Juniper SRX Branch系列防火墙J-WEB配置手册

一、J-WEB管理系统简介 (3)

1.1SRX系列防火墙J-WEB界面使用注意事项 (3)

二、SRX防火墙J-WEB操作应用场景一 (4)

2.1固定公网IP地址上网应用场景拓扑及需求说明 (4)

2.1.1应用场景一拓扑图 (4)

2.1.2拓扑图介绍及需求说明 (4)

2.1.3应用场景一需求分解与配置思路说明 (5)

2.2初始化安装 (5)

2.2.1设备登陆 (5)

2.2.2系统基线配置指引 (5)

2.3应用场景一生产配置实施步骤介绍 (7)

2.3.1WEB界面登录到防火墙 (7)

2.3.2配置接口IP地址 (8)

2.3.3配置安全区域 (9)

2.3.4配置路由协议 (11)

2.3.5配置NAT地址转换 (11)

2.3.6配置安全策略 (14)

2.3.7应用场景一验证测试结果 (15)

2.3.8应用场景一测试配置CLI(生产配置) (16)

三、SRX防火墙J-WEB操作应用场景二 (18)

3.1PPPOE拨号上网应用场景拓扑及需求说明 (18)

3.1.1应用场景二拓扑图 (18)

3.1.2拓扑介绍及需求说明 (18)

3.1.3应用场景二需求分解与配置思路说明 (18)

3.2初始化安装 (19)

3.2.1设备登陆 (19)

3.2.2系统基线配置指引 (19)

3.3应用场景二生产配置实施步骤介绍 (20)

3.3.1配置PPPOE拨号 (20)

3.3.2配置DHCP服务器 (29)

3.3.3配置目标地址转换 (30)

3.3.4配置源地址转换 (32)

3.3.5配置安全策略 (32)

3.3.6应用场景二验证测试结果 (33)

四、SRX防火墙J-WEB操作应用场景三 (34)

4.1远程动态VPN应用场景拓扑及需求说明 (34)

4.1.1应用场景三拓扑图 (34)

4.1.2拓扑介绍及需求说明 (34)

4.1.3应用场景三需求分解与配置思路说明 (35)

4.2初始化安装 (35)

4.2.1设备登陆 (35)

4.2.2系统基线配置指引 (35)

4.3应用场景三生产配置实施步骤介绍 (36)

4.3.1动态VPN配置思路及过程介绍和验证 (36)

Juniper SRX Branch系列防火墙J-WEB配置手册说明

SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品，JUNOS集成了路由、交换、安全性和一系列丰富的网络服务。目前Juniper公司的全系列路由器产品、交换机产品和SRX安全产品均采用统一源代码的JUNOS操作系统，JUNOS是全球首款将转发与控制功能相隔离，并采用模块化软件架构的网络操作系统。JUNOS作为电信级产品的精髓是Juniper真正成功的基石，它让企业级产品同样具有电信级的不间断运营特性，更好的安全性和管理特性，JUNOS软件创新的分布式架构为高性能、高可用、高可扩展的网络奠定了基础。基于NP架构的SRX系列产品产品同时提供性能优异的防火墙、NAT、IPSEC、IPS、UTM等全系列安全功能，其安全功能主要来源于已被广泛证明的ScreenOS操作系统。

本文旨在为熟悉Netscreen防火墙ScreenOS操作系统的工程师提供SRX防火墙参考配置，主要以WEB界面配置操作为主，帮助大家能够快速部署和维护SRX防火墙。

本手册主要应用于中小型企业客户运维人员和一线代理商工程师，文档主要通过三种网络环境及需求分别进行配置讲解，希望能够借助于本文的三种网络环境和需求能够覆盖大部分中小型企业客户对SRX低端系列防火墙的配置和维护，同时也能够更快的从SCREENOS操作系统WEB界面过渡到JUNOS操作系统防火墙WEB界面。

一、J-WEB管理系统简介

Juniper SCREENOS操作系统防火墙其WEB界面语言是采用html超文本标记语言，而SRX系列防火墙J-WEB 是采用Javascript语言编写，采用Javascipt可以嵌套在html里面，实现一些动态的功能，丰富了用户体验的同时加大了WEB界面的功能，而脚本语言html用于编写静态页面，因此在功能上SRX系列防火墙WEB界面的功能要强大于SCREENOS系列防火墙，采用Javascipt语言编写WEB界面虽然可以实现大量的动态功能，但是相比采用HTML静态页面来讲Javascipt语言的WEB界面将消耗更大的系统资源和浏览器资源，因此在用户体验角度上来讲会相对缓慢一些当你使用SRX系列防火墙的WEB界面时候，从另外一个方面来讲，Javascript语言是一种趋势，其兼容性和扩展性相对比较完善和全面，同时其支持的浏览器类型会更丰富，不会因为IE等各类浏览器的版本升级导致无法使用WEB界面的问题。

