RG-WALL 160E/T/M系列防火墙快速指南
锐捷网络(V1.0)
(内部资料,严禁复制)
福建星网锐捷网络有限公司
版权所有 侵权必究
第1页,共21页
敏锐把握应用趋势 快捷满足客户需求
目 录
一、概述........................................................................................................................................... 3 二、防火墙硬件描述 ....................................................................................................................... 3 三、防火墙安装 ............................................................................................................................... 4 2.1 温度/湿度要求 ........................................................................................................................ 5 2.2 洁净度要求 ................................................................................................................................ 5 2.3 抗干扰要求 ................................................................................................................................ 5 四、通过CONSOLE口命令行进行管理 ...................................................................................... 6 五、通过WEB界面进行管理 ...................................................................................................... 13 六、常见问题解答FAQ ................................................................................................................ 19
锐捷网络 第2页,共21页
敏锐把握应用趋势 快捷满足客户需求
一、概述
RG-WALL防火墙缺省支持两种管理方式: CONSOLE口命令行方式 通过网口的WEB(https)管理
CONSOLE口命令行方式适用于对防火墙操作命令比较熟悉的用户。WEB方式直观方便,为保证安全,连接之前需要对管理员身份进行认证。要快速配置使用防火墙,推荐采用CONSOLE口命令行方式;日常管理监控防火墙时,WEB方式则是更方便的选择。
安装防火墙之前,请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE口命令行方式管理防火墙,请您仔细阅读本指南的第四节;如果希望使用WEB方式管理防火墙,请您仔细阅读本指南的第五节。
防火墙主要以两种方式接入网络:路由方式和混合方式。在路由方式下,配置完防火墙后您可能还需要把受保护区域内主机的网关指向防火墙;混合方式时,由防火墙自动判定具体报文应该通过路由方式还是透明桥方式转发,如果为透明桥方式,则不用修改已有网络配置。 二、防火墙硬件描述
RG-WALL160M系列防火墙前面板示意图如下图所示:
RG-WALL160T系列防火墙前面板示意图如下图所示:
RG-WALL160E系列防火墙前面板示意图如下图所示:
说明如下:
网络接口 RG-WALL160E:防火墙固化4个GE口+1个FE口;提供1个模块化插锐捷网络 第3页,共21页
敏锐把握应用趋势 快捷满足客户需求
