天融信防火墙培训文档天融信防火墙培训文档
一、 登录 双击进入防火墙登录界面:输入用户名和
密码后,点击登录即可
二、 登录后防火墙主界面:
登录后出现的树状菜单 主界面上的基本信息
三、防火墙基本信息:
点击接口状态,右边方框出现所有接口的通讯信息
点击接口流量图可以在右边窗口查看各个接口的实时流量
图
点击性能可以查看防火墙当前的相关性能
查看防火墙CPU,内存,当前连接数;一般在正常情况下
CPU使用率不会超过10% ,连接数不会超过数万条
四,实时监控:
+++++++++++++++++++++++++...
天融信防火墙培训文档
一、 登录 双击进入防火墙登录界面:输入用户名和
密码后,点击登录即可
二、 登录后防火墙主界面:
登录后出现的树状菜单 主界面上的基本信息
三、防火墙基本信息:
点击接口状态,右边方框出现所有接口的通讯信息
点击接口流量图可以在右边窗口查看各个接口的实时流量
图
点击性能可以查看防火墙当前的相关性能
查看防火墙CPU,内存,当前连接数;一般在正常情况下
CPU使用率不会超过10% ,连接数不会超过数万条
四,实时监控:
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 说明: 实时监控的主要作用就是通过定义过滤条件来查看自己希望了解的主机或者网段对
外的连接情况.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
点击出现下面的窗
口
在这里
可以设
置希望
查看的
目的主
机或者
网段 在这里可以设置在这里希望查看的源的可以设主机或者网段 置希望
查看的
选中定义好的监控条件,点击设置
下图就是我们要监控的连接了
五,网络设置:
点击: 网络,区域,可以在右边窗口
看到如下界面
双击选中的区域,就会弹出下面的设
置窗口
设置该区域的名
字
该区域对应的接
口
设置该区域的IP地址和掩码
点击 日志 然后在右边上方的任务
栏点击 启动查看
六,工具:
点击 工具 然后在右边窗口出现以
下图标
这里主要用到一个防火墙的配置管
理功能,点击进入以下界面窗口
点击下载当前
防火墙的配置
选中下载的配置,点击导出
选中要把配置保存的位置,点击
确定即保存完毕
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
各项操作说明如下:
操作 意义
存储 把当前配置从防火墙内存存储到防火墙FLASH卡
替换 把当前配置或所选定的配置存储到防火墙内存 恢复出厂配置 把防火墙内存和防火墙FLASH卡的内容恢复到出厂配置 当前配置下载 把防火墙内存中的当前配置下载到本地主机 配置到安全设备 把选定的本地主机存储的配置存储到防火墙内存作为当前配置 导入 把配置文件导入到主机的配置文件列表中 导出 把选定的存储在主机的配置文件导出
删除 删除选定的存储在主机的配置文件
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
七.选项设置:
点击 选项设置 然后在右边窗
口出现以下图标
点击 选项设置 然后在右边窗
口出现以下图标
在这里给防火墙取
名
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
相关参数说明: TCP建立连接超时,如果双方在建立连接的时间超过设置时限(如,用户访问某网站,发出请求后始终得不到回应),防火墙将自动切断该连接,TCP建立连接超时的最大值为86400。
1, TCP连接建立后通信超时,如果双方建立连接后通信时间超过设置时限(如,用户通过
网络下载,速度非常慢),防火墙自动切断该连接,TCP连接建立后通信超时的最大值
为86400。
2, TCP拆除连接的超时,如果双方在终止连接的时间超过设置时限(如,用户要断开与某
网站的通信时,长时间无法断开),防火墙自动切断该连接,TCP拆除连接的超时的最
大值为86400。
3, 无状态连接通信超时,如果在规定时限内在某一连接中没有数据传输,防火墙自动切断
该连接,无状态连接通信超时的最大值为86400。
4, 对使用用户认证数据库(除OTP认证数据库外)的用户通过防火墙建立的连接,在“挑
战”下,管理员可进行3个参数设置:
(1) 挑战间隔,防火墙每一段时间对每一个在线的认证用户进行一次挑战(即发出
一个回应请求)。最小10秒,0表示关闭自动挑战。
(2) 战超时,对于防火墙发出的挑战(即一个回应请求),要在挑战超时时间内收到
正确的回应,否则,此次挑战被认为是失败,要重新挑战。最小1秒,最大60
秒。
(3) 大重复挑战次数,对于挑战(即一个回应请求)超时或回应不正确的累计次数
超过最大重复挑战次数,防火墙则认为出现异常,自动切断该用户通过防火墙
与其他区域的连接。最小1次,最大10次
如上图所示,即以上三个参数设置完成后,防火墙将对用户发起挑战(回应请求)5次,每300秒发起一次,如果用户60秒内没有任何回应,防火墙认为该请求超时,当防火墙反复尝试挑战5次都没有任何回应后,防火墙自动切断该用户通过防火墙与其他区域所建立的连接。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
点击给防火墙增加
管理用户
点击修改当前防火
墙管理用户的口令
取名
选择客户类型
选择所属区域
选择登录客户的IP地
址或IP地址的范围
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
登录方式控制说明
为了更好的对防火墙进行配置管理,网络卫士防火墙集中管理器为用户提供了一种分类管理的方法,将登录到防火墙的用户按IP地址进行分别管理。这样,网络管理员可以指定某个IP地址段的用户的登录防火墙的方式或管理级别,分为以下几类:
GUI管理器:用户通过集中管理器对防火墙进行管理、配置操作。 TELNET管理器:用户通过TELNET对防火墙进行命令行方式的管理、配置操作(可远程登录)。
升级机器:用户通过此机器上的升级包对防火墙进行升级。 日志服务器:用户通过该机器对防火墙进行日志监控(所有区域中只有一个IP可以进行管理)。
监控器:根据用户设定的条件监控相应连接.
