《天融信防火墙设置.ppt》由会员分享,可在线阅读,更多相关《天融信防火墙设置.ppt(71页珍藏版)》请在三一办公上搜索。
1、,天融信防火墙使用培训,Internet,一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,防火墙的接口和区域,接口和区域是两个重要的概念接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要
2、对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。,防火墙提供的通讯模式,透明模式(提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。路由模式(路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根
3、据区域规划配置IP 地址。综合模式(透明+路由功能)顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。,Internet,内部网,ETH0:,ETH1:,ETH2:,网段,网段,外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,Internet,内部网,ETH0:,ETH1:,ETH
4、2:,网段,网段,外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。,路由模式的典型应用,综合接入模式的典型应用,ETH1:,ETH2:,网段,网段,此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式,网段,ETH0:,两接口在不同网段,防火墙处于路由模式,两接口在不同网段,防火墙处于路由模式,两接口在同一网段,防火墙处于透明模式,网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,具体请见下表:,防火墙的工作状态,在安装配置防火墙之前必须弄清楚的几个问题:1、路由走
5、向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制),10,安装了防火墙后,可以为网络起到如下安全保障作用:,1、在互联网接口处提供安全保护措施,防止外部入侵。2、对服务器进行保护,不仅防止来自互联网的攻击,也可以防止内部员工利用内网对服务器进行攻击。3、构建VPN,解决总部和分支机构间的互联互通和移动办公需求,合作伙伴、在家办公的员工、
6、出差在外的员工可以在企业之外访问公司的内部网络资源。4、通过安全检查,过滤包含非法内容的网页,邮件,FTP5、带宽管理,确保即使在网络出现拥堵时,企业老总、中层领导、重要部门也能够快速、便捷、顺畅、优先上网,11,安装了防火墙后,可以为企业起到如下安全保障作用:,6、对员工上网进行管理,防止他们在上班时间利用网络做与工作无关的事,而且控制策略多种多样。例如:-只能访问与工作有关的网站-不能进入QQ聊天室-不能玩网络游戏-不能用BT、电驴等P2P工具下载电影7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限制上网,对员工李四允许上网,假如张三企图用李四的电脑上网,也一样不能得逞。8、控制
7、策略还可以基于时间。例如可以限制张三只能在下午七点到十点之间上网,在这个时间段以外就不能。9、可以限制每台主机,每个网段的并发连接数。,天融信防火墙安装配置,硬件一台 NGFW TG-1507 外形:19寸1U标准机箱,(产品参考外形),接COM口,管理机,直通线,交叉线,串口线,PC,Route,Swich、Hub,直通线,CONSOLE线缆(RJ45线缆加DB9口转CONSOLE接口头)UTP5双绞线-直通(1条,颜色:白色)-交叉(1条,颜色:红色)使用:直通:与HUB/SWITCH交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 防火墙连接)软件光盘上架附件,产品提供的附件及线缆
8、使用方式,串口(console)管理方式:用户名superman,初始口令talent,用passwd命令可修改管理员密码WEBUI管理方式(https协议):超级管理员:superman,口令:talent 可在“系统管理”“管理员”中修改密码,要求密码大于8位。TELNET管理方式:模拟console管理方式,用户名superman,口令:talentSSH管理方式:模拟console管理方式,用户名superman,口令:talent出于安全性的考虑,强烈建议修改初始密码!但请牢记修改后的密码!忘记密码必须返厂收费维修!,防火墙配置-管理方式,防火墙的CONSOLE管理方式,超级终端参数
