1、在专业人员指导下修改计算机网络设置。首先记下计算机原来的ip地址和子网掩码,再修改计算机tcp/ip设置:ip地址=192.168.2.x(x:2~254),子网掩码=255.255.255.0。修改设置后可能需要重新启动计算机。
2、启动浏览器软件,输入网址:http://192.168.2.1,回车。浏览器将显示防火墙配置程序。首先输入管理员口令,出厂默认设置为:用户名=admin,口令=123456。单击[登录]按钮,进入防火墙配置程序,如下图所示。窗口左侧显示配置菜单,右侧显示防火墙基本信息。
3、单击[高级设置],展开防火墙设置菜单,如下图所示。
防火墙设置菜单分三级,按windows风格分级展开。例如单击[系统],展开[系统]菜单,如下图所示。再单击[系统],则折叠[系统]菜单。
4、防火墙高级设置共有14大项:
高级设置]系统:配置防火墙内部时钟、管理员帐户、网络接口、系统维护、工具等。
高级设置]对象:配置常用对象。对象是为方便其它防火墙设置而预先定义一些常用对象,如子网、vpn网关、服务、时间表和数字证书等。
高级设置]nat:配置防火墙dmz主机、虚拟服务器(地址映射)、地址转换等。
高级设置]路由:检查或设置路由表。
高级设置]安全策略:配置防火墙安全策略。
高级设置]mac地址绑定:在防火墙安全策略中使用的是ip地址,可以将某些ip地址与mac地址绑定在一起,提高网络安全性。
高级设置]地址过滤:最常用的防火墙安全策略是阻止局域网内的某个用户上网,或阻止局域网内的用户访问某个网站,地址过滤功能只要输入相应的ip地址即可,从而可以简化安全策略的设置。
高级设置]vpn虚拟专网:配置虚拟专网(vpn)。
高级设置]流量管理:配置网络流量管理。
高级设置]网站过滤:将防火墙作为web代理(proxy),配置网站访问策略。
高级设置]主动ids:配置入侵检测,可以防范34种常见黑客攻击,也可以设置反扫描或扫描侦测。
高级设置]动态域名解析ddns:配置动态域名解析。
高级设置]dns代理服务:为某些常用的ip地址定义一个便于记忆的名称。
高级设置]系统状态:检查或设置防火墙运行状态和日志。
5、高级设置]系统配置
高级设置]系统]时间/日期:设置防火墙内部时钟。设定防火墙系统时钟有2种方式:一是与本地电脑时钟同步,另一种是与外部时间服务器时钟同步,这时需要设定时区和外部时间服务器,因特网上有一些常用的时间服务器,它们能提供标准时间,并支持夏时制。
高级设置]系统]管理员:设置防火墙管理员帐户,只有管理员才能修改设置。防火墙保留一个超级管理员帐户,帐户名固定为admin,出厂口令123456。可以修改这个管理员帐户的口令,但不能修改名称。防火墙的管理权限分为4个等级:
可以阅读部分防火墙设置,但不可以修改
可以阅读全部防火墙设置,但不可以修改
可以阅读全部防火墙设置,同时可以修改部分设置
可以阅读全部防火墙设置,同时可以修改全部设置
可以增加管理帐户,需要填写帐户名称和密码。防火墙最多设20个管理帐户。
对防火墙进行web管理的默认端口为80,可以根据要求使用其它端口。在允许进行管理的接口中:lan表示只允许lan网络的电脑来管理防火墙,wan表示只允许wan网络的电脑来管理防火墙,dmz表示只允许dmz网络的电脑来管理防火墙,all表示任何电脑都可以管理防火墙,disable表示只有指定ip的电脑才能管理防火墙。在允许wan网络电脑管理防火墙时,可以使用https提高安全性。设置完成后点击[应用]按钮。
