网神防火墙工作模式

格式：ppt
大小：4.11 MB
文档页数：32

下载文档原格式

/ 32

网神SecGate 3600防火墙快速指南

v1.0 可编辑可修改声明服务修订：本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司1网神信息技术（北京）股份有限公司 1目录一、概述 (1)二、防火墙硬件描述 (2)三、防火墙安装 (2)1．安全使用注意事项 (2)2．检查安装场所 (3)温度／湿度要求 (3)洁净度要求 (4)抗干扰要求 (4)3．安装 (5)4．加电启动 (5)四、通过CONSOLE口的命令行方式进行管理 (6)1．选用管理主机 (6)2．连接防火墙 (6)3．登录CLI界面 (7)五、通过WEB界面进行管理 (9)1．选用管理主机 (9)2．安装认证驱动程序 (9)3．安装USB电子钥匙 (9)4．连接管理主机与防火墙 (10)5．认证管理员身份 (10)6．登录防火墙WEB界面 (10)7．许可证导入 (12)2网神信息技术（北京）股份有限公司 28．WEB界面配置向导 (14)六、常见问题解答FAQ（需根据测试提供的FAQ整理） (21)3网神信息技术（北京）股份有限公司 3一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号 ( PPP ) 接入 ( 连接AUX口 )管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

网御神州-防火墙快速管理入门

三、WEB管理
三、WEB管理
三、WEB管理
三、WEB管理
三、WEB管理
三、WEB管理
3.3 设备的管理
管理方式 IP地址的管理属性管理主机管理员账号管理员证书集中管理配置存储、导入导出
三、WEB管理
5种管理方式中，通常使用WEB、SSH、超级终端管理三种方式种管理方式中，通常使用WEB、SSH、 WEB
管理主机要求:具有以太网卡、USB接口和光驱，管理主机IE要求为5.0以上。
三、WEB管理
3.1 USB—KEY 认证方式
安装认证驱动程序进入光盘\\Ikey Driver\目录，双击运行INSTDRV程序，选择“开始安装”，随后出现安装成功的提示，选择“退出” 切记：安装驱动前不要插入usb电子钥匙。驱动安装完成后，再插入电子钥匙，会提示发现新硬件，表示驱动安装成功。
三、WEB管理
3.2证书认证的准备工作：
直接运行随即光盘中//admin cert/文件夹里的 firewalladmin.p12，安装密码：123456，其他默认即可
三、WEB管理
要通过任意一种认证后，打开IE浏览器，输入 https://10.50.10.45:8889 ,然后回车即可输入帐号：admin，密码：firewall，这样就可以管理防火墙了
三、WEB管理
IP地址的管理属性 IP地址的管理属性
三、WEB管理
管理主机的维护
三、WEB管理
管理员帐户维护（仅admin帐号具有此权限）
允许多个管理员同时管理
管理员访问策略
三、WEB管理
配置管理
ＦＡＱ
ＷＥＢ管理方式主要有三：
１、管理主机的检查（ＩＰ地址）２、管理员身份的检查（证书或电子钥匙）３、帐户口令检查

网神SecGate 3600防火墙技术白皮书[V9.12.1]

