天融信防火墙TOPSEC系统管理.ppt

1 天融信网络防火墙4000 TOS 安装使用培训 2 服务须知 产品开箱后 应该按照以下步骤进行处理 按照装箱单的提示 检查附件是否齐全填写保修单 并将其邮寄到天融信公司客户服务中心到天融信公司的网站进行产品注册 用户名 通信地址 联系电话 产品序列号 产品型号一定要填写清楚 客户服务中心电话 800 810 5119 3 防火墙简介 4 Internet 一种高级访问控制设备 置于不同网络安全域之间的一系列部件的组合 它是不同网络安全域间通信流的唯一通道 能根据企业有关的安全政策控制 允许 拒绝 监视 记录 进出网络的访问行为 两个安全域之间通信流的唯一通道 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 5 防火墙的局限性 物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒 应用层携带的 防火墙自身不会被病毒攻击但不能防止内嵌在数据包中的病毒通过内部人员的攻击防火墙的配置不当 6 硬件一台外形 19寸1U标准机箱 产品外形 接COM口 管理机 7 CONSOLE线缆UTP5双绞线 直通 1条 颜色 灰色 交叉 1条 颜色 红色 使用 直通 与HUB SWITCH交叉 与路由器 主机 一些高端交换机也可以通过交叉线与防火墙连接 软件光盘上架附件 产品提供的附件及线缆使用方式 8 防火墙提供的通讯模式 透明模式 提供桥接功能 在这种模式下 网络卫士防火墙的所有接口均作为交换接口工作 也就是说 对于同一VLAN的数据包在转发时不作任何改动 包括IP和MAC地址 直接把包转发出去 同时 网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发 路由模式 静态路由功能 在这种模式下 网络卫士防火墙类似于一台路由器转发数据包 将接收到的数据包的源MAC地址替换为相应接口的MAC地址 然后转发 该模式适用于每个区域都不在同一个网段的情况 和路由器一样 网络卫士防火墙的每个接口均要根据区域规划配置IP地址 综合模式 透明 路由功能 顾名思义 这种模式是前两种模式的混合 也就是说某些区域 接口 工作在透明模式下 而其他的区域 接口 工作在路由模式下 该模式适用于较复杂的网络环境 说明 防火墙采用何种通讯方式是由用户的网络环境决定的 用户需要根据自己的网络情况 合理的确定防火墙的通讯模式 并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能 9 Internet 内部网 202 99 88 1 ETH0 202 99 88 2 ETH1 202 99 88 3 ETH2 202 99 88 4 202 99 88 10 24网段 202 99 88 20 24网段 外网 SSN 内网在同一个广播域 防火墙做透明设置 此时防火墙为透明模式 透明模式的典型应用 10 Internet 内部网 202 99 88 1 ETH0 202 99 88 2 ETH1 10 1 1 2 ETH2 192 168 7 2 10 1 1 0 24网段 192 168 7 0 24网段 外网 SSN区 内网都不在同一网段 防火墙做路由方式 这时 防火墙相当于一个路由器 路由模式的典型应用 11 综合接入模式的典型应用 ETH1 192 168 7 102 ETH2 192 168 7 2 192 168 1 100 24网段 192 168 7 0 24网段 此时整个防火墙工作于透明 路由模式 我们称之为综合模式或者混合模式 202 11 22 1 24网段 ETH0 202 11 22 2 两接口在不同网段 防火墙处于路由模式 两接口在不同网段 防火墙处于路由模式 两接口在同一网段 防火墙处于透明模式 12 网络卫士防火墙的硬件设备安装完成之后 就可以上电了 在工作过程中 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态 具体请见下表 防火墙的工作状态 13 在安装防火墙之前必须弄清楚的几个问题 1 路由走向 包括防火墙及其相关设备的路由调整 确定防火墙的工作模式 路由 透明 综合 2 IP地址的分配 包括防火墙及其相关设备的IP地址分配 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3 数据应用和数据流向 各种应用的数据流向及其需要开放的端口号或者协议类型 4 要达到的安全目的 即要做什么样的访问控制 14 常见病毒使用端口列表 69 UDP135 139 TCP135 139 UDP445 TCP445 UDP4444 TCP1433 UDP1434 UDP4899 UDP1068 TCP5554 TCP9995 TCP9996 TCPICMP 关掉不必要的PING 15 常见路由协议使用端口列表 RIP UDP 520RIP2 UDP 520OSPF IP 89IGRP IP 9EIGRP IP 88HSRP Cisco的热备份路由协议 UDP 1985BGP BorderGatewayProtocol边界网关协议 主要处理各ISP之间的路由传递 一般用在骨干网上 TCP 179 16 规则列表需要注意的问题 1 规则作用有顺序2 访问控制列表遵循第一匹配规则3 规则的一致性和逻辑性 访问控制规则说明 17 防火墙4000 TOS 的安装配置 18 串口 console 管理方式 管理员为空 回车后直接输入口令即可 初始口令talent 用passwd修改管理员密码 请牢记修改后的密码 WEBUI管理方式 超级管理员 superman 口令 talentTELNET管理方式 模拟console管理方式 用户名superman 口令 talentSSH管理方式 模拟console管理方式 用户名superman 