天融信防火墙操纵.ppt

,TEL：800-810-5119 FAX：82776677 E-MAIL:,北京天融信分公司,天融信网络卫士防火墙安装使用培训,2,接入控制,思 路,部署位置？ 通讯方式? 如何管理? 路由设置? 访问控制?,我们今天的话题！,成功部署并配置防火墙,其他功能,高级应用,3,防火墙的关键概念,4,Internet,一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,5,防火墙的功能1,包过滤 URL过滤 HTTP脚本过滤、关键字过滤 邮件资源过滤 时间控制 NAT (静态、动态) MAP(PORT MAP，IP MAP) 带宽管理 IP+MAC地址绑定 实时监控 应用程序过滤（、等） 并发连接限制 DOS攻击、CC攻击,6,日志审计（自身、日志服务器、第三方） 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选） 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。,防火墙的功能2,7,防火墙的局限性,物理上的问题 断电 物理上的损坏或偷窃 人为的因素 内部人员通过某种手段窃取了用户名和密码 病毒（应用层携带的） 防火墙自身不会被病毒攻击 但不能防止内嵌在数据包中的病毒通过 内部人员的攻击 某些可以“透过”防火墙的攻击，如injection（注入） 防火墙的配置不当,8,防火墙的接口和区域,接口和区域是两个重要的概念 接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1 等。 区域：可以把区域看作是一段具有相似安全属性的网络空间。,9,物理接口的交换和路由,防火墙的一个接口，要么设置为交换接口，要么设置为路由接口 区别： 交换接口：不可以给该接口配置IP地址，该物理接口不对收到的数据做转发，大多在防火墙透明接入的情况下设置接口为交换口。 路由接口：可以为该接口配置一个或多个IP地址，大多在非透明模式下设置。,10,对 象,http:/192.168.0.2,A：192.168.0.1,B：192.168.0.2,图示中机器A访问B机器的HTTP服务，在此过程中，若要使防火墙对该访问进行严格的控制，则需要首先把机器A、机器B、HTTP服务首先定义为独立的对象，然后再在具体的访问控制策略中进行引用，由此可见，对象的重要性。 在防火墙中可定义的对象包括： 主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、URL对象、关键字对象、区域对象等。 定义对象起到一个明确“你我”的作用。,HTTP（TCP：80）,11,外部网,内部网,透明（桥接）,防火墙采用透明方式情况下，可以把防火墙简单地看做为二层交换机或HUB设备，它的部署不改变网络拓扑结构及配置，防火墙调试维护相对简单。 原由网络及业务运行正常，只是需要使用FW进行访问控制，不需要FW对数据进行路由或转发。 特点：对原有网络无影响 维护配置简单,同一网段,12,Internet,内部网,NAT（地址转换、源地址转换）,内部私有地址无法访问Internet,在内部用户访问Internet的时候需要把内部私有地址翻译成为合法的公有地址。 特点：节省公网IP 隐藏内部网络结构 一对一、多对一、多对多,私有地址,不同网段,公有地址,私有地址,公有地址,NAT,13,Internet,内部网,MAP（地址映射、端口映射、目的地址转换）,Internet用户无法直接访问私有地址，在Internet用户需要访问内部私有地址机器的时候，需要把一个公有的地址翻译给内部私有的地址，Internet用户通过访问该公网地址以达到访问内部私有地址服务器的目的。 也可以只把某一公网IP的某一个或多个端口映射给某一IP的某一或多个端口（端口映射）。 特点： 1，隐藏网络结构，避免直接访问 2，节省IP（仅限端口映射） 3，一对一，多对一，一对多（仅限端口映射）,私有地址,不同网段,公有地址,私有地址,公有地址,MAP,14,规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性,顺 序,15,防火墙的接入控制,16,硬件一台 外形：19寸1U标准机箱,产品外形,接COM口,管理机,17,CONSOLE线缆 UTP5双绞线 - 直通(1条，颜色:灰色) - 交叉(1条，颜色:红色) 使用: 直通:与HUB/SWITCH 交叉:与路由器/主机（一些高端交换机也可以通过交叉线与 防火墙连接） 软件光盘 上架附件,产品提供的附件及线缆使用方式,18,防火墙提供的接入模式,透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。