天融信防火墙TOPSEC系统管理ppt课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,天融信网络防火墙,4000,（,TOS,）安装使用培训,2,服务须知,产品开箱后，应该按照以下步骤进行处理：,按照装箱单的提示，检查附件是否齐全,填写保修单，并将其邮寄到天融信公司客户服务中心,到天融信公司的网站,进行产品注册；,用户名、通信地址、联系电话、产品序列号、产品型号一定要填写清楚。,客户服务中心电话,:800-810-5119,3,防火墙简介,4,Internet,一种高级访问控制设备，置于不同,网络安全域,之间的一系列部件的组合，它是不同网络安全域间通信流的,唯一通道,，能根据企业有关的安全政策,控制,（允许、拒绝、监视、记录）进出网络的访问行为。,两个安全域之间通信流的唯一通道,UDP,Block,Host C,Host B,TCP,Pass,Host C,Host A,Destination,Protocol,Permit,Source,根据访问控制规则决定进出网络的行为,防火墙定义,内部网,5,防火墙的局限性,物理上的问题,断电,物理上的损坏或偷窃,人为的因素,内部人员通过某种手段窃取了用户名和密码,病毒（应用层携带的）,防火墙自身不会被病毒攻击,但不能防止内嵌在数据包中的病毒通过,内部人员的攻击,防火墙的配置不当,6,硬件一台,外形：19寸1,U,标准机箱,产品外形,接,COM,口,管理机,直通线,交叉线,串口线,PC,Route,Swich,、,Hub,交叉线,7,CONSOLE,线缆,UTP5,双绞线,-,直通,(,1,条，颜色,:,灰色),-,交叉,(1条，颜色,:,红色),使用:,直通,:与,HUB/SWITCH,交叉,:与路由器/主机（,一些高端交换机也可以通过交叉线与,防火墙连接,）,软件光盘,上架附件,产品提供的附件及线缆使用方式,8,防火墙提供的通讯模式,透明模式,(,提供桥接功能,),在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一,VLAN,的数据包在转发时不作任何改动，包括,IP,和,MAC,地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了,IP,的,VLAN,之间进行路由转发。,路由模式,(,静态路由功能,),在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源,MAC,地址替换为相应接口的,MAC,地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置,IP,地址。,综合模式,(,透明,+,路由功能,),顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。,说明：,防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网,络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会,影响防火墙的访问控制功能。,9,Internet,内部网,202.99.88.1,ETH0,：,202.99.88.2,ETH1,：,202.99.88.3,ETH2,：,202.99.88.4,202.99.88.10/24,网段,202.99.88.20/24,网段,外网、,SSN,、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。,透明模式的典型应用,10,Internet,内部网,202.99.88.1,ETH0,：,202.99.88.2,ETH1,：,10.1.1.2,ETH2,：,192.168.7.2,10.1.1.0/24,网段,192.168.7.0/24,网段,外网、,SSN,区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。,路由模式的典型应用,11,综合接入模式的典型应用,ETH1,：,192.168.7.102,ETH2,：,192.168.7.2,192.168.1.100/24,网段,192.168.7.0/24,网段,此时整个防火墙工作于透明,+,路由模式，我们称之为综合模式或者混合模式,202.11.22.1/24,网段,ETH0,：,202.11.22.2,两接口在不同网段，防火墙处于路由模式,两接口在不同网段，防火墙处于路由模式,两接口在同一网段，防火墙处于透明模式,12,网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，,用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，,具体请见下表：,防火墙的工作状态,13,在安装防火墙之前必须弄清楚的几个问题：,1,、,路由走向,(,包括防火墙及其相关设备的路由调整,),确定防火墙的工作模式：路由、透明、综合。