海信防火墙安装手册.doc

《海信防火墙安装手册.doc》由会员分享，可在线阅读，更多相关《海信防火墙安装手册.doc（20页珍藏版）》请在咨信网上搜索。

版权声明 Copyright © 1998-2002北京海信数码科技有限公司。版权所有，复制必究。未经北京海信数码科技有限公司的书面许可，不得将本手册的任何部分以任何形式、采用任何手段（电子的或机械的，包括照相复制或录制）、或为任何目的，进行复制或扩散。 北京海信数码科技有限公司保留在不通知用户的情况下对本手册进行改版或者更改本手册内容的权利。 北京海信数码科技有限公司在编写本手册时已尽力保证其内容准确可靠，对于因本手册中存在的遗漏和印刷错误及用户对本手册误解造成的损失，我们皆不承担直接或间接的责任。 名 称 IP地址 子网掩码 是否控制接口 是否允许PING eth0 211.100.10.235 255.255.255.0 Y eth1 192.168.1.115 255.255.255.0 Y Y eth2 192.168.0.234 255.255.255.0 Y eth3 172.16.1.1 255.255.255.0 Y 表0-0防火墙接口默认配置 帐 号 口 令 权 限 使用IP 备 注 administrator hisense 超级 所有 WEB admin hisense 系统、策略、日志 所有 WEB admin hisense 所有 所有 串口 表0-1 防火墙默认帐号 目 录 前 言 1 第 1 章 海信防火墙系统的安装 2 1.1 海信防火墙系统的组成 2 1.2 面板说明 2 1.3 运行环境要求 6 1.4 海信防火墙的安装 7 1.5 注意事项 8 第 2 章 系统的启动与登录 9 2.1 规划防火墙安装 9 2.2 登录海信防火墙 11 第 3 章 常见问题及设备维护 16 第 4 章 技术支持与服务 17 海信FW3010PF防火墙 17 前 言 《安装手册》介绍了海信防火墙FW3010PF的组成、安装步骤、启动步骤、安全注意事项以及技术支持与服务信息。 本手册仅适用于使用海信FW3010PF防火墙的用户。 本手册针对的对象是受过专业训练、负责安装和管理网络硬件的网络管理员。网络管理员需要具备局域网（LAN）和广域网（WAN）运行知识，并具备安装网络设备以及在安装过程中规避危险的相关经验。 为使您能正确操作防火墙，请保存好该手册，以备随时参考。 第 1 章 海信防火墙系统的安装 1.1 海信防火墙系统的组成 海信防火墙系统由海信防火墙硬件和海信防火墙软件两部分组成。 海信防火墙硬件部分：即防火墙主机，用于网络通信的保护和控制。 海信防火墙软件部分：包括各型号的基本功能软件模块和可选软件模块。 1.2 面板说明 面板仅为示意图，具体参考表0-0。 1.2.1 海信FW3010PF百兆1U机箱防火墙面板说明 图 11 FW3010PF百兆1U机箱防火墙前面板 1—机箱手柄 2—液晶显示控制按键 3—液晶显示屏 4—电源指示灯 5—串口 6—USB接口 7—IDE数据指示灯 图 12 FW3010PF百兆1U机箱防火墙后面板 1— 电源插座 2—电源开关 3—内网口 4—DMZ网口 5—外网口 6—扩展1网口 1.2.2 海信FW3010PF百兆2U机箱防火墙面板说明 图 13 FW3010PF百兆2U机箱防火墙前面板 1—机箱手柄 2—IC卡插槽（可选） 3—电源指示灯 4—IDE数据灯 5—告警灯 6—IC卡指示灯 7—液晶显示屏 8—电源开关 9—串口 10—USB端口 11—双机热备接口 12—网络接口扩展1 13—网络接口扩展2 14—内网口 15—DMZ口 16—外网口 图 14 FW3010PF百兆2U机箱防火墙后面板 1—电源插口 2—安全锁 1.2.3 海信FW3010PF千兆1U机箱防火墙面板说明 图 15 FW3010PF千兆1U机箱防火墙前面板 1—面板锁 2—见（千兆平台按键和指示灯图） 图 16 FW3010PF千兆1U机箱防火墙后面板 1—PCI插槽 2—内网口 3—PCI插槽 4—电源插口 5—USB端口 6—显示端口 7—SCSI接口 