高级设置]系统]接口:防火墙提供3种网络接口:wan(广域网,一般用来接入互联网)、lan(局域网,一般用来接入局域网)和dmz(中立区网络,一般将服务器放在中立区网络,比如网站或邮件服务器。通过互联网或局域网都可以访问放在中立区的服务器,这些服务器应该具有公网ip地址。如果dmz区域使用私网ip地址,这些电脑不能上网,因为dmz接口不提供nat功能。简单来说,拥有3个以上公网ip地址才会使用dmz中立区,否则就在lan局域网使用虚拟服务器功能)。
设置wan接口:使用adsl或小区宽带拨号上网时,要填写用户名称和密码(服务器为保留项目,不用填写或填*),可以选择一直在线(包月)或按需上网(计时,当没有人上网时防火墙自动断开连接,有人上网时再自动拨号,重新连接。如果接入单位专网、某些城域网或小区宽带通过dhcp来获得ip地址,这时使用通过dhcp分配ip。如果接入单位专网或互联网得到固定ip地址,选择静态分配,直接填写ip地址、子网掩码、默认网关和dns服务器ip地址。另外可以指定mtu(最大封包长度,默认为1500字节)、是否可以ping wan接口(黑客常用ping功能来侦测网络,禁止ping功能可以提高网络的安全性)。
设置lan接口:设置lan接口需要填写它的ip地址、子网掩码。如果您要让局域网里的电脑共享上网,您要选择默认nat策略。防火墙具有dhcp服务器功能,可以为局域网里的电脑自动分配地址。如果单位有多个部门,希望部门内部电脑互通,而各部门之间不通,则可以配置多个ip网段,即不同的ip地址,这时要为防火墙lan接口提供多个ip地址,多个ip地址分别是各个lan网段的默认网关。也可以禁止ping lan或dmz接口以提高网络安全性。
防火墙提供的dhcp服务可以给局域网里的电脑自动分配ip参数,其中包括ip地址、子网掩码、默认网关、dns服务器等,而不需要手工设置每台电脑,简化网管的工作。启用dhcp服务时,要设定dhcp的一些参数,其中包括有效时间(dhcp分配的ip地址具有有效期,有效期到了以后,dhcp会自动再分配一个新的ip地址。这样做的目的是防止便于ip地址被某个电脑独占)、默认网关(这个参数将作为局域网内电脑的默认网关,应当为防火墙lan接口的ip地址)、域名(局域网的名称,用户自己定义)、dns服务器(这个参数将作为局域网内电脑的dns服务器,应当为公网上合法dns服务器的ip地址,一般由isp提供,可以填写多个dns服务器地址,以作为后备dns服务器)。可以保留部分ip地址静态分配给某些电脑(如文件服务器),部分ip地址用于动态分配,这时需要设置用于动态分配的ip地址范围。因为某种特定要求,需要给某台电脑指定一个ip地址(比如防火墙是根据ip地址来指定安全策略的,固定ip地址就可以明确指定这台电脑的权限),这时需要将某个ip地址与该电脑的网卡地址(即mac地址)绑定起来,dhcp每次分配给这台电脑的ip地址就是一样的,因为网卡的地址是不变的。
设置dmz接口:wan网和lan网的用户都需要访问的服务器,如web或mail服务器,一般放置在dmz区域。设置dmz接口需要填写它的ip地址、子网掩码,这个ip一般是公网ip。
高级设置]系统]系统维护:防火墙系统软件可以升级,使您的防火墙保持使用最新的安全技术,永不落伍。你可以在我们的网站(http://www.ksmart.com.cn)上查询我们的新版本信息,下载后使用系统升级功能升级防火墙。可以将防火墙设置保存到电脑中,需要时再从电脑中恢复防火墙设置,也可以将防火墙恢复为出厂设置(即清除所有设置)。系统升级后需要重新启动系统,您也可以手动选择重新启动。
高级设置]系统]工具:防火墙提供ping和trace route网络调试命令。ping 目的ip,测试目的ip是否连通。trace route 目的ip,测试目的ip是否连通,而且能测试出中间经过了哪些路由器.
