns等。
●双向NAT地址转换
在全透明模式下提供了双向地址转换(NAT)功能,能够有效地屏蔽整个子网的内部结构,使得黑客无从发现子网存在的缺陷,还可使企业能够通过共享IP地址的方法解决IP地址资源不足的问题。支持静态NA T、动态NAT及IP映射(支持负载均衡功能)、端口映射。
●应用层透明代理
支持透明代理功能,提供对HTTP、FTP(可限制GET、PUT命令)、TELNET、SMTP
(邮件过滤)、POP3等标准应用服务的透明代理,同时提供在用户自定义服务下的透明代理,支持网络接口限定。通过提供透明的代理服务,使受控网络中的用户感觉不到代理的存在,这样不必改变客户端配置,就能在授权范围内与外网通信,减少了网络管理员的工作量。
●防IP地址欺骗
对指定接口所连接的网络中主机的IP 和MAC 地址进行绑定,防止IP 盗用,并对非法IP 的访问提供详细的记录,以便防火墙管理员查看。
●时间管理
支持过滤规则的时间域设定,防火墙管理员在定义好一条规则后,能够指定这条规则的启动、生效、关闭的时间域。
●带宽管理
提供QoS机制,能够用优先级和流量控制方式分配网络带宽,从而有效地保证需要特殊带宽的网络服务。
●用户认证
提供与应用服务无关的用户认证,能够同时为包过滤服务和代理服务提供用户认证。支持PAP、S/KEY认证协议;支持防火墙本地认证和标准的Radius认证服务器,提供用户及组管理。
●邮件过滤
对收件和发件的邮件主题、正文、收发件人、附件名、附件内容等进行过滤,对邮件内容除提供关键字匹配外,还提供基于文本格式的中文内容智能过滤。
●URL过滤
URL过滤和网页关键字过滤,支持基于时间控制的关键字智能过滤。
●规则及配置信息的导入导出、备份恢复
可以把配置的各项数据从防火墙导出做备份;需要时可以把以前的配置信息导入到防火墙,恢复到以前的状态,也可以导入到另一台相同型号的防火墙,从而给防火墙管理员的工作带来很大的便利和很好的安全保证。
●互动式实时入侵检测(IDS)与实时阻断
能够识别并防范对网络和主机的扫描攻击、异常网络协议攻击、IP欺骗攻击、源IP 攻击、IP碎片攻击、DoS/DDoS攻击等;可根据入侵检测结果自动地调整防火墙的安全策略,及时阻断入侵的网络连接,并可通过邮件的方式向管理员报警;支持用户自定义监测规则,支持规则库的手动升级。
●支持SSN(安全服务区)基于网络服务的负载均衡
实现了高效的负载均衡算法,通过反向NAT功能,防火墙可以为用户SSN(安全服务区)内的服务器有效地均衡网络服务的流量。
●日志审计
提供防火墙日志管理和日志服务器,具有实时监控、审计、报警和自动备份功能,同时日志服务器管理员与防火墙管理员实行分权管理;并可为管理员提供丰富完整的日志信息和强大完善的安全审计,允许管理员设定审计查询规则,以可理解的格式输出查询结果,生成可理解格式的日志文件,具有日志存储溢出报警和补救功能。
●网御电子钥匙
基于硬件(USB接口)、一次性口令(S/KEY协议)的管理员身份认证,采用了双因子认证机制(基于管理员帐号和防火墙设备硬件信息),保证一把电子钥匙只能管理一台特定的防火墙。
●远程安全管理
