03联想网御防火墙安装调试培训.pdf-淘文阁

资源描述

《03联想网御防火墙安装调试培训.pdf》由会员分享，可在线阅读，更多相关《03联想网御防火墙安装调试培训.pdf（10页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、本文由k e m j i o n g 贡献 p p t 1。联想网御防火墙安装调试培训目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙的配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理 1、登录防火墙管理页面登录防火墙管理页面?1.1 1.2 1.3 1.4 安装调试前的工作安装调试的准备工作管理方式简介登录防火墙 1.1安装调试前的工作 1.1安装调试前的工作拆箱检查请安照装箱单的提示进行检查机箱

2、内所有的配件：防火墙主机、USB电子钥匙、随机光盘(电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序)、电源线、网线(交叉线）、串口线、安装支架、保修卡 *注：如发现有问题，请及时与你的供货商进行沟通解决。注如发现有问题，请及时与你的供货商进行沟通解决。1.1安装调试前的工作 1.1安装调试前的工作前期工作一、第一时间内填写保修卡的回执卡，并邮寄回联想公司，以便于成为联想公司永远服务的对象。二、在线服务网站联想信息安全网站为h t t p:/w w w.l e a d s e c.co m.c n 用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档，并且提供

3、在线问答等特色服务。三、进行产品注册，请您详细填写用户名、通信地址、联系电话、Em a i l 地址等信息，以便于将新的技术成果迅速及时的传递给您！1.2安装调试的准备工作一、接通防火墙电源，开启防火墙(听到“滴滴滴)后防火墙启动完成)二、选用一台带USB接口、以太网卡和光驱的PC机作为防火墙的管理主机，操作系统应为 Wi n d o w 98/2000/XP/2003(暂不支持l i n u x、u n i x)三、使用随机提供的交叉线，连接管理主机和防火墙的FE1网口10.1.5.254(出厂默认的地址),将管理主机的IP地址改为10.1.5.200（防火墙出厂时默认指定的管

4、理主机IP）1.3管理方式介绍支持多种管理方式；支持多种管理方式；?串口命令行管理串口命令行管理-常用于灾难的恢复工作 We b 页面管理页面管理We b 页面管理-常用于正常管理 s s h 远程管理远程管理s s h 远程管理-常用于管理调试集中管理集中管理-方便管理 PPP远程拨号接入远程拨号接入PPP远程拨号接入-专线远程拨入 1.4登录防火墙 A.电子钥匙认证电子钥匙认证认证方式需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。程序。B.证书认证证书认证需要导入IE证书，和防火墙证书证书与防火墙证需要导入证书，和防火墙证书(IE证书与防火墙证证书书要

5、一一对应，防火墙证书支持页面与串口两种方式。书要一一对应，防火墙证书支持页面与串口两种方式。1.4登录防火墙电子钥匙认证安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的k e y 目录，执行该目录下的INSTDRV，提示“退出请重新插锁”。则表示已正确安装完网御电子钥匙的驱动程序。*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。p a g e 1 注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意口电子钥匙认证点击“退出请重新插锁”后装电子钥匙插入管理点击“退出请重新插锁”主机USB接口中，XP/2000/200

6、3系统提示自动搜 USB接口中主机USB接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程序,自动安装即可。索电子钥匙驱动程序,自动安装即可。1.4登录防火墙 *注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口。注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意口 1.4登录防火墙电子钥匙认证在管理主机上，运行随机光盘a d m i n i s t r a t o r 目录下的i k e y c 程序,程序将提示用户输入PIN口令首次使用默认PIN为“12345678”，1.4登录防火墙电子钥匙认证通过后弹出管理员身份认证

7、对话框,首次登录点击“连接”成功后,会显示“通过认证”对话框。退出防火墙管理之前请不要关闭此页面 *注：在管理防火墙过程中，本程序每5秒将向防火墙提交一次认证信息，因此，不注在管理防火墙过程中，本程序每秒将向防火墙提交一次认证信息因此，秒将向防火墙提交一次认证信息，能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。1.4登录防火墙电子钥匙认证通过认证程序后，在IE中输入h t t p s:/防火墙IP:8888出厂默 h t t p s:/防火墙防火墙IP:8888 认地址10.1.5.

