联想网御防火墙使用手册.ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------服务对象组
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
• 打开IE浏览器输入https://10.1.5.254:8888 • 按照提示选择证书,登录完成。 • 输入用户名和密码。
配置前的信息收集工作
配置前的信息收集工作
• 查看网络环境(防火墙及周边路由器、交 换机和服务器的IP、路由状况等)
• 搞清楚应用需求(协议、服务和端口) • 制定合适的安全策略
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------基本服务对象
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
什么是防火墙?
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
Default gateway : 6.0.0.1
用户 IP:1.2.x.x/16 Gw:1.2.2.1
IP:2.2.x.x Gw:2.2.2.3
用户
30
接口 IP地址
网络接口配置
•在一个接口上可以配置多个地址 •应用于HA和VRRP的地址较特别
在HA一节中详细讲解
静态路由的配置
配置 静态 路由
网御防火墙配置顺序
配置步骤
• 配置接口 • 配置路由或默认路由 • 定义资源-基于对象的概念,遵循先定义后
引用的原则。 • 配置策略-从上到下依次执行,第一优先匹
配的原则。
案例 防火墙路由模式接入网络
案例二:路由模式
路由模式—概述
• 路由模式的防火墙多部署于网络边界 • 连接多个不同网络
NAT基本配置
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 百度文库 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
典型应用方案二 详细配置
• 设备一: • object service ftp protocol tcp sport port-
range 1 65535 dport port-range 21 21 • interface Ge0/1/0 • ip address 6.0.0.1 24 • interface Ge0/1/1 • ip address 211.10.0.1 24 • pcp net_1 source-ip net 1.2.0.0 255.255.0.0 • pcp net_2 source-ip net 2.2.0.0 255.255.0.0 • pcp dnat-jl-ftp destination-ip net 211.10.0.1
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
访问控制,过滤未经许可的通信流量
未经许可的流量
合法的流量
风险管理:---就是为了把网络的安全风险降到可接受的程度
•标记为不可达路由和黑洞路由的流量都 会被丢弃,对不可达的流量将返回ICMP •对于多出口不路可由达后差,错将消根息据所配置的权
值决定流量的分担
主要功能 ------PCP
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
9
数据包
协议
数据包连接状态
• 通过netstat –na命令来查看本机的连接
工作模式-透明模式
internet
防火墙透明接入,相当于交换 机,防火墙接口不需要配置ip 地址,同时不用更改周边设备 的路由等信息
工作模式-路由模式
internet
防火墙做内部网络的网关
部署位置-网络边界防护
internet
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
NAT配置步骤:
定义被 添加报 配置 引用的 文待匹 pcp对
地址资 配的包 应的 源(可 分类 NAT策 选) (PCP) 略
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet
准备工作 登录防火墙
准备工作
• 配置管理主机的ip地址 • 连接连接主机和防火墙 • 登录防火墙
准备工作-本机配置
• 主要是配置主机的IP地址为 10.1.5.200/255.255.255.0
准备工作-连接防火墙
FE1IP地址:10.1.5.254 网卡IP地址:10.1.5.200
登录防火墙
部署位置-网络内部区域防护
网络内部区域防护,即多安全域防护。
internet
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
16
防火墙配置案例
• 准备工作-登录防火墙 • 配置前的信息收集 • 网御防火墙的配置顺序 • 防火墙路由模式接入案例 • 防火墙策略注意事项
B:外网用户通过DNAT访问
内网的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
电信
GE 0/1/1 IP add 211.10.0.1/24
GE 0/1/0 IP add 6.0.0.1/24 IP add 6.0.0.2/24
主要功能 ------服务对象组
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
• 打开IE浏览器输入https://10.1.5.254:8888 • 按照提示选择证书,登录完成。 • 输入用户名和密码。
配置前的信息收集工作
配置前的信息收集工作
• 查看网络环境(防火墙及周边路由器、交 换机和服务器的IP、路由状况等)
• 搞清楚应用需求(协议、服务和端口) • 制定合适的安全策略
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------基本服务对象
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
什么是防火墙?
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
Default gateway : 6.0.0.1
用户 IP:1.2.x.x/16 Gw:1.2.2.1
IP:2.2.x.x Gw:2.2.2.3
用户
30
接口 IP地址
网络接口配置
•在一个接口上可以配置多个地址 •应用于HA和VRRP的地址较特别
在HA一节中详细讲解
静态路由的配置
配置 静态 路由
网御防火墙配置顺序
配置步骤
• 配置接口 • 配置路由或默认路由 • 定义资源-基于对象的概念,遵循先定义后
引用的原则。 • 配置策略-从上到下依次执行,第一优先匹
配的原则。
案例 防火墙路由模式接入网络
案例二:路由模式
路由模式—概述
• 路由模式的防火墙多部署于网络边界 • 连接多个不同网络
NAT基本配置
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 百度文库 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
典型应用方案二 详细配置
• 设备一: • object service ftp protocol tcp sport port-
range 1 65535 dport port-range 21 21 • interface Ge0/1/0 • ip address 6.0.0.1 24 • interface Ge0/1/1 • ip address 211.10.0.1 24 • pcp net_1 source-ip net 1.2.0.0 255.255.0.0 • pcp net_2 source-ip net 2.2.0.0 255.255.0.0 • pcp dnat-jl-ftp destination-ip net 211.10.0.1
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
访问控制,过滤未经许可的通信流量
未经许可的流量
合法的流量
风险管理:---就是为了把网络的安全风险降到可接受的程度
•标记为不可达路由和黑洞路由的流量都 会被丢弃,对不可达的流量将返回ICMP •对于多出口不路可由达后差,错将消根息据所配置的权
值决定流量的分担
主要功能 ------PCP
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
9
数据包
协议
数据包连接状态
• 通过netstat –na命令来查看本机的连接
工作模式-透明模式
internet
防火墙透明接入,相当于交换 机,防火墙接口不需要配置ip 地址,同时不用更改周边设备 的路由等信息
工作模式-路由模式
internet
防火墙做内部网络的网关
部署位置-网络边界防护
internet
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
NAT配置步骤:
定义被 添加报 配置 引用的 文待匹 pcp对
地址资 配的包 应的 源(可 分类 NAT策 选) (PCP) 略
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet
准备工作 登录防火墙
准备工作
• 配置管理主机的ip地址 • 连接连接主机和防火墙 • 登录防火墙
准备工作-本机配置
• 主要是配置主机的IP地址为 10.1.5.200/255.255.255.0
准备工作-连接防火墙
FE1IP地址:10.1.5.254 网卡IP地址:10.1.5.200
登录防火墙
部署位置-网络内部区域防护
网络内部区域防护,即多安全域防护。
internet
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
16
防火墙配置案例
• 准备工作-登录防火墙 • 配置前的信息收集 • 网御防火墙的配置顺序 • 防火墙路由模式接入案例 • 防火墙策略注意事项
B:外网用户通过DNAT访问
内网的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
电信
GE 0/1/1 IP add 211.10.0.1/24
GE 0/1/0 IP add 6.0.0.1/24 IP add 6.0.0.2/24