口令 talent 防火墙配置 管理方式 19 防火墙配置 防火墙出厂配置 20 防火墙的CONSOLE管理方式 超级终端参数设置 21 防火墙的CONSOLE管理方式 防火墙的命令菜单 22 防火墙的CONSOLE管理方式 输入helpmodechinese命令可以看到中文化菜单 23 防火墙的WEBUI管理方式 在浏览器输入 HTTPS 192 168 1 254 看到下列提示 选择 是 24 防火墙的WEBUI管理方式 输入用户名和密码后 按 提交 按钮 25 防火墙的WEBUI管理方式 26 防火墙的管理方式 打开防火墙管理端口 注意 要想通过TELNET SSH方式管理防火墙 必须首先打开防火墙的服务端口 系统默认打开 HTTP 方式 在 系统 系统服务 中选择 启动 即可 27 防火墙的TELNET管理方式 通过TELNET方式管理防火墙 28 防火墙的接口和区域 接口和区域是两个重要的概念接口 和网络卫士防火墙的物理端口一一对应 如Eth0 Eth1等 区域 可以把区域看作是一段具有相似安全属性的网络空间 在区域的划分上 网络卫士防火墙的区域和接口并不是一一对应的 也就是说一个区域可以包括多个接口 在安装网络卫士防火墙前 首先要对整个受控网络进行分析 并根据网络设备 如主机 服务器等所需要的安全保护等级来划分区域 29 防火墙对数据包处理流程 30 网络卫士防火墙的基本配置过程 1 串口 console 下配置 配置接口IP地址 查看或调整区域管理权限 当然也可以通过命令的方式在串口下进行防火墙配置2 在串口下保存配置 用SAVE命令3 推荐使用WEBUI方式对防火墙进行各种配置4 配置具体的访问控制规则及其日常管理维护 防火墙的配置过程 提示 一般先设置并调整网络区域 然后再定义各种对象 网络对象 特殊对象等 然后在添加访问策略及地址转换策略 最后进行参数调整及增加一些辅助的功能 31 防火墙的基本应用 配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略 通讯策略 保存和导出配置 32 防火墙三种工作模式的配置案例 33 防火墙配置 例1 配置案例1 路由模式 INTERNET 202 99 27 193 202 99 27 250 192 168 1 254 172 16 1 100 172 16 1 1 192 168 1 0 24 应用需求 内网可以访问互联网服务器对外网做映射映射地址为202 99 27 249外网禁止访问内网 WEB服务器 防火墙接口分配如下 ETH0接INTERNETETH1接内网ETH2接服务器区 34 防火墙配置 定义网络接口 在CONSOLE下 定义接口IP地址 输入network命令进入到network子菜单 定义防火墙每个接口的IP地址 注意子网掩码不要输错 35 防火墙配置 定义区域及添加区域管理权限 defineareaaddnamearea eth1attribute eth1 accessondefineareaaddnamearea eth2attribute eth2 accesson pfserviceaddnamewebuiareaarea eth1addressnameanypfserviceaddnameguiareaarea eth1addressnameanypfserviceaddnamepingareaarea eth1addressnameanypfserviceaddnametelnetareaarea eth1addressnameany 系统默认只能从ETH0接口 区域 对防火墙进行管理 输入如下命令 添加ETH1接口为 AREA ETH1 区域 ETH2接口为 AREA ETH2 区域 对 AREA ETH1 区域添加对防火墙的管理权限 当然也可以对 AREA ETH2 区域添加 定义你希望从哪个接口 区域 管理防火墙 36 防火墙配置 调整区域属性 进入防火墙管理界面 点击 网络 物理接口 可以看到物理接口定义结果 点击每个接口的 其他 按钮可以修改每个接口的名称 注 防火墙每个接口的默认状态均为 路由 模式 37 防火墙配置 定义区域的缺省权限 在 对象 区域对象 中定义防火墙3个区域 接口 的默认权限为 禁止访问 38 防火墙配置 设置防火墙缺省网关 在 网络 静态路由 添加缺省网关 39 防火墙配置 设置防火墙缺省网关 设置缺省网关时 源和目的一般为全 0 防火墙的缺省网关在静态路由时 必须放到最后一条路由 40 防火墙配置 定义对象 主机对象 点击 对象 地址对象 主机对象 点击右上角 添加配置 41 防火墙配置 定义对象 主机对象 主机对象中可以定义多个IP地址 42 防火墙配置 定义对象 地址对象和子网对象 43 防火墙配置 制定访问规则 第一条规则定义 内网 可以访问互联网 源选择 内部子网 1 目的可以选择目的区域 AERA ETH0 也可以是 ANY 范围 44 防火墙配置 定义访问规则 第二条规则定义外网可以访问WEB服务器的映射地址 并只能访问TCP80端口 源选择 AERA ETH0 目的选择 WEB服务器 MAP 地址 转换前目的选择 WEB服务器 服务器真实的IP地址 45 防火墙配置 定义访问规则 定义好的两条访问策略 46 防火墙配置 定义地址转换 通信策略 根据前面的需求如果内网要访问外网 则必须定义NAT策略 同样外网要访问WEB服务器的映射地址 也要定义MAP策略 定义NAT策略 选择源为已定义的内部子网 目的为 AERA ETH0 区域 47 防火墙配置 定义地址转换 通信策略 转换地址要选择 源地址转换为 ETH0 也就是防火墙外网接口IP地址 也可以选择定义好的 NAT地址池 在 对象 地址范围中定义 使用地址池 使用防火墙接口 48 防火墙配置 定义地址转换 通信策略 配置MAP 映射 策略 源地址可以选择区域 AERA ETH0 也可以选择 ANY 