1.1SRX系列防火墙J-WEB界面使用注意事项

1)J-WEB界面当你配置完成之后并非立刻生效配置，需要在完成配置之后点击commit来提交系统配置，这

里相比SCREENOS防火墙的WEB界面是一个亮点；

2)J-WEB界面在用户视图上将系统配置、系统监控、系统排错、系统维护、仪表盘进行分离，这里相比SCREENOS

防火墙的WEB界面是一个改进和提升；

3)J-WEB界面在防火墙部署HA的模式下，J-WEB只能管理控制平面主机，这是默认的系统设计，由于SRX HA

是一种集群模式，在集群正常工作的情况下，两台物理设备的资源(I/O)等均可以在一台设备上执行配置和监控，不存在单独需要登录到备机上来完成；

4)J-WEB前面提到过由于采用的是Javascript语言，因此在操作上请尽量平缓的执行和查看监控设备及配

置，避免因操作过快导致系统WEB界面管理进程繁忙；

5)当使用J-WEB操作防火墙的时候，请尽量保证没有其他运维管理人员通过WEB界面登录到设备操作，同时

CLI命令行登录到设备请尽量不要进入配置模式，此举是为了保证设备配置的安全性考虑；

6)如果操作过程中出现页面无法响应的情况下，请点击logout或者等待页面响应恢复正常再进行配置操作。

二、SRX防火墙J-WEB操作应用场景一

2.1固定公网IP地址上网应用场景拓扑及需求说明

2.1.1应用场景一拓扑图

2.1.2拓扑图介绍及需求说明

1)本应用场景部署一台SRX220防火墙作为公网出口，运行路由和NAT模式，实现地址转换、策略防护等功

能，防火墙公网出口互联网段地址是30位掩码的静态IP地址；

2)防火墙划分三个安全区域，分别对应内网、外网、DMZ服务器区；

3)考虑到DMZ区域需要对外发布两台服务器，为此准备向电信运营商申请一段公网IP地址(与公网接口互

联地址不在一个网段范围内)；

4)对外发布的两台服务器应用能够同时被互联网客户端与内部网客户端进行访问；

5)内部网和DMZ区域机器可以访问互联网资源；

6)内部网区域部署一台三层交换机，防火墙与三层交换机之间采用静态路由的方式进行通信，内部网客户端

的网关终结在三层交换机上；

7)DMZ区域部署一台二层交换机，所有服务器的三层网关终结在防火墙上；

8)安全策略控制的源地址、目标地址、服务需要精确的网段和服务器IP地址和固定的端口号；

2.1.3应用场景一需求分解与配置思路说明

1)初始化防火墙设备，初次必须设定配置root帐号密码；

2)基线配置导入，基线配置包括设备名称、管理服务、内网接口IP地址、内部区域名称等；

3)配置接口IP地址、静态路由(公网缺省路由，内部网静态路由)；

4)服务器对外发布，配置地址转换，由于本应用场景采用向运营商申请的一段非防火墙公网接口直连网段固

定IP地址，在公网地址丰富的情况下，可以考虑采用比较简单的NAT方式,选择用静态一对一地址转换；

5)内部网与DMZ区机器访问互联网配置地址转换，考虑到公网地址丰富的情况下，可以分配一段未使用的公

网地址(服务器对外发布一对一地址转换之后剩余的地址对象)用来做源地址转换实现内部网用户访问互联网。

2.2初始化安装

2.2.1设备登陆

Juniper SRX系列防火墙，当你购买到货之后，上架开机之后，第一次必须通过Console口(通用超级终端缺省配置)连接SRX，输入root用户名登陆，密码为空<初始第一次登陆>进入到SRX设备之后可以开始加载基线配置。

特别提醒：SRX低端系列防火墙，当购买到货上架开机之后，通过console口登录到设备，进入操作模式>执行命令”show configuration”你会发现系统本身已经具备了一些配置内容(包括DNS名称、DHCP服务器、VLAN 名称、安全策略、接口缺省IP地址等)，建议你忽略并删除这些配置，重新配置基线配置，原因是因为系统缺省出厂的配置可能与你实际的需求会有所差异，避免因为系统缺省的配置给你规划和部署防火墙配置的时候带来疑惑。

设备开机请直接通过Console连接到防火墙设备

login: root

Password: /***初始化第一次登录的时候，此处请直接按回车键***/

--- JUNOS 9.5R1.8 built 2009-07-16 15:04:30 UTC

root% cli /***进入操作模式***/

root>

root> configure

Entering configuration mode /***进入配置模式***/

[edit]

Root#delete /***配置模式执行命令“delete”全局删除所有的系统缺省配置***/

接下来请不要退出系统，也不需要执行commit命令，开始准备执行系统基线配置，请参考下节内容。

2.2.2系统基线配置指引

接上章节，当进入到系统配置模式之后，全局执行完”delete”命令，下面将需要赋予系统一些基线配置，保证系统的正常运维(包括系统名称、接口IP地址、安全区域)等，系统基线配置会根据客户实际环境进行定义一般情况下，我们将只实施一些基础配置，保证远程机器能够登录到设备，通过telnet\ssh\web等方式，当基础配置完成之后，可以通过远程或者本地console开始执行和完善一些生产配置与基线配置，比如安全策略、高级路由、地址转换等等。

下面表格中是本次应用场景的基线配置及配置步骤，可以应用于大多数企业初始化过程中的基线配置环境。

2.3应用场景一生产配置实施步骤介绍

2.3.1WEB界面登录到防火墙

打开浏览器，输入http://Ip地址，输入用户名和密码，点击login进入到WEB管理。

2.3.2配置接口IP地址

首先点击WEB界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”interface”按钮，接下来点击ports，按钮，页面将展示系统在线的所有端口。

然后我们可以开始查看并配置相应的物理接口IP地址，在本应用场景中，我们将需要在WEB界面配置ge-0/0/0/端口(连接公网)和ge-0/0/1端口(连接DMZ区域)，ge-0/0/2端口由于属于内网接口，在之前基线配置中已经完成，因此WEB界面不再重新说明如何配置，配置方法与接下来的端口配置一致。

在此选择一个你想要配置的物理接口，点击右上角的”ADD”按钮下拉，然后再点击“logical interface”。

当点击”logical interface”之后，系统会自动跳出一个对话框，让你配置接口IP地址、接口描述等信息。

必须填写一个unit数字，比如0(建议)，这个unit是一个物理接口

中逻辑接口的标识，没有特殊的意义，但是必须要配置。在描述信息

中可以根据实际情况进行填写，一般建议取一个比较有意义易识别的

简单拼音或英语。在ZONE此处可以暂时不选择，因为后面会配置。

VLAN ID也不需要配置，因为是三层接口，而并非VLAN接口，接下来

就是需要配置一个通信IP地址和子网掩码。最后点击OK按钮，代表

此接口配置结束，仅仅是结束并不是生效，后面我们需要根据步骤和

系统右上角的”Actions”按钮会出现闪烁，提醒我们需要对刚刚完

成的配置进行提交和保存，如下图，我们需要点击右上角

的”Actions”按钮下拉，然后点击commmit按钮，提交和保存配置，

如果配置校验检查失败，将会有告警提醒用户。

点击commit之后，系统会显示配置提交过程，此过程需要经历配置校验和检查，系统自动完成整个过程，如果有发现与本地运行配置冲突或者配置错误的地方，将会显示提交失败并报告错误信息在页面。

最后完成提交之后，我们再次查看接口状态，接口IP地址、UP/DOWN状态等，至此接口IP地址配置完成。

2.3.3配置安全区域

首先点击WEB界面顶端菜单栏的” Configure”按钮，然后点击并展开左边菜单栏的”security”按钮，接下来点击zone/screens，按钮，页面将展示已经存在的安全功能区域，下图中有一个trust安全区域是我们之前基线配置中完成的，接下来我们需要点击右上角的“ADD”按钮来创建新的安全区域”untrust”、“DMZ”。

当点击,add按钮系统将自动弹出一个安全ZONE创建的页面，在该页面的main界面填写ZONE的名称和ZONE的类型，同时关联到一个接口，接口从左边移动到右边。

接下来，点击该页面的host inbound traffic interface按钮，选中一个接口，下下方的interfce service 和interfce protocaols选择赋予接口相应的服务和协议，服务是保证接口能够对外提供的应用，比如被允许ping\telnet\http等，协议是该端口参与IPSEC VPN以及高级动态路由时候需要选择。

