《{企业通用培训}FWUTM培训胶片》由会员分享,可在线阅读,更多相关《{企业通用培训}FWUTM培训胶片(58页珍藏版)》请在金锄头文库上搜索。
1、DPtech FW/UTM培训胶片,目 录,第一章 DPtech Firewall/UTM产品概述 第二章 Firewall/UTM组网及部署 第三章 Firewall/UTM基本配置 第四章 常见问题定位排查,防火墙技术发展介绍,主要分为以下3种类型防火墙: 包 过 滤 防 火 墙 :根据一组规则允许/阻塞一些数据包。 应用代理型防火墙:作为应用层代理服务器,提供安全防护。 状态检测型防火墙:比包过滤防火墙具有更高的智能和安全性,会话成功建立连接以后记录状态信息并时时更新,所有会话数据都要与状态表信息相匹配;否则会话被阻断。DPTECH 防火墙属于状态检测型防火墙。,状态检测技术,防火墙硬件
2、架构的发展趋势,纯软件,NP技术,处理性能,多核技术,技术发展,ASIC技术,工控机,DPTECH FW,防火墙的发展趋势,高性能:容量更大的万兆处理平台,满足更高端万兆需求 深识别:提供深度识别技术,可以实现对应用层(如P2P)深层识别 多功能:支持基于应用的虚拟防火墙,满足不同业务应用的逻辑划分 双协议:支持IPv6,可以为IPV6网络的安全保驾护航,支持使用在IPv4、IPv6双栈环境 真环保:提供可回收、低辐射、无公害、低功耗的平台 国产化:国内自主知识产权,通过国家安全认证,符合中国“等级保护”等国家级安全要求,衡量防火墙性能的几个重要指标,主要参考以下3种性能指标: 整机吞吐量:指
3、防火墙在状态检测机制下能够处理一定包长数据的最大转发能力,业界默认一般都采用大包衡量防火墙对报文的处理能力。 最大并发连接数:由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。 每秒新建连接数:指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度,如果该指标低会造成用户明显感觉上网速度慢,在用户量较大的情况下容易造成防火墙处理能力急剧下降,并且会造成防火墙对网络攻击防范能力差。,DPTECH N系列防火墙产生背景,目前,Web2.0、音频/视频、P2P、云计
4、算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制的防火墙,已远远无法满足各种新应用下安全防护的需求,增加其它辅助设备又会增加组网复杂性;而通过在传统防火墙上简单叠加部分应用层安全防护功能,也由于系统设计和硬件架构的天然不足,造成性能的大幅衰减,导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心,此问题显得尤为严峻。 为解决上述难题,迪普科技推出了基于全新多核处理器架构的下一代防火墙DPtech FW1000 N系列应用防火墙。FW1000对网络层、应用层安全进行融合,并采用独有的“并行流过滤引擎”技术,全部安全策略可以一次匹配完成,即使在应用层功能不断扩展、
5、特征库不断增加的情况下,也不会造成性能的下降和网络时延的增加。,DPtech防火墙产品,DPtech (UTM)统一威胁管理产品,杭州迪普科技有限公司,产品简介,创新性:新一代网络安全架构 ,专用定制的Conplat平台 管理性:Web配置所见即所得 集成性:集路由器、VPN、防火墙设备功能于一身 高性能:高吞吐量 高密度接口:丰富了用户的应用,并节约了成本。,登录WEB管理页面,第一,确保主机同FW管理口(默认最后一个接口)通讯正常(主机跟管理口配置同一个网段的IP)。 第二,打开IE浏览器,输入http:/192.168.0.1(管理口默认地址),进入WEB页面。,串口下修改管理口地址。,