,2,、,IP,地址的分配,(,包括防火墙及其相关设备的,IP,地址分配,),根据确定好的防火墙的工作模式给防火墙分配合理的,IP,地址,3,、数据应用和数据流向,(,各种应用的数据流向及其需要开放的端口号或者协议类型,),4,、要达到的安全目的,(,即要做什么样的访问控制,),14,常见病毒使用端口列表,69/UDP135-139/TCP135-139/UDP,445/TCP445/UDP4444/TCP,1433/UDP,1434/UDP,4899/UDP,1068/TCP,5554/TCP,9995/TCP,9996/TCP,ICMP,关掉不必要的,PING,15,常见路由协议使用端口列表,RIP,：,UDP-520,RIP2,：,UDP-520,OSPF,：,IP-89,IGRP,：,IP-9,EIGRP,：,IP-88,HSRP,（,Cisco,的热备份路由协议）：,UDP-1985,BGP,：,(Border Gateway Protocol,边界网关协议，主要,处理各,ISP,之间的路由传递，一般用在骨干网上,),TCP-179,16,规则列表需要注意的问题：,1,、规则作用有顺序,2,、访问控制列表遵循第一匹配规则,3,、规则的一致性和逻辑性,访问控制规则说明,17,防火墙,4000,（,TOS,） 的安装配置,18,串口(,console),管理方式：,管理员为空，回车后直接输入口令即可，初始口令,talent,用,passwd,修改管理员密码，请牢记修改后的密码。,WEBUI,管理方式：,超级管理员,:superman,，口令,:talent,TELNET,管理方式：,模拟,console,管理方式，用户名,superman,，口令：,talent,SSH,管理方式：,模拟,console,管理方式，用户名,superman,，口令：,talent,防火墙配置,-,管理方式,19,防火墙配置,-,防火墙出厂配置,20,防火墙的,CONSOLE,管理方式,超级终端参数设置：,21,防火墙的,CONSOLE,管理方式,防火墙的命令菜单：,22,防火墙的,CONSOLE,管理方式,输入,helpmode chinese,命令,可以看到中文化菜单,23,防火墙的,WEBUI,管理方式,在浏览器输入：,HTTPS:/192.168.1.254,，看到下列提示，选择,“,是,”,24,防火墙的,WEBUI,管理方式,输入用户名和密码后，按,“,提交,”,按钮,25,防火墙的,WEBUI,管理方式,26,防火墙的管理方式打开防火墙管理端口,注意：要想通过,TELNET,、,SSH,方式管理防火墙，必须首先打开防火墙,的服务端口，系统默认打开,“,HTTP,”,方式。,在,“,系统,”,“,系统服务,”,中选择,“,启动,”,即可,27,防火墙的,TELNET,管理方式,通过,TELNET,方式管理防火墙：,28,防火墙的接口和区域,接口和区域是两个重要的概念,接口：和网络卫士防火墙的物理端口一一对应，如,Eth0,、,Eth1,等。,区域：可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上，网络卫士防火墙的区域和接口并不是一一对应的，也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前，首先要对整个受控网络进行分析，并根据网络设备，如主机、服务器等所需要的安全保护等级来划分区域。,29,防火墙对数据包处理流程,30,网络卫士防火墙的基本配置过程：,1,、,串口(,console),下配置：,配置接口,IP,地址，查看或调整区域管理权限。当然也可以通过命,令的方式在串口下进行防火墙配置,2,、在串口下,保存,配置：用,SAVE,命令,3,、推荐使用,WEBUI,方式对防火墙进行各种配置,4,、配置具体的访问控制规则及其日常管理维护,防火墙的配置过程,提示：,一般先设置并调整网络区域，然后再定义各种对象,(,网络对象,、特殊对象等,),，然后在添加访问策略及地址转换策略，最后进行参数,调整及增加一些辅助的功能。,31,防火墙的基本应用,配置防火墙接口,IP,及区域默认权限,设置路由表及默认网关,定义防火墙的路由模式,定义防火墙的透明模式,定义网络对象,制定访问控制策略,制定地址转换策略（通讯策略）,保存和导出配置,32,防火墙三种工作模式的配置案例,33,防火墙配置例,1,配置案例,1,（路由模式）：,INTERNET,202.99.27.193,202.99.27.250,192.168.1.254,172.16.1.100,172.16.1.1,192.168.1.0/24,应用需求：,内网可以访问互联网,服务器对外网做映射,映射地址为,202.99.27.249,外网禁止访问内网,WEB,服务器,防火墙接口分配如下：,ETH0,接,INTERNET,ETH1,接内网,ETH2,接服务器区,34,防火墙配置定义网络接口,在,CONSOLE,下，定义接口,IP,地址,输入,network,命令进入到,network,子菜单,定义防火墙每个接口的,IP,地址，注意子网掩码不要输错,35,防火墙配置定义区域及添加区 域管理权限,define area add name area_eth1 attribute eth1 access on,define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any,pf service add name gui area area_eth1 addressname any,pf service add name ping area area_eth1 addressname any,pf service add name telnet area area_eth1 addressname any,系统默认只能从,ETH0,接口（区域）对防火墙进行管理，输入如下命令：,添加,ETH1,接口为,“,AREA_ETH1,”,区域；,ETH2,接口为,“,AREA_ETH2,”,区域,对,“,AREA_ETH1,”,区域添加对防火墙的管理权限（当然也可以对,“,AREA_ETH2,”,区域添加）,定义你希望从哪个接口（区域）管理防火墙,36,防火墙配置调整区域属性,进入防火墙管理界面，点击,”,网络,“,”,物理接口,“,可以看到物理接口定义结果：,点击每个接口的,”,其他,”,按钮可以修改每个接口的名称,注：防火墙每个接口的默认状态均为,“,路由,”,模式,37,防火墙配置定义区域的缺省权限,在,“,对象,”,”,区域对象,“,中定义防火墙,3,个区域（接口）的默认权限为,”,禁止访问,“,38,防火墙配置设置防火墙缺省网关,在,“,网络,”,“,静态路由,”,添加缺省网关,39,防火墙配置设置防火墙缺省网关,设置缺省网关时，,源和目的一般为全,“,0,”,防火墙的缺省网关在静态,路由时，必须放到最后一条,路由,40,防火墙配置定义对象主机对象,点击：,”,对象,“,“,地址对象,”,“,主机对象,”,，点击右上角,“,添加配置,”,41,防火墙配置定义对象主机对象,主机对象中可以定义多个,IP,地址,42,防火墙配置定义对象地址对象和子网对象,43,防火墙配置制定访问规则,第一条规则定义,“,内网,”,可以访问互联网。