天融信防火墙配置手册 PPT

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
192.168.6.50/60
网关:192.168.6.250
防火墙
路由模式 访问控制 测试结构
Intranet 内网
192.168.1.50/60/70/80/90
网关:192.168.1.250
上半部份
一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。
Internet 资 源 的 访 问

SSN区域





况 Intranet区域
大门 Internet区域
Internet
实验网络结构图
Web e-mail FTP
DMZ 区
192.168.2.50/60/70/80/90 网关:192.168.2.250
2.250
6.250 1.250
Internet 外网
不能控制权限的,设置的策略也是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006,1027,
6267,8080端口(任选其一设置)。 ‘策略服务’在都不选择的情况下,为任何服务,包括所有协议所有
端口。 ‘策略服务’在都选择的情况下,表示只对所选择的服务进行访问控
制。 访问策略优先级高于区域默认权限策略的优先级(STEP3已设置)。 每个访问策略都是单向访问,只有策略源对象访问到策略目的对象。
天融信防火墙配置手册
防火墙形态
类似于一台路由器设备,是一台特殊的计算机。
配置目标
以天融信防火墙(TOPSEC FireWall ARES-M)为实例,来测试防火墙各 区域的访问控制机制:
目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企
业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网) 区域之间访问控制机制。
特别注意:访问策略应在被访问对象所在的目标区域设 置策略。如:访问SSN区域内主机,则应在SSN区域内设 置策略。
访问控制测试
2) 在本区域内增加‘包过滤策略’,建立禁止对方主机(策略源)访 问本机(策略目的)的访问策略,测试对方区域的主机到本机的连通性。
说明: 必须针对不同区域设置访问权限,同一区域内的主机防火墙是
Connection to inside network
Intranet 内部网络
Internet
Web e-mail FTP
防火墙
为网络用户提供安全 的 Internet 接 入
DMZ WEB服务层 Connection to
• Web 站 点 访 问 过 滤
Web Site Filter
– 限制对非本企业 业务目的的
防火墙访问控制wenku.baidu.com滤机制-包过滤示意图
缺省访问权限(允许/禁止)
数据包
数据包
源地址 过滤
目的 地址 过滤
➢ 一条访问策略规则:
源对象
策略服务 http,等
协议 过滤
协议 端口 过滤
应用层 过滤
目的对象
时间策略
访问控制 允许/拒绝
访问控制测试
➢ STEP5 :区域之间主机权限策略设置,测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目
STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”, ‘新建项
目’,输入防火墙本区域端口IP地址,登陆到防火墙。查看防 火墙 “基本信息” 和“实时监控”, 了解其他各菜单 功能。
说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10, 口令为:123456
的的访问。 然后在‘高级管理’→‘访问策略’→需要访问的目标主
机所在区域内‘增加’→‘包过滤策略’,策略源为访问端 (只选择本机节点),策略目的为被访问端(只选择其他区 域某节点),策略服务为PING,访问控制设为允许。注意 策略源和目的只选择节点,针对主机进行权限设置。 通过 PING 对方主机测试连通性。
主机节点对象的建立
接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下, 做以下步骤: ➢STEP4: 主机节点对象建立
高级管理→网络对象→本主机所在区域→定义新对象→定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。
➢ 本机PING其他区域内主机,测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。
➢ 本机PING其他区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。
缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控 制同一区域主机之间的权限,本区域内主机是能够连通的。
目标二: 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT
访问因特网,过滤特定网站和特定网页。
目标三: 了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。 了解防火墙三种接入模式。
防火墙在企业网的接入
Connection to outside network 防火墙 FireWall
防火墙配置一般有三种方式: B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。
区域之间缺省权限的设置
➢ STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访问。 操作说明:选择“可读、可写、可执行”选项,表示为允许访问。
两个不同区域主机如需要相互访问,则需要建立两个策略。
访问控制测试
STEP6: 通过策略范围来控制主机访问权限
(1)设置两个策略,一个策略为设置本机访问其他区域某一主机的访问 策略,访问策略为允许,另一个策略同样是访问该主机,但访问控制设 为禁止,更改两个策略的优先级,通过PING 对方主机测试连通性。
相关文档
最新文档