SECCNH系列产品说明书资料.docx
《SECCNH系列产品说明书资料.docx》由会员分享,可在线阅读,更多相关《SECCNH系列产品说明书资料.docx(26页珍藏版)》请在冰点文库上搜索。
SECCNH系列产品说明书资料
多功能VPN/防火墙网关
H系列UTM用户手册
●专业VPN
●企业级防火墙
●内容过滤
●智能路由
●带宽叠加
●负载均衡
●动态寻址
●流量监控
●访问控制
●即插即用
Revision4.202008年2月20日
适用于固件版本4.10及4.20
目录
第一章网络设置3
1.1网络接口3
1.2静态路由5
1.3动态路由6
1.4动态地址分配6
1.5动态域名6
1.6DNS代理6
1.7UPNP网关6
1.8Qos流量管理7
1.9内网隔离7
第二章防火墙8
2.1.地址管理8
2.2.服务端口管理9
2.3.防火墙规则过滤10
2.4.虚拟服务器10
2.5.关键字过滤11
2.6.MAC地址绑定11
第三章虚拟私有网11
3.1.密钥管理11
3.2.PPTP服务器12
3.3.SSL网关对网关13
3.4.SSLServer(用户名秘密验证)15
3.5.SSLClient(用户名秘密验证)15
第四章带宽管理16
4.1带宽定义16
4.2带宽设定16
第五章系统信息17
5.1.系统日志17
5.2.内存CPU17
5.3.路由表17
5.4.界面状态17
5.5.ARP表17
5.6.连接状态17
5.7.连接统计17
第六章系统管理17
第七章shell管理18
附录A技术支持信息20
前言
鼎成SECCNH系列VPN防火墙UTM系统的配置与管理是通过浏览器管理的。
配置设备之前请将宽带的网线连接到宽带网关系统的宽带网口(WAN)上,将局域网的网线连接到防火墙系统的局域网(LAN)口上,系统上电。
在局域网中任意找一台电脑,将网卡的IP地址设置为:
192.168.0.100,子网掩码设置为:
255.255.255.0。
设置好网络后在这台电脑的浏览器地址栏中输入网址:
Http:
//192.168.0.1:
8088
系统显示登陆页面,如图1。
系统默认的用户名是:
admin,密码是:
admin。
输入用户名和密码后点击登陆按钮进入管理界面。
图1
第一章网络设置
1.1网络接口
如图2所示,点击左侧菜单“网络设置”/“网络接口”。
网络接口根据不同的型号,有2-6个接口不等。
提示:
网络接口的设置需要系统重新启动后生效。
WAN口设定
Wan口有三种接入类型:
静态IP模式,PPPOE模式,动态IP模式,可根据宽带的类型,选择相应的模式。
1.1.1.1静态IP模式
如图2所示,“接入类型”选择“静态IP”,“IP地址”填入分配到的固定IP地址,在“子网掩码”中填入子网掩码,在“网关”中填入网关IP地址,在“DNS”中填入分配的域名服务器的IP地址,在“备份DNS”中填入备份DNS服务器的地址,点击“确定”按钮保存信息。
MAC地址克隆默认的MAC地址是设备出厂时分配的,用户可以根据实际情况作修改(一些宽带运营商做了MAC地址限定)。
如果允许外网的用户(互联网等不信任网络)可以管理这台服务器,可在“HTTP”或者“Telnet”上打勾。
如果不允许外网用户ping到这台服务器,可以将“PING”的勾去掉。
如果WAN有多个公网IP地址,点击“高级”进入设置界面,可以添加多个公网IP地址。
图2
1.1.1.2PPPOE模式
如图3所示,“接入类型”选择“PPPoE”,适合的宽带类型有ADSL,小区宽带等,凡是PPPoE认证模式的都可以。
在“账户”中填入分配的用户帐号,在“密码”中填入分配的口令,点击“提交”按钮保存。
图3