VRC客户端:VPN的移动用户。
SSH客户端:SSH登录控制。
SNMP客户端:SNMP登录控制。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
设置阻断配置:
双击,弹出下面的设置
界面
设置要阻断的源地址
设置要阻断的源端口
设置要阻断的目的端口
设置要阻断的目的地址
八,高级管理:
1,网络对象:
选中,点击鼠标右键,出现如下菜单
设置节点名称
输入节点IP地址
点击添加
确定后添加节
点完成
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
相关参数说明:
名字 意义
防火区域 此网络节点属于哪个防火区域。
SYN代理方式保表示此机器作为服务器时可以设置代理节点,防止服务器受护服务器 到SYNFLOOD攻击。
半连接数报警阀表示此机器作为服务器,当接受的半连接数达到阀值时,就值 启动报警功能。如果为0,则表示使用默认值50。 服务器接口MTU 定义服务器节点时,服务器所设定的MTU,默认值为1500。
机器的操作系统类型,目前有Windows(包括操作系统类型 DOS/3.1/95/98/NT/ 2000)和UNIX(包括
Solaris/Irix/HPUX/BSD/Linux/AIX等)。默认是UNIX类型。 机器的物理地址 表示网卡的物理地址。可以不说明。
表示0个、1个、多个IP地址。0个IP地址主要用在DHCPIP地址 环境中,此时必须说明物理地址,多个IP地址说明这个网
卡上有多个IP地址。
当定义服务器节点时,为了防止SYNFLOOD攻击,建议用户在节点的定义中选择SYN代理方式保护服务器。当攻击行为发生时,防火墙会阻断针对该节点的SYNFLOOD攻击。同时设置报警功能,选中“达到阀值报警”,设置“半连接数报警阀值”,当接收的半连接数达到设定阀值时,防火墙会认为该服务器正被攻击,并自动报警。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
2,特殊对象:
(1)定义透明网络
选中 透明网络 点击右键->定义新
对象
给对象命名
选择哪几个网
络区域组成为
一个透明网络
3,访问策略
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明:每一条访问策略都属于一个防火区,具体来说,属于策略中目的地址所在的防火区。所以在制定访问策略的时候首先要确定该策略所属的防火区。选择方法是:在已激活防火墙集中管理器中 高级管理 > 访问策略 项目中,点击需要制定或修改访问策略的防火区 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
选中区域,点
击右键,再点
击增加来增加
访问策略
选中包过滤策略来添加
针对IP报文的过滤策略
在此处选择 该访问策略的策略源
在此处选择 该访问策略的策略目的
在此处选择 该访问策
略的策略服务
在此处选择 该访问策
略的策略服务
选择这是一条禁止的策
略还是一条允许的策略
选择这条策
略生效的时
间段
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明:访问策略控制包括如下选项:
名字 意义
访问权限 允许或禁止由策略源到策略目的的所指定服务的访问。
访问时间 这条策略生效的时间段。
指定防火墙将对此策略所作的日志类型。分为三种:不作日志,日志会话和日日志选项 志命令。日志命令类型所作的日志最为详细,包括访问类型,访问动作(读,
写)等命令信息。而日志会话中不包含命令信息。
可以为普通连接,也可以为长连接,一般地防火墙对通信空闲一定时间的连接
将自动断开,以提高安全性和释放通信资源,但某些应用所建立的连接需要长连接属性
时期保持,即使处于空闲状态。例如ATM机器必须和处理中心的服务器一直保
持着连接,这个连接必须设置为长连接。
报警选项 当防火墙收到符合该策略的访问时是否报警。
策略配置完成后,可以看到所有策略的当前状态。由于策略执行为第一匹配原则,则策略的顺序与策略的逻辑相关,添加策略时候可以使用不同的插入方式使策略插入适当的位置,可以直接拖拉策略到目标位置来改变策略的执行顺序。 防火墙主要的策略表均支持拖拉功能。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
4, 路由表的设置:
点击 路由表 然后在右
边的窗口空白处点击鼠
标右键,出现右图菜单,
我们点击增加
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
说明:定义路由表项中各项含义如下:
名字 意义
源地址 通信源主机网络IP地址
源掩码 通信源主机网络掩码
目的地址 通信目的主机网络IP地址
目的掩码 通信目的主机网络掩码
路由器地址 下一网关路由器IP地址
路由表顺序支持拖放功能,即用户可以用鼠标左键点住某个路由项,拖动到指定
位置。
网络卫士防火墙提供完整的静态路由功能。与标准路由定义比较,网络卫士防火
墙的路由表有了很大增强,主要是防火墙在路由时不是只根据目的地址,而是同
时根据目的地址和源地址进行路由;“网络卫士”防火墙的基于源和目的地址的
路由定义方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信,
从而进一步增强了网络的通信安全。
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 5, 通过防火墙集中管理器来查看防火墙配置帮助文档:
点击打开帮助手册
帮助手册界面
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 说明:帮助手册对整个防火墙的功能和操作都有详细的介绍和说明,参照手册可
以解决很多防火墙的问题~
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
本文档为【天融信防火墙培训文档】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。