《防火墙知识培训.pptx》由会员分享,可在线阅读,更多相关《防火墙知识培训.pptx(67页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、防火墙知识培训防火墙知识培训技术部技术部 课程目标课程目标防火墙的基础知识 方正防火墙特点保定电子政务网防火墙配置策略说明 常见问题与解决方案课程目标课程目标防火墙的基础知识防火墙的基础知识 方正防火墙特点保定电子政务网防火墙配置策略说明 常见问题与解决方案传统防火墙的概念传统防火墙的概念IT领域中防火墙的概念领域中防火墙的概念过滤进出网络的数据包;管理进出网络的访问行为;封堵某些禁止的访问行为;记录通过防火墙的信息内容和活动;对网络攻击进行检测和告警能过滤大部分的危险端口设置严格的外向内的状态过滤规则抵挡大部分的拒绝服务攻击加强了访问控制能力防火墙的作用防火墙的作用对新出现的漏洞和攻击方式不
2、能迅速提供有效的防御方法紧急情况下无法做到迅速响应性能和稳定性制约了大范围的使用不能完全防范恶意代码的通过防火墙的局限性防火墙的局限性防火墙的分类防火墙的分类包过滤防火墙包过滤防火墙 最早的防火墙技术之一,功能简单,配置复杂应用网关防火墙应用网关防火墙 最早的防火墙技术之二,连接效率低,速度慢状态检测防火墙 现代主流防火墙,速度快,配置方便,功能较多DPIDPI防火墙(防火墙(Deep Packet InspectionDeep Packet Inspection)未来防火墙的发展方向,能够高速的对第七层数据进行检测状态检测防火墙状态检测防火墙优点优点减少检查工作量,提高效率减少检查工作量,提
3、高效率连接状态可以简化规则的设置连接状态可以简化规则的设置缺点:缺点:对应用层检测不够深入对应用层检测不够深入DPI防火墙优点优点能够提供更高级的安全策略控制能够提供更高级的安全策略控制具备一定的入侵检测和防病毒功能具备一定的入侵检测和防病毒功能缺点:缺点:目前的技术条件下速度太慢目前的技术条件下速度太慢主要内容主要内容防火墙的基础知识 方正防火墙特点方正防火墙特点保定电子政务网防火墙配置策略说明 常见问题与解决方案防火墙产品线防火墙产品线3000-FG-D8000-FG-E8000-FG-T部门级部门级3000-FG-E3000-FG-63403000-FG-T8000-FG-NA10003
4、000-FS-D4-S8000-FG-P3000-FA-E3000-FA-T3000-FS-E48000-FA-E8000-FS-E中小型企业级中小型企业级大型企业级大型企业级电信级电信级8000-FA-T3000-FA-NP2003000-FA-NP1003000-FA-NP803000-FA-T8000-FG-NA2000方正方正FG系列防火墙特点简介系列防火墙特点简介1、方正安全自2000年就开始推出自主知识产权的防火墙产品,现在已经发展到了第三代,拥有三个系列20个型号的防火墙产品。2、具有出众的稳定性。作为网关产品,稳定性是重中之重。评价稳定性,用户才最有发言权。以国税和军队为例:方
5、正防火墙连续三年入围国税、军队行业统采项目,累计销售达2000台以上,稳定性尤其受到用户好评。07年底一次性通过公安部突击检查。08年入围315推荐产品目录。3、具有出色的性能。05、06连续两年方正防火墙获赛迪防火墙性能评测第一名。4、具有多种功能,并可集中管理。方正防火墙维护工程师培训方正防火墙维护工程师培训FG防火墙配置防火墙配置课程目标课程目标了解方正防火墙的基本概念明确方正防火墙的基本使用流程能够独立完成方正防火墙的基本使用和配置主要内容主要内容使用方正防火墙的预备知识FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍 主要内容主要内容使用方正防火墙
6、的预备知识使用方正防火墙的预备知识FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍 网络接口:网口一网络接口:网口一网络接口:网口一网络接口:网口一 网口二网口二网口二网口二 网口三网口三网口三网口三 网口四网口四网口四网口四串口:串口:串口:串口:控制串口控制串口控制串口控制串口方正防火墙的硬件介绍方正防火墙的硬件介绍硬件连接示意图硬件连接示意图1.FGInit2.FGTestTool3.FireControl4.LogService5.卸载卸载FireControl软件模块软件模块主要内容主要内容使用方正防火墙的预备知识FIREGATE安装初始化安装初始
