02东软防火墙配置手册

东软防火墙配置手册东软防火墙配置手册版本历史版本修订日期修订人描述V0.12010-8-11吴德康文档编写 初稿目 录第一章 文档说明31.1 编写目的31.2 项目背景3第二章 配置命令32.1 通过WEB登录32.2 虚拟系统32.2.1 查看虚拟系统信息32.2.2 创建一个虚拟系统32.2.3 删除一个虚拟系统32.2.4 添加描述32.2.5 启用/ 禁用虚拟系统32.2.6 切换虚拟系统32.3 制定安全策略32.3.1 IP 包过滤32.3.2 安全策略流程32.4 地址转换NAT32.5 高可用性HA3广州中软信息技术有限公司第一章 文档说明1.1 编写目的编写该手册的主要目的是针对贵州二次安防项目工程技术人员提供东软防火墙基本的操作规范，同时，也可以作为贵州二次安防项目东软防火墙维护人员的参考阅读手册。 1.2 项目背景本项目是贵州电网公司根据电力二次系统安全防护规定（电监会5号令）、电力系统安全防护总体方案（国家电力监管委员会200634号文及配套文件）和南方电网电力二次系统安全防护技术实施规范等电力二次系统安全防护相关规程规范的要求完成贵州电网公司省/地两级调度中心及220kV及以上电压等级变电站的生产控制大区业务系统接入电力调度数据网系统工程。通过本项目的实施建立健全贵州电网电力二次系统安全防护体系。项目的重点是通过有效的技术手段和管理措施保护电力实时监控系统及调度数据网络的安全，在统一的安全策略下保护重要系统免受黑客、病毒、恶意代码等的侵害，特别是能够抵御来自外部有组织的团体、拥有丰富资源的威胁源发起的恶意攻击，能够减轻严重自然灾害造成的损害，并能在系统遭到损害后，迅速恢复绝大部分功能，防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故，保障贵州电网安全稳定运行。第二章 配置命令2.1 通过WEB登录1. 在可通过网络连接到 NetEye 的计算机上打开 Web 浏览器。NetEye 支持以下四种浏览器：l Microsoft Internet Explorer （6.0 SP2 或以上版本）l Mozilla Firefox （2.0 或以上版本）l Opera （9.2 或以上版本）l Netscape Communicator （9.0 或以上版本）2. 在浏览器的地址输入区域，输入防火墙的管理 IP 地址，进入防火墙管理员登录界面。防火墙管理员通过管理 IP 地址远程访问和管理防火墙。该地址可由防火墙管理员设定。关于其详细信息和配置方法，请参阅第348 页的管理 IP。NetEye 的 WebUI 只支持 SSL （HTTPS）连接方式。为了使用该连接方式，防火墙管理员需要对 SSL 进行设置。关于其设置方法，请参阅第98 页的安全套接字层（SSL）。当在 Web 浏览器的地址输入区域输入管理 IP 地址时，防火墙管理员需要在管理 IP地址之前加上前缀 https:/。如果防火墙管理员修改了默认的 SSL 端口号，还需要在管理IP 的后面加上冒号和修改后的 SSL 端口号。例如，当管理 IP 为 192.168.1.100， SSL 端口为默认端口（443）时，输入 https:/192.168.1.100 即可。当SSL 端口被修改为4433 时，请输入 https:/192.168.1.100:4433。关于修改 SSL 端口号的方法，请参阅第163 页的设置 SSL 端口号。3. 根据提示，输入用户名和口令。登录到防火墙管理界面，即可通过 WebUI 管理防火墙。第一次登录防火墙时，防火墙管理员需要输入用户名“root”和口令“neteye”。防火墙管理员在登录时可选择是否使用配置锁。2.2 虚拟系统一台东软 NetEye 防火墙可以被逻辑地划分成多个虚拟防火墙，每个虚拟防火墙拥有自己的管理员、审计员、安全策略、用户认证数据库等。这些虚拟防火墙即被称为虚拟系统(Vsys)。