黑盾防火墻用戶手冊

黑盾防火墻產(chǎn)品使用手冊PAGEPAGE2 ——防火墻HEIDUNFIREWALL用戶手冊福建省海峽信息技術(shù)有限公司重要聲明本書為【黑盾防火墻】產(chǎn)品配置使用指導(dǎo)手冊，適用于黑盾防火墻系列產(chǎn)品。其內(nèi)容將隨著產(chǎn)品不斷升級而改變，恕不另行通知。如有需要，請從福建省海峽信息技術(shù)有限公司網(wǎng)站下載本手冊最新版本。在法律法規(guī)的最大允許范圍內(nèi)，福建省海峽信息技術(shù)有限公司除就本手冊和產(chǎn)品應(yīng)負(fù)的瑕疵擔(dān)保責(zé)任外，無論明示或默示，不作其他任何擔(dān)保，包括（但不限于）本手冊中推薦使用產(chǎn)品的適用性和安全性、產(chǎn)品的適銷性和適合某特定用途的擔(dān)保。在法律法規(guī)的最大允許范圍內(nèi)，福建省海峽信息技術(shù)有限公司對于您的使用或不能使用本產(chǎn)品而發(fā)生的任何損害（包括，但不限于直接或間接的個(gè)人損害、商業(yè)利潤的損失、業(yè)務(wù)中斷、商業(yè)信息的遺失或其他損失），不負(fù)任何賠償責(zé)任。感謝您購買福建省海峽信息技術(shù)有限公司研制開發(fā)的“黑盾”系列網(wǎng)絡(luò)安全產(chǎn)品。請?jiān)诎惭b本產(chǎn)品之前認(rèn)真閱讀配套的使用手冊，當(dāng)您開始使用黑盾防火墻時(shí)，海峽信息認(rèn)為您已經(jīng)閱讀了本使用手冊。福建省海峽信息技術(shù)有限公司福建省福州市湖東路11號4F郵編：350003電話：086－591－87303706傳真：086－591－87303709E-mail:si@Http://版權(quán)所有翻錄必究

目錄1 黑盾防火墻簡介 61.1 系統(tǒng)概述 61.1.1 基本功能 61.1.2 系統(tǒng)技術(shù)參數(shù) 71.1.3 系統(tǒng)組成 81.2 用戶手冊概述 81.3 產(chǎn)品目錄 81.4 防火墻在線幫助 91.5 防火墻主頁面 92 部署黑盾防火墻 122.1 黑盾防火墻網(wǎng)絡(luò)拓?fù)湟?guī)劃 122.2 防火墻的透明模式和路由模式一體化 132.3 確定網(wǎng)絡(luò)應(yīng)用服務(wù)和防火墻配置參數(shù) 133 黑盾防火墻的初始安裝 143.1 準(zhǔn)備工作 143.2 把防火墻連接到網(wǎng)絡(luò)和設(shè)備上 153.3 管理機(jī)的要求 153.4 通過WEB瀏覽器配置防火墻 153.5 通過管理機(jī)的串口配置防火墻 173.5.1 串口設(shè)置 183.5.2 管理機(jī)的配置 183.5.3 命令行 214 防火墻的安全配置 264.1 系統(tǒng)信息 274.1.1 版本說明 284.1.2 系統(tǒng)資源 294.1.3 當(dāng)前連接 304.1.4 ARP緩存 314.1.5 IP資產(chǎn)管理 324.1.6 調(diào)試工具 324.2 系統(tǒng)維護(hù) 354.2.1 配置管理 354.2.2 系統(tǒng)升級 384.2.3 系統(tǒng)自動(dòng)重啟 394.2.4 重啟系統(tǒng) 394.2.5 關(guān)閉系統(tǒng) 404.2.6 重新登錄 404.3 系統(tǒng)設(shè)置 414.3.1 網(wǎng)口配置 414.3.2 路由配置 474.3.3 DHCP服務(wù)器 504.3.4 DDNS管理 544.3.5 DNS配置 544.3.6 時(shí)間設(shè)置 544.3.7 網(wǎng)絡(luò)參數(shù) 554.3.8 管理員設(shè)置 564.3.9 管理主機(jī) 614.3.10 網(wǎng)絡(luò)通信日志 634.3.11 應(yīng)用日志 644.3.12 鏈路備份 654.4 IP包轉(zhuǎn)換 664.4.1 源地址轉(zhuǎn)換 674.4.2 目標(biāo)地址轉(zhuǎn)換 704.4.3 負(fù)載平衡 744.4.4 FWMARK設(shè)置 774.4.5 TOS設(shè)置 774.5 訪問控制 794.5.1 幀過濾規(guī)則 804.5.2 過濾規(guī)則 824.5.3 FTP高級過濾 864.5.4 WEB高級過濾 884.5.5 通用內(nèi)容過濾 894.5.6 P2P應(yīng)用控制 904.5.7 流量控制 904.5.8 并發(fā)數(shù)控制 934.6 安全選項(xiàng) 934.6.1 安全過濾選項(xiàng) 944.6.2 IDS聯(lián)動(dòng)設(shè)置 974.6.3 安全信任主機(jī) 994.7 IPSECVPN配置 1004.7.1 VPN接口管理 1014.7.2 VPN節(jié)點(diǎn)設(shè)置 1024.7.3 密鑰管理 1064.7.4 VPN隧道管理 1114.7.5 VPN狀態(tài) 1154.8 撥號VPN網(wǎng)絡(luò)管理 1164.8.1 用戶管理 1184.8.2 連接狀態(tài) 1194.8.3 為遠(yuǎn)程VPN建立規(guī)則 1194.8.4 客戶端進(jìn)行VPDN撥號 1224.9 SSLVPN模塊 1274.9.1 服務(wù)端管理 1284.9.2 客戶端管理 1334.9.3 RADIUS用戶管理 1404.9.4 用戶組管理 1424.9.5 連接狀態(tài) 1434.9.6 分支機(jī)構(gòu) 1444.9.7 為遠(yuǎn)程SSLVPN客戶端建立訪問控制規(guī)則 1484.10 SSLVPN客戶端軟件 1504.10.1 隧道管理 1514.10.2 配置管理 1574.10.3 日志管理 1624.10.4 程序安裝/卸載 1634.11 對象定義 1664.11.1 地址池 1674.11.2 服務(wù)類型 1724.11.3 時(shí)間域 1774.11.4 用戶組 1804.12 用戶認(rèn)證 1824.12.1 配置選項(xiàng) 1824.12.2 賬號管理 1834.12.3 賬號導(dǎo)入 1844.12.4 在線用戶 1854.12.5 客戶端登錄 1854.12.6 客戶端設(shè)置 1874.12.7 客戶端修改密碼 1894.12.8 客戶端注銷和退出 1894.12.9 客戶端軟件分發(fā) 1904.12.10 認(rèn)證信任連接 1914.12.11 認(rèn)證網(wǎng)關(guān) 1914.12.12 認(rèn)證定時(shí)器 1924.13 審計(jì)日志 1924.13.1 成功審計(jì)查詢 1924.13.2 失敗審計(jì)日志 1934.13.3 審計(jì)備份 1944.13.4 系統(tǒng)審計(jì)查詢 1955 黑盾防火墻應(yīng)用實(shí)例 1965.1 源、目的地址路由（策略路由）的配置 1965.2 VLANTrunk配置 2115.3 支持視頻會(huì)議 2156 附錄1常見網(wǎng)絡(luò)安全術(shù)語 219

黑盾防火墻簡介黑盾防火墻是海峽信息安全解決方案中一個(gè)主要的安全組件，適用于政府、企業(yè)、證券、保險(xiǎn)、金融、公安、教育、醫(yī)療軍事等行業(yè)。它是執(zhí)行網(wǎng)絡(luò)之間的訪問控制策略的有效網(wǎng)絡(luò)安全模型，阻擋了對內(nèi)、對外的非法訪問和不安全數(shù)據(jù)的傳遞，增強(qiáng)了內(nèi)部網(wǎng)絡(luò)的安全性。黑盾防火墻采用包過濾和應(yīng)用代理相結(jié)合的技術(shù)，根據(jù)網(wǎng)絡(luò)的數(shù)據(jù)包、來往的網(wǎng)絡(luò)地址以及防火墻的安全規(guī)則等，審查網(wǎng)絡(luò)的數(shù)據(jù)流，拒絕或允許訪問，同時(shí)提供應(yīng)用級的安全認(rèn)證手段，增加應(yīng)用代理功能，實(shí)現(xiàn)更為細(xì)致的安全控制。此外，黑盾防火墻還結(jié)合了最新的入侵檢測和阻斷技術(shù)，具有智能化的防范攻擊能力，并為管理員提供了多種方便易用的管理功能。系統(tǒng)概述黑盾防火墻采用集中管理的分布式安全策略，通過瀏覽器對防火墻進(jìn)行管理，完成防火墻的設(shè)置、安全策略與規(guī)則的配置、提供審計(jì)告警信息等。黑盾防火墻是基于狀態(tài)檢測、網(wǎng)絡(luò)層與應(yīng)用層相結(jié)合的安全解決方案。單位內(nèi)部網(wǎng)可以設(shè)置多個(gè)防火墻，由一個(gè)管理機(jī)負(fù)責(zé)監(jiān)控管理。對于受保護(hù)的信息，用戶只有在獲得授權(quán)后才能訪問它。黑盾防火墻的功能設(shè)計(jì),參照了防火墻標(biāo)準(zhǔn)NIST/NSADCA100-95-D-0104、GB/T18019-1999、GB/T18020-1999等,集中了包過濾、電路級網(wǎng)關(guān)、應(yīng)用級網(wǎng)關(guān)等各類防火墻的主要特點(diǎn)，經(jīng)有機(jī)結(jié)合而成?；竟δ芑竟δ苋缦拢夯跔顟B(tài)檢測的動(dòng)態(tài)包過濾功能；雙向網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），并支持負(fù)載平衡；支持規(guī)則模版定制，方便防火墻部署和維護(hù)；支持基于策略的路由，能夠建立靈活的選路方式；支持多層數(shù)據(jù)過濾，包括幀過濾，IP包過濾，應(yīng)用層過濾；第二層幀過濾功能，包括源mac地址/目標(biāo)mac地址/協(xié)議過濾，并對arp等二層協(xié)議作深層過濾;IP包過濾功能，包括源地址/目的地址、源端口/目的端口、協(xié)議、服務(wù)等的過濾；智能內(nèi)容過濾功能，支持任意指定端口的通用內(nèi)容過濾，最大限度地對未知病毒，反動(dòng)、黃色內(nèi)容進(jìn)行防范和屏蔽；透明接入功能，無需改變用戶的網(wǎng)絡(luò)結(jié)構(gòu)和用戶的設(shè)置；支持DHCP、PPPOE、VLANTRUNK接入功能；HTTP、FTP、TELNET、SMTP、POP3等應(yīng)用代理；IP地址與MAC地址綁定，防止非法訪問；防范DoS等攻擊，提供對攻擊活動(dòng)的識別和告警；支持與多種入侵檢測系統(tǒng)的聯(lián)動(dòng)功能；提供網(wǎng)絡(luò)訪問活動(dòng)情況的實(shí)時(shí)監(jiān)視；提供防火墻系統(tǒng)工作情況的實(shí)時(shí)監(jiān)視；提供對防火墻的各種操作的審計(jì)日志；提供精確的流量統(tǒng)計(jì)，為計(jì)費(fèi)提供依據(jù)提供基于IP和服務(wù)的網(wǎng)絡(luò)流量控制，提供基于優(yōu)先級和基于帶寬的控制功能，可以保證關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)帶寬；虛擬專網(wǎng)VPN（可選），實(shí)現(xiàn)內(nèi)部網(wǎng)－公共網(wǎng)絡(luò)－內(nèi)部網(wǎng)之間的安全保密通信；支持VPN網(wǎng)關(guān)和撥號VPN的使用；支持雙機(jī)熱備份功能（可選）；Web界面的管理程序，通過SSL加密通道進(jìn)行遠(yuǎn)程管理和配置；提供恢復(fù)出廠配置、配置存檔與恢復(fù)、在線升級、日志下載等功能。