采用基于密码技术的PKI-CA证书的认证方式对管理员进行身份认证,只有认证通过的管理员才能访问配置管理界面并操作相关文件。采用SSL加密信道对配置信息进行加密处理,保证数据的安全性和完整性(防篡改)。
●集中安全管理
通过集中管理中心可以对网络中的防火墙完成集中统一的配置、管理和系统监视,并具有设备自动发现功能;支持对安全设备运行状态的实时监控;支持实时安全事件报警和安全事件的日志管理审计。
●远程维护
当开启此功能时,允许授权管理员利用SSH或电话拨号的方式对防火墙设备进行在线维护。由于“远程支持”功能采用安全的协议SSH进行防火墙的管理,可保证网络上传送的管理信息被加密,而不被内部或外部用户嗅探或攻击。
●HA支持
支持双机热备和集群两种方式。通过把防火墙加入集群,在可以保证某一防火墙节点一旦发生问题时,其负载可以迅速切换到集群中其它防火墙上,从而满足无间断网络要求。
●模块升级与灾难恢复
支持防火墙软件、入侵检测库和病毒库的版本升级,并提供了完善的灾难恢复机制。当防火墙由于各种原因而出现网御电子钥匙不可用、Pin口令忘记、证书不可用或过期、防火墙IP地址遗失等现象时,管理员只要初始化主机,并将事前保存的系统配置文件导入防火墙,防火墙就能恢复正常的工作状态。
●支持非IP协议
支持IPX和NetBIOS等非IP协议,还支持自定义协议,控制是否可以通过,具有优秀的网络适应能力。
●支持VLAN (802.1Q)协议
防火墙可以接受、发送带有vlan标记的网络数据。因此,可把防火墙置于交换机trunk 口,同时支持多个vlan区间通信,包括透明和路由转发。
●VPN安全隧道模块(可选模块)
联想网御防火墙PowerV集成的VPN功能使您可以在Internet上构建基于IPSec技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN具有同本地私有网络一样的安全性、可靠性和可管理性等特点,同时大大降低了建设远程私有网络的费用。支持IPSec协议,提供网络层报文的身份鉴别、加密和完整性认证等功能。
2.1.3 硬件描述
2. 1.
3. 1 产品外观
防火墙正面:
图2-1防火墙前面板
●4个指示灯
防火墙正面面板上有4个指示灯,作用是
左上灯:电源指示灯
左下灯:读写状态指示灯
右侧两个灯:Ha指示灯
防火墙启动时,四个灯全部亮起,启动后,依照各自的作用分时亮。
两个HA状态灯:作为HA主节点:两个灯全亮
HA从节点:上灯亮,下灯灭
HA故障节点:上灯灭,下灯亮
为启用HA状态:两灯全灭
●Console和Aux
防火墙正面面板上指示灯的右边有两个接口,从左到右是Console和Aux,用于和计算机的串口1和串口2相连。
●网口
防火墙有4个标准10/100Base-TX(RJ45)接口,从左到右依次为fe1,fe2,fe3,fe4,fe4的右边是扩展接口,叫做fe5,fe6,fe7,fe8
●USB接口的网御电子钥匙1个
2. 1.
3. 2 电气性能
●电源电压:220V 50Hz 200W ATX
●优秀的抗干扰设计:支持IEC-1000-4-x系列抗干扰标准
●操作环境:温度0℃~55℃,湿度20%~80%
●存储环境:温度-40℃~80℃,湿度20% ~ 95%
●为保证EMI及传输效率,建议使用5类以上屏蔽双绞线
2. 1.
