1、防火墙配置防火墙配置王光春雨天融信公司技术工程师第一部分:防火墙基础知识第二部分:防火墙配置案例第三部分:防火墙特殊应用第四部分:防火墙辅助功能第五部分:防火墙日常维护目录两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost A目的协议控制源根据访问控制规则决定进出网络的行为防火墙知识介绍防火墙定义(作用)防火墙知识介绍防火墙定义(作用)硬件设备硬件设备接接COM口口管理机管理机直通线直通线交叉线交叉线串口线串口线PCRouteSwich、Hub交叉线交叉线防火墙知识介绍线缆连接方式防火墙知识介绍线缆连接方式透明模式(提供桥接功能) 在这种模
2、式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。路由模式(静态路由功能) 在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。综合模式(透明+路由功能) 顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其
3、他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网 络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。影响防火墙的访问控制功能。 防火墙知识介绍防火墙提供的通讯模式防火墙知识介绍防火墙提供的通讯模式防火墙知识介绍透明模式典型应用防火墙知识介绍透明模式典型应用202.99.88.1ETH0:202.99.88.2ETH1:2
4、02.99.88.3ETH2:202.99.88.4202.99.88.10/24 网段202.99.88.20/24 网段外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。202.99.88.1ETH0:202.99.88.2ETH1:10.1.1.2ETH2:192.168.7.210.1.1.0/24 网段192.168.7.0/24 网段外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。防火墙知识介绍路由模式典型应用防火墙知识介绍路由模式典型应用ETH1:192.168.7.102ETH2:192.168.7.2192.168.
5、1.100/24 网段网段192.168.7.0/24 网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22.1/24 网段网段ETH0:202.11.22.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式防火墙知识介绍混合模式典型应用防火墙知识介绍混合模式典型应用防火墙知识介绍防火墙出厂默认配置防火墙知识介绍防火墙出厂默认配置 串口串口( (console)console)管理方式:管理方式: 管理员为空,回车后直接输入口令即可,初始口令talent,用passwd修改管理员密码,请牢记修改
6、后的密码。 WEBUIWEBUI(浏览器)管理方式:(浏览器)管理方式: 超级管理员:superman,口令:talent TELNETTELNET管理方式:管理方式: 模拟console管理方式,用户名superman,口令:talent SSHSSH管理方式:管理方式: 模拟console管理方式,用户名superman,口令:talent 如果密码管理不善而丢失,只能返回厂家维修防火墙知识介绍防火墙提供的管理方式防火墙知识介绍防火墙提供的管理方式超级终端参数设置:防火墙知识介绍防火墙知识介绍CONSOLE口管理口管理防火墙的命令菜单:防火墙知识介绍防火墙知识介绍CONSOLE口管理口管理
7、输入helpmode chinese命令可以看到中文化菜单防火墙知识介绍防火墙知识介绍CONSOLE口管理口管理在浏览器输入:HTTPS:/192.168.1.254,看到下列提示,选择“是”防火墙知识介绍浏览器管理方式防火墙知识介绍浏览器管理方式输入用户名和密码后,按“提交”按钮防火墙知识介绍浏览器管理方式防火墙知识介绍浏览器管理方式防火墙知识介绍浏览器管理方式防火墙知识介绍浏览器管理方式通过TELNET方式管理防火墙:防火墙知识介绍防火墙知识介绍telnet管理方式管理方式注意:要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙 的服务端口,系统默认打开“HTTP”方式。在“系