8、254，默认的用户密码a d m i n i s t r a t o r 1.4登录防火墙电子钥匙认证 1.4登录防火墙证书认证一、使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。证书导入到防火墙上并启用。导入IE浏览器证书。IE浏览器证书二、导入IE浏览器证书。1.4登录防火墙证书认证首先以电子钥匙方式登录到防火墙，进入“系统配置”“管理配置”“管理员证书”-管理员证书模块中选择浏览，在本地计算机文件夹中选择c a.pe m、f w.p e m、f w k e y.p e m 分别对应防火墙的中的CA中心证书、安全网关证书、安全网关密钥。点击“导入”。然后

9、在本地计算机文件夹中再选择a d m i n i s t r a t o r.p e m 对应防火墙的中的管理员证书，点击“导入”1.4登录防火墙证书认证导证书选择选项 1.4登录防火墙证书生效证书认证保存配置 1.4登录防火墙证书认证导入防火墙证书要导入相对应的IE浏览器证书.导入防火墙证书要导入相对应的IE浏览器证书.IE浏览器证书在管理主机本地双击IE浏览器证书，IE浏览器证书在管理主机本地双击IE浏览器证书，按照提示进行安需要输入密码时输入“h h h h h h”p a g e 2装，需要输入密码时输入“h h h h h h”，当出现导入成功后点击确

10、定完成。功后点击确定完成。1.4登录防火墙证书认证当防火墙与IE证书均导入成功后，当防火墙与IE证书均导入成功后，我们在管理 IE证书均导入成功后主机打开IE IE浏览器并输入主机打开IE浏览器并输入h t t ps:/防火墙i p:8889出厂默认IP 10.1.5.254,IP为默认IP为10.1.5.254,出现选择证书提示后点击确定”“确定”1.4登录防火墙证书认证出现安全警报后点击“出现安全警报后点击“是（Y)”就会出现防火墙”登录页面 XP系统请确认浏览器中系统请确认IE浏览器中选项-隐私选项中的阻止弹出窗口选取去掉：系统请确认浏览器中i n t e r

11、 n e t 选项隐私选项中的阻止弹出窗口选取去掉：如下图选项隐私选项-中的阻止弹出窗口选取去掉 1.4登录防火墙证书认证用户名密码为:用户名密码为:a d m i n i s t r a t o r/a d m i n i s t r a t o r 目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙的配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理 2防火墙界面介绍管理首页 2防火墙界面介绍各级子菜单 2防火墙界面介绍管理配置-管理主机 2防火墙界面介绍管理方式设定 2防火墙界面介绍与IDS联动设置 2防火墙界面介绍网络配置

12、2防火墙界面介绍网桥设备 2防火墙界面介绍物理设备这里可以设定是否被管理，是否可以PING，等功能。2防火墙界面介绍网桥设备 2防火墙界面介绍域名服务器 2防火墙界面介绍静态路由 2防火墙界面介绍 HA双机热备 2防火墙界面介绍 HA探测网口 2防火墙界面介绍 HA探测i p 2防火墙界面介绍连接管理p a g e 3 2防火墙界面介绍连接规则 2防火墙界面介绍连接状态 2防火墙界面介绍连接排行 2防火墙界面介绍安全选项默认全通/全禁 2防火墙界面介绍包过滤规则 2防火墙界面介绍端口映射规则 2防火墙界面介绍 IP映射规则 2防火墙界面介绍 NAT规则 2防火墙界面

