1、新网络带来的新威胁随着网络的发展,层出不穷的新应用虽然给人们的网络生活带来了更多的便利,但是同时也带来更多的安全风险:IP地址不等于使用者端口和协议不等于应用报文不等于内容下一代防火墙为了解决新网络带来的新威胁,下一代防火墙产品应运而生。通常要求下一代防火墙产品具有以下特征:使用签名和特征,而不是端口号和协议来对应用进行定义,以识别报文的真实属性和所携带的不安全因素。集成SA(Service Awareness,业务感知)功能,并且使用专业的硬件系统来检测报文的真实应用和内容。集成IPS功能,性能更高,威胁的识别和阻断结合得更加紧密。丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌
2、握全面真实的网络状况,以帮助管理员更好地做出防护措施。网络定位网络定位防火墙外观结构百兆防火墙USG6507对应原防火墙USG2205防火墙外观结构千兆防火墙USG6550对应原防火墙USG5150防火墙外观结构防火墙USG6507前面板局部图防火墙的区域防火墙区域:Local区域Trust区域Untrust区域DMZ区域安全区域的优先级(安全级别):优先级值越大安全级别越高,不同区域的安全级别值不能相同。防火墙的区域 防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来表示inbound或outbound的方向。 安全级别高的区域向级别低的区域访问是出站
3、方向inbound安全级别低的区域向级别高的区域访问是入站方向outbound 防火墙的同一安全区域内的端口之间访问不需要安全策略检查,不同安全区域的端口之间进行访问,需要有安全策略的检查和控制管理防火墙的工作模式1、路由模式、路由模式相当于路由器的位置个功能,放在网络中是以三层设备的角色,接口都必须配置IP地址。 2、透明模式、透明模式在原有的网段中放置防火墙进行过滤工作,但是不改变原有的网段配置,防火墙仅作为一个二层设备连接,相当于一个二层交换机,接口不能配置IP地址。 3、混合模式、混合模式有两个防火墙,主要为了实现备份和冗余,一个是路由模式,一个是透明模式,不推荐。透明墙配置透明墙配置
4、透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置现网状态现网状态判定判定组网:透明墙,两区域隔离透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置透明墙配置防火墙防火墙连接连接登录设备Web界面对管理员PC浏览器的要求如下:Internet Explorer浏览器:6.09.0版本Firefox浏览器(推荐):10.0及以上版本Chrome浏览器:17.0及以
5、上版本1、将管理员PC网口与设备的MGMT接口(GigabitEthernet 0/0/0)通过网线或者二层交换机相连。2、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。透明墙配置透明墙配置防火墙防火墙连接连接3、在管理员PC中打开网络浏览器,访问需要登录设备的GigabitEthernet 0/0/0,缺省IP地址https:/192.168.0.1:84434、在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin123”,单击“登录”。5、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.1
6、68.0.254范围内的IP地址。6、修改缺省管理员帐号的密码,单击“确定”,进入Web界面。透明墙配置透明墙配置防火墙防火墙连接连接透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置参数确认参数确认透明墙配置参数确认参数确认项目项目说明与示例说明与示例安全I区参数示例:接口号:GigabitEthernet 1/0/1接口类型:trunk允许通过的VLAN:1、100安全区域:Untrust安全I区地址:10.0.0.0/24安全I区服务端口:TCP 8888安全II区参数示例:接口号:GigabitEthernet 1
7、/0/2接口类型:trunk允许通过的VLAN:1、100安全区域:Trust安全I区地址:10.0.0.0/24安全I区服务端口:UDP 6666透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置地址地址配置配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。然后将接口切换为二层以太网接口,将接口加入VLANA、选择“网络 接口”。B、单击待配置的接口所在行的C、根据已经确认的参数配置以太网接口的参数。透明墙配置地址地址配置配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。然后将接口切换
8、为二层以太网接口,将接口加入VLANA、选择“网络 接口”。B、单击待配置的接口所在行的C、配置以太网接口的参数。透明墙配置地址地址配置配置2、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。透明墙配置地址地址配置配置1、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。透明墙配置地址地址配置配置1、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”
9、。B、单击“新建”配置地址集,然后单击“确定”。2、配置名称为安全I I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。透明墙配置地址地址配置配置1、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。2、配置名称为安全I I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3
10、、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置服务配置服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。A、选择“对象 服务 服务”。B、单击“新建”,输入服务名称并添加成员。透明墙配置服务配置服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。A、选择“对象 服务 服务”。B、单击“新建”,输入服务名称并添加成员。透明墙配置服务配置服务配置1、分别为Server1和Server2配置自定
11、义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。A、选择“对象 服务 服务”。B、单击“新建”,输入服务名称并添加成员。透明墙配置透明墙配置透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置透明墙配置安全策略配置安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。A、选择“策略 安全策略 安全策略”。B、单击“新建”,配置安全I区到安全II区的策略透明墙配置安全策略配置安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。A、选择“策略 安全策略 安全策略”。B、单击“新建”,配置安全I区到安全
12、II区的策略透明墙配置安全策略配置安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。A、选择“策略 安全策略 安全策略”。B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略透明墙配置安全策略配置安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。A、选择“策略 安全策略 安全策略”。B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略透明墙配置结果验证结果验证1、安全I区到安全II区的服务内的数据能访问2、安全I区到安全II区的服务外的数据不能能访问3、非安全I区、安全II区的地址访问全
13、部受阻路由墙配置(作为出口)组网需求电站在网络边界处部署了NGFW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。具体需求如下:内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数,减少管理员手工配置的劳动量。内部网络中的PC可以访问Internet。路由墙配置(作为出口)参数确认项目数据说明地址1.1.1.1/24运营商分配给企业的公网地址。默认网关1.1.1.254运营商提供的默认网关。DNS服务器地址9.9.9.9运营商提供的DNS服务器地址。路由墙配置(作为出口)接口配置1、配置接
14、口GigabitEthernet 1/0/1。选择“网络 接口”。单击GE1/0/1对应的, 按如下参数配置单击“确定”。安全区域安全区域untrust模式模式路由IPv4连接类型连接类型静态IPIP地址地址1.1.1.1/255.255.255.0默认网关默认网关1.1.1.254路由墙配置(作为出口)接口配置2、配置接口GigabitEthernet 1/0/3。选择“网络 接口”。单击GE1/0/3对应的, 按如下参数配置单击“确定”。安全区域安全区域trust模式模式路由IPv4连接类型连接类型静态IPIP地址地址10.3.0.1/255.255.255.0路由墙配置(作为出口)服务配置配置DHCP服务器。选择“网络 DHCP服务器 服务”。单击“新建”,按如下参数配置单击“确定”。路由墙配置(作为出口)安全策略配置配置安全策略,允许内部网络中的PC访问Internet。选择“策略 安全策略”。单击“新建”,按如右参数配置。单击“确定”。处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。