未经网神书面同意，任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。

●文档信息●版本变更记录目录1产品概述 (4)2产品功能说明 (4)2.1自适应的网络接入模式 (4)2.2完善的状态包过滤 (5)2.3全面的NAT地址转换 (5)2.4全面灵活的连接限制 (6)2.5病毒过滤 (6)2.6邮件过滤 (7)2.7VPN功能 (7)2.8强大的抗攻击能力 (8)2.9Web过滤 (9)2.10用户认证 (9)2.11与IDS联动 (10)2.12入侵防御IPS (10)2.13双机热备和高可用性HA (11)2.14全面的系统监控 (11)2.15丰富、安全的管理方式 (11)2.16分级权限的安全管理 (12)2.17完善的系统升级 (12)2.18系统配置的导入导出 (12)3产品技术优势 (13)3.1领先的SecOS安全协议栈 (13)3.2深度的网络行为关联分析 (13)3.3高效准确的网络杀毒、反垃圾邮件 (13)3.4主动的IPS攻击防护 (14)3.5灵活的网络拓扑自适应性 (14)4典型应用 (14)4.1拓扑一：网络出口综合安全防范 (14)4.2拓扑二：透明接入保护核心服务器 (15)4.3拓扑三、混合部署模式 (16)1产品概述网神SecGate 3600防火墙（简称:“网神防火墙）是基于完全自主研发、经受市场检验的成熟稳定SecOS操作系统, 并且在专业防火墙、VPN、IPS、IDS、防毒墙的多年产品经验积累基础上精心研发的, 专门为政府、军队分支机构、教育、大型企业的分支机构，中小型企业的互联网出口打造的集防火墙、防病毒、抗攻击、VPN、内容过滤、行为管理、IPS、带宽管理、用户认证等多项安全技术于一身的主动防御综合防火墙系统。

网御神州SecGate_3600防火墙产品介绍V4[1].0(客户版)

1.网络安全发展新形势市场现有防火墙产品的软肋
• 传统的X86单核防火墙，其处理能力已经无法满足千兆环境下的性能要求 • 基于NP技术的防火墙的扩展性要相对弱一些。同时，由于采用微码编程，开发难度较大，周期较长 • 而过去以高性能著称的ASIC防火墙，由于其处理逻辑固化，无法满足用户对深度安全检测和快速升级的需求
接口
≥ 6个千兆电口
2.网神防火墙介绍-企业级
G7系列
F6高端系列
F6低端系列
F3高端系列
技术参数产品名称产品架构吞叶性能并发连接 G7系列单核架构 ≥ 2Gbps 180-220万 F6高端系列单核架构 600M-1.5Gbps 160-180万
参数描述 F6低端系列单核架构 400M-800Mbps 140万－160万 F3系列单核架构 ≥ 300Mbps ≥ 180万
参数描述神盾F1系列网络处理器架构 100M-150Mbps 10-20万 1个百兆电口＋4个交换口
网神防火墙产品主要特色卖点
先进的多核硬件架构性能超群独有的多核并行操作系统 SecOS II 精细的用户访问控制强大的网络适应性深度网络行为分析丰富的安全防范措施易用、贴心的安全助手易用、屡获业界的肯定和殊荣更完备的资质
CHECK PASS ASK
3.网神防火墙产品主要特色卖点强大的网络适应性（领先）强大的网络适应性（领先）
多种接入模式：支持透明、路由、混合模式多纯透明子桥和接口动（唯一）联动负载均衡方式（唯一）多条 ADSL （最多支持条）同时拨号和自 3 的链路测（唯一）探支持基于用（ ARP/PING/TCP/HTTP ARP/PING/TCP/HTTP ）应衡和故障线路切换计（唯一）设多出口最（多支持条）的路由自动负载均 6 功能（唯一）支持 DNS 中继及自动寻找上级 DNS 服务器略路由、支持源目的地址路由、支持基于协议的策

