《天融信防火墙配置与维护》由会员分享,可在线阅读,更多相关《天融信防火墙配置与维护(77页珍藏版)》请在金锄头文库上搜索。
1、中 国 信 息 安 全 领 导 企 业天融信防火墙产品 配置与维护December 13, 2010内容提纲内容提纲防火墙基本应用防火墙高级应用防火墙常见问题与排除综合实验案例介绍InternetInternet一种高级访问控制设备,是置于不同一种高级访问控制设备,是置于不同网络安全域网络安全域之间的一系列部件的组合,它是不同网络安之间的一系列部件的组合,它是不同网络安 全域间通信流的全域间通信流的唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制(允许、拒绝、监视、记录)进(允许、拒绝、监视、记录)进 出网络的访问行为。出网络的访问行为。两个安全域之间通 信流的唯一
2、通道UDPBlockHost CHost BTCPPassHost CHost ADestinatio nProtoc olPermi tSourc e根据访问控制规则决 定进出网络的行为防火墙简介防火墙简介内部网内部网防火墙提供的通讯模式防火墙提供的通讯模式 透明模式(提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接
3、收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能)顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境透明模式的典型应用透明模式的典型应用InternetInternet内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.9
4、9.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。路由模式的典型应用路由模式的典型应用InternetInternet内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。综合接入模式的典型应用综合接入模式的典型应用ETH1:192.168.7.102ETH2:192.168.7.2192.168.1.100/24 网段192
5、.168.7.0/24 网段此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式202.11.22.1/24 网段ETH0:202.11.22.2两接口在不同网段, 防火墙处于路由模式两接口在不同网段, 防火墙处于路由模式两接口在同一网段, 防火墙处于透明模式1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)在配
6、置防火墙之前的准备在配置防火墙之前的准备网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,具体请见下表:防火墙的工作状态防火墙的工作状态 串口(console)管理方式:用户名superman,口令:talent,用passwd修改管理员密码,请牢记 修改后的密码。 WEBUI管理方式:超级管理员:superman,口令:talent TELNET管理方式:模拟console管理方式,用户名superman,口令:talent SSH管理方式:模拟console管理方式,用户名superman,口令:talent防
7、火墙的管理方式防火墙的管理方式防火墙的防火墙的CONSOLECONSOLE管理方式管理方式超级终端参数设置:防火墙的防火墙的CONSOLECONSOLE管理方式管理方式输入helpmode chinese命令 可以看到中文化菜单防火墙的防火墙的WEBUIWEBUI管理方式管理方式在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”防火墙的防火墙的TELNETTELNET管理方式管理方式通过TELNET方式管理防火墙:网络卫士防火墙配置思路:一、配置网络连通二、配置安全控制防火墙的防火墙的配置思路配置思路1.配置区域和接口2.配置路由3.配置地址转换1.规划好需要制定
8、什么样的访问策略2.配置访问控制3.调整安全参数(管理员、密码等)拓朴描述拓朴描述原有网络原有网络网络规划后网络规划后防火墙的基本应用防火墙的基本应用 配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略 制定地址转换策略(通讯策略) 保存和导出配置定义定义区域区域在“对象”区域对象“中定义防火墙3个区域(接口)的默认权限为”禁止访问“定义区域的服务定义区域的服务在“系统管理”“配置 ” “开放服务”里给区域定义服务路由模式配置接口路由模式配置接口IPIP进入防火墙管理界面,点击”网络管理“ ”接口“可以看到物理接口
9、定义结果:点击每个接口的”设置”按钮可以修改每个接口的名称、地址、模式等透明模式透明模式nTRUNK模式u配置要点 配置接口为TRUNK 添加需要透传的VLAN ID号nACCESS模式u配置要点 配置接口模式为ACCESS,并设置该接口属于哪个VLAN 添加VLAN定义定义 VLANVLAN定义一个VLAN。点击“网络管理”“二层网络”“添加/删除VLAN范围”设置vlan ID定义定义VLANVLAN的的IPIP地址,更改接口模式地址,更改接口模式设置VLAN地址设置接口工作模式及地址设置设置防火墙路由防火墙路由设置缺省网关时, 源和目的一般为全“0”防火墙的缺省网关在静态 路由时,必须放
