H3C SecPath F100-E 防火墙 安装手册
目录
第1章产品介绍.....................................................................................................................1-1
1.1 简介....................................................................................................................................1-1
1.2 硬件特性.............................................................................................................................1-2
1.2.1 外观.........................................................................................................................1-2
1.2.2 系统说明..................................................................................................................1-2
1.2.3 指示灯含义..............................................................................................................1-3
1.2.4 固定接口属性...........................................................................................................1-4
1.2.5 MIM多功能接口模块................................................................................................1-5第2章安装前的准备工作.......................................................................................................2-1
2.1 安装场所要求.....................................................................................................................2-1
2.1.1 温度/湿度要求..........................................................................................................2-1
2.1.2 洁净度要求..............................................................................................................2-1
2.1.3 防静电要求..............................................................................................................2-2
2.1.4 电磁环境要求...........................................................................................................2-2
2.1.5 防雷击要求..............................................................................................................2-3
2.1.6 检查安装台..............................................................................................................2-3
2.2 安全注意事项.....................................................................................................................2-3
2.3 检查防火墙及其附件..........................................................................................................2-4
2.4 安装工具、仪表和设备.......................................................................................................2-4第3章防火墙的安装..............................................................................................................3-1
3.1 安装流程.............................................................................................................................3-1
3.2 安装到指定位置..................................................................................................................3-2
3.2.1 安装到工作台上.......................................................................................................3-2
3.2.2 安装到机柜中...........................................................................................................3-2
3.3 安装通用接口模块..............................................................................................................3-3
3.4 连接保护地线.....................................................................................................................3-3
3.5 连接到配置终端..................................................................................................................3-4
3.6 连接到以太网口..................................................................................................................3-5
3.7 连接电源线.........................................................................................................................3-6
3.8 安装后的检查.....................................................................................................................3-7第4章防火墙的启动与配置....................................................................................................4-1
4.1 启动....................................................................................................................................4-1
4.1.1 搭建配置环境...........................................................................................................4-1
4.1.2 上电.........................................................................................................................4-3
4.1.3 启动过程..................................................................................................................4-4
4.2 配置基础.............................................................................................................................4-5
4.2.1 基本配置步骤...........................................................................................................4-5
