WatchGuard 防火墙详细介绍
WatchGuard--快速安装向导
地址:深圳市福田区燕南路404栋605室我们刚从厂家拿回来一台设备时是没有经过配置的,虽然有默认ip ,但是没有默认的密码。
所以我们还是不能用管理软件来配置并管理这台设备。
在这种情况下,我们使用快速安装向导来进行初始的配置。
首先安装WSM 管理软件。
接着使用快速安装向导。
点击下一步,将会出现一下窗口。
按照你的情况选择,没有多大关系。
在接下来的窗口中,选择你的防火墙的型号。
地址:深圳市福田区燕南路404栋605室地址:深圳市福田区燕南路404栋605室目前最新的版本为10.2.6 。
所以推荐选择10.2 以上将你的电脑接到防火墙的Trusted 端口上。
地址:深圳市福田区燕南路404栋605室按住防火墙面板上的按钮,接着关掉电源,然后打开。
(如果你是第一次使用快速安装向导,则按住向上键,若你是想恢复一下出厂设置,则按住向下键,因为当你是第一次使用时,设备里没有feature key ,而你想恢复时,设备里有feature key )直到前面面板的指示灯出现安全模式字眼时,就可以松手,不用按住向上键了。
地址:深圳市福田区燕南路404栋605室选择pc 上的网络接口。
然后设备会自动查找。
地址:深圳市福田区燕南路404栋605室若找到设备了,就会显示设备的型号,版本号,序列号。
在这个窗口中,你可以为这个设备取个名字,方便记忆就可以,同时写上防火墙的位置,联系人。
一般我没有写。
地址:深圳市福田区燕南路404栋605室好了,现在就可以填写有点用的东西了,在这个窗口中,请你为外网口选择获取ip 地址的方式,有DHCP, PPPOE,或者使用静态的ip 地址。
按照你的具体情况而定吧!因为我是选择使用静态ip 地址的,所以它需要我填上ip 地址和默认网关。
(其实在这里都可以随便填写的,当你进入设备时还是可以改正的。
)地址:深圳市福田区燕南路404栋605室这个窗口是要你配置Trusted/optional 口的ip 地址。
watchguard防火墙网桥(switch)接口配置
一、网络拓扑图:
DMZ
二、网桥(switch)接口配置步骤:
首先点击网络下面的“配置”,打开接口配置
打开后选择“网桥”,然后点击“添加”:
添加后为新的桥接命名(如:trusted_1),安全区域一般选可信任,然后添加一个ip段(如:10.0.1.1/24 注:添加的IP段要与接口的网段不一样,或是禁止接口中这个网段的接口)
确定后在网络配置中选择“接口”,然后选择需要配置成网桥口的几个接口(如:接口1和接口2),分别点击配置
先是选择接口1,然后选择接口类型为“网桥”模式后选择勾上我们刚才创建的桥接信息(如:trusted_1)
再选择接口二进行配置,与接口一配置一样
点击确定后
点击确定后保存到防火墙后接口1跟接口2就配置成网桥模式。
WatchGuard--防垃圾邮件
地址:深圳市福田区燕南路404栋605室要使用这个功能必须购买防垃圾邮件模块,第一次注册设备时,可以免费使用一个月。
进入策略管理器,任务-防垃圾邮件-激活。
激活向导。
垃圾邮件只能在SMTP-proxy 和POP3-proxy 这两条策略中实现。
请选择实现的策略,选择SMTP 时需要指定邮件服务器的ip 地址,因为任何从外部发来的邮件都会被投递到防垃圾邮件模块里,先让它进行检查,若发现没有任何可疑,就由这个模块投递到邮件服务器。
地址:深圳市福田区燕南路404栋605室完成向导。
接着点击配置。
地址:深圳市福田区燕南路404栋605室选中SMTP-proxy 这条策略,然后点击配置。
动作标签中,系统将所有有问题的邮件分为三个类别,分别为Confirmed Spam///已确认的垃圾邮件。
Bulk///垃圾。
Suspect///可疑。
Confirmed Spam///已确认的垃圾邮件类别,包括来自已知垃圾邮件发送者的电子邮件。
Bulk///垃圾类别,包括并非来自已知垃圾邮件发送者,但确实符合一些已知的垃圾邮件结构模式的电子邮件。
Suspect///可疑类别,包括看起来似乎与新的垃圾邮件攻击相关的电子邮件。
每个类别的下拉菜单中,可以相应的选择动作。
包括:允许,添加主题标记,隔离,拒绝,丢弃。
若选择添加主题标记,应该写上相应的标记。
若选择隔离,则应该先创建隔离服务区,请参考其他文档。
下面说明了,当这个防垃圾邮件模块不可达的时候,是该怎么处理邮件,是允许还是拒绝。
切换到例外标签。
这里的优先级高于防垃圾邮件模块,当收到一封邮件首先跟例外列表进行匹配,若匹配则执行动作。
否则让防垃圾邮件模块扫描。
点击ADD地址:深圳市福田区燕南路404栋605室选择匹配时应执行的动作。
然后输入发送者和接受者,支持通配符。
切换到病毒爆发检测。
当防垃圾邮件模块扫描到一个病毒,该怎么处理。
可以选择,Allow///允许”、“Lock///锁定”、“Remove///删除”、“Quarantine///隔离”、“Drop///丢弃”以及“Block///阻止”操作(当选择锁定时,只能有管理员解锁,解锁方法: C:\ProgramFiles\WatchGuard\wsm10.0\bin\unlock.exe 打开锁定文件:1.打开命令提示符窗口。
watchguard防火墙培训中文资料
10,000 25
5/55 55/55 无限 Pro版 20-50
可扩展的Firebox平台
FB X8500e-F
FB X8500e
FB X6500e FB X5500e
Peak e Series
Performance
FB X1250e
FB X750e FB X550e
FB X55e
FB X20e FB X10e
• SSL
• 保证移动用户在任何地点都可以通过Internet建立VPN
• PPTP
• 支持Microsoft PPTP拨号程序,实现移动用户通过Internet建立 VPN
IPSec VPN的应用
• 集中管理、建立大 型VPN网络 • VPN网关的冗余设 计
• 如对病毒、木马、蠕虫、间谍软件、IM、P2P通讯实施有效地 控制
在上网浏览网页方面的控制
• 通过HTTP Proxy
• • • • • 控制在线观看电影 控制在线听广播 控制下载文件类型 启用病毒扫描 启用入侵防御
控制可访问到的网站分类
• 分类达到54个,对多达2000 万的网站与IP地址进行控制 • 优势
防火墙 VPN SSL 病毒网关
反垃圾邮件
上网过滤 网管系统 报告系统 …… 企业网络
集中威胁管理设备(Unified Threat Management )
单点解决方案
防火墙/VPN 入侵检测和阻止 防病毒 网页过滤 反垃圾邮件
vs
集成方案
IPS 防火墙 防病毒
集中威胁管理
网页过滤
反垃圾邮件
VPN
WatchGuard UTM 预防御保护 零日攻击威胁 基于签名的传统保护技术
watchguard-x550e防火墙配置
1、根据序列号去watchguard网站上获取live security license,并下载三个软件:fireware10_2_10.exe、WSM10_2_10.exe、WSM10_2s.exe;
2、安装三个软件到配置机上:wsm10_2s先于wsm10_2_10装
3、装完之后用quicksetup配置初始的外部地址,内部地址、临时地址、状态密码和配置密码,可以按照quicksetup里的发现设备说明,按住向上键重启设备,等待画面,开始配置。
外部地址是eth0口,内部地址是eth1口,临时地址是用来保存第一次配置规则的临时地址,外部地址需要用/24代表子网掩码。
其他诸如dns,远程登录机等都不用配置,状态密码是连接密码,可设11111111配置密码是最后保存配置时要输入的密码,可设22222222
4、最后保存配置。
找到网站上注册后生成的license 文件,
6、启动wsm程序,点击连接设备;输入外部地址和状态密码,等待连接成功。
