天融信防火墙操作
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
5
防火墙的功能-2
日志审计(自身、日志服务器、第三方) 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选) 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。。。
6
防火墙的局限性
• 物理上的问题 – 断电 – 物理上的损坏或偷窃 • 人为的因素 – 内部人员通过某种手段窃取了用户名和密码 • 病毒(应用层携带的) – 防火墙自身不会被病毒攻击 – 但不能防止内嵌在数据包中的病毒通过 • 内部人员的攻击 • 某些可以‚透过‛防火墙的攻击,如injection(注入) • 防火墙的配置不当
9
对象
http://192.168.0.2
A:192.168.0.1
HTTP(TCP:80)
B:192.168.0.2
图示中机器A访问B机器的HTTP服务,在此过程中,若要使防火墙对该访问进 行严格的控制,则需要首先把机器A、机器B、HTTP服务首先定义为独立的对 象,然后再在具体的访问控制策略中进行引用,由此可见,对象的重要性。 在防火墙中可定义的对象包括: 主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、 URL对象、关键字对象、区域对象等。 定义对象起到一个明确‚你我‛的作用。
32
常见病毒使用端口列表
69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
ICMP 关掉不必要的PING
33
常见路由协议使用端口列表
此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式
192.168.7.0/24 网段
21
管理方式
串口(console)管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用 passwd修改管理员密码,请牢记修改后的密码。 TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent WEBUI管理方式: 超级管理员:superman,口令:talent 管理器管理方式: 超级管理员:superman,口令:talent,集中管理 SNMP管理 支持第三方管理软件
19
路由模式的典型应用
Internet
202.99.88.1
ETH0:202.99.88.2
ETH1:10.1.1.2 ETH2:192.168.7.2
10.1.1.0/24 网段
外网、SSN区、内网都不在同一网段,防 火墙做路由方式。这时,防火墙相当于一 个路由器。
内部网 192.168.7.0/24 网段
天融信网络卫士 防火墙安装使用培训
高级应用
思路
金财部署 部署位置? 通讯方式? 如何管理? 路由设置? 访问控制?
成功部署并配置防火墙
其他功能
案例学习
接入控制
我们今天的话题!
关键概念
2
防火墙的关键概念
3
防火墙定义
两个安全域之间通信流 的唯一通道
Internet
内部网
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
20
综合接入模式的典型应用
两接口在不同网段, 防火墙处于路由模式
202.11.22.1/24 网段
ETH0:202.11.22.2
ETH1:192.168.7.102 ETH2:192.168.7.2 192.168.1.100/24 网段
两接口在不同网段, 防火墙处于路由模式
两接口在同一网段, 防火墙处于透明模式
Internet用户无法直接访问私有地址 ,在Internet用户需要访问内部私有 地址机器的时候,需要把一个公有的 地址翻译给内部私有的地址, Internet用户通过访问该公网地址以 达到访问内部私有地址服务器的目的 。
MAP 私有地址
公有地址
Internet
不同网段
公有地址
也可以只把某一公网IP的某一个或多 个端口映射给某一IP的某一或多个端 口(端口映射)。 特点:
顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在 透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的 网络环境。
说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。18透明模的典型应用Internet
202.99.88.1
ETH0:202.99.88.2
ETH1:202.99.88.3 ETH2:202.99.88.4 202.99.88.10/24 网段
外网、SSN、内网在同一个广播域,防火 墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
提示:一般先设置并调整网络区域,然后再定义各种对象(网络对象 、特殊对象等),然后在添加访问策略及地址转换策略,最后进行参数 调整及增加一些辅助的功能。
35
防火墙的基本应用
配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略
202.99.27.250
172.16.1.1 192.168.1.254
防火墙接口分配如下:
192.168.1.0/24
ETH0接INTERNET ETH1接内网 ETH2接服务器区
38
定义网络接口
在CONSOLE下,定义接口IP地址 输入network命令进入到network子菜单
定义防火墙每个接口的IP地址,注意子网掩码不要输错
RIP:UDP-520 RIP2:UDP-520 OSPF:IP-89 IGRP:IP-9 EIGRP:IP-88 HSRP(Cisco的热备份路由协议):UDP-1985 BGP:(Border Gateway Protocol边界网关协议,主要 处理各ISP之间的路由传递,一般用在骨干网上) TCP-179
39
定义区域及添加区域管理权限
