1、网御星云LSPE 防火墙/UTM技术培训,防火墙基本概念介绍,什么是防火墙?,防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。 通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 通常是网络安全防护体系的最外一层。,防火墙基本概念介绍,什么是防火墙?,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,防火墙基本概念介绍,什么是防
2、火墙?,防火墙主要技术介绍,透明模式,防火墙主要技术介绍,路由模式,防火墙主要技术介绍,混合模式,防火墙主要技术介绍,源地址转换,什么是 NAT? (源地址转换)网络地址转换(NAT,Network Address Translation)属接入广域网技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。,防火墙主要技术介绍,源地址转换,防火墙主要技术介绍,源地址转换,源地址转换的好处: 节约地址资源 隐藏内部网络地址源地址转换的用途: 从受信任网络访问非受信任网络,防火墙主要技术介绍,目的地址转换,什么是 映射? (目的
3、地址转换) 就是当外网访问防火墙的一个公网地址时,防火墙会自动将访问请求 映射到对应局域网主机/服务器。,防火墙主要技术介绍,目标地址转换,防火墙主要技术介绍,包过滤技术,数据包的形式: 防火墙能利用包头的信息进行过滤,仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目,防火墙主要技术介绍,什么叫状态检测?,每个网络连接包括以下信息: 源地址、目的地址; 源端口和目的端口; 协议类型; 连接(会话)状态(如超时时间,TCP连接的状态)等; 防火墙把这些信息统称为状态,能够检测这些状态的防火墙叫做状态检测防火墙。,防火墙主要技术介绍,状态检测的
4、优点?,(与包过滤防火墙相比) 更安全: 检查内容 = 包过滤检查内容 + 连接状态更高效: 包过滤收到一个包,检查一遍规则集 状态检测先查状态表,再查规则集,防火墙主要技术介绍-软件技术,综合安全防护网关,监测/阻断系统入侵,隔离蠕虫/网络病毒,隔离混合攻击,阻断木马/后门,防止地址欺骗,抗拒绝服务攻击,屏蔽端口扫描,防火墙,防止数据窃听和篡改,防火墙主要技术介绍-软件技术,ASIC架构,NP网络处理器架构,多核硬件架构,18,防火墙主要技术介绍-硬件发展,防火墙主要技术介绍-自主知识产权VSP,防火墙主要技术介绍-硬件架构,上图的硬件架构具有下面特点: 系统中集中多个CPU(,这些CPU可
5、以并发地执行多个指令,不象单CPU采用时分复用或者流水线方式达到逻辑上并发执行指令,各个CPU有自己独立的指令单元,相互之间没有依赖; 每个CPU内部有多个线程T1Tn,每个线程有自己独立的算术逻辑单元、寄存器组和控制单元,如果一个Chip上有m个CPU,每个CPU有n个Thread,那么一个Chip上相当于有mn个虚拟CPU;所以Super V一共具备N个可独立进行运算的vCPU,成为高性能安全网关处理系统核心,防火墙主要技术介绍-硬件架构,22,防火墙主要技术介绍-并行编程模型化,Super V诞生,Super V应多核时代应运而生: 高性能 提高单处理器的主频 网络处理器 多核多线程处理
6、器 Super V的远见: 考虑到多核编程的灵活性 考虑到产品升级换代的问题 考虑到业务布局的灵活性 Super V的重大价值: 万兆安全业务处理性能 Windrunner并行运算 扩展灵活,23,防火墙主要技术介绍,简单包过滤技术,检 查 项,IP 包的源地址,IP 包的目的地址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,防火墙主要技术介绍-技术原理,IP 包,检测包头,下一步 处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,状态检测过滤流程,符合,防火墙主要技术介绍-技术
7、原理,记录,1,http:/ Firewall功能模块化,产品适应性:便于云计算中心内部署和扩展,产品部署模式:路由、透明、混合 可控制虚拟机之间的信息交换,虚拟化环境支持: 支持Vmware、Xen、KVM等国内外主流云计算平台,Super V主要功能特性,防火墙主要技术介绍-技术原理,Power V防火墙安装调试,登录管理透明接入路由&NAT接入路由设置安全策略VPN设置HA设置会话管理病毒防护设置 攻击防护设置 注意事项,目录,防火墙功能介绍,案例1. 登录管理,设备支持的登录管理方式:HTTPSSSHTelnetconsolePPP(不建议使用) 默认管理接口: eth3:10.1.6
8、.254 Eth0:10.1.5.254 默认管理IP: 10.1.5.200,案例1. 登录管理,WEB管理-登录管理,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机 本地双击浏览器证书(admin.p12),按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。,案例1. 登录管理,WEB管理-浏览器证书导入,修改本机的IP地址为:10.1.5.200,子网掩码:255.255.255.0 将随机附带的网线连接电脑的网卡接口与设备的0号网口 开启设备电源,等待约2分钟后,可尝试用ping命令测试设备是否已正常启动,在命令行输入”ping 10.1.5.