3. 3 执行标准
● GB/T 18019-1999 包过滤防火墙安全技术要求
● GB/T 18020-1999 应用级防火墙安全技术要求
2.1.4 软件描述
界面框架如图2-2所示。
图 2-2防火墙配置首页
页面分为三个区域:工具栏区,菜单区和显示区。
表 2-1工具栏中的按钮说明
菜单采用类似Windows操作系统资源管理器的树型结构。
菜单的分类和排列含有逻辑关系,了解这些逻辑关系将有助于管理员记忆并快速定义操作页面。
表2-2菜单分类和说明
2.1.5 附带软件描述
附带软件有:
●管理员身份认证(客户端软件及电子钥匙)
●用户身份认证(客户端软件)
●日志审计服务器(系统软件)
●集中管理站(系统软件)
●联想Radius服务器(系统软件)
2.2 拆箱检查
在打开包装之后,请您先检查随机附带的电源线、交叉线、光盘、串口线和电子钥匙等设备是否齐全,所有部件请对照装箱单进行检查,如有缺损请及时和销售人员联系。
注意:
取出设备后,不要将外包装丢弃,在需要搬运时,请务必使用原包装,它是为您的防火墙专门设计的包装,具备良好的防震功能。每当您需要维修服务时也最好用原包装将防火墙设备返回到联想集团有限公司的维修服务部门。
2.3 网御防火墙PowerV安装
2.3.1 检查安装场所
联想网御百兆防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
1.确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。
2.确认机柜和工作台自身有良好的通风散热系统。
3.确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。
4.确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。
2.3.2 安装
网御防火墙PowerV可以放置在桌面上,也可以放在标准的19英寸机架上。安放在桌面上不需要特别的安装,安放在机架上时需要螺丝刀。将防火墙固定在机架上的固定托架,相关螺钉等随机配备的产品机箱中。
2.3.3 网络连接
请安装防火墙在机架上或放在一个水平面上。
确认防火墙电源是关闭的。
连接电源线。
将防火墙连接在用户当前的网络中。
检查当前防火墙面板上的指示灯
2.4 配置管理方法
联想网御防火墙PowerV防火墙的配置界面有两种方式:基于web的图形方式和基于CLI的命令行方式,可以利用网络连接(SSH)或串口连接进行命令行配置。
2.4.1 网络接口web配置
支持远程安全管理和集中安全管理两种方式,优越性更表现在其集中安全管理的特性上。
1.远程安全管理——支持SSL协议,采用基于密码技术的PKI-CA证书认证和基于双因子
硬件一次性口令认证技术的管理员身份认证,使得只有认证通过的管理员才能通过远程访问配置web管理界面、操作相关文件,所有防火墙配置文件及与安全有关的数据都经加密处理存放。
2.集中式安全管理——管理员通过集中管理中心可以对全局网络中的防火墙进行统一的
配置与管理,支持SNMP、SSL协议,利用SNMP的trap机制实现安全事件报警。具体包括:
(1)拓扑管理:具有设备自动发现功能,使管理员拥有对联想网御防火墙PowerV 设备信息的全局掌握和控制。
(2)系统监测:监视联想网御防火墙PowerV的设备运行状态和统计数据系统状态,并在事件发生时通过图形界面向管理员发出通知。
(3)配置管理:可以对网络中的联想网御防火墙PowerV进行统一的安全配置、管理和系统监视。
2.4.2 网络接口CLI配置
提供命令行方式的基本配置管理和灾难恢复功能,通过SSH方式进行防火墙的安全管理和维护,并由管理员根据实际需要决定本功能的是否启用。
2.4.3 本地串口CLI配置
基于串口连接,提供命令行方式的基本配置管理和灾难恢复功能,提供了管理的安全、方便与灵活性。
2.5 登录管理界面
2.5.1 登录方法
防火墙共有四种管理方式:1)Web界面管理2)串口命令行管理3)远程SSH登录管
理4)PPP拨号接入管理。其中管理方式1)和2)是默认开启的,3)和4)默认是关闭的。
在Web界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。默认的管理主机IP地址是10.1.5.200,Web界面管理使用SSL协议来加密管理数据通信,因此使用IE来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
在串口命令行管理中,管理客户端的配置是9600-8-N-1,管理主机默认连接防火墙的CONSOLE,如果开启了PPP拨号接入功能,则串口管理的管理主机应当连接防火墙的串口AUX。
注意:用web界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
