网神-LS01 如何快速管理防火墙

1、如何快速管理防火墙（v1.2）网御神州 产品部（内部资料注意保密）2007.04学习目标学习完本课程，您应该能够 了解网御神州防火墙的出厂默认配置 学会如何使用Console界面配置防火墙 学会如何使用Web界面配置防火墙课程内容1. 防火墙出厂默认配置介绍防火墙出厂默认配置介绍2. 防火墙的防火墙的console管理管理3. 防火墙的防火墙的web管理管理4. FAQ1 防火墙出厂默认配置介绍网御神州防火墙出厂后，拥有以下基本配置：网御神州防火墙出厂后，拥有以下基本配置：1.默认防火墙超级管理员名称：默认防火墙超级管理员名称：admin 密码：密码：firewall .2.默认防火墙默认防火

2、墙fe1口拥有口拥有IP地址：地址：5 属性：属性：可可Ping 可以管理可以管理 .3.默认管理主机默认管理主机IP地址：地址：4 不允许多用户管理不允许多用户管理. 4. 端口默认属性是路由模式，网口速率端口默认属性是路由模式，网口速率:自动协商自动协商.2 Console 管理方式 2.1 通过通过console口命令行管理：口命令行管理： 1. 电源连接防火墙，启动防火墙，（启动大概30秒后听到防火墙有三声嘟嘟嘟的声音，说明防火墙正常启动了） 2. 连接串口线，一端连接管理主机，另一端连接防火墙的console口 2 Console 管理方式3.

3、 配置超级终端，以Windows自带“超级终端”为例：点击“开始 - 所有程序 - 附件 - 通讯 - 超级终端”2 Console 管理方式名称可以根据你的需要随意填写2 Console 管理方式选择串口根据不同PC不同2 Console 管理方式端口设置参数：端口设置参数： （1）每秒位数：9600； （2）数据位：8； （3）奇偶校验：无； （4）停止位：1； （5）数据流控制：无；2 Console 管理方式2 Console 管理方式登录登录 CLI 界面：界面：连接成功以后，提示输入管理员账号和口令时，输入出厂默认账号“admin”和口令“firewall”即可进入登录界面，注意所

4、有的字母都是小写的 2 Console 管理方式显示当前的设备接口IP地址添加设备管理IP地址删除接口IP地址为了可以通过为了可以通过Internet远程配置，请输入以下命令：远程配置，请输入以下命令：sysip add ping on admin on adminping on traceroute on注意：需要配置缺省路由注意：需要配置缺省路由/ 下一条下一条 route add droute / 2 Console 管理方式显示当前的被允许管理主机的IP地址添加管理主机的IP地址删除管理主机的IP地址如果需要网御神州公司远程支持，

5、请加入如下命令：mnghost add 02 Console 管理方式显示当前的管理员账号允许多重管理注意：如果使用Web或其他非console方式进行管理，必须打开允许多重管理。2 Console 管理方式存储、导出、导入配置；恢复出厂配置重启动2 Console 管理方式管理总结：通过以上方式就可以在下用命令行管理防火墙了，具体配置防火墙，如修改管理员密码，修改等等请看防火墙命令行手册建议:如果对命令行非常熟悉的网络管理人员,管理和设置,以及维护防火墙等方面建议在CLI下使用命令行3 Web 管理方式 3.1 Web管理防火墙管理防火墙: (一般防火墙出厂默认FE1口

6、的IP地址:5/24,管理主机的IP地址是:4/24 另外必须在console 打开允许多用户管理。Secgatemngacct multi on)第一步: 用 交叉线交叉线 把防火墙的FE1口和管理主机连接,设置电脑的IP地址是:4/24. 要求:具有以太网卡、USB接口和光驱，操作系统可以为Window98/2000/XP中的任意一种，管理主机IE建议为5.0以上版本、文字大小为中等，屏幕显示建议设置为10247683 Web 管理方式 第二步:安装认证驱动程序 进入光盘Ikey Driver目录，双击运行INSTDRV程序，选择

7、“开始安装”，随后出现安装成功的提示，选择“退出” 切记：安装驱动前不要插入切记：安装驱动前不要插入usb电子钥匙电子钥匙 3 Web 管理方式 第三步:安装USB电子钥匙 在管理主机上插入usb电子钥匙，系统提示找到新硬件，稍后提示完全消失，说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙，此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待，约半分钟后系统将提示驱动程序没有经过windows兼容性测试，选择“仍然继续”即可 3 Web 管理方式 第四步:认证管理员身份 插入电子钥匙,运行Admin Auth目录中的ikeyc程序(ikeyc程序在随机光

8、盘的Admin Auth目录中)，提示输入用户pin，输12345678即可 . 此时电子钥匙中存储的默认防火墙IP地址为5，认证端口为9999。如果认证成功，将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证，可以对防火墙进行配置管理了.管理方式二 第五步:连接管理主机与防火墙 打开window 系统的IE浏览器,在地址栏输入 5:8889,等待约20秒钟会弹出一个对话框提示接受证书，选择确认即可。系统提示输入管理员帐号和口令。缺省情况下，管理员帐号是admin，密码是：firewall 3 Web 管理方式 上面是通过电子钥匙认

9、证，然后通过WEB管理，另外我们可以通过使用文件证书的WEB管理方式：1 直接运行随即光盘中/admin cert/文件夹里的firewalladmin.p12安装，密码：123456，其他默认即可2打开IE浏览器，输入5:8889 ,然后回车即可3输入帐号：admin，密码：firewall，这样就可以管理防火墙了3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式3 Web 管理方式所有功能菜单3 Web 管理方式1.管理方式2.管理IP地址3.管理主机4.管理员账号5.管理员证书6.集中

10、管理7.配置存储、导入导出管理配置管理配置3 Web 管理方式管理方式3 Web 管理方式管理IP地址管理IP地址在网络配置-接口IP中设置。该菜单还可以配置接口上的非管理功能的IP地址。单击添加可以添加IP地址。3 Web 管理方式管理IP地址3 Web 管理方式管理主机3 Web 管理方式3 Web 管理方式允许多个管理员同时管理允许多个管理员同时管理管理员访问策略管理员访问策略管理员账号3 Web 管理方式3 Web 管理方式管理员证书3 Web 管理方式注意：为了启用集中管理，必须在安全规则中添加“允许集中管理主机访问安全网关secgate_global服务”的包过滤规则。集中管理3

11、Web 管理方式配置存储导入导出3 Web 管理方式总 结 通过以上步骤就可以通过IE浏览器管理防火墙,防火墙的所有功能很直观的呈现在WEB页面上.具体配置防火墙请看防火墙WEB操作手册 注意:以上管理是通过默认的IP地址管理的,如果不想用默认值管理,那么我必须通过console口进行修改fe1口的IP地址或者修改管理主机的IP地址.命令行如下: 删除原有FE1口的地址:sysip del 5 添加你需要的IP地址: sysip add fe1 ip_address mask 255.*.*.* admin on ping on 添加管理主机: mnghost add ip_address 另外注意的是管理主机的IP地址必须与放火墙的管理口(FE1)在同一网段FAQ 1. 防火墙默认一个端口FE1可以管理,但是其他端口(例如FE2,FE3,FE4)也可以设置具有管理属性,具体配置方法可以看用户手册,考虑到安全和管理方面的因素,建议一个防火墙最好不要太多端口进行管理,最好只有一个端口可以进行管理 2. 防火墙默认只有单用户管理,也就只能有admin这个用户且只能同时登陆一次.如果想多用户管理,那么可以在CLI下