6、高级设置]对象配置
高级设置]对象]子网:在设置防火墙策略以前,可以先预定义对象,简化防火墙策略操作。子网对象是用名称(英文字母或数字)来代替一台电脑或一个网络的ip地址,易于记忆。ip地址用cidr格式表示,比如192.168.2.10/32代表一台主机,192.168.2.0/24代表一个网络,即192.168.2.0网络里的所有电脑,0.0.0.0/0代表任何网络和电脑。
高级设置]对象]网关:在设置ipsec vpn以前,需要预定义vpn网关(或称vpn服务器)对象。防火墙wan/lan/dmz接口都可以用作vpn网关,但一般都是用wan接口作为vpn网关,因为vpn都是接入互联网的。vpn是通过互联网连接2个局域网,vpn网关分本地网关和远程网关。定义本地vpn网关只要在wan、lan或dmz接口中选择其一就可以了。远程网关可以通过ip地址、域名、电子邮件或国家名(dn)来定义,一般用ip地址(应该是固定ip)或域名(包括动态域名)。用ip地址来定义时,要填写远程网关的ip地址,在网关id处选择ipv4。用域名来定义时,要填写域名,在网关id处选择域名,并填写具体的域名(和前面的域名一致即可)。
高级设置]对象]服务:在设置防火墙策略以前,要先预定义服务对象,如http、ftp、smtp或pop3等。定义一个服务就是定义这个服务所使用的协议(tcp、udp或icmp等)和所使用的端口号(0~65535),这需要具备专业网络知识。在设置防火墙策略时可以定义开放哪些服务,关闭哪些服务。为了简化防火墙设置,防火墙出厂时已经预定义了一些常用的服务(包括联众游戏、qq聊天等),这样即使没有专业网络知识也能够设置防火墙。专业人员可以根据自身需要,自己定义新的服务对象,这需要知道该服务的协议类型和端口号。也可以修改防火墙提供的预定义服务。
高级设置]对象]时间表:防火墙策略可以在某个时段有效,其它时段无效,比如上班时间禁止上网,而下班时间开放上网。此处先预定义时间表对象,在设置防火墙策略时选择相应的时间表。定义一个时间表对象要输入对象名称、选择周一~周日(或每天)、有效时间(几点开始、几点结束)。
高级设置]对象]数字证书:在设置ipsec vpn时可以使用数字证书技术提高身份认证的安全性,这时要预定义数字证书对象。数字证书一般来自于外部的认证机构,这时需要将数字证书文件导入防火墙。可以使用防火墙生成自己定义的数字证书。选择主菜单]高级设置]系统]数字证书系统]数字证书]数字证书申请。按照提示输入资料,即可生成数字证书,生成的数字证书可以存入文件。
7、高级设置]nat配置
高级设置]nat]dmz主机:防火墙将互联网和局域网隔离开来,互联网上的用户不能访问局域网内部的电脑。如果您想开放内部的某台服务器,就可以使用dmz主机功能。dmz主机将某个公网ip映射到lan局域网或dmz中立区内部服务器的私有ip,互联网上的用户访问这个公网ip就可以访问lan局域网或dmz中立区内部的服务器。防火墙可以映射5台这样的服务器,当然您需要5个公网ip地址。
高级设置]nat]ip地址池:如果您只有1个公网ip地址,局域网内的所有电脑将共享这一个ip地址上网,即防火墙提供的nat功能。如果有多个公网ip地址,可以让局域网内的用户循环使用这些地址,这称为ip地址池。这个功能一般较少使用。
高级设置]nat]虚拟服务器:防火墙将互联网和局域网隔离开来,互联网上的用户不能访问局域网内部的电脑。如果您想开放内部的某台服务器,比如web服务器,就可以使用虚拟服务器功能。虚拟服务器将wan接口公网ip的某个服务端口(如http服务使用tcp的80端口)映射到局域网内部服务器私有ip的某个服务端口,互联网上的用户访问wan接口公网ip的某个服务端口就可以访问到局域网内部服务器提供的服务。防火墙最多可以映射65535台这样的虚拟服务器,可以将一个公网ip不同的服务端口映射到局域网内不同的服务器上。虚拟服务器和dmz主机的区别在于一个虚拟服务器只映射一个服务端口,而一个dmz主机将映射该电脑上所有的服务端口。
高级设置]nat]napt:napt就是普通的nat。使用防火墙默认的nat策略就可以共享上网,napt可以设置只对某些服务端口开放nat功能。此功能一般不用。
8、高级设置]路由配置
高级设置]路由]静态路由:防火墙具有路由功能,并且自动学习wan/lan/dmz之间的路由信息。可以手工添加其它路由信息。
高级设置]路由]rip路由协议:防火墙可以使用rip路由协议自动学习所有路由信息,当然网络上的其它路由器也要使用rip路由协议。wan/lan/dmz接口都具有rip路由协议,可以设置rip参数。可以设定rip广播包所使用的格式,rip广播包分ripv1和ripv2两种格式。也可以设置不向外广播自己的路由信息。防火墙接收其它路由器发来的路由信息,可以选择:同时接收ripv1和ripv2格式路由信息;只接收ripv2格式路由协议;只接收ripv1格式路由信息;不接收任何路由信息。可以设置身份认证密码,保证路由信息的保密性和安全性。在设置rip路由协议之前,需要掌握相关的专业知识。
9、高级设置]安全策略:
高级设置]安全策略]安全策略:防火墙隔离内网和外网,相当于一个道路检查站。所有进出的信息(ip数据包)都要被检查,并确定是否放行。检查的项目包括:方向(从哪个接口到哪个接口,接口包括wan/lan/dmz)、ip源地址、ip目的地址、源端口号、目的端口号、mac地址、时间表等。是否放行的标准就是本项目将要设置的防火墙策略。防火墙的出厂设置是允许所有连接(全部放行),可以选择拒绝所有连接(全部不放行)。防火墙策略就是要让该放行的ip数据包通过,不该放行的ip数据包被拒绝或丢弃。防火墙策略需要专业人员制订。在设置防火墙策略之前,需要先预定义将要用的子网对象、服务对象和时间表对象。设置防火墙策略基本上都是选择项,操作简单、快捷。
定义一条防火墙策略,先给一个名称,便于记忆。如果预定义了子网对象,直接选择源ip地址和目的ip地址。如果直接输入ip地址,要使用cidr格式,比如192.168.2.10/32代表一台主机,192.168.2.0/24代表一个网络,即192.168.2.0网络里的所有电脑,0.0.0.0/0代表任何网络和电脑。然后选择方向,即从哪个接口到哪个接口,接口包括wan/lan/dmz。再选择服务(即端口)和时间表(有效时间)。防火墙对满足检查条件(指定的源ip、目的ip、服务端口、方向和策略是否在有效时间内)的ip数据包可以选作三种动作:accept(放行)、reject(拒绝)、drop(丢弃)。可以选择是否将满足条件的ip包记入日志,以备检查。防火墙策略具有顺序性,防火墙收到一个ip数据包,将从第一条策略开始检查,检查到第一条满足条件(源ip、目的ip、服务端口、方向)的策略,执行该策略的动作。可以用move功能改变防火墙策略的次序。
高级设置]安全策略]阻止端口探测:黑客攻击前,首先会侦测计算机tcp/udp端口的状态。黑客会向某个端口发包,如果该端口回应一个icmp包,则黑客就知道这个端口是开放的。启动[阻止端口探测]功能(在选择框内打勾),防火墙就不回应黑客的数据包,防火墙就如同进入隐形状态。
10、高级设置]mac地址绑定配置:ip地址是防火墙策略的主要检查项目。电脑ip地址可以任意修改,也能够假冒他人的ip地址。为了防止假冒ip地址,可以将ip地址与电脑的网卡地址(即mac地址)绑定起来,因为网卡的地址是不可改变的。这样即使假冒合法的ip地址,因为电脑网卡的mac地址不相符,也不能被放行。
11、高级设置]地址过滤配置
最常用的防火墙安全策略是阻止局域网内的某个用户上网,或阻止局域网内的用户访问某个网站,地址过滤功能只要输入相应的mac地址或ip地址即可,从而可以简化安全策略的设置。
高级设置]地址过滤]mac地址过滤:可以设置想要过滤的mac地址。所设置的mac地址按以下方式工作:如果防火墙默认策略为[允许所有连接],则该mac地址将被拒绝通过防火墙;如果防火墙默认策略为[拒绝所有连接],则只有这些设置的mac地址才能通过防火墙。
高级设置]地址过滤]ip地址过滤:可以设置想要过滤的ip地址。所设置的ip地址按以下方式工作:如果防火墙默认策略为[允许所有连接],则该ip地址将被拒绝通过防火墙;如果防火墙默认策略为[拒绝所有连接],则只有这些设置的ip地址才能通过防火墙。
