TCSP 防火墙4000（TOS）培资料V1.ppt

服务须知 防火墙的局限性 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 串口(console)管理方式： 管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。 WEBUI管理方式： 超级管理员:superman，口令:talent TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent 一些特殊应用设置 防火墙高级应用－策略路由和动态路由 OSPF 添加邻居地址 设定接口属性 在防火墙的接口上, 可以配置的OSPF 的参数包括: 接口花费、 HELLO 报文 发送间隔、 重传间隔、 接口链路状态传输时延、 路由器优先级、 相邻路由 器老化时间、 报文验证方式和报文验证字等。 防火墙高级应用－策略路由和动态路由 OSPF OSPF接口配置 防火墙高级应用－策略路由和动态路由 OSPF 设置禁止哪些接口转发路由信息，则这些接口将只是被动地监听路由更新信息 可以重复以上操作对防火墙的多个接口抑制转发路由信息 防火墙高级应用－策略路由和动态路由 OSPF 重发布 网络卫士防火墙OSPF 支持将直连、RIP 等路由重新发布入OSPF 自治系统。 在“动态路由.OSPF”标签页中“重新发布信息”处，选择要引入哪些路由信息到OSPF 路由中作为外部路由信息。 防火墙高级应用－策略路由和动态路由 RIP RIP（Routing Information Protocol），路由信息协议，是推出时间最长的路由协议，也是最简单的路由协议。RIP 通过广播或多播UDP 报文来交换路由信息，每30秒发送一次路由信息更新，同时根据收到的RIP 报文更新自己的路由表。RIP 提供跳跃计数(hop count)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的 路由器的数目。网络卫士防火墙支持RIP 的v1、v2 版本。 RIP协议： 防火墙高级应用－策略路由和动态路由 RIP 配置RIP 在使用RIP 协议之前，需要首先启用RIP进程 防火墙高级应用－策略路由和动态路由 RIP 查看RIP 协议配置信息 在“配置信息”处可以查看RIP 路由协议的运行状况，包括RIP 当前的状态信息、和RIP 协议的调试信息 防火墙高级应用－策略路由和动态路由 RIP 设置网络及邻居 基本属性主要定义了运行RIP 协议的网段、RIP 路由的邻居、RIP 协议的版本，并给出了各定时器的默认值 查看网络配置 防火墙高级应用－策略路由和动态路由 RIP 设置运行RIP 协议的IP 网段属性 设置邻居 防火墙高级应用－策略路由和动态路由 RIP 设置RIP 路由协议的版本。默认网络卫士防火墙运行RIPv2。 “接口”主要定义了已经启动RIP 路由协议的各个接口的详细设置，例如接口发送接收RIP 路由时所使用的