4.2.2 命令行接口的特点....................................................................................................4-5第5章防火墙的软件维护.......................................................................................................5-1
5.1 Boot菜单............................................................................................................................5-1
5.2 利用XModem协议完成应用程序和Boot ROM程序升级.....................................................5-3
5.3 Boot ROM程序扩展段的备份及恢复..................................................................................5-5
5.4 通过TFTP完成应用程序的升级..........................................................................................5-6
5.5 利用FTP完成程序/文件的上传下载....................................................................................5-8
5.6 修改Boot ROM口令..........................................................................................................5-11
5.7 口令丢失的处理................................................................................................................5-13第6章防火墙的硬件维护.......................................................................................................6-1
6.1 准备工具.............................................................................................................................6-1
6.2 打开防火墙机箱盖..............................................................................................................6-1
6.3 更换DDR SDRAM..............................................................................................................6-2
6.3.1 内存条在主板上的位置............................................................................................6-4
6.3.2 拆卸内存条..............................................................................................................6-4
6.3.3 安装内存条..............................................................................................................6-5
6.4 合上防火墙机箱盖..............................................................................................................6-5
6.5 MIM多功能接口模块的更换................................................................................................6-6第7章安装故障处理..............................................................................................................7-1
7.1 电源系统问题故障处理.......................................................................................................7-1
7.2 配置系统故障处理..............................................................................................................7-1
7.3 应用软件升级故障处理.......................................................................................................7-2第8章 MIM多功能接口模块....................................................................................................8-1
8.1 MIM多功能接口模块的种类................................................................................................8-1
8.2 MIM多功能接口模块的安装与拆卸.....................................................................................8-1
8.3 MIM接口模块的故障处理...................................................................................................8-3
8.4 1FE/2FE/4FE接口模块.......................................................................................................8-3
8.4.1 简介.........................................................................................................................8-3
8.4.2 接口模块外观...........................................................................................................8-3
8.4.3 接口属性..................................................................................................................8-5
8.4.4 面板及接口指示灯....................................................................................................8-5
8.4.5 接口连接电缆...........................................................................................................8-6
8.4.6 接口电缆的连接.......................................................................................................8-7
8.5 1GBE/2GBE模块................................................................................................................8-8
8.5.1 模块简介..................................................................................................................8-8
8.5.2 模块外观..................................................................................................................8-8
8.5.3 模块接口属性...........................................................................................................8-9
8.5.4 模块接口指示灯.......................................................................................................8-9
8.5.5 模块接口连接电缆..................................................................................................8-10
