收藏
下载资源

{经营管理知识}山石网关讲义

上传人:精****库 文档编号:140606152 上传时间:2020-07-30 格式:PPTX 页数:128 大小:3.56MB
返回 下载 相关 举报
{经营管理知识}山石网关讲义_第1页
第1页 / 共128页
{经营管理知识}山石网关讲义_第2页
第2页 / 共128页
{经营管理知识}山石网关讲义_第3页
第3页 / 共128页
{经营管理知识}山石网关讲义_第4页
第4页 / 共128页
{经营管理知识}山石网关讲义_第5页
第5页 / 共128页
点击查看更多>>
资源描述

《{经营管理知识}山石网关讲义》由会员分享,可在线阅读,更多相关《{经营管理知识}山石网关讲义(128页珍藏版)》请在金锄头文库上搜索。

1、部署安全网关,日程安排,一. 准备工作,通过完成此章节课程,您将可以: 了解设备管理方式 完成基本上网配置,管理接口,用户管理接口类型: : :,不同管理方式,支持本地与远程两种环境配置方法,可以通过 和 两种方式进行配置 支持、管理,图形化管理界面,基于浏览器的管理方式简单灵活,可以完成常用的各种配置。 准备工作: 安全网关设备的e0/0接口配有默认地址192.168.1.1,该接口的各种管理功能均为开启状态。初次使用可以通过该接口管理设备,具体操作为: 将管理的地址设置为与192.168.1.1/24同网段的地址,打开的浏览器,输入 设备默认管理员用户名及密码均为“”,登陆后,界面初始页面

2、结构,导航菜单,设备面板的端口连接状态,、内存、会话数等设备运行情况,设备基本信息,包括:序列号、运行时间、软件版本、及特征库版本等,当前网络中占用带宽最多的排名,用户接口,通过线连接的串口至安全网关的接口 打开终端模拟器使用以下缺省账户登陆 用户名: 密码: 快捷键 使用 自动补齐命令 使用 ? 查看帮助,进入配置模式,全局配置模式: 全局配置模式允许用户修改安全网关的配置参数。用户在执行模式下,输入 命令,可进入全局配置模式。该模式的提示符如下所示: ()# 子模块配置模式: 安全网关的不同模块功能需要在其对应的命令行子模块模式下进行配置。用户在全局配置模式输入特定的命令可以进入相应的子模

3、块配置模式。例如,运行 0/0 命令进入0/0 接口配置模式,此时的提示符变更为: (0/0)#,初始基本配置,基本配置步骤: 配置接口 配置默认路由 配置允许访问策略,1)配置接口(),网络 接口 编辑,网络 接口 点击需配置接口右侧编辑按钮,2)配置默认路由(),网络 路由 目的路由 新建,3)配置上网策略(),防火墙 策略 点击需配置接口右侧编辑按钮,内部上网是从到的访问,因此创建从内到外的访问策略,防火墙 策略 点击需配置接口右侧编辑按钮,“源地址”处选择要被限制的地址范围,若选择“”则会对经过设备的所有地址有效,小结,在本章中讲述了以下内容: 系统构件的功能 完成基本上网配置,问题,

4、1、如何通过浏览器对设备进行管理? 2、如何开启从外网接口登陆安全网关? 3、如何开放内网用户上网的策略?,二. 安全架构,通过完成此章节课程,您将可以: 了解网络安全设备的用途 理解的架构 处理数据包的,状态检测技术,通过策略过滤数据包 ( , , ) ( #) (, , ),状态检测,包状态检测: 基于选定类型检测包的内容来决定转发或丢弃包 基于包中多个字段来保持通讯的状态 通过检测的新通讯接着添加到状态表中 只有在包与先前建立的通讯相关联时,非初始包才会被允许 比包过滤提供了更高的安全性 比应用代理要快得多,但没有应用代理提供的应用层控制多,网络地址转换(),转换私有地址到公网地址,10

5、.1.1.5,10.1.1.1,201.1.8.1,Internet,保证关键业务流量,应用前关键业务受到冲击,应用后关键业务受到保护,系统架构图,与 关系,接口、安全域、之间严格的等级架构 L3绑定到 L2绑定到 绑定到 一个接口只能绑定到一个安全域 一个安全域可以包含一个或多个接口 L3绑定到L3 L2绑定到L2 绑定到三层安全域的接口可以配置地址及管理服务 (L3) (L3),L3,L2,L3,L3,为接口配置地址前必须先将接口绑定到三层安全域,包转发,1.1.70.250,1.1.70.0/24,10.1.10.5,10.1.20.0/24,B,10.1.10.0/24,10.1.20

