WatchGuard 用户快速配置指南

WatchGuardSystemManager用户快速配置指南WatchGuardSystemManagerv10Firewarev10FirewareProv10目录TOC\o"1-4"\h\z\u1 网络和网络平安介绍 11.1 关于网络和网络平安 11.2 关于IP地址 1专用地址和网关 2关于子网掩码 2 关于斜线表示法 2 关于输入IP地址 3 静态和动态IP地址 3关于DHCP 4关于PPPoE 4 关于域名效劳(DNS) 41.3 关于效劳和策略 51.4 关于端口 52 WatchGuardSystemManager简介 72.1 介绍WatchGuardSystemManager 7 WatchGuardSystemManager工具 8WatchGuardSystemManager 8PolicyManager 8FireboxSystemManager 8 关于WatchGuard效劳器 9LogServer 9ManagementServer 9QuarantineServer 10ReportServer 10WebBlockerServer 102.2 关于Fireware 10 Fireware与FirewarePro 11 关于WatchGuardSystemManager和WFS 113 入门 133.1 开始之前 13 验证根本组件 13 获取Firebox功能密钥 14 收集网络地址 14 选择防火墙配置模式 15 确定效劳器软件的安装位置 163.2 设置管理工作站 17 备份以前的配置 17 下载WatchGuardSystemManager软件 17 关于软件加密级别 183.3 关于QuickSetupWizard 19 WebQuickSetupWizard 20如果使用向导时有问题 21向导完成之后 22 QuickSetupWizard〔非Web〕 22关于设置日志加密密钥 23向导完成之后 233.4 安装后的工作 24 自定义平安策略 25 关于LiveSecurityService 253.5 启动WatchGuardSystemManager 25 连接至Firebox 26 从Firebox断开连接 27 从所有Firebox断开连接 27 启动平安应用程序 28PolicyManager 28FireboxSystemManager 28HostWatch 28LogViewer 29WatchGuard报告 29QuickSetupWizard 29CAManager 293.6 升级到新版本的Fireware 303.7 降级到WSM9.1.x或更低版本 31如果您有备份文件 31如果您没有备份文件 323.8 其他安装考前须知 32 安装WSM并保存较早的版本 32 在装有桌面防火墙的计算机上安装WatchGuard效劳器 33 路由配置 33 Drop-in配置 34 将附属网络添加到配置中 36 外部接口上的动态IP支持 37 关于连接Firebox电缆 374 效劳与支持 394.1 关于Watchguard支持 39 关于LiveSecurity解决方案 39威胁响应、警告和专家建议 39方便的软件更新 40访问技术支持和培训 40 LiveSecurity播送 40信息警告 40威胁响应 40软件更新 41评论 41根底 41回忆 41支持Flash 41病毒警告 41来自WatchGuard的最新信息 41 LiveSecurityService自助工具 42立即应答 42产品FAQ 42问题 42WatchGuard用户论坛 42培训 42产品文档 434.2 激活LiveSecurityService 434.3 WatchGuard用户论坛 444.4 产品文档 454.5 培训和认证 454.6 关于WatchGuard技术支持 46 LiveSecurityService技术支持 46工作时间 46号码 46网站 46效劳时间 474.6.2 LiveSecurityGold 47 Firebox安装效劳 48 VPN安装效劳 48网络和网络平安介绍关于网络和网络平安“网络〞是互相连接的一组计算机和其他设备。它可以是使用串行电缆连接的两台计算机，也可以是世界各地通过Internet连接的许多台计算机。同一网络中的计算机可以一起工作并共享数据。虽然Internet可让您获得大量信息和商业时机，但它也会使您的网络受到攻击。好的网络平安策略可帮助您发现并阻止对您的计算机或网络的攻击。受到攻击的代价很高。可能需要修理或更换计算机。雇员的时间和资源将用于解决由攻击引起的问题。可从网络获取有价值的信息。许多人认为他们的计算机中没有重要信息。他们认为自己的计算机不会成为黑客攻击的目标。这是不对的。黑客可以使用您的计算机作为平台，来攻击其他计算机或网络，或者使用您的帐户信息发送垃圾邮件或进行攻击。您的个人信息和帐户信息也容易受到黑客攻击，并且这些信息对于黑客是很有用的。关于IP地址要向某人发送平信，您必须知道此人的街道地址。而对于Internet上要向其他计算机发送数据的计算机，它必须知道目标计算机的地址。计算机地址称为Internet协议(IP)地址。Internet上的所有设备都具有唯一的IP地址，这使得Internet上的其他设备能够找到它们并与之交互。IP地址由四个以十进制形式表示的八进制数〔8位二进制序列〕组成，并以句点分隔。句点之间的每个数字都必须介于0到255之间。下面是一些IP地址例如：00=WatchGuard=核心DNS效劳器=专用IP专用地址和网关许多公司都会建立具有自己的地址空间的专用网络。