《系统管理》PPT课件.ppt

《《系统管理》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《系统管理》PPT课件.ppt（37页珍藏版）》请在三一办公上搜索。

1、系统管理,讲解人：朱建英 2010、07,通过完成此章节课程，您将可以-通过多种方式对设备进行管理-通过管理“许可证”扩展产品功能-管理设备配置文件、Image-熟悉设备系统维护及配置恢复过程,章节目标,议程：系统管理,系统管理功能许可证管理配置文件管理DCFOS版本升级,配置主机名称：,为区分安全网关，可以为每一台安全网关指定不同的名称安全网关的默认名称是其平台名称。例如DCFW-1800 WebUI：访问页面“系统设备管理基本信息”，将名称输入文本框，然后点击确定按钮。CLI通过CLI配置安全网关名称，在全局配置模式下输入以下命令：hostname host-name恢复安全网关的默认名称

2、，在全局配置模式下输入以下命令：no hostname,密码策略 神州数码提供密码复杂检测功能，可以通过启用该功能强制新建管理员账号的密码符合复杂度需求 WebUI:系统设备管理基本信息,密码策略,系统管理 安全网关设备由系统管理员（administrator）管理、配置系统管理员的配置包括创建管及管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员”admin“，用户可以更改其密码，但是不能删除该管理员。管理员分为读写执行权限管理员、只读执行权限管理员。,系统管理员,WebUI：系统设备管理基本信息：,配置系统管理员（WebUI）,在全局配置模式下输入以

3、下命令配置管理员 admin user user-name在全局配置模式下输入以下命令删除指定配置管理员 no admin user user-name在管理员配置模式下，输入以下命令配置管理员的密码：password password在管理员配置模式下，输入以下命令配置管理员的特权 privilegeRX|RXW在管理员配置模式下，输入以下命令配置管理员的访问方式：access console|http|https|ssh|telnet|any显示系统管理员信息：show admin user显示系统管理员具体配置信息：show admin user user-name,配置系统管理员（We

4、bUI）,可信主机 安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个IP地址范围，在该指定范围内的主机为可信主机。只有可信主机才可以对安全网关进行管理。系统设备管理可信主机,可信主机,配置系统的可信主机，在全局配置模式下，使用以下命令 admin host A.B.C.D A.B.C.D|anyhttp|https|ssh|telnet|any A.B.C.D A.B.C.D|any 指定可信主机的IP地址范围，例如：。Any表示任何IP地址。http|https|ssh|telnet|any-指定可信主机的登录类型 any表示可以使用http、https、ssh和telnet任意

5、一种登录类型用户可以配置多条该命令添加多个可信主机范围。系统最多允许配置128条可信主机范围。取消可信主机的指定使用以下命令 no admin host A.B.C.D A.B.C.D 取消对可信主机特定登录类型的指定使用以下命令 no admin host A.B.C.D A.B.C.D|anyhttp|https|ssh|telnet使用show 命令查看可信主机配置：show admin host,配置可信主机（CLI）,安全网关支持的用户管理接口类型 Console、Telnet、SSH、WebUI自定义用户管理接口：各种访问方式的超时时间、端口号以及HTTPS的 PKI信任 域在一分

6、钟内连续三次登录失败，系统会将登录失败的IP地址锁定两分钟。被锁定的IP地址在两分钟内不能建立与设备的连接,用户接口,系统设备管理用户接口,配置用户接口(WebUI),配置Telnet超时时间，在全局配置模式下，使用以下命令 telnet timeout timeout-value（单位分钟）配置telnet端口号，在全局配置模式下，使用以下命令 telnet port port-number配置telnet最大登录次数，在全局配置模式下，使用以下命令 telnet authorization-try-count count-number配置SSH管理接口 ssh timeout timeou

7、t-value ssh port port-number ssh concention-interval interval-time（配置SSH连接时间间隔）,配置用户接口(CLI),配置WebUI管理接口 web timeout timeout-value http port port-number https port port-number https trust-domain trust-domain-name(指定HTTPS方式访问 时使用PKI信任域)显示用户接口配置 show console show telnet show ssh show http,配置用户接口(CLI),议

