设为首页 | 加入收藏夹

八文网 - 汇聚八方文档 - 做最优秀的免费文档下载网站

DWALL-防火墙

文档类型：

Adobe Acrobat PDF 文档文档大小：1.92M

SINFORSinfor DWALL-防火墙用户手册目录序言防火墙简介SINFOR DWALL防火墙技术特点
第一章SINFOR DWALL的安装及初始配置安装环境准备软件安装初始配置
第二章SINFOR DWALL使用说明防火墙控制台总体描述系统信息
1.系统配置
2.控制台管理
3.用户信息管理
4.序列号管理防火墙监控台
1.安全级别设置
2.过滤规则设置
3.防火墙服务定义
4.IP组设置
5.DMZ端口映射
6.时间计划设置
7.上网控制
8.QOS设置DHCP服务附加工具问题与答复常见问题技术问题疑难解答
1. 防火墙名称的由来当房屋还处于木制结构的时侯,人们将石块堆砌在房屋周围用来防止火灾的发生,这种墙被称为防火墙.在今日的电子世界中、人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙是由采用先进技术的计算机软件构成的.
2. 防火墙是什么防火墙是一种网络安全技术,最初它被定义为一个实施某些安全策略保护一个可信网络,用以防止来自一个不可信的网络(如Internet)的的装置.随着人们意识到威胁客观上不仅来自网络外而且来自网络内、并且在技术上也有可能实施更多的解决方案,所以现
在防火墙被定义为:在两个网络之间实施安全策略要求的访问控制的一个系统或系统组.
3. 防火墙有什么功能所有进出网络的通讯流都应该通过防火墙;所有穿过防火墙的通讯流都必须有安全策略和计划的确认和授权;
4. 防火墙的工作原理防火墙的工作原理是按照事先规定好的配置和规则,监测并过滤所有通向外部网和从外部网传来的信息,只允许授权的数据通过,防火墙还应该能够记录有关的联接来源,服务器提供的通信量以及试图闯入者的任何,以方便管理员的监测和跟踪,并且防火墙本身也必须能够免于渗透.
5.为什么要使用防火墙当机构的内部数据和网络设施暴露给Internet上的黑客时,网络管理员越来越关心网络的安全.为了提供所需级别的保护,机构需要有安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部信息.即使一个机构没有连接到Internet上,它也需要建立内部的安全策略来管理用户对部分网络的访问并对敏感或秘密数据提供保护.如果没有防火墙的话、你可能会遇到许许多多类似的问题,比如公司的内部财政报告刚刚被发向两万个E-mail地址、或者你的主页被人连接向了其他站点.现在随着电子商务和网上交易的快速增长,保障信息的机密性,完整性,可用性和可控性就是至关重要的,在这时防火墙就是一个好的解决方案.
6.使用防火墙的好处是什么在没有防火墙时,内部网络上的每个节点都暴露给外部网络上的其它主机、极易受到.这就意味着内部网络的安全性要由每一个主机的坚固程度来决定,并且安全性等同于其中最弱的系统.
使用防火墙可以带来如下好处:防火墙允许网络管理员定义一个中心扼制点来防止非法用户,如黑客,网络破坏者等进入内部网络.禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的.
在防火墙上可以很方便的监视网络的安全性,并产生报警.过去的几年里、Internet经历了地址空间的危机、使得IP地址越来越少.这意味着想进入Internet的机构可能申请不到足够的IP地址来满足其内部网络上用户的需要.防火墙可以作为部署NAT(Network Address Translator,网络地址变换)的逻辑地址.因此防火墙可以用来缓解地址空间短缺的问题,并消除机构在变换ISP时带来的重新编址的麻烦.
防火墙是审计和记录Internet使用量的一个最佳地方.网络管理员可以在此向管理部门提供Internet连接的情况,查出潜在的带宽瓶颈的位置.还可以对防火墙进行配置,允许Internet访问上述服务,而禁止外部对受保护的内部网络上其它系统的访问.防火墙可以使你的网络规划清晰明了,有效防止跨越权限的数据访问.
如果你的网络联入了互联网络而没有设置防火墙的话、你可能会接到许多系统入侵的报告.
在这个世界上,黑客袭击的例子有许许多多,几乎每时每刻都在发生.
