【正文】 Port other 添加標(biāo)準(zhǔn)策略 在定義了所有的對象之后，我們就可以把這些對象應(yīng)用到具體的策略上去，添加策略的方法如下。 1． 選擇菜單 ruleadd rule 然后選擇規(guī)則的位置 2． 把相應(yīng)的對象按照拖到策略的各個(gè)字段中，能進(jìn)行拖動工作的有 source destination vpn service 3． Action 中選擇需要做的動作，這里主要的使用都是 drop和 accept， accept 是在前面的對象都匹配的情況下允 許數(shù)據(jù)通過， drop 是不允許數(shù)據(jù)通過 4． 如果需要記錄 log，可以在 trace 中選擇 log 5． XXX 的案件中，根據(jù)上面描述的策略列表進(jìn)行策略設(shè)定 添加 NAT 策略 nat 的方式除了可以在對象的 nat 屬性上做設(shè)置之外，還可以直接編輯 nat 策略列表，其實(shí)在對象上自動做 nat 后，就會自動在 nat 列表上添加策略。所以，從本質(zhì)上講，所有的nat 設(shè)置都是源于 nat 策略列表， nat 策略列表的添加方式與標(biāo)準(zhǔn)策略添加相似 1．點(diǎn)擊 address translation 列表 框 2．選擇菜單 ruleadd rule 來進(jìn)行添加策略 3．把需要做 nat 的對象拖到策略不同的字段中。 4． XXX 需要手工添加的 nat 列表如下表 Original packet Translation packet source destnation service source destination service 5．安裝策略 第五章 切換與測試 切換 在所有 nokia 防火墻的設(shè)置均完成以后， 可以進(jìn)行切換，切換的目標(biāo)是使用 nokia 防火墻替換原來的 screen 防火墻。切換步驟如下。 1．機(jī)器上架 2．拔開原來 screen 網(wǎng)絡(luò)接線 拔開 screen 的網(wǎng)線，但是網(wǎng)線仍然保留，并記錄各根網(wǎng)線對應(yīng)的 screen 的端口。 3． Nokia 防火墻進(jìn)行網(wǎng)絡(luò)接線，按照以下列表進(jìn)行接線 Nokia IP380A Nokia IP380B Eth1 Eht2 Eth3 Eth4 Eth1 Eth2 Eth3 Eth4 F5 DMZ區(qū)域交換機(jī) 內(nèi)網(wǎng)區(qū)域交換 機(jī) NokiaIP 380B eth4 F5 DMZ區(qū)域交換機(jī) 內(nèi)網(wǎng)區(qū)域交換機(jī) NokiaIP 380A eth4 4．開機(jī) 測試 在防火墻上設(shè)置策略允許 icmp 的數(shù)據(jù)通過 1． 檢查 firewall對外網(wǎng)的連通性 ping 外部地址 進(jìn)行測試，如果能 ping 通表示 firewall對外網(wǎng)的連通性正常。 2． 檢查 firewall對 DMZ的連通性 ping DMZ的地址 進(jìn)行測試，如果能 ping 通表示 firewall對 DMZ的連通性正常。 3． 檢查 firewall對內(nèi)網(wǎng)的連通性 ping 內(nèi)部網(wǎng)絡(luò)的某一臺機(jī)器，如果能 ping 通表示 firewall對內(nèi)網(wǎng)的連通性正常 4． 檢查內(nèi)網(wǎng)用戶的應(yīng)用連通性 檢查內(nèi)部用戶使用 DMZ區(qū)域服務(wù)的連通性。在內(nèi)網(wǎng)設(shè)置一臺機(jī)器，其地址為 并根據(jù)下列表進(jìn)行 DMZ區(qū)域的訪問 server Service Client software Webserver 5． 檢查 DMZ區(qū)域?qū)ν夥?wù)提 供的連通性和對內(nèi)服務(wù)的連通性 使用 notebook 進(jìn)行撥號上網(wǎng)，并得到一個(gè)公有地址，按照以下列表訪問 XXX 對外提供的服務(wù)。 server Service Client software Webserver 回退 如果在切換的時(shí)間內(nèi)，并不能完成以上測試，或者在切換過程中出現(xiàn)不能馬上解決的問題，必須進(jìn)行，回退動作?；赝瞬襟E如下 1． 關(guān)閉兩臺 nokia 的電源，重新啟動 screen 電源 2． 恢復(fù) screen 的線 路，把原來 screen 的網(wǎng)線插會 screen 上 3． 按照 測試方式測試 XXX 原有服務(wù)是否正常 第六章 日常維護(hù) 防火墻的備份與恢復(fù) nokia 防火墻的備份與恢復(fù)方法 備份文件的描述。由于 Nokia 防火墻的核心是類 unix 操作系統(tǒng)，所以其核心的配置是一系列的文件。 以下文件包含 nokia IP 系列的全部系統(tǒng)配置 /config /var/cron /var/etc /var/etc/ipsec. /var/admin /var/monitor /var/log 在 nokia 的 web 界面上有工具能對這些文件進(jìn)行備份一下是備份合恢復(fù)的步驟 步驟： 手工創(chuàng)建一個(gè)備份文件： 1. 在 nokia web 主頁界面上點(diǎn)擊 CONFIG 2. 