1-2-09《信息安全产品配置与应用》课程-防火墙篇-天融信
合集下载
天融信Topsec NGFW系列防火墙培训
33
猎豹系列, 猎豹系列 TG-5328
•整机吞吐量 整机吞吐量:2.8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量:2.8G 整机小包吞吐量 •每秒新建连接 每秒新建连接>54000 每秒新建连接 •最大并发连接数 最大并发连接数>1800000 最大并发连接数 •性能:整机小包全线速 性能: 性能
32
百兆高端产品:猎豹 百兆高端产品:猎豹I
TOS操作系统 TOS操作系统 ASIC硬件架构 ASIC硬件架构 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 端口+2个千兆COMBO端口+1 千兆接口 个管理百兆接口 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 内置专用硬件加速芯片\TAPF加速技术 加速技术 内置专用硬件加速芯片
内置的专用硬件加速芯片\TAPF加速技术
29
猎豹II系列 猎豹 系列, TG-5664 系列
TG-5664
•整机吞吐量 整机吞吐量>8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量>6G 整机小包吞吐量 •延时 延时<4.5us 延时 •每秒新建连接 每秒新建连接>96000 每秒新建连接 •最大并发连接数 最大并发连接数>2200000 最大并发连接数
3
网络越来越复杂, 网络越来越复杂,薄弱点越来越多
接入网络的设备越来越多。 接入网络的设备越来越多。 分支机构需要访问总部资源。 分支机构需要访问总部资源。
猎豹系列, 猎豹系列 TG-5328
•整机吞吐量 整机吞吐量:2.8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量:2.8G 整机小包吞吐量 •每秒新建连接 每秒新建连接>54000 每秒新建连接 •最大并发连接数 最大并发连接数>1800000 最大并发连接数 •性能:整机小包全线速 性能: 性能
32
百兆高端产品:猎豹 百兆高端产品:猎豹I
TOS操作系统 TOS操作系统 ASIC硬件架构 ASIC硬件架构 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 8x10/100Base-TX端口+2个千兆COMBO端口+1个HA千兆接口+1 端口+2个千兆COMBO端口+1 千兆接口 个管理百兆接口 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 支持IPSEC VPN/VRC、TA/TA-LIC等功能模块 内置专用硬件加速芯片\TAPF加速技术 加速技术 内置专用硬件加速芯片
内置的专用硬件加速芯片\TAPF加速技术
29
猎豹II系列 猎豹 系列, TG-5664 系列
TG-5664
•整机吞吐量 整机吞吐量>8G 整机吞吐量 •整机小包吞吐量 整机小包吞吐量>6G 整机小包吞吐量 •延时 延时<4.5us 延时 •每秒新建连接 每秒新建连接>96000 每秒新建连接 •最大并发连接数 最大并发连接数>2200000 最大并发连接数
3
网络越来越复杂, 网络越来越复杂,薄弱点越来越多
接入网络的设备越来越多。 接入网络的设备越来越多。 分支机构需要访问总部资源。 分支机构需要访问总部资源。
天融信防火墙配置手册
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字) 6)在高级管理→特殊对象→关键字→定义关键字 7)访问策略→INTERNET区域→ 增加 HTTP策略,允许某一网站访问,
但禁止关键字访问。 把过滤策略优先级提到最前面,测试含有该关键字的网 页能否打开。
注意:定义关键字不需要加 * ,过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁
• 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。
• 防止反向连接,对由内到外的连接也要注意端口防护。
通信策略
STEP7: 设置NAT(网络地址转换)方式