7、成功之后,选中设备,然后从菜单栏中选择policy manager,进入设备的策略配置页面:空白处点击右键,然后自定义策略添加,在新打开页面里填入个名称:诸如web,更换自和至的端口,(正确的是自any-external至any-entrusted)加入端口号5100、5200、5300、5310,80,只留下一个勾选NAT(一对一NAT)
8、设置NAT,在网络设置里选NAT设置,一对一设置选项卡,添加,接口external,nat基址
为防火墙外部地址,真实地址是web服务器连接防火墙的地址。
WatchGuard 防火墙详细介绍
(2)Web Mail & Social Networking:
gmail, hotmail, blackberry, yahoo-mail, facebook-mail
(3)Database:
db2, mysql, oracle, postgres, informix,…
(4)Protocol Commands & File Transfer:
HTTP POST, GET, PUT, DELETE, CONNECT
RPC UUID, ProgramID, FTP PUT, GET,…
(5)Others:
Toolbars, Proxies, Remote access, Media players , Encrypted connections,…
多攻击者就制造一种DoS攻击方法,对某些应用层协议进行攻击从而得到服务器的
管理权限。通过执行协议的RFC标准检测,我们可以防止这种典型的攻击。除防止
协议攻击外,我们还可以防止非法的命令调用攻击和防止大量的缓存溢出攻击。
三、模式匹配
对于拦截那些到达电脑并执行的恶意代码是非常有效果的。换句话说,就是那些包含
四、拖拽式配置分支办公室VPN部署,只需要三次点击即可连接远程办公室
VPN
隧道数
VPN总隧道数:160(WPN总隧道数:160)
一、SSL隧道:55
二、IPSec点对点隧道:50
三、IPSec点对多点隧道:55
VLAN
创建逻辑性、而非物理性网络配置,由此减低硬件要求,增强对流量类型控制,提供更好协作性,
(3)阻断IM类程序的文件传输
watchguard fireware xtm v11.8.3 发布说明说明书
Before You Begin2WatchGuard Technologies,Inc.LocalizationWhen you install WSM,you can choose what language packs you want to install.The language displayed in WSM will match the language you select in your Microsoft Windows environment.For example,if you use Windows7and want to use WSM in Japanese,go to Control Panel>Regions and Languages and select Japanese on the Keyboards and Languages tab as your Display Language.Release Notes3Fireware XTM and WSM v11.8.3Operating System Compatibility2444WatchGuard Technologies,Inc.Fireware XTM and WSM v11.8.3Operating System Compatibility3Terminal Services support with manual or Single Sign-On authentication operates in a Microsoft Terminal Services or Citrix XenApp4.5,5.0,6.0and6.5environment.4Native(Cisco)IPSec client and OpenVPN are supported for Mac OS and iOS.For Mac OS X10.8and10.9,we also support the WatchGuard IPSec Mobile VPN Client for Mac,powered by NCP.Release Notes5Authentication SupportThis table gives you a quick view of the types of authentication servers supported by key features of Fireware ing an authentication server gives you the ability to configure user and group-based firewall and VPN policies in your XTM device configuration.With each type of third-party authentication server supported,you can specify a backup server IP address for failover.Fully supported by WatchGuardNot yet supported,but tested with success by WatchGuard customers122Mobile VPN with IPSec/Shrew Soft 3–Mobile VPN with IPSec/WatchGuard client (NCP)Mobile VPN with IPSec for OS and Mac OS X native VPN clientMobile VPN with IPSec for Android devices –Mobile VPN with SSL for Windows 44Mobile VPN with SSL for MacMobile VPN with SSL for iOS and Android devicesMobile VPN with L2TP 6––Mobile VPN with PPTP––N/ABuilt-in Authentication Web Page on Port 4100Single Sign-On Support (with or without clientsoftware)–––Terminal Services Manual Authentication Terminal Services Authentication with Single Sign-On5––––Citrix Manual AuthenticationCitrix Manual Authentication with Single Sign-On5––––Fireware XTM and WSM v11.8.3Operating System Compatibility6WatchGuard Technologies,Inc.Fireware XTM and WSM v11.8.3Operating System CompatibilityRelease Notes 71.Active Directory support includes both single domain and multi-domain support,unless otherwise noted.2.RADIUS and SecurID support includes support for both one-time passphrases and challenge/responseauthentication integrated with