防火墙知识培训技术部课程目标•防火墙的基础知识•方正防火墙特点•保定电子政务网防火墙配置策略说明•常见问题与解决方案课程目标•防火墙的基础知识•方正防火墙特点•保定电子政务网防火墙配置策略说明•常见问题与解决方案传统防火墙的概念IT领域中防火墙的概念•过滤进出网络的数据包;•管理进出网络的访问行为;•封堵某些禁止的访问行为;•记录通过防火墙的信息内容和活动;•对网络攻击进行检测和告警•能过滤大部分的危险端口•设置严格的外向内的状态过滤规则•抵挡大部分的拒绝服务攻击•加强了访问控制能力防火墙的作用•对新出现的漏洞和攻击方式不能迅速提供有效的防御方法•紧急情况下无法做到迅速响应•性能和稳定性制约了大范围的使用•不能完全防范恶意代码的通过防火墙的局限性防火墙的分类•包过滤防火墙最早的防火墙技术之一,功能简单,配置复杂•应用网关防火墙最早的防火墙技术之二,连接效率低,速度慢•状态检测防火墙现代主流防火墙,速度快,配置方便,功能较多•DPI防火墙(DeepPacketInspection)未来防火墙的发展方向,能够高速的对第七层数据进行检测状态检测防火墙优点–减少检查工作量,提高效率–连接状态可以简化规则的设置•缺点:对应用层检测不够深入DPI防火墙•优点–能够提供更高级的安全策略控制–具备一定的入侵检测和防病毒功能•缺点:目前的技术条件下速度太慢主要内容•防火墙的基础知识•方正防火墙特点•保定电子政务网防火墙配置策略说明•常见问题与解决方案防火墙产品线3000-FG-D8000-FG-E8000-FG-T部门级3000-FG-E3000-FG-63403000-FG-T8000-FG-NA10003000-FS-D4-S8000-FG-P3000-FA-E3000-FA-T3000-FS-E48000-FA-E8000-FS-E中小型企业级大型企业级电信级8000-FA-T3000-FA-NP2003000-FA-NP1003000-FA-NP803000-FA-T8000-FG-NA2000方正FG系列防火墙特点简介•1、方正安全自2000年就开始推出自主知识产权的防火墙产品,现在已经发展到了第三代,拥有三个系列20个型号的防火墙产品。•2、具有出众的稳定性。作为网关产品,稳定性是重中之重。评价稳定性,用户才最有发言权。以国税和军队为例:方正防火墙连续三年入围国税、军队行业统采项目,累计销售达2000台以上,稳定性尤其受到用户好评。07年底一次性通过公安部突击检查。08年入围315推荐产品目录。•3、具有出色的性能。05、06连续两年方正防火墙获赛迪防火墙性能评测第一名。•4、具有多种功能,并可集中管理。方正防火墙维护工程师培训FG防火墙配置课程目标•了解方正防火墙的基本概念•明确方正防火墙的基本使用流程•能够独立完成方正防火墙的基本使用和配置主要内容•使用方正防火墙的预备知识•FIREGATE安装初始化•登录和管理FIREGATE•FIREGATE功能配置介绍主要内容•使用方正防火墙的预备知识•FIREGATE安装初始化•登录和管理FIREGATE•FIREGATE功能配置介绍网络接口:网口一网口二网口三网口四串口:控制串口•方正防火墙的硬件介绍•硬件连接示意图1.FGInit2.FGTestTool3.FireControl4.LogService5.卸载FireControl•软件模块主要内容•使用方正防火墙的预备知识•FIREGATE安装初始化•登录和管理FIREGATE•FIREGATE功能配置介绍•LogService报警说明•典型案例•FIREGATE硬件安装1.连接电源线2.连接串口线3.连接FG防火墙到网络中首先出现FG的Logo画面•软件安装•新建实施域•添加防火墙设备•导入/导出管理员账号*初始化程序运行前应先将计算机的COM1口与防火墙的控制串口连接,并将防火墙电源打开•FCINIT进行初始化•FGInit初始化主要内容•使用方正防火墙的预备知识•FIREGATE安装初始化•登录和管理FIREGATE•FIREGATE功能配置介绍•FireControl是什么?FireControl是FG的管理程序,其作用是管理、监控、配置FG。