1.2 sw-300防火墙系统操作手册.docVIP

兰州局防火墙维护手册 北京安全网络公司 二ОО八年三月二日 目录 1. 防火墙系统网络拓扑图 4 2. 系统配线图 5 3. 系统登录及帮助的使用 7 4. 重启、关闭和开启防火墙 10 5. 使用命令行排查防火墙故障 11 6. 防火墙系统故障紧急预案 13 7. 使用集成管理界面配置防火墙 13 8. 注意事项 17 1. 防火墙系统网络结构 1.1 防火墙系统网络结构拓扑 拓扑简介： 每台防火墙有四个以太网端口： 1：一个外部端口，定义为em0，与中心路由器以太接口连接，连接外部网络。 2：两个内部端口，分别定义为exp0、exp1。 exp0用于主备防火墙之间直连，收发心跳信息，完成主备防火墙倒换。 exp1与中心交换机相连，连接内部网络，四台防火墙的内部端口IP地址分别为 主一：172.21.22.5 备一：172.21.22.6 主一和备一向外共享172.21.22.1地址，作为内网的网关一 主二：172.21.23.5 备二：172.21.23.6 主二和备二向外共享172.21.23.1地址，作为内网的网关二 3：一个备分端口，定义为exp2 在防火墙接入网络之前，分局局域网的网关IP为二台路由器的以太网接口地址，在内部服务器与终端上分别配置2个网关分别为172.21.22.1、172.21.23.1。在防火墙接入后，防火墙接入在路由器与交换机之间，通过配置可以将两组防火墙的内网共享IP设置为172.21.22.1、172.21.23.1，仍然作为内部网络的网关。 在接入防火墙后，R3600的两个以太网接口分别接入到两组防火墙上，并且在两台路由器上运行hsrp（Router1的FE0/0和Router2的FE1/0为1组，Router1的FE0/0和Router2的FE1/0为2组）来完成链路的热备份。 由于每组防火墙均连接到一个hsrp组上，所以只需在防火墙上配置一条缺省路由即可完成到下面车站的访问。 在接入防火墙之前，路由器运行eigrp动态路由协议，完成网络转发。在接入防火墙后，由于路由器到内部网络通过防火墙做了隔离，所以需要重新发布内网路由。设计在防火墙内部、外部接口和路由器连接防火墙的以太网接口上运行ospf（进程号713），这样路由器便可以通过ospf学习到内网的路由。再通过配置路由再发布（在eigrp进程中redistribute ospf 713…），将内网路由发布到eigrp中，使得车站路由器学习到内网路由。 1.2 系统配线图 同系统拓扑图。 注：2个内网交换机、防火墙机柜中的Mini主备交换机的网线可接入所在交换机的任意端口。 3. 系统登录及帮助的使用 3.1 登录防火墙 有两种方式连接到防火墙。 3.1.1 命令行模式登录 该方式主要用于系统状态的查看。 在维护台上选择开始－运行 在打开栏中输入cmd，进入命令行窗口 使用telnet x.x.x.x命令连接防火墙，x.x.x.x 表示欲登录防火墙的exp1口的地址，如登录主一防火墙可使用telnet 172.21.22.5 按提示输入正确的用户名和密码 键入srole命令，成为系统管理员 3.1.2 集成管理模式登录 该方式主要用于防火墙策略的配置。 直接双击桌面上命名为Sidewinder G2 6.0 Firewall Admin Console的图标可进入防火墙集成管理界面。也可从：开始－程序－Secure Computing－Sidewinder G2 6.0－Firewall Admin Console，启动集成管理界面。启动后出现如下界面。 在左栏中选择预设置的防火墙组名称，在IP Address栏中确认是该防火墙组内部共享IP地址后，如登录第一组防火墙，需要在IP Address栏中输入172.21.22.1，Port使用9003，不要改变，否则无法登录的防火墙。 点击Connect。 在弹出的提示框中选择yes。 根据提示，输入用户名和密码。登录成功后，即进入防火墙集成管理环境，如下图所示。 3.2 集成管理环境中帮助的使用 在Firewall Admin Console集成环境的任何界面中，均存在help按钮，如下图右下角： 点击Help按钮，即可获取该界面相应的帮助信息。如下图: 集成管理环境的帮助界面对防火墙系统的配置有重要的指导作用。 3.3 集成管理环境中的配置保存 在集成管理环境中，完成每一步配置修改之后，都必须进行存盘，方可使更改生效。点击界面中工具栏中的存盘图标，即可完成存盘操作。 4. 重启、关闭和开启防火墙 4.1 命令行重启防火墙步骤 telnet到想要重启的防火墙内部网卡地址（exp1地址）。 输入用户名和密码。