系統(tǒng)技術(shù)參數(shù)網(wǎng)絡(luò)接口三個(gè)10/100M自適應(yīng)的以太網(wǎng)接口，符合IEEE802.310Base-T和IEEE802.3u100Base-TX標(biāo)準(zhǔn)，可擴(kuò)展到8個(gè)接口Console口RS232C，DTE，9600-8-N-1工作原理NAT+狀態(tài)檢測+透明接入+應(yīng)用代理支持協(xié)議TCP/IP協(xié)議、PPPOE、802.1Q、802.1D、IPX、NETBEUI、IPSEC、PPTP、H.323、MultiCast等用戶數(shù)無限制性能轉(zhuǎn)發(fā)速率：大于98MbpsMTBF：60000小時(shí)外型尺寸支持電信標(biāo)準(zhǔn)，可選1U上架型改進(jìn)機(jī)箱電氣特性電壓220～230V;頻率50/60赫茲;最大功耗300W工作電壓AC220V環(huán)境運(yùn)行溫度：0℃～45℃；非運(yùn)行溫度：－20℃～65℃，濕度10－95%（尺寸420mmx300mmx43mm(1U標(biāo)準(zhǔn))系統(tǒng)組成黑盾防火墻包括：硬件、專用安全操作系統(tǒng)（內(nèi)置）和防火墻軟件。黑盾防火墻采用具有安全內(nèi)核的專用操作系統(tǒng)，具有狀態(tài)檢測包過濾、NAT、透明接入、應(yīng)用代理、幀過濾、雙機(jī)熱備份、帶寬控制、安全管理、VPN等模塊。黑盾防火墻是黑盾安全系列產(chǎn)品，不同的版本提供不同的功能模塊，各版本之間的差異在手冊中有詳細(xì)注釋。用戶手冊概述本手冊詳細(xì)解釋了防火墻的各項(xiàng)功能和使用，請?jiān)诎惭b配置防火墻前認(rèn)真閱讀。如果由于配置失誤等造成管理員無法登錄防火墻時(shí)，可按“恢復(fù)出廠配置”進(jìn)行操作(詳見本手冊第三章的“串口配置”)，恢復(fù)出廠配置，然后恢復(fù)先前有效的配置存檔。為有效使用防火墻，需要您事先了解一些與網(wǎng)絡(luò)有關(guān)的基本知識，如DomainNameServers(DNS)、IP地址和防火墻等概念。產(chǎn)品目錄防火墻出廠裝箱清單包括如下內(nèi)容：·黑盾防火墻硬件主機(jī)；·1根灰色或紅色非屏蔽5類雙絞線（直連線）；·1根藍(lán)色非屏蔽5類雙絞線（交叉線）；·1根電源線；·1根console口連接線；·用戶手冊（含電子版本光盤一張）；防火墻外觀（正面）：背面：防火墻在線幫助防火墻提供了豐富的在線幫助。在用戶接口的任何一個(gè)界面和菜單里，單擊在線幫助按鈕，將會(huì)打開一個(gè)新的窗口，顯示與當(dāng)前操作有關(guān)的幫助信息。防火墻主頁面黑盾防火墻用WEB瀏覽器來進(jìn)行管理，推薦使用MicrosoftInternetExplorer。防火墻主界面可以分為九個(gè)部分。系統(tǒng)信息：系統(tǒng)統(tǒng)信息提供防火墻系統(tǒng)的基本信息以及測試工具，使管理員能夠了解系統(tǒng)的版本，系統(tǒng)資源，實(shí)時(shí)狀態(tài)連接，ARP緩存，IP資產(chǎn)管理等信息，還提供了豐富的網(wǎng)絡(luò)調(diào)試工具：PING,路由跟蹤，在線捕包等。利用系統(tǒng)信息工具，管理員能夠了解防火墻系統(tǒng)以及網(wǎng)絡(luò)的實(shí)時(shí)狀態(tài)。系統(tǒng)維護(hù)：系統(tǒng)維護(hù)提供了防火墻系統(tǒng)配置、規(guī)則配置的備份和恢復(fù)，系統(tǒng)升級，系統(tǒng)的停啟以及重新登錄等功能。為防火墻的安裝部署，更新防火墻版本提供了強(qiáng)有力的功能。系統(tǒng)設(shè)置：系統(tǒng)設(shè)置為管理員提供了防火墻各個(gè)工作模式下的基本參數(shù)、管理權(quán)限、日志服務(wù)器的配置，此外還提供了DHCP服務(wù)器功能配置。防火墻基本參數(shù)為各種工作模式下的網(wǎng)絡(luò)接口提供詳細(xì)的參數(shù)配置和狀態(tài)查看,并且還可以設(shè)置VLAN,橋，PPPOE,DHCP等多種聯(lián)網(wǎng)方式。IP包轉(zhuǎn)換：IP包轉(zhuǎn)換是防火墻的一個(gè)重要功能，通過設(shè)置，防火墻會(huì)對符合條件的IP包包頭進(jìn)行修改。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)可以對源地址源端口或目標(biāo)地址目標(biāo)端口進(jìn)行一對一、一對多、多對一或多對多的地址變換，實(shí)現(xiàn)靈活的NAT功能。此外，還可以對IP數(shù)據(jù)包打上FWMARK和TOS標(biāo)記，使防火墻能夠?qū)?shù)據(jù)包進(jìn)行靈活的策略路由、流量控制(QOS)。訪問控制：訪問控制是防火墻核心功能之一，提供對各個(gè)區(qū)域的資源進(jìn)行訪問控制。根據(jù)網(wǎng)絡(luò)的安全策略制定相應(yīng)的過濾規(guī)則，以達(dá)到管理用戶以及保護(hù)內(nèi)部服務(wù)的目標(biāo)。在這部分配置中，除了對網(wǎng)絡(luò)層、傳輸層過濾外，還可以對鏈路層（第二層）及應(yīng)用層進(jìn)行精度控制。此外，本防火墻還提供了基于時(shí)間、基于流量優(yōu)先級的訪問控制功能。安全選項(xiàng)：防火墻為自身和安全區(qū)域提供了強(qiáng)大的入侵檢測和抗攻擊能力，它能夠進(jìn)行掃描檢測、錯(cuò)包檢測，抗源路由攻擊，IP欺騙，SYNFLOOD,ICMPFLOOD等攻擊行為。防火墻還可以和入侵檢測系統(tǒng)進(jìn)行聯(lián)動(dòng)。VPN設(shè)置：VPN模塊為用戶提供了IPSECVPN、PPTPVPN和SSLVPN三種VPN方式，并與防火墻無縫集成。VPN網(wǎng)關(guān)以IPSEC協(xié)議族為基礎(chǔ)提供安全服務(wù)，包括訪問控制、無連接完整性、數(shù)據(jù)源驗(yàn)證、抗重播、機(jī)密性（加密）和通信流機(jī)密性。撥號VPN通過采用PPTP協(xié)議，支持CHAP,MS-CHAPV2等用戶認(rèn)證方式,數(shù)據(jù)采用MPPE128位加密。SSLVPN提供了靈活便捷的VPN接入，高安全強(qiáng)度的身份驗(yàn)證機(jī)制，同時(shí)適用于單個(gè)用戶和一個(gè)網(wǎng)段的VPN接入。對象定義：防火墻采用面向?qū)ο蟮墓芾頇C(jī)制，在配置各類安全策略之前，先對每個(gè)網(wǎng)絡(luò)實(shí)體進(jìn)行定義，以便于策略統(tǒng)一部署。身份認(rèn)證：使用身份認(rèn)證功能實(shí)現(xiàn)用戶上網(wǎng)的實(shí)名控制，可以根據(jù)用戶名進(jìn)行訪問控制，配置過濾規(guī)則； 管理員審計(jì)信息：用于查詢管理員的操作記錄，包括成功的操作及失敗的操作。審計(jì)員可以對審計(jì)信息進(jìn)行備份、下載及刪除。 系統(tǒng)審計(jì)信息：用于查詢防火墻系統(tǒng)事件，比如關(guān)閉系統(tǒng)、啟動(dòng)系統(tǒng)等。審計(jì)員可以對審計(jì)信息進(jìn)行備份、下載、刪除。圖一：黑盾防火墻主界面黑盾防火墻的默認(rèn)配置是為大多數(shù)用戶所普遍需要的功能而設(shè)置的。但也有一些用戶有某些額外需要。為滿足這些需要，可通過定購選項(xiàng)模塊來增加額外的功能，如VPN模塊。部署黑盾防火墻“黑盾”防火墻系列產(chǎn)品能為各種規(guī)模的客戶提供全面、實(shí)時(shí)的安全，支持寬帶接入與千兆級主干網(wǎng)絡(luò)流量，滿足從遠(yuǎn)程用戶/SOHO、小型辦公室，到企業(yè)分支機(jī)構(gòu)、電子商務(wù)站點(diǎn)、大型企業(yè)總部，再到電信級、網(wǎng)絡(luò)服務(wù)運(yùn)營商、數(shù)據(jù)中心網(wǎng)絡(luò)環(huán)境的安全需求。無論您是需要低成本的用于小型網(wǎng)絡(luò)的解決方案，還是需要電信級的核心任務(wù)實(shí)施方案，每一款黑盾防火墻都能讓您構(gòu)建高質(zhì)量的網(wǎng)絡(luò)安全防護(hù)體系結(jié)構(gòu)，享受簡便安裝、直觀管理和海峽信息工程師全方位的技術(shù)支持服務(wù)。用戶在安裝部署黑盾防火墻之前應(yīng)該首先對本企業(yè)網(wǎng)絡(luò)進(jìn)行整體規(guī)劃，確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，制定企業(yè)安全策略，以便于日后進(jìn)行更好的管理。發(fā)起訪問請求發(fā)起訪問請求進(jìn)行訪問規(guī)則檢查合法請求則允許對外訪問發(fā)起訪問請求合法請求則允許訪問不允許對內(nèi)網(wǎng)的訪問黑盾防火墻黑盾防火墻典型部署拓?fù)鋱D黑盾防火墻網(wǎng)絡(luò)拓?fù)湟?guī)劃一般地，使用黑盾防火墻的網(wǎng)絡(luò)結(jié)構(gòu)可以參照上圖進(jìn)行規(guī)劃，圖中所示的非安全網(wǎng)絡(luò)為Internet。實(shí)際應(yīng)用中，任何應(yīng)重點(diǎn)保護(hù)的子網(wǎng)與其他不信任網(wǎng)絡(luò)相連時(shí)，都可以考慮使用防火墻進(jìn)行隔離，比如，可以在企業(yè)的財(cái)務(wù)部與其他部門之間安放一臺防火墻，既可保證各部門之間能夠進(jìn)行必要的通信，又能保證財(cái)務(wù)部子網(wǎng)的安全。黑盾防火墻標(biāo)準(zhǔn)配置提供了三個(gè)網(wǎng)絡(luò)接口：外網(wǎng)口、內(nèi)網(wǎng)口和DMZ口。同時(shí)防火墻支持實(shí)際硬件載體所提供的所有網(wǎng)絡(luò)接口，包括標(biāo)準(zhǔn)配置的三個(gè)接口和各個(gè)擴(kuò)展口。標(biāo)準(zhǔn)配置的三個(gè)接口分別連接外部非安全區(qū)網(wǎng)絡(luò)、內(nèi)部安全區(qū)網(wǎng)絡(luò)和非軍事化區(qū)網(wǎng)絡(luò)（DMZ區(qū)網(wǎng)絡(luò)）。