8—外网口 9—PS/2鼠标/键盘接口 10—串口 11—USB端口 1.2.4 海信FW3010PF千兆2U机箱防火墙面板说明 图 17 FW3010PF千兆2U机箱防火墙后面板 1—管理串口 2—eth2 3—eth3 4—主电源插座 5—USB口 6—显示端口 7—SCSI接口 8—eth1 9—eth0 10—PS/2鼠标/键盘接口 11—双机热备口 12—USB口 13—主电源 图 18 FW3010PF千兆防火墙按键与指示灯 1—内网口（eth1）指示灯 2—外网口（eth0）指示灯 3—开机/休眠按键 4—电源指示灯 5—系统状态指示灯 6—IDE数据指示灯ID指示灯 7—串口 8—ID灯控制按键 9—显示端口 10—USB端口 11—RESET按键 1.3 运行环境要求 1.3.1 海信FW3010PF防火墙的放置位置要求 海信FW3010PF防火墙应安装在标准的19英寸的机柜里。防火墙机箱的位置、机柜或配线室的布局对系统的安全运行非常重要。 u 确保防火墙的机箱放置在水平面上； u 电源应在防火墙安装位置的两米以内； u 防火墙应使用单独的、接地良好的电源； u 在防火墙机箱周围应该有足够的空间放置电源线和网线。 1.3.2 海信FW3010PF防火墙的使用环境要求 海信FW3010PF防火墙的运行环境应满足下表要求： 运行温度 环境温度0℃~ 40℃ 运行湿度 10% ~ 90% 储存温度 -20℃ ~ 50℃ 储存湿度 10% ~ 90% 电源规格 220VAC，50Hz 表格 11防火墙使用环境要求 1.3.3 海信防火墙远程日志审计系统的运行环境要求 海信防火墙远程日志审计系统需要安装在一台管理主机上，其具体运行环境要求如下： 1. 硬件要求 Pentium 450、128M内存、硬盘100M以上的自由空间（根据记录日志的要求，可能所需硬盘空间更大）、10/100M以太网卡。 2. 软件要求 操作系统： Windows 2000 Pro、Windows 2000 Server； Windows 2000 Advance Server、Windows XP Pro。 1.3.4 管理主机的要求 管理员应该指定一台管理主机专门用于防火墙的管理。管理主机的要求如下： 1. 硬件要求 Pentium 450、256M内存、硬盘100M以上的自由空间、10/100M以太网卡、COM口。 2. 软件要求 管理主机需安装Windows98、Windows NT4.0（Service Pack 6或以上版本）、Windows2000或者Windows xp操作系统，Internet Explorer 5.0或以上版本及Windows操作系统所带的超级终端软件。 1.4 海信防火墙的安装 1.4.1 设备清单检查 打开包装后，请您先对照机型和装箱单检查部件是否完备，如有缺损请及时和系统供货商联系。 取出防火墙主机后，不要将外包装箱丢弃，当您需要维修服务时可能会需要用原包装箱将系统返回到我公司。 1.4.2 海信防火墙设备安装 防火墙的硬件安装分为设备的安放和线路的连接。 防火墙的安放要符合1.3中对安装环境的相关规定。 防火墙的线路连接步骤如下： 1. 连接电源 确保防火墙的电源开关是关闭的。使用防火墙随机携带的电源线，一端与防火墙主机后面的电源插口相连，另一端与专用的电源插座相连。 2. 连接网络线路 用直通线（Straight-through cable）将防火墙内网口和内部网络区交换机的任意非级联口相连； 用交叉线（Cross-over cable）将防火墙外网口和路由器（或三层交换机）的对内网口相连，这样可以避免攻击者利用旁路绕过防火墙对内网进行攻击； 用直通线（Cross-over cable）将防火墙的DMZ网口和DMZ区交换机的任意非级联口相连（DMZ区的概念见2.1）。 直通线为两端均为MDI接头的网线，交叉线为一端为MDI接头，另一端为MDIX接头的网线。 插针编号 MDI接头 MDIX接头 1 传输数据 接收数据 2 传输数据 接收数据 3 接收数据 传输数据 6 接收数据 传输数据 表格 12直通线与交叉线的针指定 1.5 注意事项 为了安全使用本产品，请仔细阅读安全注意事项，并在使用时严格执行。 