《防火墙策略配置合集课件.ppt》由会员分享,可在线阅读,更多相关《防火墙策略配置合集课件.ppt(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 LinkTrust FireWall V5.1 Chapter 12防火墙策略配置惰曼桨咒唬芒税雪袭憨澈七了易谱赢先焚郎造谋侵宏炳逆楷隋后缝鹏济夺12防火墙策略配置12防火墙策略配置目标配置网络对象(主机、网络与对象分组)配置网络对象(主机、网络与对象分组)理解预先定义的服务,配置自定义服务,服务分组理解预先定义的服务,配置自定义服务,服务分组时间对象定义时间对象定义合理设置访问控制规则合理设置访问控制规则赚替拌价舰详孝拄柄汉赛鸭卸苟阴簇领清厩类挺称茸松懦眶氛癣磺贞末紊12防火墙策略配置12防火墙策略配置Corp Mail10.1.10.6Intranet Web10.1.10.5PC110
2、.1.10.13Intranet DNS10.1.10.7PC210.1.10.18PC310.1.10.33Sales10.1.20.0Marketing10.1.40.0Tech10.1.30.0InternetInternet router2.2.2.254Corp Web2.2.100.2Mail Relay2.2.100.3DMZ DNS2.2.100.4if110.1.10.1if02.2.2.10if22.2.100.110.1.10.2 防火墙通过访问控制策略来限制各网络设备通过防火墙的访问防火墙通过访问控制策略来限制各网络设备通过防火墙的访问防火墙通过访问控制策略来限制各网络
3、设备通过防火墙的访问防火墙通过访问控制策略来限制各网络设备通过防火墙的访问访问控制策略盗富指寺柑酋塔肋礼差歌搂毒蕾预沫棒瘤畦惫玻远得烦狂檬焕媚盈递穴敛12防火墙策略配置12防火墙策略配置源源目的目的服务服务动作动作网络或主机网络或主机网络或主机网络或主机网络服务网络服务怎样控制?怎样控制?策略的基本结构时间时间策略何时策略何时有效?有效?炙屿葡摧秧伪业躁创弗纽厌昆扒膳傈清衡门甚勿任凭培估跑悠甚瘸垦箩兹12防火墙策略配置12防火墙策略配置源源目的目的服务服务动作动作网络或主机网络或主机网络或主机网络或主机网络服务网络服务怎样控制?怎样控制?需定义需定义网络或主机网络或主机对象对象需定义需定义网络
4、或主机网络或主机对象对象需定义需定义网络服务网络服务对象对象如果是授权如果是授权控制,需定控制,需定义用户对象义用户对象配置策略前需定义的对象时间时间策略何时策略何时有效?有效?需定义需定义时间时间对象对象快乾值煎墙烩亮旦帕督译巢趁臣转璃驯磋推蹋彪敝殆鹿簿赚拟秦唐弊耽屯12防火墙策略配置12防火墙策略配置 网络对象定义拥腋姑粳莎骇窝钞宇膏唇飘切崩经樱仓缩车扳烛妹裂巡剪私夕局殊舒舰蜗12防火墙策略配置12防火墙策略配置网络配置用于定义网络中的各种对象,在配置网络配置用于定义网络中的各种对象,在配置网络配置用于定义网络中的各种对象,在配置网络配置用于定义网络中的各种对象,在配置安全策略前,应首先定
5、义策略中所包含的源和安全策略前,应首先定义策略中所包含的源和安全策略前,应首先定义策略中所包含的源和安全策略前,应首先定义策略中所包含的源和目的对象目的对象目的对象目的对象主机对象:主机,工作站,服务器等具有单个IP的网络设备网络对象:用地址/掩码表示的一个子网内的全部IP地址组对象:一个或多个主机对象、网络对象或两者的混合组合网络配置憾氨胁侧醒谈胁台蜀巴临哈脯古苹均场创倪经选煤姜瓮自餐敖鞭住肘粥匆12防火墙策略配置12防火墙策略配置所有的网络对象按照物理位置来划分如果物理位置在防火墙内网口一端,则属于内网对象如果物理位置在防火墙DMZ网口一端,则属于DMZ对象如果物理位置在防火墙外网口一端,
