第二章 防火墙基础技术.ppt

手动激活License License文件必须以“.dat”作为扩展名，不支持中文。 选择“系统 License管理”。 在“License激活方式”中选择“本地手动激活”。 单击“浏览”，选择待上传的License文件。 单击“激活”，激活当前License文件。 * * VRP系统命令采用分级保护方式，命令被划分为参观级、监控级、配置级、管理级4个级别。 参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。 监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。 配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。 管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。 系统对登录用户也划分为4级，分别与命令级别对应，即不同级别的用户登录后，只能使用等于或低于自己级别的命令。当用户从低级别用户切换到高级别用户时，需要使用命令：super password [ level user-level ] { simple | cipher } password 切换。 * 系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。 与防火墙建立连接即进入用户视图，它只完成查看运行状态和统计信息的简单功能，再键入system-view进入系统视图，在系统视图下，可以再键入不同的配置命令进入相应的协议、接口等视图。 * VRP平台提供十分方便的命令行在线帮助，只需要在有疑问的地方键入问号即可。 例如在系统视图下直接键入问号，系统便会列出在系统视图下可以配置的命令参数，或者在参数后键入空格，然后再键入问号，便可获得该参数后可以使用的参数列表，如果是键入一字符串，其后紧接键入问号，则系统会列出以该字符串开头的所有命令。 * 输入命令的某个关键字的前几个字母，按下tab键，系统还可以显示出完整的关键字 。 我们看到有的时候在一次显示信息有可能会超过一屏，此时系统提供了暂停功能，这时用户可以有三种选择： 暂停显示时键入Ctrl+c 停止显示和命令执行 暂停显示时键入空格键 继续显示下一屏信息 暂停显示时键入回车键 继续显示下一行信息 * 配置网络，使网络互联互通。 配置对象，管理被所有策略共用的元素 配置策略，进行网络安全防护和流量管理 * 在USG中，支持以下两种接口卡： 二层接口卡：所有接口均为二层以太网接口，不支持切换为三层接口。 三层接口卡：所有接口缺省为三层以太网接口，可以通过命令portswitch切换为二层以太网接口。 * 创建自定义安全区域。 步骤1 执行命令system-view，进入系统视图。 步骤2 执行命令firewall zone [name] zone-name，创建安全区域，并进入相应安全区域视图。 执行firewall zone命令时，存在如下两种情况： 安全区域已经存在：不必配置关键字name，直接进入安全区域视图。 安全区域不存在：需要配置关键字name，进入安全区域视图。 系统预定义了Local、Trust、DMZ、Untrust 共4个安全区域。在路由模式下，4个安全区域无需创建，也不能删除。防火墙最多支持32个安全区域 步骤3 执行命令set priority security-priority，配置安全区域的安全级别。 配置安全区域的安全级别时，需要遵循如下原则： 1. 只能为自定义的安全区域设定安全级别。 2. 安全级别一旦设定，不允许更改。 3. 同一系统中，两个安全区域不允许配置相同的安全级别。 4. 新建的安全区域，未设定其安全级别前，系统规定其安全级别为0。 * 在一个安全策略视图下可以为不同的流量创建不同的规则。缺省情况下，越先配置的策略，优先级越高，越先匹配报文。一旦匹配到一条规则，就直接按照该规则的定义处理报文，不再继续往下匹配。 安全策略规则的动作 permit: 表示允许该规则的流量通过 deny: 表示禁止匹配该规则的流量通过 缺省情况下，在防火墙所有安全区域间的所有方向都禁止报文通过。 * * 通过静态路由的配置可建立一个互通的网络，但这种配置问题在于：当一个网络故障发生后，静态路由不会自动发生改变，必须有管理员的介入。 缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有