防火墙应用(高级)

1、TOPSEC NGFW 培训讲座培训讲座 TEL：800-810-5119 FAXE-mail:第一章第一章:双机热备典型应用双机热备典型应用第二章第二章:负载均衡典型应用负载均衡典型应用第三章第三章:Trunk 环境应用环境应用第四章第四章:视频会议环境应用视频会议环境应用第五章第五章:源，目地址路由环境应用源，目地址路由环境应用第六章第六章:防火墙，防火墙，IDS 联动应用环境联动应用环境第七章第七章:长连接应用环境长连接应用环境第八章第八章:RADUIS 认证应用环境认证应用环境第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境第十章第十章:带宽管

2、理应用环境带宽管理应用环境第十一章第十一章:日志服务器的典型应用日志服务器的典型应用 目目 录录第一章第一章:防火墙双机热备典型应用防火墙双机热备典型应用本章目标本章目标：双机热备功能防火墙做双机时的要求防火墙双机的配置第一章第一章:防火墙双机热备典型应用防火墙双机热备典型应用当使用双机热备时，任何时刻都只有一台防火墙工作（称为“主墙”），另一台防火墙监视主墙的工作状态（称为“从墙”） ，当主墙的任一一个接口（不包括最后一个100M以太网口）出现故障时，从墙接替主墙的工作 1.双机热备功能双机热备功能2.防火墙做双机时的要求防火墙做双机时的要求做双机热备的两台防火墙必须保证配置的一致性，也就是

3、说要是完全相同的两台防火墙，即软件版本相同，防火墙的网络接口数量和类型相同；如果防火墙作为路由器使用，那么两台防火墙的IP地址和网卡的硬件地址也必须配置成一致的；双机防火墙没有使用的接口必须关掉，否则，防火墙会误认为该接口有故障，而在主墙和从墙之间来回切换 第一章第一章:防火墙双机热备典型应用防火墙双机热备典型应用3.防火墙双机的配置防火墙双机的配置在防火墙集中管理器上，防火墙双机热备配置方法如下：1.在已激活防火墙集中管理器菜单下，选择工具项目下的“高可用配置”，打开防火墙高可用配置窗口：2. 在“防火墙标识”中选择该防火墙是作为“#0号防火墙”（主墙）还是“#1号防火墙”（从墙）,两台 双

4、机墙一台选“#0号防火墙” ，一台选“#1号防火墙” 第一章第一章:防火墙双机热备典型应用防火墙双机热备典型应用3.在“高可用性配置”里选“备份工作方式 ”,再在备份工作方式中选择防火墙是作为“工作机”（主墙）还是“备份机”（从墙）；两台双机墙一台选“#0号防火墙” ，一台选“#1号防火墙” 4.选择打开“状态传输协议（STP）”,这样当主墙出现故障时，在主墙上已建立连接的通信在从墙接替主墙工作后，不需要重新建立连接就可以继续保持通信，防火墙两端的用户完全意识不到故障的存在 5.更改防火墙配置后在“工具”-“配置管理”下点“同步”，将当前墙的配置（或是修改）传送到另一台防火墙上； 第一章第一章

5、:防火墙双机热备典型应用防火墙双机热备典型应用防火墙双机热备的典型案例防火墙双机热备的典型案例第一章第一章:防火墙双机热备典型应用防火墙双机热备典型应用以案例为例介绍操作步骤：以案例为例介绍操作步骤：1. 更改交换机的配置，在交换机上划分更改交换机的配置，在交换机上划分4个个VLAN，分别接不同，分别接不同的网络，将交换机上的生成树关掉；的网络，将交换机上的生成树关掉；2. 连线，将两台防火墙的相应接口分别接到交换机的不同连线，将两台防火墙的相应接口分别接到交换机的不同VLAN中，将两台防火墙的的最后一个接口用交叉线相连（该线称中，将两台防火墙的的最后一个接口用交叉线相连（该线称为为“心跳线心

6、跳线”）3. 设置防火墙的模式，一台设置为主墙，另一台设置为从墙设置防火墙的模式，一台设置为主墙，另一台设置为从墙4. 设置好工作模式后两台防火墙会协商出一台主墙工作（注意设置好工作模式后两台防火墙会协商出一台主墙工作（注意这台工作的墙不一定是第这台工作的墙不一定是第3步设置的主墙）步设置的主墙）5. 在工作的这台墙上做相应的配置设置在工作的这台墙上做相应的配置设置6. 配置同步配置同步7. 测试结果测试结果第二章第二章:防火墙负载均衡典型应用防火墙负载均衡典型应用本章目标本章目标：负载均衡功能防火墙做负载时的要求防火墙负载均衡的配置第二章第二章:防火墙负载均衡典型应用防火墙负载均衡典型应用1