8、程：系统管理,系统管理功能 许可证管理配置文件管理DCFOS版本升级,一、平台许可证：平台许可证实其他许可证运行的基础。如果设备缺少有效的平台许可证。其他许可证均不生效。平移台许可证分试用许可和标准许可两种。1、Platform Trial试用平台许可证 设备出厂默认已预装15天试用许可证。如在产品正式销售前需要客户测试，可在此申请试用许可证。测试许可证可申请多次累加，每次为15天测试时间（以实际加电运行时间计算）注意：用户试用期满将无法修改防火墙配置，在不重启的情况下，设备通信正常，但会对通过的http会话，每5000个连接中随机抽取一个，进行WEB页面的重定向，向用户提示设备试用期已到；当

9、超期3个月后，则将所有的用户请求均定向到此页面，中断用户网络。用户试用期满重启防火墙后，将不加载配置文件 2、Platform Normal标准平台许可证 当设备正式销售后，可以安装标准平台许可证。标准平台许可证许可以永久试用。许可证中的“license work for”时间对应的是购买产品服务的有效时间。也就是说，这个License可以支持这个时间段发布的DCFOS系统升级服务,许可证的分类,二、服务许可证：AV、IPS、URL许可证：它的有效时间神州数码升级库服务器时间为准。试用病毒库、IPS功能，可通过申请一个短时间的使用许可证来实现 注意：加载防病毒、IPS许可证后，系统为了保护处理

10、能力会将整机并发连接数减少一半，添加多个服务License不会叠加减半。您可在命令行下 通过show session generic命令进行查看。例：DCFW-1800#show session generic VSYS 0,max 80000,alloced 16,deny session 0,free 79984,tunnel 0,alloc failed 0,许可证的分类,三、特征/Capacity许可证：1、QoS许可证 提供QoS与应用特征库升级功能 2、SSL VPN许可证 用来支持更多的SSL VPN并发用户数。支持多个许可证累加，并且可以与设备自带的免费用户数进行累加。,许可证

11、的分类,申请许可证,第1步：生成申请许可证所需的许可证请求 WebUI：访问页面“系统-许可证”，填入用户信息，点击【生成】按钮，然后将许可申请发给zhujya 注意：这里的用户信息不要填写真实信息,登录防火墙，依次点击系统-许可证-在许可证安装框中，粘贴生成的license代码后，点击确定。,许可证WebUI装载,您可以在命令行下装载License:例：DCFW-1800#exec license install+license代码 注意：在命令行下加载licesne时需要去掉代码头的“license：”回车后等待几秒钟，将会出现“successfully install the licen

12、se，you can reboot to active it”字样提示，重启后生效。,许可证命令行下装载,议程：系统管理,系统管理功能许可证管理 配置文件管理DCFOS版本升级,配置文件：以命令行的格式保存配置安全网关的配置信息1台安全网关可最多支持保存10份配置文件配置文件中保存的用来初始化安全网关的配置信息称做起始配置信息，安全网关通过读取起始配置信息进行启动时的初始化工作如果找不到起始配置信息，安全网关则使用安全网关的缺省配置初始化系统记录最近十次保存的配置信息，最后一次保存的配置信息会记录为系统的当前起始配置信息，当前系统配置信息以“current”作为标记；前九次的配置信息按照保存时

13、间的先后以数字0到8作为标记。,配置文件管理,系统配置 管理员可以导入、导出或者将系统恢复出厂配置，当前配置窗口提供对current配置的Web方式查询。系统能够记录十次保存的起始配置信息，用户可以根据需要导出或回退到已保存的指定起始配置信息。如需新选定配置记录生效，需手工重启系统。,配置文件管理（WebUI）,查看当前配置，输入以下命令 show configuration查看安全网关的当前起始配置信息，输入以下命令 show configuration saved current 当前系统配置信息以“current”作为标记，前九次的配置信息按照保存时间的先后以数字0到8作为标记查看安全网

