网神SecGate防火墙快速指南.docx
《网神SecGate防火墙快速指南.docx》由会员分享,可在线阅读,更多相关《网神SecGate防火墙快速指南.docx(21页珍藏版)》请在冰点文库上搜索。
网神SecGate防火墙快速指南
声明服务修订:
本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:
本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括
(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:
任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效
授权。
网神信息技术(北京)股份有限公司
、概述
SecGate3600防火墙缺省支持两种管理方式:
(1)通过CONSOLE口的命令行管理方式
(2)通过网口的WEB(https)管理方式
(3)拨号(PPP)接入(连接AUX口)管理方式
CONSOLE口的命令行管理方式适用于对防火墙操作命令比较熟悉的用户。
WEB方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。
要快速配置使用防火墙,推荐采用CONSOLE口命令行方式;日常管理监控防火墙时,WEB方式则是更方便的选择。
安装防火墙之前,请您务必阅读本指南的“二、三”两节。
如果希望使用CONSOLE口命令行方式管理防火墙,请您仔细阅读本指南的第四节;如果希望使用WEB方式管理防火墙,请您仔细阅读本指南的第五节。
防火墙主要以两种模式接入网络:
路由模式和混合模式。
在路由模式下,配置完防火墙后您可能还需要把受保护区域内三层设备或主机的网关指向防火墙;混合模式时,由防火墙自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发,如果为透明桥模式,则不用修改已有网络配置。
、防火墙硬件描述
SecGate3600系列防火墙前面板、后面板示意图分别见随机印刷页。
文字项
说明
百兆网络接口
具体接口数量和布局请见随机印刷页
千兆网络接口
具体接口数量和布局请见随机印刷页
CONSOLE接口
系统管理串行接口,波特率为9600。
管理员可用随机专用串口线连接终端和
防火墙来管理系统。
预留USB接口
某些型号产品包含预留的USB接口,用于以后扩展功能时使用。
以实物为准。
电源指示灯
面板上标识为POWER,加电以后一直为绿色。
状态指示灯
面板上标识为STATUS,系统正常运行时橙色灯为熄灭状态。
三、防火墙安装
1.安全使用注意事项
本节列出安全使用注意事项,请仔细阅读并在使用SecGate3600防火墙过程中严
格执行。
这将有助于您更安全地使用和维护您的防火墙。
(1)您使用的SecGate3600防火墙采用220V交流电源,请确认工作电压并且务必使用三芯带接地电源插头和插座。
良好的接地是您的防火墙正常工作的重要保证。
(2)为使防火墙正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将防火墙放在不稳定的桌面上,如果跌落可能会对防火墙造成严重损害。
(4)请保持室内通风良好并保持防火墙通气孔畅通。
(5)为减少受电击的危险,在防火墙工作时不要打开外壳,即使在不带电的情况下,也不要随意打开防火墙机壳。
(6)清洁防火墙前,请先将防火墙电源插头拔出。
不要用湿润的布料擦拭防火墙,不能用液体清洗防火墙。
2.检查安装场所
SecGate3600防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。
(2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。
(4)确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。
温度/湿度要求
为保证SecGate3600防火墙正常工作和延长使用寿命,机房内需维持一定的温度和湿度。
若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害防火墙的电路。
温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其寿命。
洁净度要求
灰尘对防火墙的运行安全是一大危害。
室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。
尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。
除灰尘外,机房内应防止有害气体(如SO2、H2S、NH3、Cl2等)的侵入。
这些有害气体会加速金属的腐蚀和某些部件的老化过程。
同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。
抗干扰要求
防火墙在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。
为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
(2)防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。
(3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。
3.安装
SecGate3600防火墙可以放置在桌面上,也可以放在标准的19英寸机架上。
