天融信防火墙培训文档

  • 格式:doc
  • 大小:979.50 KB
  • 文档页数:22

天融信防火墙培训文档
一、 登录
二、 登录后防火墙主界面:
三、防火墙基本信息:
四,实时监控:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明: 实时监控的主要作用就是通过定义过滤条件来查看自己希望了解的主机或者网段对
外的连接情况.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
在这里可以设置希望查看的源的主机或者网段
五,网络设置
:
六,工具
:
设置该区域的名
该区域对应的接
设置该区域的IP 地址和掩码
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++各项操作说明如下:
选中下载的配置,点击导出
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
七.选项设置:
在这里给防火墙取
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 相关参数说明:TCP建立连接超时,如果双方在建立连接的时间超过设置时限(如,用户访问某网站,发出请求后始终得不到回应),防火墙将自动切断该连接,TCP建立连接超时的最大值为86400。

1,TCP连接建立后通信超时,如果双方建立连接后通信时间超过设置时限(如,用户通过网络下载,速度非常慢),防火墙自动切断该连接,TCP连接建立后通信超时的最大值为86400。

2,TCP拆除连接的超时,如果双方在终止连接的时间超过设置时限(如,用户要断开与某网站的通信时,长时间无法断开),防火墙自动切断该连接,TCP拆除连接的超时的最大值为86400。

3,无状态连接通信超时,如果在规定时限内在某一连接中没有数据传输,防火墙自动切断该连接,无状态连接通信超时的最大值为86400。

4,对使用用户认证数据库(除OTP认证数据库外)的用户通过防火墙建立的连接,在“挑战”下,管理员可进行3个参数设置:
(1)挑战间隔,防火墙每一段时间对每一个在线的认证用户进行一次挑战(即发出一个回应请求)。

最小10秒,0表示关闭自动挑战。

(2)战超时,对于防火墙发出的挑战(即一个回应请求),要在挑战超时时间内收到正确的回应,否则,此次挑战被认为是失败,要重新挑战。

最小1秒,最大60
秒。

(3)大重复挑战次数,对于挑战(即一个回应请求)超时或回应不正确的累计次数超过最大重复挑战次数,防火墙则认为出现异常,自动切断该用户通过防火墙
与其他区域的连接。

最小1次,最大10次
如上图所示,即以上三个参数设置完成后,防火墙将对用户发起挑战(回应请求)5次,每300秒发起一次,如果用户60秒内没有任何回应,防火墙认为该请求超时,当防火墙反复尝试挑战5次都没有任何回应后,防火墙自动切断该用户通过防火墙与其他区域所建立的连接。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
点击给防火墙增加管理用户
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++登录方式控制说明
为了更好的对防火墙进行配置管理,网络卫士防火墙集中管理器为用户提供了一种分类管理的方法,将登录到防火墙的用户按IP 地址进行分别管理。

这样,网络管理员可以指定某个IP 地址段的用户的登录防火墙的方式或管理级别,分为以下几类:
GUI 管理器:用户通过集中管理器对防火墙进行管理、配置操作。

TELNET 管理器:用户通过TELNET 对防火墙进行命令行方式的管理、配置操作(可远程登录)。

升级机器:用户通过此机器上的升级包对防火墙进行升级。

日志服务器:用户通过该机器对防火墙进行日志监控(所有区域中只有一个IP 可以进行管理)。

监控器:根据用户设定的条件监控相应连接. VRC 客户端:VPN 的移动用户。

SSH 客户端:SSH 登录控制。

SNMP 客户端:SNMP 登录控制。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
八,高级管理:
1,网络对象:
输入节点IP地址
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
当定义服务器节点时,为了防止SYNFLOOD 攻击,建议用户在节点的定义中选择SYN 代理方式保护服务器。

当攻击行为发生时,防火墙会阻断针对该节点的SYNFLOOD
攻击。

同时设置报警功能,选中“达到阀值报警”,设置“半连接数报警阀值”,当接收的半连接数达到设定阀值时,
防火墙会认为该服务器正被攻击,并自动报警。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 2,特殊对象: (
1)定义透明网络
3,访问策略
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 说明:每一条访问策略都属于一个防火区,具体来说,属于策略中目的地址所在的防火区。

所以在制定访问策略的时候首先要确定该策略所属的防火区。

选择方法是:在已激活防火墙集中管理器中 高级管理 > 访问策略 项目中,点击需要制定或修改访问策略的防火区
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
选择这条策略生效的时
间段
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明:访问策略控制包括如下选项:
策略配置完成后,可以看到所有策略的当前状态。

由于策略执行为第一匹配原则,则策略的顺序与策略的逻辑相关,添加策略时候可以使用不同的插入方式使策略插入适当的位置,可以直接拖拉策略到目标位置来改变策略的执行顺序。

防火墙主要的策略表均支持拖拉功能。

+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
4, 路由表的设置:
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
路由表顺序支持拖放功能,即用户可以用鼠标左键点住某个路由项,拖动到指定位置。

网络卫士防火墙提供完整的静态路由功能。

与标准路由定义比较,网络卫士防火墙的路由表有了很大增强,主要是防火墙在路由时不是只根据目的地址,而是同时根据目的地址和源地址进行路由;“网络卫士”防火墙的基于源和目的地址的路由定义方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信,从而进一步增强了网络的通信安全。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 5, 通过防火墙集中管理器来查看防火墙配置帮助文档:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 说明:帮助手册对整个防火墙的功能和操作都有详细的介绍和说明,参照手册可以解决很多防火墙的问题!
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 帮助手册界面。