所以防火墙的使用,越来越受到网络相关人员的重视.Sinfor DWALL防火墙产品简介
新一代防火墙:Sinfor DWALL状态检测防火墙是改进的新一代包过滤防火墙,具有非常好的安全特性.
它使用了一个在网关上执行网络安全策略的软件模块,称之为监测引擎.监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考.监测引擎支持多种协议和应用程序,并可以很容易地实现应用和服务的扩充.与普通防火墙不同、当用户访问请求到达网关的操作系统前、状态监视器要抽取有关数据进行分析,结合网络配置和安全规定作出接纳,拒绝、身份认证、报警或给该通信加密等处理动作.一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录.
状态检测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数据报(UDP)之类的端口信息,而普通的包过滤和应用网关防火墙都不支持此类应用.
主要功能描述:功能分类详细描述及指标软件防火墙包过滤状态检测防御能力NAT功能入侵检测日志和审计支持Windows 2000XP2003系列操作系统,运行于最底层,隔离系统安全漏洞支持TCPUDPICMP的所有包过滤功能支持TCPUDP的状态检测功能使用状态检测功能,能防御包括碎片等多种,阻止ActiveX, Java.支持静态和动态NAT,端口NAT, 虚拟服务.NAT访问权限支持MAC地址绑定,时段访问,用户规则,过滤规则等.提供入侵检测告警,自动封禁IP提供防范.可以使用独立的日志服务器,容量无限制.包括系统信息,告警日志,错误日志,调试日志.并提供审计报表.Sinfor DWALL防火墙技术特点
动态状态检测:传统防火墙的包过滤只是与规则表进行匹配、对符合规则的数据包进行处理,不符合规则的丢弃.由于每个IP都要进行所有的规则检查因此效率很低,防火墙的性能也会大幅度降低.另外黑客也会采用IP伪造技术将自己的非法包伪装成某个合法IP包从而穿透防火墙,产生安全漏洞.Sinfor DWALL采用了基于连接的状态检测技术,将属于同一连接的所有包作为一个整体的数据流看待、通过规则表与连接状态表的共同配合大大地提高了系统的性能.同时由于不是孤立看待每一个IP包、因此黑客很难伪造一个连续的状态、也大大加强了系统的安全性.
内置多种防御:系统内置了对多种行为的识别和防御,包括各种分片和DOS(含各种Flooding,Jolt2,Ping of death,ICMP Smurf Attack 等).系统对于的防御方式是丢弃.
虚拟测试功能,杜绝人为错误:在构建网络安全产品时,大家往往都忽视了一个重要的安全隐患-因为配置错误导致的安全漏洞,事实上由于人为错误导致的安全漏洞在网络事件中比例高达40.而众多的防火墙规则和访问控制规则配置起来往往都比较复杂,在配置完毕后很难对设置的规则是否能满足需要做完善的测试,这导致上述安全隐患的主要原因.Sinfor DWALL内置了虚拟测试环境、通过可视化的对各种安全设置规则进行测试,从而杜绝人为错误导致的安全漏洞.
上网访问控制技术:系统使用NAT技术进行代理上网.但有时需要对上网的用户进行控制,比如财务部就不能上网.Sinfor DWALL中可以方便的定义用户组,并分配部分的权限,从而实现对内网用户的上网控制.通过访问控制技术,可以屏蔽非法用户访问未授权的站点或服务.
DHCP服务功能:提供整网的动态IP地址分配的功能,对整网的IP地址进行自动规划,极大的减少了网管人员的工作量.
自动拨号的功能:内置上网帐号的自动拨号功能,断线之后,实现自动重新恢复Internet线路,无需人为干预,配置简单.独特的url过滤功能内置的url过滤功能,可以针对网址进行网页的访问控制,设置规则一目了然;也可以对各种分类网址进行屏蔽,轻松搞定.备份功能对防火墙的配置和日志都能进行备份,从而保证在出现灾难后能迅速恢复系统.或通过配置备份功能实现对多个网络的重复配置.完善的日志系统强大的日志功能,可以迅速的对防火墙上的数据流量进行记载,随时查看防火墙运行状态.多线路绑定的防火墙及NAT共享上网使用多线路均衡上网流量,扩大上网带宽.内网用户流量排名使用独特的统计技术,可以实时查看当前内网用户的上下行流量.访问记录可以实时查看内网用户当前访问过的网页.
第一章Sinfor Dwall的安装及初始配置Sinfor DWALL支持Windows 2000(全部系列),Windows XP(全部系列)及Windows2003操作系统,并将对Microsoft Windows后续版本进行同步的支持.