12、高级设置]vpn配置
高级设置]vpn]autokey:防火墙支持rfc 2049因特网密钥交换协议(ike)来建立ipsec虚拟专网(vpn)。ipsec vpn是使用身份认证和加密技术通过互联网安全地连接2个异地的局域网,比如总部网络和分支机构网络。建立一个ipsec vpn,需要设置以下参数:本地和远程网络地址、本地网关、远程网关、密钥交换计划、ipsec加密算法及其生命周期。在防火墙上建立一个vpn首先填写本地和远程网络地址,比如192.168.2.0/24和192.168.3.0/24,也可以选择预定义子网对象。使用预定义网关对象选择本地网关,本地网关一般为本地防火墙的wan接口。使用预定义网关对象选择远程(对端)网关,远程网关为对端防火墙的wan接口ip地址(或域名、动态域名)。选择密钥交换计划和加密算法,密钥交换计划可以选择preshared key,即双方预先约定一个密码,这是最简单、最方便的办法。选择ipsec加密算法,比如perfect forward secrecy加密算法。
高级设置]vpn]自定义key:可以自定义身份认证和加密算法。设置自定义key vpn虚拟专网包括:本地和远程网络地址、本地网关、远程网关、身份认证、加密算法等。首先填写本地和远程网络地址,参考autokey的设置。选择本地网关和远程网关,参考autokey的设置。建立ipsec安全连接,启用ah和esp、选择安全参数(spi,自己任意指定的一个16进制数值,需大于ff(255),并且要告知对方自己的spi)、选择认证算法(如md5或sha-1)、选择加密算法(如des或3des)、指定密钥(不同加密算法要求的密钥长度不同,如16位或20位)。
高级设置]vpn]l2tp/pptp:l2tp、pptp服务是为移动用户(比如出差在外或在家里)访问局域网而提供的vpn虚拟专网,windows支持l2tp和pptp vpn虚拟专网。
高级设置]vpn]l2tp/pptp]l2tp设置:启用l2tp服务要:填写服务器名(自己任意指定)、选择ppp认证算法(如chap或pap)、指定分配给移动用户的ip地址范围(用户通过互联网使用l2tp vpn连接到局域网,防火墙l2tp服务会为每个用户分配一个局域网ip地址)。注:dhcp/l2tp/pptp/静态指定的ip地址范围要区隔开,不能重叠。
高级设置]vpn]l2tp/pptp]pptp设置:启用pptp服务要:填写服务器名(自己任意指定)、选择ppp认证算法(如chap或pap)、指定分配给移动用户的ip地址范围(用户通过互联网使用pptp vpn连接到局域网,防火墙pptp服务会为每个用户分配一个局域网ip地址)。注:dhcp/l2tp/pptp/静态指定的ip地址范围要区隔开,不能重叠。
高级设置]vpn]l2tp/pptp]pptp客户:防火墙可以作为其它pptp服务器的客户端连入其它局域网,在这里填写vpn服务器的ip地址或域名、用户名和密码等。
高级设置]vpn]l2tp/pptp]用户管理:防火墙要为l2tp/pptp vpn客户创建用户名和密码,以保证只有授权的客户才能通过互联网访问局域网。防火墙启动l2tp/pptp服务后,移动用户在自己的电脑上要建立vpn连接(在windows上使用网络连接向导建立vpn网络连接),建立vpn连接需要知道防火墙wan接口的ip地址或域名、用户名和密码。
13、高级设置]流量管理配置:在没有流量管理的网络中,所有用户以相同的优先级共享网络带宽。防火墙可以对网络流量进行管理,比如设置wan/lan/dmz端口的总带宽,在每个端口下建立子节点。子节点代表一个或一组用户(使用ip地址和端口号来定义),对每个子节点可以指定优先级、最大带宽和最小带宽,让重要用户或关键应用的带宽得到保证。