6、如果不想使用192.168.0.1的地址,可以在串口下修改,(web页面不能进入的情况),也可以在WEB页面修改。 串口下修改管理口地址,以eth0_7为例。 进入串口密码:DPTECH(大写)。(图一) 查看接口信息(show interface)。(图二),目 录,第一章 DPtech Firewall/UTM产品概述 第二章 Firewall/UTM组网及部署 第三章 Firewall/UTM基本配置 第四章 常见问题定位排查,组网模式及其部署透明模式,基本组网,组网模式及其部署基本配置,安全域的配置 安全域优先级的配置 配置相同优先级,支持域间的隔离 配置高低优先级,支持高优先级到低优
7、先级的直接访问 安全域接口列表的添加 接口的配置 工作模式的配置选项:三层接口、二层接口 二层接口的配置 接口类型的选择:ACCESS口(支持默认VLAN1数据通过)、TRUNK口(支持VLAN透传) 接口VLAN的设置 三层接口的配置 接口类型的先择:LAN、WAN、管理口(管理口不转发流量) IP地址分配:静态IP、PPPoE、DHCP VLAN的配置 添加VLAN 包过滤策略的配置,组网模式及其部署透明模式,组网应用场景 需要二层交换机功能做二层转发 在既有的网络中,不改变网络拓扑,而且需要安全业务 防火墙的不同网口所接的局域网都位于同一网段 特点 对用户是透明的,即用户意识不到防火墙的
8、存在 部署简单,不改变现有的网络拓扑,无需更改其他网络设备的配置 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 必须配置一个vlan-ifxxx的管理地址 ,用于设备管理,组网模式及其部署透明模式,接口管理组网配置:修改工作模式为 二层接口,类型为access,(trunk)选中所属VLAN.内网用户可以使用VLAN-IF接口对FW设备进行管理。,组网模式及其部署路由模式,基本组网,组网模式及其部署路由模式,组网应用场景 需要路由功能做三层转发 需要共享Inte
9、rnet接入 需要对外提供应用服务 需要使用虚拟专用网 特点 提供丰富的路由功能,静态路由、RIP、OSPF等 提供源NAT支持共享Internet接入 提供目的NAT支持对外提供各种服务 支持各类安全特性:攻击防护、包过滤、应用识别及应用访问控制等 需要使用WEB认证功能 配置要点 接口添加到相应的域 接口工作于三层接口,并配置接口类型 配置地址分配形式静态IP、DHCP、PPPoE,组网模式及其部署路由模式,LAN口接内网接口,WAN口接外网接口。,组网模式及其部署混合模式,组网应用场景 需结合透明模式及路由模式 特点 在VLAN内做二层转发 在VLAN间做三层转发 支持各类安全特性:攻击
10、防护、包过滤、应用识别及应用访问控制等 配置要点 接口添加到相应的域 接口为二层接口,根据需要,配置接口类型为ACCESS或TRUNK 接口配置VLAN属性 添加三层接口,用于三层转发 配置一个vlan-ifxxx的地址 ,用于三层转发,目 录,第一章 产品概述 第二章 组网模式及部署 第三章 FW基本配置 第四章 常见问题定位排查,升级版本,进入系统管理软件版本页面。 第一步,点击“浏览”,选择版本存放的正确路径。 第二步,选择“下载软件版本”,红色边框标识处。这时要等几分钟,直到出现两个版本。红色边框标识处。,升级版本,第三,如果需要导出配置可以如下操作,等设备启动后,再倒入配置.(可选步
11、骤),图一所示。 第四,清除数据库,重启。图二所示。,丰富的安全功能,攻击防范和远程安全接入一体化 深度状态识别,提供基于状态的安全过滤 集成地址转换、流量控制等网络应用,功能特点,采用先进的多核硬件架构 多核多线程的硬件设计 集成硬件网络加速和安全加速引擎 网络处理性能高 功耗低,更加环保 成本低,市场竞争力强 完善的安全策略管理机制 支持面向对象的策略管理 支持业务策略的定制,功能特点,支持无用户限制NAT 解除单IP受限于端口的限制 单IP可支持百万级别以上会话 节约公网IP地址 多WAN口备份 增加出口带宽 线路备份 负载均衡策略:支持会话方式、流量方式,功能特点,应用识别及基于网络应