最后，配置完成点击OK，完成配置再点击右上方的actions按钮，点击commit，提交和保存配置，结果如下。

2.3.4配置路由协议

首先点击WEB界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”routing”按钮，接下来点击static routing，按钮，开始添加静态路由，点击右上角的ADD按钮，系统将自动弹出一个对话框完成静态路由的添加(本次配置缺省路由到公网)，点击add按钮添加下一跳网关地址，完成静态路由的添加配置，最后点击右上角的actions按钮下拉commit并点击，完成静态路由配置的提交和保存。

最后我们静态路由页面可以看到已经添加的静态路由，一条去往公网的缺省路由，一条去往内网的静态路由。

2.3.5配置NAT地址转换

本次应用场景一中的NAT配置包括两个部分，一个是对外发布服务器的静态地址转换，一个是内部网访问互联网资源的源地址转换，NAT配置分离于安全策略配置，JUNOS NAT配置完成需要涉及两个步骤，首先需要定义NAT rule-set,其次还需要定义rules(rules是由多个rule组成)。

首先点击WEB界面顶端菜单栏的”Configure”按钮，然后点击并展开左边菜单栏的”NAT”按钮，接下来点击Static NAT按钮，开始配置静态地址转换，在配置静态地址转换之前，还需要做一个与NAT相关的配置，那就是定义Proxy ARP，定义Proxy ARP是因为我们接下来使用的NAT公网地址并不是接口自身的IP地址。点击Proxy ARP按钮在NAT配置菜单里，点击add,系统自动弹出对话框要求填写NAT公网地址段、连接公网的接口。

接下来配置静态地址转换的规则，其中有两个部分内容需要填写，第一部分是rule-set,然后在rule-set里面定义真正的NAT 规则 rules，rules由多个小的rule组成，比如下图中的右边部分就是rule配置，一个公网地址对应一个内部DMZ区域私网IP地址，实现一对一的静态地址转换。

下图就是在完成上图之后的结果展示，点击定义好的rule-set,可以看到相应的ruels资源。

接下来配置源地址转换的规则，其中有两个部分内容需要填写，第一部分是rule-set,然后在rule-set里面定义真正的NAT 规则 rules，rules由多个小的rule组成，在配置源地址转换的时候，通常我们还需要定义源地址转换使用的地址池，这个地址池是申请的运营商公网IP地址用来给内部用户访问互联网资源的时候做源地址转换使用，为此在本应用环境中，我们定义一段未使用的地址范围：222.11.22.8——222.11.22.10两个地址作为源地址转换的资源地址池。

定义完source nat pool之后，可以开始定义source rule set，点击add,首先配置rule set,此时需要指定rule set name以及NAT的方向，比如从trust zone to untrust zone,接下来点击rules中的Add，开始添加rule,同样需要填写rule name、匹配的条件(源地址、目标地址必须，可选IP协议和目的端口号)，然后在action 部分选择引用NAT地址池对象，就是上面截图中所定义的源地址转换地址池。

最后我们可以查看定义完之后的源地址rule-set对象并执行commit提交配置，最终结果展现如下：

2.3.6配置安全策略

本次应用场景一中的安全策略配置涉及三个方向，内网与外网之间的访问、DMZ与外网之间的访问、外网到DMZ 之间的访问，在配置安全策略之前，我们需要提前配置与安全策略相关的策略元素，其中包括地址对象的自定义，服务对象的自定义等。

下面首先将介绍策略元素的自定义，地址对象与服务对象。首先点击WEB界面顶端菜单栏的” Configure”按钮，然后点击并展开左边菜单栏的”security”按钮，接下来点击policy elements按钮，然后再点击”address book”按钮，接着可以点击右上角的ADD按钮添加地址对象和地址组，地址对象菜单“address”地址组对象菜单”address sets”。

服务对象的定义是点击policy elements按钮下面的applictions按钮，接着点击右上角的ADD按钮添加服务对象和服务对象组，服务对象菜单”custom-applications”，服务对象组菜单”application sets”。

当我们完成地址对象和服务对象的自定义之后，接下来可以书写安全访问控制策略，首先点击WEB界面顶端菜单栏的” Configure”按钮，然后点击并展开左边菜单栏的”security”按钮，接下来点击policy按钮,最后点击apply policy按钮去创建区域与区域之间的安全策略。

2.3.7应用场景一验证测试结果

当我们完成应用场景一的各项需求，涉及到防火墙的接口IP地址配置、路由配置、安全区域配置、NAT地址转换配置以及安全访问控制策略配置之后，可以通过在WEB界面查看相应的防火墙会话和流量日志来验证测试的结果：

防火墙会话搜索：

防火墙转发流量日志搜索：

2.3.8应用场景一测试配置CLI(生产配置)

防火墙端口流量监控视图：

三、SRX防火墙J-WEB操作应用场景二

3.1PPPOE拨号上网应用场景拓扑及需求说明

3.1.1应用场景二拓扑图

3.1.2拓扑介绍及需求说明

1)本应用场景部署一台SRX220防火墙作为公网出口，运行路由和NAT模式，实现地址转换、策略防护等功

能，实际测试过程中涉及的IP地址可能与拓扑有所差异，配置方法、思路、需求没有改变；

2)防火墙本身连接公网通过PPPOE拨号的方式获取公网IP地址，并且承担起内部客户端电脑的DHCP服务器

功能，为内部的PC机分配动态IP地址；

3)内部区域对外发布两台服务器，可以被内部用户及互联网客户端进行访问；

4)内部网用户网关终结在防火墙上；

5)内部用户通过防火墙NAT功能实现访问互联网资源。

3.1.3应用场景二需求分解与配置思路说明

1)首先我们需要为防火墙配置基线配置，比如机器名、管理员帐号等；

2)防火墙采用PPPOE拨号的方式连接互联网，因此还需要在防火墙上配置PPPOE客户端拨号功能，使其能够

获取到公网分配的IP地址；

3)由于防火墙采用的PPPOE拨号上网，因此内部用户上网可以使用接口IP地址NAT出去访问互联网资源。

4)防火墙还需要配置基于接口的目标地址转换，因为PPPOE拨号只有一个动态的公网IP地址，需求是内部

提供两台服务器对外服务，因此在公网地址匮乏的情况下(没有固定的公网IP地址环境)，需要配置目标地址转换采用公网接口IP地址作为NAT地址对外发布服务器，为互联网客户端提供服务。

