1、.锐捷网络防火墙配置指南(更新日期)锐捷网络800技术支持中心技术热线:800-858-1360目录一、RG-Wall防火墙注册指南2二、RG-Wall防火墙PAT设置指南16三、RG-Wall防火墙DNS分离功能设置19四、RG-Wall防火墙LSNAT设置指南25五、RG-Wall防火墙反向PAT设置指南28六、RG-Wall防火墙配置VPN指南32七、RG-Wall防火墙日志服务器部署指南38一、RG-Wall防火墙注册指南用准备好随机携带的串口线连接管理PC串口端口与RG-Wall的Console口;使用windwos自带的通讯工具”超级终端”登录防火墙( 开始 程序 附件 通讯 超级
2、终端):设置好超级终端参数之后,接通防火墙电源,RG-WALL系统开始启动。系统登入的默认ID和口令值如下(注意区分大小写):ID : root PW : rg-wall123登录系统,在终端或显示器屏幕的提示符后输入si, 出现防火墙登录界面,要求输入用户名密码。用户名为admin ,口令为admin123。登录后,即出现如下所示的登陆界面:输入reinstall注册防火墙,系统提示”Do you want to proceed anyway? “ 输入Y继续,防火墙重启。系统重启完后,重新登陆后,会进入以下状态:按“任意键”正式进入注册步骤:输入防火墙的软件序列号、授权代码(在防火墙随机带
3、的“产品授权使用证书”上)输入”O”(下同)进入防火墙工作模式的设置(默认情况下为“路由模式”):进入超级管理员的帐号、密码、管理权限设置:进入设定防火墙的机器名,语言版本等信息,注意防火墙机器名为了便于以后管理,请一定采用xxx.xxx.xxx ()的域名表示方式。这里使用中文版本:进入防火墙的时间设定,在此采用系统默认时间:进入防火墙管理员IP地址设置(最多可以设置10个管理员IP地址):进入防火墙网卡的IP地址设置如下图(LAN 1口IP地址为192.168.1.1):进入防火墙VLAN设置,在此处跳过:进入防火墙静态路由设置,添加Default gateway(缺省网关,在此为192.
4、168.26.10)进入防火墙动态路由设置,以下都跳过: 进入配置域名服务的有关信息。提示:输入域名时,一定是前面输入过的机器名的域名部分。进入防火墙策略的设置,在此,允许所有的的数据通过并进行PAT:至此,完成防火墙的注册。防火墙重启之后,在管理主机(比如192.168.1.47)上,使用防火墙的IP地址192.168.1.1即可登录防火墙的IE管理界面:二、RG-Wall防火墙PAT设置指南使用防火墙RG-WALL50的0口(DMZ)与1口分别连接不同网段的内网,同时实现两个网段共享上网。RG-WALL50防火墙2口用于连接internet(在此为192.168.26.47),缺省网关为1
5、92.168.26.10;1口用于与192.168.1.0/24网段主机连接,接口IP地址为192.168.1.1;0口用于连接192.168.0.0/24网段(WEB服务器为192.168.0.47,tcp80端口),接口IP地址为192.168.0.1。三、RG-Wall防火墙DNS分离功能设置防火墙DNS分离功能设置防火墙LSNAT设置1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):应用之后,点击确定,即可完成LSNAT的配置。实现DNS分离功能1、设置外部域名服务器:
6、把公网上的DNS地址输入文本框:2、DNS设置;选中“启用分离DNS”,“内部DNS”,将域名添加到列表中;如:添加(注意:不是www. )3、增加区域列表,此时区域是SOA(Start Of Authority的缩写,不可改);IP输入(一定是),邮件输入(任意的,没有限制);4、再增加区域列表,此时区域选择NS;IP输入(一定是),5、再增加区域列表,主机: 此时区域选择A;IP输入内网IP 192.168.1.47:6、如果要添加多台服务器的域名解析,只需要重复步骤5,即可;最后点击应用、确认.PC的IP地址设置DNS地址设置成防火墙内网口,PING ,地址解析成192.168.1.47
7、;PING ,地址解析成公网地址,验证DNS分离功能实现;在IE浏览器内输入域名即可访问四、RG-Wall防火墙LSNAT设置指南 防火墙的基本IP配置介绍:eth1 192.168.1.0/24 连接局域网,eth2 192.168.26.0/24 连接外网,如下图:缺省网关:防火墙LSNAT设置:1、选择“启用LSNAT”选择框,使用“+”图标,输入IP和端口,而且TCP,UDP,ANY中选择协议。2、点击,进入“添加子主机”界面(添加内部服务器的IP地址):应用之后,点击确定,即可完成LSNAT的配置。五、RG-Wall防火墙反向PAT设置指南RG-Wall防火墙反向PAT设置需求:服务
