天融信防火墻配置與維護_第1頁
天融信防火墻配置與維護_第2頁
天融信防火墻配置與維護_第3頁
天融信防火墻配置與維護_第4頁
天融信防火墻配置與維護_第5頁
已閱讀5頁,還剩72頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

中國信息安全領(lǐng)導企業(yè)天融信防火墻產(chǎn)品配置與維護

February6,2023內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實驗案例介紹Internet一種高級訪問控制設(shè)備,是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道,能根據(jù)企業(yè)有關(guān)的安全政策控制(允許、拒絕、監(jiān)視、記錄)進出網(wǎng)絡(luò)的訪問行為。兩個安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進出網(wǎng)絡(luò)的行為防火墻簡介內(nèi)部網(wǎng)防火墻提供的通訊模式透明模式(提供橋接功能)在這種模式下,網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。也就是說,對于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時不作任何改動,包括IP和MAC地址,直接把包轉(zhuǎn)發(fā)出去。同時,網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP的VLAN之間進行路由轉(zhuǎn)發(fā)。路由模式(靜態(tài)路由功能)在這種模式下,網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包,將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址,然后轉(zhuǎn)發(fā)。該模式適用于每個區(qū)域都不在同一個網(wǎng)段的情況。和路由器一樣,網(wǎng)絡(luò)衛(wèi)士防火墻的每個接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。綜合模式(透明+路由功能)顧名思義,這種模式是前兩種模式的混合。也就是說某些區(qū)域(接口)工作在透明模式下,而其他的區(qū)域(接口)工作在路由模式下。該模式適用于較復雜的網(wǎng)絡(luò)環(huán)境

透明模式的典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0:ETH1:ETH2:0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個廣播域,防火墻做透明設(shè)置。此時防火墻為透明模式。路由模式的典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0:ETH1:ETH2:0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個廣播域,防火墻做透明設(shè)置。此時防火墻為透明模式。綜合接入模式的典型應(yīng)用ETH1:02ETH2:00/24網(wǎng)段/24網(wǎng)段此時整個防火墻工作于透明+路由模式,我們稱之為綜合模式或者混合模式/24網(wǎng)段ETH0:兩接口在不同網(wǎng)段,防火墻處于路由模式兩接口在不同網(wǎng)段,防火墻處于路由模式兩接口在同一網(wǎng)段,防火墻處于透明模式1、路由走向(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)確定防火墻的工作模式:路由、透明、綜合2、IP地址的分配(包括防火墻及其相關(guān)設(shè)備的IP地址分配)根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向(各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號或者協(xié)議類型)4、要達到的安全目的(即要做什么樣的訪問控制)

在配置防火墻之前的準備網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后,就可以上電了。在工作過程中,用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài),具體請見下表:防火墻的工作狀態(tài)串口(console)管理方式:用戶名superman,口令:talent,用passwd修改管理員密碼,請牢記修改后的密碼。WEBUI管理方式:

超級管理員:superman,口令:talentTELNET管理方式:

模擬console管理方式,用戶名superman,口令:talentSSH管理方式:

模擬console管理方式,用戶名superman,口令:talent防火墻的管理方式防火墻的CONSOLE管理方式超級終端參數(shù)設(shè)置:防火墻的CONSOLE管理方式輸入helpmodechinese命令可以看到中文化菜單防火墻的WEBUI管理方式在瀏覽器輸入:HTTPS://54,看到下列提示,選擇“是”防火墻的TELNET管理方式通過TELNET方式管理防火墻:網(wǎng)絡(luò)衛(wèi)士防火墻配置思路:一、配置網(wǎng)絡(luò)連通二、配置安全控制防火墻的配置思路1.配置區(qū)域和接口2.配置路由3.配置地址轉(zhuǎn)換1.規(guī)劃好需要制定什么樣的訪問策略2.配置訪問控制3.調(diào)整安全參數(shù)(管理員、密碼等)拓樸描述原有網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃后防火墻的基本應(yīng)用配置防火墻接口IP及區(qū)域默認權(quán)限設(shè)置路由表及默認網(wǎng)關(guān)定義防火墻的路由模式定義防火墻的透明模式定義網(wǎng)絡(luò)對象制定訪問控制策略制定地址轉(zhuǎn)換策略(通訊策略)保存和導出配置定義區(qū)域在“對象”-”區(qū)域?qū)ο蟆爸卸x防火墻3個區(qū)域(接口)的默認權(quán)限為”禁止訪問“定義區(qū)域的服務(wù)在“系統(tǒng)管理”-“配置”-“開放服務(wù)”里給區(qū)域定義服務(wù)路由模式-配置接口IP進入防火墻管理界面,點擊”網(wǎng)絡(luò)管理“

