1-2-09《信息安全产品配置与应用》课程-防火墙篇-天融信
合集下载
天融信Topsec NGFW系列防火墙培训
33
猎豹系列, 猎豹系列 TG-5328
•整机吞吐量 整机吞吐量:2.8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量:2.8G 整机小包吞吐量 •每秒新建连接 每秒新建连接>54000 每秒新建连接 •最大并发连接数 最大并发连接数>1800000 最大并发连接数 •性能:整机小包全线速 性能: 性能
32
百兆高端产品:猎豹 百兆高端产品:猎豹I
TOS操作系统 TOS操作系统 ASIC硬件架构 ASIC硬件架构 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 端口+2个千兆COMBO端口+1 千兆接口 个管理百兆接口 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 内置专用硬件加速芯片\TAPF加速技术 加速技术 内置专用硬件加速芯片
内置的专用硬件加速芯片\TAPF加速技术
29
猎豹II系列 猎豹 系列, TG-5664 系列
TG-5664
•整机吞吐量 整机吞吐量>8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量>6G 整机小包吞吐量 •延时 延时<4.5us 延时 •每秒新建连接 每秒新建连接>96000 每秒新建连接 •最大并发连接数 最大并发连接数>2200000 最大并发连接数
3
网络越来越复杂, 网络越来越复杂,薄弱点越来越多
接入网络的设备越来越多。 接入网络的设备越来越多。 分支机构需要访问总部资源。 分支机构需要访问总部资源。
猎豹系列, 猎豹系列 TG-5328
•整机吞吐量 整机吞吐量:2.8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量:2.8G 整机小包吞吐量 •每秒新建连接 每秒新建连接>54000 每秒新建连接 •最大并发连接数 最大并发连接数>1800000 最大并发连接数 •性能:整机小包全线速 性能: 性能
32
百兆高端产品:猎豹 百兆高端产品:猎豹I
TOS操作系统 TOS操作系统 ASIC硬件架构 ASIC硬件架构 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 端口+2个千兆COMBO端口+1 千兆接口 个管理百兆接口 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 内置专用硬件加速芯片\TAPF加速技术 加速技术 内置专用硬件加速芯片
内置的专用硬件加速芯片\TAPF加速技术
29
猎豹II系列 猎豹 系列, TG-5664 系列
TG-5664
•整机吞吐量 整机吞吐量>8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量>6G 整机小包吞吐量 •延时 延时<4.5us 延时 •每秒新建连接 每秒新建连接>96000 每秒新建连接 •最大并发连接数 最大并发连接数>2200000 最大并发连接数
3
网络越来越复杂, 网络越来越复杂,薄弱点越来越多
接入网络的设备越来越多。 接入网络的设备越来越多。 分支机构需要访问总部资源。 分支机构需要访问总部资源。
天融信防火墙配置手册
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字) 6)在高级管理→特殊对象→关键字→定义关键字 7)访问策略→INTERNET区域→ 增加 HTTP策略,允许某一网站访问,
但禁止关键字访问。 把过滤策略优先级提到最前面,测试含有该关键字的网 页能否打开。
注意:定义关键字不需要加 * ,过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁
• 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。
• 防止反向连接,对由内到外的连接也要注意端口防护。
通信策略
STEP7: 设置NAT(网络地址转换)方式
与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下, 通过NAT方式进行访问。访问端需要有网关(路由)。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字) 6)在高级管理→特殊对象→关键字→定义关键字 7)访问策略→INTERNET区域→ 增加 HTTP策略,允许某一网站访问,
但禁止关键字访问。 把过滤策略优先级提到最前面,测试含有该关键字的网 页能否打开。
注意:定义关键字不需要加 * ,过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁
• 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。
• 防止反向连接,对由内到外的连接也要注意端口防护。
通信策略
STEP7: 设置NAT(网络地址转换)方式
与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下, 通过NAT方式进行访问。访问端需要有网关(路由)。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
天融信防火墙配置手册
止。 8)通过包过滤策略,禁止本机访问INTERNET,策略服务为
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(6) 在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建 立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。
7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括 连入INTRANET内的所有主机。