7、.负载均衡功能负载均衡功能2.防火墙做负载时的要求防火墙做负载时的要求1. 做负载均衡的两台防火墙必须保证配置的一致性，也就是说要是完全相同的两台防火墙，即软件版本相同，防火墙的网络接口数量和类型相同；如果防火墙作为路由器使用，那么两台防火墙的IP地址和网卡的硬件地址也必须配置成一致的；2. 如果工作在负载均衡的方式下，防火墙只能与HUB相连，如果与交换机相连可能会出现MAC地址冲突等问题。 3. 在负载均衡的工作方式下，两台防火墙都处于工作状态下，共同分担网络流量，当其中一台防火墙的任一端口出现故障（不包括状态同步端口），该端口上的通信将由另一台防火墙接替，其他端口仍然参与网络通信。负载均衡

8、是将两台防火墙并联在网络环境中，分担网络流量，从而实现更有效的利用 第二章第二章:防火墙负载均衡典型应用防火墙负载均衡典型应用3.防火墙负载均衡的配置防火墙负载均衡的配置在防火墙集中管理器上，防火墙负载均衡热备配置方法如下：1.在已激活防火墙集中管理器菜单下，选择工具项目下的“高可用配置”，打开防火墙高可用配置窗口：2. 在“防火墙标识”中选择该防火墙是作为“#0号防火墙” 还是“#1号防火墙”,两台负载墙的标识号不 能相同，如果一台选“#0号防火墙” ，另一台必须选“#1号防火墙” 第二章第二章:防火墙负载均衡典型应用防火墙负载均衡典型应用3.在“高可用性配置”里选“负载均衡工作方式 ”,4

9、.选择打开“状态传输协议（STP）”,这样当一台墙的一个端口出现故障时，故障端口的通信将不需要重新建立就可以通过接替防火墙，防火墙两端的用户完全意识不到故障的存在 防火墙负载均衡的典型案例防火墙负载均衡的典型案例第三章第三章: Trunk 环境应用环境应用本章目标本章目标：交换机TRUNK一般应用与配置防火墙对TRUNK协议支持典型应用防火墙对TRUNK协议的支持配置配置Trunk 端口：Switch# configure terminalSwitch(config)# interface interfaceSwitch(config-if)# switchport mode trunkSwi

10、tch(config-if)# switchport trunk encapsulation dot1Q交换机交换机TRUNK一般应用与配置一般应用与配置第三章第三章: Trunk 环境应用环境应用防火墙对防火墙对TRUNK协议支持典型应用协议支持典型应用不支持TRUNK的防火墙无法在这种环境下工作不支持TRUNK的防火墙无法在这种环境下工作第三章第三章: Trunk 环境应用环境应用防火墙对防火墙对TRNK协议的支持配置协议的支持配置第三章第三章: Trunk 环境应用环境应用a)登录到防火墙集中管理器后，选择“网络”-“区域”，在所列的区域中，选择要设置 Trunk模式的区域，双击，打开区

11、域属性设置窗口：第三章第三章: Trunk 环境应用环境应用b) 在上图中点击“高级模式” ：在Trunk模式下，选择使用那种Trunk封装（封装分802.1Q与ISL），在VID中添入Trunk号即可。第四章第四章: 视频会议环境应用视频会议环境应用本章目标本章目标：视频会议概念及应用举例防火墙对视频会议支持典型应用防火墙对视频会议支持配置视频会议系统是指通过现有的各种电气通讯传输媒体，将人物的静视频会议系统是指通过现有的各种电气通讯传输媒体，将人物的静态态/动态图像、语音、文字、图片等多种信息分送到各个用户的计算动态图像、语音、文字、图片等多种信息分送到各个用户的计算机上，使得在地理上分散

12、的用户可以共聚一处，通过图形、声音等机上，使得在地理上分散的用户可以共聚一处，通过图形、声音等多种方式交流信息，增加双方对内容的理解能力。多种方式交流信息，增加双方对内容的理解能力。视频会议系统在用户组成模式上分为点对点（视频会议系统在用户组成模式上分为点对点（2人）和群组视频会议人）和群组视频会议系统（多人）两种，按技术实现方式上分为模拟（如利用闭路有线系统（多人）两种，按技术实现方式上分为模拟（如利用闭路有线电视系统实现单向视频会议）和数字（通过软硬件计算机和通讯技电视系统实现单向视频会议）和数字（通过软硬件计算机和通讯技术实现）两种。术实现）两种。视频会议系统传送的是多媒体数据，与普通数