地址10.x.x.x和192.168.x.x是为专用IP地址保存的。Internet上的计算机无法使用上述地址。如果您的计算机位于专用网络上，那么可以通过具有公用IP地址的网关设备连接到Internet。默认网关通常为位于您的网络和Internet之间的路由器。在网络上安装Firebox之后，它会成为已连接到其可信任接口或可选接口的所有计算机的默认网关。关于子网掩码出于平安和性能方面的考虑，网络通常会分成更小的局部〔称为子网〕。同一子网中的所有设备的IP地址均相似。例如，IP地址的前三个八进制数为50.50.50的所有设备都属于同一子网。网络IP地址的子网掩码或网络掩码是“掩盖〞IP地址局部的位字符串，用于显示可用地址数以及使用中的地址数。例如，大型网络的子网掩码可能显示为。零表示1到255之间的数字都可用作IP地址范围。255表示该IP地址范围已被占用。在子网掩码为的网络中，可用IP地址为65,025个。更小的网络子网掩码为。可用IP地址只有254个。关于斜线表示法斜线表示法在Firebox中的用途很广，包括策略配置。斜线表示法是一种用来表示网络子网掩码的简便方式。要以斜线表示法表示子网掩码，请执行以下操作：首先，找出子网掩码的二进制表示方法。例如，的二进制表示方法为11111111.11111111.11111111.00000000。统计子网掩码中的“1〞的数目。此例如包含二十四(24)个数字“1〞。将步骤2中的数目添加到IP地址，以斜线(/)分隔。IP地址3/24相当于具有网络掩码的IP地址3。下表显示了常用的网络掩码及其等效的斜线表示法。网络掩码等效的斜线表示法/8/16/24/24/24/27/28/2952/30关于输入IP地址在QuickSetupWizard或Firebox管理软件的对话框中键入IP地址时，请以正确的顺序键入数字和句点。不要使用TAB键、箭头键、空格键或鼠标将光标放在句点后面。例如，如果键入IP地址0，请不要在键入“16〞之后键入空格。不要试图将光标放在随后的句点之后来键入“1〞。在“16〞之后直接键入句点，然后键入“1.10〞。按斜线(/)键，移至网络掩码。静态和动态IP地址ISP〔Internet效劳提供商〕会为其网络中的每台设备分配IP地址。IP地址可以是静态的，也可以是动态的。静态IP地址是始终保持相同的IP地址。如果您有Web效劳器、FTP效劳器或其他必须具有不能更改地址的Internet资源，那么可以从ISP处获得静态IP地址。静态IP地址通常比动态IP地址贵，而且某些ISP不提供静态IP地址。您必须手动配置静态IP地址。动态IP地址是ISP允许您暂时使用的IP地址。如果某个动态地址未被使用，那么可自动将其分配给其他设备。动态IP地址是使用DHCP或PPPoE分配的。关于DHCP动态主机配置协议(DHCP)是网络中的计算机用于获取IP地址和其他信息〔例如默认网关〕的Internet协议。当连接到Internet时，在ISP处配置为DHCP效劳器的计算时机自动为您分配一个IP地址。它可能与您以前所拥有的IP地址相同，也可能是新的IP地址。当您断开使用动态IP地址的Internet连接时，ISP会将该IP地址分配给其他客户。对于位于Firebox后面的网络，您可以将Firebox配置为DHCP效劳器。您可以指定供DHCP效劳器从中选择的地址范围。关于PPPoE某些ISP会通过以太网点对点协议(PPPoE)分配其IP地址。PPPoE扩展了标准拨号连接，以增强以太网和PPP的某些功能。此网络协议使ISP能够通过DSL调制解调器和电缆调制解调器产品，来使用其拨号根底结构的计费、身份验证和平安系统。关于域名效劳(DNS)如果您不知道某人的地址，那么通常可以在簿中找到该地址。在Internet上，DNS〔域名效劳〕就相当于簿。每个网站都有一个映射到IP地址的域名〔例如“mysite〞〕。当键入域名以显示网站时，计算机便会从DNS效劳器获取IP地址。URL〔统一资源定位器〕包括域名和协议。例如，下面这个URL例如：总之，DNS是将Internet域名转换为IP地址的系统。DNS效劳器是执行这种转换的效劳器。关于效劳和策略您可以使用效劳将不同类型的数据〔例如电子邮件、文件或命令〕从一台计算机通过网络发送到另一台计算机，或者发送到其他网络。这些效劳都使用协议。常用的Internet效劳如下：万维网访问使用超文本传输协议()电子邮件使用简单邮件传输协议(SMTP)或邮局协议(POP3)文件传输使用文件传输协议(FTP)将域名解析为Internet地址使用域名效劳(DNS)远程终端访问使用Telnet或SSH〔平安壳〕当允许或拒绝效劳时，必须向Firebox配置添加策略。您添加每个策略的同时也会增加平安风险。要发送和接收数据，您必须在计算机中“翻开一扇门〞，这会使您的网络处于风险中。我们建议您只添加业务所必需的策略。关于端口通常，端口是您使用插孔和电缆来连接设备的连接点。计算机还具有不是物理位置的端口。程序使用这些端口来传输数据。某些协议〔如〕具有已分配编号的端口。例如，由于为POP3协议分配的端口为110，因此许多计算时机通过端口110来传输电子邮件。而系统会在每次连接时动态为其他程序分配端口号。IANA〔Internet号码分配机构〕会保存端口列表。您可以在上查看此列表。系统会向大多数策略分配介于0到1024之间的端口号，但是可能的端口号介于0到65535之间。WatchGuardSystemManager简介介绍WatchGuardSystemManagerWatchGuardSystemManager提供了一种轻松且有效地管理网络并保护其平安的方法。