目的必须选择服务器映射后的IP 合法IP 选择已定义的 WEB服务器 MAP 49 防火墙配置 定义地址转换 通信策略 目的地址转换为必须选择服务器映射前的IP 也就是WEB服务器的真实IP地址 选择 WEB服务器 主机对象即可 50 防火墙配置 定义地址转换 通信策略 设置好的地址转换策略 通信策略 第一条为内网访问外网做NAT 第二条为外网访问WEB服务器的映射地址 防火墙把包转发给服务器的真实IP 51 防火墙配置 配置保存 点击防火墙管理页面右上角 保存 按钮 然后选择弹出对话框 确定 即可保存当前配置 52 防火墙配置 查看配置 导出配置 在 系统 配置维护 中进行防火墙当前配置的保存 下载 上传等操作 53 防火墙配置 查看配置 导出配置 按照下图中数字所示顺序即可把防火墙配置导出到本地 54 防火墙配置 例2 配置案例1 透明模式 INTERNET 202 99 27 193 防火墙VLAN 透明域 IP地址202 99 27 252 应用需求 内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网 WEB服务器 防火墙接口分配如下 ETH0接INTERNETETH1接内网ETH2接服务器区 202 99 27 0 24 202 99 27 250 55 防火墙配置 定义区域及添加区域管理权限 defineareaaddnamearea eth1attribute eth1 accessondefineareaaddnamearea eth2attribute eth2 accesson pfserviceaddnamewebuiareaarea eth1addressnameanypfserviceaddnameguiareaarea eth1addressnameanypfserviceaddnamepingareaarea eth1addressnameanypfserviceaddnametelnetareaarea eth1addressnameany 系统默认只能从ETH0接口 区域 对防火墙进行管理 输入如下命令 添加ETH1接口为 AREA ETH1 区域 ETH2接口为 AREA ETH2 区域 对 AREA ETH1 区域添加对防火墙的管理权限 当然也可以对 AREA ETH2 区域添加 定义你希望从哪个接口 区域 管理防火墙 56 防火墙配置 登陆防火墙定义VLAN 首先通过防火墙的缺省IP 192 168 1 254登陆防火墙第一步 定义一个VLAN 点击 网络 VLAN 添加 删除VLAN范围 57 防火墙配置 定义VLAN地址 添加完VLAN后 点击 地址信息 下的图标设置VLANIP地址 58 防火墙配置 定义VLAN地址 定义好的VLAN地址 59 防火墙配置 定义加入VLAN中的物理接口 透明域 分别点击属于VLAN中物理接口的 交换 图标 把物理接口的模式改为 交换 点击后 按默认值即可 60 防火墙配置 定义VLAN中的物理接口 透明域 当把ETH0接口的模式改为 交换 后 管理会丢失 因为此接口设为 交换 后 其原来的IP 192 168 1 254 地址会自动删除 这时 可以通过刚才定义的VLAN地址进行管理 下图中可以看到添加到VLAN1中的三个接口都没有IP 模式为 交换 61 防火墙配置 定义区域的缺省权限 在 对象 区域对象 中定义防火墙3个区域 接口 的默认权限为 禁止访问 62 防火墙配置 定义对象 定义主机对象 WEB服务器 定义内网对象 你的内网网段 63 防火墙配置 定义访问策略 注 透明模式下防火墙不参与任何路由转发 因此不需要设置地址转换策略 当然 如果用户有需求 也可以设置相关NAT策略和MAP策略 64 防火墙配置 例3 配置案例1 综合模式 INTERNET 202 99 27 193 防火墙VLAN 透明域 IP地址202 99 27 252 应用需求 内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网 WEB服务器 防火墙接口分配如下 ETH0接INTERNETETH1接内网ETH2接服务器区 192 168 16 0 24 202 99 27 250 192 168 16 254 65 防火墙配置 定义网络接口 在CONSOLE下 定义接口IP地址 1 输入network命令进入到network子菜单 定义防火墙内网接口的IP地址 66 防火墙配置 定义区域及添加区域管理权限 defineareaaddnamearea eth1attribute eth1 accessondefineareaaddnamearea eth2attribute eth2 accesson pfserviceaddnamewebuiareaarea eth1addressnameanypfserviceaddnameguiareaarea eth1addressnameanypfserviceaddnamepingareaarea eth1addressnameanypfserviceaddnametelnetareaarea eth1addressnameany 系统默认只能从ETH0接口 区域 对防火墙进行管理 输入如下命令 添加ETH1接口为 AREA ETH1 区域 ETH2接口为 AREA ETH2 区域 对 AREA ETH1 区域添加对防火墙的管理权限 当然也可以对 AREA ETH2 区域添加 定义你希望从哪个接口 区域 管理防火墙 67 防火墙配置 登陆防火墙定义VLAN 通过防火墙的内网区域的IP 192 168 16 254登陆防火墙定义一个VLAN 点击 网络 VLAN 添加 删除VLAN范围 68 防火墙配置 定义VLAN的IP地址 设置VLAN地址 69 防火墙配置 定义加入VLAN中的物理接口 透明域 70 防火墙配置 设置防火墙缺省网关 注意 