防火墙配置与维护.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,防火墙配置,王光春雨,天融信公司技术工程师,第一部分：防火墙基础知识,第二部分：防火墙配置案例,第三部分：防火墙特殊应用,第四部分：防火墙辅助功能,第五部分：防火墙日常维护,目录,Internet,一种高级访问控制设备，置于不同,网络安全域,之间的一系列部件的组合，它是不同网络安全域之间通信流的,唯一通道,，能根据企业有关的安全策略控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,目的,协议,控制,源,根据访问控制规则决定进出网络的行为,内部网,防火墙知识介绍防火墙定义（作用）,硬件设备,外形：,1U/2U,标准机箱,接,COM,口,管理机,直通线,交叉线,串口线,PC,Route,Swich,、,Hub,交叉线,防火墙知识介绍线缆连接方式,透明模式,(,提供桥接功能,),在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一,VLAN,的数据包在转发时不作任何改动，包括,IP,和,MAC,地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了,IP,的,VLAN,之间进行路由转发。,路由模式,(,静态路由功能,),在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源,MAC,地址替换为相应接口的,MAC,地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置,IP,地址。,综合模式,(,透明,+,路由功能,),顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。,说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网,络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会,影响防火墙的访问控制功能。,防火墙知识介绍防火墙提供的通讯模式,防火墙知识介绍透明模式典型应用,Internet,内部网,202.99.88.1,ETH0,：,202.99.88.2,ETH1,：,202.99.88.3,ETH2,：,202.99.88.4,202.99.88.10/24,网段,202.99.88.20/24,网段,外网、,SSN,、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,内部网,202.99.88.1,ETH0,：,202.99.88.2,ETH1,：,10.1.1.2,ETH2,：,192.168.7.2,10.1.1.0/24,网段,192.168.7.0/24,网段,外网、,SSN,区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,防火墙知识介绍路由模式典型应用,Internet,ETH1,：,192.168.7.102,ETH2,：,192.168.7.2,192.168.1.100/24,网段,192.168.7.0/24,网段,此时整个防火墙工作于透明,+,路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24,网段,ETH0,：,202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,防火墙知识介绍混合模式典型应用,防火墙知识介绍防火墙出厂默认配置,串口(,console),管理方式：,管理员为空，回车后直接输入口令即可，初始口令,talent,用,passwd,修改管理员密码，请牢记修改后的密码。