13、介绍代理服务 2防火墙界面介绍地址绑定 2防火墙界面介绍定义地址列表 2防火墙界面介绍定义域名地址 2防火墙界面介绍定义域名地址 2防火墙界面介绍定义地址组 2防火墙界面介绍定义地址池 2防火墙界面介绍定义服务器地址 2防火墙界面介绍定义服务 2防火墙界面介绍定义动态服务 2防火墙界面介绍 ICMP服务 2防火墙界面介绍定义基本服务 2防火墙界面介绍定义服务组 2防火墙界面介绍系统监控目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙的配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理 3防火墙的配置管理?安全规则包流经规则的

14、顺序：应用代理，端口映射，包流经规则的顺序：应用代理，端p a g e 4口映射，IP 映射，过滤规则，映射，过滤规则，地址转换增加源端口，源MAC地址，URL过滤，网页关键增加源端口，MAC地址，URL过滤，地址过滤字过滤，入网口，出网口，时间调度，字过滤，入网口，出网口，时间调度，长连接等选项端代理规流入则则规则则射规规则口映射 IP 映 NAT 规流出 3防火墙的配置管理端口映射 3防火墙的配置管理 IP映射注意：如果源地址包含管理主机，公开地址是防火墙的管理IP，该管理主机将不能管理防火墙。3防火墙的配置管理端口映射如果取消选中，

15、既能通过公开地址和端口访问内部服务器，也可以直接访问服务器；如果选中，只能通过公开地址和端口访问内部服务器。源端口可以用英文逗号分割表示多个端口，或用英文冒号分割表示端口段注意：下一条IP 映射规则，如果没有选择“包过滤缺省策略通过”，还必须再下一条相应的包过滤规则才能生效。方法如下：包过滤规则的源地址是IP 映射规则的源地址，包过滤规则的目的地址是IP 映射规则的内部地址。3防火墙的配置管理包过滤 3防火墙的配置管理 NAT 注意：设置一条NAT 规则，必须再设置一条相应的包过滤规则才能生效。串口命令行命令介绍?a c s y s t e m s h o w (显示系统信息防

16、火墙序列号、版本号)?a c i n t e r f a c e s h o w a l l (显示所有网络端口的i p)?a c i n t e r f a c e s e t p h y if f e 3 i p 1.1.1.1 n e t m a s k 255.255.255.0 a c t i v e o n a d m i n o n p i n g o n（设定f e 3的i p 为1.1.1.1 255.255.255.0 网口启用允许w e b 管理、p i n g）?a c a d m h o s t s h o w(查看管理主机i p)?a c a d m h o s t

17、 a d d i p 192.168.0.1(添加一个地为192.168.0.1的管理主机)?a c c o n f i g s a v e (防火墙配置保存)串口命令行抓包命令介绍（TCPDUMP）串口命令行抓包命令介绍（）?使用随机所附的串口线(兰)，将防火墙的c o n s o l e 与一台装有超级终端的个人计算机的串口连接起来。?设置超级终端的波特率：9600；数据位：8；奇偶校验：无；停止位：1；流量控制：硬件/无?用户名：d u m p；密码：d u m p；通过“?”命令查看可用命令?Tc p d u m p 命令使用参数如下：?t c p d u m p -C f i

18、 l e _s i z e -F f i l e -i in t e r f a c e r f i l e -T t y p e -w f i l e -E a l g o:s e c r e t e x p r e s si o n 例如：例如：1、t c p d u m p i e t h 0 h o s t 83.16.16.1?e t h 0 是对应防火墙前面板的FE1口，是在Et h 0网口上数据抓包。?h o s t 83.16.16.1 是指对83.16.16.1这台主机进行数据抓包。?此条命令是指:在防火墙e t h 0网口对主机83.16.16.1 的所有访问进行数据抓

19、包。?2、t c p d u m p i e t h 0 d s t h o s t 83.16.16.1 a n d p o r t 53?d s t h o s t 83.16.16.1 是指对目标主机83.16.16.1进行数据抓包。?p o r t 53 是指对目标主机83.16.16.1 的53端口进行数据抓包。?此条命令是指:在防火墙e t h 0网口对目标主机83.16.16.1 的53端口上进行数据抓包。3、t c p d u m p i e t h 0 s r c h o s t 83.84.16.1 d s t h o s t 83.16.16.1 a n d p o