13、据不同，由于声音和视频会议系统传送的是多媒体数据，与普通数据不同，由于声音和动态图像的源信号的数据量较大，无法直接在一般条件的数字线路动态图像的源信号的数据量较大，无法直接在一般条件的数字线路上传输。同时，基于对实际使用效果的要求，用户还要求传送的声上传输。同时，基于对实际使用效果的要求，用户还要求传送的声音、图像信号连续平滑，其它辅助功能使用简捷。因此，要达到这音、图像信号连续平滑，其它辅助功能使用简捷。因此，要达到这样的效果，系统在声音样的效果，系统在声音/图像压缩、通讯线路条件、数据图像压缩、通讯线路条件、数据/应用程序共应用程序共享等方面都对技术提出了很高的要求。享等方面都对技术提出了

14、很高的要求。视频会议概念及应用举例第四章第四章: 视频会议环境应用视频会议环境应用防火墙对视频会议支持典型应用Internet防火墙防火墙防火墙防火墙第四章第四章: 视频会议环境应用视频会议环境应用防火墙对视频会议支持配置第四章第四章: 视频会议环境应用视频会议环境应用视频会议的设置需添加访问策略（可参考视频会议的设置需添加访问策略（可参考“防火墙应用（初级）防火墙应用（初级）”中的访问中的访问规则添加），不同的是在服务中选规则添加），不同的是在服务中选“H.323协议协议”即可即可第五章第五章:源，目地址路由环境应用源，目地址路由环境应用本章目标本章目标：源，目地址路由标准路由的比较源，目地

15、址路由标准路由的比较 源，目地址路由源，目地址路由的配置防火墙4000提供完整的静态路由功能；与标准路由比较，防火墙的路由表有了很大增强， 主要是防火墙在路由时不只是根据目的地址，而是根据目的地址和源地址进行路由，基于源和目的的路由的定义方式可以实现内部网络的指定对象可以使用特定外部线路与外部网络通信源，目地址路由标准路由的比较源，目地址路由标准路由的比较第五章第五章:源，目地址路由环境应用源，目地址路由环境应用源，目地址路由的配置源，目地址路由的配置1) 在已激活防火墙集中管理器下高级管理中，选择路由表，点击右键，选择新建：第五章第五章:源，目地址路由环境应用源，目地址路由环境应用2) 打开

16、路由项定义窗口：在该窗口添加相应信息后点确定即可， 定义路由表项中各项含义如下：名字 意义 源地址 通信源主机网络 源掩码 通信源主机网络掩码 目的地址 通信目的主机网络 目的掩码 通信目的主机网络掩码 路由器地址 下一网关路由器地址 第五章第五章:源，目地址路由环境应用源，目地址路由环境应用4）增加路由表可以选择位置方式：5) 路由表顺序支持拖放功能，即，用户可以用鼠标左键点住某个路由项，拖动到指定位置。 移动前移动前移动后移动后第六章第六章:防火墙与防火墙与IDS联动应用联动应用本章目标本章目标：防火墙与IDS联动的作用防火墙与IDS联动的配置与IDS产品联动可以实现当IDS探测器发现网络

17、安全行为时，探测器向防火墙发送处理消息，请求防火墙处理当前或将要发生的攻击行为，防火墙生成临时的规则阻断该行为；第六章第六章:防火墙与防火墙与IDS联动应用联动应用防火墙与防火墙与IDS联动的作用联动的作用防火墙与防火墙与IDS联动的配置联动的配置1）在激活防火墙集中管理器菜单下，选择“TOPSEC”，双击“防火墙-IDS联动配置”：输入IDS产品的IP地址：2） 在上图中输入IDS产品的IP地址：第六章第六章:防火墙与防火墙与IDS联动应用联动应用3）系统显示密钥已生成（系统同时会显示上次为其他IDS产品生成的密钥），防火墙使用的 密钥已经传送到防火墙中，用户需要在防火墙集中管理器的安装目录