6、.5,.254,200.5.5.5,10.1.1.0/24,10.1.2.0/24,.1.254,.1.254,1.1.7.0/24,1.1.8.0/24,.254.1,(1 3),(2 3),(3 3),小结,在本章中讲述了如下内容 : 安全网络设备所需具备的功能 的系统架构 处理包的 根据网络环境选择基于的安全网络设备,问题,1、安全网络设备具备的几大功能? 2、 系统架构由接口、安全域、和组成,它们之间的关系? 3、介绍处理包的过程?,三. 系统管理,通过完成此章节课程,您将可以实现: 系统管理功能 配置文件管理 版本升级,密码策略,: 系统 设备管理 基本信息:,密码策略 提供密码复杂

7、度检测功能,可以通过启用此功能强制新建管理员账号的密码符合复杂度需求。,系统管理员,系统管理 安全网关设备由系统管理员()管理、配置。系统管理员的配置包括创建管理员、配置管理员的特权、配置管理员密码、以及管理员的访问方式。安全网关拥有一个默认管理员“”,用户可以对管理员“”进行编辑,但是不能删除该管理员。 管理员分为读写执行权限管理员、只读执行权限管理员。,配置系统管理员(),系统 设备管理 基本信息,配置系统管理员(),系统 设备管理 基本信息 新建,可信主机,可信主机 安全网关使用可信主机来进一步保证系统安全。管理员可以指定一个地址范围,在该指定范围内的主机为可信主机。只有可信主机才可以对

8、安全网关进行管理。,配置可信主机(),系统 设备管理 可信主机,管理接口,安全网关支持的管理接口类型: 、 、 自定义管理接口: 各种访问方式的超时时间、端口号以及 的 信任域 在一分钟内连续三次登录失败,系统会将登录失败的 地址锁定两分钟。被锁定的 地址在两分钟内不能建立与设备的连接,配置管理接口(),系统 设备管理 用户接口,配置文件管理,配置文件: 以命令行的格式保存安全网关的配置信息 1台设备可最大支持保存10份配置 配置文件中保存的用来初始化安全网关的配置信息称作起始配置信息,安全网关通过读取起始配置信息进行启动时的初始化工作; 如果找不到起始配置信息,安全网关则使用安全网关的缺省参

9、数初始化 系统纪录最近十次保存的配置信息,最近一次保存的配置信息会纪录为系统的当前起始配置信息,当前系统配置信息以“”作为标记;前九次的配置信息按照保存时间的先后以数字0 到8 作为标记。,配置文件管理(),系统 配置 管理员可以导入、导出或者将系统恢复出厂配置 当前配置窗口提供对配置的方式查阅,升级,通过 升级: 系统 系统软件 选择单选按钮。 选中复选框。 系统将在上载的同时备份当前运行的。 如不选中该选项,系统将用新上载的 覆盖当前运行的。 点击浏览按钮并且选中要上载的。 点击确定按钮,系统开始上载指定的。 完成升级后,需要重启安全网关启动新升级的。,系统时间,安全网关的时间影响到 隧道

10、的建立和时间表的时间,并且日志都是基于系统时间记录的,因此系统时间的精确性十分重要。安全网关支持两种设置时间的方式,分别是手动设置和通过 与服务器同步。,系统时间(),手动设置系统时间: 系统 日期/时间 可以手动设置系统时间,或者点击“同步”按钮通过浏览器获取管理员本地电脑时间。,系统诊断工具(),系统 工具: 安全网关提供基本的诊断工具方便,用户可以通过这些工具察看网络和路由是否连通。,小结,在本章中讲述了以下内容 配置系统管理员/可信主机 配置管理接口 配置文件管理 版本升级 配置系统时间 系统诊断工具,问题,1、如何回退到以前保存的配置? 2、升级系统 ()的方法?,四. 交换与路由,