,19,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：202.99.88.3,ETH2：202.99.88.4,202.99.88.10/24 网段,202.99.88.20/24 网段,外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,20,Internet,内部网,202.99.88.1,ETH0：202.99.88.2,ETH1：10.1.1.2,ETH2：192.168.7.2,10.1.1.0/24 网段,192.168.7.0/24 网段,外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,路由模式的典型应用,21,综合接入模式的典型应用,ETH1：192.168.7.102,ETH2：192.168.7.2,192.168.1.100/24 网段,192.168.7.0/24 网段,此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24 网段,ETH0：202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,22,串口(console)管理方式： 管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。 TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent WEBUI管理方式： 超级管理员:superman，口令:talent 管理器管理方式： 超级管理员:superman，口令:talent，集中管理 SNMP管理 支持第三方管理软件,管理方式,23,防火墙的CONSOLE管理方式,超级终端参数设置：,24,防火墙的CONSOLE管理方式,防火墙的命令菜单：,25,防火墙的CONSOLE管理方式,输入helpmode chinese命令 可以看到中文化菜单,26,防火墙出厂管理配置,27,防火墙的WEBUI管理方式,在浏览器输入：HTTPS:/192.168.1.254，看到下列提示，选择“是”,28,防火墙的WEBUI管理方式,输入用户名和密码后，按“提交”按钮,29,防火墙的WEBUI管理方式,30,防火墙的管理方式打开防火墙管理端口,注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙 的服务端口，系统默认打开“HTTP”方式。,在“系统”“系统服务”中选择“启动”即可,31,防火墙的TELNET管理方式,通过TELNET方式管理防火墙：,32,在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制),33,常见病毒使用端口列表,69/UDP135-139/TCP135-139/UDP 445/TCP445/UDP4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP ICMP,关掉不必要的PING,34,常见路由协议使用端口列表,RIP：UDP-520 RIP2：UDP-520 OSPF：IP-89 IGRP：IP-9 EIGRP：IP-88 HSRP（Cisco的热备份路由协议）：UDP-1985 BGP：(Border Gateway Protocol边界网关协议，主要 处理各ISP之间的路由传递，一般用在骨干网上) TCP-179,35,网络卫士防火墙的基本配置过程：,1、串口(console)下配置： 配置接口IP地址，查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置 2、在串口下保存配置：用SAVE命令 3、推荐使用WEBUI方式对防火墙进行各种配置 4、配置具体的访问控制规则及其日常管理维护,防火墙的配置过程,提示：一般先设置并调整网络区域，然后再定义各种对象(网络对象 、特殊对象等)，然后在添加访问策略及地址转换策略，最后进行参数 调整及增加一些辅助的功能。