將企業(yè)網(wǎng)絡(luò)劃分為內(nèi)部安全區(qū)網(wǎng)絡(luò)和DMZ區(qū)網(wǎng)絡(luò)，是為了將對外提供公開服務(wù)的服務(wù)器主機(jī)，如企業(yè)的web服務(wù)器、ftp服務(wù)器、郵件服務(wù)器等，與其它不提供對外服務(wù)的主機(jī)分開，這樣既便于集中管理，還可將風(fēng)險(xiǎn)隔離。因?yàn)閷ν馓峁┓?wù)的主機(jī)，不可避免地要比內(nèi)部不提供對外服務(wù)的主機(jī)暴露給外面世界的信息要多，這就使它們更容易遭受外部黑客的攻擊。將這些服務(wù)器集中放在DMZ區(qū)，即使它們遭到攻擊，也不會(huì)危及內(nèi)部安全區(qū)網(wǎng)絡(luò)各主機(jī)的安全。內(nèi)部安全區(qū)網(wǎng)絡(luò)和DMZ區(qū)網(wǎng)絡(luò)都是防火墻保護(hù)的安全區(qū)域。防火墻的透明模式和路由模式一體化工作模式主要分為：透明模式、路由模式和混和模式。透明模式：即橋模式，防火墻的網(wǎng)口相當(dāng)于交換機(jī)的端口，路由和NAT等功能將不能使用，防火墻以這種模式接入，只需要一個(gè)IP地址，供管理配置之用，不需要按網(wǎng)絡(luò)接口劃分網(wǎng)絡(luò)區(qū)域。原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)無須任何改變。路由模式：在此模式下，防火墻的正向NAT、反向NAT和路由的功能都可使用。這時(shí)內(nèi)部網(wǎng)絡(luò)客戶機(jī)的網(wǎng)關(guān)應(yīng)當(dāng)設(shè)為防火墻的內(nèi)網(wǎng)口地址。混合模式：在此模式下，防火墻的路由和NAT功能依然可使用。同時(shí)防火墻的網(wǎng)口不僅可相當(dāng)于交換機(jī)的端口，也可作為路由端口使用。當(dāng)防火墻采用混合模式時(shí)，內(nèi)部網(wǎng)絡(luò)客戶機(jī)的網(wǎng)關(guān)既可以設(shè)為防火墻的內(nèi)網(wǎng)口地址，也可以直接指向防火墻外部的路由器上，內(nèi)部網(wǎng)絡(luò)配置選擇余地較大。另外，也可以選擇部分接口加入透明模式，部分接口保留路由模式。確定網(wǎng)絡(luò)應(yīng)用服務(wù)和防火墻配置參數(shù)規(guī)劃好網(wǎng)絡(luò)結(jié)構(gòu)之后，就要具體定義網(wǎng)絡(luò)參數(shù)，請盡可能確定以下各項(xiàng)內(nèi)容：與外網(wǎng)連接的網(wǎng)關(guān)或路由器地址防火墻外網(wǎng)口的IP地址、子網(wǎng)掩碼防火墻內(nèi)網(wǎng)口的IP地址、子網(wǎng)掩碼防火墻DMZ口的IP地址、子網(wǎng)掩碼外部域名服務(wù)器地址內(nèi)部域名服務(wù)器地址防火墻管理主機(jī)的IP地址及名稱（一般放在內(nèi)部網(wǎng)絡(luò)）企業(yè)安全策略，如：是否允許內(nèi)網(wǎng)訪問外網(wǎng)，允許訪問哪些服務(wù)；是否允許進(jìn)行Windows域登錄，是否使用DHCP；是否允許從外網(wǎng)向內(nèi)部網(wǎng)絡(luò)進(jìn)行telnet和FTP服務(wù)；內(nèi)部用戶訪問外網(wǎng)是否進(jìn)行流量控制、時(shí)間限制和內(nèi)容限制；本企業(yè)必須使用哪些協(xié)議和服務(wù)等等。這些參數(shù)確定之后，就可以按照網(wǎng)絡(luò)結(jié)構(gòu)圖安裝黑盾防火墻系統(tǒng)了。但在防火墻能與企業(yè)網(wǎng)絡(luò)協(xié)同工作之前，還必須進(jìn)行防火墻的配置工作。其中包括防火墻系統(tǒng)配置和企業(yè)安全策略的實(shí)施，這將在下面的章節(jié)中講述。黑盾防火墻的初始安裝準(zhǔn)備工作黑盾防火墻是硬件防火墻，出廠時(shí)已作了基本配置：DMZ口上有3個(gè)IP地址:/16,/16,/16缺省管理主機(jī)IP地址（由DMZ口進(jìn)入）:/16,/16,/16缺省管理員名：admin；口令：admin缺省規(guī)則管理員名：rule；口令：abc123；缺省審計(jì)名：audit；口令：abc123；缺省管理機(jī)IP地址：，,（由DMZ口進(jìn)入）注：在實(shí)際使用中，內(nèi)網(wǎng)和DMZ區(qū)的地址可以由用戶自己指定。外網(wǎng)的地址由ISP分配，用戶配置時(shí)只需將ISP分配的地址填入即可。把防火墻連接到網(wǎng)絡(luò)和設(shè)備上按以下步驟安裝防火墻的硬件：把黑盾防火墻安裝到19英寸標(biāo)準(zhǔn)機(jī)架上或一個(gè)干凈、干燥、水平的臺面上。把連接防火墻的電源關(guān)閉。用產(chǎn)品包中提供的電源電纜連接防火墻和電源插座（確保防火墻的電源供應(yīng)是220V）。連線方式見表1。接口交換機(jī)/集線器路由器/主機(jī)外網(wǎng)口直接連接交叉連接內(nèi)網(wǎng)口直接連接交叉連接DMZ口直接連接交叉連接防火墻的線路連接將防火墻的DMZ口接到集線器或交換機(jī)上，將一臺工作用機(jī)也接到同一個(gè)集線器上，或者用交叉線將防火墻DMZ口跟工作用機(jī)網(wǎng)卡直接相連。同時(shí)，將工作用機(jī)的地址配置成：/16或/16或/16（出廠缺省的許可配置地址）。打開連接防火墻的各設(shè)備的電源。如果線路連接正確，相應(yīng)的指示燈會(huì)變亮。管理機(jī)的要求安裝好硬件后，就可以配置防火墻了。用戶可以用一個(gè)標(biāo)準(zhǔn)的WEB瀏覽器進(jìn)行配置，進(jìn)行配置管理的工作站（管理機(jī)）必須具備下列條件：有MicrosoftInternetExplorer5.01或更高版本，或者NetscapeCommunicator4.0或更高版本。連接防火墻的網(wǎng)絡(luò)必須支持TCP/IP協(xié)議。通過WEB瀏覽器配置防火墻用戶可以選擇將管理機(jī)安放在與防火墻相連的任一網(wǎng)絡(luò)，為安全和方便起見，建議將管理機(jī)安放在內(nèi)部網(wǎng)。記錄管理機(jī)的IP地址和子網(wǎng)掩碼。在以后過程中將會(huì)需要重新輸入它們。把管理機(jī)的IP地址設(shè)為與防火墻DMZ口在同一子網(wǎng)，比如改為/16或/16或/16，然后根據(jù)用戶的操作系統(tǒng)確定是否需要重新啟動(dòng)管理機(jī)使配置生效。注意：黑盾防火墻出廠時(shí)DMZ口的IP地址初始設(shè)置為/16或者/16或者/16，默認(rèn)管理主機(jī)IP地址為/16,/16,/16將防火墻DMZ接口和管理機(jī)連接在同一網(wǎng)絡(luò)上，啟動(dòng)管理機(jī)的瀏覽器。在瀏覽器的URL地址欄中，填入防火墻的IP地址/注意：黑盾防火墻管理時(shí)采用SSL以增加管理的安全性，因此是“https”，而不是“http”。登錄前將出現(xiàn)安全報(bào)警提示，如下圖： 點(diǎn)擊“是（Y）”，出現(xiàn)輸入登錄信息的對話框，圖一： 防火墻的登錄畫面輸入初始用戶名admin和初始密碼admin，然后單擊“登錄”按鈕，就可登錄到防火墻的主頁面。注意：用戶名和密碼是大小寫敏感的。防火墻出廠時(shí)用戶名為admin，密碼為admin。單擊屏幕主頁面中的“系統(tǒng)配置”按鈕以配置防火墻的IP地址。接口設(shè)置畫面出現(xiàn)在主顯示區(qū)域中，詳見本手冊第四章第三節(jié)的“系統(tǒng)配置”。然后在“管理主機(jī)”上加入您的管理機(jī)（即用來管理防火墻的計(jì)算機(jī)）的IP地址。注意：這一步必須在修改防火墻網(wǎng)口IP地址前完成，否則將無法連接防火墻。在“網(wǎng)口配置”中為“內(nèi)網(wǎng)口”填入內(nèi)部網(wǎng)絡(luò)中有效的IP地址和網(wǎng)絡(luò)掩碼，在“路由設(shè)置”中main路由表添加缺省網(wǎng)關(guān)，然后單擊“確認(rèn)”按鈕以保存設(shè)置。退出防火墻管理界面后，如果要從管理機(jī)再次連接防火墻時(shí)，就應(yīng)當(dāng)輸入防火墻的新接口IP地址，如通過管理機(jī)的串口配置防火墻防火墻串口提供一些命令供系統(tǒng)管理員配置和查看當(dāng)前防火墻的狀態(tài)。串口設(shè)置端口參數(shù)設(shè)置：波特率為9600，8位數(shù)據(jù)位，1位停止位，無奇偶效驗(yàn)，無流控。Console口是防火墻的串口1，海峽信息在產(chǎn)品包裝箱中提供了連接線纜。管理機(jī)的配置以WINDOWS2000以上操作系統(tǒng)為例.采用操作系統(tǒng)自帶的超級終端(HyperTerminal)應(yīng)用程序。用鼠標(biāo)單擊“開始”，選擇“附件”中“通訊”的“超級終端”，運(yùn)行“超級終端”。超級終端開始運(yùn)行后，出現(xiàn)“連接描述”對話框，在名稱輸入項(xiàng)中鍵入連接名稱，如“firewall”等，再選擇一個(gè)圖標(biāo)，按“確定”。如下圖： 圖一：管理機(jī)的配置出現(xiàn)“連接到”對話框，在“連接時(shí)使用”下拉菜單中選擇“直接連接到串口1”(假設(shè)串口線連接串口1)，按“確定” 圖二： 主機(jī)端的配置出現(xiàn)“COM1屬性”對話框，把波特率設(shè)為9600，8位數(shù)據(jù)位，1位停止位，無奇偶效驗(yàn)，無流控，按“確定”完成設(shè)置。如下圖： 圖三： 主機(jī)端的配置確定之后，將出現(xiàn)一個(gè)連接到PC上COM1端口的空白超級終端窗口。在開始使用超級終端管理防火墻之前，要確保終端屬性進(jìn)行了正確的設(shè)置。單擊“文件”菜單，選擇“屬性”，然后單擊“設(shè)置”選項(xiàng)卡。確?！肮δ苕I、箭頭鍵和Ctrl鍵”設(shè)置為“終端鍵”，“終端仿真”設(shè)置為VT100。“反卷緩沖區(qū)行數(shù)”應(yīng)設(shè)置為最大值。這將讓你看到所做的修改，并為剪切和粘貼保存最大的歷史紀(jì)錄。設(shè)置如圖所示： ★小技巧：為了達(dá)到終端最佳視覺效果，可以把字體設(shè)置為Fixedsys.☆進(jìn)入終端狀態(tài)連接通過后，用戶請鍵入回車鍵（Enter鍵），便可在窗口中看到命令行提示符：注意：如果沒有看到，則要檢查電纜是否正確連接到防火墻串口1上，或者是否選擇了PC上的錯(cuò)誤的COM端口。系統(tǒng)將提示用戶輸入訪問口令。注意：該口令防火墻出產(chǎn)時(shí)缺省為abc123，用戶在以后的配置中可以自定義修改。黑盾防火墻的命令行配置界面類似Cisco路由器的IOS配置界面，操作基本一致。