联想网御防火墙安装调试培训.ppt

1、 联想网御防火墙安装调试培训联想网御防火墙安装调试培训目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块介绍防火墙的功能模块介绍3 防火墙的配置管理防火墙的配置管理4 防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理1.1 1.1 安装调试前的工作安装调试前的工作1.2 1.2 安装调试的准备工作安装调试的准备工作1.3 1.3 管理方式简介管理方式简介1.4 1.4 登录防火墙登录防火墙登陆防火墙管理页面拆箱检查拆箱检查 请按照装箱单的提示检查机箱内所有的配件：请按照装箱单的提示检查机箱内所有的配件：防火墙主机、防火墙主机、US

2、B电子钥匙、随机光盘电子钥匙、随机光盘(电子钥匙驱动、电子钥匙驱动、电子钥匙初始化程序、管理员登录认证程序、网御事件服务电子钥匙初始化程序、管理员登录认证程序、网御事件服务器软件器软件)、电源线、交叉线、串口线、安装支架、保修卡。、电源线、交叉线、串口线、安装支架、保修卡。注：如发现有问题，请及时与你的供货商进行沟通解决。注：如发现有问题，请及时与你的供货商进行沟通解决。1.1安装调试前的工作 一、第一时间内填写保修卡的回执卡，并邮寄回联想公司一、第一时间内填写保修卡的回执卡，并邮寄回联想公司，以便于成为联想公司永远服务的对象。，以便于成为联想公司永远服务的对象。二、在线服务网站二、在线服务网

3、站 联想信息安全网站为联想信息安全网站为http:/用户注册后用户注册后可以在网站上自行下载防火墙升级包与相应升级说明文档，并可以在网站上自行下载防火墙升级包与相应升级说明文档，并且提供在线问答等特色服务。且提供在线问答等特色服务。三、进行产品注册，请您详细填写用户名、通信地址、联三、进行产品注册，请您详细填写用户名、通信地址、联系电话、系电话、E-mail地址等信息，以便于将新的技术成果迅速及时地址等信息，以便于将新的技术成果迅速及时的传递给您！的传递给您！前期工作前期工作1.1安装调试前的工作 一、接通防火墙电源，启动防火墙一、接通防火墙电源，启动防火墙(听到听到“滴滴滴滴滴滴”后防火后防

4、火墙启动完成墙启动完成)二、选用一台带二、选用一台带USB接口、以太网卡和光驱的接口、以太网卡和光驱的PC机作为防机作为防火墙的管理主机，操作系统应为火墙的管理主机，操作系统应为Window98/2000/XP/2003(暂暂不支持不支持linux、unix)三、使用随机提供的交叉线，连接管理主机和防火墙的三、使用随机提供的交叉线，连接管理主机和防火墙的FE1网口网口10.1.5.254(出厂默认的地址出厂默认的地址),),将管理主机的将管理主机的IP地址改地址改为为10.1.5.200(防火墙出厂时默认指定的管理主机防火墙出厂时默认指定的管理主机IP)1.2安装调试的准备工作支持多种管理方式

5、；支持多种管理方式；串口命令行管理串口命令行管理-常用于灾难的恢复工作 Web页面管理页面管理-常用于正常管理 SSH远程管理远程管理-常用于管理调试 集中管理集中管理-方便管理 PPP远程拨号接入远程拨号接入-专线远程拨入1.3管理方式介绍 A.电子钥匙认证电子钥匙认证 需要安装电子钥匙驱动程序和防火墙管理员登录认证程序。B.证书认证证书认证 需要导入IE证书，和防火墙证书(IE证书与防火墙证书要一一对应)，防火墙证书支持页面与串口两种方式。认证方式认证方式1.4登录防火墙安装电子钥匙驱动程序将随机光盘放入管理主机的光安装电子钥匙驱动程序将随机光盘放入管理主机的光驱，进入随机附带的光盘的驱，

6、进入随机附带的光盘的key目录，目录，执行该目录下执行该目录下的的INSTDRV.EXE，提示，提示“退出请重新插锁退出请重新插锁”。则表示已正确安装完网御电子钥匙的驱动程序。则表示已正确安装完网御电子钥匙的驱动程序。1.4登录防火墙电子钥匙认证电子钥匙认证*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口口。1.4登录防火墙点击点击“退出请重新插锁退出请重新插锁”后将电子钥匙插入管理主机后将电子钥匙插入管理主机USB接口中，接口中，XP/2000/2003系统提示自动搜索电子钥匙驱动程系统提示自动搜索电子钥匙