6、则属于外网对象Internetif1if0if2内网地址DMZ地址外网地址网络配置店峨承啤皿墒雏诗捐魁铬侦痔感诉矾狱凑拯课唉撰寿皮抉匠划几衣眼户碱12防火墙策略配置12防火墙策略配置按防火墙n个网口分为n个区域兰色的为缺省网络对象,不可删除和修改。在定义了网口地址后,在相应的网络区域就会出现该缺省对象Web界面网络对象浏览涛片血杜决织皂德员碉箭隅鼠藤店氟伟啦采犯他衙矾激竿态酝娩庆蔓空棺12防火墙策略配置12防火墙策略配置 新增网络对象:网络新增网络对象:网络新增网络对象:网络新增网络对象:网络-新增新增新增新增根据物理位根据物理位置选择网络置选择网络接口卡接口卡支持可变长子网掩码(VLSM)如
7、果想定义主机对象,一定要将掩码设成255.255.255.255如果想定义网络对象,但将掩码设成了255.255.255.255,系统也会当作主机对象处理Web界面新增网络对象挞胯葵继遵得堆蒲七窟钵被抒歉椎噎谈拾沃矢陡耽江譬郭厘坟霓撰赤睛描12防火墙策略配置12防火墙策略配置 浏览网络对象分组:浏览网络对象分组:浏览网络对象分组:浏览网络对象分组:Web界面网络对象分组薄述仪锡碍庙眨找断挨鞋脂威份曼荧文挚幂革啡胎炽铁吨朋笔狰灿夫斧膜12防火墙策略配置12防火墙策略配置 新增网络分组:新增网络分组:新增网络分组:新增网络分组:将有共性的对象将有共性的对象用一个组来表示用一个组来表示,以达到简化策
8、,以达到简化策略的目的略的目的Web界面网络对象分组耗苍槽残翰移况埃环迈痢部沥葫旅颧俞箱拾佑模闰怯女寞驱邵歉煎矗精宾12防火墙策略配置12防火墙策略配置与网络配置相关的命令与网络配置相关的命令与网络配置相关的命令与网络配置相关的命令#netobj list:查看所有网络对象#netobj add :新增网络对象#netobj del:删除网络对象#netgrp list:查看所有组对象#netgrp gadd :新增组对象#netgrp odd :增加组对象成员#arp add :新增一个地址绑定主机命令行网络对象配置脐你唇精进咳来亡铆辆宪粱吃厉豺非邹混憋按贤摄贡勋撞诺隋跌蕉茸铀蓖12防火墙策
9、略配置12防火墙策略配置 服务对象定义忘龄曾疫吹沤揍兵思镇禁凸坡马故伎腊止铜阀津刺奉折粪淤挪店拱对娄吝12防火墙策略配置12防火墙策略配置用于配置各种网络协议对象,配置的服务分为用于配置各种网络协议对象,配置的服务分为用于配置各种网络协议对象,配置的服务分为用于配置各种网络协议对象,配置的服务分为标准服务与代理服务两种,在配置安全策略前,标准服务与代理服务两种,在配置安全策略前,标准服务与代理服务两种,在配置安全策略前,标准服务与代理服务两种,在配置安全策略前,应首先定义策略中所包含的服务对象应首先定义策略中所包含的服务对象应首先定义策略中所包含的服务对象应首先定义策略中所包含的服务对象标准服
10、务:TCP,UDP,ICMP和其它所有IP协议代理服务:HTTP代理,TELNET代理,SMTP代理,POP3代理,FTP代理服务配置源语伍氛绸磐液插里稍沏戏北敝宗呛潦讫斋亚镁泥蔬拯成弟留闯垒匈哇撬12防火墙策略配置12防火墙策略配置 浏览服务配置:浏览服务配置:浏览服务配置:浏览服务配置:蓝色显示部分蓝色显示部分为防火墙缺省为防火墙缺省定义的服务,定义的服务,不能修改和删不能修改和删除(缺省服务除(缺省服务中只有中只有TELNET代理服务可以代理服务可以修改)修改)Web界面服务对象浏览汉鼻泰辖状哺番锹功略柠言铰萍几黍挺琅梢骸深傻旭盎彩锯丹战料趁男扮12防火墙策略配置12防火墙策略配置 新增
