神州数码防火墙实训

Juniper防火墙安装手册神州数码（深圳）有限公司二零零五年十二月Juniper 防火墙安装手册项目编号 Juniper200601 文档名称 Juniper防火墙安装手册编写人完成日期 2006.01.18文档修订记录：日期修订版本修订内容修订人2005.12.18 V1.0 NSRP设置、L2TP设置梁文辉2005.12.19 V1.0 透明模式、故障排除技巧刘平、李滨2006.01.16 V1.0 NAT模式和路由模式安装张坤目录一、透明模式 (5)1．1 、网络结构图 (5)1．２、配置文件 (5)二、NAT模式 (8)2．1 、网络结构图 (8)2．２、安装步骤 (8)2.2.1 初始化配置 (8)2.2.2 管理功能设置 (11)2.2.3 安全区 (12)2.2.4 端口设置 (13)2.2.5 设置路由 (14)2.2.6 NAT设置 (16)2.2.7 端口服务 (19)2.2.8 定义策略 (21)三、路由模式 (24)3．1 、网络结构图 (24)3．２、安装步骤 (24)3.2.1 初始化配置 (24)3.2.2 管理功能设置 (27)3.2.3 安全区 (28)3.2.4 端口设置 (29)3.2.5 Route 模式设置 (30)3.2.6 设置路由 (31)3.2.7 定义策略 (32)四、动态路由 (35)五、VPN (35)5.1 C LIENT TO SITE (35)5.2 建立L2TP (44)5.2.1网络结构图 (44)5.2.2配置防火墙 (45)5.5.3 测试 (54)六、HA (56)６．１、网络拓扑结构图 (56)６．２、设置步骤 (56)６．３、命令行配置方式 (57)６．４、图形界面下的配置步骤 (61)七、故障排除 (65)7.1 常用TROUBLESHOOTING命令 (65)7.1.1 get system (65)7.1.2 get route (65)7.1.3 get arp (66)7.1.4 get sess (66)7.1.5 debug (67)7.1.6 set ffilter (68)7.1.7 snoop (69)7.2 T ROUBLESHOOTING ROUTE (70)7.2.1 Example 1- no route (70)7.2.2 Example 2- no policy (70)7.3 T ROUBLESHOOTING NAT (71)7.3.1 Interface NAT-src (71)7.3.2 policy NAT-src (71)7.3.3 policy NAT-dst (72)7.3.4 VIP (74)7.3.5 MIP (74)7.4 T ROUBLESHOOTING VPN (75)7.4.1 常用调试命令 (75)7.4.2 常见错误（以下日志是从VPN接收端收集） (76)一、透明模式1．1 、网络结构图接口为透明模式时，NetScreen设备过滤通过防火墙的数据包，而不会修改IP数据包包头中的任何源或目的地信息。

神州数码大型企业网络防火墙解决方案神州数码大型企业网络防火墙整体解决方案，在大型企业网络中心采用神州数码DCFW-1800E防火墙以满足网络中心对防火墙高性能、高流量、高安全性的需求，在各分支机构和分公司采用神州数码DCFW-1800S 防火墙在满足需要的基础上为用户节约投资成本。

另一方面，神州数码DCFW-1800系列防火墙还内置了VPN 功能，可以实现利用Internet构建企业的虚拟专用网络。

返回页首防火墙VPN解决方案作为增值模块，神州数码DCFW-1800防火墙内置了VPN模块支持，既可以利用因特网（Internet）IPSEC 通道为用户提供具有保密性，安全性，低成本，配置简单等特性的虚拟专网服务，也可以为移动的用户提供一个安全访问公司内部资源的途径，通过对PPTP协议的支持，用户可以从外部虚拟拨号，从而进入公司内部网络。

神州数码DCFW-1800系列防火墙的虚拟专网具备以下特性：- 标准的IPSEC,IKE与PPTP协议- 支持Gateway-to-Gateway网关至网关模式虚拟专网- 支持VPN的星形（star）连接方式- VPN隧道的NAT穿越- 支持IP与非IP协议通过VPN- 支持手工密钥，预共享密钥与X.509 V3数字证书,PKI体系支持- IPSEC安全策略的灵活启用：管理员可以根据自己的实际需要，手工禁止和启用单条IPSEC安全策略，也为用户提供了更大的方便。

- 支持密钥生存周期可定制- 支持完美前项保密- 支持多种加密与认证算法：- 加密算法：DES, 3DES,AES,CAST,BLF，PAP，CHAP- 认证算法：SHA, MD5, Rmd160- 支持Client-to-Gateway移动用户模式虚拟专网- 支持PPTP定制：管理员可以根据自己的实际需要，手工禁止和启用PPTP。

