网神SecGate 3600安全网关快速指南
声明
服务修订:
●本公司保留不预先通知客户而修改本文档所含内容的权利。
有限责任:
●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作
其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括
(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。
版权信息:
●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效
授权。
网神信息技术(北京)股份有限公司
目录
一、概述 (1)
二、安全网关硬件描述 (2)
三、安全网关安装 (2)
1.安全使用注意事项 (2)
2.检查安装场所 (3)
2.1 温度/湿度要求 (3)
2.2 洁净度要求 (4)
2.3 抗干扰要求 (4)
3.安装 (4)
4.加电启动 (5)
四、通过CONSOLE口的命令行方式进行管理 (6)
1.选用管理主机 (6)
2.连接安全网关 (6)
3.登录CLI界面 (7)
五、通过WEB界面进行管理 (9)
1.选用管理主机 (9)
2.安装认证驱动程序 (9)
3.安装USB电子钥匙 (9)
4.连接管理主机与安全网关 (10)
5.认证管理员身份 (10)
6.登录安全网关WEB界面 (10)
7.许可证导入 (12)
8.WEB界面配置向导 (14)
六、常见问题解答FAQ (21)
一、概述
SecGate 3600安全网关缺省支持两种管理方式:
(1)通过CONSOLE口的命令行管理方式
(2)通过网口的WEB(https)管理方式
CONSOLE口的命令行管理方式适用于对安全网关操作命令比较熟悉的用户。WEB 方式更直观方便,为保证安全,WEB方式连接之前需要对管理员身份进行认证。要快速配置使用安全网关,推荐采用CONSOLE口命令行方式;日常管理监控安全网关时,WEB方式则是更方便的选择。
安装安全网关之前,请您务必阅读本指南的“二、三”两节。如果希望使用CONSOLE 口命令行方式管理安全网关,请您仔细阅读本指南的第四节;如果希望使用WEB方式管理安全网关,请您仔细阅读本指南的第五节。
安全网关主要以两种模式接入网络:路由模式和混合模式。在路由模式下,配置完安全网关后您可能还需要把受保护区域内三层设备或主机的网关指向安全网关;混合模式时,由安全网关自动判定流经它的数据报文应该通过路由模式还是透明桥模式转发,如果为透明桥模式,则不用修改已有网络配置。
二、安全网关硬件描述
SecGate 3600系列安全网关前面板、后面板示意图分别见随机印刷页。
文字项说明
百兆网络接口●具体接口数量和布局请见随机印刷页
千兆网络接口●具体接口数量和布局请见随机印刷页
CONSOLE接口系统管理串行接口,波特率为9600。管理员可用随机专用串口线连接终端和安全网关来管理系统。
预留USB接口某些型号产品包含预留的USB接口,用于以后扩展功能时使用。以实物为准。电源指示灯面板上标识为POWER,加电以后一直为绿色。
状态指示灯面板上标识为STATUS,系统正常运行时橙色灯为熄灭状态。
三、安全网关安装
1.安全使用注意事项
本节列出安全使用注意事项,请仔细阅读并在使用SecGate 3600安全网关过程中严格执行。这将有助于您更安全地使用和维护您的安全网关。
(1)您使用的SecGate 3600安全网关采用220V交流电源,请确认工作电压并且务必使用三芯带接地电源插头和插座。良好的接地是您的安全网关正常工作的重要保证。
(2)为使安全网关正常工作,请不要将其放置于高温或者潮湿的地方。
(3)请不要将安全网关放在不稳定的桌面上,如果跌落可能会对安全网关造成严
重损害。
(4)请保持室内通风良好并保持安全网关通气孔畅通。
(5)为减少受电击的危险,在安全网关工作时不要打开外壳,即使在不带电的情况下,也不要随意打开安全网关机壳。
(6)清洁安全网关前,请先将安全网关电源插头拔出。不要用湿润的布料擦拭安全网关,不能用液体清洗安全网关。
2.检查安装场所
SecGate 3600安全网关必须在室内使用,无论您将安全网关安装在机柜内还是直接放在工作台上,都需要保证以下条件:
(1)确认安全网关的入风口及通风口处留有空间,以利于安全网关机箱的散热。
(2)确认机柜和工作台自身有良好的通风散热系统。
(3)确认机柜和工作台足够牢固,能够支撑安全网关及其安装附件的重量。
(4)确认机柜和工作台的良好接地。
为保证安全网关正常工作和延长使用寿命,安装场所还应该满足下列要求。
2.1 温度/湿度要求
为保证SecGate 3600安全网关正常工作和延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,有时也易发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,同时在干燥的气候环境下,易产生静电,危害安全网关的电路。温度过高则危害更大,长期高温将加速绝缘材料的老化过程,使安全网关的可靠性大大降低,严
重影响其寿命。
2.2 洁净度要求
灰尘对安全网关的运行安全是一大危害。室内灰尘落在机体上,可以造成静电吸附,使金属接插件或金属接点接触不良。尤其是在室内相对湿度偏低的情况下,更易造成静电吸附,不但会影响设备寿命,而且容易造成通信故障。除灰尘外,机房内应防止有害气体(如SO2、H2S、NH3、Cl2 等)的侵入。这些有害气体会加速金属的腐蚀和某些部件的老化过程。同时安全网关机房对空气中所含的盐、酸、硫化物也有严格的要求。
2.3 抗干扰要求
安全网关在使用中可能受到来自系统外部的干扰,这些干扰通过电容/电感耦合,电磁波辐射,公共阻抗(包括接地系统)耦合和导线(电源线、信号线和输出线等)的传导方式对设备产生影响。为此应注意以下条件:
(1)交流供电系统为TN系统,交流电源插座应采用有保护地线(PE)的单相三线电源插座,使设备上滤波电路能有效的滤除电网干扰。
(2)安全网关工作地点远离强功率无线电发射台、雷达发射台、高频大电流设备。
(3)电缆要求在室内走线,禁止户外走线,以防止因雷电产生的过电压、过电流将设备信号口损坏。
3.安装
SecGate 3600安全网关可以放置在桌面上,也可以放在标准的19英寸机架上。安
放在桌面上不需要特别的操作,安放在机架上时需要自备螺丝刀,螺钉在包装箱中。4.加电启动
安全网关启动步骤如下:
(1)请将安全网关安装在机架上或放在一个水平面上。
(2)确认安全网关电源是关闭的。
(3)连接电源线。
