山石网科
申请功能
(平台)
QOS 流量分配
AV 复合端口
IPS 入侵
NBC 网络行为管理 支持SG型号
URLDB 是NBC子键 支持SG型号
HSM 设备集
4GE-B 当断电后仍然可以通讯
SSH secure Shell 安全外壳协议
是一种在不安全网络上提供安全登录和其他安全网络服务的协议。
NAT 步骤:
①,接口IP
②,配路由
缺省路由:0.0.0.0 0.0.0.0 192.168.1.2
回值路由:0.0.0.0 192.168.1.x 192.168.1.1
策略路由:
③,NAT
SNAT
DNAT
MAP ( IP PORT )
④,policy(策略)
检查配置环境
show seccion generic 显示连接数
show interface (name) 显示接口信息
show zone(zone name) 显示安全域类型
show admin user 显示系统管理员信息
show admin user (name)显示系统管理员配置信息
show version 显示版本号信息
show arp 显示解析地址
show fib 显示路由信息
show snat 显示nat 配置
no snatrule id 号 删除NAT配置
show ip route 显示路由信息
save 保存配置
unset all 清楚配置
配接口
(config)# interface Ethernet0/2
(config-if-0/2)# zone trust 或/untrust 建立区信任/不信任
(config-if-0/2)# ip add 192.168.1.1/24
(config-if-0/2)# manage ping 开通PING
(config-if-0/3)# manage http 开通HTTP
(config-if-0/3)# manage telnet 开通telnet
配路由
(config)# ip vrouter trust-vr 这个命令意思是可以配置多个路由
(config-route)# ip route 0.0.0.0/0 192.168.1.1
配NAT
(config)# nat
(config-nat)# snatrule id 1 from any to any trans-to eif-ip mode dynamicport
(config)#policy
# rule from any to any server any dynamicport
系统管理
web:
系统--设备管理--基本信息
CLI:
(config)# hostname (name) 配置安全网关名
(config)# no hostname 清楚安全网关名
管理员密码策略配置模式
hostname(config)# password policy 进入管理员策略配置式
hostname(config-pwd-policy)# admin complexity 1 启用密码复杂度限制
hostname(config=pwd-policy)# admin min-length (length value) 启用密码最少位限制
配置系统管理员
(config)# admin user (user-name) 配置管理员名称
(config)# no admin user (user-name) 删除管理员名称
(config-hostname)# privilege PX/RXW 管理员模式下:配置管理员特权 PX是读,执行 PXW 是读,执行,写。
(config-hostname)# password password 配置管理员密码
(config-hostname)# access{console|https|ssh|telnet|any} 配置管理员的访问方式
show admin user 显示管理员信息
show admin user (user-name) 显示管理员配置信息
配置可信主机
web:系统--设备管理--可信主机
可以添加子网 如192.168.1.0/24 也可以按IPrange 添加 如:192.168.1.1-192.168.1.100
CLI:
(config)# admin host 192.168.1.0 255.255.255.0 http |https |ssh |telnet| 配置可信主机IP 指定可信主机的登录方式
(config)# admin host any any 配置任意可信地址 允许任意登录方式
(config)# no admin host 192.168.1.0 255.255.255.0 取消可信主机
(config)# no admin host 192.168.1.0 255.255.255.0 http| telnet | 取消可信主机登录方式
用户接口
类型:Console telnet ssh webUI
各种访问方式的超时时间,端口号以及https的PKI信任域
在一分钟内连续三次登录失败,系统将会将登陆失败的IP锁定两分钟。被锁定的IP地址在两分钟之内不能建立设备的连接
web:
系统--设备管理--用户接口
CLI:
(config)# telnet timeout (timeout-value 单位分钟) 配置telnet超时时间
(config)# telnet port (port-number端口号) 配置端口号
(config)# telnet authorization-try-count (count-number次数号) 配置telnet最大登陆次数
配置SSH管理接口
(config)# ssh timeout (timeout-value)
(config)# ssh port (port-unmber)
(config)# ssh connection-interval (interval-time 配置ssh连接时间间隔)
配置webUI管理接口
(config)# web timeout (timeout-value)
(config)# http port (port-unmber)
(config)# https port (port-unmber)
(config)# https trust-domain trust-domain-name( 指定https方式访问时使用的PKI信任域)
显示用户使用接口配置
show console
show telnet
show ssh
show http
配置防NAT
配置原NatwebBUI
防火墙--nat--原NAT
nat规则基于Vrouter创建并生效
配置SNAT和DNAT (CLI)eig
(config)#net
(config-net)#snatrule id 1 from any to any eif ethernet0/0 trans-to eif-ip mode dynameicport
(config-net)#exit
配置DNAT
(config)#net
(config-net)#dnatrule id 2 from any to 222.243.12.12 service ftp trans-to 192.168.1.250 port 21
(config-net)#exit
调整规则排列顺序,在nat模式下配置使用以下命令
snatrule move id {before id |after id| top| bottom}
dnatrule move id {before id |after id| top| bottom}
删除规则
(config-net)# no snatrule id 1
(config-net)# no dnatrule id 2
显示NET配置信息
show snat (id)
show dnat resource
show dnat (id)
显示配置负载功能的DNAT规则信息
show load-balance rule
显示负载均衡服务器状态,使用一下命令
show load-balance server
安全策略高级特性
防火墙>二层防护>ARP防御
配置ARP学习功能 在接口模式下
开启ARP学习功能 ARP-learning
关闭ARP学习功能 no ARP-learning
在group接口或vswitch接口下
开启MAC学习功能 mac-learning
关闭MAC学习功能 no mac-learning
转自 黑帽安全网---致力于信息安全
阅读(2362) | 评论(0) | 转发(0) |