SSH登录管理必须首先在系统菜单“配置>>管理配置>>管理方式”中设置允许SSH登录,才可以通过SSH协议远程登录防火墙。以SecureCRT 3.4.3 (Official)版本客户端为例,客户端设置选择协议为ssh2,端口为22,认证方式为Password。此时客户端的IP必须是管理主机IP之一。
图2-3使用SecureCRT 3.4.3登录防火墙
在PPP拨号接入管理中,Modem连接到电话线路上,并将防火墙CONSOLE口连接Modem,管理主机通过另外一个Modem也接入电话线路,从管理主机向防火墙拨号,拨号成功后,防火墙与管理主机建立了PPP连接。此时,可以从管理主机上利用putty软件登录防火墙命令行界面(远程SSH方式)。
2.5.2 管理认证
管理员通过web方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。
使用电子钥匙时,首先将电子钥匙插入管理主机的usb口,启动联想网御防火墙PowerV电子钥匙初始化客户端InitIToken.exe,输入防火墙IP地址(初始是10.1.5.254)和防火墙ID(购买防火墙时提供),写入时,需要提供用户PIN密码和超级用户密码,都是
12345678。确认后就生成了用于认证的电子钥匙。
图2-4初始化电子钥匙
电子钥匙生成以后,启动用于认证的客户端ikeyc.exe,输入PIN密码,默认为12345678,系统会读出用于认证的ikey信息,此时窗口右边的灯是红的。
图2-5认证信息
选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后就可以通过https://10.1.5.254:8888连接防火墙了。
图2-6认证通过
注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙关人认证客户端,否则可能无法管理。
使用管理证书认证方式,必须在先使用电子钥匙登陆防火墙,上载防火墙证书后,并且在IE导入管理员证书后,可通过登录https://10.1.5.254:8889管理防火墙了。
2.5.3 登录过程
登录
1.接通电源,开启防火墙,选用一台带以太网卡和光驱的PC机作为防火墙的管理主
机,操作系统应为Window98/2000/XP,管理主机IE浏览器建议为5.0以上版本;
注意:防火墙正常启动后,会蜂鸣三声,未出现上述现象则表明防火墙未正常启动,请您求助防火墙技术支持人员。
2.使用随机提供的交叉线,连接管理主机和防火墙的网络接口fe1;
3.将管理主机的IP地址改为10.1.5.200(防火墙出厂时默认指定的管理主机IP);
4.使用上一节介绍的认证方法进行认证,首次登录,只能用电子钥匙进行认证。
5.打开IE浏览器,如果使用电子钥匙认证,浏览https://10.1.5.254:8888,出现如下防
火墙登录界面:
图2-7防火墙登录界面
6.在防火墙登录界面中输入管理员口令administrator,进入防火墙的配置首页。默认
的用户帐号和口令都是administrator。
当您进入联想网御防火墙PowerV的配置界面后,有关具体参数的说明和配置方法,请参考后续章节。
2.5.4 网御防火墙PowerV的一般配置过程
以Web界面管理方式为例,配置防火墙一般遵循以下步骤:
1.登录管理界面,参考1.5.1登录方法和1.5.3登录过程
2.选择“资源定义”菜单项中的子项,定义地址,服务,用户,时间,带宽,需要过
滤的URL,网络环境中存在的VLAN ID等资源。
3.选择“网络配置>>网络设备>>物理设备”,修改网口的工作模式和IP地址。选择
“系统配置>>管理配置>>管理主机”,修改管理主机的IP地址配置。如果网络环
境复杂,还需要配置“网络配置>>网络设备”下的VLAN设备,桥接设备,别名
设备,冗余设备和VPN设备。
4.选择“策略配置>>安全规则”,设置相应的包过滤,NA T,端口映射和IP映射规则。
其中包过滤规则中包含了设置IPSec,用户认证,代理的规则。NAT规则中包含了
源地址转换和伪装的功能。源地址转换可以明确设定某些源地址转换成相应的地
址。
5.系统保存,单击上侧中部磁盘的图标,保存系统配置。如果没有保存就重新启动,
系统将恢复到上一次保存的配置。
6.在日常的维护中,经常观察防火墙“系统监控”菜单下的内容和日志服务器中的日
志信息,以便了解防火墙的工作状态。
更详细的内容,请参阅防火墙手册的相关部分。
2.5.5 退出登录
退出防火墙配置管理界面,虽然可以采用直接关闭浏览器界面的方式,但请尽量采用点击界面上“退出”,因为这样可以通知防火墙关闭这个会话,从而最大限度的保证安全性。直接退出还会少记一条管理员退出日志。如果直接关闭浏览器,防火墙没有收到结束会话的指令,则会误以为该管理员仍在线管理中,另外如果没有选择了“允许多个管理员登录”,则会造成别的管理员登录不了。
提示:
当因为直接关闭浏览器而导致无法继续管理时,可通过串口登陆,删除相应的临时文件即可。
具体如下:rm -f /tmp/session*.