Sinfor DWALL支持各种语言版本的操作系统.如果操作系统为简体中文版本,则SinforDWALL在安装时会自动选择简体中文版本;如果操作系统为繁体中文版,英文版或其他版本,则Sinfor DWALL在安装时会自动选择英文版本.Windows 2000系列操作系统需要提前安装Service Pack 2(SP2)以上补丁.
推荐使用Windows 2000或XP操作系统,Intel Pentium III600以上CPU,128M以上内存配置,作为Sinfor DWALL的软,硬件平台.
注意:防火墙启用全部功能需要两块网卡,或是一块网卡带一个拨号连接.在本机只有一块网卡(也没有任何虚拟拨号连接)的情况下,仍然可以启动防火墙,但NAT无法启动.
运行软件安装光盘中的防火墙安装程序,出现如下画面,点下一步若要安装、请接受协议中的条款,否则安装将中止.选择安装路径,点下一步最后完成安装、重新启动计算机.未注册之前启动控制台会有上面的提示、您可以按照界面提示的两种方法进行注册.
如果您要继续试用,请点击继续试用,将出现如下的登录对话框,使用管理员(Admin)用户进入,默认密码为空.
第一次启动会运行配置向导,点下一步选择Internet连接和内网网卡,并输入内网IP.Internet连接的选择清参照向导的提示.
检查初始配置信息,在这里设置多条线路的信息,最多可支持四条线路同时使用,如图所示.选择多条上网线路的配置信息,如果是拨号的线路就选择拨号的快捷方式,通过代理出去的线路就选择相应的网卡.
第二章Sinfor Dwall使用说明控制台用来管理和监控整个防火墙产品、主要包括:设置各项信息,启动停止服务,监控服务状态.
说明:
设置各项信息:点击左边窗口的菜单,右边窗口会显示对应的设置界面.在右边对应的界面中进行具体的设置.系统还提供了配置向导,第一次运行时会自动启动配置向导,引导用户进行必要的设置.也可以通过菜单和工具栏启动配置向导.
启动停止服务:可以通过菜单,工具栏启停服务,也可以右键点击左边窗口的服务图标,利用弹出的菜单启停服务,还可以在监控服务的界面启停服务.
监控服务状态:点击左边窗口的防火墙菜单,右边窗口会显示对应的监控界面.另外如果安装了防火墙,当防火墙没有正常运行时,在Windows任务栏的图标会自动闪烁.
进入和退出控制台:直接运行控制台程序即可打开控制台,通过菜单中的退出选项退出控制台.控制台退出时如果有服务运行会提示、退出控制台后防火墙服务仍然会运行.
注意:任何设置完成后都必须点击设置生效按钮才能保存并生效.系统配置功能是用来配置防火墙正常运行需要的各种系统信息.配置安装防火墙的计算机的网络属性.
Internet连接:指同Internet网络相连的设备,如MODEM拨号上网,则外部网卡指MODEM,在外部网卡的下拉列表中就选择MODEM拨号.若是ADSL拨号如Enternet300拨号软件,则在Internet连接中选择ADSL的虚拟拨号网卡NTS PPPoE Adapter.若是通过以太网直接同Internet相连,则选择对应的网卡.多线路防火墙最多可以支持四条上网线路,就在这个界面设置多条线路的设置信息.
内网网卡:指同内部局域网相连的网卡,此网卡相连的内部网就是防火墙要互联的内部网.
内网IP和子网掩码:指通过防火墙互联的内部网IP,和对应的子网掩码.
如果多线路防火墙,在没有任何的公网数据交换情况下,即在本机只有一块网卡(也没有任何拨号程序)的情况下,仍然可以启动防火墙,但NAT无法启动.此时应将内外网卡选择相同、并且防火墙规则只在内网网卡生效.控制台管理可以设置服务是否自动启动,备份和恢复防火墙配置信息.
控制台模块与Sinfor防火墙的各功能模块是相互独立的,如防火墙模块,NAT模块,DHCP模块.都可以在控制台不启动的情况下正常运行.可以在该界面中选择控制台及各功能模块是否开机就自动运行.Sinfor防火墙支持对配置信息的备份和恢复、点击相应按钮,可以将配置好的信息备份,备份时可以对备份文件设置密码、以保障安全性.当操作系统重新安装或在其他的电脑上安装的防火墙时,可以将配置信息恢复过来.