7、化 登录和管理FIREGATE FIREGATE功能配置介绍 LogService报警说明典型案例FIREGATE硬件安装硬件安装1.连接电源线 2.连接串口线 3.连接FG防火墙到网络中首先出现FG的Logo画面 软件安装新建实施域添加防火墙设备导入/导出管理员账号*初始化程序运行前应先将计算机的初始化程序运行前应先将计算机的初始化程序运行前应先将计算机的初始化程序运行前应先将计算机的COM1COM1COM1COM1口与防火墙的控口与防火墙的控口与防火墙的控口与防火墙的控制串口连接,并将防火墙电源打开制串口连接,并将防火墙电源打开制串口连接,并将防火墙电源打开制串口连接,并将防火墙电源打开F
8、CINIT进行初始化进行初始化FGInit初始化主要内容主要内容使用方正防火墙的预备知识FIREGATE安装初始化 登录和管理登录和管理FIREGATE FIREGATE功能配置介绍 FireControl是是 什么?什么?FireControl是FG的管理程序,其作用是管理、监控、配置FG。策略管理员可自定义防火墙的各种参数,配置个性化的防火墙。首首先先进进行行用用户户登登录录,必必须须使使用用AdminAdmin用用户户登登录录,然然后后进进入入主主界界面面,进进入入主主界界面面后后,首首先先要要添添加加其其他他用用户户,设设置置管管理理用用户户的的权权限限,然然后是具体参数的配置。后是具
9、体参数的配置。FIRECONTROL操作说明操作说明登录登录进入主界面后,进入主界面后,进入主界面后,进入主界面后,在设备列表处选在设备列表处选在设备列表处选在设备列表处选择需要控制的防择需要控制的防择需要控制的防择需要控制的防火墙火墙火墙火墙FIRECONTROL操作说明操作说明选择设备选择设备FIRECONTROL操作说明操作说明主界面介绍主界面介绍普通管理员权限设置:系统管理员admin在进入主菜单后,点击菜单项“操作”下的“管理员帐号管理”,即可进行普通管理员的添加、修改和删除,以及为非法管理员设置封禁功能。如图所示:FIRECONTROL管理员权限设置管理员权限设置系统管理员admi
10、n进入主菜单,点击“操作”栏下的“添加管理员帐号”,即可进行管理员帐号的添加。如图所示:如图所示:FIRECONTROL填加管理员帐号填加管理员帐号系统管理员admin在添加完管理员帐号后,必须为相关管理员设置策略管理员和审计管理员的权限。以admin帐号登录系统后,点击“管理员权限设置”,如图所示:只有系统管理员只有系统管理员admin才才有权设置管理员权限。有权设置管理员权限。设置管理员权限设置管理员权限主要内容主要内容使用方正防火墙的预备知识FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍功能配置介绍 系统信息提供当前系统时间、运行总时间、系统负载及系
11、统资源四项显示信息。基本配置基本配置系统信息系统信息方正防火墙使用别名机制管理端口和子网,策略管理员可以用简单好记的一条别名来代替服务器的多个端口和多个子网,方便管理。在定义别名时,一定要使用便于在定义别名时,一定要使用便于在定义别名时,一定要使用便于在定义别名时,一定要使用便于阅读的名称,尽可能使用中文。阅读的名称,尽可能使用中文。阅读的名称,尽可能使用中文。阅读的名称,尽可能使用中文。基本配置基本配置别名别名 基本配置基本配置设备配置设备配置桥模式桥模式 在“网口配置”标签页中,各个网口设备设置了不同网段的IP地址。这样,防火墙成为这些网段间通信的路由器。路由模式路由模式混杂模式混杂模式防
12、火墙的规则配置是面向网口设备的,每个网口上的规则是指:这个接口设备接收到的数据包要经过这些规则的过滤,此处的接口包括物理接口设备和VLAN设备。安全安全防火墙策略防火墙策略静态路由提供目的地址路由(即静态路由)和策略路由功能 网络管理网络管理静态路由静态路由方正防火墙维护培训方正防火墙维护培训FG日常管理以及故障处理日常管理以及故障处理防火墙命令防火墙命令-Debug帐号帐号Debug帐号登陆方式帐号登陆方式windows超级终端方式,推荐用SecureCRT 下图为windows超级终端登陆的设置画面Debug帐号登陆用户名密码帐号登陆用户名密码用户名:debug密码:fgdebug防火墙命
13、令防火墙命令-Debug帐号帐号用途用途主要用于获取防火墙上次初始化时使用的key若防火墙从未初始化过,则该命令返回为空若上次初始化的key不对或功能不全,则该命令并不对此进行校验或修正getlkDebug$getlk HVWRTTXAF8H5VW7XC692TCVFMCDebug$防火墙命令防火墙命令-getlk用途用途主要用于防火墙设备配置里面ip配置察看Ifconfig用于查看正在使用的设备防火墙命令防火墙命令-ifconfig用途用途用与ping远程主机确认网络状态Ping targetipEg:Ping 172.31.118.1通通Debug$ping 172.31.118.1 2
