《天融信防火墙设置.ppt》由会员分享,可在线阅读,更多相关《天融信防火墙设置.ppt(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、天融信防火墙使用培训InternetInternetInternetInternet一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制
2、控制(允许、拒绝、(允许、拒绝、(允许、拒绝、(允许、拒绝、监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。监视、记录)进出网络的访问行为。两个安全域之间通信两个安全域之间通信流的唯一通道流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定根据访问控制规则决定进出网络的行为进出网络的行为防火墙定义防火墙定义内部网内部网内部网内部网防火墙的接口和区域防火墙的接口和区域接口和区域是两个重要的概念接口和区域是两个重要的概念接口:和网络
3、卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。防火墙提供的通讯模式防火墙提供的通讯模式o透明模式透明模式(提供桥接功能提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了
4、IP 的VLAN 之间进行路由转发。o路由模式路由模式(路由功能路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。o综合模式综合模式(透明透明+路由功能路由功能)顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。说明:说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网防火墙采
5、用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。影响防火墙的访问控制功能。InternetInternet内部网内部网内部网内部网ETH0:ETH1:ETH2:网段网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用透明模式的典型应用InternetInternet内部网内部网内部网内部网ETH0:ETH1:ETH2:网段网段外网、SSN区、内网都不在同一网段,防火墙做路由方
6、式。这时,防火墙相当于一个路由器。路由模式的典型应用路由模式的典型应用综合接入模式的典型应用综合接入模式的典型应用ETH1:ETH2:网段网段网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式网段网段ETH0:两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,具体请见下表:防火墙的工作状态防火墙的工作状态在安装配置防火墙之前必须弄清楚的几个问题:在安装配置防火墙之前必须弄清楚的几个问题
7、:1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)10安装了防火墙后,可以为网络起到如下安全保障作用:o1、在互联网接口处提供安全保护措施,防止外部入侵。o2、对服务器进行保护,不仅防止来自互联网的攻击,也可以防止内部员工利用内网对服务器进行攻击。o3、构建VPN,解决总部和分支机构间的互联互通和移动办公需求,合作伙伴、在家
8、办公的员工、出差在外的员工可以在企业之外访问公司的内部网络资源。o4、通过安全检查,过滤包含非法内容的网页,邮件,FTPo5、带宽管理,确保即使在网络出现拥堵时,企业老总、中层领导、重要部门也能够快速、便捷、顺畅、优先上网11安装了防火墙后,可以为企业起到如下安全保障作用:o6、对员工上网进行管理,防止他们在上班时间利用网络做与工作无关的事,而且控制策略多种多样。例如:-只能访问与工作有关的网站-不能进入QQ聊天室-不能玩网络游戏-不能用BT、电驴等P2P工具下载电影o7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限制上网,对员工李四允许上网,假如张三企图用李四的电脑上网,也一样不能
9、得逞。o8、控制策略还可以基于时间。例如可以限制张三只能在下午七点到十点之间上网,在这个时间段以外就不能。o9、可以限制每台主机,每个网段的并发连接数。天融信防火墙天融信防火墙安装配置安装配置 硬件一台硬件一台 NGFW TG-1507 外形:外形:1919寸寸1U1U标准机箱标准机箱(产品参考外形)(产品参考外形)接接COM口口管理机管理机直通直通线线交叉交叉线线串口串口线线PCRouteSwich、Hub直通直通线线CONSOLECONSOLE线缆线缆(RJ45RJ45线缆加线缆加DB9DB9口转口转CONSOLECONSOLE接口头接口头)UTP5UTP5双绞线双绞线 -直通直通(1(1
