810 likes | 1.25k Views
天融信防火墙使用培训. 北京天融信南京分公司. Source. Destination. Permit. Protocol. Host A. Host C. Pass. TCP. Internet. Host B. Host C. Block. UDP. 防火墙定义. 两个安全域之间通信流的唯一通道. 内部网. 根据访问控制规则决定进出网络的行为. 一种高级访问控制设备,置于不同 网络安全域 之间的一系列部件的组合,它是不同网络安全域间通信流的 唯一通道 ,能根据企业有关的安全政策 控制 (允许、拒绝、监视、记录)进出网络的访问行为。.
E N D
天融信防火墙使用培训 北京天融信南京分公司
Source Destination Permit Protocol Host A Host C Pass TCP Internet Host B Host C Block UDP 防火墙定义 两个安全域之间通信流的唯一通道 内部网 根据访问控制规则决定进出网络的行为 一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
防火墙的接口和区域 接口和区域是两个重要的概念 接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。 区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
透明模式(提供桥接功能) 在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(路由功能) 在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。 说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。 防火墙提供的通讯模式
Internet 透明模式的典型应用 202.99.88.1 ETH0:202.99.88.2 ETH1:202.99.88.3 ETH2:202.99.88.4 202.99.88.10/24 网段 外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。 内部网 202.99.88.20/24 网段
Internet 路由模式的典型应用 202.99.88.1 ETH0:202.99.88.2 ETH1:10.1.1.2 ETH2:192.168.7.2 10.1.1.0/24 网段 外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。 内部网 192.168.7.0/24 网段
综合接入模式的典型应用 两接口在不同网段,防火墙处于路由模式 202.11.22.1/24 网段 ETH1:192.168.7.102 ETH0:202.11.22.2 192.168.7.0/24 网段 ETH2:192.168.7.2 两接口在同一网段,防火墙处于透明模式 两接口在不同网段,防火墙处于路由模式 此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式 192.168.7.0/24 网段
防火墙的工作状态 网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中, 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态, 具体请见下表:
在安装配置防火墙之前必须弄清楚的几个问题:在安装配置防火墙之前必须弄清楚的几个问题: 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制)
安装了防火墙后,可以为网络起到如下安全保障作用:安装了防火墙后,可以为网络起到如下安全保障作用: 1、在互联网接口处提供安全保护措施,防止外部入侵。 2、对服务器进行保护,不仅防止来自互联网的攻击,也可以防止内部员工利用内网对服务器进行攻击。 3、构建VPN,解决总部和分支机构间的互联互通和移动办公需求,合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访问公司的内部网络资源。 4、通过安全检查,过滤包含非法内容的网页,邮件,FTP 5、带宽管理,确保即使在网络出现拥堵时,企业老总、中层领导、重要部门也能够快速、便捷、顺畅、优先上网 11
安装了防火墙后,可以为企业起到如下安全保障作用:安装了防火墙后,可以为企业起到如下安全保障作用: 6、对员工上网进行管理,防止他们在上班时间利用网络做与工作无关的事,而且控制策略多种多样。例如: ----只能访问与工作有关的网站 ----不能进入QQ聊天室 ----不能玩网络游戏 ----不能用BT、电驴等P2P工具下载电影…… 7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限制上网,对员工李四允许上网,假如张三企图用李四的电脑上网,也一样不能得逞。 8、控制策略还可以基于时间。例如可以限制张三只能在下午七点到十点之间上网,在这个时间段以外就不能。 9、可以限制每台主机,每个网段的并发连接数。 12
天融信防火墙 安装配置
Swich、Hub Route • 硬件一台 NGFW TG -1507 • 外形:19寸1U标准机箱 (产品参考外形) 串口线 直通线 直通线 交叉线 管理机 PC 接COM口
产品提供的附件及线缆使用方式 • CONSOLE线缆(RJ45线缆加DB9口转CONSOLE接口头) • UTP5双绞线 • -直通(1条,颜色:白色) • - 交叉(1条,颜色:红色) • 使用: • 直通:与HUB/SWITCH • 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与 • 防火墙连接) • 软件光盘 • 上架附件
串口(console)管理方式: 用户名superman ,初始口令talent,用passwd命令可修改管理员密码 WEBUI管理方式(https协议): 超级管理员:superman,口令:talent 可在“系统管理”—“管理员”中修改密码,要求密码大于8位。 TELNET管理方式: 模拟console管理方式,用户名superman,口令:talent SSH管理方式: 模拟console管理方式,用户名superman,口令:talent 出于安全性的考虑,强烈建议修改初始密码! 但请牢记修改后的密码!!!忘记密码必须返厂收费维修! 防火墙配置-管理方式
防火墙的CONSOLE管理方式 超级终端参数设置:
防火墙的CONSOLE管理方式 输入helpmode chinese命令 可以看到中文化菜单
防火墙的WEBUI管理方式 在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