,WEBUI,（浏览器）管理方式：,超级管理员,:superman,，口令,:talent,TELNET,管理方式：,模拟,console,管理方式，用户名,superman,，口令：,talent,SSH,管理方式：,模拟,console,管理方式，用户名,superman,，口令：,talent,如果密码管理不善而丢失，只能返回厂家维修,防火墙知识介绍防火墙提供的管理方式,超级终端参数设置：,防火墙知识介绍,CONSOLE,口管理,防火墙的命令菜单：,防火墙知识介绍,CONSOLE,口管理,输入,helpmode chinese,命令,可以看到中文化菜单,防火墙知识介绍,CONSOLE,口管理,在浏览器输入：,HTTPS:/192.168.1.254,，看到下列提示，选择,“,是,”,防火墙知识介绍浏览器管理方式,输入用户名和密码后，按,“,提交,”,按钮,防火墙知识介绍浏览器管理方式,防火墙知识介绍浏览器管理方式,通过,TELNET,方式管理防火墙：,防火墙知识介绍,telnet,管理方式,注意：要想通过,TELNET,、,SSH,方式管理防火墙，必须首先打开防火墙,的服务端口，系统默认打开,“,HTTP,”,方式。,在,“,系统,”,“,系统服务,”,中选择,“,启动,”,即可,防火墙知识介绍启动防火墙管理服务,对象的概念：,防火墙大多数的功能配置都是基于资源对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说，定义各种类型的资源对象是管理员在对网络卫士防火墙进行配置前首先要做的工作之一。,使用对象好处：,资源对象概念的使用大大简化了管理员对网络卫士防火墙的管理工作。当某个资源对象发生变化时，管理员只需要修改对象本身属性即可，而无需逐一的修改所有涉及到这个对象的策略或规则。,对象的类型：,在网络卫士防火墙中，用户可定义的资源对象的类型包括：地址对象：包括,IP,地址对象、,MAC,地址对象、地址范围对象、子网对象和地址组等。属性对象：包括属性对象和属性组。属性对象需要与其他对象绑定方能生效（如与接口、子接口、区域对象等绑定）。区域对象：通过与属性对象绑定，定义区域的访问权限。时间对象：包括多次循环的时间对象和单次时间对象。,防火墙知识介绍资源对象的概念,接口和区域是两个不同的概念,接口：和网络卫士防火墙的物理端口一一对应，如,Eth0,、,Eth1,等。,区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，网络卫士防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。,防火墙中对象的概念,防火墙设置策略时，首先要有已定义好的可操作对象,地址对象、服务对象、时间对象、区域对象等,防火墙知识介绍区域对象和区域权限,互联网区域,C_,eth3,办公区域,D,Internet,办公区域,A_,eth1,办公区域,B_eth2,防火墙知识介绍定义区域,Internet,办公,_,eth1,拒绝,SSN,区,_eth2,拒绝,互联网区,_,eth3,允许,外网区域权限：允许,其它区域发起的对互联网区域的访问都被允许通过,办公区、,ssn,区权限：拒绝,其它区域内发起的对内网办公和,SSN,的访问都被拒绝，,这时候需要添加访问控制规则，允许互联网和办公区访,问,SSN,区的服务器,允许,允许,拒绝,拒绝,防火墙知识介绍定义区域权限,规则列表需要注意的问题：,1,、规则作用有顺序：阻断策略访问控制策略区域权限,2,、访问控制列表遵循第一匹配规则：先后顺序匹配,3,、规则的一致性和逻辑性：策略相互包含关系、冗余重复,防火墙知识介绍访问控制规则说明,第一部分：防火墙基础知识,第二部分：防火墙配置案例,第三部分：防火墙特殊应用,第四部分：防火墙辅助功能,第五部分：防火墙日常维护,目录,路由走向,(,包括防火墙及其相关设备的路由调整,),确定防火墙的工作模式：路由、透明、综合。,IP,地址的分配,(,包括防火墙及其相关设备的,IP,地址分配,),根据确定好的防火墙的工作模式给防火墙分配合理的,IP,地址,数据应用和数据流向,(,各种应用的数据流向及其需要开放的端口号或者协议类型,),要达到的安全目的,(,即要做什么样的访问控制,),在安装防火墙之前必须弄清楚的几个问题：,防火墙配置配置前的准备,网络卫士防火墙的基本配置过程：,1,、配置接口的通讯模式：路由模式、交换模式,2,、配置接口,IP,地址：可以再串口下配置,IP,及管理权限，,串口下用命令,save,保存配置,3,、配置路由策略：静态路由、策略路由,4,、定义资源对象：区域、地址、服务、时间,5,、开放对应区域的防火墙管理权限,6,、定义地址转换策略：源、目的、双向转换,7,、定义访问控制策略：基于各种资源对象灵活的控制,8,、系