网神SecGate 3600 防火墙产品介绍 V2.0

• 保护网站/公众服务等重要服务器
– 内部服务器和内部网络结构暴露，容易遭黑客扫描和非法访问或攻击 – 大量非法的外来入侵导致关键数据遭黑客窃取或者破坏 – 数据服务器或者应用服务器遭遇DDOS攻击，导致服务不可用，造成大量经济损失
• 优化网络使用,提高办公效率
– 解决公网地址资源不足 – 部门用户P2P或视频等带宽滥用，使带宽资源耗尽，关键业务无法保障 – 无法实时了解网络带宽资源状况，并根据网络状况做出合理的调整 – 大量外来的病毒和蠕虫通过网络进入内部个人电脑，造成内网混乱甚至崩溃 – 个人办公电脑被病毒或木马,导致不能正常使用或泄漏机密 – 工作时间只允许与工作相关的网络行为,禁止MSN/QQ聊天等
– 2008年(截至08.4) • 2007-2008中国防火墙市场创新产品奖 • 2008年度中国信息安全政府行业优秀解决方案奖 • 2008年度中国信息安全值得信赖品牌奖
6. 网神防火墙主要竞争对比
主要竞争对手市场分布：
厂商名称政府
金融电信
天融信联想网御启明星辰深信服东软 H3C Fortinet JUNIPER CISCO
单位：亿元
45.00 40.00 35.00 30.00 25.00 20.00 15.00 10.00
5.00 0.00
防火墙/VPN市场容量预测 CCID 2008.01
市场容量
增长率
2007
2008
2009
2010
2011
25.00% 20.00% 15.00% 10.00% 5.00% 0.00%
100,000
延时
≤18 μs
VPN隧道数 16000
16000
30,000 90,000 40μs 8000 30,000 90,000 40μs 8000 30,000 90,000 40μs 8000 30,000 80,000 40μs 8000

网神防火墙VPN_原理

2.2 安全关联(SA)
安全策略数据库（SPD): 指定了用于到达或源自特定主机或网络的数据流的策略。
策略条目包含以下内容： • 目的IP地址 • 源IP地址 • 传输层协议 • 系统名 • 用户ID
SPD中的条目决定了处理信息流的粒度。
2.2 安全关联(SA)
安全关联数据库（SAD): 包含现行的SA条目，每个SA包含1个 SPI，1个源或目的IP地址和1个IPSec协议的三元组索引。此外还包含以下内容： • 序列号计数器 • 序列号溢出 • 抗重放窗口 • AH认证密码算法和所需要的密钥 • ESP认证密码算法和所需要的密钥 • ESP加密算法，密钥，初始化向量（IV）和 IV模式 • IPSEC协议操作模式（传输模式，隧道模式，通配模式） • 路径最大传输单元（PMTU） • SA生存周期
………
IP头
选项（0或多个字节长）传输协议头传输协议数据
………
新IP头的选项（0或多个字节长） AH 原始IP头
原IP头的选项（0或多个字节长）传输协议头
传输协议数据
………
2.3 认证头（AH）
完整性校验值（ICV）：是指AH或ESP用来验证 IP数据报的完整性所用的验证数据。
2.4 封装安全载荷（ESP）
2.5 IP 压缩（IPComp）
1. IPComp介绍
2.5 IP 压缩（IPComp）
IPComp介绍
1. 由于AH和ESP对数据包添加了许多附加字节，导致 IP数据报长度增加很多 2. 传输效率低，带宽占用大 3. IPComp通过压缩的方法减小数据报长度 4. 通常采用DEFLAT 和 LZS.DEFLATE 压缩算法，该算法用于gzip和pkzip程序 5. 对IP头不压缩

网神SecGate 3600 F1 F2防火墙产品介绍 V2.0

�
分支结构和总部之间数据的安全传输
– 公网传输数据暴露,容易被窃取或者篡改,无法保证传输数据的机密性与完整性 – 专有线路虽能解决安全问题,但成本太高,同时链路无法与公网链路共用,配置和使用不便
2. 网神F1/F2防火墙产品规格介绍
SOHO/分支机构中小企业
SecGate 3600-F2 3600-
优化网络使用,提高办公效率
– – – – – – 解决公网地址资源不足部门用户P2P或视频等带宽滥用,使带宽资源耗尽,关键业务无法保障无法实时了解网络带宽资源状况,并根据网络状况做出合理的调整大量外来的病毒和蠕虫通过网络进入内部个人电脑,造成内网混乱甚至崩溃个人办公电脑被病毒或木马,导致不能正常使用或泄漏机密工作时间只允许与工作相关的网络行为,禁止MSN/QQ聊天等
SecGate 3600-F1 3600-
2. 网神F1/F2防火墙产品规格介绍
网络吞吐
最大并发连接 40万
每秒新建连接 2000
MTBF (小时) 70,000
延时
VPN隧道数 200
接口
机箱电源
F2
150Mbps
70μs
3个10/100M自适应电口和4个10/100M 交换口 1个10/100M自适应电口和4个10/100M 交换口
多种接入模式:支持透明,路由,混合模式多纯透明子桥和接口联动多条ADSL(最多支持3条)同时拨号和自动负载均衡方式支持基于应用(ARP/PING/TCP/HTTP)的链路探测多出口(最多支持6条)的路由自动负载均衡和故障线路切换设计支持DNS中继及自动寻找上级DNS服务器功能支持源/目的地址路由,支持基于协议的策略路由,动态路由 (唯一) (唯一) (唯一) (唯一) (唯一) (优势)