8.5.6 模块接口电缆的连接..............................................................................................8-11 8.6 1GEF/2GEF模块..............................................................................................................8-11
8.6.1 模块简介................................................................................................................8-11
8.6.2 模块外观................................................................................................................8-11
8.6.3 模块接口属性.........................................................................................................8-12
8.6.4 模块接口指示灯.....................................................................................................8-13
8.6.5 模块接口连接光纤..................................................................................................8-13
8.6.6 模块接口光缆的连接..............................................................................................8-14 8.7 SSL模块...........................................................................................................................8-14
8.7.1 模块简介................................................................................................................8-14
8.7.2 模块外观................................................................................................................8-15
8.7.3 模块属性................................................................................................................8-15
8.7.4 模块运行指示灯.....................................................................................................8-15
8.7.5 模块故障排除.........................................................................................................8-16
插图目录
图1-1 H3C SecPath F100-S防火墙前面板示意图..........................................................1-2图1-2 H3C SecPath F100-S防火墙后面板示意图..........................................................1-2图1-3 H3C SecPath F100-E防火墙前面板示意图..........................................................1-2图1-4 H3C SecPath F100-E防火墙后面板示意图..........................................................1-2图3-1 防火墙的安装流程................................................................................................3-1图3-2 H3C SecPath F100-E防火墙机柜安装示意图.......................................................3-3图3-3 防火墙保护地接地端子示意图..............................................................................3-4图3-4 配置口电缆示意图................................................................................................3-4图3-5 以太网电缆示意图................................................................................................3-5图3-6 双交流电源防火墙电源插座部分的外观................................................................3-6图4-1 通过Console口进行本地配置示意图.....................................................................4-1图4-2 新建连接..............................................................................................................4-2图4-3 本地配置连接端口设置.........................................................................................4-2图4-4 串口参数设置.......................................................................................................4-3图5-1 [发送文件]对话框..................................................................................................5-4图5-2 正在发送文件界面................................................................................................5-4图5-3 搭建FTP本地上传/下载环境.................................................................................5-8图5-4 搭建FTP远程上传/下载环境.................................................................................5-9图6-1 打开机箱盖示意图................................................................................................6-2图6-2 内存条维护流程....................................................................................................6-3图6-3 内存条在主板上的位置示意图..............................................................................6-4图6-4 内存条拆装示意图................................................................................................6-5图6-5 合上机箱盖示意图................................................................................................6-6图8-1 MIM多功能接口模块安装示意图1........................................................................8-2图8-2 MIM多功能接口模块安装示意图2........................................................................8-2图8-3 1FE接口模块外观.................................................................................................8-4图8-4 2FE接口模块外观.................................................................................................8-4图8-5 4FE接口模块外观.................................................................................................8-4图8-6 1FE接口模块面板.................................................................................................8-5