安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。
4.加电启动
防火墙启动步骤如下:
1)请将防火墙安装在机架上或放在一个水平面上。
2)确认防火墙电源是关闭的。
3)连接电源线。
4)防火墙可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进
而用超级终端管理防火墙。
(5)接通电源,按下防火墙上的电源开关,置于ON状态,防火墙加电启动。
(6)听到“嘀嘀嘀”三声,且橙色的状态灯为熄灭状态,表示启动成功。
防火墙启动成功以后,请通过CONSOLE口命令行或者WEB浏览器方式管理防火墙,具体方法请参考以下相关章节。
如果防火墙未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
四、通过CONSOLE口的命令行方式进行管理
基本步骤:
连接串口线—>配置超级终端—>开始配置管理
1.选用管理主机
要求该主机具备:
(1)空闲的RS232串口;
(2)有超级终端软件。
比如Windows系统中的“超级终端”连接程序。
2.连接防火墙
利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE,启动超级终端工具,以Windows自带“超级终端”为例:
点击“开始-->所有程序-->附件-->通讯-->超级终端”,选择用于连接的串口设备,定制通讯参数:
(1)每秒位数:
9600;
(2)数据位:
8;
(3)奇偶校验:
无;
(4)停止位:
1;
(5)数据流控制:
无;
coil属性
端口検宣
Lgg様也值心〕
确定I取消』-:
屯
提示:
对于Windows自带超级终端”,选择还原默认值"即可。
3
"admin和口令
.登录CLI界面
连接成功以后,提示输入管理员帐号和口令时,输入出厂默认帐号
admin@123"即可进入登录界面,注意所有的字母都是小写的。
五、通过WEB界面进行管理
基本过程:
配置管理主机—>安装USB电子钥匙驱动—>认证管理员身份—>开始配置管理
1.选用管理主机
要求具有以太网卡、USB接口和光驱,管理主机IE必须是及以上版本、文字大小建议为中等,屏幕显示建议设置为1024X768。
2.安装认证驱动程序
在第一次使用电子钥匙前,需要先安装电子钥匙的认证驱动程序。
插入随机附带的驱动光盘,进入光盘IkeyDriver目录,双击运行INSTDRV程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。
切记:
安装驱动前不要插入USB电子钥匙,否则驱动安装完毕后需要重新拔插电子钥匙!
3.安装USB电子钥匙
在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。
如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。
直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过Windows兼容性测试,选择“仍然继续”即可,如长时间(如约3分钟)无反映,请拔下USB电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。
4.连接管理主机与防火墙
利用随机附带的网线直接连接管理主机网口和防火墙gel网口,把管理主机IP设
置为10.50.10.44,掩码为。
在管理主机运行ping验证是否真正连通,如不能连通,请
检查管理主机的IP()是否设置在与防火墙相连的网络接口上。
强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接防火墙。
5.认证管理员身份
第一、插入电子钥匙。
第二、运行\\Admin目录中的ikeyc程序,提示输入用户pin,默认为。
此时
电子钥匙中存储的默认防火墙IP地址为10.50.10.45,认证端口为9999。
如果认证成
功,将弹出对话框提示通过认证”。
说明管理员已经通过了身份认证,可以对防火墙进
行配置管理了。
如果出现其他错误,请检查网络连接、pin码是否输入错误等。
6.登录防火墙WEB界面
运行IE浏览器,在地址栏输入,等待约20秒钟会弹出一个对话框提示选择证书,
选择SecGateAdmin证书,选择确定按钮。
1444
、\津atiil半.
議―㈣心
.更對t・mrj:
豊砒书®…]
i.1云]n»tB~\
然后会弹出一个对话框提示确认证书
admin,密码是:
选择确认即可。
系统提示输入管理员帐号和口令。
缺省情况下,管理员帐号是
admin@123。
7.许可证导入
登录防火墙界面后,请先选择左侧页面系统配置>>升级许可界面,会出现下面的页面信息。
ffj系统时钟站管理方式肋管理主机sg管理员咪号曲営理员证书站集中管理导入导出
蜀升级许可ffj日志服务器ffj驗名服务器g报警邮箱
羞携巴■戦件年耳:
b.Liiit.
*升SfSrft:
浏疑…升谈
$UILDuni;n»r.kfr1LIlE'^AJiET3E32
导旺H■師史
4ld»u•详可EEff:
导戈许可if
导出lT可证
许町
揑飙吋弭
onaiblt
✓
2312/D^23
2D12W21
Oil^LFILS
2012/D4/23
aoifrta/21
antirums
update
2O1^/IMZE3
EO12f08f21
4»bIt
201打毗耳
30]£■PT
up込•
*
JO12/D4/2S
?
nirrt]8/2i
coroieetitJi
!
