inforcube新一代防火墙v6快速使用手册

本文档归上讯 所有，并保留一切权利。书面，任何公司和个人不得将此文档中的包括其中所含的所有资料进行、公开、或以其他方式、散发给第。否则，本公司将必将其本文档仅提供阶段性信息，因市场情况变化迅速，所含内容可根据产品的实际情况随时更新、修改，恕不另行通知。所以，本文档参考使用，不提供任何形式的担保，如因文档使用不当造成的直接或间接损失，本公司不承担任何责任。地址：市浦东新区路498号20号楼3：201203：86- 传真：86-邮箱： INFORCUBE管理方 网络配 DNS配 路由配 静态路 策略路 配置虚拟 对单个IP地址与端口设置静态NAT端口转 对一个IP地址范围与端口范围设置静态NAT端口转发设 添加动态虚拟 安全策略配 特征库升 关于上讯信 系列产品默认在internal 或者mgmt 口上有IP 地址：。用户名为：admin为suninfo123。通过浏览器可通过上面的管理地址来进行web页面的登陆。结果如下图所示：我们现在来介绍对一般用户来说难度较高的初始配置方法，也是我们后期真正做调试的过程中用的比较多的法，就是使用Console口来进行配置。首先，使用Console口进行连接，线接好之后，我们使用的是SecureCRT来创建连接。SecureCRT界面SecureCRT新建连接我们需要在连接到设备之前新建接，协议选择的地方选择串口协议。选完协议后会被要求选择接口，具体是 3。。。我们就要到计算机的设备管理器中查看了，看一下端口（COM和LPT）这一项下面虚拟出来的COM口是几，我们的计算机显示为COM3，就回到SecureCRT中选择COM3接口，然后波特率选择9600。初始化连接建立配置Admin

连接建立成功如果修改的话可以点击“系统管理—管理员设置—管理员”进行修改由于这款设备支持双WAN接入，因此在图中您可以看到有单以太网和双以太网两个，可以将上网卡插到设备的USB接口上。由于我们演示环境只有单线接入，因此我们选择单以太网，然后点击下一步。网络配置界面WAN1接口配置设备提供3WAN网络接入类型，DHCP类型，静态IP类型，和PPPoE拨号类型。PPPoE就像是ADSL接入，设置方法和家用无线路由器一样，将ADSL账号和输入就好了。上图所示为静态IP的配置情况，填写好就可以了。我们演示环境是DHCP，也是大多数企业场景。LAN口设置其实选择了DHCPLAN配置的界面上，设备自动生成了默认的一套配置。可以看到internal接口默认启用DHCP，接口ip192.168.1.99，24位掩码。地址池为110-210。DNS转至系统>网络>选项，添加主服务器和次服务器的IP地址。这些服务器应为ISP所提供的DNS服务器或其他公共DNS服务器。单元利用这些DNS服务器来进行其DNS查询，并且为你内部网络提供DNS查询。您可以通过定义数据包的目标IP地址与掩码配置FortiGate设备截取的数据包，并指定这些数据包的IP地址（网关）。网关地址是指数据包所到达的下一站中继路由。包含出厂配置的静态路由列表（参见“默认的路由与网关”）注意：除非另有注明，静态路由举例与配置步骤均针对IPv4图5所示的编辑静态路由的框属于FortiGate设备中接口名为“内部接口”的接口。在您配图5

网关输入FortiGate设备将截取的数据包转发到的下一站路由的IP地址。设备路由数据包通过的FortiGate接口名称。管理距离输入路由的管理距离。通过设定管理距离，您可以指定在具有相同离是相对更优先的路径。距离可以设置为1到255进入路由>静态>策略路由并点击“新建”图7所示的具有“外部接口”与“内部接口”的FortiGate设备中显示的新策略路由的框。您协议端口根据数据包协议字段的数值执行策略路由，输入相匹配的协议号进入接口点击选择接收流入数据包的接口。源地址/掩码根据数据包的IP源地址执行策略路由，输入相匹配的源地址与掩

