第 1 章金蝶K/3系统在WINDOWS 2008系统下配置
微软公司2008年2月份,正式发布了Windows Server 2008 。Windows Server 2008代表了下一代 Windows Server,其对服务器和网络基础结构的控制能力更强,操作系统和保护网络环境的安全性也大大提高。金蝶K/3 从V 12.0版本开始,中间层服务器开始支持Windows Server 2008系统。但是需进行相应的配置才能保证K/3客户端机器的正常运行。
本章的目的
当完成本章的学习之后,您将能够做以下事情:
Microsoft Windows 2008系统优势
K/3系统中间层部件在Microsoft Windows 2008系统下配置
8.1.Microsoft Windows 2008系统优势Windows Server 2008的优势主要体现在以下四个方面:
8.2.中间层服务器的安装准备检查
金蝶K/3系统需要启用网络DTC访问, COM+网络访问等环境,才能允许客户端连接到中间层,这些环境在Microsoft Windows 2000下是默认安装的,但在Microsoft Windows 2003及Microsoft Windows 2008下,这些功能都不是默认的,因此需要检查当前的Microsoft Windows 2008系统是否安装了这些组件并配置正确,如果这些组件没有安装请进行安装,下面是安装、配置这些组件的步骤,同时也可以通过这种方法检查设置。
步骤1:单击【开始】→【程序】→【管理工具】→【服务器管理器】,打开Windows 2008角色管理界面,或者打开【开始】→【运行】,输入servermanager.msc,也可以进入Windows 2008角色管理窗口,如图9-2-1:
图9-2-1
打开的角色管理界面后,在“角色”选项中,单击【添加角色】,如图9-2-2所示:
图9-2-2
打开的添加角色界面,单击【下一步】,如图9-2-3:
勾选“应用程序服务器”,进入选择角色服务界面,如图9-2-4:
图9-2-4
然后单击选择“角色服务”,勾选“COM+网络访问”,然后单击【下一步】,如图9-2-5:
图9-2-5
将Windows 2008操作系统光盘放入光驱,然后单击【安装】,如图9-2-6,完成网络COM+安装:
图9-2-6
注意:在安装上述组件的过程中需要用到Microsoft Windows 2008的系统安装盘。
口,然后依次单击【组件服务】→【计算机】→【我的电脑】,在“”上单击鼠
标右键,选择【属性】,如图9-2-7所示:
图9-2-7
在打开的属性界面中单击【COM安全】页签,然后单击【启动和编辑权限】中的【编辑
限制…】按钮,如图9-2-8:
图9-2-8
选择【Everyone】用户, Everyone的四个权限设置允许,如图9-2-9所示
图9-2-9
然后,在组件服务窗口中,【组件服务】→【计算机】→【我的电脑】,单击打开,选择【Distributed Transaction Coordinator】下面的【本地DTC】,右键选择【属性】,如图9-2-10所示:
图9-2-10
打开本地DTC的属性窗口中,单击【安全】页签,勾选“允许远程客户端”、“允许远程
管理”、“允许出站”、“允许入站”,并且选择“不要求进行验证”,如下图9-2-11所示:
图9-2-11
访问”并且进行“允许远程客户端”、“允许远程管理”及“允许入站”、“允许出站”,选择
“不要求进行验证”,同时DTC的登录账户需要是“NT AUTHORITY\NetworkService”这个系
统内置用户。
8.3.WEB服务部件的安装准备检查
WEB服务部件需要使用系统IIS环境,请参照8.2节中的图9-2-4,勾选Web服务器(IIS),
同样需要操作系统安装光盘,进行安装。
关闭防火墙
天融信版本防火墙常用功能配置手册 北京天融信南京分公司 2008年5月
目录
一、前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对天融信防火墙基本功能的实现和应用。 二、天融信版本防火墙配置概述 天融信防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求。在配置天融信防火墙之前我们通常需要先了解用户现有网络的规划情况和用户对防火墙配置及实现功能的诸多要求,建议参照以下思路和步骤对天融信防火墙进行配置和管理。 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式),根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 ?提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络长时间中断。