*
3000000
2012/04/23
3012W21
a?
-?
enable
20⑵吸M
acisra^fEi
尸
litt
✓
Ml对毗耳
3D]Ziirl
Aftahi*
*
JO12/D4/25
Mirrtis/!
!
url
upJaL-s
20iy04r23
茁】占鸿忙1
存
33圧^8兀]
Z01Z/DVZ3
3DlZundlf!
uitAa/a
点击“浏览”按钮,选择待导入本防火墙的License文件,点击导入许可证即可完
成导入操作,导入成功后,可在左侧导航列表查看许可证对应的功能项目列表。
8.WEB界面配置向导
配置向导也是仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,
此向导涉及最基本的配置,安全性很低,因此,专业管理员建议直接参考《网神SecGate3600防火墙WEB界面手册》进行自己网络的配置,才能保证防火墙拥有正常有效的网络安全功能。
WEB界面的初始配置向导的使用步骤如下:
首次使用WEB界面进行配置,需将管理主机的IP地址设为10.50.10.44,在IE地
址栏中输入:
。
登录防火墙以后,点击
(1)修改超级管理员admin的密码,超级管理员的密码默认是:
admin@123
保
存配査特导出配垃并番肋特重启誓关如爲it岀
初始向
导,开始防火墙的配置。
模式:
1口替
2-工作毎式
3擡口IP
5皆骨主JL
6寅主規JM
T管哎方或
E完咸
(3)配置防火墙的接口
1j2\5£
路由欖式^网絡接71只愎纯路由殊乳
渥朗更佥师络抿口口朝划能1路曲玛麼或音遼明析转戋.
诵ism踊期5中H®疔配査,監认曼用祐曲琨式,臥F两TFWS口工乍碩式心须叩同“
(1©船由模丈
O逼合舷
ce2.©甜朗穫式
Q為合橈式
上一击・齿_11即活
IP地址,建议至少配置一个接口的IP能用于管理,否则,
完成初始配置后无法用WEB界面管理防火墙:
(4)配置默认网关,如果希望防火墙能上互联网,则必须配置默认网关,否则,可以直接跳过本界面,配置下一个界面。
(5)
IP:
配置管理主机,管理主机必须与防火墙IP在同一网段,如果想通过防火墙
(6)添加一条允许的安全规则,如果在界面上不填写源地址和目的地址,则会允许所有的访问,建议在网络调试通畅后,删除该规则:
(7)设置管理方式,如果希望用远程SSH来管理防火墙,需要选中远程SSH管理”否则,可以跳过本界面:
SW
W"8
1欝Sl«i码
谨中:
炬程汀}喟理,畑甘瑾貝可迪世血燈录刼洼网关,遇•上
甘压
£.丄惮理式
3.持口IT
4默LU码关
0昶羽籍琳晋塀(阵屜陈LE匚1
Q丈号拔E习v.i■:
hi:
朴)棘
0远程验惜建
示重新登录防火墙,如果需要保存该配置,请点击
WEB界面上的保存配置
7菅赶方式
(8)单击完成”以上配置将立即生效,至此完成防火墙的初始配置,然后根据提
彌£口诃工作在路曲模式,I刑址JtTLC.60.161.1,允许所麻机Plug允许用F習理‘阳允产袂拠至机P1U4
阳镶口e"工作在路曲頂式*n*HUt加,zzs尤许斷有主机魚坯允if用于管理>孑允iW营童主机P"®
狀」网关为:
10.60.10252.
首運主机1吋址为;LU.50LIL1J.
址弁从枉意咄址进同任意地址谢宙有噩落°
吏两远程SSH営虽
单击*'完戍”旦后』以上目己置将玄即生就』请把安全隧矢按入实稼网洛ia^iflil.调试威功后谦巫印夙壬和1。
60.10.11Q覺录妄至間養,到“安全啊、瘦全孤刚”贡直料定舍适韵52全却刖,球2职消退出.
