收藏
下载资源 加入VIP免费专享

网御星云LSPE-FW技术培训.ppt

上传人:牧羊曲112 文档编号:5812792 上传时间:2023-08-22 格式:PPT 页数:262 大小:13.20MB
返回 下载 相关 举报
网御星云LSPE-FW技术培训.ppt_第1页
第1页 / 共262页
网御星云LSPE-FW技术培训.ppt_第2页
第2页 / 共262页
网御星云LSPE-FW技术培训.ppt_第3页
第3页 / 共262页
网御星云LSPE-FW技术培训.ppt_第4页
第4页 / 共262页
网御星云LSPE-FW技术培训.ppt_第5页
第5页 / 共262页
点击查看更多>>
资源描述

《网御星云LSPE-FW技术培训.ppt》由会员分享,可在线阅读,更多相关《网御星云LSPE-FW技术培训.ppt(262页珍藏版)》请在三一办公上搜索。

1、网御星云LSPE防火墙/UTM技术培训,防火墙基本概念介绍,什么是防火墙?,防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通常是网络安全防护体系的最外一层。,防火墙基本概念介绍,什么是防火墙?,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,防火墙基本概念介绍,什么是防火墙?

2、,防火墙主要技术介绍,透明模式,防火墙主要技术介绍,路由模式,防火墙主要技术介绍,混合模式,防火墙主要技术介绍,源地址转换,什么是 NAT?(源地址转换)网络地址转换(NAT,Network Address Translation)属接入广域网技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。,防火墙主要技术介绍,源地址转换,防火墙主要技术介绍,源地址转换,源地址转换的好处:节约地址资源隐藏内部网络地址源地址转换的用途:从受信任网络访问非受信任网络,防火墙主要技术介绍,目的地址转换,什么是 映射?(目的地址转换)就是当

3、外网访问防火墙的一个公网地址时,防火墙会自动将访问请求映射到对应局域网主机/服务器。,防火墙主要技术介绍,目标地址转换,防火墙主要技术介绍,包过滤技术,数据包的形式:防火墙能利用包头的信息进行过滤,仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目,防火墙主要技术介绍,什么叫状态检测?,每个网络连接包括以下信息:源地址、目的地址;源端口和目的端口;协议类型;连接(会话)状态(如超时时间,TCP连接的状态)等;防火墙把这些信息统称为状态,能够检测这些状态的防火墙叫做状态检测防火墙。,防火墙主要技术介绍,状态检测的优点?,(与包过滤防火墙相比)更

4、安全:检查内容=包过滤检查内容+连接状态更高效:包过滤收到一个包,检查一遍规则集状态检测先查状态表,再查规则集,防火墙主要技术介绍-软件技术,综合安全防护网关,监测/阻断系统入侵,隔离蠕虫/网络病毒,隔离混合攻击,阻断木马/后门,防止地址欺骗,抗拒绝服务攻击,屏蔽端口扫描,防火墙,防止数据窃听和篡改,防火墙主要技术介绍-软件技术,ASIC架构,NP网络处理器架构,多核硬件架构,18,防火墙主要技术介绍-硬件发展,防火墙主要技术介绍-自主知识产权VSP,防火墙主要技术介绍-硬件架构,上图的硬件架构具有下面特点:系统中集中多个CPU(,这些CPU可以并发地执行多个指令,不象单CPU采用时分复用或者

5、流水线方式达到逻辑上并发执行指令,各个CPU有自己独立的指令单元,相互之间没有依赖;每个CPU内部有多个线程T1Tn,每个线程有自己独立的算术逻辑单元、寄存器组和控制单元,如果一个Chip上有m个CPU,每个CPU有n个Thread,那么一个Chip上相当于有mn个虚拟CPU;所以Super V一共具备N个可独立进行运算的vCPU,成为高性能安全网关处理系统核心,防火墙主要技术介绍-硬件架构,22,防火墙主要技术介绍-并行编程模型化,Super V诞生,Super V应多核时代应运而生:高性能提高单处理器的主频 网络处理器多核多线程处理器Super V的远见:考虑到多核编程的灵活性考虑到产品升

6、级换代的问题考虑到业务布局的灵活性Super V的重大价值:万兆安全业务处理性能Windrunner并行运算扩展灵活,23,防火墙主要技术介绍,简单包过滤技术,检查项,IP 包的源地址,IP 包的目的地址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,防火墙主要技术介绍-技术原理,IP 包,检测包头,下一步处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,状态检测过滤流程,符合,防火墙主要技术介绍-技术原理,记录,1,http:/,2,我不是蠕虫!,/downloads/.rmvb