8、器172.16.2.13 通过RG-WALL 翻译成公网地址61.233.14.73 服务器,172.16.2.12 通过RG-WALL 翻译成公网地址61.233.14.74; 内部网络用户172.16.1.0/24 网段的用户可以直接通过公网IP 地址访问放在防火墙内部网络的服务器,公网用户可以通过公网IP 访问通过防火墙提供服务的公网服务器.。配置默认路由下一跳 61.233.14.65 。RG-WALL 基本配置:外网地址 61.233.14.66 DMZ 地址172.16.2.252 内网地址 172.16.1.1 默认路由61.233.14.65 从ISP 获得公网地址61.233
9、.14.66-61.233.14.76 静态NAT 配置公网用户可以使用公网IP 访问放在防火墙DMZ 区域的服务器172.16.2.13 对应 61.233.14.73 172.16.2.12 对应 61.233.14.74 反向PAT 配置指定所需要内网访问的网段对应需要内网用公网IP 访问的服务器公网IP 地址。建议反向PAT 地址是一个没有被使用的公网地址,本案例中使用的是61.233.14.72 只需要配置1 个反向PAT 地址即可正向PAT ,内网172.16.1.0/24 的用户可以通过Eth2 访问Internet 反向PAT ,内网172.16.1.0/24 的用户可以通过E
10、th1 访问由防火墙转换的放在内网的服务器,例如 61.233.14.73 或者 61.233.14.74 通过反向PAT , 客户就可以在内网使用公网地址访问放在内部网络的服务器。访问速度为内网访问速度。由于静态NAT 使用的一对一地址映射,映射后的主机拥有公网地址,建议采用严格的过滤规则来保护服务器,相关设置可在策略规则中设定。六、RG-Wall防火墙配置VPN指南 本文档介绍了如何用我司的防火墙做vpn服务器,客户端使用锐捷专用程序拨入的配置方法。网关到网关的配置请参考说明书。在配置vpn的时候,建议先做好网络对象,以备在做用户组的时候可以给拨入用户分配访问不同对象的权限。配置IKE:由
11、于是用pc拨入防火墙,这里只要设置第二个页面即default config就可以了,不用修改参数,按默认就可以正常工作。如下图:配置vpn列表:配置phase 1 proposal,按默认的就可以了。如下图:配置phase 2 proposal,把encapsulation mode 改为transport mode即可。配置ip pool,主要是设置一个地址池,用于分配给拨入的用户,配置好后,请点击一下应用,否则在建立组时无法发现本地址池:如下图配置user-group,建立一个用户组,与ip pool关联起来,再分配本组的权限,如可以访问哪个网段、服务器等(这些网段都是在规则中建立的网络对
12、象)。配置remote user,建立远程拨入的用户名与密码,并与user-group关联。配置remote gw ,这个可以不用配置,因为远端的IP不是固定的。安装配置锐捷ramming 线性规划link 连接、链接linkage 连接、链接linker 连接器、链接器list 列表、表、链表list box 列表框literal constant 字面常数livelock 活锁 (for database)load 装载、加载load balancing 负载平衡loader 装载器、载入器local 局部的local object 局部对象lock 锁log 日志login 登录logi
13、n security mode登录安全模式 (for database)Longest Common Substring 最长公共子串lookup table 查找表 (for database)loop 循环loose coupling 松散耦合lvalue 左值M.machine code 机器码、机器代码macro 宏maintain 维护Maintaining Line Arrangements 平面分割managed code 受控代码、托管代码Managed Extensions 受控扩充件、托管扩展managed object 受控对象、托管对象mangled namemanif