源选择,“,内部子网,_1,”,；,目的可以选择目的区域,“,AERA_ETH0,”,，也可以是,“,ANY,范围,”,44,防火墙配置定义访问规则,第二条规则定义外网可以访问,WEB,服务器的映射地址，并只能访问,TCP80,端口。源选择,“,AERA_ETH0,”,、目的选择,”,WEB,服务器,MAP,“,地址。转换,前目的选择,”,WEB,服务器,“,（服务器真实的,IP,地址）,45,防火墙配置定义访问规则,定义好的两条访问策略,46,防火墙配置定义地址转换（通信策略）,根据前面的需求如果内网要访问外网，则必须定义,NAT,策略；同样外网,要访问,WEB,服务器的映射地址，也要定义,MAP,策略,定义,NAT,策略，选择源为已定义的内部子网，目的为,“,AERA_ETH0,”,区域,47,防火墙配置定义地址转换（通信策略）,转换地址要选择,”,源地址转换为,“,ETH0,”,，也就是防火墙外网接口,IP,地址；,也可以选择定义好的,“,NAT,地址池,”,（在,“,对象,”,“,地址范围中定义,”,）,使用地址池,使用防火墙接口,48,防火墙配置定义地址转换（通信策略）,配置,MAP,（映射）策略,源地址可以选择区域,“,AERA_ETH0,”,;,也可以,选择,“,ANY,”,目的必须选择服务器映射,后的,IP,（合法,IP,）,选择已定义的,“,WEB,服务器,MAP,”,49,防火墙配置定义地址转换（通信策略）,目的地址转换为必须选择服务器映射前的,IP,（也就是,WEB,服务器的真实,IP,地址），选择,“,WEB,服务器,”,主机对象即可。,50,防火墙配置定义地址转换（通信策略）,设置好的地址转换策略（通信策略）,第一条为内网访问外网做,NAT,；,第二条为外网访问,WEB,服务器的映射地址，防火墙把包转发给服,务器的真实,IP,51,防火墙配置配置保存,点击防火墙管理页面右上角,“,保存,”,按钮，然后选择弹出对话框,“,确定,”,即可保存当前配置,52,防火墙配置查看配置、导出配置,在,“,系统,”,“,配置维护,”,中进行防火墙当前配置的保存、下载、上传等操作,53,防火墙配置查看配置、导出配置,按照下图中数字所示顺序即可把防火墙配置导出到本地,54,防火墙配置例,2,配置案例,1,（透明模式）：,INTERNET,202.99.27.193,防火墙,VLAN,（透明域）,IP,地址,202.99.27.252,应用需求：,内网可以访问互联网,外网可以访问,WEB,服务器,外网禁止访问内网,WEB,服务器,防火墙接口分配如下：,ETH0,接,INTERNET,ETH1,接内网,ETH2,接服务器区,202.99.27.0/24,202.99.27.250,55,防火墙配置定义区域及添加区 域管理权限,define area add name area_eth1 attribute eth1 access on,define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any,pf service add name gui area area_eth1 addressname any,pf service add name ping area area_eth1 addressname any,pf service add name telnet area area_eth1 addressname any,系统默认只能从,ETH0,接口（区域）对防火墙进行管理，输入如下命令：,添加,ETH1,接口为,“,AREA_ETH1,”,区域；,ETH2,接口为,“,AREA_ETH2,”,区域,对,“,AREA_ETH1,”,区域添加对防火墙的管理权限（当然也可以对,“,AREA_ETH2,”,区域添加）,定义你希望从哪个接口（区域）管理防火墙,56,防火墙配置登陆防火墙定义,VLAN,首先通过防火墙的缺省,IP,：,192.168.1.254,登陆防火墙,第一步，定义一个,VLAN,。点击,“,网络,”,“,VLAN,”,“,添加,/,删除,VLAN,范围,”,57,防火墙配置定义,VLAN,地址,添加完,VLAN,后，点击,“,地址信息,”,下的图标设置,VLAN IP,地址,58,防火墙配置定义,VLAN,地址,定义好的,VLAN,地址,59,防火墙配置定义加入,VLAN,中的物理接口（透明域）,分别点击属于,VLAN,中物理接口的,“,交换,”,图标，把物理接口的模式改为,“,交换,”,点击后，按默认值即可,60,防火墙配置定义,VLAN,中的物理接口（透明域）,当把,ETH0,接口的模式改为,“,交换,”,后，管理会丢失。因为此接口设为,“,交换,”,后，,其原来的,IP,（,192.168.1.254),地址会自动删除。这时，可以通过刚才定义的,VLAN,地址进行管理。