图8-7 2FE接口模块面板.................................................................................................8-5图8-8 4FE接口模块面板.................................................................................................8-5图8-9 以太网电缆...........................................................................................................8-6图8-10 5类双绞线示例图...............................................................................................8-6图8-11 1GBE模块外观...................................................................................................8-8图8-12 2GBE模块外观...................................................................................................8-9图8-13 1GBE模块面板...................................................................................................8-9图8-14 2GBE模块面板...................................................................................................8-9图8-15 以太网电缆.......................................................................................................8-10图8-16 5类双绞线示例图.............................................................................................8-10图8-17 1GEF模块外观.................................................................................................8-12图8-18 2GEF模块外观.................................................................................................8-12图8-19 1GEF模块面板.................................................................................................8-13图8-20 2GEF模块面板.................................................................................................8-13图8-21 SSL模块外观....................................................................................................8-15图8-22 SSL模块面板....................................................................................................8-15
表格目录
表1-1 H3C SecPath F100-S防火墙的系统说明表..........................................................1-2表1-2 H3C SecPath F100-E防火墙的系统说明表..........................................................1-3表1-3 防火墙前面板指示灯含义.....................................................................................1-4表1-4 防火墙前面板指示灯含义.....................................................................................1-4表1-5 配置口属性...........................................................................................................1-4表1-6 备份口属性...........................................................................................................1-5表1-7 以太网电接口属性................................................................................................1-5表2-1 机房温度/湿度要求...............................................................................................2-1表2-2 机房灰尘含量限值................................................................................................2-1表2-3 机房有害气体限值................................................................................................2-2表3-1 H3C SecPath F100-S防火墙外形尺寸.................................................................3-2表3-2 H3C SecPath F100-E防火墙外形尺寸.................................................................3-2表6-1 防火墙内存配置说明表.........................................................................................6-4表8-1 1FE/2FE/4FE模块接口属性..................................................................................8-5表8-2 1FE/2FE/4FE接口模块指示灯含义.......................................................................8-6表8-3 标准(直通)网线连接关系表..............................................................................8-6表8-4 交叉网线连接关系表.............................................................................................8-7表8-5 1GBE模块接口属性..............................................................................................8-9表8-6 1GBE模块指示灯含义........................................................................................8-10表8-7 1GEF/2GEF模块接口属性..................................................................................8-12表8-8 1GEF模块指示灯含义........................................................................................8-13表8-9 SSL模块属性......................................................................................................8-15表8-10 SSL模块指示灯含义.........................................................................................8-15
第1章产品介绍
1.1 简介
H3C SecPath系列防火墙设备(以下简称防火墙)是面向企业用户开发的新一代专
业防火墙设备,既可以作为中小型企业的出口防火墙设备,也可以作为大中型企业
的内部防火墙设备。
H3C SecPath F100-S防火墙提供了4个固定的10/100Mbps自适应以太网口。
H3C SecPath F100-E防火墙提供4个固定的10/100Mbps自适应以太网口和一个
MIM扩展槽位,目前可选的接口模块有1FE、2FE、SSL等;提供双电源冗余备份
解决方案(AC+AC),支持双机热备功能,提供机箱内部环境温度检测功能,并支
持网管,可满足高可靠性要求。
防火墙支持多种攻击防范手段、TCP Proxy、内网安全、流量监控、网址过滤、网
页过滤、邮件过滤等功能,能够有效的保证网络的安全。
防火墙采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL
完成动态包过滤。
防火墙提供多种智能分析和管理手段,支持邮件告警,支持多种日志,提供网络管
理监控,协助网络管理员完成网络的安全管理。
防火墙支持AAA、NAT等技术,可以确保在开放的Internet上实现安全的、满足可
靠质量要求的网络。F100-E防火墙还支持混合模式、面向对象管理、DAR、双机热
备这些技术。
防火墙支持多种VPN业务,如L2TP VPN、IPsec VPN、GRE VPN、动态VPN等,
并且支持硬件加密,可以针对客户需求通过ADSL拨号、VLAN或隧道等方式接入
远端用户,构建Internet、Intranet、Access等多种形式的VPN。
防火墙提供基本的路由能力,支持RIP/OSPF/BGP/路由策略及策略路由;支持丰富
的QoS特性,提供流量监管、流量整形及多种队列调度策略。
防火墙软件可以根据需求实现应用程序、Boot ROM程序的在线升级,增加新特性、
扩充新功能。
SecPath系列防火墙支持通过BIMS功能自动更新设备的配置文件及应用程序,支
持通过VPN Manager功能来完成VPN的部署和配置。
SecPath系列防火墙支持SNMP V3网管,为用户提供强大的设备管理功能,并且
按照中国、北美、欧洲、澳洲、日本等国家和地区的国际标准和国家标准设计,满
足这些国家和地区的EMC、安规等认证及入网需求。
1.2 硬件特性
1.2.1 外观
图1-1H3C SecPath F100-S防火墙前面板示意图
图1-2H3C SecPath F100-S防火墙后面板示意图
图1-3H3C SecPath F100-E防火墙前面板示意图
图1-4H3C SecPath F100-E防火墙后面板示意图1.2.2 系统说明
表1-1H3C SecPath F100-S防火墙的系统说明表
项目防火墙描述
固定接口4个10/100Mbps以太网口
1个AUX口(备份口)
1个CONSOLE口(配置口)
Boot ROM 512KB
SDRAM 128MB Flash 16MB
项目防火墙描述
外型尺寸(W×D×H) 300
mm×220 mm×42 mm(不含脚垫)重量2kg
电源输入额定电压范围:100~240V AC;50/60Hz 额定电流:0.4A
最大功率11W
工作环境温度0~45℃
环境相对湿度 10%~95%(非凝露)
表1-2H3C SecPath F100-E防火墙的系统说明表项目防火墙描述MIM插槽 1
固定接口4个10/100Mbps以太网口
1个AUX口(备份口)
1个CONSOLE口(配置口)
Boot ROM 512KB
DDR SDRAM 缺省:256MB 最大:512MB
Flash 16MB
外型尺寸(W×D×H) 436
mm×430 mm×44 mm(不含脚垫)
电输入源AC+AC 额定电压范围:100~240V AC;50/60Hz 额定电流:1.0A
额定功率57W
工作环境温度0~45℃
环境相对湿度 10%~95%(非凝露)
说明:
DDR SDRAM(双倍数据速率同步动态随机存取存储器)是常说的内存,存储系统
运行时的程序和与CPU的通信数据;
FLASH作为主文件存储介质,存放应用程序文件、异常信息、配置文件等;
Boot ROM(引导只读存储器)存放启动时的引导程序文件。
1.2.3 指示灯含义
H3C SecPath F100-S防火墙前面板指示灯含义见下表。
表1-3防火墙前面板指示灯含义
指示灯含义
PWR 系统电源指示灯,灯灭表示电源没有接通,灯亮表示电源已接通。
SYS 硬件系统运行指示灯,灯闪烁表示系统正常运行,灯灭表示系统工作不正常。LINK/ACT 灯灭表示链路没有连通,灯亮表示链路已经连通;灯闪烁表示有数据收发。
100M 灯灭表示该接口未连接或工作在10Mbps的数据收发速度下,灯亮表示该接口工作在100Mbps的数据收发速度下。
H3C SecPath F100-E防火墙前面板指示灯含义见下表。
表1-4防火墙前面板指示灯含义指示灯含义
PWR0 系统电源指示灯,灯灭表示PWR0电源没有接通,灯亮表示PWR0电源已接通。
PWR1 系统电源指示灯,灯灭表示PWR1电源没有接通,灯亮表示PWR1电源已接通。
SYS 硬件系统运行指示灯,灯常亮表示系统正常运行,灯灭表示系统工作不正常。
ACT(系统)软件系统运行指示灯,灯闪烁表示软件系统正常运行,灯灭表示软件系统工作不正常。
LINK 接口指示灯,灯灭表示链路没有连通,灯亮表示链路已经连通。
ACT(接口)接口指示灯,灯灭表示没有数据收发,灯闪烁表示有数据收发。
1.2.4 固定接口属性
1. 配置口(CONSOLE)
表1-5配置口属性
属性描述
连接器类型RJ45
接口标准RS232
波特率1200bps~115200bps 缺省9600bps
支持服务与字符终端相连
与本地PC的串口相连,并在PC上运行终端仿真程序命令行接口
2. 备份口(AUX)
表1-6备份口属性
属性描述连接器类型RJ45
接口标准RS232
波特率1200bps~115200bps
支持服务Modem拨号备份
3. 以太网口
H3C SecPath F100-S和H3C SecPath F100-E防火墙提供了4个固定的10/100Mbps自适应以太网口。
H3C SecPath F100-S/F100-E防火墙以太网接口特性如下:
表1-7以太网电接口属性
属性描述
连接器类型RJ45
接口类型 MDI/MDIX自适应
支持帧格式Ethernet_II Ethernet_SNAP
工作方式10/100Mbps自适应全双工/半双工
1.2.5 MIM多功能接口模块
H3C SecPath F100-E防火墙提供了1个MIM扩展槽位,可以支持多功能接口模块:
z1端口10Base-T/100Base-TX快速以太网接口模块(1FE)
z2端口10Base-T/100Base-TX快速以太网接口模块(2FE)
z4端口10Base-T/100Base-TX快速以太网接口模块(4FE)
z1端口10Base-T/100Base-TX/1000Base-T以太网接口模块(1GBE)
z2端口10Base-T/100Base-TX/1000Base-T以太网接口模块(2GBE)
z1端口1000Base-LX/1000Base-SX以太网光接口模块(1GEF)
z2端口1000Base-LX/1000Base-SX以太网光接口模块(2GEF)
z SSL(Security Socket Layer,安全套接层)是安全套接层加密模块
对MIM多功能接口模块的详细介绍请参见《第8章 MIM多功能接口模块》。
第2章安装前的准备工作
2.1 安装场所要求
H3C SecPath系列防火墙必须在室内使用,为保证防火墙正常工作和延长使用寿命,
安装场所应该满足下列要求。
2.1.1 温度/湿度要求
为保证防火墙正常工作,并延长使用寿命,机房内需维持一定的温度和湿度。若机
房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变
化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,
在干燥的气候环境下,还容易产生静电,危害防火墙上的CMOS电路;温度过高危
害更大,因为高温会加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重
影响其使用寿命。
H3C SecPath系列防火墙对温度、湿度的要求见下表。
表2-1机房温度/湿度要求
温度相对湿度
0℃~45℃ 10%~95%(非凝露)
2.1.2 洁净度要求
灰尘对防火墙的运行安全也是一大危害,因为室内灰尘落在机体上会造成静电吸附,
使金属接插件或金属接点接触不良,不但会影响设备寿命,而且容易造成通信故障。
当室内相对湿度偏低时,更易产生这种静电吸附。
防火墙对机房的要求为机房无爆炸性、导电性、导磁性及腐蚀性尘埃,灰尘浓度符
合下表的要求:
表2-2机房灰尘含量限值
机械活性物质单位含量
灰尘粒子粒/m3 ≤3×104
(3天内桌面无可见灰尘)
注:灰尘粒子:直径≥5μm
除灰尘外,H3C SecPath系列防火墙的机房对空气中所含的盐、酸、硫化物也有严
格的要求,因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。机房内对
SO2、H2S、NH3、Cl2等有害气体的具体限制值见下表:
表2-3机房有害气体限值
气体最大(mg/m3)
二氧化硫SO20.2
硫化氢H2S 0.006
氨NH30.05
氯气Cl20.01
2.1.3 防静电要求
尽管H3C SecPath系列防火墙在防静电方面作了大量的考虑,采取了多种措施,但
当静电超过一定限度时,仍会对单板电路乃至防火墙整机产生巨大的破坏作用。
在与防火墙连接的通信网中,静电感应主要来自两个方面:一是室外高压输电线、
雷电等外界电场;二是室内环境、地板材料、整机结构等内部系统。因此为防止静
电损伤,应做到:
z设备良好接地。
z室内防尘。
z保持适当的温度、湿度条件。
z接触电路板时,应戴防静电手腕,穿防静电工作服。
z将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中。
z当观察或转移拆卸了的电路板时,请用手接触电路板的外边缘,避免用手直接触摸电路板上的元器件。
2.1.4 电磁环境要求
防火墙使用中可能的干扰源,无论是来自设备或应用系统外部,还是来自内部,都
是以电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)耦合的传导方
式对设备产生影响,因此为达到抗干扰的要求,应做到:
z对供电系统采取有效的防电网干扰措施。
z防火墙工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些。
z远离强功率无线电发射台、雷达发射台、高频大电流设备。
z必要时采取电磁屏蔽的方法。
2.1.5 防雷击要求
尽管H3C SecPath系列防火墙在防雷击方面作了大量的考虑,也采取了必要措施,
但是在雷击强度超过一定范围时,仍然有可能对防火墙造成损害。为达到更好的防
雷效果,建议用户:
z保证机箱的保护地用保护地线与大地保持良好接触。
z保证电源插座的接地点与大地良好接触。
z为增强电源的防雷击效果,可以考虑在电源的输入前端加入电源避雷器,这样可大大增强电源的抗雷击能力。
2.1.6 检查安装台
对H3C SecPath系列防火墙进行安装前要保证以下条件:
z确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。
z确认机柜自身有良好的通风散热系统。
z确认机柜足够牢固,能够支撑防火墙及其安装附件的重量。
z确认机柜良好接地。
2.2 安全注意事项
基于防火墙的广泛应用及其在数据通信网络中担当的重要作用,再次强调手册中的
如下标志,阅读过程中请注意:
警告:表明该项操作不正确,可能给防火墙或防火墙操作者的人身安全带来极大危险,操作者必须严格遵守正确的操作规程。