(4)安全网关可以通过网口用网线连接管理主机,也可通过串口线连接管理主机进而用超级终端管理安全网关。
(5)接通电源,按下安全网关上的电源开关,置于ON状态,安全网关加电启动。
(6)听到“嘀嘀嘀”三声,且橙色的状态灯为熄灭状态,表示启动成功。
安全网关启动成功以后,请通过CONSOLE口命令行或者WEB浏览器方式管理安全网关,具体方法请参考以下相关章节。
如果安全网关未正常启动,请按以上步骤进行检查,如仍无法解决问题,请您联系供应商相关技术支持人员。
四、通过CONSOLE口的命令行方式进行管理
基本步骤:连接串口线—> 配置超级终端—> 开始配置管理
1.选用管理主机
要求该主机具备:
(1)空闲的RS232串口;
(2)有超级终端软件。比如Windows系统中的“超级终端”连接程序。
2.连接安全网关
利用随机附带的串口线连接管理主机的串口和安全网关串口CONSOLE,启动超级终端工具,以Windows自带“超级终端”为例:点击“开始--> 所有程序--> 附件--> 通讯--> 超级终端”,选择用于连接的串口设备,定制通讯参数:
(1)每秒位数:9600;
(2)数据位:8;
(3)奇偶校验:无;
(4)停止位:1;
(5)数据流控制:无;
提示:对于Windows自带“超级终端”,选择“还原默认值”即可。
3.登录CLI界面
连接成功以后,提示输入管理员帐号和口令时,输入出厂默认帐号“admin”和口令“admin@123”即可进入登录界面,注意所有的字母都是小写的。
五、通过WEB界面进行管理
基本过程:配置管理主机—> 安装USB电子钥匙驱动—>认证管理员身份—>开始配置管理
1.选用管理主机
要求具有以太网卡、USB接口和光驱,管理主机IE必须是5.5及以上版本、文字大小建议为中等,屏幕显示建议设置为1024×768。
2.安装认证驱动程序
在第一次使用电子钥匙前,需要先安装电子钥匙的认证驱动程序。插入随机附带的驱动光盘,进入光盘Ikey Driver目录,双击运行INSTDRV程序,选择“开始安装”,随后出现安装成功的提示,选择“退出”。
切记:安装驱动前不要插入USB电子钥匙,否则驱动安装完毕后需要重新拔插电子钥匙!
3.安装USB电子钥匙
在管理主机上插入USB电子钥匙,系统提示找到新硬件,稍后提示完全消失,说明电子钥匙已经可以使用了。如果您在安装驱动前插了一次电子钥匙,此时系统会弹出“欢迎使用找到新硬件向导”对话框。直接选择“下一步”并耐心等待,约半分钟后系统将提示驱动程序没有经过Windows兼容性测试,选择“仍然继续”即可,如长时间(如约3
分钟)无反映,请拔下USB电子钥匙,重启系统后再试一次,如仍无法解决,请您联系技术支持人员。
4.连接管理主机与安全网关
利用随机附带的网线直接连接管理主机网口和安全网关ge1网口,把管理主机IP 设置为10.50.10.44,掩码为255.255.255.0。在管理主机运行ping 10.50.10.45验证是否真正连通,如不能连通,请检查管理主机的IP(10.50.10.44)是否设置在与安全网关相连的网络接口上。
强烈建议该网口不要绑定其他IP,并且使用交叉线直接连接安全网关。
5.认证管理员身份
第一、插入电子钥匙。
第二、运行\\Admin Auth\目录中的ikeyc程序,提示输入用户pin,默认为12345678。此时电子钥匙中存储的默认安全网关IP地址为10.50.10.45,认证端口为9999。如果认证成功,将弹出对话框提示“通过认证”。说明管理员已经通过了身份认证,可以对安全网关进行配置管理了。如果出现其他错误,请检查网络连接、pin码是否输入错误等。
6.登录安全网关WEB界面
运行IE浏览器,在地址栏输入https://10.50.10.45:8888,等待约20秒钟会弹出一个对话框提示选择证书,选择SecGateAdmin证书,选择确定按钮。
然后会弹出一个对话框提示确认证书
选择确认即可。
系统提示输入管理员帐号和口令。缺省情况下,管理员帐号是admin,密码是:admin@123。
7.许可证导入
登录安全网关界面后,请先选择左侧页面系统配置>>升级许可界面,会出现下面的页面信息。
点击“浏览”按钮,选择待导入本安全网关的License文件,点击导入许可证即可完成导入操作,导入成功后,可在左侧导航列表查看许可证对应的功能项目列表。8.WEB界面配置向导
配置向导也是仅适用于管理员第一次配置安全网关或者测试安全网关的基本通信功能,此向导涉及最基本的配置,安全性很低,因此,专业管理员建议直接参考《网神SecGate 3600安全网关WEB界面手册》进行自己网络的配置,才能保证安全网关拥有正常有效的网络安全功能。
WEB界面的初始配置向导的使用步骤如下:
首次使用WEB界面进行配置,需将管理主机的IP地址设为10.50.10.44,在IE地址栏中输入:https://10.50.10.45:8889。登录安全网关以后,点击
初始向导,开始安全网关的配置。
(1)修改超级管理员admin的密码,超级管理员的密码默认是:admin@123:
(2)选择安全网关ge1和ge2接口的工作模式,安全网关的接口默认都是工作在路由模式:
(3)配置安全网关的接口IP地址,建议至少配置一个接口的IP能用于管理,否则,完成初始配置后无法用WEB界面管理安全网关:
(4)配置默认网关,如果希望安全网关能上互联网,则必须配置默认网关,否则,可以直接跳过本界面,配置下一个界面。
(5)配置管理主机,管理主机必须与安全网关IP在同一网段,如果想通过安全网关IP:192.168.10.123来管理安全网关,则可以设置管理主机IP:192.168.10.100:
用Linux的iptables做代理服务器和防火墙配置详细介绍
