MPSec FW3000和FW4000安全网关用户手册

MPSec FW3000和FW4000安全网关用户手册

本手册著作权属迈普通信技术有限公司所有，未经著作权人书面许可，任何单位或个人不得以任何方式摘录、复制或翻译。

侵权必究。

策 划： 研究院 资料服务处

* * *

迈普（四川）通信技术有限公司

地址：成都市高新区九兴大道16号迈普大厦

技术支持热线：400-886-8669

传真：（+8628）85148948

E-mail：support@https://www.doczj.com/doc/8715472058.html,

网址：https://www.doczj.com/doc/8715472058.html,

邮编：610041

* * *

版本：2008年11月第V1.0版

编号：MP/DC-RD-CPSJ-110-OI2008-0018

目录

第1章概述 (3)

第2章安全网关硬件描述 (4)

2.1 MPS EC FW3000系列硬件描述 (4)

2.2 MPS EC FW4000系列硬件描述 (4)

第3章安全网关安装 (8)

3.1 安全使用注意事项 (8)

3.2 检查安装场所 (8)

3.2.1温度／湿度要求 (8)

3.2.2洁净度要求 (9)

3.2.3抗干扰要求 (9)

3.3 安装 (9)

3.4 加电启动 (9)

第4章通过CONSOLE口的命令行方式进行管理 (11)

4.1 选用管理主机 (11)

4.2 连接安全网关 (11)

4.3 登录CLI界面 (12)

4.4 命令行快速配置向导 (12)

第5章通过WEB界面进行管理 (20)

5.1 选用管理主机 (20)

5.2 安装认证驱动程序 (20)

5.3 安装USB电子钥匙 (20)

5.4 连接管理主机与安全网关 (20)

5.5 认证管理员身份 (21)

5.6 登录安全网关WEB界面 (21)

5.7 许可证导入 (22)

5.8 WEB界面配置向导 (23)

第6章常见问题解答FAQ (28)

第1章 概述

MPSec FW3000和FW4000安全网关缺省支持两种管理方式：

（1） 通过CONSOLE口的命令行管理方式

（2） 通过网口的WEB（https）管理方式

CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。要快速配置使用安全网关，推荐采用CONSOLE口命令行方式；日常管理监控安全网关时，WEB方式则是更方便的选择。

安装安全网关之前，请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE口命令行方式管理安全网关，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理安全网关，请您仔细阅读本指南的第五节。

安全网关主要以两种模式接入网络：路由模式和混合模式。在路由模式下，配置完安全网关后您可能还需要把受保护区域内三层设备或主机的网关指向安全网关；混合模式时，由安全网关自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

第2章 安全网关硬件描述

2.1MPSec FW3000系列硬件描述

MPSec FW3000系列安全网关涉及2款设备，分别是FM3000-4FET-AC和FM3000-02-4FET-AC。

（1） FM3000-4FET-AC前面板从左到右依次排列有公司标识、AUX口、CONSOLE口、4个百兆网口、预留USB接口、电源（Power）指示灯和状态（Status）指示灯。如下图示：

图一FM3000-4FET-AC前面板

图二FM3000-4FET-AC后面板

（2） FM3000-02-4FET-AC从左到右依次排列有公司标识、电源指示灯和状态指示灯、AUX口、CONSOLE口、4个百兆网口、2个扩展接口插槽。如下图示：

图三 FM3000-02-4FET-AC前面板

图四 FM3000-02-4FET-AC后面板

（3）硬件描述

文字项说明

FM3000-4FET-AC和FM3000-02-4FET-AC

百兆网络接口

文字项说明

FM3000-4FET-AC和FM3000-02-4FET-AC

z FM3000-4FET-AC包含4个百兆网络接口。

z FM3000-02-4FET-AC标配4个百兆网络接口，包含2个扩展插槽。两个

扩展模块上具有2个百兆网络接口。

z网络接口具有10/100M自适应，采用5类双绞线，RJ-45头连接。

AUX接口用于远程拨号连接防火墙，一般供厂商远程支持时使用。

系统管理串行接口，波特率为9600。管理员可用随机专用串口线连接终端CONSOLE接口

和安全网关来管理系统。

FM3000-4FET-AC型号产品包含预留的USB接口，用于以后扩展功能时预留USB接口

使用。

电源指示灯面板上标识为POWER，加电以后一直为绿色。

面板上标识为STATUS，系统正常运行时橙色灯一直闪烁。停止闪烁表示状态指示灯

系统出现故障。

电源接口接220V交流电压。

电源接口

指示灯指示电源模块运行状态，绿色指示灯亮表示电源模块在运行。

电源开关按钮按下电源按钮带“O”的一端关闭电源，反之接通电源。

2.2MPSec FW4000系列硬件描述

MPSec FW4000系列安全网关涉及2款设备，分别是FM4000-6GET-AC和FM4000-03-4GET-AC。

（1）FM4000-6GET-AC从左到右依次排列有AUX口、CONSOLE口、预留USB接口、6个千兆电接口、电源指示灯和状态指示灯、公司标识。

图五 FM4000-6GET-AC前面板

图六 FM4000-6GET-AC后面板

（2）FM4000-03-4GET-AC从左到右，从上到下依次排列有公司标识、CONSOLE口、AUX口、电源指示灯和状态指示灯、标配4个千兆电接口、3个扩展插槽。