注意:表示在安装、使用防火墙中需要注意的操作。该操作不正确,可能影响防火墙的正常使用。
在防火墙的安装和使用过程中,特提出如下安全建议:
z请将防火墙放置在远离潮湿或远离热源的地方。
z请确认防火墙已经正确接地。
z请在安装维护过程中佩戴防静电手腕,并确保防静电手腕与皮肤良好接触。
z请不要带电插拔配置口(Console)、备份口(AUX)的电缆。
z注意激光使用安全。不要用眼睛直视激光器的光发射口或与其相连的光纤连接器。
z建议用户使用UPS(Uninterrupted Power Supply,不间断电源)。
2.3 检查防火墙及其附件
在确认安装环境符合要求后,请打开防火墙包装箱,并对照定货合同及装箱单仔细
核对防火墙及附件是否齐全。如有疑问或差错,请与代理商联系。
2.4 安装工具、仪表和设备
1. 工具
z十字螺丝刀
z一字螺丝刀
z防静电手腕
z防静电袋
2. 电缆
z地线及电源线
z配置口(Console)电缆
z可选电缆
3. 设备及仪表
z HUB或LAN Switch
z配置终端(可以是普通的PC机)
z与选配接口模块相关的设备
z万用表
说明:
防火墙不附带安装工具、仪表及相关设备。
第3章防火墙的安装3.1 安装流程
图3-1防火墙的安装流程
注意:
开始安装H3C SecPath系列防火墙前,请确认:
z已经仔细阅读第二章内容。
z第二章中所述要求已经满足。
3.2 安装到指定位置
H3C SecPath系列防火墙有两种安装方式:
z直接安放在平台上
z安装到机柜上
3.2.1 安装到工作台上
多数情况下,用户并不具备19英寸标准机柜,人们更常用到的方法就是将防火墙放
置在干净的工作台上。此种操作比较简单,操作中需要注意如下事项:
z保证工作台的平稳性与良好接地。
z防火墙四周留出10cm的散热空间。
z不要在防火墙上面放置重物。
3.2.2 安装到机柜中
H3C SecPath F100-E防火墙是按照19英寸标准机柜的尺寸进行设计的;若要将
H3C SecPath F100-S防火墙安装到机柜中,需使用特制的长挂耳。
表3-1H3C SecPath F100-S防火墙外形尺寸
防火墙型号外形尺寸(单位:mm)
H3C SecPath F100-S防火墙(W×D×H) 300×220×42(不含脚垫)
表3-2H3C SecPath F100-E防火墙外形尺寸
防火墙型号外形尺寸(单位:mm)
H3C SecPath F100-E防火墙(W×D×H) 436×430×44(不含脚垫)
H3C SecPath F100-E防火墙安装过程如下:
第一步:检查机柜的接地与稳定性。用螺钉将固定挂耳固定在防火墙前面板两侧;
第二步:将防火墙放置在机柜的一个托盘上,根据实际情况,沿机柜导轨移动防火
墙至合适位置,注意保证防火墙与导轨间的合适距离;
第三步:用满足机柜安装尺寸要求的盘头螺钉(螺钉型号最大不得超过国标M6,表
面经过防锈处理)将防火墙通过固定挂耳固定在机柜上,保证防火墙在机柜上位置
水平并牢固。
导轨
固定挂耳 (3)
(1) 固定螺钉(4个) (2)
图3-2H3C SecPath F100-E防火墙机柜安装示意图
3.3 安装通用接口模块
MIM多功能接口模块的安装请参见《第8章 MIM多功能接口模块》。
3.4 连接保护地线
警告:
防火墙保护地线的正常连接是防火墙防雷、抗干扰的重要保障,所以用户在安装、
使用防火墙时必须首先正确接好保护地线。
H3C SecPath系列防火墙提供单独的保护地端子,保护地必须良好接地,以使感应
电、泄漏电能够安全流入大地,并提高整机的抗电磁干扰的能力。
H3C SecPath F100-S/F100-E防火墙的保护地端子位于机箱后面板的右下侧,有接
地标识,见下图:
能造成防火墙及对端设备的损坏!
3.5 连接到配置终端
1. 配置口介绍
H3C SecPath系列防火墙提供了一个RS232异步串行配置口(CON),通过这个接
口用户可完成对防火墙的配置。配置口的属性请参见1.2.4 固定接口属性一节。
2. 配置口电缆
配置口电缆是一根8芯屏蔽电缆,一端压接RJ45插头,插入防火墙的CON口;另
一端则带有一个DB9(母)连接器,可插入配置终端的串口。
配置口电缆如图3-4所示:
A
图3-4配置口电缆示意图
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
Juniper 防火墙策略路由配置
Juniper 防火墙策略路由配置 一、网络拓扑图 要求: 1、默认路由走电信; 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址,走电信,访问互联网走网通; 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加:
Extended acl id:acl 编号Sequence No.:条目编号源地址:192.168.1.10/32 目的地址:1.0.0.0/8 Protocol:选择为any 端口号选择为:1-65535 点击ok:
2、点击add seg No.再建立一条同样的acl,但protocol 为icmp,否则在trace route 的时候仍然后走默认路由:
3、建立目的地址为0.0.0.0 的acl: 切记添加一条协议为icmp 的acl; 命令行: set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol
H3C-防火墙设备专线上网配置(U200-S--V5)
V5防火墙设备上网配置 一组网需求 防火墙内网电脑可以经过防火墙去上网 二组网拓扑 内网电脑------(G0/2)防火墙(G0/1)-----光猫—运营商 三组网配置 第一步: 防火墙开启了WEB服务, PC通过网线连接到防火墙的GE0口,将电脑的IP 地址修改为192.168.0.10 掩码为255.255.255.0 打开一个浏览器(建议使用IE浏览器)在地址栏输入192.168.0.1 会显示如下页面: 用户名和密码默认为:admin 输入用户名密码和验证码后,点击登录即可登陆到设备的WEB管理页面。第二步: 登陆设备后,将1口设置为WAN口连接外网,2口设置为LAN口,连接内网,配置上网操作步骤如下: 1.将接口添加到安全域: 1.1将1号口加入untrust域
1.2 将2号口加入trust域:
2.配置公网接口IP地址及指网关2.1.1配置运营商分配的公网地址 2.1.2 配置默认路由指向公网网关
3.配置内网口地址
1. 配置DNS地址信息 4.1.1开启设备DNS代理和DNS动态域名解析功能 4.1.2 配置运营商DNS地址(如果您是固定IP地址方式上网,运营商会给您相 应的DNS地址,如果是拨号方式上网,那只需开启DNS代理功能即可,动态域名解析功能可以不用开启,也不需要设置DNS服务器IP地址) 4.1.3配置nat动态地址转换:配置acl 2001匹配内网的源ip地址网段,然后 做nat动态地址转换,如果是静态公网ip,或者是动态获取的ip地址,请选择
宽带连接的物理接口;如果是拨号上网,请选择dialer口,转换方式选择easy ip。
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
使用域组策略及脚本统一配置防火墙
使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境,部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping,如果企业环境较大,客户端数千个逐个设置将是浪费工作效率且不灵活的方案;所以可以通过使用域策略来统一设置; 统一配置可以通过域策略中自带的防火墙模板来设置,也可以通过使用bat脚本来配置,下面即分别演示配置方法; 1 域组策略统一配置防火墙 使用域管理员登录域控制器,打开“管理工具>组策略管理”; 在目标组织单位右击,新建GPO; 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO,选择编辑GPO,选择“计算机配置>策略>Windows设置>安全设置>系统服务”;
选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务,并禁用该俩项服务; 结果如下; 1.1.2 查看客户端结果 重启XP客户端查看结果
重启Win7客户端查看结果 1.2 开放客户端防火墙端口 (注:首先将上面组策略中的系统服务设置还原在进行下一步的配置) 1.2.1 域策略配置 右击目标GPO选择编辑,选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”,下面的子集即为客户端防火墙配置项目,此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集,其中,域配置文件主要在包含域DC的网络中应用,也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用;
组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃,包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM),它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。
(战略管理)防火墙策略的组成
3.1 防火墙策略的组成 在ISA服务器安装成功后,其防火墙策略默认为禁止所有内外通讯,所以我们需要在服务器上建立相应的防火墙策略,以使内外通讯成功。在本章,我们将介绍ISA的基本配置,使内部的所有用户无限制的访问外部网络。 在ISA Server 2004中,防火墙策略是由网络规则、访问规则和服务器发布规则三者的共同组成。 网络规则:定义了不同网络间能否进行通讯、以及知用何各方式进行通讯。 ●?? 访问规则:则定义了内、外网的进行通讯的具体细节。 ●?? 服务器发布规则:定义了如何让用户访问服务器。 ●?? 3.1.1 网络规则 ISA2004通过网络规则来定义并描述网络拓扑,其描述了两个网络实体之间是否存在连接,以及定义如何进行连接。相对于ISA2000,可以说网络规则是ISA Server 2004中的一个很大的进步,它没有了ISA Server 2000只有一个LAT表的限制,可以很好的支持多网络的复杂环境。 在ISA2004的网络规则中定义的网络连接的方式有:路由和网络地址转换。 3.1.1.1 路由 路由是指相互连接起来的网络之间进行路径寻找和转发数据包的过程,由于ISA与Windows 2000 Server和Windows Server 2003路由和远程访问功能的紧密集成,使其具有很强的路由功能。 在ISA2004中,当指定这种类型的连接时,来自源网络的客户端请求将被直接转发到目标网络,而无须进行地址的转换。当需要发布位于DMZ网络中的服务器时,我们可以配置相应的路由网络规则。 需要注意的是,路由网络关系是双向的。如果定义了从网络 A 到网络 B 的路由关系,那么从网络B到网络 A 也同样存在着路由关系,这同我们在进行硬件或软件路由器配置的原理相同。 3.1.1.2 网络地址转换(NAT) NAT即网络地址转换(Network Address Translator),在Windows 2000 Server和Windows server 2003中,NAT是其IP路由的一项重要功能。NAT方式也称之为Internet的路由连接,通过它在局域网和Internet 主机间转发数据包从而实现Internet的共享。ISA2004由于同Windows 20 00 Server和Windows server 2003的路由和远程访问功能集成,所以支持 NAT的的连接类型。 当运行NAT的计算机从一台内部客户机接收到外出请求数据包时,它会把信息包的包头换掉,把客户机的内部IP地址和端口号翻译成NAT服务器自己的外部IP地址和端口号,然后再将请求包发送给Internet上的目标主机。当N
