搜索
TOPSECNGFW培训讲座TEL:800-810-5119FAX:010-62304552E-mail:service@topsec.com.cn第一章:防火墙的管理及维护第二章:防火墙一般故障的解决方法第三章:防火墙应急响应机制目录第一章防火墙的管理及维护本章目标:•了解防火墙登陆控制•了解防火墙VLAN设置•了解防火墙规则设置及更改•了解防火墙的状态信息•了解防火墙的实时监控•防火墙日志服务器的维护•防火墙双机情况下的维护要管理防火墙首先要登陆防火墙,防火墙4000提供3种登陆管理方式串口管理TELNET管理GUI管理第一章防火墙的管理及维护一、防火墙登陆控制命令行管理图形化管理由于防火墙命令行的管理方式比较复杂,图象化管理方式即简单又人性话,所以我们在管理时尽量使用图形化管理方式防火墙GUI登陆1.在登陆防火墙之前,先在管理机上PING防火墙的管理地址,PING通后在用防火墙集中管理器登陆防火墙2.登陆时如果提示“没有管理权限”的话就要在“串口管理”模式下添加GUI管理权限,操作步骤如下:1)在管理机上通过串口线将管理机与防火墙的串口相连2)在管理机上通过超级终端登陆防火墙第一章防火墙的管理及维护防火墙超级终端连接时的属性设置如下每秒位数:9600数据位:8奇偶校验:无停止位:1数据流控制:无防火墙串口登陆时不需用户名,只需密码,默认密码为talent3)在超级终端上添加防火墙的GUI登陆权限,具体命令如下:areashow显示防火区域属性。firewallclientaddclient_name-tGUi-aarea_name-iip1-ip2在防火墙上添加新的GUI登录用户firewallclientshow显示所有的防火墙登录用户firewallclientadd‘test'–tgui-a'ssn'–i0.0.0.0-255.255.255.255说明:在”ssn”区域新建一个可以GUI防火墙的管理客户端,并将其命名为”test”4)在确认即可PING通防火墙又有GUI登陆权限就可用防火墙的集中管理器以图形化的方式登陆防火墙进行管理第一章防火墙的管理及维护5)在防火墙集中管理器上成功登陆防火墙后显示的管理界面第一章防火墙的管理及维护二、防火墙VLAN设置先用集中管理器登陆防火墙,在“高级管理”—“特殊对象”—“透明网络”中新建一个对象,该透明对象名称随意起,对象包括的区域选择“工作站区”、“服务器区”与“外网”按上图的提示操作就可以将“工作站区”、“服务器区”与“外网”划到同一VLAN中,实现防火墙的透明接入;第一章防火墙的管理及维护三、防火墙规则设置防火墙的规则分为:默认规则与访问规则,数据包经过防火墙时是先查访问规则再查默认规则,如该数据包匹配访问规则即执行不再去查默认规则,并且在查访问规则时也是从上往下执行的,以先查到的规则为准来执行,所以在定义规则时一定要注意规则的顺序防火墙一般时候是用来防止外网对内网的攻击的,所以在设置默认规则时外网的权限可以放开,而内网与SSN的默认权限禁止防火区的默认规则设置如下(以内网接口设置为例):1.)内网的缺省访问权限设置如下,选择激活防火墙管理菜单下的网络-区域。第一章防火墙的管理及维护2.)双击“内网”,激活其属性窗口:3.)在缺省访问权限里,根据需求选择“可读”,“可写”,“可执行”,用户可以单一选择,也可自己组合。注意:“可读”,“可写”,“可执行”都选上代表默认规则全通“可读”,“可写”,“可执行”都不选上代表默认规则不通第一章防火墙的管理及维护防火墙的访问规则的定义步骤如下:1.选择防火区域在已激活防火墙集中管理器中高级管理下访问策略项目中,选择需要制定访问策略的防火区2.选择添加方式策略的添加方式可以有多种:新建,在前添加,在后添加。第一章防火墙的管理及维护3.选择策略类型选择了添加方式后,策略向导窗口被打开:首先要选择相应的策略类型,例如选择包过滤类型,以下的步骤都是针对此策略类型讨论的。