3.2初始化安装

3.2.1设备登陆

参考应用场景一说明，Console口登录到防火墙之后，配置ROOT帐号，同时全局删除所有系统缺省配置，导入系统基线配置，如下节系统基线配置指引。

3.2.2系统基线配置指引

接上章节，当进入到系统配置模式之后，全局执行完”delete”命令，下面将需要赋予系统一些基线配置，保证系统的正常运维(包括系统名称、接口IP地址、安全区域)等，系统基线配置会根据客户实际环境进行定义一般情况下，我们将只实施一些基础配置，保证远程机器能够登录到设备，通过telnet\ssh\web等方式，当基础配置完成之后，可以通过远程或者本地console开始执行和完善一些生产配置与基线配置，比如安全策略、高级路由、地址转换等等。

下面表格中是本次应用场景的基线配置及配置步骤，可以应用于大多数企业初始化过程中的基线配置环境。

3.3应用场景二生产配置实施步骤介绍

3.3.1配置PPPOE拨号

在本应用场景中，根据拓扑设计将使用ge-0/0/0端口作为公网互联端口，并赋予PPPOE拨号封装，下面将通过截图来说明如何创建PPPOE拨号配置文件并绑定到ge-0/0/0端口，J-WEB内置PPPOE拨号的创建向导，用户可以根据向导开始配置，如下步骤：

首先登录到J-WEB，进入配置菜单，点击WEB界面顶端菜单栏的” Configure”按钮，然后点击并展开左边菜单栏的”Task”按钮，接下来点击configure pppoe按钮，开始PPPOE向导配置，接下来的每一步都将在图片中解释，不在本文中二次说明，请根据步骤的顺序去完成你的PPPOE拨号连接配置。

最后三张截图，是证实PPPOE拨号成功之后在J-WEB和命令行的截图，请与你的配置结构参考。

整个配置的过程完全可以根据J-WEB的向导来完成，唯一需要注意的是PPPOE所绑定的物理接口不要选择错误，用户名和密码不要填写错误。

PPPOE拨号成功之后，系统会在接口列表中”show interface terse”中显示一个PP0端口，并且可以查看到PP0端口的UP/DOWN状态已经获取到的IP地址，同时系统会添加一条缺省路由到系统中。

Fortigate防火墙安全配置规范

Fortigate防火墙安全配置规范

1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置，针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。

2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范，以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器，则手工设置，注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下，admin的口令为空，需要设置一个口令。密码长度不少于8个字符，且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令，只允许管理员修改。密码长度不少于8个字符，且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户（如需用户认证激活的防火墙策略、IPSEC扩展认证等）的管理，注意和防火墙管理员用于区分。用户可以直接在fortigate上添加，或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组，防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限，如下表所示：

接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线，不提供管理方式 Port5 （保留） Port6 （保留） 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长，缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据，系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置，包括日志保存的位 置（fortigate内存、syslog服务器等）、需要激活日志功能的安全模块等。如下图 所示：

CISCO路由器配置手册

第一章路由器配置基础 一、基本设置方式 一般来说，可以用5种方式来设置路由器： 1．Console口接终端或运行终端仿真软件的微机； 2．AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连； 3．通过Ethernet上的TFTP服务器； 4．通过Ethernet上的TELNET程序； 5．通过Ethernet上的SNMP网管工作站。 但路由器的第一次设置必须通过第一种方式进行,此时终端的硬件设置如下: 波特率：9600 数据位：8 停止位：1 奇偶校验: 无 二、命令状态 1. router> 路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它网络和主机，但不能看到和更改路由器的设置内容。

2. router# 在router>提示符下键入enable,路由器进入特权命令状态router#，这时不但可以执行所有的用户命令，还可以看到和更改路由器的设置内容。 3. router(config)# 在router#提示符下键入configure terminal,出现提示符router(config)#，此时路由器处于全局设置状态，这时可以设置路由器的全局参数。 4. router(config-if)#; router(config-line)#; router(config-router)#;… 路由器处于局部设置状态，这时可以设置路由器某个局部的参数。 5. > 路由器处于RXBOOT状态，在开机后60秒内按ctrl-break可进入此状态，这时路由器不能完成正常的功能，只能进行软件升级和手工引导。 6. 设置对话状态 这是一台新路由器开机时自动进入的状态，在特权命令状态使用SETUP命令也可进入此状态，这时可通过对话方式对路由器进行设置。 三、设置对话过程 1.显示提示信息 2.全局参数的设置 3.接口参数的设置 4.显示结果 利用设置对话过程可以避免手工输入命令的烦琐，但它还不能完全代替手工设置，一些特殊的设置还必须通过手工输入的方式完成。 进入设置对话过程后，路由器首先会显示一些提示信息： --- System Configuration Dialog --- At any point you may enter a question mark '?' for help. Use ctrl-c to abort configuration dialog at any prompt. Default settings are in square brackets '[]'. 这是告诉你在设置对话过程中的任何地方都可以键入“？”得到系统的帮助，按ctrl-c 可以退出设置过程，缺省设置将显示在‘[]’中。然后路由器会问是否进入设置对话：

juniper防火墙配置手册

JUNIPER 防火墙快速安装手册 目录 1、前言 (4) 1.1、J UNIPER 防火墙配置概述 (4) 1.2、J UNIPER 防火墙管理配置的基本信息 (4) 1.3、J UNIPER 防火墙的常用功能 (6) 2、JUNIPER 防火墙三种部署模式及基本配置 (6) 2.1、NAT 模式 (6) 2.2、R OUTE 模式 (7) 2.3、透明模式 (8) 2.4、基于向导方式的NAT/R OUTE 模式下的基本配置 (9) 2.5、基于非向导方式的NAT/R OUTE 模式下的基本配置 (18) 2.5.1、NS-5GT NAT/Route 模式下的基本配置 (19) 2.5.2、非NS-5GT NAT/Route 模式下的基本配置 (20) 2.6、基于非向导方式的透明模式下的基本配置 (21) 3、JUNIPER 防火墙几种常用功能的配置 (22) 3.1、MIP 的配置 (22) 3.1.1、使用Web 浏览器方式配置MIP (23) 3.1.2、使用命令行方式配置MIP (25) 3.2、VIP 的配置 (25) 3.2.1、使用Web 浏览器方式配置VIP (26) 3.2.2、使用命令行方式配置VIP (27) 3.3、DIP 的配置 (28) 3.3.1、使用Web 浏览器方式配置DIP (28) 3.3.2、使用命令行方式配置DIP (30) 4、JUNIPER 防火墙IPSEC VPN 的配置 (30) 4.1、站点间IPS EC VPN 配置：STAIC IP-TO-STAIC IP (30) 4.1.1、使用Web 浏览器方式配置 (31) 4.1.2、使用命令行方式配置.......................................................................... .. (35) 4.2、站点间IPS EC VPN 配置：STAIC IP-TO-DYNAMIC IP (37) 4.2.1、使用Web 浏览器方式配置 (38) 4.2.1、使用命令行方式配置................................................................................ .. (41) 5、JUNIPER 中低端防火墙的UTM 功能配置 (43) 5.1、防病毒功能的设置..................................................................................... . (44) 5.1.1、Scan Manager 的设置 (44) 5.1.2、Profile 的设置...................................................................................... . (45) 5.1.3、防病毒profile 在安全策略中的引用 (47) 5.2、防垃圾邮件功能的设置................................................................................ .. (49) 5.2.1、Action 设置 (50) 5.2.2、White List 与Black List 的设置 (50)

