防火墙的安装和配置课件

第第8 8章章 防火墙安装与配置防火墙安装与配置网络设备的安装与管理本章内容本章内容 防火墙安装防火墙安装 防火墙配置防火墙配置 配置配置 防火墙防火墙 恢复的口令恢复的口令 升级版本升级版本 8.1 防火墙安装防火墙安装8.1.1 防火墙安装定制防火墙安装定制在在开开始始考考虑虑安安装装之之前前，必必须须决决定定哪哪种种模模式式能能够够满满足足你你的的业业务务需需要要。系系列列产产品品中中有有许许多多相相同同的的特特征征和和功功能能；每每个个模模式式中中接接口口和和连连接接数数量量是是不不同同的的。下下面面的的问问题题将将帮帮助助理理解解你你的的网网络络需需求，并把你的注意力集中到防火墙必须包含的服务和性能上。求，并把你的注意力集中到防火墙必须包含的服务和性能上。l有多少用户（连接）将会通过防火墙？有多少用户（连接）将会通过防火墙？l防火墙支持语音和多媒体应用吗？防火墙支持语音和多媒体应用吗？l本单位需要多少接口？本单位需要多少接口？l本单位需要服务吗？若需要，安全级别是什么：本单位需要服务吗？若需要，安全级别是什么：56位、位、168位位3还是两者都要？还是两者都要？l防火墙需要如加速卡等附件设备吗？防火墙需要如加速卡等附件设备吗？l本单位希望使用设备管理器吗？本单位希望使用设备管理器吗？l本单位需要用容错性吗？本单位需要用容错性吗？l回答这些问题不仅能帮助你为单位选择适当的模型，还回答这些问题不仅能帮助你为单位选择适当的模型，还能帮助你购买正确的许可证。能帮助你购买正确的许可证。8.1.2 安装前安装前部署中的安装前阶段是确定型号、许可证、特性和部署中的安装前阶段是确定型号、许可证、特性和物理位置的阶段。物理位置的阶段。选择许可证选择许可证选择型号选择型号1.选择许可证选择许可证无限制（）无限制（）当防火墙使用无限制（）许可证时允许安装和当防火墙使用无限制（）许可证时允许安装和使用最大数量的接口和。无限制许可证支持故障倒换使用最大数量的接口和。无限制许可证支持故障倒换功能。功能。受限（）受限（）当防火墙使用受限制（当防火墙使用受限制（R）许可证时，其支持的）许可证时，其支持的接口数量受到限制，另外，系统中的的可用数量也受接口数量受到限制，另外，系统中的的可用数量也受到限制。一个使用受限制许可证的防火墙不能通过配到限制。一个使用受限制许可证的防火墙不能通过配置故障倒换功能来实现冗余。置故障倒换功能来实现冗余。故障倒换（）故障倒换（）当使用故障倒换（）软件许可证的防火墙与当使用故障倒换（）软件许可证的防火墙与使用无限制许可证的防火墙协同工作时，将被置于故使用无限制许可证的防火墙协同工作时，将被置于故障倒换模式。障倒换模式。2选择型号选择型号防火墙型号许可证选项受限无限制故障倒换（）加密50110位用户许可证50位用户许可证56位和/或168位350656位168位356位和/或168位3515515（5000条并发连接和2个接口）与515（10000条并发连接和3个接口）515（10000条并发连接，功能和6个接口）515束（提供备用防火墙）56位和/或168位3525525（6个接口，多达280，000条并发连接）525（8个接口，支持，多达280，000条并发连接）525束（提供备用防火墙）56位和/或168位3535535（6个接口，多达500，000条并发连接）535（8个接口，支持，多达500，000条并发连接）535束（提供备用防火墙）56位和/或168位3型号选择主要基于两个方面：性能和容错性。型号选择主要基于两个方面：性能和容错性。性能被分为两类：吞吐量和并发连接。性能被分为两类：吞吐量和并发连接。容错性是在容错性是在515平台中第一次被引入。平台中第一次被引入。8.1.3 安装安装接口配置接口配置电缆连接电缆连接初始输入初始输入1.