該配置界面下可以做到：查看防火墻系統(tǒng)的基本信息，簡單配置防火墻的網(wǎng)口地址、路由、管理主機(jī)以及防火墻系統(tǒng)的服務(wù)web和ssh,恢復(fù)防火墻的出廠配置等等。更多的配置工作則通過WEB瀏覽器配置方式完成。訪問狀態(tài)級別黑盾防火墻有兩種缺省的權(quán)限狀態(tài)：“普通用戶”狀態(tài)和“超級用戶狀態(tài)”。在普通用戶狀態(tài)中，只能查看而不能修改防火墻狀態(tài)。要了解更多的信息或者需要對防火墻做某些修改，則必須進(jìn)入超級用戶狀態(tài)3002如何使用命令行配置防火墻黑盾防火墻進(jìn)入串口終端方式的命令行配置界面，任何時(shí)候都可以使用？號來獲得在該狀態(tài)下可以使用的命令集合以及各個(gè)命令的含義。單獨(dú)輸入一個(gè)問號，將顯示當(dāng)前狀態(tài)下所有有效的命令。在輸入的一個(gè)命令后添加一個(gè)問號，將顯示以此命令開頭的所有有效命令及命令參數(shù)。可以使用問號?幫助在命令行配置界面中瀏覽所有命令。在輸入部分命令后，按Tab鍵可以補(bǔ)全該命令關(guān)鍵字。輸入命令后可以用？號來獲得后續(xù)可以使用的命令或參數(shù)的幫助列表。用戶終端登錄后，就進(jìn)入了普通用戶狀態(tài)。要進(jìn)入超級用戶狀態(tài)，需要在普通用戶狀態(tài)下，使用命令：enable，并且輸入密碼，出廠密碼是：“abc123”。要進(jìn)入配置狀態(tài)，需要在超級用戶狀態(tài)，使用命令：configureterminal。命令行配置，還支持命令簡寫功能，只要不引起歧義，可以用命令的前幾個(gè)字符替代整個(gè)命令，這樣，配置時(shí)的擊鍵量就小多了。命令行一般用戶狀態(tài)下的功能見下圖：SHOW顯示防火墻各種狀態(tài)和參數(shù)；ENABLE進(jìn)入超級終端狀態(tài)；PING檢查網(wǎng)絡(luò)狀態(tài)，與WIN98的PING相同；TRACERTOUTE查看至目的地址的路由信息，與WIN98下的TRACERT相同；EXIT退出命令行配置防火墻。提示符下敲一個(gè)問號可以取得所有命令以及命令的解釋，如圖：超級用戶狀態(tài)下的功能在普通用戶提示下鍵入enable命令，再鍵入相應(yīng)的口令，進(jìn)入超級用戶狀態(tài)，見下圖：CONFIGURE配置防火墻參數(shù)；SHOW顯示防火墻各種狀態(tài)和參數(shù)；ENABLE進(jìn)入超級用戶狀態(tài)；TELNET遠(yuǎn)程登錄；PING與WIN98的PING相同；SECRET更改口令；TRACERTOUTE查看至目的地址的路由信息,與WIN98下的TRACERT相同；RESET恢復(fù)出廠設(shè)置（除備份數(shù)據(jù)）；REBOOT重新引導(dǎo)；EXIT退出命令行配置防火墻。下表是普通用戶、超級用戶狀態(tài)和配置狀態(tài)下的命令列表：普通用戶狀態(tài)命令列表Show顯示防火墻信息Enable進(jìn)入超級用戶狀態(tài)P發(fā)送Ping指令Traceroute查看至目的地址的路由信息Exit退出超級用戶狀態(tài)命令列表Configure進(jìn)入配置狀態(tài)Show顯示防火墻系統(tǒng)信息Enable進(jìn)入超級用戶狀態(tài)Telnet啟動(dòng)一個(gè)telnet連接Ping發(fā)送Ping指令Secret配置用戶和超級用戶密碼Traceroute查看至目的地址的路由信息Reset恢復(fù)出廠設(shè)置Reboot重新啟動(dòng)防火墻Exit退出配置狀態(tài)下命令列表Route配置路由Interface配置網(wǎng)卡和IPadminhost配置管理主機(jī)Done寫入配置具體命令如下：1．顯示防火墻系統(tǒng)信息showarp顯示arp緩存showclock顯示系統(tǒng)時(shí)間showinterface顯示網(wǎng)絡(luò)接口配置showroute顯示路由配置showmemory顯示內(nèi)存使用情況showcpu顯示cpu使用情況showprivilege顯示當(dāng)前用戶狀態(tài)，0為普通用戶，1為超級用戶showuptime顯示系統(tǒng)最后更新時(shí)間show_version顯示防火墻版本信息2．ping命令，檢查網(wǎng)絡(luò)狀態(tài)，與win98的ping相同3．traceroute查看至目的地址的路由信息，與win98下的tracert相同4．Enable命令，輸入密碼，出廠是abc123，進(jìn)入超級用戶管理狀態(tài)5．Exit退出串口終端配置系統(tǒng)注：進(jìn)入管理員狀態(tài)后，終端所有命令都可以使用，下面這些命令只有在管理員狀態(tài)下才能使用6．telnet遠(yuǎn)程登錄，與win98下的telnet相同7．configureterminal命令，此時(shí)系統(tǒng)進(jìn)入“配置”狀態(tài)，命令提示符為configure$管理主機(jī)adminhostadminhostadd<MAC><ip>[interface]添加管理主機(jī)adminhostdelete輸入要?jiǎng)h除的id刪除管理主機(jī)adminhostlist查看管理主機(jī)列表管理路由routerouteadd–local<ip/netmask><interface>[metric]添加本地路由routeadd–static<ip/netmask><gw>[interface][metric]添加靜態(tài)路由routeadd–default<gw>[interface][metric]添加默認(rèn)路由routedelete輸入要?jiǎng)h除的id刪除某條路由routelist查看路由列表網(wǎng)絡(luò)接口interfaceinterfacelistifcfg<interface>查看網(wǎng)絡(luò)接口的配置狀態(tài)interfacelistipaddr<interface>查看網(wǎng)絡(luò)接口的ip地址interfaceset<interface><mode><up|down>設(shè)定網(wǎng)絡(luò)接口的狀態(tài)和模式注：其中up>yes,down>no；<mode>為pppoe,dhcp,static三種模式之一interfaceadd<interface><ip/netmask>添加網(wǎng)絡(luò)接口的ip地址interfacedelete<interface>刪除網(wǎng)絡(luò)接口的ip地址服務(wù)控制serverserver<web|ssh><start|stop|restart|status>注：此命令可啟用、停用、重啟系統(tǒng)的web或ssh服務(wù)done命令，退出配置狀態(tài)，返回到管理員狀態(tài)8．secret命令secretlogin設(shè)置串口終端配置系統(tǒng)的登錄密碼secretenable設(shè)置進(jìn)入管理員狀態(tài)的密碼9．reset命令，重新設(shè)置防火墻的出廠配置resetuser重新設(shè)置用戶的出廠配置resetrule重新設(shè)置規(guī)則的出廠配置resetsystem重新設(shè)置系統(tǒng)的出廠配置resetall重新設(shè)置所有的出廠配置(用戶.規(guī)則.系統(tǒng))10．reboot命令，重啟防火墻系統(tǒng)防火墻的安全配置按照您的網(wǎng)絡(luò)情況安裝黑盾防火墻之后，系統(tǒng)管理員首先要做的第一件事就是進(jìn)行系統(tǒng)配置，因?yàn)橹挥型瓿上到y(tǒng)配置之后，防火墻才能與用戶的網(wǎng)絡(luò)協(xié)同工作。下面就是以超級用戶進(jìn)入黑盾防火墻后所看到的管理配置界面(本系統(tǒng)定義了4種用戶組：超級管理員、規(guī)則管理員、審計(jì)員、只讀管理員。各有相應(yīng)的操作權(quán)限，登錄后將根據(jù)不同的權(quán)限出現(xiàn)不同的配置界面，三種用戶詳細(xì)權(quán)限定義在用戶管理中說明。注意：管理機(jī)如果連續(xù)10次登錄失敗，在之后的10分鐘內(nèi)將被禁止再次嘗試登錄防火墻）。

從上面界面看出超級用戶可以進(jìn)行的配置包括：系統(tǒng)信息、系統(tǒng)維護(hù)、系統(tǒng)設(shè)置、IP包轉(zhuǎn)換、訪問控制、安全選項(xiàng)、VPN設(shè)置、對象定義、身份認(rèn)證、注銷十個(gè)大欄目（不同型號的配置欄目不同）。系統(tǒng)信息系統(tǒng)信息設(shè)置的主界面：

界面上概述了系統(tǒng)信息的要義：提供防火墻系統(tǒng)的基本信息以及測試工具，使管理員能夠了解系統(tǒng)的版本，系統(tǒng)資源，實(shí)時(shí)狀態(tài)連接，ARP緩存、IP資產(chǎn)管理等信息，還提供了豐富的網(wǎng)絡(luò)調(diào)試工具：PING,路由跟蹤，在線捕包等。利用系統(tǒng)信息工具，管理員能夠了解防火墻系統(tǒng)以及網(wǎng)絡(luò)的實(shí)時(shí)狀態(tài)。版本說明此處可以看出本機(jī)的版本號及出廠日期。序列號則是本機(jī)的唯一識別。目前版本為3.0。系統(tǒng)資源系統(tǒng)資源顯示當(dāng)前防火墻主要硬件資源的使用情況。CPU狀態(tài)：顯示user（用戶進(jìn)程）、system（系統(tǒng)進(jìn)程）、nice（優(yōu)先級數(shù)為正值的進(jìn)程）、idle（空閑進(jìn)程）使用CPU的百分比；內(nèi)存狀態(tài)：顯示系統(tǒng)總的內(nèi)存容量，已使用內(nèi)存大小，空閑內(nèi)存大??；存儲(chǔ)使用率：顯示存儲(chǔ)介質(zhì)總?cè)萘?，已使用大小，空閑大小及其空間存儲(chǔ)利用率；連續(xù)運(yùn)行時(shí)間：顯示防火墻最近一次開機(jī)至當(dāng)前的持續(xù)工作時(shí)間；系統(tǒng)負(fù)載：顯示系統(tǒng)平均５分鐘，１０分鐘，１５分鐘的負(fù)載量；進(jìn)程信息：顯示當(dāng)前進(jìn)程總個(gè)數(shù)，睡眠進(jìn)程個(gè)數(shù)，正在運(yùn)行進(jìn)程個(gè)數(shù)，僵死進(jìn)程個(gè)數(shù)，已停止進(jìn)程個(gè)數(shù)。網(wǎng)絡(luò)資源界面顯示了當(dāng)前的網(wǎng)絡(luò)接口狀態(tài)和網(wǎng)絡(luò)帶寬使用情況。查看完后，可以按“刷新信息”按鈕重新獲取系統(tǒng)資源或網(wǎng)絡(luò)資源信息。當(dāng)前連接這個(gè)功能是讓用戶對當(dāng)前防火墻的連接狀態(tài)信息進(jìn)行查詢?？