点击下一步后,弹出策略源定义窗口。第一章防火墙的管理及维护4.定义策略源的对象5.定义策略目的对象选择该访问策略的访问目的对象。选择该访问策略的访问源对象第一章防火墙的管理及维护6.定义访问服务选择该访问策略包含的服务,如果用户需要制定的服务没有包含在服务列表中,在策略定义后,可以点击“自定义服务”来添加所需的服务第一章防火墙的管理及维护7.添加访问策略控制客户策略可以定义如下部分:访问权限:该用户访问目标对象的权限;日志选项:描述日志级别;连接控制:可以为普通连接,也可以为长连接,一般地防火墙对通信空闲一定时间的连接将自动断开,以提高安全性和释放通信资源,但某些应用所建立的连接需要长时期保持,即使处于空闲状态!限定时间:该访问策略作用的时间段,可以是任何时间,也可以是用户自定义的时间。策略配置完成后,可以看到所有策略的当前状态;以上访问策略为包过滤策略,相应的过滤策略,HTTP、文件资源、邮件做下图的对应选项,步骤同上:一条访问策略已经配置完成,下表总结了策略定义中主要项的含义:名字意义目的区域本访问策略所属的防火区域。目的资源0个、1个、多个文件资源。可以为空,表示所有资源。源机器表示其他区域的1个或多个网络节点、子网、对象组、用户组。访问权限读、写的组合。作用时间表示在哪个时间内这个策略有效。时间分为两部分,一个是星期,可以描述星期一到星期日中的某几天,一个是时刻,表示在一天中从哪个时刻开始,哪个时刻结束,最小单位为分钟。例如:某个策略的起作用的时间为每星期的星期一、星期四、星期天的每天的上午10:00到下午17:30。长连接普通连接如果在一段时间内没有收到报文则连接超时,以防止连接积累得越来越多。而长连接则不受这个限制,除非通信的一方主动拆除连接,否则连接不会被删除。主要用在某些必须一直保持在线的应用中,例如ATM机器必须和处理中心的服务器一直保持着连接,这个连接必须设置为长连接。第一章防火墙的管理及维护具体的操作及对象的添加请参考“防火墙应用(初级)”第一章防火墙的管理及维护防火墙规则更改防火墙规则更改只要在以添加规则上双机即可打开策略窗口第一章防火墙的管理及维护在策略窗口中选择要修改的源、目的、服务或控制按自身要求进行相应的更改注意:防火墙规则是以从上向下的顺序执行的,所以一定要注意防火墙规则的顺序,如顺序不正确可用鼠标左健点住拖动到相应的位置;移动前移动后第一章防火墙的管理及维护四、防火墙状态信息查看防火墙工作状态是否正常对整个网络环境至关重要,在“网络卫士”系列防火墙的集中管理器中,为管理员提供了一个直观的防火墙状态信息监控功能。查看方法如下:通过集中管理器登录到需要查看状态信息的防火墙,在已激活防火墙集中管理器下,选择“基本信息”-“接口状态”,其中显示了防火墙各接口的详细统计信息:第一章防火墙的管理及维护选择“基本信息”-“性能”,其中显示了防火墙CPU、内存使用情况,和防火墙现在的连接数:第一章防火墙的管理及维护五、防火墙监控器的使用在实时监控启动之前,要在“工具”中“防火墙登录控制”中添加监控器权限,否则在启动监控时会提示监控初始化失败在GUI方式下添加监控器管理客户端:在工具----防火墙登陆控制下添加第一章防火墙的管理及维护在确定集中管理器有实时监控的权限后在启动监控通过对连接信息的查看,用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息,同时用户还可以设定不需要进行查看的连接的过滤条件。具体操作如下:1.在已激活防火墙集中管理器下选择“实时监控”,单击右键,选择“启动监控”:或者点击工具条上的快捷按钮:第一章防火墙的管理及维护2.启动监控后,会弹出“设置过滤器”窗口点击“增加过滤条件”,打开过滤条件的设置窗口:第一章防火墙的管理及维护在过滤条件中选择源目标和目的目标的所属区域,并输入源、目的IP(起始IP地址为0.0.0.0,结束IP地址为:255.255.255.255表示该区域的所有设备),端口(为0表示所有端口);第一章防火墙的管理及维护过滤器设置说明在高级控制中,包括监控类型(被拒绝的连接)和协议类型,如果选择“不监控此条件连接”表示不对满足此条件的连接进行监控,如果选择“停用该过滤条件”表示,监控除此条件外的所有连接。