接口配置接口配置在上对安全策略进行配置在上对安全策略进行配置的第一步是确定要使用的的第一步是确定要使用的接口并收集他的基本配置接口并收集他的基本配置信息。每一个都至少有两信息。每一个都至少有两个接口：内部接口（较安个接口：内部接口（较安全）和外部接口（较不安全）和外部接口（较不安全）。使用表全）。使用表8-2可以帮可以帮组你简化配置接口的过程，组你简化配置接口的过程，记录每个接口的基本信息记录每个接口的基本信息是有用的。是有用的。防火墙配置外部网内部网接口1接口2接口3接口接口速度地址和掩码接口名：接口名：安全级别大小2.电缆连接电缆连接在启动之前，把控制端口（）电缆连接到机在启动之前，把控制端口（）电缆连接到机（通常是便于移动的笔记本电脑）的端口，再通过（通常是便于移动的笔记本电脑）的端口，再通过系统自带的超级终端（）程序进系统自带的超级终端（）程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样，如图机初始配置连接方法一样，如图8-1所示。所示。3.初始输入初始输入当当515通电后，会看到前置面板上的通电后，会看到前置面板上的3个灯，如图个灯，如图8-2所所示，分别标有，示，分别标有，和。当防火墙部件是活动的时，和。当防火墙部件是活动的时，会亮。会亮。如果没有配置，如果没有配置，将总是亮着。当至少一个接口通过流将总是亮着。当至少一个接口通过流量时，量时，会亮。会亮。当你第一次启动防火墙的时候，你应该看到如图当你第一次启动防火墙的时候，你应该看到如图8-3所示的所示的以下输出：以下输出：8.2 防火墙配置防火墙配置 8.2.1 防火墙的基本配置原则防火墙的基本配置原则拒拒绝绝所所有有的的流流量量，这这需需要要在在你你的的网网络络中中特特殊殊指指定定能能够够进进入入和出去的流量的一些类型。和出去的流量的一些类型。允允许许所所有有的的流流量量，这这种种情情况况需需要要你你特特殊殊指指定定要要拒拒绝绝的的流流量量的的类类型型。大大多多数数防防火火墙墙默默认认都都是是拒拒绝绝所所有有的的流流量量作作为为安安全全选选项项。一一旦旦你你安安装装防防火火墙墙后后，你你需需要要打打开开一一些些必必要要的的端端口口来来使使防防火火墙墙内内的的用用户户在在通通过过验验证证之之后后可可以以访访问问系系统统。换换句句话话说说，如如果果你你想想让让你你的的员员工工们们能能够够发发送送和和接接收收，你你必必须须在在防火墙上设置相应的规则或开启允许防火墙上设置相应的规则或开启允许3和的进程。和的进程。在防火墙的配置中，我们首先要遵循的原则就是安全实用，在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：本原则：1简单实用：简单实用：2全面深入：全面深入：3内外兼顾：内外兼顾：8.2.2 防火墙的初始配置防火墙的初始配置像像路路由由器器一一样样，在在使使用用之之前前，防防火火墙墙也也需需要要经经过过基基本本的的初初始始配配置置。但但因因各各种种防防火火墙墙的的初初始始配配置置基基本本类类似似，所所以以在在此此仅以仅以 防火墙为例进行介绍。防火墙为例进行介绍。防防火火墙墙与与路路由由器器一一样样也也有有四四种种用用户户配配置置模模式式，即即：非非特特权权模模式式（）、特特权权模模式式（）、配配置置模模式式（）和和端端口口模模式式（），进入这四种用户模式的命令也与路由器一样：），进入这四种用户模式的命令也与路由器一样：防火墙的具体配置步骤如下：防火墙的具体配置步骤如下：1将防火墙的端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，将防火墙的端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上，如图如图8-1。2打开防火电源，让系统加电初始化，然后开启与防火墙连接的主机。