9、设置:,防火墙的CONSOLE管理方式,输入helpmode chinese命令可以看到中文化菜单,防火墙的WEBUI管理方式,在浏览器输入:,看到下列提示,选择“是”,防火墙的WEBUI管理方式,输入用户名和密码后,按“提交”按钮.用户名:superman 密码:talent,防火墙的WEBUI管理方式,在浏览器输入:,看到下列提示,选择“是”,防火墙的WEBUI管理方式,输入用户名和密码后,按“提交”按钮.用户名:superman 密码:talent,防火墙的WEBUI管理方式,防火墙的管理方式打开防火墙管理端口,注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务
10、端口,系统默认打开“HTTP”方式。在“系统管理”“配置”“开放服务”中选择“启动”即可,防火墙的TELNET管理方式,通过TELNET方式管理防火墙:,防火墙建议配置步骤:,1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式)2、配置防火墙接口IP3、配置区域和默认访问权限4、设置路由表5、定义对象6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转换)7、制定访问控制策略8、其他特殊应用配置9、配置保存10、配置文件备份提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络中断。,INTERNET,应用需求:内网可以访问互联网服务器对外
11、网做映射 映射地址为外网禁止访问内网,WEB服务器,防火墙接口分配如下:ETH0接内网ETH1接Internet(外网)ETH2接服务器区,1、接口配置,进入防火墙管理界面,点击”网络管理“接口”物理接口“可以看到物理接口定义结果:,点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址,注意:防火墙每个接口的默认状态均为“路由”模式,2、区域和缺省访问权限配置,在“资产管理”区域“中定义防火墙区域及默认权限为”禁止访问“,防火墙管理权限设置,系统默认只能从ETH0对防火墙进行管理,添加ETH0接口为“内网”区域;ETH1接口为“外网”区域,“内网”区域添加对防火墙的管理权限(当然也可
12、以对“外网”区域添加),点击“系统管理”“配置”“开放服务”,点击添加,定义你希望从哪个接口(区域)管理防火墙,3、路由表配置,添加静态路由在“网络管理”“路由”“静态路由”添加静态路由,设置默认路由时,源和目的全为“0”,3、定义对象,添加单个主机对象点击:”资源管理“地址”“主机”,点击右上角“添加配置”,3、定义对象,添加地址范围点击:”资源管理“地址”“范围”,点击右上角“添加配置”,3、定义对象,添加地址组点击:”资源管理“地址”“地址组”,点击右上角“添加配置”,3、定义对象,添加自定义服务:防火墙内置一些标准服务端口,用户在端口引用时,但有时用户的系统没有使用某些服务的标准端口,
13、这时我们通过自定义方式加以定义。点击:”资源管理“服务”“自定义服务”,点击“添加”,可以添加单个端口或范围,单个端口只填起始端口,3、定义对象,添加时间点击:”资源管理“时间”,点击“添加”,可以设置单次和多次,注意:防火墙所有需要引用对象的配置,请先定义对象,才能引用。,源:172.16.1.21:1080目地:202.102.93.54:80,源:111.111.111.230:1120目地:202.102.93.54:80,隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能,4、NAT地址转换策略,源地址转换,4、地址转换策略配置,内
14、网可以访问互联网,需要配置源转换源选择源区域“内网区域”,目的选择目的区域“外网区域”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换,注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址,Internet,公开服务器可以使用私有地址 隐藏内部网络的结构,:80 TO:80,:21 TO:21,:53 TO:53,:25 TO:25,MAP(目的地址转换也叫映射),4、地址转换策略配置,互联网用户可以访问内部服务器资源,需要配置目的地址转换源选择“互联网区域”,目的选择“(合法IP)”,服务选择“http”,目的转换为服务器真实地址,目
15、的端口转换为选择“http”,第一条为内网访问外网做NAT;第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP,Host C,Host D,5、访问控制,Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass,1010010101,规则匹配成功,基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间基于用户 基于流量 基于文件 基于网址 基于MAC地址基于应用层过滤,5、配置访问控制,第一条规则定义“内网”可以访问互联网。源选择“