RADIUS.In many cases,SecurID can also be used with other RADIUS implementations,including Vasco.3.The Shrew Soft client does not support two-factor authentication.4.Fireware XTM supports RADIUS Filter ID 11for group authentication.5.Both single and multiple domain Active Directory configurations are supported.For information about the supported Operating System compatibility for the WatchGuard TO Agent and SSO Agent,see the current Fireware XTM and WSM Operating System Compatibility table.6.Active Directory authentication methods are supported only through a RADIUS server.System RequirementsMinimum CPUIntel Pentium IV 1GHzIntel Pentium IV 2GHz Minimum Memory 1GB 2GB Minimum Available Disk Space 250MB1GBMinimumRecommended Screen Resolution1024x7681024x768XTMv System RequirementsWith support for installation in both a VMware and a Hyper-V environment,a WatchGuard XTMv virtual machine can run on a VMware ESXi 4.1,5.0or 5.1host,or on Windows Server 2008R2,Windows Server 2012,Hyper-V Server 2008R2,or Hyper-V Server 2012.The hardware requirements for XTMv are the same as for the hypervisor environment it runs in.Each XTMv virtual machine requires 3GB of disk space.Recommended Resource Allocation SettingsVirtual CPUs 1248or more Memory1GB2GB4GB4GB or moreDownloading Software8WatchGuard Technologies,Inc.Downloading SoftwareRelease Notes 9Fireware XTM OSSelect the correct Fireware XTM OS image for your Firebox or XTM e the.exe file if you want to install or upgrade the OS using e the.zip file if you want to install or upgrade the OS using the Fireware XTM Web e the.ova file to deploy a new XTMv device.XTM 2500SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 2050XTM_OS_XTM2050_11_8_3.exe xtm_xtm2050_11_8_3.zipXTM 1500SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 1050XTM_OS_XTM1050_11_8_3.exe xtm_xtm1050_11_8_3.zipXTM 800SeriesXTM_OS_XTM800_1500_2500_11_8_3.exe xtm_xtm800_1500_2500_11_8_3.zip XTM 8Series XTM_OS_XTM8_11_8_3.exe xtm_xtm8_11_8_3.zip XTM 5SeriesXTM_OS_XTM5_11_8_3.exe xtm_xtm5_11_8_3.zip XTM 330XTM_OS_XTM330_11_8_3.exe xtm_xtm330_11_8_3.zip XTM 33XTM_OS_XTM33_11_8_3.exe xtm_xtm33_11_8_3.zip XTM 2Series Models 25,26XTM_OS_XTM2A6_11_8_3.exe xtm_xtm2a6_11_8_3.zip Firebox T10XTM_OS_T10_11_8_3.exe firebox_T10_11_8_3.zip XTMvAll editions for VMware xtmv_11_8_3.ova xtmv_11_8_3.exe xtmv_11_8_3.zip XTMvAll editions for Hyper-Vxtmv_11_8_3_vhd.zipDownloading Software10WatchGuard Technologies,Inc.Upgrade from Fireware XTM v11.x to v11.8.xIf you use an XTM5Series or8Series device,you must upgrade to Fireware XTM v11.7.4before you can upgrade to Fireware XTM v11.8.x.We recommend that you reboot your Firebox or XTM device before you upgrade.While this isnot necessary for most higher-model XTM devices,a reboot clears your device memory andcan prevent many problems commonly associated with upgrades in XTM2Series,3Series,and some5Series devices.Upgrade from Fireware XTM v11.x to v11.8.x2.On your management computer,launch the OS software file you downloaded from the WatchGuardSoftware Downloads Center.If you use the Windows-based installer,this installation extracts an upgrade file called[xtm series orfirebox]_[product code].sysa-dl l to the default location of C:\Program Files(x86)\Commonfiles\WatchGuard\resources\FirewareXTM\11.8_3\[model]or[model][product_code].3.Connect to your XTM device with the Web UI and select System>Upgrade OS.4.Browse to