恢复备份时系统会提示是否覆盖原来的配置信息.如果选是.系统会用备份的文件将原有的文件替换掉、原有的文件将无法恢复.在这里管理控制台用户,可以通过用户权限设置,设定每个用户对控制台操作的权限.
点创建按钮建立新用户设置权限:点击修改和权限按钮对用户的账户信息和权限作相应的修改.
权限说明:
管理员权限:具有该权限的用户可以做一切合理的操作,如改变配置,停启服务等.
日志备份权限:只具有备份日志的权限,其他的权限没有.
查看运行状态的权限:只能查看防火墙的运行状态、其他的权限没有.
用来管理防火墙的注册码、您可以点击修改按钮来修改您的序列号.您的注册码必须与机器ID相对应.防火墙运行状态显示防火墙的各个运行数据,监控防火墙NAT服务.包括启停服务,
监控服务状态.共有三种状态:运行中、停止,故障.
启停服务:点击启动停止服务按钮来启动或停止服务.
监控服务状态:在这里可以监控防火墙服务和NAT服务的运行状态.状态共有3种-停止,运行和故障.当运行状态为故障时,请查看日志中的详细记录;同时在该窗口还可以查看流量信息,显示系统配置中选择的内网网卡和外网网卡的流量;防火墙服务或NAT服务有任何一个运行就会显示流量信息.这里可以看到多条线路每条线路的流量信息,并且不同的线路分别用不同的颜色来标识,各条线路运行情况及数据流量一目了然.
请根据您的实际需要、拖动滑块设定相应的安全级别、每个安全级别都有默认的过滤规则,您可以根据需要增,删或修改默认规则(详见过滤规则设置).
1)每个安全级别都有对应的过滤规则,每个安全级别的规则互相独立.
2)您可以在过滤规则设置页面来查看,更改对应级别的过滤规则(详见过滤规则设置).
防火墙会根据过滤规则对经过的数据包进行检查,确定是放行通过还是拒绝抛弃.其检查的数据包括从Internet(以下称之为外网)进入内部局域网(以下称之为内网),和内网发出到外网,以及内外网进入本机的数据包.只有设置了正确的过滤规则才能实现所需的安全防护及应用,因此本小节为防火墙使用的重点.建立防火墙规则下面以配合DLAN为例,来设置一下防火墙规则,假设安装防火墙的机器上不了网,安装了DLAN之后,无法正常使用,现在要求能够访问Webagent网页,只需建立一条规则只允许访问网页,因为访问是http方式的,所以要开放80端口,也就是说,允许本机能够浏览网页.1) 点击新建规则按钮在弹出对话框中输入过滤规则名称2) 选择网络接口,数据方向和动作
这里就几种服务作一个简单的说明:
内网用户访问服务:内网计算机通过网关(本机)访问外网某一服务.
内网用户提供服务:内网计算机通过网关(本机)提供给外网某一服务.
这里要的是本机访问的服务,是本机去访问Webagent文件,所以选择本机访问服务3) 选择IP地址什么是本机IP地址本机IP地址指所选择的网络接口上所设置的IP地址.
什么是所有IP地址(不包括本机IP) 指所有内网的IP地址、不包括所选择的网络接口上设置的内部IP地址.4) 选择服务
注:选择服务时,会出现知名服务的下拉列表,比如DHCP服务,FTP服务等等、如果服务列表中没有您想要得服务可点新建按钮建立您所需的服务,该服务将保存在防火墙服务定义中.建立服务定义方法详见防火墙服务定义5) 检查您的设置,完成规则创建防火墙按照过滤规则的排列顺序对往来的数据包进行检查,排在前面的规则具有更高的优先级,如果符合将不再检查后面的过滤规则.可以使用规则上移和规则下移按钮移动规则,调整优先级.新建规则时会弹出新建规则向导,指导您一步步完成配置,修改规则请查看防火墙过滤规则编辑.默认的规则是所有的数据都被拒绝.
测试规则:设置了规则之后,可以虚拟测试规则的正确性,具体设置请查看过滤规则测试.
恢复防火墙的默认过滤规则:在安装时系统会设置一些默认的过滤规则,今后可以使用恢复默认规则按钮恢复默认的规则,而自定义的规则将会被删除.过滤规则编辑在规则设置页面里选中一条规则,然后点修改规则按钮.弹出界面如下:在这里可以修改规则的各项属性,其中有两个属性页IP和协议,可以切换到对应的界面.IP页可以指定规则对应的IP地址、协议页可以选择规则采用的协议.
