網(wǎng)神防火墻配置指導(dǎo)

網(wǎng)神防火墻安裝調(diào)試培訓(xùn)教材指導(dǎo)老師：XXX網(wǎng)御神州科技(北京)有限公司目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理百兆系列防火墻正面板圖1防火墻的硬件安裝及使用方法千兆正/后面板正面板圖后面板圖1防火墻的硬件安裝及使用方法千兆正/后面板正面板圖后面板圖1防火墻的硬件安裝及使用方法從左到右是Aux和Console，用于串口命令行登錄。６個(gè)10/100/1000自適應(yīng)以太網(wǎng)卡，依次為ge1，ge2，ge3，ge4，ge5，ge6以上六個(gè)接口可設(shè)置ip地址也可作為Mng的管理口狀態(tài)燈包括電源指示燈和防火墻狀態(tài)燈千兆前面板防火墻的硬件安裝及使用方法機(jī)箱風(fēng)扇電源開關(guān)電源插口千兆后面板防火墻的硬件安裝及使用方法連接、應(yīng)答燈(LINK/ACT):橙色當(dāng)網(wǎng)線連通后，此燈為橙色且長亮；當(dāng)此網(wǎng)卡有通信時(shí)，此燈會(huì)閃爍。網(wǎng)卡速度指示燈(SPEED):3種狀態(tài)當(dāng)網(wǎng)卡與10M設(shè)備相連時(shí)，此燈不亮當(dāng)網(wǎng)卡與100M設(shè)備相連時(shí)，此燈為綠色

當(dāng)網(wǎng)卡與1000M設(shè)備相連時(shí)，此燈為深橙色千兆網(wǎng)卡1防火墻的硬件安裝及使用方法START燈:紅色，在系統(tǒng)啟動(dòng)過程中會(huì)閃爍，在對(duì)系統(tǒng)進(jìn)行寫操作時(shí)會(huì)閃爍。POWER燈:綠色，在系統(tǒng)通電后，此燈會(huì)常亮。注意事項(xiàng):

在進(jìn)行故障判斷時(shí)，通常會(huì)觀察START燈，如果此燈在系統(tǒng)加電后1-3分鐘內(nèi)沒有閃爍，可能是系統(tǒng)無法啟動(dòng)故障；或只閃爍2下，可能是系統(tǒng)沒有完全啟動(dòng)。千兆電源燈1防火墻的硬件安裝及使用方法目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理2、登錄防火墻管理頁面2.1安裝調(diào)試前的工作2.2安裝調(diào)試的準(zhǔn)備工作2.3管理方式簡介2.4登錄防火墻2.1安裝調(diào)試前的工作拆箱檢查

請(qǐng)安照裝箱單的提示進(jìn)行檢查機(jī)箱內(nèi)所有的配件：

防火墻主機(jī)、USB電子鑰匙、隨機(jī)光盤(電子鑰匙驅(qū)動(dòng)、電子鑰匙初始化程序、管理員登錄認(rèn)證程序)、電源線、網(wǎng)線(交叉線）、串口線、安裝支架、保修卡*注：如發(fā)現(xiàn)有問題，請(qǐng)及時(shí)與您的供貨商進(jìn)行溝通解決。2.1安裝調(diào)試前的工作前期工作

一、第一時(shí)間內(nèi)填寫保修卡的回執(zhí)卡，并郵寄回網(wǎng)神公司，以便于成為網(wǎng)神公司永遠(yuǎn)服務(wù)的對(duì)象。二、在線服務(wù)網(wǎng)站網(wǎng)神信息安全網(wǎng)站為用戶注冊(cè)后可以在網(wǎng)站上自行下載防火墻升級(jí)包與相應(yīng)升級(jí)說明文檔等服務(wù)。三、進(jìn)行產(chǎn)品注冊(cè)，請(qǐng)您詳細(xì)填寫用戶名、通信地址、聯(lián)系電話、E－mail地址等信息，以便于將新的技術(shù)成果迅速及時(shí)的傳遞給您！

