联想网御L防火墙技术培训

1联想网御PowerV防火墙技术培训2011年4月2目录一、联想网御防火墙技术原理培训二、联想网御PowerV防火墙案例培训3•防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。•通过制订安全策略，它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。•通常是网络安全防护体系的最外一层。防火墙概念介绍什么是防火墙？4防火墙概念介绍什么是防火墙？防火墙能做什么保障授权合法用户的通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动防火墙不能做什么不能主动防范新的安全威胁不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问5SourceDestinationNetworkAddressTranslation192.168.10.10.0.0.0131.107.2.200Firewall192.168.10.1192.168.10.2192.168.10.3131.107.2.200Internet防火墙概念介绍什么是防火墙？6防火墙概念介绍什么是防火墙？7透明模式8路由模式9混合模式10•数据包的形式:•防火墙能利用包头的信息进行过滤，仅允许符合规则的数据包通过防火墙•规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目包头数据包过滤技术11包过滤技术什么是状态检测？•每个网络连接包括以下信息：源地址、目的地址；源端口和目的端口；协议类型；连接（会话）状态（如超时时间，TCP连接的状态）等；•防火墙把这些信息统称为状态，能够检测这些状态的防火墙叫做状态检测防火墙。12包过滤技术状态检测的优点？（与包过滤防火墙相比）•更安全：检查内容=包过滤检查内容+连接状态•更高效：包过滤——收到一个包，检查一遍规则集状态检测——先查状态表，再查规则集13目录二、联想网御PowerV防火墙案例培训141.电子钥匙、证书、串口登录2.透明接入3.路由/NAT模式4.静态路由5.IP映射、端口映射6.包过滤策略7.DHCP目录15案例一电子钥匙、证书、串口登录16联想网御防火墙Web登陆认证数字证书电子钥匙案例1.电子钥匙、证书、串口登录171.双击随机光盘ikeydriver目录下的INSTDRV.EXE，自动安装电子钥匙驱动。切记：安装驱动前不要插入USB电子钥匙。电子钥匙认证2.随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令，首次使用默认PIN为“12345678”。案例1.电子钥匙、证书、串口登录18在IE地址栏输入等待约十秒左右,弹出一个一个对话框提示接受证书，选择接受即可出现联想网御防火墙登录画面。案例1.电子钥匙、证书、串口登录电子钥匙登录19数字证书认证1、把防火墙证书导入防火墙并启用。2、管理主机上导入IE浏览器证书。案例1.电子钥匙、证书、串口登录20数字证书认证—证书页面导入导入证书后选择生效选项第一步第二步案例1.电子钥匙、证书、串口登录21数字证书认证—证书导入导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书，按照提示进行安装，需要输入密码时输入“hhhhhh”，当出现导入成功后点击确定完成。案例1.电子钥匙、证书、串口登录22数字证书认证当防火墙与IE证书均导入成功后，我们在管理主机打开IE浏览器并输入，出现选择证书提示后点击“确定”画面。案例1.电子钥匙、证书、串口登录23管理主机防火墙出厂时默认的管理主机地址10.1.5.200，当接入一个新的网络环境中时，首先要进行管理主机的配置。案例1.电子钥匙、证书、串口登录一定不要添加0.0.0.0的管理主机24案例二、透明接入25•透明接入多部署于拓扑相对固定网络，为了不改变原有网络拓扑，常采用此部署方式（防火墙本身作为网桥接入网络）。•按照此方式部署后的防火墙如出现软硬件故障，可以紧急将防火墙撤离网络，不必更改其他路由、交换设备的配置。案例2.透明接入透明接入—概述26C:192.168.1.100S:192.168.1.200Brg：192.168.1.254fe2fe3•透明接入模式防火墙配置需求：•防火墙配置的FE2\FE3口配置为透明模式。•允许工作站C192.168.1.100访问服务器S192.168.1.200的HTTP服务。•工作站C192.168.1.100不能访问服务器S192.168.1.200的其它服务。透明接入拓扑图案例2.透明接入27透明接入案例2.透明接入28STP未开启未绑定设备已启用透明接入案例2.透明接入29透明接入案例2.透明接入30透明接入案例2.透明接入31已启用已变成透明模式透明接入案例2.透明接入32透明接入变成透明模式的端口自动添加到绑定列表里面网络接口配置完成后，仍然需要添加相应的包过滤规则案例2.透明接入33透明接入案例2.透明接入34透明接入案例2.透明接入35至此，工作站192.168.1.100可以访问服务器192.168.200的HTTP服务透明接入案例2.透明接入36案例三、路由/NAT模式37•配置路由/NAT模式的防火墙多部署于网络边界，或者是连接多个不同网络,起到保护内网主机安全，屏蔽内网网络拓扑等作用。案例3.路由/NAT模式路由/NAT模式—概述38C:192.168.1.2/24S:192.168.2.2/24192.168.1.1/24fe1fe2•工作在路由/NAT模式下防火墙配置需求：•本案例拓扑为一个只有两个网段的小型局域网。•服务器192.168.2.2开放http服务。•允许工作站192.168.1.2访问服务器192.168.2.2的http服务•禁止工作站192.168.1.2访问服务器其它服务。