the location of the[xtm series or firebox]_[product code].sysa-dl from Step2and clickUpgrade.Upgrade to Fireware XTM v11.8.x from WSM/Policy Manager v11.x1.Select File>Backup or use the USB Backup feature to back up your current configuration file.2.On your management computer,launch the OS executable file you downloaded from the WatchGuardPortal.This installation extracts an upgrade file called[xtm series]_[product code].sysa-dl l to thedefault location of C:\Program Files(x86)\Common files\WatchGuard\resources\FirewareXTM\11.8_3\ [model]or[model][product_code].3.Install and open WatchGuard System Manager v11.8.3.Connect to your XTM device and launch PolicyManager.4.From Policy Manager,select File>Upgrade.When prompted,browse to and select the[xtm series orfirebox]_[product code].sysa-dl file from Step2.Upgrade your FireCluster to Fireware XTM v11.8.xIf you use an XTM5Series or8Series device,you must upgrade your FireCluster to FirewareXTM v11.7.4before you can upgrade your FireCluster to Fireware XTM v11.8.x.Downgrade InstructionsIf you use the Fireware XTM Web UI or CLI to downgrade from Fireware XTM v11.8.x to anearlier version,the downgrade process resets the network and security settings on your Fireboxor XTM device to their factory-default settings.The downgrade process does not change thedevice passphrases and does not remove the feature keys and certificates.Some downgrade restrictions apply:-You cannot downgrade a Firebox T10to a version of Fireware XTM OS lower than v11.8.3.You cannot downgrade an XTM2050or an XTM330to a version of Fireware XTM OS lowerthan v11.5.1.-You cannot downgrade an XTM25,26,or33device to a version of Fireware XTM OS lowerthan v11.5.2.-You cannot downgrade an XTM5Series model515,525,535or545to a version of FirewareXTM OS lower than v11.6.1.-You cannot downgrade XTMv in a VMware environment to a version of Fireware XTM OSlower than v11.5.4.-You cannot downgrade XTMv in a Hyper-V environment to a version of Fireware XTM OSlower than v11.7.3.Resolved IssuesWhen you downgrade the Fireware XTM OS on your Firebox or XTM device,the firmware onany paired AP devices is not automatically downgraded.We recommend that you reset the AP device to its factory-default settings to make sure that it can be managed by the older version of Fireware XTM OS.Resolved IssuesAuthenticationl LDAP user authentication with groupMembership attribute no longer fails.[78057]l This release includes improved tab formatting in the Custom Authentication Portal Disclaimer message.[78584]Managementl This release resolves an issued that prevented a managed device from consistently contacting the Management Server when the device lease expired.[78880]l This release resolves an issue that prevented a template save from Management Server v11.8.1to a device configured with Deep Packet Inspection running a release prior to v11.8.1.The configurationsave from the Management Server failed and generated this log message in the appliance log file:dvcpcd Error line13025:Element'allow-non-ssl':This element is not expected.Expected is on of(bypass-list,transaction,self-signed,filter,domain-name).Debug[78766]l An Apache server crash on the WatchGuard Management Server has been resolved in this release.[78643,78483]l This release resolves an issue that prevented a template save from Management Server v11.8.1when the managed device uses a third-party web server certificate.