一、接通防火墻電源，開啟防火墻(聽到“滴滴滴)后防火墻啟動(dòng)完成)二、選用一臺(tái)帶USB接口、以太網(wǎng)卡和光驅(qū)的PC機(jī)作為防火墻的管理主機(jī)，操作系統(tǒng)應(yīng)為Window98/2000/XP/2003(暫不支持linux、unix)三、使用隨機(jī)提供的交叉線，連接管理主機(jī)和防火墻的FE1網(wǎng)口5(出廠默認(rèn)的地址),將管理主機(jī)的IP地址改為4（防火墻出廠時(shí)默認(rèn)指定的管理主機(jī)IP）2.2安裝調(diào)試的準(zhǔn)備工作2.3管理方式介紹支持多種管理方式；串口命令行管理-常用于災(zāi)難的恢復(fù)工作

Web頁面管理-常用于正常管理

ssh遠(yuǎn)程管理-常用于管理調(diào)試集中管理-方便管理

PPP遠(yuǎn)程撥號(hào)接入-專線遠(yuǎn)程撥入2.4登錄防火墻

A.電子鑰匙認(rèn)證

需要安裝電子鑰匙驅(qū)動(dòng)程序和防火墻管理員登錄認(rèn)證程序。

B.證書認(rèn)證

需要管理主機(jī)導(dǎo)入IE證書，網(wǎng)神防火墻證書已經(jīng)存在于防火墻系統(tǒng)內(nèi)無需導(dǎo)入。認(rèn)證方式安裝電子鑰匙驅(qū)動(dòng)程序?qū)㈦S機(jī)光盤放入管理主機(jī)的光驅(qū)，進(jìn)入隨機(jī)附帶的光盤的IkeyDriver目錄，執(zhí)行該目錄下的INSTDRV，提示“退出請(qǐng)重新插鎖”。則表示已正確安裝完網(wǎng)神電子鑰匙的驅(qū)動(dòng)程序。*注意：安裝驅(qū)動(dòng)程序過程中，請(qǐng)不要先將網(wǎng)神電子鑰匙插入管理主機(jī)的USB口。2.4登錄防火墻電子鑰匙認(rèn)證2.4登錄防火墻點(diǎn)擊“退出請(qǐng)重新插鎖”后裝電子鑰匙插入管理主機(jī)USB接口中，XP/2000/2003系統(tǒng)提示自動(dòng)搜索電子鑰匙驅(qū)動(dòng)程序,自動(dòng)安裝即可。*注意：安裝驅(qū)動(dòng)程序過程中，請(qǐng)不要先將網(wǎng)神電子鑰匙插入管理主機(jī)的USB口。電子鑰匙認(rèn)證在管理主機(jī)上，運(yùn)行隨機(jī)光盤AdminAuth目錄下的ikeyc程序,程序?qū)⑻崾居脩糨斎隤IN口令首次使用默認(rèn)PIN為“12345678”，2.4登錄防火墻電子鑰匙認(rèn)證

通過后彈出管理員身份認(rèn)證對(duì)話框,首次登錄點(diǎn)擊“連接”成功后,會(huì)顯示“通過認(rèn)證”對(duì)話框。退出防火墻管理之前請(qǐng)不要關(guān)閉此頁面*注：在管理防火墻過程中，本程序每5秒將向防火墻提交一次認(rèn)證信息，因此，不能拔出電子鑰匙，或者關(guān)閉認(rèn)證程序，否則將導(dǎo)致對(duì)防火墻的管理被立即中斷。2.4登錄防火墻電子鑰匙認(rèn)證通過認(rèn)證程序后，在IE中輸入https://防火墻IP:8888出廠默認(rèn)地址5，默認(rèn)的用戶密碼firewall2.4登錄防火墻電子鑰匙認(rèn)證2.4登錄防火墻電子鑰匙認(rèn)證

一、使用防火墻證書管理二、導(dǎo)入IE瀏覽器證書2.4登錄防火墻證書認(rèn)證

導(dǎo)入防火墻證書要導(dǎo)入相對(duì)應(yīng)的IE瀏覽器證書.在管理主機(jī)本地雙擊IE瀏覽器證書，按照提示進(jìn)行安裝，需要輸入密碼時(shí)輸入“123456”，當(dāng)出現(xiàn)導(dǎo)入成功后點(diǎn)擊確定完成。證書認(rèn)證2.4登錄防火墻