通过将一台计算机用作管理工作站，您可以查看、管理和监视网络上的每台Firebox设备。WatchGuardSystemManager的根本组件包括WatchGuardSystemManager窗口和五个WSM效劳器组件。此外，还可以通过WatchGuardSystemManager访问其他WatchGuard工具，包括PolicyManager和FireboxSystemManager。以下图显示了WatchGuardSystemManager的各个组件及其访问和导航方式。WatchGuardSystemManager工具购置WatchGuardFireboxXCore或Peak即可获得一整套管理和监视工具。WatchGuardSystemManagerWatchGuardSystemManager(WSM)是用于连接Firebox设备和WatchGuardManagementServer并对其进行管理的主要应用程序。WSM支持混合环境。您可以管理使用不同版本软件的各种Firebox设备。有关WSM的详细信息，请参阅使用WatchGuardSystemManager窗口。您还可以管理FireboxXEdge设备。〔如果希望使用WSM来管理Edge并更改其平安策略，那么必须对Edge进行配置以进行集中式管理。〕PolicyManagerPolicyManager是用于执行防火墙配置任务的用户界面。PolicyManager包括一整套预配置的数据包筛选器和代理。您还可以创立自定义数据包筛选器，并在其中设置端口、协议以及其他参数。PolicyManager的其他功能可帮助阻止SYN淹没攻击、欺骗攻击以及端口或地址空间探测等攻击。有关详细信息，请参阅关于PolicyManager。FireboxSystemManagerFireboxSystemManager提供了一个接口用以监视Firebox的所有组件。在FireboxSystemManager中，您可以查看Firebox的实时状态及其配置。有关详细信息，请参阅关于FireboxSystemManager(FSM)。关于WatchGuard效劳器使用WatchGuard工具栏可启动、停止和配置五类WatchGuard效劳器软件：LogServerManagementServerQuarantineServerReportServerWebBlockerServerWatchGuard工具栏是位于计算机屏幕右下角的Windows系统托盘中的工具栏之一。〔如果未在管理工作站上安装任何WatchGuard效劳器软件，那么不会显示WatchGuard工具栏。〕您可以从左向右依次使用工具栏上的图标来启动、配置和管理这些效劳器。LogServerLogServer从每个WatchGuardFirebox收集日志消息。将日志消息发送到LogServer时会对其进行加密。日志消息格式为XML〔纯文本〕。从防火墙设备收集到的信息包括流量日志消息、事件日志消息、警报和诊断消息。有关LogServer的详细信息，请参阅设置LogServer。ManagementServerManagementServer在Windows计算机上运行。您可以使用此效劳器管理所有防火墙设备，并使用简单的拖放功能创立虚拟专用网(VPN)隧道。ManagementServer的根本功能包括：为Internet协议平安性(IPSec)隧道颁发证书的证书颁发机构集中管理VPN隧道配置集中管理多个Firebox和FireboxXEdge设备有关ManagementServer的详细信息，请参阅关于WatchGuardManagementServer。QuarantineServerQuarantineServer用于收集并隔离spamBlocker疑心是垃圾邮件的电子邮件。有关QuarantineServer的详细信息，请参阅关于QuarantineServer。ReportServerReportServer用于定期合并LogServer从Firebox设备收集的数据，然后定期生成报告。数据进入ReportServer后，便可以使用ReportManager加以查看。有关报告和ReportServer的详细信息，请参阅。有关ReportManager的详细信息，请参阅关于ReportManager。WebBlockerServerWebBlockerServer使用Firebox代理拒绝用户访问属于指定类别的网站。在Firebox配置期间，管理员可将网站类别设置为允许或阻止。有关WebBlocker和WebBlockerServer的详细信息，请参阅关于WebBlocker。关于FirewareWatchGuardFireware是WatchGuard提供的新一代平安工具软件。工具软件保存在防火墙硬件的内存中。Firebox使用包含配置文件的工具软件来运行。组织中的平安策略是一组规那么，用于定义如何保护计算机网络和通过计算机网络传递的信息。Fireware工具软件提供许多高级功能，可用于管理最复杂网络的平安策略。Fireware与FirewareProWatchGuard客户可使用两个版本的Fireware：Fireware——它是FireboxXCoree-Series设备上的默认工具软件。通过这个新一代的工具软件，WatchGuard能够向FireboxX客户提供更多功能。FirewarePro——它是FireboxXPeake-Series工具上的默认工具软件。它使具有复杂网络的客户能够更有效地保护他们的网络。