梢詫P、端口號、協(xié)議、狀態(tài)、流速等進(jìn)行任意組合查詢，并可以根據(jù)某一個(gè)或者多個(gè)條件進(jìn)行統(tǒng)計(jì)和排序。查詢條件包括如下內(nèi)容：地址：指定要查詢連接的地址對和通訊發(fā)起方向，通訊方向默認(rèn)為雙向，根據(jù)需要手工指定。地址可以是主機(jī)地址，也可以是網(wǎng)段（子網(wǎng)）地址；協(xié)議：指定所要查詢連接的協(xié)議類型，可從下拉列表中選擇“所有，tcp,udp，icmp，其他”之一。其中“所有”表示查詢所有協(xié)議連接；“tcp”表示只查詢tcp協(xié)議的連接；“udp”表示只查詢udp協(xié)議的連接。默認(rèn)選擇“所有”。端口：指定要查詢連接的源和目的端口值，并可根據(jù)需要指定通訊發(fā)起方向，默認(rèn)值為雙向。端口是指TCP和UDP協(xié)議的端口。連接狀態(tài)：指定所要查詢連接的狀態(tài)類型，可從下拉列表中選擇“所有，已連接，未答復(fù)，其他”之一。其中“所有”表示查詢所有狀態(tài)的連接；“已連接”表示只查詢已建立連接（目標(biāo)端已答復(fù)）的連接；“未答復(fù)”表示只查詢未答復(fù)（目標(biāo)端未答復(fù)）的連接。默認(rèn)選擇“所有”。流速：可選項(xiàng)為“所有，大于0，等于0”，默認(rèn)值為“所有”統(tǒng)計(jì)條件包括如下內(nèi)容：不統(tǒng)計(jì)：默認(rèn)值，選中此選項(xiàng)時(shí)將不對查詢結(jié)果進(jìn)行統(tǒng)計(jì)，列出所有符合查詢條件的詳細(xì)連接信息。統(tǒng)計(jì)所有：若選中此選項(xiàng)，則查詢結(jié)果顯示符合條件的連接狀態(tài)的總連接數(shù)、總流量和總流速。自定義：用戶可自定義統(tǒng)計(jì)條件，例如根據(jù)源IP進(jìn)行統(tǒng)計(jì)時(shí)，統(tǒng)計(jì)結(jié)果會(huì)合并所有源IP相同的連接，計(jì)算這些連接的總連接數(shù)、總流量、總流速和總包數(shù)。自定義的統(tǒng)計(jì)條件支持多選。排序條件包括系統(tǒng)、連接數(shù)、流速、流量、包個(gè)數(shù)、建立時(shí)間和剩余時(shí)間。默認(rèn)根據(jù)系統(tǒng)順序排列，用戶可選擇其它排序方式，所有排序方式均為降序。提示：若查詢操作所得到的結(jié)果過多，無法找到希望查看的信息時(shí)，可以通過查詢條件來減少查詢結(jié)果。刪除連接狀態(tài)：點(diǎn)擊界面右上角的“刪除匹配連接”將會(huì)刪除當(dāng)前符合查詢條件的連接。注意，要先進(jìn)行查詢才能正確刪除連接狀態(tài)。ARP緩存防火墻上可以列出系統(tǒng)的ARP緩存的詳細(xì)信息（每個(gè)表項(xiàng)對應(yīng)的接口、原IP、MAC地址、狀態(tài)），可以用頁面上的“清空列表”按鈕來刪除ARP緩存中的所有表項(xiàng)，也可以點(diǎn)擊每條表項(xiàng)后面的“刪除”按鈕來刪除相應(yīng)表項(xiàng)。

對系統(tǒng)的ARP緩存還可以進(jìn)行如下操作：設(shè)置靜態(tài)條目：往ARP緩存中添加一條表項(xiàng)，要求指定IP地址，MAC地址，接口名可選；查找：在ARP緩存中查找符合條件的表項(xiàng)，條件為接口名，IP地址，MAC地址。可指定三個(gè)條件中的0-3個(gè)，其中IP地址，MAC地址可以只給出前面一部分，進(jìn)行模糊匹配；導(dǎo)入靜態(tài)條目：可以選定系統(tǒng)中已經(jīng)存在的地址池對象導(dǎo)入到ARP緩存中。防火墻上將暫存通過防火墻的IP的ARP列表，實(shí)時(shí)在線的狀態(tài)將顯示可到達(dá)，曾在線的將顯示超時(shí)。IP資產(chǎn)管理防火墻提供了資產(chǎn)管理功能幫助用戶注冊登記網(wǎng)絡(luò)的IP-MAC資產(chǎn)，方便管理IP使用狀況，通過網(wǎng)內(nèi)IP使用實(shí)名制，方便定位查找。 ◆添加ip-mac：用戶手工添加登記一條資產(chǎn)信息，內(nèi)容包括IP、MAC和描述；◆掃描ip-mac：根據(jù)輸入的開始IP和結(jié)束IP地址，并選擇掃描區(qū)域，進(jìn)行掃描；◆導(dǎo)入：系統(tǒng)支持用戶已經(jīng)導(dǎo)出的備份文件進(jìn)行恢復(fù)ip支持表；◆導(dǎo)出：將目前系統(tǒng)的ip支持表信息導(dǎo)出到用戶電腦做備份；◆清空：系統(tǒng)將IP資產(chǎn)表所有條目刪除；◆IP-MAC綁定：用戶根據(jù)需要選擇IP-MAC地址綁定的信息；◆導(dǎo)入身份認(rèn)證IP資產(chǎn)：如果使用了身份認(rèn)證功能，系統(tǒng)支持從身份認(rèn)證登記的資料導(dǎo)入到IP資產(chǎn)清單，這樣避免重復(fù)登記錄入ip資產(chǎn)信息。調(diào)試工具防火墻上內(nèi)置了些小工具協(xié)助用戶分析網(wǎng)絡(luò)故障◆沖突告警：該功能顯示最近一次與防火墻發(fā)生IP沖突的內(nèi)網(wǎng)主機(jī)，包括IP、MAC、以及發(fā)生沖突的時(shí)間（如下圖），有助與管理員迅速排查因IP沖突造成的網(wǎng)絡(luò)故障?！鬚ING：校驗(yàn)與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接。Ping命令通過向計(jì)算機(jī)發(fā)送ICMP回應(yīng)報(bào)文并且監(jiān)聽回應(yīng)報(bào)文的返回，以校驗(yàn)與遠(yuǎn)程計(jì)算機(jī)或本地計(jì)算機(jī)的連接。對于每個(gè)發(fā)送報(bào)文，Ping最多等待1秒，并打印發(fā)送和接收把報(bào)文的數(shù)量。比較每個(gè)接收報(bào)文和發(fā)送報(bào)文，以校驗(yàn)其有效性。默認(rèn)情況下，發(fā)送四個(gè)回應(yīng)報(bào)文，每個(gè)報(bào)文包含64字節(jié)的數(shù)據(jù)（周期性的大寫字母序列）。◆TRACEROUTE：當(dāng)數(shù)據(jù)報(bào)從你的計(jì)算機(jī)經(jīng)過多個(gè)網(wǎng)關(guān)傳送到目的地時(shí)，Tracerout命令可以用來跟蹤數(shù)據(jù)報(bào)使用的路由（路徑）。該實(shí)用程序跟蹤的路徑是源計(jì)算機(jī)到目的地的一條路徑，不能保證或認(rèn)為數(shù)據(jù)報(bào)總遵循這個(gè)路徑。如果你的配置使用DNS，那么你常常會(huì)從所產(chǎn)生的應(yīng)答中得到城市、地址和常見通信公司的名字。Tracert是一個(gè)運(yùn)行得比較慢的命令（如果你指定的目標(biāo)地址比較遠(yuǎn)），每個(gè)路由器你大約需要給它15秒鐘

Tracerout的使用很簡單，只需要在Tracerout后面跟一個(gè)IP地址或URL，Tracerout會(huì)進(jìn)行相應(yīng)的域名轉(zhuǎn)換的。Tracerout一般用來檢測故障的位置，你可以用TraceroutIP在哪個(gè)環(huán)節(jié)上出了問題，雖然還是沒有確定是什么問題，但它已經(jīng)告訴了我們問題所在的地方，你也就可以很有把握的告訴別人——某某出了問題?！鬝NIFFER：該功能是根據(jù)設(shè)定的條件對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行捕包，并可以分析捕到數(shù)據(jù)包的內(nèi)部信息（如下圖：）sniffer可設(shè)定捕包條件：接口：在指定接口上捕包；可以在接口列表中選擇接口或者直接輸入接口名稱。接口名稱：有效的接口名稱可以是（X代表整數(shù)）：ethX（物理接口），br1（網(wǎng)橋接口）,ethX.X（VLAN虛接口），ipsec.X（VPN接口），pppX（VPDN接口）?？捎玫慕涌诿Q可以從“路由表”中查看。協(xié)議：想捕捉的數(shù)據(jù)包的協(xié)議；以在協(xié)議列表中選擇協(xié)議或者直接輸入?yún)f(xié)議類型。包個(gè)數(shù)：想捕捉的數(shù)據(jù)包的個(gè)數(shù)；源MAC：想捕捉的數(shù)據(jù)包的源MAC地址；目標(biāo)MAC：想捕捉的數(shù)據(jù)包目標(biāo)MAC地址；源IP：想捕捉的數(shù)據(jù)包的源IP地址；目標(biāo)IP：想捕捉的數(shù)據(jù)包目標(biāo)IP地址；原端口：想捕捉的數(shù)據(jù)包的源端口；目標(biāo)端口：想捕捉的數(shù)據(jù)包目標(biāo)端口；按“開始”按鈕開始捕包，按“終止”終止捕包，本頁面把捕到的數(shù)據(jù)包的內(nèi)部信息詳細(xì)列出。提示：捕包條件可以只設(shè)置部分，但每個(gè)條件都要求精確匹配，如“源IP”：要求給出完整IP地址，且不支持網(wǎng)絡(luò)地址。sniffer捕包結(jié)果分析：ip數(shù)據(jù)包分析（如下圖）第一列：表示時(shí)間，時(shí)：分：秒：微秒；第二列：源IP.源端口；第三列：目的IP.目的端口；第四列：如果不是TCP協(xié)議，那么表示的是協(xié)議名稱；如果是TCP協(xié)議，那么表示的是TCP的標(biāo)記位；Len：表示數(shù)據(jù)包長度；ARP數(shù)據(jù)包分析（如下圖）第一列：表示時(shí)間，時(shí)：分：秒：微秒；第二列：源MAC第三列：表示目標(biāo)MAC，或廣播包（Broadcast）第四列：表示arp協(xié)議，及arp數(shù)據(jù)的具體內(nèi)容；“who-has”為arp查詢包，“reply”為arp應(yīng)答包。系統(tǒng)維護(hù)系統(tǒng)維護(hù)下有配置管理、系統(tǒng)自動(dòng)重啟、系統(tǒng)升級、重新啟動(dòng)、關(guān)閉系統(tǒng)、重新登錄、在線幫助共7個(gè)項(xiàng)目。配置管理配置管理讓用戶能將防火墻的當(dāng)前配置信息進(jìn)行可選擇的備份，并下載備份文件保存到管理主機(jī)或者其它設(shè)備上，需要恢復(fù)配置時(shí)再上傳到防火墻上去。備份完成如上圖，備份界面里包括“備份當(dāng)前配置”、“恢復(fù)”、“下載”、“刪除”、“上傳”和“清空”六個(gè)功能。1）如果您剛對防火墻做完詳細(xì)的配置，您可以點(diǎn)擊“備份當(dāng)前配置”將您所做的相關(guān)配置備份下來，如下圖：2）您可以點(diǎn)擊“下載”，將所做的防火墻備份數(shù)據(jù)下載到管理機(jī)上保存，如下圖：提示：保存時(shí)盡量使用不包含中文的文件名，如上圖所示的“allconfig.fwconf”。