10、条,颜色条,颜色:白色白色)-交叉交叉(1(1条,颜色条,颜色:红色红色)使用使用:直通直通:与与HUB/SWITCHHUB/SWITCH交叉交叉:与路由器与路由器/主机主机(一些高端交换机也可以通过交叉线与一些高端交换机也可以通过交叉线与 防火墙连接防火墙连接)软件光盘软件光盘上架附件上架附件产品提供的附件及线缆使用方式产品提供的附件及线缆使用方式串口串口(console)(console)管理方式:管理方式:用户名superman ,初始口令talent,用passwd命令可修改管理员密码WEBUIWEBUI管理方式(管理方式(httpshttps协议协议):):超级管理员:superma
11、n,口令:talent 可在“系统管理”“管理员”中修改密码,要求密码大于8位。TELNETTELNET管理方式:管理方式:模拟console管理方式,用户名superman,口令:talentSSHSSH管理方式:管理方式:模拟console管理方式,用户名superman,口令:talent出于安全性的考虑,强烈建议修改初始密码!但请牢记修改后的密码!忘记密码必须返厂收费维修!防火墙配置防火墙配置-管理方式管理方式防火墙的防火墙的CONSOLE管理方式管理方式超级终端参数设置:防火墙的防火墙的CONSOLE管理方式管理方式输入helpmode chinese命令可以看到中文化菜单防火墙的防
12、火墙的WEBUI管理方式管理方式在浏览器输入:,看到下列提示,选择“是”防火墙的防火墙的WEBUI管理方式管理方式输入用户名和密码后,按“提交”按钮.用户名:superman 密码:talent防火墙的防火墙的WEBUI管理方式管理方式在浏览器输入:,看到下列提示,选择“是”防火墙的防火墙的WEBUI管理方式管理方式输入用户名和密码后,按“提交”按钮.用户名:superman 密码:talent防火墙的防火墙的WEBUI管理方式管理方式防火墙的管理方式打开防火墙防火墙的管理方式打开防火墙管理端口管理端口注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打
13、开“HTTP”方式。在“系统管理”“配置”“开放服务”中选择“启动”即可防火墙的防火墙的TELNET管理方式管理方式通过TELNET方式管理防火墙:防火墙建议配置步骤:防火墙建议配置步骤:1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式)2、配置防火墙接口IP3、配置区域和默认访问权限4、设置路由表5、定义对象6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转换)7、制定访问控制策略8、其他特殊应用配置9、配置保存10、配置文件备份提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙
14、配置不当造成网络中断。当造成网络中断。INTERNET应用需求:内网可以访问互联网服务器对外网做映射 映射地址为外网禁止访问内网WEB服务器防火墙接口分配如下:ETH0接内网ETH1接Internet(外网)ETH2接服务器区1 1、接口配置、接口配置进入防火墙管理界面,点击”网络管理“接口”物理接口“可以看到物理接口定义结果:点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址注意:防火墙每个接口的默认状态均为注意:防火墙每个接口的默认状态均为“路由路由”模式模式2 2、区域和缺省访问权限配置、区域和缺省访问权限配置在“资产管理”区域“中定义防火墙区域及默认权限为”禁止访问“防火墙
15、管理权限设置防火墙管理权限设置系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域;ETH1接口为“外网”区域“内网”区域添加对防火墙的管理权限(当然也可以对“外网”区域添加),点击“系统管理”“配置”“开放服务”,点击添加定义你希望从哪个接口(区域)管理防火墙3 3、路由表配置、路由表配置添加静态路由添加静态路由在“网络管理”“路由”“静态路由”添加静态路由设置默认路由时,源和目的全为“0”3 3、定义对象、定义对象添加单个主机对象添加单个主机对象点击:”资源管理“地址”“主机”,点击右上角“添加配置”3 3、定义对象、定义对象添加地址范围添加地址范围点击:”资源管理“地址
