天融信防火墙操作.ppt

天融信网络卫士防火墙安装使用培训接入控制接入控制接入控制接入控制案例学习案例学习案例学习案例学习思思 路路部署位置？部署位置？通讯方式通讯方式?如何管理如何管理?路由设置路由设置?访问控制访问控制?我们今天的话题我们今天的话题我们今天的话题我们今天的话题！成功部署并配置成功部署并配置成功部署并配置成功部署并配置防火墙防火墙防火墙防火墙其他功能其他功能其他功能其他功能金财部署金财部署金财部署金财部署关键概念关键概念关键概念关键概念高级应用高级应用高级应用高级应用防火墙的关键概念防火墙的关键概念InternetInternet一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同一种高级访问控制设备，置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合，之间的一系列部件的组合，之间的一系列部件的组合，之间的一系列部件的组合，它是不同网络安全域间通信流的它是不同网络安全域间通信流的它是不同网络安全域间通信流的它是不同网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道，能根据企业有关的安全政策，能根据企业有关的安全政策，能根据企业有关的安全政策，能根据企业有关的安全政策控控控控制制制制（允许、拒绝、监视、记录）进出网络的访问行为。（允许、拒绝、监视、记录）进出网络的访问行为。（允许、拒绝、监视、记录）进出网络的访问行为。（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHost CHost BTCPPassHost CHost ADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义防火墙定义内部网内部网内部网内部网防火墙的功能防火墙的功能1包过滤 URL过滤HTTP脚本过滤、关键字过滤邮件资源过滤时间控制NAT(静态、动态)MAP(PORT MAP，IP MAP)带宽管理IP+MAC地址绑定实时监控应用程序过滤（、等）并发连接限制DOS攻击、CC攻击日志审计（自身、日志服务器、第三方）用户+IP绑定支持自身认证和第三方认证入侵检测VPN(可选)病毒(可选）安全联动双机热备负载均衡支持VLAN间路由、生成树协议。防火墙的功能防火墙的功能2 2防火墙的局限性防火墙的局限性物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒（应用层携带的）防火墙自身不会被病毒攻击但不能防止内嵌在数据包中的病毒通过内部人员的攻击某些可以“透过”防火墙的攻击，如injection（注入）防火墙的配置不当防火墙的接口和区域防火墙的接口和区域接口和区域是两个重要的概念接口和区域是两个重要的概念接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1 等。区域：可以把区域看作是一段具有相似安全属性的网络空间。物理接口的交换和路由物理接口的交换和路由防火墙的一个接口，要么设置为交换接口，要么设置为路由接口防火墙的一个接口，要么设置为交换接口，要么设置为路由接口区别：交换接口：不可以给该接口配置IP地址，该物理接口不对收到的数据做转发，大多在防火墙透明接入的情况下设置接口为交换口。路由接口：可以为该接口配置一个或多个IP地址，大多在非透明模式下设置。对对 象象A：B：图示中机器A访问B机器的HTTP服务，在此过程中，若要使防火墙对该访问进行严格的控制，则需要首先把机器A、机器B、HTTP服务首先定义为独立的对象，然后再在具体的访问控制策略中进行引用，由此可见，对象的重要性。在防火墙中可定义的对象包括：主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、URL对象、关键字对象、区域对象等。定义对象起到一个明确“你我”的作用。HTTP（TCP：80）外部网外部网外部网外部网内部网内部网内部网内部网透明（桥接）透明（桥接）防火墙采用透明方式情况下，可以把防火墙简单地看做为二层交换机或HUB设备，它的部署不改变网络拓扑结构及配置，防火墙调试维护相对简单。原由网络及业务运行正常，只是需要使用FW进行访问控制，不需要FW对数据进行路由或转发。特点：对原有网络无影响 维护配置简单同一网段InternetInternet内部网内部网内部网内部网NAT（地址转换、源地址转换）（地址转换、源地址转换）内部私有地址无法访问Internet,在内部用户访问Internet的时候需要把内部私有地址翻译成为合法的公有地址。