,36,防火墙的基本应用,配置防火墙接口IP及区域默认权限 设置路由表及默认网关 定义防火墙的路由模式 定义防火墙的透明模式 定义网络对象 制定访问控制策略 制定地址转换策略（通讯策略） 保存和导出配置,37,防火墙的配置案例,38,防火墙配置例1,配置案例1（路由模式）：,INTERNET,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求： 内网可以访问互联网 服务器对外网做映射 映射地址为202.99.27.249 外网禁止访问内网,WEB服务器,防火墙接口分配如下： ETH0接INTERNET ETH1接内网 ETH2接服务器区,39,定义网络接口,在CONSOLE下，定义接口IP地址,输入network命令进入到network子菜单,定义防火墙每个接口的IP地址，注意子网掩码不要输错,40,定义区域及添加区域管理权限,define area add name area_eth1 attribute eth1 access on define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any,系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：,添加ETH1接口为“AREA_ETH1”区域； ETH2接口为“AREA_ETH2”区域,对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）,定义你希望从哪个接口（区域）管理防火墙,41,调整区域属性,进入防火墙管理界面，点击”网络“ ”物理接口“可以看到物理接口定义结果：,点击每个接口的”其他”按钮可以修改每个接口的名称,注：防火墙每个接口的默认状态均为“路由”模式,42,定义区域的缺省权限,在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“,43,设置防火墙缺省网关,在“网络”“静态路由”添加缺省网关,44,设置防火墙缺省网关,设置缺省网关时， 源和目的一般为全“0” 防火墙的缺省网关在静态 路由时，必须放到最后一条 路由,45,定义对象主机对象,点击：”对象“地址对象”“主机对象”，点击右上角“添加配置”,46,定义对象主机对象,主机对象中可以定义多个IP地址,47,定义对象地址对象和子网对象,48,制定访问规则,第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”； 目的可以选择目的区域“AERA_ETH0”，也可以是“ANY范围”,49,定义访问规则,第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80 端口。源选择“AERA_ETH0”、目的选择”WEB服务器MAP“地址。转换 前目的选择”WEB服务器“（服务器真实的IP地址）,50,定义访问规则,定义好的两条访问策略,51,定义地址转换（通信策略）,根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网 要访问WEB服务器的映射地址，也要定义MAP策略,定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域,52,定义地址转换（通信策略）,转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址； 也可以选择定义好的“NAT地址池”（在“对象”“地址范围中定义”）,使用地址池,使用防火墙接口,53,定义地址转换（通信策略）,配置MAP（映射）策略,源地址可以选择区域 “AERA_ETH0”;也可以 选择“ANY”,目的必须选择服务器映射 后的IP（合法IP） 选择已定义的 “WEB服务器MAP”,54,定义地址转换（通信策略）,目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实 IP地址），选择“WEB服务器”主机对象即可。,55,定义地址转换（通信策略）,设置好的地址转换策略（通信策略） 第一条为内网访问外网做NAT； 第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服 务器的真实IP,56,配置保存,点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定” 即可保存当前配置,57,查看配置、导出配置,在“系统”“配置维护”中进行防火墙当前配置的保存、下载、上传等操作,58,查看配置、导出配置,按照下图中数字所示顺序即可把防火墙配置导出到本地,59,防火墙配置例2,配置案例1（透明模式）：,INTERNET,202.99.27.193,防火墙VLAN （透明域） IP地址 202.99.27.252,应用需求： 内网可以访问互联网 外网可以访问WEB服务器 外网禁止访问内网,WEB服务器,防火墙接口分配如下： ETH0接INTERNET ETH1接内网 