天融信防火墻topsec系統(tǒng)管理

1、1,天融信網(wǎng)絡(luò)防火墻4000（TOS）安裝使用培訓(xùn),2,服務(wù)須知,,產(chǎn)品開箱后，應(yīng)該按照以下步驟進(jìn)行處理：按照裝箱單的提示，檢查附件是否齊全填寫保修單，并將其郵寄到天融信公司客戶服務(wù)中心到天融信公司的網(wǎng)站www.topsec.com.cn進(jìn)行產(chǎn)品注冊；用戶名、通信地址、聯(lián)系電話、產(chǎn)品序列號、產(chǎn)品型號一定要填寫清楚?？蛻舴?wù)中心電話:800-810-5119,3,防火墻簡介,4,Internet,,,,,,,,,,,,一種高級

2、訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。,兩個(gè)安全域之間通信流的唯一通道,,,根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為,,防火墻定義,內(nèi)部網(wǎng),5,防火墻的局限性,物理上的問題斷電物理上的損壞或偷竊人為的因素內(nèi)部人員通過某種手段竊取了用戶名和密碼病毒（應(yīng)用層攜帶的）防火墻自身不會被病毒攻擊但不能防止內(nèi)嵌在

3、數(shù)據(jù)包中的病毒通過內(nèi)部人員的攻擊防火墻的配置不當(dāng),6,,硬件一臺 外形：19寸1U標(biāo)準(zhǔn)機(jī)箱,產(chǎn)品外形,,接COM口,管理機(jī),7,CONSOLE線纜UTP5雙絞線 - 直通(1條，顏色:灰色)- 交叉(1條，顏色:紅色)使用: 直通:與HUB/SWITCH交叉:與路由器/主機(jī)（一些高端交換機(jī)也可以通過交叉線與 防火墻連接）

4、軟件光盤上架附件,產(chǎn)品提供的附件及線纜使用方式,8,防火墻提供的通訊模式,透明模式(提供橋接功能) 在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。也就是說，對于同一VLAN 的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動，包括IP 和MAC 地址，直接把包轉(zhuǎn)發(fā)出去。同時(shí)，網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP 的VLAN 之間進(jìn)行路由轉(zhuǎn)發(fā)。路由模式(靜態(tài)路由功能) 在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器

5、轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC 地址替換為相應(yīng)接口的MAC 地址，然后轉(zhuǎn)發(fā)。該模式適用于每個(gè)區(qū)域都不在同一個(gè)網(wǎng)段的情況。和路由器一樣，網(wǎng)絡(luò)衛(wèi)士防火墻的每個(gè)接口均要根據(jù)區(qū)域規(guī)劃配置IP 地址。綜合模式(透明+路由功能) 顧名思義，這種模式是前兩種模式的混合。也就是說某些區(qū)域（接口）工作在透明模式下，而其他的區(qū)域（接口）工作在路由模式下。該模式適用于較復(fù)雜的網(wǎng)絡(luò)環(huán)境。說明：防火墻采用何種通訊方式是由用戶的網(wǎng)絡(luò)環(huán)

6、境決定的，用戶需要根據(jù)自己的網(wǎng) 絡(luò)情況，合理的確定防火墻的通訊模式；并且防火墻采用何種通訊方式都不會 影響防火墻的訪問控制功能。,9,Internet,,,,,,,,,,內(nèi)部網(wǎng),,,,,,,,202.99.88.1,ETH0：202.99.88.2,ETH1：202.99.88.3,ETH2：202.99.88.4,202.99.88.10/24 網(wǎng)段,202.99.88.20/24 網(wǎng)段,外網(wǎng)、SSN、內(nèi)網(wǎng)在同

7、一個(gè)廣播域，防火墻做透明設(shè)置。此時(shí)防火墻為透明模式。,透明模式的典型應(yīng)用,,,,10,Internet,,,,,,,,,,內(nèi)部網(wǎng),,,,,,,,202.99.88.1,ETH0：202.99.88.2,ETH1：10.1.1.2,ETH2：192.168.7.2,10.1.1.0/24 網(wǎng)段,192.168.7.0/24 網(wǎng)段,外網(wǎng)、SSN區(qū)、內(nèi)網(wǎng)都不在同一網(wǎng)段，防火墻做路由方式。這時(shí)，防火墻相當(dāng)于一個(gè)路由器。,路由模式的典型應(yīng)用,,,

8、,11,,綜合接入模式的典型應(yīng)用,,,,,,,,,,,,,,,,,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.1.100/24 網(wǎng)段,192.168.7.0/24 網(wǎng)段,此時(shí)整個(gè)防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式,,,,,,,,,202.11.22.1/24 網(wǎng)段,ETH0：202.11.22.2,兩接口在不同網(wǎng)段，防火墻處于路由模式,兩接口在不同網(wǎng)段，防火墻處于路由模

9、式,兩接口在同一網(wǎng)段，防火墻處于透明模式,12,網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后，就可以上電了。在工作過程中，用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài)，具體請見下表：,,防火墻的工作狀態(tài),13,在安裝防火墻之前必須弄清楚的幾個(gè)問題：1、路由走向(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)確定防火墻的工作模式：路由、透明、綜合。2、IP地址的分配(包括防火墻及其相關(guān)設(shè)備的IP地址分配)根據(jù)確定好的防火墻的

