WatchGuard 用户快速配置指南.doc

WatchGuard System Manager用户快速配置指南WatchGuard System Manager v10Fireware v10Fireware Pro v10目 录1 网络和网络平安介绍 11.1 关于网络和网络平安 11.2 关于 IP 地址 1专用地址和网关 2关于子网掩码 2 关于斜线表示法 2 关于输入 IP 地址 3 静态和动态 IP 地址 3关于 DHCP 4关于 PPPoE 4 关于域名效劳 (DNS) 41.3 关于效劳和策略 51.4 关于端口 52 WatchGuard System Manager 简介 72.1 介绍WatchGuard System Manager 7 WatchGuard System Manager 工具 8WatchGuard System Manager 8Policy Manager 8Firebox System Manager 8 关于 WatchGuard 效劳器 9Log Server 9Management Server 9Quarantine Server 10Report Server 10WebBlocker Server 102.2 关于 Fireware 10 Fireware 与 Fireware Pro 11 关于 WatchGuard System Manager 和 WFS 113 入门 133.1 开始之前 13 验证根本组件 13 获取 Firebox 功能密钥 14 收集网络地址 14 选择防火墙配置模式 15 确定效劳器软件的安装位置 163.2 设置管理工作站 17 备份以前的配置 17 下载 WatchGuard System Manager 软件 17 关于软件加密级别 183.3 关于 Quick Setup Wizard 19 Web Quick Setup Wizard 20如果使用向导时有问题 21向导完成之后 22 Quick Setup Wizard〔非 Web〕 22关于设置日志加密密钥 23向导完成之后 233.4 安装后的工作 24 自定义平安策略 25 关于 LiveSecurity Service 253.5 启动 WatchGuard System Manager 25 连接至 Firebox 26 从 Firebox 断开连接 27 从所有 Firebox 断开连接 27 启动平安应用程序 28Policy Manager 28Firebox System Manager 28HostWatch 28LogViewer 29WatchGuard 报告 29Quick Setup Wizard 29CA Manager 293.6 升级到新版本的 Fireware 303.7 降级到 WSM 9.1.x 或更低版本 31如果您有备份文件 31如果您没有备份文件 323.8 其他安装考前须知 32 安装 WSM 并保存较早的版本 32 在装有桌面防火墙的计算机上安装 WatchGuard 效劳器 33 路由配置 33 Drop-in 配置 34 将附属网络添加到配置中 36 外部接口上的动态 IP 支持 37 关于连接 Firebox 电缆 374 效劳与支持 394.1 关于 Watchguard 支持 39 关于 LiveSecurity 解决方案 39威胁响应、警告和专家建议 39方便的软件更新 40访问技术支持和培训 40 LiveSecurity 播送 40信息警告 40威胁响应 40软件更新 41评论 41根底 41回忆 41支持 Flash 41病毒警告 41来自 WatchGuard 的最新信息 41 LiveSecurity Service 自助工具 42立即应答 42产品 FAQ 42问题 42WatchGuard 用户论坛 42培训 42产品文档 434.2 激活 LiveSecurity Service 434.3 WatchGuard 用户论坛 444.4 产品文档 454.5 培训和认证 454.6 关于 WatchGuard 技术支持 46 LiveSecurity Service 技术支持 46工作时间 46 号码 46网站 46效劳时间 474.6.2 LiveSecurity Gold 47 Firebox 安装效劳 48 VPN 安装效劳 481 网络和网络平安介绍1.1 关于网络和网络平安“网络〞是互相连接的一组计算机和其他设备。

它可以是使用串行电缆连接的两台计算机，也可以是世界各地通过 Internet 连接的许多台计算机同一网络中的计算机可以一起工作并共享数据虽然 Internet 可让您获得大量信息和商业时机，但它也会使您的网络受到攻击好的网络平安策略可帮助您发现并阻止对您的计算机或网络的攻击受到攻击的代价很高可能需要修理或更换计算机雇员的时间和资源将用于解决由攻击引起的问题可从网络获取有价值的信息许多人认为他们的计算机中没有重要信息他们认为自己的计算机不会成为黑客攻击的目标这是不对的黑客可以使用您的计算机作为平台，来攻击其他计算机或网 络，或者使用您的帐户信息发送垃圾邮件或进行攻击您的个人信息和帐户信息也容易受到黑客攻击，并且这些信息对于黑客是很有用的1.2 关于 IP 地址要向某人发送平信，您必须知道此人的街道地址而对于 Internet 上要向其他计算机发送数据的计算机，它必须知道目标计算机的地址计算机地址称为 Internet 协议 (IP) 地址Internet 上的所有设备都具有唯一的 IP 地址，这使得 Internet 上的其他设备能够找到它们并与之交互IP 地址由四个以十进制形式表示的八进制数〔8 位二进制序列〕组成，并以句点分隔。

