《防火墙安装培训精选PPT.ppt》由会员分享,可在线阅读,更多相关《防火墙安装培训精选PPT.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙安装培训第1页,此课件共34页哦InternetInternet一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的之间的一系列部件的组合,它是不同网络安全域间通信流的之间的一系列部件的组合,它是不同网络安全域间通信流的之间的一系列部件的组合,它是不同网络安全域间通信流的唯唯唯唯一通道一通道一通道一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制控制(允许、拒
2、绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。(允许、拒绝、监视、记录)进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义防火墙定义内部网内部网内部网内部网2第2页,此课件共34页哦防火墙不能防御什么防火墙不能防御什么物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒防火墙自身不会被病毒攻击但不能
3、防止内嵌在数据包中的病毒通过内部人员的攻击防火墙的配置不当3第3页,此课件共34页哦防火墙的功能防火墙的功能1.支持透明、路由和混合三种工作模式。2.支持基于对象的网络访问控制,包括网络层、应用层等多层次的访问制;支持URL、HTTP 脚本、关键字、邮件等多种形式的内容过滤。3.支持多种网络地址转换(NAT)方式。4.支持多种认证方式,如本地认证、证书认证、Radius 认证、TACACS、域认证等多种认证方式。5.支持标准IPSec VPN。6.内置IDS 模块,能够自防御Land、Smurf、TearOfDrop、Ping of Death、SynFlood、Targa3 和IpSweep
4、 等十几种攻击,具有抗DOS/DDOS 攻击功能。7.基于TOPSEC 协议,实现与IDS 等多种安全产品的联动。8.支持网络卫士防火墙双机热备。9.支持IPX、NETBEUI、VOD、H.323v1/v2、SSH 协议。10.支持DHCP,包括DHCP SERVER、DHCP CLIENT 以及DHCP RELAY(中继)。11.支持VLAN 与生成树。12.支持ADSL 接入与链路备份。4第4页,此课件共34页哦 硬件一台硬件一台 外形:外形:1919寸寸1 1U U标准机箱标准机箱产品外形产品外形接接COM口口管理机管理机直通直通线线交叉线交叉线串口线串口线PCRouteSwich、Hu
5、b交叉线交叉线5第5页,此课件共34页哦CONSOLECONSOLE线缆线缆UTP5UTP5双绞线的使用双绞线的使用:-直通直通(1 1条,颜色条,颜色:灰色灰色)与与HUB/SWITCHHUB/SWITCH-交叉交叉(1(1条,颜色条,颜色:红色红色)与路由器与路由器/主主产品提供的附件产品提供的附件为了方便用户对防火墙的配置,我们为大家设置如下帐户:用户名:admin密码:12345678内网(intranet):eth0接口,IP地址192.168.1.254,该区域可ping到防火墙外网(internet):eth1接口,该区域可ping到防火墙SSN:eth2接口,该区域可ping到
6、防火墙6第6页,此课件共34页哦防火墙提供的通讯模式防火墙提供的通讯模式透明模式(提供桥接功能)此时防火墙提供桥接功能,在通讯上相当于SWITCH/HUB,网络拓扑不需要做任何改动。路由模式(静态路由功能)此时防火墙提供静态路由功能,需要在防火墙和与其直接相连的三层设备上进行合理的路由设置。综合模式(透明+路由功能)同时提供路由和桥接功能,应用非常少,只在某些特殊的场合下使用。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网络情况,合理的确定防火墙的通讯模式;并且防火墙采用据自己的网络情况,合理的确定防火墙的通
7、讯模式;并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。何种通讯方式都不会影响防火墙的访问控制功能。7第7页,此课件共34页哦InternetInternet内部网内部网内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用透明模式的典型应用8第8页,此课件共34页哦InternetInternet内部网内部网内部网内部网202.99.88.1ET
8、H0:202.99.88.2ETH1:10.1.1.2ETH2:192.168.7.210.1.1.0/24 网段192.168.7.0/24 网段外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。路由模式的典型应用路由模式的典型应用9第9页,此课件共34页哦NO.3 混合模式混合模式ETH1:192.168.7.102ETH2:192.168.7.2192.168.1.100/24 网段网段192.168.7.0/24 网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22.1/24 网段网段ETH1:202.11.22
9、.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式10第10页,此课件共34页哦在安装防火墙之前必须弄清楚的几个问题:在安装防火墙之前必须弄清楚的几个问题:1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用(包括各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)注:在安装之前必须经过充分的交流,将以上四个问题弄清 楚,然后再根