10、工作模式給防火墻分配合理的IP地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向(各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號或者協(xié)議類型)4、要達(dá)到的安全目的(即要做什么樣的訪問控制),14,常見病毒使用端口列表,69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP1068/TCP5554/TCP9995/TCP9996/TCPICM

11、P,,關(guān)掉不必要的PING,15,常見路由協(xié)議使用端口列表,RIP：UDP-520RIP2：UDP-520OSPF：IP-89IGRP：IP-9EIGRP：IP-88HSRP（Cisco的熱備份路由協(xié)議）：UDP-1985BGP：(Border Gateway Protocol邊界網(wǎng)關(guān)協(xié)議，主要 處理各ISP之間的路由傳遞，一般用在骨干網(wǎng)上) TCP-179,16,規(guī)則列表需要注意的問題：

12、 1、規(guī)則作用有順序 2、訪問控制列表遵循第一匹配規(guī)則 3、規(guī)則的一致性和邏輯性,訪問控制規(guī)則說明,17,防火墻4000（TOS） 的安裝配置,18,串口(console)管理方式： 管理員為空，回車后直接輸入口令即可，初始口令talent,用passwd修改管理員密碼，請牢記修改后的密碼。WEBUI管理方式： 超級管理員:superman，口令:talentTELNET管理方式： 模擬

13、console管理方式，用戶名superman，口令：talentSSH管理方式： 模擬console管理方式，用戶名superman，口令：talent,防火墻配置-管理方式,19,防火墻配置-防火墻出廠配置,20,防火墻的CONSOLE管理方式,超級終端參數(shù)設(shè)置：,21,防火墻的CONSOLE管理方式,防火墻的命令菜單：,22,防火墻的CONSOLE管理方式,輸入helpmode chinese命令可以看到中文化菜單,23

14、,防火墻的WEBUI管理方式,,在瀏覽器輸入：HTTPS://192.168.1.254，看到下列提示，選擇“是”,24,防火墻的WEBUI管理方式,輸入用戶名和密碼后，按“提交”按鈕,25,防火墻的WEBUI管理方式,26,防火墻的管理方式－打開防火墻管理端口,注意：要想通過TELNET、SSH方式管理防火墻，必須首先打開防火墻 的服務(wù)端口，系統(tǒng)默認(rèn)打開“HTTP”方式。,在“系統(tǒng)”－“系統(tǒng)服務(wù)”中選擇“啟動”

15、即可,27,防火墻的TELNET管理方式,通過TELNET方式管理防火墻：,28,防火墻的接口和區(qū)域,接口和區(qū)域是兩個(gè)重要的概念接口：和網(wǎng)絡(luò)衛(wèi)士防火墻的物理端口一一對應(yīng)，如Eth0、Eth1 等。區(qū)域：可以把區(qū)域看作是一段具有相似安全屬性的網(wǎng)絡(luò)空間。在區(qū)域的劃分上，網(wǎng)絡(luò)衛(wèi)士防火墻的區(qū)域和接口并不是一一對應(yīng)的，也就是說一個(gè)區(qū)域可以包括多個(gè)接口。在安裝網(wǎng)絡(luò)衛(wèi)士防火墻前，首先要對整個(gè)受控網(wǎng)絡(luò)進(jìn)行分析，并根據(jù)網(wǎng)絡(luò)設(shè)備，如主機(jī)、服務(wù)器等所

16、需要的安全保護(hù)等級來劃分區(qū)域。,29,防火墻對數(shù)據(jù)包處理流程,30,網(wǎng)絡(luò)衛(wèi)士防火墻的基本配置過程：,1、串口(console)下配置： 配置接口IP地址，查看或調(diào)整區(qū)域管理權(quán)限。當(dāng)然也可以通過命 令的方式在串口下進(jìn)行防火墻配置2、在串口下保存配置：用SAVE命令3、推薦使用WEBUI方式對防火墻進(jìn)行各種配置4、配置具體的訪問控制規(guī)則及其日常管理維護(hù),防火墻的配置過程,提示：一般先設(shè)置并調(diào)整網(wǎng)絡(luò)區(qū)域，然后再定義各種對

17、象(網(wǎng)絡(luò)對象 、特殊對象等)，然后在添加訪問策略及地址轉(zhuǎn)換策略，最后進(jìn)行參數(shù) 調(diào)整及增加一些輔助的功能。,31,防火墻的基本應(yīng)用,配置防火墻接口IP及區(qū)域默認(rèn)權(quán)限設(shè)置路由表及默認(rèn)網(wǎng)關(guān)定義防火墻的路由模式定義防火墻的透明模式定義網(wǎng)絡(luò)對象制定訪問控制策略制定地址轉(zhuǎn)換策略（通訊策略）保存和導(dǎo)出配置,32,防火墻三種工作模式的配置案例,33,防火墻配置－例1,,

18、配置案例1（路由模式）：,INTERNET,,,,,,,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,應(yīng)用需求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)服務(wù)器對外網(wǎng)做映射 映射地址為202.99.27.249外網(wǎng)禁止訪問內(nèi)網(wǎng),WEB服務(wù)器,防火墻接口分配如下：ETH0接INTERNETETH1接內(nèi)網(wǎng)ETH2接服務(wù)器區(qū),34,