FirewarePro是作为以前发布的FireboxXCore设备的更新版本提供的。以下功能只适用于FirewarePro：高可用性流量管理/效劳质量(QoS)VLAN动态路由基于策略的路由效劳器负载平衡多WAN配置选项：加权轮循机制和接口溢出关于WatchGuardSystemManager和WFSWatchGuardSystemManager还包括配置和管理使用WFS工具软件的FireboxX设备所必需的系统工具。WFS工具软件是随FireboxXCore和Peak的较早机型一起提供的默认工具软件。有关WFS工具软件的详细信息，请参阅?WFSUserGuide?(WFS用户指南)。将Firebox纳入WSM管理后，该软件会自动识别Firebox所使用的工具软件。如果在选择Firebox后单击工具栏上的图标，它将会启动正确的管理工具。这些工具包括：FireboxSystemManagerPolicyManagerHostWatch例如，如果向WFS的“设备〞选项卡添加了运行WFS工具软件的FireboxX700，然后单击WSM工具栏上的PolicyManager图标，那么会自动启动WFS的PolicyManager。如果添加运行Fireware工具软件的FireboxX700，那么会启动Fireware的PolicyManager。入门开始之前在开始安装过程之前，请务必先执行下面所述的任务。在这些安装说明中，假定Firebox已配置了一个可信任接口、一个外部接口和一个可选接口。要在Firebox上配置其他接口，请使用“网络设置和配置〞主题中介绍的配置工具和过程。验证根本组件确保具有以下工程：WatchGuardFirebox平安设备串行电缆〔蓝色〕一根以太网交叉电缆〔红色〕一根以太网直通电缆〔绿色〕电源线了解Firebox设备，如以下图4：获取Firebox功能密钥获取新的Firebox后，必须在LiveSecurity网站上激活它并获取功能密钥。通过功能密钥才能使用Firebox上的功能。如果在使用QuickSetupWizard前注册了Firebox，那么可以在向导中粘贴功能密钥的副本。然后，该向导将其应用到Firebox。如果未将功能密钥粘贴到该向导，那么可以完成该向导。但在添加功能密钥之前，只允许有一个IP连接Internet。在购置任何可选产品后，将获取该产品的一个新功能密钥。在注册Firebox或任何新功能后，可以随时从WSM用户界面将Firebox功能密钥与LiveSecurity站点上注册配置文件中保存的功能密钥同步。有关功能密钥的详细信息，请参阅关于功能密钥或将功能密钥导入Firebox。收集网络地址建议您在配置Firebox时创立两个表。使用第一个表来记录Firebox投入使用之前的网络IP地址。WatchGuard使用斜线表示法来显示子网掩码。有关详细信息，请参阅关于斜线表示法。有关IP地址的详细信息，请参阅关于IP地址。表1：使用Firebox前的网络IP地址广域网_____._____._____._____/____默认网关局域网/____附属网络〔如果适用〕/____公用效劳器〔如果适用〕/____/_________._____._____._____/____/____使用第二个表来记录Firebox投入使用之后的网络IP地址。外部接口：连接到不受信任的外部网络〔通常为Internet〕。可信任接口：连接到要保护的专用LAN〔局域网〕或内部网络。可选接口：通常连接到网络的DMZ或混合信任区域。使用可选接口可以在网络中创立具有不同访问级别的区域。表2：使用Firebox后的网络IP地址外部接口〔External〕_____._____._____._____/____默认网关可信任接口〔Trusted〕/____可信任网络〔LAN〕_____._____._____._____/____可选接口1〔Optional〕_____._____._____._____/____可选接口2〔Optional〕/____附属网络〔如果适用〕_____._____._____._____/____其他辅助性表格，用于帮助您整理您的网络：表3：使用Firebox后的辅助性表格管理工作站的IP_____._____._____._____/____PPPoE的用户名______________________PPPoE的口令______________________PPPoE的静态IP〔可选〕_____._____._____._____/____DHCP主机ID〔可选〕______________________LogServer的IP_____._____._____._____/____ReportServer的IP_____._____._____._____/____WebBlockerServer的IP_____._____._____._____/____QuarantineServer的IP_____._____._____._____/____WebServer的IP_____._____._____._____/____MailServer的IP_____._____._____._____/____FTPServer的IP_____._____._____._____/____SQLServer的IP_____._____._____._____/____选择防火墙配置模式在安装WatchGuardSystemManager前，必须确定如何将Firebox安装到网络中。接口配置取决于Firebox的安装方式。