与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下, 通过NAT方式进行访问。访问端需要有网关(路由)。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字) 6)在高级管理→特殊对象→关键字→定义关键字 7)访问策略→INTERNET区域→ 增加 HTTP策略,允许某一网站访问,
但禁止关键字访问。 把过滤策略优先级提到最前面,测试含有该关键字的网 页能否打开。
注意:定义关键字不需要加 * ,过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁
• 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。
• 防止反向连接,对由内到外的连接也要注意端口防护。
通信策略
STEP7: 设置NAT(网络地址转换)方式
与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下, 通过NAT方式进行访问。访问端需要有网关(路由)。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
天融信防火墙配置手册
止。 8)通过包过滤策略,禁止本机访问INTERNET,策略服务为
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(6) 在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建 立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。
7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括 连入INTRANET内的所有主机。
可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机
PING此IP地址。
下半部份
二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。
1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。
2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。
3) 进入‘高级管理’→‘通信策略’→ 增加本机(策略源)到该目标 主机(策略目的)的通讯策略,通信方式选择NAT方式。
(6) 在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建 立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方 主机的连通性。
7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括 连入INTRANET内的所有主机。
可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
天融信防火墙操作培训
NAT地址转换配置
NAT地址转换配置
其他配置案例实例:
1、流量控制策略配置 2、访问控制策略配置
3、阻断策略配置
4、配置维护管理
流量控制策略配置
Internet互联网
eth2 上载限制定义在外网接口 网关设备 eth1 下载限制定义在内网接口 交换机
内网终端电脑 10.80.64.33
要求:限制主机10.80.64.33下载带宽为50K,限制上传带宽为50K
将eth1接口定义为外网区域
定义区域对象
同样在“名称”中输入自定义名称“内网区域”,
接着在“选择属性”框中将eth2移到“被选属性”框 里,
将eth2接口定义为内网区域
NAT地址转换配置
展开右边“防火墙”菜单,选择“地址转换”,然后在右边的界面中点击“添加
NAT地址转换配置
NAT地址转换配置
点击浏览选择备份的配置文件 然后再点击替换
配置维护管理
点击修改页签
配置维护管理
防火墙网关维护注意事项:
一、防火墙网关系统使用时要注意防雷设施的预防工作,注意供电系统 电压的正常,设备加电前需要做好接地措施. 二、防火墙网关系统的配置由专人负责管理 三、防火墙网关系统的密码更改后一定要牢记,密码若是已经忘记, 设备只能返厂维护重做系统 四、防火墙网关系统不能随自进行升级, 版本是定制版本。 五、如果发现防火墙网关工作不正常时请与相关技术支持人员联系。
防火墙网关配置步骤
输入用户名:superman, 然后输入初始密码:talent
配置各个网口的IP地址
外接口IP地址配置 ( 可选择ETH1口做为外网端口使用 )