1.1.1.3动态IP模式
“接入类型”选择“动态IP”,适合的宽带类型有有线通,小区宽带等,凡是DHCP模式的都可以。
直接点击“确定”按钮保存。
LAN口设定
图4
图5
如图4所示,在“IP地址”中填入本地局域网的IP,这个IP地址是所有要通过这台服务器代理上网的网关。
在“子网掩码”中填入子网掩码。
点击“确定”按钮保存。
如果在LAN口所在的局域网上存在多个网段上网需要,则可以点击“高级”,进入多地址NAT设置界面,如图5所示。
LAN口上可以增加多个网段,可配合防火墙规则,达到虚拟局域网的效果。
1.2静态路由
如图6所示,点击左侧菜单“网络设置”/“静态路由”。
在“目标地址”中填入目标网络地址,在“子网掩码”中填入子网掩码,在“网关地址”中填入目标网络的下一跳地址。
如果要这条路有立刻生效,在“状态”上打勾,点击“提交”按钮保存。
可以点击“删除”删除本条静态路由。
可以通过点击状态栏中“V”或者“X”,使路有生效或者不生效。
图6
1.3动态路由
点击左侧菜单“网络设置”/“动态路由”。
动态路由是通过ZEBRA系统实现的,支持RIP,OSPF,BGP三个协议。
动态路由的配置通过2种方式配置,一种是通过WEB图形界面,直接编辑。
另外一种是通过Telnet登录,通过命令行的方式,这种方式和cisco路由器的设置模式类似。
通过TelnetLAN或者DMZ端口配置动态路由。
Zebra的端口是2601,RIP协议的端口是2602,OSPF协议的端口是2604,BGP协议的端口是2605。
比如在LAN口上用命令行的方式配置OSPF协议,可以在局域网上任意一台电脑上用”telnet192.168.0.12604”命令登录。
动态路由的设置由专业的网络工程师完成。
1.4动态地址分配
如图7所示,点击左侧菜单“网络设置”/“动态地址分配”。
所有内部网络接口都可以启用动态地址分配服务。
在要启用动态地址分配服务的接口上打勾,并填入要分配的地址池地址,分配的地址要和该接口保持在一个网络。
点击“确定”按钮保存。
图7
1.5动态域名
点击左侧菜单“网络设置”/“动态域名”。
在“启用”上打勾,填入“用户名”,“口令”后点击“确定”按钮保存;出厂默认已绑了一个和设备序列号相同的域名。
1.6DNS代理
点击左侧菜单“网络设置”/“DNS代理”。
在“应用DNS代理”上打勾,点“确定”保存。
1.7UPNP网关
点击左侧菜单“网络设置”/“UPNP网关”。
选择要作UPNP的外网接口,内部网络接口,要立即生效,在状态栏中打勾,点击“提交”按钮保存。
1.8Qos流量管理
如图8所示,点击左侧菜单“网络设置”/“Qos流量管理”。
选择服务,选择优先级别,点击“添加”按钮保存。
点击“删除”按钮可以删除本行。
服务端口可以在“防火墙/服务端口管理”项目里添加减。
图8
1.9内网隔离
启动内网隔离服务后,内部局域网的计算机之间将不能相互通信,从而有效的解决网络病毒的传播。
内部局域网的计算机可以访问互联网。
如果内部局域网内的计算机之间需要通信,可以通过设置VLAN的方式,同一VLAN的计算机之间可以相互通信。
如图9,10所示。
图9
图10
第二章防火墙
2.1.地址管理
如图11所示,点击左侧菜单“防火墙”/“地址管理。
通过地址管理可以给一台主机或者一个网络定义一个名称,便于记忆。
在“别名”中填入名称,填入IP地址和子网掩码,点击“确定”按钮保存。
注意网络地址的大小有子网掩码决定。
比如子网掩码是“255.255.255.255”表示IP地址是一台确定的主机。
“255.255.255.0”表示IP地址是一个C类的网络段。
如图12所示,可以将地址归类,设置为不同的组,从而使管理更加简便,可以根据组设置策略。