ETH2接服务器区,202.99.27.0/24,202.99.27.250,60,定义区域及添加区域管理权限,define area add name area_eth1 attribute eth1 access on define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any,系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：,添加ETH1接口为“AREA_ETH1”区域； ETH2接口为“AREA_ETH2”区域,对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）,定义你希望从哪个接口（区域）管理防火墙,61,登陆防火墙定义 VLAN,首先通过防火墙的缺省IP：192.168.1.254登陆防火墙 第一步，定义一个VLAN。点击“网络”“VLAN”“添加/删除VLAN范围”,62,定义VLAN地址,添加完VLAN后，点击“地址信息”下的图标设置VLAN IP地址,63,定义VLAN地址,定义好的VLAN地址,64,定义加入VLAN中的物理接口（透明域）,分别点击属于VLAN中物理接口的“交换”图标，把物理接口的模式改为“交换”,点击后，按默认值即可,65,定义VLAN中的物理接口（透明域）,当把ETH0接口的模式改为“交换”后，管理会丢失。因为此接口设为“交换”后， 其原来的IP（192.168.1.254)地址会自动删除。这时，可以通过刚才定义的VLAN 地址进行管理。 下图中可以看到添加到VLAN1中的三个接口都没有IP，模式为“交换”,66,定义区域的缺省权限,在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“,67,定义对象,定义主机对象（WEB服务器）,定义内网对象（你的内网网段）,68,定义访问策略,注：透明模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。 （当然，如果用户有需求，也可以设置相关NAT策略和MAP策略）,69,防火墙配置例3,配置案例1（综合模式）：,INTERNET,202.99.27.193,防火墙VLAN （透明域） IP地址 202.99.27.252,应用需求： 内网可以访问互联网 外网可以访问WEB服务器 外网禁止访问内网,WEB服务器,防火墙接口分配如下： ETH0接INTERNET ETH1接内网 ETH2接服务器区,192.168.16.0/24,202.99.27.250,192.168.16.254,70,定义网络接口,在CONSOLE下，定义接口IP地址,1、输入network命令进入到network子菜单，定义防火墙内网接口的IP地址,71,定义区域及添加区域管理权限,define area add name area_eth1 attribute eth1 access on define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any pf service add name gui area area_eth1 addressname any pf service add name ping area area_eth1 addressname any pf service add name telnet area area_eth1 addressname any,系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：,添加ETH1接口为“AREA_ETH1”区域； ETH2接口为“AREA_ETH2”区域,对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）,定义你希望从哪个接口（区域）管理防火墙,72,登陆防火墙定义 VLAN,通过防火墙的内网区域的IP：192.168.16.254登陆防火墙 定义一个VLAN。点击“网络”“VLAN”“添加/删除VLAN范围”,73,定义VLAN的IP地址,设置VLAN地址,74,定义加入VLAN中的物理接口（透明域）,75,设置防火墙缺省网关,注意：如果防火墙的 默认网关在VLAN（透明域） 中，则不需要指定防火墙接口。 防火墙自动匹配到VLAN,76,定义区域的缺省权限,在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“,77,定义对象,定义主机对象（WEB服务器）,定义内网对象（你的内网网段）,78,定义NAT转换地址,内网访问外网肯定要做NAT，但是由于外网和SSN区是透明。