19、防火墻配置－定義網(wǎng)絡(luò)接口,在CONSOLE下，定義接口IP地址,輸入network命令進(jìn)入到network子菜單,定義防火墻每個(gè)接口的IP地址，注意子網(wǎng)掩碼不要輸錯(cuò),35,防火墻配置－定義區(qū)域及添加區(qū) 域管理權(quán)限,define area add name area_eth1 attribute 'eth1 ' access ondefine area add name area_eth2 at

20、tribute 'eth2 ' access on,pf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add name ping area area_eth1 addressname anypf service add nam

21、e telnet area area_eth1 addressname any,系統(tǒng)默認(rèn)只能從ETH0接口（區(qū)域）對防火墻進(jìn)行管理，輸入如下命令：,添加ETH1接口為“AREA_ETH1”區(qū)域； ETH2接口為“AREA_ETH2”區(qū)域,對“AREA_ETH1”區(qū)域添加對防火墻的管理權(quán)限（當(dāng)然也可以對“AREA_ETH2”區(qū)域添加）,定義你希望從哪個(gè)接口（區(qū)域）管理防火墻,36,防火墻配置－調(diào)整區(qū)域?qū)傩?進(jìn)入防火墻管理界面，點(diǎn)擊”網(wǎng)絡(luò)“

22、 ”物理接口“可以看到物理接口定義結(jié)果：,,點(diǎn)擊每個(gè)接口的”其他”按鈕可以修改每個(gè)接口的名稱,注：防火墻每個(gè)接口的默認(rèn)狀態(tài)均為“路由”模式,37,防火墻配置－定義區(qū)域的缺省權(quán)限,在“對象”－”區(qū)域?qū)ο蟆爸卸x防火墻3個(gè)區(qū)域（接口）的默認(rèn)權(quán)限為”禁止訪問“,38,防火墻配置－設(shè)置防火墻缺省網(wǎng)關(guān),在“網(wǎng)絡(luò)”－“靜態(tài)路由”添加缺省網(wǎng)關(guān),39,防火墻配置－設(shè)置防火墻缺省網(wǎng)關(guān),設(shè)置缺省網(wǎng)關(guān)時(shí)，源和目的一般為全“0”防火墻的缺省網(wǎng)關(guān)在靜態(tài)

23、路由時(shí)，必須放到最后一條路由,40,防火墻配置－定義對象－主機(jī)對象,點(diǎn)擊：”對象“－“地址對象”－“主機(jī)對象”，點(diǎn)擊右上角“添加配置”,41,防火墻配置－定義對象－主機(jī)對象,主機(jī)對象中可以定義多個(gè)IP地址,42,防火墻配置－定義對象－地址對象和子網(wǎng)對象,43,防火墻配置－制定訪問規(guī)則,第一條規(guī)則定義“內(nèi)網(wǎng)”可以訪問互聯(lián)網(wǎng)。源選擇“內(nèi)部子網(wǎng)_1”；目的可以選擇目的區(qū)域“AERA_ETH0”，也可以是“ANY[范圍]”,44,防火墻配

24、置－定義訪問規(guī)則,第二條規(guī)則定義外網(wǎng)可以訪問WEB服務(wù)器的映射地址，并只能訪問TCP80端口。源選擇“AERA_ETH0”、目的選擇”WEB服務(wù)器—MAP“地址。轉(zhuǎn)換前目的選擇”WEB服務(wù)器“（服務(wù)器真實(shí)的IP地址）,45,防火墻配置－定義訪問規(guī)則,定義好的兩條訪問策略,46,防火墻配置－定義地址轉(zhuǎn)換（通信策略）,根據(jù)前面的需求如果內(nèi)網(wǎng)要訪問外網(wǎng)，則必須定義NAT策略；同樣外網(wǎng)要訪問WEB服務(wù)器的映射地址，也要定義MAP策略,定義

25、NAT策略，選擇源為已定義的內(nèi)部子網(wǎng)，目的為“AERA_ETH0”區(qū)域,47,防火墻配置－定義地址轉(zhuǎn)換（通信策略）,轉(zhuǎn)換地址要選擇”源地址轉(zhuǎn)換為“ETH0”，也就是防火墻外網(wǎng)接口IP地址；也可以選擇定義好的“NAT地址池”（在“對象”－“地址范圍中定義”）,使用地址池,使用防火墻接口,48,防火墻配置－定義地址轉(zhuǎn)換（通信策略）,配置MAP（映射）策略,源地址可以選擇區(qū)域“AERA_ETH0”;也可以選擇“ANY”,目的必須選擇服務(wù)

26、器映射后的IP（合法IP）選擇已定義的“WEB服務(wù)器－MAP”,49,防火墻配置－定義地址轉(zhuǎn)換（通信策略）,目的地址轉(zhuǎn)換為必須選擇服務(wù)器映射前的IP（也就是WEB服務(wù)器的真實(shí)IP地址），選擇“WEB服務(wù)器”主機(jī)對象即可。,50,防火墻配置－定義地址轉(zhuǎn)換（通信策略）,設(shè)置好的地址轉(zhuǎn)換策略（通信策略）第一條為內(nèi)網(wǎng)訪問外網(wǎng)做NAT；第二條為外網(wǎng)訪問WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服 務(wù)器的真實(shí)IP,51,防火墻配置－配