”接口“可以看到物理接口定義結(jié)果:點擊每個接口的”設(shè)置”按鈕可以修改每個接口的名稱、地址、模式等透明模式TRUNK模式配置要點

配置接口為TRUNK

添加需要透傳的VLANID號ACCESS模式配置要點

配置接口模式為ACCESS,并設(shè)置該接口屬于哪個VLAN

添加VLAN

定義VLAN定義一個VLAN。點擊“網(wǎng)絡(luò)管理”-“二層網(wǎng)絡(luò)”-“添加/刪除VLAN范圍”設(shè)置vlanID定義VLAN的IP地址,更改接口模式設(shè)置VLAN地址設(shè)置接口工作模式及地址設(shè)置防火墻路由設(shè)置缺省網(wǎng)關(guān)時,源和目的一般為全“0”防火墻的缺省網(wǎng)關(guān)在靜態(tài)路由時,必須放到最后一條路由定義對象-主機對象點擊:”資源管理“-“地址”-“主機”,點擊右上角“添加”定義對象-主機對象主機對象中可以定義多個IP地址定義對象-地址對象和子網(wǎng)對象定義地址轉(zhuǎn)換(通信策略)根據(jù)前面的需求如果內(nèi)網(wǎng)要訪問外網(wǎng),則必須定義NAT策略;同樣外網(wǎng)要訪問WEB服務(wù)器的映射地址,也要定義MAP策略定義NAT策略,選擇源為已定義的內(nèi)部子網(wǎng),目的為“AERA_ETH0”區(qū)域轉(zhuǎn)換地址要選擇”源地址轉(zhuǎn)換為“ETH0”,也就是防火墻外網(wǎng)接口IP地址;也可以選擇定義好的“NAT地址池”(在“對象”-“地址范圍中定義”)配置MAP(映射)策略,源選擇外網(wǎng)區(qū)域“area_eth0”目的選擇映射后的公網(wǎng)IP地址(也就是WEB服務(wù)器-MAP),目的地址轉(zhuǎn)換為必須選擇服務(wù)器映射前的IP(也就是WEB服務(wù)器的真實IP地址),選擇“WEB服務(wù)器”主機對象即可。定義地址轉(zhuǎn)換(通信策略)設(shè)置好的地址轉(zhuǎn)換策略(通信策略)第一條為內(nèi)網(wǎng)訪問外網(wǎng)做NAT;(源轉(zhuǎn)換)第二條為外網(wǎng)訪問WEB服務(wù)器的映射地址,防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實IP;(目的轉(zhuǎn)換)制定訪問規(guī)則(1)第一條規(guī)則定義“內(nèi)網(wǎng)”可以訪問互聯(lián)網(wǎng)。源選擇“內(nèi)部子網(wǎng)_1”;目的可以選擇目的區(qū)域“AERA_ETH0”,也可以是“ANY[范圍]”制定訪問規(guī)則(2)定義訪問規(guī)則(3)第二條規(guī)則定義外網(wǎng)可以訪問WEB服務(wù)器的映射地址,并只能訪問TCP80端口。源選擇“AERA_ETH0”、目的選擇”WEB服務(wù)器—MAP“地址。轉(zhuǎn)換前目的選擇”WEB服務(wù)器“(服務(wù)器真實的IP地址)點選“高級”選擇源AREA-area_eth0選擇目的-“WEB服務(wù)器-MAP”“服務(wù)”-“HTTP”定義訪問規(guī)則定義好的兩條訪問策略配置保存點擊防火墻管理頁面右上角“保存”按鈕,然后選擇彈出對話框“確定”即可保存當前配置查看配置、導出配置在“系統(tǒng)管理”-“維護”中進行防火墻當前配置的保存、下載、上傳等操作按照下圖中數(shù)字所示順序即可把防火墻配置導出到本地,其中配置替換是把本地配置導入到防火墻時候用的。內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實驗案例介紹防火墻的高級應(yīng)用策略路由應(yīng)用應(yīng)用程序識別部分DPI(URL)過濾全面支持DHCP鏈路備份流量管理雙機熱備策略路由策略路由與靜態(tài)路由都用于定義數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則,比傳統(tǒng)路由控制能力更強,使用更靈活,根據(jù)協(xié)議類型、應(yīng)用、IP源地址或者其它的策略來選擇轉(zhuǎn)發(fā)路徑。這種方式可以實現(xiàn)內(nèi)部網(wǎng)絡(luò)的指定對象使用特定外部線路與外部網(wǎng)絡(luò)通信,從而進一步增強了網(wǎng)絡(luò)的通信安全。