其物理接口 并没有设置IP地址。在“地址转换”策略中不能直接选择外网的物理接口做 地址转换。所以需要定义一个NAT转换地址。,79,定义访问策略和地址转换策略,定义访问控制策略,定义地址转换策略,80,防火墙其他设置,81,网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 具体请见下表：,防火墙的工作状态,82,查看防火墙基本信息,83,查看/修改防火墙系统时间,84,查看防火墙运行状态,85,查看系统参数,86,日志设置,防火墙本身只存储少量日志信息，如果要保留相关日志，请安装随机光盘 的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息 发送到日志服务器上,87,报警设置,设置触发报警的安全事件,管理管理员登陆或离线。 重要配置发生变化。 系统资源不足（如内存不足等等）。 系统硬件故障（如网卡、加密卡损坏等等）。 系统状态异常（除资源不足和硬件损坏）。 系统进行升级以及其他对外关键通信事件出现故障。 系统监测到攻击发生、违反了某条访问策略，并且此条访问 策略还规定了违反时必须报警等。,分为：邮件报警、声音报警、SNMP、NETBIOS、控制台报警,88,开放服务,89,健康记录,管理员可以定期生成、下载设备的健康记录，以便当设备出现异常时，可以帮助天融信的技术支持人员快速地定位并解决故障。,90,恢复出厂设置,系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。,91,系统升级,设备支持基于TFTP 协议的升级方式和专用升级工具,注意：请在升级前进行系统备份！,92,添加管理用户及修改管理员口令,设备支持多级用户管理，不同类型的用户具有不同的操作权限。用户权限基本 可分为三种：超级管理员、管理用户与审计用户。超级管理员是系统的内建帐 号，具有全部的功能权限；管理用户可以设定和查看规则，但没有综合配置 （例如分配管理员、配置维护等）的权限。审计用户权限最小，只可以查看已 有规则，没有添加和修改规则的权限。,超级管理员是系统内建帐号，用户名是superman，不可以修改，用户对其帐号维护仅限于口令的修改,93,查看CDP 邻居信息,网络卫士防火墙可以接受CDP（Cisco Discovery Protocol）消息，并识别出相应的思科设备。使用CDP 功能的具体方法是选择 网络 CDP，网络卫士防火墙即可自动发现并识别出相邻的思科设备。,94,ARP及MAC地址,网络卫士防火墙内部维护了一张ARP 表，维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时，会首先查看ARP表，如目的IP 已经在ARP 表中，网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。,选项“限制ARP 请求个数”，设定允许ARP 请求的上限值。,95,ARP及MAC地址,设置IPMAC地址绑定,网络卫士防火墙内部维护了一张ARP 表，维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。,在ARP表中“定义”好后，系统自动生成“主机对象”（包含 了IP及MAC地址,96,ARP及MAC地址,设置ARP 代理,网络卫士防火墙提供ARP 代理功能。也就是说，当一个ARP 请求是发往一个不同子网的主机地址的时候，如果该目的主机位于被代理的区域，网络卫士防火墙作为中间设备，可以代为回答该ARP 请求。这样ARP 请求端会把网络卫士防火墙的物理接口的MAC地址当成目的主机的MAC 地址，使它认为网络卫士防火墙就是目的主机，从而达到保护目的主机的作用,如果选择代理类型为静态，则设置的ARP 代理将被保存；如果设置为动态，设备重启后，需要重新配置ARP 代理,97,ARP及MAC地址,MAC地址表,网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表，保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士防火墙转发数据帧时，会查看虚接口MAC 地址表，如果该目的MAC 在网络卫士防火墙的MAC 地址表中，网络卫士防火墙将直接通过该MAC 地址所对应的接口发送数据帧。,也可以自行添加 MAC地址,98,TCPDUMP抓包工具,TCPDUMP -c count -i interface expression | SENDLOG,-c count参数为设置抓包的个数，满足该条件后自动停止；如果省略， 则一直捕获，直到手动中断。 -i interface参数设置捕获通过防火墙某一接口的数据包，可以设置为 捕获防火墙某一接口的数据包，如-i eth1；也可以省略，则捕获通过防 火墙所有接口的数据包。 | sendlog参数设置将捕获的数据包以日志形式存储在防火墙中，而不显 示在命令行界面上。可以在防火墙GUI界面上通过查看管理日志来显示 捕获的数据包。如省略该项参数的话，则捕获的数据包默认显示在命令行 界面上。 expression参数有很多表达式可选，这里只以实例介绍几个常用的参数， 详细信息请参见tcpdump技术资料。,99,TCPDUMP抓包工具,通过CONSOLE或TELNET、SSH方式进入到SYSTEM菜单下，输入 TCPDUMP命令进行抓包,100,长连接的应用,在访问规则中，对于TCP的连接可以设置为普通连接，也可以设置为长连接，一般地防火墙对通信空闲一定时间的TCP连接将自动断开，以提高安全性和释放通信资源，但某些应用所建立的TCP连接需要长时期保持，即使处于空闲状态！ 普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累 得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接， 否则连接不会被删除。主要应用在数据库和视频系统。,101,长连接的应用,长连接在访问规则中的应用：,注意：只对需要的TCP协议的单个或多个端口使用长连接，不能默认对所有TCP 端口都设置为长连接。不能对非TCP协议的端口做长连接。否则，会大量 消耗掉防火墙的系统资源。,102,自定义端口,防火墙内置一些标准服务端口，用以在访问规则中引用。但有时用户的系统 没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。,103,防火墙配置自定义端口,104,应用端口绑定和TCP连接的子连接,如果某种应用层协议使用了非标准的端口时，用户需要将这些非标准端口与应 用协议进行绑定。这样，防火墙在对这个应用层协议进行深度内容检测时，才 会认为这些数据包是合法报文并进行检测，否则将不进行深度过滤检测并按照 访问控制规则处理数据包。,另外，在一些应用中（如：FTP、ORACLE）会包含一些子连接。也就是说 某些应用在建立TCP连接时，只需要一个监听端口，但传送数据时会使用随机 的端口进行数据传输。如果在防火墙访问策略中只开放了监听端口 （如：ORACLE一般只开放TCP1521端口），其他端口禁止访问。那么，将导 致数据无法传送。,105,应用端口绑定和TCP连接的子连接,在“防火墙引擎”“深度过滤”“应用端口绑定”中设置，系统默认只打开了 “TFTP”协议,106,应用端口绑定和TCP连接的子连接,点击“重置策略”按钮，就可以上述防火墙支持的应用层协议,网络卫士防火墙目前需要进行应用端口绑定的应用层协议类型如下： HTTP、FTP、TFTP、SMTP、POP3、MMS、H225、H225RAS、SIP、 RTSP、SQLNET。,107,阻断策略,通过设置报文阻断策略可以对IP协议和非IP协议进行控制。当设备接收到一个 数据报文后，会顺序匹配报文阻断策略，如果没有匹配到任何策略 ，则会依据默认规则对该报文进行处理。,从具体应用上，一般用来阻断一些病毒传播端口,阻断策略的优先级高于“访问控制策略,108,陕西省金财工程应用,109,110,谢谢！,111,防火墙的高级应用,DPI(深度报文检测） 用户认证 Trunk环境及VLAN间的路由 策略路由和动态路由 全面支持DHCP ADSL拨号 链路备份 IDS联动 双机热备 服务器负载均衡 多播,112,DPI（报文深度过滤）,深度过滤策略可以实现对应用层协议的内容进行检测和过滤，目前深度过滤 支持的应用层协议包括:FTP、HTTP、POP3 以及SMTP。深度过滤策略设置好 以后不能够单独生效，用户必须在访问控制规则中引用深度过滤策略，匹配了 该条访问控制规则的数据包才会进行深度内容检测处理。,首先要打开DPI模块，在“防火墙引擎”“深度过滤”“应用端口绑定”中打开,选择启动即可,113,DPI（报文深度过滤）设置关键字对象,关键字的设置是进行深度内容检测的基础,正则表达式说明： TOS中的关键字的正则格式与FW4000中的通配符区别很大，如果定义不当，会造成深度检测功能无法正常实现。 字符 . 匹配除 “n” 之外的任何单个字符。要匹配包括 n 在内的任何字符，请使用象 .n 的模式； 字符 *匹配前面的子表达式零次或多次。例如，zo* 能匹配 z 以及 zoo。 * 等价于0,； 字符 将下一个字符标记为一个特殊字符、或后向引用、或转义。例如，n 匹配字符 n。n 匹配一个换行符，( 则匹配 ( 。,114,DPI（报文深度过滤）设置关键字对象,正则表达式举例： 如：.rar和.exe等，正则定义：.