7、,3,OK,记录,2,非法字段,!,增量状态表,基于内容增量检测技术的防火墙,综合安全过滤,26,防火墙主要技术介绍-技术原理,优势,优势特点虚拟化防火墙/VPN网关产品,虚拟化安全网关的技术优势,产品形态:基于License控制Firewall功能模块化,产品适应性:便于云计算中心内部署和扩展,产品部署模式:路由、透明、混合可控制虚拟机之间的信息交换,虚拟化环境支持:支持Vmware、Xen、KVM等国内外主流云计算平台,Super V主要功能特性,防火墙主要技术介绍-技术原理,Power V防火墙安装调试,登录管理 透明接入 路由&NAT接入 路由设置 安全策略 VPN设置 HA设置 会话

8、管理 病毒防护设置攻击防护设置注意事项,目录,防火墙功能介绍,案例1.登录管理,设备支持的登录管理方式:HTTPSSSHTelnet consolePPP(不建议使用)默认管理接口:eth3:Eth0:默认管理IP:,案例1.登录管理,WEB管理-登录管理,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击浏览器证书(admin.p12),按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。,案例1.登录管理,WEB管理-浏览器证书导入,修改本机的IP地址为:,子网掩码:将随机附带的网线连接电脑的网卡接口与设备的0号网口开启设备电源,等待约2分钟后,

9、可尝试用ping命令测试设备是否已正常启动,在命令行输入”ping 10.1.5.254”,是设备0号口的默认地址,注意,如果您拿到的是双电源的设备,只接一根电源的话,设备会发出蜂鸣声报警,可以按一下电源插口旁边的红色按钮来取消报警,当上述准备工作完成后,我们在管理主机打开IE浏览器并输入https:/10.1.5.254:8889,出现选择证书提示后,选择名称为“10.1.5.200”的证书,再点击“确定”按钮。注意:请使用IE8.0的浏览器来管理设备,其他浏览器可能会出现异常,当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https:/10.1.5.254:8889,出

10、现选择证书提示后点击“确定”画面。密码默认为bane7766,WEB管理-登录,案例1.登录管理,密码错误导致的锁定问题,用户登录3.6.0.2版本防火墙web界面,默认情况下如果连续输入错误的用户名密码3次,防火墙系统将锁定该用户直到防火墙重启。该参数在管理员账号管理可最大修改为10次,管理主机,防火墙出厂时默认的管理主机地址是,当接入一个新的网络环境中时,首先要进行管理主机的配置。可根据实际环境填写管理主机的范围,主机地址在该范围内是管理该设备的一个必要条件例子:可以增加:地址为7.0.0.0 子网掩码为的管理主机,管理主机无法管理防火墙问题说明,墙接口与默认管理主机不在同一网段;而管理主

11、机列表中没有能管理墙的主机,案例1.登录管理,WEB管理-无法管理问题,管理主机通过web管理防火墙的必要条件,管理主机使用合适的浏览器,导入了管理员证书管理主机可以连通防火墙管理IP(路由可达)防火墙上绑定该IP的接口启用了管理功能管理主机的IP地址在防火墙的管理主机列表中,案例1.登录管理,WEB管理-首页信息,案例1.登录管理,WEB管理-仪表盘,案例1.登录管理UTM,WEB管理UTM-仪表盘2,案例1.登录管理,WEB管理-接口流量曲线,案例1.登录管理,WEB管理-最新事件,模块许可开通,默认情况下很多功能没有开通,需要在模块许可功能中开启如果是UTM设备,则需要开启防病毒和IPS

12、功能开启功能后需要刷新页面才能看到相应的菜单,案例1.登录管理,WEB管理-日志存储类型,支持将感兴趣的日志保留并导出,案例1.登录管理,WEB管理-日志分类查看,保存配置,修改过设备的配置后需要保存,否则重新启动后会丢失未保存过的修改,保存配置,点击保存按钮后请耐心等待操作进度提示完成后再进行其他操作,案例1.登录管理,WEB管理-模块配置导入导出,防火墙功能介绍,案例2.透明接入,案例2.透明接入,透明接入多部署于拓扑相对固定网络,为了不改变原有网络拓扑,常采用此部署方式(防火墙本身作为网桥接入网络)。按照此方式部署后的防火墙如出现软硬件故障,可以紧急将防火墙撤离网络,不必更改其他路由、交

