防火墙配置手册.ppt-道客多多_道客多多docduoduo.com

资源描述

1、防火墙配置防火墙配置实训手册实训手册Http:/华迪信息 .网络工程中心防火墙形态防火墙形态类似于一台路由器设备，是一台特殊的计算机。以天融信防火墙 (TOPSEC FireWall ARES M)为实例，来测试防火墙各区域的访问控制机制：目标一：了解访问策略的原理与作用。通过设置访问策略，测试 Intranet（企业内联网） ,SSN（安全服务区，即 DMZ（非军事区） ,Internet（互联网）区域之间访问控制机制。目标二：了解 NAT原理与作用。测试内网通过 NAT方式相互访问。并通过NAT访问因特网，过滤特定网站和特定网页。目标三：了解 MAP原理与作用。

2、测试外网通过 MAP访问企业内部服务器。了解防火墙三种接入模式。配置目标配置目标n 防火墙 n 为为网网络络用用户户提提供供安安全全的的 Internet 接接入入InternetDMZ WEB服务层Intranet 内部网络Web e-mail FTP防火墙 FireWallWeb Site Filter Web 站点访问过滤限限制制对对非非本本企企业业业业务务目目的的的的 Internet 资资源源的的访访问问 Connection to outside networkConnection to inside networ

3、kConnection to www network防火墙在企业网的接入Intranet区域SSN区域Internet区域大门实实验验室室分分布布情情况况Internet实验网络结构图实验网络结构图192.168.6.50/60网关： 192.168.6.250DMZ 区Intranet 内网Web e-mail FTPInternet 外网192.168.2.50/60/70/80/90网关： 192.168.2.250192.168.1.50/60/70/80/90网关： 192.168.1.2502.250 6.2501.250防火墙路由模式访问控制测试结构一、通过防火墙的路由功能实

4、现访问控制，操作步骤如下：STEP1:线路连接根据图示设置主机 IP地址 (注意主机 IP与连接的防火墙端口地址为同一网段，不能与连接的防火墙端口地址冲突 )，设置防火墙本区域端口 IP地址为主机网关地址。测试能否 PING通防火墙端口 IP地址。上半部份上半部份STEP2:通过软件登陆 Firewall打开防火墙配置软件 “TOPSEC集中管理器 ”，新建项目，输入防火墙本区域端口 IP地址，登陆到防火墙。查看防火墙 “基本信息 ” 和 “实时监控 ”，了解其他各菜单功能。说明：登陆下列其中一个用户： user1/2/3/4/5/6/7/8/9/10, 口令为： 123456防

5、火墙配置一般有三种方式：B/S配置 ,C/S配置 ,Console口配置 .本实验防火墙采用 C/S方式。区域之间缺省权限的设置区域之间缺省权限的设置 STEP3: 防火墙区域缺省权限设置网络区域防火墙三个区域缺省访问权限设为允许访问。操作说明：选择 “可读、可写、可执行 ”选项，表示为允许访问。本机 PING其他区域内主机，测试连通性。网络区域防火墙三个区域缺省访问权限设为禁止访问。操作说明：不选择 “可读、可写、可执行 ”选项，表示为禁止访问。本机 PING其他区域内主机，测试连通性。第四个区域 area_4为该软件上带的区域名，可不管 ,实际硬件

6、上没有。缺省访问权限是指区域之间主机的默认权限。如果是 PING本区域内主机，由于是通过交换机进行通信，防火墙不能控制同一区域主机之间的权限，本区域内主机是能够连通的。主机节点对象的建立主机节点对象的建立接下来在防火墙三个区域缺省权限设为禁止访问的情况下，做以下步骤：STEP4: 主机节点对象建立高级管理网络对象本主机所在区域定义新对象定义节点把本主机 IP地址定义为一个节点。定义名称可任意，物理地址可不填。说明：定义对象应在该对象所在区域内设置。本机在哪个区域，则在那个区域内设置。定义节点针对一个主机定义，定义子网可定义一个网络地址段。定义对象没有任何

7、权限的作用，只有通过访问策略（ STEP5设置）调用这些对象才能设置权限。防火墙访问控制过滤机制包过滤示意图防火墙访问控制过滤机制包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限（允许 /禁止）源对象目的对象策略服务http,ftp,smtp等时间策略访问控制允许 /拒绝一条访问策略规则： STEP5 :区域之间主机权限策略设置，测试访问控制1) 首先明确源主机、目标主机 ,访问控制是针对源到目的的访问。然后在高级管理访问策略需要访问的目标主机所在区域内增加包过滤策略，策略源为访问端（只选择本机节点），策略目的为被访问