18、下，idskey文件夹下 相应的IDS产品的密钥拷贝安装IDS产品的主机上，密钥文件名包含了IP地址，可以通过IP 地址来区分不同IDS产品的密钥。 注意：注意：由于防火墙与由于防火墙与IDS产品是通过加密方式（产品是通过加密方式（KEY）进行通信的，建议用户能定期对防火）进行通信的，建议用户能定期对防火 墙和墙和IDS产品的密钥进行更换产品的密钥进行更换 第七章第七章:长连接应用环境长连接应用环境本章目标本章目标：长连接的作用长连接的作用 长连接长连接的配置一般地防火墙对通信空闲一定时间的连接将自动断开，以提高安全性和释放通一般地防火墙对通信空闲一定时间的连接将自动断开，以提高安全性和释放通

19、信资源，但某些特殊应用所建立的连接需要长时期保持，即使处于空闲状态也信资源，但某些特殊应用所建立的连接需要长时期保持，即使处于空闲状态也要保持，采用防火墙的长连接后可以实现对特殊应用长时间保持要保持，采用防火墙的长连接后可以实现对特殊应用长时间保持长连接的作用长连接的作用 第七章第七章:长连接应用环境长连接应用环境长连接的配置长连接的配置1)定义对象定义对象 对象可以是节点、子网、对象组、负载均衡组，具体的操作可以参考“防火墙应用（初级）”中的“防火墙对象及对象的建立”第七章第七章:长连接应用环境长连接应用环境2) 定制访问策略定制访问策略a)选择防火区域 在已激活防火墙集中管理器中高级管理下

20、访问策略项目中，选择需要制定访问策略的 防火区b) 选择添加方式c) 选择包过滤类型第七章第七章:长连接应用环境长连接应用环境d) 定义策略源、目的对象e) 定义访问服务f) 定义访问策略控制 第七章第七章:长连接应用环境长连接应用环境g) 在“访问权限”选允许，在“连接属性”中选长连接即可第七章第七章:RADUIS 认证应用环境认证应用环境本章目标本章目标：了解了解RADUIS协议协议 为什么使用为什么使用RADUIS认证认证防火墙支持防火墙支持RADUIS认证服务的配置认证服务的配置第七章第七章:RADUIS 认证应用环境认证应用环境RADUIS协议简介协议简介 RADIUS（Remote

21、 Authentication Dial In User Service）协议最初是由Livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。其协议的标准最新的定义在rfc2865和2866中，也可以在处得到相关的rfc。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS（Net Access Server）服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是

22、一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。 RADIUS的基本工作原理。用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问

23、；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。 RADIUS协议应用范围很广，包括普通电话、上网业务计费，对VPN的支持可以使不同的拨入服务器的用户具有不

24、同权限。最近IEEE提出了802.1x标准，这是一种基于端口的标准，用于对无线网络的接入认证，在认证时也采用RADIUS协议。 第七章第七章:RADUIS 认证应用环境认证应用环境使用使用RADUIS认证的好处认证的好处网络环境比较复杂的情况下，有时用网络环境比较复杂的情况下，有时用IP做规则限制访问不是很方便，这时就只做规则限制访问不是很方便，这时就只有用用户规则来限制访问，有用用户规则来限制访问， RADUIS用户认证系统是业内公认的认证系统用户认证系统是业内公认的认证系统防火墙支持防火墙支持RADUIS认证服务的配置认证服务的配置1.在已激活防火墙集中管理器中高级管理下特殊对象项目中，选

25、择“用户认证数据库”，在右侧窗口点右键选“定义新对象”第七章第七章:RADUIS 认证应用环境认证应用环境上图参数说明：上图参数说明：用户的缺省空闲超时：用户认证通过后，在该时间段内和穿过防火墙的外 界没有数据交换时将断开。用户的缺省绝对超时：用户认证通过后，在该时间段内无论与外界是否有 数据交换都将断开。（这样做是为了强制用户每隔 一段时间从新认证）认证服务器使用的端口：依具体Radius服务器而定。顺序：如果存在多台Radius服务器，那么该顺序表示防火墙将首先到哪台 服务器提交认证信息。0级别最高，7级别最低，即首先寻找级别为0 的服务器。是否需要CHAP挑战：有些Radius服务器需要

26、该类型挑战，此时将其选中。共享密钥：防火墙和Radius服务器相互认证的密钥，两端必须一致。第七章第七章:RADUIS 认证应用环境认证应用环境2. 在已激活防火墙集中管理器中高级管理下特殊对象项目中，选择“用户”，在右侧窗口点右键选“定义新对象”(用户)用户是用户是RADUIS认证数据库中的用户，可以指定单个用户也可指定所有用户认证数据库中的用户，可以指定单个用户也可指定所有用户第七章第七章:RADUIS 认证应用环境认证应用环境3. 设置完设置完RADUIS用户后，用该用户添加访问规则即完成了用户认证规则的用户后，用该用户添加访问规则即完成了用户认证规则的定义定义附注：用户认证时，首先te