H3C_SecPath系列防火墙基本上网配置
新手可以根据下面的配置一步一步操作,仔细一点儿就没问题了~! 可以用超级终端配置,也可以用CRT配置 如果配置了,还是不能上网,可以加我的 恢复出厂设置: Reset saved-configuration 配置防火墙缺省允许报文通过: system-view firewall packet-filter default permit 为防火墙的以太网接口(以Ethernet0/0为例)配置IP地址,并将接口加入到安全区域:interface Ethernet0/0 ip address IP地址子网掩码 quit firewall zone trust add interface Ethernet0/0 quit 添加登录用户为使用户可以通过Web登录,并且有权限对防火墙进行管理,必须为用户添加登录帐户并且赋予其权限: local-user 登录账号 password simple 登录密码 service-type telnet level 3 quit quit
sys firewall packet-filter default permit dialer-rule 1 ip permit acl number 3000 rule 0 permit ip quit interface Dialer1 link-protocol ppp ppp chap user PPPOE账号 ppp chap password simple PPPOE密码ip address ppp-negotiate dialer-group 1 dialer bundle 1 nat outbound 3000 quit interface Ethernet0/4 pppoe-client dial-bundle-number 1 firewall zone untrust add interface Ethernet0/4 add interface Dialer1 quit firewall zone trust add interface Ethernet0/0 quit
防火墙安全策略配置
防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。
4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。
C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。
D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。
F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。
H3C防火墙配置说明书
H3C防火墙配置说明 华三通信技术 所有侵权必究
All rights reserved
相关配置方法: 配置OSPF验证 从安全性角度来考虑,为了避免路由信息外泄或者对OSPF路由器进行恶意攻击,OSPF提供报文验证功能。 OSPF路由器建立邻居关系时,在发送的报文中会携带配置好的口令,接收报文时进行密码验证,只有通过验证的报文才能接收,否则将不会接收报文,不能正常建立邻居。 要配置OSPF报文验证,同一个区域的所有路由器上都需要配置区域验证模式,且配置的验证模式必须相同,同一个网段的路由器需要配置相同的接口验证模式和口令。 表1-29 配置OSPF验证
提高IS-IS 网络的安全性 在安全性要求较高的网络中,可以通过配置IS-IS 验证来提高IS-IS 网络的安全性。IS-IS 验证特性分为邻居关系的验证和区域或路由域的验证。 配置准备 在配置IS-IS 验证功能之前,需完成以下任务: ?配置接口的网络层地址,使相邻节点网络层可达 ?使能IS-IS 功能 配置邻居关系验证 配置邻居关系验证后,验证密码将会按照设定的方式封装到Hello 报文中,并对接收到的Hello 报文进行验证密码的检查,通过检查才会形成邻居关系,否则将不会形成邻居关系,用以确认邻居的正确性和有效性,防止与无法信任的路由器形成邻居。 两台路由器要形成邻居关系必须配置相同的验证方式和验证密码。 表1-37 配置邻居关系验证
操作命令说明 配置邻居关系验证方式 和验证密码 isis authentication-mode{ md5 | simple} [ cipher ] password [ level-1 | level-2 ] [ ip | osi ] 必选 缺省情况下,接口没有配置邻居关 系验证,既不会验证收到的Hello报 文,也不会把验证密码插入到Hello 报文中 参数level-1和level-2的支持情况和 产品相关,具体请以设备的实际情 况为准 必须先使用isis enable命令使能该接口才能进行参数level-1和level-2的配置。 如果没有指定level-1或level-2参数,将同时为level-1和level-2的Hello报文配置验证方式及验证密码。 如果没有指定ip或osi参数,将检查Hello报文中OSI的相应字段的配置容。 配置区域验证 通过配置区域验证,可以防止将从不可信任的路由器学习到的路由信息加入到本地Level-1 的LSDB中。 配置区域验证后,验证密码将会按照设定的方式封装到Level-1报文(LSP、CSNP、PSNP) 中,并对收到的Level-1报文进行验证密码的检查。 同一区域的路由器必须配置相同的验证方式和验证密码。 表1-38 配置区域验证 操作命令说明进入系统视图system-view- 进入IS-IS视图isis [ process-id ] [ vpn-instance vpn-instance-name ] -
H3C防火墙配置实例
精心整理本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 3、防火墙的配置脚本如下
descriptionout-inside rule1000denyip aclnumber3002 descriptioninside-to-outside rule1000denyip # interfaceAux0 asyncmodeflow # interfaceEthernet0/0 shutdown # interfaceEthernet0/1 shutdown # interfaceEthernet0/2 speed100 duplexfull descriptiontoserver firewallpacket-filter3002inbound firewallaspf1outbound # interfaceEthernet0/3 shutdown # interfaceEthernet1/0 shutdown # interfaceEthernet1/1 shutdown # interfaceEthernet1/2 speed100 duplexfull descriptiontointernet firewallpacket-filter3001inbound firewallaspf1outbound natoutboundstatic # interfaceNULL0 # firewallzonelocal setpriority100 # firewallzonetrust
H3C防火墙配置实例
本文为大家介绍一个H3C防火墙的配置实例,配置内容包括:配置接口IP地址、配置区域、配置NAT地址转换、配置访问策略等,组网拓扑及需求如下。 1、网络拓扑图 2、配置要求 1)防火墙的E0/2接口为TRUST区域,ip地址是:192.168.254.1/29; 2)防火墙的E1/2接口为UNTRUST区域,ip地址是:202.111.0.1/27; 3)内网服务器对外网做一对一的地址映射,192.168.254.2、192.168.254.3分别映射为202.111.0.2、202.111.0.3; 4)内网服务器访问外网不做限制,外网访问内网只放通公网地址211.101.5.49访问192.168.254.2的1433端口和192.168.254.3的80端口。 3、防火墙的配置脚本如下
firewall statistic system enable # radius scheme system server-type extended # domain system # local-user net1980 password cipher ###### service-type telnet level 2 # aspf-policy 1 detect h323 detect sqlnet detect rtsp detect http detect smtp detect ftp detect tcp detect udp # object address 192.168.254.2/32 192.168.254.2 255.255.255.255 object address 192.168.254.3/32 192.168.254.3 255.255.255.255 # acl number 3001 description out-inside rule 1 permit tcp source 211.101.5.49 0 destination 192.168.254.2 0 destination-port eq 1433 rule 2 permit tcp source 211.101.5.49 0 destination 192.168.254.3 0 destination-port eq www rule 1000 deny ip acl number 3002 description inside-to-outside rule 1 permit ip source 192.168.254.2 0 rule 2 permit ip source 192.168.254.3 0 rule 1000 deny ip # interface Aux0 async mode flow # interface Ethernet0/0 shutdown # interface Ethernet0/1 shutdown
