1、WG默认IP地址和账号

默认模式:透明模式。

MGT口IP:192.168.20.200

管理方式：https/ssh/console

用户名:administrator

密码:password

说明：WG1000S的默认IP是在ge1口

 

2、RG-WG产品实施步骤

1）了解客户场景和服务器的部署：1）服务器部署是否分散；2）客户需要哪些防护；

2）确认设备工作模式：桥接、旁路；

3）设备初始化：特征库和病毒库升级，管理IP、网关

4）接口的工作模式：route/transport，VLAN：access/trunk

5）配置非信任口：

6）添加URL安全策略；

7）添加服务器安全组并引用对应的安全策略

注意：

只有“启用”的服务器被保护。

服务器安全组的匹配顺序是从上至下顺序匹配，匹配中一条之后不继续匹配。

8）观察各日志和报表情况

 

3、网络接口配置中的非信任接口是什么意思

非信任接口就是连接外网的接口，在配置接口信息时，一定要配置非信任接口，否则RG-WG的防护功能不起作用。

 

4、WG如何使用vlan1实现管理及使用时的注意事项

1）默认设备所有接口（除了MGT口），均属于vlan1；但是要用这些接口通过vlan1 的IP来管理、ping等，还需要在希望用来管理的接口上设置允许的管理方式：如PING、HTTPS、SSH等。配置菜单：管理——网络配置——接口；

2）可以把默认路由通过VLAN1的接口出去；但要注意系统只能加一条默认路由，所以如果之前有写默认路由，再添加时会报错，必须删了原先的默认路由再加；

3）设备硬件bypass时，无法通过VLAN1进行管理，但可以通过MGT口管理；

4）设备在旁路模式（设备首页监控模式显示为Recon）时，无法通过VLAN1进行管理，必须要设置一个单独的路由接口作为管理口。

 

5、WG光口与电口是否复用

WG光口与电口是各自独立的，非复用口。

 

6、WG产品电口bypass说明

WG3000/2000/1000从左到右依次两个电口为bypass对。如：eth1-eth2、eth3-eth4；

WG1000S：ge3-ge4、ge5-ge6为bypass对；

注意：实施时需要选择好电口bypass对，不能跨bypass桥，否则重启、故障时候无法自动切换bypass，导致客户数据传输中断。

（不支持光口硬件bypass）

 

7、WG如何进行密码恢复

注意：密码恢复都需要串口连接，否则提示：“recovery can not be done remotely, exited”

3.50.2.8r1以下版本密码恢复：

以用户名：acv-recovery 密码：序列号登陆WG，

通过串口线连接WG，然后通过set 命令设置administrator 密码

set admin LOGINMANE [ password PASSWORD | privilege {read-only | read-write} ]

序列号格式：

不同版本使用不同的方式，请尝试以下几种（以WG2000为例）：

RG-WG200077*** （适用于3.20.2.X版本）或者  WG2000**** (适用于3.30.2.17版本)

3.50.2.8r1及以上版本密码恢复：

使用console线登陆设备，输入用户名：acv-recovery　密码：pwdreset　进入后，设备密码自动恢复成默认密码password。下次登录时，只需使用默认密码登录即可。

 

8、WG特征库更新时，使用的域名有哪些？

WG特征库更新是会尝试如下3个域名：

update-cds-asia1.gatefocus.net

update-cds-asia2.gatefocus.net

update-cds-asia3.gatefocus.net

在设备配置好DNS后，会自动进行解析，同时自动选择连接速度更快的一条链路进行更新。

 

9、、是否可以实现一组桥的一个接口down掉后另一个接口也down掉

不支持

 

10、接口是否能添加secondaryIP

不能，接口只能配置一个IP；

 

11、WG产品是否支持端口聚合

不支持

 

12、RG-WG是否支持部署在TRUNK上？

支持。具体配置过程可以参考实施一本通。

 

13、RG-WG是否支持部署在PPPoE链路上？

不支持，部署后无法识别流量。

 

14、RG-WG的接口MTU能否修改？

可以修改，通过SSH登陆WG设备，使用命令：

set interface IF_NAME  MTU  <800-1500>

该命令为隐藏命令，需要敲完整，接口名称和MTU之间有空格；

 

15、RG-WG的接口MTU允许范围是多少？

WG的接口MTU允许范围为800-1500，不能低于800，也不能高于1500。

 

16、RG-WG 是否支持部署在MPLS VPN网络环境中？

不支持。

WG接口的MTU最大为1500字节，实际MPLS VPN环境中，MTU可能超过1500字节，导致传输失败。

 

17、WG序列号是怎样的，以什么开头，在什么位置可以看到

WG序列号一般贴在机身后面板。为“2777”、“2776”、或者“2775”开头，分别对应WG3000、WG2000、WG1000的型号。

注：WEB方式登录设备后也可以在首页系统信息中看到设备序列号；或者命令行下使用show system命令查看。

 

18、WG2000和WG3000电源开关在哪里

电源开关在POWER指示灯下方，成凹陷状，需使用尖细物开启

 

