《天融信3.3版本防火墙常用功能配置手册》由会员分享,可在线阅读,更多相关《天融信3.3版本防火墙常用功能配置手册(44页珍藏版)》请在金锄头文库上搜索。
1、1 天融信天融信 3.33.3 版本防火墙版本防火墙 常用功能配置手册常用功能配置手册 一一、前言前言 我们制作本安装手册的目的是使工程技术人员在配置天融信网络卫士防火 墙(在本安装手册中简称为“天融信防火墙”)时,可以通过此安装手册完成对 天融信防火墙基本功能的实现和应用。 二二、天融信天融信3.33.3版本防火墙配置概述版本防火墙配置概述 天融信防火墙作为专业的网络安全设备, 可以支持各种复杂网络环境中的网 络安全应用需求。 在配置天融信防火墙之前我们通常需要先了解用户现有网络 的规划情况和用户对防火墙配置及实现功能的诸多要求, 建议参照以下思路和步 骤对天融信防火墙进行配置和管理。 1、
2、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式), 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址。 2、防火墙接口IP配置 3、区域和缺省访问权限配置 4、防火墙管理权限配置 5、路由表配置 6、定义对象(地址对象、服务对象、时间对象) 7、制定地址转换策略(包括四种地址转换策略:源地址转换、目的地址转 换、双向转换、不做转换) 8、制定访问控制策略 9、其他特殊应用配置 10、配置保存 11、配置文件备份 提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙 配置不当造成网络长时间中断。 2 三三、天融信防火墙一些基本概念天融信防火墙一些基本概念 接口:和防
3、火墙的物理端口一一对应,如 Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上, 防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接 口。在安装防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主 机、服务器等所需要的安全保护等级来划分区域。 对象:防火墙大多数的功能配置都是基于对象的。如访问控制策略、地址转 换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的对象是管 理员在对防火墙进行配置前首先要做的工作之一。 对象概念的使用大大简化了管 理员对防火墙的管理工作。当某个对象的属性发生变化时,管理员只需要修改对
4、象本身的属性即可,而无需修改所有涉及到这个对象的策略或规则。防火墙中, 用户可定义的对象类型包括:区域、地址、地址组、服务、服务组、以及时间等。 提示:对象名称不允许出现的特殊字符:空格、“”、“”、“”、 “/”、“;”、“”、“$”、“&”、“”、“#”、“+”。 提示:防火墙所有需要引用对象的配置,请先定义对象,才能引用。 四四、防火墙管理防火墙管理 防火墙缺省管理接口为 eth0 口,管理地址为 192.168.1.254,缺省登录管 理员帐号:用户名 superman,口令 talent。 防火墙出厂配置如下: 3 防火墙支持以下管理方式防火墙支持以下管理方式: 串口(console
5、)管理方式:超级终端参数设置波特率 9600。输入 helpmode chinese 命令可以看到中文化菜单。 WEBUI 管理方式(https 协议) :在输入 URL 时要注意以“https:/”作为协 议类型,例如 https:/192.168.1.254,推荐使用 IE 浏览器进行登录管理。 在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是” TELNET 管理方式:模拟 console 管理方式 SSH 管理方式:模拟 console 管理方式 4 提示:要想通过 TELNET、SSH 方式管理防火墙,必须首先打开防火墙的 服务端口,系统默认打开“HTT
6、P”方式。在“系统管理”“配置” “开放 服务”中选择“启动”即可,并且在开放服务里面相关接口区域添加 TELNET、 SSH 方式等管理方式即可。 五五、防火墙防火墙配置配置 (1 1)防火墙路由模式防火墙路由模式案例案例配置配置 在路由模式下,天融信防火墙类似于一台路由器转发数据包,将接收到的数 据包的源 MAC 地址替换为相应接口的 MAC 地址,然后转发。该模式适用于每个 区域都不在同一个网段的情况。和路由器一样,天融信防火墙的每个接口均要根 据区域规划配置 IP 地址。 配置需求配置需求: 1、内网客户机可以访问互联网 2、外网仅可以访问 WEB 服务器 HTTP 应用,禁止其他访问
7、 3、外网禁止访问内网 拓扑图如下拓扑图如下: 5 1 1、防火墙防火墙接口接口 IPIP 地址地址配置配置 进入防火墙管理界面,点击”网络管理网络管理“接口接口” ”物理接口物理接口“,依 次点击每个接口的“设置设置”按钮可以添加每个接口的描述和接口IP地址。 6 2 2、区域和缺省访问权限区域和缺省访问权限配置配置 在“资产管理资产管理” “区域区域”中定义防火墙区域 (接入相同安全等级的网络接接入相同安全等级的网络接 口的组合为一个区域口的组合为一个区域),点击“添加添加”。权限选择为“禁止访问禁止访问”,即访问该区 域缺省权限为禁止访问。 依次创建若干区域依次创建若干区域(添加ETH0
8、接口为“内网”区域; ETH1接口为“外网” 区域;添加ETH2接口为“服务器”区域;) 提示:有几个安全等级就需要创建几个区域,即如果网络之间需要配置 访问规则,那就需要配置不同的区域。 7 3 3、防火墙管理权限设置防火墙管理权限设置(定义希望从哪个区域定义希望从哪个区域管理防火墙管理防火墙) 默认只能从ETH0接口对防火墙进行管理 “内网”区域添加对防火墙的管理权限 (当然也可以对“外网”区域添加) , 点击“系统管理系统管理”“配置配置”“开放服务开放服务”, 点击添加, 常用服务有WEBUI(即 WEB管理)、ping、Telnet等(请根据管理需要添加相应管理服务) 8 4 4、路