特点：节省公网IP 隐藏内部网络结构 一对一、多对一、多对多私有地址私有地址私有地址私有地址不同网段公有地址公有地址公有地址公有地址私有地址私有地址私有地址私有地址公有地址公有地址公有地址公有地址NATNATInternetInternet内部网内部网内部网内部网MAPMAP（地址映射、端口映射、目的地址转换）（地址映射、端口映射、目的地址转换）Internet用户无法直接访问私有地址，在Internet用户需要访问内部私有地址机器的时候，需要把一个公有的地址翻译给内部私有的地址，Internet用户通过访问该公网地址以达到访问内部私有地址服务器的目的。也可以只把某一公网IP的某一个或多个端口映射给某一IP的某一或多个端口（端口映射）。特点：1，隐藏网络结构，避免直接访问2，节省IP（仅限端口映射）3，一对一，多对一，一对多（仅限端口映射）私有地址私有地址私有地址私有地址不同网段不同网段不同网段不同网段公有地址公有地址公有地址公有地址私有地址私有地址私有地址私有地址公有地址公有地址公有地址公有地址MAPMAP规则列表需要注意的问题：规则列表需要注意的问题：1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性顺顺 序序防火墙的接入控制防火墙的接入控制 硬件一台硬件一台 外形：外形：外形：外形：19191919寸寸寸寸1 1 1 1U U U U标准机箱标准机箱标准机箱标准机箱产品外形产品外形接接COM口口管理机管理机直通直通线线交叉线交叉线串口线串口线PCRouteSwich、Hub交叉线交叉线CONSOLECONSOLE线缆线缆UTP5UTP5双绞线双绞线 -直通直通(1 1条，颜色条，颜色:灰色灰色)-交叉交叉(1(1条，颜色条，颜色:红色红色)使用使用:直通直通:与与HUB/SWITCHHUB/SWITCH交叉交叉:与路由器与路由器/主机（主机（一些高端交换机也可以通过交叉线与一些高端交换机也可以通过交叉线与 防火墙连接）防火墙连接）软件光盘软件光盘上架附件上架附件产品提供的附件产品提供的附件及线缆使用方式及线缆使用方式防火墙提供的接入模式防火墙提供的接入模式透明模式(提供桥接功能)在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。路由模式(静态路由功能)在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。综合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。说明：说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。影响防火墙的访问控制功能。InternetInternet内部网内部网内部网内部网ETH0：ETH1：ETH2：网段网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用透明模式的典型应用InternetInternet内部网内部网内部网内部网ETH0：ETH1：ETH2：网段网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。路由模式的典型应用路由模式的典型应用综合接入模式的典型应用综合接入模式的典型应用ETH1：ETH2：网段网段网段网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式网段网段ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式串口串口(console)console)管理方式：管理方式：管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。TELNETTELNET管理方式：管理方式：模拟console管理方式，用户名superman，口令：talentSSHSSH管理方式：管理方式：模拟console管理方式，用户名superman，口令：talentWEBUIWEBUI管理方式：管理方式：超级管理员:superman，口令:talent管理器管理方式：管理器管理方式：超级管理员:superman，口令:talent，集中管理SNMPSNMP管理管理 支持第三方管理软件管理方式管理方式防火墙的防火墙的CONSOLE管理方式管理方式超级终端参数设置：防火墙的防火墙的CONSOLE管理方式管理方式防火墙的命令菜单：防火墙的防火墙的CONSOLE管理方式管理方式输入helpmode chinese命令可以看到中文化菜单防火墙出厂管理配置防火墙出厂管理配置防火墙的防火墙的WEBUI管理方式管理方式在浏览器输入：，看到下列提示，选择“是”防火墙的防火墙的WEBUI管理方式管理方式输入用户名和密码后，按“提交”按钮防火墙的防火墙的WEBUI管理方式管理方式防火墙的管理方式打开防火墙管理端口防火墙的管理方式打开防火墙管理端口注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙 的服务端口，系统默认打开“HTTP”方式。