19、是否支持多个VLAN

支持，但只有VLAN1可以配置IP地址，其他VLAN无法配IP地址

 

20、如何强制设备进入bypass

1）SSH或串口的方式登录WG;

2）通过命令“set bypass”则设备整机都进入bypass状态；

3）unset bypass，则恢复正常。

 

21、WG如何控制只让指定管理主机IP进行管理

进入WEB页面，管理——访问管理——访问控制菜单，添加管理主机并应用。

默认管理主机列表为空，表示不限制管理主机，在管理主机列表中添加管理主机后，只有在列表中的IP才能对设备进行管理。

 

22、WG产品是否支持网页防篡改功能

仅支持静态网页防篡改功能

 

23、RG-WG必须配置路由信息么？

是的，必须保证RG-WG能够连接到互联网上进行病毒库和攻击特征库的升级

 

24、WG有几种部署模式

三种模式部署：在线预防模式、离线侦察模式和反向代理模式。只有在预防模式和反向代理模式中锐捷网关才能够防止恶意软件到达终端用户。在侦察模式中，锐捷网关并不能拦截对WEB服务器的恶意攻击，因此这种模式一般只用于审计网络流量和初始化安装。相关模式的配置，可以参考实施一本通进行配置。

注意：从3.50.2.8r1版本开始，WG支持反向代理模式，后续版本均支持反向代理模式

 

25、WG是否支持多进多出方式组网的配置

支持，但有一些限制。

在多进多出组网方式中，需要通过配置不同VLAN来达到隔离的作用（接口设置为access口，vlan只在本设备生效，数据经过时不会带tag），否则4个接口都默认属于VLAN1，这种情况可能会导致以下后果：

1）由于4个接口都在同一个VLAN下，因此都属于一个广播域，存在由于广播风暴影响网络业务的风险。

2）Cisco设备上的DTP（Dynamic Trunking Protocol）协议，会根据网络环境将两个接口动态配置成trunk口，导致网络中断。

具体的配置方式可以参考实施一本通。

 

26、路由模式下是否支持离线侦察模式（即旁路模式）

透明模式下支持旁路部署，路由模式下不支持。

 

27、系统侦测模式切换完需要重启吗？

需要重启

 

28、负载均衡反向代理的算法

是基于源地址的hash，不是采用轮询的方法。

 

29、部署反向代理模式的注意事项

1）截止到3.50.2.40 r6版本（WG 1000S为3.50.2.34r4版本），WG设备仅支持对提供的服务完全一致的服务器进行反向代理；如内网服务器提供的服务不一致，部署后WG设备无法区分每台服务器的服务；

2）在服务器安全组中添加保护服务器时，必须将真实服务器IP/端口和代理的IP/端口都要添加到服务器安全组中；

3）截止到3.50.2.40 r6版本（WG 1000S为3.50.2.34r4版本），WG部署反向代理模式后，性能下降约50%；

 

30、WG重启后日志是否能保存

可以。

在：管理>系统设置>日志 >系统日志设置 可配置日志保存天数、空间和最大使用率；

 

 

31、当系统记录日志空间满后系统将如何操作

WG对日志空间1小时检查一次，日志达到设置的最大使用率时，会在首页上报警；当满时会继续记录日志，覆盖最旧的。

 

 

32、报表超过了系统设置的容量，是否还定期存储？

实际报表占用的空间比较小，没有发生过容量满的时候；当容量满的时候，不能继续存储新生成的报表，需要登录设备删除旧的报表；目前不支持报警，后台会看到报错信息。

 

33、恢复出厂配置是否会删除License和库文件

恢复出厂操作只对配置文件产生影响，不会造成License和库文件丢失，但会删除原先所有的日志信息（设备 报表和日志>日志菜单下的所有日志）和已生成的报表。

 

34、升级是否会造成License和库文件、日志丢失

版本相近的不会，跨大版本升级可能会存在日志文件丢失。

 

35、WG能否防护DoS攻击

Ruijie WG提供了四种拒绝服务攻击的检测和防御：

HTTP Flood攻击的检测和防御：

在设定的“时间间隔”内，向同一个WEB服务器发送的HTTP请求次数达到一定数值时，Ruijie WG将判定该请求为DoS攻击。

TCP Flood攻击的检测和防御：

设置判定Dos攻击的临界值，即每秒收到的包的数量达到多少时判定为TCP Flood攻击。

UDP Flood攻击的检测和防御：

设置判定Dos攻击的临界值，即每秒收到的包的数量达到多少时判定为UDP Flood攻击。

ICMP Flood攻击的检测和防御：

设置判定Dos攻击的临界值，即每秒收到的包的数量达到多少时判定为ICMP Flood攻击。

Ruijie WG在检测到Dos攻击后将阻断相应的连接。

 

36、常用命令：

恢复出厂配置（恢复后按操作提示重启，重启后生效）：

unset all

 

保存配置：

save configuration

 

修改administrator的密码：

set  admin administrator password @ruijie123 （其中@ruijie123为密码，注意密码不能设置太简单，如纯英文或者纯数字，否则会告警，设置无效）

 