三、天融信防火墙一些基本概念 接口:和防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管理员在对防火墙进行配置前首先要做的工作之一。对象概念的使用大大简化了管理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中,用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 ?提示:对象名称不允许出现的特殊字符:空格、“'”、“"”、“\”、“/”、“;”、“"”、“$”、“&”、“<”、“>”、“#”、“+”。 ?提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。四、防火墙管理 防火墙缺省管理接口为eth0口,管理地址为,缺省登录管理员帐号:用户名superman,口令talent。 防火墙出厂配置如下:
防火墙配置中必备的六个主要命令解析 防火墙的基本功能,是通过六个命令来完成的。一般情况下,除非有特殊的安全需求,这个六个命令基本上可以搞定防火墙的配置。下面笔者就结合CISCO的防火墙,来谈谈防火墙的基本配置,希望能够给大家一点参考。 第一个命令:interface Interface是防火墙配置中最基本的命令之一,他主要的功能就是开启关闭接口、配置接口的速度、对接口进行命名等等。在买来防火墙的时候,防火墙的各个端都都是关闭的,所以,防火墙买来后,若不进行任何的配置,防止在企业的网络上,则防火墙根本无法工作,而且,还会导致企业网络不同。 1、配置接口速度 在防火墙中,配置接口速度的方法有两种,一种是手工配置,另外一种是自动配置。手工配置就是需要用户手工的指定防火墙接口的通信速度;而自动配置的话,则是指防火墙接口会自动根据所连接的设备,来决定所需要的通信速度。 如:interface ethernet0 auto --为接口配置“自动设置连接速度” Interface ethernet2 100ful --为接口2手工指定连接速度,100MBIT/S。 这里,参数ethernet0或者etnernet2则表示防火墙的接口,而后面的参数表示具体的速度。 笔者建议 在配置接口速度的时候,要注意两个问题。 一是若采用手工指定接口速度的话,则指定的速度必须跟他所连接的设备的速度相同,否则的话,会出现一些意外的错误。如在防火墙上,若连接了一个交换机的话,则交换机的端口速度必须跟防火墙这里设置的速度相匹配。 二是虽然防火墙提供了自动设置接口速度的功能,不过,在实际工作中,作者还是不建议大家采用这个功能。因为这个自动配置接口速度,会影响防火墙的性能。而且,其有时候也会判断失误,给网络造成通信故障。所以,在一般情况下,无论是笔者,还是思科的官方资料,都建议大家采用手工配置接口速度。 2、关闭与开启接口 防火墙上有多个接口,为了安全起见,打开的接口不用的话,则需要及时的进行关闭。一般可用shutdown命令来关闭防火墙的接口。但是这里跟思科的IOS 软件有一个不同,就是如果要打开这个接口的话,则不用采用no shutdown命令。在防火墙的配置命令中,没有这一条。而应该采用不带参数的shutdown命令,来把一个接口设置为管理模式。
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
防火墙配置中必备地六个主要命令解析 防火墙地基本功能,是通过六个命令来完成地.一般情况下,除非有特殊地安全需求,这个六个命令基本上可以搞定防火墙地配置.下面笔者就结合地防火墙,来谈谈防火墙地基本配置,希望能够给大家一点参考. 第一个命令: 是防火墙配置中最基本地命令之一,他主要地功能就是开启关闭接口、配置接口地速度、对接口进行命名等等.在买来防火墙地时候,防火墙地各个端都都是关闭地,所以,防火墙买来后,若不进行任何地配置,防止在企业地网络上,则防火墙根本无法工作,而且,还会导致企业网络不同.文档来自于网络搜索 、配置接口速度 在防火墙中,配置接口速度地方法有两种,一种是手工配置,另外一种是自动配置.手工配置就是需要用户手工地指定防火墙接口地通信速度;而自动配置地话,则是指防火墙接口会自动根据所连接地设备,来决定所需要地通信速度.文档来自于网络搜索如:为接口配置“自动设置连接速度” 为接口手工指定连接速度,.文档来自于网络搜索 这里,参数或者则表示防火墙地接口,而后面地参数表示具体地速度. 笔者建议 在配置接口速度地时候,要注意两个问题. 一是若采用手工指定接口速度地话,则指定地速度必须跟他所连接地设备地速度相同,否则地话,会出现一些意外地错误.如在防火墙上,若连接了一个交换机地话,则交换机地端口速度必须跟防火墙这里设置地速度相匹配.文档来自于网络搜索 二是虽然防火墙提供了自动设置接口速度地功能,不过,在实际工作中,作者还是不建议大家采用这个功能.因为这个自动配置接口速度,会影响防火墙地性能.而且,其有时候也会判断失误,给网络造成通信故障.所以,在一般情况下,无论是笔者,还是思科地官方资料,都建议大家采用手工配置接口速度.文档来自于网络搜索 、关闭与开启接口 防火墙上有多个接口,为了安全起见,打开地接口不用地话,则需要及时地进行关闭.一般可用命令来关闭防火墙地接口.但是这里跟思科地软件有一个不同,就是如果要打开这个接口地话,则不用采用命令.在防火墙地配置命令中,没有这一条.而应该采用不带参数地命令,来把一个接口设置为管理模式.