星空(中国)官方网站-官方授权体育平台

2024天融信防火墙安装部署操作手册docx-星空体育|官方网站登录入口

新闻中心

2024天融信防火墙安装部署操作手册docx

2024-11-21
浏览次数:
返回列表

  ?文档目的本文档主要介绍防火墙系统的配置使用(简称NGEW)。通过阅读本文档,管理员能够正确地安装和配置NGEW,并综合运用安全设备提供的多种安全技术有效地保护用户网络,控制网络的非法访问和抵御网络攻击,实现高效可靠的安全通信。本文以天融信防火墙为例,讲述防火墙的安装指南。?读者对象本文档适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以了解NGEW的基本原理并完成以下一些工作:?制定各个防火区之间的包过滤策略制定地址转换策略??制定访问控制策略?设置NGEW的各种附加安全引擎,如病毒安全引擎等。

  本文档主要介绍防火墙系统的配置使用(简称NGEW)。通过阅读本文档,管理员能够正确地

  安装和配置NGEW,并综合运用安全设备提供的多种安全技术有效地保护用户网络,控制网络的非

  法访问和抵御网络攻击,实现高效可靠的安全通信。本文以天融信防火墙为例,讲述防火墙的安

  本文档适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文档,他们可以了

  管理与配置NGEW的附加功能模块,如备份系统、系统高可用性配置、IDS、?oS等。

  2)章节标识符采用以下约定:为了叙述方便,本文档采用了大量网络拓扑图,图中的图标用于指明的网络设备、外设和其他设备,以下图标注释说明了这些图标代表的设备:3)文档中出现的说明、注意、示例等标志,是关于管理员在安装和配置NGEW过程中需要特别注意的部分,请管理员在明确可能的操作结果后,再进行相关配置。这些标志的意义如下:2格式说明“说明”图标,对操作内容的描述进行必要的补充和说明。“注意”图标,提醒操作中应注意的事项,不当的操作可能会导致数据格式说明带*号表示该章节内容非标准配置内容,为附加说明内容。格式说明【××】表示按钮。如:点击【××】按钮。『』表示带链接的文字。如:点击『添加』。“”表示页面内容引用。如:激活“XX”页签,弹出“

  为了叙述方便,本文档采用了大量网络拓扑图,图中的图标用于指明的网络设备、外设和其

  3)文档中出现的说明、注意、示例等标志,是关于管理员在安装和配置NGEW过程中需要特别注

  意的部分,请管理员在明确可能的操作结果后,再进行相关配置。这些标志的意义如下:

  表示页面内容引用。如:激活“XX”页签,弹出“XX”窗口,在下拉框中选择“XX”参数。

  ?文档意见反馈如果您在阅读过程中发现文档的任何问题,可通过服务热线或电子邮件\h()的方式进行反馈。感谢您的反馈,让我们做得更好!?声明1.本文档(T3.2294.23041P)中所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,公司不另行通知。 2.本文档中提到的产品功能或性能可能因产品星空体育 星空体育平台具体型号、配备环境、配置方法不同而有所差异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。3.本文档中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。4.本文档中提到的信息为正常公开的信息,若因本文档或其所提到的任何信息引起了他人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。±.本产品生命周期结束后,如需报废,请联系具有电子产品报废处理资质的厂家进行处理。3格式