* .exe和.* .rar 如：法轮功，正则定义：.* 法轮功 如：新浪网站，正则定义：.*sina,115,Step1：保证设备已经开启HTTP应用协议过滤,116,Step2：配置关键字(特殊字符),本例的正则对象为.*.torrent，可以看出这里使用了2个“”其中第1个在TOS系统读取配置文件时会自动删除掉，真正起作用的是第2个，所以在定义包括特殊字符的关键字时要使用2个连写才能生效。,117,Step2：配置关键字(普通字符),118,Step3：定义文件对象,119,Step4：配置HTTP访问策略,120,Step5：在访问策略中引用DPI,121,Step6：配置完成 保存、刷新连接,122,HTTP 对象设置中的部分参数说明如下：,DPI（报文深度过滤）HTTP对象参数,123,DPI（报文深度过滤） 关键字过滤,例：我们定义（网页）关键字过滤，禁止出现有“新闻”字样页面打开,124,DPI（报文深度过滤） 关键字过滤,定义好关键字之后，也必须在“HTTP”策略中进行设置,125,DPI（报文深度过滤） URL过滤,最后在访问规则中引用定义好“DPI”策略,注意：服务必须 选择“HTTP”,126,DPI（报文深度过滤） 文件名过滤,例：定义关键字，禁止下载” md5summer.exe文件,127,定义文件对象,DPI（报文深度过滤） 文件名过滤,“文件”，用来定义关键字的读写属性（读、写、执行）。,文件对象的权限设置借鉴了文件系统的权限控制，支持三种访问权限，及其多种组合： 读，即允许对目标文件对象的读操作，例如FTP 的下载文件，HTTP 中的“get” 操作，POP3 中的收邮件。 写，即允许对目标文件对象的写操作，例如FTP 中的上传文件，HTTP 中的“post” 操作，SMTP 中的发邮件。 执行，即允许执行包括目标文件对象的程序，如CGI 程序。 如果“读”、“写”两个选项被同时选中，则表示允许任何访问。如所有三个选项 都没被选中，表示禁止访问。,128,DPI（报文深度过滤） 文件名过滤,设置文件对象,注意：没有选取读（GET）权限,129,DPI（报文深度过滤） 文件名过滤,定义“FTP”策略,注意：文件的权限必须和“文件对象”中设置的一样,130,DPI（报文深度过滤） 文件名过滤,最后在访问规则中引用定义好“DPI”策略,注意：服务必须 选择“FTP”,131,DPI（报文深度过滤） 文件名过滤,可以看到通过 FTP无法下载 MD5SUMMER.EXE 这个文件,132,DPI（报文深度过滤） 邮件过滤（POP3）,定义一个关键字为“收件人”地址 *,133,DPI（报文深度过滤） 邮件过滤（POP3）,定义“文件对象”，不选择“读”权限,没有选择“读”权限,134,DPI（报文深度过滤） 邮件过滤（POP3）,定义POP3策略，只选择定义好的”收件人“,135,DPI（报文深度过滤） 邮件过滤（POP3）,在”访问控制规则中的DPI策略中引用,注意：协议必须选择POP3,136,DPI（报文深度过滤） 邮件过滤（POP3）,所有后缀为“”的邮箱都收不了邮件了,137,DPI（报文深度过滤） 邮件过滤（SMTP）,定义一个关键字为“发件人”地址 *,138,DPI（报文深度过滤） 邮件过滤（SMTP）,定义“文件对象”，不选择“写”权限,没有选择“写”权限,139,DPI（报文深度过滤） 邮件过滤（SMTP）,定义SMTP策略，只选择定义好的”发件人“,140,DPI（报文深度过滤） 邮件过滤（SMTP）,在”访问控制规则中的DPI策略中引用,注意：协议必须选择SMTP,141,DPI（报文深度过滤） 邮件过滤（SMTP）,所有后缀为“”的邮箱都发不了邮件了,142,用户认证,网络卫士防火墙支持以下认证方式或协议： 本地认证（网络卫士防火墙内置的用户数据库） RADIUS 认证（使用RADIUS 第三方认证服务器） TACACS 认证（使用TACACS 第三方认证服务器） 证书认证（使用标准CA 证书认证） SecurID 认证（使用SecurID 方式认证） LDAP 认证（使用LDAP 认证） 域认证（使用WINDOWS 域认证）,网络卫士防火墙系统可以实现有效、快速、全面的用户及设备身份的管理， 解决以往简单认证方式带来的弊端，保证用户访问和设备之间访问的安全性； 用户通过网络卫士防火墙认证系统，可以通过简洁方便的模式实现对多种协议 、多种类型、多种方式的用户实现认证，用户通过简单统一的认证模式便可以 实现全方位的认证。,143,用户认证,例：设置一台Raduis服务器,144,TRUNK环境及VLAN间的路由,防火墙支持TRUNK环境，也可以做VLAN间的路由,例一：,交换机有两个VLAN，通过TRUN