防火墙在没有创建任何虚拟系统时，是一个单独的物理系统，我们将它称为根系统。根系统管理员可以创建虚拟系统，管理每个虚拟系统的资源。根系统管理员创建一个虚拟系统时，最基本的操作是新建虚拟系统、为虚拟系统分配资源，及进一步为这个虚拟系统创建Vsys 管理员2.2.1 查看虚拟系统信息1. 请选择 系统 配置 虚拟系统，进入虚拟系统页面。2. 管理员可查看到虚拟系统的信息，包括虚拟系统标识、最大资源限制、是否是启动状态、接口资源、描述信息：2.2.2 创建一个虚拟系统1. 请选择 系统 配置 虚拟系统，进入虚拟系统页面：2. 在添加虚拟系统区域的虚拟系统标识文本框内输入虚拟系统的名称，取值范围：1-255，在最大资源限制文本框内输入最大资源限制，取值范围：1%-100%：3. （本步骤可选）如需添加一个管理用户，点击管理用户超链接。关于添加管理用户的详细信息，请参阅第124 页的Vsys 管理员（Vsys Administrator）。4. 点击应用。5. 点击保存，保存所做修改。2.2.3 删除一个虚拟系统1. 请选择 系统 配置 虚拟系统，进入虚拟系统页面。2. 如果删除单个或多个虚拟系统，请在虚拟系统页面的系统信息列表中，找到要删除的虚拟系统，勾选其所对应的删除复选框。如需删除表内除根系统外的全部虚拟系统，请勾选虚拟系统列表表头中的删除复选框。勾选后，列表中的全部虚拟系统将被选中。3. 点击应用。4. 点击保存，保存所做修改。2.2.4 添加描述1. 请选择 系统 配置 虚拟系统，进入虚拟系统页面。2. 在虚拟系统页面点击需要添加描述的虚拟系统，进入编辑页面。3. 在备注文本框内输入虚拟系统的描述信息。4. 点击应用。5. 点击保存，保存所做修改。2.2.5 启用/ 禁用虚拟系统1. 请选择 系统 配置 虚拟系统，进入虚拟系统页面。2. 在虚拟系统页面点击需要启动/ 禁用的虚拟系统，进入编辑页面：3. 勾选/ 取消启动虚拟系统复选框，启用/ 禁用虚拟系统。4. 点击应用。5. 点击保存，保存所做修改。2.2.6 切换虚拟系统1. 请选择 系统 切换虚拟系统，进入切换虚拟系统页面。2. 点击要切换的虚拟系统名称。如需申请配置锁，勾选获得配置锁复选框。如配置锁被其他管理员占用需要覆盖，勾选覆盖其他管理员的配置锁复选框：3. 点击应用。4. 点击保存，保存所做修改。2.3 制定安全策略2.3.1 IP 包过滤包过滤包过滤是一种被广泛应用于网络安全领域的访问控制技术。网络中的一台主机通过发送和接收数据来访问另一个主机或网络，这些数据以“包”为单位进行传输，且每个数据包中都会包含源地址、目的地址等信息。防火墙不但能够识别每一个流经它的数据包中的这些信息，而且能够决定这些数据包如何被处理（如拒绝或允许转发等）。这种技术被称为包过滤技术。策略东软 NetEye 防火墙软件用户使用指南NetEye 基于 IP 层进行包过滤控制，涵盖了对 TCP、UDP、ICMP 以及其他 IP 类协议（如， IGMP 和GGP 协议）的过滤。对应的过滤策略被称为IP 包过滤策略。管理员可以使用该功能对具有特定信息的 IP 数据包进行控制，从而实现主机及网络间的访问控制。为了便于系统的管理， NetEye 将其接口划分成不同的安全域。安全域简化了 IP 包过滤策略的制定。管理员能够以安全域为单位创建策略，避免了为不同的接口批量创建相同策略的繁杂。关于安全域的详细信息，状态检测包过滤NetEye 不但支持包过滤技术，还在其基础上引入了会话的概念，从而实现更为高效的状态检测包过滤技术。会话可以被简单地理解为某两台主机间的一次交谈。具体的讲，对于基于连接的 TCP 协议来说，一个会话就是一个 TCP 连接。在同一个 TCP 会话上的数据包，其基本信息的六元组应相互匹配。对于没有连接概念的协议（如 UDP、ICMP 和其他 IP 类协议），NetEye 专门为这些协议的数据包维护了类似 TCP 协议的模拟会话（每个模拟会话以第一个请求数据包作为模拟会话的开始。