當(dāng)防火墻與IE證書均導(dǎo)入成功后，我們?cè)诠芾碇鳈C(jī)打開IE瀏覽器并輸入https://防火墻ip:8889出廠默認(rèn)IP為5,出現(xiàn)選擇證書提示后點(diǎn)擊“確定”2.4登錄防火墻證書認(rèn)證2.4登錄防火墻證書認(rèn)證出現(xiàn)安全警報(bào)后點(diǎn)擊“是(Y)”就會(huì)出現(xiàn)防火墻登錄頁面XP系統(tǒng)請(qǐng)確認(rèn)IE瀏覽器中internet選項(xiàng)->隱私選項(xiàng)->中的阻止彈出窗口選取去掉：如下圖2.4登錄防火墻證書認(rèn)證默認(rèn)用戶名密碼為:admin/firewall目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理3防火墻界面介紹管理首頁3防火墻界面介紹首頁介紹在首頁大家可以看到,設(shè)備信息(包括網(wǎng)關(guān)名稱,版本,序列號(hào),型號(hào)),網(wǎng)絡(luò)接口(包括各網(wǎng)口的連接壯態(tài)等),資源狀態(tài)(包括CPU,內(nèi)存的利用率和當(dāng)前連接數(shù)),在線管理員,最近事件(包括所有的日志信息)等信息系統(tǒng)配置,管理配置模塊及各級(jí)子菜單3防火墻界面介紹系統(tǒng)配置－>升級(jí)許可配置3防火墻界面介紹1點(diǎn)擊瀏覽按鈕選中升級(jí)文件2打開pkg文件后點(diǎn)擊升級(jí)按鈕3點(diǎn)擊重啟網(wǎng)關(guān)，注意不要保存配置4升級(jí)后選中要導(dǎo)入license文件5點(diǎn)擊導(dǎo)入許可證3防火墻界面介紹系統(tǒng)配置－>導(dǎo)入導(dǎo)出配置1點(diǎn)擊瀏覽按鈕2選中要導(dǎo)入的防火墻配置3點(diǎn)擊導(dǎo)入配置按鈕管理配置－>添加管理主機(jī)3防火墻界面介紹1點(diǎn)擊添加按鈕添加IP地址2輸入管理主機(jī)ip地址3點(diǎn)擊確定管理配置－>修改管理員賬號(hào)3防火墻界面介紹1點(diǎn)擊操作圖標(biāo)彈出對(duì)話框2點(diǎn)擊修改口令方框修改口令框顯示被選中3在口令中輸入字符串4再次輸入口令字符串確認(rèn)5點(diǎn)擊確認(rèn)使修改口令生效網(wǎng)絡(luò)配置－>修改網(wǎng)絡(luò)接口3防火墻界面介紹1點(diǎn)擊操作圖標(biāo)2修改工作模式3選中支持vlan4點(diǎn)擊確定修改生效網(wǎng)絡(luò)配置－>修改接口ip地址3防火墻界面介紹點(diǎn)擊操作圖標(biāo)修改接口地址1點(diǎn)擊添加按鈕添加ip地址2添加新ip地址3添加ip地址掩碼4點(diǎn)擊確定生效網(wǎng)絡(luò)配置－>添加策略路由3防火墻界面介紹1點(diǎn)擊添加按鈕2添加目的地址及掩碼3輸入下一跳地址或默認(rèn)網(wǎng)關(guān)地址4點(diǎn)擊確定生效對(duì)象定義－>添加地址列表3防火墻界面介紹1點(diǎn)擊添加按鈕增加列表2添加定義地址段3點(diǎn)擊確定生效對(duì)象定義－>添加地址組3防火墻界面介紹點(diǎn)擊操作修改定義的地址組2將左邊地址表中已定義的成員添加到地址組3點(diǎn)擊添加按鈕>>（符號(hào)）4查看已添加地址組成員5點(diǎn)擊確定生效1點(diǎn)擊添加按鈕對(duì)象定義－>添加服務(wù)列表3防火墻界面介紹1點(diǎn)擊添加按鈕添加服務(wù)列表對(duì)象定義－>添加服務(wù)列表3防火墻界面介紹1添加名稱2選中http服務(wù)協(xié)議3選中DNS服務(wù)協(xié)議4添加http服務(wù)端口號(hào)添加dns服務(wù)端口號(hào)點(diǎn)擊確定生效對(duì)象定義－>添加帶寬列表3防火墻界面介紹1點(diǎn)擊添加按鈕2定義帶寬1Mb3點(diǎn)擊確定生效安全策略－>包過濾規(guī)則3防火墻界面介紹1選中包過濾規(guī)則2輸入ip地址3選擇禁止動(dòng)作安全策略－>NAT規(guī)則3防火墻界面介紹1選擇nat規(guī)則2輸入源地址3選擇服務(wù)類型4選擇轉(zhuǎn)換后的公網(wǎng)地址安全策略－>IP映射規(guī)則3防火墻界面介紹1選擇nat規(guī)則2輸入源地址3輸入外網(wǎng)訪問地址4輸入外網(wǎng)地址轉(zhuǎn)換后的ip地址5外網(wǎng)映射內(nèi)部服務(wù)器地址安全策略－>端口映射規(guī)則3防火墻界面介紹1選擇端口映射規(guī)則2輸入源地址3輸入外網(wǎng)訪問地址4選擇對