图七 FM4000-03-4GET-AC前面板

（3）硬件描述

文字项说明

FM4000-6GET-AC和FM4000-03-4GET-AC

千兆网络接口z FM4000-6GET-AC标配6个千兆网络接口。

z FM4000-03-4GET-AC的标配4个千兆网络接口，三个扩展模块上可选含4电口模块或含2光口模块

z千兆电接口为10/100/1000M自适应电口，采用5类双绞线，RJ-45头连接。

千兆光接口为千兆GBIC插槽，可选多模、单模。

AUX接口用于远程拨号连接防火墙，一般供厂商远程支持时使用。电源指示灯面板上标识为POWER，加电以后一直为绿色。

状态指示灯

面板上标识为STATUS，FM4000-6GET-AC型号在系统启动中闪烁橙色，之后一直不亮为正常；FM4000-03-4GET-AC型号正常运行时黄灯一直闪烁。停止闪烁表示系统出现故障。

电源接口

电源接口接220V交流电压。

指示灯指示电源模块运行状态，绿色指示灯亮表示电源模块在运行。电源开关按钮按下电源按钮带“O”的一端关闭电源，反之接通电源。

冗余电源

FM4000-03-4GET-AC有冗余电源，两个拉手分别对应两个电源模块，便于更换电源模块。

两个电源接口（交流220V）分别对应两个电源模块。

指示灯用于指示电源模块运行状态，绿色指示灯亮表示电源模块在运行。

第3章 安全网关安装

3.1安全使用注意事项

本节列出安全使用注意事项，请仔细阅读并在使用MPSec FW3000和FW4000安全网关过程中严格执行。这将有助于您更安全地使用和维护您的安全网关。

（1）您使用的MPSec FW3000和FW4000安全网关采用220V交流电源，请确认工作电压并且务必使用三芯带接地电源插头和插座。良好的接地是您的安全网关正常工作的重要保证。

（2）为使安全网关正常工作，请不要将其放置于高温或者潮湿的地方。

（3）请不要将安全网关放在不稳定的桌面上，如果跌落可能会对安全网关造成严重损害。

（4）请保持室内通风良好并保持安全网关通气孔畅通。

（5）为减少受电击的危险，在安全网关工作时不要打开外壳，即使在不带电的情况下，也不要随意打开安全网关机壳。

（6）清洁安全网关前，请先将安全网关电源插头拔出。不要用湿润的布料擦拭安全网关，不能用液体清洗安全网关。

3.2检查安装场所

MPSec FW3000和FW4000安全网关必须在室内使用，无论您将安全网关安装在机柜内还是直接放在工作台上，都需要保证以下条件：

（1）确认安全网关的入风口及通风口处留有空间，以利于安全网关机箱的散热。

（2）确认机柜和工作台自身有良好的通风散热系统。

（3）确认机柜和工作台足够牢固，能够支撑安全网关及其安装附件的重量。

（4）确认机柜和工作台的良好接地。

为保证安全网关正常工作和延长使用寿命，安装场所还应该满足下列要求。

3.2.1 温度／湿度要求

为保证MPSec FW3000和FW4000安全网关正常工作和使用寿命，机房内需维持一定的温度和湿度。

若机房内长期湿度过高，易造成绝缘材料绝缘不良甚至漏电，有时也易发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，同时在干燥的气候环境下，易产生静电，危害安全网关的电路。温度过高则危害更大，长期高温将加速绝缘材料的老化过程，使安全网关的可靠性大大降低，严重影响其寿命。

3.2.2 洁净度要求

灰尘对安全网关的运行安全是一大危害。室内灰尘落在机体上，可以造成静电吸附，使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下，更易造成静电吸附，不但会影响设备寿命，而且容易造成通信故障。除灰尘外，机房内应防止有害气体（如SO2、H2S、NH3、Cl2 等）的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时安全网关机房对空气中所含的盐、酸、硫化物也有严格的要求。

3.2.3 抗干扰要求

安全网关在使用中可能受到来自系统外部的干扰，这些干扰通过电容/电感耦合，电磁波辐射，公共阻抗（包括接地系统）耦合和导线（电源线、信号线和输出线等）的传导方式对设备产生影响。为此应注意以下条件：