Cisco+6509配置手册

Catalyst 6509 交换机 配置手册 version 1.0.0 中望商业机器有限公司? 1995, 2001 Chinaweal Business Machinery CO. LTD All Rights Reserve

目录 1基础配置 (1) 1.1建立到控制台的连接 (1) 1.2配置交换机的地址 (2) 1.3配置Ethernet 口 (3) 1.4配置交换机的全局参数 (4) 1.5测试网络的连通性 (4) 2其它参数的配置 (5) 2.1配置Login Banner (5) 2.2配置DNS (6) 2.3配置CDP协议 (7) 3VLAN的配置 (8) 3.1配置VTP协议（VLAN Trunk Protocol） (9) 3.2配置VLAN (10) 3.2.1创建VLAN (10) 3.3将交换端口配置到VLAN中 (10) 3.4配置VLAN Trunks (12) 3.5在MSFC上配置IP InterVLAN路由 (13) 3.5.1从Console口进入MSFC (13) 3.5.2通过T elnet Session 进入MSFC 模块 (13) 3.5.3在MSFC上配置IP InterVLAN路由 (14) 3.6配置HSRP协议 (14) 3.7配置以太通道 (16)

1 基础配置 1.1 建立到控制台的连接 在进行配置和将交换机接入网络前必须通过控制台来进入交换机的CLI，对交换机进行配置。在进入CLI后，通过命令enable进入到privileged 模式。 通过以下步骤将终端连接到交换机的控制口 例如: <... output truncated ...> Cisco Systems Console Enter password: Console> enable Enter password: Console> (enable) - 1 -

DPtech FW1000系列防火墙系统用户配置手册解析

DPtech FW1000系列防火墙用户配置 手册

杭州迪普科技有限公司为客户提供全方位的技术支持。 通过杭州迪普科技有限公司代理商购买产品的用户，请直接与销售代理商联系；直接向杭州迪普科技有限公司购买产品的用户，可直接与公司联系。 杭州迪普科技有限公司 地址：杭州市滨江区火炬大道581号三维大厦B座901室 邮编：310053

声明 Copyright 2010 杭州迪普科技有限公司 版权所有，保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式传播。 由于产品版本升级或其他原因，本手册内容有可能变更。杭州迪普科技有限公司保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，杭州迪普科技有限公司尽全力在本手册中提供准确的信息，但是杭州迪普科技有限公司并不确保手册内容完全没有错误，本手册中的所有陈述、信息和建议也不构成任何明示或暗示的担保。

目录 第1章产品概述1-1 1.1产品简介1-1 1.2WEB管理1-1 1. 2.1登录WEB管理界面1-1 1.2.2WEB界面布局介绍1-2 第2章系统管理2-1 2.1简介2-1 2.2设备管理2-1 2.2.1设备信息2-1 2.2.2设备状态2-3 2.2.3设备设置2-4 2.3SNMP配置2-7 2. 3.1简介2-7 2.3.2配置信息2-7 2.3.3IP地址列表2-8 2.4管理员2-8 2. 4.1简介2-8 2.4.2当前管理员2-9 2.4.3管理员设置2-9 2.4.4登录参数设置2-11 2.5配置文件2-12 2.6特征库2-13 2.6.1APP特征库2-13 2.6.2URL分类过滤特征库2-16 2.6.3L ICENSE文件管理2-17 2.7软件版本2-18 2.8NTP配置2-19 第3章网络管理3-1 3.1简介3-1 3.2接口管理3-2 3.2.1简介3-2 3.2.2组网配置3-2 3.3网络对象3-9

fortigate 简易设置手册

fortigate 简易设置手册 一、更加语言设置： 1、首先把PC的网卡IP修改成192.168.1.*的网段地址，在IE中输入： https://192.168.1.99进入设置界面，如下图： 2、进入设置界面后，点击红框标注的位置（系统管理→状态→管理员设置）， 进入如下图：在红框标注的位置进行语言选择。 二、工作模式的设置：

Fortigate防火墙可以工作在以下几种模式：路由/NAT模式、透明模式； 要修改工作模式可在下图标注处进行更改，然后设置相应的IP地址和掩码等。 三、网络接口的设置： 在系统管理→点击网络，就出现如下图所示，在下图所指的各个接口，您可以自已定义各个接口IP地址。 点击编辑按钮，进入如下图所示： 在下图地址模式中，在LAN口上根据自已需要进行IP地址的设置，接着在管理访问中指定管理访问方式。

在WAN口上，如果是采用路由/NAT模式可有两种方式： 1、采用静态IP的方式：如下图： 在红框标注的地方，选中自定义，输入ISP商给你的IP地址、网关、掩码。 在管理访问的红框中，指定您要通过哪种方式进行远程管理。 如果你从ISP商获得多个IP的话，你可以在如下图中输入进去。 在如下图红框标注的地方，输入IP地址和掩码以及管理访问方式，点击ADD 即可。

注: 采用静态IP地址的方式，一定要加一条静态路由，否则就不能上网。如下图：

2、如采用ADSL拨号的方式，如下图： 当你选中PPOE就会出现如下图所示的界面： 在红框标注的地址模式中，输入ADSL用户和口令，同时勾选上‘从服务器上重新获得网关‘和改变内部DNS。 在管理访问方式中根据自已的需要，选中相应的管理方式，对于MTU值一般情况下都采用默认值就行了.