要将Firebox安装到网络中，请选择符合当前网络要求的配置模式，即路由模式或drop-in模式〔透明模式〕。许多网络都在路由配置下工作良好，但如果符合以下情况，建议采用drop-in模式：您已分配有大量的静态IP地址，且不需要更改网络配置。不能在具有公用IP地址以及专用IP地址的可信任网络和可选网络上配置计算机。该表及其下面的说明可帮助您选择防火墙配置模式的三个条件。路由配置Drop-in配置Firebox的所有接口都在不同的网络上。Firebox的所有接口都在相同网络上，并具有相同的IP地址。可信任接口和可选接口必须在不同的网络上。每个接口在其网络上都有IP地址。可信任接口或可选接口上的计算机都有公用IP地址。使用静态NAT〔网络地址转换〕将公用地址映射到可信任接口或可选接口后的专用地址。因为具有公共访问的计算机具有公用IP地址，所以不需要NAT。有关这两个模式的详细信息，请参阅路由配置和Drop-in配置。确定效劳器软件的安装位置在安装过程中，您可以将管理工作站和WatchGuardSystemManager效劳器组件安装在同一台计算机中。或者，可以使用相同的安装过程在其他计算机上安装ManagementServer、LogServer、ReportServer、WebBlockerServer或QuarantineServer组件，以便分布效劳器负载或提供冗余。如果在计算机上也没有安装WSM软件，ManagementServer在该计算机上无法正常运行。要确定在效劳器软件的安装位置，必须检查管理工作站的容量，并选择符合您的需要的安装方法。如果在装有活动桌面防火墙〔非Windows防火墙〕的计算机上安装效劳器软件，那么必须翻开效劳器连接通过防火墙所需的端口。Windows防火墙用户不必更改其桌面防火墙配置，因为安装程序会自动翻开通过Windows防火墙的所需端口。有关详细信息，请参阅在装有桌面防火墙的计算机上安装WatchGuard效劳器一节。现在，可以开始安装过程。第一步是设置管理工作站。设置管理工作站WatchGuardSystemManager(WSM)软件安装在您指定为管理工作站的计算机上。您可以使用管理工作站中的工具来访问Firebox中的信息，例如连接和隧道状态、流量统计信息和日志消息。在网络中选择一个基于Windows的计算机作为管理工作站，并安装管理软件。要安装WatchGuardSystemManager软件，必须在管理工作站计算机上具有管理权限。安装之后，可以使用WindowsXP或Windows2003PowerUser权限来操作。可以在同一个管理工作站上安装多个版本的WatchGuardSystemManager，而一次只能在一台计算机上安装一种版本的效劳器软件。备份以前的配置如果您有以前版本的WatchGuardSystemManager，可以在安装新版本之前备份您的平安策略配置。要备份配置，请参阅创立Firebox映像的备份。下载WatchGuardSystemManager软件您可以随时从下载最新的WatchGuardSystemManager软件。必须用您的LiveSecurity用户名和密码登录。如果您是新用户，在下载WSM软件之前，请在中创立一个用户配置文件并激活您的产品。有关详细信息，请参阅激活LiveSecurityService。如果您在使用MicrosoftWindows防火墙以外的其他个人防火墙的计算机上安装某个WSM效劳器，必须为该效劳器翻开端口，以便通过防火墙进行连接。要允许连接到WebBlockerServer，请翻开UDP端口5003。如果您使用的是MicrosoftWindows防火墙，那么不必更改您的配置。有关详细信息，请参阅在具有桌面防火墙的计算机上安装WatchGuardServer主题。在将用作管理工作站的计算机上，下载最新的WatchGuardSystemManager(WSM)软件。有关加密级别的信息，请参阅关于软件加密级别。在同一台计算机上，下载最新的Fireware工具软件。将这些软件保存到硬盘驱动器时，请务必记下它们的名称和路径。翻开文件并按照安装说明操作。安装程序包括一个用于选择要安装的软件组件或升级程序的屏幕。安装某些软件组件时，需要不同的许可证。如果您的管理工作站当前正与某个Windows工具栏一起使用，您可能需要重新启动该工具栏才能看到为WatchGuard管理系统安装的新组件。现在，您可以运行QuickSetupWizard了。该向导从Web运行，或作为Windows应用程序运行。有关如何从Web运行该向导的信息，请参阅WebQuickSetupWizard。有关如何将该向导作为Windows应用程序运行的信息，请参阅QuickSetupWizard〔非Web〕。关于软件加密级别管理工作站软件有两种加密级别。根本加密：支持对MobileVPNwithPPTP隧道进行40位加密。使用此加密级别无法创立IPSecVPN隧道。强加密：支持对MobileVPNwithPPTP进行40位和128位加密。还支持56位和168位DES以及128位、192和256位AES。要将虚拟专用网络与IPSec一起使用，必须下载强加密软件。强导出限制适用于强加密软件。可能在您所在的位置无法下载。关于QuickSetupWizard可以使用QuickSetupWizard为FireboxX创立根本配置。Firebox在首次启动时使用该根本配置文件。这样，Firebox便可以作为根本防火墙来使用。每次由于要进行恢复或出于其他原因，想要将Firebox重置为新的根本配置时，可以使用该同一过程。使用QuickSetupWizard配置Firebox时，仅设置根本策略〔TCP和UDP传出、FTP数据包筛选器、ping和WatchGuard〕和接口IP地址。