27、置保存,點(diǎn)擊防火墻管理頁面右上角“保存”按鈕，然后選擇彈出對話框“確定”即可保存當(dāng)前配置,,52,防火墻配置－查看配置、導(dǎo)出配置,在“系統(tǒng)”－“配置維護(hù)”中進(jìn)行防火墻當(dāng)前配置的保存、下載、上傳等操作,,53,防火墻配置－查看配置、導(dǎo)出配置,按照下圖中數(shù)字所示順序即可把防火墻配置導(dǎo)出到本地,54,防火墻配置－例2,,配置案例1（透明模式）：,INTERNET,,,,,,,202.99.27.193,防火墻VLAN（透明域） IP地址

28、 202.99.27.252,應(yīng)用需求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)外網(wǎng)可以訪問WEB服務(wù)器外網(wǎng)禁止訪問內(nèi)網(wǎng),WEB服務(wù)器,防火墻接口分配如下：ETH0接INTERNETETH1接內(nèi)網(wǎng)ETH2接服務(wù)器區(qū),202.99.27.0/24,202.99.27.250,55,防火墻配置－定義區(qū)域及添加區(qū) 域管理權(quán)限,define area add name area_eth1 attribute 

29、9;eth1 ' access ondefine area add name area_eth2 attribute 'eth2 ' access on,pf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add nam

30、e ping area area_eth1 addressname anypf service add name telnet area area_eth1 addressname any,系統(tǒng)默認(rèn)只能從ETH0接口（區(qū)域）對防火墻進(jìn)行管理，輸入如下命令：,添加ETH1接口為“AREA_ETH1”區(qū)域； ETH2接口為“AREA_ETH2”區(qū)域,對“AREA_ETH1”區(qū)域添加對防火墻的管理權(quán)限（當(dāng)然也可以對“AREA_ETH2”區(qū)域

31、添加）,定義你希望從哪個(gè)接口（區(qū)域）管理防火墻,56,防火墻配置－登陸防火墻定義 VLAN,首先通過防火墻的缺省IP：192.168.1.254登陸防火墻第一步，定義一個(gè)VLAN。點(diǎn)擊“網(wǎng)絡(luò)”－“VLAN”－“添加/刪除VLAN范圍”,57,防火墻配置－定義VLAN地址,添加完VLAN后，點(diǎn)擊“地址信息”下的圖標(biāo)設(shè)置VLAN IP地址,58,防火墻配置－定義VLAN地址,定義好的VLAN地址,59,防火墻配置－定義加入

32、VLAN中的物理接口（透明域）,分別點(diǎn)擊屬于VLAN中物理接口的“交換”圖標(biāo)，把物理接口的模式改為“交換”,點(diǎn)擊后，按默認(rèn)值即可,,60,防火墻配置－定義VLAN中的物理接口（透明域）,當(dāng)把ETH0接口的模式改為“交換”后，管理會丟失。因?yàn)榇私涌谠O(shè)為“交換”后，其原來的IP（192.168.1.254)地址會自動刪除。這時(shí)，可以通過剛才定義的VLAN地址進(jìn)行管理。下圖中可以看到添加到VLAN1中的三個(gè)接口都沒有IP，模式為“交換”

33、,61,防火墻配置－定義區(qū)域的缺省權(quán)限,在“對象”－”區(qū)域?qū)ο蟆爸卸x防火墻3個(gè)區(qū)域（接口）的默認(rèn)權(quán)限為”禁止訪問“,62,防火墻配置－定義對象,定義主機(jī)對象（WEB服務(wù)器）,定義內(nèi)網(wǎng)對象（你的內(nèi)網(wǎng)網(wǎng)段）,63,防火墻配置－定義訪問策略,注：透明模式下防火墻不參與任何路由轉(zhuǎn)發(fā)，因此不需要設(shè)置地址轉(zhuǎn)換策略。 （當(dāng)然，如果用戶有需求，也可以設(shè)置相關(guān)NAT策略和MAP策略）,64,防火墻配置－例3,,配置案例1（綜合模式）：,I

34、NTERNET,,,,,,,202.99.27.193,防火墻VLAN（透明域） IP地址 202.99.27.252,應(yīng)用需求：內(nèi)網(wǎng)可以訪問互聯(lián)網(wǎng)外網(wǎng)可以訪問WEB服務(wù)器外網(wǎng)禁止訪問內(nèi)網(wǎng),WEB服務(wù)器,防火墻接口分配如下：ETH0接INTERNETETH1接內(nèi)網(wǎng)ETH2接服務(wù)器區(qū),192.168.16.0/24,202.99.27.250,192.168.16.254,,,65,防火墻配置－定義網(wǎng)絡(luò)接口,

35、在CONSOLE下，定義接口IP地址,1、輸入network命令進(jìn)入到network子菜單，定義防火墻內(nèi)網(wǎng)接口的IP地址,66,防火墻配置－定義區(qū)域及添加區(qū) 域管理權(quán)限,define area add name area_eth1 attribute 'eth1 ' access ondefine area add name area_eth2 attribute 'eth2 '

36、; access on,pf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add name ping area area_eth1 addressname anypf service add name telnet area area_eth