1. 修改规则后,必须按设置生效按钮,结果才会保存.
2. 注意规则的方向及网卡接口,防火墙只能防三个方向的数据.外网通过防火墙(本机)进入内网,内网通过防火墙发出到外网,内外网发给本机的这三种数据.修改规则时要根据数据的方向确定源,目的IP和源,目的端口.如:本机访问外网http,数据通过外网网卡发出、在回来时被防火墙外网网卡截获并检查,此时源IP为所有IP,目的IP为本机IP,源端口为TCP-80,目的端口为TCP的1024以上所有端口.
而内网计算机访问外网http时,在数据通过防火墙时被内网网卡截获并检查,此时源IP为内网的所有IP,目的IP为外网的所有IP,源端口为TCP的1024以上所有端口,目的端口为TCP-80端口.过滤规则测试点击测试规则按钮可以手动构造模拟IP包、测试该IP包在哪一条防火墙规则上面生效,该数据包将被放行或拒绝.填写IP包类型及源IP,目的IP,源端口,目的端口后点击测试按钮,测试程序会告
诉用户测试结果,如下:
IP包类型:包括TCP,UDP,ICMP三种最常用的数据包类型.
用来定义防火墙的各种服务,包括增加,删除,修改.添加过滤规则时新建的服务同样会保存于此.
点创建按钮可以创建新的服务.界面如下:选中刚才新建的服务,然后点修改按钮可对其进行修改.定义防火墙服务以后,请点击设置生效以保存设置.设置IP组的目的是为了方便管理,可以为不同的组设定不同的访问过滤规则,从而更有效的利用网络资源.默认的组为所有内网用户,IP地址为如要新建一个组,首先点击新建按钮;输入要建立用户组的名称,IP地址范围.注意建立用户组的地址不要重复、可以通过修改按钮修改已建立的用户组的IP地址范围.做完用户组的设置后一定要点击设置生效按钮保存所做的设置,才能在其它设置中使用建立的用户组.DMZ端口映射的作用是将从外部网卡接口接受的数据按照设定的规则转发给内部网卡接口的计算机、可以让局域网之外的用户穿透防火墙,访问存在于局域网之内的服务.
输入规则名称:
点击下一步显示刚才建立的规则的属性,如果正确可以点击完成按钮:设置时间计划的作用是在过滤规则设置和上网设置时调用,设定过滤规则及上网设置生效或失效的时间,可以通过新建按钮添加新的时间段设置.上网控制作用是控制内部用户访问INTERNET.启用上网控制后,可以限定内部用户访问那些网络,可以访问哪些Internet服务,以及时间限制,可以根据用户分组,对与不同的用户限定不同的访问权限.流量排名流量排名可以自动检测本地局域网内的代理用户的流量信息,分为上行和下行两种、会自动根据流量大小的前五名来列表,在这里可以看到具体哪台机器的流量大小,实时更新流量信息.双击排名的IP可以查询机器名称.在访问记录这个模块会自动记载本地局域网机器的上网记录,比如,在访问哪个网页,哪个网站,记录信息也会实时更新.点停止查看按钮会停止查看相应的信息,清除记录按钮会清除到记载的上网记录.IPMAC设置IPMAC设置是用来设置IP地址与MAC地址的对应关系,防止用户通过更改IP地址来非法使用网络资源.如果启用改功能,NAT在代理上网时会作IP和MAC地址的对应关系检查,然后按照设定的进行处理,如果选择IP和MAC不在本对应表中拒绝、那么NAT不会代理列表中不存在的IP地址、即列表中不存在的IP地址无法通过NAT访问外部;如果选择IP和MAC不在本对应表中放行、那么NAT将会代理列表中不存在的IP地址、即列表中不存在的IP地址可以通过NAT访问外部,默认处于禁用状态.
启用IPMAC设置后,可以通过自动搜索功能自动发现局域网内所有机器的IP和MAC地址.注意这是找到的机器是在这一时刻正在运行的计算机、如某台机器一关机、则不能被发现.可以通过新建功能添加单台机器的对应关系,点击自动获取可以自动得到指定IP地址机器的MAC地址、也可以手工添加.如果某台机器更换了IP地址或MAC地址、可以修改对应关系.HTTP端口设置HTTP端口一般都为80,就是说http服务提供的服务端口是80端口.
