防火墙安装与配置

防火墙的基本应用配置
配置防火墙接口IP及区域默认权限
设置路由表及默认网关
定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略
制定地址转换策略（通讯策略）
保存和导出配置
防火墙配置－路由模式配置案例 配置案例1（路由模式）：
应用需求：
INTERNET
202.99.27.193 202.99.27.250 172.16.1.1 192.168.1.254
ICMP 关掉不必要的PING
防火墙知识介绍－ -防火墙出厂配置
防火墙知识介绍－ 管理方式 串口(console)管理方式： 管理员为superman，初始口令talent,用passwd修改管理员密 码，请牢记修改后的密码。 WEBUI管理方式： 超级管理员:superman，口令:talent TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent
防火墙配置－定义地址转换（通信策略） 目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实 IP地址），选择“WEB服务器”主机对象即可。
提示： 一般先设置并调整网络区域，然后再定义各种对象(网络对象、特殊对 象等)，然后在添加访问策略及地址转换策略，最后进行参数调整及增 加一些辅助的功能。
目录
第一部分：防火墙基础知识 第二部分：防火墙基本应用 第三部分：防火墙特殊应用 第四部分：防火墙高级应用 第五部分：防火墙辅助功能 第六部分：防火墙日常维护
防火墙配置－资源管理－地址－定义子网
防火墙配置－制定访问规则 第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”； 目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]”
防火墙配置－定义访问规则
第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择”WEB服务器（服务器真实的IP地址）
防火墙知识介绍－综合接入模式的典型应用
两接口在不同网段， 防火墙处于路由模式
202.11.22.1/24 网段
ETH0：202.11.22.2
ETH1：192.168.7.102 ETH2：192.168.7.2 192.168.1.100/24 网段
两接口在不同网段， 防火墙处于路由模式
两接口在同一网段， 防火墙处于透明模式
防火墙知识介绍－防火墙提供的通讯模式
• 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对 于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包 转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。
防火墙知识介绍－防火墙的局限性 • 物理上的问题 – 断电 – 物理上的损坏或偷窃 • 人为的因素 – 内部人员通过某种手段窃取了用户名和密码 • 病毒（应用层携带的） – 防火墙自身不会被病毒攻击 – 但不能防止内嵌在数据包中的病毒通过 • 内部人员的攻击 • 防火墙的配置不当
防火墙知识介绍－产品外形
防火墙配置－定义访问规则 定义好的两条访问策略
防火墙配置－定义地址转换（通信策略） 根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网 要访问WEB服务器的映射地址，也要定义MAP策略 定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域
防火墙配置－定义地址转换（通信策略）
防火墙知识介绍－防火墙定义
两个安全域之间通 信流的唯一通道
Internet
内部网 源 Host A Host B 目的 Host C Host C 控制 Pass Block 协议 TCP UDP
根据访问控制规则决 定进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域之间通信流的唯一通道，能根据企业有关的安全策略控制（允许、拒绝 、监视、记录）进出网络的访问行为。
定义你希望从哪个接口（区域）管理防火墙
防火墙配置－路由通讯模式
进入防火墙管理界面，点击“网络管理” “接口”可以看 到物理接口定义结果：
可以设置每个接口的描述进行区分
注：防火墙每个接口的默认状态均为“路由”模式
防火墙配置－定义区域的缺省权限
在“对象”－“区域对象”中定义防火墙区域（接口）的默认权限
此时整个防火墙工作于透明+路由模式 ，我们称之为综合模式或者混合模式
192.168.7.0/24 网段
防火墙知识介绍－安装配置准备工作 在安装防火墙之前必须弄清楚的几个问题： 1. 路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2. IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3. 数据应用和数据流向(各种应用的数据流向及其需要开放的 端口号或者协议类型)
防火墙知识介绍－接口和区域
接口和区域是两个重要的概念 接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上，网络卫士防火墙的区域和接口并不是一一对应的，也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前，首先要对整个受控网络进行分 析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。
硬件一台 • 外形：2U标准机箱
串口线
交叉线
直通线
交叉线
Swich、Hub 管理机 接COM口
Route
PC
防火墙知识介绍－产品提供的附件及线缆使用方式
• •
CONSOLE线缆 UTP5双绞线 - 直通(1条，颜色:灰色) - 交叉(1条，颜色:红色) 使用: – 直通:与HUB/SWITCH – 交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） • 软件光盘 • 上架附件