用Linux的iptables做代理服务器和防火墙配置详细介绍 用Linux的iptables做代理服务器和防火墙配置详细介绍 代理/防火墙 1.iptables规则表 Filter(针对过滤系统):INPUT、FORWARD、OUTPUT NAT(针对地址转换系统):PREROUTING、POSTROUTING、INPUT、OUTPUT Mangle(针对策略路由和特殊应用):OUTPUT、POSTROUTING 2.安装包 iptables-1.2.7a-2 3.配置防火墙 1)命令语法 Usge: iptables [-t table] -[ADC] chain rule-specification [options] iptables [-t table] -I chain [rulenum] rule-specification [options] iptables [-t table] -R chain rulenum rule-specification [options] iptables [-t table] -D chain rulenum [options] iptables [-t table] -[LFZ] [chain] [options] iptables [-t table] -N chain iptables [-t table] -X [chain] iptables [-t table] -P chain target [options] iptables [-t table] -E old-chain-name new-chain-name 规则操作参数说明: -A:在所选择的链末添加一条或更多规则; -D:从所选链中删除一条或更多规则。有两种方法:把被删除规则指定为链中的序号(第一条序号为1),或者指定为要匹配的规则; -R:从选中的链中取代一条规则。如果源地址或目的地址转换为多地址,该命令会失败。规则序号从1开始; -I:根据给出的规则序号,向所选链中插入一条或更多规则。所以,如果规则序号为1,规则会插入链的头部。这也是不指定规则序号时的默认方式; -L:现实所选链的所有规则。如果没有所选链,将显示所有链。也可以和z选项一起用,这是链会自动列出和归零; -F:清空所选链。这等于把所有规则一个个删除; -Z:把所有链的包以及字节的计数器清空; -N:根据给出的名称建立一个新的用户定义链。这必须保证没有同名的链存在; -X:删除指定的用户自定义链。这个链必须没有被引用,如果被引用,在删除之前必须删除或者替换与之有关的规则。如果没有给出参数,这条命令将试着删除每个非内建的链; -P:设置链的目标规则; -E:根据用户给出的名字对指定链进行重名名; 规则定义参数说明: -p [!]protocol: 规则或者包检查(待查包)的协议。指定协议可以是TCP、UDP、ICMP中的一个或者全部,也可以是数值,代表这些协议中的某一个。当然也可以使用在/etc/protocols中定义的协议名。在协议名前加上"!"表示相反的规则。数字0相
远程登录监控设置
FC-6804/08HV 免域名DVR远程设置指导 一、首先进入录像机的:主菜单-》系统设置-》网络设置,把IP地址,子网掩码,默认网关,首选DNS,TCP端口,HTTP端口,根据网络要求进行设置。 IP地址:给录像机分配的一个独立的内网IP地址,用户可根据情况来分配; 子网掩码:255.255.255.0 大部分都是这个,一般不用改 网关:是指路由器的IP地址,TPLINK的是192.168.1.1,DLINK的是192.168.0.1 首选DNS:这个是当地的DNS服务器的地址,在路由器上可以查到 TCP端口:录像机的通信端口,默认是34567 HTTP端口:是指网页端口,这里建议改成81,因为80中国已经封了
二、.在系统设置--》网络服务---》UPNP 中把录像机的UPNP功能打开,
三、在系统设置--》网络服务---》ARSP中,按下面的要求,把服务器地址,用户名,密码,输入到录像机中,此处的用户名和密码,由供应商负责分配给用户,如没有可联系供应商。 服务器地址:https://www.360docs.net/doc/5d17020355.html, 这个是固定的域名,必须使用这个 端口:15000 这是系统默认,不要修改 用户名:这是供应商分配的用户名 密码:供应商分配的密码
四、再进入路由器中(以TPLINK路由器为例)-->转发规则--》UPNP设置中,把UPNP功能启用,这样设置就完成了。
五、在IE的地址栏里,输入:https://www.360docs.net/doc/5d17020355.html,:8080,即可出现登录的界面,在此处,输入我们提供的用户名和密码,就可以看到你的DVR!第一次使用的话,必须把下角的:下载WEB控件,下载下来,然后进行安装,否则是不能用的
网神SecSSL 3600安全接入网关技术白皮书[V6.4.1]
●版权声明 Copyright ? 2006-2011 网御神州科技(北京)有限公司(“网御神州”)版权所有,侵权必究。 未经网御神州书面同意,任何人、任何组织不得以任何方式擅自拷贝、发行、传播或引用本文档的任何内容。 ●文档信息 ●版本变更记录
目录 1产品概述 (5) 2产品功能说明 (7) 2.1SSL 应用发布 (7) 2.1.1B/S软件的应用 (7) 2.1.2企业站点的应用 (7) 2.1.3单点登录功能(SSO) (8) 2.1.4C/S应用发布 (8) 2.1.5TCP端口应用 (10) 2.1.6SSL 隧道模式 (10) 2.2LAN TO LAN 的解决方案 (11) 2.3远程用户安全性检查 (11) 2.4远程用户访问认证 (12) 2.5用户访问策略 (12) 2.6日志审计功能 (12) 2.7防火墙功能 (13) 2.8支持动态IP接入 (13) 2.9完美的个性化定制 (14) 3产品技术优势 (14) 3.1将C/S应用转成B/S访问 (14)
3.2Web应用功能 (15) 3.3访问的安全性 (15) 3.4稳定性及高可用性 (17) 3.5低带宽运行特性 (17) 3.6部署灵活,维护简单 (18) 4典型应用 (18)
1产品概述 网御神州作为国家密码管理局批准的商用密码产品生产定点单位和销售许可单位,推出了自主研发的网神SecSSL 3600 安全接入网关(简称:“网神SSL VPN”)产品。该系列VPN安全网关采用国家密码管理局指定的加密算法,,基于成熟可靠的专用硬件平台,在保证数据通信安全的同时提供了高性能的访问控制能力,可以有效实现数据传输的安全、用户接入的安全和对内网资源的访问安全。该级别VPN产品已广泛应用于各类小型企业、大型企业/单位分支机构。 网神SSL VPN产品是以国际标准SSL协议为基础的、自主研发的、专为企业定制的、基于应用层设计的远程接入产品,网神SSL VPN为企业远程接入提供了最好的解决方案,它使传统的VPN 解决方案得到了升华,能让用户无论在世界的任何地方,只要使用浏览器就能够访问到公司总部的资源,如WINDOWS、LIUIX、UNIX等系统的商业文件和应用程序,而不需要安装任何客户端软件,网神SSL VPN可以集中管理企业内部的应用布置,配置细粒度的访问策略,可以更安全地实现权限控制,可以让不同级别的用户使用不同的应用。 网神SSL VPN 的C/S转B/S功能,让用户能够远程安全使用企业的ERP系统,而无需安全客户端软件,Web代理技术可以让用户访问企业内部的OA,网站或邮件系统,SSO 功能让用户能够安全而方便地使用企业内部资源,从而实现了统一应用,统一管理,网御神州加密的SSL协议可以保护通过因特网的信息、交易、和电子商务的安全,SSL 防止直接的网络连接,与IPSec VPN不同,
