防火墙4000安装培训

网络卫士防火墙4000安装使用培训2Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网3防火墙不能防御什么•物理上的问题–断电–物理上的损坏或偷窃•人为的因素–内部人员通过某种手段窃取了用户名和密码•病毒–防火墙自身不会被病毒攻击–但不能防止内嵌在数据包中的病毒通过•内部人员的攻击•防火墙的配置不当4防火墙的功能1.支持透明、路由和混合三种工作模式。2.支持基于对象的网络访问控制，包括网络层、应用层等多层次的访问制；支持URL、HTTP脚本、关键字、邮件等多种形式的内容过滤。3.支持多种网络地址转换（NAT）方式。4.支持多种认证方式，如本地认证、证书认证、Radius认证、TACACS、域认证等多种认证方式。5.支持标准IPSecVPN。6.内置IDS模块，能够自防御Land、Smurf、TearOfDrop、PingofDeath、SynFlood、Targa3和IpSweep等十几种攻击，具有抗DOS/DDOS攻击功能。7.基于TOPSEC协议，实现与IDS等多种安全产品的联动。8.支持网络卫士防火墙双机热备。9.支持IPX、NETBEUI、VOD、H.323v1/v2、SSH协议。10.支持DHCP，包括DHCPSERVER、DHCPCLIENT以及DHCPRELAY（中继）。11.支持VLAN与生成树。12.支持ADSL接入与链路备份。5硬件一台•外形：19寸1U标准机箱产品外形接COM口管理机直通线交叉线串口线PCRouteSwich、Hub交叉线6•CONSOLE线缆•UTP5双绞线的使用:-直通(1条，颜色:灰色)与HUB/SWITCH-交叉(1条，颜色:红色)与路由器/主产品提供的附件为了方便用户对防火墙的配置，我们为大家设置如下帐户：用户名：admin密码：12345678内网（intranet）：eth0接口，IP地址192.168.1.254，该区域可ping到防火墙外网（internet）：eth1接口，该区域可ping到防火墙SSN：eth2接口，该区域可ping到防火墙7防火墙提供的通讯模式•透明模式(提供桥接功能)此时防火墙提供桥接功能，在通讯上相当于SWITCH/HUB,网络拓扑不需要做任何改动。•路由模式(静态路由功能)此时防火墙提供静态路由功能，需要在防火墙和与其直接相连的三层设备上进行合理的路由设置。•综合模式(透明+路由功能)同时提供路由和桥接功能，应用非常少，只在某些特殊的场合下使用。说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。8Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：202.99.88.3ETH2：202.99.88.4202.99.88.10/24网段202.99.88.20/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用9Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：10.1.1.2ETH2：192.168.7.210.1.1.0/24网段192.168.7.0/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。路由模式的典型应用10NO.3混合模式ETH1：192.168.7.102ETH2：192.168.7.2192.168.1.100/24网段192.168.7.0/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式202.11.22.1/24网段ETH1：202.11.22.2两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式11在安装防火墙之前必须弄清楚的几个问题：1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用(包括各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)注：在安装之前必须经过充分的交流，将以上四个问题弄清楚，然后再根据需要进行合理的设置。12ftp-data20/tcpftp21/tcptelnet23/tcpsmtp25/tcpDNS53/udptftp69/udphttp80/tcppop3110/tcpimap143/tcpirc194/udphttps443/tcp常见服务列表－113ms-sql-s1433/tcpms-sql-m1434/tcpLotusNote1352/tcporacle1521/tcpradius1812/tcpradius-acct1813/tcpQQ8000/UDPibm-db2523/tcpRip520/udpOspfip-89Eigrpip-88常见服务列表－214pcanywheredata5631/tcppcanywherestat5632/tcpHSRP:1985/udpPptp1723/tcpping-requesticmp8ping-echoicmp0rtsp554/tcp(realplayer)mms1755/tcp(MSMediaplayer)h.3231720/tcp(Netmeeting)l2tp1701/udp常见服务列表－315常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP445/TCP1068/TCP5554/TCP9995/TCP9996/TCPICMP常见蠕虫病毒冲击波病毒震荡波病毒关掉不必要的PING16常见路由协议使用端口列表RIP：UDP-520RIP2：UDP-520OSPF：IP-89IGRP：IP-9EIGRP：IP-88HSRP（Cisco的热备份路由协议）：UDP-1985BGP：(BorderGatewayProtocol边界网关协议，主要处理各ISP之间的路由传递，一般用在骨干网上)TCP-17917工作原理--处理数据流1•1．快速转发对于一个新接收的合法报文，网络卫士防火墙将首先查询会话表，判断该报文是否属于某个已经存在的会话。如果是，则根据会话表中所包含的会话处理信息，如匹配会话的访问规则和地址转换策略，快速处理此报文。如果不存在，则说明此报文属于一个新的会话，网络卫士防火墙将检索路由表，地址转换策略表和访问规则表，收集与此报文相关的处理策略，即进入下一步骤。18工作原理--处理数据流2•2．接收处理IDS模块。VPN模块。IP-MAC绑定模块。19工作原理--处理数据流2•3.规则匹配2021匹配访问控制规则22规则列表需要注意的问题：1、规则作用有顺序2、同一类型的列表遵循第一匹配规则3、规则的一致性和逻辑性访问控制规则说明23任何一款防火墙的密码修改后必须牢记，否则无法进行恢复；每一款防火墙都有两种管理方式，即：本地管理(console)和网络管理(telnet/ssh/GUI)防火墙4000：console下不需要用户名，初始口令为talent,GUI下的超级用户为superman,初始口令talent,可以由superman派生出其他的管理员。关于防火墙管理员密码的说明24防火墙4000的安装配置25管理方式•WEBUI方式•􀂾SSH（SecureShell）SSH，需要SSH软件，如PUTTY等，需要设置连接地址为网络卫士防火墙管理地址；•􀂾TELNET26通过CONSOLE口管理•参数•每秒位数：9600•数据位：8•奇偶校验：无•停止位：127•输入系统默认的用户名：superman和密码：talent，即可登录到网络卫士防火墙。28防火墙4000-CONSOLE管理方式29通过浏览器登录防火墙•、串口(console)下配置IP地址，用于GUI管理2、保存串口下的配置，用write命令3、打开TOPSEC集中管理器，新建一个管理项目4、集中管理器中进行各种配置(规则及其日常管理维护)先调整网络区域属性，然后再定义各种对象(网络对象、特殊对象等)，其次在需要保护的区域添加访问策略及通讯策略，最后进行参数调整及增加一些辅助的功能。防火墙4000-配置过程32防火墙4000-建立管理项目33防火墙4000－ADSL配置ADSLModem工作在桥接模式下，防火墙通过pppoe拨号获得动态的ip地址对于内网的数据报文通过adsl访问外网，自动作nat转化，不需要策略上配置nat规则，也就是说对于拨号，只有ipsec策略有用，在配置拨号的vpn时需要填写本机的网关地址为0.0.0.0，当拨号成功后，防火墙会自动更改配置，包括动态路由，动态路由不能手动删除，如果需要删除拨号路由，需要在adsl配置中停止拨号。34谢谢！