防火墙安装培训推选.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,防火墙安装培训,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全 控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,2,防火墙不能防御什么,物理上的问题,断电,物理上的损坏或偷窃,人为的因素,内部人员通过某种手段窃取了用户名和密码,病毒,防火墙自身不会被病毒攻击,但不能防止内嵌在数据包中的病毒通过,内部人员的攻击,防火墙的配置不当,3,防火墙的功能,支持透明、路由和混合三种工作模式。,支持基于对象的网络访问控制，包括网络层、应用层等多层次的访问制；支持,URL,、,HTTP,脚本、关键字、邮件等多种形式的内容过滤。,支持多种网络地址转换（,NAT,）方式。,支持多种认证方式，如本地认证、证书认证、,Radius,认证、,TACACS,、域认证等多种认证方式。,支持标准,IPSec VPN,。,内置,IDS,模块，能够自防御,Land,、,Smurf,、,TearOfDrop,、,Ping of Death,、,SynFlood,、,Targa3,和,IpSweep,等十几种攻击，具有抗,DOS/DDOS,攻击功能。,基于,TOPSEC,协议，实现与,IDS,等多种安全产品的联动。,支持网络卫士防火墙双机热备。,支持,IPX,、,NETBEUI,、,VOD,、,、,SSH,协议。,支持,DHCP,，包括,DHCP SERVER,、,DHCP CLIENT,以及,DHCP RELAY,（中继）。,支持,VLAN,与生成树。,支持,ADSL,接入与链路备份。,4,硬件一台,外形：19寸1,U,标准机箱,产品外形,接,COM,口,管理机,直通线,交叉线,串口线,PC,Route,Swich,、,Hub,交叉线,5,CONSOLE,线缆,UTP5,双绞线的使用:,-,直通,(,1,条，颜色,:,灰色)与,HUB/SWITCH,-,交叉,(1条，颜色,:,红色)与路由器/主,产品提供的附件,为了方便用户对防火墙的配置，我们为大家设置如下帐户：,用户名：,admin,密码：,12345678,内网（,intranet,）：,eth0,接口，,IP,地址，该区域可,ping,到防火墙,外网（,internet,）：,eth1,接口，该区域可,ping,到防火墙,SSN,：,eth2,接口，该区域可,ping,到防火墙,6,防火墙提供的通讯模式,透明模式,(,提供桥接功能,),此时防火墙提供桥接功能，在通讯上相当于,SWITCH/HUB,网络拓扑不需要做任何改动。,路由模式,(,静态路由功能,),此时防火墙提供静态路由功能，需要在防火墙和与其直接相连的三层设备上进行合理的路由设置。,综合模式,(,透明,+,路由功能,),同时提供路由和桥接功能，应用非常少，只在某些特殊的场合下使用。,说明：,防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。,7,Internet,内部网,ETH0,：,ETH1,：,ETH2,：,网段,网段,外网、,SSN,、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,8,Internet,内部网,ETH0,：,ETH1,：,ETH2,：,网段,网段,外网、,SSN,区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,路由模式的典型应用,9,混合模式,ETH1,：,ETH2,：,网段,网段,此时整个防火墙工作于透明,+,路由模式，我们称之为综合模式或者混合模式,网段,ETH1,：,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,10,在安装防火墙之前必须弄清楚的几个问题：,1,、,路由走向,(,包括防火墙及其相关设备的路由调整,),确定防火墙的工作模式：路由、透明、综合。,2,、,IP,地址的分配,(,包括防火墙及其相关设备的,IP,地址分配,),根据确定好的防火墙的工作模式给防火墙分配合理的,IP,地址,3,、数据应用,(,包括各种应用的数据流向及其需要开放的端口号或者协议类型,),4,、要达到的安全目的,(,即要做什么样的访问控制,),注：在安装之前必须经过充分的交流，将以上四个问题弄清 楚，然后再根据需要进行合理的设置。,11,ftp-data 20/tcp,ftp 21/tcp,telnet 23/tcp,smtp 25/tcp,DNS 53/udp,tftp 69/udp,80/tcp,pop3 110/tcp,imap 143/tcp,irc 194/udp,s 443/tcp,常见服务列表,1,12,ms-sql-s 1433/tcp,ms-sql-m 1434/tcp,Lotus Note 1352/tcp,oracle 1521/tcp,radius 1812/tcp,radius-acct 1813/tcp,QQ 8000/UDP,ibm-db2 523/tcp,Rip 520/udp,Ospf ip-89,Eigrp ip-88,常见服务列表,2,13,pcanywheredata 5631/tcp,pcanywherestat 5632/tcp,HSRP:1985,/udp,Pptp 1723/tcp,ping-request icmp 8,ping-echo icmp 0,rtsp 554/tcp(real player),mms 1755/tcp(MS Media player),h.323 1720/tcp(Netmeeting),l2tp 