收藏
下载资源

【精编】防火墙管理与维护培训教材

上传人:tang****xu2 文档编号:122170019 上传时间:2020-03-02 格式:PPT 页数:38 大小:820KB
返回 下载 相关 举报
【精编】防火墙管理与维护培训教材_第1页
第1页 / 共38页
【精编】防火墙管理与维护培训教材_第2页
第2页 / 共38页
【精编】防火墙管理与维护培训教材_第3页
第3页 / 共38页
【精编】防火墙管理与维护培训教材_第4页
第4页 / 共38页
【精编】防火墙管理与维护培训教材_第5页
第5页 / 共38页
点击查看更多>>
资源描述

《【精编】防火墙管理与维护培训教材》由会员分享,可在线阅读,更多相关《【精编】防火墙管理与维护培训教材(38页珍藏版)》请在金锄头文库上搜索。

1、TOPSECNGFW培训讲座 TEL 800 810 5119FAX 010 62304552E mail service 第一章 防火墙的管理及维护第二章 防火墙一般故障的解决方法第三章 防火墙应急响应机制 目录 第一章防火墙的管理及维护 本章目标 了解防火墙登陆控制了解防火墙VLAN设置了解防火墙规则设置及更改了解防火墙的状态信息了解防火墙的实时监控防火墙日志服务器的维护防火墙双机情况下的维护 要管理防火墙首先要登陆防火墙 防火墙4000提供3种登陆管理方式串口管理TELNET管理GUI管理 第一章防火墙的管理及维护 一 防火墙登陆控制 命令行管理 图形化管理 由于防火墙命令行的管理方式比

2、较复杂 图象化管理方式即简单又人性话 所以我们在管理时尽量使用图形化管理方式 防火墙GUI登陆在登陆防火墙之前 先在管理机上PING防火墙的管理地址 PING通后在用防火墙集中管理器登陆防火墙登陆时如果提示 没有管理权限 的话就要在 串口管理 模式下添加GUI管理权限 操作步骤如下 1 在管理机上通过串口线将管理机与防火墙的串口相连2 在管理机上通过超级终端登陆防火墙 第一章防火墙的管理及维护 防火墙超级终端连接时的属性设置如下 防火墙串口登陆时不需用户名 只需密码 默认密码为talent 3 在超级终端上添加防火墙的GUI登陆权限 具体命令如下 areashow显示防火区域属性 firewa

3、llclientaddclient name tGUi aarea name iip1 ip2在防火墙上添加新的GUI登录用户firewallclientshow显示所有的防火墙登录用户firewallclientadd test tgui a ssn i0 0 0 0 255 255 255 255说明 在 ssn 区域新建一个可以GUI防火墙的管理客户端 并将其命名为 test 在确认即可PING通防火墙又有GUI登陆权限就可用防火墙的集中管理器以图形化的方式登陆防火墙进行管理 第一章防火墙的管理及维护 5 在防火墙集中管理器上成功登陆防火墙后显示的管理界面 第一章防火墙的管理及维护 二

4、防火墙VLAN设置 先用集中管理器登陆防火墙 在 高级管理 特殊对象 透明网络 中新建一个对象 该透明对象名称随意起 对象包括的区域选择 工作站区 服务器区 与 外网 按上图的提示操作就可以将 工作站区 服务器区 与 外网 划到同一VLAN中 实现防火墙的透明接入 第一章防火墙的管理及维护 三 防火墙规则设置 防火墙的规则分为 默认规则与访问规则 数据包经过防火墙时是先查访问规则再查默认规则 如该数据包匹配访问规则即执行不再去查默认规则 并且在查访问规则时也是从上往下执行的 以先查到的规则为准来执行 所以在定义规则时一定要注意规则的顺序 防火墙一般时候是用来防止外网对内网的攻击的 所以在设置默

5、认规则时外网的权限可以放开 而内网与SSN的默认权限禁止 防火区的默认规则设置如下 以内网接口设置为例 1 内网的缺省访问权限设置如下 选择激活防火墙管理菜单下的网络 区域 第一章防火墙的管理及维护 2 双击 内网 激活其属性窗口 3 在缺省访问权限里 根据需求选择 可读 可写 可执行 用户可以单一选择 也可自己组合 注意 可读 可写 可执行 都选上代表默认规则全通 可读 可写 可执行 都不选上代表默认规则不通 第一章防火墙的管理及维护 防火墙的访问规则的定义步骤如下 1 选择防火区域在已激活防火墙集中管理器中高级管理下访问策略项目中 选择需要制定访问策略的防火区 2 选择添加方式策略的添加方

