|
瑞星企业级防火墙RFW-100常见问题解答
一、使用www代理时的常见问题
1、问:我在www代理规则配置中添加了一条新规则,点击确定后该规则为什么没有生效?
答:也许您忘记刷新一般应用代理的服务进程,当您添加规则后,切记到“防火墙系统维护”、“启动/停止服务进程”刷新www代理。
2、问:当我添加新规则并刷新www应用代理服务进程后,提示刷新失败?
答:配置规则时有些选项填写不规范,没有按要求填写,导致进程刷新失败,仔细阅读配置选项说明。
3、问:我怎样知道www代理服务已经启动成功呢?
答:请在【监控防火墙】【进程列表】中是否能够找到“/usr/local/etc/httpd”。如果有则启动成功,否则启动失败。可以进一步到【监控防火墙】【最新系统日志】中查看启动失败原因。
4、问:浏览网页的速度较慢?
答:影响网页浏览速度的原因主要包括:
1) 防火墙【系统配置】中指定的外部DNS服务器存在问题,解析时响应时间长或根本就不能解析;
2) WWW代理最大进程数量过少,造成连接请求队列加长。适当调整最大进程数、最大空闲进程数、最小空闲进程数,以适应网络中出现的请求尖峰;
3) 缓存空间大小是否合适;
4) 外部网络带宽被占满;
5、问:判断WWW代理故障需要考虑的因素是什么?
答:
1) WWW进程是否启动成功;
2) WWW配置中防火墙监听的IP地址和端口号是否填写正确;
3) 系统在规则配置的时候设成不允许进行WWW访问;
4) 客户端的IE配置的使用代理和端口号没有填写防火墙地址和端口号;
5) 进行WWW访问的主机和网络物理上是否连接;
6) 所访问的WWW站点不能正常的进行工作,是对方服务器的问题。
7) 规则中,限制了该客户端主机的访问。
8) 进行访问过程中输入的验证用户名、口令错误。
9) 站点过滤中限制了对方网站的访问。
10) 站点过滤中限制了访问时间。
11) 是否选定【网络层过滤配置】、【代理选择】中的“WWW代理”
二、使用FTP代理的常见问题
1. 问:有几种方式可以控制通过防火墙从内网FTP到外网:
答:
1)通过代理,在防火墙选择使用代理的前提下:
首先须FTP到防火墙的内网口,通过防火墙上的用户认证,再使用quote site 格式访问目的服务器。
2)通过包过滤,在防火墙上配置了内网到外网允许ftp访问(21端口)的前提下:
直接FTP到外网的目标服务器上。如 ftp ftp.redhat.com 而不须通过防火墙上的认证,如同透明访问,当然要将内部网络主机的默认网关指向防火墙的内部网络接口地址。
2. 问:我在FTP访问控制策略中为某个用户添加了允许访问规则,但该用户依然不能使用FTP代理?
答:
1) 请查看该用户的属性,是否给了他足够的FTP访问权限以及该用户是否在有效期及允许的访问控制时间内。
2) 防火墙的策略配置中是否选择了使用ftp代理?
3. 问:如何判断FTP代理已经启动成功
答:FTP代理进程是由系统的超级进程管理的,当没有连接请求时进程列表内不会显示它的进程号;只有在连接请求时,进程列表内才会显示它的进程号和进程名ftproxy。您可以先FTP防火墙,不论是否有信息返回,查看进程列表是否有进程名ftproxy,如果有,则证明FTP代理进程正常。
4. 问:我选择了对内网用户进行认证,为什么有的用户需要强认证,而有的用户则不需要?
答:检查用户属性的FTP访问权限,“从内向外+认证”表示要求对用户进行强认证,而“从内向外”表示只对用户进行用户名/口令认证。
5. 问:如何分析判断FTP到防火墙失败的原因?
答: 1)检查网络是否正常连接,使用Ping;
2)检查【网络层过滤配置】、【代理选择】中是否选定“FTP代理”;
3)刷新【防火墙系统维护】、【启动/停止服务进程】中的“超级进程”;
4)按问题2的方式进行检查。
6. 问:如何分析判断FTP到防火墙成功,但FTP到外部主机失败的原因?