如果防火墙的默认网关在VLAN 透明域 中 则不需要指定防火墙接口 防火墙自动匹配到VLAN 71 防火墙配置 定义区域的缺省权限 在 对象 区域对象 中定义防火墙3个区域 接口 的默认权限为 禁止访问 72 防火墙配置 定义对象 定义主机对象 WEB服务器 定义内网对象 你的内网网段 73 防火墙配置 定义NAT转换地址 内网访问外网肯定要做NAT 但是由于外网和SSN区是透明 其物理接口并没有设置IP地址 在 地址转换 策略中不能直接选择外网的物理接口做地址转换 所以需要定义一个NAT转换地址 74 防火墙配置 定义访问策略和地址转换策略 定义访问控制策略 定义地址转换策略 75 一些特殊应用设置 76 防火墙配置 长连接的应用 在访问规则中 对于TCP的连接可以设置为普通连接 也可以设置为长连接 一般地防火墙对通信空闲一定时间的TCP连接将自动断开 以提高安全性和释放通信资源 但某些应用所建立的TCP连接需要长时期保持 即使处于空闲状态 普通连接如果在一段时间内没有收到报文则连接超时 以防止连接积累得越来越多 而长连接则不受这个限制 除非通信的一方主动拆除连接 否则连接不会被删除 主要应用在数据库和视频系统 77 防火墙配置 长连接的应用 长连接在访问规则中的应用 注意 只对需要的TCP协议的单个或多个端口使用长连接 不能默认对所有TCP端口都设置为长连接 不能对非TCP协议的端口做长连接 否则 会大量消耗掉防火墙的系统资源 78 防火墙配置 自定义端口 防火墙内置一些标准服务端口 用以在访问规则中引用 但有时用户的系统没有使用某些服务的标准端口 这时我们通过自定义方式加以定义 79 防火墙配置 自定义端口 80 防火墙配置 应用端口绑定和TCP连接的子连接 如果某种应用层协议使用了非标准的端口时 用户需要将这些非标准端口与应用协议进行绑定 这样 防火墙在对这个应用层协议进行深度内容检测时 才会认为这些数据包是合法报文并进行检测 否则将不进行深度过滤检测并按照访问控制规则处理数据包 另外 在一些应用中 如 FTP ORACLE 会包含一些子连接 也就是说某些应用在建立TCP连接时 只需要一个监听端口 但传送数据时会使用随机的端口进行数据传输 如果在防火墙访问策略中只开放了监听端口 如 ORACLE一般只开放TCP1521端口 其他端口禁止访问 那么 将导致数据无法传送 81 防火墙配置 应用端口绑定和TCP连接的子连接 在 防火墙引擎 深度过滤 应用端口绑定 中设置 系统默认只打开了 TFTP 协议 82 防火墙配置 应用端口绑定和TCP连接的子连接 点击 重置策略 按钮 就可以上述防火墙支持的应用层协议 网络卫士防火墙目前需要进行应用端口绑定的应用层协议类型如下 HTTP FTP TFTP SMTP POP3 MMS H225 H225RAS SIP RTSP SQLNET 83 防火墙配置 阻断策略 通过设置报文阻断策略可以对IP协议和非IP协议进行控制 当设备接收到一个数据报文后 会顺序匹配报文阻断策略 如果没有匹配到任何策略 则会依据默认规则对该报文进行处理 从具体应用上 一般用来阻断一些病毒传播端口 阻断策略的优先级高于 访问控制策略 84 防火墙的高级应用 DPI 深度报文检测 用户认证Trunk环境及VLAN间的路由策略路由和动态路由全面支持DHCPADSL拨号链路备份IDS联动双机热备服务器负载均衡 85 防火墙高级应用 DPI 报文深度过滤 深度过滤策略可以实现对应用层协议的内容进行检测和过滤 目前深度过滤支持的应用层协议包括 FTP HTTP POP3以及SMTP 深度过滤策略设置好以后不能够单独生效 用户必须在访问控制规则中引用深度过滤策略 匹配了该条访问控制规则的数据包才会进行深度内容检测处理 首先要打开DPI模块 在 防火墙引擎 深度过滤 应用端口绑定 中打开 选择启动即可 86 防火墙高级应用 DPI 报文深度过滤 设置关键字对象 关键字的设置是进行深度内容检测的基础 正则表达式说明 TOS中的关键字的正则格式与FW4000中的通配符区别很大 如果定义不当 会造成深度检测功能无法正常实现 字符 匹配除 n 之外的任何单个字符 要匹配包括 n 在内的任何字符 请使用象 n 的模式 字符 匹配前面的子表达式零次或多次 例如 zo 能匹配 z 以及 zoo 等价于 0 字符 将下一个字符标记为一个特殊字符 或后向引用 或转义 例如 n 匹配字符 n n 匹配一个换行符 则匹配 87 防火墙高级应用 DPI 报文深度过滤 设置关键字对象 正则表达式举例 如 rar和 exe等 正则定义 exe和 rar如 法轮功 正则定义 法轮功如 新浪网站 正则定义 sina 88 Step1 保证设备已经开启HTTP应用协议过滤 89 Step2 配置关键字 特殊字符 本例的正则对象为 torrent 可以看出这里使用了2个 其中第1个 在TOS系统读取配置文件时会自动删除掉 真正起作用的是第2个 所以在定义包括特殊字符的关键字时要使用2个 连写才能生效 90 Step2 配置关键字 普通字符 91 Step3 定义文件对象 92 Step4 配置HTTP访问策略 93 Step5 在访问策略中引用DPI 94 Step6 配置完成保存 刷新连接 95 HTTP对象设置中的部分参数说明如下 防火墙高级应用 DPI 报文深度过滤 HTTP对象参数 96 防火墙高级应用 DPI 报文深度过滤 关键字过滤 例 我们定义 网页 关键字过滤 禁止出现有 新闻 字样页面打开 97 防火墙高级应用 DPI 报文深度过滤 关键字过滤 定义好关键字之后 也必须在 HTTP 策略中进行设置 98 防火墙高级应用 DPI 报文深度过滤 URL过滤 最后在访问规则中引用定义好 DPI 策略 注意 服务必须选择 HTTP 99 防火墙高级应用 DPI 报文深度过滤 文件名过滤 例 定义关键字 禁止下载 md5summer exe文件 100 定义文件对象 防火墙高级应用 DPI 