13、换设备的配置。按照目前的网络情况,透明接入主要用于在网络骨干建设完毕的网络中加入应用防护设备,如UTM。,透明接入概述,Brg:,eth2,eth3,透明接入模式防火墙配置需求:防火墙配置的eth2eth3口配置为透明模式。允许工作站访问服务器的HTTP服务。工作站不能访问服务器的其它服务。,透明接入拓扑图,透明接入:物理设备配置,点击物理设备列表右侧的操作按钮,将设备工作模式修改为“透明模式”,选中“是否启用”右侧的勾选框,再点击“提交”按钮,透明接入:桥设备,点击桥设备列表右侧的操作按钮,透明接入:桥设备,根据实际情况填写桥设备的IP地址,(如实际部署中该桥设备没有IP地址也可不填),如果

14、有IP地址,可勾选用于管理、允许PING”,允许Traceroute,将需要绑定的物理设备加入绑定设备列表,取消选中“开启STP”右侧的勾选框,选中“是否启用”右侧的勾选框,再点击“提交”按钮,安全策略,安全策略,点击源地址/目的地址右侧的下拉按钮,点击“新建地址”,地址定义,分别定义源地址客户端C:目的地址服务器S:在定义单个地址时,子网掩码应设为,安全策略,在源地址处选择“客户端C”,目的地址处选择“服务器S”服务处选择“http”,点击“提交”确定,在选择服务时输入头几个字母可以快速定位,可根据需要输入相应的备注,工作站可以访问服务器192.168.1.200的HTTP服务,安全策略,安

15、全策略:禁止规则,在源地址处选择“客户端C”,目的地址处选择“服务器S”访问控制处选择“禁止”,点击“提交”确定,至此,工作站可以访问服务器192.168.1.200的HTTP服务,但是不能访问服务器192.168.1.200的其他服务,透明接入,注意事项,防火墙与其它以太网设备连接时,如低端光纤收发器、低端ADSL路由器等,可能会出现链路层协商问题。表现为:网络延迟、数据包丢包、网络抖动等。出现此类问题,可以将防火墙接口的链路工作模式由自适应强制为100M全双工、100M半双工、10M全双工、10M半双工并逐一下测试。(注:光纤接口只能更改双工模式,不可以更改链路速度)如图,案例2.透明接入

16、,透明接入常见问题和注意事项,如果防火墙部署在两台交换机之间,应提前向用户询问两台交换机之间的链路是否为二层TRUNK模式。如果是TRUNK模式,应在防火墙安全选项中打开二层协议包过滤策略功能:,案例2.透明接入,防火墙功能介绍,案例3.路由&NAT接入,案例3.路由&NAT接入,路由&NAT接入概述,配置路由/NAT模式的防火墙多部署于网络边界,或者是连接多个不同网络,起到保护内网主机安全,屏蔽内网网络拓扑等作用。,eth2,eth3,工作在路由/NAT模式下防火墙配置需求:本案例拓扑为一个只有两个网段的小型局域网。服务器开放http服务。允许工作站访问服务器的http服务禁止工作站访问服务

17、器B其它服务。,Cilent A,Server B,路由/NAT模式(不做NAT转换),将设备工作模式修改为“路由模式”,选中“是否启用”、“允许ping”、“允许traceroute”右侧的勾选框,“用于管理”可根据实际情况选择,设置好IP地址和掩码,再点击“提交”按钮,网络接口配置完成后,仍然需要添加相应的安全策略,路由/NAT模式(不做NAT转换),安全策略的添加与防火墙工作模式无关,前面已经介绍过了。这样防火墙允许工作站访问服务器的http服务。在此拓扑下,客户端和服务器需要把本机网关指向防火墙接口地址,路由/NAT模式(不做NAT转换),案例3.路由&NAT接入,路由&NAT接入NA

18、T概述,网络地址转换NAT为IETF定义标准,用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。另外网络地址转换NAT经常作为一种网络安全手段使用,安全域内的机器通过NAT设备后源地址被重新封装,起到一定屏蔽内网作用。,内网,外网,客户端,eth0,eth3,服务器S:,防火墙工作为路由/NAT模式。内部客户PC需要通过防火墙访问外部网络上服务。从防火墙外无法看到内部客户端的真实IP。服务器上看到的来访问的源IP是防火墙外网接口地址此模式下内部PC需将网关指向防火墙,而外部服务器不需要将网关指向防火墙,路由/NAT模式(NAT转换)

19、,外网默认网关:,路由/NAT模式(NAT转换)-网络接口地址,路由/NAT模式(NAT转换)-添加默认路由,默认路由(默认网关)IP和外网口IP地址、子网掩码一般都由ISP提供,如果某线路不是互联网出口,而是联到某专网,则无需添加默认网关,只添加静态路由即可,路由/NAT模式(NAT转换)-默认网关,该值一般设为10,需设定对应的网络接口,NAT规则,在源地址处选择“客户端C”,源地址转换为防火墙外网接口地址,点击“提交”确定,网络接口、NAT规则配置完成后,仍然需要添加相应的安全策略,这样防火墙允许内部客户机访问外网上的服务器。,路由/NAT模式(NAT转换),案例3.路由&NAT接入,注

