課程時間：30分鐘更新日期：2009年2月曙光安全產品安裝調試培訓掌握TCP/IP協議，IP地址及子網掩碼等基本知識掌握路由和交換技術，Internet通訊原理了解防火墻概念，初步的網絡安全知識具備網絡管理員經驗更佳知識背景要求網絡拓撲圖示例安全產品的安裝與調試步驟第一步：必須掌握用戶的網絡拓撲圖第二步：進行防火墻與其他設備的連接規劃第三步：確定防火墻的工作模式網橋、路由、NAT、混合模式第四步：了解IP地址、網絡規劃，確定IP地址、端口等過濾規則控制規劃第五步：閱讀防火墻用戶操作手冊，掌握設置細節防火墻的簡單安全方案

DMZIntranetDMZInternet防火墻測試連接狀態在管理主機上打開Windows命令提示符界面，輸入命令“ping15”并回車，確保能夠ping通防火墻管理口eth1。防火墻配置連接防火墻Web管理界面使用IE（建議用戶使用6.0以上的版本）在地址欄輸入15并回車出現如圖所示的彈出框，點擊“是”按鈕；防火墻配置防火墻管理界面：防火墻配置默認系統管理員帳號：admin；初始密碼：dawning默認超級管理員帳號：administrator；初始密碼同上系統管理員具備系統管理，安全策略、日志審計等基本操作權限，超級管理員僅具備賬戶管理權限。防火墻有7個功能模塊：系統管理、安全策略、日志管理、安全檢測、網絡計費、虛擬專網、在線幫助。請注意：防火墻型號的不同，可能不具備全部功能模塊。如何配置網橋1.新建網橋選擇系統管理-網絡配置-接口配置：點擊增加按鈕配置網橋2.設置網橋將網橋的IP地址與子網掩碼設置為空，選擇網橋名稱，例如網橋4，點擊提交配置網橋3.選擇網橋接口 將可用接口添加到網橋中，選擇已經規劃到的內網口與外網口的接口。配置網橋4.修改接口工作模式點擊進入接口配置后，選擇接口的工作模式，更改為網橋模式（注意：只有新建網橋后，網口的工作模式里才會顯示新建的網橋）配置網橋5.網橋創建完成將內網口與外網口的工作模式都修改完成。如何配置管理口點擊規劃的防火墻管理口，這里為ETH4口。修改IP地址子網掩碼為防火墻管理口地址，選擇控制選項，選擇ping響應選項，點擊提交。如何配置缺省網關選擇網絡配置-缺省網關，輸入IP地址，提交（由于管理地址是通過路由回指到三層交換機上，所以網關地址為上層交換機地址，即服務器網關地址）配置安全策略1.添加用戶組選擇安全策略-用戶組配置，點擊增加如何配置安全策略2.輸入用戶組輸入用戶組名稱，用戶IP地址或網段，點擊確定（例如用戶組名稱：company，用戶IP地址：/24）配置安全策略3.設置安全策略選擇安全策略-規則配置-過濾規則，點擊增加配置安全策略4.規則信息的填寫根據規劃好的規則信息進行填寫防火墻常見問題解答1、開關機問題，如果防火墻開機后電源指示燈不亮，可能是因為：a.電源線沒有連接好，請檢查供電線路是否良好；b.電源電壓不符合要求，請檢查電源電壓是否符合規定范圍。2、無法登錄WEB管理界面a.輸入防火墻內部IP地址不正確；b.網線有問題；c.登錄方式沒有采用“HTTPS”；d.防火墻內部IP地址與本主機IP地址不在同一網段上。如以上仍不能進入，那么就要根據你的身份來尋求以下解決方案：如果你不是管理員，根本就沒有權限進入防火墻系統管理主界面；如果你是系統管理員，有可能該管理主機在防火墻的黑名單中，或者由于登錄錯誤而被防火墻鎖定。防火墻常見問題解答3、無法訪問外網a.網線有問題。請仔細檢查網線是否正常導通，以確認是否更換網線；b.與防火墻連接的集線器或交換機、路由器連接不正確。首先檢查防火墻及其連接集線器或交換機、路由器上的連接指示燈是否亮。否則，可能是集線器、路由器本身有問題；c.防火墻的IP地址和子網掩碼配置錯誤、防火墻網關沒有正確設置。請檢查防火墻“網絡配置”界面中各配置選項的正確性，注意網絡IP地址與網絡掩碼必須匹配；d.DNS不能解析或解析錯誤；e.防火墻規則設置有問題，請檢查規則是否開通允許訪問。4、如何處理日志因為防火墻的存儲空間有限以及為了保持防火墻高效的工作性能，防火墻只保存最新的30M日志，如果想保留所有的防火墻日志，請用防火墻遠程日志系統，把防火墻的日志傳到遠程日志服務器上。防火墻常見問題解答5、網絡接口連接指示燈不亮a.網絡連接出了問題；b.集線器或交換機運行可能不正常，請試著把網線插到集線器的其它位置，或者插到另一臺集線器上。6、主機不能PING到防火墻a.網絡接口配置不正確，請仔細檢查防火墻“網絡配置”界面中配置選項的正確性；b.網絡接口屬性設置不允許PING；c.防火墻包過濾是否允許執行ICMP規則。7、關于Web管理無法登錄（賬號鎖定）如何解除a.用超級管理員登錄防火墻，把鎖定的管理員帳號刪除；b.通過串口登錄防火墻，把鎖定的管理員帳號刪除；c.等待鎖定時間過期。防火墻常見問題解答8、不能增加一目標網絡的路由a.檢查目標網絡地址和網絡掩碼是否匹配；b.檢查防火墻是否能解析該網關的MAC。9、IP地址綁定未起作用檢查綁定IP是否經過其它路由設備才到達防火墻。10、增加一個禁止指定主機的規則，但該主機仍能通過防火墻a.檢查該主機與通信目標主機間的通信通道是否經過防火墻；b.檢查是否已有規則許可該主機通過防火墻；c.檢查測試源主機是否為雙穴主機，是否網卡配有多個IP地址。11、用戶規則許可但不能通過防火墻a.檢查該用戶登錄主機的IP是否需要防火墻做NAT或者需要設置網橋、路由等；b.檢查用戶機的網關和代理設置是否正確。防火墻常見問題解答12、禁止主機但是禁止無效a.檢查該用戶登錄主機是否有旁路，是否有兩塊以上網卡；b.檢測規則，是否還有其它規則對此主機放行。13、用戶口令丟失，無法登錄防火墻使用串口登錄，增加新用戶。設置新用戶的權限，密碼。14、防火墻不定期無故死機a.檢查防火墻所在的工作環境；b.檢查防火墻日志文件是否超載，建議刪除舊有備份文件或者將其導入日志備份