报文深度过滤 文件名过滤 文件 用来定义关键字的读写属性 读 写 执行 文件对象的权限设置借鉴了文件系统的权限控制 支持三种访问权限 及其多种组合 读 即允许对目标文件对象的读操作 例如FTP的下载文件 HTTP中的 get 操作 POP3中的收邮件 写 即允许对目标文件对象的写操作 例如FTP中的上传文件 HTTP中的 post 操作 SMTP中的发邮件 执行 即允许执行包括目标文件对象的程序 如CGI程序 如果 读 写 两个选项被同时选中 则表示允许任何访问 如所有三个选项都没被选中 表示禁止访问 101 防火墙高级应用 DPI 报文深度过滤 文件名过滤 设置文件对象 注意 没有选取读 GET 权限 102 防火墙高级应用 DPI 报文深度过滤 文件名过滤 定义 FTP 策略 注意 文件的权限必须和 文件对象 中设置的一样 103 防火墙高级应用 DPI 报文深度过滤 文件名过滤 最后在访问规则中引用定义好 DPI 策略 注意 服务必须选择 FTP 104 防火墙高级应用 DPI 报文深度过滤 文件名过滤 可以看到通过FTP无法下载MD5SUMMER EXE这个文件 105 防火墙高级应用 DPI 报文深度过滤 邮件过滤 POP3 定义一个关键字为 收件人 地址 106 防火墙高级应用 DPI 报文深度过滤 邮件过滤 POP3 定义 文件对象 不选择 读 权限 没有选择 读 权限 107 防火墙高级应用 DPI 报文深度过滤 邮件过滤 POP3 定义POP3策略 只选择定义好的 收件人 108 防火墙高级应用 DPI 报文深度过滤 邮件过滤 POP3 在 访问控制规则中的DPI策略中引用 注意 协议必须选择POP3 109 防火墙高级应用 DPI 报文深度过滤 邮件过滤 POP3 所有后缀为 的邮箱都收不了邮件了 110 防火墙高级应用 DPI 报文深度过滤 邮件过滤 SMTP 定义一个关键字为 发件人 地址 111 防火墙高级应用 DPI 报文深度过滤 邮件过滤 SMTP 定义 文件对象 不选择 写 权限 没有选择 写 权限 112 防火墙高级应用 DPI 报文深度过滤 邮件过滤 SMTP 定义SMTP策略 只选择定义好的 发件人 113 防火墙高级应用 DPI 报文深度过滤 邮件过滤 SMTP 在 访问控制规则中的DPI策略中引用 注意 协议必须选择SMTP 114 防火墙高级应用 DPI 报文深度过滤 邮件过滤 SMTP 所有后缀为 的邮箱都发不了邮件了 115 防火墙高级应用 用户认证 网络卫士防火墙支持以下认证方式或协议 本地认证 网络卫士防火墙内置的用户数据库 RADIUS认证 使用RADIUS第三方认证服务器 TACACS认证 使用TACACS第三方认证服务器 证书认证 使用标准CA证书认证 SecurID认证 使用SecurID方式认证 LDAP认证 使用LDAP认证 域认证 使用WINDOWS域认证 网络卫士防火墙系统可以实现有效 快速 全面的用户及设备身份的管理 解决以往简单认证方式带来的弊端 保证用户访问和设备之间访问的安全性 用户通过网络卫士防火墙认证系统 可以通过简洁方便的模式实现对多种协议 多种类型 多种方式的用户实现认证 用户通过简单统一的认证模式便可以实现全方位的认证 116 防火墙高级应用 用户认证 例 设置一台Raduis服务器 117 防火墙高级应用 TRUNK环境及VLAN间的路由 防火墙支持TRUNK环境 也可以做VLAN间的路由 例一 交换机有两个VLAN 通过TRUNK口与路由器TRUNK口相连 防火墙可以放置在路由器和交换机中间 118 防火墙高级应用 TRUNK环境及VLAN间的路由 配置步骤 1 将ETH0 ETH1接口设置为交换 透明 模式 2 将ETH0 ETH1接口类型设置修改成Trunk模式 TopsecOS networkinterfaceeth0switchportTopsecOS networkinterfaceeth0switchportmodetrunkTopsecOS networkinterfaceeth0switchporttrunkencapsulationdot1qTopsecOS networkinterfaceeth0switchporttrunknative vlan1TopsecOS networkinterfaceeth0switchportaccess vlan1TopsecOS networkinterfaceeth0switchporttrunkallowed vlan1 1000TopsecOS networkinterfaceeth0noshutdownTopsecOS networkinterfaceeth1switchportTopsecOS networkinterfaceeth1switchportmodetrunkTopsecOS networkinterfaceeth1switchporttrunkencapsulationdot1qTopsecOS networkinterfaceeth1switchporttrunknative vlan1TopsecOS networkinterfaceeth1switchportaccess vlan1TopsecOS networkinterfaceeth1switchporttrunkallowed vlan1 1000TopsecOS networkinterfaceeth1noshutdown 119 防火墙高级应用 TRUNK环境及VLAN间的路由 分别点击防火墙物理接口的 交换 按钮 做如下设置 注意选择TRUNK类型802 1q或ISL 120 防火墙高级应用 TRUNK环境及VLAN间的路由 例二 用防火墙做VLAN间的路由 121 防火墙高级应用 TRUNK环境及VLAN间的路由 配置步骤 1 创建VLAN TopsecOS networkvlanaddid10TopsecOS