20、意:NAT规则中不建议添加any到any的nat规则,请查明用户网络中的内网地址到底是哪个网段,然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化,会对映射、vpn产生影响。即便你在端口映射和ip映射中选择了源地址不转换,但是如果你添加了any到any的nat规则,进入防火墙的报文的源地址还是会被转换。对于送往IPsec的流量,不要进行NAT,否则IPsec规则会匹配出错。,案例3.路由&NAT接入,路由&NAT接入配置NAT策略2,NAT策略中,允许通过即意味着可以不对数据包做源地址转换,内网,外网,服务器S开放了FTP服务,eth0,et

21、h3,接口IP:别名IP地址:10.100.100.2,客户端C:,防火墙工作为路由/NAT模式。外部客户PC需要通过防火墙访问内网的服务器提供的服务客户端访问的是防火墙接口IP地址本案例要求外网能通过公开地址访问内部服务器的FTP服务,端口映射和IP映射,外网默认网关:,案例3.路由&NAT接入,端口映射和IP映射-网络接口地址配置,案例3.路由&NAT接入,端口映射和IP映射-添加别名设备,防火墙接口上可绑定多个别名设备,当在外网口需要多个IP地址映射到内部不同服务器时,需要先添加别名设备,案例3.路由&NAT接入,端口映射和IP映射-别名地址配置,每个别名设备的别名ID不能相同(0-39

22、9),别名设备需开启通告,否则可能会出现对端设备无法找到该别名IP,地址定义,在新建映射策略之前要定义服务器地址便于规则引用服务器S:,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,使用端口映射方式可减少服务器暴露在外网的风险,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,ftp服务要选用小写的,一定要关闭隐藏内部地址选项,默认是开启的,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,注意:映射规则对应的真实服务器的网关应指向防火墙,否则外网客户端无法访问真实服务器。,案例3.路由&NAT接入,端口映射和IP映射-添加IP映射规则,案例3.路

23、由&NAT接入,端口映射和IP映射-添加IP映射规则,一定要关闭隐藏内部地址选项,默认是开启的,案例3.路由&NAT接入,端口映射和IP映射-添加IP映射规则,注意:如果IP映射规则对应的真实服务器无法ping通,启用该规则将导致映射用的外网口IP地址也无法ping通,映射规则配置完成后,仍然需要添加相应的安全策略才能让外网客户端访问内部服务器,端口映射和IP映射,映射规则对应的安全策略目的地址应该是真实服务器地址而不是外网口地址,防火墙功能介绍,案例4.路由设置,静态路由,内网,外网,/24,eth3,eth2,外网,/30,/24,/30,/24,防火墙工作路由/NAT模式。内部客需要通过

24、防火墙访问外网上服务。防火墙和客户机之间有一台三层交换机。在防火墙上需要做回指路由保证客户机能访问外网。,物理设备配置,静态路由,添加目的地址是网段的静态路由,注意网络接口一定要选择正确,下一跳地址一定要和对应的网络接口的IP地址在同一网段内,静态路由,当静态路由所指的网口未接线时,该路由将不会生效 在本案例中,当客户机向外网发起连接时,数据包通过客户机的默认网关经交换机发送到防火墙,继续通过防火墙的默认网关发送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器,保证该连接的通畅。注:相同目的地的访问,metic值

25、越小的静态路由越优,默认路由,默认路由,防火墙连有多个接入路由设备,并且每个路由设备皆保证路由可达。各个接入路由设备之间可以实现路由冗余。可以根据各个接入路由的不同带宽自行设置权重如50:1、10:1(权重越大,路由命中的概率越大)。,防火墙各类路由匹配顺序原则,策略路由 直连路由 静态路由默认路由策略路由间遵照顺序匹配原则;静态路由间遵照最长子网掩码匹配原则;默认路由间遵照权重原则。,案例4.路由设置,路由设置默认路由均衡拓扑,案例4.路由设置,路由设置多默认路由均衡拓扑说明,1.防火墙具备两个出口eth1 eth2且皆路由可达外网服务器。2.客户端1客户端2网关指向防火墙内网接口eth3。