在“系统”“系统服务”中选择“启动”即可防火墙的防火墙的TELNET管理方式管理方式通过TELNET方式管理防火墙：在安装防火墙之前必须弄清楚的几个问题：在安装防火墙之前必须弄清楚的几个问题：1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)常见病毒使用端口列表常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP1068/TCP5554/TCP9995/TCP9996/TCPICMP关掉不必要的PING常见路由协议使用端口列表常见路由协议使用端口列表RIP：UDP-520RIP2：UDP-520OSPF：IP-89IGRP：IP-9EIGRP：IP-88HSRP（Cisco的热备份路由协议）：UDP-1985BGP：(Border Gateway Protocol边界网关协议，主要 处理各ISP之间的路由传递，一般用在骨干网上)TCP-179网络卫士防火墙的基本配置过程：1 1、串口(console)下配置：配置接口IP地址，查看或调整区域管理权限。当然也可以通过命 令的方式在串口下进行防火墙配置2、在串口下保存配置：用SAVE命令3、推荐使用WEBUI方式对防火墙进行各种配置4、配置具体的访问控制规则及其日常管理维护防火墙的配置过程防火墙的配置过程提示：提示：一般先设置并调整网络区域，然后再定义各种对象(网络对象 、特殊对象等)，然后在添加访问策略及地址转换策略，最后进行参数 调整及增加一些辅助的功能。防火墙的基本应用防火墙的基本应用 配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略（通讯策略）保存和导出配置防火墙的配置案例防火墙的配置案例防火墙配置例防火墙配置例1配置案例1（路由模式）：INTERNET应用需求：内网可以访问互联网服务器对外网做映射 映射地址为外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区定义网络接口定义网络接口在CONSOLE下，定义接口IP地址 输入network命令进入到network子菜单定义防火墙每个接口的IP地址，注意子网掩码不要输错定义区域及添加区域管理权限定义区域及添加区域管理权限define area add name area_eth1 attribute eth1 access ondefine area add name area_eth2 attribute eth2 access onpf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add name ping area area_eth1 addressname anypf service add name telnet area area_eth1 addressname any系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙调整区域属性调整区域属性进入防火墙管理界面，点击”网络“”物理接口“可以看到物理接口定义结果：点击每个接口的”其他”按钮可以修改每个接口的名称注：防火墙每个接口的默认状态均为注：防火墙每个接口的默认状态均为“路由路由”模式模式定义区域的缺省权限定义区域的缺省权限在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“设置防火墙缺省网关设置防火墙缺省网关在“网络”“静态路由”添加缺省网关设置防火墙缺省网关设置防火墙缺省网关设置缺省网关时，源和目的一般为全“0”防火墙的缺省网关在静态防火墙的缺省网关在静态路由时，必须放到最后一条路由时，必须放到最后一条路由路由定义对象主机对象定义对象主机对象点击：”对象“地址对象”“主机对象”，点击右上角“添加配置”定义对象主机对象定义对象主机对象主机对象中可以定义多个IP地址定义对象地址对象和子网对象定义对象地址对象和子网对象制定访问规则制定访问规则第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”；目的可以选择目的区域“AERA_ETH0”，也可以是“ANY范围”定义访问规则定义访问规则第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器MAP“地址。