可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(6) 在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建 立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。
7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括 连入INTRANET内的所有主机。
可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
天融信防火墙操作培训
NAT地址转换配置
NAT地址转换配置
其他配置案例实例:
1、流量控制策略配置 2、访问控制策略配置
3、阻断策略配置
4、配置维护管理
流量控制策略配置
Internet互联网
eth2 上载限制定义在外网接口 网关设备 eth1 下载限制定义在内网接口 交换机
内网终端电脑 10.80.64.33
要求:限制主机10.80.64.33下载带宽为50K,限制上传带宽为50K
将eth1接口定义为外网区域
定义区域对象
同样在“名称”中输入自定义名称“内网区域”,
接着在“选择属性”框中将eth2移到“被选属性”框 里,
将eth2接口定义为内网区域
NAT地址转换配置
展开右边“防火墙”菜单,选择“地址转换”,然后在右边的界面中点击“添加
NAT地址转换配置
NAT地址转换配置
点击浏览选择备份的配置文件 然后再点击替换
配置维护管理
点击修改页签
配置维护管理
防火墙网关维护注意事项:
一、防火墙网关系统使用时要注意防雷设施的预防工作,注意供电系统 电压的正常,设备加电前需要做好接地措施. 二、防火墙网关系统的配置由专人负责管理 三、防火墙网关系统的密码更改后一定要牢记,密码若是已经忘记, 设备只能返厂维护重做系统 四、防火墙网关系统不能随自进行升级, 版本是定制版本。 五、如果发现防火墙网关工作不正常时请与相关技术支持人员联系。
防火墙网关配置步骤
输入用户名:superman, 然后输入初始密码:talent
配置各个网口的IP地址
外接口IP地址配置 ( 可选择ETH1口做为外网端口使用 )
点击“网络管理”菜单,然后点击“接口”后在右边的界面中点击“设置”,在 “描述”选项中填入自定义的名称“外网”,最后填入IP地址与子网掩码后 再点击“添加”即可
天融信防火墙配置步骤
天融信防火墙配置步骤1. 登录天融信防火墙首先,需要通过浏览器访问天融信防火墙的管理地址,输入正确的用户名和密码进行登录。
2. 进入配置页面登录成功后,点击左侧导航栏中的“配置”,选择“网络”或“安全策略”,根据不同需求进行配置。
2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中,选择“VLAN”进行配置。
首先需要新建一个VLAN,输入VLAN ID、VLAN名称等信息,并设置IP地址和子网掩码。
接下来,需要将新建的VLAN绑定到对应的物理接口上,以实现网络的隔离和控制。
2.1.2 VPN配置在天融信防火墙的“网络”界面中,选择“VPN”进行配置。
首先需要设置VPN基本信息,包括VPN名称、本地地址、远端地址等。
接下来,需要根据需要设置VPN的安全协议、身份验证方式等。
2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中,选择“访问控制规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址、服务等信息,并设置允许或拒绝访问。
接下来,需要设置规则优先级、生效时间等。
2.2.2 NAT规则在天融信防火墙的“安全策略”界面中,选择“NAT规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址等信息,并设置源地址转换和目的地址转换。
接下来,需要设置规则优先级、生效时间等。
3. 保存配置并重启配置完成后,需要保存当前配置,并重启天融信防火墙以使配置生效。
重启后,可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。
结论天融信防火墙作为一种重要的网络安全设备,需要进行正确的配置以保证网络的安全和可用性。
本文介绍了天融信防火墙的基本配置步骤,希望能够对读者有所帮助。
天融信防火墙配置讲解综述
防火墙配置具体方法
防火墙配置具体方法
•2 配置接口所属段的路由
防火墙的缺省网关在静态路由时, 必须放到最后一条路由
防火墙配置具体方法
•3 地址转换和访问控制
•1)定义主机地址和端口区域
•2)添加策略和控制规则 资源管理—主机
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
防火墙配置具体方法 目的转换
源为any所有 目的为公网地址 所有访问公网地址的4000端口,把目的公网地址转 换为服务器地址,目的端口4000转换为远程桌面的 3389端口,从而达到访问及隐藏源端口的目的
防火墙配置具体方法 双向转换
源为any所有地址 目的为183.166.34.235 任何地址访问235这个地址时,将访问的源地址 转换为内网口地址,访问的目的235转换为安保 地址,从而实现从互联网访问内网服务器的目的
天融信防火墙基础配置
1 2 3 3
防火墙配置步骤 注意事项 防火墙配置具体方法 注意事项
天融信防火墙基础配置
开放服务
天融信防火墙基础配置
基本信息
天融信防火墙基础配置
连接信息
天融信防火墙基础配置
健康记录
管理员可以下载设备的健康记录,以便当设备出现 异常时,可以帮助天融信的技术支持人员快速地定 位并解决故障。
访问控制的匹配规则按照从上往下匹配
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
防火墙配置具体方法
源转换 目的转换 双向转换
不做转换
防火墙配置具体方法 源转换
源为内网区域 目的为公网区域 内网访问公网时把内网地址转换为电信接入地址 ,从而实现访问互联网的目的
1-2-08《信息安全产品配置与应用》课程-防火墙篇-天融信.