11、通过完成此章节课程,您将可以: 安全网关工作模式配置 接口配置 路由配置,设备工作模式,安全网关支持以下工作模式: 路由应用模式 透明应用模式 混合应用模式,系统架构图,安全域,在 中,域是一个逻辑的实体,一个或多个接口可以绑定到域,而被应用了策略规则的域即为安全域。域具有以下特点: 接口绑定到域 二层和三层域决定其接口工作在二层模式或是三层模式 支持域内部策略规则,比如“从 到”的策略规则,绑定关系,接口、安全域、 和 之间的绑定关系 接口绑定到安全域。绑定到二层安全域的接口为二层接口,绑定到三层安全域的接口为三层接口。 安全域绑定到 或者。二层安全域绑定到,三层安全域绑定到。由此,也实现了

12、接口与 或者 的绑定。 策略 策略则通过策略规则( )决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。 域间策略:域间策略对安全域间的流量进行控制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。 域内策略:安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中,但是通过安全网关的不同接口到达。,虚拟交换机(),中的转发规则,在一个,即一个二层转发域中, 安全网关通过源地址学习建立 地址转发表。每个 都有自己的 地址转发表。 根据数据包的类型( 数据包、 包和非 且非 包),分别进行不同的处理。 对未知单播的转发采用策略限制下的

13、广播 对于非 包且非 包, 用户可以在全局配置模式下通过配置 l2 命令指定处理方式。 l2 | 丢弃 转发,透明模式,为实现透明应用模式,需要根据策略规则创建一些二层安全域,并且把接口绑定到二层安全域上,同时将二层安全域绑定到 上。 可以创建多个,即多个二层转发域。 透明应用模式有以下优点: 无需修改受保护网络的 设置。 无需为进入受保护网络的报文创建 规则。,配置,默认有一个,即1,1 不能被删除。用户可以根据需要创建其它,也可以随时查看 的配置信息。 用户在新建一个 的同时,也新建了与 相对应的 接口。 :创建,查看 表信息,通过 ,用户可以查看所有 或者某个指定接口的 表项,用户还可以

14、清除所有 或者某个指定接口的 表项。,路由模式,接口绑定到三层安全域上 配置接口 地址、基于安全域的策略规则 在这种配置应用下,设备具有路由功能 可以配置 规则地址转换功能,接口,接口允许流量进出安全域。因此,为使流量能够流入和流出某个安全域,必须将接口绑定到该安全域,并且,如果是三层安全域,还需要为接口配置 地址。然后,必须配置相应的策略规则,允许流量在不同安全域中的接口之间传输。多个接口可以被绑定到一个安全域,但是一个接口不能被绑定到多个安全域。,接口配置(三层模式),方式,接口配置(二层模式),方式,方式,接口配置(高级配置),静态路由,静态路由是手工定义的路由条目,根据目的地址指定下一

15、跳,也称作目的路由 对外连接较少或者内网连接相对比较稳定的网络通常使用静态路由 默认路由是静态路由的一种 通过配置静态路由,如下图:,小结,在本章中讲述了以下内容: 系统架构 接口配置 静态路由配置,五. 基本安全策略,通过完成此章节课程,您将可以: 理解安全策略的用途 通过安全策略保护网络资源,安全策略基础,安全策略 策略是网络安全设备的基本功能。默认情况下,安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则( )决定从一个安全域到另一个安全域的哪些流量该被允许,哪些流量该被拒绝。,哪些网络流量可以允许通过?,策略分类,策略分为两种: 域间策略:域间策略对安全域间的流量进行控

16、制。可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量。 域内策略:安全域内策略对绑定到同一安全域的接口间流量进行控制。源地址和目的地址都在同一安全域中,但是通过安全网关的不同接口到达。,策略规则的基本元素,策略规则允许或者拒绝从一个安全域到另一个安全域的流量。 流量的类型、流量的源地址与目标地址以及行为构成策略规则的基本元素。 - 两个安全域之间的流量的方向,指从源安全域到目标安全域。 - 流量的源地址。 流量的目标地址。 流量的服务类型。 安全设备在遇到指定类型流量时所做的行为, 包括允许()、拒绝()、隧道()、来自隧道()、认证()五个行为。,策略规则,策略规则分为两部分:过滤条件和行为 安全域间流量的源地址和目的地址以及服务类型构成策略规则的过滤条件。 对于匹配过滤条件的流量可以制定处理行为,如或等。 策略匹配顺序:系统查找策略顺序为由上至下,对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。 系统缺省的策略是拒绝所有的流量,安全策略布署流程,安全策略布署流程,配置策略的

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 企业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号