,下图中可以看到添加到,VLAN1,中的三个接口都没有,IP,，模式为,“,交换,”,61,防火墙配置定义区域的缺省权限,在,“,对象,”,”,区域对象,“,中定义防火墙,3,个区域（接口）的默认权限为,”,禁止访问,“,62,防火墙配置定义对象,定义主机对象（,WEB,服务器）,定义内网对象（你的内网网段）,63,防火墙配置定义访问策略,注：,透明模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。,（当然，如果用户有需求，也可以设置相关,NAT,策略和,MAP,策略）,64,防火墙配置例,3,配置案例,1,（综合模式）：,INTERNET,202.99.27.193,防火墙,VLAN,（透明域）,IP,地址,202.99.27.252,应用需求：,内网可以访问互联网,外网可以访问,WEB,服务器,外网禁止访问内网,WEB,服务器,防火墙接口分配如下：,ETH0,接,INTERNET,ETH1,接内网,ETH2,接服务器区,192.168.16.0/24,202.99.27.250,192.168.16.254,65,防火墙配置定义网络接口,在,CONSOLE,下，定义接口,IP,地址,1,、输入,network,命令进入到,network,子菜单，定义防火墙内网接口的,IP,地址,66,防火墙配置定义区域及添加区 域管理权限,define area add name area_eth1 attribute eth1 access on,define area add name area_eth2 attribute eth2 access on,pf service add name webui area area_eth1 addressname any,pf service add name gui area area_eth1 addressname any,pf service add name ping area area_eth1 addressname any,pf service add name telnet area area_eth1 addressname any,系统默认只能从,ETH0,接口（区域）对防火墙进行管理，输入如下命令：,添加,ETH1,接口为,“,AREA_ETH1,”,区域；,ETH2,接口为,“,AREA_ETH2,”,区域,对,“,AREA_ETH1,”,区域添加对防火墙的管理权限（当然也可以对,“,AREA_ETH2,”,区域添加）,定义你希望从哪个接口（区域）管理防火墙,67,防火墙配置登陆防火墙定义,VLAN,通过防火墙的内网区域的,IP,：,192.168.16.254,登陆防火墙,定义一个,VLAN,。点击,“,网络,”,“,VLAN,”,“,添加,/,删除,VLAN,范围,”,68,防火墙配置定义,VLAN,的,IP,地址,设置,VLAN,地址,69,防火墙配置定义加入,VLAN,中的物理接口（透明域）,70,防火墙配置设置防火墙缺省网关,注意：,如果防火墙的,默认网关在,VLAN,（透明域）,中，则不需要指定防火墙接口。,防火墙自动匹配到,VLAN,71,防火墙配置定义区域的缺省权限,在,“,对象,”,”,区域对象,“,中定义防火墙,3,个区域（接口）的默认权限为,”,禁止访问,“,72,防火墙配置定义对象,定义主机对象（,WEB,服务器）,定义内网对象（你的内网网段）,73,防火墙配置定义,NAT,转换地址,内网访问外网肯定要做,NAT,，但是由于外网和,SSN,区是透明。其物理接口,并没有设置,IP,地址。在,“,地址转换,”,策略中不能直接选择外网的物理接口做,地址转换。所以需要定义一个,NAT,转换地址。,74,防火墙配置定义访问策略和地址转换策略,定义访问控制策略,定义地址转换策略,75,一些特殊应用设置,76,防火墙配置长连接的应用,在访问规则中，对于,TCP,的连接可以设置为普通连接，也可以设置为长连接，一般地防火墙对通信空闲一定时间的,TCP,连接将自动断开，以提高安全性和释放通信资源，但某些应用所建立的,TCP,连接需要长时期保持，即使处于空闲状态！,普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累,得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接，,否则连接不会被删除。,主要应用在数据库和视频系统。,77,防火墙配置长连接的应用,长连接在访问规则中的应用：,注意：只对需要的,TCP,协议的单个或多个端口使用长连接，不能默认对所有,TCP,端口都设置为长连接。不能对非,TCP,协议的端口做长连接。否则，会大量,消耗掉防火墙的系统资源。,78,防火墙配置自定义端口,防火墙内置一些标准服务端口，用以在访问规则中引用。但有时用户的系统,没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。,79,防火墙配置自定义端口,80,防火墙配置应用端口绑定和,TCP,连接的子连接,如果某种应用层协议使用了非标准的端口时，用户需要将这些非标准端口与应,用协议进行绑定。这样，防火墙在对这个应用层协议进行深度内容检测时，才,会认为这些数据包是合法报文并进行检测，否则将不进行深度过滤检测并按照,访问控制规则处理数据包。,另外，在一些应用中（如：,FTP,、,ORACLE,）会包含一些子连接。也就是说,某些应用在建立,TCP,连接时，只需要一个监听端口，但传送数据时会使用随机,的端口进行数据传输。如果在防火墙访问策略中只开放了监听端口,（如：,ORACLE,一般只开放,TCP1521,端口），其他端口禁止访问。那么，将导,致数据无法传送。,81,防火墙配置应用端口绑定和,TCP,连接的子连接,在,“,防火墙引擎,”,“,深度过滤,”,“,应用端口绑定,”,中设置，系统默认只打开了,“,TFTP,”,协议,82,防火墙配置应用端口绑定和,TCP,连接的子连接,点击,“,重置策略,”,按钮，就可以上述防火墙支持的应用层协议,网络卫士防火墙目前需要进行应用端口绑定的应用层协议类型如下：,HTTP,、,FTP,、,TFTP,、,SMTP,、,POP3,、,MMS,、,H225,、,H225RAS,、,SIP,、,RTSP,、,SQLNET,。