过滤器可以设置多个过滤条件,条件有先后顺序,需要将范围大的过滤条件放在后面,先设置过滤范围小的过滤条件。比如:对网络中除了IP地址为192.168.8.186外的所有连接进行监控,就需要配置两条过滤条件——条件1:设置192.168.8.186为源IP地址(起始和结束IP地址都为它,端口可设为0),将“不监控此条件连接”选项打勾,表示不监控192.168.8.186对外访问的连接;条件2:设置一条监控所有连接的过滤条件,即将源目标和目的目标设为所有区域,IP地址范围从0.0.0.0到255.255.255.255,端口为0;这两个条件设置完后,监控器将监控除IP地址为192.168.8.186以外的所有连接。第一章防火墙的管理及维护3.过滤器的的条件设置完成后,如下图所示:点击“设置”使该过滤条件即时生效,同时,在不重新启动防火墙集中管理器的情况下,如果重新启动监控,过滤器将自动载入上次(最近一次)设置的过滤条件;点击“保存过滤器”可以将所有设置的条件都在本机上以文件形式保存,下一次重新启动防火墙集中管理器后,过滤条件就会自动载入过滤器,并自动弹出过滤器设置窗口,需要用户点击“设置”按钮,过滤器中的条件才能设置到防火墙上起到过滤连接信息的作用。第一章防火墙的管理及维护4.当过滤条件设置成功后,就可以看到当前的连接信息:第一章防火墙的管理及维护5.如果在连接信息中发现了有非法连接,用户可以选择该连接,单击右键,选择“删除选中连接”:或者点击连接后,选择工具条上的快捷按钮:该连接就会被防火墙强制断开,断开的连接将显示在连接信息下的断开连接信息表中:第一章防火墙的管理及维护当显示的连接数过多时,用户可以设置当前可显示连接数和断开连接数的最大值,将鼠标移至连接信息显示窗口处,单击右键,选择“设置显示连接最大值”:设置需要显示的最大连接数:第一章防火墙的管理及维护六、防火墙日志服务器的维护防火墙日志服务器的维护主要是服务中的两个服务QuerySvrMonitorService和LogSvrMonitorService与SSL代理有没有启动a)日志服务启动和停止,打开通过控制面板服务选项其中在服务进程表里,日志服务器会有两个服务:QuerySvrMonitorService和LogSvrMonitorService,你可以在这里启动、关闭这两个服务。第一章防火墙的管理及维护b)SSL代理服务的启动、关闭SSL代理服务负责审计管理器和日志服务器通讯的加密。SSL代理服务器如果启动,会直接在任务栏里看到,如果没有启动,请在开始菜单下的‘启动’一栏里启动它。c)在确认以上3项都启动后可查看日志服务器与防火墙通讯是否正常,可在日志服务器的DOS命令行下输入NETSTAT命令查看,如显示有与防火墙地址的4000端口的连接表示日志服务器与防火墙的通讯是正常的具体的操作可参考“防火墙应用(高级)”中的日志服务器典型应用d)一台防火墙日志服务器可以同时记录16台防火墙的日志第一章防火墙的管理及维护七、防火墙双机维护1)作为双机热备的两台防火墙必须保证配置的一致性,也就是说要是完全相同硬件与软件的防火墙两台,并且防火墙配置也要保持一致,在防火墙使用过程中更改配置是经常有的,重要的是更改完配置要在“工具”下的“防火墙配置管理”中点“同步”将更改完的配置传到另一台防火墙(非工作的防火墙“从墙”)上,以保证两面配置的一致性;2)作为双机热备的两台防火墙的最后一个100M以太网端口(称为“状态同步端口”)只用来做两台防火墙的状态信息传送,不参与其他网络通信,但该接口或接口所连的网线有问题会导致两台防火墙同时工作,即网络中同时出现两台主墙,导致网络中断,在出现该问题时建议关掉其中一台防火墙即可