策略管理员可自定义防火墙的各种参数,配置个性化的防火墙。首先进行用户登录,必须使用Admin用户登录,然后进入主界面,进入主界面后,首先要添加其他用户,设置管理用户的权限,然后是具体参数的配置。•FIRECONTROL操作说明—登录进入主界面后,在设备列表处选择需要控制的防火墙•FIRECONTROL操作说明—选择设备•FIRECONTROL操作说明——主界面介绍普通管理员权限设置:系统管理员admin在进入主菜单后,点击菜单项“操作”下的“管理员帐号管理”,即可进行普通管理员的添加、修改和删除,以及为非法管理员设置封禁功能。如图所示:•FIRECONTROL管理员权限设置系统管理员admin进入主菜单,点击“操作”栏下的“添加管理员帐号”,即可进行管理员帐号的添加。如图所示:•FIRECONTROL填加管理员帐号系统管理员admin在添加完管理员帐号后,必须为相关管理员设置策略管理员和审计管理员的权限。以admin帐号登录系统后,点击“管理员权限设置”,如图所示:只有系统管理员admin才有权设置管理员权限。•设置管理员权限主要内容•使用方正防火墙的预备知识•FIREGATE安装初始化•登录和管理FIREGATE•FIREGATE功能配置介绍系统信息提供当前系统时间、运行总时间、系统负载及系统资源四项显示信息。•基本配置—系统信息方正防火墙使用别名机制管理端口和子网,策略管理员可以用简单好记的一条别名来代替服务器的多个端口和多个子网,方便管理。在定义别名时,一定要使用便于阅读的名称,尽可能使用中文。•基本配置—别名•基本配置—设备配置•桥模式在“网口配置”标签页中,各个网口设备设置了不同网段的IP地址。这样,防火墙成为这些网段间通信的路由器。•路由模式•混杂模式防火墙的规则配置是面向网口设备的,每个网口上的规则是指:这个接口设备接收到的数据包要经过这些规则的过滤,此处的接口包括物理接口设备和VLAN设备。•安全—防火墙策略静态路由提供目的地址路由(即静态路由)和策略路由功能•网络管理—静态路由方正防火墙维护培训FG日常管理以及故障处理防火墙命令-Debug帐号•Debug帐号登陆方式–windows超级终端方式,推荐用SecureCRT–下图为windows超级终端登陆的设置画面•Debug帐号登陆用户名密码–用户名:debug–密码:fgdebug防火墙命令-Debug帐号•用途–主要用于获取防火墙上次初始化时使用的key–若防火墙从未初始化过,则该命令返回为空–若上次初始化的key不对或功能不全,则该命令并不对此进行校验或修正•getlkDebug$getlkHVWRTTXAF8H5VW7XC692TCVFMCDebug$防火墙命令-getlk•用途–主要用于防火墙设备配置里面ip配置察看•Ifconfig–用于查看正在使用的设备防火墙命令-ifconfig•用途–用与ping远程主机确认网络状态•Pingtargetip•Eg:Ping172.31.118.1通Debug$ping172.31.118.1………2packetstransmitted,2packetsreceived,0%packetlossround-tripmin/avg/max=0.6/0.7/0.9msDebug$•Eg:Ping172.31.118.10不通Debug$ping172.31.118.10………3packetstransmitted,0packetsreceived,100%packetlossDebug$防火墙命令-Debug命令-ping•用途–重起防火墙•reboot防火墙命令-reboot•用途–主要用于防火墙的路由表显示,和iproutels等价,但是输出方式不一样•route–显示防火墙的静态路由