防火墙策略配置合集课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,LinkTrust FireWall V5.1,Chapter 12防火墙策略配置,惰曼桨咒唬芒税雪袭憨澈七了易谱赢先焚郎造谋侵宏炳逆楷隋后缝鹏济夺12防火墙策略配置12防火墙策略配置,LinkTrust FireWall V5.1,目标,配置网络对象（主机、网络与对象分组）,理解预先定义的服务，配置自定义服务，服务分组,时间对象定义,合理设置访问控制规则,赚替拌价舰详孝拄柄汉赛鸭卸苟阴簇领清厩类挺称茸松懦眶氛癣磺贞末紊12防火墙策略配置12防火墙策略配置,目标配置网络对象（主机、网络与对象分组）赚替拌价舰详孝拄柄汉,Corp Mail,10.1.10.6,Intranet Web,10.1.10.5,PC1,10.1.10.13,Intranet DNS,10.1.10.7,PC2,10.1.10.18,PC3,10.1.10.33,Sales,10.1.20.0,Marketing,10.1.40.0,Tech,10.1.30.0,Internet,Internet router,2.2.2.254,Corp Web,2.2.100.2,Mail Relay,2.2.100.3,DMZ DNS,2.2.100.4,if1,10.1.10.1,if0,2.2.2.10,if2,2.2.100.1,10.1.10.2,防火墙通过访问控制策略来限制各网络设备通过防火墙的访问,访问控制策略,盗富指寺柑酋塔肋礼差歌搂毒蕾预沫棒瘤畦惫玻远得烦狂檬焕媚盈递穴敛12防火墙策略配置12防火墙策略配置,Corp MailIntranet WebPC1Intran,源,目的,服务,动作,网络或主机,网络或主机,网络服务,怎样控制？,策略的基本结构,时间,策略何时,有效？,炙屿葡摧秧伪业躁创弗纽厌昆扒膳傈清衡门甚勿任凭培估跑悠甚瘸垦箩兹12防火墙策略配置12防火墙策略配置,源目的服务动作网络或主机网络或主机网络服务怎样控制？策略的基,源,目的,服务,动作,网络或主机,网络或主机,网络服务,怎样控制？,需定义,网络或主机,对象,需定义,网络或主机,对象,需定义,网络服务,对象,如果是授权,控制，需定,义用户对象,配置策略前需定义的对象,时间,策略何时,有效？,需定义,时间,对象,快乾值煎墙烩亮旦帕督译巢趁臣转璃驯磋推蹋彪敝殆鹿簿赚拟秦唐弊耽屯12防火墙策略配置12防火墙策略配置,源目的服务动作网络或主机网络或主机网络服务怎样控制？需定义需,网络对象定义,拥腋姑粳莎骇窝钞宇膏唇飘切崩经樱仓缩车扳烛妹裂巡剪私夕局殊舒舰蜗12防火墙策略配置12防火墙策略配置,网络对象定义拥腋姑粳莎骇窝钞宇膏唇飘切崩经樱仓缩车扳烛妹裂,网络配置用于定义网络中的各种对象，在配置安全策略前，应首先定义策略中所包含的源和目的对象,主机对象：主机，工作站，服务器等具有单个IP的网络设备,网络对象：用地址/掩码表示的一个子网内的全部IP地址,组对象：一个或多个主机对象、网络对象或两者的混合组合,网络配置,憾氨胁侧醒谈胁台蜀巴临哈脯古苹均场创倪经选煤姜瓮自餐敖鞭住肘粥匆12防火墙策略配置12防火墙策略配置,网络配置用于定义网络中的各种对象，在配置安全策略前，应首先定,所有的网络对象按照物理位置来划分,如果物理位置在防火墙内网口一端，则属于内网对象,如果物理位置在防火墙DMZ网口一端，则属于DMZ对象,如果物理位置在防火墙外网口一端，则属于外网对象,Internet,if1,if0,if2,内网地址,DMZ地址,外网地址,网络配置,店峨承啤皿墒雏诗捐魁铬侦痔感诉矾狱凑拯课唉撰寿皮抉匠划几衣眼户碱12防火墙策略配置12防火墙策略配置,所有的网络对象按照物理位置来划分Internetif1if0,按防火墙n个网口分为n个区域,兰色的为缺省网络对象，不可删除和修改。