天融信防火墙使用培训
This presentation is the property of its rightful owner.
Sponsored Links
1 / 73

天融信防火墙使用培训 PowerPoint PPT Presentation


  • 157 Views
  • Uploaded on
  • Presentation posted in: General

天融信防火墙使用培训. 北京天融信南京分公司. Source. Destination. Permit. Protocol. Host A. Host C. Pass. TCP. Internet. Host B. Host C. Block. UDP. 防火墙定义. 两个安全域之间通信流的唯一通道. 内部网. 根据访问控制规则决定进出网络的行为. 一种高级访问控制设备,置于不同 网络安全域 之间的一系列部件的组合,它是不同网络安全域间通信流的 唯一通道 ,能根据企业有关的安全政策 控制 (允许、拒绝、监视、记录)进出网络的访问行为。.

Download Presentation

天融信防火墙使用培训

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


4429713

天融信防火墙使用培训

北京天融信南京分公司


4429713

Source

Destination

Permit

Protocol

Host A

Host C

Pass

TCP

Internet

Host B

Host C

Block

UDP

防火墙定义

两个安全域之间通信流的唯一通道

内部网

根据访问控制规则决定进出网络的行为

一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。


4429713

防火墙的接口和区域

接口和区域是两个重要的概念

接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。

区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。


4429713

透明模式(提供桥接功能)

在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。

路由模式(路由功能)

在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。

综合模式(透明+路由功能)

顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。

说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网

络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会

影响防火墙的访问控制功能。

防火墙提供的通讯模式


4429713

Internet

透明模式的典型应用

202.99.88.1

ETH0:202.99.88.2

ETH1:202.99.88.3

ETH2:202.99.88.4

202.99.88.10/24 网段

外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。

内部网

202.99.88.20/24 网段


4429713

Internet

路由模式的典型应用

202.99.88.1

ETH0:202.99.88.2

ETH1:10.1.1.2

ETH2:192.168.7.2

10.1.1.0/24 网段

外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。

内部网

192.168.7.0/24 网段


4429713

综合接入模式的典型应用

两接口在不同网段,防火墙处于路由模式

202.11.22.1/24 网段

ETH1:192.168.7.102

ETH0:202.11.22.2

192.168.7.0/24 网段

ETH2:192.168.7.2

两接口在同一网段,防火墙处于透明模式

两接口在不同网段,防火墙处于路由模式

此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式

192.168.7.0/24 网段


4429713

防火墙的工作状态

网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,

用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,

具体请见下表:


4429713

在安装配置防火墙之前必须弄清楚的几个问题:

1、路由走向(包括防火墙及其相关设备的路由调整)

确定防火墙的工作模式:路由、透明、综合。

2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)

根据确定好的防火墙的工作模式给防火墙分配合理的IP地址

3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)

4、要达到的安全目的(即要做什么样的访问控制)


4429713

安装了防火墙后,可以为网络起到如下安全保障作用:

1、在互联网接口处提供安全保护措施,防止外部入侵。

2、对服务器进行保护,不仅防止来自互联网的攻击,也可以防止内部员工利用内网对服务器进行攻击。

3、构建VPN,解决总部和分支机构间的互联互通和移动办公需求,合作伙伴、在家办公的员工、出差在外的员工可以在企业之外访问公司的内部网络资源。

4、通过安全检查,过滤包含非法内容的网页,邮件,FTP

5、带宽管理,确保即使在网络出现拥堵时,企业老总、中层领导、重要部门也能够快速、便捷、顺畅、优先上网

11


4429713

安装了防火墙后,可以为企业起到如下安全保障作用:

6、对员工上网进行管理,防止他们在上班时间利用网络做与工作无关的事,而且控制策略多种多样。例如:

----只能访问与工作有关的网站

----不能进入QQ聊天室

----不能玩网络游戏

----不能用BT、电驴等P2P工具下载电影……

7、控制策略可以做到基于人而不是基于电脑。例如对员工张三限制上网,对员工李四允许上网,假如张三企图用李四的电脑上网,也一样不能得逞。

8、控制策略还可以基于时间。例如可以限制张三只能在下午七点到十点之间上网,在这个时间段以外就不能。

9、可以限制每台主机,每个网段的并发连接数。

12


4429713

天融信防火墙

安装配置


4429713

Swich、Hub

Route

  • 硬件一台 NGFW TG -1507

  • 外形:19寸1U标准机箱

(产品参考外形)