转换前目的选择”WEB服务器“（服务器真实的IP地址）定义访问规则定义访问规则定义好的两条访问策略定义地址转换（通信策略）定义地址转换（通信策略）根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网要访问WEB服务器的映射地址，也要定义MAP策略 定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域定义地址转换（通信策略定义地址转换（通信策略）转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址；也可以选择定义好的“NAT地址池”（在“对象”“地址范围中定义”）使用地址池使用地址池使用防火墙接口使用防火墙接口定义地址转换（通信策略）定义地址转换（通信策略）配置MAP（映射）策略源地址可以选择区域“AERA_ETH0”;也可以选择“ANY”目的必须选择服务器映射后的IP（合法IP）选择已定义的“WEB服务器MAP”定义地址转换（通信策略定义地址转换（通信策略）目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实IP地址），选择“WEB服务器”主机对象即可。定义地址转换（通信策略定义地址转换（通信策略）设置好的地址转换策略（通信策略）第一条为内网访问外网做NAT；第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服 务器的真实IP配置保存配置保存点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定”即可保存当前配置查看配置、导出配置查看配置、导出配置在“系统”“配置维护”中进行防火墙当前配置的保存、下载、上传等操作查看配置、导出配置查看配置、导出配置按照下图中数字所示顺序即可把防火墙配置导出到本地防火墙配置例防火墙配置例2配置案例1（透明模式）：INTERNET 防火墙VLAN（透明域）IP地址应用需求：内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区定义区域及添加区域管理权限定义区域及添加区域管理权限define area add name area_eth1 attribute eth1 access ondefine area add name area_eth2 attribute eth2 access onpf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add name ping area area_eth1 addressname anypf service add name telnet area area_eth1 addressname any系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙登陆防火墙定义登陆防火墙定义 VLAN首先通过防火墙的缺省IP：登陆防火墙第一步，定义一个VLAN。点击“网络”“VLAN”“添加/删除VLAN范围”定义定义VLAN地址地址添加完VLAN后，点击“地址信息”下的图标设置VLAN IP地址定义定义VLAN地址地址定义好的VLAN地址定义加入定义加入VLAN中的物理接口（透明域）中的物理接口（透明域）分别点击属于VLAN中物理接口的“交换”图标，把物理接口的模式改为“交换”点击后，按默认值即可定义定义VLAN中的物理接口（透明域）中的物理接口（透明域）当把ETH0接口的模式改为“交换”后，管理会丢失。因为此接口设为“交换”后，其原来的IP（192.168.1.254)地址会自动删除。这时，可以通过刚才定义的VLAN地址进行管理。下图中可以看到添加到VLAN1中的三个接口都没有IP，模式为“交换”定义区域的缺省权限定义区域的缺省权限在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“定义对象定义对象定义主机对象（WEB服务器）定义内网对象（你的内网网段）定义访问策略定义访问策略注：注：透明模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。（当然，如果用户有需求，也可以设置相关（当然，如果用户有需求，也可以设置相关NATNAT策略和策略和MAPMAP策略）策略）防火墙配置例防火墙配置例3配置案例1（综合模式）：INTERNET 防火墙防火墙VLANVLAN（透明域）（透明域）IPIP地址地址应用需求：内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区定义网络接口定义网络接口在CONSOLE下，定义接口IP地址1、输入network命令进入到network子菜单，定义防火墙内网接口的IP地址定义区域及添加区域管理权限定义区域及添加区域管理权限define area add name area_eth1 attribute eth1 access ondefine area add name area_eth2 attribute eth2 access onpf service add name webui area area_eth1 addressname anypf service add name gui area area_eth1 addressname anypf service add name ping area area_eth1 addressname anypf service add name telnet area area_eth1 addressname any系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙登陆防火墙定义登陆防火墙定义 VLAN通过防火墙的内网区域的IP：登陆防火墙定义一个VLAN。