WatchGuard 用戶快速配置指南

WatchGuardSystemManager用戶快速配置指南WatchGuardSystemManagerv10Firewarev10FirewareProv10目錄TOC\o"1-4"\h\z\u1 網絡和網絡平安介紹 11.1 關于網絡和網絡平安 11.2 關于IP地址 1專用地址和網關 2關于子網掩碼 2 關于斜線表示法 2 關于輸入IP地址 3 靜態(tài)和動態(tài)IP地址 3關于DHCP 4關于PPPoE 4 關于域名效勞(DNS) 41.3 關于效勞和策略 51.4 關于端口 52 WatchGuardSystemManager簡介 72.1 介紹WatchGuardSystemManager 7 WatchGuardSystemManager工具 8WatchGuardSystemManager 8PolicyManager 8FireboxSystemManager 8 關于WatchGuard效勞器 9LogServer 9ManagementServer 9QuarantineServer 10ReportServer 10WebBlockerServer 102.2 關于Fireware 10 Fireware與FirewarePro 11 關于WatchGuardSystemManager和WFS 113 入門 133.1 開始之前 13 驗證根本組件 13 獲取Firebox功能密鑰 14 收集網絡地址 14 選擇防火墻配置模式 15 確定效勞器軟件的安裝位置 163.2 設置管理工作站 17 備份以前的配置 17 下載WatchGuardSystemManager軟件 17 關于軟件加密級別 183.3 關于QuickSetupWizard 19 WebQuickSetupWizard 20如果使用向導時有問題 21向導完成之后 22 QuickSetupWizard〔非Web〕 22關于設置日志加密密鑰 23向導完成之后 233.4 安裝后的工作 24 自定義平安策略 25 關于LiveSecurityService 253.5 啟動WatchGuardSystemManager 25 連接至Firebox 26 從Firebox斷開連接 27 從所有Firebox斷開連接 27 啟動平安應用程序 28PolicyManager 28FireboxSystemManager 28HostWatch 28LogViewer 29WatchGuard報告 29QuickSetupWizard 29CAManager 293.6 升級到新版本的Fireware 303.7 降級到WSM9.1.x或更低版本 31如果您有備份文件 31如果您沒有備份文件 323.8 其他安裝考前須知 32 安裝WSM并保存較早的版本 32 在裝有桌面防火墻的計算機上安裝WatchGuard效勞器 33 路由配置 33 Drop-in配置 34 將附屬網絡添加到配置中 36 外部接口上的動態(tài)IP支持 37 關于連接Firebox電纜 374 效勞與支持 394.1 關于Watchguard支持 39 關于LiveSecurity解決方案 39威脅響應、警告和專家建議 39方便的軟件更新 40訪問技術支持和培訓 40 LiveSecurity播送 40信息警告 40威脅響應 40軟件更新 41評論 41根底 41回憶 41支持Flash 41病毒警告 41來自WatchGuard的最新信息 41 LiveSecurityService自助工具 42立即應答 42產品FAQ 42問題 42WatchGuard用戶論壇 42培訓 42產品文檔 434.2 激活LiveSecurityService 434.3 WatchGuard用戶論壇 444.4 產品文檔 454.5 培訓和認證 454.6 關于WatchGuard技術支持 46 LiveSecurityService技術支持 46工作時間 46號碼 46網站 46效勞時間 474.6.2 LiveSecurityGold 47 Firebox安裝效勞 48 VPN安裝效勞 48網絡和網絡平安介紹關于網絡和網絡平安“網絡〞是互相連接的一組計算機和其他設備。它可以是使用串行電纜連接的兩臺計算機，也可以是世界各地通過Internet連接的許多臺計算機。同一網絡中的計算機可以一起工作并共享數據。雖然Internet可讓您獲得大量信息和商業(yè)時機，但它也會使您的網絡受到攻擊。好的網絡平安策略可幫助您發(fā)現并阻止對您的計算機或網絡的攻擊。受到攻擊的代價很高?？赡苄枰蘩砘蚋鼡Q計算機。雇員的時間和資源將用于解決由攻擊引起的問題?？蓮木W絡獲取有價值的信息。許多人認為他們的計算機中沒有重要信息。他們認為自己的計算機不會成為黑客攻擊的目標。這是不對的。黑客可以使用您的計算機作為平臺，來攻擊其他計算機或網絡，或者使用您的帳戶信息發(fā)送垃圾郵件或進行攻擊。您的個人信息和帳戶信息也容易受到黑客攻擊，并且這些信息對于黑客是很有用的。關于IP地址要向某人發(fā)送平信，您必須知道此人的街道地址。而對于Internet上要向其他計算機發(fā)送數據的計算機，它必須知道目標計算機的地址。計算機地址稱為Internet協議(IP)地址。Internet上的所有設備都具有唯一的IP地址，這使得Internet上的其他設備能夠找到它們并與之交互。IP地址由四個以十進制形式表示的八進制數〔8位二進制序列〕組成，并以句點分隔。句點之間的每個數字都必須介于0到255之間。下面是一些IP地址例如：00=WatchGuard=核心DNS效勞器=專用IP專用地址和網關許多公司都會建立具有自己的地址空間的專用網絡。地址10.x.x.x和192.168.x.x是為專用IP地址保存的。Internet上的計算機無法使用上述地址。如果您的計算機位于專用網絡上，那么可以通過具有公用IP地址的網關設備連接到Internet。默認網關通常為位于您的網絡和Internet之間的路由器。在網絡上安裝Firebox之后，它會成為已連接到其可信任接口或可選接口的所有計算機的默認網關。關于子網掩碼出于平安和性能方面的考慮，網絡通常會分成更小的局部〔稱為子網〕。同一子網中的所有設備的IP地址均相似。例如，IP地址的前三個八進制數為50.50.50的所有設備都屬于同一子網。網絡IP地址的子網掩碼或網絡掩碼是“掩蓋〞IP地址局部的位字符串，用于顯示可用地址數以及使用中的地址數。例如，大型網絡的子網掩碼可能顯示為。零表示1到255之間的數字都可用作IP地址范圍。255表示該IP地址范圍已被占用。在子網掩碼為的網絡中，可用IP地址為65,025個。更小的網絡子網掩碼為。可用IP地址只有254個。關于斜線表示法斜線表示法在Firebox中的用途很廣，包括策略配置。斜線表示法是一種用來表示網絡子網掩碼的簡便方式。要以斜線表示法表示子網掩碼，請執(zhí)行以下操作：首先，找出子網掩碼的二進制表示方法。例如，的二進制表示方法為11111111.11111111.11111111.00000000。統計子網掩碼中的“1〞的數目。此例如包含二十四(24)個數字“1〞。將步驟2中的數目添加到IP地址，以斜線(/)分隔。IP地址3/24相當于具有網絡掩碼的IP地址3。下表顯示了常用的網絡掩碼及其等效的斜線表示法。網絡掩碼等效的斜線表示法/8/16/24/24/24/27/28/2952/30關于輸入IP地址在QuickSetupWizard或Firebox管理軟件的對話框中鍵入IP地址時，請以正確的順序鍵入數字和句點。不要使用TAB鍵、箭頭鍵、空格鍵或鼠標將光標放在句點后面。例如，如果鍵入IP地址0，請不要在鍵入“16〞之后鍵入空格。不要試圖將光標放在隨后的句點之后來鍵入“1〞。在“16〞之后直接鍵入句點，然后鍵入“1.10〞。按斜線(/)鍵，移至網絡掩碼。靜態(tài)和動態(tài)IP地址ISP〔Internet效勞提供商〕會為其網絡中的每臺設備分配IP地址。IP地址可以是靜態(tài)的，也可以是動態(tài)的。靜態(tài)IP地址是始終保持相同的IP地址。如果您有Web效勞器、FTP效勞器或其他必須具有不能更改地址的Internet資源，那么可以從ISP處獲得靜態(tài)IP地址。靜態(tài)IP地址通常比動態(tài)IP地址貴，而且某些ISP不提供靜態(tài)IP地址。您必須手動配置靜態(tài)IP地址。動態(tài)IP地址是ISP允許您暫時使用的IP地址。如果某個動態(tài)地址未被使用，那么可自動將其分配給其他設備。動態(tài)IP地址是使用DHCP或PPPoE分配的。關于DHCP動態(tài)主機配置協議(DHCP)是網絡中的計算機用于獲取IP地址和其他信息〔例如默認網關〕的Internet協議。當連接到Internet時，在ISP處配置為DHCP效勞器的計算時機自動為您分配一個IP地址。它可能與您以前所擁有的IP地址相同，也可能是新的IP地址。當您斷開使用動態(tài)IP地址的Internet連接時，ISP會將該IP地址分配給其他客戶。對于位于Firebox后面的網絡，您可以將Firebox配置為DHCP效勞器。您可以指定供DHCP效勞器從中選擇的地址范圍。關于PPPoE某些ISP會通過以太網點對點協議(PPPoE)分配其IP地址。PPPoE擴展了標準撥號連接，以增強以太網和PPP的某些功能。此網絡協議使ISP能夠通過DSL調制解調器和電纜調制解調器產品，來使用其撥號根底結構的計費、身份驗證和平安系統。關于域名效勞(DNS)如果您不知道某人的地址，那么通?？梢栽诓局姓业皆摰刂?。在Internet上，DNS〔域名效勞〕就相當于簿。每個網站都有一個映射到IP地址的域名〔例如“mysite〞〕。當鍵入域名以顯示網站時，計算機便會從DNS效勞器獲取IP地址。URL〔統一資源定位器〕包括域名和協議。例如，下面這個URL例如：總之，DNS是將Internet域名轉換為IP地址的系統。DNS效勞器是執(zhí)行這種轉換的效勞器。關于效勞和策略您可以使用效勞將不同類型的數據〔例如電子郵件、文件或命令〕從一臺計算機通過網絡發(fā)送到另一臺計算機，或者發(fā)送到其他網絡。這些效勞都使用協議。常用的Internet效勞如下：萬維網訪問使用超文本傳輸協議()電子郵件使用簡單郵件傳輸協議(SMTP)或郵局協議(POP3)文件傳輸使用文件傳輸協議(FTP)將域名解析為Internet地址使用域名效勞(DNS)遠程終端訪問使用Telnet或SSH〔平安殼〕當允許或拒絕效勞時，必須向Firebox配置添加策略。您添加每個策略的同時也會增加平安風險。要發(fā)送和接收數據，您必須在計算機中“翻開一扇門〞，這會使您的網絡處于風險中。我們建議您只添加業(yè)務所必需的策略。關于端口通常，端口是您使用插孔和電纜來連接設備的連接點。計算機還具有不是物理位置的端口。程序使用這些端口來傳輸數據。某些協議〔如〕具有已分配編號的端口。例如，由于為POP3協議分配的端口為110，因此許多計算時機通過端口110來傳輸電子郵件。而系統會在每次連接時動態(tài)為其他程序分配端口號。IANA〔Internet號碼分配機構〕會保存端口列表。您可以在上查看此列表。系統會向大多數策略分配介于0到1024之間的端口號，但是可能的端口號介于0到65535之間。WatchGuardSystemManager簡介介紹WatchGuardSystemManagerWatchGuardSystemManager提供了一種輕松且有效地管理網絡并保護其平安的方法。通過將一臺計算機用作管理工作站，您可以查看、管理和監(jiān)視網絡上的每臺Firebox設備。WatchGuardSystemManager的根本組件包括WatchGuardSystemManager窗口和五個WSM效勞器組件。此外，還可以通過WatchGuardSystemManager訪問其他WatchGuard工具，包括PolicyManager和FireboxSystemManager。以下圖顯示了WatchGuardSystemManager的各個組件及其訪問和導航方式。WatchGuardSystemManager工具購置WatchGuardFireboxXCore或Peak即可獲得一整套管理和監(jiān)視工具。WatchGuardSystemManagerWatchGuardSystemManager(WSM)是用于連接Firebox設備和WatchGuardManagementServer并對其進行管理的主要應用程序。WSM支持混合環(huán)境。您可以管理使用不同版本軟件的各種Firebox設備。有關WSM的詳細信息，請參閱使用WatchGuardSystemManager窗口。您還可以管理FireboxXEdge設備?！踩绻Ｍ褂肳SM來管理Edge并更改其平安策略，那么必須對Edge進行配置以進行集中式管理?！砅olicyManagerPolicyManager是用于執(zhí)行防火墻配置任務的用戶界面。PolicyManager包括一整套預配置的數據包篩選器和代理。您還可以創(chuàng)立自定義數據包篩選器，并在其中設置端口、協議以及其他參數。PolicyManager的其他功能可幫助阻止SYN淹沒攻擊、欺騙攻擊以及端口或地址空間探測等攻擊。有關詳細信息，請參閱關于PolicyManager。FireboxSystemManagerFireboxSystemManager提供了一個接口用以監(jiān)視Firebox的所有組件。在FireboxSystemManager中，您可以查看Firebox的實時狀態(tài)及其配置。有關詳細信息，請參閱關于FireboxSystemManager(FSM)。關于WatchGuard效勞器使用WatchGuard工具欄可啟動、停止和配置五類WatchGuard效勞器軟件：LogServerManagementServerQuarantineServerReportServerWebBlockerServerWatchGuard工具欄是位于計算機屏幕右下角的Windows系統托盤中的工具欄之一?！踩绻丛诠芾砉ぷ髡旧习惭b任何WatchGuard效勞器軟件，那么不會顯示WatchGuard工具欄?！衬梢詮淖笙蛴乙来问褂霉ぞ邫谏系膱D標來啟動、配置和管理這些效勞器。LogServerLogServer從每個WatchGuardFirebox收集日志消息。將日志消息發(fā)送到LogServer時會對其進行加密。日志消息格式為XML〔純文本〕。從防火墻設備收集到的信息包括流量日志消息、事件日志消息、警報和診斷消息。有關LogServer的詳細信息，請參閱設置LogServer。ManagementServerManagementServer在Windows計算機上運行。您可以使用此效勞器管理所有防火墻設備，并使用簡單的拖放功能創(chuàng)立虛擬專用網(VPN)隧道。ManagementServer的根本功能包括：為Internet協議平安性(IPSec)隧道頒發(fā)證書的證書頒發(fā)機構集中管理VPN隧道配置集中管理多個Firebox和FireboxXEdge設備有關ManagementServer的詳細信息，請參閱關于WatchGuardManagementServer。QuarantineServerQuarantineServer用于收集并隔離spamBlocker疑心是垃圾郵件的電子郵件。有關QuarantineServer的詳細信息，請參閱關于QuarantineServer。ReportServerReportServer用于定期合并LogServer從Firebox設備收集的數據，然后定期生成報告。數據進入ReportServer后，便可以使用ReportManager加以查看。有關報告和ReportServer的詳細信息，請參閱。有關ReportManager的詳細信息，請參閱關于ReportManager。WebBlockerServerWebBlockerServer使用Firebox代理拒絕用戶訪問屬于指定類別的網站。在Firebox配置期間，管理員可將網站類別設置為允許或阻止。有關WebBlocker和WebBlockerServer的詳細信息，請參閱關于WebBlocker。關于FirewareWatchGuardFireware是WatchGuard提供的新一代平安工具軟件。工具軟件保存在防火墻硬件的內存中。Firebox使用包含配置文件的工具軟件來運行。組織中的平安策略是一組規(guī)那么，用于定義如何保護計算機網絡和通過計算機網絡傳遞的信息。Fireware工具軟件提供許多高級功能，可用于管理最復雜網絡的平安策略。Fireware與FirewareProWatchGuard客戶可使用兩個版本的Fireware：Fireware——它是FireboxXCoree-Series設備上的默認工具軟件。通過這個新一代的工具軟件，WatchGuard能夠向FireboxX客戶提供更多功能。FirewarePro——它是FireboxXPeake-Series工具上的默認工具軟件。它使具有復雜網絡的客戶能夠更有效地保護他們的網絡。FirewarePro是作為以前發(fā)布的FireboxXCore設備的更新版本提供的。以下功能只適用于FirewarePro：高可用性流量管理/效勞質量(QoS)VLAN動態(tài)路由基于策略的路由效勞器負載平衡多WAN配置選項：加權輪循機制和接口溢出關于WatchGuardSystemManager和WFSWatchGuardSystemManager還包括配置和管理使用WFS工具軟件的FireboxX設備所必需的系統工具。WFS工具軟件是隨FireboxXCore和Peak的較早機型一起提供的默認工具軟件。有關WFS工具軟件的詳細信息，請參閱?WFSUserGuide?(WFS用戶指南)。將Firebox納入WSM管理后，該軟件會自動識別Firebox所使用的工具軟件。如果在選擇Firebox后單擊工具欄上的圖標，它將會啟動正確的管理工具。這些工具包括：FireboxSystemManagerPolicyManagerHostWatch例如，如果向WFS的“設備〞選項卡添加了運行WFS工具軟件的FireboxX700，然后單擊WSM工具欄上的PolicyManager圖標，那么會自動啟動WFS的PolicyManager。如果添加運行Fireware工具軟件的FireboxX700，那么會啟動Fireware的PolicyManager。入門開始之前在開始安裝過程之前，請務必先執(zhí)行下面所述的任務。在這些安裝說明中，假定Firebox已配置了一個可信任接口、一個外部接口和一個可選接口。要在Firebox上配置其他接口，請使用“網絡設置和配置〞主題中介紹的配置工具和過程。驗證根本組件確保具有以下工程：WatchGuardFirebox平安設備串行電纜〔藍色〕一根以太網交叉電纜〔紅色〕一根以太網直通電纜〔綠色〕電源線了解Firebox設備，如以下圖4：獲取Firebox功能密鑰獲取新的Firebox后，必須在LiveSecurity網站上激活它并獲取功能密鑰。通過功能密鑰才能使用Firebox上的功能。如果在使用QuickSetupWizard前注冊了Firebox，那么可以在向導中粘貼功能密鑰的副本。然后，該向導將其應用到Firebox。如果未將功能密鑰粘貼到該向導，那么可以完成該向導。但在添加功能密鑰之前，只允許有一個IP連接Internet。在購置任何可選產品后，將獲取該產品的一個新功能密鑰。在注冊Firebox或任何新功能后，可以隨時從WSM用戶界面將Firebox功能密鑰與LiveSecurity站點上注冊配置文件中保存的功能密鑰同步。有關功能密鑰的詳細信息，請參閱關于功能密鑰或將功能密鑰導入Firebox。收集網絡地址建議您在配置Firebox時創(chuàng)立兩個表。使用第一個表來記錄Firebox投入使用之前的網絡IP地址。WatchGuard使用斜線表示法來顯示子網掩碼。有關詳細信息，請參閱關于斜線表示法。有關IP地址的詳細信息，請參閱關于IP地址。表1：使用Firebox前的網絡IP地址廣域網_____._____._____._____/____默認網關局域網/____附屬網絡〔如果適用〕/____公用效勞器〔如果適用〕/____/_________._____._____._____/____/____使用第二個表來記錄Firebox投入使用之后的網絡IP地址。外部接口：連接到不受信任的外部網絡〔通常為Internet〕。可信任接口：連接到要保護的專用LAN〔局域網〕或內部網絡?？蛇x接口：通常連接到網絡的DMZ或混合信任區(qū)域。使用可選接口可以在網絡中創(chuàng)立具有不同訪問級別的區(qū)域。表2：使用Firebox后的網絡IP地址外部接口〔External〕_____._____._____._____/____默認網關可信任接口〔Trusted〕/____可信任網絡〔LAN〕_____._____._____._____/____可選接口1〔Optional〕_____._____._____._____/____可選接口2〔Optional〕/____附屬網絡〔如果適用〕_____._____._____._____/____其他輔助性表格，用于幫助您整理您的網絡：表3：使用Firebox后的輔助性表格管理工作站的IP_____._____._____._____/____PPPoE的用戶名______________________PPPoE的口令______________________PPPoE的靜態(tài)IP〔可選〕_____._____._____._____/____DHCP主機ID〔可選〕______________________LogServer的IP_____._____._____._____/____ReportServer的IP_____._____._____._____/____WebBlockerServer的IP_____._____._____._____/____QuarantineServer的IP_____._____._____._____/____WebServer的IP_____._____._____._____/____MailServer的IP_____._____._____._____/____FTPServer的IP_____._____._____._____/____SQLServer的IP_____._____._____._____/____選擇防火墻配置模式在安裝WatchGuardSystemManager前，必須確定如何將Firebox安裝到網絡中。接口配置取決于Firebox的安裝方式。要將Firebox安裝到網絡中，請選擇符合當前網絡要求的配置模式，即路由模式或drop-in模式〔透明模式〕。許多網絡都在路由配置下工作良好，但如果符合以下情況，建議采用drop-in模式：您已分配有大量的靜態(tài)IP地址，且不需要更改網絡配置。不能在具有公用IP地址以及專用IP地址的可信任網絡和可選網絡上配置計算機。該表及其下面的說明可幫助您選擇防火墻配置模式的三個條件。路由配置Drop-in配置Firebox的所有接口都在不同的網絡上。Firebox的所有接口都在相同網絡上，并具有相同的IP地址?？尚湃谓涌诤涂蛇x接口必須在不同的網絡上。每個接口在其網絡上都有IP地址。可信任接口或可選接口上的計算機都有公用IP地址。使用靜態(tài)NAT〔網絡地址轉換〕將公用地址映射到可信任接口或可選接口后的專用地址。因為具有公共訪問的計算機具有公用IP地址，所以不需要NAT。有關這兩個模式的詳細信息，請參閱路由配置和Drop-in配置。確定效勞器軟件的安裝位置在安裝過程中，您可以將管理工作站和WatchGuardSystemManager效勞器組件安裝在同一臺計算機中?；蛘撸梢允褂孟嗤陌惭b過程在其他計算機上安裝ManagementServer、LogServer、ReportServer、WebBlockerServer或QuarantineServer組件，以便分布效勞器負載或提供冗余。如果在計算機上也沒有安裝WSM軟件，ManagementServer在該計算機上無法正常運行。要確定在效勞器軟件的安裝位置，必須檢查管理工作站的容量，并選擇符合您的需要的安裝方法。如果在裝有活動桌面防火墻〔非Windows防火墻〕的計算機上安裝效勞器軟件，那么必須翻開效勞器連接通過防火墻所需的端口。Windows防火墻用戶不必更改其桌面防火墻配置，因為安裝程序會自動翻開通過Windows防火墻的所需端口。有關詳細信息，請參閱在裝有桌面防火墻的計算機上安裝WatchGuard效勞器一節(jié)。現在，可以開始安裝過程。第一步是設置管理工作站。設置管理工作站WatchGuardSystemManager(WSM)軟件安裝在您指定為管理工作站的計算機上。您可以使用管理工作站中的工具來訪問Firebox中的信息，例如連接和隧道狀態(tài)、流量統計信息和日志消息。在網絡中選擇一個基于Windows的計算機作為管理工作站，并安裝管理軟件。要安裝WatchGuardSystemManager軟件，必須在管理工作站計算機上具有管理權限。安裝之后，可以使用WindowsXP或Windows2003PowerUser權限來操作?？梢栽谕粋€管理工作站上安裝多個版本的WatchGuardSystemManager，而一次只能在一臺計算機上安裝一種版本的效勞器軟件。備份以前的配置如果您有以前版本的WatchGuardSystemManager，可以在安裝新版本之前備份您的平安策略配置。要備份配置，請參閱創(chuàng)立Firebox映像的備份。下載WatchGuardSystemManager軟件您可以隨時從下載最新的WatchGuardSystemManager軟件。必須用您的LiveSecurity用戶名和密碼登錄。如果您是新用戶，在下載WSM軟件之前，請在中創(chuàng)立一個用戶配置文件并激活您的產品。有關詳細信息，請參閱激活LiveSecurityService。如果您在使用MicrosoftWindows防火墻以外的其他個人防火墻的計算機上安裝某個WSM效勞器，必須為該效勞器翻開端口，以便通過防火墻進行連接。要允許連接到WebBlockerServer，請翻開UDP端口5003。如果您使用的是MicrosoftWindows防火墻，那么不必更改您的配置。有關詳細信息，請參閱在具有桌面防火墻的計算機上安裝WatchGuardServer主題。在將用作管理工作站的計算機上，下載最新的WatchGuardSystemManager(WSM)軟件。有關加密級別的信息，請參閱關于軟件加密級別。在同一臺計算機上，下載最新的Fireware工具軟件。將這些軟件保存到硬盤驅動器時，請務必記下它們的名稱和路徑。翻開文件并按照安裝說明操作。安裝程序包括一個用于選擇要安裝的軟件組件或升級程序的屏幕。安裝某些軟件組件時，需要不同的許可證。如果您的管理工作站當前正與某個Windows工具欄一起使用，您可能需要重新啟動該工具欄才能看到為WatchGuard管理系統安裝的新組件?，F在，您可以運行QuickSetupWizard了。該向導從Web運行，或作為Windows應用程序運行。有關如何從Web運行該向導的信息，請參閱WebQuickSetupWizard。有關如何將該向導作為Windows應用程序運行的信息，請參閱QuickSetupWizard〔非Web〕。關于軟件加密級別管理工作站軟件有兩種加密級別。根本加密：支持對MobileVPNwithPPTP隧道進行40位加密。使用此加密級別無法創(chuàng)立IPSecVPN隧道。強加密：支持對MobileVPNwithPPTP進行40位和128位加密。還支持56位和168位DES以及128位、192和256位AES。要將虛擬專用網絡與IPSec一起使用，必須下載強加密軟件。強導出限制適用于強加密軟件。可能在您所在的位置無法下載。關于QuickSetupWizard可以使用QuickSetupWizard為FireboxX創(chuàng)立根本配置。Firebox在首次啟動時使用該根本配置文件。這樣，Firebox便可以作為根本防火墻來使用。每次由于要進行恢復或出于其他原因，想要將Firebox重置為新的根本配置時，可以使用該同一過程。使用QuickSetupWizard配置Firebox時，僅設置根本策略〔TCP和UDP傳出、FTP數據包篩選器、ping和WatchGuard〕和接口IP地址。如果有更多需要Firebox檢查的軟件應用程序和網絡流量，您必須：在Firebox上配置策略，以允許必要的流量通過為每個策略設置批準的主機和屬性在保護您的網絡的需求與您的用戶獲取對外部資源的訪問的需求之間做出權衡QuickSetupWizard從Web運行，或作為Windows應用程序運行。有關如何從Web運行該向導的信息，請參閱WebQuickSetupWizard。有關如何將該向導作為Windows應用程序運行的信息，請參閱QuickSetupWizard〔非Web〕。WebQuickSetupWizard可以將WebQuickSetupWizard用于任何型號的FireboxXCore或FireboxXPeak。如果您以前已經配置了FireboxXCore或XPeak，請務必注意，WebQuickSetupWizard與隨以前的FireboxX硬件型號附帶的QuickSetupWizard具有不同的工作方式。在以前的FireboxXCore和FireboxXPeak設備中，QuickSetupWizard使用設備查找在網絡中查找要配置的Firebox。使用WebQuickSetupWizard時，您必須與Firebox建立直接的網絡連接，并使用Web瀏覽器來啟動該向導。Firebox從其接口1使用DHCP為您的管理工作站賦予要在配置過程中使用的新IP地址。啟動WebQuickSetupWizard之前，請確保您完成了以下工作：將Firebox注冊到LiveSecurityService將Firebox功能密鑰的副本存儲在您的管理工作站上的文本文件中從LiveSecurityService網站將WSM和Fireware軟件下載到您的管理工作站在您的管理工作站上安裝Fireware可執(zhí)行文件使用的WebQuickSetupWizard時，建立的與Firebox的連接是未加密的。建議在使用WebQuickSetupWizard時，將您的管理工作站直接連接到Firebox，因為密碼是以純文本格式發(fā)送的。要運行WebQuickSetupWizard，請執(zhí)行以下操作：用隨Firebox附帶的紅色交叉以太網電纜將您的管理工作站上的以太網端口與Firebox上的接口1相連，如以下圖5。將電源線兩端分別插入Firebox電源插口和電源。在翻開Firebox電源時，按下FireboxX前部的向下箭頭按鈕。FireboxX將啟動并進入平安模式。在出廠默認模式下，LCD會顯示型號，后面跟隨小寫的“safe〞字樣。請確保您的管理工作站配置為接受DHCP分配的IP地址。例如，如果您的管理工作站使用WindowsXP：從Windows“開始〞菜單，選擇“所有程序〞>“控制面板〞>“網絡連接〞>“本地連接〞。單擊“屬性〞。選擇“Internet協議(TCP/IP)〞并單擊“屬性〞。確保選中了“自動獲得IP地址〞。翻開一個Web瀏覽器并鍵入：://:8080/如果使用InternetExplorer，請確保鍵入前綴“://〞。這將在您的管理工作站和FireboxX設備之間翻開一個連接。WebQuickSetupWizard將自動啟動。單擊以逐個通過各個屏幕，并提供所要求的信息。如果將WebQuickSetupWizard閑置15分鐘或更長時間，那么必須返回到步驟3重新開始。如果使用向導時有問題如果WebQuickSetupWizard無法在Firebox上安裝Fireware工具軟件，向導會在六分鐘之后超時。如果使用向導時有問題，請檢查這些事項：可能是您從LiveSecurity網站下載的Fireware應用程序軟件文件已損壞。如果該軟件映像損壞，有時候在LCD界面上可能會顯示以下消息：“FileTruncateError.〞〔文件截斷錯誤?！持匦孪螺d該軟件，并再次運行向導。如果使用InternetExplorer6，請去除Web瀏覽器中的文件緩存，然后重試。要去除緩存，請在InternetExplorer工具欄中選擇“工具〞>“Internet選項〞>“刪除文件〞。向導完成之后運行QuickSetupWizard之后，可能需要等待一分鐘左右的時間，Firebox才能就緒，FireboxXPeak型號5500e、6500e、8500e和8500e-F尤其如此。完成向導中的所有屏幕之后，將使用包括四個策略〔TCP傳出、FTP數據包篩選器、ping和WatchGuard〕的根本配置以及您指定的接口IP地址來配置Firebox。可以使用PolicyManager來擴展或更改Firebox配置。有關如何在完成QuickSetupWizard之后將Firebox投入使用的信息，請參閱安裝后工作。要啟動WatchGuardSystemManager并開始使用其工具，請參閱啟動WatchGuardSystemManager。QuickSetupWizard〔非Web〕可以將QuickSetupWizard作為Windows應用程序運行以幫助您創(chuàng)立根本配置文件?？梢詫uickSetupWizard用于任何型號的FireboxXCore或FireboxXPeak。Firebox在首次啟動時使用該根本配置文件。這樣，Firebox便可以作為根本防火墻來使用。使用該根本配置文件配置Firebox之后，可以使用PolicyManager來擴展或更改Firebox配置。QuickSetupWizard使用設備查找過程來查找您要配置的FireboxX型號。該過程使用一個UDP多播。包括MicrosoftWindowsXPSP2中的防火墻在內的軟件防火墻會導致設備查找發(fā)生問題?？