《天融信防火墙TOPSEC系统管理》由会员分享,可在线阅读,更多相关《天融信防火墙TOPSEC系统管理(187页珍藏版)》请在金锄头文库上搜索。
1、天融信网络防火墙4000(TOS ) 安装使用培训1服务须知u产品开箱后,应该按照以下步骤进行处理: 按照装箱单的提示,检查附件是否齐全 填写保修单,并将其邮寄到天融信公司客户服务中心 到天融信公司的网站进行产品注册; 用户名、通信地址、联系电话、产品序列号、产品型号一定要填写 清楚。 客户服务中心电话:800-810-51192防火墙简介3InternetInternet一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同 网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道,能根据企业有关的安全
2、政策,能根据企业有关的安全政策控制控制(允许、拒绝、(允许、拒绝、 监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。两个安全域之间通 信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决 定进出网络的行为防火墙定义内部网内部网4防火墙的局限性物理上的问题 断电 物理上的损坏或偷窃 人为的因素 内部人员通过某种手段窃取了用户名和密码 病毒(应用层携带的) 防火墙自身不会被病毒攻击 但不能防止内嵌在数据包中的病毒通过 内部人员的攻击 防火墙的配置不当5硬件一台 外
3、形:外形:1919寸寸1 1U U标准机箱标准机箱产品外形接COM口管理机直通 线交叉 线串口 线PCRouteSwich、 Hub交叉 线6CONSOLE线缆 UTP5双绞线- 直通(1条,颜色:灰色) - 交叉(1条,颜色:红色) 使用: 直通:与HUB/SWITCH 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与防火墙连接) 软件光盘 上架附件产品提供的附件及线缆 使用方式7防火墙提供的通讯模式透明模式(提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对 于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包 转发出去。
4、同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。路由模式(静态路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据 包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区 域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根 据区域规划配置IP 地址。综合模式(透明+路由功能)顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透 明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网 络环境。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网络情况,
5、合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。8InternetInternet内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火 墙做透明设置。此时防火墙为透明模式。透明模式的典型应用9InternetInternet内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:10.1.1.2ETH2:192.168.7.210.1.1.0/24 网
6、段192.168.7.0/24 网段外网、SSN区、内网都不在同一网段,防 火墙做路由方式。这时,防火墙相当于一 个路由器。路由模式的典型应用10综合接入模式的典型应用ETH1:192.168.7.102ETH2:192.168.7.2192.168.1.100/24 网段192.168.7.0/24 网段此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式202.11.22.1/24 网段ETH0:202.11.22.2两接口在不同网段, 防火墙处于路由模式两接口在不同网段, 防火墙处于路由模式两接口在同一网段, 防火墙处于透明模式11网络卫士防火墙的硬件设备安装完成之后,就
7、可以上电了。在工作过程中, 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 具体请见下表:防火墙的工作状态12在安装防火墙之前必须弄清楚的几个问题:1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端 口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)13常见病毒使用端口列表69/UDP 135-139/TCP 135-139/UDP 445/TCP 44
8、5/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCPICMP关掉不必要的PING14常见路由协议使用端口列表RIP:UDP-520 RIP2:UDP-520 OSPF:IP-89 IGRP:IP-9 EIGRP:IP-88 HSRP(Cisco的热备份路由协议):UDP-1985 BGP:(Border Gateway Protocol边界网关协议,主要处理各ISP之间的路由传递,一般用在骨干网上) TCP-17915规则列表需要注意的问题:1、规则作用有顺序2、访问控制列表遵循第一匹配规则3