图11
图12
2.2.服务端口管理
如图13所示,点击左侧菜单“防火墙”/“服务端口管理”。
填入“服务名”,“端口”,“协议”,“协议”可选择“TCP”或者“UDP”协议,非TCP或者UDP,直接填入协议编号。
点击“确定”按钮保存。
注意:
端口可以采用port1,prot2设置一组端口,如:
80,8080也可以采用prot1:
prot2设置连续端口,如:
8000:
8100
如图14所示,可以将端口归类,设置为不同的端口组,从而使管理更加简便,可以根据端口组设置防火墙策略。
图13
图14
2.3.防火墙规则过滤
如图15、16,点击“新增规则”可以添加新的包过滤规则,点击“删除”可以删除本行的规则。
可以将规则移行,修改符合条件的包是“通过”,还是“禁止”。
注意:
规则的执行是按照从上到下的顺序执行的,如果配置到了某条规则,则后面的规则就不再执行。
当防火墙规则特别多时,需要认真检查防火墙的逻辑。
图15
图16
2.4.虚拟服务器
如图17所示,如果要对外发布服务,可以通过虚拟服务器的方式实现,选择“公网地址”,“服务端口”,“协议”,选择内部网络接口,填写“内部服务器IP地址”,内部服务器端口,点击“确定”按钮保存。
图17
2.5.关键字过滤
如图18所示,填入“别名”,“过滤关键字”,点击“确定”按钮保存。
图18
2.6.MAC地址绑定
如图19所示,在“IP地址”,和“MAC地址”中填入IP和要绑定的MAC,点击确定按钮。
也可以点击“自动绑定”,系统会根据目前MAC地址表中的信息作自动绑定。
图19
第三章虚拟私有网
2.7.密钥管理
如图20所示,系统可以生成2048位的静态密钥文件,为SSLVPN提供认证服务。
可以导入已经生成好的密钥文件,“点击“浏览”按钮,选择要上传的密钥文件,就可以导入。
也可以在本服务器生成,填写密钥文件名称后点击“提交”。
如果要下载密钥文件,点击下载的图标。
图20
3.1.PPTP服务器
如图21,要启动PPTP服务,在启动PPTP服务器上打勾。
在VPN服务器IP地址框中填入PPTP服务器端的IP地址,在VPN客户端IP地址填入地址段,格式为192.168.254.2-200,也可以用逗号隔开,如:
192.168.254.2,192.168.254.10-20,172.1.1.1-254。
选项认证方式,默认为MSCHAPV2加密认证和数据认证。
认证数据库默认可以选本地认证,点击“设置用户”可以添加和删除本地用户。
如图43所示。
拨号用户会获取到自动分配的IP地址,如果需要指定IP地址,可以将IP栏里的“*”号改为要分配的IP地址。
图21
图22
3.2.SSL网关对网关
SSL网关对网关VPN隧道是通过对称的密钥的认证方式认证的。
在建立VPN隧道之前,需要先在“密钥管理”生成或者导入密钥文件,VPN隧道两端的密钥文件必须一致。
一对SSL网关对网关VPN隧道将占用一个UDP的端口,VPN虚拟网卡之间需要设置同在一个网段的一对IP地址,作为中间路由的IP地址,比如一端为172.1.1.1,另一端为172.1.1.2。
如果在网络中VPN设备之前有防火墙设备,则需要在防火墙上开通VPN隧道所用到的UDP端口。
新建一条隧道如图23所示为本端设置。
图24为隧道远端的设置。
在建立好隧道连接后,在图25的界面里要选择隧道点启动。
设置中的名称解释:
1.“连接名称”,隧道的标示信息,可以任意填写,通常可以标示为隧道两端的城市名称,比如要建立一条深圳总公司和上海分公司的隧道,可以填写为“sz-sh”
2.“对端地址”,指VPN隧道对端的公网域名或者IP地址。