1701/udp,常见服务列表,3,14,常见病毒使用端口列表,69/UDP135-139/TCP135-139/UDP,445/TCP445/UDP4444/TCP,1433/UDP,1434/UDP,4899/UDP,445/TCP,1068/TCP,5554/TCP,9995/TCP,9996/TCP,ICMP,常见蠕虫病毒,冲击波病毒,震荡波病毒,关掉不必要的,PING,15,常见路由协议使用端口列表,RIP,：,UDP-520,RIP2,：,UDP-520,OSPF,：,IP-89,IGRP,：,IP-9,EIGRP,：,IP-88,HSRP,（,Cisco,的热备份路由协议）：,UDP-1985,BGP,：,(Border Gateway Protocol,边界网关协议，主要,处理各,ISP,之间的路由传递，一般用在骨干网上,)TCP-179,16,工作原理,-,处理数据流,1,1,快速转发,对于一个新接收的合法报文，网络卫士防火墙将首先查询会话表，判断该报文是否属于某个已经存在的会话。如果是，则根据会话表中所包含的会话处理信息，如匹配会话的访问规则和地址转换策略，快速处理此报文。如果不存在，则说明此报文属于一个新的会话，网络卫士防火墙将检索路由表，地址转换策略表和访问规则表，收集与此报文相关的处理策略，即进入下一步骤。,17,工作原理,-,处理数据流,2,2,接收处理,IDS,模块。,VPN,模块。,IP-MAC,绑定模块。,18,工作原理,-,处理数据流,2,3.,规则匹配,19,20,匹配访问控制规则,21,规则列表需要注意的问题：,1,、规则作用有顺序,2,、同一类型的列表遵循第一匹配规则,3,、规则的一致性和逻辑性,访问控制规则说明,22,任何一款防火墙的密码修改后必须牢记，否则无法 进行恢复；每一款防火墙都有两种管理方式，即：,本地管理,(console),和网络管理,(telnet/ssh/GUI),防火墙,4000,：,console,下不需要用户名，初始口令为,talent,GUI,下的超级用户为,superman,初始口令,talent,可以由,superman,派生出其他的管理员。,关于防火墙管理员密码的说明,23,防火墙,4000,的安装配置,24,管理方式,WEBUI,方式,SSH,（,Secure Shell,）,SSH,，需要,SSH,软件，如,PUTTY,等，需要设置连接地址为网络卫士防火墙管理地址；,TELNET,25,通过,CONSOLE,口管理,参数,每秒位数：,9600,数据位：,8,奇偶校验：无,停止位：,1,26,输入系统默认的用户名：,superman,和密码：,talent,，即可登录到网络卫士防火墙。,27,防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；,外网（internet）：eth1接口，该区域可ping到防火墙,防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；,支持DHCP，包括DHCP SERVER、DHCP CLIENT 以及DHCP RELAY（中继）。,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全 控制（允许、拒绝、监视、记录）进出网络的访问行为。,支持标准IPSec VPN。,根据访问控制规则决定进出网络的行为,防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；,两接口在不同网段，防火墙处于路由模式,IP-MAC 绑定模块。,1、规则作用有顺序,3、打开TOPSEC集中管理器，新建一个管理项目,4、集中管理器中进行各种配置(规则及其日常管理维护),外网（internet）：eth1接口，该区域可ping到防火墙,ADSL Modem工作在桥接模式下，防火墙通过pppoe拨号获得动态的ip地址,工作原理-处理数据流2,HSRP（Cisco的热备份路由协议）：UDP-1985,支持IPX、NETBEUI、VOD、SSH 协议。,在安装防火墙之前必须弄清楚的几个问题：,工作原理-处理数据流2,Lotus Note 1352/tcp,1、规则作用有顺序,radius 1812/tcp,如果是，则根据会话表中所包含的会话处理信息，如匹配会话的访问规则和地址转换策略，快速处理此报文。,内置IDS 模块，能够自防御Land、Smurf、TearOfDrop、Ping of Death、SynFlood、Targa3 和IpSweep 等十几种攻击，具有抗DOS/DDOS 攻击功能。,通过CONSOLE 口管理,EIGRP：IP-88,综合模式(透明+路由功能),外网（internet）：eth1接口，该区域可ping到防火墙,防火墙,4000-CONSOLE,管理方式,28,通过浏览器登录防火墙,29,防火墙,4000-GUI,管理方式,30,FW4000,的配置过程,1,、,串口(,console),下配置,IP,地址，用于,GUI,管理,2,、保存串口下的配置，用,write,命令,3,、打开,TOPSEC,集中管理器，新建一个管理项目,4,、集中管理器中进行各种配置,(,规则及其日常管理维护,),先调整网络区域属性，然后再定义各种对象,(,网络对象、特殊对象等,),，其次在需要保护的区域添加访问策略及通讯策略，最后进行参数调整及增加一些辅助的功能。,防火墙,4000-,配置过程,31,防火墙,4000-,建立管理项目,32,防火墙,4000,ADSL,配置,ADSL Modem,工作在桥接模式下，防火墙通过,pppoe,拨号获得动态的,ip,地址,对于内网的数据报文通过,adsl,访问外网，自动作,nat,转化，不需要策略上配,置,nat,规则，也就是说对于拨号，只有,ipsec,策略有用，在配置拨号的,vpn,时需,要填写本机的网关地址为，当拨号成功后，防火墙会自动更改配置，,包括动态路由，动态路由不能手动删除，如果需要删除拨号路由，需要在,adsl,配置中停止拨号。,33,谢谢！,34,感谢观看,