登陆标题替换功能(FTP)
登陆标题替换功能是对服务器操作系统和版本信息进行隐藏,替换
为自定义的内容,增加攻击者的难度; 支持HTTP/FTP/SMTP/POP3/IMAP/TELNET协议;
登陆标题替换功能(FTP)
配置方式 端口绑定
关键字配置
策略配置 规则引用
登陆标题替换功能(FTP)
掌握防火墙的配置准备工作及注意事项 掌握天融信防火墙的主要配置方法 掌握一般防火墙的故障处理过程
防火墙的高级应用
DPI 用户认证 Trunk环境及VLAN间的路由 策略路由和动态路由 全面支持DHCP ADSL拨号 链路备份 IDS联动 HA配置 服务器负载均衡 带宽管理
本讲任务与学习目标
任务目标
任务1:了解 防火墙配置流程及管理方式 任务2:了解配置防火墙前需要弄清的几个问题 任务3:学习天融信防火墙基本功能应用 任务4:学习天融信防火墙特殊功能应用 任务5:学习天融信防火墙高级应用 任务6:学习天融信防火墙辅助功能
学习目标
综合案例介绍
DPI策略配置
协议端口绑定 URL对象配置 关键字对象配置
HTTP策略配置
综合案例介绍
应用程序识别配置
时间置
访问控制规则配置
防火墙高级应用-用户认证
网络卫士防火墙系统可以实现有效、快速、全面的用户及设备身份的管理, 解决以往简单认证方式带来的弊端,保证用户访问和设备之间访问的安全性; 用户通过网络卫士防火墙认证系统,可以通过简洁方便的模式实现对多种协议 、多种类型、多种方式的用户实现认证,用户通过简单统一的认证模式便可以 实现全方位的认证。 网络卫士防火墙支持以下认证方式或协议: 本地认证(网络卫士防火墙内置的用户数据库) RADIUS 认证(使用RADIUS 第三方认证服务器) TACACS 认证(使用TACACS 第三方认证服务器) 证书认证(使用标准CA 证书认证) SecurID 认证(使用SecurID 方式认证) LDAP 认证(使用LDAP 认证) 域认证(使用WINDOWS 域认证)
天融信防火墙配置手册
NAT 在互联网的应用
•
隐藏了内部网络结构
•
内部网络可以使用私有IP地址
NAT原理-源地址转换
192.168.8.50 报头 数据
Internet:192.168.8.250
NAT转换
Intranet:192.168.1.250
源地址:192.168.8.250 目的地址:192.168.8.50
6.250 1.250
Internet 外网
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
天融信防火墙配置手册
防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES-M)为实例,来测试防火墙各 区域的访问控制机制:
目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企
业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网) 区域之间访问控制机制。
企业防火墙设置注意要点:
• 防火墙是企业安全的关键中枢,企业安全管理实施需要通过运用防 火墙访问策略来实现。
• 访问策略不只是从技术上考虑,最重要的是安全管理的需要来进行 设置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙辅助功能-查看CDP 邻居信息
网络卫士防火墙可以接受CDP(Cisco Discovery Protocol)消息,并识别出 相应的思科设备。使用CDP 功能的具体方法是选择 网络 > CDP,网络卫士 防火墙即可自动发现并识别出相邻的思科设备。
防火墙辅助功能-ARP及MAC地址
网络卫士防火墙内部维护了一张ARP 表,维护了网络卫士防火墙所学习到的主 机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时,会首 先查看ARP表,如目的IP 已经在ARP 表中,网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。
防火墙辅助功能-系统升级
设备支持基于TFTP 协议的升级方式和专用升级工具
注意:请在升级前进行系统备份!!! 请确认开放服务里是否有升级权限!