20、r t 53?此条命令是指:在防火墙e t h 0网口上对源地址是 83.84.16.1 对目标地址是83.16.16.1 的端口53进行数据抓包?t c p d u m p 命令主要是用在对应用服务器无法确定开放服务端口时，用此命令来分析应用服务器的端口是多少。目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙的配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理典型应用环境p a g e 5 拓朴图三网口路由典型应用环境一、需求描述三网口路由内部网络区段主机的缺省网关指向f e 1的IP地址192.168.1.1；DMZ网络区段的主机的缺

21、省网关指向f e 3的IP地址172.16.1.1；防火墙的缺省网关指向路由器的地址202.100.100.1。WWW服务器的地址是172.16.1.10，端口是80；MAIL服务器的地址是172.16.1.11，端口是25和110；FTP服务器的地址是 172.16.1.12，端口是21。安全策略的缺省策略是禁止。允许内部网络区段访问DMZ网络区段和In t e r n e t 区段的h t t p,sm t p，p o p 3，f t p 服务；允许In t e r n e t 区段访问DMZ网络区段的服务器。其他的访问都是禁止的。典型应用环境二、网络设备配置三网口路由网络配

22、置网络设备编辑物理设备f e 1，将它的IP地址配置为192.168.1.1，掩码是 255.255.255.0。编辑物理设备f e 3，将IP地址配置为172.16.1.1，掩码是 255.255.255.0。编辑物理设备f e 4，将IP地址配置为202.100.100.3，掩码是 255.255.255.0。网络配置静态路由：添加下一跳地址是202.100.100.1的默认路由。目的地址，掩码都是0.0.0.0，接口选择f e 4。典型应用环境三、策略配置三网口路由添加源地址是192.168.1.0/24，目的地址是a n y，服务是h t t p，动作是允许的包过滤规则。添加源

23、地址是192.168.1.0/24，目的地址是a n y，服务是s m t p，动作是允许的包过率规则。添加源地址是192.168.1.0/24，目的地址是a n y，服务是p o p 3，动作是允许的包过滤规则。添加源地址是192.168.1.0/24，目的地址是a n y，服务是f tp，动作是允许的包过滤规则。添加源地址是192.168.1.0/24，目的地址是a n y，服务是a n y 的NAT规则。添加源地址是a n y，目的地址172.16.1.10，服务是h t t p，动作是允许的包过滤规则。添加源地址是a n y，目的地址172.16.1.11，服务是s m t p，动作是

24、允许的包过滤规则。添加源地址是a n y，目的地址172.16.1.11，服务是p o p 3，动作是允许的包过滤规则。添加源地址是a n y，目的地址172.16.1.12，服务是f t p，动作是允许的包过滤规则。添加公开地址是202.100.100.3，对外服务是h t t p，内部地址是172.16.1.10，内部服务是h t t p 的端口映射规则。添加公开地址是202.100.100.3，对外服务是s m t p，内部地址是172.16.1.11，内部服务是 s m t p 的端口映射规则。添加公开地址是202.100.100.3，对外服务是p o p 3，内部地址是172.16.

25、1.11，内部服务是 p o p 3的端口映射规则。添加公开地址是202.100.100.3，对外服务是f t p，内部地址是172.16.1.12，内部服务是f t p 的端口映射规则。典型应环境三网口混合模式典型应环境一、需求描述三网口混合模式 f e 1工作在透明模式，f e 3工作在透明模式，f e 4工作在路由模式，IP地址是202.100.100.3，掩码是255.255.255.0。桥接设备b r g 0的IP地址是10.10.10.1，掩码时255.255.255.0。内网网络区段的缺省网关是10.10.10.1，DMZ网络区段的缺省网关是 10.10.10.1

