天融信防火墙操作

《天融信防火墙操作》由会员分享，可在线阅读，更多相关《天融信防火墙操作（194页珍藏版）》请在金锄头文库上搜索。

1、,TEL：800-810-5119 FAX：82776677 E-MAIL:,北京天融信分公司,天融信网络卫士 防火墙安装使用培训,2,接入控制,思 路,部署位置？ 通讯方式? 如何管理? 路由设置? 访问控制?,我们今天的话题！,成功部署并配置防火墙,其他功能,高级应用,3,防火墙的关键概念,4,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,5,防火墙的功能

2、1,包过滤 URL过滤 HTTP脚本过滤、关键字过滤 邮件资源过滤 时间控制 NAT (静态、动态) MAP(PORT MAP，IP MAP) 带宽管理 IP+MAC地址绑定 实时监控 应用程序过滤（、等） 并发连接限制 DOS攻击、CC攻击,6,日志审计（自身、日志服务器、第三方） 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选） 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。,防火墙的功能2,7,防火墙的局限性,物理上的问题 断电 物理上的损坏或偷窃 人为的因素 内部人员通过某种手段窃取了用户名和密码 病毒（应用层携带的） 防火墙自身不会

3、被病毒攻击 但不能防止内嵌在数据包中的病毒通过 内部人员的攻击 某些可以“透过”防火墙的攻击，如injection（注入） 防火墙的配置不当,8,防火墙的接口和区域,接口和区域是两个重要的概念 接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。,9,物理接口的交换和路由,防火墙的一个接口，要么设置为交换接口，要么设置为路由接口 区别： 交换接口：不可以给该接口配置IP地址，该物理接口不对收到的数据做转发，大多在防火墙透明接入的情况下设置接口为交换口。 路由接口：可以为该接口配置一个或多个IP地址，大多在非透明模式下设置。

4、,10,对 象,http:/192.168.0.2,A：192.168.0.1,B：192.168.0.2,图示中机器A访问B机器的HTTP服务，在此过程中，若要使防火墙对该访问进行严格的控制，则需要首先把机器A、机器B、HTTP服务首先定义为独立的对象，然后再在具体的访问控制策略中进行引用，由此可见，对象的重要性。 在防火墙中可定义的对象包括： 主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、URL对象、关键字对象、区域对象等。 定义对象起到一个明确“你我”的作用。,HTTP（TCP：80）,11,外部网,内部网,透明（桥接）,防火墙采用透明方式情况下，可以把防火墙简单地看

5、做为二层交换机或HUB设备，它的部署不改变网络拓扑结构及配置，防火墙调试维护相对简单。 原由网络及业务运行正常，只是需要使用FW进行访问控制，不需要FW对数据进行路由或转发。 特点：对原有网络无影响 维护配置简单,同一网段,12,Internet,内部网,NAT（地址转换、源地址转换）,内部私有地址无法访问Internet,在内部用户访问Internet的时候需要把内部私有地址翻译成为合法的公有地址。 特点：节省公网IP 隐藏内部网络结构 一对一、多对一、多对多,私有地址,不同网段,公有地址,私有地址,公有地址,NAT,13,Internet,内部网,MAP（地址映射、端口映射、目的地址转换）

6、,Internet用户无法直接访问私有地址，在Internet用户需要访问内部私有地址机器的时候，需要把一个公有的地址翻译给内部私有的地址，Internet用户通过访问该公网地址以达到访问内部私有地址服务器的目的。 也可以只把某一公网IP的某一个或多个端口映射给某一IP的某一或多个端口（端口映射）。 特点： 1，隐藏网络结构，避免直接访问 2，节省IP（仅限端口映射） 3，一对一，多对一，一对多（仅限端口映射）,私有地址,不同网段,公有地址,私有地址,公有地址,MAP,14,规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性,顺 序,15,

7、防火墙的接入控制,16,硬件一台 外形：19寸1U标准机箱,产品外形,接COM口,管理机,17,CONSOLE线缆 UTP5双绞线 - 直通(1条，颜色:灰色) - 交叉(1条，颜色:红色) 使用: 直通:与HUB/SWITCH 交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） 软件光盘 上架附件,产品提供的附件及线缆使用方式,18,防火墙提供的接入模式,透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP

8、 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防

9、火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。,19,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：202.99.88.3,ETH2：202.99.88.4,202.99.88.10/24 网段,202.99.88.20/24 网段,外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,20,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：10.1.1.2,ETH2：192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网

10、段,外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,路由模式的典型应用,21,综合接入模式的典型应用,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24 网段,ETH0：202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,22,串口(console)管理方式： 管理员为空，回车后直

11、接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。 TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent WEBUI管理方式： 超级管理员:superman，口令:talent 管理器管理方式： 超级管理员:superman，口令:talent，集中管理 SNMP管理 支持第三方管理软件,管理方式,23,防火墙的CONSOLE管理方式,超级终端参数设置：,24,防火墙的CONSOLE管理方式,防火墙的命令菜单：,25,防火墙的

12、CONSOLE管理方式,输入helpmode chinese命令 可以看到中文化菜单,26,防火墙出厂管理配置,27,防火墙的WEBUI管理方式,在浏览器输入：HTTPS:/192.168.1.254，看到下列提示，选择“是”,28,防火墙的WEBUI管理方式,输入用户名和密码后，按“提交”按钮,29,防火墙的WEBUI管理方式,30,防火墙的管理方式打开防火墙管理端口,注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙 的服务端口，系统默认打开“HTTP”方式。,在“系统”“系统服务”中选择“启动”即可,31,防火墙的TELNET管理方式,通过TELNET方式管理防火墙：,

13、32,在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制),33,常见病毒使用端口列表,69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554

14、/TCP 9995/TCP 9996/TCP ICMP,关掉不必要的PING,34,常见路由协议使用端口列表,RIP：UDP-520 RIP2：UDP-520 OSPF：IP-89 IGRP：IP-9 EIGRP：IP-88 HSRP（Cisco的热备份路由协议）：UDP-1985 BGP：(Border Gateway Protocol边界网关协议，主要 处理各ISP之间的路由传递，一般用在骨干网上) TCP-179,35,网络卫士防火墙的基本配置过程：,1、串口(console)下配置： 配置接口IP地址，查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置 2、在串口

15、下保存配置：用SAVE命令 3、推荐使用WEBUI方式对防火墙进行各种配置 4、配置具体的访问控制规则及其日常管理维护,防火墙的配置过程,提示：一般先设置并调整网络区域，然后再定义各种对象(网络对象 、特殊对象等)，然后在添加访问策略及地址转换策略，最后进行参数 调整及增加一些辅助的功能。,36,防火墙的基本应用,配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略 制定地址转换策略（通讯策略） 保存和导出配置,37,防火墙的配置案例,38,防火墙配置例1,配置案例1（路由模式）：,INTERNET,202.99.2

16、7.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求： 内网可以访问互联网 服务器对外网做映射 映射地址为202.99.27.249 外网禁止访问内网,WEB服务器,防火墙接口分配如下： ETH0接INTERNET ETH1接内网 ETH2接服务器区,39,定义网络接口,在CONSOLE下，定义接口IP地址,输入network命令进入到network子菜单,定义防火墙每个接口的IP地址，注意子网掩码不要输错,40,定义区域及添加区域管理权限,define area add name area_eth1 attribute eth1 access