8、统”“系统服务”中选择“启动”即可防火墙知识介绍启动防火墙管理服务防火墙知识介绍启动防火墙管理服务对象的概念:对象的概念:防火墙大多数的功能配置都是基于资源对象的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的资源对象是管理员在对网络卫士防火墙进行配置前首先要做的工作之一。 使用对象好处:使用对象好处:资源对象概念的使用大大简化了管理员对网络卫士防火墙的管理工作。当某个资源对象发生变化时,管理员只需要修改对象本身属性即可,而无需逐一的修改所有涉及到这个对象的策略或规则。 对象的类型:对象的类型:在网络卫士防火墙中,用户可定义的资源对象的类型包括: 地址对象
9、:包括 IP地址对象、MAC地址对象、地址范围对象、子网对象和地址组等。 属性对象:包括属性对象和属性组。属性对象需要与其他对象绑定方能生效(如与接口、子接口、区域对象等绑定)。 区域对象:通过与属性对象绑定,定义区域的访问权限。 时间对象:包括多次循环的时间对象和单次时间对象。 防火墙知识介绍资源对象的概念防火墙知识介绍资源对象的概念接口和区域是两个不同的概念接口和区域是两个不同的概念接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个
10、接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。防火墙中对象的概念防火墙中对象的概念防火墙设置策略时,首先要有已定义好的可操作对象地址对象、服务对象、时间对象、区域对象等防火墙知识介绍区域对象和区域权限防火墙知识介绍区域对象和区域权限互联网区域互联网区域C_eth3办公区域办公区域DInternet办公区域办公区域A_eth1办公区域办公区域B_eth2防火墙知识介绍定义区域防火墙知识介绍定义区域Internet办公办公_eth1 拒绝拒绝SSN区区_eth2 拒绝拒绝互联网区互联网区_eth3 允许允许外网区域权限:
11、允许外网区域权限:允许其它区域发起的对互联网区域的访问都被允许通过办公区、办公区、ssn区权限:拒绝区权限:拒绝其它区域内发起的对内网办公和SSN的访问都被拒绝,这时候需要添加访问控制规则,允许互联网和办公区访问SSN区的服务器允许允许允许允许拒绝拒绝拒绝拒绝防火墙知识介绍定义区域权限防火墙知识介绍定义区域权限规则列表需要注意的问题: 1、规则作用有顺序:阻断策略访问控制策略区域权限 2、访问控制列表遵循第一匹配规则:先后顺序匹配 3、规则的一致性和逻辑性:策略相互包含关系、冗余重复防火墙知识介绍访问控制规则说明防火墙知识介绍访问控制规则说明第一部分:防火墙基础知识第二部分:防火墙配置案例第三
12、部分:防火墙特殊应用第四部分:防火墙辅助功能第五部分:防火墙日常维护目录1. 路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式:路由、透明、综合。2. IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3. 数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4. 要达到的安全目的(即要做什么样的访问控制)在安装防火墙之前必须弄清楚的几个问题:在安装防火墙之前必须弄清楚的几个问题:防火墙配置配置前的准备防火墙配置配置前的准备网络卫士防火墙的基本配置过程:网络卫士防火墙的基本配置过程:1、配置接口的
13、通讯模式:路由模式、交换模式2、配置接口IP地址:可以再串口下配置IP及管理权限, 串口下用命令save保存配置3、配置路由策略:静态路由、策略路由4、定义资源对象:区域、地址、服务、时间5、开放对应区域的防火墙管理权限6、定义地址转换策略:源、目的、双向转换7、定义访问控制策略:基于各种资源对象灵活的控制8、系统参数调整及辅助功能配置:管理用户参数、日志等9、保存和导出配置:备份配置文件需要时导入防火墙配置配置流程简述防火墙配置配置流程简述配置案例1(路由模式):INTERNET202.99.27.193202.99.27.250192.168.1.254172.16.1.100172.16
14、.1.1192.168.1.0/24应用需求:内网可以访问互联网服务器对外网做映射 映射地址为202.99.27.249外网禁止访问内网WEB服务器防火墙接口分配如下:ETH0接INTERNETETH1接内网ETH2接服务器区防火墙配置路由模式配置案例防火墙配置路由模式配置案例 网络管理接口物理接口eth0设置接口为路由模式(缺省)定义防火墙每个接口的IP地址,注意子网掩码不要输错防火墙配置配置网络接口防火墙配置配置网络接口 网络管理接口物理接口eth1设置防火墙配置接口配置防火墙配置接口配置 网络管理接口物理接口eth2设置防火墙配置接口配置防火墙配置接口配置进入防火墙管理界面,点击“网络管