,83,防火墙配置阻断策略,通过设置报文阻断策略可以对,IP,协议和非,IP,协议进行控制。当设备接收到一个,数据报文后，会顺序匹配报文阻断策略，如果没有匹配到任何策略,，则会依据默认规则对该报文进行处理。,从具体应用上，一般用来阻断一些病毒传播端口,阻断策略的优先级高于,“,访问控制策略,84,防火墙的高级应用,DPI(,深度报文检测）,用户认证,Trunk,环境及,VLAN,间的路由,策略路由和动态路由,全面支持,DHCP,ADSL,拨号,链路备份,IDS,联动,双机热备,服务器负载均衡,85,防火墙高级应用,DPI,（报文深度过滤）,深度过滤策略可以实现对应用层协议的内容进行检测和过滤，目前深度过滤,支持的应用层协议包括,:,FTP,、,HTTP,、,POP3,以及,SMTP,。深度过滤策略设置好,以后不能够单独生效，用户必须在访问控制规则中引用深度过滤策略，匹配了,该条访问控制规则的数据包才会进行深度内容检测处理。,首先要打开,DPI,模块，在,“,防火墙引擎,”,“,深度过滤,”,“,应用端口绑定,”,中打开,选择启动即可,86,防火墙高级应用,DPI,（报文深度过滤）设置关键字对象,关键字的设置是进行深度内容检测的基础,正则表达式说明：,TOS,中的关键字的正则格式与,FW4000,中的通配符区别很大，如果定义不当，会造成深度检测功能无法正常实现。,字符,.,匹配除,“,n,”,之外的任何单个字符。要匹配包括,n,在内的任何字符，请使用象,.n,的模式；,字符 *,匹配前面的子表达式零次或多次。例如，,zo*,能匹配,z,以及,zoo,。 * 等价于,0,；,字符,将下一个字符标记为一个特殊字符、或后向引用、或转义。例如，,n,匹配字符,n,。,n,匹配一个换行符，,(,则匹配,(,。,87,防火墙高级应用,DPI,（报文深度过滤）设置关键字对象,正则表达式举例：,如：,.rar,和,.exe,等，正则定义：,.* .exe,和,.* .rar,如：法轮功，正则定义：,.*,法轮功,如：新浪网站，正则定义：,.*sina,88,Step1,：保证设备已经开启,HTTP,应用协议过滤,89,Step2,：配置关键字,(,特殊字符,),本例的正则对象为,.*.torrent,，可以看出这里使用了,2,个,“,”,其中第,1,个,在,TOS,系统读取配置文件时会自动删除掉，真正起作用的是第,2,个,，所以在定义包括特殊字符的关键字时要使用,2,个,连写才能生效。,90,Step2,：配置关键字,(,普通字符,),91,Step3,：定义文件对象,92,Step4,：配置,HTTP,访问策略,93,Step5,：在访问策略中引用,DPI,94,Step6,：配置完成 保存、刷新连接,95,HTTP,对象设置中的部分参数说明如下：,防火墙高级应用,DPI,（报文深度过滤）,HTTP,对象参数,96,防火墙高级应用,DPI,（报文深度过滤） 关键字过滤,例：我们定义（网页）关键字过滤，禁止出现有,“,新闻,”,字样页面打开,97,防火墙高级应用,DPI,（报文深度过滤） 关键字过滤,定义好关键字之后，也必须在,“,HTTP,”,策略中进行设置,98,防火墙高级应用,DPI,（报文深度过滤）,URL,过滤,最后在访问规则中引用定义好,“,DPI,”,策略,注意：服务必须,选择,“,HTTP,”,99,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,例：定义关键字，禁止下载,”,md5summer.exe,文件,100,定义文件对象,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,“,文件,”,，用来定义关键字的读写属性（读、写、执行）。,文件对象的权限设置借鉴了文件系统的权限控制，支持三种访问权限，及其多种组合：,􀂾,读,，即允许对目标文件对象的读操作，例如,FTP,的下载文件，,HTTP,中的,“,get,”,操作，,POP3,中的收邮件。,􀂾,写,，即允许对目标文件对象的写操作，例如,FTP,中的上传文件，,HTTP,中的,“,post,”,操作，,SMTP,中的发邮件。,执行,，即允许执行包括目标文件对象的程序，如,CGI,程序。,如果,“,读,”,、,“,写,”,两个选项被同时选中，则表示允许任何访问。如所有三个选项,都没被选中，表示禁止访问。,101,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,设置文件对象,注意：没有选取读（,GET,）权限,102,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,定义,“,FTP,”,策略,注意：文件的,权限,必须和,“,文件对象,”,中设置的一样,103,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,最后在访问规则中引用定义好,“,DPI,”,策略,注意：服务必须,选择,“,FTP,”,104,防火墙高级应用,DPI,（报文深度过滤） 