防火墙的WEBUI管理方式 输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
防火墙的WEBUI管理方式 在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”
防火墙的WEBUI管理方式 输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent
防火墙的管理方式-打开防火墙管理端口 注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开“HTTP”方式。 在“系统管理”-“配置” -“开放服务”中选择“启动”即可
防火墙的TELNET管理方式 通过TELNET方式管理防火墙:
防火墙建议配置步骤: 1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式) 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转换) 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份 提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络中断。
应用需求: • 内网可以访问互联网 • 服务器对外网做映射 • 映射地址为111.111.111.230 • 外网禁止访问内网 INTERNET 111.111.111.254 111.111.111.230 WEB服务器 10.1.1.254 10.1.1.1 172.16.1.254 防火墙接口分配如下: ETH0接内网 ETH1接Internet(外网) ETH2接服务器区 172.16.1.0/24
1、接口配置 进入防火墙管理界面,点击”网络管理“-“接口” - ”物理接口“可以看到物理接口定义结果: 点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址 注意:防火墙每个接口的默认状态均为“路由”模式
2、区域和缺省访问权限配置 在“资产管理”-”区域“中定义防火墙区域及默认权限为”禁止访问“
防火墙管理权限设置 系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域; ETH1接口为“外网”区域 定义你希望从哪个接口(区域)管理防火墙 “内网”区域添加对防火墙的管理权限(当然也可以对“外网”区域添加),点击“系统管理”—“配置”—“开放服务”,点击添加
3、路由表配置 添加静态路由 在“网络管理”- “路由”-“静态路由”添加静态路由
3、定义对象 添加单个主机对象 点击:”资源管理“-“地址”-“主机”,点击右上角“添加配置”
3、定义对象 添加地址范围 点击:”资源管理“-“地址”-“范围”,点击右上角“添加配置”
3、定义对象 添加地址组 点击:”资源管理“-“地址”-“地址组”,点击右上角“添加配置”
3、定义对象 添加自定义服务: 防火墙内置一些标准服务端口,用户在端口引用时,但有时用户的系统 没有使用某些服务的标准端口,这时我们通过自定义方式加以定义。 点击:”资源管理“-“服务”-“自定义服务”,点击“添加”,可以添加单个端口或范围 ,单个端口只填起始端口
3、定义对象 添加时间 点击:”资源管理“-“时间”,点击“添加”,可以设置单次和多次 注意:防火墙所有需要引用对象的配置,请先定义对象, 才能引用。
202.102.93.54 Host A Internet IP报头 数据 Host C Host D IP报头 数据 172.16.1.21 172.16.1.25 Eth1:111.111.111.230 受保护网络 Eth0:172.16.1.254 防火墙 4、NAT地址转换策略 源地址转换 源:111.111.111.230:1120 目地:202.102.93.54:80 源:172.16.1.21:1080 目地:202.102.93.54:80 111.111.111.254 • 隐藏了内部网络的结构 • 内部网络可以使用私有IP地址 • 公开地址不足的网络可以使用这种方式提供IP复用功能
4、地址转换策略配置 内网可以访问互联网,需要配置源转换 源选择源区域“内网区域”,目的选择目的区域“外网区域”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换111.111.111.230
注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址
10.1.1.3 10.1.1.1 10.1.1.5 10.1.1.4 WWW DNS FTP MAIL Internet MAP (目的地址转换也叫映射) • 公开服务器可以使用私有地址 • 隐藏内部网络的结构 10.1.1.254 MAP 10.1.1.1:80 TO 111.111.111.230:80 MAP 10.1.1.3:21 TO 111.111.111.230:21 MAP 10.1.1.5:25 TO 111.111.111.230:25 http://111.111.111.230 MAP 10.1.1.4:53 TO 111.111.111.230:53 111.111.111.230 222.222.2.2
4、地址转换策略配置 互联网用户可以访问内部服务器资源,需要配置目的地址转换 源选择“互联网区域”,目的选择“111.111.111.230(合法IP )”,服务选择“http”,目的转换为服务器真实地址10.1.1.1,目的端口转换为选择“http” ” 第一条为内网访问外网做NAT; 第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP
5、访问控制 • 基于源IP地址 • 基于目的IP地址 • 基于源端口 • 基于目的端口 • 基于时间 • 基于用户 • 基于流量 • 基于文件 • 基于网址 • 基于MAC地址 • 基于应用层过滤 Access list 192.168.1.3 to 202.2.33.2 Access nat 192.168.3.0 to any pass Access 202.1.2.3 to 192.168.1.3 block Access default pass 规则匹配成功 Host C Host D 1010010101
5、配置访问控制 第一条规则定义“内网”可以访问互联网。源选择“内网”; 目的可以选择目的区域—“外网”,动作“允许”(默认选项)。 第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http、ftp、smtp、pop3四种应用。源选择“外网”、目的选择服务器真实的IP地址10.1.1.1。 定义好的两条访问策略
Internet 时间控制策略 Host C Host D 在防火墙上制定基于时间的访问控制策略 上班时间可以访问公司的网络 上班时间不允许访问Internet