比如,本地深圳总公司的宽带的IP地址是202.100.96.25,对端上海分公司的宽带的IP地址是61.133.215.96。
则对端地址填写为“61.133.215.96”。
如果对端为动态IP地址,地址不确定则可以填写为“0.0.0.0”。
注意VPN的两端的公网地址至少有一端必须是确定的地址。
3.“本端VPN地址”,“对端VPN地址”
每条SSL网关对网关隧道都将在隧道的两端各激活一块VPN虚拟网卡。
需要为两端的虚拟网卡配置一对同一网段的IP地址对,从而保证隧道两边的通信。
规划IP地址对的原则是保证不和网络上的其他网络的地址冲突,能够保证各子网正常路由。
比如本例中本地的为“172.1.1.1”和“172.1.1.2”。
隧道对端的IP地址对就为“172.1.1.2”和“172.1.1.1”。
如图45,46。
4.端口,SSLVPN隧道是工作在第7层的VPN隧道技术,通过端口来区分不同的隧道。
比如本例中为“1195”,一条通信的隧道两端的端口必须是相同的。
5.密钥,SSL网关对网关VPN隧道是通过对称的密钥认证方式认证。
所以隧道两端的密钥必须是一样的。
6.加密算法,可选的加密算法有AES,DES等等,VPN两端的算法必须要一致。
7.对端私网,指VPN两端要通讯的内部子网,通常都是各自的LAN口的网络地址。
如果有多子网或者各自内部网络比较复杂,可以配合动态路由来解决。
图23
图24
图25
3.3.SSLServer(用户名秘密验证)
如图26所示,“服务子网”,是一个网络地址段,目的是给SSLClient端分配IP地址的地址池,地址填写的原则是选择一个不和实际使用地址冲突的地址端,如本例:
10.10.10.0255.255.255.0,其中服务器将会用掉10.10.10.1的地址,所以客户端地址的分配从10.10.10.2开始。
“端口”,SSLVPN是工作在应用层,所以需要一个UDP的端口,保证两边的通信。
比如这里可以填入“1194”,注意SSLClinet端的端口也将要填入1194端口才可以通信。
“加密算法”在下拉选择框中选择,注意VPN两端的算法要一致。
默认的算法是BF算法
“推送路由”,为了保证SSLClient端的路由配置尽量简化,服务器端主动将自己的内部网络推送到客户端去,SSLClient端就不用配置服务器端的路由信息了。
本例中总部的内部网络是192.168.0.X,所以这里填入192.168.0.0255.255.255.0点击确定按钮保存配置。
在“启动/停止”右边打“V”可以启动SSLServer
为了使SSLclient能够接入,需要为他们设置认证的用户。
如图48所示,填入“用户名”,“密码”,“分配IP”,分配的IP必须是前面定义的“服务子网”地址池里的地址。
“子网”和“子网掩码”是SSLClient端的局域网段和掩码。
例如:
广州的用户可以填写:
用户名:
“gz01”,密码“gz123”,分配IP“10.10.10.2”,子网“192.168.20.0”,子网掩码“255.255.255.0”。
点击添加按钮即可完成配置。
上海的用户可以填写:
用户名:
“sh01”,密码“sh123”,分配IP“10.10.10.3”,子网“192.168.30.0”,子网掩码“255.255.255.0”。
点击添加按钮即可完成配置。
如果客户端是带KEY的软件VPN客户端,也可以只填用户名和密码即可。
其他的项目默认为*号即可。
至此SSLServer端的配置已经完成。
图26
3.4.SSLClient(用户名秘密验证)
如图27所示:
“连接名称”标示这条隧道的名称,例如“gz”
“SSL服务端地址”,SSLServer端VPN设备的公网IP地址或者域名,如果有多个SSLServer端,可以分行填写。