7、驱动程序序,自动安装即可。自动安装即可。*注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的注意：安装驱动程序过程中，请不要先将网御电子钥匙插入管理主机的USB口口。电子钥匙认证电子钥匙认证在管理主机上，运行随机光盘在管理主机上，运行随机光盘administrator目录下的目录下的ikeyc.exe程序程序,程序将提示用户输入程序将提示用户输入PIN口令。口令。首次使用默认首次使用默认PIN为为“12345678”1.4登录防火墙电子钥匙认证电子钥匙认证*注：在管理防火墙过程中，本程序每注：在管理防火墙过程中，本程序每5 5秒将向防火墙提交一次认证秒将向防火墙提交一次认证信息，因

8、此，不能拔出电子钥匙，或者关闭认证程序，否则将导致信息，因此，不能拔出电子钥匙，或者关闭认证程序，否则将导致对防火墙的管理被立即中断。对防火墙的管理被立即中断。1.4登录防火墙通过后弹出管理员身份认证对话框通过后弹出管理员身份认证对话框,首次登录点击首次登录点击“连接连接”成功后成功后,会显示会显示“通过认证通过认证”对话框。退出防火墙管理之前对话框。退出防火墙管理之前请不要关闭此页面。请不要关闭此页面。电子钥匙认证电子钥匙认证通过认证程序后，通过认证程序后，在在IEIE中输入中输入https:/防火墙防火墙IP:8888出厂默认地址出厂默认地址10.1.5.254，默认的用户密码，默认的用户

9、密码administrator。1.4登录防火墙电子钥匙认证电子钥匙认证1.4登录防火墙电子钥匙认证电子钥匙认证 一、使用防火墙证书管理之前需要先把防火墙的证书导一、使用防火墙证书管理之前需要先把防火墙的证书导入到防火墙上并启用。入到防火墙上并启用。二、管理主机需要导入二、管理主机需要导入IE浏览器证书浏览器证书。证书认证证书认证1.4登录防火墙首先以电子钥匙方式登录到防火墙，进入首先以电子钥匙方式登录到防火墙，进入“系统配置系统配置”-“管理配置管理配置”-“管理员证书管理员证书”-管理员证书模块中选管理员证书模块中选择浏览，在本地计算机文件夹中选择择浏览，在本地计算机文件夹中选择CACer

10、t.pem、leadsec.pem、leadsec_key.pem分别对应防火墙的中的分别对应防火墙的中的CACA中中心证书、安全网关证书、安全网关密钥。点击心证书、安全网关证书、安全网关密钥。点击“导入导入”。然后在本地计算机文件夹中再选择然后在本地计算机文件夹中再选择admin.pem对应防火对应防火墙的中的管理员证书，点击墙的中的管理员证书，点击“导入导入”。证书认证证书认证1.4登录防火墙证书认证证书认证导入证书后选择生效选项1.4登录防火墙保存配置保存配置证书生效证书生效证书认证证书认证1.4登录防火墙 导入防火墙证书要导入相对应的导入防火墙证书要导入相对应的IE浏览器证书浏览器证书

11、.在管理主在管理主机本地双击机本地双击IE浏览器证书，按照提示进行安装，需要输入密浏览器证书，按照提示进行安装，需要输入密码时输入码时输入“hhhhhh”，当出现导入成功后点击确定完成。，当出现导入成功后点击确定完成。证书认证证书认证1.4登录防火墙 当防火墙与当防火墙与IE证书均导入成功后，我们在管理主机打证书均导入成功后，我们在管理主机打开开IE浏览器并输入浏览器并输入https:/防火墙ip:8889出厂默认防火墙出厂默认防火墙IP为为10.1.5.254,出现选择证书提示后点击出现选择证书提示后点击“确定确定”。证书认证证书认证1.4登录防火墙证书认证证书认证出现安全警报后点击出现安全