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
防火墙应用指南六——“策略”方向性问题的探讨
在配置TL-FR5300策略的时候,对于策略的方向性需要仔细分辨,本文档对于一些异常的、少见的 情况下策略的方向确定,给岀了一些参考建议。 假设TL-FR5300 WAN 口的IP 地址是222.77.77.40,内网服务器的IP 地址是192.168.1.10,提供的 服务端口是30。 1, 一般情况 如果在FR5300的LAN 区域建立了服务器,提供给WAN 区域主机访问,我们必须建立从 WAN — >LAN 的 策略。(将自定义服务”里面的服务端口就设置为 LAN 区域服务器提供的服务端口)设置如下: 趙肝;广疫不画 厂 自是岌 I 测S 口 目的罐匚 ICMP 开lb 删|伽 IJ 岳使用悔这按誉值 广元a 7Cf 广1IDF 广 icwr P I&5535 [30 i _ ■J 赫兀广ICT 「DDF 广KHF 烬元「TCP 广 TJDF 广 ICIIP 凭广 TCF 厂 UDF 「JCIF 元广 WT r UDF 广 1CWF
如上图,当然可以定义别的任何端口,只需要访问的时候使用定义端口就可以了
策略设置如上图,这个大家都已经会设置了。设置后以后,WAN区域主机主动访问WAN 口IP地址 的30端口,FR5300会将访问的数据包转发至内网的192.168.1.10这台主机,然后192.168.1.10回应数据包, 连接建立。 2, 特殊情况 上面都是WAN区域主动发起连接,连接LAN区域的服务器,这样将符合WAN —>LAN策略,可以 成功连接。如果用户的使用环境中,先是WAN区域主动发起连接,正常连接服务器,然后从服务器上获 取信息的时候,这个信息需要服务器主动发起新的连接,连接使用的源端口仍然是30这个服务端口,目的 端口是客户端的随机端口,这样的连接能否建立呢?答案是不能建立的,虽然我们设置了从WAN —>LAN
H3C 防火墙F100 基本配置
H3C 防火墙F100-C
防火墙策略配置向导
目录 1 防火墙策略配置向导..........................................................................................................................1-1 1.1 概述...................................................................................................................................................1-1 1.2 防火墙策略配置.................................................................................................................................1-1 1.2.1 配置概述.................................................................................................................................1-1 1.2.2 配置防火墙策略......................................................................................................................1-1
【通用文档】h3c防火墙配置.doc
安全区域 2.1.1 安全区域的概念 安全区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征。 对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查(入接口的安全检查和出接口的安全检查),以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说不很适合,因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害,因而有着明确的内外之分。 当一个数据流通过secpath防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。因此,secpath防火墙提出了安全区域的概念。 一个安全区域包括一个或多个接口的组合,具有一个安全级别。在设备内部,安全级别通过0~10 0的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区域。只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。 2.1.2 secpath防火墙上的安全区域 1. 安全区域的划分 secpath防火墙上保留四个安全区域: 1 非受信区(untrust):低级的安全区域,其安全优先级为5。 2 非军事化区(dmz):中度级别的安全区域,其安全优先级为50。 3 受信区(trust):较高级别的安全区域,其安全优先级为85。 4 本地区域(local):最高级别的安全区域,其安全优先级为100。 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。 dmz(de militarized zone,非军事化区)这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时,将那些需要被公共访问的设备(例如,www server、f tp server等)放置于此。 因为将这些服务器放置于外部网络则它们的安全性无法保障;放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。因此,dmz区域的出现很好地解决了这些服务器的放置问题。
H3C SecPath F100系列防火墙配置教程
H3C SecPath F100系列防火墙配置教程初始化配置 〈H3C〉system-view 开启防火墙功能 [H3C]firewall packet-filter enable [H3C]firewall packet-filter default permit 分配端口区域 [H3C] firewall zone untrust [H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust [H3C-zone-trust] add interface GigabitEthernet0/1 工作模式 firewall mode transparent 透明传输 firewall mode route 路由模式 http 服务器 使能HTTP 服务器 undo ip http shutdown 关闭HTTP 服务器 ip http shutdown 添加WEB用户 [H3C] local-user admin
[H3C-luser-admin] password simple admin [H3C-luser-admin] service-type telnet [H3C-luser-admin] level 3 开启防范功能 firewall defend all 打开所有防范 切换为中文模式 language-mode chinese 设置防火墙的名称 sysname sysname 配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ] 设置标准时间 clock datetime time date 设置所在的时区 clock timezone time-zone-name { add | minus } time 取消时区设置 undo clock timezone 配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password 取消配置的口令 undo super password [ level user-level ] 缺缺省情况下,若不指定级别,则设置的为切换到3 级的密码。 切换用户级别 super [ level ] 直接重新启动防火墙 reboot 开启信息中心 info-center enable 关闭信息中心 undo info-center enable
juniper防火墙详细配置手册
j u n i p e r防火墙详细配置 手册 The latest revision on November 22, 2020
J u n i p e r防火墙简明实用手册 (版本号:V1.0)
目录
1juniper中文参考手册重点章节导读 版本:Juniper防火墙5.0中文参考手册,内容非常庞大和繁杂,其中很多介绍和功能实际应用的可能性不大,为了让大家尽快用最短的时间内掌握Juniper防火墙的实际操作,下面简单对参考手册中的重点章节进行一个总结和概括,掌握了这些内容大家就可以基本能够完成安全部署和维护的工作。 1.1第二卷:基本原理 1.1.1第一章:ScreenOS体系结构 安全区 安全区接口 策略 1.1.2第二章:路由表和静态路由 配置静态路由 1.1.3第三章:区段 安全区 配置安全区 功能区段:HA区段 1.1.4第四章:接口 接口类型:安全区接口:物理 接口类型:安全区接口:功能区段接口 察看接口 配置安全区接口:将接口绑定到安全区、从安全区解除接口绑定、 修改接口、跟踪IP地址 二级IP地址 1.1.5第五章:接口模式 透明模式 NAT模式
路由模式 1.1.6第六章:为策略构建块 地址:地址条目、地址组 服务:预定义的服务、定制服务 DIP池:端口地址转换、范例:创建带有PAT的DIP池、范例:修改 DIP池、扩展接口和DIP 时间表 1.1.7第七章:策略 三种类型的策略 策略定义 策略应用 1.1.8第八章:地址转换 地址转换简介 源网络地址转换 目的网络地址转换 映射IP地址 虚拟IP地址 1.1.9第十一章:系统参数 下载/上传设置和固件 系统时钟 1.2第三卷:管理 1.2.1第一章:管理 通过WEB用户界面进行管理 通过命令行界面进行管理 管理的级别:根管理员、可读/写管理员、只读管理员、定义Admin 用户 保证管理信息流的安全:更改端口号、更改Admin登录名和密码、 重置设备到出厂缺省设置、限制管理访问