《防火墙安装培训优秀PPT.ppt》由会员分享,可在线阅读,更多相关《防火墙安装培训优秀PPT.ppt(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙安装培训第一页,本课件共有34页InternetInternet一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同网络安全域间通之间的一系列部件的组合,它是不同网络安全域间通之间的一系列部件的组合,它是不同网络安全域间通之间的一系列部件的组合,它是不同网络安全域间通信流的信流的信流的信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制控制(允许、拒
2、绝、监视、记录)进出网络的访问(允许、拒绝、监视、记录)进出网络的访问(允许、拒绝、监视、记录)进出网络的访问(允许、拒绝、监视、记录)进出网络的访问行为。行为。行为。行为。两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义防火墙定义内部网内部网内部网内部网2第二页,本课件共有34页防火墙不能防御什么防火墙不能防御什么物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒防火墙自身不会被病毒攻击但不能
3、防止内嵌在数据包中的病毒通过内部人员的攻击防火墙的配置不当3第三页,本课件共有34页防火墙的功能防火墙的功能1.支持透明、路由和混合三种工作模式。2.支持基于对象的网络访问控制,包括网络层、应用层等多层次的访问制;支持URL、HTTP 脚本、关键字、邮件等多种形式的内容过滤。3.支持多种网络地址转换(NAT)方式。4.支持多种认证方式,如本地认证、证书认证、Radius 认证、TACACS、域认证等多种认证方式。5.支持标准IPSec VPN。6.内置IDS 模块,能够自防御Land、Smurf、TearOfDrop、Ping of Death、SynFlood、Targa3 和IpSweep
4、 等十几种攻击,具有抗DOS/DDOS 攻击功能。7.基于TOPSEC 协议,实现与IDS 等多种安全产品的联动。8.支持网络卫士防火墙双机热备。9.支持IPX、NETBEUI、VOD、H.323v1/v2、SSH 协议。10.支持DHCP,包括DHCP SERVER、DHCP CLIENT 以及DHCP RELAY(中继)。11.支持VLAN 与生成树。12.支持ADSL 接入与链路备份。4第四页,本课件共有34页 硬件一台硬件一台 外形:外形:1919寸寸1 1U U标准机箱标准机箱产品外形产品外形接接COM口口管理机管理机直通直通线线交叉线交叉线串口串口线线PCRouteSwich、Hu
5、b交叉线交叉线5第五页,本课件共有34页CONSOLECONSOLE线缆线缆UTP5UTP5双绞线的使用双绞线的使用:-直通直通(1 1条,颜色条,颜色:灰色灰色)与与HUB/SWITCHHUB/SWITCH-交叉交叉(1(1条,颜色条,颜色:红色红色)与路由器与路由器/主主产品提供的附件产品提供的附件为了方便用户对防火墙的配置,我们为大家设置如下帐户:用户名:admin密码:12345678内网(intranet):eth0接口,IP地址192.168.1.254,该区域可ping到防火墙外网(internet):eth1接口,该区域可ping到防火墙SSN:eth2接口,该区域可ping到
6、防火墙6第六页,本课件共有34页防火墙提供的通讯模式防火墙提供的通讯模式透明模式(提供桥接功能)此时防火墙提供桥接功能,在通讯上相当于SWITCH/HUB,网络拓扑不需要做任何改动。路由模式(静态路由功能)此时防火墙提供静态路由功能,需要在防火墙和与其直接相连的三层设备上进行合理的路由设置。综合模式(透明+路由功能)同时提供路由和桥接功能,应用非常少,只在某些特殊的场合下使用。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通己的网络情况,合理的确定防火
7、墙的通讯模式;并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。讯方式都不会影响防火墙的访问控制功能。7第七页,本课件共有34页InternetInternet内部网内部网内部网内部网202.99.88.1ETH0:202.99.88.2ETH1:202.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用透明模式的典型应用8第八页,本课件共有34页InternetInternet内部网内部网内部网内部网202.99.88.1ET
8、H0:202.99.88.2ETH1:10.1.1.2ETH2:192.168.7.210.1.1.0/24 网段192.168.7.0/24 网段外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。路由模式的典型应用路由模式的典型应用9第九页,本课件共有34页NO.3 混合模式混合模式ETH1:192.168.7.102ETH2:192.168.7.2192.168.1.100/24 网段网段192.168.7.0/24 网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22.1/24 网段网段ETH1:202.11.22
9、.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式10第十页,本课件共有34页在安装防火墙之前必须弄清楚的几个问题:在安装防火墙之前必须弄清楚的几个问题:1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用(包括各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)注:在安装之前必须经过充分的交流,将以上四个问题弄清 楚,然后再根据