返回页首防火墙双机热备方案为了保证网络的高可用性与高可靠性，神州数码DCFW-1800E防火墙提供了双机热备份功能，即在同一个网络节点使用两个配置相同的防火墙。

实验一：进入监控模式所谓“监控模式”，是指网络设备在没有加载路由（交换）操作系统之前所进入的模式，在这个模式下，可以进行基本的维护操作，如：清除设备登录密码、清除配置文件、升级路由（交换）操作系统、备份当前的路由（交换）操作系统……实验需求路由器（以DCR2659为例）一台PC机（要求具备COM口）一台控制台线缆一根超级终端类软件（以SecureCRT为例）实验步骤1）、连接好控制台线缆，一边接PC机的COM口，另一边接路由器的Console口2）、运行SecureCRT软件，进行相关配置，配置完成后，点“连接”图中“端口”那一项根据实际情况选择，一般情况下，如果电脑只有一个COM口，那么就选择COM1，也可以在Windows操作系统的“设备管理器”中查看端口名称。

3）、接通路由器的电源，按下开关后，立即重复按“Ctrl+Break”组合键实验二：清除login密码和enable密码基本上所有网络设备都包括“用户模式”和“特权模式”，在用户模式下，可以使用的命令很少，能做的修改很少；在特权模式下，可以做所有的修改操作。

同样，可以设置进入用户模式的密码和进入特权模式的密码。

如果密码忘记，那么就需要清除密码。

实验需求路由器（以DCR2659为例）一台PC机（要求具备COM口）一台控制台线缆一根超级终端类软件（以SecureCRT为例）实验步骤1）、首先进入“监控模式”2）、输入“？”号可以查看能够使用的所有命令3）、nopasswd命令用于清除“enable”密码，即特权模式密码，但不能清除login密码。

而且清除enable密码后，无法进入特权模式，提示“当前等级没有设置enable密码”，这个应该是神州数码的一个bug重启后，登录提示：4）、删除配置文件可以清除路由器的所有配置信息，包括任何密码设置，慎用实验三：备份路由（交换）操作系统文件电脑安装了操作系统后才能正常工作，同样，路由器也需要路由操作系统，路由器的操作系统一般存放在路由器的flash存储卡上。

防火墙实验实验报告1：防火墙基本配置和过滤规则实验实验目的：了解防火墙的基本配置和过滤规则的设置，掌握防火墙的基本工作原理和功能。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外网接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙策略：根据实际需求，配置防火墙的入站和出站规则。

可以设置允许或拒绝特定IP地址、端口或协议的流量通过防火墙。

启用防火墙并测试：保存配置并启用防火墙，然后通过实验主机进行网络连接和通信测试，观察防火墙是否按照预期进行流量过滤和管理。

实验结果和分析：通过正确配置和启用防火墙，实验主机的网络连接和通信应该受到防火墙的限制和管理。

只有符合防火墙策略的网络流量才能通过，不符合策略的流量将被防火墙拦截或丢弃。

通过观察实验主机的网络连接和通信情况，可以评估防火墙的工作效果和安全性能。

实验总结：本次实验通过配置防火墙的基本设置和过滤规则，掌握了防火墙的基本工作原理和功能。

实验结果表明，正确配置和启用防火墙可以提高网络的安全性和稳定性。

实验报告2：防火墙日志分析实验实验目的：了解防火墙日志的产生和分析方法，掌握通过分析防火墙日志来识别潜在的安全威胁和攻击。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙日志：在防火墙设备中启用日志记录功能，并设置日志记录级别和存储位置。

进行网络活动：通过实验主机进行各种网络活动，包括浏览网页、发送邮件、进行文件传输等。

XXXXXXXXX学校防火墙技术课程设计总结报告课程：班级：姓名：学号：指导老师：实训地点：成绩：目录：1. windows 2003防火墙的配置；2. 天网防火墙的配置及其测试；3. ISA企业级防火墙（2006版）的配置4. 基于网络设备类型X86平台的硬件防火墙的结构以及工作原理。

一、windows 2003防火墙的配置：1.在server 2003 中启用防火墙服务：2.打开‘Windows 防火墙’属性窗口，在常规对话框中选择‘启用’并勾选‘不允许例外’：3.点击‘例外’属性，在选择按钮中点击‘添加程序’：4.在弹出的二级对话框中点击‘浏览’按钮：5.在弹出的三级对话框中选中在启用防火墙的情况下不允许例外放行的程序，点击‘打开’按钮，确定后完成此步骤的操作：6.下一步开始设置防火墙的高级选项，在勾选对话框中的‘本地连接’后单击‘设置’按钮：7.进入‘服务’属性选项卡，勾选在启用防火墙的情况下允许运行在本地连接上的网络服务：8.选择‘ICMP’属性，选择来自Internet的此计算机将要响应的信息请求类型：windows 2003防火墙的配置完成。

