SophosUTM基本防火墙上手手册.ppt

Sophos UTM: 基本防火墙上手手册完整的安全体系保护企业所有的安全2防火墙网络安全防护无线安全邮件安全Web网站安全防护端点安全Web 安全过滤Sophos UTM完整的安全网关 多元化的硬件选择HardwareAppliance110/120220320425525625Multiple+ REDEnvironmentSmall networkMedium networkMedium networkLarge networkLarge networkLarge networkLarge networks+ branchesNetwork ports4886 & 2 SFP10 & 4 SFP10 & 8 SFPMultipleMax. recommended firewall users10/803008001.5003.5005.00010.000+Max. recommended UTM users10/35752006001.3002.0005.000Software Appliance *Runs on Intel-compatible PCs and serversVirtualAppliance *VMware Ready & Citrix Ready certified Runs in Hyper-V, KVM, and other virtual environments选择您要的模块FullGuardNetworkFirewallWeb ProtectionWebserverProtectionNetworkProtectionWirelessProtectionEmailProtectionEndpointProtection恢复出厂设置恢复出厂设置1. 按Enter 键.2. 接着按▼ 键将显示下列信息: All data erased （擦除所有数据）3. 再按Enter键将显示下列信息: Are you sure? （你确定吗？）使用上/下键，你可以选择 Yes (y) or No (n).4. 按下Enter 键确认你的设置.如果当前使用的是测试设备，请将设备恢复到出厂设置实际硬件设备在出厂时预装了安全系统默认的可用接口：Eth0 默认的 IP 地址：初始化 UTM— https://:4444 请注意：主机名会出现在 UTM的很多功能中，如果用户没有对UTM设置完整的DNS 名称（FQDN），请将主机名设置成外网网口 IP 地址。

初始化 UTM直接进入WebAdmin界面恢复以前的配置初始化 UTM导入有效的 License 文件如果此处不导入 License 文件，那么系统使用缺省的 30 天的全功能测试 License 运行测试期结束，设备将停止工作初始化 UTM设置 内网(Internal)接口的 IP 地址可选择，在启用 DHCP 服务分配的缺省网关：分配的DNS：初始化 UTM选择一个可用接口作为外口ASG 的外口是自定义的，不是系统内部固化的选择一种连接 Internet 的方法初始化 UTM选择允许内部网络连接到 Internet 的服务如果在此不作选择，也可以在WebAdmin中自己定义初始化 UTM选择需要开启哪些 IPS 规则，来保护内部网络的服务器此处选项，需要有 “网络安全” 服务许可如果在此不作选择，也可以在WebAdmin中自己定义初始化 UTM选择是否需要开启应用控制服务此处选项，需要有 “web安全” 服务许可如果在此不作选择，也可以在WebAdmin中自己定义初始化 UTM选择需要开启的网页过滤服务此处选项，需要有 “Web安全” 服务许可如果在此不作选择，也可以在WebAdmin中自己定义初始化 UTM选择需要开启的邮件过滤服务此处选项，需要有 “邮件安全” 服务许可如果在此不作选择，也可以在WebAdmin中自己定义初始化 UTM配置汇总，在这里可以看到已经启用或还没有启用的功能确认无误后，点击 “Finish” 按钮完成后，要重新在登入任务 1：实现 简单的Internet 连接需求连接 InternetUTM为内部网络提供 DHCP 服务内部所有 PC 都可以上网UTM•主机名(FQDN)：PCASLLAB192.168.140.0/24WebAdmin 的登录https://172.16.0.1:4444用户名：admin帮助WebAdmin 语言的修改选择“Simplified Chinese”转换到简体中文界面•转换完成，系统会要求再次登录时区与时间的修改在UTM中时区与时间的正确性非常重要，当时区或时间不正确证书的生成就不正确，造成未来建立VPN时非常有可能就失败了。

所以请完成初始化后务必确定一定系统的时区与时间创建外口选择一个可用的硬件接口外口一定要设置“默认网关”保存后“启用”，使之生效定义 DNS 服务UTM只对内部网络提供 DNS 服务允许内网或其它网口可以使用 UTM 的DNS 服务创建 DHCP 服务允许内网可以使用 UTM 当 DHCP Server设置 NAT为内部网络上网设置NAT•地址伪装，用于对数据包源 IP 地址的转换数据包的源 IP 地址数据包流出的接口设置策略允许 Internal 网段访问 Internet策略设置完成，请“启用”此策略任务 2：将内网的服务器对外发布需求对如下服务器的服务端口对外进行发布要求 Internet 用户和内部网络用户，使用同样的域名都可以访问 Web、FTP、Mail 服务No.内部服务器 IP 地址映射到公网 IP 地址开放的通讯服务器域名1172.16.0.210192.168.140.210HTTP2172.16.0.212192.168.140.212FTP3172.16.0.213192.168.140.213SMTP、POP3、IMAP外口配置多个 IP 地址定义多个“其他地址”，即从属地址在外口加上多个IP地址设置 NAT定义 DNAT （目的地址转换）•源网络：访问者所在网络地址•如果对Internet发布服务，那么源网络应该是 Internet IPv4•服务：对外发布的通讯端口或者通讯端口组•目的网络：对外发布的公网 IP 地址•一般是配置好的外口或其从属 IP 地址•转换后的目的地址：内部服务器的 IP 地址•服务：空，表示使用前面的服务定义•自动防火墙：启用，系统在内部创建策略，用户无需再自定义策略设置 NAT选用的是接口上的 IP 地址自动防火墙规则一但开启，管理员就不需要建立防火墙策略设置 NAT此 DNAT 表，可以实现 Internet 用户对服务器的访问设置防火墙规则当自动防火墙规则开启时，是不会有日志成生。

无法实施更进一步的限制，如限制来源地址自动防火墙规则关毕后，管理员一定要设置时防火墙规则通讯才会正常FAQ ?。