27、lnet到防火墙的2323端口，出现认证选择窗口，选择radius认证（第三项），在选择登陆（第一项），输入用户名和密码即可完成。认证窗口会在5秒钟后自动关闭。注销时过程相似，telnet到防火墙的2323端口，出现认证选择窗口，选择radius认证（第三项），在选择注销（第二项），输入用户名和密码即可完成。 第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境本章目标本章目标：VPN隧道的功能隧道的功能 防火墙、防火墙、VPN混合应用的典型拓扑混合应用的典型拓扑防火墙、防火墙、VPN混合应用混合应用的配置VPN隧道的功能隧道的功能第九章第九章:防火墙，防火墙，VPN 混合应用环境混

28、合应用环境VPN（Virtual Private Network）虚拟专用网的功能：）虚拟专用网的功能：1.加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露 2.信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份 3.提供访问控制，不同的用户有不同的访问权限 防火墙、防火墙、VPN混合应用的典型拓扑混合应用的典型拓扑第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境防火墙、防火墙、VPN混合应用的配置混合应用的配置1. 定义IPSec通信策略 a)分别在两台防火墙的已激活的TOPSEC集中管理器下，选择高级管理下的通信策略项，单击右键，选择“新建” 本配置以

29、其中一台防火墙的配置为例本配置以其中一台防火墙的配置为例b) 定义策略对象,在通信策略定义窗口中，选择通信源对象与目的对象 第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境c)定义通信方式,在通信方式定义选项下，选择“IPSEC”：（源与目的之间的通信 需要经过隧道处理）IPSec策略配置完成后，可以在VPN管理中对该条通信策略进行查看和证书的管理。 第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境在在IPSEC通信方式下，定义的各项参数说明如下：通信方式下，定义的各项参数说明如下：名字 意义 隧道名称 通信时建立的隧道的名称，用于唯一标示一条隧道，同一台防火墙中定

30、义的隧道名称最好不要重复。 指定协议 如果与武汉VPN2000通信，必须选“所有的协议”；如果两台FW4000通信，可以做更细的控制，例如选择TCP，表示只有源和目的的TCP通信才由ipsec处理。 访问的目的端口 选择“所有的端口”，如果是与VPN2000建立隧道，与指定协议的情况类似。 是否鉴别 通信经ipsec协议处理时，报文是否加AH验证头。 是否加密 通信是否加密。 支持PUDP 是否支持PUDP协议， 当隧道需要穿过防火墙或其他NAT设备时，需要选择支持这个协议。 本地网关IP地址 本地VPN网关的IP地址 对方网关IP地址 对方VPN网关的IP地址 本地网关的身份 做隧道协商时本

31、地网关的身份，协商总是由客户端发起，如果缺省，必须隧道两端的设置都是缺省，那么程序比较两端网关的地址的大小，ip地址大的为客户端。 第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境2. 建立隧道通信 a) 首先要获得对方的证书 登录到对方防火墙，在激活防火墙集中管理器下选择高级管理中的对方防火墙，在激活防火墙集中管理器下选择高级管理中的VPN管理项，选择“证书管理”，在工具条上选择“下载”（下载本机的证书）：一定要选择了“证书管理”后，工具条上才会出现以上内容。选择保存路径和文件名，这样对方防火墙的证书就保存在本地管理器的计算机上了：b) 安装对方证书 将对方的证书保存在本地后，

32、使用TOPSEC集中管理器将证书上载，在已激活的 防火墙集中管理器下选择高级管理中的VPN管理项，选择“隧道管理”，选择需要 上载证书的隧道，单击右键，选择“上载对方证书”：第九章第九章:防火墙，防火墙，VPN 混合应用环境混合应用环境c) 激活隧道 将设置成功的隧道激活，初始状态只需要激活隧道的客户端， 在防火墙集中管理器下选择高级管理中的VPN管理项，选择“隧道管理”，选择需 要激活的隧道，单击右键，选择“激活隧道”： d) 查看隧道信息 在当前隧道中，可以看到当前活动的隧道信息，包括：序号、隧道名称，本地网关 IP地址、对方网关IP地址，本地保护子网、对方保护子网，本地身份。查看方式，

