[计算机]NETSCREEN防火墙操作培训.ppt

* * * * * * * * * * * * * * * 注意：1、本地网段不可与总公司网段冲突 2、VPN拨号获得的IP地址也许每次都会变化，所以需要每次查看获得的IP地址，如不同，则根据以上方法再重新添加一条路由。 * * * * 策略里的流量控制、统计 流量控制 流量统计 七、高级管理功能 针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。 策略里分组控制 七、高级管理功能 第一，需要在定义地址的时候，将某部分源地址或者目的地址定义到一个组中。 第二，Service组也是一部分服务的集合 然后再通过策略的建立，完需求 说明： 　　 总公司对外有多条链路连接，因此都能够和分公司建立冗余vpn，保证总公司某一条对外线路断了以后，还能保证另外一条线路vpn接入进来。 下面图例介绍。 VPN的冗余 七、高级管理功能 几种典型冗余模式: 1、成都、重庆（两条ADLS线，两个VPN的GROUP） 2、福建、陕西（单线，一个VPN的GROUP） 3、呼叫中心（双线，一个VPN的GROUP） ADSL1 ADSL2 电信 网通 网通 电信 网通 电信 七、高级管理功能 选择VPNS--AUTOKEY ADVANCED--VPN GROUP VPN的冗余—建立VPN的GROUP 七、高级管理功能 VPN的冗余—加入VPN的GROUP 七、高级管理功能 Weight代表GROUP中VPN的优先级。数字越大，优先级别越高。可以选择一条质量比较好的VPN作为主要VPN，数字小的则为备用VPN，当主VPN断掉时，会自动切换到备用VPN VPN的冗余—VPN的优先级 七、高级管理功能 日常维护过程中，需要重点检查以下几条关键信息 Session（会话）：当Session资源正常使用到85%时，需要考虑设备容量限制并及时升级。 CPU：正常在50%以下，如果CPU利用率过高，应高度重视，应检查Session使用情况和各类告警信息，并检查网络中是否存在攻击流量。通常情况下CPU利用率过高往往与攻击有关，可通过正确设置screening对应选项进行防范。 Memory：采取“预分配”机制,空载时使用率约50-60%，流量不端增长，内存基本不变，如果出现使用率高达90%，检查是否有攻击流量。 八、日常维护和问题处理 常规维护 路径：configuration—update—config file 八、日常维护和问题处理 防火墙配置的备份和恢复 防火墙设备因为是网络安全设备，因此，它的密码的设置一般比较复杂，因此，也比较容易遗忘，一旦发生这种情况，最好的情况是客户拥有之前的备份文件。对防火墙进行初始化操作，这个操作非常简单，将防火墙设备的序列号分别作为用户名和密码对防火墙设备进行登陆，之后，按照提示，一路YES，设备重新启动之后，就恢复到了出厂状态。 这个操作一定要在控制台的模式下进行，需要用控制线连接防火墙的控制台端口，才能够操作。 八、日常维护和问题处理 防火墙恢复出产设置的方法 九、探讨 平时工作中发现的有借鉴意义的问题 工作中碰到的疑难问题，请大家提出来共同探讨 对防火墙目前设置策略的疑问 其他问题 初始化防火墙A和B 登陆防火墙A和B，并且备份防火墙配置文件 如图所示配置A和B的防火墙的UNTRUST和TRUST端口地址 A防火墙创建地址为的VIP，并且发布C的7000服务，并使D可以访问 建立VPN隧道，使C和D可以访问 Trust /24 Untrust /30 Untrust /30 Trust /24 B A 十、现场动手 C D 根据拓扑完成实验 感谢大家 * * * 防火墙的初始地址为： 。若初始地址不为，可用CONSOLE口登陆，查看 * 不通版本的菜单栏的一些区别 * 演示一些常用命令 一些常用的命令： get config 等 * 开始—附件—超级终端—选择串口号 码率为 9600（设置为默认即可） * 同理，命令如 * 我们需要了解WEBUI的一般配置 命令行模式的几个常用命令 特殊情况下的串口登陆 * * * * * * * * * * * * 点到点VPN的创建—分部GATEWAY的建立 五、VPN的创建和应用 * Action选择Tunnel 选择C到A的VPN 点到点VPN的创建—分部策略的建立 五、VPN的创建和应用 基本与静态对静态 VPN设置内容一致 地址对象 服务对象 VPN网关（动态方 LOCAL ID） IKE 对象 安全策略 Trust Untrust Untrust Trust 总部 分部 ERP 点到点VPN的创建（带有动态地址） 五、VPN的创建和应用 动态对静态的VN需要在设置GATEWAY的时候使用到两边统一的PE