u 确保防火墙的运行环境符合1.3.1和1.3.2的要求； u 使用防火墙专门配备的标准电源线，切断电源时应握住电源插头拔出，而不是握住电源线； u 避免拉扯、割裂和严重压挤、弯曲电源线，以免引起火灾。发现电源线损坏时，请先关掉防火墙电源，然后再更换电源线； u 如果防火墙在工作中发出不正常的声音、冒烟或散发异常气味时，请立即拔掉电源并与我公司联系； u 防火墙在出厂时内部的硬件均已按型号配置好了，请不要打开防火墙的外壳，任何人为的硬件损坏都不在免费保修范围之内。只有专业人员才能打开机箱，如需维护请与我公司联系； u 防火墙在运行时严禁移动，以防损坏其内部的硬件。如果需要移动，请先关闭电源，拔掉电源线，然后再移动防火墙； u 在连接防火墙串口时，请先关闭防火墙的电源，以免烧坏串口； u 外部电源不能正常、稳定提供电力时，请谨慎使用防火墙，最好和UPS搭配使用。 第 2 章 系统的启动与登录 2.1 规划防火墙安装 图21是一个常见的局域网络，服务器和工作站接在同一个交换机上，整个局域网通过路由器连接到Internet网。由于工作站和服务器对网络安全性的要求不尽相同，服务器不仅要对内提供服务，也需要对Internet网上的用户提供服务，工作站只需要访问服务器和Internet上的服务，而下图服务器与工作站置于同一层次，并没有把这种需求体现出来。 图 21没有防火墙时的网络结构 为了体现不同的安全性需求，我们必须划分网络安全区域，即把安全性需求不同的网络设备划分到不同的安全区域当中，把安全性需求相同的设备划分到同一个安全区域中。一般说来，网络可划分为三个安全区域，即内网区域、DMZ区域和外网区域。 内网区域即内网工作站所在的区域，这一部分不对外提供服务，因此不允许来自服务器和Internet对它的主动访问，但它可以访问内部和Internet上的服务器。 DMZ区域即内部服务器所在的区域，这一部分不仅要对内网用户而且还要对外部Internet用户提供服务，因此允许来自内网和Internet的用户访问，但它不需要对内网和Internet发起主动请求。 外网区域即Internet网络，对内的安全威胁主要来自于这一块，因此不允许它对内网区域发起主动请求，只允许它访问DMZ区域。 根据以上安全区域的划分，我们将内网区域连接到防火墙的内网口，DMZ区域连接到防火墙的DMZ网口，外网区域连接到防火墙的外网口，通过防火墙控制安全区域之间的访问。 图 22安装防火墙后的网络结构 划分安全区域后，我们将对各区域分配地址段，举例如下表所示： 子 网 接 口 IP地址 子网掩码 外网区 路由器内部口 211.100.10.237 255.255.255.0 防火墙外口 211.100.10.235 255.255.255.0 DMZ区 防火墙中立区 192.168.0.234 255.255.255.0 中立区服务器 192.168.0.* 255.255.255.0 中立区服务器网关地址 192.168.0.234 内网区 防火墙内口 192.168.1.115 255.255.255.0 内部工作站 192.168.1.* 255.255.255.0 内部工作站网关地址 192.168.1.115 内部工作站DNS地址 202.102.134.68 其它（如果扩展） 防火墙扩展口1 172.16.1.1 255.255.255.0 其他（如果扩展） 防火墙扩展口2 172.16.2.1 255.255.255.0 表格 21安装防火墙时网络IP地址划分 其中路由器内部口、防火墙外口和内网工作站的DNS地址由ISP提供商提供，在这里只是举例说明，请根据实际情况进行修改。防火墙内网口、DMZ网口和扩展网口1的地址为防火墙出厂时的所设的初始值。 2.1.1 启动海信防火墙 2.1.2 百兆防火墙的启动 按下防火墙的电源开关，电源指示灯变为绿色，IDE数据灯开始闪烁（红色），网卡灯变成绿色，表示网络连接正常，等待一段时间后，IDE数据灯停止闪烁，表示系统已启动。 