点击“网络管理”菜单,然后点击“接口”后在右边的界面中点击“设置”,在 “描述”选项中填入自定义的名称“外网”,最后填入IP地址与子网掩码后 再点击“添加”即可
天融信防火墙配置步骤
天融信防火墙配置步骤1. 登录天融信防火墙首先,需要通过浏览器访问天融信防火墙的管理地址,输入正确的用户名和密码进行登录。
2. 进入配置页面登录成功后,点击左侧导航栏中的“配置”,选择“网络”或“安全策略”,根据不同需求进行配置。
2.1 配置网络2.1.1 VLAN配置在天融信防火墙的“网络”界面中,选择“VLAN”进行配置。
首先需要新建一个VLAN,输入VLAN ID、VLAN名称等信息,并设置IP地址和子网掩码。
接下来,需要将新建的VLAN绑定到对应的物理接口上,以实现网络的隔离和控制。
2.1.2 VPN配置在天融信防火墙的“网络”界面中,选择“VPN”进行配置。
首先需要设置VPN基本信息,包括VPN名称、本地地址、远端地址等。
接下来,需要根据需要设置VPN的安全协议、身份验证方式等。
2.2 配置安全策略2.2.1 访问控制规则在天融信防火墙的“安全策略”界面中,选择“访问控制规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址、服务等信息,并设置允许或拒绝访问。
接下来,需要设置规则优先级、生效时间等。
2.2.2 NAT规则在天融信防火墙的“安全策略”界面中,选择“NAT规则”进行配置。
首先需要添加新的规则,设置规则名称、源地址、目的地址等信息,并设置源地址转换和目的地址转换。
接下来,需要设置规则优先级、生效时间等。
3. 保存配置并重启配置完成后,需要保存当前配置,并重启天融信防火墙以使配置生效。
重启后,可以通过检查网络、VPN、安全策略等功能是否正常来验证配置是否正确。
结论天融信防火墙作为一种重要的网络安全设备,需要进行正确的配置以保证网络的安全和可用性。
本文介绍了天融信防火墙的基本配置步骤,希望能够对读者有所帮助。
天融信防火墙配置讲解综述
防火墙配置具体方法
防火墙配置具体方法
•2 配置接口所属段的路由
防火墙的缺省网关在静态路由时, 必须放到最后一条路由
防火墙配置具体方法
•3 地址转换和访问控制
•1)定义主机地址和端口区域
•2)添加策略和控制规则 资源管理—主机
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
防火墙配置具体方法 目的转换
源为any所有 目的为公网地址 所有访问公网地址的4000端口,把目的公网地址转 换为服务器地址,目的端口4000转换为远程桌面的 3389端口,从而达到访问及隐藏源端口的目的
防火墙配置具体方法 双向转换
源为any所有地址 目的为183.166.34.235 任何地址访问235这个地址时,将访问的源地址 转换为内网口地址,访问的目的235转换为安保 地址,从而实现从互联网访问内网服务器的目的
天融信防火墙基础配置
1 2 3 3
防火墙配置步骤 注意事项 防火墙配置具体方法 注意事项
天融信防火墙基础配置
开放服务
天融信防火墙基础配置
基本信息
天融信防火墙基础配置
连接信息
天融信防火墙基础配置
健康记录
管理员可以下载设备的健康记录,以便当设备出现 异常时,可以帮助天融信的技术支持人员快速地定 位并解决故障。
访问控制的匹配规则按照从上往下匹配
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
防火墙配置具体方法
源转换 目的转换 双向转换
不做转换
防火墙配置具体方法 源转换
源为内网区域 目的为公网区域 内网访问公网时把内网地址转换为电信接入地址 ,从而实现访问互联网的目的
1-2-08《信息安全产品配置与应用》课程-防火墙篇-天融信.
登陆标题替换功能(FTP)
登陆标题替换功能是对服务器操作系统和版本信息进行隐藏,替换
为自定义的内容,增加攻击者的难度; 支持HTTP/FTP/SMTP/POP3/IMAP/TELNET协议;
登陆标题替换功能(FTP)
配置方式 端口绑定
关键字配置
策略配置 规则引用
登陆标题替换功能(FTP)
掌握防火墙的配置准备工作及注意事项 掌握天融信防火墙的主要配置方法 掌握一般防火墙的故障处理过程
防火墙的高级应用
DPI 用户认证 Trunk环境及VLAN间的路由 策略路由和动态路由 全面支持DHCP ADSL拨号 链路备份 IDS联动 HA配置 服务器负载均衡 带宽管理
本讲任务与学习目标
任务目标