9、254”,10.1.5.254是设备0号口的默认地址,注意,如果您拿到的是双电源的设备,只接一根电源的话,设备会发出蜂鸣声报警,可以按一下电源插口旁边的红色按钮来取消报警,当上述准备工作完成后,我们在管理主机打开IE 浏览器并输入https:/10.1.5.254:8889,出现选择证书提示后,选择名称为“10.1.5.200”的证书,再点击“确定”按钮。 注意:请使用IE8.0的浏览器来管理设备,其他浏览器可能会出现异常,当防火墙与IE证书均导入成功后,我们在管理主机打开IE 浏览器并输入https:/ 10.1.5.254:8889,出现选择证书提示后点击“确定”画面。密码默认为bane7
10、766,WEB管理-登录,案例1. 登录管理,密码错误导致的锁定问题,用户登录3.6.0.2版本防火墙web界面,默认情况下如果连续输入错误的用户名密码3次,防火墙系统将锁定该用户直到防火墙重启。该参数在管理员账号管理可最大修改为10次,管理主机,防火墙出厂时默认的管理主机地址是10.1.5.200,当接入一个新的网络环境中时,首先要进行管理主机的配置。可根据实际环境填写管理主机的范围,主机地址在该范围内是管理该设备的一个必要条件 例子:可以增加:地址为7.0.0.0 子网掩码为255.0.0.0的管理主机,管理主机无法管理防火墙问题说明,墙接口与默认管理主机不在同一网段;而管理主机列表中没有
11、能管理墙的主机,案例1. 登录管理,WEB管理-无法管理问题,管理主机通过web管理防火墙的必要条件,管理主机使用合适的浏览器,导入了管理员证书 管理主机可以连通防火墙管理IP(路由可达) 防火墙上绑定该IP的接口启用了管理功能 管理主机的IP地址在防火墙的管理主机列表中,案例1. 登录管理,WEB管理-首页信息,案例1. 登录管理,WEB管理-仪表盘,案例1. 登录管理UTM,WEB管理UTM-仪表盘2,案例1. 登录管理,WEB管理-接口流量曲线,案例1. 登录管理,WEB管理-最新事件,模块许可开通,默认情况下很多功能没有开通,需要在模块许可功能中开启 如果是UTM设备,则需要开启防病毒
12、和IPS功能 开启功能后需要刷新页面才能看到相应的菜单,案例1. 登录管理,WEB管理-日志存储类型,支持将感兴趣的日志保留并导出,案例1. 登录管理,WEB管理-日志分类查看,保存配置,修改过设备的配置后需要保存,否则重新启动后会丢失未保存过的修改,保存配置,点击保存按钮后请耐心等待操作进度提示完成后再进行其他操作,案例1. 登录管理,WEB管理-模块配置导入导出,防火墙功能介绍,案例2. 透明接入,案例2. 透明接入,透明接入多部署于拓扑相对固定网络,为了不改变原有网络拓扑,常采用此部署方式(防火墙本身作为网桥接入网络)。 按照此方式部署后的防火墙如出现软硬件故障,可以紧急将防火墙撤离网络
13、,不必更改其他路由、交换设备的配置。 按照目前的网络情况,透明接入主要用于在网络骨干建设完毕的网络中加入应用防护设备,如UTM。,透明接入概述,C:192.168.1.100,S:192.168.1.200,Brg:192.168.1.254,eth2,eth3,透明接入模式防火墙配置需求: 防火墙配置的eth2eth3口配置为透明模式。 允许工作站C:192.168.1.100访问服务器S:192.168.1.200的HTTP服务。 工作站C:192.168.1.100不能访问服务器S:192.168.1.200的其它服务。,透明接入拓扑图,透明接入:物理设备配置,点击物理设备列表右侧的操作
14、按钮,将设备工作模式修改为“透明模式”,选中“是否启用”右侧的勾选框,再点击“提交”按钮,透明接入:桥设备,点击桥设备列表右侧的操作按钮,透明接入:桥设备,根据实际情况填写桥设备的IP地址,(如实际部署中该桥设备没有IP地址也可不填),如果有IP地址,可勾选用于管理、允许PING”,允许Traceroute,将需要绑定的物理设备加入绑定设备列表,取消选中“开启STP”右侧的勾选框,选中“是否启用”右侧的勾选框,再点击“提交”按钮,安全策略,安全策略,点击源地址/目的地址右侧的下拉按钮,点击“新建地址”,地址定义,分别定义源地址 客户端C:192.168.1.100目的地址 服务器S: 192.
