天融信防火墙操作

天融信网络卫士防火墙安装使用培训2接入控制案例学习思路部署位置？通讯方式?如何管理?路由设置?访问控制?我们今天的话题！成功部署并配置防火墙其他功能金财部署关键概念高级应用3防火墙的关键概念4Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网5防火墙的功能－1包过滤URL过滤HTTP脚本过滤、关键字过滤邮件资源过滤时间控制NAT(静态、动态)MAP(PORTMAP，IPMAP)带宽管理IP+MAC地址绑定实时监控应用程序过滤（ＢＴ、ＱＱ等）并发连接限制DOS攻击、CC攻击6日志审计（自身、日志服务器、第三方）用户+IP绑定支持自身认证和第三方认证入侵检测VPN(可选)病毒(可选）安全联动双机热备负载均衡支持VLAN间路由、生成树协议。。。防火墙的功能－27防火墙的局限性•物理上的问题–断电–物理上的损坏或偷窃•人为的因素–内部人员通过某种手段窃取了用户名和密码•病毒（应用层携带的）–防火墙自身不会被病毒攻击–但不能防止内嵌在数据包中的病毒通过•内部人员的攻击•某些可以“透过”防火墙的攻击，如injection（注入）•防火墙的配置不当8防火墙的接口和区域接口和区域是两个重要的概念接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1等。区域：可以把区域看作是一段具有相似安全属性的网络空间。9物理接口的交换和路由防火墙的一个接口，要么设置为交换接口，要么设置为路由接口区别：交换接口：不可以给该接口配置IP地址，该物理接口不对收到的数据做转发，大多在防火墙透明接入的情况下设置接口为交换口。路由接口：可以为该接口配置一个或多个IP地址，大多在非透明模式下设置。10对象：192.168.0.1B：192.168.0.2图示中机器A访问B机器的HTTP服务，在此过程中，若要使防火墙对该访问进行严格的控制，则需要首先把机器A、机器B、HTTP服务首先定义为独立的对象，然后再在具体的访问控制策略中进行引用，由此可见，对象的重要性。在防火墙中可定义的对象包括：主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、URL对象、关键字对象、区域对象等。定义对象起到一个明确“你我”的作用。HTTP（TCP：80）11外部网内部网透明（桥接）防火墙采用透明方式情况下，可以把防火墙简单地看做为二层交换机或HUB设备，它的部署不改变网络拓扑结构及配置，防火墙调试维护相对简单。原由网络及业务运行正常，只是需要使用FW进行访问控制，不需要FW对数据进行路由或转发。特点：对原有网络无影响维护配置简单同一网段12Internet内部网NAT（地址转换、源地址转换）内部私有地址无法访问Internet,在内部用户访问Internet的时候需要把内部私有地址翻译成为合法的公有地址。特点：节省公网IP隐藏内部网络结构一对一、多对一、多对多私有地址不同网段公有地址私有地址公有地址NAT13Internet内部网MAP（地址映射、端口映射、目的地址转换）Internet用户无法直接访问私有地址，在Internet用户需要访问内部私有地址机器的时候，需要把一个公有的地址翻译给内部私有的地址，Internet用户通过访问该公网地址以达到访问内部私有地址服务器的目的。也可以只把某一公网IP的某一个或多个端口映射给某一IP的某一或多个端口（端口映射）。特点：1，隐藏网络结构，避免直接访问2，节省IP（仅限端口映射）3，一对一，多对一，一对多（仅限端口映射）私有地址不同网段公有地址私有地址公有地址MAP14规则列表需要注意的问题：1、规则作用有顺序2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性顺序15防火墙的接入控制16硬件一台•外形：19寸1U标准机箱产品外形接COM口管理机直通线交叉线串口线PCRouteSwich、Hub交叉线17•CONSOLE线缆•UTP5双绞线-直通(1条，颜色:灰色)-交叉(1条，颜色:红色)使用:–直通:与HUB/SWITCH–交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接）•软件光盘•上架附件产品提供的附件及线缆使用方式18防火墙提供的接入模式•透明模式(提供桥接功能)在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。•路由模式(静态路由功能)在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP地址。•综合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。19Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：202.99.88.3ETH2：202.99.88.4202.99.88.10/24网段202.99.88.20/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用20Internet内部网202.99.88.1ETH0：202.99.88.2ETH1：10.1.1.2ETH2：192.168.7.210.1.1.0/24网段192.168.7.0/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。路由模式的典型应用21综合接入模式的典型应用ETH1：192.168.7.102ETH2：192.168.7.2192.168.1.100/24网段192.168.7.0/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式202.11.22.1/24网段ETH0：202.11.22.2两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式22串口(console)管理方式：管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。TELNET管理方式：模拟console管理方式，用户名superman，口令：talentSSH管理方式：模拟console管理方式，用户名superman，口令：talentWEBUI管理方式：超级管理员:superman，口令:talent管理器管理方式：超级管理员:superman，口令:talent，集中管理SNMP管理支持第三方管理软件管理方式23防火墙的CONSOLE管理方式超级终端参数设置：24防火墙的CONSOLE管理方式防火墙的命令菜单：25防火墙的CONSOLE管理方式输入helpmodechinese命令可以看到中文化菜单26防火墙出厂管理配置27防火墙的WEBUI管理方式在浏览器输入：，看到下列提示，选择“是”28防火墙的WEBUI管理方式输入用户名和密码后，按“提交”按钮29防火墙的WEBUI管理方式30防火墙的管理方式－打开防火墙管理端口注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统”－“系统服务”中选择“启动”即可31防火墙的TELNET管理方式通过TELNET方式管理防火墙：32在安装防火墙之前必须弄清楚的几个问题：1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)33常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP1068/TCP5554/TCP9995/TCP9996/TCPICMP关掉不必要的PING34常见路由协议使用端口列表RIP：UDP-520RIP2：UDP-520OSPF：IP-89IGRP：IP-9EIGRP：IP-88HSRP（Cisco的热备份路由协议）：UDP-1985BGP：(BorderGatewayProtocol边界网关协议，主要处理各ISP之间的路由传递，一般用在骨干网上)TCP-17935网络卫士防火墙的基本配置过程：1、串口(console)下配置：配置接口IP地址，查看或调整区域管理权限。当然也可以通过命令的方式在串口下进行防火墙配置2、在串口下保存配置：用SAVE命令3、推荐使用WEBUI方式对防火墙进行各种配置4、配置具体的访问控制规则及其日常管理维护防火墙的配置过程提示：一般先设置并调整网络区域，然后再定义各种对象(网络对象、特殊对象等)，然后在添加访问策略及地址转换策略，最后进行参数调整及增加一些辅助的功能。36防火墙的基本应用配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略（通讯策略）保存和导出配置37防火墙的配置案例38防火墙配置－例1配置案例1（路由模式）：INTERNET202.99.27.193202.99.27.250192.168.1.254172.16.1.100172.16.1.1192.168.1.0/24应用需求：•内网可以访问互联网•服务器对外网做映射映射地址为202.99.27.249•外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区39定义网络接口在CONSOLE下，定义接口IP地址输入network命令进入到network子菜单定义防火墙每个接口的IP地址，注意子网掩码不要输错40定义区域及添加区域管理权限defineareaaddnamearea_eth1attribute'eth1'accessondefineareaaddnamearea_eth2attribute'eth2'accessonpfserviceaddnamewebuiareaarea_eth1addressnameanypfserviceaddnameguiareaarea_eth1addressnameanypfserviceaddnamepingareaarea_eth1addressnameanypfserviceaddnametelnetareaarea_eth1addressnameany系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙41调整区域属性进入防火墙管