(duì)外服務(wù)類型5輸入外網(wǎng)地址轉(zhuǎn)換后的ip地址6外網(wǎng)映射內(nèi)部服務(wù)器地址7選擇對(duì)外服務(wù)類型高可用性－>HA基本配置3防火墻界面介紹1選擇設(shè)置HA同步接口2選擇HA同步接口地址3點(diǎn)擊確定生效設(shè)置主防火墻為控制節(jié)點(diǎn)4設(shè)置自動(dòng)配置同步5設(shè)置自動(dòng)狀態(tài)同步6設(shè)置主墻同步的ip地址7點(diǎn)擊確定生效3防火墻界面介紹HA－>VRRP實(shí)例配置1點(diǎn)擊添加按鈕2添加實(shí)例名3選擇網(wǎng)絡(luò)接口4設(shè)置優(yōu)先級(jí)值5添加虛ip地址6添加地址掩碼7點(diǎn)擊添加按鈕導(dǎo)入到右邊的信息欄8點(diǎn)擊確定生效HA－>VRRP關(guān)聯(lián)3防火墻界面介紹1點(diǎn)擊添加按鈕2輸入關(guān)聯(lián)名稱3輸入優(yōu)先級(jí)值4選中關(guān)聯(lián)列表點(diǎn)擊》按鈕導(dǎo)入到右邊的關(guān)聯(lián)信息框點(diǎn)擊確定生效網(wǎng)絡(luò)監(jiān)控－>實(shí)時(shí)監(jiān)控3防火墻界面介紹1點(diǎn)擊選擇查詢的協(xié)議2選擇過濾的源地址及掩碼3選擇按連接數(shù)或流量監(jiān)控4點(diǎn)擊按鈕查詢結(jié)果目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理安全規(guī)則包流經(jīng)規(guī)則的順序是根據(jù)：應(yīng)用代理，端口映射，IP映射，過濾規(guī)則，地址轉(zhuǎn)換規(guī)則中的排列順序,誰排列在安全規(guī)則的最前面,最先執(zhí)行那條規(guī)則.增加源端口，源MAC地址，URL過濾，入網(wǎng)口，出網(wǎng)口，時(shí)間調(diào)度，長連接,P2P等選項(xiàng).包流經(jīng)順序例如如下圖所示:NAT規(guī)則流入流出４防火墻的配置管理代理規(guī)則端口映射規(guī)則IP映射規(guī)則包過濾規(guī)則安全規(guī)則源地址轉(zhuǎn)換（SNAT）實(shí)現(xiàn)機(jī)制如下圖所示:４防火墻的配置管理安全策略>>安全規(guī)則>>配置NAT規(guī)則4防火墻的配置管理安全規(guī)則端口映射（PNAT）實(shí)現(xiàn)機(jī)制如下圖所示:４防火墻的配置管理安全策略>>安全規(guī)則>>配置端口映射４防火墻的配置管理安全規(guī)則IP映射（DNAT）實(shí)現(xiàn)機(jī)制如下圖所示:４防火墻的配置管理安全策略>>安全規(guī)則>>配置IP映射４防火墻的配置管理安全策略>>安全規(guī)則>>配置包過濾４防火墻的配置管理串口命令行命令介紹>sysinfodisp(顯示系統(tǒng)信息防火墻序列號(hào)、版本號(hào))>sysipdisp(顯示所有網(wǎng)絡(luò)端口的ip)>sysipaddge3adminonpingon（設(shè)定fe3的ip為/網(wǎng)口啟用允許web管理、ping）>mnghostdisp(查看管理主機(jī)ip)>mnghostadd(添加一個(gè)地址為的管理主機(jī))>syscfgsave(防火墻配置保存)>mngacctunlock<name>解除鎖定帳戶4防火墻的配置管理目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理典型應(yīng)用環(huán)境拓樸圖三網(wǎng)口路由典型應(yīng)用環(huán)境三網(wǎng)口路由一、需求描述內(nèi)部網(wǎng)絡(luò)區(qū)段主機(jī)的缺省網(wǎng)關(guān)指向fe1的IP地址；DMZ網(wǎng)絡(luò)區(qū)段的主機(jī)的缺省網(wǎng)關(guān)指向fe3的IP地址；防火墻的缺省網(wǎng)關(guān)指向路由器的地址。WWW服務(wù)器的地址是0，端口是80；MAIL服務(wù)器的地址是1，端口是25和110；FTP服務(wù)器的地址是2，端口是21。安全策略的缺省策略是禁止。允許內(nèi)部網(wǎng)絡(luò)區(qū)段訪問DMZ網(wǎng)絡(luò)區(qū)段和Internet區(qū)段的http,smtp，pop3，ftp服務(wù)；允許Internet區(qū)段訪問DMZ網(wǎng)絡(luò)區(qū)段的服務(wù)器。其他的訪問都是禁止的。