任务1:了解 防火墙配置流程及管理方式 任务2:了解配置防火墙前需要弄清的几个问题 任务3:学习天融信防火墙基本功能应用 任务4:学习天融信防火墙特殊功能应用 任务5:学习天融信防火墙高级应用 任务6:学习天融信防火墙辅助功能
学习目标
综合案例介绍
DPI策略配置
协议端口绑定 URL对象配置 关键字对象配置
HTTP策略配置
综合案例介绍
应用程序识别配置
时间置
访问控制规则配置
防火墙高级应用-用户认证
网络卫士防火墙系统可以实现有效、快速、全面的用户及设备身份的管理, 解决以往简单认证方式带来的弊端,保证用户访问和设备之间访问的安全性; 用户通过网络卫士防火墙认证系统,可以通过简洁方便的模式实现对多种协议 、多种类型、多种方式的用户实现认证,用户通过简单统一的认证模式便可以 实现全方位的认证。 网络卫士防火墙支持以下认证方式或协议: 本地认证(网络卫士防火墙内置的用户数据库) RADIUS 认证(使用RADIUS 第三方认证服务器) TACACS 认证(使用TACACS 第三方认证服务器) 证书认证(使用标准CA 证书认证) SecurID 认证(使用SecurID 方式认证) LDAP 认证(使用LDAP 认证) 域认证(使用WINDOWS 域认证)
天融信防火墙配置手册
NAT 在互联网的应用
•
隐藏了内部网络结构
•
内部网络可以使用私有IP地址
NAT原理-源地址转换
192.168.8.50 报头 数据
Internet:192.168.8.250
NAT转换
Intranet:192.168.1.250
源地址:192.168.8.250 目的地址:192.168.8.50
6.250 1.250
Internet 外网
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
天融信防火墙配置手册
防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES-M)为实例,来测试防火墙各 区域的访问控制机制:
目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企
业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网) 区域之间访问控制机制。
企业防火墙设置注意要点:
• 防火墙是企业安全的关键中枢,企业安全管理实施需要通过运用防 火墙访问策略来实现。
• 访问策略不只是从技术上考虑,最重要的是安全管理的需要来进行 设置。
防火墙培训_2_部署配置规范要求(天融信)
可视化监控
体现各种运行状态及报警 直观、操作方便的可视化监控总览图
可视化监控
高易用性 定制图形报表 集中策略下发
定制图形报表
提供关键数据的统计
级联管理
多级设备管理 多级服务器级联
级联管理 与第三方 协同工作
设备配置文件 的版本管理
设备配置文件的 版本管理
管理各个设备的配置文件 的版本
与第三方协同工作
防火墙配置规范要求
其他安全功能规范及配置
维护部门应定期对防火墙策略进行一次全面审核,频次不低于每 半年一次。
对于临时性防火墙策略,应定期(至少每周一次)将其失效或删 除,并归档留存。
各单位应将防火墙策略作为日常安全检查重点内容,确保策略的 合理性、准确性。
目录
1 2 3
防火墙部署规范要求 防火墙配置规范要求
标识系统的物理边界和逻辑边界
简化边界 利于防护 强化控制 有益管理
整合的内容
系统级
整合的方法
防火墙部署规范要求
防火墙部署原则——等级保护原则
不同保护级别的系统应采取不同的防火墙部署模式进行边界防护。 根据系统划分的等级,高等级的系统应采用防护能力较强的安全设备进行防护。对于等级较低的系统 在视其边界复杂程度,网络路由设备性能等条件下使用访问控制列表或防火墙进行安全防护。 边界整合(网络域) -网络调整、割接(路由、交换调整); -VLAN划分、ACL控制; -防火墙部署(考虑冗余、DMZ、VPN); -增加隔离设备 业务应用整合(计算域) – 服务器整合; – 应用\接口\规范整合 终端整合(用户域) 不同业务的管理员用户、内部用户整合; 第三方用户(厂商、VPN拨号用户等)整合
计算域
信息系统中的数据类型
天融信防火墙配置讲解
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
防火墙配置具体方法
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
源为内网区域 目的为公网区域 内网访问公网时把内网地址转换为电信接入地址 ,从而实现访问互联网的目的
防火墙配置具体方法 目的转换
谢谢观看!
天融信防火墙基础配置
安徽办事处 肖乃刃
天融信防火墙基础配置
防火墙的作用 防火连墙通作:为路内由部和网交与换外功部能网之间的一种访问 控制控设制备:,基安于装区在域内、部IP网、和端外口部等网交界点上 ,即网关处。
天融信防火墙基础配置
1
防火墙配置步骤
2
防火墙配置具体方法
3
防火墙配置注意事项
····················
防火墙配置具体方法
•2 配置接口所属段的路由
防火墙的缺省网关在静态路由时, 必须放到最后一条路由
防火墙配置具体方法
•3 地址转换和访问控制 •1)定义主机地址和端口区域 •2)添加策略和控制规则
资源管理—主机
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
天融信防火墙基础配置
1
防火墙配置步骤
32
防注火意墙事配项置具体方法
3
注意事项
天融信防火墙基础配置
开放服务
天融信防火墙基础配置
基本信息
天融信防火墙基础配置
连接信息
天融信防火墙基础配置
健康记录
管理员可以下载设备的健康记录,以便当设备出现 异常时,可以帮助天融信的技术支持人员快速地定 位并解决故障。
1-2-04《信息安全产品配置与应用》课程-防火墙篇-天融信(精)
防火墙配置-定义地址转换
转换地址要选择”源地址转换为“ETH0”,也就是防火墙外网接口IP地址; 也可以选择定义好的“NAT地址池”(在“对象”-“地址范围中定义”)
防火墙配置-定义地址转换
配置MAP(映射)策略,源选择外网区域“area_eth0”
防火墙配置-定义地址转换
目的选择映射后的公网IP地址(也就是WEB服务器-MAP),目的地址转换为必 须选择服务器映射前的IP(也就是WEB服务器的真实IP地址),选择“WEB服务 器”主机对象即可。
本案例总结
初始化设备配置,添加了接口的WebUI管理权限
通过WebUI管理方式,定义了对象(资源) 配置地址转换(通信策略)规则,规则中引用了所定
义对象(资源) 配置访问控制,规则中引用了所定义对象(资源) 保存配置 配置导出备份
1. 6
防火墙配置-定义区域的服务
在“系统管理”-“配置 ” -“开放服务”里给区域定义服务
防火墙配置-设置防火墙缺省网关
在“网络管理”-“路由”添加缺省网关
防火墙配置-设置防火墙缺省网关
设置缺省网关时, 源和目的一般为全“0”
防火墙的缺省网关在静态 路由时,必须放到最后一条 路由
防火墙配置-定义对象-主机对象
1. 19
防火墙配置-定义访问规则
第二条规则定义外网可以访问WEB服务器的映射地址,并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择”WEB服务器—MAP“地址。转换 前目的选择”WEB服务器“(服务器真实的IP地址)
点选“高级”
选择源AREA-area_eth0
选择目的-“WEB服务器-MAP”
1. 3
防火墙配置-添加区 域及管理权限
1-2-06《信息安全产品配置与应用》课程-防火墙篇-天融信.
防火墙配置-登陆防火墙定义 VLAN
定义一个VLAN。点击“网络管理”-“二层网络”-“添加/删除VLAN范围”
设置vlan ID
防火墙配置-定义VLAN的IP地址,更 改接口模式
设置VLAN地址
设置接口工作模式及地址
防火墙配置-设置防火墙缺省网关
注意:如果防火墙的 默认网关在VLAN(透明 域) 中,则不需要指定防火 墙接口。 防火墙自动匹配到 VLAN 。
防火墙配置-定义访问策略和 地址转换策略
定义访问控制策略
定义地址转换策略
ห้องสมุดไป่ตู้
WEB服务器
202.99.27.250 192.168.16.254
防火墙接口分配如下:
ETH0接INTERNET ETH1接内网 ETH2接服务器区
192.168.16.0/24
1. 2
防火墙配置-定义区域及管理权限
系统默认只能从ETH0接口(区域)对防火墙进行管理,输入如下命令: 添加ETH1接口为“AREA_ETH1”区域; ETH2接口为“AREA_ETH2”区域 define area add name area_eth1 attribute 'eth1 ' access on define area add name area_eth2 attribute 'eth2 ' access on 对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以 对“AREA_ETH2”区域添加) pf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any 定义你希望从哪个接口(区域)管理防火墙
天融信防火墙配置讲解
3
注意事项
精品课件
天融信防火墙基础配置
开放服务
精品课件
天融信防火墙基础配置
基本信息
精品课件
天融信防火墙基础配置
连接信息
精品课件
天融信防火墙基础配置
健康记录
管理员可以下载设备的健康记录,以便当设备出现 异常时,可以帮助天融信的技术支持人员快速地定 位并解决故障。
精品课件
谢谢观看!
