防火墻配置管理

網威防火墻配置介紹

1主要內容一、串口、ssh及客戶端軟件登錄方法二、路由配置方式三、網橋配置方式四、災難恢復方法五、手動升級六、遠程協(xié)助2一、配置串口程序34用戶登錄默認用戶名root默認口令firewall5SSH登錄使用SSH登錄工具，例如putty6登錄后狀態(tài)串口登錄和SSH登錄后界面相同，默認登錄后為普通管理員狀態(tài)，鍵入？可以查看能夠使用的命令7

切換超級管理員輸入enable可以切換超級管理員狀態(tài)，口令為firewall，超級管理員可以使用的命令用？可以查看。8獲取防火墻地址防火墻默認出廠網卡地址為：eth0：/16eth1：/8eth2：01/24在串口或者SSH下面使用getinterface命令獲取網卡地址，輸入命令時按tab鍵可以自動補齊。

9客戶端軟件運行運行客戶端軟件后，選擇全局－添加防火墻，輸入要連接的防火墻地址，如圖10

客戶端軟件登錄默認登錄用戶名均為admin，添加防火墻后可以右鍵點擊選擇登錄。請牢記密碼11配置策略登錄防火墻后，圖標變綠，右鍵點擊選擇策略，或者點擊，可以讀取防火墻當前策略。如果登錄防火墻不能成功，可能是由于網絡狀況導致超時，此時可以修改超時為120。防火墻配置策略如下頁圖所示。1213二、路由模式配置基本步驟配置網卡地址，保存配置，應用網卡設置，重新登錄配置區(qū)域配置配置對象，添加主機對象、服務對象、時間對象，主機組對象、服務組對象。添加DIP、VIP添加訪問控制策略上傳配置、保存配置，啟動規(guī)則14網卡地址配置

配置網卡地址，系統(tǒng)信息－網絡接口，如圖所示，配置完成3個網卡后，上傳策略，選擇系統(tǒng)命令－應用網絡接口，然后重新登錄。

注：三個網卡的地址所在的網絡不要出現(xiàn)重疊15區(qū)域配置注：防火墻區(qū)域代號不能是中文。16對象管理添加主機對象，其中掩碼為對象范圍計算結果添加服務對象添加VIP、DIP對象，此對象中的掩碼為防火墻網卡地址所使用的掩碼。時間對象有不同需要時，需分別添加。例如：周一、周二等。帶寬對象中缺省帶寬為時間段外使用帶寬17DIP詳解

DIP為源地址轉換所使用。地址綁定接口和轉換后接口相同，均為地址所在網卡。18VIP詳解

VIP為目的地址轉換所使用。地址綁定接口為虛擬IP地址所在的接口，轉換前地址接口為使用此VIP的策略中源地址所在區(qū)域網卡19三、網橋模式配置基本步驟配置網橋并應用網橋設置配置區(qū)域配置配置對象，添加主機對象、服務對象、時間對象，主機組對象、服務組對象添加訪問控制策略上傳配置、保存配置，啟動規(guī)則20配置網橋打開透明網橋配置，將加入網橋的接口加入，配置橋名稱和橋的IP地址，選擇啟動，點擊確定。21配置網橋前注意事項在配置網橋之前，如果防火墻曾經進行過其他配置，需要導入空模版，清空原來的配置，再進行新配置。22啟動網橋選擇保存配置，然后應用網橋設置，即可啟動網橋，此時，需要重新使用橋地址進行登錄管理。重新登錄后，選擇區(qū)域配置，確認橋內接口所對應區(qū)域的名稱和對應的子網，建議將所對應子網設為4個0。添加相應的主機對象、時間對象、帶寬對象。23設置訪問控制策略24保存配置選擇策略上傳（F2）、保存配置（F3）、重新啟動規(guī)則（F5）。可以將配置好的策略保存為本地策略。2526四、災難恢復方法如果防火墻策略混亂，可以直接導入保存的配置。選擇將防火墻恢復默認設置，然后重啟防火墻。如果恢復出廠設置后，用默認地址登錄后，選擇“配置管理”中的“導入本地策略模板”，讀取原來保存的策略。27策略讀取成功后，首先選擇“上傳配置”-“保存配置”后，選擇“應用網卡設置”或者“應用網橋設置”，重新登錄。選擇啟動規(guī)則即可。建議上傳策略，保存配置后，重新啟動防火墻。注：檢查恢復是否成功，通過訪問之前可以訪問的主機，檢驗恢復默認設置。28五、手動升級通過點擊“幫助”-“手動升級”，完成安裝升級包29

在升級文件路徑內輸入升級包所在目錄，例如：E:\netpower\sp051026.tgz30點擊升級按鈕成功或者失敗，系統(tǒng)會給出相應提示！31通過串口或者SSH升級當成為超級管理員時，輸入patch命令進行升級，升級成功后重新啟動防火墻

注：升級包需要放在防火墻可以訪問到的FTP服務器上32六、遠程協(xié)助防火墻網口上具有公網地址允許防火墻客戶端連接允許SSH連接防火墻內網主機可以訪問Internet，借助PCANYWHERE或者遠程桌面，控制用戶主機33防火墻客戶端連接選中可用作管理區(qū)域上傳策略重新啟動規(guī)則34