neteye_fw_配置使用技术培训v3

《neteye_fw_配置使用技术培训v3》由会员分享，可在线阅读，更多相关《neteye_fw_配置使用技术培训v3（31页珍藏版）》请在金锄头文库上搜索。

1、 2000, Cisco Systems, Inc. Security and Cryptography Refresher 2004, 东软 N Page 2NETEYE管理结构防火墙管理结构分为以下三层: 策略制定 (防火墙安全控制台，图标一) 用户管理 (防火墙管理器，图标二) 日志管理 (防火墙审计系统、网络实时监控系统，图标三及图标四) 2004, 东软 N Page 3首次运行l第一次运行管理端软件，需配 置防火墙地址簿，防火墙管理 口初始地址为192.168.1.100， 使用防火墙前，需对防火墙配 置使用者帐号及分配适当的权 限。NETEYE系列防火墙支持 多用户，分级别的管理

2、模式。相关说明：这里的地址是防火墙的管理 口初始化地址。此地址可以 在安全控制台中新工程中重 新定义为其它IP地址，以方 便客户的管理需要。重定义 管理口IP常见的两种情况如 下(更改设置参照)n防火墙工作于桥模式，管理 口地址需改为内网段IP地址 便于网络维护n采用两台防火墙进行同步时 ，需要通过防火墙的管理口 进行信息同步，需将其中一 台的管理口设置为其它地址 2004, 东软 N Page 4首次登录l防火墙初始root用户，密码为 neteye。此用户只可用于管理 用户(如新增用户，重置用户密 码)。初始化帐户ROOT无法更 改用户名，但用户可以根据自 己需要更改其初始密码。注意事项：

3、nNETEYE系列防火墙对登录 错误是有限制，超过五次错 误登录，防火墙将暂时锁定 请于半个小时再次登录。锁 定期间，即使输入正确用户 名及密码防火墙也不予登录n内置ROOT用户的权限权可 管理用户。并可重置用户新 建帐户的密码，所以请慎重 更改其口令。如防火墙管理 帐户口令遗失或忘记可与我 们联系。 2004, 东软 N Page 5新建用户l左图即为新建用户界面，图示 命令按钮功能，可以在程度界 面下的用户管理菜单下找到。相关说明：对帐户进行权限操作时(如 增加或取消权限时)，必须 以其它具有管理用户权限的 用户(如ROOT)登录后才可 修改。更改密码时无需如此n管理用户：内置ROOT帐户

4、 即为此权限。具有此权限的 用户可对防火墙帐户进行管 理。也可以理解为有权限 “NetEye防火墙管理器”进 行帐户设置。n安全控制：是配置防火墙策 略所必须的权限。且有此权 限用户可以使用“防火墙安 全控制台”、“网络实时监控 系统” 制定更改防火墙设置n审计：具有此权限的用户可 以实现对“NetEye 防火墙审 计系统”所记录的日志进行 查询 2004, 东软 N Page 6认识工程lNETEYE防火墙是基于工程的 结构框架，实现对防火墙运行 模式、硬件配置、规则策略制 定等功能操作。左框架为防火 墙工作于路由模式的一个基本 配置结构。运行模式： 运行模式是防火墙一个重要 属性，他指定防

5、火墙运行方 式。n交换模式：也称为桥模式， 是一种不更改网络拓朴的应 用模式。运行此模式下的防 火墙多处于原网络路由及交 换机间n路由模式：与桥模式相对不 同，此模式需对原网络结构 进行修改。运行此模式下的 防火墙可以看作是一台路由 器及运行于桥模式下的防火 墙 2004, 东软 N Page 7新建工程l新建工程时，首先需要确认的 就是此工程的运行模式。图示 选择为交换模式。系统默认的 default工程即为一个全通规则 的交换模式工程。小知识：n源路由攻击：攻击者利用TCPIP协议支 持IP包的源路由选项这一特 性，指定一个IP包传输时所 经过的特定路由，从而绕开 网络安全检查。 2004