精品课件
天融信防火墙基础配置
安徽办事处 肖乃刃
精品课件
天融信防火墙基础配置
防火墙的作用
防火连墙通作:为路内由部和网交与换外功部能网之间的一种访问 控制设备,安装在内部网和外部网交界点上
控制:基于区域、IP、端口等 ,即网关处。
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
2
防火墙配置具体方法
3
防火墙配置注意事项
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
精品课件
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
精品课件
防火墙配置具体方法
精品课件
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
·········· ··········
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
12
防防火火墙墙配配置置具步体骤方法
3
注意事项
精品课件
•防火墙配置步骤
•1 定义接口地址 •2 配置接口所属网段的路 由 •3 配置地址转换和访问控制策略
《信息安全产品配置与应用》课程实施计划
《信息安全产品配置与应用》课程实施计划
一、课程性质与地位
本课程是我院信息安全专业的一门专业核心课程,旨在培养信息化建设中急需的网络安全维护、安全产品配置与技术支持、风险评估等相关技能。
二、课程内容与目标
通过本课程的学习使学生掌握信息安全产品配置、调试、维护技术的能力,培养真实项目信息安全产品的选型与安全策略的确定能力,以及培养学生顺利就业和创业能力。
本课程内容分为8个理论和实践一体化的教学模块,以项目驱动式来完成相关学习任务。
三、《信息安全产品配置与应用》课程实施计划
注1:考核方式:过程评价+期未理论考核+技能考核。
其过程评价包括平时作业成绩、教师评价、单元测验和期中考试等。
过程评价权重为20%,期未理论考核权重为50%,技能考核权重为30%
注2:理论课时共计50课时,实训操作共计40课时,总课时90课时。
天融信防火墙配置讲解
源为内网区域 目的为公网区域 内网访问公网时把内网地址转换为电信接入地址 ,从而实现访问互联网的目的
精品课件
防火墙配置体方法 目的转换
源为any所有 目的为公网地址 所有访问公网地址的4000端口,把目的公网地址转 换为服务器地址,目的端口4000转换为远程桌面的 3389端口,从而达到访问及隐藏源端口的目的
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
精品课件
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
精品课件
防火墙配置具体方法
精品课件
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
精品课件
防火墙配置具体方法
双向转换
源为any所有地址 目的为 183.166.34.235 任何地址访问235这个地址时,将访问的源地址转 换为内网口地址,访问的目的235转换为安保地址 ,从而实现从互联网访问内网服务器的目的
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
32
防注火意墙事配项置具体方法
天融信防火墙基础配置
安徽办事处 肖乃刃
精品课件
天融信防火墙基础配置
防火墙的作用
防火连墙通作:为路内由部和网交与换外功部能网之间的一种访问 控制设备,安装在内部网和外部网交界点上
控制:基于区域、IP、端口等 ,即网关处。
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
2
防火墙配置具体方法
3
防火墙配置注意事项
·········· ··········
精品课件
防火墙配置体方法 目的转换
源为any所有 目的为公网地址 所有访问公网地址的4000端口,把目的公网地址转 换为服务器地址,目的端口4000转换为远程桌面的 3389端口,从而达到访问及隐藏源端口的目的
精品课件
防火墙配置具体方法
•3 地址转换和访问控制 •2)添加策略和控制规则
访问控制的匹配规则按照从上往下匹配
精品课件
防火墙配置具体方法 桌面终端认证配置
HBKY_WebUser允许访问外网,前提是通过客户端认证
精品课件
防火墙配置具体方法
精品课件
源转换 目的转换 双向转换 不做转换