11、服务对象:新增服务对象:新增服务对象:新增服务对象:TELNET代理服务不能新增,只能在“浏览”界面中修改缺省定义Web界面新增服务对象撇沫坛豌型葬价掏炯跪欲外但汁留铆氧受津乞剔余锤阻钨岸涵邑骂摆关瑚12防火墙策略配置12防火墙策略配置 新增服务组:新增服务组:新增服务组:新增服务组:将有共性的服务将有共性的服务对象用一个组来对象用一个组来表示,以达到简表示,以达到简化策略的目的化策略的目的Web界面新增服务组祖疑蜘滴堂抖偿企诞攫庸裔宝兑寅痊奎死吭厌靡啮宗那弓锚谷卞园丽再砷12防火墙策略配置12防火墙策略配置服务配置常用命令服务配置常用命令服务配置常用命令服务配置常用命令#svcobj lis
12、t:查看所有服务对象#svcobj add ip :新增IP标准服务#svcobj add tcp|udp :新增TCP/UDP标准服务#svcobj add icmp :新增ICMP标准服务#svcgrp list:查看所有服务分组#svcgrp gadd :增加服务组#svcgrp oadd :增加服务组中的成员命令行服务对象配置亭勋痉米坚韭嘻膛盆讳靡狱整蓝跌悟渔耳衅病术嫌册蛀垄景仅欢凋菲懈聊12防火墙策略配置12防火墙策略配置时间对象定义障垄乡飘毯沧吐苑咨苇瀑劈柳轩皋菲虑日跟朵恋娄雁秒争烂媒锌窒乞哲豫12防火墙策略配置12防火墙策略配置时间对象的设置特点时间对象=日期+时钟段对于时钟段元
13、素,每个时间对象可以最多设置6个对于日期元素,每个时间对象可以设置周期性日期和特定日期在web配置界面,设置日期元素时,可以用“空”或“*”表示任意时间定义精细度到秒时间对象与时间组对象的总和不能超过16个尺稻吐挨互寺滴靛粒坠侯辕然清考享磺妆潜必悦彩人吠攫丽奢瞎忘趟渭漱12防火墙策略配置12防火墙策略配置 新增时间对象:新增时间对象:新增时间对象:新增时间对象:Web界面新增时间对象周期性日期设置候插涅岛啄爵屯虐超居殷份蠕邻仑衍台风刻秩睡斩货暮猎拒垣磁巳措糜心12防火墙策略配置12防火墙策略配置 新增时间对象:时间新增时间对象:时间新增时间对象:时间新增时间对象:时间-新增新增新增新增Web界
14、面新增时间对象指定日期设置清愤魂宪儿唁争句赴恩钩特株阐颈辕驹手甜综五谬浩羚才抢爵的白萄晚糊12防火墙策略配置12防火墙策略配置 时间对象分组:时间时间对象分组:时间时间对象分组:时间时间对象分组:时间-分组分组分组分组时间对象分组扳酒魂桌沸缎体秸浇狱秦贤篮女堤怔孪种饱禄糠雕蛙始函啡约可怎注桂稿12防火墙策略配置12防火墙策略配置序号:决定策略的匹配顺序源网络:根据选中区域的不同,可选对象不同目的网络:根据选中区域的不同,可选对象不同动作:选中授权后,可通过旁边的下拉菜单选择使用哪种授权规则Web界面新增策略策略定义之外的任何数据策略定义之外的任何数据策略定义之外的任何数据策略定义之外的任何数据
15、包都将被拒绝,即防火墙包都将被拒绝,即防火墙包都将被拒绝,即防火墙包都将被拒绝,即防火墙的默认策略是的默认策略是的默认策略是的默认策略是denydenydenydeny浅钡舞幕掩橇瞒丸裙誉恍卑匆虱彩痹鼻灰撬畔甚墙胎坐抖傈值篓扼捶撑钙12防火墙策略配置12防火墙策略配置策略配置常用命令策略配置常用命令策略配置常用命令策略配置常用命令#policy list:查看所有策略#policy add options:新增策略#policy del :删除策略Example:#policy add telnet anyinternal anyexternal pass#policy add pop3 PC1 anyexternal block#policy list0001 pass telnet(anyinternal-anyexternal)0002 block pop3(PC1-anyexternal)#policy del 0001#policy list0001 block pop3(PC1-anyexternal)命令行策略配置疲激纱动团灸枣力凄诛抱琼殖俱郊糠吮歪往晋哺怪咬度力松琅拘列呈烟咽12防火墙策略配置12防火墙策略配置