系统默认只能从ETH0接口(区域)对防火墙进行管理,输入如下命令: 添加ETH1接口为‚AREA_ETH1”区域; ETH2接口为‚AREA_ETH2”区域 define area add name area_eth1 attribute 'eth1 ' access on define area add name area_eth2 attribute 'eth2 ' access on 对‚AREA_ETH1”区域添加对防火墙的管理权限(当然也 可以对‚AREA_ETH2”区域添加) pf pf pf pf service service service service add add add add name name name name webui area area_eth1 addressname any gui area area_eth1 addressname any ping area area_eth1 addressname any telnet area area_eth1 addressname any
7
防火墙的接口和区域
接口和区域是两个重要的概念 接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。
8
物理接口的交换和路由
防火墙的一个接口,要么设置为交换接口,要么设置为路由接口
区别: 交换接口:不可以给该接口配置IP地址,该物理接口不对收到的数据做转发, 大多在防火墙透明接入的情况下设置接口为交换口。 路由接口:可以为该接口配置一个或多个IP地址,大多在非透明模式下设置。
22
防火墙的CONSOLE管理方式
超级终端参数设置:
23
防火墙的CONSOLE管理方式
防火墙的命令菜单:
24
防火墙的CONSOLE管理方式
输入helpmode chinese命令 可以看到中文化菜单
25
防火墙出厂管理配置
26
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择‚是‛
11
NAT(地址转换、源地址转换)
公有地址 Internet
不同网段
公有地址
NAT 私有地址
内部私有地址无法访问 Internet,在内部用户访问 Internet的时候需要把内部私 有地址翻译成为合法的公有地 址。 特点:节省公网IP 隐藏内部网络结构
一对一、多对一、多对多
内部网
私有地址
12
MAP(地址映射、端口映射、目的地址转换)
串口线
交叉线 管理机 接COM口 直通 线 Swich、 Hub 交叉线 Route
PC
16
产品提供的附件 及线缆使用方式
• •
CONSOLE线缆 UTP5双绞线 - 直通(1条,颜色:灰色) - 交叉(1条,颜色:红色) 使用: – 直通:与HUB/SWITCH – 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) • 软件光盘 • 上架附件
17
防火墙提供的接入模式
• 透明模式(提供桥接功能) 在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说, 对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包 转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 • 路由模式(静态路由功能) 在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的 数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个 区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要 根据区域规划配置IP 地址。 • 综合模式(透明+路由功能)
27
防火墙的WEBUI管理方式
输入用户名和密码后,按‚提交‛按钮
28
防火墙的WEBUI管理方式
29
防火墙的管理方式-打开防火墙管理端口
注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开‚HTTP”方式。
在‚系统‛-‚系统服务‛中选择‚启动‛即可
30
防火墙的TELNET管理方式
34
防火墙的配置过程
网络卫士防火墙的基本配置过程:
1、串口(console)下配置: 配置接口IP地址,查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置 2、在串口下保存配置:用SAVE命令 3、推荐使用WEBUI方式对防火墙进行各种配置 4、配置具体的访问控制规则及其日常管理维护
根据访问控制规则决定 进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合 ,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政 策控制(允许、拒绝、监视、记录)进出网络的访问行为。
4
防火墙的功能-1
包过滤 URL过滤 HTTP脚本过滤、关键字过滤 邮件资源过滤 时间控制 NAT (静态、动态) MAP(PORT MAP,IP MAP) 带宽管理 IP+MAC地址绑定 实时监控 应用程序过滤(BT、QQ等) 并发连接限制 DOS攻击、CC攻击
10
透明(桥接)
外部网
同一网段
防火墙采用透明方式情况下, 可以把防火墙简单地看做为二 层交换机或HUB设备,它的部 署不改变网络拓扑结构及配置 ,防火墙调试维护相对简单。
原由网络及业务运行正常,只 是需要使用FW进行访问控制, 不需要FW对数据进行路由或转 发。 特点:对原有网络无影响
内部网
维护配置简单
制定地址转换策略(通讯策略)
保存和导出配置
36
防火墙的配置案例
37
防火墙配置-例1
配置案例1(路由模式): 应用需求:
INTERNET
202.99.27.193
•内网可以访问互联网 •服务器对外网做映射 映射地址为202.99.27.249 •外网禁止访问内网
WEB服务器
172.16.1.100
通过TELNET方式管理防火墙:
31
在安装防火墙之前必须弄清楚的几个问题:
1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端 口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制)
1,隐藏网络结构,避免直接访问
私有地址 内部网
2,节省IP(仅限端口映射) 3,一对一,多对一,一对多(仅限 端口映射)
13
顺
序
规则列表需要注意的问题:
1、规则作用有顺序
2、访问控制列表遵循第一匹配规则
3、规则的一致性和逻辑性
14
防火墙的接入控制
15
产品外形
硬件一台
• 外形:19寸1U标准机箱
防火墙的功能-2
日志审计(自身、日志服务器、第三方) 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选) 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。。。
6
防火墙的局限性
• 物理上的问题 – 断电 – 物理上的损坏或偷窃 • 人为的因素 – 内部人员通过某种手段窃取了用户名和密码 • 病毒(应用层携带的) – 防火墙自身不会被病毒攻击 – 但不能防止内嵌在数据包中的病毒通过 • 内部人员的攻击 • 某些可以‚透过‛防火墙的攻击,如injection(注入) • 防火墙的配置不当
9
对象
http://192.168.0.2
A:192.168.0.1
HTTP(TCP:80)
B:192.168.0.2
图示中机器A访问B机器的HTTP服务,在此过程中,若要使防火墙对该访问进 行严格的控制,则需要首先把机器A、机器B、HTTP服务首先定义为独立的对 象,然后再在具体的访问控制策略中进行引用,由此可见,对象的重要性。 在防火墙中可定义的对象包括: 主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、 URL对象、关键字对象、区域对象等。 定义对象起到一个明确‚你我‛的作用。
32
常见病毒使用端口列表
69/UDP 135-139/TCP 135-139/UDP 445/TCP 445/UDP 4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP
ICMP 关掉不必要的PING
33
常见路由协议使用端口列表
此时整个防火墙工作于透明+路由模式 ,我们称之为综合模式或者混合模式
192.168.7.0/24 网段
21
管理方式
串口(console)管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用 passwd修改管理员密码,请牢记修改后的密码。 TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent WEBUI管理方式: 超级管理员:superman,口令:talent 管理器管理方式: 超级管理员:superman,口令:talent,集中管理 SNMP管理 支持第三方管理软件
19
路由模式的典型应用
Internet
202.99.88.1
ETH0:202.99.88.2
ETH1:10.1.1.2 ETH2:192.168.7.2
10.1.1.0/24 网段
外网、SSN区、内网都不在同一网段,防 火墙做路由方式。这时,防火墙相当于一 个路由器。
内部网 192.168.7.0/24 网段
天融信网络卫士 防火墙安装使用培训
高级应用
思路
金财部署 部署位置? 通讯方式? 如何管理? 路由设置? 访问控制?
成功部署并配置防火墙
其他功能
案例学习
接入控制
我们今天的话题!
关键概念
2
防火墙的关键概念
3
防火墙定义
两个安全域之间通信流 的唯一通道
Internet
内部网
Source Host A Host B Destination Host C Host C Permit Pass Block Protocol TCP UDP
20
综合接入模式的典型应用
两接口在不同网段, 防火墙处于路由模式
202.11.22.1/24 网段
ETH0:202.11.22.2
ETH1:192.168.7.102 ETH2:192.168.7.2 192.168.1.100/24 网段
两接口在不同网段, 防火墙处于路由模式
两接口在同一网段, 防火墙处于透明模式
Internet用户无法直接访问私有地址 ,在Internet用户需要访问内部私有 地址机器的时候,需要把一个公有的 地址翻译给内部私有的地址, Internet用户通过访问该公网地址以 达到访问内部私有地址服务器的目的 。
MAP 私有地址
公有地址
Internet
不同网段
公有地址
也可以只把某一公网IP的某一个或多 个端口映射给某一IP的某一或多个端 口(端口映射)。 特点:
顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在 透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的 网络环境。
说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。18透明模的典型应用Internet
202.99.88.1
ETH0:202.99.88.2
ETH1:202.99.88.3 ETH2:202.99.88.4 202.99.88.10/24 网段
外网、SSN、内网在同一个广播域,防火 墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
提示:一般先设置并调整网络区域,然后再定义各种对象(网络对象 、特殊对象等),然后在添加访问策略及地址转换策略,最后进行参数 调整及增加一些辅助的功能。
35
防火墙的基本应用
配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略
202.99.27.250
172.16.1.1 192.168.1.254
防火墙接口分配如下:
192.168.1.0/24
ETH0接INTERNET ETH1接内网 ETH2接服务器区
38
定义网络接口
在CONSOLE下,定义接口IP地址 输入network命令进入到network子菜单
定义防火墙每个接口的IP地址,注意子网掩码不要输错
RIP:UDP-520 RIP2:UDP-520 OSPF:IP-89 IGRP:IP-9 EIGRP:IP-88 HSRP(Cisco的热备份路由协议):UDP-1985 BGP:(Border Gateway Protocol边界网关协议,主要 处理各ISP之间的路由传递,一般用在骨干网上) TCP-179
39
定义区域及添加区域管理权限
系统默认只能从ETH0接口(区域)对防火墙进行管理,输入如下命令: 添加ETH1接口为‚AREA_ETH1”区域; ETH2接口为‚AREA_ETH2”区域 define area add name area_eth1 attribute 'eth1 ' access on define area add name area_eth2 attribute 'eth2 ' access on 对‚AREA_ETH1”区域添加对防火墙的管理权限(当然也 可以对‚AREA_ETH2”区域添加) pf pf pf pf service service service service add add add add name name name name webui area area_eth1 addressname any gui area area_eth1 addressname any ping area area_eth1 addressname any telnet area area_eth1 addressname any
7
防火墙的接口和区域
接口和区域是两个重要的概念 接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。
8
物理接口的交换和路由
防火墙的一个接口,要么设置为交换接口,要么设置为路由接口
区别: 交换接口:不可以给该接口配置IP地址,该物理接口不对收到的数据做转发, 大多在防火墙透明接入的情况下设置接口为交换口。 路由接口:可以为该接口配置一个或多个IP地址,大多在非透明模式下设置。
22
防火墙的CONSOLE管理方式
超级终端参数设置:
23
防火墙的CONSOLE管理方式
防火墙的命令菜单:
24
防火墙的CONSOLE管理方式
输入helpmode chinese命令 可以看到中文化菜单
25
防火墙出厂管理配置
26
防火墙的WEBUI管理方式
在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择‚是‛
11
NAT(地址转换、源地址转换)
公有地址 Internet
不同网段
公有地址
NAT 私有地址
内部私有地址无法访问 Internet,在内部用户访问 Internet的时候需要把内部私 有地址翻译成为合法的公有地 址。 特点:节省公网IP 隐藏内部网络结构
一对一、多对一、多对多
内部网
私有地址
12
MAP(地址映射、端口映射、目的地址转换)
串口线
交叉线 管理机 接COM口 直通 线 Swich、 Hub 交叉线 Route
PC
16
产品提供的附件 及线缆使用方式
• •
CONSOLE线缆 UTP5双绞线 - 直通(1条,颜色:灰色) - 交叉(1条,颜色:红色) 使用: – 直通:与HUB/SWITCH – 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接) • 软件光盘 • 上架附件
17
防火墙提供的接入模式
• 透明模式(提供桥接功能) 在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说, 对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包 转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 • 路由模式(静态路由功能) 在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的 数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个 区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要 根据区域规划配置IP 地址。 • 综合模式(透明+路由功能)
27
防火墙的WEBUI管理方式
输入用户名和密码后,按‚提交‛按钮
28
防火墙的WEBUI管理方式
29
防火墙的管理方式-打开防火墙管理端口
注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开‚HTTP”方式。
在‚系统‛-‚系统服务‛中选择‚启动‛即可
30
防火墙的TELNET管理方式
34
防火墙的配置过程
网络卫士防火墙的基本配置过程:
1、串口(console)下配置: 配置接口IP地址,查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置 2、在串口下保存配置:用SAVE命令 3、推荐使用WEBUI方式对防火墙进行各种配置 4、配置具体的访问控制规则及其日常管理维护
根据访问控制规则决定 进出网络的行为
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合 ,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政 策控制(允许、拒绝、监视、记录)进出网络的访问行为。
4
防火墙的功能-1
包过滤 URL过滤 HTTP脚本过滤、关键字过滤 邮件资源过滤 时间控制 NAT (静态、动态) MAP(PORT MAP,IP MAP) 带宽管理 IP+MAC地址绑定 实时监控 应用程序过滤(BT、QQ等) 并发连接限制 DOS攻击、CC攻击
10
透明(桥接)
外部网
同一网段
防火墙采用透明方式情况下, 可以把防火墙简单地看做为二 层交换机或HUB设备,它的部 署不改变网络拓扑结构及配置 ,防火墙调试维护相对简单。
原由网络及业务运行正常,只 是需要使用FW进行访问控制, 不需要FW对数据进行路由或转 发。 特点:对原有网络无影响
内部网
维护配置简单
制定地址转换策略(通讯策略)
保存和导出配置
36
防火墙的配置案例
37
防火墙配置-例1
配置案例1(路由模式): 应用需求:
INTERNET
202.99.27.193
•内网可以访问互联网 •服务器对外网做映射 映射地址为202.99.27.249 •外网禁止访问内网
WEB服务器
172.16.1.100
通过TELNET方式管理防火墙:
31
在安装防火墙之前必须弄清楚的几个问题:
1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端 口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制)
1,隐藏网络结构,避免直接访问
私有地址 内部网
2,节省IP(仅限端口映射) 3,一对一,多对一,一对多(仅限 端口映射)
13
顺
序
规则列表需要注意的问题:
1、规则作用有顺序
2、访问控制列表遵循第一匹配规则
3、规则的一致性和逻辑性
14
防火墙的接入控制
15
产品外形
硬件一台
• 外形:19寸1U标准机箱