26、3.由于数据流量较大防火墙有路由均衡的需求,案例4.路由设置,路由设置路由负载均衡设置,案例4.路由设置,路由设置路由负载均衡设置,案例4.路由设置,路由设置ISP路由,ISP路由将不同运营商的地址进行分类,将去往不同目的地的访问数据按设置选择路由,实现按运营商区分的智能选路,注:单张ISP地址表地址上限:1024,案例4.路由设置,路由设置ISP路由,添加ISP路由表,引用定义的ISP地址,ISP路由是否生效状态根据链路up/down实时显示。,注:区别于老版本,ISP路由添加完立即生效,不需要在高级路由策略里面再次引用。,案例4.路由设置,路由设置策略路由,防火墙策略路由通过细化到源目IP

27、,流入网口,服务的策略来更好的进行数据转发,针对不同的内网用户指定不同的路由策略,注:防火墙添加策略路由,策略路由会优先于直连路由。解决办法:在高级路由表中添加下一跳全零、指定流出网口的路由。,案例4.路由设置,路由设置策略路由,策略路由流入网口可以选择any,简化了多网口策略路由的配置过程Ip rule show命令可以查看当前防火墙设备所存在的路由,从上面可以看出优先级为1的路由为我们所添加的策略路由,案例4.路由设置,路由设置基本路由总结,默认路由:拨号的默认路由目前由系统自动添加;当PPPOE拨号成功后,系统自动添加基于拨号的默认路由(网关,流出网口dialX)针对出现的默认路由不生效

28、问题,查看“mrglb“进程是否工作正常:ps aux|grep mrglb。如果此进程处于未工作状态,会导致默认路由无法添加,解决办法,重新启动该进程:/usr/sbin/mrglb。查看默认路由监控进程日志命令:cat/var/log/fw.log|grep mrglb 静态路由:静态路由根据链路状态实时变化,链路down则静态路由失效,链路up则静态路由生效(静态路由添加上限1024)ISP路由:ISP地址添加格式为,且ISP地址表名称为英文,单个ISP地址表上限为1024。查看所添加的ISP路由条目ip route ls table 20 x 接口路由(0)策略路由(1)ISP路由(2

29、0X)直连路由(main)静态路由(main)默认路由(main),案例4.路由设置,路由设置动态路由,新版防火墙全面支持IPV4、IPV6的动态路由协议,包括OSPF、RIP、组播、OSPFV3、RIPNG。增强了防火墙部署的网络适应性,在某些特殊环境中,可以采用上述协议让防火墙参与动态路由的运算,案例4.路由设置,路由设置OSPF路由,防火墙参与OSPF网络环境,案例4.路由设置,路由设置OSPF路由,配置防火墙在OSPF中的router-id、需要进行重发布的路由、涉及到的OSPF区域、防火墙上需要进行network的网段、是否修改参与OSPF接口的hello报文参数值以及邻居之间协商的

30、认证方式(none、text、MD5),案例4.路由设置,路由设置组播路由,防火墙运行组播网络环境,案例4.路由设置,路由设置组播路由,防火墙在网络路由可达的基础上运行组播,配置要启用组播的接口,运行组播路由的模式(pim-sm)防火墙接口igmp的启用和设置需要root下advroute terminal pim进入zebraenableconfigure terminal选择接口interface ethx,防火墙功能介绍,案例5.安全策略,安全策略-概述,包过滤是防火墙最基本最核心的功能,Power V防火墙提供基于状态检测技术的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎,

31、并且为防火墙内安全域提供信息安全保证。包过滤功能除支持全部的TCP/IP协议簇外还通过在“安全选项”页面对一些非IP协议进行控制。,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,符合,状态检测包过滤检测机制,丢弃,下一步处理,IP数据包,检测包头,安全策略,规则按照序号从小到大顺序进行匹配。没有明确允许的数据包都会被禁止。预先定义地址对象、服务对象,在安全策略中引用。尽量合并同类规则,保持规则数量500以内。,安全选项,启用安全选项中的包过滤缺省允许功能相当于在所有防火墙规则的最后添加一条任意到任意的全通规则,地址定义,地址定义的类型分为地址、地址组、地址池,地址

32、组中可以添加已定义好的地址,在其他条件相同的安全策略引用多个地址的时候,将这些地址加到一个地址组中,让安全策略直接引用该地址组可以起到简化安全策略的目的,地址组,如图,可以将“客户端1“和”客户端2“加入到”客户端组“中,再到安全策略中引用客户端组,服务定义,在安全策略或其他规则中要引用的资源(如地址资源,服务资源)需要事先定义,服务定义的类型分为预定义服务、动态服务、ICMP服务、基本服务、服务组,自定义服务时使用基本服务来进行定义下图中定义了一个使用TCP9080端口的服务注意:定义服务时一般只需要填写目的端口,服务组,服务组中可以添加已定义好的服务在其他条件相同的安全策略引用多个服务的时