DPtech FW1000系列防火墙用户配置 手册
杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户,请直接与销售代理商联系;直接向杭州迪普科技有限公司购买产品的用户,可直接与公司联系。 杭州迪普科技有限公司 地址:杭州市滨江区火炬大道581号三维大厦B座901室 邮编:310053
声明 Copyright 2010 杭州迪普科技有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本书内容的部分或全部,并不得以任何形式传播。 由于产品版本升级或其他原因,本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导,杭州迪普科技有限公司尽全力在本手册中提供准确的信息,但是杭州迪普科技有限公司并不确保手册内容完全没有错误,本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。
目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9
JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置:STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置:STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)
防火墙操作手册 ----USG6550(V100R001)
1.安装前的准备工作 在安装USG前,请充分了解需要注意的事项和遵循的要求,并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时,不当的操作可能会引起人身伤害或导致USG损坏,请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前,请检查安装环境是否符合要求,以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具,请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全,在安装、操作和维护设备时,请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项,并不代表所应遵守的所有安全事项,只作为所有安全注意事项的补充。 2)当地法规和规范
操作设备时,应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员,必须先经严格培训,了解各种安全注意事项,掌握正确的操作方法之后,方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件(包括软件)必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险,禁止将安全特低电压(SELV)电路端子连接到通讯网络电压(TNV)电路端子上。 禁止裸眼直视光纤出口,以防止激光束灼伤眼睛。 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。 如果发生火灾,应撤离建筑物或设备区域并按下火警警铃,或者拨打火警电话。任何情况下,严禁再次进入燃烧的建筑物。
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
声明 服务修订: ●本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任: ●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或 默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿 责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息: ●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司 书面的有效授权。 网神信息技术(北京)股份有限公司
目录 导言、概述 (13) 第一章、基于web管理界面 (14) 1.web管理界面页面 (15) 2.Web管理界面主菜单 (17) 3.使用web管理界面列表 (18) 4.在web管理界面列表中增加过滤器 (19) 4.1 包含数字栏的滤波器 (21) 4.2 包含文本串的滤波器 (21) 5.在web管理界面列表中使用页面控制 (22) 5.1 使用栏设置来控制显示栏 (24) 5.2 使用带有栏设置的过滤器 (25) 6.常用web管理界面任务 (25) 6.1 连接到web管理界面 (26) 6.2 连接到web管理界面 (27) 7.修改当前设定 (28) 7.1 修改您SecGate管理员密码 (29) 7.2 改变web管理界面语言 (29) 7.3 改变您SecGate设备管理路径 (30)
