防火墙配置管理.ppt

《防火墙配置管理.ppt》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、网威防火墙配置介绍主要内容一、串口、ssh及客户端软件登录方法二、路由配置方式三、网桥配置方式四、灾难恢复方法五、手动升级六、远程协助一、配置串口程序用户登录默认用户名root默认口令firewallSSH登录使用SSH登录工具，例如putty登录后状态串口登录和SSH登录后界面相同，默认登录后为普通管理员状态，键入？可以查看能够使用的命令切换超级管理员输入enable可以切换超级管理员状态，口令为firewall，超级管理员可以使用的命令用？可以查看。获取防火墙地址防火墙默认出厂网卡地址为：eth0：172.16.0.1/16eth1：10.0.0.1/8eth2：192.168.0.10

2、1/24在串口或者SSH下面使用getinterface命令获取网卡地址，输入命令时按tab键可以自动补齐。客户端软件运行运行客户端软件后，选择全局－添加防火墙，输入要连接的防火墙地址，如图客户端软件登录默认登录用户名均为admin，添加防火墙后可以右键点击选择登录。请牢记密码配置策略登录防火墙后，图标变绿，右键点击选择策略，或者点击，可以读取防火墙当前策略。如果登录防火墙不能成功，可能是由于网络状况导致超时，此时可以修改超时为120。防火墙配置策略如下页图所示。二、路由模式配置基本步骤配置网卡地址，保存配置，应用网卡设置，重新登录配置区域配置配置对象，添加主机对象、服务对象、时间对象，主机

3、组对象、服务组对象。添加DIP、VIP添加访问控制策略上传配置、保存配置，启动规则网卡地址配置配置网卡地址，系统信息－网络接口，如图所示，配置完成3个网卡后，上传策略，选择系统命令－应用网络接口，然后重新登录。注：三个网卡的地址所在的网络不要出现重叠区域配置注：防火墙区域代号不能是中文。对象管理添加主机对象，其中掩码为对象范围计算结果添加服务对象添加VIP、DIP对象，此对象中的掩码为防火墙网卡地址所使用的掩码。时间对象有不同需要时，需分别添加。例如：周一、周二等。带宽对象中缺省带宽为时间段外使用带宽DIP详解DIP为源地址转换所使用。地址绑定接口和转换后接口相同，均为地址所在网卡。VIP详

4、解VIP为目的地址转换所使用。地址绑定接口为虚拟IP地址所在的接口，转换前地址接口为使用此VIP的策略中源地址所在区域网卡三、网桥模式配置基本步骤配置网桥并应用网桥设置配置区域配置配置对象，添加主机对象、服务对象、时间对象，主机组对象、服务组对象添加访问控制策略上传配置、保存配置，启动规则配置网桥打开透明网桥配置，将加入网桥的接口加入，配置桥名称和桥的IP地址，选择启动，点击确定。配置网桥前注意事项在配置网桥之前，如果防火墙曾经进行过其他配置，需要导入空模版，清空原来的配置，再进行新配置。启动网桥选择保存配置，然后应用网桥设置，即可启动网桥，此时，需要重新使用桥地址进行登录管理。重新登录后，

5、选择区域配置，确认桥内接口所对应区域的名称和对应的子网，建议将所对应子网设为4个0。添加相应的主机对象、时间对象、带宽对象。设置访问控制策略保存配置选择策略上传（F2）、保存配置（F3）、重新启动规则（F5）。可以将配置好的策略保存为本地策略。四、灾难恢复方法如果防火墙策略混乱，可以直接导入保存的配置。选择将防火墙恢复默认设置，然后重启防火墙。如果恢复出厂设置后，用默认地址登录后，选择“配置管理”中的“导入本地策略模板”，读取原来保存的策略。策略读取成功后，首先选择“上传配置”-“保存配置”后，选择“应用网卡设置”或者“应用网桥设置”，重新登录。选择启动规则即可。建议上传策略，保存配置后，重

6、新启动防火墙。注：检查恢复是否成功，通过访问之前可以访问的主机，检验恢复默认设置。五、手动升级通过点击“帮助”-“手动升级”，完成安装升级包在升级文件路径内输入升级包所在目录，例如：E:etpowersp051026.tgz点击升级按钮成功或者失败，系统会给出相应提示！通过串口或者SSH升级当成为超级管理员时，输入patch命令进行升级，升级成功后重新启动防火墙注：升级包需要放在防火墙可以访问到的FTP服务器上六、远程协助防火墙网口上具有公网地址允许防火墙客户端连接允许SSH连接防火墙内网主机可以访问Internet，借助PCANYWHERE或者远程桌面，控制用户主机防火墙客户端连接选

7、中可用作管理区域上传策略重新启动规则SSH连接防火墙添加一条net—fw允许NPssh通过的策略借助工具Pcanywhere,需要开TCP5631端口和UDP5632端口远程桌面需要开TCP3389端口谢谢！