33、候,将这些服务加到一个服务组中,让安全策略直接引用该服务组可以起到简化安全策略的目的,服务组定义,如图,可以将“http“和”ping“加入到”http_ping“服务组中,再到安全策略中引用服务组,在安全策略中引用服务组和地址组,像引用地址和服务一样,在安全策略中可以直接引用服务组和地址组,防火墙功能介绍,案例6.VPN设置,案例6.VPN设置,VPN概述,网御安全网关的VPN(虚拟私有网络)功能模块使得用户可以在Internet上构建基于IPSec(IP 数据包加密)技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN,具有同本地私有网络一样的安全性、可靠性和可管理性等特

34、点,同时大大降低了建设远程私有网络的费用。VPN 模块支持IPSec协议和SSL协议,提供网络层报文的身份鉴别、加密和完整性认证等功能。,案例6.VPN设置,IPSec VPN网关到网关网络拓扑图,上图是模拟局域网-局域网的应用环境。网段是192.168.1.0 和网段是192.168.2.0 可以通过防火墙之间建立的加密隧道互访。,案例6.VPN设置,IPSec VPN设置,案例6.VPN设置,IPSec VPN设置,案例6.VPN设置,IPSec VPN设置,案例6.VPN设置,IPSec VPN设置,此处设定的预共享密钥将作为IKE设置中密钥的默认值,案例6.VPN设置,IPSec VP

35、N设置,案例6.VPN设置,IPSec VPN设置,此处可以为每个IKE设定不同的密钥,每个IKE的IP地址不能相同,案例6.VPN设置,IPSec VPN设置,案例6.VPN设置,IPSec VPN设置,防火墙跨3层设备建立网关隧道,1.拓扑图:,两防火墙跨路由器建立网关隧道,协商口都是eth1FW1保护网段为保护网段为,防火墙跨3层设备建立网关隧道,2.防火墙配置 1)网络接口配置,防火墙跨3层设备建立网关隧道,2)路由配置(该拓扑中添加一条默认路由即可),两防火墙把默认路由都指向路由器接口即可,防火墙跨3层设备建立网关隧道,3)vpn基本配置(vpnIPSec基本配置),防火墙跨3层设备

36、建立网关隧道,4)vpn规则配置,vpnIPSecvpn规则,两端的vpn规则要对应,否则隧道无法建立,5)IKE配置,vpnIPSecIKE配置,防火墙跨3层设备建立网关隧道,6)网关隧道配置,vpnIPSec网关隧道配置,防火墙跨3层设备建立网关隧道,7)监控页面启动隧道,vpnIPSec隧道监控,防火墙跨3层设备建立网关隧道,两端都启动后,监控页面:,防火墙跨3层设备建立网关隧道,8)安全策略配置 根据实际需求配置。如果只是单向访问,只添加单向的安全策略即可。如果是双向访问,则两端都要做相应配置。例如:此拓扑中要求只有fw2端pc可以访问fw1端pc,安全策略如下:防火墙地址,新建所要放

37、行流量所在网段 防火墙策略,添加安全策略,3.验证流量是否进隧道(两端PC发ping包为例)FW2端保护pc向FW1端保护PC发ping包 监控页面显示:,后台抓包查看:,两端受保护pc的流量已经被网关隧道加密,网关隧道建立成功,防火墙跨3层设备建立网关隧道,客户端隧道配置方法,安装客户端,1、执行setup程序,2、点击下一步,保持默认配置即可,最后重启完成安装,3、注册首次运行程序将提示用户进行注册:,输入注册码,进行注册。注册成功如下提示:,安装客户端,如果没有退出客户端请先退出再进行卸载。点击下一步,进行卸载,最后重启完成卸载,卸载客户端,测试拓扑1:,基本配置举例1,1、配置安全策略

38、2、配置VPN规则3、配置IKE规则4、配置客户端隧道5、启动VPN,客户端到网关隧道配置流程,1、配置安全策略,进入页面【防火墙】【策略】【安全策略】。点击“新建”按钮,进行如下配置,放行进入VPN的流量。其中net1-2-3-0和net55-6-7-0是两个地址列表,添加成功,显示如下图:,1.配置安全策略,2.启动IPSec服务,2、配置VPN规则,添加成功,显示如下图:,3.配置VPN规则,4.配置IKE,添加成功,显示如下图:,如需修改配置,可以点击右侧的修改图标:,验证IKE配置,5.配置客户端隧道,添加成功,显示如下图:,验证客户端隧道配置,6.启动隧道,1、启用客户端2、使用向