4. 要达到的安全目的(即要做什么样的访问控制)
防火墙知识介绍－访问控制规则说明
规则列表需要注意的问题：
1、规则作用有顺序
2、访问控制列表遵循第一匹配规则
3、规则的一致性和逻辑性
防火墙知识介绍－常见病毒使用端口列表 69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址； 也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”）
使用防火墙接口
使用地址池
防火墙配置－定义地址转换（通信策略） 配置MAP（映射）策略
源地址可以选择区域 “AERA_ETH0”;也可以 选择“ANY”
目的必须选择服务器映射后的IP（合法IP） 选择已定义的“WEB服务器－MAP”
防火墙配置－接口配置
网络管理——接口——物理接口——eth1——设置
防火墙配置－接口配置
网络管理——接口——物理接口——eth2——设置
防火墙配置－定义区域及添加区域管理权限
系统默认只能从ETH0接口（区域）对防火墙进行管理 添加ETH1接口为“AREA_ETH1”区域； ETH2接口为“AREA_ETH2”区域 对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）
天融信防火墙安装及日常维护
目录
第一部分：防火墙知识介绍 第二部分：防火墙基本应用 第三部分：防火墙特殊应用 第四部分：防火墙高级应用 第五部分：防火墙辅助功能 第六部分：防火墙日常维护
防火墙知识介绍
防火墙定义及作用
防火墙随机配件介绍
防火墙通讯模式介绍 防火墙配置准备工作介绍 防火墙初始状态介绍 防火墙管理 方式介绍 防火墙重要概念介绍
防火墙知识介绍－路由模式的典型应用
Internet
202.99.88.1
ETH0：202.99.88.2
ETH1：10.1.1.2 ETH2：192.168.7.2
10.1.1.0/24 网段
外网、SSN区、内网都不在同一网段，防 火墙做路由方式。这时，防火墙相当于一 个路由器。
内部网 192.168.7.0/24 网段
•内网可以访问互联网 •服务器对外网做映射 映射地址为202.99.27.249 •外网禁止访问内网
WEB服务器
172.16.1.100
防火墙接口分配如下：
ETH0接INTERNET ETH1接内网 ETH2接服务器区
192.168.1.0/24
防火墙配置－定义网络接口
网络管理——接口——物理接口——eth0——设置 定义防火墙每个接口的IP地址，注意子网掩码不要输错
防火墙配置－设置防火墙缺省网关
在“网络”－“静态路由”添加缺省网关
防火墙配置－设置防火墙缺省网关
设置缺省网关时， 目的地址和掩码为全“0” 防火墙的缺省网关在静态路由时， 必须放到最后一条路由，设备会根 据子网掩码大小自动排序
防火墙配置－资源管理－地址－定义主机 主机对象中可以定义多个IP地址
如果密码管理不善而丢失，只能返回厂家维修
防火墙CONSOLE管理方式 超级终端参数设置：
防火墙的CONSOLE管理方式 防火墙的命令菜单：
防火墙的CONSOLE管理方式
输入helpmode chinese命令 可以看到中文化菜单
防火墙的WEBUI管理方式 在浏览器输入：HTTPS://192.168.1.254，看到下列提示，选择“是”
防火墙知识介绍－透明模式的典型应用
Internet
202.99.88.1
ETH0：202.99.88.2
ETH1：202.99.88.3 ETH2：202.99.88.4 202.99.88.10/24 网段
外网、SSN、内网在同一个广播域，防火 墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
防火墙的WEBUI管理方式 输入用户名和密码后，按“提交”按钮
防火墙的WEBUI管理方式
防火墙的管理方式－打开防火墙管理服务 注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙 的服务端口，系统默认打开“HTTP”方式。 在“系统”－“系统服务”中选择“启动”即可
防火墙的TELNET管理方式 通过TELNET方式管理防火墙：
防火墙中对象的概念 防火墙设置策略时，首先要有已定义好的可操作对象 地址对象、服务对象、时间对象、区域对象等
Internet
互联网区域C_eth3
定 义 区 域 对 象 办公区域B_eth2
办公区域D
办公区域A_eth1
允许
Internet
定义区域权限 允许
互联网区_eth3 允许
外网区域权限：允许 其它区域发起的对互联网区域的访问都被允许通过 办公区、ssn区权限：拒绝 其它区域内发起的对内网办公和SSN的访问都被拒绝， 这时候需要添加访问控制规则，允许互联网和办公区访 问SSN区的服务器
•
路由模式(静态路由功能)
在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据 包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区 域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根 据区域规划配置IP 地址。
• 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透 明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网 络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。
办公_eth1 拒绝
SSN区_eth2 拒绝
拒绝
Baidu Nhomakorabea拒绝
防火墙知识介绍－防火墙的配置流程 网络卫士防火墙的基本配置过程：
1、串口(console)下配置：配置接口IP地址，查看或调整区域管理权限 2、在串口下保存配置：用SAVE命令 3、推荐使用WEBUI方式对防火墙进行各种配置 4、配置具体的访问控制规则及其日常管理维护