33、在TOPSEC集中管理器中选择高级管理下的VPN管理项，选择“当前隧道”，右边窗口 中显示当前活动隧道的详细信息：第十章第十章:带宽管理应用环境带宽管理应用环境本章目标本章目标：带宽管理的作用带宽管理的作用 带宽管理带宽管理的配置第十章第十章:带宽管理应用环境带宽管理应用环境通过对带宽策略的配置，可以防止用户滥用带宽，可以限制从某个防火区域、节点或子网的用户能用的最大带宽 带宽管理的作用带宽管理的作用带宽管理的配置带宽管理的配置1)在已激活的防火墙集中管理器菜单下选择高级管理中的带宽策略项，双击需 要控制带宽的网卡名，打开物理带宽设置窗口： 输入总带宽数并选择带宽单位（bps,Kbps,Mbp

34、s,10Mbps）后,则定义了经过防火墙此区域的数据流出量。 第十章第十章:带宽管理应用环境带宽管理应用环境2) 对定义了物理带宽的区域可以设置不同的带宽组，分别控制带宽速率。在定义后的物理带宽 上单击右键，选择“增加带宽组”：打开带宽组设置窗口：需要配置项如下表所：名字 意义 带宽速率设置这个对象可以达到的最大速率，以及此带宽组所有带宽用户速率总和可以达到的值。优先级设置对象的优先级，在轮转过程中，数字较小优先级高限制带宽以设置速率为下限分配带宽保证带宽以设置速率为下限分配带宽，选择此项后，规则的通信对象在总带宽有空闲时，可以超过分配限制使用空闲带宽；空闲带宽对于允许使用额外带宽的通信对象具

35、有同等优先级别。3) 最后在带宽组中定义需要控制带宽的用户对象，选择某个带宽组后，点击右键选择“增加带宽用户”：需要配置项如下表所示：名字 意义 源对象 可以是子网、网络节点、对象组。 目的对象 可以是子网、网络节点、对象组。 优先级设置对象的优先级，在轮转过程中，数字较小优先级高。协议定义通信针对的应用层协议，用户可自定义特定的协议，包括TCP，UDP和ICMP协议。第十章第十章:带宽管理应用环境带宽管理应用环境第十一章第十一章:日志服务器的典型应用日志服务器的典型应用本章目标本章目标：防火墙日志服务器的好处防火墙日志服务器的好处 做日志服务器时防火墙的配置做日志服务器时防火墙的配置防火墙日

36、志服务器的防火墙日志服务器的配置防火墙日志服务器的好处防火墙日志服务器的好处第十一章第十一章:日志服务器的典型应用日志服务器的典型应用解决了防火墙存储空间有限的问题，方便了查询与下载等操作，缓解决了防火墙存储空间有限的问题，方便了查询与下载等操作，缓解了防火墙的压力解了防火墙的压力做日志服务器时防火墙的配置做日志服务器时防火墙的配置1)在已激活的防火墙集中管理器菜单下选择“工具中”的“防火墙登陆控制”项，双击该项，在打开的“防火墙登陆控制”窗口中增加一个“防火墙登陆用户”： 2)在上图中添加相应信息后点确定即可， 信息对照表 对象名称：可任意写 客户类型：日志服务器 所属防火墙区域：选日志服务

37、器存放区域 地址：日志服务器的地址第十一章第十一章:日志服务器的典型应用日志服务器的典型应用防火墙日志服务器的配置防火墙日志服务器的配置配置步骤配置步骤1. 安装安装SQL数据库数据库2. 安装日志服务器安装日志服务器3. 启动日志服务启动日志服务4. 安装审计管理器安装审计管理器5. 运行审计管理器，查看日志运行审计管理器，查看日志1.安装SQL数据库SQL数据库安装比较简单，建议安装SQL2000注意：在安装SQL过程中要添加SA用户，并且该用户要有密码，如果未添加密码 要在安装后修改SA用户的密码2. 安装日志服务器执行安装盘中的进行安装，安装步骤按提示进行即可3. 启动日志服务第十一章第十一章:日志服务器的典型应用日志服务器的典型应用a) 日志服务启动和停止,打开通过控制面板服务选项其中在服务进程表里，日志服务器会有两个服务：QuerySvrMonitor Service 和LogSvrMonitor Service ，你可以在这里启动、关闭这两个服务。 第十一章第十一章:日志服务器的典型应用日志服务器的典型应用b) SSL 代理