如果有更多需要Firebox检查的软件应用程序和网络流量，您必须：在Firebox上配置策略，以允许必要的流量通过为每个策略设置批准的主机和属性在保护您的网络的需求与您的用户获取对外部资源的访问的需求之间做出权衡QuickSetupWizard从Web运行，或作为Windows应用程序运行。有关如何从Web运行该向导的信息，请参阅WebQuickSetupWizard。有关如何将该向导作为Windows应用程序运行的信息，请参阅QuickSetupWizard〔非Web〕。WebQuickSetupWizard可以将WebQuickSetupWizard用于任何型号的FireboxXCore或FireboxXPeak。如果您以前已经配置了FireboxXCore或XPeak，请务必注意，WebQuickSetupWizard与随以前的FireboxX硬件型号附带的QuickSetupWizard具有不同的工作方式。在以前的FireboxXCore和FireboxXPeak设备中，QuickSetupWizard使用设备查找在网络中查找要配置的Firebox。使用WebQuickSetupWizard时，您必须与Firebox建立直接的网络连接，并使用Web浏览器来启动该向导。Firebox从其接口1使用DHCP为您的管理工作站赋予要在配置过程中使用的新IP地址。启动WebQuickSetupWizard之前，请确保您完成了以下工作：将Firebox注册到LiveSecurityService将Firebox功能密钥的副本存储在您的管理工作站上的文本文件中从LiveSecurityService网站将WSM和Fireware软件下载到您的管理工作站在您的管理工作站上安装Fireware可执行文件使用的WebQuickSetupWizard时，建立的与Firebox的连接是未加密的。建议在使用WebQuickSetupWizard时，将您的管理工作站直接连接到Firebox，因为密码是以纯文本格式发送的。要运行WebQuickSetupWizard，请执行以下操作：用随Firebox附带的红色交叉以太网电缆将您的管理工作站上的以太网端口与Firebox上的接口1相连，如以下图5。将电源线两端分别插入Firebox电源插口和电源。在翻开Firebox电源时，按下FireboxX前部的向下箭头按钮。FireboxX将启动并进入平安模式。在出厂默认模式下，LCD会显示型号，后面跟随小写的“safe〞字样。请确保您的管理工作站配置为接受DHCP分配的IP地址。例如，如果您的管理工作站使用WindowsXP：从Windows“开始〞菜单，选择“所有程序〞>“控制面板〞>“网络连接〞>“本地连接〞。单击“属性〞。选择“Internet协议(TCP/IP)〞并单击“属性〞。确保选中了“自动获得IP地址〞。翻开一个Web浏览器并键入：://:8080/如果使用InternetExplorer，请确保键入前缀“://〞。这将在您的管理工作站和FireboxX设备之间翻开一个连接。WebQuickSetupWizard将自动启动。单击以逐个通过各个屏幕，并提供所要求的信息。如果将WebQuickSetupWizard闲置15分钟或更长时间，那么必须返回到步骤3重新开始。如果使用向导时有问题如果WebQuickSetupWizard无法在Firebox上安装Fireware工具软件，向导会在六分钟之后超时。如果使用向导时有问题，请检查这些事项：可能是您从LiveSecurity网站下载的Fireware应用程序软件文件已损坏。如果该软件映像损坏，有时候在LCD界面上可能会显示以下消息：“FileTruncateError.〞〔文件截断错误。〕重新下载该软件，并再次运行向导。如果使用InternetExplorer6，请去除Web浏览器中的文件缓存，然后重试。要去除缓存，请在InternetExplorer工具栏中选择“工具〞>“Internet选项〞>“删除文件〞。向导完成之后运行QuickSetupWizard之后，可能需要等待一分钟左右的时间，Firebox才能就绪，FireboxXPeak型号5500e、6500e、8500e和8500e-F尤其如此。完成向导中的所有屏幕之后，将使用包括四个策略〔TCP传出、FTP数据包筛选器、ping和WatchGuard〕的根本配置以及您指定的接口IP地址来配置Firebox。可以使用PolicyManager来扩展或更改Firebox配置。有关如何在完成QuickSetupWizard之后将Firebox投入使用的信息，请参阅安装后工作。要启动WatchGuardSystemManager并开始使用其工具，请参阅启动WatchGuardSystemManager。QuickSetupWizard〔非Web〕可以将QuickSetupWizard作为Windows应用程序运行以帮助您创立根本配置文件。可以将QuickSetupWizard用于任何型号的FireboxXCore或FireboxXPeak。Firebox在首次启动时使用该根本配置文件。这样，Firebox便可以作为根本防火墙来使用。使用该根本配置文件配置Firebox之后，可以使用PolicyManager来扩展或更改Firebox配置。QuickSetupWizard使用设备查找过程来查找您要配置的FireboxX型号。该过程使用一个UDP多播。包括MicrosoftWindowsXPSP2中的防火墙在内的软件防火墙会导致设备查找发生问题。