网络安全设备配置及讲解

网络安全设备测试
一、部署测试总体拓扑图
二、安全设备简介
1、软件防火墙和硬件防火墙
软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而
是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。

硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞和不稳定因素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火墙，它采用专门设计的硬件平台，在上面搭建的软件也是专门开发的，并非流行的操作系统，因而可以达到较好的安全性能保障。

硬件防火墙中可能还有除软件防火墙的包过滤功能以外的其他功能，例如CF（内容过滤）、地址转换、路由、IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。

硬件防火墙的三种部署方式：路由模式、透明模式、混合模式
1、路由模式
当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

2、透明模式
采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。

与路由模式相同，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

3、混合模式
如果防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下。

混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP 地址，其它接口不配置IP地址
2、行为管理设备
简单的来说上网行为管理设备就是基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置，把网络风险管理从“被动式响应管理”提升为“主动式预警管理”，从“防范管理”提升为“控制管理”，把网络的“通信安全”提升为“应用安全”。

为了实现真正安全的网络环境，企业需要“内外兼修”，除了阻挡外部攻击外，还应该转换视角，大力加强对内的管理，对员工的上网行为进行规范管理。

行为管控设备的三种部署方式：路由模式、网桥模式、旁路模式
1、路由模式-就是把设备当成路由器使用，和防火墙的路由模式差不多。

2、网桥模式- “透明模式”在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需
修改任何已有的配置。

(在部署的时候，一般都是用的这个模式）
3、旁路模式-这个需要做端口镜像，一般不推荐。

三、网络安全设备连接
1、初始默认的2种连接方式
（1）通过使用console线连接电脑和设备，通过超级终端或者securecrt等软件进行连接，连接后使用命令进行操作。

（2）常规的我们使用电脑连接管理口，访问其web网页对设备进行配置管理。

2、访问配置
1、天融信防火墙默认访问方式：
（1）默认管理接口为网线接MGMT口，使用网线将设备和电脑连接
（2）静态路由：192.168.1.0/24(不要和防火墙的254一样)
（3）访问https://192.168.1.254
（4）用户名：superman 默认密码：talent
2、深信服行为管理默认访问方式：
（1）默认管理接口为网线接eth0口，使用网线将设备和电脑连接
（2）配置静态路由：10.251.251.0/24(不要和设备的251一样)
（3）访问https://10.251.251.251
（4）用户名：admin 密码：admin
Ps：深信服ac设备有个私有地址128.127.125.252 255.255.255.248
四、部署实施细节
采用路由模式进行部署（每一次配置都需要对配置进行保存）：
接口连线：
1.网线接入防火墙eth10口，ip xxxx(网线接入ip)
2.防火墙eth11口（xxxx）口连接行为管控eth2口
3.行为管控eth0口连接路由器wan口
1、防火墙配置
1、接口配置
➢此配置是对防火墙的入口和出口进行配置
（1）接口配置，管理界面右上角接口配置-点击已经连接的端口（链接为绿色圆点）-点击配置
（2）按照自己的基本网络信息进行配置（记住对应的描述名称，后续地址转换时会使用到）-然后点击添加保存
(3)配置成功截图
2、路由配置
➢此配置是配置防火墙的路由功能，使网路能畅通
根据网络情况和需求选择路由协议进行配置：
（1）网络管理-路由-静态路由-添加-根据网络情况和需求进行配置（静态路由+无子网的
情况下，路由表单会自动生成，如果增加子网，按照子网的网络情况配置路由）
3、地址转换功能配置（snat）
所谓网络地址转换，是将IP数据报头中的IP地址转换为另- -个IP地址的过程。

网络卫士防火墙提供以下几种地址转换方式:
➢源地址转换(SNAT)。

可以实现具有私有地址的用户对公网的访问。

➢目的地址转换(DNAT)。

可以实现公网上的用户对位于内网的具有私有地址
的服务器的访问。

➢双向地址转换(双向NAT)。

可以实现一一个内网IP地址到另-一个内网IP地址
的访问。

➢不做转换(NoNAT)。

一般用于定义源NAT和双向NAT规则的特例，此时NoNAT规则需要置于匹配范围较大的NAT规则前面。

在此我们选择源地址转换（snat）
（1）点击防火墙-地址转换-添加（配置主要涉及源和目的配置）
（2）源配置
（3）目的配置
4、访问控制配置
➢此配置是防火墙的核心功能，什么网段能访问什么地址
防火墙-访问控制-添加由于是测试，配置源和目的都为any
5、域名解析配置
点击网络管理-域名解析，填入dns解析服务器地址，点击确定即可
6、网络测试
使用另一台pc中端对防火墙配置进行测试，使用网线将另一个eth端口与pc相连，访问外网进行测试，能够访问说明配置成功，不能访问就需要对以上接口、路由、地址转换移机区
域配置进行检查（pc需配置转换后的静态网络地址）。

2、行为管控设备配置
1、部署模式（网桥模式）
（1）登录系统后点击系统管理-网络配置-部署模式
（2）点击下一步，网口配置，选择网桥列表，默认勾选了“开启网桥链路同步”
（2）网桥配置，由于没有可用的网桥IP分配给AC，此处无需配置网桥IP
络，便于使用。

网关。

（5）配置完成，点击提交设备重启后，部署配置完成，重启之后查看部署已经成功。

2、新建静态路由
在之前的部署模式配置中，配置了默认网关，会自动生成默认网关的缺省路由。

此时无需额外再配置到内网的回包路由。

3、路由器配置
1、使用笔记本连接到路由器无线网（机身背后有名称），登录到.
1、选择上网设置并点击修改
2、选择静态ip上网，并填写刚才配置的参数，点击确定
3、回到首页，选择wifi设置，对名称和密码进行修改并点击确定
4、网络测试
使用终端连接刚才配置好的无线或者有线网络，尝试访问网站，成功访问即配置成功。

路由器和行为管控设备也能显示相关用户。