37、1 addressname any,系統(tǒng)默認(rèn)只能從ETH0接口（區(qū)域）對防火墻進(jìn)行管理，輸入如下命令：,添加ETH1接口為“AREA_ETH1”區(qū)域； ETH2接口為“AREA_ETH2”區(qū)域,對“AREA_ETH1”區(qū)域添加對防火墻的管理權(quán)限（當(dāng)然也可以對“AREA_ETH2”區(qū)域添加）,定義你希望從哪個(gè)接口（區(qū)域）管理防火墻,67,防火墻配置－登陸防火墻定義 VLAN,通過防火墻的內(nèi)網(wǎng)區(qū)域的IP：192.168.16

38、.254登陸防火墻定義一個(gè)VLAN。點(diǎn)擊“網(wǎng)絡(luò)”－“VLAN”－“添加/刪除VLAN范圍”,68,防火墻配置－定義VLAN的IP地址,設(shè)置VLAN地址,69,防火墻配置－定義加入VLAN中的物理接口（透明域）,70,防火墻配置－設(shè)置防火墻缺省網(wǎng)關(guān),注意：如果防火墻的默認(rèn)網(wǎng)關(guān)在VLAN（透明域）中，則不需要指定防火墻接口。防火墻自動匹配到VLAN,,71,防火墻配置－定義區(qū)域的缺省權(quán)限,在“對象”－”區(qū)域?qū)ο蟆爸卸x防火墻3個(gè)區(qū)

39、域（接口）的默認(rèn)權(quán)限為”禁止訪問“,72,防火墻配置－定義對象,定義主機(jī)對象（WEB服務(wù)器）,定義內(nèi)網(wǎng)對象（你的內(nèi)網(wǎng)網(wǎng)段）,,73,防火墻配置－定義NAT轉(zhuǎn)換地址,內(nèi)網(wǎng)訪問外網(wǎng)肯定要做NAT，但是由于外網(wǎng)和SSN區(qū)是透明。其物理接口并沒有設(shè)置IP地址。在“地址轉(zhuǎn)換”策略中不能直接選擇外網(wǎng)的物理接口做地址轉(zhuǎn)換。所以需要定義一個(gè)NAT轉(zhuǎn)換地址。,74,防火墻配置－定義訪問策略和地址轉(zhuǎn)換策略,定義訪問控制策略,定義地址轉(zhuǎn)換策略,75,一

40、些特殊應(yīng)用設(shè)置,76,防火墻配置－長連接的應(yīng)用,在訪問規(guī)則中，對于TCP的連接可以設(shè)置為普通連接，也可以設(shè)置為長連接，一般地防火墻對通信空閑一定時(shí)間的TCP連接將自動斷開，以提高安全性和釋放通信資源，但某些應(yīng)用所建立的TCP連接需要長時(shí)期保持，即使處于空閑狀態(tài)！ 普通連接如果在一段時(shí)間內(nèi)沒有收到報(bào)文則連接超時(shí)，以防止連接積累得越來越多。而長連接則不受這個(gè)限制，除非通信的一方主動拆除連接，否則連接不會被刪除。主要應(yīng)用在數(shù)據(jù)庫和

41、視頻系統(tǒng)。,,77,防火墻配置－長連接的應(yīng)用,長連接在訪問規(guī)則中的應(yīng)用：,注意：只對需要的TCP協(xié)議的單個(gè)或多個(gè)端口使用長連接，不能默認(rèn)對所有TCP 端口都設(shè)置為長連接。不能對非TCP協(xié)議的端口做長連接。否則，會大量 消耗掉防火墻的系統(tǒng)資源。,,78,防火墻配置－自定義端口,防火墻內(nèi)置一些標(biāo)準(zhǔn)服務(wù)端口，用以在訪問規(guī)則中引用。但有時(shí)用戶的系統(tǒng)沒有使用某些服務(wù)的標(biāo)準(zhǔn)端口，這時(shí)我們通過自定義方

42、式加以定義。,79,防火墻配置－自定義端口,80,防火墻配置－應(yīng)用端口綁定和TCP連接的子連接,如果某種應(yīng)用層協(xié)議使用了非標(biāo)準(zhǔn)的端口時(shí)，用戶需要將這些非標(biāo)準(zhǔn)端口與應(yīng)用協(xié)議進(jìn)行綁定。這樣，防火墻在對這個(gè)應(yīng)用層協(xié)議進(jìn)行深度內(nèi)容檢測時(shí)，才會認(rèn)為這些數(shù)據(jù)包是合法報(bào)文并進(jìn)行檢測，否則將不進(jìn)行深度過濾檢測并按照訪問控制規(guī)則處理數(shù)據(jù)包。,另外，在一些應(yīng)用中（如：FTP、ORACLE）會包含一些子連接。也就是說某些應(yīng)用在建立TCP連接時(shí)，只需

43、要一個(gè)監(jiān)聽端口，但傳送數(shù)據(jù)時(shí)會使用隨機(jī)的端口進(jìn)行數(shù)據(jù)傳輸。如果在防火墻訪問策略中只開放了監(jiān)聽端口（如：ORACLE一般只開放TCP1521端口），其他端口禁止訪問。那么，將導(dǎo)致數(shù)據(jù)無法傳送。,81,防火墻配置－應(yīng)用端口綁定和 TCP連接的子連接,在“防火墻引擎”－“深度過濾”－“應(yīng)用端口綁定”中設(shè)置，系統(tǒng)默認(rèn)只打開了“TFTP”協(xié)議,82,防火墻配置－應(yīng)用端口綁定和 TCP連接的子連接,點(diǎn)擊“重置策略”按鈕，就可以上述防火墻