文档来自于网络搜索 笔者建议 在防火墙配置地时候,不要把所有地接口都打开,需要用到几个接口,就打开几个接口.若把所有地接口都打开地话,会影响防火墙地运行效率,而且,对企业网络地安全也会有影响.或者说,他会降低防火墙对于企业网络地控制强度.文档来自于网络搜索第二个命令: 一般防火墙出厂地时候,思科也会为防火墙配置名字,如等等,也就是说,防火墙地物理位置跟接口地名字是相同地.但是,很明显,这对于我们地管理是不利地,我们不能够从名字直观地看到,这个接口到底是用来做什么地,是连接企业地内部网络接口,还是连接企业地外部网络接口.所以,网络管理员,希望能够重命令这个接口地名字,利用比较直观地名字来描述接口地用途,如利用命令来表示这个接口是用来连接外部网络;而利用命令来描述这个接口是用来连接内部网络.同时,在给端口进行命名地时候,还可以指定这个接口地安全等级.文档来自于网络搜索 命令基本格式如下
一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建<-- Script Filtered/n/n-->扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为 0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。
FortiGate 常用配置命令 一、命令结构 config Configure object. 对策略,对象等进行配置get Get dynamic and system information. 查看相关关对象的参数信息show Show configuration. 查看配置文件 diagnose Diagnose facility. 诊断命令 execute Execute static commands. 常用的工具命令,如ping exit Exit the CLI. 退出 二、常用命令 1、配置接口地址: FortiGate # config system interface FortiGate (interface) # edit lan FortiGate (lan) # set ip 192.168.100.99/24 FortiGate (lan) # end 2、配置静态路由 FortiGate (static) # edit 1 FortiGate (1) # set device wan1 FortiGate (1) # set dst 10.0.0.0 255.0.0.0
FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # end 3、配置默认路由 FortiGate (1) # set gateway 192.168.57.1 FortiGate (1) # set device wan1 FortiGate (1) # end 4、添加地址 FortiGate # config firewall address FortiGate (address) # edit clientnet new entry 'clientnet' added FortiGate (clientnet) # set subnet 192.168.1.0 255.255.255.0 FortiGate (clientnet) # end 5、添加 ip 池 FortiGate (ippool) # edit nat-pool new entry 'nat-pool' added FortiGate (nat-pool) # set startip 100.100.100.1 FortiGate (nat-pool) # set endip 100.100.100.100 FortiGate (nat-pool) # end
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
华为usg防火墙基本配置命令有哪些 防火墙是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。下面是给大家整理的一些有关华为usg防火墙基本配置命令,希望对大家有帮助! 华为usg防火墙基本配置命令登陆缺省配置的防火墙并修改防火墙的名称 防火墙和路由器一样,有一个Console接口。使用console线缆将console接口和计算机的com口连接在一块。使用windows 操作系统自带的超级终端软件,即可连接到防火墙。 防火墙的缺省配置中,包括了用户名和密码。其中用户名为admin、密码Admin@123,所以登录时需要输入用户名和密码信息,输入时注意区分大小写。 修改防火墙的名称的方法与修改路由器名称的方法一致。 另外需要注意的是,由于防火墙和路由器同样使用了VRP平台操作系统,所以在命令级别、命令帮助等,与路由器上相应操作相同。 sys 13:47:28 2014/07/04 Enter system view, return user view withCtrl+Z.