防火墙配置具体方法 源转换
精品课件
防火墙配置具体方法
双向转换
源为any所有地址 目的为 183.166.34.235 任何地址访问235这个地址时,将访问的源地址转 换为内网口地址,访问的目的235转换为安保地址 ,从而实现从互联网访问内网服务器的目的
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
32
防注火意墙事配项置具体方法
天融信防火墙基础配置
安徽办事处 肖乃刃
精品课件
天融信防火墙基础配置
防火墙的作用
防火连墙通作:为路内由部和网交与换外功部能网之间的一种访问 控制设备,安装在内部网和外部网交界点上
控制:基于区域、IP、端口等 ,即网关处。
精品课件
天融信防火墙基础配置
1
防火墙配置步骤
2
防火墙配置具体方法
3
防火墙配置注意事项
·········· ··········
天融信防火墙通用配置
天融信防火墙通用配置一.通过浏览器登陆配置防火墙,用一根直通线将防火墙的eth0口与某台主机的网口相连。
出厂默认eth0口IP为:, 出厂用户名为:superman,密码为:talent 或。
现IP改为,用户名为:superman,密码为:topsec0471。
在浏览器上输入防火墙的管理 URL,例如:,弹出如下的登录页面。
输入用户名为:superman,密码为:topsec0471,登陆进入。
二.接口IP地址的配置:1.点击:网络管理 ---接口Eth0口接在WEB效劳器端网络,eth1口接在MISS网络,根据实际情况配置IP,eth0口与web效劳器在同一网段,eth1口与miss网在同一网段。
现例:WEB效劳器端在/24网段,MISS网在/24网段。
eth0口IP为(WEB效劳器实际IP为),eth1IP口为。
接口模式选择:路由。
其余选项采用默认配置。
三.路由配置点击:网络管理 ----路由,现有四条路由是设备自身生成的路由,现例不牵扯到复杂网络带有路由器等相关网络设备,所以不需添加静态路由,只需将WEB效劳器主机的网关设成:既eth0口的IP,MISS网端的主机网关设成:即eth1口的IP。
假设遇复杂网络,那么需添加路由关系,确保两端网络能相互PING通即可。
四.地址转换:配置转换对象:点击:资源管理----地址;点击:添加:该例需添加两个对象:wcj-web为实际WEB的IP地址,MAC地址为空。
Xnweb为转换后的IP地址为:,该地址与MISS网的主机在同一网段,只要不被使用即可。
以后miss网的主机只需浏览:,不需浏览地址。
以到达伪装IP的目的。
区域设置:点击:资源管理---区域;将eth0口名称改为scada,权限选:允许;eth1口名称改为:miss,权限:允许。
3.地址转换:点击:防火墙----地址转换;点击添加:在此我们只需设置目的转换,选中:[目的转换]选项。
在:[源]选项栏中,将a ny从选择源:移到:已选源中。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙辅助功能-查看CDP 邻居信息
网络卫士防火墙可以接受CDP(Cisco Discovery Protocol)消息,并识别出 相应的思科设备。使用CDP 功能的具体方法是选择 网络 > CDP,网络卫士 防火墙即可自动发现并识别出相邻的思科设备。
防火墙辅助功能-ARP及MAC地址
网络卫士防火墙内部维护了一张ARP 表,维护了网络卫士防火墙所学习到的主 机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时,会首 先查看ARP表,如目的IP 已经在ARP 表中,网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。
防火墙辅助功能-系统升级
设备支持基于TFTP 协议的升级方式和专用升级工具
注意:请在升级前进行系统备份!!! 请确认开放服务里是否有升级权限!
防火墙辅助功能-添加管理用户及 修改管理员口令
设备支持多级用户管理,不同类型的用户具有不同的操作权限。用户权限基本 可分为三种:超级管理员、管理用户与审计用户。超级管理员是系统的内建帐 号,具有全部的功能权限;管理用户可以设定和查看规则,但没有综合配置 (例如分配管理员、配置维护等)的权限。审计用户权限最小,只可以查看已 有规则,没有添加和修改规则的权限。
《云安全产品配置与应用》之防火墙篇(2/3) ——防火墙操作实践
本讲任务与学习目标
任务目标