10、据需要进行合理的设置。11第11页,此课件共34页哦ftp-data 20/tcp ftp 21/tcptelnet 23/tcp smtp 25/tcpDNS 53/udptftp 69/udphttp 80/tcppop3 110/tcpimap 143/tcpirc 194/udphttps 443/tcp常见服务列表常见服务列表112第12页,此课件共34页哦ms-sql-s 1433/tcpms-sql-m 1434/tcpLotus Note 1352/tcporacle 1521/tcpradius 1812/tcpradius-acct 1813/tcpQQ 8000/UDPi
11、bm-db2 523/tcpRip 520/udpOspf ip-89Eigrp ip-88常见服务列表常见服务列表213第13页,此课件共34页哦pcanywheredata 5631/tcppcanywherestat 5632/tcpHSRP:1985/udpPptp 1723/tcpping-request icmp 8ping-echo icmp 0rtsp 554/tcp(real player)mms 1755/tcp(MS Media player)h.323 1720/tcp(Netmeeting)l2tp 1701/udp常见服务列表常见服务列表314第14页,此课件共34
12、页哦常见病毒使用端口列表常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP445/TCP1068/TCP5554/TCP9995/TCP9996/TCPICMP常见蠕虫病毒冲击波病毒震荡波病毒关掉不必要的PING15第15页,此课件共34页哦常见路由协议使用端口列表常见路由协议使用端口列表RIP:UDP-520RIP2:UDP-520OSPF:IP-89IGRP:IP-9EIGRP:IP-88HSRP(Cisco的热备份路由协议):UDP-1985BGP:(Border Gat
13、eway Protocol边界网关协议,主要 处理各ISP之间的路由传递,一般用在骨干网上)TCP-17916第16页,此课件共34页哦工作原理-处理数据流11快速转发 对于一个新接收的合法报文,网络卫士防火墙将首先查询会话表,判断该报文是否属于某个已经存在的会话。如果是,则根据会话表中所包含的会话处理信息,如匹配会话的访问规则和地址转换策略,快速处理此报文。如果不存在,则说明此报文属于一个新的会话,网络卫士防火墙将检索路由表,地址转换策略表和访问规则表,收集与此报文相关的处理策略,即进入下一步骤。17第17页,此课件共34页哦工作原理-处理数据流22接收处理IDS 模块。VPN 模块。IP-
14、MAC 绑定模块。18第18页,此课件共34页哦工作原理-处理数据流23.规则匹配19第19页,此课件共34页哦20第20页,此课件共34页哦匹配访问控制规则21第21页,此课件共34页哦规则列表需要注意的问题:规则列表需要注意的问题:1、规则作用有顺序 2、同一类型的列表遵循第一匹配规则 3、规则的一致性和逻辑性访问控制规则说明访问控制规则说明22第22页,此课件共34页哦u 任何一款防火墙的密码修改后必须牢记,否则无法 进行恢复;每一款防火墙都有两种管理方式,即:本地管理(console)和网络管理(telnet/ssh/GUI)防火墙4000:console下不需要用户名,初始口令为ta
15、lent,GUI下的超级用户为superman,初始口令talent,可以由superman派生出其他的管理员。关于防火墙管理员密码的说明关于防火墙管理员密码的说明23第23页,此课件共34页哦防火墙防火墙4000的安装配置的安装配置24第24页,此课件共34页哦管理方式 WEBUI 方式 SSH(Secure Shell)SSH,需要SSH 软件,如PUTTY 等,需要设置连接地址为网络卫士防火墙管理地址;TELNET25第25页,此课件共34页哦通过CONSOLE 口管理参数每秒位数:9600数据位:8奇偶校验:无停止位:126第26页,此课件共34页哦输入系统默认的用户名:superma
16、n 和密码:talent,即可登录到网络卫士防火墙。27第27页,此课件共34页哦防火墙防火墙4000-CONSOLE管理方式管理方式28第28页,此课件共34页哦通过浏览器登录防火墙https:/192.168.1.25429第29页,此课件共34页哦防火墙防火墙4000-GUI管理方式管理方式30第30页,此课件共34页哦FW4000的配置过程1 1、串口(console)下配置IP地址,用于GUI管理2、保存串口下的配置,用write命令3、打开TOPSEC集中管理器,新建一个管理项目4、集中管理器中进行各种配置(规则及其日常管理维护)先调整网络区域属性,然后再定义各种对象(网络对象、特
17、殊对象等),其次在需要保护的区域添加访问策略及通讯策略,最后进行参数调整及增加一些辅助的功能。防火墙防火墙4000-配置过程配置过程31第31页,此课件共34页哦防火墙防火墙4000-建立管理项目建立管理项目32第32页,此课件共34页哦防火墙防火墙4000ADSL配置配置ADSL Modem工作在桥接模式下,防火墙通过pppoe拨号获得动态的ip地址对于内网的数据报文通过adsl访问外网,自动作nat转化,不需要策略上配置nat规则,也就是说对于拨号,只有ipsec策略有用,在配置拨号的vpn时需要填写本机的网关地址为0.0.0.0,当拨号成功后,防火墙会自动更改配置,包括动态路由,动态路由不能手动删除,如果需要删除拨号路由,需要在adsl配置中停止拨号。33第33页,此课件共34页哦谢谢!34第34页,此课件共34页哦