[SRG]sysname FW 13:47:32 2014/07/04 修改防火墙的时间和时区信息 默认情况下防火墙没有定义时区,系统保存的时间和实际时间可能不符。使用时应该根据实际的情况定义时间和时区信息。实验中我们将时区定义到东八区,并定义标准时间。 clock timezone 1 add 08:00:00 13:50:57 2014/07/04 dis clock 21:51:15 2014/07/03 2014-07-03 21:51:15 Thursday Time Zone : 1 add 08:00:00 clock datetime 13:53:442014/07/04 21:53:29 2014/07/03 dis clock 13:54:04 2014/07/04 2014-07-04 13:54:04 Friday Time Zone : 1 add 08:00:00 修改防火墙登录标语信息 默认情况下,在登陆防火墙,登陆成功后有如下的标语信息。
要想配置思科的防火墙得先了解这些命令: 常用命令有:nameif、interface、ip address、nat、global、route、static等。 global 指定公网地址范围:定义地址池。 Global命令的配置语法: global (if_name) nat_id ip_address-ip_address [netmark global_mask] 其中: (if_name):表示外网接口名称,一般为outside。 nat_id:建立的地址池标识(nat要引用)。 ip_address-ip_address:表示一段ip地址范围。 [netmark global_mask]:表示全局ip地址的网络掩码。 nat 地址转换命令,将内网的私有ip转换为外网公网ip。 nat命令配置语法:nat (if_name) nat_id local_ip [netmark] 其中: (if_name):表示接口名称,一般为inside. nat_id:表示地址池,由global命令定义。 local_ip:表示内网的ip地址。对于0.0.0.0表示内网所有主机。 [netmark]:表示内网ip地址的子网掩码。 route route命令定义静态路由。 语法: route (if_name) 0 0 gateway_ip [metric] 其中: (if_name):表示接口名称。 0 0 :表示所有主机 Gateway_ip:表示网关路由器的ip地址或下一跳。 [metric]:路由花费。缺省值是1。 static 配置静态IP地址翻译,使内部地址与外部地址一一对应。 语法:
(1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建<-- Script Filtered/n/n-->扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。
listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。
一、Cisco Pix日常维护常用命令 1、Pix模式介绍 “>”用户模式 firewall>enable 由用户模式进入到特权模式 password: “#”特权模式 firewall#config t 由特权模式进入全局配置模式 “(config)#”全局配置模式 firewall(config)# 防火墙的配置只要在全局模式下完成就可以了。 1、 基本配置介绍 1、端口命名、设备命名、IP地址配置及端口激活 nameif ethernet0 outside security0 端口命名 nameif gb-ethernet0 inside security100 定义端口的名字以及安全级别,“outside”的安全级别默认为0,“inside”安全级别默认为100,及高安全级别的可以访问低安全级别的,但低安全级别不能主动地到高安全级别。firewall(config)#hostname firewall 设备名称 firewall(config)#ip address outside 内外口地址设置 firewall(config)#ip address inside firewall(config)# interface ethernet0 100full 激活外端口 firewall(config)# interface gb-ethernet0 1000auto 激活内端口 2、telnet、ssh、web登陆配置及密码配置 防火墙默认是不允许内/外网用户通过远程登陆或WEB访问的,需要相应得开启功能。firewall(config)#telnet inside?允许内网此网断内的机器Telnet到防火墙 配置从外网远程登陆到防火墙 Firewall(config)#domain-name firewall(config)# crypto key generate rsa firewall(config)#ssh outside 允许外网所有地址可以远程登录防火墙,也可以定义一格具体的地址可以从外网登陆到防火墙上,如: firewall(config)#ssh outside firewall(config)#enable password?cisco 由用户模式进入特权模式的口令 firewall(config)#passrd?cisco ssh远程登陆时用的口令 firewall(config)#username?Cisco?password?Cisco