任务1:了解 防火墙配置流程及管理方式 任务2:了解配置防火墙前需要弄清的几个问题 任务3:学习天融信防火墙基本功能应用 任务4:学习天融信防火墙特殊功能应用 任务5:学习天融信防火墙高级应用 任务6:学习天融信防火墙辅助功能
防火墙辅助工具-TCPDUMP抓包工具
通过CONSOLE或TELNET、SSH方式进入到>SYSTEM菜单下,输入 TCPDUMP命令进行抓包
防火墙辅助功能-日志设置
防火墙本身不存储日志信息,如果要保留相关日志,请安装随机光盘 的日志服务器软件。然后设置日志服务器地址,防火墙就会把日志信息 发送到日志服务器上
防火墙辅助功能-报警设置
设置触发报警的安全事件 管理管理员登陆或离线。 重要配置发生变化。 系统资源不足(如内存不足等等)。 系统硬件故障(如网卡、加密卡损坏等等)。 系统状态异常(除资源不足和硬件损坏)。 系统进行升级以及其他对外关键通信事件出现故障。 系统监测到攻击发生、违反了某条访问策略,并且此条访问策略还 规定了违反时必须报警等。 分为:邮件报警、声音报警、SNMP、NETBIOS、控制台报警
学习目标
掌握防火墙的配置准备工作及注意事项 掌握天融信防火墙的主要配置方法 掌握一般防火墙的故障处理过程
防火墙 系统时间
防火墙辅助功能-查看防火墙运行状 态
防火墙辅助功能-查看防火墙运行状 态
防火墙辅助功能-查看系统参数
防火墙辅助功能-ARP及MAC地址
设置ARP 代理 网络卫士防火墙提供ARP 代理功能。也就是说,当一个ARP 请求是发往一个不同子 网的主机地址的时候,如果该目的主机位于被代理的区域,网络卫士防火墙作为中间 设备,可以代为回答该ARP 请求。这样ARP 请求端会把网络卫士防火墙的物理接口 的MAC地址当成目的主机的MAC 地址,使它认为网络卫士防火墙就是目的主机,从 而达到保护目的主机的作用
如果选择代理类型为静态,则设置的ARP 代理将被保存;如果设置为动态,设 备重启后,需要重新配置ARP 代理
防火墙辅助功能-ARP及MAC地址
MAC地址表
网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表,保存了网络卫士防 火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士 防火墙转发数据帧时,会查看虚接口MAC 地址表,如果该目的MAC 在网络卫士防 火墙的MAC 地址表中,网络卫士防火墙将直接通过该MAC 地址所对应的接口发送 数据帧。
也可以自行添加 MAC地址
防火墙辅助功能-多播路由
网络卫士防火墙允许IP 多点广播数据报文穿越网络卫士防火墙。对于多播协议, 网络卫士防火墙支持IGMP V1 及IGMP V2。当防火墙工作在路由模式下,如果需 要转发多播数据包,管理员必须定义多播路由,
源地址”是多播服务器所在的地址或地址段。 “多播地址”是多播组的IP 地址,“源接 口”是多播流量的来源接口。如果选择“加 入”项,网络卫士防火墙可以在目的接口有 下游多播路由器的情况下,由防火墙设备定 时地向上游多播路由器发送加入报告 (joining report),以保证多播报文顺利 地转发给下游多播路由设备,维护多播树结 构。
防火墙辅助功能-开放服务
防火墙辅助功能-健康记录
管理员可以定期生成、下载设备的健康记录,以便当设备出现异常时,可以 帮助天融信的技术支持人员快速地定位并解决故障。
防火墙辅助功能-恢复出厂设置
系统除了提供上节所述的设备配置维护功能外,还提供了恢复出厂默认 配置的功能,以方便用户重新配置设备。恢复出厂配置后,设备的网络 接口地址可能会改变,配置信息会被清除,进而导致失去连接,请用户 提前做好准备。
防火墙辅助工具-TCPDUMP抓包工具
TCPDUMP [-c count] [-i interface] [expression] [| SENDLOG] [-c count]参数为设置抓包的个数,满足该条件后自动停止;如果省略, 则一直捕获,直到手动中断。 [-i interface]参数设置捕获通过防火墙某一接口的数据包,可以设置为 捕获防火墙某一接口的数据包,如-i eth1;也可以省略,则捕获通过防 火墙所有接口的数据包。 [| sendlog]参数设置将捕获的数据包以日志形式存储在防火墙中,而不显 示在命令行界面上。可以在防火墙GUI界面上通过查看‘管理日志’来显示 捕获的数据包。如省略该项参数的话,则捕获的数据包默认显示在命令行 界面上。 [expression]参数有很多表达式可选,这里只以实例介绍几个常用的参数, 详细信息请参见tcpdump技术资料。