《防火墙管理与维护培训文档.pptx》由会员分享,可在线阅读,更多相关《防火墙管理与维护培训文档.pptx(38页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、TOPSEC NGFW 培训讲座培训讲座 TEL:800-810-5119 FAX:010-62304552 E-mail:第一章第一章:防火墙的管理及维护第二章第二章:防火墙一般故障的解决方法第三章第三章:防火墙应急响应机制 目目 录录第一章防火墙的管理及维护第一章防火墙的管理及维护本章目标本章目标:了解防火墙登陆控制了解防火墙VLAN设置了解防火墙规则设置及更改了解防火墙的状态信息了解防火墙的实时监控防火墙日志服务器的维护防火墙双机情况下的维护要管理防火墙首先要登陆防火墙,防火墙4000提供3种登陆管理方式 串口管理 TELNET管理 GUI管理第一章防火墙的管理及维护第一章防火墙的管理及
2、维护一、防火墙登陆控制一、防火墙登陆控制命令行管理图形化管理由于防火墙命令行的管理方式比较复杂,图象化管理方式即简单又人性话,所以我们在管理时尽量使用图形化管理方式防火墙GUI登陆1.在登陆防火墙之前,先在管理机上PING防火墙的管理地址,PING通后在用防火墙集中管理器登陆防火墙2.登陆时如果提示“没有管理权限”的话就要在“串口管理”模式下添加GUI管理权限,操作步骤如下:3.1)在管理机上通过串口线将管理机与防火墙的串口相连4.2)在管理机上通过超级终端登陆防火墙第一章防火墙的管理及维护第一章防火墙的管理及维护 防火墙超级终端连接时的属性设置如下 每秒位数:每秒位数:9600数据位:数据位
3、:8奇偶校奇偶校验验:无无停止位:停止位:1数据流控制:数据流控制:无无防火墙串口登陆时不需用户名,只需密码,默认密码为 talent3)在超级终端上添加防火墙的GUI登陆权限,具体命令如下:area show 显示防火区域属性。firewall client add client_name-t GUi -a area_name-i ip1-ip2 在防火墙上添加新的GUI登录用户 firewall client show 显示所有的防火墙登录用户 firewall client add test t gui-a ssn i 0.0.0.0-255.255.255.255 说明:在”ssn”区
4、域新建一个可以GUI防火墙的管理客户端,并将其 命名为”test”4)在确认即可PING通防火墙又有GUI登陆权限就可用防火墙的集中管理5)器以图形化的方式登陆防火墙进行管理第一章防火墙的管理及维护第一章防火墙的管理及维护5)在防火墙集中管理器上成功登陆防火墙后显示的管理界面第一章防火墙的管理及维护第一章防火墙的管理及维护二、防火墙二、防火墙VLAN设置设置先用集中管理器登陆防火墙,在“高级管理”“特殊对象”“透明网络”中新建一个对象,该透明对象名称随意起,对象包括的区域选择“工作站区”、“服务器区”与“外网”按上图的提示操作就可以将“工作站区”、“服务器区”与“外网”划到同一VLAN中,实现
5、防火墙的透明接入;第一章防火墙的管理及维护第一章防火墙的管理及维护三、防火墙规则设置三、防火墙规则设置防火墙的规则分为:默认规则与访问规则,数据包经过防火墙时是先查访问规则再查默认规则,如该数据包匹配访问规则即执行不再去查默认规则,并且在查访问规则时也是从上往下执行的,以先查到的规则为准来执行,所以在定义规则时一定要注意规则的顺序防火墙一般时候是用来防止外网对内网的攻击的,所以在设置默认规则时外网的权限可以放开,而内网与SSN的默认权限禁止防火区的默防火区的默认规则设认规则设置如下置如下(以内网接口设置为例):1.)内网的缺省访问权限设置如下,选择激活防火墙管理菜单下的网络-区域。第一章防火墙