如果在这个模拟会话上，没有任何数据传输的时间超过了指定的状态超时时间，即认为该会话结束）。会话的引入使得包过滤过程不再以包为单位进行，而是以会话为单位进行，从而缩减了系统开销。对于 TCP 和 UDP 协议，NetEye 通过基本信息六元组来确定会话。由于 ICMP 和其他 IP类协议没有端口的概念， NetEye 使用了其他信息来模拟端口信息。其中， ICMP 模拟会话以 ICMP 类型和 code 值的组合形式模拟了源端口，并以 ICMP 数据报文 ID 模拟了目的端口；其他 IP 类协议模拟会话则是将源端口和目的端口定义为0。NetEye 通过会话表来记录允许被转发数据包的会话基本信息六元组（包括源IP、目的IP、源端口、目的端口、协议、所属 Vsys），并在此基础上增加了转换后地址、安全域、会话状态和状态超时等信息。当一个新的会话请求被安全策略允许时，其会话信息即被添加到会话表中。当会话正常结束或由于状态超时导致会话非正常结束时，其会话信息即被从会话表中删除。为了清楚地描述在会话建立、数据包传输以及会话终止过程所发生的不同事件， TCP 协议规定 TCP 会话在任何时候都会处于某一个状态。如果没有其他事件发生，它就一直处于那个状态。NetEye 根据 TCP 协议的规定检查每一个 TCP 数据包状态的合法性。例如，当会话表记录了某一会话处于数据传输（会话已建立）状态时，如果此时该会话上出现了一个状态为请求建立会话的数据包，则该数据包将被 NetEye 视为不符合规定，并被拒绝通过。对于 UDP、ICMP 和其他 IP 类协议的模拟会话，其状态检测过程和 TCP同理，但由于它们状态单一，因而处理起来也相对简单。由于 NetEye 利用会话表来跟踪每个会话的状态，对于每个数据包的检查不仅会依据会话基本信息六元组，更考虑了数据包是否符合会话所处的状态，因而提供了更完整的对传输层的控制功能。2.3.2 安全策略流程1. NetEye 负责过滤和分析从各个接口上接收到的 IP 数据流（其中，本地访问数据流将由NetEye 的访问控制功能进行处理，此处不作介绍。2. NetEye 将根据数据包中的会话信息与会话表进行匹配，以判断当前数据包是否允许被转发。3. 如果查找到了一致的会话信息，意味着当前数据包是已创建会话的后续数据包，则防火墙允许其通过；如果会话表中不存在与当前数据包符合的会话信息，则当前数据包可能是一个新的会话请求，需要进一步匹配安全策略。4. 安全策略的匹配结果将决定如何处理当前会话请求。5. 若匹配结果为允许，当前会话的相关信息将被记录下来，并保存在会话表中；若匹配结果需要身份认证，将对用户进行访问控制，根据用户的权限，决定当前会话请求是否被转发。当动作被设置为允许时，如需修改状态超时设置，管理员可勾选超时复选框，在状态超时列表内修改超时时间；如需设置或修改数据包通过防火墙后被转发到的 VPN隧道，在 VPN 隧道下拉框中选取指定的 VPN 隧道；如需要身份验证，勾选认证。6. 允许通过的会话请求将被防火墙转发。7. 若匹配结果为拒绝，当前会话请求将被禁止转发。8. 当被允许通过的会话请求的后续数据包（比如，会话应答）到达防火墙时，防火墙直接根据会话表对其进行状态检测。9. 只要与会话表相匹配，该数据包就可以被转发。2.4 地址转换NAT1. 请选择 系统 配置 地址转换 源地址转换，进行如下配置：2. 添加源地址转换区域：名称：test1序号：2端口转换：勾选源 IP 地址：192.168.2.11-192.168.2.254转换后 IP 地址：点击202.204.1.1-202.204.1.253. 点击应用。4. 点击保存，保存所做修改。2.5 高可用性HA1. 请选择 系统 配置 高可用性 VFRP 配置，进入VFRP 配置页面。2. 基本设置区域：接口：eth4本端IP 地址：10.1.1.8掩码长度：24对端IP 地址：10.1.1.9组ID：33. 点击应用。4. 点击保存，保存所做修改。