配置防火墙透明代理
配置防火墙透明代理 应用场景 代理服务器是介于浏览器和Web服务器之间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且,大部分代理服务器都具有缓冲的功能,就好象一个大的Cache,它有很大的存储空间,它不断将新取得数据储存到它本机的存储器上,如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的,那么它就不重新从Web服务器取数据,而直接将存储器上的数据传送给用户的浏览器,这样就能显著提高浏览速度和效率(速度会随着代理服务器地理位置的不同以及网络传输情况而改变),而且国外的网络大部分都是没有限制访问网站或者所限制的不同,所以我们有很大的机会通过代理服务器去访问那些原本不能够去的网站 对于服务提供商来说: ● 大部分代理服务器都具有缓冲的功能。它有一个很大的Cache(一个很大的硬盘缓冲区),不断地将新取得的数据保存在Cache中。如果浏览器所请求的数据在其缓冲区中已经存在而且是最新的,那么它就不会重新到Web服务器取数据,而直接将缓冲区中的数据传送给浏览器,从而显著地提高浏览速度; ● 代理服务器能够提供安全功能。它连接Internet与Intranet,有防火墙功能。由于内部网与外部网之间没有其它的直接连接,所有的通信都必须通过代理服务器,因此外界不能直接访问到内部网,使得内部网的安全性得到提高。同时也可以设置IP地址过滤,来限制内部网对外部的访问权限。 ● 可以节省IP开销。由于所有用户对外只占用一个有效的IP,所以不必租用过多的有效IP地址,降低网络的维护成本。由于目的服务器只能查出所使用的代理服务器的IP,所以对防止网络黑客还有一个不言而喻的好处,那就是通过这种方法隐藏自己的真实IP地址。 对于个人来说: 代理服务器的最大的好处是可以通过代理来访问本身不能访问到的地方。例如169的GUEST用户。他们使用公用的账号上网,只能访问当地信息港。有了代理服务器,就可以任意出国!电子信箱、主页空间、ICQ、FTP、各种信息资源……统统敞开着。不过,如果你有自己的账户则不再需要代理服务器了,你可以自由出国。当然,如果你想隐藏自己的真实IP 地址,也可使用代理服务器。 代理服务器怎样工作方式: 实现代理服务器有三种方式:一是在应用层实现,相当于应用网关,如web代理服务器和Socks代理服务器;二是在IP层或更低层实现,通过对数据包的转发来完成代理功能;三是通过更改系统调用的方式实现,如微软的Winsock代理服务器,在自己的计算机上安装代理程序,程序将自动地修改系统调用。由于Web代理服务器是目前使用得最普遍的代理服务器,因此下面主要针对Web代理服务器来说明代理服务器的实现原理。 Web 代理服务器一般由过滤器和应用程序两部分组成。过滤器判断收到的HTTP请求是代理格式还是标准格式,如果是标准格式,则交由本地WWW服务器处理;如果是代理格式,则交由代理应用程序处理。代理应用程序首先在代理缓存区内查找,如果数据存在且有效,则从缓存区中取出数据;如果不存在,则连接至远程目标服务器,并获得数据。不论代理服务器从缓存区中还是从Internet远程服务器中获取数据,它都按照HTTP协议使用80号端口将信息返回给请求者。 因此本实验将介绍如何使用squid软件配合linux中的iptables防火墙来进行透明代理设置。
网关访问监控配置方法
网关访问监控配置方法 QQ: 602438628 6/29/2011 原理 1.通过iptables的LOG功能打印日志 2.通过syslog记录iptables日志 3.通过logrotate以及contab进行日志回滚以及日志处理 方案所需文件请看附件。 部署步骤: 1)请更新sysklogd至最新版本。 # yum install sysklogd 2)把附件的脚本存放于下面位置 /usr/local/bin/gen_forward_report.sh /usr/local/bin/ip_log_fm.py /usr/local/bin/rotate_gateway_forward_log /etc/logrotate.d/kern.debug 确认文件权限正确 # chmod 755 /usr/local/bin/gen_forward_report.sh # chmod 755 /usr/local/bin/ip_log_fm.py # chmod 755 /usr/local/bin/rotate_gateway_forward_log # chmod 644 /etc/logrotate.d/kern.debug 3)编辑/etc/syslog.conf 追加内容如下 # use for forward audit kern.debug /var/log/kern.debug 初始化kern.debug文件 # touch /var/log/kern.debug
4)编辑计划任务 # crontab -e 追加内容如下 58 * * * * /usr/local/bin/gen_forward_report.sh 2 0 * * * /usr/local/bin/rotate_gateway_forward_log 5)重启syslog使配置生效 # service syslog restart 6)插入iptables规则并保存 # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG # service iptables save 配置完毕,请观察/var/log/ 下文件,查看配置是否生效。 关键点: 1)确保syslog 及iptable为启动状态,可以通过以下命令分别启动syslog及iptable. service syslog start service iptables start 启动该项服务。 2) iptables中的规则,确保有以下2条, # iptables -I FORWARD -p tcp -m state --state NEW -j LOG --log-level DEBUG # iptables -I FORWARD -p udp -m state --state NEW -j LOG --log-level DEBUG 可以通过命令iptables –L –n查看 3)logrotate 功能解析:logrotate服务器默认每天04:00-04:03期间对日志进行回滚处理,此监控系统中/etc/logrotate.d/kern.debug 如下配置: /var/log/kern.debug { size 600M daily rotate 1 } 设置后的结果: 系统将在每天04:00-04:03检查/var/log/kern.debug是否大于等于600M,如大于600M则压缩备份为kern.debug.1,同时新建kern.debug,由于rotate1即只保留一个备份,所以当第二次生成压缩备份时,将覆盖之前的kern.debug.1。