39、导配置隧道3、手动添加隧道4、启动隧道,客户端流程,初次运行客户端请先启用客户端!,启用客户端,进入如下界面,点击“向导”按钮,运行向导,填写隧道名称,本地有效,指定隧道名称,填写远程网关地址和对端保护子网:,指定VPN接入网关、网络,选择认证方式:,指定隧道认证方式,配置预共享密钥,设置预共享密钥,核对配置信息,无误后点击【完成】按钮:,确认配置,向导配置过程中不能配置高级选项,想要配置这些功能可以使用手动添加的方式:,手工配置隧道,如果要配置高级选项,请点击【高级】按钮:,配置隧道基本参数,高级选项卡可以配置如下内容:,配置高级选项,完成配置如下:,配置完成,进入监控页,选中隧道后,点击【

40、连接】按钮,监视页面,如果隧道建立,则其SA状态显示为“已建立”,成功接入VPN,此时查看防火墙上的监控页面如下:,查看隧道的具体信息,点击隧道名称右侧的图标即可:,在防火墙端查看隧道信息,防火墙功能介绍,案例7.HA设置,案例7.HA设置,HA概述,网御Power V防火墙双机热备功能可以在路由模式、透明模式和混合模式下使用。网御Power V防火墙双机负载均衡功能可以在路由模式下使用。,案例7.HA设置,HA使用拓扑,双机热备,案例7.HA设置,HA热备配置说明,配置顺序1、先配置主墙HA参数,以及其他所有配置。2、从墙离线配置HA参数,保存后关机。3、从墙与主墙连接心跳线,并且开机。4、

41、在主墙上同步节点配置(网络配置 HAHA基本参数查看HA状态同步所有节点配置,也可以通过系统监控HA状态同步所有节点配置 来实现配置同步)。确认“节点配置同步”栏中 所有节点状态为“已同步”。5、连接从墙的数据线,将从墙接入网络中。6、测试双机是否正常工作。,案例7.HA设置,HA热备配置界面,HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口,案例7.HA设置,HA热备配置界面,案例7.HA设置,HA热备配置界面,案例7.HA设置,HA使用拓扑,负载均衡,案例7.HA设置,HA负载均衡配置说明,由于LFRP集群中各防火墙节点对应的业务数据网口的IP和MAC地址分别相同,交换机必须得

42、支持单mac多端口转发(大多数交换机都支持),这样可以确保LFRP集群中所有的节点都收到相同的业务数据(各节点根据数据帧的hash和本节点优先级决定是否处理收到的数据帧)。交换机的单mac多端口转发可以使用如下命令配置 举例 mac-address-table static 0090.3e8d.6400 vlan 100 interface fastethernet0/11 fastethernet0/12,案例7.HA设置,HA负载均衡配置界面,HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口,案例7.HA设置,HA负载均衡配置界面,案例7.HA设置,HA会话同步拓扑,会话同步,

43、案例7.HA设置,HA会话同步配置说明,注意该拓扑为状态同步的透明环境下的一种典型应用,但也可以在双链路路由环境下运行,起到会话保护的作用在该拓扑中如需正常使用,需交换机配置链路聚合;防火墙除配置状态同步外,还需配置端口联动,案例7.HA设置,HA会话同步配置界面,HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口,案例7.HA设置,HA-新版防火墙HA功能总结,1、支持的部署模式和原有版本保持一致:路由、透明、混合模式的HA双机热备;路由模式的HA负载均衡;路由、透明模式的HA会话同步;2、新版防火墙HA功能在稳定性、适应性上得到了更大的优化3、防火墙HA负载均衡需要交换机支持单m

44、ac多接口转发例:mac-address-table static 0090.3e8d.6400 vlan 100 interface fastethernet0/11 fastethernet0/12,防火墙功能介绍,案例8.会话管理,案例8.会话管理,会话管理概述,连接管理功能提供状态监控功能,可以提供连接状态统计、分析、管理功能。(目前没有并发数统计、排序),只能设置各种连接默认timer。可以协助网络管理人员查出内网或外网中有问题的客户端,并且可以通过进行连接数限制,切断其网络访问。(目前只能查看,不能管理),案例8.会话管理,会话管理计时器设置,案例8.会话管理,会话管理会话统计,案

