方正FG系列防火墙  

FAQ

方正信息安全技术有限公司

目   录

一、配置和使用... 2

（一）、防火墙的配置和使用... 2

1、FG远程登录方法... 2

2、FG导出 导入帐号... 7

3、FG密钥Key的一些基本信息和处理办法... 12

4、FG3330（老型号）CF卡问题和内核小Bug的现象及处理方法... 12

5、如果遇到FG3330（老型号）出现下列故障现象，请更新licence key. 12

6、FG基于时间封禁网络访问... 16

7、同一个区域访问公网ip的NAT设置... 18

8、管理FG的应用过滤... 18

9、初始化不成功问题的解决方法... 18

10、FG对OSPF的支持... 19

11、远程调试防火墙时需要导入admin证书... 19

12、防火墙报ssl连接错... 19

13、防火墙认证端口和控制端口... 19

14、自动封禁策略... 19

15、多个网络出口... 19

16、写入错误静态路由的后果... 19

17、console删除规则、查看规则、查看日志、显示热备状态的命令... 19

18、FC有时不能提交更改的问题... 19

19、混杂别名不能做nat 19

20、FG支持VLAN.. 20

21、FG的NAT可以转换到网口没有绑定IP段的IP地址... 20

22、解决内部工作站可以通过域名来访问自己的WWW服务器的方法... 20

23、内网用户的DNS服务器设置问题... 26

24、试用Licence Key 故障发现及排除说明... 26

25、FG防火墙地址转换双NAT配置指导... 27

（二）、VPN配置和使用... 27

1、FG防火墙客户端对网关VPN安装问题解决办法... 27

2、VPN和目的地址转换同时存在... 28

3、启动VPN功能后需要在防火墙外部网口添加允许规则... 28

4、修改VPN通道数... 28

5、Client怎么继承内部网的DNS、网关等信息... 28

6、查看VPN路由... 28

二、升级... 29

1、FG防火墙通过网上升级到3.7的步骤... 29

2、FG防火墙升级到3.7更新补丁及使用方法... 29

一、配置和使用

（一）、防火墙的配置和使用

1、FG远程登录方法

1.       保证使用FireControl可以连接到防火墙

2.       运行FireControl安装目录下的程序“FireDebug”

3.       选择一个设备：

4.       连接设备

5.       启动调试模式

    注意，第一次启动的时候会显示失败，要按第二次才能够正常启动

6.       选择密钥对的存放路径

7.       获取密钥对

8.       安装SecureCRT

9.       新建一个连接，选择SSH1方式

10.    将刚刚从FireDebug中导出的证书导入到SecureCRT中

11.    选择认证算法

12.    输入IP地址和端口

13.    保存证书信息

14.    输入用户名

15.    输入密码

    密码为“zwllfwzzzj”

16.    耐心等待3-5分钟后，即可以远程用SSH登录到防火墙

2、FG导出 导入帐号

1.首先在你所说的原控制机上把admin账户文件导出来。

输入admin账户的密码

选择点击下一步

选择一个位置保存

1.       在另外要做控制机的服务器上安装firecontrol软件，安装完毕以后按照如下步骤导入admin帐号信息和添加防火墙。

这里导入的FGSys,ini文件既是你刚才导出的那个文件

输入导出时同样的口令

下面直接使用firecontrol软件登录

admin账户登陆

然后点击箭头所指处

输入正确的防火墙控制口ip！确保控制机和防火墙网络是通的。

这个时候就可以在新的控制机上正常使用firecontrol软件控制防火墙了！

3、FG密钥Key的一些基本信息和处理办法

　1、公司出货FG产品：密钥Key在经过生产后，都是经过技术部出货验机校验，出货设备的密钥Key不会有问题；不排除用户或代理商有多台设备，将几个密钥Key搞混淆，可通过确认用户光盘上的序列号与机身序列号是否一致来判断；

   2、用户处使用FG产品：如出现连接不上，一般都是控制程序FireControl连接问题（如设备重新初始化仍无法成功则可能是设备故障，需要工程师进一步确认），密钥Key也不会有问题，否则用户以前无法正常使用；

   3、用户密钥Key丢失处理：仅需将用户设备的序列号（以机身序列号为准）抄下，并确认用户是否含其他增值模块，然后将序列号及用户信息发邮件给产品经理即可，由产品经理来负责协调查询；