网神SecGate3600防火墙用户手册簿
声明 服务修订: ●本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任: ●本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或 默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 ●本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿 责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息: ●任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司 书面的有效授权。 网神信息技术(北京)股份有限公司
目录 导言、概述 (13) 第一章、基于web管理界面 (14) 1.web管理界面页面 (15) 2.Web管理界面主菜单 (17) 3.使用web管理界面列表 (18) 4.在web管理界面列表中增加过滤器 (19) 4.1 包含数字栏的滤波器 (21) 4.2 包含文本串的滤波器 (21) 5.在web管理界面列表中使用页面控制 (22) 5.1 使用栏设置来控制显示栏 (24) 5.2 使用带有栏设置的过滤器 (25) 6.常用web管理界面任务 (25) 6.1 连接到web管理界面 (26) 6.2 连接到web管理界面 (27) 7.修改当前设定 (28) 7.1 修改您SecGate管理员密码 (29) 7.2 改变web管理界面语言 (29) 7.3 改变您SecGate设备管理路径 (30)
7.4 改变web管理界面空闲运行时间 (31) 7.5 切换VDOMs (31) 8.联系客户支持 (31) 9.退出 (32) 第二章、系统管理 (32) 1. 系统仪表板 (32) 1.1 仪表板概述 (34) 1.2 添加仪表板 (34) 1.3 系统信息 (37) 1.4 设备操作 (45) 1.5 系统资源 (47) 1.6 最多的会话 (49) 1.7 固件管理条例 (53) 1.8 备份您的配置 (54) 1.9 在升级前测试固件 (57) 1.10 升级您的SecGate设备 (61) 1.11 恢复到以前的固件镜像 (65) 1.12 存储您的配置 (71) 使用虚拟域 (74)
防火墙的含义和结构介绍
防火墙的含义和结构介绍 随着计算机网络技术的突飞猛进,网络安全的问题已经日益突出地摆在各类用户的面前。目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。尽管黑客如此猖獗,但网络安全问题至今仍没有能够引起足够的重视,更多的用户认为网络安全问题离自己尚远,所有的问题都在向大家证明一个事实,大多数的黑客入侵事件都是由于未能正确安装防火墙而引发的。如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个Email邮件炸烂,或者用户的个人主页被人恶意连接向了Playboy,而报告链接上却指定了另一家色情网站……一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。 一、什么是防火墙 这里的防火墙不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,是这一类防范措施的总称。应该说,在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,从而完成看似不可能的任务;仅让安全、核准了的信息进入,同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍,对网络的入侵不仅来自高超的攻击手段,也有可能来自配置上的低级错误或不合适的口令选择。因此,防火墙的作用是防止不希望的、未授权的通信进出被保护的网络,迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的:一是可以限制他人进入内部网络,过滤掉不安全服务和非法用户;二是防止入侵者接近你的防御设施;三是限定用户访问特殊站点;四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务,因此更适合于相对独立的网络。 二、防火墙的工作方式 防火墙可以使用户的网络划规划更加清晰明了,全面防止跨越权限的数据访问。一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。代理服务器是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,
海康威视录像机远程监控设置方法
海康威视自带域域名录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用 的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支 持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.360docs.net/doc/5d17020355.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
目前常用代理服务器的比较与分析