若使用中文文件名，則需要修改瀏覽器設(shè)置，去掉“總是以UTP-8發(fā)送URL”。如下圖：3）如果您需要采用以前的防火墻系統(tǒng)配置，可以點(diǎn)擊“上傳配置”，選擇相關(guān)的防火墻配置文件，如下圖：提示：若要上傳文件名包含中文的配置文件，請參考上一步中的瀏覽器設(shè)置。4）點(diǎn)擊您所上傳的防火墻系統(tǒng)配置文件對應(yīng)欄內(nèi)的“恢復(fù)”，出現(xiàn)如下提示：5）點(diǎn)擊“確定”后，防火墻將應(yīng)用新的防火墻配置。配置恢復(fù)無需重啟防火墻即可生效。6）配置成功恢復(fù)后需要進(jìn)行保存當(dāng)前配置的操作，才能使防火墻在重啟之后不還原到“恢復(fù)”操作進(jìn)行之前的配置。系統(tǒng)升級網(wǎng)絡(luò)安全是動(dòng)態(tài)變化，要確保網(wǎng)絡(luò)安全防護(hù)的有效性，升級是有必要的。見下圖：您可以點(diǎn)擊“上傳升級包”，選擇升級系統(tǒng)所需要的升級數(shù)據(jù)包。如下圖：點(diǎn)擊“確定上傳”，后出現(xiàn)如下提示：點(diǎn)擊“確定”后，系統(tǒng)將自動(dòng)重啟，并完成升級。系統(tǒng)自動(dòng)重啟用戶可以設(shè)定指定兩個(gè)時(shí)刻重啟指定服務(wù)或重啟系統(tǒng)，用戶可預(yù)先指定時(shí)間，到時(shí)防火墻將自動(dòng)重啟指定的服務(wù)或系統(tǒng)。重啟系統(tǒng)該功能是給用戶在一些特定的時(shí)候?qū)Ψ阑饓M(jìn)行重新啟動(dòng)的操作。關(guān)閉系統(tǒng)該功能是給用戶在一些特定的時(shí)候?qū)Ψ阑饓M(jìn)行關(guān)閉的操作。重新登錄顧名思義，給用戶提供一個(gè)重新登錄的入口，比如由規(guī)則管理員換為審計(jì)員，界面見下圖：系統(tǒng)設(shè)置系統(tǒng)設(shè)置如下圖：系統(tǒng)配置下有網(wǎng)口配置、路由配置、DHCP服務(wù)器、DDNS管理、DNS配置、系統(tǒng)時(shí)間、網(wǎng)絡(luò)參數(shù)、雙擊熱備、管理員設(shè)置、管理主機(jī)、SNMP管理、日志管理等十二個(gè)選項(xiàng)，以下一一介紹。網(wǎng)口配置防火墻基本參數(shù)為各種工作模式下的網(wǎng)絡(luò)接口提供詳細(xì)的參數(shù)配置和狀態(tài)查看，并且還可以設(shè)置VLAN、橋、PPPOE、DHCP等多種聯(lián)網(wǎng)方式。網(wǎng)口配置分為以下幾個(gè)內(nèi)容：外網(wǎng)口、內(nèi)網(wǎng)口、DMZ區(qū)、EXT1（擴(kuò)展口）、VLAN、網(wǎng)橋的配置。您可以通過“網(wǎng)口配置”為防火墻上各個(gè)物理接口設(shè)置IP地址，網(wǎng)口配置如下圖：物理接口配置如上圖可以看到外網(wǎng)口的信息：包括基本信息、流量信息和參數(shù)設(shè)置?；拘畔ⅲ喊ń涌诿?，設(shè)備名，鏈路狀態(tài)，連接類型（如：10兆半雙工為10baseT-HD、百兆全雙工為100baseTX－FD，根據(jù)網(wǎng)口的不同類型顯示），活動(dòng)狀態(tài)（可以選擇啟用、停用或重啟）。允許對接口名進(jìn)行重新定義：如對EXT1(擴(kuò)展口1)重新定義為“服務(wù)器區(qū)”。流量信息：按照接收和發(fā)送狀況顯示字節(jié)/每秒，包數(shù)/每秒，比特/每秒，平均包長度。參數(shù)設(shè)置：接口可以通過3種方式獲取地址，DHCP、PPPOE、手工設(shè)置靜態(tài)IP地址，并只能選其一。在選擇DHCP方式時(shí)，可選擇所使用的路由表，通過DHCP獲取的默認(rèn)路由將加入該表中。目前只允許在一個(gè)接口上使用PPPOE，當(dāng)有一個(gè)接口使用時(shí)，其它接口上該選項(xiàng)將顯示為不可用。當(dāng)選擇PPPOE時(shí)，請先對其參數(shù)進(jìn)行設(shè)置。PPPOE參數(shù)設(shè)置：PPPOE的驗(yàn)證協(xié)議包括口令驗(yàn)證協(xié)議（PAP）和挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）：口令驗(yàn)證協(xié)議（PAP）PAP是一種簡單的明文驗(yàn)證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串。遠(yuǎn)程客戶必須使用MD5單向哈希算法返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。用戶可以根據(jù)需要選擇CHAP或者PAP。然后輸入用戶名和密碼，并確認(rèn)密碼。MSS設(shè)置：MSS（MaximumSegmentSize），最大分組大小，等于MxaMTU減去40字節(jié)的地址信息)的整數(shù)倍，用戶可以對MSS不指定，也可以指定，但要注意對MSS指定有可能影響IPsec等特殊協(xié)議的連接。靜態(tài)IP可設(shè)置多個(gè)地址，其中在“已激活I(lǐng)P”欄中第一項(xiàng)為主IP，可在“已激活I(lǐng)P”中選中一項(xiàng)，點(diǎn)擊“設(shè)為主IP”按鈕來設(shè)置。如果添加多個(gè)地址，也要寫上相應(yīng)的子網(wǎng)掩碼。MAC地址：MAC地址設(shè)置，可以根據(jù)需要修改，也可以恢復(fù)為網(wǎng)卡默認(rèn)值。設(shè)置網(wǎng)卡模式：如果要使用防火墻上的在線捕包功能，啟用sniffer，需要將網(wǎng)卡設(shè)置為雜湊模式，在右邊框打鉤即可，也可選擇ARP代理，將該網(wǎng)口設(shè)為ARP代理。MTU設(shè)置：在TCP/IP通訊中，以太網(wǎng)的IP層的報(bào)文重組中有一個(gè)長度限制1500，限定了網(wǎng)絡(luò)接口所能接收的報(bào)文大小，所以在此默認(rèn)設(shè)置值為1500，用戶可以根據(jù)實(shí)際需要修改MTU值，但是最大不超過1500?！镒⒁馐马?xiàng)：內(nèi)網(wǎng)口、DMZ口、EXT1的參數(shù)配置與外網(wǎng)口的方法一樣，內(nèi)網(wǎng)口的默認(rèn)IP是/24，DMZ口的默認(rèn)IP是/16。VLAN設(shè)置，支持VLANTRUNK（802.1Q）協(xié)議如果網(wǎng)絡(luò)中要設(shè)置VLAN，需要與防火墻綁定接口。對于需要接入到VLAN的網(wǎng)絡(luò)接口，需要為該接口設(shè)置VLAN標(biāo)記（tag),輸入VLANID號，生成虛擬VLAN接口，虛擬接口名字為[接口名].[VLANID]。不需要的時(shí)候，也可以“刪除接口”。接下來選擇“基本信息”的“VLAN接口”，查看該虛擬接口的流量信息，設(shè)置IP地址。如下圖所示：注意：VLANID的范圍是1-4095。網(wǎng)橋設(shè)置通過把需要工作于透明模式的網(wǎng)絡(luò)接口（實(shí)接口或虛接口）加入到橋模式，生成橋虛擬接口。為了保證防火墻的正常工作，一般在一個(gè)網(wǎng)口加入橋之前或之后，刪除相應(yīng)接口的IP地址。如下圖所示：轉(zhuǎn)發(fā)表信息查看：網(wǎng)橋模式，也稱“交換模式”，網(wǎng)卡工作于混雜模式，通過學(xué)習(xí)形成一張端口MAC為主的轉(zhuǎn)發(fā)表。STP生成樹協(xié)議:默認(rèn)啟用STP，使用生成樹協(xié)議可以檢測并禁用網(wǎng)絡(luò)回路。下面是STP協(xié)議參數(shù)配置：maxage:設(shè)置橋接口收到的配置BPDU的最大壽命。默認(rèn)值：20秒，合理值：6-40秒hellotime:設(shè)置生成樹根設(shè)備發(fā)送配置BPDU的時(shí)間間隔（單位：秒）,推薦值2秒，合理值：1-10秒agetime:MAC地址更新間隔。單位為秒，默認(rèn)值：200秒forwarddelay：轉(zhuǎn)發(fā)延時(shí)，默認(rèn)為1秒，合理范圍1-15。用于設(shè)置生成樹根設(shè)備在變更狀態(tài)之前（即學(xué)習(xí)到轉(zhuǎn)發(fā)）的最長等候時(shí)間（以秒為單位）。這個(gè)延遲是必需的，這是因?yàn)槿魏我慌_設(shè)備在開始轉(zhuǎn)發(fā)幀之前首先必須接收到有關(guān)拓?fù)渥兏南ⅰ３酥?，每個(gè)端口都需要一定時(shí)間偵聽沖突信息，這將使其返回到阻塞狀態(tài)；否則可能會(huì)造成暫時(shí)的數(shù)據(jù)回路。garbagecollectioninterval：碎片收集間隔，單位為秒。toplogychagetimer：拓?fù)涓淖儠r(shí)間同時(shí)可以察看橋接口流量信息，為橋接口配置IP地址，實(shí)現(xiàn)三層交換（路由透明混合模式）。路由配置防火墻基于策略的路由配置涉及兩個(gè)方面：路由表和路由規(guī)則。路由配置模塊主要功能是用于對防火墻上的路由表進(jìn)行配置維護(hù)，設(shè)置路由規(guī)則指定符合條件的數(shù)據(jù)包所要查詢的路由表。防火墻的路由配置步驟如下：1.建立路由表2.設(shè)置各個(gè)路由表3.設(shè)置相應(yīng)的路由規(guī)則。其路由配置主界面如下圖：建立路由表點(diǎn)擊配置界面的左上角“路由表”出現(xiàn)路由列表，如下圖所示：路由表總共可以有254張，其中表號為254表名為main的路由表為防火墻的主路由表，默認(rèn)已創(chuàng)建，其他路由表，用戶在使用前要先進(jìn)行創(chuàng)建。點(diǎn)擊“創(chuàng)建新表”來建新的路由表，如下圖所示：設(shè)置路由表點(diǎn)擊路由列表中各個(gè)路由表的“查看”，進(jìn)入路由表的設(shè)置，例如對main(254)表進(jìn)行配置，如下圖所示：使用方法：按需求點(diǎn)擊右下角的“新建靜態(tài)路由”、“新建本地路由”、“新建默認(rèn)路由”，按提示在輸入框內(nèi)正確輸入路由參數(shù)，按右邊的刪除可以刪除不需要的路由，如下圖：靜態(tài)路由：可以人為地指定對某一網(wǎng)絡(luò)訪問時(shí)所要經(jīng)過的路徑，在網(wǎng)絡(luò)結(jié)構(gòu)比較簡單，且一般到達(dá)某一網(wǎng)絡(luò)經(jīng)過的路徑唯一的情況下采用靜態(tài)路由。本地路由：防火墻配置網(wǎng)絡(luò)接口后會(huì)自動(dòng)生成本地路由。默認(rèn)路由：用戶的互聯(lián)網(wǎng)ISP提供的網(wǎng)關(guān)路由?！