梢詮腤indows桌面或WatchGuardSystemManager啟動QuickSetupWizard。在桌面中，選擇：“開始〞>“所有程序〞>“WatchGuardSystemManager10.0〞>“QuickSetupWizard〞或者，從WatchGuardSystemManager中選擇：“工具〞>“QuickSetupWizard〞將啟動QuickSetupWizard。單擊以逐個通過各個屏幕，并提供所要求的信息。關于設置日志加密密鑰在QuickSetupWizard中，必須為Firebox設置狀態(tài)密碼和配置密碼。準備好配置LogServer以便從Firebox收集日志消息之后，使用您在QuickSetupWizard中設置的狀態(tài)密碼作為您的默認日志加密密鑰。配置LogServer之后，可以更改LogServer加密密鑰。向導完成之后運行QuickSetupWizard之后，可能需要等待一分鐘左右的時間，Firebox才能就緒，FireboxXPeak型號5500e、6500e、8500e和8500e-F尤其如此。完成向導中的所有屏幕之后，將使用包括四個策略〔TCP傳出、FTP數據包篩選器、ping和WatchGuard〕的根本配置以及您指定的接口IP地址來配置Firebox?？梢允褂肞olicyManager來擴展或更改Firebox配置。有關如何在完成QuickSetupWizard之后將Firebox投入使用的信息，請參閱安裝后工作。要啟動WatchGuardSystemManager并開始使用其工具，請參閱啟動WatchGuardSystemManager。安裝后的工作在完成WebQuickSetupWizard或非WebQuickSetupWizard后，必須執(zhí)行以下工作以使Firebox在網絡上正常運行：將Firebox放置在其永久物理位置。確保管理工作站和可信任網絡的其余局部將Firebox的可信任接口的IP地址用作其網關。在WatchGuardSystemManager中，選擇“文件〞>“連接至設備〞，將管理工作站連接到Firebox。如果使用路由配置，請在連接到Firebox可信任IP地址的所有計算機上更改默認網關。如果在裝有活動桌面防火墻〔非Windows防火墻〕的計算機上安裝WatchGuard效勞器軟件〔ManagementServer、QuarantineServer等〕，必須翻開效勞器連接通過防火墻所需的端口。Windows防火墻用戶不必更改其配置。有關詳細信息，請參閱在裝有桌面防火墻的計算機上安裝WatchGuard效勞器一節(jié)。您可能要執(zhí)行的其他設置任務有：設置ManagementServer。有關詳細信息，請參閱“ManagementServer設置和管理〞主題。配置LogServer和ReportServer以開始記錄日志消息和以這些日志消息為根底創(chuàng)立報告。有關詳細信息，請參閱“日志記錄、通知和報告〞主題。設置WebBlockerServer。有關詳細信息，請參閱WebBlocker主題。設置QuarantineServer。有關詳細信息，請參閱“QuarantineServer〞主題。翻開PolicyManager自定義配置，以滿足公司自己的業(yè)務和平安需求。自定義平安策略平安策略控制可以進入網絡的人員、所到位置和離開網絡的人員。Firebox的配置文件創(chuàng)立平安策略。使用QuickSetupWizard創(chuàng)立的配置文件只是根本配置。可以創(chuàng)立一個使平安策略符合您要求的配置文件。為此，請將數據包篩選器和代理策略添加到允許進入和離開網絡的設置。每個策略都可對網絡產生影響。提高網絡平安的策略可以減少對網絡的訪問。增加對網絡訪問的策略會使網絡面臨平安風險。在選擇這些策略后，必須基于所保護的組織和計算機設備選擇某一范圍的平衡策略。對于全新安裝，建議在所有系統都正常工作前，僅使用數據包篩選器策略?？梢愿鶕枰砑哟聿呗浴ｊP于LiveSecurityServiceFirebox包含LiveSecurityService訂閱。您的訂閱：確保使用最新的軟件升級獲得最新的網絡保護提供問題解決方案，其中含有全部技術支持資源通過最新平安問題的消息和配置幫助防止效勞中斷通過培訓資源幫助您查找有關網絡平安的更多信息通過軟件和其他功能擴展網絡平安通過高級替換延長硬件保修啟動WatchGuardSystemManager在Windows桌面上，選擇：“開始〞>“所有程序〞>“WatchGuardSystemManager10.0〞>“WatchGuardSystemManager〞。有關WatchGuardSystemManager的根本信息，請參閱WatchGuardSystemManager簡介?？梢酝ㄟ^該主窗口訪問所有WatchGuardSystemManager功能，如本手冊中所述。請注意，可以在WatchGuardSystemManager的大多數數據字段中使用標準的復制/粘貼過程，這很有用。另請參閱：連接至Firebox連接至Firebox如果尚未啟動WatchGuardSystemManager，請將其啟動。單擊。或者，選擇“文件〞>““連接至設備〞〞圖標?；蛘撸赪SM窗口〔“設備狀態(tài)〞選項卡〕上任一處單擊鼠標右鍵，然后選擇“連接至設備〞。將出現“連接至Firebox〞對話框。在“Firebox〞下拉列表中，鍵入Firebox的名稱或IP地址。在后續(xù)連接中，可以從“Firebox〞下拉列表中選擇Firebox名稱或IP地址。您還可以鍵入IP地址或主機名。鍵入IP地址時，應鍵入所有數字和句點。請不要使用Tab或箭頭鍵。鍵入Firebox狀態(tài)〔只讀〕密碼。