网神SecGate 3600 防火墙用户手册簿

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

有限责任：●本公司仅就产品信息预先说明的范围承担责任，除此以外，无论明示或默示，不作其它任何担保，包括（但不限于）本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。

●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任，包括（但不限于）直接的、间接的、附加的个人损害或商业损失或任何其它损失。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录导言、概述 (13)第一章、基于web管理界面 (14)1.web管理界面页面 (15)2.Web管理界面主菜单 (17)3.使用web管理界面列表 (18)4.在web管理界面列表中增加过滤器 (19)4.1 包含数字栏的滤波器 (21)4.2 包含文本串的滤波器 (21)5.在web管理界面列表中使用页面控制 (22)5.1 使用栏设置来控制显示栏 (24)5.2 使用带有栏设置的过滤器 (25)6.常用web管理界面任务 (25)6.1 连接到web管理界面 (26)6.2 连接到web管理界面 (27)7.修改当前设定 (28)7.1 修改您SecGate管理员密码 (29)7.2 改变web管理界面语言 (29)7.3 改变您SecGate设备管理路径 (30)7.4 改变web管理界面空闲运行时间 (31)7.5 切换VDOMs (31)8.联系客户支持 (31)9.退出 (32)第二章、系统管理 (32)1. 系统仪表板 (32)1.1 仪表板概述 (34)1.2 添加仪表板 (34)1.3 系统信息 (37)1.4 设备操作 (45)1.5 系统资源 (47)1.6 最多的会话 (49)1.7 固件管理条例 (53)1.8 备份您的配置 (54)1.9 在升级前测试固件 (57)1.10 升级您的SecGate设备 (61)1.11 恢复到以前的固件镜像 (65)1.12 存储您的配置 (71)使用虚拟域 (74)2. 系统网络 (80)2.1 配置接口 (83)2.2 配置区域 (95)2.3 配置网络选项 (97)2.4 配置SecGateDNS服务 (99)2.5 配置显式网络代理 (107)3. 系统动态主机设置协议服务器(DHCP) (117)3.1 SecGate DHCP服务器和中继 (118)3.2 配置DHCP服务 (119)3.3查看地址租借 (125)4.系统配置 (126)4.1 HA (127)4.2 简单网络管理协议（SNMP） (141)4.3 替换信息 (157)4.4 操作模式和虚拟域管理入口 (166)5.系统管理 (170)5.1 管理员 (171)5.2 管理资料 (189)5.3 设置 (194)5.4 SecGateIPv6支持 (199)6. 系统认证 (207)6.1 本地证书 (208)6.2 CA证书 (217)第三章、路由 (219)1. 路由静态 (219)1.1 路由概念 (221)1.2 如何建立路由表 (221)1.3 如何做出路由判定 (222)1.4 多路径路由以及决定最佳路线 (223)1.5 路线优先 (225)1.6 黑洞路由 (226)2. 静态路由 (227)2.1 使用静态路由 (227)2.2 默认路由和默认网关 (232)2.3 添加静态路由至路由表 (235)3. 等值多路径路由协议（ECMP）路由失败备援及负载均衡 (237)3.1 ECMP路由同步会话至相同目标IP地址 (240)3.2 配置溢出或基于使用ECMP (241)3.3 从CLI中添加权重至静态路由 (251)4. 策略路由 (254)5. 路由信息协议（RIP） (262)5.1 RIP页面 (262)5.2 RIP网页网络部分 (263)5.3 RIP网页的接口部分 (264)5.4 高级RIP选项 (265)5.5 RIP-启用接口 (268)6. 