[76648]l The managed device folder on the Management Server now shows the model number of the device,the software version in use,the management mode(Full or Basic)and what management groups the device belongs to.[78041]l You can now use SSL Management Tunnels on devices with static IP addresses on their external interfaces.[78089]l Traffic Monitor has been improved to better escape invalid characters and prevent blank displays.[71266]Logging and Reportingl The WSM Report Server PDF report now displays Japanese fonts correctly.[78851]Networkingl Dynamic Routing now continues to work after an external interface is unplugged,in a network configured for Multi-WAN with failover from a dynamic route to a branch office VPN.[76986] l This release resolves an issue that prevented proxy traffic from passing through an XTM device configured in bridge mode with a tagged VLAN.[78239]l A problem that caused a network card interface to hang under high load with very small packets has been resolved.[76405]l The wrong source IP address is no longer used for DHCP relay packets sent though a VLAN interface and a Branch Office VPN tunnel.[78831,78146]FireClusterl This release resolves an issue that caused a FireCluster member to remain in the IDLE state when the member loses the Master election process.[78331]VPNl When using the updated WatchGuard IPSec Mobile VPN Client v11.32(released on3/19),users no longer experience a connection failure in Phase1negotiations,with the log message:“Peer proposesKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsKnown Issues and LimitationsUsing the CLIU.S.End Users877.232.3531 International End Users+1206.613.0456 Authorized WatchGuard Resellers206.521.8375。
1-WatchGuard防火墙操作步骤
WatchGuard防火墙操作步骤实例:WatchGuard e-peak 5500e一.注册防火墙二.安装控制台及Fireware三.初始化配置一.注册防火墙:当你拿到一台WatchGuard防火墙,要进行实施时,首先你要注意的是要对防火墙进行注册,目前Core X系列在不使用Vpn时可先不注册,但我们建议用户拿到墙首先注册,注册的同时可获得WatchGuard管理控制台(WSM)、Fireware及初始化配置所需的License。
二.安装控制台及Fireware:三.初始化配置:根据客户网络情况按需求进行初始化配置:首先打开WatchGuard快速安装向导:Next选择墙属于哪个系列的产品 Next选择正确的型号范围 NextNext确认信任区是否已连接好 Next打开防火墙电源,按住向上的按钮,直到启动至SysB模式进入安全模式Next搜索硬件Next输入防火墙的名字输入LicenseNext输入外口地址、掩码、网关Next上一个选项是使用和外口相同的地址,这个到时候配置成透明模式;选择下一个可以输入内网地址,自定义口的地址Next输入只读密码和写密码 Next临时分配一个同网段地址以便上传配置给防火墙Next整体配置显示Next传配置完成配置。
打开控制台:点击上面的连接设备按纽。
出现对话框输入防火墙的内口地址,确保你的电脑已经设置成同网段地址,输入只读密码,Login。
出现连接的防火墙,如图可看到每个以太网口的信息。
在控制台可看到图标栏的Policy Manager、Firebox system manager(看日志及其他信息)。
如下图所示:打开Policy Manager你可以进行策略配置。
下面我们从配置里面把Nat模式改成透明模式:选择策略ÆNetworkÆConfiguration:出现如下对话框,选择Interface下面的Configure Interface in Drop-in mode(透明模式):在IP Address中输入地址和网关:Ok!保存配置到防火墙,输入写入密码:防火墙保存配置后会重新启动,然后你把电脑设置成和刚才设置的地址同网段,你可以通过WSM管理防火墙,如图所示:或者你要直接从初始化配置的时候直接配置成透明模式,你可以参照下图:你初始化配置中设置内网地址的那一步,你选择上面用和外网地址相同的地址,你就可以配置成透明模式:最后你可以通过刚才设定的地址去管理他。
WatchGuard Firebox 防火墙安装实施文档
WatchGuard Firebox 防火墙安装实施文档一、实施目的针对企业网络面临的主要安全威胁,构建安全的防火墙安全体系,保护企业网络安全。
目前企业网络面临的主要安全威胁分为两类:来自的外部和来自内部的安全威胁。
在企业对外网关处安装防火墙可以有效地抵御来自外部的安全威胁;解决内部安全问题主要通过加强网络管理来解决,也可在重要部门网络前端添加防火墙以保护其数据安全。
这里主要针对企业网关对外安全问题实施防火墙安全策略。
企业网络面临的主要安全威胁:1.端口和IP空间扫描2.网络监听3.IP欺骗4.缓存区溢出5.拒绝服务6.电子邮件攻击7.病毒攻击我们将针对这些安全威胁部署企业防火墙,解决网络安全问题。
二、安装规划客户公司要求保护公司网络安全,阻止外部网络的非法访问,同时需要和电信IDC 机房的服务器进行安全的数据通信。
针对这些需求我们在公司网关和IDC机房的服务器前部署两台WatchGuard Firebox III 700防火墙,然后在它们之间建立VPN隧道,保证数据通信安全。