10、需要进行合理的设置。11第十一页,本课件共有34页ftp-data 20/tcp ftp 21/tcptelnet 23/tcp smtp 25/tcpDNS 53/udptftp 69/udphttp 80/tcppop3 110/tcpimap 143/tcpirc 194/udphttps 443/tcp常见服务列表常见服务列表112第十二页,本课件共有34页ms-sql-s 1433/tcpms-sql-m 1434/tcpLotus Note 1352/tcporacle 1521/tcpradius 1812/tcpradius-acct 1813/tcpQQ 8000/UDPib
11、m-db2 523/tcpRip 520/udpOspf ip-89Eigrp ip-88常见服务列表常见服务列表213第十三页,本课件共有34页pcanywheredata 5631/tcppcanywherestat 5632/tcpHSRP:1985/udpPptp 1723/tcpping-request icmp 8ping-echo icmp 0rtsp 554/tcp(real player)mms 1755/tcp(MS Media player)h.323 1720/tcp(Netmeeting)l2tp 1701/udp常见服务列表常见服务列表314第十四页,本课件共有34
12、页常见病毒使用端口列表常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP445/TCP1068/TCP5554/TCP9995/TCP9996/TCPICMP常见蠕虫病毒冲击波病毒震荡波病毒关掉不必要的PING15第十五页,本课件共有34页常见路由协议使用端口列常见路由协议使用端口列表表RIP:UDP-520RIP2:UDP-520OSPF:IP-89IGRP:IP-9EIGRP:IP-88HSRP(Cisco的热备份路由协议):UDP-1985BGP:(Border Gate
13、way Protocol边界网关协议,主要 处理各ISP之间的路由传递,一般用在骨干网上)TCP-17916第十六页,本课件共有34页工作原理-处理数据流11快速转发 对于一个新接收的合法报文,网络卫士防火墙将首先查询会话表,判断该报文是否属于某个已经存在的会话。如果是,则根据会话表中所包含的会话处理信息,如匹配会话的访问规则和地址转换策略,快速处理此报文。如果不存在,则说明此报文属于一个新的会话,网络卫士防火墙将检索路由表,地址转换策略表和访问规则表,收集与此报文相关的处理策略,即进入下一步骤。17第十七页,本课件共有34页工作原理-处理数据流22接收处理IDS 模块。VPN 模块。IP-M
14、AC 绑定模块。18第十八页,本课件共有34页工作原理-处理数据流23.规则匹配19第十九页,本课件共有34页20第二十页,本课件共有34页匹配访问控制规则21第二十一页,本课件共有34页规则列表需要注意的问题:规则列表需要注意的问题:1、规则作用有顺序 2、同一类型的列表遵循第一匹配规则 3、规则的一致性和逻辑性访问控制规则说明访问控制规则说明22第二十二页,本课件共有34页u 任何一款防火墙的密码修改后必须牢记,否则无法 进行恢复;每一款防火墙都有两种管理方式,即:本地管理(console)和网络管理(telnet/ssh/GUI)防火墙4000:console下不需要用户名,初始口令为t
15、alent,GUI下的超级用户为superman,初始口令talent,可以由superman派生出其他的管理员。关于防火墙管理员密码的说明关于防火墙管理员密码的说明23第二十三页,本课件共有34页防火墙防火墙4000的安装配置的安装配置24第二十四页,本课件共有34页管理方式 WEBUI 方式 SSH(Secure Shell)SSH,需要SSH 软件,如PUTTY 等,需要设置连接地址为网络卫士防火墙管理地址;TELNET25第二十五页,本课件共有34页通过CONSOLE 口管理参数每秒位数:9600数据位:8奇偶校验:无停止位:126第二十六页,本课件共有34页输入系统默认的用户名:su
16、perman 和密码:talent,即可登录到网络卫士防火墙。27第二十七页,本课件共有34页防火墙防火墙4000-CONSOLE管理方式管理方式28第二十八页,本课件共有34页通过浏览器登录防火墙https:/192.168.1.25429第二十九页,本课件共有34页防火墙防火墙4000-GUI管理方式管理方式30第三十页,本课件共有34页FW4000的配置过程1 1、串口(console)下配置IP地址,用于GUI管理2、保存串口下的配置,用write命令3、打开TOPSEC集中管理器,新建一个管理项目4、集中管理器中进行各种配置(规则及其日常管理维护)先调整网络区域属性,然后再定义各种对
17、象(网络对象、特殊对象等),其次在需要保护的区域添加访问策略及通讯策略,最后进行参数调整及增加一些辅助的功能。防火墙防火墙4000-配置过程配置过程31第三十一页,本课件共有34页防火墙防火墙4000-建立管理项目建立管理项目32第三十二页,本课件共有34页防火墙防火墙4000ADSL配置配置ADSL Modem工作在桥接模式下,防火墙通过pppoe拨号获得动态的ip地址对于内网的数据报文通过adsl访问外网,自动作nat转化,不需要策略上配置nat规则,也就是说对于拨号,只有ipsec策略有用,在配置拨号的vpn时需要填写本机的网关地址为0.0.0.0,当拨号成功后,防火墙会自动更改配置,包括动态路由,动态路由不能手动删除,如果需要删除拨号路由,需要在adsl配置中停止拨号。33第三十三页,本课件共有34页谢谢!34第三十四页,本课件共有34页