它提供超高速缓存,保存网络带宽,改善客户机的响应时问,减少网络的拥挤,并且在不加重最终用户和网络管理员负担的情况下改善对网络资源的控制。 1 Microsoft Proxy Server Microsoft Proxy Server是把对Intemet的访问带入一个组织内部每一个桌面上去的一种容易而又安全的方法,它包括Web Proxy服务器,Winsock Proxy服务器和Socks Proxy服务器。Web Proxy为Cache类代理软件,Winsock Proxy通过Winsock协议代理使LAN内的计算机好像直接连接在上一级网络上一样,实际上是通过代理服务器发送请求,但客户端要安装Microsoft Winsock Proxy Client软件。Microsoft ProxyServer 2.0是Microsoft Bank Ofice客件之一,运行在Windows NT 或Windows 2000环境下。在Windows NT Server4.0上安装时,必须安装3.0或更高版本的IIS(Internet InformationServer)及Windows Service Pack 3或更高版本的补丁。 它容易与安全地安装,充分利用内建在Windows NTServer里的安全性,并允许网络操作员对进入或来自Intemet的访问作有效地控制。它支持全部的Internet协议包括HTTP、FTP、Gopher、RealAudio、VDOfive、IRC、邮件和新闻协议,支持IPX/SPX 和TCP/IP协议来容易访问Intemet服务器以及内部网上的应用软件。它提供超高速缓存,保存网络带宽,改善客户机的响应时问,减少网络的拥挤,并且在不加重最终用户和网络管理员负担的情况下改善对网络资源的控制。管理员可以根据用户、服务、端口或IP域来允许或拒绝入站或出站的连接,可以阻止对一些指定站点的访问,但不能采用直接导入方法来设定允许访问站点地址。它与NT网络系统管理服务集成,ProxyServer生成一套Windows NT Performance Counters来监视网络上任何一台代理服务器的状态,与Windows NT ServerDirectory Services集成来用户等级的验证。井提供防火墙等Intemet安全认证特性。 2 Wingate Wingate是Qbic公司的产品,软件分为服务器和客户两部分。服务器可运行于Win 98或Win NT平台,提供用户认证,各种网络应用层协议代理,Intemet访问控制,包过滤等服务;客户部分为一个用户登录程序Gatekeeper,用户使用它在代理服务器上进行登录,代理服务器将用户的IP地址与相应用户账号绑在一起。如果这一用户是管理员,还可以使用Gatekeeper进行远程管理。Wingate支持双网络接口,一个接口通过网络适配器卡连接内部局域网络,另一个网络接口连接Intemet,两块网卡问的IP转发要禁用,使内部网络与外部网络完全隔开,形成双宿网关防火墙。Wingate也支持单网卡,在许多校园网中,只允许部分计算机具有Intemet访问权,利用这些计算机作为代理服务器,为其他的计算机提供服务,只是它不具备防火墙的功能。Wingate除了提供FTP Proxy、Telnet Proxy、POP3 Proxy、RealAudio Proxy、Socks Pmxy代理服务之外,还提供了DNS、DHCP、拨号管理等丰富功能。 3 SyGate
海康威视录像机远程监控设置方法
海康威视录像机远程监控设置方法 DS-7800SH 系列海康DDNS 配置和设备访问 适用型号:DS-7800SH 系列 网络环境:通过路由器拨号模式 1 设备配置 第一步:DVR 的相关设置,确认以下几点是否全部填写
第二步:端口映射(以下提供两种配置方法,两种选择一种就可以了) 1、UPnP自动端口映射 说明: 该设置有一个要求,需要路由器支持UPnP这个功能,所以请先确认自己使用的路由器是否支持该功能,如果支持UPnP的,可以参考以下设置,如果不支持UPnP的请严格按照第2点中的端口映射来操作。 操作步骤如下: 登陆路由器配置界面,开启UPnP功能
进入设备本地配置界面,启用UPnP 刷新端口,看状态显示为“生效”即可。 2、路由器端口映射 登陆路由器的配置界面,找到虚拟服务器(或者是端口映射),映射端口(设备默认80、8000、554三个端口,可在设备上修改,三个端口必须同时映射,缺一不可)
如果在同一台路由器上有多台监控设备,请使用端口号来区分,不能重复使用端口。 第三步:配置自定义域名 1、快捷配置 点击鼠标右键,选择快捷配置->快捷上网配置
勾选启用DDNS,设置设备域名(自定义,只支持小写字母、数字以及“—”且必须以小写字母开头,必填),手机号码(后续增值服务使用,必填)。当设备状态显示在线时可以使用自动生成的访问地址来访问设备。
注意:配置海康DDNS前,需保证设备正常接入公网。 注意: 1.如果设备通过路由器接入公网,需要开启路由器的UPnP功能并配置设备的UPnP参数或者在路由器上做端口映射。 2.如果配置失败,可能原因是网络不通或者域名冲突,请先检查网络,若网络正常则尝试修改其他域名。 2 设备访问 打开IE浏览器,在地址栏直接输入https://www.360docs.net/doc/5d17020355.html,/自定义域名,例如配置了设备域名为test12345,则直接输入
网神配置指南
网神设置指南 1. 资料准备 需从备件中找齐网神资料,主要有:《第一次使用注意须知》、《装箱单》、光盘和USBKey。其中,《第一次使用注意须知》有《网神信息安全产品Licence信息申请表》,须参考《装箱单》中商品编号和出厂编号填入申请表内,发送到指定邮箱以获取许可号。 2. 网神设置 2.1. 主机设置 将本机IP设置为10.50.10.44,子网掩码为255.255.255.0。将光盘中的Admin Cert文件夹打开,安装,双击SecGateAdmin程序安装许可证,安装过程中需要输入密码,默认密码为123456。安装结束后将网线连接网神网口FEGE1,通过浏览器连接(注意,IE和goole chrome浏览器都可能会阻止连接,可使用360浏览器)。在IE地址栏中敲入:https://10.50.10.45:8889 进行登入,默认密码为:firewall。即可进入网神设置画面。 2.2. 防火墙设置 2.2.1. 导入许可证 初次进入防火墙设置界面需要将网神公司发来的许可License导入,才可以对其设置。具体方法为:点击系统配置升级许可导入许可证,点击“浏览”,将网神发来的许可证导入即可。如下图:
2.2.2. 网络接口 对需要设置透明桥的网口设置成混合模式,具体方法如下:点击网络配置网络接口点击右边“操作”将“工作模式”选择为“混合”点击“保存配置”。 2.2. 3. 透明桥设置 须将一、二区连接的网口设置成透明桥,如需将网口2和网口3设置成透明桥,设置如下:点击“网络设置”透明桥点击“添加”将需要连接的网口添加到右边点击确定点击“启动透明桥监控”点击确定点击“保存配置”。