45、例8.会话管理,会话管理会话管理,UTM功能介绍,案例9.病毒防护设置,案例9.病毒防护设置,病毒防护概述,病毒防护,英文即Anti-virus(简称AV),是安全网关系统的重要功能之一;病毒防护策略用于组织各种协议进行病毒防护,其中包括:HTTP、FTP、SMTP、POP、IMAP以及两种典型应用MSN和Webmail;病毒检查分为内核扫毒(快速模式)、代理扫毒(全面扫毒),案例9.病毒防护设置,病毒防护拓扑图,Brg:,eth1,eth2,客户机:,病毒服务器,本案例UTM配置需求:UTM的eth1eth2口配置为透明模式,配置管理ip:。新建一条名字为av的病毒防护策略,引用标准病毒防护

46、模板。新建一条包过滤策略,策略的病毒选项中引用“av”病毒防护策略。通过ftp下载存储与服务器的等病毒样本,在UTM的最新事件和日志中查看相应的现象。,案例9.病毒防护设置,病毒防护特征升级,案例9.病毒防护设置,病毒防护配置病毒防护策略,案例9.病毒防护设置,病毒防护配置策略,案例9.病毒防护设置,病毒防护文件过滤器,启用压缩文件扫毒只针对内核扫毒功能生效;缓存大小、病毒文件白名单后缀、病毒文件黑名单后缀针对代理扫毒功能设置;,案例9.病毒防护设置,病毒防护隔离功能,病毒防护病毒文件隔离,该功能只适用于代理扫毒;需要在设备上连接一块FAT32格式的U盘方可使用启用;选择需要隔离的协议,使用的

47、U盘,当设备检查到AV病毒时会将病毒文件隔离到U盘中,以备用户后续审计查看;病毒文件的存储上限时根据U盘大小而定的,当U盘存满之后设备不会再向U盘存储病毒文件。,案例9.病毒防护设置,病毒防护病毒主机隔离,该功能只适用于快速扫毒;选择主机隔离检查的协议类型(支持多选);在设备检查到AV病毒之后,会将攻击的源IP所属的主机加入IP黑名单中,隔离时间由用户自己选择。,案例9.病毒防护设置,病毒防护自定义病毒特征,用户可以根据需要自己定义病毒特征,实施病毒防护;病毒特征中填充的是文件16进制码,长度以页面提示的为准;自定义病毒特征只支持内核扫毒;,案例9.病毒防护设置,病毒防护服务端口,除了FTP之

48、后其它端口都允许增加5个自定义端口,案例9.病毒防护设置,病毒防护AV云防护代理,设备将检测到的病毒信息上传至网御星云云防护中心,供安全人员分析。,案例9.病毒防护设置,病毒防护问题,代理扫毒(全面扫毒)可能存在以下风险:并发过高后,HTTP访问缓慢,页面打开时延大,所以建议使用内核扫毒。代理扫毒不支持纯透明环境下部署(可以在路由和混合模式下部署),案例9.病毒防护设置,病毒防护IPV6下的AV功能,案例9.病毒防护设置,病毒防护日志,最新事件的显示的是IPV6下的病毒日志,该版本在此处增加了阻断动作,用户手动设置阻断;设置的阻断信息在防火墙-黑名单-主机服务黑名单可以看到,案例9.病毒防护设

49、置,病毒防护最新事件的阻断功能,案例9.病毒防护设置,UTM功能介绍,案例10.攻击防护设置,案例10.攻击防护设置,攻击防护概述,入侵防护功能是UTM安全网关配置的重点。应用入侵防护功能,首先需要定义入侵防护策略,然后将此策略在包过滤中引用并生效。,案例10.攻击防护设置,攻击防护拓扑,攻击机,被攻击服务器,Brg:,eth1,eth2,本案例配置需求:UTM的eth1/eth2口配置为透明模式,配置管理ip:。新建一条名字为ips的入侵防护策略,引用标准入侵防护模板。新建一条包过滤规则,源地址是X.X.X.X,目的地址是X.X.X.X,入侵防护策略处引用IPS策略。攻击机发送攻击回放包,在

50、UTM最新事件和日志中查看相应的现象。,案例10.攻击防护设置,攻击防护IPS特征升级,案例10.攻击防护设置,攻击防护IPS策略配置,默认有4个攻击防护模板可以使用,这些模板分别针对一些特定的使用环境。用户也可以自定义的攻击防护策略。,案例10.攻击防护设置,攻击防护自定义特征,针对特殊情况,用户也可以自定义攻击特征,应用之后该特征会自动加载在所有的策略模板中,案例10.攻击防护设置,攻击防护入侵场景保留,从发现攻击的一瞬间开始,记录一定长度的数据包,以便于事后审计,在插入U盘的时才可配置启用,FTP只用于U盘存储满后才开始上传。,案例10.攻击防护设置,攻击防护入侵场景保留,案例10.攻击

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号