典型應(yīng)用環(huán)境三網(wǎng)口路由二、網(wǎng)絡(luò)設(shè)備配置網(wǎng)絡(luò)配置>接口IP>

編輯接口IP

fe1，將IP地址配置為，掩碼是

。編輯接口IP

fe3，將IP地址配置為，掩碼是

。編輯接口IP

fe4，將IP地址配置為，掩碼是

。網(wǎng)絡(luò)配置>策略路由>添加目的地址,子網(wǎng)掩碼都是,

下一跳地址是的路由。典型應(yīng)用環(huán)境三網(wǎng)口路由三、安全策略>>安全規(guī)則添加源地址是/24，目的地址是any，服務(wù)是any的nat規(guī)則。添加源地址為any,公開地址:，對(duì)外服務(wù)是http，公開地址映射為:0，對(duì)外服務(wù)映射為:http的端口映射規(guī)則。添加源地址為any,公開地址:，對(duì)外服務(wù)是smtp，公開地址映射為:1，對(duì)外服務(wù)映射為:

smtp的端口映射規(guī)則。添加源地址為any,公開地址:，對(duì)外服務(wù)是pop3，公開地址映射為:1，對(duì)外服務(wù)映射為:

pop3的端口映射規(guī)則。添加源地址為any,公開地址:，對(duì)外服務(wù)是ftp，公開地址映射為:

2，對(duì)外服務(wù)映射為:

ftp的端口映射規(guī)則。典型應(yīng)用環(huán)境

三網(wǎng)口混合模式

典型應(yīng)用環(huán)境

三網(wǎng)口混合模式

一、需求描述:fe1工作在混合模式，fe3工作在混合模式，fe4工作在路由模式，IP地址是，掩碼是。接口IPbr:fe1的IP地址是，掩碼是。內(nèi)網(wǎng)網(wǎng)絡(luò)區(qū)段的缺省網(wǎng)關(guān)是，DMZ網(wǎng)絡(luò)區(qū)段的缺省網(wǎng)關(guān)是。防火墻的缺省網(wǎng)關(guān)是。