槽,支持4GE/4SFP/2GE/2SFP扩展,可扩展至8个千兆口;支持Bypass功能 RG-WALL160T:防火墙固化4个GE口+2个SFP口+1个FE口;支持Bypass功能 RG-WALL160M:防火墙/VPN网关,固化4个GE口+1个FE口;提供1个模块化插槽,支持4GE/4SFP/2GE/2SFP扩展,可扩展至8个千兆口;支持Bypass功能 FE网络接口具有10/100M自适应,采用5类双绞线,RJ-45头连接。 GE网络接口具有10/100/1000M自适应电口,采用5类双绞线,RJ-45头连接。 系统管理串行接口,波特率为9600。管理员可用随机专用串口线连接终端CONSOLE接口 和防火墙来管理系统。 电源指示灯 电源接口 面板上标识为POWER,加电以后一直为绿色。 电源接口接220V交流电压。 指示灯指示电源模块运行状态,绿色指示灯亮表示电源模块在运行。 电源按钮 按下电源按钮带“O”的一端关闭电源,反之接通电源。 电源按键适用于RG-WALL 160T/M系列防火墙 冗余电源 两个拉手分别对应两个电源模块,便于更换电源模块。 两个电源接口(交流220V)分别对应两个电源模块。 指示灯用于指示电源模块运行状态,绿色指示灯亮表示电源模块在运行。 冗余电源仅适用于RG-WALL 160E系列防火墙
三、防火墙安装 1.安全使用注意事项
本章列出安全使用注意事项,请仔细阅读并在使用RG-WALL防火墙过程中严格执行。这将有助于您更安全地使用和维护您的防火墙。
(1)您使用的RG-WALL防火墙采用220V交流电源,请确认工作电压并且务必使用三芯带接地电源插头和插座。良好的接地是您的防火墙正常工作的重要保证。 (2)为使防火墙正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将防火墙放在不稳定的桌面上,如果跌落可能会对防火墙造成严重损害。
锐捷网络
第4页,共21页
敏锐把握应用趋势 快捷满足客户需求
(4)请保持室内通风良好并保持防火墙通气孔畅通。
(5)为减少受电击的危险,在防火墙工作时不要打开外壳,即使在不带电的情况下,也不要随意打开防火墙机壳。
(6)清洁防火墙前,请先将防火墙电源插头拔出。不要用湿润的布料擦拭防火墙,不能用液体清洗防火墙。 2.检查安装场所
RG-WALL防火墙必须在室内使用,无论您将防火墙安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。 (2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑防火墙及其安装附件的重量。 (4)确认机柜和工作台的良好接地。
为保证防火墙正常工作和延长使用寿命,安装场所还应该满足下列要求。 2.1 温度/湿度要求
为保证RG-WALL防火墙正常工作和使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害防火墙的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其寿命。 2.2 洁净度要求
灰尘对防火墙的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO2、H2S、NH3、Cl2 等)的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时防火墙机房对空气中所含的盐、酸、硫化物也有严格的要求。 2.3 抗干扰要求
防火墙在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,
锐捷网络
第5页,共21页
敏锐把握应用趋势 快捷满足客户需求
使设备上滤波电路能有效的滤除电网干扰。
(2)防火墙工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。
(3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。 3.安装
RG-WALL防火墙可以放置在桌面上,也可以放在标准的19英寸机架上。安放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。 4.加电启动
防火墙启动步骤如下:
(1)请将防火墙安装在机架上或放在一个水平面上。 (2)确认防火墙电源是关闭的。 (3)连接电源线。
(4)防火墙可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进而用超级终端管理防火墙。
(5)接通电源,按下防火墙上的电源开关,置于ON状态,防火墙加电启动。 (6)听到“嘀嘀嘀”三声,且橙黄色的状态灯开始闪烁,表示启动成功。
防火墙启动成功以后,请通过CONSOLE口命令行或者WEB浏览器方式管理防火墙,具体方法请参考以下相关章节。
如果防火墙未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
四、通过CONSOLE口命令行进行管理
基本步骤:连接串口线 —> 配置超级终端 —> 开始配置管理 1.选用管理主机 要求该主机具备: (1)空闲的RS232串口
(2)有超级终端软件。比如Windows系统中的“超级终端”连接程序。 2.连接防火墙
利用随机附带的串口线连接管理主机的串口和防火墙串口CONSOLE,启动超级终端工具,以Windows自带“超级终端”为例:点击“开始 --> 所有程序 --> 附件 --> 通讯 --> 超级终端”,选择用于连接的串口设备,定制通讯参数:
锐捷网络
第6页,共21页
敏锐把握应用趋势 快捷满足客户需求
(1)每秒位数:9600; (2)数据位:8; (3)奇偶校验:无; (4)停止位:1; (5)数据流控制:无;
提示:对于Windows自带“超级终端”,选择“还原默认值”即可。 3.登录CLI界面
连接成功以后,提示输入管理员帐号和口令时,输入出厂默认帐号“admin”和口令“firewall”即可进入登录界面,注意所有的字母都是小写的。
4.命令行快速配置向导
用串口或者SSH客户端成功登录防火墙后,输入命令“fastsetup”,单击回车键,进入命令行配置向导。
锐捷网络
第7页,共21页
敏锐把握应用趋势 快捷满足客户需求
配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,此向导涉及最基本的配置,安全性很低,因此管理员应在此基础上对防火墙细化配置,才能保证防火墙拥有正常有效的网络安全功能。 输入原密码,如下图所示:
输入新密码,并确认密码,如下图所示:
选择防火墙FE1 接口的工作模式,输入1为路由模式,输入2为混合模式,如下图所示:
锐捷网络
第8页,共21页
敏锐把握应用趋势 快捷满足客户需求
选择防火墙FE2 接口的工作模式,方法同FE1 。
此时FE1和FE2 的工作模式必须一致。
输入FE1接口的IP地址和掩码, 如下图所示:(说明:若FE1、FE2都是混合模式,则FE1的地址必须配置,FE2的地址可以不配置)
输入FE2接口的IP地址和掩码,方法同FE1。
此时FE1和FE2 的IP地址不允许在同一网段。
是否允许所有主机pingFE1接口,输入“y”为允许,输入“n”为不允许,如下图所示:
是否允许通过FE1接口管理防火墙,输入“y”为允许,输入“n”为不允许,如下图所示:
锐捷网络 第9页,共21页
敏锐把握应用趋势 快捷满足客户需求
此时如果选择“n”,则不会出现下文叙述的(9)、(10)两项。
是否允许管理主机ping FE1接口,输入“y”为允许,输入“n”为不允许,如下图所示:
是否允许管理员用traceroute探测FE1口的IP地址,输入“y”为允许,输入“n”为不允许,如下图所示:
锐捷网络 第10页,共21页
敏锐把握应用趋势 快捷满足客户需求
设置FE2接口属性,内容同(7)、(8)、(9)、(10)四项。
设置默认网关IP,如下图所示(说明:若防火墙的两个网口都是混合模式,可以不配默认网关)。
设置管理主机IP,如下图所示:
锐捷网络 第11页,共21页
敏锐把握应用趋势 快捷满足客户需求
设置安全规则的源IP和目的IP,默认为any,如下图所示:
是否允许用SSH客户端登录防火墙,输入“y”为允许,输入“n”为不允许,如下图所示:
锐捷网络 第12页,共21页
敏锐把握应用趋势 快捷满足客户需求
此时输入“y”或者“n”后会显示所有的设置信息。
是否执行并且退出,输入“y”为将以上配置立即生效,输入“n”为直接退出。如果需要保存配置,请执行“syscfg save”命令。如下图所示:
在命令行界面下,可以查阅《星网锐捷RG-WALL防火墙命令行手册》来完成防火墙的其它配置,更好地的发挥防火墙的防护职能。 五、通过WEB界面进行管理 基本过程:
............................................................................................................................. 配
置管理主机 —> 安装usb电子钥匙驱动—>认证管理员身份 —>开始配置管理 ............................................................................................................................. 配
置管理主机 —> 安装认证管理员身份证书(文件) —>开始配置管理
1.选用管理主机
要求具有以太网卡、USB接口和光驱,操作系统可以为Window98/2000/XP中的任意一种,管理主机IE建议为5.0以上版本、文字大小为中等,屏幕显示建议设置为1024×768。
证书有两种存放形式,独立证书文件和usb硬件电子钥匙。独立证书文件在光盘中采用默认安装即可。下面是usb硬件电子钥匙使用方法。 2.安装认证驱动程序
锐捷网络 第13页,共21页
敏锐把握应用趋势 快捷满足客户需求
在第一次使用电子钥匙前,需要先按照电子钥匙的认证驱动程序。插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。
切记:安装驱动前不要插入usb电子钥匙,否则驱动安装完毕后需要重新拔插电子钥匙! 3.安装USB电子钥匙