Cisco设备的基本配置命令

switch> 用户模式 1：进入特权模式 enable switch> enable switch# 2：进入全局配置模式 configure terminal switch> enable switch＃c onfigure terminal switch(conf)# 3：交换机命名 hostname aptech2950 以aptech2950为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch-2950 aptech2950(conf)# 4：配置使能口令 enable password cisco 以cisco为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable password cisco 5：配置使能密码 enable secret ciscolab 以cicsolab为例 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# enable secret ciscolab 6：设置虚拟局域网vlan 1 interface vlan 1 switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface vlan 1 aptech2950(conf-if)#ip address 192.168.1.1 255.255.255.0 配置交换机端口ip 和子网掩码 aptech2950(conf-if)#no shut 是配置处于运行中aptech2950(conf-if)#exit aptech2950(conf)#ip default-gateway 192.168.254 设置网关地址 7：进入交换机某一端口 interface fastehernet 0/17 以17端口为例switch> enable switch＃c onfigure terminal switch(conf)#hostname aptch2950 aptech2950(conf)# interface fastehernet 0/17 aptech2950(conf-if)#

Juniper防火墙日常维护手册

Juniper防火墙维护手册

目录 1.日常维护内容 (4) 1.1.配置主机名 (4) 1.2.接口配置 (4) 1.3.路由配置 (5) 1.4.高可用性配置（双机配置） (7) 1.5.配置MIP（通过图形界面配置） (9) 1.6.配置访问策略（通过图形界面配置） (11) https://www.360docs.net/doc/0b3390960.html,Screen的管理 (15) 2.1.访问方式 (15) 2.2.用户 (18) 2.3.日志 (19) 2.4.性能 (20) 2.5.其他常用维护命令 (22) 3.其他的配置 (22)

1.日常维护内容 1.1.配置主机名 NetScreen防火墙出厂配置的机器名为netscreen，为了便于区分设备和维护，在对防火墙进行配置前先对防火墙进行命名： Netscreen-> set hostname FW-1-M FW-1-M > 1.2.接口配置 配置接口的工作包括配置接口属于什么区域、接口的IP地址、管理IP地址、接口的工作模式、接口的一些管理特性。接口的管理IP与接口IP在同一网段，用于专门对接口进行管理时用。在双机的工作状态下，因为接口的地址只存在于主防火墙上，如果不配置管理IP，则不能对备用防火墙进行登录了。一般在单机时，不需要配置接口的管理IP，但在双机时，建议对trust区域的接口配置管理IP。接口的一些管理特性包括是否允许对本接口的IP进行ping、telnet、WebUI等操作。 注意：接口的工作模式可以工作在路由模式，NAT模式和透明模式。在产品线应用中，透明模式很少用，而NAT模式只有在trust到untrust的数据流才起作用，建议把防火墙的所有接口都配置成route的工作模式，用命令set interface接口名 route配置即可，缺省情况下需要在trust区段中的接口使用此命令。 本例子中，配置接口ethernet2属于Untrust区，IP地址为202.38.12.23/28，如设置管理方式是Http，命令如下： Ns204 ->set interface ethernet1 zone Trust Ns204 ->set interface ethernet1 ip 10.243.194.194/29 Ns204 ->set interface ethernet1 nat Ns204 ->set interface ethernet1 zone Untrust Ns204 ->set interface ethernet2 ip202.38.12.23/28 Ns204 ->set interface ethernet1 nat

思科交换机配置维护手册

思科交换机配置维护手册

目录

一、端口配置 1.1 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

见以下例子: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 5 Switch(config-if-range)# no shutdown 以下的例子显示使用句号来配置不同类型端口的组: Switch# configure terminal Switch(config)# interface range fastethernet0/1 - 3, gigabitethernet0/1 - 2 Switch(config-if-range)# no shutdown 1.2 配置二层端口 1.2.1 配置端口速率及双工模式

NETSCREEN25软防火墙配置简要手册

NETSCREEN25硬防火墙配置简要手册 系统默认情况下通过INTERNET3口接电脑，电脑配置ip：192.168.1.2， 在IE栏输入:192.168.1.1 USER:NETSCREEN PWD:NETSCREEN(均为小写) 如果用IE进不了,通过串口访问,串口设置是默认设置, 进去后用命令: set int eth3 ip 192.168.1.1 255.255.255.0 set int eth3 manage 然后通过IE访问一样 一、资源准备： 1、当地的ip资源情况，是否有公网IP，需要配置公网地址 多个的话，都要准好，并要定下来公网ip与私网ip的对应。 2、内网IP的地址分配，同时，各个设备的网关地址，在三层交换机中的分配。 现在采用的分配方式是语音网关、通信服务器、CTI服务器在一个网段中，计费服务器的IP地址在一个网关中，数据库应用服务器在一个网段中：

二、具体配置端口参考（部分，根据具体应用来定义端口和服务器） 三、基本配置流程 基本定义策略（polices） 二类： 1、trust――>untrust 源：any 目的：any 服务：any 2、untrust――>trust 源：any 目的：MIP中的一个地址 服务：对应的定义的服务组 （依次把MIP的映射都加进来） 配置流程： 第一步向导的配置

图1：可以直接将配置文件导入（如果） 图2： 图3：配置登陆密码

图4：对4个eth进行区域划分，每个eth有4个选项（DMZ、trust、untrust、null） 图5：划分地址段

图6：配置防火墙的公网ip和内网ip（内部的） 图7：是否将netscreen配置成DHCP

飞塔防火墙fortigate的show命令显示相关配置

飞塔防火墙fortigate的show命令显示相关配置，而使用get命令显示实时状态 show full-configuration显示当前完全配置 show system global 查看主机名，管理端口 显示结果如下 config system global set admin-sport 10443 set admintimeout 480 set hostname "VPN-FT3016-02" set language simch set optimize antivirus set sslvpn-sport 443 set timezone 55 end show system interface 查看接口配置 显示结果如下 edit "internal" set vdom "root" set ip 88.140.194.4 255.255.255.240 set allowaccess ping https ssh snmp http telnet set dns-query recursive set type physical next get system inter physical查看物理接口状态，，如果不加physical参数可以显示逻辑vpn接口的状态 ==[port1] mode: static ip: 218.94.115.50 255.255.255.248 status: up speed: 100Mbps Duplex: Full ==[port2] mode: static ip: 88.2.192.52 255.255.255.240 status: up speed: 1000Mbps Duplex: Full show router static 查看默认路由的配置 显示结果如下 config router static edit 1 set device "wan1" set gateway 27.151.120.X

