收藏
下载资源

天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7

上传人:876****10 文档编号:149655397 上传时间:2020-10-28 格式:PPT 页数:71 大小:2.34MB
返回 下载 相关 举报
天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7_第1页
第1页 / 共71页
天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7_第2页
第2页 / 共71页
天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7_第3页
第3页 / 共71页
天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7_第4页
第4页 / 共71页
天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7_第5页
第5页 / 共71页
点击查看更多>>
资源描述

《天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7》由会员分享,可在线阅读,更多相关《天融信防火墙tos3.3安装操作.3%b0%b2%d7%b0%b2%d9%d7%f7(71页珍藏版)》请在金锄头文库上搜索。

1、,网络卫士防火墙v3.3安装及操作,August, 2011,2,防火墙安装,防火墙基本操作,防火墙高可用性,防火墙FAQ,3,4,5,1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制),6,串口(console)管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用passwd修改管理员密码,请牢

2、记修改后的密码。 WEBUI管理方式: 超级管理员:superman,口令:talent TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent,7,防火墙的CONSOLE管理方式,8,防火墙的CONSOLE管理方式,9,防火墙的CONSOLE管理方式,输入helpmode chinese命令 可以看到中文化菜单,10,防火墙的WEBUI管理方式,在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”,11,防火墙的WEBUI管理方式,输入

3、用户名和密码后,按“提交”按钮,12,防火墙的WEBUI管理方式,13,防火墙的管理方式打开防火墙管理端口,注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开“HTTP”方式。,在“系统”“系统服务”中选择“启动”即可,14,防火墙的TELNET管理方式,通过TELNET方式管理防火墙:,15,防火墙的接口和区域,接口和区域是两个重要的概念 接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个

4、接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。,16,17,防火墙配置例1,配置案例1(路由模式):,INTERNET,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求: 内网可以访问互联网 服务器对外网做映射 映射地址为202.99.27.249 外网禁止访问内网,WEB服务器,防火墙接口分配如下: ETH0接INTERNET ETH1接内网 ETH2接服务器区,18,防火墙配置例2,配置案例1

5、(透明模式):,INTERNET,202.99.27.193,防火墙VLAN (透明域) IP地址 202.99.27.252,应用需求: 内网可以访问互联网 外网可以访问WEB服务器 外网禁止访问内网,WEB服务器,防火墙接口分配如下: ETH0接INTERNET ETH1接内网 ETH2接服务器区,202.99.27.0/24,202.99.27.250,19,防火墙配置例3,配置案例1(综合模式):,INTERNET,202.99.27.193,防火墙VLAN (透明域) IP地址 202.99.27.252,应用需求: 内网可以访问互联网 外网可以访问WEB服务器 外网禁止访问内网,W

6、EB服务器,防火墙接口分配如下: ETH0接INTERNET ETH1接内网 ETH2接服务器区,192.168.16.0/24,202.99.27.250,192.168.16.254,20,1、通过串口(console)或默认接口进入防火墙:推荐使用webui方 式配置 2、配置接口模式及ip地址 3、定义区域 4、配置路由 5、定义地址、服务、时间等资源 6、配置访问控制 7、配置地址转换 8、配置区域的防火墙管理权限及其他日常管理维护,防火墙的配置过程,提示:配置步骤不是一成不变,可以灵活配置,21,22,进入console口用命令配置接口ip地址 network interface

7、eth0 ip add 202.99.27.250 mask 255.255.255.0 network interface eth1 ip add 192.168.1.254 mask 255.255.255.0 network interface eth2 ip add 172.16.1.1 mask 255.255.255.0 Webui配置:网络管理接口,点击接口后面的设置设置接口模式及添 加ip地址 注意:此例中,eth0口为外网口,虽然有默认地址192.168.1.254,如果用web直接配置更改接口ip后会暂时管理不了防火墙,需要增加相应配置才行。,23,资源管理区域添加,输入区

8、域名称及对应接口,选择区域权限 命令行配置: define area add name internet attribute eth3 access off define area add name area_eth1 attribute eth1 access off define area add name area_eth2 attribute eth2 access off,24,对“AREA_ETH1”区域添加对防火墙的管理权限webui、ping、telnet(当然也可以对“AREA_ETH2”区域添加) pf service add name webui area area_et

9、h1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any,25,防火墙配置定义区域的服务,在“系统管理”“配置 ” “开放服务”里给区域定义服务,26,命令行配置: network route add dst 0.0.0.0/0 gw 202.99.27.193,27,防火墙配置设置防火墙缺省网关,WEBUI 配置 在“网络管理”“路由”添加缺省网关,28,防火墙配置设置防火墙缺省网关,设

10、置缺省网关时, 源和目的一般为全“0” 防火墙的缺省网关在静态 路由时,必须放到最后一条 路由,29,防火墙配置定义对象主机对象,点击:”资源管理“地址”“主机”,点击右上角“添加”,30,防火墙配置定义对象主机对象,主机对象中可以定义多个IP地址,31,防火墙配置定义对象地址对象和子网对象,32,防火墙配置制定访问规则,第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”; 目的可以选择目的区域“AERA_ETH0”,也可以是“ANY范围”,33,防火墙配置定义访问规则,34,防火墙配置定义访问规则,第二条规则定义外网可以访问WEB服务器地址,并只能访问TCP80 端口。源选择“AE