表防火墙命令-route•用途–telnet远程主机或路由器•telnet172.31.118.19防火墙命令-telnet•用途–traceroute远程主机或路由器–主要用于路径定位和排错•traceroute172.31.118.19防火墙命令-traceroute(1)温度10℃-25℃;(2)相对湿度:40%~60%(不结霜);(3)交流220V电源;(4)三芯带接地保护的电源插头和插座;(5)防火墙系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏防火墙。日常维护:保持机房温度日常维护:备份防火墙管理员证书日常维护:定期备份防火墙配置文件防火墙源地址转换•排除电源线和电源插座故障•拔下电源线再插上,再启动防火墙。检查电源指示灯是否正常,排除电源故障•如果确实无法启动,拨打技术支持电话:800-8101353。典型软、硬件故障排除-不能启动•排除串口线连接错误,检查串口线是否正确连接控制主机的COM1口和FireGate的“管理串口”•排除串口线质量故障,更换好的串口线•用超级终端登陆,是否显示登陆符号信息•如果串口无法连接,就做进一步的系统无法启动故障判定典型软、硬件故障排除-串口线不能登陆防火墙•防火墙持续重启,无法进入FC及超级终端•拔掉与内网连接的网线,发现控制机连接变得正常•用sniffer软件对内网进行探测,发现带病毒的机器,将其关机后,网络正常•用户网络中存在蠕虫病毒典型软、硬件故障排除-持续重启•顺平案例:突然断电引起不能连网,FC连接错误–排除控制口IP冲突故障,网络中是否有其它机器设置了和防火墙控制IP相同的IP–排除网络连接故障,检查控制机IP配置是否正确,检查网线,检查控制网口网卡,排除网络故障,确保可ping通控制口IP–排除防火墙控制端口没有开放故障,用telnetIP55443检查防火墙控制端连接端口是否开放–超级终端连入(保证控制线连到控制口),用root命令登录,检查防火墙时间(date命令)–解决办法:初始化防火墙本次项目的案例-FC连接错误•望都案例:内部网络和防火墙连接中断–检查防火墙物理连接正常(网火墙和交换机网路端口指示灯)–排除网络连接故障,重启防火墙,连接恢复正常,过2分钟,网络又中断–断开内网交换机,连接一台测试电脑到防火墙网口2,上网正常,一直不断网–初步判断:内网病毒引起–解决方法:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒本次项目的案例-网络断•安新案例:连接防火墙丢包严重–方法同上一个案例,拔掉所有分支,留测试机,没有丢包–初步判断:内网病毒引起–解决方法1:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒–解决方法2:在网络分支点安装二级路由器,优点1:可以隔离病毒对整个网络的干扰,优点2:在二级路由上做分级限速,避免网上某几台BT,迅雷下载的机器一工作,影响其他人的上网速度本次项目的案例-网络丢包严重•博野案例:连接防火墙丢包–初步判断:病毒引起–查毒,杀毒–网口3接测试机,不丢包,下面测试机20多个包丢1个–把三层交换上的端口限速配置去掉,下面测试机不丢包–由于网络上BT,迅雷下载使用非常频繁,不做限速,一两个人使用BT或迅雷就能把网络带宽全占满,考虑网络结构因素,增加分支路由不可能,而20多个包丢1个,是三层交换机限制BT或迅雷下载的结果,对正常用户不影响,所以,不做改变本次项目的案例-网络丢包•安国案例:外网正常,内网断–内网上不了网,远程FC登录防火墙,可以登录–检查防火墙配置,发现静态路由丢失–解决方法:加上静态路由配置本次项目的案例-外网正常,内网断•顺平案例:上不了网,发现是网口2网线插错到网口1•安苑案例:上不了网,远端光模重启,恢复正常•蠡县案例:部分网段上不了网,三层交换机模块故障,工作不正常•徐水案例: