《天清汉马防火墙培训手册》由会员分享,可在线阅读,更多相关《天清汉马防火墙培训手册(44页珍藏版)》请在金锄头文库上搜索。
1、安全变得简单,从天清汉马开始天清汉马防火墙培训手册安全变得简单,从天清汉马开始配置管理概述 防火墙基本配置 日志功能提纲安全变得简单,从天清汉马开始配置管理概述安全变得简单,从天清汉马开始配置管理概述USG设备的管理方式 通过Console口配置; 通过Telnet 进行命令行的配置; 通过SSH进行命令行的配置; 通过HTTP 或HTTPS协议,从GUI界面进行配置管理; 安装集中管理中心软件,集中管理、配置USG设备;安全变得简单,从天清汉马开始配置管理概述管理员用户与权限表 通过默认管理员或自建管理员用户来进行管理配置; 管理员可以通过本地或Radius进行认证; 出厂默认管理用户adm
2、in,密码venus.usg; 管理员权限表规定了管理员可以执行的操作; 可以给管理员添加管理IP限制;安全变得简单,从天清汉马开始配置管理概述新建管理员用户安全变得简单,从天清汉马开始配置管理概述新建管理员权限表安全变得简单,从天清汉马开始 配置管理概述 防火墙基本配置 日志功能提纲安全变得简单,从天清汉马开始USG的工作模式USG支持三种接入模式: 透明模式; 路由模式; 混合模式;这三种模式无需显式配置,USG根据用户配置自动生效。安全变得简单,从天清汉马开始USG中的接口概念USG中包含以下接口级的概念: 物理接口; Vlan接口; 透明桥接口; GRE接口; 安全域; 其他隐藏接口,
3、包括loopback接口、L2TP接口和tunssl 接口安全变得简单,从天清汉马开始物理接口安全变得简单,从天清汉马开始Vlan接口安全变得简单,从天清汉马开始透明桥接口安全变得简单,从天清汉马开始路由配置路由表查询安全变得简单,从天清汉马开始路由配置创建静态路由安全变得简单,从天清汉马开始路由配置创建策略路由安全变得简单,从天清汉马开始安全策略安全策略是USG应用的核心,我们通过配置安全策略: 实现对数据流的匹配(接口、IP、服务、时间) 控制和管理流经设备的数据流(Permit、Deny、 IPSec加密、SSL加密) 施行QoS 服务质量划分安全变得简单,从天清汉马开始安全策略创建和编
4、辑安全策略安全变得简单,从天清汉马开始安全策略安全策略的启用与匹配 安全策略配置后必须启用才会生效; 安全策略按先配置优先的原则进行匹配; 对通过设备的数据包进行处理,对于到设备本身的数据包 和设备本身发出的数据包不进行限制; 可以调整安全策略的顺序,以使位置在前的策略优先匹配 ; 可以创建一条新的安全策略,并插入到指定的策略之前;安全变得简单,从天清汉马开始网络地址转换(NAT)网络地址转换(NAT): 最初用于私有地址向公有地址的转换,以解决公有IP地址 短缺的问题; 单向隔离,具有额外的安全性; 利用目标地址的映射,使公有地址可访问配置了私有地址 的服务器; 可用于服务器的负载均衡和地址
5、复用;安全变得简单,从天清汉马开始网络地址转换(NAT)USG支持以下NAT: 源NAT,按照使用不同可划分为: 动态NAT: 源地址映射到一个地址池(NAT Pool); PAT: 所有源地址映射到同一目的地址; 静态NAT:一对一双向地址映射; 目的NAT;安全变得简单,从天清汉马开始网络地址转换(NAT)源地址转换(SNAT),可以将内部地址转换成出接口地址或 者地址池中的地址。安全变得简单,从天清汉马开始网络地址转换(NAT)目的地址转换(DNAT),可以将目标地址转换成NAT Pool中的地址,亦可实现服务器负载分担与业务分流。安全变得简单,从天清汉马开始网络地址转换(NAT)NAT
6、地址池(Pool),注意起始地址不能大于结束地址,在 地址不是很充分的情况下,可以配置地址轮询。安全变得简单,从天清汉马开始动态地址分配(DHCP)USG设备可以担当所有的DHCP 角色: DHCP Server DHCP Relay DHCP Client安全变得简单,从天清汉马开始动态地址分配(DHCP)配置DHCP服务器的步骤:1.在相应接口开启DHCP Server服务; 2.创建DHCP服务器; 3.如果有必要,创建DHCP地址的排除范围; 4.如果有必要,创建IP-MAC绑定条目; 5.通过监视器可察看由USG分配的动态地址;安全变得简单,从天清汉马开始动态地址分配(DHCP)安全
7、变得简单,从天清汉马开始高可用性(HA)高可用性 (HA, High Availability),可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断,保证网络服务的连续性和强度。 安全变得简单,从天清汉马开始高可用性(HA)天清汗马USG上的HA:1.目前支持主备模式,下一版本将支持主主模式; 2.支持两台防火墙互为备份; 3.两台设备的硬件型号要求一致; 4.HA接口为专用物理口,不处理业务; 5.支持透明模式、路由模式和混合模式;安全变得简单,从天清汉马开始高可用性(HA)配置USG工作于主备模式:安全变得简单,从天清汉马开始高可用性(HA)察看当前HA的工作状态与同步情况:安全变
8、得简单,从天清汉马开始防攻击防扫描常见的网络攻击: Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag安全变得简单,从天清汉马开始防攻击防扫描网络扫描通常分为以下几种: 垂直扫描:针对相同主机的多个端口 水平扫描:针对多个主机的相同端口 Ping扫描:针对某地址范围,通过Ping方式发现存活主机扫描通常是网络攻击的前兆;USG设备可以有效防范以上几 类扫描,从而阻止外部的恶意攻击,保护设备和内网。当检 测到扫描探测时,向用户进行报警提示。安全变得简单,从天清汉马开始防攻击防扫描根据网络情况开启相应的防攻击和防扫描功能,并设
9、定合理的 参数。安全变得简单,从天清汉马开始防攻击防扫描防Flood攻击: 通过限制源主机或目的主机的连接数来起到防止Flood攻击 的目的; 在安全防护表中启用,并通过安全策略来引用,不是全局使 能的; 根据网络情况,配置合理的参数值; 可以认为是防攻击、防扫描的补充。安全变得简单,从天清汉马开始防攻击防扫描安全变得简单,从天清汉马开始 配置管理概述 防火墙基本配置 日志功能提纲安全变得简单,从天清汉马开始日志功能USG日志分为: 事件日志 病毒日志 入侵防护日志 流量日志: 支持NetFlow V9对于前三种日志,可以配置将其记录到内存、标准Syslog服 务器或者数据中心;对于流量日志,可以输出到第三方流量收 集器或数据中心。安全变得简单,从天清汉马开始日志功能大部分事件日志在这儿配置:安全变得简单,从天清汉马开始日志功能NAT的日志事件在配置NAT策略时配置:安全变得简单,从天清汉马开始日志功能系统监控的日志事件配置:系统周期性轮询设备的运行状态如CPU和内存利用率、当前 连接数,以及系统检测事件,并给出告警。安全变得简单,从天清汉马开始日志功能病毒、入侵等的日志事件在安全防护表中配置:安全变得简单,从天清汉马开始日志功能NetFlow日志在安全策略中配置:安全变得简单,从天清汉马开始谢 谢!