16、”“范围”,点击右上角“添加配置”3 3、定义对象、定义对象添加地址组添加地址组点击:”资源管理“地址”“地址组”,点击右上角“添加配置”3 3、定义对象、定义对象添加自定义服务:添加自定义服务:防火墙内置一些标准服务端口,用户在端口引用时,但有时用户的系统没有使用某些服务的标准端口,这时我们通过自定义方式加以定义。点击:”资源管理“服务”“自定义服务”,点击“添加”,可以添加单个端口或范围,单个端口只填起始端口 3 3、定义对象、定义对象添加时间添加时间点击:”资源管理“时间”,点击“添加”,可以设置单次和多次注意注意:防火墙所有需要引用对象的配置,请先定义对象,才能引用。InternetI
17、nternet202.102.93.54Host A受保护网络Host C Host D 172.16.1.21172.16.1.25防火墙Eth0:172.16.1.254Eth1:111.111.111.230数据IP报头数据IP报头源:172.16.1.21:1080目地:202.102.93.54:80源:111.111.111.230:1120目地:202.102.93.54:80v 隐藏了内部网络的结构v 内部网络可以使用私有IP地址v 公开地址不足的网络可以使用这种方式提供IP复用功能4 4、NATNAT地址转换策略地址转换策略源地址转换源地址转换4 4、地址转换策略配置、地址转
18、换策略配置内网可以访问互联网,需要配置源转换内网可以访问互联网,需要配置源转换源选择源区域“内网区域”,目的选择目的区域“外网区域”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换注意注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址Internetv 公开服务器可以使用私有地址v 隐藏内部网络的结构WWW 10.1.1.1FTP 10.1.1.3MAIL 10.1.1.4DNS 10.1.1.5:80 TO :80:21 TO :21:53 TO :53:25 TO :25MAP(目的地址目的地址转换转换也叫映射也叫映射)4 4、地
19、址转换策略配置、地址转换策略配置互联网用户可以访问内部服务器资源,需要配置目的地址转换互联网用户可以访问内部服务器资源,需要配置目的地址转换源选择“互联网区域”,目的选择“(合法IP)”,服务选择“http”,目的转换为服务器真实地址,目的端口转换为选择“http”第一条为内网访问外网做NAT;第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IPHost C Host D 5、访问访问控制控制Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 blockAccess default pass
20、1010010101规则匹配成功规则匹配成功v 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址v基于应用层过滤5、配置访问控制、配置访问控制第一条规则定义“内网”可以访问互联网。源选择“内网”;目的可以选择目的区域“外网”,动作“允许”(默认选项)。第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http、ftp、smtp、pop3四种应用。源选择“外网”、目的选择服务器真实的IP地址。定义好的两条访问策略定义好的两条访问策略时间控制策略时间控制策略Host C Host D 在防
21、火墙上制定基于时间的访问控制策略上班时间不允许访问Internet上班时间可以访问公司的网络Internet规则列表需要注意的问题:规则列表需要注意的问题:1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性访问控制规则说明访问控制规则说明配置完成,保存配置o点击管理界面右上角“保存配置保存配置”o配置完成后,配置立即生效,但是一定要保存配置,否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。导出配置进行备份o配置完成并确认运行正常以后,请备份配置文件。选择“系统管理系统管理”“维护维护”“配置配置维护维护”,选择“保存配置保存配置”一些特殊
22、应用设置一些特殊应用设置防火墙高级应用防火墙高级应用DHCP网络卫士防火墙提供比较全面的DHCP 服务功能,能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP 服务:1.作为DHCP 客户端,从DHCP 服务器获取动态IP 地址;2.作为DHCP 服务器,集中管理和维护客户网络主机IP 地址分配;防火墙高级应用防火墙高级应用DHCP防火墙作为DHCP 客户端网络卫士防火墙可以作为DHCP 客户端,接口可以自动获取某个IP 地址。在这种情况下,网络卫士防火墙的某些接口或全部接口将由DHCP 服务器动态分配IP 地址。设置要自动获得IP 地址的接口,点击“运行”后该接口将从DHCP