可以从Windows桌面或WatchGuardSystemManager启动QuickSetupWizard。在桌面中，选择：“开始〞>“所有程序〞>“WatchGuardSystemManager10.0〞>“QuickSetupWizard〞或者，从WatchGuardSystemManager中选择：“工具〞>“QuickSetupWizard〞将启动QuickSetupWizard。单击以逐个通过各个屏幕，并提供所要求的信息。关于设置日志加密密钥在QuickSetupWizard中，必须为Firebox设置状态密码和配置密码。准备好配置LogServer以便从Firebox收集日志消息之后，使用您在QuickSetupWizard中设置的状态密码作为您的默认日志加密密钥。配置LogServer之后，可以更改LogServer加密密钥。向导完成之后运行QuickSetupWizard之后，可能需要等待一分钟左右的时间，Firebox才能就绪，FireboxXPeak型号5500e、6500e、8500e和8500e-F尤其如此。完成向导中的所有屏幕之后，将使用包括四个策略〔TCP传出、FTP数据包筛选器、ping和WatchGuard〕的根本配置以及您指定的接口IP地址来配置Firebox。可以使用PolicyManager来扩展或更改Firebox配置。有关如何在完成QuickSetupWizard之后将Firebox投入使用的信息，请参阅安装后工作。要启动WatchGuardSystemManager并开始使用其工具，请参阅启动WatchGuardSystemManager。安装后的工作在完成WebQuickSetupWizard或非WebQuickSetupWizard后，必须执行以下工作以使Firebox在网络上正常运行：将Firebox放置在其永久物理位置。确保管理工作站和可信任网络的其余局部将Firebox的可信任接口的IP地址用作其网关。在WatchGuardSystemManager中，选择“文件〞>“连接至设备〞，将管理工作站连接到Firebox。如果使用路由配置，请在连接到Firebox可信任IP地址的所有计算机上更改默认网关。如果在装有活动桌面防火墙〔非Windows防火墙〕的计算机上安装WatchGuard效劳器软件〔ManagementServer、QuarantineServer等〕，必须翻开效劳器连接通过防火墙所需的端口。Windows防火墙用户不必更改其配置。有关详细信息，请参阅在装有桌面防火墙的计算机上安装WatchGuard效劳器一节。您可能要执行的其他设置任务有：设置ManagementServer。有关详细信息，请参阅“ManagementServer设置和管理〞主题。配置LogServer和ReportServer以开始记录日志消息和以这些日志消息为根底创立报告。有关详细信息，请参阅“日志记录、通知和报告〞主题。设置WebBlockerServer。有关详细信息，请参阅WebBlocker主题。设置QuarantineServer。有关详细信息，请参阅“QuarantineServer〞主题。翻开PolicyManager自定义配置，以满足公司自己的业务和平安需求。自定义平安策略平安策略控制可以进入网络的人员、所到位置和离开网络的人员。Firebox的配置文件创立平安策略。使用QuickSetupWizard创立的配置文件只是根本配置。可以创立一个使平安策略符合您要求的配置文件。为此，请将数据包筛选器和代理策略添加到允许进入和离开网络的设置。每个策略都可对网络产生影响。提高网络平安的策略可以减少对网络的访问。增加对网络访问的策略会使网络面临平安风险。在选择这些策略后，必须基于所保护的组织和计算机设备选择某一范围的平衡策略。对于全新安装，建议在所有系统都正常工作前，仅使用数据包筛选器策略。可以根据需要添加代理策略。关于LiveSecurityServiceFirebox包含LiveSecurityService订阅。您的订阅：确保使用最新的软件升级获得最新的网络保护提供问题解决方案，其中含有全部技术支持资源通过最新平安问题的消息和配置帮助防止效劳中断通过培训资源帮助您查找有关网络平安的更多信息通过软件和其他功能扩展网络平安通过高级替换延长硬件保修启动WatchGuardSystemManager在Windows桌面上，选择：“开始〞>“所有程序〞>“WatchGuardSystemManager10.0〞>“WatchGuardSystemManager〞。有关WatchGuardSystemManager的根本信息，请参阅WatchGuardSystemManager简介。可以通过该主窗口访问所有WatchGuardSystemManager功能，如本手册中所述。请注意，可以在WatchGuardSystemManager的大多数数据字段中使用标准的复制/粘贴过程，这很有用。另请参阅：连接至Firebox连接至Firebox如果尚未启动WatchGuardSystemManager，请将其启动。单击。或者，选择“文件〞>““连接至设备〞〞图标。或者，在WSM窗口〔“设备状态〞选项卡〕上任一处单击鼠标右键，然后选择“连接至设备〞。将出现“连接至Firebox〞对话框。在“Firebox〞下拉列表中，键入Firebox的名称或IP地址。在后续连接中，可以从“Firebox〞下拉列表中选择Firebox名称或IP地址。您还可以键入IP地址或主机名。键入IP地址时，应键入所有数字和句点。请不要使用Tab或箭头键。