26、。防火墙的缺省网关是202.100.100.1。防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内网网络区段访问In t e r n e t 和DMZ，允许In t e r n e t 访问DMZ，其他的访问都禁止。典型应环境二、网络设备配置三网口混合模式编辑桥接设备b r g 0，配置它的IP地址是10.10.10.1，掩码是 255.255.255.0，选p a g e 6择可管理。编辑物理设备f e 1，选择它的工作模式是“透明模式”。编辑物理设备fe 3，选择它的工作模式是“透明模式”。编辑物理设备f e 4，配置它的IP地址为202.100.100.3，掩码是 255.2

27、55.255.0。静态路由：添加网关是202.100.100.1的缺省路由。典型应环境三、策略配置三网口混合模式策略配置需要先定义如下的资源：LOCAL_NET：10.10.10.2到10.50.10.50，地址段。DMZ_NET：10.10.10.2到10.50.10.50，地址段。WWW_SERVER：10.10.10.100，掩码是255.255.255.255，主机地址。MAIL_SERVER：10.10.10.101，掩码是255.255.255.255，主机地址。FTP_SERVER：10.10.10.102，掩码是255.255.255.255，主机地址。INTERNET：

28、!10.10.10.0，掩码是255.255.255.0，取反网络地址。典型应环境三、策略配置三网口混合模式添加源地址是LOCAL_NET，目的地址是a n y，服务是h t t p，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是s m t p，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是p o p 3，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是f t p，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是INTERNET，服务是a n y 的NAT规则

29、。添加源地址是INTERNET，目的地址是WWW_SERVER，服务是h t t p，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是s m t p，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是p o p 3，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是FTP_SERVER，服务是f t p，动作是允许的包过滤规则。添加源地址是INTERNET，目的地址是WWW_SERVER，服务是h t t p 的端口映射规则。添加源地址是INTERNET，目的地址是MAIL_SERV

30、ER，服务是s mt p 的端口映射规则。添加源地址是INTERNET，目的地址是MAIL_SERVER，服务是p o p 3的端口映射规则。添加源地址是INTERNET，目的地址是FTP_SERVER，服务是f t p 的端口映射规则。典型应环境三网口透明模式典型应环境一、需求描述三网口透明模式 f e 1工作在透明模式，f e 3工作在透明模式，f e 4工作在透明模式。桥接设备b r g0的IP地址是10.10.10.1，允许管理。防火墙的缺省安全策略是禁止。区段间的安全策略是：允许内部网络区段访问DMZ区段和INTERNET的h t t p，s m t p，p o p 3，

31、f t p 服务，允许INTERNET区段访问DMZ网络的h t t p，s m t p，p o p 3，f t p 服务。其他的访问都禁止。典型应环境二、网络设备配置三网口透明模式编辑桥接设备b r g 0，将它的IP地址配置为10.10.10.1，掩码是 255.255.255.0，允许管理，确定。编辑物理设备f e 1，选择工作模式为“透明”，确定。编辑物理设备f e 3，选择工作模式为“透明”，确定。编辑物理设备f e 4，选择工作模式为“透明”，确定。典型应环境三、策略配置三网口透明模式在策略配置前，先添加如下的资源：LOCAL_NET：10.10.10.2到10.10.

32、10.50，网络地址段。DMZ_NET：10.10.10.100到10.10.10.150，网络地址段。EXTERNAL_NET：10.10.10.200到10.10.10.254，网络地址段。INTERNET：地址是10.10.10.0，掩p a g e 7码是255.255.255.0，反网络地址。WWW_SERVER：地址是10.10.10.100，掩码是255.255.255.255。MAIL_SERVER：地址是10.10.10.101，掩码是255.255.255.255.。FTP_SERVER：地址是10.10.10.102，掩码是255.255.255.255。典型应环境三、

33、策略配置三网口透明模式添加源地址是LOCAL_NET，目的地址是a n y，服务是h t t p，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是s m t p，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是p o p 3，动作是允许的包过滤规则。添加源地址是LOCAL_NET，目的地址是a n y，服务是f t p，动作是允许的包过滤规则。LOCAL_NET a n y f t p 添加源地址是a n y，目的地址是WWW_SERVER，服务是h t t p，动作是允许的包过滤规则。添加源地址是a n y，目的地址

