1、目录一、 综 述 .2二、培 训 目的 .2三、培 训 原 则 .23.1、培训范围 .23.2、培训时间 .33.3、培训讲师 .33.4、培训教材 .33.5、培训内容 .3四、培 训组织 与日常管理 .34.1、培训环境准备 .34.2、项目培训计划 .4五、培 训 教材 .45.1、安装指南 .45.2、配置与管理 .55.3、设备连线方式 .55.4、控制台使用 .65.4.1、登陆 WEBGUI 管理界面 .65.4.2、配置和使用 .75.5、功能说明 .85.5.1、运行状态 .85.5.2、系统状态 .85.5.3、选择显示模块 .85.6、网络配置 .95.6.1、接口/区
2、域 .95.6.2、物理接口 .95.6.3、子接口 .115.6.4、VLAN 接口 .115.6.5、区域 .125.7、虚拟网线 .145.8、高级网络配置 .145.9、VPN.145.10、安全防护对象 .155.11、认证系统 .165.12、防火墙 .17一、 综 述防火墙、IDS、防病毒网关系统基于金税三期工程网络项目实施完成以后,如何才能对所有设备进行有效管理,是所有系统管理员关心的问题。为了保证整个系统稳定运行,提高其使用效率和安全性,需要对用 户的系统管理人员进行相关技术培训,使他们能掌握产 品的配置、故障 诊断、设备 管理、达到能独立进行日常管理,以保障系统的正常运行,
3、使管理员能够更快的 进入环境,真正帮助管理员对系统进行有效管理,提高管理质量。因此,为用 户培训出一支有较高水平的技术队伍,来保证整个系统 的有效运行,也是十分重要的。为了保证各个阶段的培训效果,我们提供了一些保证和验证培训质量的方法,比如较高的师资队伍,较全面、透 彻的培训教材及培 训后的考核。本文件是北京神州新桥技术支持部对采购人进行防火墙的使用维护的培训大纲。二、培 训 目的本次项目需要强化各区县税务机关相关 IT 人员对设备的认识程度及维护能力,掌握本系统的使用操作、技术支持、应用管理和日常运 维等技能,让其可自主完成对防火墙、IDS、防病毒网关的运维;培训北京地税局信息化相关人员,对
4、集中管理平台使用及认知,可以完成对市、县区 设备的日常运维工作。用户方的技术人员经 培训后应能熟练地掌握与本产品有关的软件及硬件维护工作,并能及时排除大部分设备故障。三、培 训 原 则本项目是一个工程实施复杂、技术要求深、范 围广的系统集成项目。在系 统实施完毕并开始完成初步验收后,为了使用户能够尽快感受到为业务管理所带来的好处,使系统能够物尽其用,需要对用户进行相关的系统使用培训。对于负责技术的系统管理员,要求受训者可以维护操作设备,对一般性的故障问题可以自主解决,可以独立进行系统的管理、运行、 处理及日常测试维护等工作。为了确保对用户的培训能有秩序、高质量的完成任务,本项目的培训将遵循以下
5、原则:3.1、培训范围本次项目的培训工作是本着“讲究实效、由浅入深 ”的培训原则而进行的,因此用户方参加技术培训的人员只需了解计算机的一般知识就能够参加培训。所有培训内容应在规定的培训期限内完成。接受培训人员应为各区县税务机关负责应用防火墙的日常操作维护人员或设备管理人员。3.2、培训时间根据北京地税局本次项目招标要求,北京神州新桥将为各区县税务机关相关运维人员提供提供为期 1 天(工作日)的现场培训和为期 3 天的产品、技术、配置、运维 等项目培训服务。3.3、培训讲师高级项目经理序号 专业化认证 通过人数1 高级项目经理 112 项目经理 203.4、培训教材北京神州新桥的培训都将使用汉语
6、普通话来授课,所有的文字资料及讲义也都将使用简体中文书写,培 训教材会根据北京地税的实际网络环境要求编制,所有培训教材均在培训开始前提交用户方相关负责人审核,经采购人审核确认印制,并保证教材数量按参加人数的 120%提供。我司将为所有被培训人员提供培训用文字资料和讲义等相关用品,并充分保证培训用品的供应量符合培训要求。3.5、培训内容培训内容包括本项目的基本技术路线、功能架构、开发技术、系 统前台维护、操作使用、系统安装、运行管理和维护等,使学 员基本掌握本系 统的技术支持、应用管理和运维管理等技能。四、培 训组织 与日常管理4.1、培训环境准备培训场地将配置配需所需的软硬件环境,包括投影仪、
7、电脑、网 络交换机等。培训环境中将准备培训所需要的小型网络。并且网络使用效果将与实际环境相当,以满 足培训要求。4.2、项目培训计划本次我司所设计的培训方案将达到以下的目标:使用户掌握本系统的使用操作、技术支持、 应用管理和日常运维等技能。每期培训结束,由采购人和我司双方共同组织对培训学员的考试,合格率将达到 100%,并对不合格学员重新培训,直到所有培训学员 100%合格。培训对象应用防火墙的日常操作维护人员或设备管理人员入学要求熟悉计算机操作、Windows 操作高中或高中以上学历培训目标及要求在现场培训中,北京神州新桥将为项目单位技术人员实地讲解硬件的安装、调试、配置和日常管理等内容,使