文件名过滤,可以看到通过,FTP,无法下载,MD5SUMMER.EXE,这个文件,105,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,POP3,）,定义一个关键字为,“,收件人,”,地址,*,106,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,POP3,）,定义,“,文件对象,”,，不选择,“,读,”,权限,没有选择,“,读,”,权限,107,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,POP3,）,定义,POP3,策略，只选择定义好的,”,收件人,“,108,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,POP3,）,在,”,访问控制规则中的,DPI,策略中引用,注意：协议必须选择,POP3,109,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,POP3,）,所有后缀为,“,”,的邮箱都收不了邮件了,110,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,SMTP,）,定义一个关键字为,“,发件人,”,地址,*,111,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,SMTP,）,定义,“,文件对象,”,，不选择,“,写,”,权限,没有选择,“,写,”,权限,112,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,SMTP,）,定义,SMTP,策略，只选择定义好的,”,发件人,“,113,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,SMTP,）,在,”,访问控制规则中的,DPI,策略中引用,注意：协议必须选择,SMTP,114,防火墙高级应用,DPI,（报文深度过滤） 邮件过滤（,SMTP,）,所有后缀为,“,”,的邮箱都发不了邮件了,115,防火墙高级应用用户认证,网络卫士防火墙支持以下认证方式或协议：,􀂾 本地认证（网络卫士防火墙内置的用户数据库）,􀂾,RADIUS,认证（使用,RADIUS,第三方认证服务器）,􀂾,TACACS,认证（使用,TACACS,第三方认证服务器）,􀂾 证书认证（使用标准,CA,证书认证）,􀂾,SecurID,认证（使用,SecurID,方式认证）,􀂾,LDAP,认证（使用,LDAP,认证）,􀂾 域认证（使用,WINDOWS,域认证）,网络卫士防火墙系统可以实现有效、快速、全面的用户及设备身份的管理，,解决以往简单认证方式带来的弊端，保证用户访问和设备之间访问的安全性；,用户通过网络卫士防火墙认证系统，可以通过简洁方便的模式实现对多种协议,、多种类型、多种方式的用户实现认证，用户通过简单统一的认证模式便可以,实现全方位的认证。,116,防火墙高级应用用户认证,例：设置一台,Raduis,服务器,117,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,防火墙支持,TRUNK,环境，也可以做,VLAN,间的路由,例一：,交换机有两个,VLAN,，通过,TRUNK,口与路由器,TRUNK,口相连。防火墙,可以放置在路由器和交换机中间。,118,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,配置步骤：,1,、将,ETH0,、,ETH1,接口设置为交换（透明）模式。,2,、将,ETH0,、,ETH1,接口类型设置修改成,Trunk,模式,TopsecOS# network interface eth0 switchport,TopsecOS# network interface eth0 switchport mode trunk,TopsecOS# network interface eth0 switchport trunk encapsulation dot1q,TopsecOS# network interface eth0 switchport trunk native-vlan 1,TopsecOS# network interface eth0 switchport access-vlan 1,TopsecOS# network interface eth0 switchport trunk allowed-vlan 1-1000,TopsecOS# network interface eth0 no shutdown,TopsecOS# network interface eth1 switchport,TopsecOS# network interface eth1 switchport mode trunk,TopsecOS# network interface eth1 switchport trunk encapsulation dot1q,TopsecOS# network interface eth1 switchport trunk native-vlan 1,TopsecOS# network interface eth1 switchport access-vlan 1,TopsecOS# network interface eth1 switchport trunk allowed-vlan 1-1000,TopsecOS# network interface eth1 no shutdown,119,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,分别点击防火墙物理接口的,“,交换,”,按钮，做如下设置：,注意选择,TRUNK,类型,802.1q,或,ISL,120,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,例二：,用防火墙做,VLAN,间的路由,121,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,配置步骤：,1,、创建,VLAN,TopsecOS# network