防火墻的缺省安全策略是禁止。區(qū)段間的安全策略是：允許內(nèi)網(wǎng)網(wǎng)絡(luò)區(qū)段訪問Internet和DMZ，允許Internet訪問DMZ，其他的訪問都禁止。典型應(yīng)用環(huán)境

三網(wǎng)口混合模式

二、網(wǎng)絡(luò)配置:編輯網(wǎng)絡(luò)接口fe1，工作模式為“混合模式”。編輯網(wǎng)絡(luò)接口fe3，工作模式為“混合模式”。編輯接口IPbr:fe1，配置它的IP地址是，掩碼是

，選擇可管理。編輯接口IPfe4，配置它的IP地址為，掩碼是

。策略路由>：添加目的地址是/,下一跳的路由典型應(yīng)用環(huán)境

三網(wǎng)口混合模式

三、對(duì)象定義>>地址地址列表中定義如下資源：LOCAL_NET：到0，地址段。DMZ_NET：到0，地址段。INTERNET:，掩碼是，取反網(wǎng)絡(luò)地址。服務(wù)器地址列表中定義如下資源:WWW_SERVER:00主機(jī)地址。MAIL_SERVER:01主機(jī)地址。FTP_SERVER:02主機(jī)地址。

典型應(yīng)用環(huán)境

三網(wǎng)口混合模式

三、安全策略>>安全規(guī)則添加源地址是LOCAL_NET，目的地址是INTERNET，服務(wù)是any的nat規(guī)則。添加源地址是INTERNET，目的地址是WWW_SERVER，服務(wù)是http的端口映射規(guī)則。添加源地址是INTERNET，目的地址是MAIL_SERVER，服務(wù)是smtp的端口映射規(guī)則。添加源地址是INTERNET，目的地址是MAIL_SERVER，服務(wù)是pop3的端口映射規(guī)則。添加源地址是INTERNET，目的地址是FTP_SERVER，服務(wù)是ftp的端口映射規(guī)則。

典型應(yīng)用環(huán)境三網(wǎng)口透明模式

典型應(yīng)用環(huán)境

三網(wǎng)口透明模式

一、需求描述:fe1工作在混合模式，fe3工作在混合模式，fe4工作在混合模式。接口IPbr:fe1的IP地址是，允許管理。防火墻的缺省安全策略是禁止。區(qū)段間的安全策略是：允許內(nèi)部網(wǎng)絡(luò)區(qū)段訪問DMZ區(qū)段和INTERNET的http，smtp，pop3，ftp服務(wù)，允許INTERNET區(qū)段訪問DMZ網(wǎng)絡(luò)的http，smtp，pop3，ftp服務(wù)。其他的訪問都禁止。典型應(yīng)用環(huán)境

三網(wǎng)口透明模式

二、網(wǎng)絡(luò)配置>>網(wǎng)絡(luò)接口編輯fe1，選擇為“混合模式”，確定。編輯fe3，選擇為“混合模式”，確定。編輯fe4，選擇為“混合模式”，確定。編輯接口IPbr:fe1，地址配置為，掩碼是

，允許管理，確定。典型應(yīng)用環(huán)境

三網(wǎng)口透明模式

三、安全策略>>安全規(guī)則添加源地址是INTERNET，目的地址是WWW_SERVER，服務(wù)是http的端口映射規(guī)則。添加源地址是INTERNET，目的地址是MAIL_SERVER，服務(wù)是smtp的端口映射規(guī)則。添加源地址是INTERNET，目的地址是MAIL_SERVER，服務(wù)是pop3的端口映射規(guī)則。添加源地址是INTERNET，目的地址是FTP_SERVER，服務(wù)是ftp的端口映射規(guī)則。典型應(yīng)用環(huán)境