9、由表配置路由表配置 添加静态路由,在“网络管理网络管理” “路由路由”“静态路由静态路由”,点击添加添加 添加缺省路由时, 目的地址和目的掩码都为0.0.0.0, 网关为下一条地址, 其他选项为空。 如果防火墙和客户端之间有三层设备(比如三层交换机或者路由器), 请注意添加相应静态路由。 9 5 5、定义定义对象对象(包括地址对象、服务对象、时间对象) 提示:防火墙所有需要引用对象(如地址转换策略、访问控制策略等)的 配置,请先定义对象,才能引用。 定义地址对象定义地址对象 添加单个主机对象添加单个主机对象 点击” 资源管理资源管理“ “ 地址地址” “ 主机主机” ,点击右上角“ 添加配置添
10、加配置” 添加地址范围添加地址范围 点击” 资源管理资源管理“ “ 地址地址” “ 范围范围” ,点击右上角“ 添加配置添加配置” 添加子网添加子网 点击” 资源管理资源管理“ “ 地址地址” “ 子网子网” ,点击右上角“ 添加配置添加配置” 10 添加地址组添加地址组 点击” 资源管理资源管理“ “ 地址地址” “ 地址组地址组” ,点击右上角“ 添加配置添加配置” 定义服务对象定义服务对象 防火墙内置一些标准服务端口,但有时用户的系统没有使用某些服务的标 准端口,用户在端口引用时,需要我们通过自定义方式加以定义。 点击 “资源管理资源管理”“服务服务”“自定义服务自定义服务”,点击“添加
11、添加”,可以添 加单个端口或范围 。注意单个端口只填起始端口 11 定义时间对象定义时间对象 点击“资源管理资源管理”“时间时间”,点击“添加添加”,可以设置单次和多次 12 6 6、地址转换策略地址转换策略 内网可以访问互联网内网可以访问互联网,需要配置源转换需要配置源转换 在“防火墙防火墙” “地址转换地址转换”,点击 “添加添加” 选择“源转换源转换”,点击“高级高级”,源选择源区域“内网内网”,目的选择目的区 域“外网外网”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换 111.111.111.230主机地址。 13 14 如果需要源地址转换为一段地址,则首先需要创建一
12、段地址范围,且该 地址范围不能设置排除IP地址。 15 WWe eb b服务器发布服务器发布,需要配置目的需要配置目的转换转换 首先需要添加Web服务器地址对象(10.1.1.1,服务器真实地址)、外网访 问的地址对象(111.111.111.230,合法地址),具体配置见定义对象定义对象章节。 目的转换有两种方式:地址转换、端口转换。 地址转地址转换换:从一个 IP 地址到另一个 IP 地址的映射。安全网关设备将到达 16 映射地址(合法IP)的所有信息流中的目标IP 地址转换成主机 IP 地址(即服 务器真实地址)。地址转换建议在映射地址资源充裕时地址转换建议在映射地址资源充裕时、服务器使
13、用端口较多且服务器使用端口较多且 端口不连续端口不连续、服务器端口不是固定端口时使用服务器端口不是固定端口时使用。 端口转换端口转换:从一个 IP 地址到基于目标端口号的多个IP 地址的映射,即单 个 IP 地址可以托管从若干服务 ( 使用不同的目标端口号标识) 到同样多主机 的映射。端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用端口转换建议在映射地址资源短缺且服务器端口为固定端口时使用。 配置配置WebWeb服务器映射有两种方式服务器映射有两种方式: ()端口转换端口转换 在“防火墙防火墙” “地址转换地址转换”,点击 “添加添加” 选择“目的目的转换转换”,点击“高级高级”,源
14、选择源区域“外外网网”,目的选择“外外 网访问的地址对象网访问的地址对象(111.111.111.230111.111.111.230)”,服务选择“HTTPHTTP”服务,目的地址 转换为选择“WebWeb服务器地址对象服务器地址对象(10.1.1.110.1.1.1),即服务器真实地址即服务器真实地址”,目的端 口转换为“HTTPHTTP”服务。 17 18 ()地址映射地址映射 在“防火墙防火墙” “地址转换地址转换”,点击 “添加添加” 选择“目的目的转换转换”,点击“高级高级”,源选择源区域“外网外网”,目的选择“外外 网访问的地址对象网访问的地址对象(111.111.111.230
15、111.111.111.230)”,目的地址转换为选择“WebWeb服务器服务器 地址对象地址对象(10.1.1.110.1.1.1),即服务器真实地址即服务器真实地址”。 19 20 第一条为内网访问外网做第一条为内网访问外网做源转换源转换; 第二条为外网访问第二条为外网访问WEBWEB服务器的映射地址服务器的映射地址,防火墙把包转发给服务器的真实防火墙把包转发给服务器的真实 IPIP。 21 地址转换需要注意的问题地址转换需要注意的问题: 1、天融信防火墙先匹配目的转换规则,再对其他的地址转换规则按照从上 往下的顺序进行匹配,在目的转换规则中也是按照排列顺序进行匹配。在匹配过 程中,一旦存在一条匹配的地址转换规则,防火墙将停止检索,并按所定义的规 则处理数据包,所以规则的类型和先后顺序决定了数据包的处理方式,目的NAT 规则要优先于其他NAT 规则。 2、如果内网用户需要通过服务器映射地址访问如果内网用户需要通过服务器映射地址访问webweb服务器时服务器时,还需针对内还需针对内 网添加地址转换网添加地址转换。如案例如果内网需要访问111.111.111.230(合法地址)来访 问web服务器需要单独添加地址转换。下面以端口转换为例,地址转换请参照外 网访问web服务器。 在“防火墙防火墙” “地址转换地址转换”,点击 “添加添加” 选择“双向双向转换转