14、关的备份起始信息，使用以下命令 show configuration saved number number-备份起始信息的数字标记查看安全网关的备份起始信息记录，输入以下命令 show configuration saved record,配置文件管理（CLI）,回退起始配置信息 rollback configuration saved number删除配置文件 delete configuration saved current|number保存配置文件 save string string是所保存配置信息的描述导出配置信息 export configuration current|num

15、ber to ftp|tftp|usb导入配置信息 import configuration from ftp|tftp|usb恢复出厂配置 unset all,配置文件管理（CLI）,议程：系统管理,系统管理功能许可证管理配置文件管理 DCFOS版本升级,通过WebUI升级DCFOS：系统系统版本 安全网关可以同时保存2个系统固件，系统将在上载的同时备份所选择的DCFOS。5、点击浏览按钮并且选中要上载的DCFOS6、点击确定按钮，系统开始上载指定的DCFOS 完成升级后，需要重启安全网关启动新升级的DCFOS,DCFOS升级（WEB）,启动系统过程 安全网关的启动系统分为三个部分：分别是B

16、ootloader、Sysloader和DCFOS。它们各自的作用如下：Bootloader-安全网关加电后最先运行的程序。Bootloader装载执行DCFOS或者Sysloader。Sysloader-升级DCFOS。DCFOS-升级网关的操作系统软件。系统启动后，Bootloader尝试启动DCFOS或者Sysloader。DCFOS是安全网关的操作系统软件。Sysloader实现DCFOS的更新和选择，支持FTP、TFTP以及直接通过USB接口升级Sysloader本身的升级由Bootloader通过TFTP下载完成,设备启动过程,安全网关的时间影响到VPN隧道的建立和时间表的时间，并

17、且日志都是基于系统时间记录的，因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式，分别是手动设置和通过NTP与服务器同步。,系统时间,手动设置系统时间：系统日期/时间 可以手动设置系统时间，或者点击“同步”按钮通过浏览器获取管理员本地电脑时间,系统时间（WebUI）,点击按钮获取本地电脑时间,手动设置时间（CLI）在全局配置模式下使用clock time命令。具体命令描述如下：clock time HH:MM:SS Month Day YearMonth的取值范围是1到12；Day的取值范围是1到31；Year的取值范围是2000到2035.以下是设置时间的命令配置示例：DCFW-1

18、800(config)#clock time 14:26:00 7 4 2010手动设置系统的时区：在全局模式下使用clock zone命令。具体命令及描述如下：clock zone timezone-name输入clock zone？可以查看所有支持的时区。以下是设置时区的命令配置示例：DCFW-1800(config)#clock zone china,系统时间（CLI）,系统工具：安全网关提供基本的诊断工具，方便用户可以通过这些工具察看网络和路由是否连通。,系统诊断工具（WebUI）,安全网关支持网络连接测试工具ping和Traceroute，当网络出现问题时，用户可以用这些工具对网络进

19、行测试，查找故障原因。安全网关同时具有调试功能，供用户查阅和分析。Ping 命令主要用于检查网络连接状态以及主机是否可达。Ping ip-address|hostnamecount numbersize number source ip-address timeout timeTaceroute 用户测试数据包从发送主机到目的地所经过的网关它主要用于检查网络连接是否可达，以及分析网络什么地方发生了故障。Traceroute ip-address|hostnamenumbericport port-number probe probe-number timeout-timettlsource interface use-icmp,系统诊断工具（CLI）,在本章总讲述了一下内容配置主机名称配置系统管理员/可信主机配置管理接口许可证管理配置文件管理DCFOS版本升级配置系统时间系统诊断工具,小结,1、安全网关保存文件的命令？2、查看安全网关保存的配置文件记录的方法？3、如何回退到以前保存的配置？4、升级系统Image（DCFOS）的方法5、安全网关产品中的license的作用？如何申请和安装？,问题,THANKS!,