使用狀態(tài)密碼可監(jiān)視流量和Firebox條件。在將新配置保存到Firebox時，必須鍵入配置密碼。如果需要，請更改“超時〞字段中的值。該值設置管理工作站偵聽來自Firebox的數據的時間〔秒〕，直到它發(fā)送一條說明無法從該設備獲得數據的消息為止。如果到設備的網絡連接或Internet連接速度緩慢，那么可以增加超時值。減少該值會減少必須等待超時消息的時間〔如果嘗試連接到不可用的Firebox〕。單擊“登錄〞。Firebox將顯示在WatchGuardSystemManager窗口中。從Firebox斷開連接單擊。〔如果連接到多個Firebox，那么選擇要從中斷開連接的一個Firebox，然后單擊該圖標?！郴蛘撸x擇“文件〞>“斷開連接〞?；蛘?，在WSM窗口〔“設備狀態(tài)〞選項卡〕上任一處單擊鼠標右鍵，然后選擇“斷開連接〞。從所有Firebox斷開連接如果連接到多個Firebox，那么可以同時從它們斷開連接。選擇“文件〞>“全部斷開連接〞?；蛘撸赪SM窗口〔“設備狀態(tài)〞選項卡〕上任一處單擊鼠標右鍵，然后選擇“全部斷開連接〞。另請參閱：啟動平安應用程序啟動平安應用程序您可以從WatchGuardSystemManager中使用任務欄和菜單項選擇項上的圖標啟動這些工具。PolicyManager通過PolicyManager可以安裝、配置和自定義Firebox的網絡平安策略有關PolicyManager的詳細信息，請參閱關于PolicyManager。要啟動PolicyManager，請單擊?；蛘撸x擇“工具〞>“PolicyManager〞。FireboxSystemManager通過WatchGuardFireboxSystemManager，可以在一個使用方便的界面中啟動許多不同的平安工具。還可以使用FireboxSystemManager來監(jiān)視通過防火墻的實時流量。有關FireboxSystemManager的詳細信息，請參閱關于FireboxSystemManager(FSM)。要啟動FireboxSystemManager，請單擊。或者，選擇“工具〞>“FireboxSystemManager〞。HostWatchHostWatch顯示從可信任網絡到外部網絡的通過Firebox的連接，或者您選擇的其他接口或VLAN之間的通過Firebox的連接。它顯示當前連接，也可以顯示日志文件中的歷史連接。有關HostWatch的詳細信息，請參閱關于HostWatch。要啟動HostWatch，請單擊?；蛘撸x擇“工具〞>“HostWatch〞。LogViewerLogViewer顯示日志文件的靜態(tài)視圖。通過它可以：應用以數據類型為依據的篩選器搜索單詞和字段輸出并保存到文件有關使用LogViewer的詳細信息，請參閱使用LogViewer查看日志文件。要啟動LogViewer，請單擊?；蛘撸x擇“工具〞>“日志〞>“LogViewer〞。WatchGuard報告WatchGuard報告是您已選擇從Firebox日志文件收集的數據的摘要。有關使用WatchGuard報告的詳細信息，請參閱關于ReportManager。要啟動ReportManager，請單擊?；蛘撸x擇“工具〞>“日志〞>“WG報告〞。QuickSetupWizard可以使用QuickSetupWizard為您的Firebox創(chuàng)立根本配置。Firebox在首次啟動時使用該根本配置文件。這樣，Firebox便可以作為根本防火墻來使用。每次由于要進行恢復或出于其他原因，想要將Firebox重置為新的根本配置時，可以使用該同一過程。有關使用QuickSetupWizard的詳細信息，請參閱關于QuickSetupWizard。要啟動QuickSetupWizard，請單擊?；蛘撸x擇“工具〞>“QuickSetupWizard〞。CAManager在WatchGuardSystemManager中，配置為ManagementServer的工作站也充當證書頒發(fā)機構(CA)。當托管的Firebox客戶端與ManagementServer聯系以接收配置更新時，此CA會將證書提供給它們。在可將ManagementServer用作CA之前，必須在ManagementServer上配置證書頒發(fā)機構。要設置或更改證書頒發(fā)機構的參數，請單擊。或者，選擇“工具〞>“CAManager〞。升級到新版本的Fireware有時候，我們會為具有活動LiveSecurity訂閱的Firebox用戶提供新版本的WatchGuardSystemManager(WSM)和Fireware工具軟件。要從某個具有Fireware的WSM版本升級到具有Fireware的新版本WSM，請執(zhí)行以下操作：備份當前的Firebox配置文件和ManagementServer配置文件。有關如何創(chuàng)立Firebox配置的備份映像的詳細信息，請參閱創(chuàng)立Firebox映像的備份。要備份ManagementServer上的設置，請參閱備份或恢復ManagementServer配置。使用Windows的“添加或刪除程序〞卸載現有的WatchGuardSystemManager和WatchGuardFireware安裝。管理工作站上可以有多個版本的WatchGuardSystemManager客戶端軟件，但只能有一個版本的WatchGuard效勞器軟件。啟動從LiveSecurity網站下載的文件，并按照屏幕顯示的過程操作。要將升級保存到工具，請使用PolicyManager翻開FireboxXCore或FireboxXPeak配置文件。按照屏幕中的說明將配置文件轉換為更新版