44、支持的應(yīng)用層協(xié)議,網(wǎng)絡(luò)衛(wèi)士防火墻目前需要進(jìn)行應(yīng)用端口綁定的應(yīng)用層協(xié)議類型如下：HTTP、FTP、TFTP、SMTP、POP3、MMS、H225、H225RAS、SIP、RTSP、SQLNET。,83,防火墻配置－阻斷策略,通過設(shè)置報(bào)文阻斷策略可以對IP協(xié)議和非IP協(xié)議進(jìn)行控制。當(dāng)設(shè)備接收到一個(gè)數(shù)據(jù)報(bào)文后，會順序匹配報(bào)文阻斷策略，如果沒有匹配到任何策略，則會依據(jù)默認(rèn)規(guī)則對該報(bào)文進(jìn)行處理。,從具體應(yīng)用上，一般用來阻斷一些病毒傳播端口

45、,阻斷策略的優(yōu)先級高于“訪問控制策略,84,防火墻的高級應(yīng)用,DPI(深度報(bào)文檢測）用戶認(rèn)證Trunk環(huán)境及VLAN間的路由策略路由和動態(tài)路由全面支持DHCPADSL撥號鏈路備份IDS聯(lián)動雙機(jī)熱備服務(wù)器負(fù)載均衡,85,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾）,深度過濾策略可以實(shí)現(xiàn)對應(yīng)用層協(xié)議的內(nèi)容進(jìn)行檢測和過濾，目前深度過濾支持的應(yīng)用層協(xié)議包括:FTP、HTTP、POP3 以及SMTP。深度過濾策略設(shè)置好以后不能夠

46、單獨(dú)生效，用戶必須在訪問控制規(guī)則中引用深度過濾策略，匹配了該條訪問控制規(guī)則的數(shù)據(jù)包才會進(jìn)行深度內(nèi)容檢測處理。,首先要打開DPI模塊，在“防火墻引擎”－“深度過濾”－“應(yīng)用端口綁定”中打開,選擇啟動即可,86,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾）設(shè)置關(guān)鍵字對象,關(guān)鍵字的設(shè)置是進(jìn)行深度內(nèi)容檢測的基礎(chǔ),正則表達(dá)式說明：TOS中的關(guān)鍵字的正則格式與FW4000中的通配符區(qū)別很大，如果定義不當(dāng)，會造成深度檢測功能無法正常實(shí)現(xiàn)。字符 .

47、 匹配除 “\n” 之外的任何單個(gè)字符。要匹配包括 ‘\n’ 在內(nèi)的任何字符，請使用象 ‘[.\n]’ 的模式；

48、 字符 *匹配前面的子表達(dá)式零次或多次。例如，zo* 能匹配 "z" 以及 "zoo"。 * 等價(jià)于{0,}；字符 \將下一個(gè)字符標(biāo)記為一個(gè)特殊字符、或后向引用、或轉(zhuǎn)義。例如，'n' 匹配字符 "n"。'\n' 匹配一個(gè)換行符，"\(" 則匹配 &q

49、uot;(" 。,87,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾）設(shè)置關(guān)鍵字對象,正則表達(dá)式舉例：如：.rar和.exe等，正則定義：.* \ .exe和.* \ .rar如：法輪功，正則定義：.* 法輪功如：新浪網(wǎng)站，正則定義：.*sina,88,Step1：保證設(shè)備已經(jīng)開啟HTTP應(yīng)用協(xié)議過濾,89,Step2：配置關(guān)鍵字(特殊字符),本例的正則對象為.*\\.torrent，可以看出這里使用了2個(gè)“\\”其中第1個(gè)

50、\在TOS系統(tǒng)讀取配置文件時(shí)會自動刪除掉，真正起作用的是第2個(gè)\，所以在定義包括特殊字符的關(guān)鍵字時(shí)要使用2個(gè)\\連寫才能生效。,90,Step2：配置關(guān)鍵字(普通字符),91,Step3：定義文件對象,92,Step4：配置HTTP訪問策略,93,Step5：在訪問策略中引用DPI,94,Step6：配置完成 保存、刷新連接,95,HTTP 對象設(shè)置中的部分參數(shù)說明如下：,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾）HTTP對象參數(shù),96,

51、防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 關(guān)鍵字過濾,例：我們定義（網(wǎng)頁）關(guān)鍵字過濾，禁止出現(xiàn)有“新聞”字樣頁面打開,97,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 關(guān)鍵字過濾,定義好關(guān)鍵字之后，也必須在“HTTP”策略中進(jìn)行設(shè)置,98,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） URL過濾,最后在訪問規(guī)則中引用定義好“DPI”策略,注意：服務(wù)必須選擇“HTTP”,99,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,例：定義關(guān)鍵