只要有一个服务端是可用的VPN隧道就能连通,SSLClient将按顺序依次连接正常的SSLServer端VPN。
“端口”必须要和SSLServer端的端口一致,这里填入“1194”。
“加密算法”在下拉选择框中选择,注意VPN两端的算法要一致。
默认的算法是BF算法
“用户名”,填入SSLserver端为这个客户端设置的用户。
“密码”,填入SSLserver端为这个客户端设置的密码
点击“提交”按钮保存配置。
如图所示,点击相应隧道的启动项,可使隧道启动生效。
图27
第四章带宽管理
4.1带宽定义
如图28所示,点击左侧菜单“带宽管理”/“带宽定义”。
可以在内网接口上定义不同的带宽类型。
4.2带宽设定
如图29所示,点击左侧菜单“带宽管理”/“带宽设定”。
可以设定某台电脑或者网络的上网的带宽的最高流量。
设定带宽的地址可以在“防火墙/地址管理”里添加减。
带宽管理可以限定通过VPN防火墙设备的BT类点对点协议的带宽,比如BIT,电驴等。
图28
图29
第五章系统信息
5.1.系统日志
点击左侧菜单“系统信息”/“系统日志”。
可以查看本服务器的日志文件,也可以设置远程日志服务器来接收日志信息。
5.2.内存CPU
点击左侧菜单“系统信息”/“系统信息”。
可以查看本服务器的内存信息和CPU的负载信息。
5.3.路由表
点击左侧菜单“系统信息”/“路由表”。
可以查看本服务器的路由表信息。
5.4.界面状态
点击左侧菜单“系统信息”/“界面状态”。
可以查看本服务器的网络接口信息。
5.5.ARP表
点击左侧菜单“系统信息”/“ARP表”。
可以查看本服务器的ARP表信息。
5.6.连接状态
点击左侧菜单“系统信息”/“连接状态”。
可以查看本服务器的网络访问的连接信息。
5.7.连接统计
点击左侧菜单“系统信息”/“连接统计”。
可以查看每个IP的网络连接数量信息。
第六章系统管理
6.1修改密码
登录用户可以修改自己的密码。
6.2系统日期
更改系统的时间。
在防火墙通过时间段控制的时候,这里的时间要求准确。
6.3重新启动
系统变更了配置项目后,需要重新启动服务器,使配置生效。
6.4注销登录
配置完毕后,最好注销登录,保证安全。
6.5在线升级
系统提供在线升级功能。
6.6备份/恢复
通过备份,可以将配置信息下载下来保存,也可以通过恢复将备份的配置信息导入到设备里。
点击“恢复出厂值”按钮可以将配置恢复为出厂设置。
第七章shell管理
Shell的管理通过超级终端实现,将设备提供的串口连接电缆一端接入到设备的串口上,另外一端接入到调试电脑的串口上。
打开windows系统得超级终端程序。
如没有超级终端则需要系统安装光盘,在添加删除程序里面,添加附件里面的超级终端组件。
图30
选择通讯的串口。
图31
如图所示,设置串口的参数为:
波特率为“115200”,数据位“8”,停止位“1”,校验位“无”,数据流控制“无”。
图32
设置正确后登录到psfwshell环境中,系统默认的用户名为“root”,口令为“default”。
命令介绍:
1、help察看shell环境下提供的命令
2、resetpass恢复web管理用户admin的口令为admin
3、resetrule清除防火墙过滤规则
4、Route查看路由信息
5、Ifconfig查看网卡信息
6、Ps查看进程信息
7、Restore恢复出厂值
附录A技术支持信息
网站地址:
用户手册:
技术支持:
QQ:
3335347
QQ远程协助:
远程协助,点接受,确认之后,通过远程获得技术支持。
请保障网络连通的基础上,调整本机自带或安装的防火墙规则,使远程协助可以穿透。
广州鼎成信息科技有限公司
中国.广州
升级会员 