34、是MAIL_SERVER，服务是s m tp，动作是允许的包过滤规则。添加源地址是a n y，目的地址是MAIL_SERVER，服务是p o p 3，动作是允许的包过滤规则。添加源地址是a n y，目的地址是FTP_SERVER，服务是f t p，动作是允许的包过滤规则。目录 1 防火墙登录管理 2 防火墙的功能模块的配置使用 3 防火墙的配置管理 4 防火墙产品的典型应用 5 防火墙产品的日常管理及故障处理 5防火墙产品的日常管理及故障处理防火墙在配置与使用过程中，防火墙在配置与使用过程中，如果配置不当往往会造成防火墙无法管理，配置不当往往会造成防火墙无法管理，网络中断等现场。网络中断等

35、现场。为了有效的避免这些故障的发生，故障的发生，我们在配置过程中应该注意以下的问题。意以下的问题。5防火墙产品的日常管理及故障处理电子钥匙认证问题电子钥匙连接防火墙时提示“认证失败，请检查IP IP地址及 1)电子钥匙连接防火墙时提示“认证失败，请检查IP地址及网络”网络”.处理方法:防火墙设置的管理主机的地址和目前正在使处理方法防火墙设置的管理主机的IP地址和目前正在使防火墙设置的管理主机的用的管理主机地址不一致造成,更改管理主机更改管理主机i p.用的管理主机地址不一致造成更改管理主机 2)电子钥匙认证时窗口弹出一个空白电子钥匙认证时窗口弹出一个空白.电子钥匙认证

36、时窗口弹出一个空白处理方法:防火墙的电子钥匙的号中有一个空格的存在,防火墙的电子钥匙的ID号中有一个空格的存在处理方法防火墙的电子钥匙的号中有一个空格的存在需要重新写电子钥匙。需要重新写电子钥匙。5防火墙产品的日常管理及故障处理防火墙策略配置问题防火墙中配置了端口映射或IP映射规则后，防火墙中配置了端口映射或IP映射规则后，为什么外网 IP映射规则后和内网用户还是无法访问DMZ区服务器？DMZ区服务器和内网用户还是无法访问DMZ区服务器？处理方法：在配置了映射规则后，处理方法：在配置了映射规则后，还需要配置相应的包过滤规则才可以。过滤规则才可以。5防火墙产品的日常管理及故

37、障处理管理主机配置问题为什么我们更改了防火墙的f e 1口的地址后,为什么我们更改了防火墙的f e 1口的地址后,却管理不 f e 1口的地址后上了?上了?当我们更改防火墙的网络接口的同时，要确认你已经当我们更改防火墙的网络接口的同时，添加了此接口网段的管理主机，否则你将无法管理防火添加了此接口网段的管理主机，没有用的管理主机址尽量删除，因为管理主机的IP 墙。没有用的管理主机址尽量删除，因为管理主机的IP 地址是做为管理防火墙的一个很重要的条件。地址是做为管理防火墙的一个很重要的条件。5防火墙产品的日常管理及故障处理网络设备配置问题当不同的设备地址进行工作模式的转换时候，当不同

38、的设备地址进行工作模式的转换时候，注意它的附加选项。如拨号设备要先关闭管理属性才能删除。的附加选项。如拨号设备要先关闭管理属性才能删除。当墙连接的对端的设备工作速率不支持自适应的时候，当墙连接的对端的设备工作速率不支持自适应的时候，要注意设p a g e 8定墙接口的工作方式与速率。要注意设定墙接口的工作方式与速率。5防火墙产品的日常管理及故障处理防火墙名称命名问题防火墙的名称可以用中文名吗?防火墙的名称可以用中文名吗?在防火墙的内部程序中，有很多程序处理不了中文名在防火墙的内部程序中，所以在资源定义，导入导出，字。所以在资源定义，导入导出，规则名称等地方尽量或不使用中文名字。或不使

