《SophosUTM基本防火墙上手手册.ppt》由会员分享,可在线阅读,更多相关《SophosUTM基本防火墙上手手册.ppt(35页珍藏版)》请在三一办公上搜索。
1、Sophos UTM:基本防火墙上手手册,2,完整的安全体系,保护企业所有的安全,防火墙,网络安全防护,无线安全,邮件安全,Web网站安全防护,端点安全,Web 安全过滤,Sophos UTM,完整的安全网关,多元化的硬件选择,选择您要的模块,FullGuard,NetworkFirewall,Web Protection,WebserverProtection,NetworkProtection,WirelessProtection,EmailProtection,EndpointProtection,恢复出厂设置,恢复出厂设置1.按Enter 键.2.接着按 键将显示下列信息:All da
2、ta erased(擦除所有数据)3.再按Enter键将显示下列信息:Are you sure?(你确定吗?)使用上/下键,你可以选择 Yes(y)or No(n).4.按下Enter 键确认你的设置.,如果当前使用的是测试设备,请将设备恢复到出厂设置,实际硬件设备在出厂时预装了安全系统默认的可用接口:Eth0 默认的 IP 地址:初始化 UTM https:/:4444,请注意:主机名会出现在 UTM的很多功能中,如果用户没有对UTM设置完整的DNS 名称(FQDN),请将主机名设置成外网网口 IP 地址。,初始化 UTM,直接进入WebAdmin界面,恢复以前的配置,初始化 UTM,导入有
3、效的 License 文件如果此处不导入 License 文件,那么系统使用缺省的 30 天的全功能测试 License 运行测试期结束,设备将停止工作,初始化 UTM,设置 内网(Internal)接口的 IP 地址,可选择,在启用 DHCP 服务分配的缺省网关:分配的DNS:,初始化 UTM,选择一个可用接口作为外口ASG 的外口是自定义的,不是系统内部固化的,选择一种连接 Internet 的方法,初始化 UTM,选择允许内部网络连接到 Internet 的服务如果在此不作选择,也可以在WebAdmin中自己定义,初始化 UTM,选择需要开启哪些 IPS 规则,来保护内部网络的服务器此处
4、选项,需要有“网络安全”服务许可如果在此不作选择,也可以在WebAdmin中自己定义,初始化 UTM,选择是否需要开启应用控制服务此处选项,需要有“web安全”服务许可如果在此不作选择,也可以在WebAdmin中自己定义,初始化 UTM,选择需要开启的网页过滤服务此处选项,需要有“Web安全”服务许可如果在此不作选择,也可以在WebAdmin中自己定义,初始化 UTM,选择需要开启的邮件过滤服务此处选项,需要有“邮件安全”服务许可如果在此不作选择,也可以在WebAdmin中自己定义,初始化 UTM,配置汇总,在这里可以看到已经启用或还没有启用的功能确认无误后,点击“Finish”按钮,完成后,
5、要重新在登入,任务 1:实现 简单的Internet 连接,需求,连接 InternetUTM为内部网络提供 DHCP 服务内部所有 PC 都可以上网UTM主机名(FQDN):Eth0(internal):Eth1(external):Default GW:PCIP address:Default GW:DNS:,ASLLAB192.168.140.0/24,WebAdmin 的登录,https:/172.16.0.1:4444用户名:admin,在线帮助,WebAdmin 语言的修改,选择“Simplified Chinese”转换到简体中文界面转换完成,系统会要求再次登录,时区与时间的修改
6、,在UTM中时区与时间的正确性非常重要,当时区或时间不正确证书的生成就不正确,造成未来建立VPN时非常有可能就失败了。所以请完成初始化后务必确定一定系统的时区与时间。,创建外口,选择一个可用的硬件接口外口一定要设置“默认网关”保存后“启用”,使之生效,定义 DNS 服务,UTM只对内部网络提供 DNS 服务,允许内网或其它网口可以使用 UTM 的DNS 服务,创建 DHCP 服务,允许内网可以使用 UTM 当 DHCP Server,设置 NAT,为内部网络上网设置NAT地址伪装,用于对数据包源 IP 地址的转换,数据包的源 IP 地址,数据包流出的接口,设置策略,允许 Internal 网段
7、访问 Internet策略设置完成,请“启用”此策略,任务 2:将内网的服务器对外发布,需求,对如下服务器的服务端口对外进行发布要求 Internet 用户和内部网络用户,使用同样的域名都可以访问 Web、FTP、Mail 服务,外口配置多个 IP 地址,定义多个“其他地址”,即从属地址,在外口加上多个IP地址,设置 NAT,定义 DNAT(目的地址转换)源网络:访问者所在网络地址如果对Internet发布服务,那么源网络应该是 Internet IPv4服务:对外发布的通讯端口或者通讯端口组目的网络:对外发布的公网 IP 地址一般是配置好的外口或其从属 IP 地址转换后的目的地址:内部服务器的 IP 地址服务:空,表示使用前面的服务定义自动防火墙:启用,系统在内部创建策略,用户无需再自定义策略,设置 NAT,选用的是接口上的 IP 地址,自动防火墙规则一但开启,管理员就不需要建立防火墙策略,设置 NAT,此 DNAT 表,可以实现 Internet 用户对服务器的访问,设置防火墙规则,当自动防火墙规则开启时,是不会有日志成生。无法实施更进一步的限制,如限制来源地址。自动防火墙规则关毕后,管理员一定要设置时防火墙规则通讯才会正常。,FAQ?,