2.1.3 千兆防火墙的启动 按下防火墙的电源开关，电源指示灯变为绿色，IDE数据灯开始闪烁（绿色），网卡灯变成绿色，表示网络连接正常，等待一段时间后，IDE数据灯停止闪烁，表示系统已启动。 2.2 登录海信防火墙 登录海信FW3010PF防火墙有两种方式，分别是WEB页面登录方式和串口管理登录方式。 2.2.1 WEB页面登录 1. 在内网选择一台管理主机，管理主机应满足1.3.4要求； 2. 在管理主机上打开Windows命令行界面，输入命令“ping 192.168.1.115”并回车，确保能够ping通防火墙内网口； 图 23 ping防火墙内口 3. 在管理主机上打开Internet Explorer，在地址栏输入“https://192.168.1.115”并回车，如图24所示； 图 24在地址栏填入防火墙内口地址 4. .出现如图25所示的弹出框，点击“是”按钮； 图 25安全证书提示 5. 出现如下图所示的界面，在用户名称一栏填入初始的系统管理员用户名“admin”，初始的系统管理员密码“hisense”,点击登录按钮； 图 26登录口令界面 6. 出现防火墙的管理主界面，登录成功。 图 27管理主界面 2.2.2 串口管理登录 1、在管理主机上使用防火墙随机所带的接口线，用COM1口与防火墙的串口相连； 2、在管理主机上打开超级终端程序，填入连接名称后出现下图界面，在“连接时使用”下拉菜单中选择“COM1”点“确定”； 图 28串口连接界面 3、出现下图界面，在每秒位数中填入“9600”，在数据位中填入“8”，奇偶校验中填入“无”，停止位为“1”，数据流控制为“无”，点“确定”； 图 29串口设定界面 4、回车后，出现登录信息“HFW login:”，输入默认的串口登录用户名：admin，默认密码：hisense； 图 210串口登录口令界面 5、出现串口管理主界面，登录成功。 图 211串口管理主面 第 3 章 常见问题及设备维护　　　　　　　 安装防火墙过程中可能出现的问题有以下几种： 1. 防火墙开机后电源指示灯不亮 如果防火墙开机后电源指示灯不亮，可能是因为： u 电源线插头接触不良，请检查电源插头是否插到位； u 电源电压不符合要求，请测量电源电压是否符合规格； u 如果指示灯仍然不亮，请及时与我公司联系。 2. 网口指示灯不亮 网口指示灯显示防火墙接口和其他网络设备之间的连接状态，如果该灯不亮说明： u 网络连接不良，请检查网络接口是否接触不良，网线通断状况； u 与防火墙相连的其他网络设备可能没有启动或者运行不正常，请试着把网线插到网络设备的其它接口，或者使用备用的网络设备； u 如果指示灯仍然不亮，请与我公司联系。 3. 主机不能ping到防火墙 如果用户不能从内部的主机一侧ping到防火墙内部接口，可能是因为： u 防火墙的网口和IP地址没有正确对应，请检查防火墙各网口连接顺序是否正确； u 网络接口属性设置不允许ping。 4. 无法进入防火墙“系统管理主界面” 在浏览器地址栏输入防火墙内部网络接口IP地址无法进入防火墙系统管理主界面，可能是因为： u 输入防火墙内部IP地址不正确； u 登录方式没有采用“https：”； u 防火墙内部IP地址与本主机IP地址不在同一网段上。 必须对防火墙进行下列必要的维护： u 经常擦拭防火墙表面灰尘； u 严格按照本手册来配置，使用防火墙； u 如果防火墙出现问题，及时和我公司取得联系。 第 4 章 技术支持与服务 我们公司提供完备的技术支持与服务。用户可以通过网站、电子邮件、与授权代理商联系、与我们的各地办事处联系或者直接与北京海信数码总部联系获取技术支持与服务。 用户在获得技术支持和服务前，请准备下列信息： u 产品型号和序列号； u 购买产品的时间及授权代理商名称； u 系统出错的现象说明； u 最近的配置改变情况； 在线服务 用户可以通过访问海信数码的网站，获取最新的产品信息及在线支持； 用户也可以通过发送电子邮件到support@，询问产品的相关问题。 与授权代理商联系 用户可以与提供产品的授权代理商联系，获得技术支持。 与北京海信数码总部技术支持中心联系 Tel：800-810-8201 010-62963695/6/7/8/9转878/863/858