天融信防火墙配置实训手册华迪信息.网络工程中心防火墙形态类似于一台路由器设备,是一台特殊的计算机。以天融信防火墙(TOPSECFireWallARES-M)为实例,来测试防火墙各区域的访问控制机制:目标一:了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网)区域之间访问控制机制。目标二:了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT访问因特网,过滤特定网站和特定网页。目标三:了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。了解防火墙三种接入模式。配置目标防火墙为网络用户提供安全的Internet接入InternetDMZWEB服务层Intranet内部网络Webe-mailFTP防火墙FireWallWebSiteFilter•Web站点访问过滤–限制对非本企业业务目的的Internet资源的访问ConnectiontooutsidenetworkConnectiontoinsidenetworkConnectionto网关:192.168.6.250DMZ区Intranet内网Webe-mailFTPInternet外网192.168.2.50/60/70/80/90网关:192.168.2.250192.168.1.50/60/70/80/90网关:192.168.1.2502.2506.2501.250防火墙路由模式访问控制测试结构一、通过防火墙的路由功能实现访问控制,操作步骤如下:STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。上半部份STEP2:通过软件登陆Firewall打开防火墙配置软件“TOPSEC集中管理器”,‘新建项目’,输入防火墙本区域端口IP地址,登陆到防火墙。查看防火墙“基本信息”和“实时监控”,了解其他各菜单功能。说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10,口令为:123456防火墙配置一般有三种方式:B/S配置,C/S配置,Console口配置.本实验防火墙采用C/S方式。区域之间缺省权限的设置STEP3:防火墙区域缺省权限设置‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为允许访问。操作说明:选择“可读、可写、可执行”选项,表示为允许访问。本机PING其他区域内主机,测试连通性。‘网络’→‘区域’→防火墙三个区域→‘缺省访问权限’设为禁止访问。操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。本机PING其他区域内主机,测试连通性。第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。缺省访问权限是指区域之间主机的默认权限。如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控制同一区域主机之间的权限,本区域内主机是能够连通的。主机节点对象的建立接下来在防火墙三个区域‘缺省权限’设为‘禁止访问’的情况下,做以下步骤:STEP4:主机节点对象建立高级管理→网络对象→本主机所在区域→定义新对象→定义节点把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不填。说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在那个区域内设置。定义节点针对一个主机定义,定义子网可定义一个网络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5设置)调用这些对象才能设置权限。防火墙访问控制过滤机制-包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限(允许/禁止)源对象目的对象策略服务http,ftp,smtp等时间策略访问控制允许/拒绝一条访问策略规则:STEP5:区域之间主机权限策略设置,测试访问控制1)首先明确源主机、目标主机,访问控制是针对源到目的的访问。然后在‘高级管理’→‘访问策略’→需要访问的目标主机所在区域内‘增加’→‘包过滤策略’,策略源为访问端(只选择本机节点),策略目的为被访问端(只选择其他区域某节点),策略服务为PING,访问控制设为允许。注意策略源和目的只选择节点,针对主机进行权限设置。通过PING对方主机测试连通性。特别注意:访问策略应在被访问对象所在的目标区域设置策略。如:访问SSN区域内主机,则应在SSN区域内设置策略。访问控制测试2)在本区域内增加‘包过滤策略’,建立禁止对方主机(策略源)访问本机(策略目的)的访问策略,测试对方区域的主机到本机的连通性。说明:必须针对不同区域设置访问权限,同一区域内的主机防火墙是不能控制权限的,设置的策略也是无用的。3)禁止其他区域主机访问本机135-139及445,7626,4006,1027,6267,8080端口(任选其一设置)。‘策略服务’在都不选择的情况下,为任何服务,包括所有协议所有端口。‘策略服务’在都选择的情况下,表示只对所选择的服务进行访问控制。访问策略优先级高于区域默认权限策略的优先级(STEP3已设置)。每个访问策略都是单向访问,只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问,则需要建立两个策略。访问策略可控制源地址,目标地址,策略服务,访问控制时间。访问控制测试STEP6:通过策略范围来控制主机访问权限(1)设置两个策略,一个策略为设置本机访问其他区域某一主机的访问策略,访问策略为允许,另一个策略同样是访问该主机,但访问控制设为禁止,更改两个策略的优先级,通过PING对方主机测试连通性。说明:鼠标上下拖动所建策略可以更改优先级,排在上面的策略优先级高。