14、est 清单manipulator 操纵器(iostream预先定义的一种东西)many-to-many relationship 多对多关系 (for database)many-to-one relationship 多对一关系 (for database)marshal 列集Matching 匹配Matrix Multiplication 矩阵乘法Medial-Axis Transformation 中轴变换Median and Selection 中位数member 成员member access operator 成员取用运算子(有dot和arrow两种)member functio
15、n 成员函数member initialization list成员初始值列表memberwise 以member为单元、members 逐一memberwise copymemory 内存memory leak 内存泄漏menu 菜单message 消息message based 基于消息的message loop 消息环message queuing消息队列metadata 元数据metaprogramming元编程method 方法micro 微middle tier 中间层middleware 中间件MIME Multipurpose Internet Mail Extension 多
16、用途 Internet 邮件扩展Minimum Spanning Tree 最小生成树Minkowski Sum Minkowski和modeling 建模modeling language 建模语言modem 调制解调器modifier 修饰字、修饰符module 模块most derived class最底层的派生类Motion Planning 运动规划mouse 鼠标multi-tasking 多任务multi-thread 多线程multicast delegate 组播委托、多点委托multidimensional OLAP (MOLAP) 多维OLAP(MOLAP) (for d
17、atabase)multithreaded server application 多线程服务器应用程序multiuser 多用户mutable 可变的mutex 互斥元、互斥体N.named parameter 命名参数named pipe 命名管道namespace 名字空间、命名空间native 原生的、本地的native code 本地码、本机码Native Image Generator (NGEN)本地映像生成器Nearest Neighbor Search 最近点对查询nested class 嵌套类nested query 嵌套查询 (for database)nested ta
18、ble 嵌套表 (for database)network 网络network card 网卡Network Flow 网络流nondependent nameNumerical Problems 数值问题O.object 对象object based 基于对象的object file 目标文件object model 对象模型object oriented 面向对象的object pooling 对象池化ODBC data source ODBC数据源 (for database)ODBC driver ODBC驱动程序 (for database)ODR (one-definition r
19、ule)OLE Automation objects OLE自动化对象 (for database)OLE Automation server OLE自动化服务器 (for database)OLE DB consumer OLE DB使用者 (for database)OLE DB for OLAP 用于OLAP的OLE DB (for database)OLE DB provider OLE DB提供者 (for database)one-to-many relationship 一对多关系 (for database)one-to-one relationship 一对一关系 (for
20、database)online analytical processing (OLAP) 联机分析处理(OLAP) (for database)online redo log 联机重做日志 (for database)online transaction processing (OLTP) 联机事务处理(OLTP) (for database)Open Data Services (ODS) 开放式数据服务(ODS) (for database)Open Database Connectivity (ODBC) 开放式数据库连接(ODBC) (for database)operand 操作数o
