《天融信防火墙配置与维护讲解》由会员分享,可在线阅读,更多相关《天融信防火墙配置与维护讲解(77页珍藏版)》请在金锄头文库上搜索。
1、中 国 信 息 安 全 领 导 企 业 天融信防火墙产品 配置与维护 December 13, 2010 内容提纲内容提纲 防火墙基本应用 防火墙高级应用 防火墙常见问题与排除 综合实验案例介绍 InternetInternet 一种高级访问控制设备,是置于不同一种高级访问控制设备,是置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同网络安之间的一系列部件的组合,它是不同网络安 全域间通信流的全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒绝、监视、记录)进(允许、拒绝、监视、记录)进 出网络的访问行为。出网络的访问行为。 两个安全
2、域之间通 信流的唯一通道 UDPBlockHost CHost B TCPPassHost CHost A Destinatio n Protoc ol Permi t Sourc e 根据访问控制规则决 定进出网络的行为 防火墙简介防火墙简介 内部网内部网 防火墙提供的通讯模式防火墙提供的通讯模式 透明模式(提供桥接功能) 在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说 ,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把 包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转 发。 路由模式(静态路由功能) 在这种模式
3、下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包 的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在 同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配 置IP 地址。 综合模式(透明+路由功能) 顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明 模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境 透明模式的典型应用透明模式的典型应用 InternetInternet 内部网内部网 202.99.88.1 ETH0:202.99.88.2 ETH1:202.99.88.3 ET
4、H2:202.99.88.4 202.99.88.10/24 网段 202.99.88.20/24 网段 外网、SSN、内网在同一个广 播域,防火墙做透明设置。此 时防火墙为透明模式。 路由模式的典型应用路由模式的典型应用 InternetInternet 内部网内部网 202.99.88.1 ETH0:202.99.88.2 ETH1:202.99.88.3 ETH2:202.99.88.4 202.99.88.10/24 网段 202.99.88.20/24 网段 外网、SSN、内网在同一个广 播域,防火墙做透明设置。此 时防火墙为透明模式。 综合接入模式的典型应用综合接入模式的典型应用
5、ETH1:192.168.7.102 ETH2:192.168.7.2 192.168.1.100/24 网段 192.168.7.0/24 网段 此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式 202.11.22.1/24 网段 ETH0:202.11.22.2 两接口在不同网段, 防火墙处于路由模式 两接口在不同网段, 防火墙处于路由模式 两接口在同一网段, 防火墙处于透明模式 1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防 火墙分配合理
6、的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 在配置防火墙之前的准备在配置防火墙之前的准备 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,用户 可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,具体请见下 表: 防火墙的工作状态防火墙的工作状态 串口(console)管理方式: 用户名superman,口令:talent,用passwd修改管理员密码,请牢记 修改后的密码。 WEBUI管理方式: 超级管理员:superman,口令:talent TELNET管理方式: 模拟
7、console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent 防火墙的管理方式防火墙的管理方式 防火墙的防火墙的CONSOLECONSOLE管理方式管理方式 超级终端参数设置: 防火墙的防火墙的CONSOLECONSOLE管理方式管理方式 输入helpmode chinese命令 可以看到中文化菜单 防火墙的防火墙的WEBUIWEBUI管理方式管理方式 在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是” 防火墙的防火墙的TELNETTELNET管理方式管理方式 通过TE
8、LNET方式管理防火墙: 网络卫士防火墙配置思路: 一、配置网络连通 二、配置安全控制 防火墙的防火墙的配置思路配置思路 1.配置区域和接口 2.配置路由 3.配置地址转换 1.规划好需要制定什么样的访问策略 2.配置访问控制 3.调整安全参数(管理员、密码等) 拓朴描述拓朴描述 原有网络原有网络 网络规划后网络规划后 防火墙的基本应用防火墙的基本应用 配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略 制定地址转换策略(通讯策略) 保存和导出配置 定义定义区域区域 在“对象”区域对象“中定义防火墙3个区域(接口)