6、, 东软 N Page 8交换模式l交换模式下的工程文件结构如 左图所示，相对路由模式的配 置文件要简单一些。大致分为 三个步骤。交换模式配置： n设备管理：由于工作于交换 模式下的防火墙，只需负责 数据包的过滤与转发。所以 网卡无需设置IP地址。这里 我们只需对防火墙的管理口 设置IP为内网IP以方便今后 对防火墙的管理n规则设定：根据实施环境， 对防火墙过滤规则进行制定 并在工程的应用规则中加载n内容过滤：内容过滤是对防 火墙应用规则的一种应用扩 展，可以看成是应用规则的 子规则。以实现应用层信息 的过滤、替换、阻断等操作 2004, 东软 N Page 9交换模式l交换模式下的设备管理项

7、下， 我们只需对管理口的IP进行定 义即可。其它端口在交换模式 下无需定义IP地址，区域名可 以为任意，其作用主要用来标 识数据流向。小知识：n管理口：管理口是NETEYE 系列防火墙所设置的一个特 殊的端口，这个端口只用于 与防火墙管理端GUI进行通 讯，不接收或转发数据流。 交换模式下设置将此端口地 址更改为内网IP后，可以方 便用户在内网对防火墙的实 时管理。路由模式下，不单 单可以通过管理口对防火墙 进行管理操作，也可通过本 地访问控制规则来设置其它 端口进行管理。 2004, 东软 N Page 10交换模式l规则文件，好比程序中定义的 函数一样，需要在工程中对其 调用才能实现相应功

8、能。规则 文件如左图共分为七类，下面 我们将对主要的几类规则：包 过滤规则、本地访问控制规则 、地址绑定规则，相关的设置 进行说明。小知识：n包过滤规则：防火墙主要规 则文件，负责设置数据流过 滤条件(如方向，源、目标 地址，协议，端口，时间， 操作等参数)n本地访问控制规则：设置允 许访问防火墙用户IP地址及 访问的权限n地址绑定规则：对通过防火 墙的数据流的地址源与绑定 MAC地址进行判断，以防止 非法的IP地址通过 2004, 东软 N Page 11包过滤规则l左图为系统默认的Default规则 文件。从中我们可以了解到规 则文件一些设置信息，如方向 性、操作、访问源及目标、协 议、有

9、效时间等。右下角更加 明了的显示了IN到OUT这一规 则的参数。规则文件具有优先 级，优先顺序为自上而下。 2004, 东软 N Page 12新建包规则l新建包过滤规则，如图所示。 三个参数，文件名与备注不用 再解释，只要注意文件不重复 即可。不匹配此文件规则的连 接产生日志，是指对规则中未 定义的网络连接进行记录。如 一般规则文件中我们只制定允 许通过的网络连接，如果选定 此选项，则会对规则中未定义 的阻断连接进行记录。小知识：日志系统：NETEYE系列防 火墙都提供完善的数据库日 志记录系统。并提供两种记 录方式n本地记录：系统日志直接记 录在防火墙内部的存储空间 (部分型号不支持此功能

10、)n网络记录：支持将日志记录 至外部数据库系统 2004, 东软 N Page 13新建过滤规则l常规：设置数据连接方向及是 否记录此连接。这里我们设置 的规则方向是内网至外网小知识：n打开日志系统：防火墙日志 默认是关闭日志记录功能。 打开操作步骤如下：在防火 墙安全控制台文件菜单系 统配置服务配置审计 选择打开审计 2004, 东软 N Page 14新建过滤规则l操作：分为拒绝与允许，对未 定义的连接默认都是拒绝操作小知识：nTCP连接认证：此选项用于 配合客户端软件认证通过防 火墙的TCP通讯。认证域子 项需先在资源-认证管理中 定义。nSYN攻击：是DoS（拒绝服 务攻击）与DdoS