雙機(jī)熱備模式

Active-Standby冗余備份典型應(yīng)用環(huán)境

雙機(jī)熱備模式

上圖中安全網(wǎng)關(guān)A和安全網(wǎng)關(guān)B工作在Active-Standby路由冗余備份狀態(tài)，安全網(wǎng)關(guān)A為主墻，安全網(wǎng)關(guān)B為備份安全網(wǎng)關(guān)?？蛻魴C(jī)的網(wǎng)關(guān)指向安全網(wǎng)關(guān)A的虛擬網(wǎng)關(guān)，安全網(wǎng)關(guān)A負(fù)擔(dān)整個(gè)鏈路的流量。典型應(yīng)用環(huán)境

雙機(jī)熱備模式Active-Standby冗余備份典型應(yīng)用環(huán)境

雙機(jī)熱備模式

上圖中當(dāng)安全網(wǎng)關(guān)A出現(xiàn)故障時(shí)，安全網(wǎng)關(guān)B在1秒內(nèi)接管安全網(wǎng)關(guān)A上的虛擬網(wǎng)關(guān)，承擔(dān)整個(gè)鏈路的流量。安全網(wǎng)關(guān)A恢復(fù)之后，兩臺(tái)安全網(wǎng)關(guān)又會(huì)正常工作在Active-Standby路由冗余備份狀態(tài)。典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置1.配置安全網(wǎng)關(guān)A的fe2和fe3口工作在路由模式，添加一條/組播地址通過的包過濾安全規(guī)則。典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置2.進(jìn)入“網(wǎng)絡(luò)配置->安全網(wǎng)關(guān)IP”配置安全網(wǎng)關(guān)fe1、fe2和fe3的IP地址：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置3.進(jìn)入“高可用性->路由模式HA->VRRP實(shí)例”，如圖添加fe2和fe3口的四個(gè)虛擬網(wǎng)關(guān)典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置注意：四個(gè)VRRP實(shí)例的VRID不能相同，VRID相同的端口是互為備份的端口，在下面配置安全網(wǎng)關(guān)B的VRRP實(shí)例中，安全網(wǎng)關(guān)B中虛擬網(wǎng)關(guān)的VRID要和安全網(wǎng)關(guān)A相同的虛擬網(wǎng)關(guān)的VRID相同。典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置4.進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個(gè)VRRP關(guān)聯(lián)，這樣當(dāng)一個(gè)VRRP實(shí)例出現(xiàn)故障時(shí)，VRRP協(xié)議認(rèn)為這個(gè)VRRP關(guān)聯(lián)中的所有VRRP實(shí)例都出現(xiàn)故障：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置5.啟動(dòng)這兩個(gè)VRRP關(guān)聯(lián)：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻A的WebUI

配置6.在fe1口啟動(dòng)狀態(tài)同步：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置1.配置安全網(wǎng)關(guān)B的fe2和fe3口工作在路由模式，添加一條/組播地址通過的包過濾安全規(guī)則。典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置2.進(jìn)入“網(wǎng)絡(luò)配置->安全網(wǎng)關(guān)IP”配置安全網(wǎng)關(guān)fe1、fe2和fe3的IP地址：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置3.進(jìn)入“高可用性->路由模式HA->VRRP實(shí)例”，如圖添加fe2和fe3口的四個(gè)虛擬網(wǎng)關(guān)典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置注意：四個(gè)VRRP實(shí)例的VRID不能相同，VRID相同的端口是互為備份的端口，在下面配置安全網(wǎng)關(guān)A的VRRP實(shí)例中，安全網(wǎng)關(guān)B中虛擬網(wǎng)關(guān)的VRID要和安全網(wǎng)關(guān)A相同的虛擬網(wǎng)關(guān)的VRID相同。典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置4.進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個(gè)VRRP關(guān)聯(lián)，這樣當(dāng)一個(gè)VRRP實(shí)例出現(xiàn)故障時(shí)，VRRP協(xié)議認(rèn)為這個(gè)VRRP關(guān)聯(lián)中的所有VRRP實(shí)例都出現(xiàn)故障：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置5.啟動(dòng)這兩個(gè)VRRP關(guān)聯(lián)：典型應(yīng)用環(huán)境