打开防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3运行笔记本电脑系统中的超级终端（）程序（通常在运行笔记本电脑系统中的超级终端（）程序（通常在“附件附件”程序组中）。对超级程序组中）。对超级终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。终端的配置与交换机或路由器的配置一样，参见本教程前面有关介绍。4当防火墙进入系统后即显示当防火墙进入系统后即显示“”的提示符，这就证明防火墙已启动成功，所进入的的提示符，这就证明防火墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。是防火墙用户模式。可以进行进一步的配置了。5输入命令：，进入特权用户模式，此时系统提示为：。输入命令：，进入特权用户模式，此时系统提示为：。6输入命令：输入命令：，进入全局配置模式，对系统进行初始化设置。，进入全局配置模式，对系统进行初始化设置。7.配置保存：配置保存：8.退出当前模式：退出当前模式：9.查看当前用户模式下的所有可用命令：，在相应用户模式下键入这个命令后，即显示查看当前用户模式下的所有可用命令：，在相应用户模式下键入这个命令后，即显示出当前所有可用的命令及简单功能描述。出当前所有可用的命令及简单功能描述。10.查看端口状态：查看端口状态：，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有，这个命令需在特权用户模式下执行，执行后即显示出防火墙所有接口配置情况。接口配置情况。11.查看静态地址映射：查看静态地址映射：，这个命令也须在特权用户模式下执行，执行后显示防火墙的，这个命令也须在特权用户模式下执行，执行后显示防火墙的当前静态地址映射情况。当前静态地址映射情况。8.3 配置配置 防火墙防火墙这里我们选用第三种方式配置这里我们选用第三种方式配置 525防火墙。防火墙。1同样是用一条串行电缆从电脑的口连到同样是用一条串行电缆从电脑的口连到 525防火防火墙的口；墙的口；2开启所连电脑和防火墙的电源，进入系统自带的开启所连电脑和防火墙的电源，进入系统自带的“超级终端超级终端”，通讯参数可按系统默然。进入防火墙初始，通讯参数可按系统默然。进入防火墙初始化配置，在其中主要设置有：化配置，在其中主要设置有：(日期日期)、(时间时间)、(主机名主机名称称)、(内部网卡地址内部网卡地址)、(主域主域)等，完成后也就建立了一等，完成后也就建立了一个初始化设置了。此时的提示符为：个初始化设置了。此时的提示符为：。3输入命令，进入输入命令，进入 525特权用户模式，默然密码为特权用户模式，默然密码为空。空。缺省情况下，命令假定用户尝试接入的特权级别是缺省情况下，命令假定用户尝试接入的特权级别是15（最（最高特权级别）。在配置的基本网络接入的时候，有一些必须高特权级别）。在配置的基本网络接入的时候，有一些必须实施；实施；为防火墙接口分配地址；为防火墙接口分配地址；配置防火墙名称、域名和密码；配置防火墙名称、域名和密码；设置防火墙路由；设置防火墙路由；配置防火墙的远程管理接入功能；配置防火墙的远程管理接入功能；为出站流量设置地址转换；为出站流量设置地址转换；配置；配置；配置防火墙日志。配置防火墙日志。8.3.1 在防火墙接口上分配地址在防火墙接口上分配地址要要在在网网络络中中通通信信，防防火火墙墙需需要要在在其其接接口口上上指指定定地地址址。这这项项工工作作在在的的6和和7版版本本中中的的实实施施有有区区别别，但但是是基基本本步步骤骤是是一一样样的：启用接口、配置接口参数、为该接口指定地址。的：启用接口、配置接口参数、为该接口指定地址。