三、安装步骤检查安装步骤. 选择防火墙配置模式. 收集网络信息. 设置管理工作站. 连接到Firebox X. 运行QuickSetup Wizard. 将Firebox X 部署到您的网络. 注册LiveSecurity® 服务1、分析企业网络需求,确定实施项目要完成的项目有配置HTTP,FTP,SMTP,POP3,DataBase,RemoteCortrol,VPN2、了解网络现状,收集相关网络信息收集局域网内的IP地址分配,代理服务器IP,网关IP,网段划分,ADSL帐号,IDC机房服务器应用类型和IP地址,IDC分配的可用地址3、配置防火墙1)WatchGuard Firebox防火墙网络逻辑结构External Interface: 外网口(WAN);Tusted Interface: 受信口(LAN);Optional Interface: 可选口(DMZ)对Firebox X系列则是:2)准备:◆License Keys( LiveSecurity,MobileUser,HA等);◆记录外网(Wan )、内外(Lan)、路由器和服务器IP地址;当使用ADSL拨号时需要帐号信息:或参照下表收集信息:◆确定防火墙接入模式(Routed Mode或 Drop-in Mode);路由模式(Routed Mode )透明模式(Drop-in Mode)3)连接Firebox 与控制工作站Firebox防火墙与控制工作站有两种通信方式:串行口和TCP/IP 。
WatchGuard防火墙 XTM 介绍
这就意味着,占用较高系统资源的服务,例如入侵防御引擎,他们所处理的数据流减少了很多
模型技术
前言:当今的网络攻击、网络病毒,已经变成一种行为。
一、零日威胁保护(Zero Day Protection)
新的或未知的攻击,它们出现的时候,还没有写好相应的补丁程序或者攻击特征。
(4)网页内容过滤Web Filtering特征吞吐量:400Mpbs
(5)反垃圾邮件Anti Spam特征吞吐量:400Mpbs
二、关闭XTM保护防火墙吞吐量(防火墙+路由进出口):1.4Gpbs
三、WPN吞吐量:350Mpbs
四、SSL-VPN吞吐量:350Mpbs
五、IPsec-vpn吞吐量:350Mpbs
七、前瞻性地识别并拦截黑客
1、识别攻击
WatchGuard ILS结构的效力体现在其分布式智能分析能力。每一个层都具有分析和
报告攻击者IP地址的能力,同时可以拦截这些攻击性的IP地址通讯。这个能力应用
于大量的不同级别攻击行为,例如DoS攻击、IP选项攻击、基于PAD的协议异常
攻击,甚至被防病毒/入侵防御系统识别到的攻击等。
政府(机关单位)等分支机构使用,支持局域网1000台以上PC终端(无限制用户) ,
75分支办公室VPN连接总部或数据中心网络使用
吞吐量
性能
一、启用XTM保护设备吞吐量(XTM+UTM):400Mpbs
(1)预防御模型集吞吐量:400Mpbs
(2)反病毒Anti-Virus特征吞吐量:400Mpbs
(3)入侵防护iPS特征吞吐量:400Mpbs
自身应带有抗攻击模块,应可以抵御已知的各种类型攻击。
WatchGuard--vlan 的配置
地址:深圳市福田区燕南路404栋605室在这篇文档里,我们将会介绍一下,WG 防火墙中Vlan 功能是怎样使用的。
首先,要使用Vlan 这个功能必须先确保你的WG 有Pro 这个功能。
(包括:多广域网负载共享和接口故障转移,高可靠性,动态路由,流量管理和优先级设定)要获得这个功能,必须购买。
购买的方式是一次性的,一旦买了这个Pro 功能,就终身免费使用。
以后不用担心升级所带来的费用。
好了,下面我们以几个拓扑图为例子,来说明一下,Vlan 的具体使用。
例一:在防火墙的下面接了一台交换机,交换机上化分了两个VLAN 。
VLAN10 ,VLAN20 现在想让VLAN10 的数据能通过防火墙流到VLAN20 里。
在这里,我们只用了防火墙的一个端口,在另外一个例子里,我们将会介绍一下,用两个端口的情况。
从策略管理器中选择 网络>配置地址:深圳市福田区燕南路404栋605室选择VLAN标签,在这里,你是看不到任何信息的,因为你还没有做过任何配置。
点击ADD按钮。
出现新的VLAN配置的窗口,在名字字段中,你可以为这个VLAN命名。
例如:vlan10 描述字段中,可以介绍一下,这个VLAN 是用来做什么的。
VLAN ID 这个字段比较重要,这个要和交换机上所划分的VLAN 相一致。
(例如,交换机上划分了vlan10 和valn20 .那么这里就应该创建两个,VLAN ID 分别为10 和20 )安全区域也是很重要的,里面有两个选择,一个是可信任区域,一个是可选区域。
这是对应于防火墙的接口的。
(例如,这里选择了可信任的区域,那么这个VLAN 里面的所有的PC 机,都是在防火墙的可信任接口里的,那么你在为防火墙配置策略时所使用的任何ANY-Trusted ,都将包括这个VLAN ,可选的区域跟这个是一样理解的)在ip 地址字段中,为这个VLAN 分配一个ip 地址,那么在这个VLAN 里的所有PC 机的默认网关都应该该变成这个IP 地址。
WatchGuard防火墙特性
WatchGuard防火墙特性WatchGuard拥有一套全面的统一威胁管理 (UTM) 解决方案,它可提供真正预防御功能,过滤间谍软件、病毒、特洛伊木马、垃圾邮件以及混合式威胁,确保众通广告的数据安全。
而便于配置的VPN 通道实现了网络资源的加密远程接入,而其灵活的网络功能更便于对流量和带宽进行优先顺序设置,最大限度提高了效率和网络性能。
部署该产品主要有如下优势:1.主动的真正预防御WatchGuard 所提供的强大网络防御是基于尖端的代理技术。
它们提供了内置的主动防御系统,可抵御多种类型的攻击,包括缓冲溢出、DNS 毒害、DoS 和 DDoS。
这种独特级别的真正预防御远远优于那些单独依赖数据包过滤和基于攻击特征技术来阻挡已知威胁的产品。
在众通广告开启 WatchGuard 的那一瞬间,众通广告便拥有了强大的防御。
2.安全的远程连接众通广告在新一代的IDC机房部已经署了一台WatchGuard X 550e的产品,由于众通广告的办公网络与IDC机房的服务器有很多数据交互,需要保证安全、快速、稳定的连接,而同一厂商的设备VPN互联有更高的可靠性,该产品可以方便的在两地部署VPN连接。
3.流量和并发会话数控制Watchguard 提供基于策略的流量管理,可以设置该策略的最大带宽、最小带宽、并发连接数。
例如,有个客户的网络分办公区域和酒店区域两部分,均通过Watchguard代理上网。
由于酒店区域必须开放所有端口,加上客人经常大并发访问和BT 下载,占用带宽从而影响到办公区域的应用。
因此Watchguard 协助客户实现对酒店部分进行流量控制,设定酒店区域最大占用网络带宽,并给办公区域设定了最小的网络保留带宽,确保办公区域正常应用。
同时,为了避免酒店区域进行BT 等高并发下载,从而占满网络最大并发数,从而影响所有网络的应用,Watchguard 协助客户设定酒店区域的并发数,来避免BT 应用对网络的影响。
WatchGuard硬件防火墙特色介绍
WatchGuard硬件防火墙特色介绍(日志报表篇)前面我对WatchGuard硬件防火墙的特色做了初步的介绍,详情请见WatchGuard 硬件防火墙特色介绍(待续),今天将为大家介绍WatchGuard硬件防火墙强大的日志及其报表功能。
防火墙的日志功能可以为网络管理人员提供丰富的信息资源,包括各种网络活动的详细信息(时间、来源IP、目的IP、源和目的端口等)、被拦截或丢弃的数据包信息、丢弃原因等,因此日志功能的完善及强大与否决定了网络管理人员能否快速的从防火墙日志中查找问题,发现设置或策略上的错误并及时修正。
这在日常的安全管理及维护操作中是非常重要的一个环节。
几乎所有的硬件防火墙产品均有日志记录功能,从存储的位置上来区分的话,基本上有下面三种方式:一、存储在设备本身的存储器或内存当中二、将日志记录发送至第三方的SYSLOG服务器三、与设备配套专用的日志服务器系统SonicWall、FortiGate、Netscreen等防火墙均可以登陆WEB管理界面查看日志信息,或将日志记录发送至第三方的SYSLOG服务器。
存储在设备当中的日志记录,由于受设备本身容量的限制,日志信息不能保存太长时间,并且可供查看的信息相对较简单。