雙機(jī)熱備模式防火墻B的WebUI

配置6.在fe1口啟動(dòng)狀態(tài)同步：目錄1防火墻的硬件安裝及使用方法2防火墻登錄管理3防火墻的功能模塊的配置使用防火墻的配置管理5網(wǎng)神防火墻的典型應(yīng)用6網(wǎng)神防火墻的日常管理及故障處理

防火墻在配置與使用過程中，如果配置不當(dāng)往往會(huì)造成防火墻無法管理，網(wǎng)絡(luò)中斷等現(xiàn)場。為了有效的避免這些故障的發(fā)生，我們?cè)谂渲眠^程中應(yīng)該注意以下的問題。

網(wǎng)神防火墻的日常管理及故障處理電子鑰匙認(rèn)證問題電子鑰匙連接防火墻時(shí)提示“認(rèn)證失敗，請(qǐng)檢查IP地址及網(wǎng)絡(luò)”.

處理方法:防火墻設(shè)置的管理主機(jī)的IP地址和目前正在使用的管理主機(jī)地址不一致造成,更改管理主機(jī)ip.2)電子鑰匙認(rèn)證時(shí)窗口彈出一個(gè)空白.

處理方法:防火墻的電子鑰匙的ID號(hào)中有一個(gè)空格的存在,需要重新寫電子鑰匙。

網(wǎng)神防火墻的日常管理及故障處理

在WEB界面上口令連續(xù)輸錯(cuò)5次，再也進(jìn)不了防火墻管理界面了。這是因?yàn)橘~號(hào)登錄連續(xù)5失敗，經(jīng)被鎖定了。此時(shí)需要使用串口登錄防火墻，使用mngacctunlock<name>命令解鎖。

網(wǎng)神防火墻的日常管理及故障處理防火墻策略配置問題防火墻中配置了端口映射或IP映射規(guī)則后，為什么外網(wǎng)和內(nèi)網(wǎng)用戶還是無法訪問DMZ區(qū)服務(wù)器？

處理方法：在配置了映射規(guī)則后，還需要將規(guī)則移動(dòng)到NAT前。

網(wǎng)神防火墻的日常管理及故障處理管理主機(jī)配置問題

為什么我們更改了防火墻的fe1口的地址后,卻無法管理了?

當(dāng)我們更改防火墻的網(wǎng)絡(luò)接口的同時(shí)，要確認(rèn)你已經(jīng)添加了此接口網(wǎng)段的管理主機(jī)，否則你將無法管理防火墻。沒有用的管理主機(jī)址盡量刪除，因?yàn)楣芾碇鳈C(jī)的IP地址是管理防火墻的一個(gè)必要的條件。

網(wǎng)神防火墻的日常管理及故障處理網(wǎng)絡(luò)設(shè)備配置問題

當(dāng)不同的設(shè)備地址進(jìn)行工作模式的轉(zhuǎn)換時(shí)候，注意它的附加選項(xiàng)。如撥號(hào)設(shè)備要先關(guān)閉管理屬性才能刪除。當(dāng)墻連接的對(duì)端的設(shè)備工作速率不支持自適應(yīng)的時(shí)候，要注意設(shè)定墻接口的工作方式與速率。

網(wǎng)神防火墻的日常管理及故障處理

防火墻路由配置問題防火墻可以添加多條默認(rèn)路由嗎?

不可以添加相同目的地址的多條路由，但可以添加多條默認(rèn)路由,如果存在多條默認(rèn)路由，同時(shí)啟用的只能有一條

。

網(wǎng)神防火墻的日常管理及故障處理

安全規(guī)則生效順序

防火墻規(guī)則分為代理、端口映射、IP映射、包過濾、NAT規(guī)則五類。這幾類規(guī)則在安全規(guī)則中誰放在前面先執(zhí)行誰.我們的規(guī)則要盡量精簡，目的是為了讓防火墻處理的更快。

網(wǎng)神防火墻的日常管理及故障處理對(duì)象定義引用問題為什么有一個(gè)被