镒⒁馐马?xiàng)：默認(rèn)路由一般都要手動(dòng)添加，它是指向下一跳網(wǎng)關(guān)路由，當(dāng)是DHCP動(dòng)態(tài)獲取地址時(shí)能夠自動(dòng)會(huì)獲取默認(rèn)路由。添加靜態(tài)路由時(shí)注意“目標(biāo)網(wǎng)絡(luò)”是一個(gè)網(wǎng)絡(luò)段，注意掩碼大小。不管是默認(rèn)路由還是靜態(tài)路由都必須注意網(wǎng)絡(luò)接口的選擇。設(shè)置相應(yīng)的路由規(guī)則路由規(guī)則用于指定符合條件的數(shù)據(jù)包所要查詢的路由表，路由規(guī)則類似防火墻過濾規(guī)則，采用從上至下的優(yōu)先匹配方式。當(dāng)一個(gè)數(shù)據(jù)包符合某條規(guī)則時(shí)，進(jìn)入該規(guī)則所指定路由表，查找符合條件的路由，匹配成功則走該路由，否則將跳出該路由表，繼續(xù)查找符合條件的路由規(guī)則，再查表，直至找到路由，如果最終沒找到適合的路由，則該數(shù)據(jù)包被丟棄。點(diǎn)擊路由配置主界面上的“路由規(guī)則”，進(jìn)入路由規(guī)則設(shè)置，注意系統(tǒng)默認(rèn)的路由規(guī)則總是在其他路由規(guī)則的后面，如下圖：新建路由規(guī)則如下所示：DHCP服務(wù)器在一些網(wǎng)絡(luò)環(huán)境中，某些主機(jī)可能會(huì)使用DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）服務(wù)，所以防火墻上提供了DHCP服務(wù)器功能，內(nèi)部使用和管理都方便快捷。DHCP參數(shù)設(shè)置該頁面設(shè)置DHCP服務(wù)的主要運(yùn)行參數(shù)，設(shè)置參數(shù)前，請先選擇DHCP服務(wù)所要綁定和運(yùn)行的接口。(頁面上自動(dòng)顯示當(dāng)前可綁定DHCP服務(wù)的網(wǎng)絡(luò)接口)。選擇完接口后，如果該接口未綁定DHCP服務(wù)，可點(diǎn)擊‘編輯’進(jìn)行參數(shù)設(shè)置。如果已經(jīng)在該接口上已經(jīng)有DHCP參數(shù)，頁面將顯示已設(shè)置的參數(shù)，也可點(diǎn)擊‘編輯’重新進(jìn)行參數(shù)設(shè)置?；騽t點(diǎn)擊清除，表示不在該接口上綁定DHCP服務(wù)。清除后，將重新啟動(dòng)DHCP服務(wù)，以確認(rèn)該操作。(注意事項(xiàng)：如果你某個(gè)接口上綁定了另外一個(gè)接口上的網(wǎng)絡(luò)參數(shù)，DHCP可以啟動(dòng)，但需要操作者從邏輯上清楚自己到底在操作哪個(gè)接口）進(jìn)入編輯頁面，進(jìn)行參數(shù)設(shè)置后，點(diǎn)擊保存&運(yùn)行，默認(rèn)保存已經(jīng)設(shè)置的參數(shù)并重新啟動(dòng)DHCP服務(wù)。如果你不需要啟動(dòng)DHCP服務(wù)，可進(jìn)入DHCP狀態(tài)頁面，停止該服務(wù)。其它參數(shù)設(shè)置默認(rèn)出租時(shí)間(秒)：如果DHCP客戶端在申請租約時(shí)不請求一個(gè)特定租約失效時(shí)間，則以該時(shí)間為租約時(shí)間。（默認(rèn)28800秒=8個(gè)小時(shí)）最大出租時(shí)間(秒)：如果DHCP客戶端有請求一個(gè)特定的租約失效時(shí)間，則采用不能超過該時(shí)間。（默認(rèn)43200秒=12個(gè)小時(shí)）注意：地址池租期一般為多少最好？取決于網(wǎng)絡(luò)中計(jì)算機(jī)使用的時(shí)間，一般從幾小時(shí)到幾天不等，計(jì)算機(jī)較多但是使用不頻繁的時(shí)候可以選擇小的時(shí)間范圍！否則相反，如果計(jì)算機(jī)不多建議關(guān)閉dhcp使用固定ip，除非用于其他。域名：提供給DHCP客戶機(jī)作為默認(rèn)搜索域的域名,如：DNS服務(wù)器：為DHCP客戶分配DNS服務(wù)器IP地址WINS服務(wù)器：為DHCP客戶分配WINS服務(wù)器IP地址（可選）默認(rèn)網(wǎng)關(guān)：為DHCP客戶分配默認(rèn)的網(wǎng)關(guān)IP地址（路由）地址池設(shè)置子網(wǎng)地址：DHCP服務(wù)分配IP所在子網(wǎng)地址。如：10.11.0子網(wǎng)掩碼：標(biāo)明IP地址是否在同個(gè)邏輯網(wǎng)絡(luò)里的選項(xiàng)。如：

注意：請熟悉子網(wǎng)地址和子網(wǎng)掩碼的意義。常見錯(cuò)誤：子網(wǎng)地址：，子網(wǎng)掩碼：開始地址：DHCP服務(wù)分配開始的IP地址結(jié)束地址：DHCP服務(wù)分配結(jié)束的IP地址注意：開始和結(jié)束的IP地址必須符合子網(wǎng)地址和子網(wǎng)掩碼的設(shè)置，也就是必須在子網(wǎng)地址和子網(wǎng)掩碼的設(shè)置的IP范圍內(nèi)。DHCP地址綁定設(shè)置DHCP服務(wù)在分配地址時(shí)IP和MAC進(jìn)行綁定的情況。即特定的MAC獲取特定的IP。DHCP服務(wù)將優(yōu)先檢查這些綁定情況。新建規(guī)則：手工添加MAC-IP的綁定列清空規(guī)則：清空MAC-IP的綁定列表。上傳規(guī)則：選擇本地的MAC-IP綁定列表文件上傳，將自動(dòng)檢查文件名，文件內(nèi)容和格式，通過后導(dǎo)入綁定列表。導(dǎo)入地址池對象：導(dǎo)入對象設(shè)置里的地址池對象，并對地址池對象進(jìn)行格式檢查，通過的導(dǎo)入綁定列表。地址池對象可以根據(jù)對象定義的IP來選擇，具體可參考4.8.1的“對象定義”中的“地址池”的配置方法。也可以新建規(guī)則，根據(jù)實(shí)際情況，自己填寫需要綁定的MAC和IP地址。DHCP狀態(tài)查看DHCP地址分發(fā)情況，并控制DHCP服務(wù)的啟動(dòng)和停止。并同步到防火墻啟動(dòng)時(shí)，是否啟動(dòng)該服務(wù)。DDNS管理本配置主要給使用動(dòng)態(tài)域名的用戶使用，目前僅支持花生殼。用戶必須事先已向花生殼申請了動(dòng)態(tài)域名，在本地可以不需要安裝花生殼客戶端，這個(gè)工作由防火墻來處理。用戶只需把申請的用戶名和密碼對應(yīng)輸入配置框中提交配置后點(diǎn)擊啟用就可以了。DNS配置“DNS配置”主要起到DNS解析的功能。啟用該功能后，只要將網(wǎng)絡(luò)中可用的DNS服務(wù)器的IP地址填入DNS服務(wù)器IP后，防火墻作為DNS客戶端身份就有了DNS解析功能。如下圖：可為防火墻配置3個(gè)DNS服務(wù)器IP地址，以實(shí)現(xiàn)DNS查詢的冗余。可調(diào)整3個(gè)DNS服務(wù)器IP地址的順序，以調(diào)整防火墻查詢DNS服務(wù)器的優(yōu)先順序。時(shí)間設(shè)置為了保證防火墻的任何日志以及審計(jì)記錄等時(shí)間的正確性，需要管理人員正確設(shè)置防火墻的系統(tǒng)時(shí)間，該功能對于事后的任何安全審查而言都是相當(dāng)重要的，系統(tǒng)時(shí)間操作界面如下：1）您可以點(diǎn)擊“修改”進(jìn)行修改，如下圖： 分別在各個(gè)時(shí)間框中填入相應(yīng)的數(shù)值，點(diǎn)擊“提交”后退出，您所做的時(shí)間配置就立即生效了，如下圖。網(wǎng)絡(luò)參數(shù)查看和修改防火墻網(wǎng)絡(luò)協(xié)議的部分參數(shù)，以達(dá)到優(yōu)化防火墻網(wǎng)絡(luò)性能的目的。

注意：請?jiān)谑煜ぞW(wǎng)絡(luò)知識或廠商的指導(dǎo)下修改配置。在配置出錯(cuò)時(shí)，可恢復(fù)到系統(tǒng)默認(rèn)的配置。大部分情況下可以使用原有的參數(shù)而不需要做特殊改變。下面舉幾個(gè)經(jīng)?？赡苄枰薷牡睦樱篢CP_CLOSE_WAIT：默認(rèn)為259200秒=72小時(shí)=3天。即TCP如果沒有正常關(guān)閉時(shí)，需要等待3天，這條連接狀態(tài)才會(huì)從防火墻的狀態(tài)列表中消失。在實(shí)際應(yīng)用中，非正常的操作，如：突然關(guān)機(jī)、應(yīng)用程序出錯(cuò)、系統(tǒng)崩潰等等都有可能產(chǎn)生這樣未關(guān)閉的連接，從而導(dǎo)致占用了防火墻系統(tǒng)寶貴的連接狀態(tài)列表。在一個(gè)很容易產(chǎn)生這種連接狀態(tài)的網(wǎng)絡(luò)里，3天的等待時(shí)間可能輕易地添滿了防火墻所有的連接狀態(tài)列表。最終導(dǎo)致防火墻拒絕工作。所以我們可以根據(jù)實(shí)際情況，調(diào)整該數(shù)值（如43200秒=12小時(shí)）。以達(dá)到優(yōu)化防火墻狀態(tài)列表的目的。TCP_ESTABLISHED：默認(rèn)為432000秒=120小時(shí)=5天。即TCP連接已建立的維持時(shí)間。大部分情況下我們可以把該值修改的小點(diǎn)（如86400秒=24小時(shí)）。但對于那些必須維護(hù)長時(shí)間連接狀態(tài)而不斷開連接的應(yīng)用，必須根據(jù)實(shí)際情況修改該數(shù)值。ICMP：ICMP狀態(tài)超時(shí)，默認(rèn)為30秒。有可能易產(chǎn)生安全問題。如，原來某規(guī)則允許2去ping2,2ping了2,這個(gè)時(shí)候防火墻里就維護(hù)了條ICMP_PING的狀態(tài)，這個(gè)時(shí)候如果修改規(guī)則，變成了拒絕，但是如果在沒有超過30秒的時(shí)間內(nèi)，2重新ping2，防火墻會(huì)根據(jù)30秒內(nèi)仍然生存的那條ICMP_PING的狀態(tài)，讓數(shù)據(jù)包由這條規(guī)則通過。管理員設(shè)置在用戶管理界面中，您可以進(jìn)行用戶賬號的添加、刪除、修改（見下圖）：點(diǎn)擊“新建賬號”，您可以設(shè)置五種不同權(quán)限的用戶賬號：超級管理員、規(guī)則管理員、審計(jì)員、身份認(rèn)證管理員、只讀管理員。如下圖：其中：超級管理員具有最高的權(quán)限，可以進(jìn)行除查看審計(jì)信息外的所有操作。界面如下：規(guī)則管理員只能進(jìn)行防火墻的規(guī)則管理。（規(guī)則管理員缺省用戶名：rule;缺省密碼：abc123）以規(guī)則管理員身份進(jìn)入防火墻，其界面如下，具體配置細(xì)節(jié)見后面章節(jié)的敘述。審計(jì)員只能對防火墻的配置操作進(jìn)行審計(jì)查看。