12、警报后点击“是是(Y)”就会出现防火墙登录页面就会出现防火墙登录页面XP系统请确认去掉系统请确认去掉IE浏览器中浏览器中internet选项选项-隐私选项隐私选项-中的阻止弹出窗口：如下图中的阻止弹出窗口：如下图1.4登录防火墙证书认证证书认证默认用户名默认用户名/密码为密码为:administrator/administrator1.4登录防火墙目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块介绍防火墙的功能模块介绍3 防火墙的配置管理防火墙的配置管理4 防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理基本应用基本应用管理主机

13、、网络配置、安全选项、地址管理主机、网络配置、安全选项、地址列表、服务列表列表、服务列表2防火墙界面介绍管理首页管理首页2防火墙界面介绍工具区工具区菜菜单单区区显示区显示区各级子菜单2防火墙界面介绍管理主机2防火墙界面介绍管理方式设定2防火墙界面介绍网络配置2防火墙界面介绍物理设备这里可以设定是否被管理，是否可以PING，等功能。2防火墙界面介绍网桥设备2防火墙界面介绍静态路由2防火墙界面介绍包过滤规则2防火墙界面介绍端口映射规则2防火墙界面介绍IP映射规则2防火墙界面介绍NAT规则2防火墙界面介绍定义地址列表2防火墙界面介绍定义地址组2防火墙界面介绍定义地址池2防火墙界面介绍定义服务器地址2

14、防火墙界面介绍定义基本服务2防火墙界面介绍定义服务组2防火墙界面介绍高级应用高级应用高可用性高可用性HA、连接管理、地址绑定、连接管理、地址绑定、产品许可证、产品许可证、VPN相关相关2防火墙界面介绍HA双机热备2防火墙界面介绍HA探测网口2防火墙界面介绍HA探测ip2防火墙界面介绍2防火墙界面介绍地址绑定IPSec VPN2防火墙界面介绍IPSec VPN2防火墙界面介绍IPSec VPN2防火墙界面介绍IPSec VPN2防火墙界面介绍日志服务器2防火墙界面介绍集中管理2防火墙界面介绍配置导入导出2防火墙界面介绍目录目录1 防火墙登录管理防火墙登录管理2防火墙的功能模块介绍防火墙的功能模块

15、介绍3 防火墙的配置管理防火墙的配置管理4 防火墙产品的典型应用防火墙产品的典型应用5 防火墙产品的日常管理及故障处理防火墙产品的日常管理及故障处理安全规则包流经规则的顺序：应用代理，端口映射，包流经规则的顺序：应用代理，端口映射，IPIP映射，过映射，过滤规则，地址转换滤规则，地址转换增加源端口，源增加源端口，源MACMAC地址，地址，URLURL过滤，网页关键字过滤，过滤，网页关键字过滤，入网口，出网口，时间调度，长连接等选项入网口，出网口，时间调度，长连接等选项代理规则端口映射规则IP映射规则包过滤规则NAT规则流入流出3防火墙的配置管理端口映射3防火墙的配置管理IP映射3防火墙的配置管

16、理注意：如果源地址包含管理主机，公开地址是防火墙的管理注意：如果源地址包含管理主机，公开地址是防火墙的管理IPIP，该，该管理主机将不能管理防火墙。管理主机将不能管理防火墙。如果取消选中如果取消选中“隐藏内部地址隐藏内部地址”，则既能通过公开地址和，则既能通过公开地址和端口访问内部服务器，也可以直接通过内部地址访问服务端口访问内部服务器，也可以直接通过内部地址访问服务器；如果选中，则只能通过公开地址和端口访问内部服务器；如果选中，则只能通过公开地址和端口访问内部服务器。器。注意：添加一条注意：添加一条IP IP 映射规则，如果没有选择映射规则，如果没有选择“包过滤包过滤缺省策略通过缺省策略通过”，还必须再添加一条相应的包过滤规则才，还必须再添加一条相应的包过滤规则才能生效。方法如下：包过滤规则的源地址是能生效。方法如下：包过滤规则的源地址是IP IP 映射规则的映射规则的源地址，包过滤规则的目的地址是源地址，包过滤规则的目的地址是IP IP 映射规则的内部地址。映射规则的内部地址。添加规则说明3防火墙的配置管理包过滤3防火墙的配置管理NAT 注意：设置一条NAT 规则，必须再设置一条相