统参数调整及辅助功能配置：管理用户参数、日志等,9,、保存和导出配置：备份配置文件需要时导入,防火墙配置配置流程简述,配置案例,1,（路由模式）：,INTERNET,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求：,内网可以访问互联网,服务器对外网做映射,映射地址为,202.99.27.249,外网禁止访问内网,WEB,服务器,防火墙接口分配如下：,ETH0,接,INTERNET,ETH1,接内网,ETH2,接服务器区,防火墙配置路由模式配置案例,网络管理,接口,物理接口,eth0,设置,接口为路由模式（缺省）,定义防火墙每个接口的,IP,地址，注意子网掩码不要输错,防火墙配置配置网络接口,网络管理,接口,物理接口,eth1,设置,防火墙配置接口配置,网络管理,接口,物理接口,eth2,设置,防火墙配置接口配置,进入防火墙管理界面，点击“网络管理”“接口”可以看到物理接口定义结果：,可以设置每个接口的描述进行区分,注：防火墙每个接口的默认状态均为,“,路由,”,模式,防火墙配置接口模式配置,设置缺省网关时，,目的地址和掩码为全,“,0,”,防火墙的缺省网关在静态路由时，必须放到最后一条路由，设备会根据子网掩码大小自动排序,防火墙配置路由配置,在,“,网络,”,“,静态路由,”,添加缺省路由,防火墙配置路由配置,在,“,对象,”,“区域对象,”,中定义防火墙区域（接口）的默认权限,防火墙配置定义区域缺省权限,系统默认只能从,ETH0,接口（区域）对防火墙进行管理,添加,ETH1,接口为,“,AREA_ETH1,”,区域；,ETH2,接口为,“,AREA_ETH2,”,区域,对,“,AREA_ETH1,”,区域添加对防火墙的管理权限（当然也可以对,“,AREA_ETH2,”,区域添加）,定义你希望从哪个接口（区域）管理防火墙,防火墙配置定义设备管理权限,主机对象中可以定义多个,IP,地址,防火墙配置资源管理地址定义主机,防火墙配置资源管理地址定义子网,根据前面的需求如果内网要访问外网，则必须定义,NAT,策略；同样外网,要访问,WEB,服务器的映射地址，也要定义,MAP,策略,定义,NAT,策略，选择源为已定义的内部子网，目的为,“,AERA_ETH0,”,区域,防火墙配置定义地址转换（通信策略）,转换地址要选择,”,源地址转换为,“,ETH0,”,，也就是防火墙外网接口,IP,地址；,也可以选择定义好的,“,NAT,地址池,”,（在,“,对象,”,“,地址范围中定义,”,）,使用地址池,使用防火墙接口,防火墙配置定义地址转换（通信策略）,配置,MAP,（映射）策略,源地址可以选择区域,“,AERA_ETH0,”,;,也可以,选择,“,ANY,”,目的选择服务器映射后的,IP,（合法,IP,）,选择已定义的,“,WEB,服务器,MAP,”,防火墙配置定义地址转换（通信策略）,目的地址转换为必须选择服务器映射前的,IP,（也就是,WEB,服务器的真实,IP,地址），选择,“,WEB,服务器,”,主机对象即可。,防火墙配置定义地址转换（通信策略）,设置好的地址转换策略（通信策略）,第一条为内网访问外网做,NAT,；,第二条为外网访问,WEB,服务器的映射地址，防火墙把包转发给服,务器的真实,IP,防火墙配置定义地址转换（通信策略）,点击防火墙管理页面右上角,“,保存,”,按钮，然后选择弹出对话框,“,确定,”,即可保存当前配置,防火墙配置配置保存,第一条规则定义,“,内网,”,可以访问互联网。源选择,“,内部子网,_1,”,；,目的可以选择目的区域,“,AERA_ETH0,”,，也可以是,“,ANY,范围,”,防火墙配置配置访问控制规则,第二条规则定义外网可以访问,WEB,服务器的映射地址，并只能访问,TCP80,端口。源选择,“,AERA_ETH0,”,、目的选择,”,WEB,服务器（服务器真实的,IP,地址）,防火墙配置配置访问控制规则,定义好的两条访问策略,防火墙配置配置访问控制规则,在,“,系统管理,”,“,维护,”,中进行防火墙当前配置的保存、下载、上传等操作,防火墙配置查看配置、备份配置,按照下图中数字所示顺序即可把防火墙配置导出到本地,防火墙配置查看配置、备份配置,配置案例（透明模式）：,省专网,应用需求：,内网可以访问省,web,服务器,http,服务,防火墙接口分配如下：,ETH0,接路由,A,ETH1,接内网核心,ETH2,接路由,B,ETH4,接内网核心,1.1.1.0/24,路由,B,路由,A,ETH0,ETH1,ETH2,ETH3,VLAN 100,VLAN 200,2.2.2.100,WEB,服务器,防火墙配置透明（交换）模式配置案例,首先通过防火墙的缺省,IP,：,192.168.1.254,登陆防火墙,第一步，定义一个,VLAN,。