串口线

直通线

直通线

交叉线

管理机

PC

接COM口


4429713

产品提供的附件及线缆使用方式

  • CONSOLE线缆(RJ45线缆加DB9口转CONSOLE接口头)

  • UTP5双绞线

  • -直通(1条,颜色:白色)

    • - 交叉(1条,颜色:红色)

  • 使用:

    • 直通:与HUB/SWITCH

    • 交叉:与路由器/主机(一些高端交换机也可以通过交叉线与

    • 防火墙连接)

  • 软件光盘

  • 上架附件


4429713

串口(console)管理方式:

用户名superman ,初始口令talent,用passwd命令可修改管理员密码

WEBUI管理方式(https协议):

超级管理员:superman,口令:talent

可在“系统管理”—“管理员”中修改密码,要求密码大于8位。

TELNET管理方式:

模拟console管理方式,用户名superman,口令:talent

SSH管理方式:

模拟console管理方式,用户名superman,口令:talent

出于安全性的考虑,强烈建议修改初始密码!

但请牢记修改后的密码!!!忘记密码必须返厂收费维修!

防火墙配置-管理方式


4429713

防火墙的CONSOLE管理方式

超级终端参数设置:


4429713

防火墙的CONSOLE管理方式

输入helpmode chinese命令

可以看到中文化菜单


4429713

防火墙的WEBUI管理方式

在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”


4429713

防火墙的WEBUI管理方式

输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent


4429713

防火墙的WEBUI管理方式

在浏览器输入:HTTPS://192.168.1.254,看到下列提示,选择“是”


4429713

防火墙的WEBUI管理方式

输入用户名和密码后,按“提交”按钮. 用户名:superman 密码:talent


4429713

防火墙的WEBUI管理方式


4429713

防火墙的管理方式-打开防火墙管理端口

注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙

的服务端口,系统默认打开“HTTP”方式。

在“系统管理”-“配置” -“开放服务”中选择“启动”即可


4429713

防火墙的TELNET管理方式

通过TELNET方式管理防火墙:


4429713

防火墙建议配置步骤:

1、根据网络环境考虑防火墙部署模式(路由模式、透明模式、混合模式)

2、配置防火墙接口IP

3、配置区域和默认访问权限

4、设置路由表

5、定义对象

6、制定地址转换策略(包括源地址转换、目的地址转换、双向转换、不做转换)

7、制定访问控制策略

8、其他特殊应用配置

9、配置保存

10、配置文件备份

提示:每次修改配置前,建议首先备份防火墙再修改配置,避免防火墙配置不当造成网络中断。


4429713

  • 应用需求:

  • 内网可以访问互联网

  • 服务器对外网做映射

  • 映射地址为111.111.111.230

  • 外网禁止访问内网

INTERNET

111.111.111.254

111.111.111.230

WEB服务器

10.1.1.254

10.1.1.1

172.16.1.254

防火墙接口分配如下:

ETH0接内网

ETH1接Internet(外网)

ETH2接服务器区

172.16.1.0/24


4429713

1、接口配置

进入防火墙管理界面,点击”网络管理“-“接口” - ”物理接口“可以看到物理接口定义结果:

点击每个接口的”设置”按钮可以修改每个接口的描述和接口IP地址

注意:防火墙每个接口的默认状态均为“路由”模式


4429713

2、区域和缺省访问权限配置

在“资产管理”-”区域“中定义防火墙区域及默认权限为”禁止访问“


4429713

防火墙管理权限设置

系统默认只能从ETH0对防火墙进行管理

添加ETH0接口为“内网”区域; ETH1接口为“外网”区域

定义你希望从哪个接口(区域)管理防火墙

“内网”区域添加对防火墙的管理权限(当然也可以对“外网”区域添加),点击“系统管理”—“配置”—“开放服务”,点击添加


4429713

3、路由表配置

添加静态路由

在“网络管理”- “路由”-“静态路由”添加静态路由


4429713

设置默认路由时,源和目的全为“0”


4429713

3、定义对象

添加单个主机对象

点击:”资源管理“-“地址”-“主机”,点击右上角“添加配置”


4429713

3、定义对象

添加地址范围

点击:”资源管理“-“地址”-“范围”,点击右上角“添加配置”


4429713

3、定义对象

添加地址组

点击:”资源管理“-“地址”-“地址组”,点击右上角“添加配置”


4429713

3、定义对象

添加自定义服务:

防火墙内置一些标准服务端口,用户在端口引用时,但有时用户的系统

没有使用某些服务的标准端口,这时我们通过自定义方式加以定义。

点击:”资源管理“-“服务”-“自定义服务”,点击“添加”,可以添加单个端口或范围 ,单个端口只填起始端口


4429713

3、定义对象

添加时间

点击:”资源管理“-“时间”,点击“添加”,可以设置单次和多次

注意:防火墙所有需要引用对象的配置,请先定义对象,

才能引用。


4429713

202.102.93.54

Host A

Internet

IP报头

数据

Host C

Host D

IP报头

数据

172.16.1.21

172.16.1.25

Eth1:111.111.111.230

受保护网络

Eth0:172.16.1.254

防火墙

4、NAT地址转换策略

源地址转换

源:111.111.111.230:1120

目地:202.102.93.54:80

源:172.16.1.21:1080

目地:202.102.93.54:80

111.111.111.254

  • 隐藏了内部网络的结构

  • 内部网络可以使用私有IP地址

  • 公开地址不足的网络可以使用这种方式提供IP复用功能


4429713

4、地址转换策略配置

内网可以访问互联网,需要配置源转换

源选择源区域“内网区域”,目的选择目的区域“外网区域”,源转换为Eth1接口(即转换为Eth1接口IP地址)或者转换111.111.111.230


4429713

注意:如果需要源地址转换为一段地址,则首先需要创建一段地址范围,且该地址范围不能设置排除IP地址


4429713

10.1.1.3

10.1.1.1

10.1.1.5

10.1.1.4

WWW

DNS

FTP

MAIL

Internet

MAP (目的地址转换也叫映射)

  • 公开服务器可以使用私有地址

  • 隐藏内部网络的结构

10.1.1.254

MAP 10.1.1.1:80 TO 111.111.111.230:80

MAP 10.1.1.3:21 TO 111.111.111.230:21

MAP 10.1.1.5:25 TO 111.111.111.230:25

http://111.111.111.230

MAP 10.1.1.4:53 TO 111.111.111.230:53

111.111.111.230

222.222.2.2


4429713

4、地址转换策略配置

互联网用户可以访问内部服务器资源,需要配置目的地址转换

源选择“互联网区域”,目的选择“111.111.111.230(合法IP )”,服务选择“http”,目的转换为服务器真实地址10.1.1.1,目的端口转换为选择“http”

第一条为内网访问外网做NAT;

第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服

务器的真实IP


4429713

5、访问控制

  • 基于源IP地址

  • 基于目的IP地址

  • 基于源端口

  • 基于目的端口

  • 基于时间

  • 基于用户

  • 基于流量

  • 基于文件

  • 基于网址

  • 基于MAC地址

  • 基于应用层过滤

Access list 192.168.1.3 to 202.2.33.2

Access nat 192.168.3.0 to any pass

Access 202.1.2.3 to 192.168.1.3 block

Access default pass

规则匹配成功

Host C

Host D

1010010101


4429713

5、配置访问控制

第一条规则定义“内网”可以访问互联网。源选择“内网”;

目的可以选择目的区域—“外网”,动作“允许”(默认选项)。

第二条规则定义外网可以访问服务器的对外发布的应用端口,只能访问服务器http、ftp、smtp、pop3四种应用。源选择“外网”、目的选择服务器真实的IP地址10.1.1.1。

定义好的两条访问策略


4429713

Internet

时间控制策略

Host C

Host D

在防火墙上制定基于时间的访问控制策略

上班时间可以访问公司的网络

上班时间不允许访问Internet


4429713

规则列表需要注意的问题:

1、规则作用有顺序

2、访问控制列表遵循第一匹配规则

3、规则的一致性和逻辑性

访问控制规则说明


4429713

配置完成,保存配置

点击管理界面右上角“保存配置”

配置完成后,配置立即生效,但是一定要保存配置,否则设备断电或重新启动后未保存配置将丢失。保存的配置将作为下次设备启动配置。


4429713

导出配置进行备份

配置完成并确认运行正常以后,请备份配置文件。选择“系统管理”—“维护”—“配置维护”,选择“保存配置”


4429713

一些特殊应用设置


4429713

防火墙高级应用-DHCP

网络卫士防火墙提供比较全面的DHCP 服务功能,能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP 服务:

1.作为DHCP 客户端,从DHCP 服务器获取动态IP 地址;

2.作为DHCP 服务器,集中管理和维护客户网络主机IP 地址分配;