(2)设置两个策略,一个策略为本机访问其他整个区域的策略,另一个策略为本机禁止访问其他区域内某一个主机的策略,更改两个策略的优先级,通过PING对方区域内主机测试连通性。(3)设置两个策略,一个策略为本机访问其他区域某主机的策略,策略服务为任何服务,另一个策略为本机禁止通过策略服务PING其他区域该主机。更改两个策略的优先级,通过PING对方主机测试连通性。访问控制测试(4)设置两个策略,一个策略为本机禁止访问其他区域某主机的策略,策略服务为任何服务,另一个策略为本机允许通过策略服务PING其他区域该主机。更改两个策略的优先级,通过PING对方主机测试连通性,访问对方主机其他端口(如共享方式)进行测试。(5)设置本区域允许访问其他整个区域,策略服务为任何服务,通过PING对方所有主机测试连通性。(6)在‘网络’→‘区域’,设置所有区域缺省权限为允许,再建立一个访问策略,禁止PING对方某一主机的访问策略。测试与对方主机的连通性。7)根据需要,自行定义策略,设置权限。说明:如果选择整个区域,如选择‘INTRANET区域”,则指包括连入INTRANET内的所有主机。可以通过策略的优先级,把范围小的策略优先级设置为高于范围大的策略,能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略,超过这个范围则再受到范围大的策略限制。访问控制测试企业防火墙设置注意要点:•防火墙是企业安全的关键中枢,企业安全管理实施需要通过运用防火墙访问策略来实现。•访问策略不只是从技术上考虑,最重要的是安全管理的需要来进行设置。•为了安全需要,防火墙最好只能一个管理员进行配置,有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。•策略规则应尽量简化,策略太多容易杂乱,不便管理,影响防火墙效率。•常见的木马、病毒使用的端口尽量关闭,如445,7626,4006,1027,6267等,对高发及最新病毒、木马端口要及时做出处理。•防止反向连接,对由内到外的连接也要注意端口防护。与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下,通过NAT方式进行访问。访问端需要有网关(路由)。1)把需要测试的目标主机操作系统中网关地址(在网络属性中设置)删除。2)在目标主机无网关情况下,增加一个访问策略,允许本机(策略源)访问该目标主机(策略目的),测试与该主机连接情况。3)进入‘高级管理’→‘通信策略’→增加本机(策略源)到该目标主机(策略目的)的通讯策略,通信方式选择NAT方式。4)测试与该主机连通情况以及对方主机访问本机的连通情况。5)本机删除网关后,让对方主机增加网关,反过来再增加访问策略和NAT进行测试。说明:访问策略是权限的问题,通讯策略是路径的问题。NAT都是单向访问,内网需要网关路由到外网,而外网不需路由到内网。保护了内网的安全。思考:NAT是作为源IP地址转换,NAT在整个转换过程中所起到的作用?通信策略STEP7:设置NAT(网络地址转换)方式NAT在互联网的应用•隐藏了内部网络结构•内部网络可以使用私有IP地址NAT原理-源地址转换192.168.1.50网关:192.168.1.250192.168.8.50Intranet:192.168.1.250Internet:192.168.8.250报头数据源地址:192.168.1.50目的地址:192.168.8.50报头数据源地址:192.168.8.250目的地址:192.168.8.50NAT转换192.168.1.50发送的数据包经过NAT转换后,源地址成为192.168.8.250DMZ区Intranet内网Webe-mailFTP192.168.2.50/60/70/80/90网关:192.168.2.250192.168.1.50/60/70/80/90网关:192.168.1.2502.2506.2501.250互联网过滤互联网过滤1)首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络线路。2)建立一个访问策略(包过滤策略),以本机作为策略源,以INTERNET区域做为策略目的,策略服务选择任何服务。3)再建立一个通信策略(NAT方式),本机做为策略源,INTERNET区域作为策略目的。然后本机DNS(在网络属性中设置)指向到互联网DNS服务器IP地址,检查能否PING通DNS服务器IP,测试能否连入互联网。DNS服务器IP:211.95.129.16161.139.2.69STEP8:通过HTTP过滤策略,过滤网站和过滤网页.4)在高级管理→特殊对象→URL→定义新对象,输入任一网址,注意格式要求。注意:定义URL时前后应加*,如格式:*163.com*。5)访问策略→INTERNET区域→增加HTTP策略,禁止某一网站。把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字)6)在高级管理→特殊对象→关键字→定义关键字7)访问策略→INTERNET区域→增加HTTP策略,允许某一网站访问,但禁止关键字访问。把过滤策略优先级提到最前面,测试含有该关键字的网页能否打开。注意:定义关键字不需要加*,过滤关键字即过滤含有关键字的网页。选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止。8)通过包过滤策略,禁止本机访问INTERNET,策略服务为TCP:80(HTTP服务),测试能否连入互联网。9)PING某一网站域名(网址),记住其IP地址,通过访问策略禁止本机PING此IP地址。下半部份二、通过防火墙透明模式测试区域网络的访问控制:说明:防火墙透明模式可以让同一网段在不同区域的主机进行通信。(相当于二层交换)而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由进行通信。(三层交换作用)了解防火墙的三种接入模式1.透明模式(网络)2.路由模式•路由模式3.透明及路由的混合模式透明网络结构DMZ区Intranet内网Webe-mailFTP192.168.1.110/120/130/140