URL组设置可以根据需要建立不同的URL组,用来控制用户访问网站.组名可以对应着多个域名、
举例说明如下:我们可以在每个URL组内添加相应的网站地址、上图添加两个域名名为工作的url组就设置好了,并可以随时添加域名.外部服务组设置在这里、就是将常用的公网的服务设置成服务组,便于对内部的用户进行控制.比如,现在新建一个服务组,要求是访问sinfors公司的网站:出现设定外部服务器的界面点击新建按钮添加服务器的地址和端口范围,在这里是要求提供sinfors web服务的服务器IP地址和web服务的端口,所以如下输入服务器的地址可以是分散的,只需要通过新建功能多添加几次,将所以的服务地址都包括进去就可以,同时,如果不知道服务器的ip地址、可以通过自动解析功能来完成
最后完成的界面如下:内网用户上网权限设置用来设定用户访问网站的权限,可以对应不同的用户组采取不同的访问策略,如果不定义用户组的话、缺省用户就是内网中的所有用户.
新建一个用户组,输入用户组的名称:输入用户组对应的IP地址范围,下一步进行用户组访问网站权限的设置,在前面URL组内设置的组名在上部都会出现,可以根据需要添加,可以设置是允许还是拒绝访问这些网站,缺省是允许访问设定的URL组,而拒绝用户访问设定以外的网站.还可以设定用户可以访问的时间,在生效时间上点击,出现设定的时间组,可以选择对应
的时间段:点击下一步进行外部服务的设定可以设定用户组可以访问哪些外部服务,以及时间设置.用户组的上网设置可以根据需要随时更改.QoS (Quality of Service ,服务品质保证).在网络带宽不足的情况下,通过QOS设定来保证一些重要的服务能获得充足的网络带宽.可以设定各个优先级能够得到的带宽比例,在网络繁忙时将按照设定的比例来分配网络带宽,保证重要的服务能够进行.
高级设置是针对专业用户所设定的QOS选项.
基数范围:1000以上,
小包优先:针对数据包小,但数据传输实时性要求高的数据.
预设带宽:根据您的网络带宽输入正确的配置.空闲队列,发送队列,流控参数,一般情况下不需要更改.QOS对TCP协议效果明显,常用的应用系统均为TCP协议.QOS设置后,用户需要根据实际网络带宽设置不同的参数,以达到QOS的最佳效果其中下行带宽填写时要保留一部分带宽供特权级的服务使用,如:实际下行带宽为2048K,
设置时设为1800K为佳, 即:保留15%给特权级用.QOS服务策略设置QOS服务策略是用来把数据业务进行分类,根据QOS服务策略所选定的数据设递优先级进行投递,以保证重要数据的及时投递.如新建一个数据库服务器,
输入服务名称和描述:设置IP包规则,可以输入SQL SERVER服务器的内网IP地址、输入协议和端口,SQL使用的是TCP协议,端口使用的是1433,选择相应的优先级别.可以看到设定的服务的参数,如果正确,点击完成按钮:SINFOR防火墙集成了DHCP功能,DHCP设置
1. 设置DHCP服务分配的IP范围:DHCP服务在为客户计算机分配IP时将会从该范围中选择IP,注意如果本机IP和可分配的IP范围不在同一网段,替客户计算机分配IP后,DHCP服务器无法和客户计算机通讯;
2. 设置网关:网关最多分配一个,如果不填写网关,则不会替客户计算机分配网关;
3. 设置DNS:DNS服务器即域名解析服务器,最多可以分配4个.填写了几个DNS服务器就给客户计算机分配几个DNS,如果都不填写,则不会替客户计算机分配DNS.
保留排除IP设置可以指定一个或者一段IP作为排除地址、DHCP服务在为客户计算机分配IP时不会分配排除地址.