15、理” “接口”可以看到物理接口定义结果:可以设置每个接口的描述进行区分注:防火墙每个接口的默认状态均为注:防火墙每个接口的默认状态均为“路由路由”模式模式防火墙配置接口模式配置防火墙配置接口模式配置设置缺省网关时,目的地址和掩码为全“0”防火墙的缺省网关在静态路由时,防火墙的缺省网关在静态路由时,必须放到最后一条路由,设备会根必须放到最后一条路由,设备会根据子网掩码大小自动排序据子网掩码大小自动排序防火墙配置路由配置防火墙配置路由配置在“网络”“静态路由”添加缺省路由防火墙配置路由配置防火墙配置路由配置在“对象”“区域对象”中定义防火墙区域(接口)的默认权限防火墙配置定义区域缺省权限防火墙配置
16、定义区域缺省权限系统默认只能从ETH0接口(区域)对防火墙进行管理 添加ETH1接口为“AREA_ETH1”区域; ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以对“AREA_ETH2”区域添加)定义你希望从哪个接口(区域)管理防火墙防火墙配置定义设备管理权限防火墙配置定义设备管理权限主机对象中可以定义多个IP地址防火墙配置资源管理地址定义主机防火墙配置资源管理地址定义主机防火墙配置资源管理地址定义子网防火墙配置资源管理地址定义子网根据前面的需求如果内网要访问外网,则必须定义NAT策略;同样外网要访问WEB服务器的映射地址,也要定义MAP
17、策略 定义NAT策略,选择源为已定义的内部子网,目的为“AERA_ETH0”区域防火墙配置定义地址转换(通信策略)防火墙配置定义地址转换(通信策略)转换地址要选择”源地址转换为“ETH0”,也就是防火墙外网接口IP地址;也可以选择定义好的“NAT地址池”(在“对象”“地址范围中定义”)使用地址池使用地址池使用防火墙接口使用防火墙接口防火墙配置定义地址转换(通信策略)防火墙配置定义地址转换(通信策略) 配置MAP(映射)策略源地址可以选择区域“AERA_ETH0”;也可以选择“ANY”目的选择服务器映射后的IP(合法IP)选择已定义的“WEB服务器MAP”防火墙配置定义地址转换(通信策略)防火墙
18、配置定义地址转换(通信策略)目的地址转换为必须选择服务器映射前的IP(也就是WEB服务器的真实IP地址),选择“WEB服务器”主机对象即可。防火墙配置定义地址转换(通信策略)防火墙配置定义地址转换(通信策略)设置好的地址转换策略(通信策略)第一条为内网访问外网做NAT;第二条为外网访问WEB服务器的映射地址,防火墙把包转发给服 务器的真实IP防火墙配置定义地址转换(通信策略)防火墙配置定义地址转换(通信策略)点击防火墙管理页面右上角“保存”按钮,然后选择弹出对话框“确定”即可保存当前配置防火墙配置配置保存防火墙配置配置保存第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”;目的可以选
19、择目的区域“AERA_ETH0”,也可以是“ANY范围”防火墙配置配置访问控制规则防火墙配置配置访问控制规则第二条规则定义外网可以访问WEB服务器的映射地址,并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器(服务器真实的IP地址)防火墙配置配置访问控制规则防火墙配置配置访问控制规则定义好的两条访问策略防火墙配置配置访问控制规则防火墙配置配置访问控制规则在“系统管理”“维护”中进行防火墙当前配置的保存、下载、上传等操作防火墙配置查看配置、备份配置防火墙配置查看配置、备份配置按照下图中数字所示顺序即可把防火墙配置导出到本地防火墙配置查看配置、备份配置防火墙配置查看配置
20、、备份配置配置案例(透明模式):省专网应用需求:内网可以访问省web服务器http服务防火墙接口分配如下:ETH0接路由AETH1接内网核心ETH2接路由BETH4接内网核心1.1.1.0/24路由B路由AETH0ETH1ETH2ETH3VLAN 100VLAN 2002.2.2.100WEB服务器防火墙配置透明(交换)模式配置案例防火墙配置透明(交换)模式配置案例首先通过防火墙的缺省IP:192.168.1.254登陆防火墙第一步,定义一个VLAN。点击“网络管理”“二层网络”“vlan” “添加/删除VLAN范围”防火墙配置创建防火墙配置创建VLAN分别点击属于VLAN中物理接口的“设置”
