《防火墙tos3.3培训v3.0》由会员分享,可在线阅读,更多相关《防火墙tos3.3培训v3.0(191页珍藏版)》请在金锄头文库上搜索。
1、1,网络卫士防火墙培训,TOS v3.3,北京天融信网络安全技术有限公司产品集成部林傲,2,服务须知,为了更好的为您提供更专业的服务,产品开箱后,您应该按照以下步骤进行处理: 按照装箱单的提示,检查附件是否齐全 填写保修单,并将其邮寄到天融信公司客户服务中心 到公司的网站进行产品注册; 用户名、通信地址、联系电话、产品序列号、产品型号一定要填写清楚。 如有不明白之处,请致电我们的客户服务中心:800-810-5119,3,课程内容,第一部分:防火墙简介 第二部分:防火墙基本应用 第三部分:防火墙特殊应用 第四部分:防火墙高级应用 第五部分:防火墙辅助功能,4,防火墙简介,5,Internet,
2、一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,6,防火墙的局限性,物理上的问题 断电 物理上的损坏或偷窃 人为的因素 内部人员通过某种手段窃取了用户名和密码 病毒(应用层携带的) 防火墙自身不会被病毒攻击 但不能防止内嵌在数据包中的病毒通过 内部人员的攻击 防火墙的配置不当,7,硬件一台外形:19寸1U标准机箱,产品外形,接COM口,管理机,8,CONSOLE线缆 UTP5双绞
3、线- 直通(1条,颜色:灰色) - 交叉(1条,颜色:红色) 使用: 直通:与HUB/SWITCH 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与防火墙连接) 软件光盘 上架附件,产品提供的附件及线缆使用方式,9,防火墙提供的通讯模式,透明模式(提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。路由模式(静态路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MA
4、C 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。综合模式(透明+路由功能)顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。,10,Internet,内部网,202.99.88.1,ETH0:202.99.88.2,ET
5、H1:202.99.88.3,ETH2:202.99.88.4,202.99.88.10/24 网段,202.99.88.20/24 网段,外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,11,Internet,内部网,202.99.88.1,ETH0:202.99.88.2,ETH1:10.1.1.2,ETH2:192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网段,外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。,路由模式的典型应用,12,综合接入模式的典型应用,ETH1:
6、192.168.7.102,ETH2:192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式,202.11.22.1/24 网段,ETH0:202.11.22.2,两接口在不同网段,防火墙处于路由模式,两接口在不同网段,防火墙处于路由模式,两接口在同一网段,防火墙处于透明模式,13,网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 具体请见下表:,防火墙的工作状态,14,在安装防火墙之前必须弄清楚的几
7、个问题:1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制),15,常见病毒使用端口列表,69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
8、ICMP,关掉不必要的PING,16,常见路由协议使用端口列表,RIP:UDP-520 RIP2:UDP-520 OSPF:IP-89 IGRP:IP-9 EIGRP:IP-88 HSRP(Cisco的热备份路由协议):UDP-1985 BGP:(Border Gateway Protocol边界网关协议,主要处理各ISP之间的路由传递,一般用在骨干网上) TCP-179,17,规则列表需要注意的问题:1、规则作用有顺序2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性,访问控制规则说明,18,防火墙4000(TOS) 的安装配置,19,防火墙4000(TOS) 的管理方式,20,串口(
9、console)管理方式:管理员为空,回车后直接输入口令即可,初始口令talent,用passwd修改管理员密码,请牢记修改后的密码。 WEBUI管理方式:超级管理员:superman,口令:talent TELNET管理方式:模拟console管理方式,用户名superman,口令:talent SSH管理方式:模拟console管理方式,用户名superman,口令:talent,防火墙配置-管理方式,21,防火墙配置-防火墙出厂配置,22,防火墙的CONSOLE管理方式,超级终端参数设置:,23,防火墙的CONSOLE管理方式,防火墙的命令菜单:,24,防火墙的CONSOLE管理方式,输
10、入helpmode chinese命令 可以看到中文化菜单,25,防火墙的WEBUI管理方式,在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”,26,防火墙的WEBUI管理方式,输入用户名和密码后,按“提交”按钮,27,防火墙的WEBUI管理方式,28,防火墙的管理方式打开防火墙管理端口,注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙的服务端口,系统默认打开“HTTP”方式。,在“系统”“系统服务”中选择“启动”即可,29,防火墙的TELNET管理方式,通过TELNET方式管理防火墙:,30,防火墙的接口和区域,接口和区域是两个重要的概念接
11、口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。,31,防火墙对数据包处理流程,32,网络卫士防火墙的基本配置过程:,1、串口(console)下配置:配置接口IP地址,查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置 2、在串口下保存配置:用SAVE命令 3、推荐使用WEBUI方式对防火墙
12、进行各种配置 4、配置具体的访问控制规则及其日常管理维护,防火墙的配置过程,提示:一般先设置并调整网络区域,然后再定义各种对象(网络对象 、特殊对象等),然后在添加访问策略及地址转换策略,最后进行参数调整及增加一些辅助的功能。,33,防火墙的基本应用,配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略(通讯策略)保存和导出配置,34,防火墙三种工作模式 的配置案例,35,防火墙配置例1,配置案例1(路由模式):,INTERNET,202.99.27.193,202.99.27.250,192.168.1.25
13、4,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求:内网可以访问互联网 服务器对外网做映射映射地址为202.99.27.249 外网禁止访问内网,WEB服务器,防火墙接口分配如下:ETH0接INTERNET ETH1接内网 ETH2接服务器区,36,防火墙配置定义网络接口,在CONSOLE下,定义接口IP地址,输入network命令进入到network子菜单,定义防火墙每个接口的IP地址,注意子网掩码不要输错,37,防火墙配置定义区域及添加区 域管理权限,define area add name area_eth1 attribute eth1 acce
14、ss on define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any,系统默认只能从ETH0接
15、口(区域)对防火墙进行管理,输入如下命令:,添加ETH1接口为“AREA_ETH1”区域; ETH2接口为“AREA_ETH2”区域,对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以对“AREA_ETH2”区域添加),定义你希望从哪个接口(区域)管理防火墙,38,防火墙配置调整区域属性,进入防火墙管理界面,点击”网络管理“ ”接口“可以看到物理接口定义结果:,点击每个接口的”设置”按钮可以修改每个接口的名称、地址、模式等,注:防火墙每个接口的默认状态均为“路由”模式,39,防火墙配置定义区域的缺省权限,在“资源管理”区域 “中定义防火墙3个区域(接口)的默认权限为”禁止访问“,4
16、0,防火墙配置定义区域的服务,在“系统管理”“配置 ” “开放服务”里给区域定义服务,41,防火墙配置设置防火墙缺省网关,在“网络管理”“路由”添加缺省网关,42,防火墙配置设置防火墙缺省网关,设置缺省网关时, 源和目的一般为全“0”防火墙的缺省网关在静态 路由时,必须放到最后一条 路由,43,防火墙配置定义对象主机对象,点击:”资源管理“地址”“主机”,点击右上角“添加”,44,防火墙配置定义对象主机对象,主机对象中可以定义多个IP地址,45,防火墙配置定义对象地址对象和子网对象,46,防火墙配置制定访问规则,第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”; 目的可以选择目的区域“AERA_ETH0”,也可以是“ANY范围”,47,48,防火墙配置定义访问规则,