juniper防火墙详细配置手册

Juniper防火墙简明实用手册 （版本号：）

目录 1juniper中文参考手册重点章节导读.................................... 错误!未定义书签。 第二卷：基本原理 ...................................................... 错误!未定义书签。 第一章：ScreenOS 体系结构 .......................... 错误!未定义书签。 第二章：路由表和静态路由............................ 错误!未定义书签。 第三章：区段.................................................... 错误!未定义书签。 第四章：接口.................................................... 错误!未定义书签。 第五章：接口模式............................................ 错误!未定义书签。 第六章：为策略构建块.................................... 错误!未定义书签。 第七章：策略.................................................... 错误!未定义书签。 第八章：地址转换............................................ 错误!未定义书签。 第十一章：系统参数........................................ 错误!未定义书签。 第三卷：管理 .............................................................. 错误!未定义书签。 第一章：管理.................................................... 错误!未定义书签。 监控NetScreen 设备........................................ 错误!未定义书签。 第八卷：高可用性 ...................................................... 错误!未定义书签。 NSRP ................................................................... 错误!未定义书签。 故障切换............................................................ 错误!未定义书签。2Juniper防火墙初始化配置和操纵........................................ 错误!未定义书签。3查看系统概要信息................................................................. 错误!未定义书签。4主菜单常用配置选项导航..................................................... 错误!未定义书签。5Configration配置菜单 ........................................................... 错误!未定义书签。 Date/Time:日期和时间 ............................................... 错误!未定义书签。 Update更新系统镜像和配置文件 ............................. 错误!未定义书签。 更新ScreenOS系统镜像 .................................. 错误!未定义书签。 更新config file配置文件.................................. 错误!未定义书签。 Admin管理 .................................................................. 错误!未定义书签。 Administrators管理员账户管理....................... 错误!未定义书签。 Permitted IPs：允许哪些主机可以对防火墙进行管理错误!未定

天融信防火墙NGFW4000配置手册

天融信防火墙NGFW4000快速配置手册

目录 一、防火墙的几种管理方式 (3) 1．串口管理 (3) 2．TELNET管理 (4) 3．SSH管理 (5) 4．WEB管理 (6) 5．GUI管理 (6) 二、命令行常用配置 (12) 1．系统管理命令(SYSTEM) (12) 命令 (12) 功能 (12) WEBUI界面操作位置 (12) 二级命令名 (12) V ERSION (12) 系统版本信息 (12) 系统>基本信息 (12) INFORMATION (12) 当前设备状态信息 (12) 系统>运行状态 (12) TIME (12) 系统时钟管理 (12) 系统>系统时间 (12) CONFIG (12) 系统配置管理 (12) 管理器工具栏“保存设定”按钮 (12) REBOOT (12) 重新启动 (12) 系统>系统重启 (12) SSHD (12) SSH服务管理命令 (12) 系统>系统服务 (12) TELNETD (12) TELNET服务管理 (12) 系统>系统服务命令 (12) HTTPD (12) HTTP服务管理命 (12) 系统>系统服务令 (12) MONITORD (12) MONITOR (12) 服务管理命令无 (12) 2．网络配置命令(NETWORK) (13)

4．定义对象命令(DEFINE) (13) 5．包过滤命令(PF) (13) 6．显示运行配置命令(SHOW_RUNNING) (13) 7．保存配置命令(SAVE) (13) 三、WEB界面常用配置 (14) 1．系统管理配置 (14) A)系统> 基本信息 (14) B)系统> 运行状态 (14) C)系统> 配置维护 (15) D)系统> 系统服务 (15) E)系统> 开放服务 (16) F)系统> 系统重启 (16) 2．网络接口、路由配置 (16) A)设置防火墙接口属性 (16) B)设置路由 (18) 3．对象配置 (20) A)设置主机对象 (20) B)设置范围对象 (21) C)设置子网对象 (21) D)设置地址组 (21) E)自定义服务 (22) F)设置区域对象 (22) G)设置时间对象 (23) 4．访问策略配置 (23) 5．高可用性配置 (26) 四、透明模式配置示例 (28) 拓补结构： (28) 1．用串口管理方式进入命令行 (28) 2．配置接口属性 (28) 3．配置VLAN (28) 4．配置区域属性 (28) 5．定义对象 (28) 6．添加系统权限 (29) 7．配置访问策略 (29) 8．配置双机热备 (29) 五、路由模式配置示例 (30) 拓补结构： (30) 1．用串口管理方式进入命令行 (30) 2．配置接口属性 (30) 3．配置路由 (30) 4．配置区域属性 (30) 5．配置主机对象 (30) 6．配置访问策略 (30)

Cisco交换机配置手册

2950交换机 简明配置维护手册

目录 说明 (3) 产品特性 (3) 配置端口 (4) 配置一组端口 (4) 配置二层端口 (6) 配置端口速率及双工模式 (6) 端口描述 (7) 监控及维护端口 (8) 监控端口和控制器的状态 (8) 刷新、重置端口及计数器 (10) 关闭和打开端口 (10) 配置VLAN (11) 理解VLAN (11) 可支持的VLAN (12) 配置正常范围的VLAN (12) 生成、修改以太网VLAN (13) 删除VLAN (14) 将端口分配给一个VLAN (15) 配置VLAN Trunks (16) 使用STP实现负载均衡 (19) 配置Cluster (23)

说明 本手册只包括日常使用的有关命令及特性，其它未涉及的命令及特性请参考英文的详细配置手册。 产品特性 2950是只支持二层的交换机 支持VLAN ?到250 个VLAN ?支持VLAN ID从1到4094（IEEE 802.1Q 标准） ?支持ISL及IEEE 802.1Q封装 安全 ?支持IOS标准的密码保护 ?支持标准及扩展的访问列表来定义安全策略 ?支持基于VLAN的访问列表 监视 ?交换机LED指示端口状态 ?SPAN及远端SPAN (RSPAN) 可以监视任何端口或VLAN的流量 ?内置支持四组的RMON监控功能（历史、统计、告警及事件）

配置端口 配置一组端口 当使用interface range命令时有如下的规则: ?有效的组范围: o vlan从1 到4094 o fastethernet槽位/{first port} - {last port}, 槽位为0 o gigabitethernet槽位/{first port} - {last port},槽位为0 o port-channel port-channel-number - port-channel-number, port-channel号从1到64 ?端口号之间需要加入空格，如：interface range fastethernet 0/1 – 5是有效的，而interface range fastethernet 0/1-5是无效的. ?interface range命令只能配置已经存在的interface vlan ?所有在同一组的端口必须是相同类别的。