网神SecGate 3600防火墙快速指南
声明 服务修订: 本公司保留不预先通知客户而修改本文档所含内容的权利。 有限责任: 本公司仅就产品信息预先说明的范围承担责任,除此以外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。 本公司对于您的使用或不能使用本产品而发生的任何损害不负任何赔偿责任,包括(但不限于)直接的、间接的、附加的个人损害或商业损失或任何其它损失。 版权信息: 任何组织和个人对本公司产品的拥有、使用以及复制都必须经过本公司书面的有效授权。 网神信息技术(北京)股份有限公司1网神信息技术(北京)股份有限公司 1
目录 一、概述 (1) 二、防火墙硬件描述 (2) 三、防火墙安装 (2) 1.安全使用注意事项 (2) 2.检查安装场所 (3) 温度/湿度要求 (3) 洁净度要求 (4) 抗干扰要求 (4) 3.安装 (5) 4.加电启动 (5) 四、通过CONSOLE口的命令行方式进行管理 (6) 1.选用管理主机 (6) 2.连接防火墙 (6) 3.登录CLI界面 (7) 五、通过WEB界面进行管理 (9) 1.选用管理主机 (9) 2.安装认证驱动程序 (9) 3.安装USB电子钥匙 (9) 4.连接管理主机与防火墙 (10) 5.认证管理员身份 (10) 6.登录防火墙WEB界面 (10) 7.许可证导入 (12) 2网神信息技术(北京)股份有限公司 2
8.WEB界面配置向导 (14) 六、常见问题解答FAQ(需根据测试提供的FAQ整理) (21) 3网神信息技术(北京)股份有限公司 3
防火墙工作原理和种类
近年来,随着普通计算机用户群的日益增长,“防火墙”一词已经不再是服务器领域的专署,大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是,并不是所有用户都对“防火墙”有所了解的,一部分用户甚至认为,“防火墙”是一种软件的名称…… 到底什么才是防火墙?它工作在什么位置,起着什么作用?查阅历史书籍可知,古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物就被称为“防火墙”(Fire Wall)。时光飞梭,随着计算机和网络的发展,各种攻击入侵手段也相继出现了,为了保护计算机的安全,人们开发出一种能阻止计算机之间直接通信的技术,并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说,防火墙是一种位于两个或多个网络间,实施网络之间访问控制的组件集合。对于普通用户来说,所谓“防火墙”,指的就是一种被放置在自己的计算机与外界网络之间的防御系统,从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,实现了对计算机的保护功能。 防火墙技术从诞生开始,就在一刻不停的发展着,各种不同结构不同功能的防火墙,构筑成网络上的一道道防御大堤。 一.防火墙的分类 世界上没有一种事物是唯一的,防火墙也一样,为了更有效率的对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在
负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。 在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实的交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS 直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管 NDIS 接收到仍然的是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与 NDIS 之间,用于检查过滤由 NDIS 发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免的需要占用一部分CPU 资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的
新手入门无线网关设备及其调试
广义上的“网关”指一个网络连接到另一个网络的“接口”,比如一个企业的内部网与外部互联网相连结,就需要一个网关加以管理和控制.它是一种复杂的网络连接设备,可以支持不同协议之间的转换,实现不同协议网络之间的互连. 而所谓的无线网关,是指集成有简单路由功能的无线AP.从某种意义上来说,无线网关方案与宽带路由器方案完全相同;即是说无线网关通过不同设置可完成无线网桥和无线路由器的功能,也可以直接连接外部网络,如WAN,同时实现AP功能. 一、产品选择 目前市面上无线网关产品,种类还是很多的.总的说来,市场中的产品都具有小巧、便携、多功能、实用等特点.而且有些产品在产品设计上也充分考虑了用户的需要. 有的产品背后设有挂孔,可以很方便地挂在墙上.作为接收端设备操作,可以将XBOX、PS2、机顶盒、笔记本电脑和网络打印机等设备连接到已有的无线网络上.有些产品有接口连接打印机,可以变成打印机无线服务器.还有些产品支持摄像头,可以成为无线监控设备.具体采购的时候,就要根据自己的需求来选择. 下面通过一款具体的产品来详细认识无线网关. SMC 无线网关SMCWTVG 产品名称:SMC 无线网关SMCWTVG 产品简介:拥有无线AP、VoIP功能,支持无线AP、无线客户端或者无线桥接三种模式,内置一个WAN端口、一个LAN端口、两个RJ-11的电话界面接孔,并且支持802.11b/g无线网络连接功能.在无线网络方面的收讯能力方面,因为SMCWTVG没有外接天线,采用的是隐藏式无线天线,所以收讯范围并不广. 提示:VoIP,Voice over Internet Protocol,俗称IP电话,或者网络IP电话,是利用互联网实现语音通信的一种先进通信手段,是基于IP网络的语音传输技术. 二、产品配置 通过前面的介绍,其实大家应该明白,无线网关本身就是一台IP共享器,内置PPPoE自动拨号,及DHCP功能,可提供无线及有线连接功能;因此其配置与无线路由器并无太大区别,
海康硬盘录像机远程监控方法(外网)以及路由器设置