  1.本文档(T3.2294.23041P)中所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,

  2.本文档中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差异,

  3.本文档中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,如

  4.本文档中提到的信息为正常公开的信息,若因本文档或其所提到的任何信息引起了他人直接或

  ±.本产品生命周期结束后,如需报废,请联系具有电子产品报废处理资质的厂家进行处理。

  防火墙系统(Ne×tGenerationEirewall,本文档简称NGEW),以天融信公司具有自主知识

  问控制、应用层安全防护、高性能业务处理、多层级冗余设计、全网可视化及多业务融合等特点,

  支持用户认证、DDoS防御、应用识别和控制、入侵防御、病毒过滤、文件过滤和TRL过滤等功能,

  NGT0S操作系统是天融信自主研发的新一代系统平台,采用全模块化设计、中间层理念,具有高效

  天融信防火墙系统本身可以提供完整的访问控制功能,可以自由地采用路由、透明及混合等多种

  方式集成到客户网络环境中,并通过与天融信的其他安全产品相配合,为客户网络提供强大的安

  同时,客户还可以通过网络管理平台(如SNWP管理器或日志服务器)对天融信防火墙系统的运行

  状况进行查询、监控和日志分析。另外,天融信防火墙系统还提供了与其他厂家TPN产品建立IPSeg

  ?支持基于对象的网络访问控制,包括网络层、应用层等多层次的访问控制;支持TRL过滤、数据过滤、邮件过滤,支持入侵防御和防病毒过滤。?支持多种网络地址转换(NAT)方式。?支持多种认证方式,如密码认证、证书认证,并且支持本地认证,以及第三方Radiu?、TACACS和LDAP等认证服务器认证。?支持标准IPSegTPN。?能够自防御Land、Smur£、TearDrop、SynElood、Targa3和IPSweep等攻击,具有抗DoS/DDoS攻击功能。?支持与天融信防火墙系统双机热备。?支持DHCP,包括DHCPServer、DHCPClient

  支持基于对象的网络访问控制,包括网络层、应用层等多层次的访问控制;支持TRL过滤、数

  支持多种认证方式,如密码认证、证书认证,并且支持本地认证,以及第三方Radiu?、TACACS

  高效的访问控制。天融信防火墙系统采用核检测技术,应用深度过滤策略在系统内核实现应用

  灵活的管理。实现了T0PSEC防火墙管理协议,管理员可以使用SSH、TELNET登录天融信防火

  高性能的应用层威胁分析能力。系统核心层实现应用层内星空体育 星空体育平台容的还原、安全检测,深入洞察网络

  强大的可视化功能。采用多维度实时图表展示产品运行状态、网络流量组成、应用构成、IPSeg

  流量、安全威胁等统计信息,并提供分析报表,让用户全方位感知网络运行状况。

  系统升级与容错。天融信防火墙系统可以通过命令行和WebTI方式进行系统升级,同时天融信

  防火墙系统采用双系统设计,在主系统发生故障时,用户可以在启动时选择BACKTP方式,用

  ?更深入的检测能力。天融信防火墙系统支持SSL卸载功能,对经过的HTTPS流量进行卸载检测,实现更精准的访问控制。2.2工作原理防火墙的作用是控制外部的非信任网络(如Internet)对内部信任网络的访问、内部网络中不同区域之间的相互访问、以及内网网络访问外部非信任网络,为网络构建全面的安全保护屏障。天融信防火墙系统所使用的NGT0S操作系统平台是基于模块设计的高稳定性操作系统,通过调用防火墙模块、深度过滤模块、乃至TPN模块、

  ?更深入的检测能力。天融信防火墙系统支持SSL卸载功能,对经过的HTTPS流量进行卸载检测,

  防火墙的作用是控制外部的非信任网络(如Internet)对内部信任网络的访问、内部网络中不同

  区域之间的相互访问、以及内网网络访问外部非信任网络,为网络构建全面的安全保护屏障。天

  融信防火墙系统所使用的NGT0S操作系统平台是基于模块设计的高稳定性操作系统,通过调用防

  火墙模块、深度过滤模块、乃至TPN模块、DDoS防御模块、入侵防御模块、防病毒模块等一系列

  防火墙接收到数据报文后进行解析,如果为分片数据报文,且防火墙的分片重组功能开启,则重

  组数据报文,并区分出报文类型(本地报文、广播报文、二层透明转发报文、路由转发报文)。如

  对于一个新接收的报文,防火墙将根据五元组查询会话表,判断该报文是否属于某个已经存在的

  用DDoS防御模块检测报文是否合法,如果报文合法,则在会话表中创建一条新的会线)DNAT规则匹配如果数据报文满足DNAT(目标地址转换)规则条件,天融信防火墙系统则将报文的目的IP地址(或端口),转换为规则中预先设置的IP地址或端口(真实的IP地址或端口);否则,不进行地址转换。关于地址转换策略的设置具体请参见地址转换。4)路由查询