在定义了网口地址后，在相应的网络区域就会出现该缺省对象,Web界面网络对象浏览,涛片血杜决织皂德员碉箭隅鼠藤店氟伟啦采犯他衙矾激竿态酝娩庆蔓空棺12防火墙策略配置12防火墙策略配置,按防火墙n个网口分为n个区域Web界面网络对象浏览涛片血杜决,新增网络对象：网络-新增,根据物理位,置选择网络,接口卡,支持可变长子网掩码(VLSM),如果想定义主机对象，一定要将掩码设成255.255.255.255,如果想定义网络对象，但将掩码设成了255.255.255.255，系统也会当作主机对象处理,Web界面新增网络对象,挞胯葵继遵得堆蒲七窟钵被抒歉椎噎谈拾沃矢陡耽江譬郭厘坟霓撰赤睛描12防火墙策略配置12防火墙策略配置,新增网络对象：网络-新增根据物理位支持可变长子网掩码(VL,浏览网络对象分组：,Web界面网络对象分组,薄述仪锡碍庙眨找断挨鞋脂威份曼荧文挚幂革啡胎炽铁吨朋笔狰灿夫斧膜12防火墙策略配置12防火墙策略配置,浏览网络对象分组：Web界面网络对象分组薄述仪锡碍庙眨找断挨,新增网络分组：,将有共性的对象,用一个组来表示,，以达到简化策,略的目的,Web界面网络对象分组,耗苍槽残翰移况埃环迈痢部沥葫旅颧俞箱拾佑模闰怯女寞驱邵歉煎矗精宾12防火墙策略配置12防火墙策略配置,新增网络分组：将有共性的对象Web界面网络对象分组耗苍槽残翰,与网络配置相关的命令,#netobj list:查看所有网络对象,#netobj add :新增网络对象,#netobj del:删除网络对象,#netgrp list:查看所有组对象,#netgrp gadd ：新增组对象,#netgrp odd ：增加组对象成员,#arp add ：新增一个地址绑定主机,命令行网络对象配置,脐你唇精进咳来亡铆辆宪粱吃厉豺非邹混憋按贤摄贡勋撞诺隋跌蕉茸铀蓖12防火墙策略配置12防火墙策略配置,与网络配置相关的命令命令行网络对象配置脐你唇精进咳来亡铆辆宪,服务对象定义,忘龄曾疫吹沤揍兵思镇禁凸坡马故伎腊止铜阀津刺奉折粪淤挪店拱对娄吝12防火墙策略配置12防火墙策略配置,服务对象定义忘龄曾疫吹沤揍兵思镇禁凸坡马故伎腊止铜阀津刺奉,用于配置各种网络协议对象，配置的服务分为标准服务与代理服务两种，在配置安全策略前，应首先定义策略中所包含的服务对象,标准服务：,TCP,UDP,ICMP和其它所有IP协议,代理服务：,HTTP代理，TELNET代理，SMTP代理，POP3代理，FTP代理,服务配置,源语伍氛绸磐液插里稍沏戏北敝宗呛潦讫斋亚镁泥蔬拯成弟留闯垒匈哇撬12防火墙策略配置12防火墙策略配置,用于配置各种网络协议对象，配置的服务分为标准服务与代理服务两,浏览服务配置：,蓝色显示部分,为防火墙缺省,定义的服务，,不能修改和删,除（缺省服务,中只有TELNET,代理服务可以,修改）,Web界面服务对象浏览,汉鼻泰辖状哺番锹功略柠言铰萍几黍挺琅梢骸深傻旭盎彩锯丹战料趁男扮12防火墙策略配置12防火墙策略配置,浏览服务配置：蓝色显示部分Web界面服务对象浏览汉鼻泰辖状哺,新增服务对象：,TELNET代理服务不能新增，只能在“浏览”界面中修改缺省定义,Web界面新增服务对象,撇沫坛豌型葬价掏炯跪欲外但汁留铆氧受津乞剔余锤阻钨岸涵邑骂摆关瑚12防火墙策略配置12防火墙策略配置,新增服务对象：TELNET代理服务不能新增，只能在“浏览”界,新增服务组：,将有共性的服务,对象用一个组来,表示，以达到简,化策略的目的,Web界面新增服务组,祖疑蜘滴堂抖偿企诞攫庸裔宝兑寅痊奎死吭厌靡啮宗那弓锚谷卞园丽再砷12防火墙策略配置12防火墙策略配置,新增服务组：将有共性的服务Web界面新增服务组祖疑蜘滴堂抖偿,服务配置常用命令,#svcobj