6、的管理及维护第一章防火墙的管理及维护2.)双击“内网”,激活其属性窗口:3.)在缺省访问权限里,根据需求选择“可读”,“可写”,“可执行”,用户可以单一选择,也可自己组合。注意:“可读”,“可写”,“可执行”都选上代表默认规则全通 “可读”,“可写”,“可执行”都不选上代表默认规则不通第一章防火墙的管理及维护第一章防火墙的管理及维护防火防火墙墙的的访问规则访问规则的定的定义义步步骤骤如下:如下:1.选择防火区域 在已激活防火墙集中管理器中高级管理下访问策略项目中,选择需要制定访问 策略的防火区2.选择添加方式 策略的添加方式可以有多种:新建,在前添加,在后添加。第一章防火墙的管理及维护第一章防
7、火墙的管理及维护3.选择策略类型 选择了添加方式后,策略向导窗口被打开:首先要选择相应的策略类型,例如选择包过滤类型,以下的步骤都是针对此 策略类型讨论的。点击下一步后,弹出策略源定义窗口。第一章防火墙的管理及维护第一章防火墙的管理及维护4.定义策略源的对象5.定义策略目的对象选择该访问选择该访问策略的策略的访问访问目的目的对对象象。选择该访问策略的选择该访问策略的 访问源对象访问源对象 第一章防火墙的管理及维护第一章防火墙的管理及维护6.6.定定义访问义访问服服务务选择该访问选择该访问策略包含的服策略包含的服务务,如果用,如果用户户需要制需要制定的服定的服务务没有包含在服没有包含在服务务列表
8、中,在策略定列表中,在策略定义义后,可以点后,可以点击击“自定自定义义服服务务”来添加所需的服来添加所需的服务务第一章防火墙的管理及维护第一章防火墙的管理及维护7.添加访问策略控制添加访问策略控制 客客户户策略可以定策略可以定义义如下部分:如下部分:访问权访问权限:限:该该用用户访问户访问目目标对标对象的象的权权限;限;日志日志选项选项:描述日志:描述日志级别级别;连连接控制:接控制:可以可以为为普通普通连连接,也可以接,也可以为长连为长连接,一接,一般地防火般地防火墙对墙对通信空通信空闲闲一定一定时间时间的的连连接接将自将自动动断开,以提高安全性和断开,以提高安全性和释释放通信放通信资资源,
9、但某些源,但某些应应用所建立的用所建立的连连接需要接需要长长时时期保持,即使期保持,即使处处于空于空闲闲状状态态!限定限定时间时间:该访问该访问策略作用的策略作用的时间时间段,段,可以是任何可以是任何时间时间,也可以是用,也可以是用户户自定自定义义的的时间时间。策略配置完成后,可以看到策略配置完成后,可以看到所有策略的当前状态所有策略的当前状态;以上以上访问访问策略策略为为包包过滤过滤策略策略,相相应应的的过滤过滤策略,策略,HTTP、文件、文件资资源、源、邮邮件做下件做下图图的的对应选项对应选项,步,步骤骤同上:同上:一条一条访问访问策略已策略已经经配置完成,下表配置完成,下表总结总结了策略
10、定了策略定义义中主要中主要项项的含的含义义:名字 意义 目的区域 本访问策略所属的防火区域。目的资源 0个、1个、多个文件资源。可以为空,表示所有资源。源机器 表示其他区域的1个或多个网络节点、子网、对象组、用户组。访问权限 读、写的组合。作用时间 表示在哪个时间内这个策略有效。时间分为两部分,一个是星期,可以描述星期一到星期日中的某几天,一个是时刻,表示在一天中从哪个时刻开始,哪个时刻结束,最小单位为分钟。例如:某个策略的起作用的时间为每星期的星期一、星期四、星期天的每天的上午10:00到下午17:30。长连接 普通连接如果在一段时间内没有收到报文则连接超时,以防止连接积累得越来越多。而长连
11、接则不受这个限制,除非通信的一方主动拆除连接,否则连接不会被删除。主要用在某些必须一直保持在线的应用中,例如ATM机器必须和处理中心的服务器一直保持着连接,这个连接必须设置为长连接。第一章防火墙的管理及维护第一章防火墙的管理及维护具体的操作及对象的添加请参考“防火墙应用(初级)”第一章防火墙的管理及维护第一章防火墙的管理及维护防火墙规则更改防火墙规则更改防火墙规则更改只要在以添加规则上双机即可打开策略窗口第一章防火墙的管理及维护第一章防火墙的管理及维护在策略窗口中选择要修改的源、目的、服务或控制按自身要求进行相应的更改注意:防火墙规则是以从上向下的顺序执行的,所以一定要注意防火墙 规则的顺序,