4429713

防火墙高级应用-DHCP

防火墙作为DHCP 客户端

网络卫士防火墙可以作为DHCP 客户端,接口可以自动获取某个IP 地址。在这种情况下,网络卫士防火墙的某些接口或全部接口将由DHCP 服务器动态分配IP 地址。

设置要自动获得IP 地址的接口,点击“运行”后该接口将从DHCP 服务器自动获取IP 地址。

要禁止接口获得IP 地址,点击“停止”,该接口将停止从DHCP 服务器自动获取IP 地址。


4429713

防火墙高级应用-DHCP

防火墙作为DHCP 服务器

网络卫士防火墙可以指定某个物理接口或VLAN 虚接口作为DHCP 服务器,为该接口所在子网的主机动态分配IP 地址,此时该接口必须工作在

路由模式下。


4429713

防火墙高级应用-基于用户名的访问控制

用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制,解决以往简单认证方式带来的弊端,保证用户设备之间访问的安全性。通过用户名对设备、用户和管理员身份的合法性进行认证,防止非法接入用户访问关键应用(如财务)。

防火墙支持的认证方式和协议主要包括:

  • 本地认证

  • OTP 认证服务器

  • Basic 认证服务器

  • 证书认证服务器

  • RADIUS认证

  • TACACS 认证

  • SecurID认证

  • LDAP 认证

  • 域认证(使用Windows 域认证服务器)

  • Web认证


4429713

Internet

与第三方认证服务器联动

支持第三方RADIUS服务器认证

支持天融信的OTP认证服务器

支持TACAS及TACAS+服务器

支持S/KEY认证服务器

RADIUS服务器

进行认证

OTP 认证服务器

liming

******

将认证结果传给防火墙

根据认证结果决定用户对资源的访问权限

防火墙将认证信息传给真正的RADIUS服务器


4429713

下面以本地认证为例

  • 本地认证服务器主要用于本地数据库中的用户使用TOS 认证客户端通过密码方式向防火墙进行认证

    1.启用本地认证服务器


4429713

2.创建用户列表


4429713

3.创建用户角色


4429713

4.在相应区域开放验证服务

5.基于用户角色创建访问规则


4429713

6.设置认证客户端并启动


4429713

用户验证成功


4429713

用户验证失败


4429713

199.168.1.2

Host A

互联网

防火墙高级应用-IP与MAC(用户)的绑定

00-50-04-BB-71-A6

00-50-04-BB-71-BC

199.168.1.3

199.168.1.4

199.168.1.5

Host B

Host D

Host C

BIND 199.168.1.2 To 00-50-04-BB-71-A6

BIND 199.168.1.4 To 00-50-04-BB-71-BC

IP与MAC地址绑定后,不允许Host B假冒Host A的IP地址上网

防火墙允许Host A上网

跨路由器


4429713

点击“网络管理”—”二层网络”—”ARP”,在需要邦定的地址后选择“定义”,点击“确定”


Ip mac ip mac

也可以手动实现IP/MAC绑定,点击“防火墙”—“IP/MAC绑定”


4429713

互联网

财务部子网

生产部子网

采购部子网

防火墙高级应用—分级带宽管理

总带宽512 K

WWW

Mail

DNS

内网256 K

+

DMZ 256 K

出口带宽 512K

70 K

+

90 K

+

96 K

DMZ 区保留 256K

DMZ 区域

财务子网

采购子网

生产子网

分配 70K 带宽

分配 90K 带宽

分配 96K 带宽

内部网络


4429713

net

与 IDS 的安全联动

发起攻击

Host D

Host A

Host B

Host C

黑客

受保护网络

IDS

识别出攻击行为

发送通知报文

发送响应报文

阻断连接或者报警等

验证报文并

采取措施


4429713

服务热线

  • 郭吴昊 13814007297 [email protected] 技术经理

  • 丁斐 13813385326 [email protected] 售前

  • 尤健13390781521 [email protected]

  • 刘瑜 13390768750 [email protected] 售后

  • 袁章杰 13851793143 [email protected] 售后

  • 龙翔 13062561377 [email protected] 售后

  • 刘祥龙 13912943837 [email protected] 售后

  • 王精华 13814014410 [email protected] 售后

  • 南京天融信 025-83201127 , 83201129 ,86827115

  • 南京天融信技服直线 025-86827117 , 86827217

  • 北京天融信客服中心 800-810-5119 转 3


4429713

谢谢!


  • Login