16、内网”;目的可以选择目的区域“外网”,动作“允许”(默认选项)。第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http、ftp、smtp、pop3四种应用。源选择“外网”、目的选择服务器真实的IP地址。,定义好的两条访问策略,时间控制策略,Host C,Host D,在防火墙上制定基于时间的访问控制策略,上班时间不允许访问Internet,上班时间可以访问公司的网络,Internet,规则列表需要注意的问题:1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性,访问控制规则说明,配置完成,保存配置,点击管理界面右上角“保存配置”配置完成后,配置立
17、即生效,但是一定要保存配置,否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。,导出配置进行备份,配置完成并确认运行正常以后,请备份配置文件。选择“系统管理”“维护”“配置维护”,选择“保存配置”,一些特殊应用设置,防火墙高级应用DHCP,网络卫士防火墙提供比较全面的DHCP 服务功能,能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP 服务:,1.作为DHCP 客户端,从DHCP 服务器获取动态IP 地址;2.作为DHCP 服务器,集中管理和维护客户网络主机IP 地址分配;,防火墙高级应用DHCP,防火墙作为DHCP 客户端,网络卫士防火墙可以作为D
18、HCP 客户端,接口可以自动获取某个IP 地址。在这种情况下,网络卫士防火墙的某些接口或全部接口将由DHCP 服务器动态分配IP 地址。,设置要自动获得IP 地址的接口,点击“运行”后该接口将从DHCP 服务器自动获取IP 地址。要禁止接口获得IP 地址,点击“停止”,该接口将停止从DHCP 服务器自动获取IP 地址。,防火墙高级应用DHCP,防火墙作为DHCP 服务器,网络卫士防火墙可以指定某个物理接口或VLAN 虚接口作为DHCP 服务器,为该接口所在子网的主机动态分配IP 地址,此时该接口必须工作在路由模式下。,防火墙高级应用-基于用户名的访问控制,用户认证的主要目的是为了对用户进行身份
19、鉴别、授权以及进行细粒度的访问控制,解决以往简单认证方式带来的弊端,保证用户设备之间访问的安全性。通过用户名对设备、用户和管理员身份的合法性进行认证,防止非法接入用户访问关键应用(如财务)。防火墙支持的认证方式和协议主要包括:本地认证OTP 认证服务器Basic 认证服务器证书认证服务器RADIUS认证TACACS 认证SecurID认证LDAP 认证域认证(使用Windows 域认证服务器)Web认证,与第三方认证服务器联动,Internet,RADIUS服务器,OTP 认证服务器,liming,*,防火墙将认证信息传给真正的RADIUS服务器,进行认证,将认证结果传给防火墙,支持第三方RA
20、DIUS服务器认证支持天融信的OTP认证服务器支持TACAS及TACAS+服务器支持S/KEY认证服务器,根据认证结果决定用户对资源的访问权限,下面以本地认证为例本地认证服务器主要用于本地数据库中的用户使用TOS 认证客户端通过密码方式向防火墙进行认证1.启用本地认证服务器,2.创建用户列表,3.创建用户角色,4.在相应区域开放验证服务,5.基于用户角色创建访问规则,6.设置认证客户端并启动,用户验证成功,用户验证失败,互联网,Host B,Host C,Host D,00-50-04-BB-71-A6,00-50-04-BB-71-BC,BIND 199.168.1.2 To 00-50-0
21、4-BB-71-A6,BIND 199.168.1.4 To 00-50-04-BB-71-BC,IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网,防火墙允许Host A上网,跨路由器,防火墙高级应用-IP与MAC(用户)的绑定,点击“网络管理”二层网络”ARP”,在需要邦定的地址后选择“定义”,点击“确定”,也可以手动实现IP/MAC绑定,点击“防火墙”“IP/MAC绑定”,防火墙高级应用分级带宽管理,互联网,WWW,Mail,DNS,财务部子网,采购部子网,出口带宽 512K,DMZ 区保留 256K,分配 70K 带宽,分配 90K 带宽,分配 96K 带宽,DMZ 区域,内部网络,总带宽512 K,内网256 K,DMZ 256 K,70 K,90 K,96 K,+,+,+,财务子网,采购子网,生产子网,生产部子网,Host C,Host D,Host B,Host A,受保护网络,net,IDS,黑客,发起攻击,发送通知报文,验证报文并采取措施,发送响应报文,识别出攻击行为,阻断连接或者报警等,与 IDS 的安全联动,谢谢!,