11、RA_ETH0”、目的选择” WEB服务器“ (服务器真实的IP地址),点选“高级”,35,选择源AREAarea_eth0,防火墙配置定义访问规则,36,选择目的“WEB服务器”,防火墙配置定义访问规则,37,“服务”“HTTP”,防火墙配置定义访问规则,38,防火墙配置定义访问规则,定义好的两条访问策略,39,防火墙配置定义地址转换(通信策略),根据前面的需求如果内网要访问外网,则必须定义NAT策略;同样外网 要访问WEB服务器的映射地址,也要定义MAP策略,定义NAT策略,选择源为已定义的内部子网,目的为“AERA_ETH0”区域,40,防火墙配置定义地址转换(通信策略),转换地址要选择

12、”源地址转换为“ETH0”,也就是防火墙外网接口IP地址; 也可以选择定义好的“NAT地址池”(在“对象”“地址范围中定义”),41,防火墙配置定义地址转换(通信策略),配置MAP(映射)策略,源选择外网区域“area_eth0”,42,防火墙配置定义地址转换(通信策略),目的选择映射后的公网IP地址(也就是WEB服务器MAP),目的地址转换为必须选择服务器映射前的IP(也就是WEB服务器的真实IP地址),选择“WEB服务器”主机对象即可。,43,防火墙配置定义地址转换(通信策略),设置好的地址转换策略(通信策略) 第一条为内网访问外网做NAT;(源转换) 第二条为外网访问WEB服务器的映射地

13、址,防火墙把包转发给服 务器的真实IP;(目的转换),44,防火墙配置配置保存,点击防火墙管理页面右上角“保存”按钮,然后选择弹出对话框“确定” 即可保存当前配置,45,防火墙配置查看配置、导出配置,在“系统管理”“维护”中进行防火墙当前配置的保存、下载、上传等操作,46,防火墙配置查看配置、导出配置,按照下图中数字所示顺序即可把防火墙配置导出到本地,其中配置替换是把本地配置导入到防火墙时候用的。,47,48,防火墙高级应用HA的配置,49,在双机热备模式下,任何时刻都只有一台防火墙(主墙)处于工作状态,承担报文转发任务,一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口(不包括心跳口

14、)出现故障时,处于备份状态的防火墙经过协商后,由优先级高的防火墙接替主墙的工作,进行数据转发。,防火墙高级应用HA模式介绍,50,防火墙高级应用HA配置案例,双机热备模式 基本需求,上图是一个简单的双机热备的主备模式拓扑图,主墙和一台从墙并联工作,两个防火墙的Eth2接口为心跳口,由心跳线连接用来协商状态,同步对象及配置信息。,51,配置要点 设置HA心跳口属性 设置除心跳口以外的其余通信接口属于VRID2 指定HA的工作模式及心跳口的本地地址和对端地址 主从防火墙的配置同步,防火墙高级应用HA配置案例,52,主墙 a)配置HA心跳口地址。 点击 网络管理 接口,然后选择“物理接口”页签,点击

15、eth2接口后的“设置”图标,配置基本信息,如下图所示。,点击“确定”按钮保存配置。,WEBUI配置步骤 1)配置HA心跳口和其他通讯接口地址 HA心跳口必须工作在路由模式下,而且要配置同一网段的IP以保证相互通信。接口属性必须要勾选“ha-static”选项,否则HA心跳口的IP地址信息会在主从墙运行配置同步时被对方覆盖。,防火墙高级应用HA配置案例,53, 点击eth2接口后的“设置”图标,在“路由模式”下方配置心跳口的IP地址,然后点击“添加”按钮,如下图所示。,“ha-static”选项必须勾选,否则运行状态同步时IP地址信息也会被同步。 点击“确定”按钮保存配置。,b)配置Eth1和

16、Eth0口的IP地址。 配置Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,,防火墙高级应用HA配置案例,54,从墙 a)配置HA心跳口地址。 配置从墙HA心跳口地址为10.1.1.2,具体步骤请参见主墙的配置,此处不再赘述。 b)配置Eth1和Eth0口的IP地址。 配置从墙Eth1和Eth0的IP地址分别为192.168.83.219和172.16.1.20,具体步骤请参见主墙的配置,此处不再赘述。 2)设置除心跳口以外的其余通信接口属于VRID2。 主备模式下,只能配置一个VRRP备份组,而且通信接口必须加入到具体的VRID组中,防火墙才会根据此接口的up、down状态,来判断本机的工作状态,以进行VRID组内主备状态的切换。,防火墙高级应用HA配置案例,55,主墙 a)选择网络管理 接口,然后选择“物理接口”页签,在除心跳口以外的接口后点击“设置”图标(以eth0为例)。 b)勾选“高级属性”后的复选框,设置该接

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 高中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号