21、图标,把物理接口的模式改为“交换”Access中填写所属vlan ID防火墙配置将接口加入防火墙配置将接口加入VLAN(透明域)(透明域)当把ETH0接口的模式改为“交换”后,管理会丢失。因为此接口设为“交换”后,其原来的IP(192.168.1.254)地址会自动删除。这时,可以通过新定义的地址进行管理。下图中可以看到添加到VLAN100和VLAN200中的四个接口都没有IP,模式为“交换”防火墙配置透明(交换)模式配置案例防火墙配置透明(交换)模式配置案例定义主机对象(WEB服务器)定义内网对象(你的内网网段)防火墙配置定义资源对象防火墙配置定义资源对象注:注:透明模式下防火墙不参与任何路
22、由转发,因此不需要设置地址转换策略。 (当然,如果用户有需求,也可以设置相关(当然,如果用户有需求,也可以设置相关NAT策略和策略和MAP策略)策略)防火墙配置定义访问策略防火墙配置定义访问策略系统默认只能从ETH0接口(区域)对防火墙进行管理,新建区域并定义你希望从哪个接口(区域)管理防火墙防火墙配置定义区域及缺省权限防火墙配置定义区域及缺省权限第一部分:防火墙基础知识第二部分:防火墙配置案例第三部分:防火墙特殊应用第四部分:防火墙辅助功能第五部分:防火墙日常维护目录 在访问规则中,对于在访问规则中,对于TCP的连接可以设置为普通连接,也可以设置为长连接,的连接可以设置为普通连接,也可以设置
23、为长连接,一般地防火墙对通信空闲一定时间的一般地防火墙对通信空闲一定时间的TCP连接将自动断开,以提高安全性和释放连接将自动断开,以提高安全性和释放通信资源,但某些应用所建立的通信资源,但某些应用所建立的TCP连接需要长时期保持,即使处于空闲状态!连接需要长时期保持,即使处于空闲状态! 普通连接如果在一段时间内没有收到报文则连接超时,以防止连接积累得越来普通连接如果在一段时间内没有收到报文则连接超时,以防止连接积累得越来越多。而长连接则不受这个限制,除非通信的一方主动拆除连接,否则连接不会越多。而长连接则不受这个限制,除非通信的一方主动拆除连接,否则连接不会被删除。被删除。主要应用在数据库和视
24、频系统。主要应用在数据库和视频系统。防火墙特殊应用长连接应用防火墙特殊应用长连接应用长连接在访问规则中的应用:注意:只对需要的注意:只对需要的TCP协议的单个或多个端口使用长连接,不能默认对所有协议的单个或多个端口使用长连接,不能默认对所有TCP 端口都设置为长连接。不能对非端口都设置为长连接。不能对非TCP协议的端口做长连接。否则,会大量协议的端口做长连接。否则,会大量 消耗掉防火墙的系统资源。消耗掉防火墙的系统资源。防火墙特殊应用长连接应用防火墙特殊应用长连接应用通过设置包过滤策略可以对IP协议和非IP协议进行控制。当设备接收到一个数据报文后,会顺序匹配包过滤策略,如果没有匹配到任何策略,
25、则会依据默认规则对该报文进行处理。从具体应用上,一般用来阻断一些病毒传播端口包过滤策略的优先级高于“访问控制策略防火墙特殊应用阻断策略防火墙特殊应用阻断策略第一部分:防火墙基础知识第二部分:防火墙配置案例第三部分:防火墙特殊应用第四部分:防火墙辅助功能第五部分:防火墙日常维护目录防火墙本身不存储日志信息,如果要保留相关日志,请安装随机光盘的日志服务器软件。然后设置日志服务器地址,防火墙就会把日志信息发送到日志服务器上防火墙辅助功能日志设置防火墙辅助功能日志设置防火墙辅助功能开放服务防火墙辅助功能开放服务管理员可以定期生成、下载设备的健康记录,以便当设备出现异常时,可以帮助天融信的技术支持人员快
26、速地定位并解决故障。防火墙辅助功能健康记录防火墙辅助功能健康记录系统除了提供上节所述的设备配置维护功能外,还提供了恢复出厂默认配置的功能,以方便用户重新配置设备。恢复出厂配置后,设备的网络接口地址可能会改变,配置信息会被清除,进而导致失去连接,请用户提前做好准备。防火墙辅助功能恢复出厂设置防火墙辅助功能恢复出厂设置设备支持基于TFTP 协议的升级方式和专用升级工具注意:请在升级前进行系统备份!注意:请在升级前进行系统备份!防火墙辅助功能系统升级防火墙辅助功能系统升级设备支持多级用户管理,不同类型的用户具有不同的操作权限。用户权限基本可分为三种:超级管理员、管理用户与审计用户。超级管理员是系统的
27、内建帐号,具有全部的功能权限;管理用户可以设定和查看规则,但没有综合配置(例如分配管理员、配置维护等)的权限。审计用户权限最小,只可以查看已有规则,没有添加和修改规则的权限。超级管理员是系统内建帐号,用户名是superman,密码talent用户可以对其帐号及口令进行修改防火墙辅助功能管理员配置防火墙辅助功能管理员配置网络卫士防火墙内部维护了一张ARP 表,维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时,会首先查看ARP表,如目的IP 已经在ARP 表中,网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。选项“限制ARP