上〜
如果希望完成防火墙的其它配置,请查阅网神SecGate3600防火墙WEB界面
手册,获得通过WEB界面完成防火墙配置的相关知识。
六、常见问题解答FAQ(需根据测试提供的FAQ整理)
1•如何用远程SSH方式登录防火墙?
答:
(1)在CONSOLE口的命令行方式下执行“mngmodesshon",或者在WEB界面
中选择系统配置>>管理方式”中的远程SSH管理”,并点击确认”按钮如下图:
□趨鎮终彩莒理(连搔COS5OLE口〕
0Web(https)営理
0远程SSK管理
0远趕TEUET管理
图1
(2)确认防火墙已设置可管理的IP地址及管理主机IP地址;
(3)在管理主机上使用SSH客户端连接防火墙,建立连接后会出现登录提示符,此时即可输入管理员帐户名和密码进入防火墙命令行管理方式。
以SecureCRT作为客户端为例,如下图所示:
□启动咐显示快速连接(也
取消
□农标签页中打
图2配置界面
r
最1gfjU.Ldl⑴-SerareCRT
工佯仃〕IE)音曲爾CM佈巴〕«J«rS)HSJ1)诽谢皿
亍
、.”10.HUr1G11
(1)|
4P
A
WecimetoEecGate
S«Gite3W0>
naill,eonlttl-oo
图3管理界面
2•为什么删除不掉超级管理员?
答:
因为本防火墙设计为超级管理员是不能被删除的。
3•可以多个管理员同时在线管理防火墙吗?
答:
可以。
阿
冒j坏穴式
盹"討bl茁虚左十杠巻住吕*日m五+员
丐13
va-a]
0
—am
0
蜀If辔上班再
U
19
雨W
(1)进入系统配置>>管理员帐号
(2)选中允许多个管理员同时管理
(3)在弹出的对话框中点击确认”按钮即可。
或者在Console模式下输入:
mngacctmultion即可。
4.防火墙能抵抗那些恶意攻击?
应如何配置使防火墙能抵抗这些恶意攻击?
答:
防火墙能抵抗以下的恶意攻击:
SYNFlood攻击、ICMPFlood攻击、PingofDeath
攻击、UDPFlood攻击、PINGSWEEP攻击、TCP端口扫描、UDP端口扫描、松散源路由攻击、严格源路由攻击、WinNuke攻击、smurf攻击、TCP无标记攻击、圣诞
树攻击、SYN&FIN攻击、无确认FIN攻击、IP安全选项攻击、IP记录路由攻击、IP流攻击、IP时间戳攻击、Land攻击、teardrop攻击、DNSFlood、抗CC攻击。
(1)进入防火墙>>抗攻击”
(2)点击相应网络接口的操作”按钮,启动配置该网络接口的抗攻击功能。
5.如何补全命令行中的关键字?
6•如何获得命令的提示信息?
答:
按?
可以获得上下文相关的帮助信息。
7.我在命令行界面下,输入这样的备注addressladdress2,为什么会提示错误?
答:
如果输入的备注信息中包含空格,必须使用双引号,正确的备注格式应该是
“addressladdress2。
“
&为何在网络连接正确时,不能“ping通防火墙?
答:
检查相应的网络接口是否启动允许ping功能。
9•从防火墙上ping其它的主机,发现网络不通,可能有哪些问题?
答:
可能有如下情况:
网线没连接好、路由不正确、对方机器不允许等。
10•内网、DMZ网段不能访问外网,可能有哪些问题?
答:
可能有下面的问题:
网线没连接好、规则中未允许访问相应服务(如未允许ICMP
包通过就ping不通)、NAT或路由不正确、启动了“IP/MAC绑定”或用户认证功能”,但用户没登录或没在IP/MAC表中加入正确的绑定信息。
11•规则的执行顺序是怎么样的?
答:
先执行优先级高的规则,规则的序号代表了规则的优先级,一般越先添加的规则,
移动
序号越小,优先级越高,但是,选中规则后,点击可以改变规则的优先级。
12.SecGate3600防火墙没有发送报警邮件?
答:
请确认系统配置>>报警邮箱”页面内的各项内容设置正确,另外请设置正确的域名服务器:
升级会员 