华为路由器和防火墙配置命令总结 一、用于创建访问规则. ()创建标准访问列表 [ ] { } [ ] ()创建扩展访问列表 [ ] { } [ [ ] ] [ [ ] [ ] ] [ ] ()删除访问列表 { } { [ ] } 【参数说明】 指定规则加入普通时间段. 指定规则加入特殊时间段. 是到之间地一个数值,表示规则是标准访问列表规则. 是到之间地一个数值,表示规则是扩展访问列表规则. 表明允许满足条件地报文通过. 表明禁止满足条件地报文通过. 为协议类型,支持、、等,其它地协议也支持,此时没有端口比较地概念;为时有特殊含义,代表所有地协议. 为源地址. 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为. 为目地地址. 为目地地址通配位. [可选] 端口操作符,在协议类型为或时支持端口比较,支持地比较操作有:等于()、大于()、小于()、不等于()或介于();如果操作符为,则后面需要跟两个端口. 在协议类型为或时出现,可以为关键字所设定地预设值(如)或之间地一个数值. 在协议类型为或且操作类型为时出现;可以为关键字所设定地预设值(如)或之间地一个数值. [可选] 在协议为时出现,代表报文类型;可以是关键字所设定地预设值(如)或者是之间地一个数值. 在协议为且没有选择所设定地预设值时出现;代表码,是之间地一个数值. [可选] 表示如果报文符合条件,需要做日志. 为删除地规则序号,是之间地一个数值. [可选] 指定删除序号为地访问列表中规则地序号. 【缺省情况】
系统缺省不配置任何访问规则. 【命令模式】 全局配置模式 【使用指南】 同一个序号地规则可以看作一类规则;所定义地规则不仅可以用来在接口上过滤报文,也可以被如等用来判断一个报文是否是感兴趣地报文,此时,与表示是感兴趣地还是不感兴趣地. 使用协议域为地扩展访问列表来表示所有地协议. 同一个序号之间地规则按照一定地原则进行排列和选择,这个顺序可以通过命令看到. 【举例】 允许源地址为网络、目地地址为网络地访问,但不允许使用. () () 【相关命令】 二、清除访问列表规则地统计信息. [ ] 【参数说明】 [可选] 要清除统计信息地规则地序号,如不指定,则清除所有地规则地统计信息. 【缺省情况】 任何时候都不清除统计信息. 【命令模式】 特权用户模式 【使用指南】
防火墙三种部署模式及基本配置 Juniper防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是: ① 基于TCP/IP协议三层的NAT模式; ② 基于TCP/IP协议三层的路由模式; ③ 基于二层协议的透明模式。 2.1、NAT模式 当Juniper防火墙入口接口(“内网端口”)处于NAT模式时,防火墙将通往Untrust 区(外网或者公网)的IP 数据包包头中的两个组件进行转换:源 IP 地址和源端口号。 防火墙使用 Untrust 区(外网或者公网)接口的 IP 地址替换始发端主机的源IP 地址;同时使用由防火墙生成的任意端口号替换源端口号。 NAT模式应用的环境特征: ① 注册IP地址(公网IP地址)的数量不足; ② 内部网络使用大量的非注册IP地址(私网IP地址)需要合法访问Internet; ③ 内部网络中有需要外显并对外提供服务的服务器。 2.2、Route-路由模式 当Juniper防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:Trust/Utrust/DMZ)转发信息流时IP 数据包包头中的源地址和端口号保持不变。 ① 与NAT模式下不同,防火墙接口都处于路由模式时,不需要为了允许入站数据流到达某个主机而建立映射 IP (MIP) 和虚拟 IP (VIP) 地址; ② 与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。 路由模式应用的环境特征: ① 注册IP(公网IP地址)的数量较多; ② 非注册IP地址(私网IP地址)的数量与注册IP地址(公网IP地址)的数量相当;
③ 防火墙完全在内网中部署应用。 2.3、透明模式 当Juniper防火墙接口处于“透明”模式时,防火墙将过滤通过的IP数据包,但不会修改 IP数据包包头中的任何信息。防火墙的作用更像是处于同一VLAN 的2 层交换机或者桥接器,防火墙对于用户来说是透明的。 透明模式是一种保护内部网络从不可信源接收信息流的方便手段。使用透明模式有以下优点: ① 不需要修改现有网络规划及配置; ② 不需要为到达受保护服务器创建映射或虚拟 IP 地址; ③ 在防火墙的部署过程中,对防火墙的系统资源消耗最低。 2.4、基于向导方式的NAT/Route模式下的基本配置 Juniper防火墙NAT和路由模式的配置可以在防火墙保持出厂配置启动后通过Web浏览器配置向导完成。 注:要启动配置向导,则必须保证防火墙设备处于出厂状态。例如:新的从未被调试过的设备,或者经过命令行恢复为出厂状态的防火墙设备。 通过Web浏览器登录处于出厂状态的防火墙时,防火墙的缺省管理参数如下: ① 缺省IP:192.168.1.1/255.255.255.0; ② 缺省用户名/密码:netscreen/ netscreen; 注:缺省管理IP地址所在端口参见在前言部份讲述的“Juniper防火墙缺省管理端口和IP地址”中查找!! 在配置向导实现防火墙应用的同时,我们先虚拟一个防火墙设备的部署环境,之后,根据这个环境对防火墙设备进行配置。 防火墙配置规划: ① 防火墙部署在网络的Internet出口位置,内部网络使用的IP地址为 192.168.1.0/255.255.255.0所在的网段,内部网络计算机的网关地址为防火墙内网端口的IP地址:192.168.1.1;