飞塔配置安装使用手册

飞塔配置安装使用手册 FortiGuard产品家族 fortinet 的产品家族涵盖了完备的网络安全解决方案包括邮件，日志，报告，网络管理，安全性管理以及fortigate 统一安全性威胁管理系统的既有软件也有硬件设备的产品。 更多fortinet产品信息，详见https://www.360docs.net/doc/0b3390960.html,/products. FortiGuard服务订制 fortiguard 服务定制是全球fortinet安全专家团队建立,更新并管理的安全服务。fortinet安全专家们确保最新的攻击在对您的资源损害或感染终端用户使用设备之前就能够被检测到并阻止。fortiguard服务均以最新的安全技术构建，以最低的运行成本考虑设计。 fortiguard 服务订制包括： 1、fortiguard 反病毒服务 2、fortiguard 入侵防护（ips）服务 3、fortiguard 网页过滤服务 4、fortiguard 垃圾邮件过滤服务 5、fortiguard premier伙伴服务 并可获得在线病毒扫描与病毒信息查看服务。 FortiClient forticlient 主机安全软件为使用微软操作系统的桌面与便携电脑用户提供了安全的网络环境。forticlient的功能包括： 1、建立与远程网络的vpn连接 2、病毒实时防护 3、防止修改windows注册表 4、病毒扫描 forticlient还提供了无人值守的安装模式，管理员能够有效的将预先配置的forticlient分配到几个用户的计算机。 FortiMail

fortimail安全信息平台针对邮件流量提供了强大且灵活的启发式扫描与报告功能。fortimail 单元在检测与屏蔽恶意附件例如dcc（distributed checksum clearinghouse）与bayesian扫描方面具有可靠的高性能。在fortinet卓越的fortios 与fortiasic技术的支持下，fortimail反病毒技术深入扩展到全部的内容检测功能，能够检测到最新的邮件威胁。 FortiAnalyzer fortianalyzer tm 为网络管理员提供了有关网络防护与安全性的信息，避免网络受到攻击与漏洞威胁。fortianalyzer具有以下功能： 1、从fortigate与syslog设备收集并存储日志。 2、创建日志用于收集日志数据。 3、扫描与报告漏洞。 4、存储fortigate设备隔离的文件。 fortianalyzer也可以配置作为网络分析器用来在使用了防火墙的网络区域捕捉实时的网络流量。您也可以将fortianalyzer用作存储设备，用户可以访问并共享存储在fortianalyzer 硬盘的报告与日志。 FortiReporter fortireporter安全性分析软件生成简洁明的报告并可以从任何的fortigate设备收集日志。fortireporter可以暴露网络滥用情况，管理带宽，监控网络使用情况，并确保员工能够较好的使用公司的网络。fortireporter还允许it管理员能够识别并对攻击作出响应，包括在安全威胁发生之前先发性的确定保护网络安全的方法。 FortiBridge fortibridge产品是设计应用于当停电或是fortigate系统故障时，提供给企业用户持续的网络流量。fortibridge绕过fortigate设备，确保网络能够继续进行流量处理。fortibridge产品使用简单，部署方便；您可以设置在电源或者fortigate系统故障发生的时fortibridge设备所应采取的操作。 FortiManager fortimanager系统设计用来满足负责在许多分散的fortigate安装区域建立与维护安全策略的大型企业（包括管理安全服务的提供商）的需要。拥有该系统，您可以配置多个fortigate 并监控其状态。您还能够查看fortigate设备的实时与历史日志，包括管理fortigate更新的固件镜像。fortimanager 系统注重操作的简便性包括与其他第三方系统简易的整合。 关于FortiGate设备 fortigate-60系列以及fortigate-100a设备是应用于小型企业级别的（包括远程工作用户），集基于网络的反病毒、内容过滤、防火墙、vpn以及基于网络的入侵检测与防护为一体的fortigate 系统模块。fortigate-60系列以及fortigate-100a设备支持高可靠性（ha）性能。

Fortinet防火墙设备维护手册

第1章第2章2.1 2.2 2.2.1 2.2.2 2.2.3 2.3 2.4 第3章3.1 3.2 录 FORTINET 配置步骤配置步骤...... 2 FORTINET 防火墙日常操作和维护命令 (29) 防火墙配置......29 防火墙日常检查 (29) 防火墙的会话表：（系统管理－状态－会话）......29 检查防火墙的CPU、内存和网络的使用率......31 其他检查 (31) 异常处理……31 使用中技巧……32 FORTGATE 防火墙配置维护及升级步骤…… 33 FORTIGATE 防火墙配置维护......33 FORTIGATE 防火墙版本升级 (33) 第1章Fortinet 配置步骤章 1.1.1.1 Fortigate 防火墙基本配置 Fortigate 防火墙可以通过“命令行”或“WEB 界面”进行配置。本手册主要介绍后者的配置方法。首先设定基本管理IP 地址，缺省的基本管理地址为P1 口192.168.1.99，P2 口192.168.100.99。但是由于P1 口和P2 口都是光纤接口，因此需要使用Console 口和命令行进行初始配置，为了配置方便起见，建议将P5 口配置一个管理地址，由于P5 口是铜缆以太端口，可以直接用笔记本和交叉线连接访问。之后通过https 方式登陆到防火墙Internal 接口，就可以访问到配置界面 1. 系统管理”菜单 1.1 “状态”子菜单1.1.1 “状态”界面 “状态”菜单显示防火墙设备当前的重要系统信息，包括系统的运行时间、版本号、OS 产品序列号、端口IP 地址和状态以及系统资源情况。如果CPU 或内存的占用率持续超过80%，则往往意味着有异常的网络流量（病毒或网络攻击）存在。 1.1.2 “会话”显示界面 Fortigate 是基于“状态检测”的防火墙，系统会保持所有的当前网络“会话”（sessions）。这个界面方便网络管理者了解当前的网络使用状况。通过对“源/目的IP”和“源/目的端口”的过滤，可以了解更特定的会话信息。例如，下图是对源IP 为10.3.1.1 的会话的过滤显示 通过“过滤器”显示会话，常常有助于发现异常的网络流量。1.2 “网络”子菜单1.2.1 网络接口 如上图，“接口”显示了防火墙设备的所有物理接口和VLAN 接口（如果有的话），显示IP 地址、访问选项和接口状态。“访问选项”表示可以使用哪种方式通过此接口访问防火墙。例如：对于“PORT1”，我们可以以“HTTPS，TELNET”访问，并且可以PING 这个端口。点击最右边的“编辑”图标，可以更改端口的配置。 如上图，“地址模式”有三类： a.如果使用静态IP 地址，选择“自定义”；b.如果由DHCP 服务器分配IP，选择“DHCP”；c.如果这个接口连接一个xDSL 设备，则选择“PPPoE”。在“管理访问”的选项中选择所希望的管理方式。最后点击OK，使配置生效。 “区”是指可以把多个接口放在一个区里，针对一个区的防火墙策略配置在属于这个区的所有接口上都生效。在本项目中，没有使用“区”。1.2.2 DNS 如上图，在这里配置防火墙本身使用的DNS 服务器，此DNS 与内部网络中PC 和SERVER 上指定的DNS 没有关系。 1.3 DHCP 如上图，所有的防火墙端口都会显示出来。端口可以1）不提供DHCP 服务；2）作为DHCP 服务器；3）提供DHCP 中继服务。在本例中，External 端口为所有的IPSEC VPN 拨