12、用的访问控制 支持各类应用的识别,包括P2P、电子邮件、股票、网络游戏等 支持特征库升级,支持后续应用识别的扩展 支持各类网络应用的访问控制 支持网络应用带宽限速 丰富的URL访问控制 支持基于内容分类的URL访问控制 支持URL库的管理,包括URL数据库在线、离线更新 URL数据库容量大,分类数多 基于URL正则表达式的URL过滤 支持Web访问的黑、白名单设置 HTTP URL关键字过滤 HTTP POST命令关键字过滤,功能特点,强大的审计功能 支持对各种网络应用的审计 支持按时间、用户行为、源IP、目的IP的审计 支持当前在线用户的上网行为的审计 支持业务流量的分析 支持单用户业务流量
13、的分析 丰富的日志功能 支持系统日志、操作日志、业务日志 支持黑名单、地址绑定、攻击日志、策略日志等 支持各类日志导出、查询、删除 支持日志耗尽策略,功能特点,接口密度高 支持虚拟防火墙 支持IPMAC地址对自动探测和唯一性检查 支持3G接入,基本配置 - 安全区域划分,DMZ区,Trust 可信区域,DPtech 防火墙,Internet,Untrust 不可信区域,提供灵活的安全区域隔离功能,按区域进行重点安全防护。 所有逻辑接口都可以自由的划分在不同的安全区域中,包括子接口、隧道接口、物理接口等。 支持安全区域自定义,满足更复杂的组网要求。,安全域配置,安全域分为trust、untrus
14、t、DMZ ,trust 域优先级最高,DMZ其次,untrust优先级最低默认情况下,优先级高的能访问优先级低的。 如果优先级相同或者优先级低的域访问高的域,需要配置包过滤策略,允许通过。安全域优先级的配置 必须将相应接口加入安全域,(当接口属于某个VLAN时,应加入VLAN接口) 将内网接口加入trust信任域,将外网口加入untrust非信任域,将内网映射到外网的服务器加入DMZ区域。,基本配置-包过滤策略,配置包过滤策略,禁止Internet访问内网。,灵活智能NAT转换,USER1 SIP:192.168.0.1,FW1000防火墙 NAT 1. SIP:192.168.01=SIP
15、:10.153.100.1 2. SIP:192.168.02=SIP:10.153.100.1 3. SIP:192.168.01=SIP:10.153.100.1,USER2 SIP:192.168.0.1,USER3 SIP:192.168.0.1,SIP:10.153.100.1,支持多个地址对一个地址的转换 支持多个地址对多个地址的转换 支持一对一地址转换 支持基于端口的转换,隐藏内网结构,NAT转换,网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型I
16、nternet接入方式和各种类型的网络中。 源nat-就是把内网私有ip转换成公网ip。,FW外网地址,借用出接口或者选择已有地址池,NAT转换,目的nat-就是让外网的用户,可以访问内网私有的ip地址或服务.,外网流量进入的接口,即WALN口。,要映射的内网地址,选择内部服务器提供的服务 。,NAT转换,一个公网ip对应一个内网ip地址。,路由,FW使用静态路由和动态路由相结合的解决方案,来处理不同网络环境下的不同网络协议。 静态路由: 在组网比较简单的网络中,只配置静态路由就可以完成网络的选路工作。使用静态路由可以改进网络的性能,并可为重要的应用保证带宽。,策略路由,策略路由是一种比基于目标网络进行路由更加灵活的数据包路由转发机制。应用了策 略路由,防火墙将通过路由表决定如何对需要路由的数据包进行处理,路由表决定了一个数据包的下一跳转发路由器。,全面的攻击防范,Flood类攻击,扫描探测,SYN Flood UDP Flood ARP Flood ICMP Flood ,Port Scan IP Scan Tracert ,协议异常