联系编辑删除 海康硬盘录像机远程监控方法(外网)以及路由器设置 外网访问的几种方法: 1.公网静态IP接入 如果您可以联系电信或者网通运营商提供静态的公网IP那么只需要将相关的网络IP,掩码,网关参数填写进然后重新启动设备,就可以通过客户端软件或者IE输入IP来实现对于设备的远程访问了. 2.pppoe 接入 DVS支持PPPOE自动拨号的功能可以连接Modem进行ADSL拨号获取公网IP地址进行访问,方法是:一:将设备ip 、掩码、网关均设置为0.0.0.0 二:开启PPPOE 输入ADSL拨号的用户名密码然后重起机器。 三:设备重起后等待一段时间那么会在IP地址处显示拨号获得的IP地址,然后通过拨号的公网IP地址进
但是通过这种方式获得的ip 地址是动态的,那么会给用户访问时造成困扰,IP总是会改变。 一种解决的方法是,在一台具有公网静态IP地址的电脑上运行我们公司提供的IPSERVER软件,将电脑IP地址填DNS地址处,这时就可以在IPSERVER软件中发现这台DVR的IP地址,产品序列号等,通过客户端软件进行访问,册模式选择为“私有域名解析”
通过这种域名解析的方式,来访问设备;然而用户使用比较多的方式还是第三种方式,请看3。 3.路由器方式接入。 DVS/DVR连接路由器,设置DVS ip地址、掩码、网关(设置为路由器内网IP )与硬盘录像机在一个网段,路号或者
别的方式获得公网IP在路由器中做端口映射,路由器如果是动态IP可以通过路由器的DDNS功能来绑定域名,通件或者 IE直接输入域名的方式来访问。
以上方式均为设备接入外网的方式,至于访问方式可以通过两种方式来进行访问: 一:通过IE 输入设备的IP地址或者域名(不管是局域网还是内网),只要知道设备IP地址或域名,并且通过查看网络连接正常,那么都可以在IE 地址处输入设备IP地址域名访问,只是第一次通过IE访问时需要从DVR/个控件,请减低您IE的安全级别,控件顺利安装后,就可以进入登陆界面输入DVR/DRS用户名密码(出厂为a 访问了。 二:通过客户端访问,请先在配置的中间的白色区域上点击右键创建一个区域,再单击区域名称,选择添加设备
网神防火墙配置HA双机热备
VRRP的演示试验 fw1 fw2 pc1pc2 172.16.30.2 172.16.30.3 172.16.30.4 fe2 fe2 fe3 fe3 fe4 fe4 192.168.1.3 192.168.1.4 192.168.1.2 1.1.1.1 1.1.1.2 172.16.30.1192.168.1.1 链路1 链路2 拓扑说明:PC1通过HUB连接到fw1和fw2(172.16.30.1这个地址是虚拟IP,下面将会在配置防火墙的过程中讲到),PC2也是通过HUB连接到fw1和fw2。 实验要求:PC1和PC2能够互相ping通,当链路1或者链路2断开时,照样可以互相PING,并且可以在两个防火墙上抓包分析,ICMP包是通过哪个防火墙。 实验步骤: 我们设fw1为主墙,下面我们首先为主墙进行配置。 1、配置IP
2、配置安全规则 P1这条规则允许双向同步secgate_ha_conf服务,必须加的。其中P2这条规则是允许VRRP组播报告,可加可不加,不会影响实验过程。 P3、P4两个包过滤想必不说也应该清楚吧。 3、HA基本配置 同步网口为fe4,同步IP为1.1.1.1,主墙一定要设置为控制节点。
注意实例名称和VRID和备墙一一对应起来。
把两个接口关联起来点启启动。 下面我们再来配置下备墙。 1、配置IP 2、HA基本配置 需要手动同步的话可以在从安全网关那输入网关地址1.1.1.1,然后点击同步所有配置,这样就能实现手动同步。 注:同步完后需重启备墙才能生效,备墙不能选择为控制节点。 3、添加VRRP实例
4、添加VRRP关联 添加完后点击启动
硬盘录像机网络设置详细步骤
D9004/D9008/D9216硬盘录像机网络设置详细步骤 硬盘录像机网络设置 一.点击电脑左下方的→→→输入:ipconfig /all (这一步主要是通过电脑获取网络参数,为接下来硬盘录像机网络设置提供网络参数) 注释: IP Address(IP地址):192.168.1.8←这个IP地址是电脑的IP地址,录像机IP请设为 192.168.1.XXX(XXX取值范围2~254,但不能设置为 8,否则录像机IP会和电脑IP冲突,导致硬盘录像机无 法网络远程登录)。在这里我们硬盘录像机的IP地址是 用:192.168.1.100(硬盘录像机出厂默认设置)Subnet Mask(子网掩码):255.255.255.0 ←录像机的子网掩码和这个设置一样。 Default Gateway(网关): 192.168.1.1 ←录像机的网关和这个参数一样。 DNS Servers(DNS):202.96.128.68 ←录像机的DNS和这个参数一样。 202.96.128.166 ←这个是备用DNS可以设也可以不设。 有时候这里的DNS不是正确的。如不确定,请通过IE浏览器输入网关, 登进路由器,在运行状态里进行查看正确的DNS。
二.打开硬盘录像机,进入“主菜单”——>“网络设置”。选取联网方式,一般都选择手动配置。客户端端口号(也称媒体端口号)和WEB端口号可以根据自己需求进行设置,这里设置是9000和80。IP地址、子网掩码、网关和DNS根据硬盘录像机所在局域网实际情况进行设置。(具体设置请参考第一步骤)设置好后点击确定。 注释联网方式: 1.采用手动配置方式(因稳定性和调试方便的原因,推荐采用这种方式),需要网络营运商配的猫支持共享拨号上网(一般都支持共享拨号上网),如果配的猫不支持共享上网,可自行购买 一个带路由功能的MODEM接在猫下边,再接硬盘录像机。 2.采用PPPOE方式,需要输入网络营运商提供宽带的账号和密码。采用这种方式连接网络需要点时间,连接时候请稍微等待一下。 3.采用DHCP方式,也就是自动获取局域网IP,如果自动获取的IP改变了,请及时去路由器里的虚拟服务器把IP也更新一下。 硬盘录像机动态域名设置 三.点击DDNS设置,启用DDNS,服务器地址选择3322,然后将之前在https://www.360docs.net/doc/5d17020355.html, 申请的动态域名、用户名和密码分别输入。【具体动态域名申请请参考《域名注册详细步骤》】主机名:https://www.360docs.net/doc/5d17020355.html, (之前去https://www.360docs.net/doc/5d17020355.html,新建的动态域名) 用户名:testrraysharp (之前去https://www.360docs.net/doc/5d17020355.html,申请账号的用户名) 密码:670632 (之前去https://www.360docs.net/doc/5d17020355.html,申请账号的密码) 四.设置好后点确定进行保存,退出所有菜单界面,会提示重启硬盘录像机使设置生效。