8、得项目单位技术人 员对系统中使用的硬件产品有直观的了解,并通过实际 操作增强实践能力,掌握日常维护的具体方法。具体如下:承担应用防火墙的例行操作工作完成应用防火墙的日常简单维护工作处理应用防火墙的一般常见故障承担防火墙设备客户端的安装配置工作培训内容应用防火墙整体架构介绍与硬件介绍主要讲授应用防火墙的概述、接线、操作、维护等内容应用防火墙故障分析与处理主要讲授用户部分和连接部分故障的处理步骤及典型案例,还会涉及一些维护方面的简单故障应用防火墙故障分析与处理主要讲授用户部分和连接部分故障的处理步骤及典型案例,还会涉及一些维护方面的简单故障五、培 训 教材5.1、安装指南本部分主要介绍了 SANG
9、FOR NGAF 系列产品的构成与硬件安装。硬件安装正确之后,您可以进行配置和调试。5.2、配置与管理在配置设备之前,您需要配备一台电脑,配置之前 请确定该电脑的网页浏览器能正常使用(如 Internet Explorer),然后把 电脑与 SANGFOR NGAF 连接在同一个局域网内,通过网络对设备进行配置。NGAF 设备的管理口为 MANAGE(ETH0)口,管理口默 认出厂 IP 为10.251.251.251/24。初次登 陆设备, 请用网线连接 MANAGE(ETH0)口到局域网或直接连接电脑。5.3、设备连线方式在背板上连接电源线,打开电源开关,此 时前面板的 Power 灯(绿
10、色,电源指示灯)和 Alarm 灯(红色,告警灯)会点亮。大约 1-2 分钟后 Alarm 灯熄灭,说明网关正常工作。请用标准的 RJ-45 以太网线将 MANAGE(ETH0)口与内部局域网 连接,对NGAF 设备进 行配置。登录控制台后根据网络环境和部署要求配置网络配置和接线。 (详情参见章节 3.2)设备正常工作时 POWER 灯常亮,接线的数据接口 LINK 灯长亮,ACT灯在有数据流量时会不停闪烁。ALARM 红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。如果在安装 时 此红灯长亮, 请将设备断电重启,重启之后若红灯一直 长亮不能熄灭, 请与我们联系。网口直接
11、连接 MODEM 和交换机应使用直连线、连接路由器和电脑网口应使用交叉线。当指示灯 显示正常,但不能正常 连 接的时候, 请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同,如下图:图 1 直连线、交叉 线 线序5.4、控制台使用5.4.1、登陆 WEBGUI 管理界面NGAF 支持安全的 HTTPS 登录,使用的是 HTTPS 协议的标准端口登录。如果初始登录从管理口(MANAGE)登录,那么登录的 URL 为:https:/10.251.251.251HTTPS 登录 WEBUI 管理 NGAF 可以防止配置过程在传输过程中被截获而产生的安全隐患。如何登录 NGAF
12、设备控制台页面?按照前面所示方法接好线后,通过 WEB 界面来配置 SANGFOR NGAF 设备。方法如下:首先为登陆控制台的电脑配置一个 10.251.251.X 网段的 IP(如配置10.251.251.100),然后在 IE 浏览器中输入管理口的默 认登陆 IP 及端口https:/10.251.251.251,出 现一个如下图的安全提示:点击是后出现以下的登录界面:在登陆框输入用户名和密码,点击登录按钮即可登录 NGAF 设备进行配置,出厂情况下的用户名和密码为 admin/sangfor。如果需要查看当前网关的版本号,点击查看版本,即显示当前设备的版本信息。登录控制台不需要安装任何
13、控件,支持用非 IE 的浏览 器登录控制台。5.4.2、配置和使用登录 WebUI 配置界面后,可以看到以下配置模 块:包括 运行状态、 网络配置、 VPN、安全防护对象、 对象定义、 认证系统 、防火墙、 内容安全、 IPS、服务器保护、 风险分析 、 流量管理、 系统、 系统维护、 配置向导。控制台右下角的 用于实时通知设备的一些系统信息和告警信息。所有配置界面中的 图标,当鼠标放到此图标上时,可以显示当前配置项的简要帮助说明。后面的文档不再赘述。5.5、功能说明5.5.1、运行状态运行状态主要用于查看设备的基本状态信息,包括系统状态、 最近安全事件、 服务器安全事件、 终端安全事件、 最近攻 击源、 IP 流量排名、 用户流量排名、 应用流量排名、 流量管理状态、 DHCP 运行状态、 在线用户管理。5.5.2、系统状态系统状态主要用于查看设备的系统信息,接口信息,接口吞吐率,应用流速