8、端（只选择其他区域某节点），策略服务为 PING，访问控制设为允许。注意策略源和目的只选择节点，针对主机进行权限设置。通过 PING 对方主机测试连通性。特别注意：访问策略应在被访问对象所在的目标区域设置策略。如：访问 SSN区域内主机，则应在 SSN区域内设置策略。访问控制测试访问控制测试2) 在本区域内增加包过滤策略，建立禁止对方主机（策略源）访问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。说明：必须针对不同区域设置访问权限，同一区域内的主机防火墙是不能控制权限的，设置的策略也是无用的。3) 禁止其他区域主机访问本机 135-139及 445

9、,7626,4006， 1027，6267， 8080端口（任选其一设置）。策略服务在都不选择的情况下，为任何服务，包括所有协议所有端口。策略服务在都选择的情况下，表示只对所选择的服务进行访问控制。访问策略优先级高于区域默认权限策略的优先级（ STEP3已设置）。每个访问策略都是单向访问，只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问，则需要建立两个策略。访问策略可控制源地址，目标地址，策略服务，访问控制时间。访问控制测试访问控制测试STEP6: 通过策略范围来控制主机访问权限(1)设置两个策略，一个策略为设置本机访问其他区域某一主机的访问策略，访问

10、策略为允许，另一个策略同样是访问该主机，但访问控制设为禁止，更改两个策略的优先级，通过 PING 对方主机测试连通性。说明：鼠标上下拖动所建策略可以更改优先级，排在上面的策略优先级高。(2) 设置两个策略，一个策略为本机访问其他整个区域的策略，另一个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策略的优先级，通过 PING 对方区域内主机测试连通性。(3) 设置两个策略，一个策略为本机访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机禁止通过策略服务 PING其他区域该主机。更改两个策略的优先级，通过 PING 对方主机测试连通性。访问控制测试访问控制测

11、试(4) 设置两个策略，一个策略为本机禁止访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机允许通过策略服务PING其他区域该主机。更改两个策略的优先级，通过 PING 对方主机测试连通性，访问对方主机其他端口（如共享方式）进行测试。(5) 设置本区域允许访问其他整个区域，策略服务为任何服务，通过 PING 对方所有主机测试连通性。(6) 在网络区域，设置所有区域缺省权限为允许，再建立一个访问策略，禁止 PING对方某一主机的访问策略。测试与对方主机的连通性。7）根据需要，自行定义策略，设置权限。说明：如果选择整个区域，如选择 INTRANET区域 ”，则指包括连

12、入 INTRANET内的所有主机。可以通过策略的优先级，把范围小的策略优先级设置为高于范围大的策略，能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。访问控制测试访问控制测试企业防火墙设置注意要点：企业防火墙设置注意要点：防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙访问策略来实现。访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行设置。为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。策略规则应尽量简化，策略太多容易杂乱，不便管

13、理，影响防火墙效率。常见的木马、病毒使用的端口尽量关闭，如 445,7626， 4006，1027， 6267等，对高发及最新病毒、木马端口要及时做出处理。防止反向连接 ,对由内到外的连接也要注意端口防护。与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下，通过 NAT方式进行访问。访问端需要有网关（路由）。1）把需要测试的目标主机操作系统中网关地址 (在网络属性中设置 ) 删除。 2）在目标主机无网关情况下，增加一个访问策略，允许本机（策略源）访问该目标主机（策略目的），测试与该主机连接情况。3) 进入高级管理通信策略增加本机（策略源）到该目标主机（策略目的）

14、的通讯策略，通信方式选择 NAT方式。4）测试与该主机连通情况以及对方主机访问本机的连通情况。5）本机删除网关后，让对方主机增加网关，反过来再增加访问策略和NAT进行测试。说明：访问策略是权限的问题，通讯策略是路径的问题。NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。保护了内网的安全。思考 : NAT是作为源 IP地址转换， NAT在整个转换过程中所起到的作用 ?通信策略通信策略STEP7: 设置 NAT（网络地址转换）方式NAT 在互联网的应用隐藏了内部网络结构内部网络可以使用私有 IP地址NAT原理源地址转换原理源地址转换192.168.1.50网