点击“网络”“VLAN”“添加/删除VLAN范围”定义定义VLAN的的IP地址地址设置VLAN地址定义加入定义加入VLAN中的物理接口（透明域）中的物理接口（透明域）设置防火墙缺省网关设置防火墙缺省网关注意：注意：如果防火墙的默认网关在VLAN（透明域）中，则不需要指定防火墙接口。防火墙自动匹配到VLAN 定义区域的缺省权限定义区域的缺省权限在“对象”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“定义对象定义对象定义主机对象（WEB服务器）定义内网对象（你的内网网段）定义定义NAT转换地址转换地址内网访问外网肯定要做NAT，但是由于外网和SSN区是透明。其物理接口并没有设置IP地址。在“地址转换”策略中不能直接选择外网的物理接口做地址转换。所以需要定义一个NAT转换地址。定义访问策略和地址转换策略定义访问策略和地址转换策略定义访问控制策略定义地址转换策略防火墙其他设置防火墙其他设置网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，具体请见下表：防火墙的工作状态防火墙的工作状态查看防火墙基本信息查看防火墙基本信息查看查看/修改防火墙系统时间修改防火墙系统时间查看防火墙运行状态查看防火墙运行状态查看系统参数查看系统参数日志设置日志设置防火墙本身只存储少量日志信息，如果要保留相关日志，请安装随机光盘的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息发送到日志服务器上报警设置报警设置设置触发报警的安全事件 管理管理员登陆或离线。重要配置发生变化。系统资源不足（如内存不足等等）。系统硬件故障（如网卡、加密卡损坏等等）。系统状态异常（除资源不足和硬件损坏）。系统进行升级以及其他对外关键通信事件出现故障。系统监测到攻击发生、违反了某条访问策略，并且此条访问 策略还规定了违反时必须报警等。分为：邮件报警、声音报警、SNMP、NETBIOS、控制台报警开放服务开放服务健康记录健康记录管理员可以定期生成、下载设备的健康记录，以便当设备出现异常时，可以帮助天融信的技术支持人员快速地定位并解决故障。恢复出厂设置恢复出厂设置系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。系统升级系统升级设备支持基于TFTP 协议的升级方式和专用升级工具注意：请在升级前进行系统备份！注意：请在升级前进行系统备份！添加管理用户及修改管理员口令添加管理用户及修改管理员口令设备支持多级用户管理，不同类型的用户具有不同的操作权限。用户权限基本可分为三种：超级管理员、管理用户与审计用户。超级管理员是系统的内建帐号，具有全部的功能权限；管理用户可以设定和查看规则，但没有综合配置（例如分配管理员、配置维护等）的权限。审计用户权限最小，只可以查看已有规则，没有添加和修改规则的权限。超级管理员是系统内建帐号，用户名是superman，不可以修改，用户对其帐号维护仅限于口令的修改查看查看CDP 邻居信息邻居信息网络卫士防火墙可以接受CDP（Cisco Discovery Protocol）消息，并识别出相应的思科设备。使用CDP 功能的具体方法是选择 网络 CDP，网络卫士防火墙即可自动发现并识别出相邻的思科设备。ARP及及MAC地址地址网络卫士防火墙内部维护了一张ARP 表，维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。当网络卫士防火墙转发数据报文时，会首先查看ARP表，如目的IP 已经在ARP 表中，网络卫士防火墙则不必再发送ARP 广播就获取了目的设备的MAC 地址。选项“限制ARP 请求个数”，设定允许ARP 请求的上限值。ARP及及MAC地址地址设置IPMAC地址绑定网络卫士防火墙内部维护了一张ARP 表，维护了网络卫士防火墙所学习到的主机IP 和MAC 地址的对应关系条目。在ARP表中“定义”好后，系统自动生成“主机对象”（包含了IP及MAC地址ARP及及MAC地址地址设置ARP ARP 代理网络卫士防火墙提供ARP 代理功能。也就是说，当一个ARP 请求是发往一个不同子网的主机地址的时候，如果该目的主机位于被代理的区域，网络卫士防火墙作为中间设备，可以代为回答该ARP 请求。