vlan add id 10,TopsecOS# network vlan add id 20,122,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,2,、,配置,VLAN,地址,TopsecOS# network interface vlan.10 ip add 10.1.1.1 mask 255.255.255.0,TopsecOS# network interface vlan.20 ip add 20.1.1.1 mask 255.255.255.0,123,防火墙高级应用,TRUNK,环境及,VLAN,间的路由,3,、,将,ETH0,接口设置为,“,交换,”,模式，并修改成,Trunk,模式,124,防火墙高级应用策略路由和动态路由,网络卫士防火墙支持静、动态路由协议。策略路由可以不是只根据目的地址，,而是同时根据目的地址和源地址进行路由，这种方式可以实现内部网络的指,定对象使用特定外部线路与外部网络通信，从而进一步增强了网络的通信安全。,策略路由：,125,防火墙高级应用策略路由和动态路由,添加策略路由：,如果选择,“,NAT,后的源,”,为,“,是,”,，表示策略,路由的源地址为,NAT,后的地址，策略路由,添加成功后的,“,标记,”,一栏显示为,“,UGM,”,。默,认为,“,否,”,，策略路由添加成功后的,“,标记,”,一,栏显示为,“,U,”,。,126,防火墙高级应用策略路由和动态路由,OSPF,动态路由：防火墙支持,OSPF,、,RIP,动态路由协议,OSPF,协议是一个基于链路状态的动态路由协议，其基本原理是：在一个,OSPF,网络中，每一台路由器首先与自己的邻居建立邻接关系，然后向形成邻接关系,的邻居之间发送链路状态通告（,LSA,），链路状态通告描述了所有的链路信息，,每一个路由器接收到,LSA,都会把这些通告记录在链路数据库中，并发送一个副,本给他的邻居，通过,LSA,泛洪到整个区域，所有的路由器都会形成相同的链路,状态数据库，当所有路由器链路状态数据库相同时，会以自己为根，通过,SPF,算法计算出一个无环的拓扑，从而计算出自己到,达系统内部可达的最佳路由。,127,防火墙高级应用策略路由和动态路由,OSPF,配置,OSPF,在使用,OSPF,协议之前，需要首先启用,OSPF,进程,128,防火墙高级应用策略路由和动态路由,OSPF,设定区域及邻居,OSPF,协议的区域设定主要指：设定在哪个网段运行,OSPF,协议以及该网段属于,哪个,OSPF,区域，并且设定该区域内的路由器更新路由时是否进行认证，进而采,用何种认证方式。具体设置包括添加、修改和删除区域信息。,OSPF,协议一般使用组播来交换路由更新，只有组播地址中指定的路由器和主机,才能参与这种交换。如果出现网络上不允许多播传送数据或只需要将路由更新信,息通告某台指定设备的情况，则通过设定,OSPF,协议的邻居，以单播方式将路由,更新信息只发送给某一台指定的路由器。邻居设置包括查看区域邻居配置、添加,或者删除,OSPF,的邻居地址、查看或者添加,/,删除区域网络。,129,防火墙高级应用策略路由和动态路由,OSPF,添加,OSPF,区域,查看区域邻居配置,输入运行,OSPF,协议的网段所属区域,ID,、网段,IP,地址和,IP,地址掩码,130,防火墙高级应用策略路由和动态路由,OSPF,添加邻居地址,设定接口属性,在防火墙的接口上,可以配置的,OSPF,的参数包括,:,接口花费、,HELLO,报文,发送间隔、 重传间隔、 接口链路状态传输时延、 路由器优先级、 相邻路由,器老化时间、 报文验证方式和报文验证字等。,131,防火墙高级应用策略路由和动态路由,OSPF,OSPF,接口配置,132,防火墙高级应用策略路由和动态路由,OSPF,设置禁止哪些接口转发路由信息，则这些接口将只是被动地监听路由更新信息,可以重复以上操作对防火墙的多个接口抑制转发路由信息,133,防火墙高级应用策略路由和动态路由,OSPF,重发布,网络卫士防火墙,OSPF,支持将直连、,RIP,等路由重新发布入,OSPF,自治系统。,在,“,动态路由,.OSPF,”,标签页中,“,重新发布信息,”,处，选择要引入哪些路由信息到,OSPF,路由中作为外部路由信息。,134,防火墙高级应用策略路由和动态路由,RIP,RIP,（,Routing Information Protocol,），路由信息协议，是推出时间最长的路由协议，也是最简单的路由协议。,RIP,通过广播或多播,UDP,报文来交换路由信息，每,30,秒发送一次路由信息更新，同时根据收到的,RIP,报文更新自己的路由表。,RIP,提供跳跃计数,(hop count),作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的,路由器的数目。网络卫士防火墙支持,RIP,的,v1,、,v2,版本。,RIP,协议：,135,防火墙高级应用策略路由和动态路由,RIP,配置,RIP,在使用,RIP,协议之前，需要首先启用,RIP,进程,136,防火墙高级应用策略路由和动态路由,RIP,查看,RIP,协议配置信息,在,“,配置信息,”,处可以查看,RIP,路由协议的运行状况，包括,RIP,当前的状态信息、和,RIP,协议的调试信息,137,防火墙高级应用策略路由和动态路由,RIP,设置网络及邻居,基本属性主要定义了运行,RIP,协议的网段、,RIP,路由的邻居、,RIP,协议的版本，并给出了各定时器的默认值,查看网络配置,138,防火墙高级应用策略路由和动态路由,RIP,设置运行,RIP,协议的,IP,网段属性,设置邻居,139,防火墙高级应用策略路由和动态路由,RIP,设置,RIP,路由协议的版本。