|
|
|
FireControl安装在控制机上,控制机可以是与FireControl网口相连的任意台机器;在FireControl安装程序完毕后,即可在桌面上找到它的快捷方式。
|
|
|
|
管理员第一次启动FireControl管理程序时,应使用在FCInit中新建实施域时创建的默认账号admin进行登录。登录成功后,为安全起见,建议即刻修改admin账号的密码,以策略管理员身份登录FireControl。策略管理员可自定义防火墙的各种参数,配置个性化的防火墙。防火墙的基本配置包括以下几个方面。
|
|
|
|
|
|
别名配置是指为相关网络地址和端口设置别名。别名的设计是为了方便策略管理员的使用。策略管理员可以使用好记的别名代替多个功能端口及子网,使配置不再烦琐。例如,使用别名www代替端口80或8080,别名office代替IP地址为105.118.0.0、子网掩码为255.255.255.0的网段地址,或者把几个离散的端口值和网段地址统一用一个别名进行管理。
|
|
|
|
别名是FG防火墙中重要的特性,大部分防火墙规则的配置都是通过别名来实现的,策略管理员在配置安全规则时需要先定义好相关的网络地址和端口的别名。
|
|
|
|
|
|
设备配置是防火墙自身的网络设置,包括对接口设备的配置和显示防火墙的基本信息。在FG初始化完成,以策略管理员身份登录后,首先需要进行设备配置,用户可以根据自己实际的网络需求在设备配置模块中通过对网络接口的设置实现多种工作模式。
|
|
|
|
防火墙可以有3种工作模式,即桥模式、路由模式和混杂模式。
|
|
|
|
(1)桥模式。如果用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,网络间的访问是透明的,所有网口设备将构成一个网桥。
|
|
|
|
(2)路由模式。这是防火墙的基本工作模式。在路由模式下,防火墙的各个网口设备的IP地址都位于不同的网段。
|
|
|
|
(3)混杂模式。它指防火墙部分网口在路由模式下工作,部分网口在桥模式下工作。即某些子网之间以路由方式通信,而某些子网之间可以透明通信。
|
|
|
|
|
|
FG支持SNMP(简单网络管理协议)。一方面,网络管理工具可以实时获取FG的状态,为其提供相关的系统状态、网络接口状态、IP状态、ARP表状态和SNMP服务状态等信息;另一方面,FG为网络管理平台定期提供有关FG防火墙的信息,如入侵信息、管理信息和系统信息。
|
|
|
|
|
|
(1)防火墙位置标识:对系统本地位置信息进行配置。
|
|
|
|
(2)共同体(Community):用于简单的权限控制,默认为public。
|
|
|
|
(3)SNMP管理服务器地址:网络管理服务器地址。
|
|
|
|
(4)管理服务器Trap服务端口:网络管理服务器Trap接收端口,默认为162。
|
|
|
|
|
|
双机热备份是指一台FG为主机,正常情况下处于工作状态,另一台FG作为备用机,平时处于备用状态,并不工作,当工作状态的系统出现故障时,备用状态的防火墙在保证网络正常使用的情况下,可立即自动切换到工作状态,接替主机的角色,承担防火墙的工作。
|
|
|
|
方御防火墙系统在桥模式下能够在网络中智能地寻找其对等的备份机,并且使备份机自动进入等待状态,而一旦备份机发现主工作机失效,可及时地启动,防止网络中断事故的发生。要保护网络的安全,防火墙本身首先要安全。即使防火墙未被黑客攻击,也会由于元器件老化、异常死机等特殊原因发生故障。一旦发生故障,网络的安全就无法保证。对可靠性要求很高的用户,一定要选用有双机热备份技术的防火墙。FG在路由模式下的双机热备份需要手工设置。
|
|
|
|
双机热备份连接如下图所示。防火墙的COM 2口需要用串口线连接;两台FG的内部、外部、DMZ区以及控制接口需要分别通过交换机或集线器用网线连接。硬件连接完成后,需要在FG控制端进行设置。只有策略管理员可以设置双机热备功能。双机热备份系统只在桥模式和路由模式下工作,不支持混杂模式及VLAN。
|
|
|
|
|
|
|
