1 / 69

北京海信数码科技有限公司

海信 FW3010PF 防火墙介绍. 北京海信数码科技有限公司. 讲义内容. 一、防火墙的基本概念 二、海信防火墙的功能特点 三、海信防火墙的操作. 防火墙的基本概念. 防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护 。. 防火墙的类型. 防火墙的类型 包过滤型防火墙 应用网关型防火墙 状态监测型 防火墙 复合型防火墙. 包过滤型防火墙.

nicholai-dima
Download Presentation

北京海信数码科技有限公司

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 海信FW3010PF防火墙介绍 北京海信数码科技有限公司 www.hisencyber.com

  2. 讲义内容 一、防火墙的基本概念 二、海信防火墙的功能特点 三、海信防火墙的操作 www.hisencyber.com

  3. 防火墙的基本概念 • 防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 www.hisencyber.com

  4. 防火墙的类型 • 防火墙的类型 • 包过滤型防火墙 • 应用网关型防火墙 • 状态监测型 防火墙 • 复合型防火墙 www.hisencyber.com

  5. 包过滤型防火墙 • 定义:网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"数据包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 www.hisencyber.com

  6. 包过滤型防火墙的优势与缺陷 • 优点:处理速度快,实现方便,能够以较小的代价在一定程度上保证系统的安全。 • 缺陷:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。 www.hisencyber.com

  7. 应用网关型防火墙 • 定义:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 • 优点:安全性要高于包过滤型产品。 • 缺陷:只能处理已知的网络服务,对新出现的和未知的网络服务不予支持 ,处理速度受限于代理软件的性能。 www.hisencyber.com

  8. 状态监测型防火墙 • 状态监测型防火墙是对包过滤防火墙的改进。它能够对网络各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。 www.hisencyber.com

  9. 复合型防火墙 • 把基于包过滤的方法与基于应用代理、状态监测的方法有效结合起来,便形成了复合型防火墙产品。 • 它兼有代理防火墙强大的访问控制设置和高级别的安全性,同时又有状态监测防火墙高速的网络处理能力与实时的监测。 www.hisencyber.com

  10. 海信FW3010PF复合型防火墙功能 • 双机热备 • 透明代理 • 用户认证 • 三权分立机制 • 高级路由管理功能 • 完备的日志处理功能 • IDS动态策略 • 时间限制 • 主要功能 • 多接口结构体系 • 多工作模式选择 • 多级过滤设置 • 用户访问时间限制 • 强大的NAT能力 • 基于规则的带宽管理 • 内置入侵检测与实时报警功能 www.hisencyber.com

  11. 海信防火墙——应用一 CA服务器 防火墙 安全路由器 认证服务器 流量控制服务器 PF防火墙〈VPN〉 安全FTP服务器 安全HTTP服务器 IDS监测主机 交换机 防火墙 网管主机 内部IDS监测主机 安全审计服务器 内部认证服务器 内部CA服务器 www.hisencyber.com

  12. 应用二 2M 微波 Internet FDDI光纤 PSTN IDS服务器 光电转换器 ISDN Web服务器 Email服务器 数据库 HFC Bay 5000 双绞线 DNS服务器 身份认证 FW+VPN Cisico 4500路由器 WSD CISCO2503 FW+VPN 东滩、兴隆 FW+VPN FW+VPN 南屯、北宿 FW+VPN FW+VPN Cisico 3640路由器 机关大楼 公司营业楼 FW+VPN 环保中心 PSTN拨号网 富锦苑小区 煤业公司 业务上需要特别通信保护的主机 FW+VPN www.hisencyber.com

  13. 海信FW3010PF复合型防火墙操作介绍 www.hisencyber.com

  14. 以web方式登陆管理防火墙 • 海信防火墙无需安装专门的客户端,利用IE浏览器就可以进行管理,用只要在IE地址栏内输入https://防火墙IP,就可以进入防火墙的登陆界面。在登陆界面中输入不同权限的管理员和密码,就可以进入不同的界面。海信防火墙采用三权(系统管理、日志管理和策略管理)分立的管理模式。 www.hisencyber.com

  15. 系统管理 • 系统管理包括:管理界面设置、网络配置、VPN配置、IP/MAC绑定、系统状态、系统备份、保存配置、关机重启,主要完成对防火墙的接口地址、路由、网关等基本信息的配置;对VPN、带宽、双机热备进行管理以及对防火墙的配置信息进行备份保存。 www.hisencyber.com

  16. 1、界面设置 www.hisencyber.com

  17. 主要对整个防火墙的登陆界面进行配置。 • 在以系统管理员身份登陆防火墙之后,点击左侧的界面配置菜单进入右侧页面进行配置,主要配置以下参数: • 最大认证失败次数:管理员连续登录防火墙该参数值失败后,系统将锁定此管理帐号,该参数默认值为3次。 • 帐号失败锁定时间:被锁定的管理员账号在经过此时间后,系统将解除对该账号的的锁定,该参数默认值为2天。 • 最大超时时间:在无任何操作时,防火墙管理界面自动退出的时间,该参数默认值为300秒。 www.hisencyber.com

  18. 2、网络配置 • 主要对防火墙的接口地址、路由信息、默认网关进行配置,此外还包括带宽控制以及双机热备等功能。 www.hisencyber.com

  19. 接口地址配置 • 点击左侧菜单中的网络配置,进入右侧接口配置页面,显示了防火墙现有的所有物理接口,用户可以通过点击各个网络接口进入接口属性配置界面依次更改其配置。 www.hisencyber.com