networkvlanaddid20 122 防火墙高级应用 TRUNK环境及VLAN间的路由 2 配置VLAN地址 TopsecOS networkinterfacevlan 10ipadd10 1 1 1mask255 255 255 0TopsecOS networkinterfacevlan 20ipadd20 1 1 1mask255 255 255 0 123 防火墙高级应用 TRUNK环境及VLAN间的路由 3 将ETH0接口设置为 交换 模式 并修改成Trunk模式 124 防火墙高级应用 策略路由和动态路由 网络卫士防火墙支持静 动态路由协议 策略路由可以不是只根据目的地址 而是同时根据目的地址和源地址进行路由 这种方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信 从而进一步增强了网络的通信安全 策略路由 125 防火墙高级应用 策略路由和动态路由 添加策略路由 如果选择 NAT后的源 为 是 表示策略路由的源地址为NAT后的地址 策略路由添加成功后的 标记 一栏显示为 UGM 默认为 否 策略路由添加成功后的 标记 一栏显示为 U 126 防火墙高级应用 策略路由和动态路由OSPF 动态路由 防火墙支持OSPF RIP动态路由协议 OSPF协议是一个基于链路状态的动态路由协议 其基本原理是 在一个OSPF网络中 每一台路由器首先与自己的邻居建立邻接关系 然后向形成邻接关系的邻居之间发送链路状态通告 LSA 链路状态通告描述了所有的链路信息 每一个路由器接收到LSA都会把这些通告记录在链路数据库中 并发送一个副本给他的邻居 通过LSA泛洪到整个区域 所有的路由器都会形成相同的链路状态数据库 当所有路由器链路状态数据库相同时 会以自己为根 通过SPF算法计算出一个无环的拓扑 从而计算出自己到达系统内部可达的最佳路由 127 防火墙高级应用 策略路由和动态路由OSPF 配置OSPF 在使用OSPF协议之前 需要首先启用OSPF进程 128 防火墙高级应用 策略路由和动态路由OSPF 设定区域及邻居 OSPF协议的区域设定主要指 设定在哪个网段运行OSPF协议以及该网段属于哪个OSPF区域 并且设定该区域内的路由器更新路由时是否进行认证 进而采用何种认证方式 具体设置包括添加 修改和删除区域信息 OSPF协议一般使用组播来交换路由更新 只有组播地址中指定的路由器和主机才能参与这种交换 如果出现网络上不允许多播传送数据或只需要将路由更新信息通告某台指定设备的情况 则通过设定OSPF协议的邻居 以单播方式将路由更新信息只发送给某一台指定的路由器 邻居设置包括查看区域邻居配置 添加或者删除OSPF的邻居地址 查看或者添加 删除区域网络 129 防火墙高级应用 策略路由和动态路由OSPF 添加OSPF区域 查看区域邻居配置 输入运行OSPF协议的网段所属区域ID 网段IP地址和IP地址掩码 130 防火墙高级应用 策略路由和动态路由OSPF 添加邻居地址 设定接口属性 在防火墙的接口上 可以配置的OSPF的参数包括 接口花费 HELLO报文发送间隔 重传间隔 接口链路状态传输时延 路由器优先级 相邻路由器老化时间 报文验证方式和报文验证字等 131 防火墙高级应用 策略路由和动态路由OSPF OSPF接口配置 132 防火墙高级应用 策略路由和动态路由OSPF 设置禁止哪些接口转发路由信息 则这些接口将只是被动地监听路由更新信息 可以重复以上操作对防火墙的多个接口抑制转发路由信息 133 防火墙高级应用 策略路由和动态路由OSPF 重发布 网络卫士防火墙OSPF支持将直连 RIP等路由重新发布入OSPF自治系统 在 动态路由 OSPF 标签页中 重新发布信息 处 选择要引入哪些路由信息到OSPF路由中作为外部路由信息 134 防火墙高级应用 策略路由和动态路由RIP RIP RoutingInformationProtocol 路由信息协议 是推出时间最长的路由协议 也是最简单的路由协议 RIP通过广播或多播UDP报文来交换路由信息 每30秒发送一次路由信息更新 同时根据收到的RIP报文更新自己的路由表 RIP提供跳跃计数 hopcount 作为尺度来衡量路由距离 跳跃计数是一个包到达目标所必须经过的路由器的数目 网络卫士防火墙支持RIP的v1 v2版本 RIP协议 135 防火墙高级应用 策略路由和动态路由RIP 配置RIP 在使用RIP协议之前 需要首先启用RIP进程 136 防火墙高级应用 策略路由和动态路由RIP 查看RIP协议配置信息 在 配置信息 处可以查看RIP路由协议的运行状况 包括RIP当前的状态信息 和RIP协议的调试信息 137 防火墙高级应用 策略路由和动态路由RIP 设置网络及邻居 基本属性主要定义了运行RIP协议的网段 RIP路由的邻居 RIP协议的版本 并给出了各定时器的默认值 查看网络配置 138 防火墙高级应用 策略路由和动态路由RIP 设置运行RIP协议的IP网段属性 设置邻居 139 防火墙高级应用 策略路由和动态路由RIP 设置RIP路由协议的版本 默认网络卫士防火墙运行RIPv2 接口 主要定义了已经启动RIP路由协议的各个接口的详细设置 例如接口发送接收RIP路由时所使用的RIP协议的版本 接口认证方式等 140 防火墙高级应用 策略路由和动态路由RIP 重发布 重发布 主要定义了是否引入静态 直连 或者OSPF的路由信息到RIP路由协议中 141 防火墙高级应用 DHCP 网络卫士防火墙提供比较全面的DHCP服务功能 能够很好地结合到客户网络环境中 网络卫士防火墙可以提供以下DHCP服务 作为DHCP客户端 从DHCP服务器获取动态IP地址 作为DHCP服务器 集中管理和维护客户网络主机IP地址分配 作为DHCP中继 转发DHCP报文 同时作为DHCP服务器和DHCP客户机 需工作在网络卫士防火墙的不同接口上 142 防火墙高级应用 DHCP 防火墙作为DHCP客户端 