9、的默认权限为”禁止访问“ 定义区域的服务定义区域的服务 在“系统管理”“配置 ” “开放服务”里给区域定义服务 路由模式配置接口路由模式配置接口IPIP 进入防火墙管理界面,点击”网络管理“ ”接口“可以看到物理接口定义结果: 点击每个接口的”设置”按钮可以修改每个接口的名称、地址、模式等 透明模式透明模式 nTRUNK模式 u配置要点 配置接口为TRUNK 添加需要透传的VLAN ID号 nACCESS模式 u配置要点 配置接口模式为ACCESS,并设置该接口属于哪个VLAN 添加VLAN 定义定义 VLANVLAN 定义一个VLAN。点击“网络管理”“二层网络”“添加/删除VLAN范围”
10、设置vlan ID 定义定义VLANVLAN的的IPIP地址,更改接口模式地址,更改接口模式 设置VLAN地址 设置接口工作模式及地址 设置设置防火墙路由防火墙路由 设置缺省网关时, 源和目的一般为全“0” 防火墙的缺省网关在静态 路由时,必须放到最后一条 路由 定义对象主机对象定义对象主机对象 点击:”资源管理“地址”“主机”,点击右上角“添加” 定义对象主机对象定义对象主机对象 主机对象中可以定义多个IP地址 定义对象地址对象和子网对象定义对象地址对象和子网对象 定义地址转换(通信策略)定义地址转换(通信策略) 根据前面的需求如果内网要访问外网,则必须定义NAT策略;同样外网 要访问WEB
11、服务器的映射地址,也要定义MAP策略 定义NAT策略,选择源为已定义的内部子网,目的为“AERA_ETH0”区域 转换地址要选择”源地址转换为“ETH0”,也就是防火墙外网接口IP地址; 也可以选择定义好的“NAT地址池”(在“对象”“地址范围中定义”) 配置MAP(映射)策略,源选择外网区域“area_eth0” 目的选择映射后的公网IP地址(也就是WEB服务器MAP),目的地址转换为必须选择服务 器映射前的IP(也就是WEB服务器的真实IP地址),选择“WEB服务器”主机对象即可。 定义地址转换(通信策略)定义地址转换(通信策略) 设置好的地址转换策略(通信策略) 第一条为内网访问外网做N
12、AT;(源转换) 第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP;(目的转换) 制定访问制定访问规则(规则(1 1) 第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”;目的可以选择目的区域 “AERA_ETH0”,也可以是“ANY范围” 制定访问制定访问规则(规则(2 2) 定义访问定义访问规则(规则(3 3) 第二条规则定义外网可以访问WEB服务器的映射地址,并只能访问TCP80端口。源选择 “AERA_ETH0”、目的选择”WEB服务器MAP“地址。转换前目的选择”WEB服务器“(服 务器真实的IP地址) 点选“高级” 选择源AREAarea_eth
13、0 选择目的“WEB服务器MAP” “服务”“HTTP” 定义访问规则定义访问规则 定义好的两条访问策略 配置保存配置保存 点击防火墙管理页面右上角“保存”按钮,然后选择弹出对话框“确定” 即可保存当前配置 查看配置、导出配置查看配置、导出配置 在“系统管理”“维护”中进行防火墙当前配置的保存、下载、上传等操作 按照下图中数字所示顺序即可把防火墙配置导出到本地,其中配置替换是把本 地配置导入到防火墙时候用的。 内容提纲内容提纲 防火墙基本应用 防火墙高级应用 防火墙常见问题与排除 综合实验案例介绍 防火墙的高级应用防火墙的高级应用 策略路由应用 应用程序识别部分 DPI(URL)过滤 全面支持
14、DHCP 链路备份 流量管理 双机热备 策略路由策略路由 策略路由与静态路由都用于定义数据包转发规则,比传统路由控制能力更强,使用更灵活,根 据协议类型、应用、IP源地址或者其它的策略来选择转发路径。这种方式可以实现内部网络的指定对 象使用特定外部线路与外部网络通信,从而进一步增强了网络的通信安全。 需求1:电信和网通用户可以分别通过两个不同的 公网地址来访问企业内网的一台服务器;而且内 网服务器回复报文遵循电信用户使用电信出口, 网通用户使用网通出口的规则。 需求2:内网服务器172.16.98.222访问外网使用电 信线路,其他使用网通。 策略路由策略路由 配置要点: 添加路由绑定属性 添
15、加路由条目 应用程序识别应用程序识别 p IM实现方式及功能 支持协议:QQ、MSN、SKYPE; 实现内容:禁止IM客户端登陆; 实现方式:根据登陆过程的协议特征进行判断; p P2P实现方式及功能 支持协议:BT、eDonkey; 实现内容:禁止下载、QOS限制和连接数限制; 实现方式:根据数据开始特征进行判断 内容过滤内容过滤 支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤 支持URL过滤。 支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。 支持对邮件的收发邮件地址、文件名、文件类型过滤。 支持对邮件主题
16、、正文、收发件人、附件名、附件内容等关键字匹配过滤。 支持GB2312、UTF-8等多种编码方式。可屏蔽受保护主机/服务器系统信息,如替换服 务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。 案例介绍案例介绍- -内容过滤内容过滤 需求: p 开启DPI过滤 禁止访问sina和sohu; p 开启应用程序识别 每周一到周五上午9:0017:00禁止使用QQ/BT; 其他时间可以使用QQ/MSN 案例介绍案例介绍-URL-URL过滤过滤 URL过滤配置要点: DPI应用端口绑定 添加URL对象 添加HTTP过滤策略 引用到访问控制 案例介绍案例介绍- -应用程序识别应用程序识别 应用程序识别配置要点: 添加应用程序识别策略 引用到防火墙访问控制 防火墙高级应用防火墙高级应用DHCPDHCP 网络卫士防火墙