开放式最短路径优先（OSPF） (270)6.1 定义OSPF自主系统—概览 (271)6.2 基本OSPF设置 (272)6.3 OSPF页面 (272)6.4 OSPF页面的区域部分 (273)6.5 OSPF页面网络部分 (274)6.6 OSPF页面的接口部分 (275)6.7 高级OSPF选项 (276)6.8 OSPF页面高级选项 (276)6.9 定义OSPF区域 (278)6.10 OSPF网络 (281)6.11 OSPF接口的运行参数 (282)7. 边界网关协议（BGP） (286)7.1 BGP页面 (287)7.2 BGP页面领域部分 (288)7.3 BGP页面网络部分 (289)8. 多路广播 (289)8.1 覆盖接口多路广播设置 (292)8.2 多路广播目标NAT (294)9. 双向转发检测（BFD） (295)9.1 配置BFD (296)10. 路由器监控 (300)10.1 查看路由信息 (301)10.2 查找SecGate路由表 (305)第四章、防火墙 (306)1. 策略 (307)1.1 身份识别防火墙策略 (323)1.2 中心网络地址转换（NAT）表 (334)1.3 互联网协议第六版(IPv6)策略 (336)1.4 拒绝服务（DoS）策略 (336)2. 地址 (341)2.1 地址列表 (341)2.2 地址组 (344)3. 服务 (348)3.1 预定义服务器列表 (348)3.2 定制服务 (359)3.3 定制化服务组 (361)4. 时间表 (363)4.1 循环时间表列表 (364)4.2 一次性时间表列表 (366)4.3 时间表组 (368)5. 流量整形器 (370)5.1 共享流量整形器 (371)5.2 Per-IP模式流量整形 (374)6. 虚拟IP地址 (376)6.1 虚拟IP、负载均衡虚拟服务器和负载均衡有效服务器限制 (376)6.2 虚拟IP地址 (377)6.3 虚拟域IP地址(VIP)组 (382)6.4 IP地址池 (384)7. 负载均衡功能 (386)7.1 虚拟服务器 (387)7.2 有效服务器 (397)7.3 健康检查监控器 (399)7.4 监控服务器 (402)第五章、UTM (403)1.拒绝服务（DoS）感应器 (404)2.SYN代理 (408)3.SYN界限（使用一个DoS感应器防止SYN泛滥） (409)4.了解异常状况 (409)第六章、虚拟专用网(IPsec VPN) (411)1.IPSec VPN概述 (412)2.策略性对路由型虚拟专用网络(VPN) (415)3.自动交换密钥（IKE） (418)3.1 第一阶段配置 (419)3.2 第一阶段高级配置设定 (426)3.3 第二阶段配置 (433)3.4 第二阶段高级配置设定 (434)4.人工密钥 (440)4.1 新人工密钥配置 (441)5.集中器 (447)6.监控虚拟专用网络(VPN) (449)7.安全套接层虚拟专用网络(SSL VPN) (452)7.1 安全套接层虚拟专用网络(SSL VPN)概述 (453)7.2 基本配置步骤 (455)7.3 配置（Config） (457)7.4 界面 (460)7.5 界面设定 (464)7.6 界面小部件 (465)7.7 安全套接层虚拟专用网络（SSL VPN）监控器列表 (467)第七章、用户 (468)1.用户 (469)1.1 本地用户账户 (469)1.2 身份认证设置 (472)2.用户组 (475)2.1 防火墙型用户组 (478)2.2 安全套接层虚拟专用网络（SSL VPN）型用户组 (479)3.远程 (481)3.1 RADIUS (482)3.2 轻量级目录访问协议（LDAP） (486)3.3 TACACS+ (491)4.监控 (493)4.1 防火墙用户监控表 (494)第八章、日志与报告 (498)1.日志与报告概述 (499)2.什么是日志? (500)2.1 日志类型和分类型 (501)3.示例 (505)日志信息 (505)4.SecGate如何储存日志 (506)4.1 远程存储到系统日志服务器 (507)4.2 本地存储到内存 (510)4.3 本地存储到硬盘 (511)5.事件日志 (512)5.1 告警电子邮件 (514)6.接入并查看日志信息 (517)导言、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