12、如顺序不正确可用鼠标左健点住拖动到相应的位置;移动前移动前移动后移动后第一章防火墙的管理及维护第一章防火墙的管理及维护四、防火墙状态信息查看四、防火墙状态信息查看 防火墙工作状态是否正常对整个网络环境至关重要,在“网络卫士”系列防火 墙的集中管理器中,为管理员提供了一个直观的防火墙状态信息监控功能。查看方法如下:通过集中管理器登录到需要查看状态信息的防火墙,在已激活防火墙集中管理器下,选择“基本信息”-“接口状态”,其中显示了防火墙各接口的详细统计信息:第一章防火墙的管理及维护第一章防火墙的管理及维护选择“基本信息”-“性能”,其中显示了防火墙CPU、内存使用情况,和防火墙现在的连接数:第一章
13、防火墙的管理及维护第一章防火墙的管理及维护五、防火墙监控器的使用五、防火墙监控器的使用在实时监控启动之前,要在“工具”中“防火墙登录控制”中添加监控器权限,否则在启动监控时会提示监控初始化失败在GUI方式下添加监控器管理客户端:在工具-防火墙登陆控制下添加第一章防火墙的管理及维护第一章防火墙的管理及维护在确定集中管理器有实时监控的权限后在启动监控通过对连接信息的查看,用户可以了解当前通过、未通过、已建立或已断开连接的源地址、目的地址、发送流量、接收流量等信息,同时用户还可以设定不需要进行查看的连接的过滤条件。具体操作如下:1.在已激活防火墙集中管理器下选择“实时监控”,单击右键,选择“启动监控
14、”:或者点击工具条上的快捷按钮:第一章防火墙的管理及维护第一章防火墙的管理及维护2.启动监控后,会弹出“设置过滤器”窗口 点击“增加过滤条件”,打开过滤条件的设置窗口:第一章防火墙的管理及维护第一章防火墙的管理及维护在过滤条件中选择源目标和目的目标的所属区域,并输入源、目的IP(起始IP地址为0.0.0.0,结束IP地址为:255.255.255.255表示该区域的所有设备),端口(为0表示所有端口);第一章防火墙的管理及维护第一章防火墙的管理及维护过滤器设置说明过滤器设置说明在高级控制中,包括监控类型(被拒绝的连接)和协议类型,如果选择在高级控制中,包括监控类型(被拒绝的连接)和协议类型,如
15、果选择“不监控此条件连接不监控此条件连接”表示不对满足此条件的连接进行监控,如果选择表示不对满足此条件的连接进行监控,如果选择“停用该过滤条件停用该过滤条件”表示,监控除此条件外的所有连接。过滤器可以设表示,监控除此条件外的所有连接。过滤器可以设置多个过滤条件,条件有先后顺序,需要将范围大的过滤条件放在后面,置多个过滤条件,条件有先后顺序,需要将范围大的过滤条件放在后面,先设置过滤范围小的过滤条件。比如:对网络中除了先设置过滤范围小的过滤条件。比如:对网络中除了IP地址为地址为192.168.8.186外的所有连接进行监控,就需要配置两条过滤条件外的所有连接进行监控,就需要配置两条过滤条件条条
16、件件1:设置:设置192.168.8.186为源为源IP地址(起始和结束地址(起始和结束IP地址都为它,端口地址都为它,端口可设为可设为0),将),将“不监控此条件连接不监控此条件连接”选项打勾,表示不监控选项打勾,表示不监控192.168.8.186对外访问的连接;条件对外访问的连接;条件2:设置一条监控所有连接的过滤:设置一条监控所有连接的过滤条件,即将源目标和目的目标设为所有区域,条件,即将源目标和目的目标设为所有区域,IP地址范围从地址范围从0.0.0.0到到255.255.255.255,端口为,端口为0;这两个条件设置完后,监控器将监控除;这两个条件设置完后,监控器将监控除IP地址