查看系统完整信息（如主机名、型号、序列号、内存/CPU使用率/硬盘使用率、版本）：

show system

 

配置IP地址：

set interface MGT ip 192.168.10.102/24      //配置MGT口IP地址为192.168.10.102，24位掩码

 

配置路由：

Ruijie# set route 0.0.0.0/0 gw 192.168.10.1    //配置默认路由，网关为92.168.10.1

 

添加可信管理主机：

set management trusted-host <A.B.C.D/M>   //采用 地址/掩码 的方式设置

 

删除可信管理主机：

unset management trusted-host <A.B.C.D/M>

 

查看可信管理主机：

Show management trusted-host

 

设置主或从DNS服务器：

set dns A.B.C.D [ primary | secondary ]

 

删除主或从DNS服务器：

unset dns [primary | secondary]

 

查看主或从DNS服务器设置：

show dns

 

37、WG的正式授权如何购买

联系当的销售或商务人员

 

 

38、WG系列产品新授权机制说明

1)、新授权机制说明

 

a、适用范围：适用于首次激活和授权续订激活。

 

b、激活方式：授权激活分为在线激活（推荐）和离线激活两种方式。

 

c、激活说明：1）在线激活需配合3.50.2.73r9版本使用（新发货设备默认灌装）；2）离线激活网站：登陆锐捷官网 http://www.ruijie.com.cn 的服务与支持版块下的WG 产品 license；或直接访问 ：https://lwg.ruijie.com.cn；

 

说明：

 

a）无论使用哪种激活方式，一个激活文件只可以激活一次，如因人为操作失误激活错误，需联系后台4008-111-000进行解绑；

 

b）多个激活文件可以与同一个产品序列号进行激活和绑定，绑定后该产品服务的期限为各激活文件服务期限总和；

 

c）WG1000产品不支持新授权机制，仍然采用原有授权机制；

 

 

 

2)、新授权机制操作

a、激活操作说明

在线激活、离线激活操作详见附件《RG-WG系列WebGuard网页应用保护系统授权激活操作指导（V1.1）》文档说明；

 

 

b、售前测试授权自助申请，使用用户名：ruijie，密码：ruijie@wg，登陆锐捷官网 http://www.ruijie.com.cn 的服务与支持版块下的WG 产品 license 申请；或直接访问：https://lwg.ruijie.com.cn；进行申请和下载；

说明：如申请的设备不在测试授权库中，可联系4008-111-000申请；

 

3)、新老授权机制并行说明

切换过渡期间新老授权机制将并行，确保授权业务正常。

1、 如现场设备为：授权默认已导入设备，灌装非3.50.2.73r9版本（老授权机制），此时无需升级至3.50.2.73r9版本，沿用原有授权机制即可。

2、 如现场设备为：提供授权激活文件光盘，灌装3.50.2.73r9版本（新授权机制），此时需采用新授权机制进行激活。

3、 离线激活授权文件适用于任意软件版本的设备。

 

 

 

四、附录

1、授权激活文件将通过光盘方式发放

   说明：随机免费一年的授权文件将存放在设备附件盒中；请妥善保管；

   

 

2、离线激活、售前测试授权自助申请平台

登陆锐捷官网 http://www.ruijie.com.cn 的服务与支持版块下的WG 产品 license 申请；或直接访问 ：https://lwg.ruijie.com.cn；

 

 

 

39、WG病毒特征库离线更新

病毒特征库比较大，请在http://pan.baidu.com/s/1i3HohPb#dir/path=%2Fsignature 下载最新的更新；

 

 

40、WG产品部署反向代理的限制

     WG设备部署反向代理，无论在3.50版本还是3.80版本都会出现性能下降50%的问题；

 

41、WG设备对组播、IPv6的支持情况

      3.50版本：支持组播透传，不支持IPv6透传；

      3.80版本：支持组播和IPv6透传。

 

42、WG设备的用户名密码加密算法是什么

      WG设备的用户名密码存在mysql数据库里，用MD5方式加密;

 

43、WG HA支持情况

    1）WG部署HA即通过VRRP同步信息，实际使用的协议即为VRRP

    2）建议较高性能的设备才开启HA，建议至少为WG2000E；

    3）除WG1000外，其余设备都支持

 

44、WG CPU100%情况下设备是否还能转发数据？

      设备软件恢复到bypass状态,代理功能无法使用将无法对HTTP流量进行检测;

 

 

45、WG2000E光口是否支持bypass

       不支持光口bypass;

 

 

46、WG 3.8版本的设备，刚开机启动完成的一会儿CPU达到100%，过来不久就稳定下来到10%，这种现象正常吗

      正常,系统起机的时候在 加载病毒库;

 

47、WG2000 底层是否有用到RAS BSAFE 加密算法

     没有用到此加密算法

 

48、WG3000E是否支持同时安装两个2万兆口模块

     不支持

 

 

49、WG反向代理模式，如果内网有两个不同的web服务器，对外使用两个域名，这个在反向代理能做么

      3.8版本才可以支持;

 

50、WG是否支持和elog、apm联动

      不支持;