保留IP:DHCP服务在为客户计算机分配IP时将会为用户指定了MAC地址或机器名的计算机分配特定的IP地址;点击新建按钮,在弹出的对话框中选择类型为保留,然后输入IP地址、注意保留IP只能输入一个IP.最后选择对应计算机的MAC地址或机器名、如果选择保留给指定MAC的计算机、那么DHCP在分配IP时会检测客户计算机的MAC地址、如果选择保留给指定机器名的计算机、那么DHCP在分配IP时会检测客户计算机的机器名.如果同时选择,那么DHCP在分配IP时会检测客户计算机的MAC地址和机器名、只有两者都符合才会获得该IP地址.为了防止断线,SINFOR防火墙内置了自动拨号工具,如果是使用ADSL拨号连接,可以启动自动拨号,选择允许自动拨号,在拨号名称内选择需要自动拨号的连接,填写用户名密码、可以通过测试功能检测是否正确.
1,Sinfor DWALL 与常见的硬件防火墙有何区别Sinfor DWALL防火墙产品相比于其它的防火墙:
第一、 Sinfor DWALL支持多达四条上网线路,实时监测每条上网线路上的数据包、在用户尽享有效带宽的同时,杜绝敏感数据的入侵,保证内部网络的安全.
第二、 Sinfor DWALL基于连接状态检测技术,将属于同一连接的所有包作为一个整体的数据流看待、通过规则表与连接状态表的共同配合大大地提高了系统的性能.
同时由于不是孤立看待每一个IP包、因此黑客很难伪造一个连续的状态、也大大加强了系统的安全性.
第三、 Sinfo DWALL内置了虚拟测试环境、通过可视化的对各种安全设置规则进行测试,从而杜绝人为错误导致的安全漏洞.(事实上由于人为错误导致的安全漏洞在网络事件中比例高达40%)
第四、强大的QOS功能,将网络服务进行分级,优先级高的服务获得更多网络带宽.
共5个优先级别(1-4加特权级).不仅实现了发送QOS(优先的服务优先发送)、还实现了接收的QOS功能.
第五、对防火墙的配置和日志都能进行备份,从而保证在出现灾难后能迅速恢复系统.
或通过配置备份功能实现对多个网络的重复配置.
第六、 url过滤功能,可以针对网址进行网页的访问控制,设置规则一目了然;也可以
第七、用户组设置支持离散设置,即可以把不连续的IP地址划分到一个组里面.
第八、支持多达4条上网线路,每条线路都有流量k线图(其他产品一般为两条).拥有4总多线路带宽分配算法,针对不同的需求和环境选择最合适的分配算法(其他产品一般仅能做到各线路平均分配).
第九、 4条线路的自动拨号工具.如果四条上网线路都是直接拨号的,可以实现线路的断线重播的功能.综上所述,Sinfor DWALL面向各级企业用户,提供高端产品才具有的性能,同时保持了适中的价格,是一种具有极高性价比的企业级防火墙解决方案.
2, Sinfor DWALL防火墙产品的安全性如何状态监测防火墙的另一个优点是它会监测无连接状态的远程过程调用(RPC)和用户数
3, Sinfor DWALL的安装、使用和维护是否复杂深信服科技作为专业的网络解决方案供应商,一直致力于为客户提供安全可靠,实施方便,使用方便的网络产品、将复杂的应用隐藏在简单的界面配置后面,用户无需专业的技术知识即可轻松实现应用和维护.用户只需第一次进行简单配置(DWALL提供了完善的安装配置向导),以后的使用过程中无需任何人工干预(不调整配置的情况下),只需启动计算机、无需登录操作系统,Sinfor DWALL即可自动完成拨号,防火墙,NAT等功能的启动和应用,极大方便了用户的使用.
4, Sinfor DWALL应用的客户有哪些作为专业的网络解决方案提供商,Sinfor DWALL防火墙与Sinfor DLAN VPN一起,在金融、物流、连锁、服装、电子等很多行业拥有成功案例.购买Sinfor DLAN VPN的数千家集团用户,绝大部分在他们的总部和分支机构网络中都部署了Sinfor DWALL防火墙.
1,Sinfor DWALL支持什么操作系统Sinfor DWALL支持的操作系统有:Windows 2000系列操作系统(需要安装service pack2以上),Windows 的使用要求具有操作系统的系统管理员身份.
2,为什么安装DWALL时要求断开internet连接在安装DWALL软件时,会往操作系统底层安装一些相关的驱动程序,由于internet连接的存在,部分文件处于使用状态中、如果不断开、可能会对操作系统带来隐患(如死机、蓝屏等).