防火墙辅助功能-添加管理用户及 修改管理员口令
设备支持多级用户管理,不同类型的用户具有不同的操作权限。用户权限基本 可分为三种:超级管理员、管理用户与审计用户。超级管理员是系统的内建帐 号,具有全部的功能权限;管理用户可以设定和查看规则,但没有综合配置 (例如分配管理员、配置维护等)的权限。审计用户权限最小,只可以查看已 有规则,没有添加和修改规则的权限。
《云安全产品配置与应用》之防火墙篇(2/3) ——防火墙操作实践
本讲任务与学习目标
任务目标
任务1:了解 防火墙配置流程及管理方式 任务2:了解配置防火墙前需要弄清的几个问题 任务3:学习天融信防火墙基本功能应用 任务4:学习天融信防火墙特殊功能应用 任务5:学习天融信防火墙高级应用 任务6:学习天融信防火墙辅助功能
防火墙辅助工具-TCPDUMP抓包工具
通过CONSOLE或TELNET、SSH方式进入到>SYSTEM菜单下,输入 TCPDUMP命令进行抓包
防火墙辅助功能-日志设置
防火墙本身不存储日志信息,如果要保留相关日志,请安装随机光盘 的日志服务器软件。然后设置日志服务器地址,防火墙就会把日志信息 发送到日志服务器上
防火墙辅助功能-报警设置
设置触发报警的安全事件 管理管理员登陆或离线。 重要配置发生变化。 系统资源不足(如内存不足等等)。 系统硬件故障(如网卡、加密卡损坏等等)。 系统状态异常(除资源不足和硬件损坏)。 系统进行升级以及其他对外关键通信事件出现故障。 系统监测到攻击发生、违反了某条访问策略,并且此条访问策略还 规定了违反时必须报警等。 分为:邮件报警、声音报警、SNMP、NETBIOS、控制台报警
学习目标
掌握防火墙的配置准备工作及注意事项 掌握天融信防火墙的主要配置方法 掌握一般防火墙的故障处理过程
防火墙 系统时间
防火墙辅助功能-查看防火墙运行状 态
防火墙辅助功能-查看防火墙运行状 态
防火墙辅助功能-查看系统参数
防火墙辅助功能-ARP及MAC地址
设置ARP 代理 网络卫士防火墙提供ARP 代理功能。也就是说,当一个ARP 请求是发往一个不同子 网的主机地址的时候,如果该目的主机位于被代理的区域,网络卫士防火墙作为中间 设备,可以代为回答该ARP 请求。这样ARP 请求端会把网络卫士防火墙的物理接口 的MAC地址当成目的主机的MAC 地址,使它认为网络卫士防火墙就是目的主机,从 而达到保护目的主机的作用
如果选择代理类型为静态,则设置的ARP 代理将被保存;如果设置为动态,设 备重启后,需要重新配置ARP 代理
防火墙辅助功能-ARP及MAC地址
MAC地址表
网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表,保存了网络卫士防 火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士 防火墙转发数据帧时,会查看虚接口MAC 地址表,如果该目的MAC 在网络卫士防 火墙的MAC 地址表中,网络卫士防火墙将直接通过该MAC 地址所对应的接口发送 数据帧。
也可以自行添加 MAC地址
防火墙辅助功能-多播路由
网络卫士防火墙允许IP 多点广播数据报文穿越网络卫士防火墙。对于多播协议, 网络卫士防火墙支持IGMP V1 及IGMP V2。当防火墙工作在路由模式下,如果需 要转发多播数据包,管理员必须定义多播路由,
源地址”是多播服务器所在的地址或地址段。 “多播地址”是多播组的IP 地址,“源接 口”是多播流量的来源接口。如果选择“加 入”项,网络卫士防火墙可以在目的接口有 下游多播路由器的情况下,由防火墙设备定 时地向上游多播路由器发送加入报告 (joining report),以保证多播报文顺利 地转发给下游多播路由设备,维护多播树结 构。
防火墙辅助功能-开放服务
防火墙辅助功能-健康记录
管理员可以定期生成、下载设备的健康记录,以便当设备出现异常时,可以 帮助天融信的技术支持人员快速地定位并解决故障。
防火墙辅助功能-恢复出厂设置
系统除了提供上节所述的设备配置维护功能外,还提供了恢复出厂默认 配置的功能,以方便用户重新配置设备。恢复出厂配置后,设备的网络 接口地址可能会改变,配置信息会被清除,进而导致失去连接,请用户 提前做好准备。
防火墙辅助工具-TCPDUMP抓包工具
TCPDUMP [-c count] [-i interface] [expression] [| SENDLOG] [-c count]参数为设置抓包的个数,满足该条件后自动停止;如果省略, 则一直捕获,直到手动中断。 [-i interface]参数设置捕获通过防火墙某一接口的数据包,可以设置为 捕获防火墙某一接口的数据包,如-i eth1;也可以省略,则捕获通过防 火墙所有接口的数据包。 [| sendlog]参数设置将捕获的数据包以日志形式存储在防火墙中,而不显 示在命令行界面上。可以在防火墙GUI界面上通过查看‘管理日志’来显示 捕获的数据包。如省略该项参数的话,则捕获的数据包默认显示在命令行 界面上。 [expression]参数有很多表达式可选,这里只以实例介绍几个常用的参数, 详细信息请参见tcpdump技术资料。