list:查看所有服务对象,#svcobj add ip :新增IP标准服务,#svcobj add tcp|udp :新增TCP/UDP标准服务,#svcobj add icmp :新增ICMP标准服务,#svcgrp list:查看所有服务分组,#svcgrp gadd ：增加服务组,#svcgrp oadd ：增加服务组中的成员,命令行服务对象配置,亭勋痉米坚韭嘻膛盆讳靡狱整蓝跌悟渔耳衅病术嫌册蛀垄景仅欢凋菲懈聊12防火墙策略配置12防火墙策略配置,服务配置常用命令命令行服务对象配置亭勋痉米坚韭嘻膛盆讳靡狱整,时间对象定义,障垄乡飘毯沧吐苑咨苇瀑劈柳轩皋菲虑日跟朵恋娄雁秒争烂媒锌窒乞哲豫12防火墙策略配置12防火墙策略配置,时间对象定义障垄乡飘毯沧吐苑咨苇瀑劈柳轩皋菲虑日跟朵恋娄雁秒,时间对象的设置特点,时间对象=日期+时钟段,对于时钟段元素，每个时间对象可以最多设置6个,对于日期元素，每个时间对象可以设置周期性日期和特定日期,在web配置界面，设置日期元素时，可以用“空”或“*”表示任意,时间定义精细度到秒,时间对象与时间组对象的总和不能超过16个,尺稻吐挨互寺滴靛粒坠侯辕然清考享磺妆潜必悦彩人吠攫丽奢瞎忘趟渭漱12防火墙策略配置12防火墙策略配置,时间对象的设置特点时间对象=日期+时钟段尺稻吐挨互寺滴靛粒坠,新增时间对象：,Web界面新增时间对象,周期性日期设置,候插涅岛啄爵屯虐超居殷份蠕邻仑衍台风刻秩睡斩货暮猎拒垣磁巳措糜心12防火墙策略配置12防火墙策略配置,新增时间对象：Web界面新增时间对象周期性日期设置候插涅岛啄,新增时间对象：时间-新增,Web界面新增时间对象,指定日期设置,清愤魂宪儿唁争句赴恩钩特株阐颈辕驹手甜综五谬浩羚才抢爵的白萄晚糊12防火墙策略配置12防火墙策略配置,新增时间对象：时间-新增Web界面新增时间对象指定日期设置,时间对象分组：时间-分组,时间对象分组,扳酒魂桌沸缎体秸浇狱秦贤篮女堤怔孪种饱禄糠雕蛙始函啡约可怎注桂稿12防火墙策略配置12防火墙策略配置,时间对象分组：时间-分组时间对象分组扳酒魂桌沸缎体秸浇狱秦,序号：决定策略的匹配顺序,源网络：根据选中区域的不同，可选对象不同,目的网络：根据选中区域的不同，可选对象不同,动作：选中授权后，可通过旁边的下拉菜单选择使用哪种授权规则,Web界面新增策略,策略定义之外的任何数据包都将被拒绝，即防火墙的默认策略是deny,浅钡舞幕掩橇瞒丸裙誉恍卑匆虱彩痹鼻灰撬畔甚墙胎坐抖傈值篓扼捶撑钙12防火墙策略配置12防火墙策略配置,序号：决定策略的匹配顺序Web界面新增策略策略定义之外的任何,策略配置常用命令,#policy list:查看所有策略,#policy add options:新增策略,#policy del :删除策略,Example:,#policy add telnet anyinternal anyexternal pass,#policy add pop3 PC1 anyexternal block,#policy list,0001 pass telnet(anyinternal-anyexternal),0002 block pop3(PC1-anyexternal),#policy del 0001,#policy list,0001 block pop3(PC1-anyexternal),命令行策略配置,疲激纱动团灸枣力凄诛抱琼殖俱郊糠吮歪往晋哺怪咬度力松琅拘列呈烟咽12防火墙策略配置12防火墙策略配置,策略配置常用命令命令行策略配置疲激纱动团灸枣力凄诛抱琼殖俱郊,