28、 请求个数”,设定允许ARP 请求的上限值。防火墙辅助功能防火墙辅助功能ARP及及MAC地址地址设置IPMAC地址绑定:网络卫士防火墙内部维护了一张ARP 表,维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。在ARP表中“定义”好后,系统自动生成“主机对象”(包含了IP及MAC地址)也可以手动填写mac地址绑定防火墙辅助功能防火墙辅助功能ARP及及MAC地址地址MAC地址表网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表,保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士防火墙转发数据帧时,会查看虚接口MAC 地址表,如
29、果该目的MAC 在网络卫士防火墙的MAC 地址表中,网络卫士防火墙将直接通过该MAC 地址所对应的接口发送数据帧。也可以自行添加MAC地址防火墙辅助功能防火墙辅助功能ARP及及MAC地址地址第一部分:防火墙基础知识第二部分:防火墙配置案例第三部分:防火墙特殊应用第四部分:防火墙辅助功能第五部分:防火墙日常维护目录防火墙通电后,大约30秒钟左右,应看到防火墙前面板的工作工作指示灯(绿色绿色)为闪烁状态;主主/从从指示灯(橙色橙色)为常亮状态。此状态为防火墙的正常工作状态。防火墙接入线缆后的接口状态防火墙接入线缆后的接口状态防火墙的接口与交换机相连接后,注意其接口状态指示灯(link)要变为绿色。
30、如果防火墙接口指示灯不亮,则应该检查线缆的连通性。特殊情况特殊情况:如果线缆没有问题,但防火墙接口指示灯还是不亮,则调整防火墙和交换机的接口协商模式为一致状态即可。(比如:调整为手动100M/全双工)防火墙辅助功能防火墙正常工作状态防火墙辅助功能防火墙正常工作状态防火墙的两个接口配置有IP地址,在防火墙接入网络后,进入到防火墙的命令行(通过串口或TELNET均可)用PING命令分别PING内网的服务器IP地址和外网上级站的网关路由器IP地址。如果可以PING通,则说明网络在接入防火墙后,通信线路没有问题。在规则配置好的情况下,通过TELNET相应主机的开放端口来测试网络的连通性。如果TELNE
31、T端口没有成功,则需要打开PING权限来探测主机之间的连通情况。如果主机之间可以PING通,则需要检查规则设置情况,是否已经打开相应的端口或者规则顺序是否不正确。防火墙辅助功能线路连通性检查防火墙辅助功能线路连通性检查 故障判断故障判断1通过超级终端无法连接到防火墙通过超级终端无法连接到防火墙 查看是否在超级终端上设置了正确的通信参数(9600-8-N-1)及终端类型,并检查线缆连接正确。(必须使用防火墙随机带的CONSOLE线缆) 如果防火墙通讯中断,经过多次重启多次后,CONSOLE依然不能登陆。则可确定防火墙发生严重故障。请及时通知本公司的工程师进行处理。故障判断故障判断2无法通过无法通
32、过GUI、TELNET管理防火墙管理防火墙检查防火墙登录控制中是否允许TELNET或 GUI管理。确认登录源主机的IP是否在设定IP范围内。确认是否有相同用户名的用户已登录防火墙(同用户名用户不允许在同一时间登录同一台防火墙)。防火墙日常维护故障判断防火墙日常维护故障判断故障判断故障判断3增加策略禁止某主机,该主机仍能通过防火墙增加策略禁止某主机,该主机仍能通过防火墙 检查该主机与通信目标主机间的通信通道是否经过防火墙;检查是否已有策略许可该主机通过防火墙;检查这台主机否为双穴主机,是否网卡配有多个IP地址。 故障判断故障判断4防火墙重启后配置丢失防火墙重启后配置丢失通常情况下是用户在防火墙重启前没有对防火墙的配置进行保存。 防火墙日常维护故障判断防火墙日常维护故障判断IP地址绑定未起作用地址绑定未起作用检查主机的绑定IP是否经过其它路由设备(因为通过路由设备后主机的MAC地址已被路由设备的MAC替换)后,才到达防火墙。 故障判断故障判断防火墙多端口接在同一交换机或防火墙多端口接在同一交换机或HUB 上后,交换机或上后,交换机或HUB工作不正常工作不正常 检查防火墙是否工作于透明模式,如果是,则修改配置,使防火墙工作于路由模式。因为打开防火墙透明后会形成环路。 防火墙日常维护故障判断防火墙日常维护故障判断故障判断故障判断