15、关： 192.168.1.250192.168.8.50Intranet:192.168.1.250Internet:192.168.8.250报头数据源地址： 192.168.1.50目的地址： 192.168.8.50报头数据源地址： 192.168.8.250目的地址： 192.168.8.50NAT转换192.168.1.50发送的数据包经过 NAT转换后，源地址成为 192.168.8.250DMZ 区Intranet 内网Web e-mail FTPInternet 互联网192.168.2.50/60/70/80/90网关： 192.168.2.250192.168.1.50

16、/60/70/80/90网关： 192.168.1.2502.2506.2501.250互联网过滤互联网过滤1）首先把防火墙 INTERNET区域端口接入到华迪实训公司 INTERNET网络线路。2) 建立一个访问策略（包过滤策略），以本机作为策略源，以 INTERNET区域做为策略目的，策略服务选择任何服务。3）再建立一个通信策略（ NAT方式），本机做为策略源， INTERNET区域作为策略目的。然后本机 DNS（在网络属性中设置）指向到互联网 DNS服务器 IP地址 , 检查能否 PING通 DNS服务器 IP，测试能否连入互联网。DNS服务器 IP： 211.95.129.

17、16161.139.2.69 STEP8: 通过 HTTP过滤策略 , 过滤网站和过滤网页 .4) 在高级管理特殊对象 URL 定义新对象，输入任一网址，注意格式要求。注意：定义 URL时前后应加 * , 如格式： ** 。5）访问策略 INTERNET区域增加 HTTP策略，禁止某一网站。把过滤策略优先级提到最前面，测试该网站能否打开。（不需选择关键字）6）在高级管理特殊对象关键字定义关键字7）访问策略 INTERNET区域增加 HTTP策略，允许某一网站访问，但禁止关键字访问。把过滤策略优先级提到最前面，测试含有该关键字的网页能否打开。注意：定义关键字不需要加

18、* ，过滤关键字即过滤含有关键字的网页。选择关键字则访问策略的访问控制只能选择 “允许 ”,不能选择禁止。8）通过包过滤策略，禁止本机访问 INTERNET,策略服务为TCP:80(HTTP服务 )，测试能否连入互联网。9) PING 某一网站域名 (网址），记住其 IP地址，通过访问策略禁止本机PING此 IP地址。下半部份二、通过防火墙透明模式测试区域网络的访问控制：说明：防火墙透明模式可以让同一网段在不同区域的主机进行通信。（相当于二层交换）而路由模式可以让不同网段在不同区域通过防火墙端口 IP地址路由进行通信。（三层交换作用）了解防火墙的三种接入

19、模式了解防火墙的三种接入模式1.透明模式（网络）2.路由模式路由模式路由模式3.透明及路由的混合模式透明网络结构透明网络结构DMZ 区Intranet 内网Web e-mail FTP192.168.1.110/120/130/140/150192.168.1.50/60/70/80/90192.168.1.200/210Internet 外网1.240 1.2301.250防火墙透明网络测试结构STEP1: 按上图设置主机 IP (注意可不设网关 )，用 TOPSEC集中管理器重新登陆到本区域端口地址。在高级管理特殊对象透明网络增加透明网络，选择 “INTERNET区域 ”

20、“INTRANET“,“SSN“ 。说明：增加本区域和要进行透明网络测试的区域。STEP2: 在网络区域设置三个区域为禁止访问。在网络对象中重新按以上 IP在本区域建立本机节点，在访问策略中，增加本机（策略源）可以访问其他区域内某一主机（策略目的）的权限。STEP3:测试能否 PING通其他区域的主机。STEP4: 删除所有建立的透明网络，测试能否连通其他区域主机。 STEP5: 在网络区域设置三个区域为允许访问，建立禁止访问其他区域主机的访问策略，测试连通性。透明网络测试透明网络测试不同区域任意两个主机之间都可配合按以下步骤操作。三、三、 MAP映射操作步骤映射操作步骤DMZ 区Intranet 内网Web e-mail FTPInternet 外网192.168.2.50/60/70/80/90网关： 192.168.2.250192.168.1.50/60/70/80/90网关： 192.168.1.250192.168.6.50/60网关： 192.168.6.2502.250 6.2501.250（本实验可选）MAP端口（地址）映射在互联网的应用MAP也称为反向 NAT

展开阅读全文