7.4 改变web管理界面空闲运行时间 (31) 7.5 切换VDOMs (31) 8.联系客户支持 (31) 9.退出 (32) 第二章、系统管理 (32) 1. 系统仪表板 (32) 1.1 仪表板概述 (34) 1.2 添加仪表板 (34) 1.3 系统信息 (37) 1.4 设备操作 (45) 1.5 系统资源 (47) 1.6 最多的会话 (49) 1.7 固件管理条例 (53) 1.8 备份您的配置 (54) 1.9 在升级前测试固件 (57) 1.10 升级您的SecGate设备 (61) 1.11 恢复到以前的固件镜像 (65) 1.12 存储您的配置 (71) 使用虚拟域 (74)
DPtech FW1000维护手册 杭州迪普科技有限公司 2012年01月
目录 DPtech FW1000维护手册 (1) 第1章常见维护事项 (1) 1.1系统基本维护 (1) 1.2日常故障维护 (1) 1.3数据备份管理 (1) 1.4补丁升级管理 (2) 第2章应急处理方案 (4) 2.1运输导致设备无法启动 (4) 2.2互联网访问异常 (4) 2.3集中管理平台无相关日志 (4) 2.4设备工作不正常 (5) 2.5IPSEC-VPN无法正常建立 (5) 2.6访问内网服务器异常 (5) 2.7新加入的设备,内网无法上网 (5) 2.8个别内网地址无法上网 (6) 2.9映射内网服务器访问不了 (6) 2.10用户访问网站慢 (6) 第3章功能项 (7) 3.1用户名/密码 (7) 3.2管理员 (7) 3.3WEB访问 (7) 3.4接口状态 (8) 3.5数据互通 (8) 3.6日志信息 (8) 第4章其他 (10) 4.1注册与申请 (10) 4.2升级与状态 (10) 第5章FAQ (13) 5.1入门篇 (13) 5.2进阶篇 (14)
第1章常见维护事项 1.1 系统基本维护 防火墙应该指派专人管理、维护,管理员的口令要严格保密,不得泄露 防火墙管理员应定期查看统一管理中心(UMC)和防火墙的系统资源(包括内存/CPU/外存),确认运行状况是否正常 防火墙管理员应定期检查“严重错误”以上级别的系统日志,发现防火墙的异常运行情况 防火墙管理员应定期检查操作日志,确认是否有异常操作(修改、添加、删除策略,删除日志等)、异常登录(非管理员登陆记录、多次登陆密码错误),对此应立即上报并修改密码 防火墙管理员应定期检查和分析自动生成的报表,对报表中的可疑事件进行追踪(例如部分时间段异常攻击等),并出具安全运行报告 防火墙管理帐号用户名:admin,初始口令admin,首次使用需修改,并备份 统一管理中心服务器需要按时进行操作系统的补丁升级和杀毒软件的病毒库升级1.2 日常故障维护 统一管理中心服务器无法登录,请检查能否PING通统一管理中心服务器,其相关服务(UMC数据库服务、UMC Web服务、UMC后台服务)是否启动,管理端口80是否一致 统一管理中心服务器上网络流量快照或FW日志无法生成,先检查端口9502、9516、9514是否开放,防火墙的日志发送配置是否正确,再用抓包工具检查防火墙是否发送日志 防火墙无法登录,请检查防火墙的IP是否可以Ping通,同时检测端口80是否开放1.3 数据备份管理 统一管理中心服务器系统安装后要先进行完全备份 统一管理中心服务器管理员应定期将备份的数据导入到指定的备份机或刻盘存储
Eudemon 200防火墙操作指导 本文网址:https://www.doczj.com/doc/3117511870.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用) Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd
Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域(Local) (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
防火墙模块手册 北京爱赛立技术有限公司 ICG Networks Technologies Co., Ltd. All rights reserved 版权所有侵权必究
目录 1简介 (3) 1.1概述 (3) 1.2防火墙功能点 (3) 1.2.1连接监测描述 (3) 1.2.2包过滤策略描述 (3) 1.2.3基于策略的连接数限制 (3) 1.2.4协议状态检测 (4) 1.2.5基于MAC地址的帧过滤 (5) 1.2.6连接监测模块功能定义 (5) 1.2.7具体协议连接监测状态转换 (8) 1.2.8松散TCP状态检查 (8) 1.2.9包过滤策略功能定义 (9) 1.2.10地址对象 (10) 1.2.11业务类型对象 (10) 1.2.12时间范围对象 (10) 2配置防火墙 (10) 3配置举例 (17)
1 简介 1.1 概述 本模块主要描述ICG系统中防火墙模块的基本处理流程和机制。 本版本包括连接监测,包过滤策略功能模块和基于MAC地址的帧过滤。 1.2 防火墙功能点 系统实现了对以下协议的状态检测功能:FTP,H323和SIP。 1.2.1连接监测描述 基于状态的资源和连接控制基于这样的观点:如果连接长时间没有应答,一直处于半连接状态,会浪费连接资源。同样虽然连接已经建立,但长时间没有数据流穿过,也会浪费了连接资源。 连接监测功能通过追踪和统计连接建立的过程和数量,来管理系统和ICMP,TCP,UDP,Generic协议的连接状态,提高网络访问的性能。 1.2.2包过滤策略描述 包过滤策略能够保护内部网络资源,防止外来者接触。同时限制内部网络用户对外部网络的访问。 防火墙包过滤策略根据IP包中IP、TCP、UDP协议的头部信息,IP报文进入系统的入口设备以及IP报文离开系统的出口设备决定对IP包进行的操作,由此控制对网络内部或网络外部资源的访问,提高网络的安全性能。 由于包过滤策略只处理IP,TCP,UDP协议的头部信息,这样既控制了网络中的通过系统数据流量,又能维持一定的系统性能。 1.2.3基于策略的连接数限制 基于策略的连接数限制功能统计匹配每个策略的总连接数和每个主机的连接数,并能够对这些连接数量加以限制。