天融信防火墙NGFW4000快速配置手册 一、防火墙的几种管理方式 1.串口管理 第一次使用网络卫士防火墙,管理员可以通过CONSOLE 口以命令行方式进行配置和管理。 通过CONSOLE 口登录到网络卫士防火墙,可以对防火墙进行一些基本的设置。用户在初次使用防火墙时,通常都会登录到防火墙更改出厂配置(接口、IP 地址等),使在不改变现有网络结构的情况下将防火墙接入网络中。这里将详细介绍如何通过CONSOLE口连接到网络卫士防火墙: 1)使用一条串口线(包含在出厂配件中),分别连接计算机的串口(这里假设使用com1)和防火墙的CONSOLE 口。 2)选择开始> 程序> 附件> 通讯> 超级终端,系统提示输入新建连接的名称。 3)输入名称,这里假设名称为“TOPSEC”,点击“确定”后,提示选择使用的接口(假设使用com1)。 4)设置com1 口的属性,按照以下参数进行设置。 参数名称取值 每秒位数:9600 数据位:8
奇偶校验:无 停止位: 1 6)输入系统默认的用户名:superman 和密码:talent,即可登录到网络卫士防火 墙。登录后,用户就可使用命令行方式对网络卫士防火墙进行配置管理。 2.TELNET管理 TELNET管理也是命令行管理方式,要进行TELNET管理,必须进行以下设置: 1)在串口下用“pf service add name telnet area area_eth0 addressname any”命令添加管理权限 2)在串口下用“system telnetd start”命令启动TELNET管理服务 3)知道管理IP地址,或者用“network interface eth0 ip add 192.168.1.250 mask 255.255.255.0”命令添加管 理IP地址 4)然后用各种命令行客户端(如WINDOWS CMD命令行)管理:TELNET 192.168.1.250 5)最后输入用户名和密码进行管理命令行如图: 3.SSH管理
PIX防火墙基本配置命令和配置实例 PIX防火墙基本配置命令和配置实例 1. PIX 的配置命令 (1) 配置防火墙接口的名字,并指定安全级别(nameif) Pix525(config)#nameif ethernet0 outside security0 Pix525(config)#nameif ethernet1 inside security100 Pix525(config)#nameif dmz security50 提示:在缺省配置中,以太网0被命名为外部接口(outside),安全级别是0;以太网1被命名为内部接口(inside),安全级别是100.安全级别取值范围为1~99,数字越大安全级别越高。若添加新的接口,语句可以这样写: Pix525(config)#nameif pix/intf3 security40 (安全级别任取) (2) 配置以太口参数(interface) Pix525(config)#interface ethernet0 auto (auto选项表明系统自适应网卡类型) Pix525(config)#interface ethernet1 100full (100full选项表示100Mbit/s以太网全双工通信) Pix525(config)#interface ethernet1 100full shutdown (shutdown选项表示关闭这个接口,若启用接口去掉shutdown) (3) 配置内外网卡的IP地址(ip address) Pix525(config)#ip address outside 61.144.51.42 255.255.255.248 Pix525(config)#ip address inside 192.168.0.1 255.255.255.0 很明显,Pix525防火墙在外网的ip地址是61.144.51.42,内网ip地址是192.168.0.1 (4) 指定外部地址范围(global) Global命令的配置语法:global (if_name) nat_id ip_address - ip_address [netmark global_mask] global命令把内网的IP地址翻译成外网的IP地址或一段地址范围。其中(if_name)表示外网接口名字,例如outside。Nat_id用来标识全局地址池,使它与其相应的NAT命令相匹配,ip_address-ip_address表示翻译后的单个IP地址或一段IP地址范围。[netmark global_mask]表示全局IP地址的网络掩码。 例1.Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48 表示内网的主机通过pix防火墙要访问外网时,pix防火墙将使用 61.144.51.42-61.144.51.48这段IP地址池为要访问外网的主机分配一个全局IP地址。例2.Pix525(config)#global (outside) 1 61.144.51.42