网神NSG系列快速入门指南V4.0

第三章系统操作 ....................................................................................... 11 3.1 首次登陆 ...................................................................................................... 11 登录 WEB 管理界面 ........................................................................ 12 登陆命令行管理界面 ...................................................................... 15
1
网神信息技术（北京）股份有限公司
防火墙快速入门指南
目录
第一章关于网神 SecGate 3600 防火墙 NSG 系列 .................................... 4 产品许可证申请流程 ............................................................................................. 5 第二章设备上架 ......................................................................................... 6 2.1 机房安全建议 ................................................................................................ 6 2.2 设备参数说明 ................................................................................................ 6 2.3 上架示意图 .................................................................................................... 7 采用前挂耳安装 ................................................................................. 7 前挂耳和托盘配合安装 .................................................................... 8

网神SecGate 防火墙快速指南

声明服务修订：●本公司保留不预先通知客户而修改本文档所含内容的权利。

版权信息：●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。

网神信息技术（北京）股份有限公司目录一、概述SecGate 3600防火墙缺省支持两种管理方式：（1）通过CONSOLE口的命令行管理方式（2）通过网口的WEB（https）管理方式（3）拨号( PPP ) 接入( 连接AUX口)管理方式CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。

WEB 方式更直观方便，为保证安全，WEB方式连接之前需要对管理员身份进行认证。

要快速配置使用防火墙，推荐采用CONSOLE口命令行方式；日常管理监控防火墙时，WEB 方式则是更方便的选择。

安装防火墙之前，请您务必阅读本指南的“二、三”两节。

如果希望使用CONSOLE 口命令行方式管理防火墙，请您仔细阅读本指南的第四节；如果希望使用WEB方式管理防火墙，请您仔细阅读本指南的第五节。

防火墙主要以两种模式接入网络：路由模式和混合模式。

在路由模式下，配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙；混合模式时，由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发，如果为透明桥模式，则不用修改已有网络配置。