192.168.2.1/24CilentAServerB路由/NAT模式(不做NAT转换)案例3.路由/NAT模式39案例3.路由/NAT模式路由/NAT模式(不做NAT转换)40案例3.路由/NAT模式路由/NAT模式(不做NAT转换)41网络接口配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许工作站192.168.1.2访问服务器192.168.2.2的http服务。案例3.路由/NAT模式路由/NAT模式(不做NAT转换)42•网络地址转换NAT为IETF定义标准，用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。•另外网络地址转换NAT经常作为一种网络安全手段使用，安全域内的机器通过NAT设备后源地址被重新封装，起到一定屏蔽内网作用。NAT—概述案例3.路由/NAT模式43内网外网C:10.1.5.200fe3fe4internet10.1.5.254211.100.100.1S:211.100.100.2•防火墙工作路由/NAT模式。•内部客户PC需要通过防火墙访问internet上服务。•从防火墙外无法看到内部客户端的真实IP。案例3.路由/NAT模式路由/NAT模式(NAT转换)44路由/NAT模式(NAT转换)案例3.路由/NAT模式45路由/NAT模式(NAT转换)案例3.路由/NAT模式46路由/NAT模式(NAT转换)案例3.路由/NAT模式47案例3.路由/NAT模式网络接口、NAT规则配置完成后，仍然需要添加相应的包过滤规则，这样防火墙允许内部客户机10.1.5.200访问internet上的服务器。路由/NAT模式(NAT转换)48案例四、静态路由49静态路由案例4.静态路由内网外网222.111.1.1/24fe3fe4internet192.168.1.1/30C:172.16.1.2/24192.168.1.2/30172.16.1.1/24•防火墙工作路由/NAT模式。•内部客PC172.16.1.2需要通过防火墙访问internet上服务。•防火墙和客户机之间有一台路由器。•在防火墙上需要做回指路由保证客户机能访问internet。50案例4.静态路由静态路由51案例4.静态路由静态路由添加目的地址是172.16.1.0网段的静态路由52案例4.静态路由静态路由在本案例中，当客户机向外网发起连接时，数据包通过客户机的默认网关经交换机发送到防火墙，继续通过防火墙的默认网关发送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器，保证该连接的通畅。53案例五IP映射、端口映射54案例5.IP映射、端口映射IP映射、端口映射-概述作用：当外网主机主动发起连接访问防火墙的一个公网地址时，防火墙通过IP映射规则或者端口映射规则将访问请求映射到对应防火墙内部局域网服务器。位于外网的主机发送的请求数据包到达防火墙后，防火墙在匹配包过滤规则之前，对数据包重新封装，用指定的目的地址替代原数据包包头中目的地址即为IP映射；用指定的目的地址和目的端口替代原数据包包头中的目的地址目的端口为端口映射。55内网外网10.1.5.200fe1internet10.1.5.254fe3211.100.100.1211.100.100.2Server:192.168.1.100fe2192.168.1.1DMZ区•防火墙作IP、端口映射：•局域网内部服务器192.168.1.100提供ftp服务，唯一的公网IP已被防火墙外网口使用，防火墙启用端口映射功能，将局域网内部ftp服务映射到外网，向外网客户机提供ftp服务。•禁止外网客户机访问服务器192.168.1.100的其它服务。案例5.IP映射、端口映射网络拓扑图56IP映射、端口映射案例5.IP映射、端口映射57案例5.IP映射、端口映射IP映射、端口映射若此栏填写多个服务器地址则可以进行负载均衡58案例5.IP映射、端口映射IP映射、端口映射IP映射、端口映射2选159IP映射、端口映射案例5.IP映射、端口映射60案例5.IP映射、端口映射IP映射、端口映射IP映射，端口映射完成后，仍然需要添加相应的包过滤规则。61IP映射、端口映射案例5.IP映射、端口映射至此，案例中的外网客户机可以访问服务器的ftp服务。62案例六、包过滤策略63案例6.包过滤策略包过滤策略-概述•包过滤是防火墙最基本最核心的功能，PowerV防火墙提供基于状态检测技术的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎，并且为防火墙内安全域提供信息安全保证。包过滤除支持全部的TCP/IP协议簇外还通过在“安全选项”页面对一些非IP协议进行控制。64安全策略：过滤规则会话连接状态缓存表状态检测包过滤防火墙符合不符合符合状态检测包过滤检测机制丢弃下一步处理IP数据包检测包头案例8.包过滤策略65包过滤策略C:192.168.1.2S:192.168.2.2192.168.1.1fe1fe2192.168.2.1CilentAServerB•包过滤案例配置需求：•上图为一个只有两个网段的小型局域网•服务器192.168.2.2开放http服务。•允许工作站192.168.1.2访问服务器的http服务；•禁止工作站192.168.1.2访问服务器其它服务。案例6.包过滤策略66默认全通包过滤策略案例6.包过滤策略67包过滤策略案例6.包过滤策略68包过滤策略•规则按照从上到下的顺序进行匹配。•没有明确允许的数据包都会被禁止。•预先定义地址对象、服务对象，在包过滤规则中引用。•尽量合并同类规则，保持规则数量500以内。案例6.包过滤策略69时间调度是让安全规则在指定的时间段内为生效状态，在其它时间段为失效状态。可选内容包括：“资源时间时间列表”和“资源时间时间组”中定义的所有资源。包过滤—时间调度案例6.包过滤策略70包过滤—时间调度案例6.包过滤策略71包过滤—时间调度至此，时间调度服务已经定义完毕。可根