需求1:電信和網(wǎng)通用戶可以分別通過兩個不同的公網(wǎng)地址來訪問企業(yè)內(nèi)網(wǎng)的一臺服務(wù)器;而且內(nèi)網(wǎng)服務(wù)器回復報文遵循電信用戶使用電信出口,網(wǎng)通用戶使用網(wǎng)通出口的規(guī)則。需求2:內(nèi)網(wǎng)服務(wù)器22訪問外網(wǎng)使用電信線路,其他使用網(wǎng)通。策略路由配置要點:添加路由綁定屬性添加路由條目應(yīng)用程序識別IM實現(xiàn)方式及功能支持協(xié)議:QQ、MSN、SKYPE;實現(xiàn)內(nèi)容:禁止IM客戶端登陸;實現(xiàn)方式:根據(jù)登陸過程的協(xié)議特征進行判斷;P2P實現(xiàn)方式及功能支持協(xié)議:BT、eDonkey;實現(xiàn)內(nèi)容:禁止下載、QOS限制和連接數(shù)限制;實現(xiàn)方式:根據(jù)數(shù)據(jù)開始特征進行判斷內(nèi)容過濾支持對HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾支持URL過濾。支持對移動代碼如Javaapplet、Active-X、VBScript、Javascript的過濾。支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾。支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾。支持GB2312、UTF-8等多種編碼方式??善帘问鼙Wo主機/服務(wù)器系統(tǒng)信息,如替換服務(wù)器(FTP、SMTP、POP3、telnet,HTTP)的BANNER信息。案例介紹-內(nèi)容過濾需求:開啟DPI過濾禁止訪問sina和sohu;開啟應(yīng)用程序識別每周一到周五上午9:00-17:00禁止使用QQ/BT;其他時間可以使用QQ/MSN案例介紹-URL過濾URL過濾配置要點:DPI應(yīng)用端口綁定添加URL對象添加HTTP過濾策略引用到訪問控制案例介紹-應(yīng)用程序識別應(yīng)用程序識別配置要點:添加應(yīng)用程序識別策略引用到防火墻訪問控制防火墻高級應(yīng)用-DHCP網(wǎng)絡(luò)衛(wèi)士防火墻提供比較全面的DHCP服務(wù)功能,能夠很好地結(jié)合到客戶網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)衛(wèi)士防火墻可以提供以下DHCP服務(wù):作為DHCP客戶端,從DHCP服務(wù)器獲取動態(tài)IP地址;作為DHCP服務(wù)器,集中管理和維護客戶網(wǎng)絡(luò)主機IP地址分配;作為DHCP中繼,轉(zhuǎn)發(fā)DHCP報文;同時作為DHCP服務(wù)器和DHCP客戶機(需工作在網(wǎng)絡(luò)衛(wèi)士防火墻的不同接口上);網(wǎng)絡(luò)衛(wèi)士防火墻可以作為DHCP客戶端,接口可以自動獲取某個IP地址。在這種情況下,網(wǎng)絡(luò)衛(wèi)士防火墻的某些接口或全部接口將由DHCP服務(wù)器動態(tài)分配IP地址。設(shè)置要自動獲得IP地址的接口,點擊“運行”后該接口將從DHCP服務(wù)器自動獲取IP地址。要禁止接口獲得IP地址,點擊“停止”,該接口將停止從DHCP服務(wù)器自動獲取IP地址。防火墻高級應(yīng)用-做DHCP客戶端該接口必須工作在路由模式下。防火墻高級應(yīng)用-做DHCP服務(wù)器配置要點:開放對應(yīng)區(qū)域的DHCP服務(wù)配置DHCP地址池指定DHCP運行接口網(wǎng)絡(luò)衛(wèi)士防火墻提供DHCP中繼服務(wù),即支持某一網(wǎng)段的主機連接到位于另一網(wǎng)段的DHCP服務(wù)器。輸入網(wǎng)絡(luò)上的DHCP服務(wù)器地址,并填寫指定客戶端所在端口,還有接受server回應(yīng)的端口。點擊“運行”,啟動中繼服務(wù)。防火墻高級應(yīng)用-做DHCP中繼防火墻高級應(yīng)用-鏈路備份用戶環(huán)境為雙出口鏈路時,天融信防火墻實時監(jiān)視整個鏈路的工作情況,一旦發(fā)現(xiàn)異常,就立即啟動“鏈路備份”功能自動切換到另一條備用鏈路,以確保網(wǎng)絡(luò)的正常通信。配置要點:配置網(wǎng)絡(luò);配置二條路由;設(shè)置鏈路備份參數(shù);防火墻高級應(yīng)用-流量管理