点击,“,网络管理,”,“二层网络,”,“,vlan,”,“,添加,/,删除,VLAN,范围,”,防火墙配置创建,VLAN,分别点击属于,VLAN,中物理接口的,“设置”,图标，把物理接口的模式改为,“,交换,”,Access,中填写所属,vlan ID,防火墙配置将接口加入,VLAN,（透明域）,当把,ETH0,接口的模式改为,“,交换,”,后，管理会丢失。因为此接口设为,“,交换,”,后，,其原来的,IP,（,192.168.1.254),地址会自动删除。这时，可以通过新定义的地址进行管理。,下图中可以看到添加到,VLAN100,和,VLAN200,中的四个接口都没有,IP,，模式为,“,交换,”,防火墙配置透明（交换）模式配置案例,定义主机对象（,WEB,服务器）,定义内网对象（你的内网网段）,防火墙配置定义资源对象,注：,透明模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。,（当然，如果用户有需求，也可以设置相关,NAT,策略和,MAP,策略）,防火墙配置定义访问策略,系统默认只能从,ETH0,接口（区域）对防火墙进行管理，新建区域并定义你希望从哪个接口（区域）管理防火墙,防火墙配置定义区域及缺省权限,第一部分：防火墙基础知识,第二部分：防火墙配置案例,第三部分：防火墙特殊应用,第四部分：防火墙辅助功能,第五部分：防火墙日常维护,目录,在访问规则中，对于,TCP,的连接可以设置为普通连接，也可以设置为长连接，一般地防火墙对通信空闲一定时间的,TCP,连接将自动断开，以提高安全性和释放通信资源，但某些应用所建立的,TCP,连接需要长时期保持，即使处于空闲状态！,普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接，否则连接不会被删除。,主要应用在数据库和视频系统。,防火墙特殊应用长连接应用,长连接在访问规则中的应用：,注意：只对需要的,TCP,协议的单个或多个端口使用长连接，不能默认对所有,TCP,端口都设置为长连接。不能对非,TCP,协议的端口做长连接。否则，会大量,消耗掉防火墙的系统资源。,防火墙特殊应用长连接应用,通过设置包过滤策略可以对,IP,协议和非,IP,协议进行控制。当设备接收到一个数据报文后，,会顺序匹配包过滤策略，如果没有匹配到任何策略，则会依据默认规则对该报文进行处理。,从具体应用上，一般用来阻断一些病毒传播端口,包过滤策略的优先级高于,“,访问控制策略,防火墙特殊应用阻断策略,第一部分：防火墙基础知识,第二部分：防火墙配置案例,第三部分：防火墙特殊应用,第四部分：防火墙辅助功能,第五部分：防火墙日常维护,目录,防火墙本身不存储日志信息，如果要保留相关日志，请安装随机光盘,的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息,发送到日志服务器上,防火墙辅助功能日志设置,防火墙辅助功能开放服务,管理员可以定期生成、下载设备的健康记录，以便当设备出现异常时，可以帮助天融信的技术支持人员快速地定位并解决故障。,防火墙辅助功能健康记录,系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。,防火墙辅助功能恢复出厂设置,设备支持基于,TFTP,协议的升级方式和专用升级工具,注意：请在升级前进行系统备份！,防火墙辅助功能系统升级,设备支持多级用户管理，不同类型的用户具有不同的操作权限。用户权限基本可分为三种：超级管理员、管理用户与审计用户。超级管理员是系统的内建帐号，具有全部的功能权限；管理用户可以设定和查看规则，但没有综合配置（例如分配管理员、配置维护等）的权限。审计用户权限最小，只可以查看已有规则，没有添加和修改规则的权限。,超级管理员是系统内建帐号，,用户名是,superman,，密码,talent,用户可以对其帐号及口令进行修改,防火墙辅助功能管理员配置,网络卫士防火墙内部维护了一张,ARP,表，维护了网络卫士防火墙所学习到的主机,IP,和,MAC,地址的对应关系条目。