在 System Configuration 中點(diǎn)擊 Configuration Backup and Restore 3. 在 MANUAL BACKUP 區(qū) , 在 BACKUP FILE NAME 里面輸入要備份文件的名稱。 4. BACKUP HOME DIRECTORIES 區(qū)域，點(diǎn) yes 備 份用戶目錄 , BACKUP /opt/CPfw15003 區(qū)域點(diǎn)擊 yes， Backup /opt/Cpshared5003 區(qū)域點(diǎn)擊 yes 5．點(diǎn)擊 apply 6．點(diǎn)擊 save 傳輸一個(gè)備份文件到遠(yuǎn)程服務(wù)器 1. 在 nokia web 主頁面點(diǎn)擊 CONFIG 2. 在 System Configuration 下點(diǎn)擊 Configuration Backup and Restore. 3. 在 REMOTE TRANSFER ARCHIVE FILE 區(qū)域 , 在 FTP SITE輸入 ftp 的地址 4. 在 REMOTE TRANSFER ARCHIVE FILE 區(qū)域 , 在 FTP DIR 輸入框輸入遠(yuǎn)程 ftp 的路徑 . 5. 在 REMOTE TRANSFER ARCHIVE FILE 區(qū)域 , 在 FTP USER 輸入框輸入 ftp 用戶名 6．在 REMOTE TRANSFER ARCHIVE FILE 區(qū)域 , 在 FTP PASSWORD 輸入框輸入 ftp 用戶名的密碼 . 7. 在 BACKUP HOME DIRECTORIES 區(qū)域，點(diǎn) yes 備份用戶目錄 , BACKUP /opt/CPfw15003 區(qū)域點(diǎn)擊 yes， Backup /opt/Cpshared5003 區(qū)域點(diǎn)擊 yes 8. 點(diǎn)擊 MANUAL BACKUP FILE 下拉菜單，選擇你要上傳的備份文件 . 11. 點(diǎn)擊 APPLY. 12. 點(diǎn)擊 SAVE. 恢復(fù)步驟 從遠(yuǎn)程服務(wù)器上恢復(fù) 1．在 nokia web 主頁面點(diǎn)擊 CONFIG. 2. 在 System Configuration 點(diǎn)擊 Backup and Restore Configuration 3. 在 RESTORE FROM REMOTE FIELD區(qū)域 , 在 FTP SITE 框中輸入保存 backup文件的 ftp服務(wù)器的地址 . 4. 在 RESTORE FROM REMOTE FIELD區(qū)域 , 在 FTP DIR框輸入存儲 backup文件的 ftp路徑 5. 在 RESTORE FROM REMOTE FIELD 區(qū)域 , 在 FTP USER 框輸入用戶名 6. 在 RESTORE FROM REMOTE FIELD 區(qū)域 , 在 FTP PASSWORD 框輸入密碼 7. 點(diǎn)擊 APPLY. ，選擇你要恢復(fù) 的 backup 文件。 9. 點(diǎn)擊 APPLY, 然后點(diǎn)擊 SAVE. 10. 點(diǎn)擊 reboot，重新啟動機(jī)器 .. checkpoint management 上的備份與恢復(fù) 備份 : 1. 在管理服務(wù)器打開 windows 服務(wù)列表。（開始菜單－ 控制面板－ 管理工具－ 服務(wù)） 2. 停止 4 個(gè)和 checkpoint 有關(guān)的服務(wù) 3. 分別備份以下兩個(gè)目錄 C:\Program Files\checkpoint\cpshared\ng D:\fw1\ng 4. 備份以下注冊表鍵值 HKEY_LOCAL_MACHINE\SOFTWARE\CheckPoint\SIC 5. 在 windows服務(wù)列表啟動 4個(gè)和 checkpoint有關(guān)的服務(wù)（開始菜單－ 控制面板－ 管理工具－ 服務(wù)） 注意 mgmt 的 windows 名字一定要和舊的一樣， ip 可以不同 cp服務(wù) 包括 cpstop 和其他兩個(gè)服務(wù)列表的服務(wù) 恢復(fù) 1． 安裝 checkpoint FW1/VPN1 NG AI 軟件，并配 置成 management，安裝可以參考 checkpoint安裝使用手冊 2． 用 checkpoint gui管理客戶端軟件登錄剛剛安裝好的 checkpoint management 并確認(rèn) gui管理客戶端軟件能正常登錄到 management server 3． 在 windows 服務(wù)列表停止 4 個(gè)和 checkpoint 有關(guān)的服務(wù)（開始菜單－ 控制面板－ 管理工具－ 服務(wù)） 4． 分別把上面?zhèn)浞莸膬蓚€(gè)目錄拷貝回相應(yīng)的地方。 C:\Program Files\checkpoint\cpshared\ng C:\winnt\fw1\ng 5． 導(dǎo)入上面?zhèn)浞莺玫淖员礞I值 6． 在 windows 服務(wù)列表啟動 4 個(gè)和 checkpoint 有關(guān)的服務(wù)（開始菜單－ 控制面板－ 管理工具－ 服務(wù)） 7． 8． 用 checkpoint gui客戶端管理軟件登錄 management 并查看配置是否正確。 此方法在 checkpoint ng AI 上也能成功通過