9、、规则的一致性和逻辑性访问控制规则说明16防火墙4000(TOS) 的安装配置17 串口(console)管理方式:管理员为空,回车后直接输入口令即可,初始口令talent,用 passwd修改管理员密码,请牢记修改后的密码。 WEBUI管理方式:超级管理员:superman,口令:talent TELNET管理方式:模拟console管理方式,用户名superman,口令:talent SSH管理方式:模拟console管理方式,用户名superman,口令:talent防火墙配置-管理方式18防火墙配置-防火墙出厂配置19防火墙的CONSOLE管理方式超级终端参数设置:20防火墙的CONS
10、OLE管理方式防火墙的命令菜单:21防火墙的CONSOLE管理方式输入helpmode chinese命令 可以看到中文化菜单22防火墙的WEBUI管理方式在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”23防火墙的WEBUI管理方式输入用户名和密码后,按“提交”按钮24防火墙的WEBUI管理方式25防火墙的管理方式打开防火墙 管理端口注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙的服务端口,系统默认打开“HTTP”方式。在“系统”“系统服务”中选择“启动”即可26防火墙的TELNET管理方式通过TELNET方式管理防火墙:27防火墙的接口
11、和区域接口和区域是两个重要的概念接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分 析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域 。28防火墙对数据包处理流程29网络卫士防火墙的基本配置过程:1、串口(console)下配置:配置接口IP地址,查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置2、在串口下保存配置:用SAVE命令3、推
12、荐使用WEBUI方式对防火墙进行各种配置4、配置具体的访问控制规则及其日常管理维护防火墙的配置过程提示:一般先设置并调整网络区域,然后再定义各种对象(网络对象 、特殊对象等),然后在添加访问策略及地址转换策略,最后进行参数调整及增加一些辅助的功能。30防火墙的基本应用 配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略 制定地址转换策略(通讯策略) 保存和导出配置 31防火墙三种工作模式的配置案例32防火墙配置例1配置案例1(路由模式):INTERNET202.99.27.193202.99.27.250192.1
13、68.1.254172.16.1.100172.16.1.1192.168.1.0/24应用需求:内网可以访问互联网 服务器对外网做映射映射地址为202.99.27.249 外网禁止访问内网WEB服务器防火墙接口分配如下:ETH0接INTERNET ETH1接内网 ETH2接服务器区33防火墙配置定义网络接口在CONSOLE下,定义接口IP地址输入network命令进入到network子菜单定义防火墙每个接口的IP地址,注意子网掩码不要输错34防火墙配置定义区域及添加区 域管理权限define area add name area_eth1 attribute eth1 access on d
14、efine area add name area_eth2 attribute eth2 access onpf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any系统默认只能从ETH0接口(区域)对防火墙
15、进行管理,输入如下命令:添加ETH1接口为“AREA_ETH1”区域; ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以对 “AREA_ETH2”区域添加)定义你希望从哪个接口(区域)管理防火墙35防火墙配置调整区域属性进入防火墙管理界面,点击”网络“ ”物理接口“可以看 到物理接口定义结果:点击每个接口的”其他”按钮可以修改每个接口的名称注:防火墙每个接口的默认状态均为“路由”模式36防火墙配置定义区域的缺省权限在“对象”区域对象“中定义防火墙3个区域(接口)的默认权限为”禁止访问“37防火墙配置设置防火墙缺省网关在“网络”“静态路由”添
16、加缺省网关38防火墙配置设置防火墙缺省网关设置缺省网关时, 源和目的一般为全“0”防火墙的缺省网关在静态 路由时,必须放到最后一条 路由39防火墙配置定义对象主机对象点击:”对象“地址对象”“主机对象”,点击右上角“添加配置”40防火墙配置定义对象主机对象主机对象中可以定义多个IP地址41防火墙配置定义对象地址对象 和子网对象42防火墙配置制定访问规则第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”; 目的可以选择目的区域“AERA_ETH0”,也可以是“ANY范围”43防火墙配置定义访问规则第二条规则定义外网可以访问WEB服务器的映射地址,并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择”WEB服务器MAP“地址。转换 前目的选择”WEB服务器“(服务器真实的IP地址)44防火墙配置定义访问规则定义好的两条访问策略45防火墙配置定