答: 1)用户口令或电子钥匙是否正确;
2)该用户是否有足够的权限;
3)对方服务器是否开放。
三、使用Telnet代理遇见的常见问题
1.问:我在Telnet访问控制策略中为某个用户添加了允许访问规则,但该用户依然不能使用Telnet代理?
答:请查看该用户的属性,是否给了他足够的Telnet访问权限以及该用户是否在有效期及允许的访问控制时间内。
2.问:如何判断Telnet代理已经启动成功?
答:Telnet代理进程是由系统的超级进程管理的,当没有连接请求时进程列表内不会显示它的进程号;只有在连接请求时,进程列表内才会显示它的进程号和进程名tnproxy。您可以先telnet防火墙,不论是否有信息返回,查看进程列表是否有进程名tnproxy,如果有,则证明Telnet代理进程正常。
3.问:我选择了对内网用户进行认证,为什么有的用户需要强认证,而有的用户则不需要?
答:检查用户属性的Telnet访问权限,“从内向外+认证”表示要求对用户进行强认证,而“从内向外”表示只对用户进行用户名/口令认证。
4.问:如何分析判断Telnet到防火墙失败的原因?
答: 1)检查网络是否正常连接,使用Ping;
2)检查【网络层过滤配置】、【代理选择】中是否选定“telnet代理”;
3)刷新【防火墙系统维护】、【启动/停止服务进程】中的“超级进程”;
4)按问题(2)的方式进行检查。
5.问:如何分析判断Telnet到防火墙成功,但Telnet到外部主机失败的原因?
答: 1)用户口令或电子钥匙是否正确;
2)该用户是否有足够的权限;
3)对方服务器是否开放。
四、使用反向WWW代理时的常见问题
1.问:我在反向WWW代理规则配置中添加了一条新规则,点击确定后该规则为什么没有生效?
答:也许您忘记刷新反向WWW代理的服务进程,当您添加规则后,切记到“防火墙系统维护”、“启动/停止服务进程”刷新反向WWW代理。
a) 问:当我添加新规则并刷新反向WWW代理服务进程后,提示刷新失败
答:刷新失败有两种直接原因:
(1)配置规则时有些选项填写不规范,没有按要求填写,导致进程刷新失败,仔细阅读配置选项说明。
(2)如果您在规则为空时点击了反向WWW代理的【启动】按钮,此时因为规则为空服务进程并没有启动,但也不会出现错误。当您添加规则并点击刷新时,因为服务进程并不存在,因此刷新失败。此时您只需先点击【停止】,再点击【启动】。
b) 问:我怎样知道反向WWW代理服务已经启动成功呢?
答:请在【监控防火墙】【进程列表】中是否能够找到“/usr/local/etc/webgate”。如果有则启动成功,否则启动失败。可以进一步到【监控防火墙】【最新系统日志】中查看启动失败原因。
五、系统使用中的常见问题
1.问:防火墙升级时,有时不成功,为什么?
答:此问题一般由于系统时间不对。防火墙升级时,系统会检查升级文件的创建时间,如果升级文件的创建时间比系统的当前时间还晚,则无法升级。解决办法:首先检查防火墙的当前时间,如果防火墙系统当前时间早于升级文件创建时间,则修改防火墙时间,使其晚于文件创建时间,然后再进行升级操作。
2.问:登录防火墙时,提示无法建立连接,怎么回事?
答:这一提示说明防火墙与管理主机之间未建立网络连接,或防火墙地址填写不正确。解决办法:检查网络连接,ping防火墙应能够ping通。然后再登录防火墙,注意地址填写正确,如果还不能建立连接,说明防火墙系统故障,可重启防火墙(通过电源开关)再试,还不行的话,需与瑞星客户服务中心联系解决。
3.问:登录防火墙时,提示无法打开钥匙,怎么回事?
答:这一提示说明电子钥匙未装好,或钥匙已损坏。解决办法:重新安装钥匙,然后再登录防火墙,注意地址填写正确,如果还不行的话,需更换钥匙或钥匙连线。
|