10、到最后一条 路由定义对象主机对象定义对象主机对象点击:”资源管理“地址”“主机”,点击右上角“添加”定义对象主机对象定义对象主机对象主机对象中可以定义多个IP地址定义对象地址对象和子网对象定义对象地址对象和子网对象定义地址转换(通信策略)定义地址转换(通信策略)根据前面的需求如果内网要访问外网,则必须定义NAT策略;同样外网要访问WEB服务器的映射地址,也要定义MAP策略定义NAT策略,选择源为已定义的内部子网,目的为“AERA_ETH0”区域转换地址要选择”源地址转换为“ETH0”,也就是防火墙外网接口IP地址;也可以选择定义好的“NAT地址池”(在“对象”“地址范围中定义”)配置MAP(映
11、射)策略,源选择外网区域“area_eth0”目的选择映射后的公网IP地址(也就是WEB服务器MAP),目的地址转换为必须选择服务器映射前的IP(也就是WEB服务器的真实IP地址),选择“WEB服务器”主机对象即可。定义地址转换(通信策略)定义地址转换(通信策略)设置好的地址转换策略(通信策略)第一条为内网访问外网做NAT;(源转换)第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP;(目的转换)制定访问制定访问规则(规则(1 1)第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”;目的可以选择目的区域“AERA_ETH0”,也可以是“ANY范围”制定访问制定
12、访问规则(规则(2 2)定义访问定义访问规则(规则(3 3)第二条规则定义外网可以访问WEB服务器的映射地址,并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器MAP“地址。转换前目的选择”WEB服务器“(服务器真实的IP地址)点选“高级”选择源AREAarea_eth0选择目的“WEB服务器MAP”“服务”“HTTP”定义访问规则定义访问规则定义好的两条访问策略配置保存配置保存点击防火墙管理页面右上角“保存”按钮,然后选择弹出对话框“确定”即可保存当前配置查看配置、导出配置查看配置、导出配置在“系统管理”“维护”中进行防火墙当前配置的保存、下载、上传等操作按照下图
13、中数字所示顺序即可把防火墙配置导出到本地,其中配置替换是把本地配置导入到防火墙时候用的。内容提纲内容提纲防火墙基本应用防火墙高级应用防火墙常见问题与排除综合实验案例介绍防火墙的高级应用防火墙的高级应用 策略路由应用 应用程序识别部分 DPI(URL)过滤 全面支持DHCP 链路备份 流量管理 双机热备策略路由策略路由策略路由与静态路由都用于定义数据包转发规则,比传统路由控制能力更强,使用更灵活,根据协议类型、应用、IP源地址或者其它的策略来选择转发路径。这种方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信,从而进一步增强了网络的通信安全。需求1:电信和网通用户可以分别通过两个不同的
14、公网地址来访问企业内网的一台服务器;而且内网服务器回复报文遵循电信用户使用电信出口,网通用户使用网通出口的规则。需求2:内网服务器172.16.98.222访问外网使用电信线路,其他使用网通。策略路由策略路由配置要点:添加路由绑定属性添加路由条目应用程序识别应用程序识别p IM实现方式及功能 支持协议:QQ、MSN、SKYPE; 实现内容:禁止IM客户端登陆; 实现方式:根据登陆过程的协议特征进行判断;p P2P实现方式及功能 支持协议:BT、eDonkey; 实现内容:禁止下载、QOS限制和连接数限制; 实现方式:根据数据开始特征进行判断内容过滤内容过滤支持对HTTP、SMTP、POP3、I
15、MAP、FTP等协议的深度内容过滤支持URL过滤。支持对移动代码如Java applet、Active-X、VBScript、Java script的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持GB2312、UTF-8等多种编码方式。可屏蔽受保护主机/服务器系统信息,如替换服务器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。案例介绍案例介绍- -内容过滤内容过滤需求:p 开启DPI过滤 禁止访问sina和sohu;p 开启应用程序识别 每周一到周五上午9:0017:00禁止使用QQ/BT
16、; 其他时间可以使用QQ/MSN案例介绍案例介绍-URL-URL过滤过滤URL过滤配置要点: DPI应用端口绑定 添加URL对象 添加HTTP过滤策略 引用到访问控制案例介绍案例介绍- -应用程序识别应用程序识别应用程序识别配置要点: 添加应用程序识别策略 引用到防火墙访问控制防火墙高级应用防火墙高级应用DHCPDHCP网络卫士防火墙提供比较全面的DHCP 服务功能,能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP 服务: 作为DHCP 客户端,从DHCP 服务器获取动态IP 地址; 作为DHCP 服务器,集中管理和维护客户网络主机IP 地址分配; 作为DHCP 中继,转发DHCP 报文; 同时作为DHCP 服务器和DHCP 客户机(需工作在网络卫士防火墙 的不同接口上);网络卫士防火墙可以作为DHCP 客户端,接