在管理主机上插入usb电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过windows兼容性测试,选择“仍然继续”即可,如长时间(如约3分钟)无反映,请拔下usb电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。 4.连接管理主机与防火墙
利用随机附带的网线直接连接管理主机网口和防火墙FE1网口(初始配置,只能将管理主机连接在防火墙的第一个网口上),把管理主机IP设置为192.168.10.200,掩码为
255.255.255.0。在管理主机运行ping 192.168.10.100验证是否真正连通,如不能连通,请检查管理主机的IP(192.168.10.200)是否设置在与防火墙相连的网络接口上。 强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接防火墙。 5.认证管理员身份 第一、插入电子钥匙。
第二、运行\\\\Admin Auth\\目录中的ikeyc程序,提示输入用户pin,默认为12345678。此时电子钥匙中存储的默认防火墙IP地址为192.168.10.100,认证端口为9999。如果认证成功,将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证,可以对防火墙进行配置管理了。如果出现其他错误,请检查网络连接、pin码是否输入错误等。 6.登录防火墙WEB界面
插入usb时运行IE浏览器,在地址栏输入https:// 192.168.10.100:6667,等待约20秒钟会弹出一个对话框提示接受证书,选择确认即可。系统提示输入管理员帐号和口令。缺省情况下,管理员帐号是admin,密码是:firewall。
如果使用独立证书文件,则运行IE浏览器,在地址栏输入https:// 192.168.10.100:6666,弹出一个对话框提示接受证书,选择确认即可。系统提示输入管理员帐号和口令。缺省情况下,管理员帐号是admin,密码是:firewall。
锐捷网络 第14页,共21页
敏锐把握应用趋势 快捷满足客户需求
7.许可证导入
登录防火墙界面后,请先选择左侧页面 系统配置>>升级许可 界面,会出现下面的页面信息。
点击Browse按钮,导入本防火墙的License文件,点击导入许可证即可完成导入操作。导入成功后,可以在该页面查看许可证对应的功能项目列表。
8.WEB界面配置向导
配置向导仅适用于管理员第一次配置防火墙或者测试防火墙的基本通信功能,此向导涉及最基本的配置,安全性很低,因此管理员应在此基础上对防火墙细化配置,才能保证防火墙拥有正常有效的网络安全功能。 使用独立证书文件。
首次使用WEB界面进行配置,需将管理主机的IP地址设为192.168.10.200,在IE地址栏中输入:https:// 192.168.10.100:6666。登录防火墙以后,点击
,开始防火墙的配置。
(1)修改超级管理员admin的密码,超级管理员的密码默认是:firewall。
(2)选择防火墙FE1和 FE2接口的工作模式,防火墙的接口默认都是工作在路由模式
锐捷网络 第15页,共21页
敏锐把握应用趋势 快捷满足客户需求
(3)配置防火墙的IP地址,建议至少设置一个接口上的IP能用于管理,否则,完成初始配置后无法用WEB界面管理防火墙。(说明:若FE1 FE2都是混合模式,则FE1的地址必须配置,FE2的地址可以不配)
(4)配置默认网关,如果希望防火墙能上互联网,则必须配置默认网关,否则,可以直接跳过本界面,配置下一个界面。(若防火墙的两个网口都是混合模式,可以不配置默认网关)
锐捷网络 第16页,共21页
敏锐把握应用趋势 快捷满足客户需求
(5)配置管理主机,管理主机必须与防火墙IP在同一网段。如果想通过防火墙ip:192.168.10.100来管理防火墙,则可以设置管理主机IP:192.168.10.200。
(6)添加一条允许的安全规则,如果在界面上不填写源地址和目的地址,则会允许所有的访问,建议在网络调试通畅后,删除该规则。
(7)设置管理方式,如果希望用ssh远程登录来管理防火墙,需要选中“远程SSH管理”,否则,可以跳过本界面。
锐捷网络 第17页,共21页
敏锐把握应用趋势 快捷满足客户需求
(8)如果不需要更改界面上显示的配置信息,单击“完成”。以上配置将立即生效。至此完成防火墙的初始配置。然后根据提示重新登录防火墙。如果需要保存该配置,请点击WEB界面上的“保存配置”。
如果希望完成防火墙的其它配置,请查阅《星网锐捷RG-WALL防火墙WEB界面手
册》,获得通过WEB界面完成防火墙配置的相关知识。
锐捷网络 第18页,共21页
敏锐把握应用趋势 快捷满足客户需求
六、常见问题解答FAQ
1.如何用远程SSH方式登录防火墙? 答:(1)选中“远程SSH管理”,如下图:
图1
(2)确认防火墙已设置可管理的IP地址及管理主机IP地址;
(3)在管理主机上使用SSH客户端连接防火墙,建立连接后会出现登录提示符,此时即可输入管理员帐户名和密码进入防火墙命令行管理方式。 以putty作为客户端为例,如下图所示:
图2 配置界面
2.为什么删除不掉超级管理员?