14、packets transmitted,2 packets received,0%packet lossround-trip min/avg/max=0.6/0.7/0.9 msDebug$Eg:Ping 172.31.118.10不通不通Debug$ping 172.31.118.103 packets transmitted,0 packets received,100%packet lossDebug$防火墙命令防火墙命令-Debug命令命令-ping用途用途重起防火墙reboot防火墙命令防火墙命令-reboot用途用途主要用于防火墙的路由表显示,和ip route ls等价,但是输出
15、方式不一样route显示防火墙的静态路由表防火墙命令防火墙命令-route用途用途telnet远程主机或路由器telnet 172.31.118.19防火墙命令防火墙命令-telnet用途用途traceroute远程主机或路由器主要用于路径定位和排错traceroute 172.31.118.19防火墙命令防火墙命令-traceroute(1)温度1025;(2)相对湿度:4060(不结霜);(3)交流220V电源;(4)三芯带接地保护的电源插头和插座;(5)防火墙系统不可带电搬运,任何零部件不可带电插拔,否则可能损坏防火墙。日常维护:保持机房温度日常维护:备份防火墙管理员证书日常维护:备份防
16、火墙管理员证书日常维护:定期备份防火墙配置文件日常维护:定期备份防火墙配置文件防火墙源地址转换防火墙源地址转换排除电源线和电源插座故障拔下电源线再插上,再启动防火墙。检查电源指示灯是否正常,排除电源故障如果确实无法启动,拨打技术支持电话:800-8101353。典型软、硬件故障排除不能启动典型软、硬件故障排除不能启动排除串口线连接错误,检查串口线是否正确连接控制主机的COM1口和FireGate的“管理串口”排除串口线质量故障,更换好的串口线用超级终端登陆,是否显示登陆符号信息如果串口无法连接,就做进一步的系统无法启动故障判定典型软、硬件故障排除串口线不能登陆防火墙典型软、硬件故障排除串口线不
17、能登陆防火墙防火墙持续重启,无法进入FC及超级终端拔掉与内网连接的网线,发现控制机连接变得正常用sniffer软件对内网进行探测,发现带病毒的机器,将其关机后,网络正常用户网络中存在蠕虫病毒典型软、硬件故障排除持续重启典型软、硬件故障排除持续重启顺平案例:突然断电引起不能连网,FC连接错误排除控制口IP冲突故障,网络中是否有其它机器设置了和防火墙控制IP相同的IP排除网络连接故障,检查控制机IP配置是否正确,检查网线,检查控制网口网卡,排除网络故障,确保可ping通控制口IP排除防火墙控制端口没有开放故障,用telnet IP 55443检查防火墙控制端连接端口是否开放超级终端连入(保证控制线
18、连到控制口),用root命令登录,检查防火墙时间(date命令)解决办法:初始化防火墙本次项目的案例本次项目的案例FCFC连接错误连接错误望都案例:内部网络和防火墙连接中断检查防火墙物理连接正常(网火墙和交换机网路端口指示灯)排除网络连接故障,重启防火墙,连接恢复正常,过2分钟,网络又中断断开内网交换机,连接一台测试电脑到防火墙网口2,上网正常,一直不断网初步判断:内网病毒引起解决方法:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒本次项目的案例网络断本次项目的案例网络断安新案例:连接防火墙丢包严重方法同上一个
19、案例,拔掉所有分支,留测试机,没有丢包初步判断:内网病毒引起解决方法1:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒解决方法2:在网络分支点安装二级路由器,优点1:可以隔离病毒对整个网络的干扰,优点2:在二级路由上做分级限速,避免网上某几台BT,迅雷下载的机器一工作,影响其他人的上网速度本次项目的案例网络丢包严重本次项目的案例网络丢包严重博野案例:连接防火墙丢包初步判断:病毒引起查毒,杀毒网口3接测试机,不丢包,下面测试机20多个包丢1个把三层交换上的端口限速配置去掉,下面测试机不丢包由于网络上BT,迅雷下载
20、使用非常频繁,不做限速,一两个人使用BT或迅雷就能把网络带宽全占满,考虑网络结构因素,增加分支路由不可能,而20多个包丢1个,是三层交换机限制BT或迅雷下载的结果,对正常用户不影响,所以,不做改变本次项目的案例网络丢包本次项目的案例网络丢包安国案例:外网正常,内网断内网上不了网,远程FC登录防火墙,可以登录检查防火墙配置,发现静态路由丢失解决方法:加上静态路由配置本次项目的案例外网正常本次项目的案例外网正常,内网断内网断顺平案例:上不了网,发现是网口2网线插错到网口1安苑案例:上不了网,远端光模重启,恢复正常蠡县案例:部分网段上不了网,三层交换机模块故障,工作不正常徐水案例:日志2天就满易县案例:需要增加远程桌面的功能本次项目的其他非典型案例本次项目的其他非典型案例 方正信息安全技术有限公司67谢 谢!