防火墙是建立在被保护网络与不可信网络之间的一道安全屏障,用于保护企业内部网络和资源。它在内部和外部两个网络之间建立一个安全控制点,对进、出内部网络的服务和访问进行控制和审计,其重要性也就可想而知。防火墙与其它网络设备密切相关,因此对防火墙常见的问题解决也不是孤立的,下面介绍一下在使用过程中常见问题的解决流程。
1、防火墙常见部署方式
2、解决问题流程
由于防火墙分路由和网桥两种接入方式,因此在解决问题时,需要根据具体应用情况,进行具体分析。下面就分路由模式和网桥模式两种情况讨论解决问题的流程。
(1)
路由模式
在路由模式中,防火墙的内网、DMZ区、外网分别属于三个不同的网段,防火墙的每一个端口都有各自的IP地址。因此可以利用这些特点解决常见问题。下面举一个最常见的例子说明解决问题的流程:
问题:内网不能与外部网络正确地连通。
解决流程:
第一步,在防火墙的安全选项中,使内、外网卡对外可见。
第二步,在内网的主机是否能PING通内网端口的IP地址,如果不能PING通,说明内部网与防火墙连接的线路或者路由有问题,检查线路与路由设置。如果能PING通,则说明与内部网络无关,进行下一步。
第三步,可以在路由器上分别验证路由器与外部网络和防火墙的连接情况。在路由器上PING防火墙的外网口,如能PING通,说明连接正常,如不能PING通,说明线路或者相连的其中一个端口出现问题,可以更换正常连接线试之,请注意此连接线是交叉线。如二者之间仍不能PING通,则说明其中一个端口出现问题,可以利用端口信息指示灯或者运用另外一台主机分别验证各个端口的情况。如在路由器上不能PING通外部网络,说明此连接有问题,可以找相应的部门解决此问题。
第四步,如果在前三步中的连接正常,则说明问题极有可能出现在防火墙本身,这时可以检查过滤规则。此时最简单的方法是添加一条过滤规则,允许内、外网进行所有连接,如正常说明出在过滤规则的定制上;如仍不正常,可以检查NAT转换情况,看是否NAT设置是否正常。如仍不能解决,请跟青鸟网络工程师联系。
(2)
网桥模式
在网桥模式中,防火墙的各个端口不设IP地址,内网、DMZ区、外网在同一个网段中,下面介绍一下常见问题的解决流程:
第一步,在路由器中,PING外部网络,如不能PING通,说明问题出在此处,找相应的部门解决此问题;如能PING通,说明连接正常。
第二步,在防火墙中添加一条过滤规则,允许内、外网进行所有连接,此时如能解决问题,说明问题出在规则的定制上,检查过滤规则。如仍不能解决,请跟青鸟网络工程师联系。
青鸟网关防火墙应用中常见问题解答
1. 问:防火墙内网用户如何管理防火墙?
答:此管理模式适用于路由和网桥两种模式。需要在防火墙上添加相应的规则。操作步骤如下:
1)在网络地址中添加两个网络对象,内网管理主机 IP地址/掩码(255。255。255。255) 绑定网卡;内网卡 IP地址/掩码(255。255。255。255) 绑定网卡。
2)在应用规则中添加一条应用规则,http-8080 出访端口 1024-65535 受访端口 8080 其余默认提交。
3)在过滤规则中添加一条过滤规则:内网管理主机->内网卡 http-8080 通过
在内网管理主机中IE键入:http:// 内网卡的IP:8080即可以登陆防火墙主界面。
2. 问:想要使用QQ或联众来娱乐,怎么发现连不上?
答:需要在防火墙上添加相应规则,放开相应服务。举例QQ说明。操作步骤如下:
1)应用规则,点击添加,命名QQ,协议类型TCP,出访端口1024-65535,受访端口8000,其余走默认即可;同样添加一条受访端口4000的应用规则。
2)过滤规则,添加相应规则源、目的走这条规则即可。
上述操作完毕以后,相对应的对象即可以使用QQ进行娱乐。
同理,只要知道相应服务的协议类型和端口号(或端口范围),即可以在防火墙上定义控制相应服务。
3. 问:http代理“URL过滤配置”关键字、URL匹配有数量限制吗?
答:没有最大数量限制,但是匹配多了会影响一定速度。
4. 问:网络地址的IP导入后有时候会出现页面混乱、IP输入不全?
答:IP地址过多时可能需要导入两次,如果一次不行就再导入一次。
5. 问:我发现“系统监控”连续不断点多次后,会占用较大CPU利用率,且持续。这样使用率过高的话会对网络有不好影响吧?
答:关掉IE重新登陆后即可以使CPU利用率恢复正常。
6. 问:防火墙WEB界面菜单“系统监控”第一次点开为什么有些慢?
答:因为第一次发起连接,数据页面,和页面中的数据传过来,需要时间较长些,页面留在系统cache中,下次点击,只需要防火墙端将数据传过来就可以,cache会保持这次连接,连接中断后cache中的内容会消失。
7. 问:为什么我上载配置文件后报错“上载文件有误”?
答:你上载的配置文件与当前的防火墙版本不匹配或者你的配置文件名防火墙程序不认同,请确认配置文件及防火墙版本和配置文件名正确匹配与否。
8. 问:下载配置文件我可以自定义命名吗?
答:可以。防火墙缺省的是以当天日期作为配置文件的文件名。用户自定义文件名可以在保留“jbfwconf.”的前提下,其余部分自己来定义。
9. 问:我如何让外网用户ping不到防火墙?
答:安全规则>>安全选项中有“本机对外部用户可见”,在前面的划勾框把相应的划勾去掉即可。即使防火墙外网卡IP被外网用户知道,他也无法ping通防火墙。无法进行相应的攻击操作。
10.问:防火墙“日志备分”下载后用什么文件格式打开?
答:防火墙中的日志备分文件是以压缩格式存储在防火墙的存储区中,点击下载后直接解压缩就可以用文本格式打开,如notepad、UltraEdit。因为日志文件相对来说比较大,所以打开时速度会有些慢。
11.问:我知道防火墙http代理是监听在8000端口上的,不知道可不可以用户自定义监听端口呢?
答:肯定可以的。但现在代理程序和防火墙程序是把http代理监听端口设定为8000,只要确实有这种需要,完全可以通过修改程序来达到目的,而且过程不是很复杂。
12.问:为什么我输入用户名和口令后界面告诉我“此用户不存在”?
答:可能是因为你用户密码输错了三次或三次以上(假定登陆失败次数是三次),你的用户已经被注销。
13.问:为什么我在系统用户定义中已经正确添加了远程用户,但该远程用户仍然无法管理防火墙?
答:可能是因为你没有激活远程用户,系统用户设置>>远程用户激活 激活配置即可;或者是你的远程管理主机与防火墙外网卡连接上有问题。
14.问:为什么我查询到的日志记录但无法把它下载备分下来?
答:由于防火墙上的日志是以文件的方式记录下来的,所以只有当该文件达到一定大小时,系统才会对其打包整理,形成一个可供下载的日志文件。而对正在使用可以查询到的当前操作记录,无法立即下载备分。
|