答:因为本防火墙设置超级管理员是不能被删除的。
锐捷网络 第19页,共21页
敏锐把握应用趋势 快捷满足客户需求
3.可以多个管理员同时在线管理防火墙吗? 答:可以。
(1)进入“管理配置>>管理员帐号” (2)选中“允许多个管理员同时管理”。 (3)在弹出的对话框中点击“确认”按钮即可。
4.防火墙能抵抗那些恶意攻击?应如何配置使防火墙能抵抗这些恶意攻击?
答:防火墙能抵抗以下的恶意攻击: SYN Flood攻击、ICMP Flood攻击、Ping of Death 攻击、UDP Flood 攻击、PING SWEEP攻击、TCP端口扫描、UDP端口扫描、松散源路由攻击、严格源路由攻击、WinNuke攻击、smurf攻击、TCP无标记攻击、圣诞树攻击、SYN&FIN攻击、无确认FIN攻击、IP安全选项攻击、IP记录路由攻击、IP流攻击、IP时间戳攻击、Land攻击、teardrop攻击。
(1)进入“安全策略>>抗攻击”。 (2)点击相应网络接口的
按钮,启动配置该网络接口的抗攻击功能。
(3)配置相应网络接口的抗攻击参数。
5.如何补全命令行中的关键字?
答:输入关键字的第一个字母,按Tab键就可以补全关键字。
6.如何获得命令的提示信息?
答:按 ? 可以获得上下文相关的帮助信息。
7.我在命令行界面下,输入这样的备注address1 address2 ,为什么会提示错误? 答:如果输入的备注信息中包含空格,必须使用双引号,正确的备注格式应该是 “address1 address2”。
8.为何在网络连接正确时,不能“ping”通防火墙? 答:检查相应的网络接口是否启动允许ping功能。
9.从防火墙上ping其它的主机,发现网络不通,可能有哪些问题?
锐捷网络 第20页,共21页
敏锐把握应用趋势 快捷满足客户需求
答:可能有如下情况:网线没连接好、路由不正确、对方机器不允许(如加载了个人防火墙)等。
10.内网、DMZ网段不能访问外网,可能有哪些问题?
答:可能有下面的问题:网线没连接好、规则中未允许访问相应服务,如未允许ICMP包通过就ping不通、NAT或路由不正确、启动了“IP/MAC绑定”或“用户认证功能”,但用户没登录或没在IP/MAC表中加入正确的绑定信息。
11.规则的执行顺序是怎么样的?
答:先执行优先级高的规则,规则的序号代表了规则的优先级,一般越先添加的规则,序号越小,优先级越高。但是,选中规则后,点击
12.如何配置代理功能?
答:RG-WALL防火墙支持HTTP代理、FTP代理、TELENT代理、SMTP代理、POP3代理五种预定义代理和自定义代理。配置代理功能步骤如下: (1)定义需要代理的服务对象。 (2)配置相应的代理。 (3)添加代理规则。
13.RG-WALL防火墙有几种工作模式?
答:RG-WALL防火墙有两种工作模式——路由模式和混合模式(含桥透明和桥路由模式),可以使用命令“sysif set 14.RG-WALL防火墙没有发送报警邮件? 答:请确认“系统配置”>>“报警邮箱”页面内的各项内容设置正确,另外请设置域名服务器。 可以改变规则的优先级。 锐捷网络 第21页,共21页 因篇幅问题不能全部显示,请点此查看更多更全内容