天融信防火墙tos安装操作.pptVIP

* A 1.采用https，不是http 2.接口对应的区域没有开通webui和ping权限 3.管理ip地址没有权限管理 4.管理机ip地址没有到防火墙接口ip的路由，或防火墙没有回指路由 5.ip地址冲突 6.arp病毒，欺骗 7.其他物理上，网线，pc，交换机等问题 * A 1.超级终端参数设置错误（9600-8-N-1） 2.线缆连接错误 3.防火墙故障（多次重启后，console仍然无法登陆，防火墙可能严重故障，联系本公司工程师处理） * A 1.检查该主机与通信目标主机间的通信通道是否经过防火墙； 2.检查禁止策略前面是否已有策略许可该主机通过防火墙； 策略包含关系 同一个ip地址不同名称 3.检查这台主机否为双穴主机，是否网卡配有多个IP地址。 * A 1.防火墙重启前没有对防火墙的配置进行保存。 2. 特殊情况：在同一个节点对象中，设置了过多的IP地址或在对象组中加入了过多的网络对象。（不能超过15个） * A 1.资源被访问控制或地址转换等策略引用， 未被引用的资源后面又删除图标 * A 1.通信接口没有加入到vrid组中 2.心跳间隔时间不一致 3.心跳线没接好(会出现双主情况，找出网络异常) * 1.定于区域，并且设置区域权限为禁止，代表默认全禁止，用访问控制来做白名单策略，避免未知的安全隐患 2.资源名称要一目了然，看到名称就能看到具体含义，比如用描述性的文字加ip地址来定义一个主机，服务端口名称需标明协议及端口号，比如“tcp_8888”代表tcp协议的8888端口 3.访问控制尽量精确，精简，可以合并的策略尽量和成一条策略 4.配置更改后一定保存配置，并且备份配置存档，对设备更换、维修后重新上线相当总要。 5.密码更改后，一定要记住，清理密码相当麻烦，甚至要你破费 * * * * * * * * 防火墙配置－制定访问规则 第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”； 目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]” * 防火墙配置－定义访问规则 * 防火墙配置－定义访问规则 第二条规则定义外网可以访问WEB服务器地址，并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择” WEB服务器“ （服务器真实的IP地址） 点选“高级” * 选择源AREA－area_eth0 防火墙配置－定义访问规则 * 选择目的－“WEB服务器” 防火墙配置－定义访问规则 * “服务”－“HTTP” 防火墙配置－定义访问规则 * 防火墙配置－定义访问规则 定义好的两条访问策略 * 防火墙配置－定义地址转换（通信策略） 根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网 要访问WEB服务器的映射地址，也要定义MAP策略 定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域 * 防火墙配置－定义地址转换（通信策略） 转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址； 也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”） * 防火墙配置－定义地址转换（通信策略） 配置MAP（映射）策略，源选择外网区域“area_eth0” * 防火墙配置－定义地址转换（通信策略） 目的选择映射后的公网IP地址（也就是WEB服务器－MAP），目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实IP地址），选择“WEB服务器”主机对象即可。 * 防火墙配置－定义地址转换（通信策略） 设置好的地址转换策略（通信策略） 第一条为内网访问外网做NAT；（源转换） 第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服 务器的真实IP；（目的转换） * 防火墙配置－配置保存 点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定” 即可保存当前配置 * 防火墙配置－查看配置、导出配置 在“系统管理”－“维护”中进行防火墙当前配置的保存、下载、上传等操作 * 防火墙配置－查看配置、导出配置 按照下图中数字所示顺序即可把防火墙配置导出到本地，其中配置替换是把本地配置导入到防火墙时候用的。 * 防火墙高级应用－HA的配置 * * 在双机热备模式下，任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。 防火墙高级应用－HA模式介绍 * 防火墙高级应用－HA配置案例 双机热备模式 基本需求 上图是一个简单的双机热备的主备模式拓扑图，主墙和一台从墙并联工作，两个防火墙的