  如果数据报文满足DNAT(目标地址转换)规则条件,天融信防火墙系统则将报文的目的IP地址(或

  端口),转换为规则中预先设置的IP地址或端口(真实的IP地址或端口);否则,不进行地址转

  报文类型为路由转发报文时才进行路由查询。如果是新建连接,则查找路由表,并记录查询结果

  在会话表中;如果不是新建连接,则仅仅检查路由年龄是否变化(即路由是否发生变化),有变化

  时才查路由,重新确定下一跳。数据包如果经过了地址转换操作,防火墙将根据转换后的地址查

  根据报文的源IP地址与目的IP地址匹配IPSegTPN策略中所保护隧道子网,如果匹配成功,则

  记录信息,在防火墙发送数据报文之前,根据相应IPSegTPN策略加密数据报文。关于IPSegTPN

  访问控制规则描述了防火墙能否允许符合相关条件的报文通过。防火墙接收到报文后,将按策略

  的编号顺序逐条匹配访问规则表中所设定规则,一旦寻找到完全匹配的规则,则按照该策略所规

  定的操作(允许或丢弃)处理该报文。关于访问控制规则的设置具体请参见访问控制。

  如果数据报文满足SNAT(源地址转换)规则条件,将接收的报文的源IP地址(或端口)转换为规

  则中预先设定的IP地址(或端口);否则,不进行地址转换。关于地址转换策略的设置具体请参

  对于发送IPSegTPN报文,系统将对其进行加密。IPSegTPN加密后的报文目的地址有可能改变,

  此时,重新查询路由表,确定发送数据报文的下一跳,然后根据下一跳将数据报文转发出去。对

  2.3工作模式天融信防火墙系统可以在三种模式下工作:透明模式、路由模式以及混合模式。?路由模式在这种模式下,天融信防火墙系统具备路由器转发数据包的功能,将接收到的数据包的源WAC地址替换为相应接口的WAC地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,天融信防火墙系统的每个接口均要根据区域规划配置IP地址。

  在这种模式下,天融信防火墙系统具备路由器转发数据包的功能,将接收到的数据包的源WAC地

  址替换为相应接口的WAC地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和

  在这种模式下,天融信防火墙系统的所有接口均作为交换接口工作。也就是说,对于同一TLAN的

  数据包在转发时不作任何改动,包括IP和WAC地址,直接把包转发出去。同时,天融信防火墙系

  ?混合模式顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。如下图所示,£eth1

  顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其

  他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。如下图所示,£eth1接口

  为路由接口,配置了IP9,£eth2和£eth3为交换接口,£eth1属于Internet区域,

  3安装本章内容包括:?安装NGEW?登录NGEW?系统维护3.1安装NGFW本节介绍了系统组成、安装NGEW前的准备工作以及NGEW的硬件安装过程,同时介绍了安装后的检查,以便管理员完整的做好NGEW的安装。包括如下主要内容:?NGEW系统的组成?安装前的准备工作?硬件设备安装?

  本节介绍了系统组成、安装NGEW前的准备工作以及NGEW的硬件安装过程,同时介绍了安装后的

  ?产品外观以2T型设备为例,机箱前面板和背面版示意图如下图所示:机箱前面板和背面板各个标号的具体说明如下表所示。、11标号名称说明1指示灯标志天融信防火墙系统工作状态。2串口用于管理员对天融信防火墙系统进行本地配置和排除故障的接口。Rf4±形式;支持波特率为9600。3TSB口

  用于管理员对天融信防火墙系统进行本地配置和排除故障的接口。Rf4±形式;支持波特率为9600。

  ?设备电源NGEW可以提供直流供电和双交流供电,具体可根据用户需要进行选择。双交流供电是指从两个不同的交流电源接收交流电输入。这种方式下,可将NGEW分别接入这两个独立电源中,这样即使一个电源出现故障也不会影响电源可靠性。电源开关和电源线插槽位于机箱的后面板。额定电压范围:100T?240TAC,4FH??63H?交流电流。最大输出功率:400W。3.1.2安装前准备工作?随机附件安装NGEW之前,请打开产品的随机配件盒检查配件是否齐全。产品的配件与产品型号相关,具体请参见装箱物品清单。主要配件如下表所示。12配件说明直通线(直连网线)接入网络时,一般需要使用直通线,如NGEW与交换机等的连接。标号名称说明IEEE802.3u1000Ba?e–T标准。±HA口高可用性功能用到的心跳线连接口,用于两台天融信防火墙系统之间的数据备份。6针孔针孔内有按钮,用于重启天融信防火墙系统。F扩展插槽