当网络卫士防火墙转发数据报文时，会首先查看,ARP,表，如目的,IP,已经在,ARP,表中，网络卫士防火墙则不必再发送,ARP,广播就获取了目的设备的,MAC,地址。,选项,“,限制,ARP,请求个数,”,，设定允许,ARP,请求的上限值。,防火墙辅助功能,ARP,及,MAC,地址,设置,IP,MAC,地址绑定：网络卫士防火墙内部维护了一张,ARP,表，维护了网络卫士,防火墙所学习到的主机,IP,和,MAC,地址的对应关系条目。,在,ARP,表中,“,定义,”,好后，系统自动生成,“,主机对象,”,（包含了,IP,及,MAC,地址）,也可以手动填写,mac,地址绑定,防火墙辅助功能,ARP,及,MAC,地址,MAC,地址表,网络卫士防火墙内部维护了一张,VLAN,虚接口的,MAC,地址表，保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机,MAC,地址的对应表。当网络卫士防火墙转发数据帧时，会查看虚接口,MAC,地址表，如果该目的,MAC,在网络卫士防火墙的,MAC,地址表中，网络卫士防火墙将直接通过该,MAC,地址所对应的接口发送数据帧。,也可以自行添加,MAC,地址,防火墙辅助功能,ARP,及,MAC,地址,第一部分：防火墙基础知识,第二部分：防火墙配置案例,第三部分：防火墙特殊应用,第四部分：防火墙辅助功能,第五部分：防火墙日常维护,目录,防火墙通电后，大约,30,秒钟左右，应看到防火墙前面板的,工作,指示灯（,绿色,）为闪烁状态；,主,/,从,指示灯（,橙色,）为常亮状态。此状态为防火墙的正常工作状态。,防火墙接入线缆后的接口状态,防火墙的接口与交换机相连接后，注意其接口状态指示灯（,link,）要变为绿色。,如果防火墙接口指示灯不亮，则应该检查线缆的连通性。,特殊情况,：如果线缆没有问题，但防火墙接口指示灯还是不亮，则调整防火墙和交换机的接口协商模式为一致状态即可。（比如：调整为手动,100M/,全双工）,防火墙辅助功能防火墙正常工作状态,防火墙的两个接口配置有,IP,地址，在防火墙接入网络后，进入到防火墙的命令行（通过串口或,TELNET,均可）用,PING,命令分别,PING,内网的服务器,IP,地址和外网上级站的网关路由器,IP,地址。,如果可以,PING,通，则说明网络在接入防火墙后，通信线路没有问题。,在规则配置好的情况下，通过,TELNET,相应主机的开放端口来测试网络的连通性。,如果,TELNET,端口没有成功，则需要打开,PING,权限来探测主机之间的连通情况。,如果主机之间可以,PING,通，则需要检查规则设置情况，是否已经打开相应的端口或者规则顺序是否不正确。,防火墙辅助功能线路连通性检查,故障判断,1,通过超级终端无法连接到防火墙,查看是否在超级终端上设置了正确的通信参数,(9600-8-N-1),及终端类型,并检查线缆连接正确。（必须使用防火墙随机带的,CONSOLE,线缆）,如果防火墙通讯中断，经过多次重启多次后，,CONSOLE,依然不能登陆。则可确定防火墙发生严重故障。请及时通知本公司的工程师进行处理。,故障判断,2,无法通过,GUI,、,TELNET,管理防火墙,检查防火墙登录控制中是否允许,TELNET,或,GUI,管理。,确认登录源主机的,IP,是否在设定,IP,范围内。,确认是否有相同用户名的用户已登录防火墙（同用户名用户不允许在同一时间登录同一台防火墙）。,防火墙日常维护故障判断,故障判断,3,增加策略禁止某主机，该主机仍能通过防火墙,检查该主机与通信目标主机间的通信通道是否经过防火墙；,检查是否已有策略许可该主机通过防火墙；,检查这台主机否为双穴主机，是否网卡配有多个,IP,地址。,故障判断,4,防火墙重启后配置丢失,通常情况下是用户在防火墙重启前没有对防火墙的配置进行保存。,防火墙日常维护故障判断,IP,地址绑定未起作用,检查主机的绑定,IP,是否经过其它路由设备（因为通过路由设备后主机的,MAC,地址已被路由设备的,MAC,替换）后，才到达防火墙。,故障判断,防火墙多端口接在同一交换机或,HUB,上后，交换机或,HUB,工作不正常,检查防火墙是否工作于透明模式，如果是，则修改配置，使防火墙工作于路由模式。因为打开防火墙透明后会形成环路。,防火墙日常维护故障判断,故障判断,谢谢！,