（1）交流供电系统为TN系统，交流电源插座应采用有保护地线（PE）的单相三线电源插座，使设备上滤波电路能有效的滤除电网干扰。

（2）安全网关工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。

（3）电缆要求在室内走线，禁止户外走线，以防止因雷电产生的过电压、过电流将设备信号口损坏。

3.3安装

MPSec FW3000和FW4000安全网关可以放置在桌面上，也可以放在标准的19英寸机架上。安放在桌面上不需要特别的操作，安放在机架上时需要自备螺丝刀，螺钉在包装箱中。

3.4加电启动

安全网关启动步骤如下：

（1）请将安全网关安装在机架上或放在一个水平面上。

（2）确认安全网关电源是关闭的。

（3）连接电源线。

（4）安全网关可以通过网口用网线连接管理主机，也可通过串口线连接管理主机进而用超级终端管理安全网关。

（5）接通电源，按下安全网关上的电源开关，置于ON状态，安全网关加电启动。

（6）听到“嘀嘀嘀”三声，且橙色的状态灯开始闪烁（FM4000-6GET， FM4000-03-4GET型号除外，这两个型号其状态灯正常启动成功后即为灭状态），表示启动成功。

安全网关启动成功以后，请通过CONSOLE口命令行或者WEB浏览器方式管理安全网关，具体方法请参考以下相关章节。

如果安全网关未正常启动，请按以上步骤进行检查，如仍无法解决问题，请您联系供应商相关技术支持人员。

第4章 通过CONSOLE口的命令行方式进行管理基本步骤：连接串口线 —> 配置超级终端 —> 开始配置管理

4.1选用管理主机

要求该主机具备：

（1）空闲的RS232串口

（2）有超级终端软件。比如Windows系统中的“超级终端”连接程序。

4.2连接安全网关

利用随机附带的串口线连接管理主机的串口和安全网关串口CONSOLE，启动超级终端工具，以Windows自带“超级终端”为例：点击“开始 --> 所有程序 --> 附件 --> 通讯 --> 超级终端”，选择用于连接的串口设备，定制通讯参数：

（1）每秒位数：9600；

（2）数据位：8；

（3）奇偶校验：无；

（4）停止位：1；

（5）数据流控制：无；

提示：对于Windows自带“超级终端”，选择“还原默认值”即可。

4.3登录CLI界面

连接成功以后，提示输入管理员帐号和口令时，输入出厂默认帐号“admin”和口令“admin”即可进入登录界面，注意所有的字母都是小写的。

4.4命令行快速配置向导

第一次用串口或者SSH客户端成功登录安全网关后，管理员可以输入命令“fastsetup”，单击回车键，

利用命令行配置向导进行简单配置。配置向导仅适用于管理员第一次配置安全网关或者测试安全网关的基本通信功能，此向导涉及最基本的配置，安全性很低。因此，专业管理员建议直接参考《MPSec FW3000和FW4000安全网关命令行配置手册》完成自己网络的配置，才能保证安全网关拥有正常有效的网络安全功能。

命令行初始配置向导的配置步骤如下：

（1） 输入原密码，如下图所示：

（2） 输入新密码，并确认密码，如下图所示：

（3） 选择安全网关FE1 接口（千兆接口对应为GE1，FM4000-03-4GET对应为S1G1）的工作模式，输入1为路由模式，输入2为混合模式，如下图所示：

（4） 选择安全网关FE2 接口（千兆接口对应为GE2，FM4000-03-4GET对应为S1G2）的工作模式，方法同FE1 。

此时FE1和FE2 的工作模式必须一致。

（5） 输入FE1接口的IP地址和掩码，如下图所示：（说明：若FE1、FE2都是混合模式，则FE1的地址必须配置，FE2的地址可以不配置）

（6） 输入FE2接口的IP地址和掩码，方法同FE1。

此时FE1和FE2 的IP地址不允许在同一网段。

（7） 是否允许所有主机ping FE1接口，输入“y”为允许，输入“n”为不允许，如下图所示：

（8） 是否允许通过FE1接口管理安全网关，输入“y”为允许，输入“n”为不允许，如下图所示：

此时如果选择“n”，则不会出现下文叙述的（9）、（10）两项。

（9） 是否允许管理主机ping FE1接口，输入“y”为允许，输入“n”为不允许，如下图所示：

（10） 是否允许管理员用traceroute探测FE1口的IP地址，输入“y”为允许，输入“n”为不允许，如下图所示：

（11） 设置FE2接口属性，内容同（7）、（8）、（9）、（10）四项。

（12） 设置默认网关IP，如下图所示（说明：若安全网关的两个网口都是混合模式，可以不配默

认网关）。

（13） 设置管理主机IP，如下图所示：

（14） 设置安全规则的源IP和目的IP，默认为any，如下图所示：

（15） 是否允许用SSH客户端登录安全网关，输入“y”为允许，输入“n”为不允许，如下图所示：

此时输入“y”或者“n”后会显示所有的设置信息。

（16） 是否执行并且退出，输入“y”为将以上配置立即生效，输入“n”为直接退出。如果需要保存配置，请执行“syscfg save”命令。如下图所示：