21、perating system (OS) 操作系统operation 操作operator 操作符、运算符optimizer 优化器option 选项工作时,你认为领导要求的方式不是最好的,自己还有更好的方法,你应该怎么做?回答提示:.原则上我会尊重和服从领导的工作安排;同时私底下找机会以请教的口吻,婉转地表达自己的想法,看看领导是否能改变想法;如果领导没有采纳我的建议,我也同样会按领导的要求认真地去完成这项工作;.还有一种情况,假如领导要求的方式违背原则,我会坚决提出反对意见;如领导仍固执己见,我会毫不犹豫地再向上级领导反映。45、与上级意见不一是,你将怎么办?”回答提示:一般可以这样回答“
22、我会给上级以必要的解释和提醒,在这种情况下,我会服从上级的意见。”如果面试你的是总经理,而你所应聘的职位另有一位经理,且这位经理当时不在场,可以这样回答:“对于非原则性问题,我会服从上级的意见,对于涉及公司利益的重大问题,我希望能向更高层领导反映。”分析:这个问题的标准答案是思路1,如果用2的回答,必死无疑。你没有摸清楚改公司的内部情况,先想打小报告,这样的人没有人敢要。46、“你工作经验欠缺,如何能胜任这项工作?”常规思路:如果招聘单位对应届毕业生的应聘者提出这个问题,说明招聘公司并不真正在乎“经验”,关键看应聘者怎样回答;对这个问题的回答最好要体现出应聘者的诚恳、机智、果敢及敬业;如“作为
23、应届毕业生,在工作经验方面的确会有所欠缺,因此在读书期间我一直利用各种机会在这个行业里做兼职。我也发现,实际工作远比书本知识丰富、复杂。但我有较强的责任心、适应能力和学习能力,而且比较勤奋,所以在兼职中均能圆满完成各项工作,从中获取的经验也令我受益非浅。请贵公司放心,学校所学及兼职的工作经验使我一定能胜任这个职位。” 点评:这个问题思路中的答案尚可。突出自己的吃苦能力和适应性以及学习能力(不是学习成绩)为好。47、您在前一家公司的离职原因是什么?”回答提示:最重要的是:应聘者要使找招聘单位相信,应聘者在过往的单位的“离职原因”在此家招聘单位里不存在;避免把“离职原因”说得太详细、太具体;不能掺
24、杂主观的负面感受,如“太辛苦”、“人际关系复杂”、“管理太混乱”、“公司不重视人才”、“公司排斥我们某某的员工”等;但也不能躲闪、回避,如“想换换环境”、“个人原因”等;不能涉及自己负面的人格特征,如不诚实、懒惰、缺乏责任感、不随和等;尽量使解释的理由为应聘者个人形象添彩;相关例子:如“我离职是因为这家公司倒闭;我在公司工作了三年多,有较深的感情;从去年始,由于市场形势突变,公司的局面急转直下;到眼下这一步我觉得很遗憾,但还要面对显示,重新寻找能发挥我能力的舞台。”同一个面试问题并非只有一个答案,而同一个答案并不是在任何面试场合都有效,关键在应聘者掌握了规律后,对面试的具体情况进行把握,有意识
25、地揣摩面试官提出问题的心理背景,然后投其所好。分析:除非是薪资太低,或者是最初的工作,否则不要用薪资作为理由。“求发展”也被考官听得太多,离职理由要根据每个人的真实离职理由来设计,但是在回答时一定要表现得真诚。实在想不出来的时候,家在外地可以说是因为家中有事,须请假几个月,公司又不可能准假,所以辞职。这个答案一般面试官还能接受。48、“你工作经验欠缺,如何能胜任这项工作?”回答提示:如果招聘单位对应届毕业生的应聘者提出这个问题,说明招聘公司并不真正在乎“经验”,关键看应聘者怎样回答;对这个问题的回答最好要体现出应聘者的诚恳、机智、果敢及敬业;如“作为应届毕业生,在工作经验方面的确会有所欠缺,因
26、此在读书期间我一直利用各种机会在这个行业里做兼职。我也发现,实际工作远比书本知识丰富、复杂。但我有较强的责任心、适应能力和学习能力,而且比较勤奋,所以在兼职中均能圆满完成各项工作,从中获取的经验也令我受益非浅。请贵公司放心,学校所学及兼职的工作经验使我一定能胜任这个职位。”分析:这个问题思路中的答案尚可。突出自己的吃苦能力和适应性以及学习能力(不是学习成绩)为好。49、为了做好你工作份外之事,你该怎样获得他人的支持和帮助?回答提示:每个公司都在不断变化发展的过程中;你当然希望你的员工也是这样。你希望得到那些希望并欢迎变化的人,因为这些人明白,为了公司的发展,变化是公司日常生活中重要组成部分。这
27、样的员工往往很容易适应公司的变化,并会对变化做出积极的响应。此外,他们遇到矛盾和问题时,也能泰然处之。下面的问题能够考核应聘者这方面的能力。据说有人能从容避免正面冲突。请讲一下你在这方面的经验和技巧。有些时候,我们得和我们不喜欢的人在一起共事。说说你曾经克服了性格方面的冲突而取得预期工作效果的经历。50、如果你在这次面试中没有被录用,你怎么打算?回答提示:现在的社会是一个竞争的社会,从这次面试中也可看出这一点,有竞争就必然有优劣,有成功必定就会有失败.往往成功的背后有许多的困难和挫折,如果这次失败了也仅仅是一次而已,只有经过经验经历的积累才能塑造出一个完全的成功者。我会从以下几个方面来正确看待