   4、注意叮嘱用户及代理商务必要注意妥善保管密钥Key。

   同时，各位同仁在遇到此类问题时，请务必在第一时间予以判断及响应，不要再随口说是“密钥Key问题”让用户或代理商来回兜圈子找所谓厂家相关人。

 4、FG3330（老型号）CF卡问题和内核小Bug的现象及处理方法

   1、CF卡问题：
        故障现象：为用户原使用一切正常，后无缘无故无法连接，也无法正常初始化。
        解决办法：直接联系技术部王刚，确认后，协调用户将设备立即发往公司王刚接收，公司予以免费维修（免费将配件CF卡更换为DOM盘），维修周期仅为来回物流周期；
   2、内核小Bug：
        故障现象：设备利用密钥Key可正常初始化，但在配置策略过程中会经常提交错误窗口；
        解决办法：仅需将用户设备的序列号（以机身序列号为准）抄下，并确认用户是否含其他增值模块，然后将序列号及用户信息发邮件给产品经理，由产品经理生产新密钥Key即可；

5、如果遇到FG3330（老型号）出现下列故障现象，请更新licence key

故障原因主要是由于licence key不匹配导致的。

ftp://technology:NEItechnology@www.foundersec.com

/防火墙产品/FG系列/技术文档/ 3330(老型号) 新Licence Key.xls

1．实验环境：

随机从仓库拿出一台墙进行测试

2．测试过程

正常初始化，赋于防火墙IP为192.168.1.200

添加管理员：founder，密码：founder

1、进入firecontrol，修改网口2的IP地址，提交后报错，结果如图

2、firecontrol和内核版本号请见下图：

3、配置静态路由时出错，请见下图：

随后再次提交设备配置，仍然出现第1种错误，再至静态路由设置时，发现提交按钮已变为灰色状态，无法再提交

3、初始化并添加管理员进入firecontrol后，如果在配置完设备设置及静态路由后，直接提交全部配置(不是分步提交)，在返回设备设置出错后，发现下面的其他配置的提交一切正常，之后再无法与防火墙通讯，这时通过超级终端，发现各个网口IP都正常，但就是无法通讯，只有重新初始化。这种情况下，当用户需要导入原有防火墙配置时，将无法实现。这时通过超级终端，发现各个网口IP都正常，但就是无法通讯。

6、FG基于时间封禁网络访问

按照传统的方式设置基于时间的封禁策略，即在内网口上设置基于时间的封禁策略，会产生到了时间后，新建连接被封禁，然而已经建立的连接同样还会继续传输数据，比如FTP下载，网络游戏，BT下载，MSN等连接到时间无法被封禁。

解决办法是在防火墙的外网口添加规则：

1.                       添加一条源地址为想封禁的地址，如某FTP server的IP地址，目标地址为any，连接状态选择“已建连接，相关连接”，时间选择期望的允许时间。

注意：此处生效时间为一分钟后，即9:00:00—17:01:00

2.                       添加一条源地址为想封禁地址，目的地址为any的所有情况下的禁止访问规则。

3.                       添加default规则，保证其他地址能够正常访问。

7、同一个区域访问公网ip的NAT设置

多设置一条目的NAT，源ip为内部，转换设备为防火墙的本网接口。

8、管理FG的应用过滤

1．全部的过滤除页面中的关键字外，都在内网口中添加，页面关键字在外网口加。

2．在使用过滤的同时，外网口不能开全通规则，否则无效。

9、初始化不成功问题的解决方法

1．3.7中输入ip后，提示连线不对。进入etc/sharks/conf，然后exit就好了。

2．3.0日志满了。删除日志：rm var\log\shark\5，再用df看。

10、FG对OSPF的支持

FG能支持OSPF，但只能作为BDR、只能在AREA 0。

11、远程调试防火墙时需要导入admin证书

远程调试防火墙时需要导入防火墙的admin证书――fgsys.ini。

12、防火墙报ssl连接错

防火墙报ssl连接错，由于防火墙bios时间出错，可console登录防火墙date月日时分年查看时间(date 062810182005)。

13、防火墙认证端口和控制端口

16888防火墙认证端口，55443为防火墙控制端口

14、自动封禁策略

自动封禁：在入侵检测中启用功能、相应端口的规则中添加自动封禁策略。