键入Firebox状态〔只读〕密码。使用状态密码可监视流量和Firebox条件。在将新配置保存到Firebox时，必须键入配置密码。如果需要，请更改“超时〞字段中的值。该值设置管理工作站侦听来自Firebox的数据的时间〔秒〕，直到它发送一条说明无法从该设备获得数据的消息为止。如果到设备的网络连接或Internet连接速度缓慢，那么可以增加超时值。减少该值会减少必须等待超时消息的时间〔如果尝试连接到不可用的Firebox〕。单击“登录〞。Firebox将显示在WatchGuardSystemManager窗口中。从Firebox断开连接单击。〔如果连接到多个Firebox，那么选择要从中断开连接的一个Firebox，然后单击该图标。〕或者，选择“文件〞>“断开连接〞。或者，在WSM窗口〔“设备状态〞选项卡〕上任一处单击鼠标右键，然后选择“断开连接〞。从所有Firebox断开连接如果连接到多个Firebox，那么可以同时从它们断开连接。选择“文件〞>“全部断开连接〞。或者，在WSM窗口〔“设备状态〞选项卡〕上任一处单击鼠标右键，然后选择“全部断开连接〞。另请参阅：启动平安应用程序启动平安应用程序您可以从WatchGuardSystemManager中使用任务栏和菜单项选择项上的图标启动这些工具。PolicyManager通过PolicyManager可以安装、配置和自定义Firebox的网络平安策略有关PolicyManager的详细信息，请参阅关于PolicyManager。要启动PolicyManager，请单击。或者，选择“工具〞>“PolicyManager〞。FireboxSystemManager通过WatchGuardFireboxSystemManager，可以在一个使用方便的界面中启动许多不同的平安工具。还可以使用FireboxSystemManager来监视通过防火墙的实时流量。有关FireboxSystemManager的详细信息，请参阅关于FireboxSystemManager(FSM)。要启动FireboxSystemManager，请单击。或者，选择“工具〞>“FireboxSystemManager〞。HostWatchHostWatch显示从可信任网络到外部网络的通过Firebox的连接，或者您选择的其他接口或VLAN之间的通过Firebox的连接。它显示当前连接，也可以显示日志文件中的历史连接。有关HostWatch的详细信息，请参阅关于HostWatch。要启动HostWatch，请单击。或者，选择“工具〞>“HostWatch〞。LogViewerLogViewer显示日志文件的静态视图。通过它可以：应用以数据类型为依据的筛选器搜索单词和字段输出并保存到文件有关使用LogViewer的详细信息，请参阅使用LogViewer查看日志文件。要启动LogViewer，请单击。或者，选择“工具〞>“日志〞>“LogViewer〞。WatchGuard报告WatchGuard报告是您已选择从Firebox日志文件收集的数据的摘要。有关使用WatchGuard报告的详细信息，请参阅关于ReportManager。要启动ReportManager，请单击。或者，选择“工具〞>“日志〞>“WG报告〞。QuickSetupWizard可以使用QuickSetupWizard为您的Firebox创立根本配置。Firebox在首次启动时使用该根本配置文件。这样，Firebox便可以作为根本防火墙来使用。每次由于要进行恢复或出于其他原因，想要将Firebox重置为新的根本配置时，可以使用该同一过程。有关使用QuickSetupWizard的详细信息，请参阅关于QuickSetupWizard。要启动QuickSetupWizard，请单击。或者，选择“工具〞>“QuickSetupWizard〞。CAManager在WatchGuardSystemManager中，配置为ManagementServer的工作站也充当证书颁发机构(CA)。当托管的Firebox客户端与ManagementServer联系以接收配置更新时，此CA会将证书提供给它们。在可将ManagementServer用作CA之前，必须在ManagementServer上配置证书颁发机构。要设置或更改证书颁发机构的参数，请单击。或者，选择“工具〞>“CAManager〞。升级到新版本的Fireware有时候，我们会为具有活动LiveSecurity订阅的Firebox用户提供新版本的WatchGuardSystemManager(WSM)和Fireware工具软件。要从某个具有Fireware的WSM版本升级到具有Fireware的新版本WSM，请执行以下操作：备份当前的Firebox配置文件和ManagementServer配置文件。有关如何创立Firebox配置的备份映像的详细信息，请参阅创立Firebox映像的备份。要备份ManagementServer上的设置，请参阅备份或恢复ManagementServer配置。使用Windows的“添加或删除程序〞卸载现有的WatchGuardSystemManager和WatchGuardFireware安装。管理工作站上可以有多个版本的WatchGuardSystemManager客户端软件，但只能有一个版本的WatchGuard效劳器软件。启动从LiveSecurity网站下载的文件，并按照屏幕显示的过程操作。要将升级保存到工具，请使用PolicyManager翻开FireboxXCore或FireboxXPeak配置文件。按照屏幕中的说明将配置文件转换为更新版