这样ARP 请求端会把网络卫士防火墙的物理接口的MAC地址当成目的主机的MAC 地址，使它认为网络卫士防火墙就是目的主机，从而达到保护目的主机的作用如果选择代理类型为静态，则设置的ARP 代理将被保存；如果设置为动态，设备重启后，需要重新配置ARP 代理ARPARP及及MACMAC地址地址MAC地址表网络卫士防火墙内部维护了一张VLAN 虚接口的MAC 地址表，保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机MAC 地址的对应表。当网络卫士防火墙转发数据帧时，会查看虚接口MAC 地址表，如果该目的MAC 在网络卫士防火墙的MAC 地址表中，网络卫士防火墙将直接通过该MAC 地址所对应的接口发送数据帧。也可以自行添加MAC地址TCPDUMP抓包工具抓包工具TCPDUMP-c count-i interface expression|SENDLOG-c count参数为设置抓包的个数，满足该条件后自动停止；如果省略，则一直捕获，直到手动中断。-i interface参数设置捕获通过防火墙某一接口的数据包，可以设置为捕获防火墙某一接口的数据包，如-i eth1；也可以省略，则捕获通过防火墙所有接口的数据包。|sendlog参数设置将捕获的数据包以日志形式存储在防火墙中，而不显示在命令行界面上。可以在防火墙GUI界面上通过查看管理日志来显示捕获的数据包。如省略该项参数的话，则捕获的数据包默认显示在命令行界面上。expression参数有很多表达式可选，这里只以实例介绍几个常用的参数，详细信息请参见tcpdump技术资料。TCPDUMP抓包工具抓包工具通过CONSOLE或TELNET、SSH方式进入到SYSTEM菜单下，输入TCPDUMP命令进行抓包长连接的应用长连接的应用 在访问规则中，对于在访问规则中，对于TCPTCP的连接可以设置为普通连接，也可以设置为长连的连接可以设置为普通连接，也可以设置为长连接，一般地防火墙对通信空闲一定时间的接，一般地防火墙对通信空闲一定时间的TCPTCP连接将自动断开，以提高安全性和连接将自动断开，以提高安全性和释放通信资源，但某些应用所建立的释放通信资源，但某些应用所建立的TCPTCP连接需要长时期保持，即使处于空闲状连接需要长时期保持，即使处于空闲状态！态！普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接，得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接，否则连接不会被删除。否则连接不会被删除。主要应用在数据库和视频系统。主要应用在数据库和视频系统。长连接的应用长连接的应用长连接在访问规则中的应用：注意：只对需要的注意：只对需要的TCPTCP协议的单个或多个端口使用长连接，不能默认对所有协议的单个或多个端口使用长连接，不能默认对所有TCPTCP 端口都设置为长连接。不能对非端口都设置为长连接。不能对非TCPTCP协议的端口做长连接。否则，会大量协议的端口做长连接。否则，会大量 消耗掉防火墙的系统资源。消耗掉防火墙的系统资源。自定义端口自定义端口防火墙内置一些标准服务端口，用以在访问规则中引用。但有时用户的系统没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。防火墙配置自定义端口防火墙配置自定义端口应用端口绑定和应用端口绑定和TCP连接的子连接连接的子连接 如果某种应用层协议使用了非标准的端口时，用户需要将这些非标准端口与应用协议进行绑定。这样，防火墙在对这个应用层协议进行深度内容检测时，才会认为这些数据包是合法报文并进行检测，否则将不进行深度过滤检测并按照访问控制规则处理数据包。另外，在一些应用中（如：FTP、ORACLE）会包含一些子连接。也就是说某些应用在建立TCP连接时，只需要一个监听端口，但传送数据时会使用随机的端口进行数据传输。如果在防火墙访问策略中只开放了监听端口（如：ORACLE一般只开放TCP1521端口），其他端口禁止访问。那么，将导致数据无法传送。应用端口绑定和应用端口绑定和TCP连接的子连接连接的子连接在“防火墙引擎”“深度过滤”“应用端口绑定”中设置，系统默认只打开了“TFTP”协议应用端口绑定和应用端口绑定和TCP连接的子连接连接的子连接点击“重置策略”按钮，就可以上述防火墙支持的应用层协议网络卫士防火墙目前需要进行应用端口绑定的应用层协议类型如下：HTTP、FTP、TFTP、SMTP、POP3、MMS、H225、H225RAS、SIP、RTSP、SQLNET。阻断策略阻断策略通过设置报文阻断策略可以对IP协议和非IP协议进行控制。当设备接收到一个数据报文后，会顺序匹配报文阻断策略，如果没有匹配到任何策略，则会依据默认规则对该报文进行处理。