11、（分布式 拒绝服务攻击）的方式之一 ，这是一种利用TCP协议缺 陷，发送大量伪造的TCP连 接请求，从而使得被攻击方 资源耗尽（CPU满负荷或内 存不足）的攻击方式。 2004, 东软 N Page 15新建过滤规则l访问源：当前规则连接方向为 内网至外网，其访问源就是内 网的IP地址。小技巧：n来源于名单：通过名单子功 能我们可以方便、快捷的将 预先输入的访问及目标源应 用于新规则中。新建方式如 左图所示，我们在建立规则 前，首先创建了两条名单： Localnet和All。保存后即可 在新规则的访问源及访问目 标中便捷的调用了。 2004, 东软 N Page 16新建过滤规则l访问目标：当

12、前规则连接方向 为内网至外网，其访问目标就 是外网的IP地址。小技巧：n去除下列地址及域名：去除 地址功能用于快速排除地址 ，而无需重新建立新的规则 最下方的域名功能是3.2系 列新增功能，可实现防火墙 对IP地址支持外，新增对域 名进行自动解析的功能。最 常用于封闭某网站(如图所 示为阻断访问163网站的设 置)。要使用此功能必须设 置防火墙的DNS，设置步骤 ：防火墙安全控制台系统 配置域名服务设置 2004, 东软 N Page 17新建过滤规则l协议：协议是过滤规则中比较 重要的一项设置。防火墙提供 了对包括TCP、UDP、ICMP及 其它协议的支持。可以通过细 分这些协议和网络通讯的

13、实际 需求达到网络管理的功能。关于协议：nTCP：常用的TCP协议端口 有HTTP-80，SMTP-25， POP3-110，FTP-21， MMS-1755详细协议对照请 参考防火墙手册。nUDP：UDP端口常见较多为 DNS-53，QQ-8000nICMP：要关闭PING功能请 删除此协议，打开只需增加 ICMP中ECHOREPLY ， ECHO 2004, 东软 N Page 18新建过滤规则l有效时间：功能可实现对规则 运行时间的控制。如左图所示 设置为：上班时间不允许访问 外网。有效时间：n这里我们定义的有效时间里 去除了上班时限。另一种方 法是先建一条规则不加时间 限制。然后然规则

14、复制，将 操作更改为拒决并把时间限 制设为工作时间。最后将这 条拒决规则置于刚刚那条全 通规则之上。 2004, 东软 N Page 19新建过滤规则l左图就是我们刚刚建立的一条 内网访问外网规则。右下方就 是这条规则的明细设置我们可 以看了。这里我们内网地址源 为192.168.0.X，访问外网地址 除访问163网站外都没有限制。 协议部分我们将PING关闭，对 TCP连接未作限制。小提示：n对于规则建立我们可以通过 对上条规则拷贝、向上粘贴 或是向下粘贴(选中某条规 则后，点击鼠标右键)可以 方便的建立多项规则。 2004, 东软 N Page 20本地访问控制规则l本地访问控制规则，主要

15、用于 设置，防火墙信任地址。简单 的说就是为了告诉防火墙允许 什么地址来管理。规则提供四 条默认权限：PING、认证服务 、修改认证口令、管理服务及 自定义服务如左图所示规则文 件打了TELNET23端口小提示：n本地访问控制规则同样支持 ，包过滤规则一样的拷贝与 向上粘贴或是向下粘贴功能 。可以通过此方式，便捷的 快速的制定出所需规则。 2004, 东软 N Page 21地址绑定l地址绑定，就是将IP地址与网 卡MAC进行绑定验证。以防止 用户私自更换地址而避开防火 墙规则限定。此功能实现必须 确保到防火墙内网口接收的IP 地址未经过任何路由器。小提示：n经过路由器会更改IP数据包 中MAC地址，造成防火墙无 法正确验证绑定地址。这种 情况可以采用主动验证方式 即通过认证客户端进行身份 验证来解决n关于地址绑定信息可点击左 列图标进行选择防火墙帮你 收集到的IP地址与MAC信息 。要使用此