17、为地址为192.168.8.186以外的所有连接。以外的所有连接。第一章防火墙的管理及维护第一章防火墙的管理及维护3.过滤器的的条件设置完成后,如下图所示:点击“设置”使该过滤条件即时生效,同时,在不重新启动防火墙集中管理器的情况下,如果重新启动监控,过滤器将自动载入上次(最近一次)设置的过滤条件;点击“保存过滤器”可以将所有设置的条件都在本机上以文件形式保存,下一次重新启动防火墙集中管理器后,过滤条件就会自动载入过滤器,并自动弹出过滤器设置窗口,需要用户点击需要用户点击“设置设置”按钮按钮,过滤器中的条件才能设置到防火墙上起到过滤连接信息的作用。第一章防火墙的管理及维护第一章防火墙的管理及维
18、护4.当过滤条件设置成功后,就可以看到当前的连接信息:第一章防火墙的管理及维护第一章防火墙的管理及维护5.如果在连接信息中发现了有非法连接,用户可以选择该连接,单击 右键,选择“删除选中连接”:或者点击连接后,选择工具条上的快捷按钮:该连接就会被防火墙强制断开,断开的连接将显示在连接信息下的断开连接信息表中:第一章防火墙的管理及维护第一章防火墙的管理及维护当显示的连接数过多时,用户可以设置当前可显示连接数和断开连接数的最大值,将鼠标移至连接信息显示窗口处,单击右键,选择“设置显示连接最大值”:设置需要显示的最大连接数:第一章防火墙的管理及维护第一章防火墙的管理及维护六、防火墙日志服务器的维护防
19、火墙日志服务器的维护主要是服务中的两个服务QuerySvrMonitor Service 和LogSvrMonitor Service与SSL代理有没有启动a)日志服务启动和停止,打开通过控制面板服务选项其中在服务进程表里,日志服务器会有两个服务:QuerySvrMonitor Service 和LogSvrMonitor Service,你可以在这里启动、关闭这两个服务。第一章防火墙的管理及维护第一章防火墙的管理及维护b)SSL 代理服务的启动、关闭 SSL代理服务负责审计管理器和日志服务器通讯的加密。SSL 代理服务器如果启动,会直接在任务栏里看到,如果没有启动,请在开始菜单下的启动一栏里
20、启动它。c)在确认以上3项都启动后可查看日志服务器与防火墙通讯是否正常,可在日志服务器的DOS命令行下输入NETSTAT命令查看,如显示有与防火墙地址的4000端口的连接表示日志服务器与防火墙的通讯是正常的具体的操作可参考“防火墙应用(高级)”中的日志服务器典型应用d)一台防火墙日志服务器可以同时记录16台防火墙的日志第一章防火墙的管理及维护第一章防火墙的管理及维护七、防火墙双机维护七、防火墙双机维护1)作为双机热备的两台防火墙必须保证配置的一致性,也就是说要是完全相同硬件与软件的防火墙两台,并且防火墙配置也要保持一致,在防火墙使用过程中更改配置是经常有的,重要的是更改完配置要在“工具”下的“
21、防火墙配置管理”中点“同步”将更改完的配置传到另一台防火墙(非工作的防火墙“从墙”)上,以保证两面配置的一致性;2)作为双机热备的两台防火墙的最后一个100M以太网端口(称为“状态同步端口”)只用来做两台防火墙的状态信息传送,不参与其他网络通信,但该接口或接口所连的网线有问题会导致两台防火墙同时工作,即网络中同时出现两台主墙,导致网络中断,在出现该问题时建议关掉其中一台防火墙即可保证网络的正常通讯;第一章防火墙的管理及维护第一章防火墙的管理及维护3)双机防火墙中的一台防火墙如果有问题的话,另一台工作的防火墙(主墙)会发出异常响声以提醒管理员从墙故障,这时管理员可以对从墙进行细致的检查;4)防火
22、墙双机与IDS联动成功后,在进行防火墙切换时当前的IDS联动阻断规则不会生效;5)防火墙在做双机时要将交换机上的生成树关掉第二章防火墙一般故障的解决方法第二章防火墙一般故障的解决方法1.超级终端无法连接到防火墙超级终端无法连接到防火墙 查看是否在超级终端上设置了正确的通信参数(9600-8-N-1)及终端类型,并检查线缆连接正确。2.无法无法TELNET或或GUI管理防火墙管理防火墙 检查防火墙登录控制中是否允许TELNET或GUI管理;确认登录源主机的IP是否在设定IP范围内。确认是否有相同用户名的用户已登录防火墙(同用户名用户不允许在同一时间登录同一台防火墙)。如果是新墙,确认使用集中管理