28、这次失败.第一、要敢于面对,面对这次失败不气馁,接受已经失去了这次机会就不会回头这个现实,从心理意志和精神上体现出对这次失败的抵抗力。要有自信,相信自己经历了这次之后经过努力一定能行.能够超越自我.第二、善于反思,对于这次面试经验要认真总结,思考剖析,能够从自身的角度找差距。正确对待自己,实事求是地评价自己,辩证的看待自己的长短得失,做一个明白人.第三、走出阴影,要克服这一次失败带给自己的心理压力,时刻牢记自己弱点,防患于未然,加强学习,提高自身素质.第四、认真工作,回到原单位岗位上后,要实实在在、踏踏实实地工作,三十六行,行行出状元,争取在本岗位上做出一定的成绩.第五、再接再厉,成为国家公务
29、员一直是我的梦想,以后如果有机会我仍然后再次参加竞争.51、假如你晚上要去送一个出国的同学去机场,可单位临时有事非你办不可,你怎么办?回答提示:我觉得工作是第一位的,但朋友间的情谊也是不能偏废的。这个问题我觉得要按照当时具体的情况来决定。(1)、如果我的朋友晚上9点中的飞机,而我的 加班八点就能够完成的话,那就最理想了,干完工作去机场,皆大欢喜。(2)、如果说工作不是很紧急,加班仅仅是为了明天上班的时候能把报告交到办公室,那完全可以跟领导打声招呼,先去机场然后回来加班,晚点睡就是了。(3)、如果工作很紧急,两者不可能兼顾的情况下,我觉得可以由两种选择。1)如果不是全单位都加班的话,是不是可以要
30、其他同事来代替以下工作,自己去机场,哪怕就是代替你离开的那一会儿。2)如果连这一点都做不到的话,那只好忠义不能两全了,打电话给朋友解释一下,小心他会理解,毕竟工作做完了就完了,朋友还是可以再见面的。52、如果通过这次面试我们单位录用了你,但工作一段时间却发现你根本不适合这个职位,你怎么办?回答提示:一段时间发现工作不适合我,有两种情况:1、如果你确实热爱这个职业,那你就要不断学习,虚心向领导和同事学习业务知识和处事经验,了解这个职业的精神内涵和职业要求,力争减少差距;2、你觉得这个职业可有可无,那还是趁早换个职业,去发现适合你的,你热爱的职业,那样你的发展前途也会大点,对单位和个人都有好处。5
31、3、你做过的哪件事最令自己感到骄傲?回答提示:这是考官给你的一个机会,让你展示自己把握命运的能力。这会体现你潜在的领导能力以及你被提升的可能性。假如你应聘于一个服务性质的单位,你很可能会被邀请去午餐。记住:你的前途取决于你的知识、你的社交能力和综合表现。54、谈谈你过去做过的成功案例回答提示:举一个你最有把握的例子,把来龙去脉说清楚,而不要说了很多却没有重点。切忌夸大其词,把别人的功劳到说成自己的,很多主管为了确保要用的人是最适合的,会打电话向你的前一个主管征询对你的看法及意见,所以如果说谎,是很容易穿梆的。55、谈谈你过去的工作经验中,最令你挫折的事情回答提示:曾经接触过一个客户,原本就有耳
32、闻他们以挑剔出名,所以事前的准备功夫做得十分充分,也投入了相当多的时间与精力,最后客户虽然并没有照单全收,但是接受的程度已经出乎我们意料之外了。原以为从此可以合作愉快,却得知客户最后因为预算关系选择了另一家代理商,之前的努力因而付诸流水。尽管如此,我还是从这次的经验学到很多,如对该产业的了解,整个team的默契也更好了。分析:借此了解你对挫折的容忍度及调解方式。56、如何安排自己的时间?会不会排斥加班?回答提示:基本上,如果上班工作有效率,工作量合理的话,应该不太需要加班。可是我也知道有时候很难避免加班,加上现在工作都采用责任制,所以我会调配自己的时间,全力配合。分析:虽然不会有人心甘情愿的加
33、班,但依旧要表现出高配合度的诚意。57、为什么我们要在众多的面试者中选择你?回答提示:根据我对贵公司的了解,以及我在这份工作上所累积的专业、经验及人脉,相信正是贵公司所找寻的人才。而我在工作态度、上,也有圆融、成熟的一面,和主管、同事都能合作愉快。分析:别过度吹嘘自己的能力,或信口开河地乱开支票,例如一定会为该公司带来多少钱的业务等,这样很容易给人一种爱说大话、不切实际的感觉。58、对这个职务的期许?回答提示:希望能借此发挥我的所学及专长,同时也吸收贵公司在这方面的经验,就公司、我个人而言,缔造“双赢”的局面。分析:回答前不妨先询问该公司对这项职务的责任认定及归属,因为每一家公司的状况不尽相同。以免说了一堆理想抱负却发现牛头不对马嘴。59、为什么选择这个职务?