52、字，禁止下載” md5summer.exe文件,100,定義文件對象,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,“文件”，用來定義關(guān)鍵字的讀寫屬性（讀、寫、執(zhí)行）。,文件對象的權(quán)限設(shè)置借鑒了文件系統(tǒng)的權(quán)限控制，支持三種訪問權(quán)限，及其多種組合：􀂾 讀，即允許對目標(biāo)文件對象的讀操作，例如FTP 的下載文件，HTTP 中的“get” 操作，POP3 中的收郵件。􀂾

53、; 寫，即允許對目標(biāo)文件對象的寫操作，例如FTP 中的上傳文件，HTTP 中的“post” 操作，SMTP 中的發(fā)郵件。執(zhí)行，即允許執(zhí)行包括目標(biāo)文件對象的程序，如CGI 程序。 如果“讀”、“寫”兩個(gè)選項(xiàng)被同時(shí)選中，則表示允許任何訪問。如所有三個(gè)選項(xiàng)都沒被選中，表示禁止訪問。,101,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,設(shè)置文件對象,注意：沒有選取讀（GET）權(quán)限,102

54、,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,定義“FTP”策略,注意：文件的權(quán)限必須和“文件對象”中設(shè)置的一樣,103,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,最后在訪問規(guī)則中引用定義好“DPI”策略,注意：服務(wù)必須選擇“FTP”,104,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 文件名過濾,可以看到通過FTP無法下載MD5SUMMER.EXE這個(gè)文件,105,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾）

55、郵件過濾（POP3）,定義一個(gè)關(guān)鍵字為“收件人”地址 *@topsec.com.cn,106,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（POP3）,定義“文件對象”，不選擇“讀”權(quán)限,沒有選擇“讀”權(quán)限,107,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（POP3）,定義POP3策略，只選擇定義好的”收件人“,108,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（POP3）,在”訪問控制規(guī)則中的DPI策略中引用,

56、注意：協(xié)議必須選擇POP3,109,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（POP3）,所有后綴為“@topsec.com.cn”的郵箱都收不了郵件了,110,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（SMTP）,定義一個(gè)關(guān)鍵字為“發(fā)件人”地址 *@topsec.com.cn,111,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（SMTP）,定義“文件對象”，不選擇“寫”權(quán)限,沒有選擇“寫”權(quán)限,112,防火

57、墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（SMTP）,定義SMTP策略，只選擇定義好的”發(fā)件人“,113,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（SMTP）,在”訪問控制規(guī)則中的DPI策略中引用,注意：協(xié)議必須選擇SMTP,114,防火墻高級應(yīng)用－DPI（報(bào)文深度過濾） 郵件過濾（SMTP）,所有后綴為“@topsec.com.cn”的郵箱都發(fā)不了郵件了,115,防火墻高級應(yīng)用－用戶認(rèn)證,網(wǎng)絡(luò)衛(wèi)士防火墻支持以下認(rèn)證方

58、式或協(xié)議：􀂾 本地認(rèn)證（網(wǎng)絡(luò)衛(wèi)士防火墻內(nèi)置的用戶數(shù)據(jù)庫）􀂾 RADIUS 認(rèn)證（使用RADIUS 第三方認(rèn)證服務(wù)器）􀂾 TACACS 認(rèn)證（使用TACACS 第三方認(rèn)證服務(wù)器）􀂾 證書認(rèn)證（使用標(biāo)準(zhǔn)CA 證書認(rèn)證）􀂾 SecurID 認(rèn)證（使用SecurID 方式認(rèn)證）􀂾 LDAP 認(rèn)證（使用LDAP 認(rèn)證）

59、48766; 域認(rèn)證（使用WINDOWS 域認(rèn)證）,網(wǎng)絡(luò)衛(wèi)士防火墻系統(tǒng)可以實(shí)現(xiàn)有效、快速、全面的用戶及設(shè)備身份的管理，解決以往簡單認(rèn)證方式帶來的弊端，保證用戶訪問和設(shè)備之間訪問的安全性；用戶通過網(wǎng)絡(luò)衛(wèi)士防火墻認(rèn)證系統(tǒng)，可以通過簡潔方便的模式實(shí)現(xiàn)對多種協(xié)議、多種類型、多種方式的用戶實(shí)現(xiàn)認(rèn)證，用戶通過簡單統(tǒng)一的認(rèn)證模式便可以實(shí)現(xiàn)全方位的認(rèn)證。,116,防火墻高級應(yīng)用－用戶認(rèn)證,例：設(shè)置一臺Raduis服務(wù)器,117,防火墻高級應(yīng)用－

60、TRUNK環(huán)境及VLAN間的路由,防火墻支持TRUNK環(huán)境，也可以做VLAN間的路由,例一：,,,交換機(jī)有兩個(gè)VLAN，通過TRUNK口與路由器TRUNK口相連。防火墻可以放置在路由器和交換機(jī)中間。,118,防火墻高級應(yīng)用－TRUNK環(huán)境及VLAN間的路由,配置步驟：,1、將ETH0、ETH1接口設(shè)置為交換（透明）模式。2、將ETH0、ETH1接口類型設(shè)置修改成Trunk模式,TopsecOS# network interfac

61、e eth0 switchportTopsecOS# network interface eth0 switchport mode trunkTopsecOS# network interface eth0 switchport trunk encapsulation dot1qTopsecOS# network interface eth0 switchport trunk native-vlan 1TopsecOS# net