  20. www.hisencyber.com

  21. 缺省网关 • 缺省网关是防火墙外部接口对外传输数据包的下一个节点地址。 www.hisencyber.com

  22. www.hisencyber.com

  23. 接口查询 • 用于查询防火墙接口配置结果,该界面显示了当前所有物理接口、虚拟接口和网桥设备的详细配置情况。 www.hisencyber.com

  24. www.hisencyber.com

  25. 带宽控制 • 网络带宽能够对不同的外部访问占用的带宽进行统一分配,也可以针对具体的通信(按照源地址)对网络带宽进行分配,使得某一类的访问所占用的带宽不能超过管理员为其分配的额度,从而不至于影响其它访问的正常进行。 www.hisencyber.com

  26. www.hisencyber.com

  27. 双机热备 • 双机热备是在防火墙的安装点配置两台防火墙,一台作为主防火墙,另一台作为备份防火墙,两台防火墙通过串口连接,互相实时监测,当主防火墙发生故障时,备份防火墙自动接管主防火墙,同时报告系统管理员,避免整个网络通信发生中断。 www.hisencyber.com

  28. www.hisencyber.com

  29. 高级路由管理 • 通过防火墙的路由管理模块,数据包选择不同的路径,以保持网络的连通性。 www.hisencyber.com

  30. www.hisencyber.com

  31. www.hisencyber.com

  32. 用户可以点击增加进入路由增加界面,具体配置参数如下:用户可以点击增加进入路由增加界面,具体配置参数如下: • 路由表:填写特定路由名称,支持的字符集有大小写英文字母和数字0-9。 • 目标网络:填目的网络地址。 • 来源地址:填源地址网络。 • 网关地址:由路由所确定的,数据通过防火墙直接可达的网络接口地址。 • 优先权:设置路由标的优先权。 • 处理方式:分为“允许” 和“禁止”。 • 操作:“add”表示增加路由。 www.hisencyber.com

  33. 简单路由管理 • 简单路由管理只用来建立路由。它与高级路由区别在于:高级路由基于策略路由,可以对路由的源地址进行路由控制,而简单路由只形成路由,不能进行路由策略控制。 www.hisencyber.com

  34. 启动规则 • 启动规则是启动防火墙的路由规则。在配置路由管理时,由于管理员考虑不周可能会配置循环路由等,造成管理员不能登录防火墙或者网络不通等情况。这时可以重新启动防火墙,而路由规则并未启动,管理员可以登录防火墙检查路由规则。因此如果配置了路由规则,每次重新启动防火墙后,必须重新启动防火墙规则。点击“启动规则”,使防火墙配置规则开始生效。 www.hisencyber.com

  35. 3、VPN配置 • 本功能提供网关到网关的VPN通道。 • 本地内口地址:本地防火墙的内口IP地址。 • 本地外口地址:本地防火墙的外口IP地址。 • 远端内部网络:远端防火墙内口所在的网段地址。 • 远端外部地址:远端的防火墙外口IP地址。 • 注意:当增加一条VPN通道后,在简单路由管理中就可以看到一条通过IPSEC设备到远端网络的路由。 www.hisencyber.com

  36. www.hisencyber.com

  37. 4、IP与MAC绑定 • IP与MAC绑定可以防止IP地址的伪造、内部地址被盗用以及内部网络用户进行破坏网络等行为, www.hisencyber.com

  38. www.hisencyber.com

  39. 5、系统状态 • 防火墙版本 • 显示防火墙软件的版本。 • 系统状态 • 显示当前防火墙的CPU使用率和内存的使用情况。 • Ping • 使用“ping”命令不间断的检查网络的连通性,以此判 断网络配置是否正常以及主机能否连接到网络上。使用时,只需输入目的IP即可。 www.hisencyber.com

  40. 6、系统备份 • 为了防止修改配置错误,快速恢复防火墙正常工作,管理员需要对完成的配置进行备份,备份的范围是防火墙上所有的配置文件,包括:网络接口的配置、用户组信息,路由信息,安全策略、计费规则等。 www.hisencyber.com

  41. www.hisencyber.com

  42. 7、保存配置 • 防火墙系统是以电子介质存贮的,当防火墙系统在运行时,防火墙系统及其用户的配置均在内存中进行,为了保存用户的设置,管理员必须利用此功能来完成用户的操作。否则当防火墙重启动后,用户的配置将丢失。 www.hisencyber.com

  43. 8、关机重启 • 系统管理员通过此功能来对防火墙进行重启动和关闭。 www.hisencyber.com

  44. 安全策略 • 安全策略模块包括包过滤规则的设置、代理规则的设置以及黑名单的管理。 www.hisencyber.com

  45. 1、包过滤 • 包过滤策略由四部分组成:包过滤规则、NAT规则、用户组管理、字符串过滤。包过滤的策略配置顺序依次为:用户组管理,NAT策略(可选),包过滤规则,字符串过滤(可选)。 www.hisencyber.com

  46. 用户组管理 • 用户组是内部网络地址的IP地址组成的一个集合。防火墙通过对用户组的管理来实现对内部网络的管理。 www.hisencyber.com

  47. www.hisencyber.com

  48. NAT规则 • NAT模式分为SNAT(源网络地址转换)和DNAT(目标网络地址转换)。利用NAT可以节省静态地址资源、隐藏内部IP地址以及保护重要服务器不受直接攻击等。 www.hisencyber.com

  49. www.hisencyber.com

  50. 包过滤规则 • 包过滤规则是针对数据包的头信息和状态进行检测并实施访问控制的过滤规则。防火墙在此模式下控制所有通过防火墙的数据包。 www.hisencyber.com

More Related