在的在的6版本中分配地址版本中分配地址 ()#()#0()#1()#0 0()#1 100()#10.19.24.1 255.255.255.0()#192.168.122.1 255.255.255.0在的在的7版本中分配地址版本中分配地址()#2()#()#()#01()#50()#()#()#10.21.67.17 255.255.255.2408.3.2 配置防火墙名称、域名和密码配置防火墙名称、域名和密码()#()#()#()#8.3.3 配置防火墙路由设置配置防火墙路由设置()#0.0.0.0 0.0.0.0 10.21.67.2 1该该命命令令中中末末尾尾的的1指指明明了了下下一一跳跳的的度度量量值值，这这是是可可选选的的。通通常常缺缺省省路路由由将将会会指指向向防防火火墙墙连连接接到到的的下下一一跳跳路路由由，如如服服务商网络中的路由器。务商网络中的路由器。8.3.4 配置防火墙管理远程接入配置防火墙管理远程接入防火墙支持三种主要的远程管理接入方式：防火墙支持三种主要的远程管理接入方式：;。其其中中和和都都是是用用来来提提供供对对防防火火墙墙的的命命令令行行界界面面（）方方式式接接入入，而而提提供供的的则则是是一一种种基基于于的的图图形形化化界界面面（）管管理理控制台。控制台。1.配置接入配置接入()#10.21.120.15 255.255.255.255 2.配置接入配置接入步骤步骤1 给防火墙分配一个主机名和域名；给防火墙分配一个主机名和域名；步骤步骤2 生产并保存密钥对；生产并保存密钥对；步骤步骤3 配置防火墙允许接入。配置防火墙允许接入。()#1024()#()#1024()#10.21.120.15 255.255.255.255 3.配置接入配置接入除了使用的管理方式之外，防火墙还支持一种远程管除了使用的管理方式之外，防火墙还支持一种远程管理方式。在理方式。在6中，这种管理接口被称为设备管理器（）。中，这种管理接口被称为设备管理器（）。而在的而在的7，该管理接口被称为自适应安全设备管理器（），该管理接口被称为自适应安全设备管理器（）。()#()#10.0.0.0 255.0.0.0 的接入是通过浏览器连接到服务器的方式来实现的。还可的接入是通过浏览器连接到服务器的方式来实现的。还可以通过一种基于的应用来使用，而不用代开浏览器，如图以通过一种基于的应用来使用，而不用代开浏览器，如图8-4所示：所示：简介 作为自适应安全设备管理器，以图形界面方式，配置和管理 和 安全设备。具有如下特点：1.集成化管理提高管理效率2.启动向导加速安全设备的部署3.仪表盘提供重要实时系统状态信息4.安全策略管理降低运营成本5.安全服务实现基于角色的、安全的管理访问6.管理将安全连接扩展到远程站点7.管理服务与应用检测相互协作8.智能用户界面简化网络集成9.安全管理界面提供一致的管理服务10.监控和报告工具实现关键业务数据分析 主页 配置 高级配置 监控和报告工具实现关键业务数据分析（1）监控工具（2）系统图（3）连接图（4）攻击保护系统图（5）接口图（6）统计和连接图1.运行 主窗口 2.为创建地址池（1）指定的地址范围（2）为外部端口指定地址池3.配置内部客户端访问区的服务器5.为服务器配置外部4.配置内部客户端访问6.允许用户访问的服务8.3.5 对出站实施对出站实施 1在在 6中配置中配置（）（）|（）（）#（）（）1 0.0.0.0 0.0.0.0（）（）|（）（）#（）（）1 10.21.67.40-10.21.67.45 255.255.255.240（）（）#（）（）1 （）（）#2在在 7中配置中配置()()|()#()#()1 0.0.0.0 0.0.0.0()#()1 10.21.67.10-10.21.67.14 255.255.255.240()#()1 :()#8.3.6 配置配置 配置和实施分两步完成：配置和实施分两步完成：定义以及实施；定义以及实施；将应用于某接口。将应用于某接口。