配置路由模式下主备备份方式的双机热备份举例 组网需求 Eudemon 1000E作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备,且均工作在路由模式下。 网络规划如下: ?需要保护的网段地址为10.100.10.0/24,与Eudemon 1000E的GigabitEthernet 0/0/1接口相连,部署在Trust区域。 ?外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。 ?两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。 其中,各安全区域对应的VRRP组虚拟IP地址如下: ?Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。 ?Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。 ?DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。 组网图如图1所示。 图1 路由模式下主备备份方式的双机热备份配置举例组网图 数据规划
操作步骤 1.在Eudemon 1000E A上完成以下基本配置。 # 配置GigabitEthernet 0/0/1的IP地址。
Juniper防火墙维护手册
目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置(双机配置) (7) 1.5.配置MIP(通过图形界面配置) (9) 1.6.配置访问策略(通过图形界面配置) (11) https://www.doczj.com/doc/3117511870.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)
1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen,为了便于区分设备和维护,在对防火墙进行配置前先对防火墙进行命名: Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段,用于专门对接口进行管理时用。在双机的工作状态下,因为接口的地址只存在于主防火墙上,如果不配置管理IP,则不能对备用防火墙进行登录了。一般在单机时,不需要配置接口的管理IP,但在双机时,建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意:接口的工作模式可以工作在路由模式,NAT模式和透明模式。在产品线应用中,透明模式很少用,而NAT模式只有在trust到untrust的数据流才起作用,建议把防火墙的所有接口都配置成route的工作模式,用命令set interface接口名 route配置即可,缺省情况下需要在trust区段中的接口使用此命令。 本例子中,配置接口ethernet2属于Untrust区,IP地址为202.38.12.23/28,如设置管理方式是Http,命令如下: Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
D P t e c h F W系列防火墙 系统操作手册 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
DPtech FW1000操作手册杭州迪普科技有限公司 2011年10月
目录
第1章组网模式 1.1 组网模式1-透明模式 组网应用场景 需要二层交换机功能做二层转发 在既有的网络中,不改变网络拓扑,而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的,即用户意识不到防火墙的存在 部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-ifxxx的管理地址,用于设备管理 1.2 组网模式2-路由模式 组网应用场景 需要路由功能做三层转发 需要共享Internet接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能,静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入
提供目的NAT支持对外提供各种服务 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口,并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE 1.3 组网模式3-混合模式 组网应用场景 需结合透明模式及路由模式 特点 在VLAN内做二层转发 在VLAN间做三层转发 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口,用于三层转发 配置一个vlan-ifxxx的地址,用于三层转发
目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31