网络卫士防火墙可以作为DHCP客户端 接口可以自动获取某个IP地址 在这种情况下 网络卫士防火墙的某些接口或全部接口将由DHCP服务器动态分配IP地址 设置要自动获得IP地址的接口 点击 运行 后该接口将从DHCP服务器自动获取IP地址 要禁止接口获得IP地址 点击 停止 该接口将停止从DHCP服务器自动获取IP地址 143 防火墙高级应用 DHCP 防火墙作为DHCP服务器 网络卫士防火墙可以指定某个物理接口或VLAN虚接口作为DHCP服务器 为该接口所在子网的主机动态分配IP地址 此时该接口必须工作在路由模式下 144 防火墙高级应用 DHCP 防火墙作为DHCP中继 网络卫士防火墙提供DHCP中继服务 即支持某一网段的主机连接到位于另一网段的DHCP服务器 输入网络上的DHCP服务器地址 并填写指定客户端所在端口 还有接受server回应的端口 点击 运行 启动中继服务 145 防火墙高级应用 ADSL拨号 防火墙支持动态接入的PPPoE协议 网络卫士防火墙可以外接ADSLModem 通过拨号与外网 如Internet 建立通信链路 在进行ADSL连接时 网络卫士防火墙是通过PPP协议拨号到ISP以获得一个动态的IP地址 ADSL拨号成功后 自动将ppp0口绑定到与其连接的一个以太网口 自动分配IP地址 并使系统默认网关指向ppp0 需要注意的是 当内网用户需要通过ADSLModem访问外网的时候 还需要用户在网络卫士防火墙上手工配置NAT源地址转换策略 将内网的数据报文的源地址转化为ADSL所绑定的属性名称 系统会自动将内网私有地址转换为属性所绑定的接口地址 146 防火墙高级应用 ADSL拨号 注意 用来进行ADSL拨号的接口必须绑定 ADSL 属性 在 对象 区域对象 中添加接口绑定 ADSL 属性 147 防火墙高级应用 ADSL拨号 如何配置TOS防火墙ADSL拨号功能 148 防火墙高级应用 ADSL拨号 配置方式1 持久在线模式 当链路异常掉线以后 防火墙也会无限次重复尝试连接 直到链路回复正常 TopsecOS networkadslsetdeveth1usernameB22612345passwd82771234demandnoidle300mtu1492attributeadsl 149 防火墙高级应用 ADSL拨号 配置方式2 按需拨号模式 此模式下 当网络300秒内无任何流量时候 防火墙将自动断开ADSL链路 待网络再有流量访问Internet时自动出发ADSL自动拨号 直至链路回复正常 TopsecOS networkadslsetdeveth1usernameB22612345passwd82771234demandyesidle300mtu1492attributeadsl 150 防火墙高级应用 ADSL拨号 配置地址转换策略 Topsec natpolicyaddsrcarea area eth0 dstarea area eth1 trans srcadsl 151 防火墙高级应用 链路备份 链路备份 在网络设备的整个运行期间 无法保证设备所有接口都能长时间正常运作 或不可避免地会遇到一些可知或不可知因素造成设备某接口无法运行 网络卫士防火墙提供了 链路备份 功能来实时监视整个链路的工作情况 一旦发现异常 就立即启动 链路备份 功能自动切换到另一条备用链路 以确保网络的正常通信 设置 主链路 和 从链路 的接口 需要注意的是主链路和从链路不能选择同一个接口 探测链路状态IP 是用来测试链路状态的测试用IP 输入IP地址 点击 设置参数 系统将提示 添加成功 信息 点击 启动 或 停止 按钮 启动或停止链路备份功能 152 防火墙高级应用 IDS联动 防火墙可以与其他IDS设备进行联动 凡是支持TOPSEC协议的IDS设备都可以与天融信防火墙进行联动 文件名为 IDSKEY 153 防火墙高级应用 IDS联动 点击 联动状态 刷新 即可看到联动状态 注意 防火墙生成的联动策略优先级是最高的 154 防火墙高级应用 双机热备 为保证网络不间断的正常通信 可以采用两台网络卫士防火墙并联使用的方法 称为网络卫士防火墙的双机热备 份 当使用双机热备时 任何时刻都只有一台网络卫士防火墙工作 主用网络卫士防火墙 另一台网络卫士防火墙处于监视状态 当工作机的任何一个接口 不包括作为监视端口的物理接口 出现故障时 监视状态的网络卫士防火墙将接替工作 在进行双机热备配置时 需要将两台网络卫士防火墙的最后一个接口 编号最高的 通过一个物理接口相连 用于两台防火墙之间的状态信息的同步 155 防火墙高级应用 双机热备 配置步骤 1 配置HA的交互IP 心跳线相连的两个端口 主墙 TopsecOS networkinterfaceeth2ipadd10 0 0 1mask255 255 255 0ha static备墙 TopsecOS networkinterfaceeth2ipadd10 0 0 2mask255 255 255 0ha static2 指定HA网口本地地址以及对端地址主墙 TopsecOS haenableTopsecOS halocal10 0 0 1TopsecOS hapeer10 0 0 2备墙 TopsecOS haenableTopsecOS halocal10 0 0 2TopsecOS hapeer10 0 0 1 156 防火墙高级应用 双机热备 3 配置所有通讯网口的metric值 心跳网口除外 端口的metric值的配置直接影响到TOS的状态 所有UP起来的端口的metric值的总和最大的就处于 active 状态 对端则处于 standby 状态 所以metric值是判断TOS处于active或者Standby工作状态的最主要的依据 而每个端口配置的metric值的范围是0 100 主墙 TopsecOS networkinterfaceeth0ha metric10TopsecOS