曙光安全产品安装调试培训

课程时间：30分钟更新日期：2009年2月曙光安全产品安装调试培训掌握TCP/IP协议，IP地址及子网掩码等基本知识掌握路由和交换技术，Internet通讯原理了解防火墙概念，初步的网络安全知识具备网络管理员经验更佳知识背景要求网络拓扑图示例安全产品的安装与调试步骤第一步：必须掌握用户的网络拓扑图第二步：进行防火墙与其他设备的连接规划第三步：确定防火墙的工作模式网桥、路由、NAT、混合模式第四步：了解IP地址、网络规划，确定IP地址、端口等过滤规则控制规划第五步：阅读防火墙用户操作手册，掌握设置细节防火墙的简单安全方案

DMZIntranetDMZInternet防火墙测试连接状态在管理主机上打开Windows命令提示符界面，输入命令“ping15”并回车，确保能够ping通防火墙管理口eth1。防火墙配置连接防火墙Web管理界面使用IE（建议用户使用6.0以上的版本）在地址栏输入15并回车出现如图所示的弹出框，点击“是”按钮；防火墙配置防火墙管理界面：防火墙配置默认系统管理员帐号：admin；初始密码：dawning默认超级管理员帐号：administrator；初始密码同上系统管理员具备系统管理，安全策略、日志审计等基本操作权限，超级管理员仅具备账户管理权限。防火墙有7个功能模块：系统管理、安全策略、日志管理、安全检测、网络计费、虚拟专网、在线帮助。请注意：防火墙型号的不同，可能不具备全部功能模块。如何配置网桥1.新建网桥选择系统管理-网络配置-接口配置：点击增加按钮配置网桥2.设置网桥将网桥的IP地址与子网掩码设置为空，选择网桥名称，例如网桥4，点击提交配置网桥3.选择网桥接口 将可用接口添加到网桥中，选择已经规划到的内网口与外网口的接口。配置网桥4.修改接口工作模式点击进入接口配置后，选择接口的工作模式，更改为网桥模式（注意：只有新建网桥后，网口的工作模式里才会显示新建的网桥）配置网桥5.网桥创建完成将内网口与外网口的工作模式都修改完成。如何配置管理口点击规划的防火墙管理口，这里为ETH4口。修改IP地址子网掩码为防火墙管理口地址，选择控制选项，选择ping响应选项，点击提交。如何配置缺省网关选择网络配置-缺省网关，输入IP地址，提交（由于管理地址是通过路由回指到三层交换机上，所以网关地址为上层交换机地址，即服务器网关地址）配置安全策略1.添加用户组选择安全策略-用户组配置，点击增加如何配置安全策略2.输入用户组输入用户组名称，用户IP地址或网段，点击确定（例如用户组名称：company，用户IP地址：/24）配置安全策略3.设置安全策略选择安全策略-规则配置-过滤规则，点击增加配置安全策略4.规则信息的填写根据规划好的规则信息进行填写防火墙常见问题解答1、开关机问题，如果防火墙开机后电源指示灯不亮，可能是因为：a.电源线没有连接好，请检查供电线路是否良好；b.电源电压不符合要求，请检查电源电压是否符合规定范围。2、无法登录WEB管理界面a.输入防火墙内部IP地址不正确；b.网线有问题；c.登录方式没有采用“HTTPS”；d.防火墙内部IP地址与本主机IP地址不在同一网段上。如以上仍不能进入，那么就要根据你的身份来寻求以下解决方案：如果你不是管理员，根本就没有权限进入防火墙系统管理主界面；如果你是系统管理员，有可能该管理主机在防火墙的黑名单中，或者由于登录错误而被防火墙锁定。防火墙常见问题解答3、无法访问外网a.网线有问题。请仔细检查网线是否正常导通，以确认是否更换网线；b.与防火墙连接的集线器或交换机、路由器连接不正确。首先检查防火墙及其连接集线器或交换机、路由器上的连接指示灯是否亮。否则，可能是集线器、路由器本身有问题；c.防火墙的IP地址和子网掩码配置错误、防火墙网关没有正确设置。请检查防火墙“网络配置”界面中各配置选项的正确性，注意网络IP地址与网络掩码必须匹配；d.DNS不能解析或解析错误；e.防火墙规则设置有问题，请检查规则是否开通允许访问。4、如何处理日志因为防火墙的存储空间有限以及为了保持防火墙高效的工作性能，防火墙只保存最新的30M日志，如果想保留所有的防火墙日志，请用防火墙远程日志系统，把防火墙的日志传到远程日志服务器上。防火墙常见问题解答5、网络接口连接指示灯不亮a.网络连接出了问题；b.集线器或交换机运行可能不正常，请试着把网线插到集线器的其它位置，或者插到另一台集线器上。6、主机不能PING到防火墙a.网络接口配置不正确，请仔细检查防火墙“网络配置”界面中配置选项的正确性；b.网络接口属性设置不允许PING；c.防火墙包过滤是否允许执行ICMP规则。7、关于Web管理无法登录（账号锁定）如何解除a.用超级管理员登录防火墙，把锁定的管理员帐号删除；b.通过串口登录防火墙，把锁定的管理员帐号删除；c.等待锁定时间过期。防火墙常见问题解答8、不能增加一目标网络的路由a.检查目标网络地址和网络掩码是否匹配；b.检查防火墙是否能解析该网关的MAC。9、IP地址绑定未起作用检查绑定IP是否经过其它路由设备才到达防火墙。10、增加一个禁止指定主机的规则，但该主机仍能通过防火墙a.检查该主机与通信目标主机间的通信通道是否经过防火墙；b.检查是否已有规则许可该主机通过防火墙；c.检查测试源主机是否为双穴主机，是否网卡配有多个IP地址。11、用户规则许可但不能通过防火墙a.检查该用户登录主机的IP是否需要防火墙做NAT或者需要设置网桥、路由等；b.检查用户机的网关和代理设置是否正确。防火墙常见问题解答12、禁止主机但是禁止无效a.检查该用户登录主机是否有旁路，是否有两块以上网卡；b.检测规则，是否还有其它规则对此主机放行。13、用户口令丢失，无法登录防火墙使用串口登录，增加新用户。设置新用户的权限，密码。14、防火墙不定期无故死机a.检查防火墙所在的工作环境；b.检查防火墙日志文件是否超载，建议删除旧有备份文件或者将其导入日志备份