6、式可以有多种 新建 在前添加 在后添加 第一章防火墙的管理及维护 3 选择策略类型选择了添加方式后 策略向导窗口被打开 首先要选择相应的策略类型 例如选择包过滤类型 以下的步骤都是针对此策略类型讨论的 点击下一步后 弹出策略源定义窗口 第一章防火墙的管理及维护 4 定义策略源的对象 5 定义策略目的对象 选择该访问策略的访问目的对象 选择该访问策略的访问源对象 第一章防火墙的管理及维护 6 定义访问服务 选择该访问策略包含的服务 如果用户需要制定的服务没有包含在服务列表中 在策略定义后 可以点击 自定义服务 来添加所需的服务 第一章防火墙的管理及维护 7 添加访问策略控制 客户策略可以定义如下

7、部分 访问权限 该用户访问目标对象的权限 日志选项 描述日志级别 连接控制 可以为普通连接 也可以为长连接 一般地防火墙对通信空闲一定时间的连接将自动断开 以提高安全性和释放通信资源 但某些应用所建立的连接需要长时期保持 即使处于空闲状态 限定时间 该访问策略作用的时间段 可以是任何时间 也可以是用户自定义的时间 策略配置完成后 可以看到所有策略的当前状态 以上访问策略为包过滤策略 相应的过滤策略 HTTP 文件资源 邮件做下图的对应选项 步骤同上 一条访问策略已经配置完成 下表总结了策略定义中主要项的含义 第一章防火墙的管理及维护 具体的操作及对象的添加请参考 防火墙应用 初级 第一章防火墙

8、的管理及维护 防火墙规则更改防火墙规则更改只要在以添加规则上双机即可打开策略窗口 第一章防火墙的管理及维护 在策略窗口中选择要修改的源 目的 服务或控制按自身要求进行相应的更改注意 防火墙规则是以从上向下的顺序执行的 所以一定要注意防火墙规则的顺序 如顺序不正确可用鼠标左健点住拖动到相应的位置 移动前 移动后 第一章防火墙的管理及维护 四 防火墙状态信息查看防火墙工作状态是否正常对整个网络环境至关重要 在 网络卫士 系列防火墙的集中管理器中 为管理员提供了一个直观的防火墙状态信息监控功能 查看方法如下 通过集中管理器登录到需要查看状态信息的防火墙 在已激活防火墙集中管理器下 选择 基本信息 接

9、口状态 其中显示了防火墙各接口的详细统计信息 第一章防火墙的管理及维护 选择 基本信息 性能 其中显示了防火墙CPU 内存使用情况 和防火墙现在的连接数 第一章防火墙的管理及维护 五 防火墙监控器的使用 在实时监控启动之前 要在 工具 中 防火墙登录控制 中添加监控器权限 否则在启动监控时会提示监控初始化失败 在GUI方式下添加监控器管理客户端 在工具 防火墙登陆控制下添加 第一章防火墙的管理及维护 在确定集中管理器有实时监控的权限后在启动监控 通过对连接信息的查看 用户可以了解当前通过 未通过 已建立或已断开连接的源地址 目的地址 发送流量 接收流量等信息 同时用户还可以设定不需要进行查看的

10、连接的过滤条件 具体操作如下 在已激活防火墙集中管理器下选择 实时监控 单击右键 选择 启动监控 或者点击工具条上的快捷按钮 第一章防火墙的管理及维护 2 启动监控后 会弹出 设置过滤器 窗口 点击 增加过滤条件 打开过滤条件的设置窗口 第一章防火墙的管理及维护 在过滤条件中选择源目标和目的目标的所属区域 并输入源 目的IP 起始IP地址为0 0 0 0 结束IP地址为 255 255 255 255表示该区域的所有设备 端口 为0表示所有端口 第一章防火墙的管理及维护 过滤器设置说明在高级控制中 包括监控类型 被拒绝的连接 和协议类型 如果选择 不监控此条件连接 表示不对满足此条件的连接进行

11、监控 如果选择 停用该过滤条件 表示 监控除此条件外的所有连接 过滤器可以设置多个过滤条件 条件有先后顺序 需要将范围大的过滤条件放在后面 先设置过滤范围小的过滤条件 比如 对网络中除了IP地址为192 168 8 186外的所有连接进行监控 就需要配置两条过滤条件 条件1 设置192 168 8 186为源IP地址 起始和结束IP地址都为它 端口可设为0 将 不监控此条件连接 选项打勾 表示不监控192 168 8 186对外访问的连接 条件2 设置一条监控所有连接的过滤条件 即将源目标和目的目标设为所有区域 IP地址范围从0 0 0 0到255 255 255 255 端口为0 这两个条件