networkinterfaceeth1ha metric10备墙TopsecOS networkinterfaceeth0ha metric10TopsecOS networkinterfaceeth1ha metric10 每个接口都需要配置metric值 并建议所以的接口都配置为同样的metric值 一个特例 由于初始状态下各个网口的Metric值都是 0 如果不修改这个参数的值 将会导致任意拔掉Active状态的设备接口网线都不会导致当前工作模式的切换 这主要是由于此时主墙与备墙的Metric总值依旧相等都 0 因此两设备间依旧保持原有的工作状态 4 所有配置完成后 就需要执行 sync 命令来相互交互配置 使两台TOS的配置相同 起到备份作用 有一下三种情况 TOS ha syncfrom peer 把对端的配置同步到本地 TOS ha syncto peer 把本地的配置同步到对端 TOS ha sync 缺省的把本地的同步到对端 157 防火墙高级应用 双机热备 158 防火墙高级应用 服务器负载均衡 TOS防火墙负载均衡功能实现的是一种服务器集群技术 防火墙可以对访问服务器的请求进行处理 根据服务器的状况把请求调度到服务器集群中的某一台真实服务器上去 从而实现了大流量下服务请求连接的负载分担 在这种集群服务器的环境下 客户端只能看到一台虚拟的服务器 对外表现为一台服务器 TOS设备能无缝地将网络请求调度到真实服务器上 从而使得服务器集群的结构对客户是透明的 客户访问集群系统提供的网络服务就像访问一台高性能 高可用的服务器一样 客户程序不受服务器集群的影响 不需作任何修改 TOS防火墙负载均衡功能是通过NAT NetworkAddressTranslation 技术来实现的 TOS产品作为地址转换网关 可以将一个外部IP地址映射为多个内部IP地址 对每次连接请求动态使用其中一个内部地址 达到负载均衡的目的 159 防火墙高级应用 服务器负载均衡 典型应用示例 使用网络卫士防火墙的服务器负载均衡功能 可以通过以下四步来实现 1 定义主机对象2 定义服务器 3 定义负载均衡组 4 定义地址转换规则 160 防火墙高级应用 服务器负载均衡 1 定义主机对象 定义两台WEB服务器 192 168 2 100 192 168 2 200定义负载均衡组的映射IP 202 99 27 200 161 防火墙高级应用 服务器负载均衡 2 定义服务器对象 选择对象 负载均衡 服务器 在右侧页面中点击 添加配置 进入服务器设置页面 如下图所示 162 防火墙高级应用 服务器负载均衡 服务器参数说明 通过探测 可以检测服务器的工作状态 可以避免在该服务器宕机或服务异常的情况下仍旧发送流量到该服务器 造成用户请求的服务不能得到响应的情况 探测的方式可以是主机探测或服务探测 主机探测是通过简单的PING命令进行定时监测来确定服务器是否在线 而服务探测是根据服务器提供的服务选择相应的端口作为探测 如HTTP的80端口 FTP的20 21端口或用户自定义的特殊端口 一般来说 服务探测比较能够真实反映服务器的工作状态 163 防火墙高级应用 服务器负载均衡 3 定义负载均衡组 选择对象 负载均衡 均衡组 在右侧页面中点击 添加配置 系统进入均衡组设置页面 如下图所示 164 防火墙高级应用 服务器负载均衡 参数说明 均衡组备份功能 backup选项 对于一个均衡组A来说 必须配置另外一台均衡组B来给A做备份 配置参数是B的id号 只有当A中的所有服务 服务器器都down掉后 新的服务请求才会被分配到B上去 B只起备份作用 不能给A做流量分担 165 防火墙高级应用 服务器负载均衡 4 定义地址转换规则 选择防火墙引擎 地址转换 在右侧页面中点击 添加配置 按钮 进入添加地址转换规则页面 166 防火墙高级应用 服务器负载均衡 相关问题 1 某个应用或主机不正常时 防火墙多长时间才能探测到 10s FW每10s发送一次探测包 主机探测发ping包 服务探测发syn包 所以只支持tcp服务 探测频率是每10s一次 如果5s内没有回应 就认为此服务器down掉了 ICMP请求每次发一个包 而syn探测交互一次为6个包 基本可以保证5s内探测的冗余 2 是否支持同一服务器的多个服务探测 TOS只支持探测一个端口 而且只支持对TCP服务的探测 167 防火墙辅助功能 168 防火墙辅助功能 查看防火墙基本信息 169 防火墙辅助功能 查看 修改防火墙系统时间 170 防火墙辅助功能 查看防火墙运行状态 171 防火墙辅助功能 查看系统参数 172 防火墙辅助功能 日志设置 防火墙本身不存储日志信息 如果要保留相关日志 请安装随机光盘的日志服务器软件 然后设置日志服务器地址 防火墙就会把日志信息发送到日志服务器上 173 防火墙辅助功能 报警设置 设置触发报警的安全事件 管理管理员登陆或离线 重要配置发生变化 系统资源不足 如内存不足等等 系统硬件故障 如网卡 加密卡损坏等等 系统状态异常 除资源不足和硬件损坏 系统进行升级以及其他对外关键通信事件出现故障 系统监测到攻击发生 违反了某条访问策略 并且此条访问策略还规定了违反时必须报警等 分为 邮件报警 声音报警 SNMP NETBIOS 控制台报警 174 防火墙辅助功能 开放服务 175 防火墙辅助功能 健康记录 管理员可以定期生成 下载设备的健康记录 以便当设备出现异常时 可以帮助天融信的技术支持人员快速地定位并解决故障 176 防火墙辅助功能 恢复出厂设置 系统除了提供上节所述的设备配置维护功能外 还提供了恢复出厂默认配置的功能 以方便用户重新配置设备 恢复出厂配置后 设备的网络接口地址可能会改变 配置信息会被清除 进而导致失去连接 请用户提前做好准备 177 防火墙辅助功能 系统升级 设备支持基于TFTP协议的升级方式和专用升级工具 注意 请在升级前进行系统备份 178 防火墙辅助功能 添加管理用户及修改管理员口令 设备支持多级用户管理 不同类型