  NGEW可以提供直流供电和双交流供电,具体可根据用户需要进行选择。双交流供电是指从两个不

  同的交流电源接收交流电输入。这种方式下,可将NGEW分别接入这两个独立电源中,这样即使一

  个电源出现故障也不会影响电源可靠性。电源开关和电源线插槽位于机箱的后面板。

  安装NGEW之前,请打开产品的随机配件盒检查配件是否齐全。产品的配件与产品型号相关,具体

  高可用性功能用到的心跳线连接口,用于两台天融信防火墙系统之间的数据备份。

  除随机配件盒内物品外,还需要进行如下表所示的准备工作。?环境要求为保证设备正常工作,并延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象;温度过高会加速绝缘材料老化,使设备的可靠性大大降低,严重影响其使用寿命。NGEW对环境的具体要求如下:?通风散热?温度:0℃~40℃?相对湿度:20%?90%(非凝露)13项目说明IP地址请在网络中给NGEW预留一个IP地址。管理主机配置NGEW需要一台管理用的主机,配置时需要通过网线连接后使用HTTPS的方式登录NGEW的WEB界面进行管理。终端软件能够连接串口的终端软件(如超级终端软件)。浏览器建议使用ChomeFF、Eire£o×F0、IE11以上版本。配件

  为保证设备正常工作,并延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过

  高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象;温

  配置NGEW需要一台管理用的主机,配置时需要通过网线连接后使用HTTPS的方式登录NGEW的WEB界面进行管理。

  ?防静电要求尽管NGEW设备在防静电方面采取了多种措施,但当静电超过一定限度时,仍会对电路及整机产生巨大的破坏作用。在与NGEW设备连接的通信网中,静电感应主要来自两个方面:一是室外高压输电线、雷电等外界电场;二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损伤,应做到:?设备良好接地。?室内防尘。?满足温度、湿度要求。?接触电路板时,应戴防静电手套或手环,穿防静电工作服。?检查机架在对设备进行安装前要保证以下条件:?确认设备的入风口及通风口处留有空间,以利于机箱的散热。?确认机架自身有良好的通风散热系统。?确认机架足够牢固,能够支撑设备及其安装附件。?确认机架良好接地。3.1.3硬件设备安装NGEW硬件设备有两种安装方式:直接安置于平台上、安装到机柜中。?直接安置于平台上

  尽管NGEW设备在防静电方面采取了多种措施,但当静电超过一定限度时,仍会对电路及整机产生

  巨大的破坏作用。在与NGEW设备连接的通信网中,静电感应主要来自两个方面:一是室外高压输

  电线、雷电等外界电场;二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损伤,

  用户并不具备19英寸标准机柜时,常用的方法就是将设备放置于干净的工作台上。此种操作比较

  NGEW设备是按照19英寸标准机柜的尺寸进行设计的,一般遵循如下步骤进行安装:步骤1检查机柜的接地与稳定性。用螺钉将固定挂耳固定在设备前面板两侧。步骤2将设备置于机柜的一个托架上。根据实际情况,沿机柜导轨移动设备至合适位置,注意保证设备与导轨间的合适距离。步骤3用满足机柜安装尺寸要求的螺钉将设备通过固定挂耳固定在机柜上,保证设备在机柜上的位置水平并牢固,如下图所示。步骤4本地一台管理主机通过Con?ole线缆与设备的Con?ole口连接,供管理员进行初步配置。步骤±把设备的网络接口通过直通网络线与对应安全区域中的网络设备相连接。步骤6通过电源线连接设备和电源。步骤

  NGEW设备是按照19英寸标准机柜的尺寸进行设计的,一般遵循如下步骤进行安装:

  将设备置于机柜的一个托架上。根据实际情况,沿机柜导轨移动设备至合适位置,注意

  用满足机柜安装尺寸要求的螺钉将设备通过固定挂耳固定在机柜上,保证设备在机柜上

  本地一台管理主机通过Con?ole线缆与设备的Con?ole口连接,供管理员进行初步配置。

  设备安装完成后的检查非常重要,因为安装的牢固与否、接地良好与否、电源要求匹配与否等都将直接关系到设备的正常使用。NGEW的硬件安装完成通电后可使用。在设备工作过程中,用户可以根据设备面板上的指示灯来判断设备的工作状态,具

  GB50411-2019建筑节能工程施工质量验收标准(清晰扫描版).docx

  原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者

搜索