（缺省用戶名:audit,缺省密碼：abc123）以審計(jì)員身份進(jìn)入防火墻，其界面如下，具體配置細(xì)節(jié)見后面章節(jié)的敘述。下面是3種管理組用戶的各自權(quán)限對比:系統(tǒng)信息系統(tǒng)維護(hù)系統(tǒng)設(shè)置IP包轉(zhuǎn)換訪問控制安全選項(xiàng)VPN設(shè)置對象定義身份認(rèn)證審計(jì)操作超級用戶規(guī)則管理審計(jì)員身份認(rèn)證管理員只能對身份認(rèn)證模塊中的賬號管理功能進(jìn)行配置，另外還能查看用戶在線狀態(tài)。只讀管理員只能查看系統(tǒng)所有配置，沒有變更的權(quán)限。一次性口令管理員由于防火墻處于網(wǎng)絡(luò)的關(guān)鍵位置，所以防火墻的管理員和他的口令更是十分重要。為了加強(qiáng)管理員在注冊時(shí)的安全性，防止惡意用戶在網(wǎng)上截取和破解口令，黑盾防火墻提供一次性口令登錄的功能，該一次性口令符合SKEY標(biāo)準(zhǔn)，用防火墻一次性口令生成器（黑盾文檔工具光盤中提供）生成的一次性口令進(jìn)行登錄。由于該口令是每次動(dòng)態(tài)變化的，大大增加了防火墻管理員遠(yuǎn)程管理的登錄安全。下面是建立一次性口令用戶的界面；建完后就可以在用一次性口令用戶登錄時(shí)，將登錄界面的“一次性口令”復(fù)選框打上鉤，輸入完管理員提供的密碼后就會(huì)出現(xiàn)一次性口令交換界面，如下圖：將登錄界面上的“Challenge”系數(shù)復(fù)制到口令產(chǎn)生器中的challenge框格中去，點(diǎn)擊“產(chǎn)生”按鈕，在“一次性口令”框中即產(chǎn)生出制作的口令，再將產(chǎn)生出來的口令復(fù)制到上面登錄界面的“請輸入一次性口令”框中，按“登錄”按鈕后則可注冊成功；登錄成功后這個(gè)口令就作廢了，下次登錄再重復(fù)這一過程；下面是產(chǎn)生一次性口令的客戶工具界面：區(qū)別如下：普通管理員：可根據(jù)實(shí)際需要添加、刪除、修改具有不同職責(zé)和權(quán)限的管理員。這個(gè)時(shí)候設(shè)置的密碼，即為登陸時(shí)所需要的密碼。一次性口令管理員：不同于普通管理員，只具備規(guī)則管理員和審計(jì)員這兩種身份。這個(gè)時(shí)候設(shè)置的密碼并不能最終登陸防火墻WEB管理系統(tǒng)，而是由防火墻系統(tǒng)根據(jù)用戶和密碼隨機(jī)生成一個(gè)CHALLENGE值，并打印在登陸的頁面上。把該CHALLENGE值反饋到具有最高權(quán)限的管理員（他具有根據(jù)用戶+密碼+CHALLENGE值生成最終登陸密碼的算法軟件），在取得最終登陸密碼后，才能登陸WEB管理系統(tǒng)。但是，下一次登陸，CHALLENGE值又是隨機(jī)變化的，所以必須取得新的登陸口令才能登陸WEB管理系統(tǒng)。注意：由生成最終登陸的密碼的軟件請勿隨意分發(fā)。應(yīng)由超級管理員保管。管理主機(jī)管理主機(jī)是指用于連接和管理防火墻的計(jì)算機(jī)。要對防火墻進(jìn)行管理配置，就必須先設(shè)定一臺管理主機(jī)。防火墻出廠時(shí)缺省的管理主機(jī)IP為：。（注意：這時(shí)候，管理主機(jī)必須是和防火墻的內(nèi)網(wǎng)口連接）。管理主機(jī)配置界面如下：從界面可以看出管理主機(jī)組列表可以通過“手動(dòng)創(chuàng)建”，也可以“自動(dòng)搜索”。手動(dòng)創(chuàng)建：添加管理主機(jī)名，并且手動(dòng)添加IP和MAC地址。這個(gè)也可以在4.8.1“對象定義”中的“地址池”設(shè)置。管理規(guī)則：將已設(shè)置好的管理主機(jī)匹配上相應(yīng)的規(guī)則，如IP匹配，MAC匹配，IP或MAC匹配，寬松IP－MAC綁定，嚴(yán)格IP-MAC綁定。管理方式：防火墻支持多種管理方式，在創(chuàng)建管理規(guī)則時(shí)應(yīng)選擇授于的管理方式；Web：支持HTTPS協(xié)議的WEB管理；SSH和TELNET：基于命令行的管理方式；SNMP：支持SNMP協(xié)議的管理方式；注意事項(xiàng)：在管理主機(jī)配置方面應(yīng)注意的是接口的選擇，如果要從外網(wǎng)管理防火墻則接口選擇“外網(wǎng)口”，同樣如果是在與防火墻內(nèi)網(wǎng)口相連接網(wǎng)絡(luò)中的管理機(jī)則選擇“內(nèi)網(wǎng)口”，而如果要指定在DMZ區(qū)的工作機(jī)為管理主機(jī)則“接口”選擇“DMZ區(qū)”。網(wǎng)絡(luò)通信日志為了使防火墻能完整精確、全面地記錄安全日志，并且能讓用戶方便地查詢，需要在防火墻所在的內(nèi)部網(wǎng)絡(luò)中的PC機(jī)上安裝日志管理系統(tǒng)，日志管理系統(tǒng)負(fù)責(zé)接收防火墻發(fā)送來的日志信息，處理后提供給用戶查詢。您還必須在防火墻上將日志管理用機(jī)的IP地址、協(xié)議和端口配置正確，才能保證日志管理系統(tǒng)有效的工作。具體配置步驟如下：1)您可以點(diǎn)擊“系統(tǒng)配置”→“日志管理”，出現(xiàn)日志服務(wù)器的默認(rèn)界面，如下圖：防火墻上的日志管理，包括“訪問控制及流量信息”，“安全日志”和“系統(tǒng)應(yīng)用日志”，在“服務(wù)器地址”欄中填入裝有黑盾防火墻日志管理系統(tǒng)的pc機(jī)的IP地址，如：00?！巴ㄓ嵤褂脜f(xié)議”和“通訊使用端口”保持默認(rèn)狀態(tài)即可。將發(fā)送日志前的文本框打鉤就啟動(dòng)發(fā)送日志，否則是在停止?fàn)顟B(tài)。服務(wù)器地址：日志服務(wù)器的IP地址。該服務(wù)端為WIN2K以上平臺。發(fā)送前必須先安裝好服務(wù)端。通信協(xié)議：可選擇TCP、UDP方式。（建議使用TCP方式）。端口：日志服務(wù)器的接受端口。默認(rèn)為516。用戶認(rèn)證：選擇是否發(fā)送用戶認(rèn)證模塊的日志信息，包含用戶的登錄、退出日志。異常連接：“詳細(xì)”將發(fā)送所有的連接日志；“統(tǒng)計(jì)”將指定協(xié)議的異常連接進(jìn)行統(tǒng)計(jì)后發(fā)送，能大大減少無用的日志信息，方便查詢；“忽略”將不對指定協(xié)議的異常連接日志進(jìn)行記錄，減輕日志服務(wù)器壓力；實(shí)時(shí)發(fā)送：防火墻將實(shí)時(shí)發(fā)送日志信息，不對信息進(jìn)行長時(shí)間的緩沖等待；用戶在需要實(shí)時(shí)查看日志時(shí)可選擇此項(xiàng)，此項(xiàng)將加大日志數(shù)據(jù)量和服務(wù)器負(fù)載，日常記錄不推薦使用；注意：如果日志服務(wù)器未能連接上，防火墻每隔5秒會(huì)反復(fù)嘗試連接日志服務(wù)器。當(dāng)日志空間充滿，新的日志將丟失。所以，啟動(dòng)日志發(fā)送服務(wù)前，請先確認(rèn)日志服務(wù)器是否正確安裝并啟動(dòng)。應(yīng)用日志防火墻除了能對通信日志進(jìn)行記錄，還能對應(yīng)用層的日志進(jìn)行記錄。點(diǎn)擊“系統(tǒng)配置”→“日志管理”→“應(yīng)用日志”，打開配置界面：服務(wù)器地址：輸入日志服務(wù)器的IP端口：輸入日志服務(wù)器的端口，默認(rèn)請輸入4100發(fā)送日志：勾選此項(xiàng)將啟動(dòng)應(yīng)用日志發(fā)送功能URL日志：勾選此項(xiàng)將啟動(dòng)URL日志發(fā)送功能http端口：在開啟URL日志時(shí)，要輸入http協(xié)議的通信端口，防火墻將對這些端口進(jìn)行URL日志記錄，默認(rèn)請輸入80如下圖：鏈路備份鏈路備份功能提供了備份鏈路與主鏈路快速自動(dòng)切換的能力。主要應(yīng)用于有備份鏈路的網(wǎng)絡(luò)環(huán)境，防火墻會(huì)自動(dòng)檢測與其相連接的網(wǎng)關(guān)是否正常工作，如果防火墻檢測不到與其相連接的網(wǎng)關(guān)，那么就會(huì)根據(jù)策略自動(dòng)切換至備用網(wǎng)關(guān)所在的鏈路。配置方法：1.為備份線路創(chuàng)建路由表rt2；2.配置路由表rt2中的路由信息，添加備用網(wǎng)關(guān)的路由信息；3.按順序創(chuàng)建路由規(guī)則，將主鏈路路由表放在備份鏈路的前面。系統(tǒng)將按路由規(guī)則先后順序進(jìn)行鏈路備份；4.啟動(dòng)鏈路備份服務(wù)；IP包轉(zhuǎn)換

IP包轉(zhuǎn)換是防火墻的一個(gè)重要功能，通過設(shè)置，防火墻會(huì)對符合條件的IP包包頭進(jìn)行修改。網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)可以對源地址、源端口或目標(biāo)地址、目標(biāo)端口進(jìn)行一對一、一對多、多對一或多對多的地址變換，實(shí)現(xiàn)靈活的NAT功能。此外，還可以對IP數(shù)據(jù)包打上FWMARK和TOS標(biāo)記，使防火墻能夠?qū)?shù)據(jù)包進(jìn)行靈活的策略路由、流量控制(QOS)。這一類中包括了5個(gè)部分的設(shè)置：源地址轉(zhuǎn)換、目標(biāo)地址轉(zhuǎn)換、負(fù)載均衡、FWMARK設(shè)置和TOS設(shè)置。源地址轉(zhuǎn)換源地址轉(zhuǎn)換也稱為正向地址轉(zhuǎn)換，用于使用保留IP地址的內(nèi)部網(wǎng)用戶通過防火墻訪問公眾網(wǎng)中的地址時(shí)對源地址進(jìn)行轉(zhuǎn)換。對公眾網(wǎng)來說，訪問全部是來自于防火墻轉(zhuǎn)換后的地址，并不認(rèn)為是來自內(nèi)部網(wǎng)的某個(gè)地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)等信息。同時(shí)內(nèi)部網(wǎng)用戶共享使用這些轉(zhuǎn)換地址，自身使用保留IP地址就可以正常訪問公眾網(wǎng)，有效的解決了全局IP地址不足的問題。點(diǎn)擊頁面上的“新建規(guī)則”，顯示用戶可以配置的選項(xiàng)，如下圖：“協(xié)議”選項(xiàng)，如下圖：“協(xié)議”選項(xiàng)定義需要進(jìn)行地址轉(zhuǎn)換的協(xié)議，可選擇“所有”、“TCP”、“UDP”、“ICMP”和“其他”。選擇“其他”時(shí)，在右邊的選項(xiàng)中填入所轉(zhuǎn)換協(xié)議的協(xié)議號，協(xié)議號以16進(jìn)制表示。只有在選擇“TCP”和“UDP”協(xié)議時(shí)，