23、器(GUI管理)登录防火墙的计算机连接在防火墙eth2内网接口上(对刚出厂的防火墙,只允许通过内网口对其进行配置管理。3.无法无法ping到防火墙到防火墙 检查客户机所在的区域是否enable,区域设置中是否打开ping。检查防火墙 是否设置了IP地址。如果客户机和防火墙不在同一个网段,再检查防火墙和 客户机的路由设置。请参考基本配置中各接口的IP地址设置。4.防火墙在做双机时总是时断时续而且防火墙的接口灯狂闪 应该是防火墙所在交换机的生成树没有关掉,关掉生成树即可第二章防火墙一般故障的解决方法第二章防火墙一般故障的解决方法5.使用综合管理系统登录防火墙后无法实现某些操作使用综合管理系统登录防
24、火墙后无法实现某些操作检查登录使用的用户是否具有相应的权限。6.配置一接口后原有一接口失效配置一接口后原有一接口失效新配的接口与失效接口在同一网段,防火墙将该网段的直接路由重新配置到了新接口上。7.不能增加一目标网段的路由不能增加一目标网段的路由检查防火墙是否能解析该网关的MAC。8.增加策略禁止某主机,该主机仍能通过防火墙增加策略禁止某主机,该主机仍能通过防火墙检查该主机与通信目标主机间的通信通道是否经过防火墙;检查是否已有策略许可该主机通过防火墙;检查是测试源主机否为双穴主机,是否网卡配有多个IP地址。9.无法增加地址映射通信策略无法增加地址映射通信策略检查映射目的主机IP地址是否在防火墙
25、的一接口上配置。10.成功添加一映射策略后,但无法访问映射源主机成功添加一映射策略后,但无法访问映射源主机检查过滤规则是否许可其通过,过滤规则还应许可映射目的主机通过防火墙,即映射前后的主机在防火墙上均许可通过才能访问成功。第二章防火墙一般故障的解决方法第二章防火墙一般故障的解决方法11.IP地址绑定未起作用地址绑定未起作用检查绑定IP是否经过其它路由设备(通过路由设备后IP地址已被改换)才到达防火墙。12.防火墙重启后配置丢失防火墙重启后配置丢失通常情况下是用户在防火墙重启前没有对防火墙的配置进行保存。13.使用防火墙后原本可互相访问的主机无法通信使用防火墙后原本可互相访问的主机无法通信假设
26、为这两台主机分别为A和B:检查这两个区域的配置,必须保证它们都是enable的。如果A、B在同一个网段,检查防火墙的VLAN设置,必须有一个VLAN包含A、B所在的两个区域。如果A、B不在同一个网段,则有两种可能:A、B之间没有路由器,则必须使用防火墙为路由器,在防火墙的两个接口上配置相应的IP地址。A、B之间有一个路由器(假设路由器R和B在同一个区域中),则A和R必须在同一个防火墙VLAN中。以上都检查之后还是不同,假设B为服务器,A为客户机,则检查B所在的区域的访问策略,看是否有哪条策略禁止A访问B,如果没有匹配的访问策略,则检查B所在区域的缺省访问权限。第三章第三章 防火墙应急响应机制防
27、火墙应急响应机制1.电话咨询2.北京天融信公司提供24小时技术援助电话800-810-5119,解答总参通讯局在系统使用中遇到的问题,及时提出解决问题的建议和操作方法电话咨询。3.2.远程在线诊断和故障排除 对于电话咨询解决不了的问题,总参通讯局可授权天融信公司技术服务人员通过电话进行免费的故障诊断和故障排除。3.应急支持 北京天融信公司承诺在保修期内及保修期外(三年)提供用户满意的应急支持。4.北京公司总部:技术支持中心 电话:62304995-256 传真技术支持 01086211069、86211070 免费技术支持电话:8008105119 24小时热线移动:13910920370,13701308270 EMAIL: 第三章第三章 防火墙应急响应机制防火墙应急响应机制服务流程服务流程