选择防火墙接口(wan/lan/dmz),设定该接口的总带宽。系统默认为100k。在网络接口下定义子节点,子节点按分层树状结构逐级往下定义。填写name:子节点名称,方便记忆。选择priority:优先级,0~7,0为最高优先级。填写max. bandwidth:填写允许这个节点使用的最大带宽。填写min. bandwidth:填写保证这个节点使用的最小带宽。使用过滤策略(包括ip地址和端口号)来定义子节点所代表的用户和服务。
14、高级设置]网站过滤配置:网站过滤可以过滤网页内容(比如activex、java、cookie等插件,网站广告、病毒等一般都是使用这些技术来实现的)、禁止哪些用户访问网站、禁止互联网上的不良网站等。防火墙使用应用代理(proxy)技术实现网站过滤功能。启用网站过滤功能后,防火墙作为网站代理(proxy),用户要修改浏览器proxy设置后才能访问网站:在ie浏览器中,选择工具-连接-局域网设置,启用proxy,并输入防火墙lan接口的ip地址,代理端口1080。
15、高级设置]主动ids设置:防火墙采用最新的状态检测和扫描侦测技术,防止黑客攻击。利用状态检测技术来防止黑客攻击涉及到非常专业的网络技术和术语。本防火墙将迄今为之所发现的几十种黑客常用的攻击手段列出来,设置时只要打勾选择,防火墙将自动检测到这些黑客入侵,并进行报警和防护。active:启用,log:记入日志,drop:丢弃攻击数据包。你可以进入详细信息和帮助,了解更详细的专业知识。网络扫描是黑客入侵的第一步。防火墙可以在黑客扫描阶段就能及时发现,丢弃黑客的扫描数据包,或发布虚假信息,进行反扫描。所发现的黑客扫描行为可以记入日志。
16、高级设置]动态域名解析ddns:如果使用adsl拨号上网,所得到的公网ip地址是不固定的,每次拨号得到的ip是不一样的。如果网站建在公司内部,没有固定ip,客户将访问不到网站,这时就要使用动态域名解析ddns。动态域名有2部分组成:一是动态域名服务商提供的动态域名服务器,要向动态域名服务商注册动态域名,注册后在域名服务器上将记录您的域名和ip地址;二是动态域名客户端软件,adsl断开再重新连接以后,所得到的公网ip会和以前不同,需要有动态域名客户端软件负责更新动态域名服务器上的ip地址。本防火墙提供国际上最知名的2个动态域名服务提供商(http://www.dyndns.org/、http://www.dnsmadeeasy.com/),而且都是免费的,并在防火墙上嵌入了客户端软件。用户需要自己登录动态域名服务商的网站,注册自己的动态域名,您将得到一个帐户。将相关的帐户信息输入防火墙。在ip地址出现变化以后,由防火墙自动更新动态域名服务器上的ip地址。虽然ip地址在变,但域名是不变的。
17、高级设置]dns代理服务:为某些常用的ip地址定义一个便于记忆的名称。用户使用时只要输入这些名称,防火墙自动转换成对应的ip地址,方便使用。ip地址可以是局域网内的地址,也可以是广域网的地址。
18、高级设置]系统状态:查看防火墙运行状态和系统日志。
高级设置]系统状态]日志设置:防火墙系统日志是重要的资料,24小时记录网络上发生的事件。防火墙存储空间满了以后,可以用2种方式将系统日志发送出去:一是启用日志服务器,输入日志服务器的ip地址,日志服务器需要安装相关软件,并能支持syslog协议;二是通过邮件发送,这时需要输入电子邮件相关的参数。
高级设置]系统状态]系统信息:检查系统信息如软件版本号、各网络接口的工作状态等。
高级设置]系统状态]vpn状态:检查相关的vpn工作状态和参数。
高级设置]系统状态]arp表:检查防火墙学习到的局域网ip-mac地址对应表。
高级设置]系统状态]dhcp表:如果防火墙启用了dhcp服务,防火墙将记录ip地址的分配情况。
高级设置]系统状态]系统日志:系统日志记录防火墙的工作运行情况和任何异常情况,其中包括事件发生的时间和描述。日志可能有很多页,可以逐页翻看,或直接查看某一页。
19、设置完毕,关闭浏览器。
20、恢复计算机tcp/ip设置(ip地址和子网掩码)。
21、局域网其它计算机设置。由于防火墙作为互联网接入设备,要修改局域网中其它计算机的tcp/ip设置,默认网关(default gateway)要指向防火墙,即192.168.2.1。