有些设备重启后日志记录将被重新初始化,那么用户将丢失以前的日志记录。
将日志发送至外置的SYSLOG服务器,可以将日志进行存档,并结合第三方工具进行分析。
由于常用的SYSLOG服务器只具备日志的存档能力,而不具备强大的分析及报表生成能力,因此容易造成用户查找信息,分析问题上的不便。
以SonicWall硬件防火墙为例,虽然可以直接登陆WEB管理界面查看日志记录,但设备重启后日志便丢失。
虽然可以将日志信息发送至SYSLOG服务器,但由于没有免费配套的日志分析及报表工具(ViewPoint虽然提供了日志的分析及报表生成功能,但并非免费提供给用户,用户需要另行购买该软件),因此用户也很难对过于庞大的日志记录进行分析。
watchguard防火墙5系统介绍
WatchGuard® XTM 5 系列
推荐用于超过 1500 用户的主要办公 室/总部 WatchGuard XTM 5 系列设备为不断 成长的中型企业提供了新级别的 高性能与高安全性。5 系列提供高达 2.3 Gbps 的防火墙吞吐量,以及包括 全面 HTTPS 检测及 VoIP 支持的安全 功能。对于希望拥有足够的空间来轻 松扩展网络安全性的组织,无需进行 成本高昂的硬件更换,便可实现更好 的性能、容纳更多的用户并获得附加 的安全性及联网功能,以满足其不断 提升的需求。 为何要购买全套解决方案? 一套 XTM 捆绑包网络安全解决方案 集成了全面的保护,同时大幅降低了 管理多个单点安全性产品所需的时间 和成本。所有的安全功能协同工作, 提供全面、综合的网络防护方案。您 的 IT 团队将有更多的时间关注网络 管理的其他领域,而您的企业可节约 支持和硬件成本。
本款 WatchGuard 安全设备
“能应对增长。 它是一款非常 优秀的硬件。”
Frank Curello GameWear 首席执行官
绿色环保技术
使用 WatchGuard® XTM 5 系列解决方案,您的网络将具备以下特点:
安全 ■ 应用层内容检查可识别并阻止状态包防火墙所无法检测出的威胁。 ■ 对 HTTP、HTTPS、FTP、SMTP、POP3、DNS、TCP/UDP 协议具有极佳的安全性,可广泛实现代理保护。 ■ 一系列安全订阅功能大大提升了对关键攻击区域的保护,以实现全面的威胁管理。 ■ 提供集成 SSL VPN 功能,可随时随地轻松访问网络。 ■ 包含 Skype 阻止功能 – 首款具有内置应用程序阻止功能的下一代产品。
状态包检测、深度应用检测、代理防火墙 HTTP、HTTPS、SMTP、FTP、DNS、TCP、POP3 阻止间谍软件、拒绝服务攻击、碎片包、格式不规范的包、 混合威胁等 H.323、SIP、呼叫建立和会话安全 WebBlocker、spamBlocker、Gateway AntiVirus、 Intrusion Prevention 服务(随安全套件提供)
WatchGuard设备基础配置
通过向导工具进行设备初始化
配置最少8位数密 码,状态密码与配 置密码不可相同
通过向导工具进行设备初始化
1 2 3
注:设备在整个升级过程会重启2次,然后可通过WSM管理软件进行管理
通过向导工具进行设备初始化
通过向导工具进行设备初始化
策略配置界面,以 下都是默认策略, 可根据自身的需要 进行修改
通过向导查寻 到防火墙信息 (注:如没有查 到设备信息是 无法完成向导 的)
通过向导工具进行设备初始化
可对设备进行注 释
配置设备Eth0接 口类型,本次我 们选静态IP
通过向导工具进行设备初始化
设定Eth0外部IP(ISP 所提供的IP)
设定Eth1内部 IP(局域网IP)
如内网想要配置多个网 段可对Eth2进行配置, 并且可以为内网接口 网段启用DHCP进行 地址分配
通过向导工具进行设备初始化
把我们电脑与防火墙的 Eth1用双绞线相连进行下 一步配置
通过向导工具进行设备初始化
参照左图先关闭防 火墙的电源,用手 按住上翻键,再开 启电源待防火墙液 晶屏显示Recovery Mode模式
通过向导工具进行设备初始化
选择与防火墙直连的 网卡,并事先设定好 一个ip地址用于与防 火墙初始化上传配置 文件用
通过向导工具进行设备初始化
DNS信息配置
Management server管理服务器 需要license才能使 用,功能为管理多 台防火墙,可进行 IPSEC VPN拖拽式 配置等
通过向导工具进行设备初始化
可设定只允许特定 的计算机IP对防火 墙进行管理,除此 之外将无法对设备 进管理
加入设备license, 密钥在 www.watchguard .com上面注册后可 获得
WatchGuard Firebox X Core防火墙 说明书
Firebox ® X Core™WatchGuard ®产品介绍高级多层安全防御Firebox X Core 是在智能分层架构的基础上开发而来。
在此架构中,各安全保护层共同加强整体防御功能,同时层与层之间的协作通信减少并优化了处理过程。
因此,您无需牺牲网络性能即可获得安全防御。
预防御在软件安全漏洞使新型的网络攻击变为可能的形势下,Firebox X Core 的内置式预防御随时准备保障您客户网络的安全。
这些预防御功能包括先进的代理技术,能够在新威胁出现之时就加以分辨和阻止,保障您能够不受影响,顺利开展业务。
直观的集中管理WatchGuard® System Manager (WSM)提供直观的图形化用户界面,用于管理Firebox X Core UTM 解决方案的所有功能。
WSM 提供综合日志系统、创建拖放VPN 以及实时监控功能,而且不存在隐含成本,也无需购买更多硬件。
只用一种界面即可管理安全解决方案(包括部署多台设备的情况)的所有方面,因此该产品更加节约您的时间及金钱。
综合安全功能提供更加精心的保护每一项WatchGuard 的安全服务与Firebox X Core 的内置式预防御功能联手打造超强安全保护能力。
所有新添加的安全分层均高度集成,而且定购价格均按每一设备(而非按用户数量)计算,因此绝对不会增加额外成本。
所有服务均由WSM 统一管理,用户可实时查看所有服务状态,而且,可以持续更新这些服务,获得最新的保护。
•网关防病毒/入侵防御服务: 基于攻击特征的强大的安全保护,阻止间谍软件、木马、病毒及其它基于网络的漏洞攻击。
•spamBlocker业内最佳的垃圾邮件过滤系统,阻止垃圾邮件的有效率可高达97%。
•WebBlocker强化对员工在上班时间浏览网络内容的访问限制,同时,保护用户免受恶意网站的攻击。
专家指导与支持WatchGuard LiveSecurity®服务为您提供全球安全专家团队支持,帮助您将复杂的IT 管理工作变得更为便捷。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
交互式强大多样的实时监控和报表功能(无须额外费用,区别于其他品牌都要昂贵的费用)
以前所未有(最先进)的视图方式提供网络安全活动状态,便于网管及时采取预防或纠正措施。
网络访问
控制
一、当用户流量具有带病毒的内容被检测到时,可以配置拒绝该用户继续使用网络一段时间或
直到管理员对其解禁前永久不能使用
二、当设备检测到入侵攻击行为时,可以配置拒绝来自攻击者IP的数据流一段时间或
(5)反垃圾邮件Anti Spam特征吞吐量:50Mpbs
二、关闭XTM保护防火墙吞吐量(防火墙+路由进出口):195MGpbs
三、WPN吞吐量:75Mpbs
四、SSL-VPN吞吐量:75Mpbs
五、IPsec-vpn吞吐量:75Mpbs
系统性能
平均指标
本地用户认证DB限制:200
每秒新建连接数:7,500
特征
误判率
基于签名的技术,如防病毒引擎,都会有误判率(如将某种正常行为定义为攻击)。
三、支持PPPoE、DHCP、DynDNS、静态IP、支持动态、静态、双向的网络地址转换(NAT)。
四、多个外网(WAN)口负载均衡,全自定意义接口。
...等等