目的端口根据接收数据包的接口执行策略路由。在“从”与“至”字段输入相起始与结束的端范围。设定为零表示撤消该功能项。 配置拟一个虚拟IP的外部IP地址可以是与Inforcube设备接口的单个IP地址或一IP地址范围。当一个IP地址或IP地址群与Inforcube设备接口绑定后，默认情况下，网络接口将对绑定IP地址或IP地址范围的ARP请求作出响应。虚拟IP使用RFC1027中定义的ARP，因此Inforcube设备将对实际安装在其他网络中发出的ARP做出响应。一个虚拟IP的映射IP地址可以是单个的IP地址、IP地址范围或对负载平衡中定义的一套服务器。当数据包与策略列表中策略比较，锁定匹配策略时，如果策略的目标地址是一个虚拟IP，Inforcube设备应用NAT，将数据包的目标地址转换为虚拟IP映射的IP地址。为实现IP地址或IP地址池配置的转换，必须添加NAT防护墙策略。例如，添加策略将公共网络地址映射到私有网络，添加从外部接口到内部接口的防火墙策略，将目标地址字段设置为一个虚拟IP。创建虚拟名称输入虚拟IP的名称。地址，地址组与虚拟IP必须具有单独的名称避免在配置策略中发生。外部接口从列表中选择虚拟IP外部接口。外部接口与源网络连接并接收数据类型选择“静态NAT”或“负载平衡”

外部服务端口输入在配置端口转发时外部服务端。该选项只有在启动端口转 外部端映射到目标网络中的端您也可以一个端范围将数据包转发到目标网络中多个端口设备将计算出外部端范围并将其添加到外部服务端口字段。对单个IP地址与端口设置静态NAT联网试图与192.168.37.4.端口80建立连接时地址被转换并通过Inforcube设备发送到10.10.10.10.42.端口8000。互联网中的计算机设备并不会对该转换有所反映，认为连接的是 静态

与互联网发生通信使用的端。对于web服务器，一般通常使用的端为80。 将wan1接口应用虚拟IP设置添加dmz1策略中，那么当位于互联网中的用户试图与服进入>策略，并点击“新建”配置策略 目标接口/区域dmz1目标地址名称 与192.168.37.5.端为82的通信过程中地址将被转换并由Inforcube设备发送到地址为进入>虚拟IP>虚拟IP 静态

映射到端口web服务器接收流量使用的端口。通过在第一个字段输入起始IP地将设置了静态NATIPIP进 配 策略 目标接口/区域dmz1目标地址名称 添加动态拟输入外部服务端，配置动态端口转发外部端必须与被转发数据包的目标地址端相匹配。例如，虚拟IP提供从互联网输入配置动态端口转发的外部服务端外部服务端必须与数据包被转发的目标端口匹配。例如，如果虚拟IP提供从互联网 输入映射 ，该端添加在转发的数据包中如果该端口没有被转换，输入与外部服务端相同的号码这是要控制允许设备如何上，是否是允许设备总是通过设备上。或者在固定的时间段内可以上。比的公司要求某些部门的员工在9点到12点，14点到18点是上的，就会用到这样的策略。在这里我们选择总是允许来进行下一步的配置。时间表配置策略配置内网设备要上必须要有从私网地址到公网地址的转换，因此NAT是默认开启的，其余的安全功能比如UTM功能，用户行为限制等等也是默认开启的。用户为了快速上线可以先不考虑，把界面上的勾点掉。后续有需求的时候可以再自行根据需求来开启相应的功能并且配置策略。Inforcube设备可以手动或自动更新特征库，手动更新需要通过web界面登录，点击“系统管理”—>“特征库”—>“更新”。特征库更新的特征库文件，找到需要更新的特征库，选择“升级”，然后再通过“浏览”选择的文件，点击“确认”上传的特征文件，需要数分钟时间。建议大家在客户测试和正式使用之前进行特征库的更新，以获得最佳的的测试效果和使用效果。（）上讯 以下简称上讯信息 领域企业之一，可提供咨询及评估、数据安全产品、合规与审计产品、信息安全及优化整体解决方案与安全运维服务。公司以前瞻性的眼光，组织顶尖专家自主研发以及甄选出最符合市场发展方向且覆盖各个层面的尖端安全产品以满足的客户需求。（）而今的上讯信息已经逐步成为了具有强大自主研发能力和雄厚经营实力的信息安全企业。目前公司在西安、、设立研发中心，拥有遍布各地的20个本地化技术服务机构，服务可覆盖31个省市地区，完善的服务体系使得上讯信息具备高效快速为客户解决各种问题的能力，最大程度的节省和保护客户的投资，为客户排忧解难，保证客户的IT信息系统连续、稳定、高效、安全地运行。