12、设置完后 监控器将监控除IP地址为192 168 8 186以外的所有连接 第一章防火墙的管理及维护 3 过滤器的的条件设置完成后 如下图所示 点击 设置 使该过滤条件即时生效 同时 在不重新启动防火墙集中管理器的情况下 如果重新启动监控 过滤器将自动载入上次 最近一次 设置的过滤条件 点击 保存过滤器 可以将所有设置的条件都在本机上以文件形式保存 下一次重新启动防火墙集中管理器后 过滤条件就会自动载入过滤器 并自动弹出过滤器设置窗口 需要用户点击 设置 按钮 过滤器中的条件才能设置到防火墙上起到过滤连接信息的作用 第一章防火墙的管理及维护 4 当过滤条件设置成功后 就可以看到当前的连接信息

13、第一章防火墙的管理及维护 如果在连接信息中发现了有非法连接 用户可以选择该连接 单击右键 选择 删除选中连接 或者点击连接后 选择工具条上的快捷按钮 该连接就会被防火墙强制断开 断开的连接将显示在连接信息下的断开连接信息表中 第一章防火墙的管理及维护 当显示的连接数过多时 用户可以设置当前可显示连接数和断开连接数的最大值 将鼠标移至连接信息显示窗口处 单击右键 选择 设置显示连接最大值 设置需要显示的最大连接数 第一章防火墙的管理及维护 六 防火墙日志服务器的维护 防火墙日志服务器的维护主要是服务中的两个服务QuerySvrMonitorService和LogSvrMonitorService

14、与SSL代理有没有启动 a 日志服务启动和停止 打开通过控制面板 服务选项 其中在服务进程表里 日志服务器会有两个服务 QuerySvrMonitorService和LogSvrMonitorService 你可以在这里启动 关闭这两个服务 第一章防火墙的管理及维护 b SSL代理服务的启动 关闭SSL代理服务负责审计管理器和日志服务器通讯的加密 SSL代理服务器如果启动 会直接在任务栏里看到 如果没有启动 请在开始菜单下的 启动 一栏里启动它 在确认以上3项都启动后可查看日志服务器与防火墙通讯是否正常 可在日志服务器的DOS命令行下输入NETSTAT命令查看 如显示有与防火墙地址的4000端

15、口的连接表示日志服务器与防火墙的通讯是正常的 具体的操作可参考 防火墙应用 高级 中的日志服务器典型应用 d 一台防火墙日志服务器可以同时记录16台防火墙的日志 第一章防火墙的管理及维护 七 防火墙双机维护 1 作为双机热备的两台防火墙必须保证配置的一致性 也就是说要是完全相同硬件与软件的防火墙两台 并且防火墙配置也要保持一致 在防火墙使用过程中更改配置是经常有的 重要的是更改完配置要在 工具 下的 防火墙配置管理 中点 同步 将更改完的配置传到另一台防火墙 非工作的防火墙 从墙 上 以保证两面配置的一致性 2 作为双机热备的两台防火墙的最后一个100M以太网端口 称为 状态同步端口 只用来做

16、两台防火墙的状态信息传送 不参与其他网络通信 但该接口或接口所连的网线有问题会导致两台防火墙同时工作 即网络中同时出现两台主墙 导致网络中断 在出现该问题时建议关掉其中一台防火墙即可保证网络的正常通讯 第一章防火墙的管理及维护 3 双机防火墙中的一台防火墙如果有问题的话 另一台工作的防火墙 主墙 会发出异常响声以提醒管理员从墙故障 这时管理员可以对从墙进行细致的检查 4 防火墙双机与IDS联动成功后 在进行防火墙切换时当前的IDS联动阻断规则不会生效 5 防火墙在做双机时要将交换机上的生成树关掉 第二章防火墙一般故障的解决方法 超级终端无法连接到防火墙查看是否在超级终端上设置了正确的通信参数 9600 8 N 1 及终端类型 并检查线缆连接正确 2 无法TELNET或GUI管理防火墙检查防火墙登录控制中是否允许TELNET或GUI管理 确认登录源主机的IP是否在设定IP范围内 确认是否有相同用户名的用户已登录防火墙 同用户名用户不允许在同一时间登录同一台防火墙 如果是新墙 确认使用集中管理器 GUI管理 登录防火墙的计算机连接在防火墙eth2内网接口上 对刚出厂的防火墙 只允许通过内网

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号