句点之间的每个数字都必须介于 0 到 255 之间下面是一些 IP 地址例如：l 206.253.208.100 = WatchGuard l 4.2.2.2 = 核心 DNS 效劳器l 10.0.4.1 = 专用 IP专用地址和网关许多公司都会建立具有自己的地址空间的专用网络地址 10.x.x.x 和 192.168.x.x 是为专用 IP 地址保存的Internet 上的计算机无法使用上述地址如果您的计算机位于专用网络上，那么可以通过具有公用 IP 地址的网关 设备连接到 Internet默认网关 通常为位于您的网络和 Internet 之间的路由器在网络上安装 Firebox 之后，它会成为已连接到其可信任接口或可选接口的所有计算机的默认网关关于子网掩码出于平安和性能方面的考虑，网络通常会分成更小的局部〔称为子网〕同一子网中的所有设备的 IP 地址均相似例如，IP 地址的前三个八进制数为 50.50.50 的所有设备都属于同一子网网络 IP 地址的子网掩码或网络掩码是“掩盖〞IP 地址局部的位字符串，用于显示可用地址数以及使用中的地址数例如，大型网络的子网掩码可能显示为 255.255.0.0。

零表示 1 到 255 之间的数字都可用作 IP 地址范围255 表示该 IP 地址范围已被占用在子网掩码为 255.255.0.0 的网络中，可用 IP 地址为 65,025 个更小的网络子网掩码为 255.255.255.0可用 IP 地址只有 254 个 1.2.1 关于斜线表示法斜线表示法 在 Firebox 中的用途很广，包括策略配置斜线表示法是一种用来表示网络子网掩码的简便方式要以斜线表示法表示子网掩码，请执行以下操作：1. 首先，找出子网掩码的二进制表示方法例如，255.255.255.0 的二进制表示方法为 11111111.11111111.11111111.000000002. 统计子网掩码中的“1〞的数目此例如包含二十四 (24) 个数字“1〞3. 将步骤 2 中的数目添加到 IP 地址，以斜线 (/) 分隔IP 地址 192.168.42.23/24 相当于具有网络掩码 255.255.255.0 的 IP 地址 192.168.42.23下表显示了常用的网络掩码及其等效的斜线表示法网络掩码等效的斜线表示法/8/16/24/24/24/27/28/29255.255.255.252 /301.2.2 关于输入 IP 地址在 Quick Setup Wizard 或 Firebox 管理软件的对话框中键入 IP 地址时，请以正确的顺序键入数字和句点。

不要使用 TAB 键、箭头键、空格键或鼠标将光标放在句点后面 例如，如果键入 IP 地址 172.16.1.10，请不要在键入“16〞之后键入空格不要试图将光标放在随后的句点之后来键入“1〞在“16〞之后直接键入句点，然后键入“1.10〞按斜线 (/) 键，移至网络掩码1.2.3 静态和动态 IP 地址ISP〔Internet 效劳提供商〕会为其网络中的每台设备分配 IP 地址IP 地址可以是静态的，也可以是动态的 静态 IP 地址是始终保持相同的 IP 地址如果您有 Web 效劳器、FTP 效劳器或其他必须具有不能更改地址的 Internet 资源，那么可以从 ISP 处获得静态 IP 地址静态 IP 地址通常比动态 IP 地址贵，而且某些 ISP 不提供静态 IP 地址您必须手动配置静态 IP 地址 动态 IP 地址是 ISP 允许您暂时使用的 IP 地址如果某个动态地址未被使用，那么可自动将其分配给其他设备动态 IP 地址是使用 DHCP 或 PPPoE 分配的 关于 DHCP 动态主机配置协议 (DHCP) 是网络中的计算机用于获取 IP 地址和其他信息〔例如默认网关〕的 Internet 协议。

当连接到 Internet 时，在 ISP 处配置为 DHCP 效劳器的计算时机自动为您分配一个 IP 地址它可能与您以前所拥有的 IP 地址相同，也可能是新的 IP 地址当您断开使用动态 IP 地址的 Internet 连接时，ISP 会将该 IP 地址分配给其他客户 对于位于 Firebox 后面的网络，您可以将 Firebox 配置为 DHCP 效劳器您可以指定供 DHCP 效劳器从中选择的地址范围 关于 PPPoE某些 ISP 会通过以太网点对点协议 (PPPoE) 分配其 IP 地址PPPoE 扩展了标准拨号连接，以增强以太网和 PPP 的某些功能此网络协议使 ISP 能够通过 DSL 调制解调器和电缆调制解调器产品，来使用其拨号根底结构的计费、身份验证和平安系统 1.2.4 关于域名效劳 (DNS)如果您不知道某人的地址，那么通常可以在 簿中找到该地址在 Internet 上，DNS〔域名效劳〕就相当于 簿每个网站都有一个映射到 IP 地址的域名〔例如“m。