Juniper防火墙基本命令常用查看命令 Get int查看接口配置信息 Get int ethx/x查看指定接口配置信息 Get mip查看映射ip关系 Get route查看路由表 Get policy id x查看指定策略 Get nsrp查看nsrp信息,后可接参数查看具体vsd组、端口监控设置等 Get per cpu de查看cpu利用率信息 Get per sessionde查看每秒新建会话信息 Get session查看当前会话信息,后可匹配源地址、源端口、目的地址、目的端口、协议等选项 Get session info查看当前会话数量 Get system查看系统信息,包括当前os版本,接口信息,设备运行时间等 Get chaiss查看设备及板卡序列号,查看设备运行温度 Get counter stat查看所有接口计数信息 Get counter stat ethx/x查看指定接口计数信息 Get counter flow zone trust/untrust查看指定区域数据流信息 Get counter screen zone untrust/trust查看指定区域攻击防护统计信息 Get tech-support查看设备状态命令集,一般在出现故障时,收集该信息寻求JTAC支持 常用设置命令 Set int ethx/x zone trust/untrust/dmz/ha配置指定接口进入指定区域(trust/untrust/dmz/ha等) Set int ethx/x ip x.x.x.x/xx配置指定接口ip地址 Set int ethx/x manage配置指定接口管理选项,打开所有管理选项 Set int ethx/x manage web/telnet/ssl/ssh配置指定接口指定管理选项 Set int ethx/x phy full 100mb配置指定接口速率及双工方式 Set int ethx/x phy link-down配置指定接口shutdown Set nsrp vsd id 0 monitor interface ethx/x配置ha监控端口,如此端口断开,则设备发生主/备切换 Exec nsrp vsd 0 mode backup手工进行设备主/备切换,在当前的主设备上执行 set route 0.0.0.0/0 interface ethernet1/3 gateway 222.92.116.33配置路由,需同时指定下一跳接口及ip地址 所有set命令,都可以通过unset命令来取消,相当于cisco中的no 所有命令都可以通过“TAB”键进行命令补全,通过“?”来查看后续支持的命令 防火墙基本配置 create account [admin | user]
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。它是互连网络的信任区域,即受到了防火墙的保护。 外部区域(外网):外部区域通常指Internet或者非企业内部网络。它是互连网络中不被信任 的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。停火区(DMZ):停火区是一个隔离的网络,或几个网络。位于停火区中的主机或服务器被称为堡垒主机。一般在停火区内可以放置Web服务器,Mail服务器等。停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。 注意:2个接口的防火墙是没有停火区的。 由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。 PIX防火墙提供4种管理访问模式: 非特权模式。 PIX防火墙开机自检后,就是处于这种模式。系统显示为pixfirewall> 特权模式。输入enable进入特权模式,可以改变当前配置。显示为pixfirewall# 配置模式。输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。显示为pixfirewall(config)# 监视模式。 PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。这里可以更新*作系统映象和口令恢复。显示为monitor> 配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.
防火墙配
置 目录 一.防火墙的基本配置原则 (4) 1.防火墙两种情况配置 (4) 2.防火墙的配置中的三个基本原则 (4) 3.网络拓扑图 (6) 二.方案设计原则 (6) 1. 先进性与成熟性 (6) 2. 实用性与经济性 (7) 3. 扩展性与兼容性 (7) 4. 标准化与开放性 (7) 5. 安全性与可维护性 (7) 6. 整合型好 (8) 三.防火墙的初始配置 (8) 1.简述 (8) 2.防火墙的具体配置步骤 (9)
四.Cisco PIX防火墙的基本配置 (10) 1. 连接 (10) 2. 初始化配置 (11) 3. enable命令 (11) 4.定义以太端口 (11) 5. clock (11) 6. 指定接口的安全级别 (12) 7. 配置以太网接口IP地址 (12) 8. access-group (12) 9.配置访问列表 (12) 10. 地址转换(NAT) (13) 11. Port Redirection with Statics (14) 1.命令 (14) 2.实例 (15) 12. 显示与保存结果 (16) 五.过滤型防火墙的访问控制表(ACL)配置 (16) 1. access-list:用于创建访问规则 (16) 2. clear access-list counters:清除访问列表规则的统计信息 (19) 3. ip access-grou (19) 4. show access-list (20) 5. show firewall (21)
一.防火墙的基本配置原则 1.防火墙两种情况配置 拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。 2.防火墙的配置中的三个基本原则 (1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,