二、防火墙硬件描述SecGate 3600系列防火墙前面板、后面板示意图分别见随机印刷页。

三、防火墙安装1．安全使用注意事项本节列出安全使用注意事项，请仔细阅读并在使用SecGate 3600防火墙过程中严格执行。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Fe1或者fe2可以添加此IP地址，也可以不添加IP地址。添加IP地址为了方便管理而已
2 透明模式
• 定义安全规则
进入防火墙web界面：安全策略-〉安全规则，点击添加内网访问外网的包过滤规则
3 混合模式
• 案例拓扑
Cisco 路由器 Cisco 路由器
fa 0/1 IP:172.18.2.1 fe1
5 FAQ
欢迎大家批评指正！
谢谢！
Cisco 路由器
fa 0/0 IP:172.18.1.1/24
fa 0/1 IP:10.50.10..2/24
客户机PC IP:172.18.1.2/24 gw:172.18.1.1
互联网
2 透明模式
• 假设除防火墙外其它设备都已配置完成，客户机PC欲通过路由器－防火墙－路由器访问互联网，防火墙在整个网络环境的位置是不改变原先拓扑环境, 进而防火墙模式设置为透明模式，且安全规则设置为包过滤规则
• 定义安全规则
1 路由模式
进入防火墙web界面：安全策略－〉安全规则，点击添加一条内网访问外网ＮＡＴ规则
2 透明模式
• 案例拓扑
Cisco 路由器
fa 0/1 IP:172.18.2.1 fe1
br:fe1 IP:172.18.2.3/24 fe2
网神防火墙
fa 0/0 IP:172.18.2.2/24
2 透明模式
配置方法： • 定义接口属性 • 定义安全规则
2 透明模式
• 定义接口属性
进入防火墙web界面：网络配置-〉网络接口，点击编辑，如图编辑fe1，fe2
2 透明模式
• 定义接口属性
进入防火墙web界面：网络配置-〉网络接口，点击编辑，如图编辑fe1，fe2
2 透明模式
进入防火墙web界面：网络配置-〉接口IP，点击添加，如图添加fe1的IP地址
• 定义安全规则
3 混合模式
进入防火墙web界面：安全策略－〉安全规则，点击添加一条客户机pc访问局域网的包过滤规则
3 混合模式
• 再添加客户机pc和局域网访问外网的NAT规则
3 混合模式
4 规则优先级
优先级高
底
4 规则优先级
• 如上图可以看出，防火墙安全规则的优先级是由上到下 • 一般情况下，建议用户在添加规则：首先是禁止病毒的包过滤规则;其次是对外提供服务的端口映射或者IP映射；最后才是NAT 规则或者包过滤规则
br:fe1 IP:172.18.2.3/24 fe2
网神防火墙
fa 0/0 IP:172.18.2.2/24
局域网
fa 0/1 IP:10.50.10..2/24
Cisco 路由器
fa 0/0 IP:172.18.1.1/24
fe3 IP:172.18.3.1/24 客户机PC IP:172.18.1.2/24 gw:172.18.1.1
• 假设防火墙外其它设备都已配置完成，客户机PC欲通过防火墙－路由器访问互联网，防火墙需设置相应的nat规则及相关路由，且防火墙模式为路由模式
1 路由模式
配置方法： • 定义接口属性 • 定义策略路由 • 定义安全规则
1 路由模式
定义网络接口
进入防火墙web界面：网络配置－〉接口ＩＰ，点击添加，如图添加fe1,fe2IP地址
3 混合模式
• 定义网络接口
进入防火墙web界面：网络配置－〉网络接口，点击编辑，如图编辑fe1,fe2
3 混合模式
进入防火墙web界面：网络配置－〉接口ＩＰ，点击添加，如图添加fe1,fe3IP地址
3 混合模式
• 定义策略路由
进入防火墙的web界面：网络配置－〉策略路由，点击添加一条默认路由
Cisco 交换机
fa 0/0 IP:172.18.2.2/24 fe1 IP:172.18.1.1/24 fe2 IP:172.18.2.1/24
Cisco 路由器
fa 0/1 IP:172.18.3.2/24
客户机PC IP:172.18.1.2/24 gw:172.18.1.1
互
定义网络接口
1 路由模式
• 定义策略路由
进入防火墙的web界面：网络配置－〉策略路由点击添加一条默认路由
1 路由模式
• 定义策略路由
进入防火墙的web界面：网络配置－〉策略路由，点击添加一条默认路由
1 路由模式
• 定义安全规则
进入防火墙web界面：安全策略－〉安全规则，点击添加一条内网访问外网ＮＡＴ规则
互联网
fa 0/0 IP:172.18.3.2/24 fa 0/1 IP:172.18.5.2/24
3 混合模式
• 假设除防火墙外其它设备都已配置完成，客户机PC欲通过路由器－防火墙－路由器访问互联网及其它网络，防火墙需设置相应的包过滤/nat规则，且防火墙模式为混合模式
3 混合模式
配置方法： • 定义接口属性 • 定义策略路由 • 定义安全规则
工作模式
（Ver 1.2）
网御神州
客服中心
2008.04
学习目标
学习完本课程，您应该能够 • 理解防火墙的路由模式 • 理解防火墙的透明模式 • 理解防火墙的混合模式 • 了解防火墙规则的优先级
课程内容
1. 路由模式
2. 透明模式 3. 混合模式 4. 规则优先级 5. FAQ
1 路由模式
• 案例拓扑