天融信防火墙设置..

202.102.93.54
Internet
Host C 172.16.1.21
Host D 172.16.1.25
Eth1： 111.111.111.230 受保护网络
IP报头 数据
IP报头
数据
Eth0： 172.16.1.254
防火墙
隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能
2、区域和缺省访问权限配置 在“资产管理”－”区域“中定义防火墙区域及默认权限为”禁止访问“
防火墙管理权限设置
系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域； ETH1接口为“外网”区域 定义你希望从哪个接口（区域）管理防火墙 “内网”区域添加对防火墙的管理权限（当然也可以对 “外网”区域添加），点击“系统管理”—“配置”— “开放服务”，点击添加
防火墙的WEBUI管理方式
防火墙的管理方式－打开防火墙 管理端口
注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙 的服务端口，系统默认打开“HTTP”方式。
在“系统管理”－“配置” －“开放服务”中选择“ຫໍສະໝຸດ Baidu动”即可
防火墙的TELNET管理方式
通过TELNET方式管理防火墙：
提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置 不当造成网络中断。
应用需求：
INTERNET
111.111.111.254
•内网可以访问互联网 •服务器对外网做映射 映射地址为111.111.111.230 •外网禁止访问内网
WEB服务器
10.1.1.1
111.111.111.230
4、地址转换策略配置
内网可以访问互联网，需要配置源转换 源选择源区域“内网区域”，目的选择目的区域“外网区域”， 源转换为Eth1接口（即转换为Eth1接口IP地址）或者转换 111.111.111.230
注意：如果需要源地址转换为一段地址，则首先需要创建一段地址范 围，且该地址范围不能设置排除IP地址
11
天融信防火墙 安装配置
硬件一台 NGFW TG -1507
（产品参考外形）
• 外形：19寸1U标准机箱
串口 线 管理机
直通 线
直通 线
交叉 线
Swich、Hub 接COM口
Route
PC
产品提供的附件及线缆使用方式
• CONSOLE线缆（RJ45线缆加DB9口转CONSOLE接口头） • UTP5双绞线
防火墙的接口和区域
接口和区域是两个重要的概念
接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分 上，网络卫士防火墙的区域和接口并不是一一对应的，也就是说一个区域可 以包括多个接口。在安装网络卫士防火墙前，首先要对整个受控网络进行分 析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。
防火墙建议配置步骤：
1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式） 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略（包括源地址转换、目的地址转换、双向转换、不做转 换） 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份
说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。
透明模式的典型应用
Internet
202.99.88.1
ETH0：202.99.88.2
ETH1：202.99.88.3 ETH2：202.99.88.4 202.99.88.10/24 网段
天融信防火墙使用培训
防火墙定义
两个安全域之间通信 流的唯一通道
Internet
内部网
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
根据访问控制规则决定 进出网络的行为
一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同 网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、 监视、记录）进出网络的访问行为。
直通(1条，颜色:白色) 交叉(1条，颜色:红色)
使用:
– 直通:与HUB/SWITCH – 交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接）
• 软件光盘 • 上架附件
防火墙配置-管理方式
串口(console)管理方式： 用户名superman ，初始口令talent,用passwd命令可修改管理员密码 WEBUI管理方式（https协议）： 超级管理员:superman，口令:talent 可在“系统管理”—“管理员”中修改密码，要求密码大于8位。 TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent
出于安全性的考虑，强烈建议修改初始密码！ 但请牢记修改后的密码！！！忘记密码必须返厂收费维修！
防火墙的CONSOLE管理方式
超级终端参数设置：
防火墙的CONSOLE管理方式
输入helpmode chinese命令 可以看到中文化菜单
防火墙的WEBUI管理方式
在浏览器输入：HTTPS://192.168.1.254，看到下列提示，选择“是”
两接口在不同网段， 防火墙处于路由模式
两接口在同一网段， 防火墙处于透明模式
此时整个防火墙工作于透明+路由模式 ，我们称之为综合模式或者混合模式
192.168.7.0/24 网段
防火墙的工作状态
网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 具体请见下表：
防火墙的WEBUI管理方式
输入用户名和密码后，按“提交”按钮. 用户名:superman 密码:talent
防火墙的WEBUI管理方式
在浏览器输入：HTTPS://192.168.1.254，看到下列提示，选择“是”
防火墙的WEBUI管理方式
输入用户名和密码后，按“提交”按钮. 用户名:superman 密码:talent
10.1.1.254 172.16.1.254
防火墙接口分配如下：
172.16.1.0/24
ETH0接内网 ETH1接Internet（外网） ETH2接服务器区
1、接口配置 进入防火墙管理界面，点击”网络管理“－“接口” － ”物理接口“可以看到物理接口定义结果：
点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址 注意：防火墙每个接口的默认状态均为“路由”模式
外网、SSN、内网在同一个广播域，防火 墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
路由模式的典型应用
Internet
202.99.88.1
ETH0：202.99.88.2
ETH1：10.1.1.2 ETH2：192.168.7.2
10.1.1.0/24 网段
安装了防火墙后，可以为网络起到如下安全 保障作用：
1、在互联网接口处提供安全保护措施，防止外部入侵。 2、对服务器进行保护，不仅防止来自互联网的攻击，也可以防止 内部员工利用内网对服务器进行攻击。 3、构建VPN，解决总部和分支机构间的互联互通和移动办公需求， 合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访 问公司的内部网络资源。 4、通过安全检查，过滤包含非法内容的网页，邮件，FTP 5、带宽管理，确保即使在网络出现拥堵时，企业老总、中层领导、 重要部门也能够快速、便捷、顺畅、优先上网
在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的 源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在 同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配 置IP 地址。