默认网络卫士防火墙运行,RIPv2,。,“,接口,”,主要定义了已经启动,RIP,路由协议的各个接口的详细设置，例如接口发送接收,RIP,路由时所使用的,RIP,协议的版本、接口认证方式等,140,防火墙高级应用策略路由和动态路由,RIP,重发布,重发布,”,主要定义了是否引入静态、直连、或者,OSPF,的路由信息到,RIP,路由协议中。,141,防火墙高级应用,DHCP,网络卫士防火墙提供比较全面的,DHCP,服务功能，能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下,DHCP,服务：,􀂾 作为,DHCP,客户端，从,DHCP,服务器获取动态,IP,地址；,􀂾 作为,DHCP,服务器，集中管理和维护客户网络主机,IP,地址分配；,􀂾 作为,DHCP,中继，转发,DHCP,报文；,􀂾 同时作为,DHCP,服务器和,DHCP,客户机（需工作在网络卫士防火,墙的不同接口上）。,142,防火墙高级应用,DHCP,防火墙作为,DHCP,客户端,网络卫士防火墙可以作为,DHCP,客户端，接口可以自动获取某个,IP,地址。在这种情况下，网络卫士防火墙的某些接口或全部接口将由,DHCP,服务器动态分配,IP,地址。,设置要自动获得,IP,地址的接口，点击,“,运行,”,后该接口将从,DHCP,服务器自动获取,IP,地址。,要禁止接口获得,IP,地址，点击,“,停止,”,，该接口将停止从,DHCP,服务器自动获取,IP,地址。,143,防火墙高级应用,DHCP,防火墙作为,DHCP,服务器,网络卫士防火墙可以指定某个物理接口或,VLAN,虚接口作为,DHCP,服务器，为该接口所在子网的主机动态分配,IP,地址，,此时该接口必须工作在,路由模式下。,144,防火墙高级应用,DHCP,防火墙作为,DHCP,中继,网络卫士防火墙提供,DHCP,中继服务，即支持某一网段的主机连接到位于另一网段的,DHCP,服务器。,输入网络上的,DHCP,服务器地址，并填写指定客户端所在端口，还有接受,server,回应的端口。,点击,“,运行,”,，启动中继服务。,145,防火墙高级应用,ADSL,拨号,防火墙支持动态接入的,PPPoE,协议。网络卫士防火墙可以外接,ADSL Modem,，,通过拨号与外网（如,Internet,）建立通信链路，在进行,ADSL,连接时，网络卫士,防火墙是通过,PPP,协议拨号到,ISP,以获得一个动态的,IP,地址。,ADSL,拨号成功后,，自动将,ppp0,口绑定到与其连接的一个以太网口，自动分配,IP,地址，并使系,统默认网关指向,ppp0,。需要注意的是，当内网用户需要通过,ADSL Modem,访问,外网的时候，还需要用户在网络卫士防火墙上手工配置,NAT,源地址转换策略，,将内网的数据报文的源地址转化为,ADSL,所绑定的属性名称，系统,会自动将内网私有地址转换为属性所绑定的接口地址。,146,防火墙高级应用,ADSL,拨号,注意：用来进行,ADSL,拨号的接口必须绑定,”,ADSL,“,属性,。,在,“,对象,”,“,区域对象,”,中添加接口绑定,“,ADSL,”,属性,147,防火墙高级应用,ADSL,拨号,如何配置,TOS,防火墙,ADSL,拨号功能,148,防火墙高级应用,ADSL,拨号,配置方式,1,持久在线模式,当链路异常掉线以后，防火墙也会无限次重复尝试连接，直到链路回复正常,TopsecOS# network adsl set dev eth1 username B22612345 passwd 82771234,demand no idle 300,mtu 1492 attribute adsl,149,防火墙高级应用,ADSL,拨号,配置方式,2,按需拨号模式,此模式下，当网络,300,秒内无任何流量时候，防火墙将自动断开,ADSL,链路，,待网络再有流量访问,Internet,时自动出发,ADSL,自动拨号，直至链路回复正常。,TopsecOS# network adsl set dev eth1 username B22612345 passwd 82771234,demand yes idle 300,mtu 1492 attribute adsl,150,防火墙高级应用,ADSL,拨号,配置地址转换策略,Topsec# nat policy add srcarea area_eth0 dstarea area_eth1 trans_src adsl,151,防火墙高级应用链路备份,链路备份,在网络设备的整个运行期间，无法保证设备所有接口都能长时间正常运作，或不可避免地会遇到一些可知或不可知因素造成设备某接口无法运行。网络卫士防火墙提供了,“,链路备份,”,功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动,“,链路备份,”,功能自动切换到另一条备用链路，以确保网络的正常通信。,设置,“,主链路,”,和,“,从链路,”,的接口，需要注意的是,主链路和从链路不能选择同一个接口。,“,探测链路状态,IP,”,是用来测试链路状态的测试用,IP,，输入,IP,地址，点击,“,设置参数,”,，系统将提示,“,添加成功,”,信息。,点击,“,启动,”,或,“,停止,”,按钮，启动或停止链路备份功能。,152,防火墙高级应用,IDS,联动,防火墙可以与其他,IDS,设备进行联动。凡是支持,TOPSEC,协议的,IDS,设备,都可以与天融信防火墙进行联动。,文件名为：,IDSKEY,153,防火墙高级应用,IDS,联动,点击,“,联动状态,”,“,刷新,”,即可看到,联动状态。,注意：防火墙生成的联动策略,优先级是最高的,154,防火墙高级应用双机热备,为保证网络不间断的正常通信，可以采用两台网络卫士防火墙并联使用的方法，称为网络卫士防火墙的