二、天网防火墙的配置及其测试：1.在系统设置中勾选‘开机后自动启用防火墙’选项以及设定局域网的地址：2.在‘管理权限设置’属性选项卡中点击‘设置密码’按钮，设定密码后点击‘确定’：3.在‘日志管理’属性选项卡中勾选‘自动保存日志’并选择保存路径：4.在‘入侵检测设置’属性选项卡中，勾选‘启用入侵检测功能’并设置‘默认静默时间’：5.在‘应用程序规则’设置中添加已安装的应用程序的网络访问规则，具体设置如下：6.在‘IP规则管理’属性设置中，增加必要的IP规则对外部网络所进行的访问进行必要的监控，具体设置如下所示：7.在天网防火墙系统中，应用程序网络使用状态部分显示界面截图：8.针对其他网络访问内网的IP规则测试：三、ISA企业级防火墙（2006版）的配置：1、打开ISA服务器管理，会看到已经创建好的阵列，点击阵列名称——配置会看到网络选项，邮件单击，选择启动网络负载平衡集成：2、点击后会弹出网络负责平衡集成向导，点击下一步：3、选择启用负载均衡的网络，我们选择内部：4、点击完成，配置好负载均衡：5、字防火墙策略中，右键单击——选择新建——访问规则：6、打开想到后，添加访问规则的名称（名字要比较容易理解，避免以后规则过多混乱）：7、选择允许，点击下一步：8、此处选择所选协议，单击添加：9、选择需要允许通过的协议，点击确定：10、确定协议后，点击下一步：11、添加源网络：12、选择目标网络：13、单击添加选择账户类型点击下一步：14、创建好后，点击完成：15、点击阵列——网络——双击内部打开属性：16、在web代理处，选择“为此网络启用web代理客户端连接”并设置代理端口；点击身份验证配置身份验证方法：17、选择身份验证为“集成”，也就是通过AD域验证的方式，点击确定：18、配置好ISA服务器后，在左上角可以看到“应用”：19、应用后，选择“保存更改并重启服务”：20、保存完成后，5分钟左右配置生效：四、基于网络设备类型X86平台的硬件防火墙的结构以及工作原理：防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，分别如下：通用CPU架构:通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

《防火墙系统实训指导》目录实训1 管理防火墙配置文件 (1)实训2 配置防火墙SNAT (5)实训3 配置防火墙透明模式策略 (10)实训4 配置防火墙DHCP (16)实训5 配置防火墙负载均衡 (20)实训6 配置防火墙源路由 (24)实训7 配置防火墙记录上网URL (28)实训8 配置防火墙双机热备 (33)实训1 管理防火墙配置文件DCFW-1800系列防火墙的配置信息都被保存在系统的配置文件中。

用户通过运行相应的命令或者访问相应的WebUI页面查看防火墙的各种配置信息，例如防火墙的初始配置信息和当前配置信息等。

配置文件以命令行的格式保存配置信息，并且也以这种格式显示配置信息。

1.1实训目标学会查看和保存防火墙的配置信息，同时还要了解如何导出和导入配置文件。

1.2实训设备实训拓扑如图1-11所示。

图1-11 防火墙基本管理环境搭建掌握防火墙管理环境的搭建和配置方法，熟练使用各种管理方式管理防火墙。

1.3实训实施1.3.1 将当前配置文件保存在本地通过图形界面访问页面“系统——维护——配置——管理”。

单击保存按钮，这样就可以将当前配置文件保存到本地进行查看。

如图 1-12所示.图 1-12 配置文件保存单击保存键，为配置文件选取合适的路径和文件名即可保存。

如图1-13所示。

Console 线网线图1-13 为防火墙配置文件起名字这样防火墙的当前配置文件就可以保存在本地，我们也可以使用写字板将此文件打开，查看防火墙的配置。

1.3.2 将本地的配置上传到防火墙并调用该配置访问页面“系统——维护——配置——管理”。

单击浏览按钮，从本地选择将要上传的配置文件，如图1-14所示。

图1-14 配置文件的上传单击升级，完毕后直接重启设备即可。

设备启动完毕后的配置为上传的配置文件。

1.3.3 将防火墙配置恢复到出厂将防火墙恢复到出厂的方法有三种：1.用户使用设备上的物理按钮（CLR）使系统恢复到出厂配置。