1、云安全产品配置与应用云安全产品配置与应用之防火墙篇(之防火墙篇(2/32/3)防火墙操作实践防火墙操作实践本讲任务与学习目标防火墙辅助功能防火墙基本信息防火墙辅助功能查看/修改防火墙系统时间防火墙辅助功能查看防火墙运行状态防火墙辅助功能查看防火墙运行状态防火墙辅助功能查看系统参数防火墙辅助功能日志设置防火墙本身不存储日志信息,如果要保留相关日志,请安装随机光盘的日志服务器软件。然后设置日志服务器地址,防火墙就会把日志信息发送到日志服务器上防火墙辅助功能报警设置设置触发报警的安全事件管理管理员登陆或离线。重要配置发生变化。系统资源不足(如内存不足等等)。系统硬件故障(如网卡、加密卡损坏等等)。系
2、统状态异常(除资源不足和硬件损坏)。系统进行升级以及其他对外关键通信事件出现故障。系统监测到攻击发生、违反了某条访问策略,并且此条访问策略还规定了违反时必须报警等。分为:邮件报警、声音报警、SNMP、NETBIOS、控制台报警防火墙辅助功能开放服务防火墙辅助功能健康记录管理员可以定期生成、下载设备的健康记录,以便当设备出现异常时,可以帮助天融信的技术支持人员快速地定位并解决故障。防火墙辅助功能恢复出厂设置系统除了提供上节所述的设备配置维护功能外,还提供了恢复出厂默认配置的功能,以方便用户重新配置设备。恢复出厂配置后,设备的网络接口地址可能会改变,配置信息会被清除,进而导致失去连接,请用户提前做
3、好准备。防火墙辅助功能系统升级设备支持基于TFTP 协议的升级方式和专用升级工具注意:请在升级前进行系统备份!注意:请在升级前进行系统备份!请确认开放服务里是否有升级权限!请确认开放服务里是否有升级权限!防火墙辅助功能添加管理用户及修改管理员口令设备支持多级用户管理,不同类型的用户具有不同的操作权限。用户权限基本可分为三种:超级管理员、管理用户与审计用户。超级管理员是系统的内建帐号,具有全部的功能权限;管理用户可以设定和查看规则,但没有综合配置(例如分配管理员、配置维护等)的权限。审计用户权限最小,只可以查看已有规则,没有添加和修改规则的权限。防火墙辅助功能查看CDP 邻居信息网络卫士防火墙可
4、以接受CDP(Cisco Discovery Protocol)消息,并识别出相应的思科设备。使用CDP 功能的具体方法是选择 网络 CDP,网络卫士防火墙即可自动发现并识别出相邻的思科设备。防火墙辅助功能ARP及MAC地址网络卫士防火墙内部维护了一张ARP 表,维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时,会首先查看ARP表,如目的IP 已经在ARP 表中,网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。防火墙辅助功能ARP及MAC地址设置ARP 代理网络卫士防火墙提供ARP 代理功能。也就是说,当一个ARP 请求
5、是发往一个不同子网的主机地址的时候,如果该目的主机位于被代理的区域,网络卫士防火墙作为中间设备,可以代为回答该ARP 请求。这样ARP 请求端会把网络卫士防火墙的物理接口的MAC地址当成目的主机的MAC 地址,使它认为网络卫士防火墙就是目的主机,从而达到保护目的主机的作用如果选择代理类型为静态,则设置的ARP 代理将被保存;如果设置为动态,设备重启后,需要重新配置ARP 代理防火墙辅助功能ARP及MAC地址MAC地址表网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表,保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士防火墙转发数据帧时,会查看
6、虚接口MAC 地址表,如果该目的MAC 在网络卫士防火墙的MAC 地址表中,网络卫士防火墙将直接通过该MAC 地址所对应的接口发送数据帧。也可以自行添加MAC地址网络卫士防火墙允许IP 多点广播数据报文穿越网络卫士防火墙。对于多播协议,网络卫士防火墙支持IGMP V1 及IGMP V2。当防火墙工作在路由模式下,如果需要转发多播数据包,管理员必须定义多播路由,源地址源地址”是多播服务器所在的地址或地址段。是多播服务器所在的地址或地址段。“多播地址多播地址”是多播组的是多播组的IP 地址,地址,“源接源接口口”是多播流量的来源接口。如果选择是多播流量的来源接口。如果选择“加加入入”项,网络卫士防
7、火墙可以在目的接口有项,网络卫士防火墙可以在目的接口有下游多播路由器的情况下,由防火墙设备定下游多播路由器的情况下,由防火墙设备定时地向上游多播路由器发送加入报告时地向上游多播路由器发送加入报告(joining report),以保证多播报文顺利),以保证多播报文顺利地转发给下游多播路由设备,维护多播树结地转发给下游多播路由设备,维护多播树结构。构。防火墙辅助功能多播路由防火墙辅助工具-TCPDUMP抓包工具TCPDUMP-c count-i interface expression|SENDLOG-c count参数为设置抓包的个数,满足该条件后自动停止;如果省略,则一直捕获,直到手动中断。
8、-i interface参数设置捕获通过防火墙某一接口的数据包,可以设置为捕获防火墙某一接口的数据包,如-i eth1;也可以省略,则捕获通过防火墙所有接口的数据包。|sendlog参数设置将捕获的数据包以日志形式存储在防火墙中,而不显示在命令行界面上。可以在防火墙GUI界面上通过查看管理日志来显示捕获的数据包。如省略该项参数的话,则捕获的数据包默认显示在命令行界面上。expression参数有很多表达式可选,这里只以实例介绍几个常用的参数,详细信息请参见tcpdump技术资料。防火墙辅助工具-TCPDUMP抓包工具通过CONSOLE或TELNET、SSH方式进入到SYSTEM菜单下,输入TCPDUMP命令进行抓包本讲任务与学习目标