39、用中文名字。5防火墙产品的日常管理及故障处理防火墙路由配置问题防火墙可以添加多条默认路由吗?防火墙可以添加多条默认路由吗不可以添加相同目的地址的多条路由，不可以添加相同目的地址的多条路由，但可以添加多条默认路由,如果存在多条默认路由如果存在多条默认路由，多条默认路由如果存在多条默认路由，同时启用的只能有一条。5防火墙产品的日常管理及故障处理安全规则生效顺序防火墙规则根据作用顺序分为代理、端口映射、防火墙规则根据作用顺序分为代理、端口映射、IP映射、包过滤、NAT规则五类。其中代理规则是最优映射、规则五类。映射包过滤、规则五类先生效的规则，最后为NAT，这几类规则在界面

40、上排列先生效的规则，最后为，我们的规则要尽量精简，的顺序也体现了这一顺序.我们的规则要尽量精简，目我们的规则要尽量精简的是为了让墙处理的更快。的是为了让墙处理的更快。5防火墙产品的日常管理及故障处理资源定义引用问题为什么有一个被引用的安全规则不能被删除？为什么有一个被引用的安全规则不能被删除？处理方法:资源被规则使用或被组引用时不进行删除，处理方法资源被规则使用,或被组引用时不进行删除，资源被规则使用或被组引用时,不进行删除必须从规则中或引用组中删掉后，必须从规则中或引用组中删掉后，才可以进行删除.5防火墙产品的日常管理及故障处理防火墙资源状态问题为什么刚刚登陆到防火

41、墙的界面后CPU利用率有时为什么刚刚登陆到防火墙的界面后CPU利用率有时 CPU 会变得很高？会变得很高？这是正常的，因为登陆时占用资源比较多，这是正常的，因为登陆时占用资源比较多，造成了瞬时CPU利用率增高。瞬时利用率增高 5防火墙产品的日常管理及故障处理防火墙配置保存问题为什么防火墙配置完毕,重启后配置却丢失了?为什么防火墙配置完毕,重启后配置却丢失了?配置过程中防火墙的规则生效的，这样就会造成一配置过程中防火墙的规则生效的，个错觉，认为配置已经保存下来了，个错觉，认为配置已经保存下来了，实际上只是生效并没有保存下来，没有保存下来，因此需要我们手工的保护才能在防火墙重启以后

42、保留你的配置。重启以后保留你的配置。5防火墙产品的日常管理及故障处理配置导入导出问题配置的导入导出分析配置与解决问题的好方法。当配置的导入导出分析配置与解决问题的好方法。使用防火墙的过程中我们要经常的备份防火墙的配置文以便于我们对于处理故障更有效。件，以便于我们对于处理故障更有效。5防火墙产品的日常管理及故障处理防火墙页面超时问题为什么有时登陆防火墙时会弹出超时界面呢?为什么有时登陆防火墙时会弹出超时界面呢?退出防火墙操作时尽量点击界面上的“退出”按钮，退出防火墙操作时尽量点击界面上的“退出”按钮，而不要直接关闭浏览器。退出”按钮，而不要直接关闭浏览器。按“退出”按钮，则防火墙可

43、以判定这个会话结束了。如果直接关闭防火墙界面,会话以判定这个会话结束了。如果直接关闭防火墙界面会话超时,所以登陆时会弹出超时界面所以登陆时会弹出超时界面.就会一直保持到超时所以登陆时会弹出超时界面 5防火墙产品的日常管理及故障处理软件升级与补丁下载详细填写我们的产品回执卡注册为我们的会员，详细填写我们的产品回执卡注册为我们的会员，定期 w w w.l e a d s e c.c o m.c n 网站上查看相应的补丁通知等信网站上查看相应的补丁通知等信息。并留意我们在网站上公布的一些最新的安全漏洞等信p a g e 9息。信息。拨打我们的热线电话010-82167766,与我们的技术专与我们的技术专拨打我们的热线电话家取得联系.家取得联系问题交流?问题交流?谢谢p a g e 10

展开阅读全文