从具体应用上，一般用来阻断一些病毒传播端口阻断策略的优先级高于“访问控制策略陕西省金财工程应用陕西省金财工程应用防火墙的高级应用DPI(深度报文检测）用户认证Trunk环境及VLAN间的路由策略路由和动态路由全面支持DHCPADSL拨号链路备份IDS联动双机热备服务器负载均衡多播DPI（报文深度过滤）（报文深度过滤）深度过滤策略可以实现对应用层协议的内容进行检测和过滤，目前深度过滤支持的应用层协议包括:FTP、HTTP、POP3 以及SMTP。深度过滤策略设置好以后不能够单独生效，用户必须在访问控制规则中引用深度过滤策略，匹配了该条访问控制规则的数据包才会进行深度内容检测处理。首先要打开DPI模块，在“防火墙引擎”“深度过滤”“应用端口绑定”中打开选择启动即可选择启动即可DPI（报文深度过滤）（报文深度过滤）设置关键字对象设置关键字对象关键字的设置是进行深度内容检测的基础关键字的设置是进行深度内容检测的基础正则表达式说明：TOS中的关键字的正则格式与FW4000中的通配符区别很大，如果定义不当，会造成深度检测功能无法正常实现。字符字符.匹配除“n”之外的任何单个字符。要匹配包括 n 在内的任何字符，请使用象.n 的模式；字符字符 *匹配前面的子表达式零次或多次。例如，zo*能匹配 z 以及 zoo。*等价于0,；字符字符 将下一个字符标记为一个特殊字符、或后向引用、或转义。例如，n 匹配字符 n。n 匹配一个换行符，(则匹配(。DPI（报文深度过滤）（报文深度过滤）设置关键字对象设置关键字对象正则表达式举例：如：.rar和.exe等，正则定义：.*.exe和.*.rar如：法轮功，正则定义：.*法轮功如：新浪网站，正则定义：.*sinaStep1：保证设备已经开启HTTP应用协议过滤Step2：配置关键字(特殊字符)本例的正则对象为.*.torrent，可以看出这里使用了2个“”其中第1个在TOS系统读取配置文件时会自动删除掉，真正起作用的是第2个，所以在定义包括特殊字符的关键字时要使用2个连写才能生效。Step2：配置关键字(普通字符)Step3：定义文件对象Step4：配置HTTP访问策略Step5：在访问策略中引用DPIStep6：配置完成 保存、刷新连接HTTP 对象设置中的部分参数说明如下：DPI（报文深度过滤）（报文深度过滤）HTTP对象参数对象参数DPI（报文深度过滤）（报文深度过滤）关键字过滤关键字过滤例：我们定义（网页）关键字过滤，禁止出现有“新闻”字样页面打开DPI（报文深度过滤）（报文深度过滤）关键字过滤关键字过滤定义好关键字之后，也必须在“HTTP”策略中进行设置DPI（报文深度过滤）（报文深度过滤）URL过滤过滤最后在访问规则中引用定义好“DPI”策略注意：服务必须注意：服务必须选择选择“HTTP”DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤例：定义关键字，禁止下载”md5summer.exe文件定义文件对象DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤“文件”，用来定义关键字的读写属性（读、写、执行）。文件对象的权限设置借鉴了文件系统的权限控制，支持三种访问权限，及其多种组合：读读，即允许对目标文件对象的读操作，例如FTP 的下载文件，HTTP 中的“get”操作，POP3 中的收邮件。写写，即允许对目标文件对象的写操作，例如FTP 中的上传文件，HTTP 中的“post”操作，SMTP 中的发邮件。执行执行，即允许执行包括目标文件对象的程序，如CGI 程序。如果“读”、“写”两个选项被同时选中，则表示允许任何访问。如所有三个选项都没被选中，表示禁止访问。DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤设置文件对象注意：没有选取读（注意：没有选取读（GET）权限）权限DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤定义“FTP”策略注意：文件的注意：文件的权限权限必须和必须和“文件对象文件对象”中设置的一样中设置的一样DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤最后在访问规则中引用定义好“DPI”策略注意：服务必须注意：服务必须选择选择“FTP”DPI（报文深度过滤）（报文深度过滤）文件名过滤文件名过滤可以看到通过可以看到通过FTP无法下载无法下载MD5SUMMER.EXE这个文件这个文件DPI（报文深度过滤）（报文深度过滤）邮件过滤（邮件过滤（POP3）定义一个关键字为“收件人”地址*DPI（报文深度过滤）（报文深度过滤）邮件过滤（邮件过滤（POP3）定义“文件对象”，不选择“读读”权限没有选择没有选择“读读”权限权限DPI（报文深度过滤）（报文深度过滤）邮件过滤（邮件过滤（POP3）定义POP3策略，只选择定义好的”收件人收件人“DPI（报文深度过滤）（报文深度过滤）邮件过滤（邮件过滤（POP3）在”访问控制规则中的DP