62、work interface eth0 switchport access-vlan 1TopsecOS# network interface eth0 switchport trunk allowed-vlan 1-1000TopsecOS# network interface eth0 no shutdownTopsecOS# network interface eth1 switchportTopsecOS# networ

63、k interface eth1 switchport mode trunkTopsecOS# network interface eth1 switchport trunk encapsulation dot1qTopsecOS# network interface eth1 switchport trunk native-vlan 1TopsecOS# network interface eth1 switchport acc

64、ess-vlan 1TopsecOS# network interface eth1 switchport trunk allowed-vlan 1-1000TopsecOS# network interface eth1 no shutdown,119,防火墻高級應(yīng)用－TRUNK環(huán)境及VLAN間的路由,分別點(diǎn)擊防火墻物理接口的“交換”按鈕，做如下設(shè)置：,注意選擇TRUNK類型802.1q 或 ISL,120,防火墻高級應(yīng)用－T

65、RUNK環(huán)境及VLAN間的路由,例二：,,用防火墻做VLAN間的路由,121,防火墻高級應(yīng)用－TRUNK環(huán)境及VLAN間的路由,配置步驟：,1、創(chuàng)建VLAN,,TopsecOS# network vlan add id 10TopsecOS# network vlan add id 20,122,防火墻高級應(yīng)用－TRUNK環(huán)境及VLAN間的路由,2、配置VLAN地址,,TopsecOS# network interface vl

66、an.10 ip add 10.1.1.1 mask 255.255.255.0TopsecOS# network interface vlan.20 ip add 20.1.1.1 mask 255.255.255.0,123,防火墻高級應(yīng)用－TRUNK環(huán)境及VLAN間的路由,3、將ETH0接口設(shè)置為“交換”模式，并修改成Trunk模式,,124,防火墻高級應(yīng)用－策略路由和動態(tài)路由,網(wǎng)絡(luò)衛(wèi)士防火墻支持靜、動態(tài)路由協(xié)議。策略路由可以

67、不是只根據(jù)目的地址，而是同時(shí)根據(jù)目的地址和源地址進(jìn)行路由，這種方式可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的指定對象使用特定外部線路與外部網(wǎng)絡(luò)通信，從而進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)的通信安全。,策略路由：,125,防火墻高級應(yīng)用－策略路由和動態(tài)路由,添加策略路由：,如果選擇“NAT 后的源”為“是”，表示策略路由的源地址為NAT 后的地址，策略路由添加成功后的“標(biāo)記”一欄顯示為“UGM”。默認(rèn)為“否”，策略路由添加成功后的“標(biāo)記”一欄顯示為“U”。,,,126

68、,防火墻高級應(yīng)用－策略路由和動態(tài)路由OSPF,動態(tài)路由：防火墻支持OSPF、RIP動態(tài)路由協(xié)議,OSPF 協(xié)議是一個(gè)基于鏈路狀態(tài)的動態(tài)路由協(xié)議，其基本原理是：在一個(gè)OSPF 網(wǎng)絡(luò)中，每一臺路由器首先與自己的鄰居建立鄰接關(guān)系，然后向形成鄰接關(guān)系的鄰居之間發(fā)送鏈路狀態(tài)通告（LSA），鏈路狀態(tài)通告描述了所有的鏈路信息，每一個(gè)路由器接收到LSA 都會把這些通告記錄在鏈路數(shù)據(jù)庫中，并發(fā)送一個(gè)副本給他的鄰居，通過LSA 泛洪到整個(gè)區(qū)域，所

69、有的路由器都會形成相同的鏈路狀態(tài)數(shù)據(jù)庫，當(dāng)所有路由器鏈路狀態(tài)數(shù)據(jù)庫相同時(shí)，會以自己為根，通過SPF 算法計(jì)算出一個(gè)無環(huán)的拓?fù)?，從而?jì)算出自己到達(dá)系統(tǒng)內(nèi)部可達(dá)的最佳路由。,127,防火墻高級應(yīng)用－策略路由和動態(tài)路由OSPF,配置OSPF,在使用OSPF 協(xié)議之前，需要首先啟用OSPF 進(jìn)程,,128,防火墻高級應(yīng)用－策略路由和動態(tài)路由 OSPF,設(shè)定區(qū)域及鄰居,OSPF 協(xié)議的區(qū)域設(shè)定主要指：設(shè)定在哪個(gè)網(wǎng)段運(yùn)行OSPF 協(xié)議以及

70、該網(wǎng)段屬于哪個(gè)OSPF 區(qū)域，并且設(shè)定該區(qū)域內(nèi)的路由器更新路由時(shí)是否進(jìn)行認(rèn)證，進(jìn)而采用何種認(rèn)證方式。具體設(shè)置包括添加、修改和刪除區(qū)域信息。OSPF 協(xié)議一般使用組播來交換路由更新，只有組播地址中指定的路由器和主機(jī)才能參與這種交換。如果出現(xiàn)網(wǎng)絡(luò)上不允許多播傳送數(shù)據(jù)或只需要將路由更新信息通告某臺指定設(shè)備的情況，則通過設(shè)定OSPF 協(xié)議的鄰居，以單播方式將路由更新信息只發(fā)送給某一臺指定的路由器。鄰居設(shè)置包括查看區(qū)域鄰居配置、添加