1定义和实施定义和实施支持多种不同类型的：支持多种不同类型的：访问列表访问列表这种根据值来过滤流量；这种根据值来过滤流量；扩展访问列表扩展访问列表这是最常用的实施类型，它用来对基于的流这是最常用的实施类型，它用来对基于的流最进行通用目的的过滤；最进行通用目的的过滤；标准访问列表标准访问列表该用来指定目的地址，它可以用来在路由映该用来指定目的地址，它可以用来在路由映射表（）中进行路由重分布；射表（）中进行路由重分布；访问列表访问列表该用来进行的过滤，只在该用来进行的过滤，只在 7.1或者更新版本中才或者更新版本中才被支持。被支持。创建一组的过程非常简单直接，通常需要定义如下的参数。创建一组的过程非常简单直接，通常需要定义如下的参数。流量需要通过什么样的方式去匹配中的？流量需要通过什么样的方式去匹配中的？需要使用什么样的协议？需要使用什么样的协议？流量的源是什么？流量的源是什么？流量的目的是什么？流量的目的是什么？使用了哪个使用了哪个/哪些应用端口？哪些应用端口？参数描述（可选项）使用缺省的日志方式，即为每个被拒绝的报文发送同步日志消息106023拒绝条件配置报文。在网络访问的环境中（命令），该关键字阻止报文穿越安全工具。在类映射（和命令）中进行应用检查的环境中，该关键字将使得报文免受检查。一些特性并不允许使用拒绝，比如说。查阅各种特性的命令文档以获得更多关于的信息指定报文发往的网络或者主机的地址。在地址之前输入关键字来指定一个单一的地址。在这种情况下，不需要输入掩码。输入关键字以代替地址和掩码，用来指定所有地址(可选项)禁用针对该条的日志(可选项)如果协议是，指定类型指定号,可以是字符串，也可以是最长241个字符的整数。该是区分大小写的。提示:使用大写字母会使你在配置中看到的更直观(可选项)禁用一条。要重新启用，输入整条而不带关健字。该特性能够维持一条的的记录，以便可以更方便地重新启用 指定接口地址，或者是源地址，或者是目的地址（可选项）指定日志区间上产生106100系统日志信息。有效值是从1到600秒。默认值是300(可选项)设定106100系统日志消息级别，从0到7，缺省级别是6(可选项)指定在插入的行号。如果你没有指定行号的话，将会添加到的未尾。该行号不会保存在配置中；它仅仅用来指定在哪儿插入(可选项)当有从网络中接入的报文被一条匹配到，并且般终被拒绝的时候，设置该选顶可以提供日志(通过应用)。如果没有任何的修改而仅仅输入关健字的话，将启用系统日志消息106100，并且使用默认的等级(6)和默认周期(300秒)。如果不输入关键字，设备将使用缺省的日志方式，即使用系统日志消息106023地址的子网掩码。在输入指定网络掩码的时候，其方式和在的中的命令不一样。安全工具使用网络掩码(如C类地址是255.255.255.0)。而的是用通配符(如0.0.0.255)(可选项)如果协议是，该参数用来指定类型目标组的标识符。要添加一个目标组，请参考 命令 为一个网络目标组指定标识符。要添加目标组，请参考 命令 为协议目标组指定标识符。要添加目标组.请参考 命令(可选项)如果设置的协议是或者，该参数为服务目标组指定标识符。要添加目标组，请参考 命令(可选项)该参数被源或者目的用来匹配端口号。其允许的操作如下:(小于)；(大于)；(等于)；(不等于)；(包含一系列的值，当使用这种操作时，需要指定两个端口号，如 100 200)允许条件匹配的报文。在网络访问的环境中(命令)，该关键字允许报文穿越安全工具。在类映射(和命令)中进行应用检查的环境中，该关键字将使得报文接受检查(可选项)如果设置的协议是或者，为或者端口指定一个整数或者名称。,和这样的协议需要在和中各自定义一个。这样的协议只需要在中定义一个端口号49指定协议的名称和号码。比如说，是17，是6，是47指定报文发送方的网络或者主机的地址。在地址之前输入关键字，可以用来指定一个单一的地址。这种情况下，不用输入掩码。输入关键字来代替地址和掩码，用来表示所有地址(可选项)在某天或者某周的指定时间激活，这为应用了时间范围。