通過QoS管理,用戶可以根據(jù)實際用戶網(wǎng)絡(luò)規(guī)劃,方便、靈活地定制帶寬策略,防止帶寬濫用現(xiàn)象,并可以確保關(guān)鍵應(yīng)用的帶寬需求。配置要點:設(shè)置采用QoS的物理接口;在接口下設(shè)置一到多個類及其子類;在類下設(shè)置數(shù)據(jù)流的匹配規(guī)則;注意事項:必須在第二級以上Class下設(shè)置rule才生效數(shù)據(jù)先過防火墻再進行限制防火墻高級應(yīng)用-雙機熱備在雙機熱備模式下(最多支持九臺設(shè)備),任何時刻都只有一臺防火墻(主墻)處于工作狀態(tài),承擔報文轉(zhuǎn)發(fā)任務(wù),一組防火墻處于備份狀態(tài)并隨時接替任務(wù)。當主墻的任何一個接口(不包括心跳口)出現(xiàn)故障時,處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后,由優(yōu)先級高的防火墻接替主墻的工作,進行數(shù)據(jù)轉(zhuǎn)發(fā)。配置要點設(shè)置HA心跳口屬性設(shè)置除心跳口以外的其余通信接口屬于VRID10指定HA的工作模式及心跳口的本地地址和對端地址主從防火墻的配置同步防火墻高級應(yīng)用-雙機熱備注意事項度量值大優(yōu)先心跳口IP大優(yōu)先內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實驗案例介紹常見問題分析和解決辦法工具介紹防火墻監(jiān)控工具輔助命令介紹常見問題和解決辦法防火墻無法管理長連接問題訪問控制導致網(wǎng)絡(luò)和應(yīng)用異常FAQ錦集防火墻監(jiān)控工具的使用(1)

功能:

1.集中管理天融信設(shè)備。

2.讀取防火墻內(nèi)存,可以實時看到防火墻上的連接狀態(tài)。3.實時監(jiān)控防火墻的硬件信息并提示報警信息。工具獲取地址:

1.防火墻光盤里。2.用戶名:tos密碼:tos使用方法:1.安裝程序

防火墻監(jiān)控工具的使用(2)

使用方法:2.添加設(shè)備防火墻監(jiān)控工具的使用(3)

使用方法:2.右鍵設(shè)備功能介紹監(jiān)控防火墻CUP等信息進入防火墻WEB管理界面防火墻連接實時監(jiān)控防火墻工具-TCPDUMP

通過CONSOLE或TELNET、SSH方式進入到>SYSTEM菜單下,輸入TCPDUMP命令進行抓包輔助工具-Ping、tracertnetworksession命令介紹

命令:networksessionshowmax-user功能:顯示按連接數(shù)排序的IP用戶信息快速定位某個IP的連接是否正常。

防火墻無法管理(1)問題描述:

通過WEB,telnet方式無法管理防火墻,但是應(yīng)用都正常。問題分析:

安全設(shè)備自身對外提供的服務(wù)默認都是關(guān)閉的,因此在應(yīng)用正常的情況下,訪問防火墻設(shè)備功能異常的時候優(yōu)先考慮對外服務(wù)是否開啟解決辦法:1.查看管理PC對應(yīng)防火墻哪個接口2.我們使用IP已經(jīng)無法進入防火墻管理了,使用CONSOLE口登陸防火墻,輸入defineareashow(查看區(qū)域配置)

防火墻無法管理(2)解決辦法:3.輸入命令pfservershow

這里可以看到對應(yīng)的區(qū)域名開放了哪些服務(wù),如沒有按照命令格式添加。解決辦法2:

如果是誤刪導至無法管理防火墻,可以在不影響業(yè)務(wù)的情況下重啟防火墻將防火墻配置恢復到上一次保存時的配置。

長連接問題問題描述:

在使用數(shù)據(jù)庫和視頻連接的時候,過了一段時間業(yè)務(wù)提示和服務(wù)器斷開連接,重新連接就可以連上,影響了處理業(yè)務(wù)的效率。

問題分析:

安全設(shè)備在設(shè)計上考慮安全性和性能,通常設(shè)置了連接超時時間。

在防火墻“系統(tǒng)參數(shù)---配置---高級屬性勾上”可以查看超時時間。解決辦法:

在訪問控制添加策略,指定訪問源、訪問目的地、目的端口(建議使用詳細端口)。在選項里把普通連接改為長連接。

訪問控制導致網(wǎng)絡(luò)和應(yīng)用異

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論