综合模式(透明+路由功能)
顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模 式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。
外网、SSN区、内网都不在同一网段，防 火墙做路由方式。这时，防火墙相当于一 个路由器。
内部网 192.168.7.0/24 网段
综合接入模式的典型应用
两接口在不同网段， 防火墙处于路由模式
202.11.22.1/24 网段
ETH0：202.11.22.2
ETH1：192.168.7.102 ETH2：192.168.7.2 192.168.7.0/24 网段
MAP (目的地址转换也叫映射)
10.1.1.1 WWW 10.1.1.3 FTP 10.1.1.4 MAIL 10.1.1.5 DNS
公开服务器可以使用私有地址 隐藏内部网络的结构
10.1.1.254
MAP 10.1.1.1：80 TO 111.111.111.230：80 MAP 10.1.1.3：21 TO 111.111.111.230：21 MAP 10.1.1.5：25 TO 111.111.111.230：25 MAP 10.1.1.4：53 TO 111.111.111.230：53 http://111.111.111.230
3、定义对象 添加地址组 点击：”资源管理“－“地址”－“地址组”，点击右上角“添加配置”
3、定义对象 添加自定义服务：
防火墙内置一些标准服务端口，用户在端口引用时，但有时用户的系统 没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。 点击：”资源管理“－“服务”－“自定义服务”，点击“添加”，可以添加单 个端口或范围 ，单个端口只填起始端口
防火墙提供的通讯模式
透明模式(提供桥接功能)
在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同 一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。 同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。

路由模式(路由功能)
3、定义对象 添加时间 点击：”资源管理“－“时间”，点击“添加”，可以设置单次和多次
注意：防火墙所有需要引用对象的配置，请先定义对象， 才能引用。
4、NAT地址转换策略
源地址转换
源：111.111.111.230:1120 目地：202.102.93.54:80 源：172.16.1.21:1080 目地：202.102.93.54:80 111.111.111.254 Host A
3、路由表配置 添加静态路由 在“网络管理” － “路由”－“静态路由”添加 静态路由
设置默认路由时，源和目的全为“0”
3、定义对象 添加单个主机对象 点击：”资源管理“－“地址”－“主机”，点击右上角“添加配置”
3、定义对象 添加地址范围 点击：”资源管理“－“地址”－“范围”，点击右上角“添加配置”
10
安装了防火墙后，可以为企业起到如下安全 保障作用：
6、对员工上网进行管理，防止他们在上班时间利用网络做与工作 无关的事，而且控制策略多种多样。例如： ----只能访问与工作有关的网站 ----不能进入QQ聊天室 ----不能玩网络游戏 ----不能用BT、电驴等P2P工具下载电影…… 7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限 制上网，对员工李四允许上网，假如张三企图用李四的电脑上网， 也一样不能得逞。 8、控制策略还可以基于时间。例如可以限制张三只能在下午七点 到十点之间上网，在这个时间段以外就不能。 9、可以限制每台主机，每个网段的并发连接数。
在安装配置防火墙之前必须弄清楚的几个问题：
1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端 口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制)