VPN
功能
一、专业SSL-VPN、IPsec、PPTP应用
二、强大细致的SSL-VPN、IPsec、应用策略控制
三、VPN模块支持DHCP,与Radius Server配合完成为特定的认证用户分配固定的客户端IP
于大量的不同级别攻击行为,例如DoS攻击、IP选项攻击、基于PAD的协议异常
攻击,甚至被防病毒/入侵防御系统识别到的攻击等。
2、识别攻击者行为
在一个攻击开始前,基于行为的分析就可以将其锁定为一个攻击者。“扫描者与攻击
者的匹配几率高达96.3% ......换句话说,每一次扫描过后,在未来某一时刻,都可能
安全防护
一、可定义保护目标主机的服务类型,可灵活定义目标主机类型的防护风险范围。
二、实现Web内容过滤、脚本过滤、URL过滤、免屏蔽功能。
三、有效的Web站点保护,病毒邮件、垃圾邮件过滤与隔离。
应用程序
监控
一、基于应用程序的行为识别应用程序的类型
(1)行为控制包括阻断、通过、流量整形、用户控制
(2)阻断特定协议的命令如FTP PUT
(4)Protocol Commands & File Transfer:
HTTP POST, GET, PUT, DELETE, CONNECT
RPC UUID, ProgramID, FTP PUT, GET,…
(5)Others:
Toolbars, Proxies, Remote access, Media players , Encrypted connections,…
(5)反垃圾邮件(Anti Spam、SpamBlocker)
(6)反间谍软件(Anti Spyware)
(7)LiveSecurity®服务(威胁警示、威胁支持,4小时响应,包括邮件、电话、远程协助)
...等等
防火墙
功能
一、防火墙、SSL-VPN、iPsec-VPN、多链路负载均衡、带宽分配、多个安全区域划分、安全策略
二、系统能够支持给予应用的状态端口智能过滤、包过滤、应用层、MAC地址过滤功能,
自身应带有抗攻击模块,应可以抵御已知的各种类型攻击。
三、防火墙核心的检测技术采用全球领先的提供深度状态过滤技术,提供对网络应用全面的控制。
保证应用层协议标准的一致性;拦截有害文件及文件类型的传输;拦截危险指令或信息篡改,
使子网创建更方便
日志功能
灵活的集中式日志数据存储支持多种行业标准格式,包括XML、Syslog和WebTrends/WELF。
日志通过一个加密的通道以安全可靠的形式传输,并且可被实时地查看、过滤和分类。
基于HTML的历史报告可用于网络行为分析,而交互的、实时的监视工具使您能够及时地发现
问题并为解决网络威胁而采取预防或纠正措施。
多攻击者就制造一种DoS攻击方法,对某些应用层协议进行攻击从而得到服务器的
管理权限。通过执行协议的RFC标准检测,我们可以防止这种典型的攻击。除防止
协议攻击外,我们还可以防止非法的命令调用攻击和防止大量的缓存溢出攻击。
三、模式匹配
对于拦截那些到达电脑并执行的恶意代码是非常有效果的。换句话说,就是那些包含
并发会话数:30,000
策略数:无限制
VLAN:50个
配置
管理
(方式)
一、专用WSM管理软件(WatchGuard System Manager & WatchGuard Server Center)
1、WatchGuard System Manager专业XTM防火墙精细化管理软件
2、WatchGuard Server Center
防止内部信息泄露;确认数据包的完整性和协议的一致性。
四、支持Active-Active/Active-Standby两台设备厂当成一台设备管理,同时还保留两台设备的
性能的防火墙双机热备(主/主、主/备)
五、对防火墙时效状态判断准确、全面可靠,接管切换快。
六、负载均衡:主动/主动高可用性,确保最长的网络持续运行时间
减少设备里存在的特征码数量,可以达到提升UTM性能的效果,并且降低误判率。
★而模型技术正好补充了较少特征码那一部分安全缺口,而且利用病毒、攻击的共通规律
生成能够互相交叉使用主动防御未知病毒的模型,这些各式各样的模型统称为模型集。
(效果:吞吐量为1Gbps的防火墙开启UTM后,吞吐量达到300Mbps)
们就必须清楚地定义那些安全资源,并允许安全资源通过。
四、命令限制
应用协议中经常包含很多命令和参数,用于数据的发送和接收。然后,有很多管理命
令是我们不希望由外部网络用户使用的。我们可以拦截那些具有潜在危险的命令,例
如,可以拦截FTP协议的SITE命令和SMTP协议的DEBUG命令,从而防止这一
类型的攻击。
(1)Management Server:数台防火墙集中管理服务器,可同时下发策略到多台。
(2)WebBlocker Server:Web保护服务器,网页内容过滤,网站Web站点保护。
(3)MaiL Security Server:关于邮件保护服务器,反病毒邮件、反垃圾邮件、隔离中心。
(4)Log Server:日志系统服务器
七、利用基于角色的控制访问(RBAC),顶级管理员可创建定制角色,从而实现细粒度控制
...等等
路由
功能
一、具备应用智能,支持对HTTP、SMTP、POP3、FTP、DNS、TELENET等高层应用协议的智能检测。
二、协议支持:支持动态路由协议,如RIP、OSPF、BGP4等;支持SIP、H.323等视频通信的要求。
SIP, H323, Skinny, RTP, MGCP,…
(2)Web Mail & Social Networking:
gmail, hotmail, blackberry, yahoo-mail, facebook-mail
(3)Database:
db2, mysql, oracle, postgres, informix,…
支持局域网150台PC终端(无限制用户) ,50个分支机构VPN连接的网络使用
吞吐量
性能
一、启用XTM保护设备吞吐量(XTM+UTM):50Mpbs
(1)预防御模型集吞吐量:50Mpbs
(2)反病毒Anti-Virus特征吞吐量:50Mpbs
(3)入侵防护iPS特征吞吐量:50Mpbs
(4)网页内容过滤Web Filtering特征吞吐量:50Mpbs
地过滤/拦截这些协议头内部的信息。
依靠如上这些技术很好地提供零日威胁保护的能力,都是Firebox系统预定义好的,并
结合安全策略实施的,无须用户自己来解决。
七、前瞻性地识别并拦截黑客
1、识别攻击
WatchGuard ILS结构的效力体现在其分布式智能分析能力。每一个层都具有分析和
报告攻击者IP地址的能力,同时可以拦截这些攻击性的IP地址通讯。这个能力应用
(5)Quarantine Server:威胁检疫报警服务器
(6)Report Server:报SH协议、SNMP v3)
XTM
功能
(1)预防御模型集
(2)反病毒(Anti-Virus)
(3)入侵防护(iPS)
(4)网页内容过滤(Web Filtering、WebBlocker)
会发生来自同一个地点的攻击行为。”(网络世界,8月25日,2003)
ILS通常可以识别的行为有,
(1)端口扫描;
(2)地址扫描;
(3)利用IP选项、欺骗和源路由;
3、识别攻击者行为
在一个攻击开始前,基于行为的分析就可以将其锁定为一个攻击者。“扫描者与攻击
者的匹配几率高达96.3% ......换句话说,每一次扫描过后,在未来某一时刻,都可能
四、拖拽式配置分支办公室VPN部署,只需要三次点击即可连接远程办公室
VPN
隧道数
VPN总隧道数:160(WPN总隧道数:160)
一、SSL隧道:55
二、IPSec点对点隧道:50
三、IPSec点对多点隧道:55
VLAN
创建逻辑性、而非物理性网络配置,由此减低硬件要求,增强对流量类型控制,提供更好协作性,
WatchGuard XTM品描述]:
[ 全球获奖信息2010年]
[设备图片]:
[产品参数]:
操作系统
专业版操作系统"Fireware®XTM-Pro"
产品
类型
XTM防火墙(UTM 3.0)