23、 服务器自动获取IP 地址。要禁止接口获得IP 地址,点击“停止”,该接口将停止从DHCP 服务器自动获取IP 地址。防火墙高级应用防火墙高级应用DHCP防火墙作为DHCP 服务器网络卫士防火墙可以指定某个物理接口或VLAN 虚接口作为DHCP 服务器,为该接口所在子网的主机动态分配IP 地址,此时该接口必须工作在此时该接口必须工作在路由模式下。路由模式下。防火墙高级应用防火墙高级应用-基于用户名的访问控制基于用户名的访问控制用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,解决以往简单认证方式带来的弊端,保证用户设备之间访问的安全性。通过用户名对设备、用户和管理员身份
24、的合法性进行认证,防止非法接入用户访问关键应用(如财务)。防火墙支持的认证方式和协议主要包括:防火墙支持的认证方式和协议主要包括:n本地认证nOTP 认证服务器nBasic 认证服务器n证书认证服务器nRADIUS认证nTACACS 认证nSecurID认证nLDAP 认证n域认证(使用Windows 域认证服务器)nWeb认证 与第三方与第三方认证认证服服务务器器联动联动Internet Internet RADIUSRADIUS服务器服务器服务器服务器OTP OTP 认证服务器认证服务器认证服务器认证服务器liming*防火墙将认证信防火墙将认证信防火墙将认证信防火墙将认证信息传给真正的息
25、传给真正的息传给真正的息传给真正的RADIUSRADIUS服务器服务器服务器服务器进行认证进行认证进行认证进行认证将认证结果将认证结果将认证结果将认证结果传给防火墙传给防火墙传给防火墙传给防火墙1.1.支持第三方支持第三方支持第三方支持第三方RADIUSRADIUS服务器认证服务器认证服务器认证服务器认证2.2.支持天融信的支持天融信的支持天融信的支持天融信的OTPOTP认证服务器认证服务器认证服务器认证服务器3.3.支持支持支持支持TACASTACAS及及及及TACAS+TACAS+服务器服务器服务器服务器4.4.支持支持支持支持S/KEYS/KEY认证服务器认证服务器认证服务器认证服务器根
26、据认证结果决定用根据认证结果决定用根据认证结果决定用根据认证结果决定用户对资源的访问权限户对资源的访问权限户对资源的访问权限户对资源的访问权限下面以本地认证为例o本地认证服务器主要用于本地数据库中的用户使用TOS 认证客户端通过密码方式向防火墙进行认证1.启用本地认证服务器2.创建用户列表3.创建用户角色4.在相应区域开放验证服务5.基于用户角色创建访问规则6.设置认证客户端并启动用户验证成功用户验证失败互联网Host A 199.168.1.2Host BHost CHost D00-50-04-BB-71-A600-50-04-BB-71-BCBIND 199.168.1.2 To 00-
27、50-04-BB-71-A6BIND 199.168.1.4 To 00-50-04-BB-71-BCIP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网防火墙允许Host A上网跨路由器防火墙高级应用防火墙高级应用-IPIP与与MACMAC(用(用户户)的)的绑绑定定点点击击“网网络络管理管理”二二层层网网络络”ARP”ARP”,在需要邦定的地址后,在需要邦定的地址后选择选择“定定义义”,点,点击击“确定确定”也可以手动实现IP/MAC绑定,点击“防火墙”“IP/MAC绑定”防火墙高级应用防火墙高级应用分分级带宽级带宽管理管理互联网互联网互联网互联网WWW WWW Mai
28、lMailDNS DNS 财务部子网财务部子网财务部子网财务部子网采购部子网采购部子网采购部子网采购部子网出口带宽出口带宽出口带宽出口带宽 512K512KDMZ DMZ 区保留区保留区保留区保留 256K256K分配分配分配分配 70K 70K 带宽带宽带宽带宽分配分配分配分配 90K 90K 带宽带宽带宽带宽分配分配分配分配 96K 96K 带宽带宽带宽带宽DMZ DMZ 区域区域区域区域内部网络内部网络内部网络内部网络总带宽总带宽总带宽总带宽512 K512 K内网内网内网内网256 K256 KDMZ 256 KDMZ 256 K70 K70 K90 K90 K96 K96 K+财务子网财务子网财务子网财务子网采购子网采购子网采购子网采购子网生产子网生产子网生产子网生产子网生产部子网生产部子网生产部子网生产部子网Host C Host D Host B Host A 受保护网络netIDS黑客发起攻击发送通知报文验证报文并采取措施发送响应报文识别出攻击行为阻断连接或者报警等与与 IDS 的安全的安全联动联动