查阅命令，以获得关于定义时间范围的信息扩展的命令语法及其参数如下所示：扩展的命令语法及其参数如下所示：|尽管参数信息看上去非常多，但是在大多数情况下很多参数值尽管参数信息看上去非常多，但是在大多数情况下很多参数值都是可选的，甚至是不需要使用的。大多数时候对命令的使用都是可选的，甚至是不需要使用的。大多数时候对命令的使用都是按照下面这种简化方式：都是按照下面这种简化方式：|举例来说，如果想要定义一条，用来允许从任何主机到一台服务器的流量的举例来说，如果想要定义一条，用来允许从任何主机到一台服务器的流量的话，需要运行下面的命令：话，需要运行下面的命令：()#01 10.21.67.2 在上述例子中，我们定义的名称是在上述例子中，我们定义的名称是“01”，并且将其配置成允许的，并且将其配置成允许的80端口端口（）流量可以从任何源访问目的地（）流量可以从任何源访问目的地10.21.67.2。如果想使用同样的来允许流。如果想使用同样的来允许流量到另一台服务器，执行下面的命令：量到另一台服务器，执行下面的命令：()#01 10.21.67.3 通过下面的命令，可以显示出这两行条目己经被添加到了同一个中（在所有通过下面的命令，可以显示出这两行条目己经被添加到了同一个中（在所有的末尾都有一条隐藏的的末尾都有一条隐藏的 规则，所以最好还是将这条规则显式地添加到所有规则，所以最好还是将这条规则显式地添加到所有中去）。中去）。()#01 01;2 01 1 10.21.67.2 (0)01 2 10.21.67.3 (0)2将指定于某接口将指定于某接口无论防火墙上运行的是哪种版本的软件，都是通过命令来应用于接口的。无论防火墙上运行的是哪种版本的软件，都是通过命令来应用于接口的。在在6和和7版本中的惟一的真正区别是版本中的惟一的真正区别是7可以在其语法中指定或是，如下所示：可以在其语法中指定或是，如下所示：|举例来说，如果想要应用前面定义好的举例来说，如果想要应用前面定义好的（01）到防火墙的外部接口，可）到防火墙的外部接口，可以运行下面的命令：以运行下面的命令：()#01 到这里，假设你己经相应地配置了地址转换规则，那么在外部接口就会按到这里，假设你己经相应地配置了地址转换规则，那么在外部接口就会按照照 01的规则相应地允许或者拒绝流最了。的规则相应地允许或者拒绝流最了。8.3.7 在防火墙上配置日志在防火墙上配置日志一般来说，防火墙支持下列常用的日志终端：一般来说，防火墙支持下列常用的日志终端：控制台；控制台；监控器监控器（和会话）；（和会话）；（7版本存在）；版本存在）；远程通步日志服务器。远程通步日志服务器。8.4 恢复的口令恢复的口令习习 题题1填空填空（1）防火墙的）防火墙的4种用户配置模式是种用户配置模式是_、_、_和和_，进入各自配置模式所用的命令分别是，进入各自配置模式所用的命令分别是_、_、_和和_。（2）防火墙的配置通常是通过）防火墙的配置通常是通过_端口进行的，保存防火墙配置的命端口进行的，保存防火墙配置的命令是令是_，退出防火墙配置当前模式的命令是，退出防火墙配置当前模式的命令是_，查看当前模式，查看当前模式下所有可用命令的命令是下所有可用命令的命令是_，查看端口状态的命令是，查看端口状态的命令是_。（3）创建标准访问列表的命令是）创建标准访问列表的命令是_，删除标准访问列表的，删除标准访问列表的命令是命令是_,将规则应用于接口的命令是将规则应用于接口的命令是_，显示，显示包过滤规则的命令是包过滤规则的命令是_，显示当前防火墙状态的命令是，显示当前防火墙状态的命令是_。2简答题简答题（1）防火墙的）防火墙的3个基本特性和主要功能是什么？个基本特性和主要功能是什么？（2）概述防火墙的分类。）概述防火墙的分类。（3）概述防火墙的主要应用和部署。）概述防火墙的主要应用和部署。（4）防火墙的基本配置原则有哪些？）防火墙的基本配置原则有哪些？