《网康下一代防火墙--上线指南(新).pptx》由会员分享,可在线阅读,更多相关《网康下一代防火墙--上线指南(新).pptx(30页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、20122012年年1111月月网康互联网控制网关NGFW网康产品上线指南提纲镜像模式配置NGFW部署模式NGFW上线指南网关模式配置网桥模式配置NowNow|Page 2 镜像模式不改变现有网络拓扑补充主动防御分析能力深度洞察威胁及时发现未知威胁异构组网联合形成全方位防护体系具备应用层防护能力全面应对下一代威胁桥接模式网关模式替换现有防护体系支持传统防火墙所有功能具备应用层防护能力全面应对下一代威胁NGFW主要部署方式NGFWNGFWNGFWNS-ICG上线指南 提纲上线信息收集NS-ICG上线概述应急与回退操作NS-ICG远程协助|Page 4 镜像模式配置NGFW部署模式NGFW上线指南
2、网关模式配置网桥模式配置NowNow NS-ICG上线指南网关模式(单出口)明确网络拓扑信息及外网接入方式 1.静态地址(互联地址信息)、ADSL拨号(拨号账号及密码)、DHCP 2.完成网络拓扑信息(是否有DMZ、DNS服务器位置)3.用户和服务器需要SNAT、DNAT、BNAT(双向)明确网络地址信息 1、出口多IP信息、内网口IP信息、路由信息 2、各服务器IP及映射端口 3、NAT源、目的地址明确设备上线的断网时间段,不会给客户造成损失 设备上线准备上线准备上线准备线下配置线下配置设备上架设备上架网络割接网络割接验证配置验证配置|Page 5 设备访问 NGFW上线指南透明网桥模式设备
3、架下上电,启动;NGFW设备的出厂默认IP信息为:“192.168.1.23/24”,修改PC网络配置为该地址段地址,用网线连接至设备的“MGT”接口;使用浏览器访问“https:/192.168.1.23”,登录设备;默认系统管理员用户名:admin密 码:ngfw2012线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 6 设备访问 NGFW上线指南透明网桥模式NGFW首界面,设备登录成功。线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 7 NS-ICG上线指南 提纲上线信息收集NS-ICG上线概述应急与
4、回退操作NS-ICG远程协助|Page 8 镜像模式配置NGFW部署模式NGFW上线指南网关模式配置网桥模式配置NowNowNGFW上线概述典型硬件连接图InternetInternet核心交换部门部门1 1部门部门2 2部门部门n n网康NGFW单网口网关模式部署外网口,连接Internet内网口,连接交换机,二层环境下该地址作为内网用户的“默认网关”;三层环境下网关一般指向核心交换Console:可连接串口线,通过命令行管理设备;Mgt:带外管理口;HA:双机热备接口;USB接口:用于数据备份等;BYPASS按钮:网关模式下不可用;E(0、1、):千兆网口,网关模式下不存在桥的概念。|Pa
5、ge 9 配置内网口 NS-ICG上线指南网关模式(单出口)设置内部网口地址配置内网口地址、掩码(以网段形式填写,但代表该网口IP和对应的掩码)线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 10 选择接口的接入方式,每个接口只能选择一种接入方式接入方式选择“静态IP”并配置IP及对应的掩码开启后内网口可用作带内管理(网关模式一般用带内管理)配置外网口 NS-ICG上线指南网关模式选择接口的接入方式,每个接口只能选择一种接入方式接入方式选择“静态IP”、“ADSL”或“DHCP”静态IP接入方式请填写IP地址及对应掩码配置外网口接入方式为“静态IP”
6、/“ADSL”/“DHCP”线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 11 配置内网口路由 NS-ICG上线指南网关模式填写该VLAN的网关IP(回指到交换机)填写防火墙到交换机之间的VLAN(从外网回来的请求的路由)线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 12 三层环境下配置,二层环境下无需配置配置外网口路由 NS-ICG上线指南网关模式填写0.0.0.0/0,即所有外网地址(从内网到互联网)填写运营商给的互联地址,即出口IP的网关线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络
7、割接验证配置验证配置|Page 13 配置ACL控制 NS-ICG上线指南网关模式为了内部所有用户能够访问互联网,需要对整个内网配置ACL访问控制,允许用户线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 14 填写0.0.0.0/0,即整个内网到整个互联网允许访问配置NAT转换 NS-ICG上线指南网关模式为了内部所有用户能够访问互联网,需要对整个内网配置SNAT线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 15 选择内网段指定外网口将整个内网转换成外网口地址(外网口IP才能访问互联网)配置NAT转换 N
8、S-ICG上线指南网关模式为了外网用户能够访问内网服务器,需要对内网服务器配置DNAT线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 16 选择外网口内网服务器对应的公网IP将目的地址填写为内网服务器的私网IP配置NAT转换 NS-ICG上线指南网关模式如果内网某台服务器的DNS解析在公网上,内网和外网用户都需要通过域名来访问该服务器,需要对该服务器配置DNAT和BNAT,前者为了外网用户访问,后者为了内网用户访问线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 17 整个内网网段都指定内网口(内网用户从LA
9、N口入,找到公网地址,而后又从LAN出,回到内网找私网IP)VPN服务器对应的公网IP指定服务器对应的公网IP,同时指定回来后应找该服务器的私网IP配置NAT转换 NS-ICG上线指南网关模式内网某台服务器的指定端口映射到出口IP的某个端口上,常见的是VPN映射(443、500、4500等),原理同DNAT相同,只不过增加端口即可线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 18 指定出口IP的端口号将目的地址的同时指定端口号网关模式生效 NS-ICG上线指南网关单出口模式确认内、外网地址信息填写正确无误后,点击“确定”,等待网关模式生效 系统生效
10、后,设备地址将改变,请使用系统的内部网口地址访问系统,即修改PC网络配置中的IP地址后重新登入系统。线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 19 NS-ICG上线指南 提纲上线信息收集NS-ICG上线概述应急与回退操作NS-ICG远程协助|Page 20 镜像模式配置NGFW部署模式NGFW上线指南网关模式配置网桥模式配置NowNow配置外网口 NS-ICG上线指南网桥模式填写1-4094之间的任意值线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 21 选择“透明”模式配置内网口 NS-ICG上线指
11、南网桥模式填写1-4094之间的任意值线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 22 选择“透明”模式配置管理口 NS-ICG上线指南网桥模式可选择管理口可进行的服务线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 23 配置管理口IP配置管理口路由 NS-ICG上线指南网桥模式填写管理口同网段的网关IP填写包含内网所有网段地址线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 24 NS-ICG上线指南 提纲上线信息收集NS-ICG上线概述应急与回退操作NS-I
12、CG远程协助|Page 25 镜像模式配置NGFW部署模式NGFW上线指南网关模式配置网桥模式配置NowNow配置镜像口 NS-ICG上线指南镜像模式 默认即可线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 26 选择“旁路”模式配置管理口 NS-ICG上线指南镜像模式可选择管理口可进行的服务线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 27 配置管理口IP配置管理口路由 NS-ICG上线指南镜像模式填写管理口同网段的网关IP填写包含内网所有网段地址线下配置线下配置上线准备上线准备设备上架设备上架网络割接网络割接验证配置验证配置|Page 28 联系网康客服热线 NS-ICG远程协助网桥模式上线实施过程中遇到任何问题,经排查仍无法解决时,首先应该通过客户服务热线与网康工程师取得联系:400-678-3600|Page 29 您身边的应用层网络专家网康科技有限公司电话:01062670909传真:01062670958网址:咨询热线:4006783600