3,如何为DWALL配置内外网网卡信息配置内外网网卡时,请根据上网方式不同相应选择:
第一、如果是ADSL等方式拨号,请为外部网卡选择虚拟的拨号网卡(即网络属性中拨号所对应的那个连接),内部网网卡请选择此计算机连接局域网的那块网卡;
第二、若本局域网是通过前置路由设备上网,双网卡计算机请为外部网卡选择与路由设备相连的网卡,内部网网卡请选择此计算机连接局域网的那块网卡;如果是单网卡计算机则内外网卡一致,但是NAT功能失效.
4,如何确认DWALL的运行状态DWALL作为一种服务运行在操作系统上,控制台和服务是分开的,启动了控制台并不代表防火墙的服务已经运行了,二者可以独立运行.可以通过防火墙的控制台观察防火墙运行中停止来确认防火墙的运行状态.
5,DWALL支持多条线路,是否是对每条线路都有数据过滤功能Sinfor DWALL是深信服科技独立开发的支持多条上网线路的企业级防火墙,对每条线路都有数据过滤功能,相当于每条线路上都有防火墙,有效拦截敏感数据,杜绝非法用户入侵.
6,DWALL单线路时可以自动拨号,在多条线路时,是否支持自动拨号DWALL集成了强大的断线重拨的功能,无论几条上网线路,只要是采用拨号(adsl拨号,modem拨号)的方式上网的,都可以实现断线自动重新拨号,保证每条线路的稳定.
1, 为什么安装了DWALL防火墙之后,一些网络软件不能使用请检查是否奖防火墙的安全级别设置为高安全级,如果设置了该项的话、本机默认只作为安全网关使用,不对外提供任何服务,如果想要使用软件的话、要在过滤规则里开放相应的服务端口或者将防火墙的安全级别设置成低安全级别.
2, 为什么安装了DWALL之后,在访问记录里启用了查看记录,却看不到本网用户上网的访问记录这种现象是由于在上网权限控制中没有启用url造成的,因为用户浏览网页的时候访问的记录都是和网站的域名即url来体现出来的,如果禁用url,用户的记录是无法显示出来的,必须要启用url才可以正常的查看用户的访问记录.
3, 为什么安装了DWALL之后,本网内的用户把网关指向了DWALL,启用了NAT之后, 本网内的用户不可以上网出现这种现象时,首先要确认DWALL所在的机器是否能够正常上网.
一、网关能够正常上网
1, 这时要确认网内的其他机器是否设置了DNS地址、如果没有设置,要设置好DNS地址.
2, 确认本网内是否有机器中病毒,因为中病毒的机器会疯狂的向网关机器发送大量的数据
包、占满上网的有效带宽,导致本网内的机器都无法上网.
3, 确认防火墙中的网卡选择是否选定了正确的内外网网卡,选择了错误的内外网网卡,也会导致本网内其他机器不能正常上网.
二、网关不能正常上网这种情况下,网内的机器肯定不能正常上网,请确认网关机器的拨号是否正确,网关机器正常后,下面的机器才能正常上网.
4, 如何利用Sinfor DWALL封掉网络即时通信软件,比如QQ Sinfor DWALL是可以封掉QQ的,但是QQ的服务器比较多,而且既可以通过udp,也可以通过tcp协议来通信,所以封掉QQ设置起来比较复杂,为了节约您的时间,深信服科技的技术人员已经设置好了相应的规则并放到了公网上,您可以通过规则下载直接把规则导入,不需设置就可以实现QQ的封禁.
5, 设置了DMZ端口映射之后,为什么还是无法通过公网访问内网中提供的服务如果要通过公网上来访问内网中提供的服务,原理上是通过DMZ端口映射来实现,把发往网关上公网IP相应服务端口的数据都转发给内网中提供该服务的机器,但是Sinfor DWALL只设置了DMZ端口映射是不行的,还要在防火墙上的外网网卡允许公网的数据访问作了DMZ端口映射的服务端口,因为如果在防火墙的外网相应的端口拒绝访问的话、就没有DMZ的端口数据转发,DMZ端口映射也就不会生效.

pdf文档的标签： DWALL 防火墙

更多推荐标签：篮球赛策划个性测试题工作实践公文概述原料药价格出售房屋申请气压原理大会拆卸方案互联网检索的如何清仓盘点环境状况故障诊断原理显示程序实验图书广告策划财产清查制度网络传播方案生产运作答案水电学校上市公司收购运输招标论孝心培训后备技术工人制度机械设计教案 “复制”成功圆珠笔报价单伟大的书用友预算滩墓系统