15、168.1.200在定义单个地址时,子网掩码应设为255.255.255.255,安全策略,在源地址处选择“客户端C”,目的地址处选择“服务器S”服务处选择“http”,点击“提交”确定,在选择服务时输入头几个字母可以快速定位,可根据需要输入相应的备注,工作站192.168.1.100可以访问服务器192.168.1.200的HTTP服务,安全策略,安全策略:禁止规则,在源地址处选择“客户端C”,目的地址处选择“服务器S”访问控制处选择“禁止”,点击“提交”确定,至此,工作站192.168.1.100可以访问服务器192.168.1.200的HTTP服务,但是不能访问服务器192.168.1.
16、200的其他服务,透明接入,注意事项,防火墙与其它以太网设备连接时,如低端光纤收发器、低端ADSL路由器等,可能会出现链路层协商问题。表现为:网络延迟、数据包丢包、网络抖动等。 出现此类问题,可以将防火墙接口的链路工作模式由自适应强制为100M全双工、100M半双工、 10M全双工、 10M半双工并逐一下测试。(注:光纤接口只能更改双工模式,不可以更改链路速度)如图,案例2. 透明接入,透明接入常见问题和注意事项,如果防火墙部署在两台交换机之间,应提前向用户询问两台交换机之间的链路是否为二层TRUNK模式。如果是TRUNK模式,应在防火墙安全选项中打开二层协议包过滤策略功能:,案例2. 透明接
17、入,防火墙功能介绍,案例3. 路由&NAT接入,案例3. 路由&NAT接入,路由&NAT接入概述,配置路由/NAT模式的防火墙多部署于网络边界,或者是连接多个不同网络,起到保护内网主机安全,屏蔽内网网络拓扑等作用。,C:192.168.1.2/24,S:192.168.2.2/24,192.168.1.1/24,eth2,eth3,工作在路由/NAT模式下防火墙配置需求: 本案例拓扑为一个只有两个网段的小型局域网。 服务器192.168.2.2开放http服务。 允许工作站A192.168.1.2访问服务器B192.168.2.2的http服务 禁止工作站A192.168.1.2访问服务器B其
18、它服务。,192.168.2.1/24,Cilent A,Server B,路由/NAT模式(不做NAT转换),将设备工作模式修改为“路由模式”,选中“是否启用”、“允许ping”、“允许traceroute”右侧的勾选框, “用于管理”可根据实际情况选择,设置好IP地址和掩码,再点击“提交”按钮,网络接口配置完成后,仍然需要添加相应的安全策略,路由/NAT模式(不做NAT转换),安全策略的添加与防火墙工作模式无关,前面已经介绍过了。这样防火墙允许工作站192.168.1.2访问服务器192.168.2.2的http服务。在此拓扑下,客户端和服务器需要把本机网关指向防火墙接口地址,路由/NAT
19、模式(不做NAT转换),案例3. 路由&NAT接入,路由&NAT接入NAT概述,网络地址转换NAT为IETF定义标准,用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。 另外网络地址转换NAT经常作为一种网络安全手段使用,安全域内的机器通过NAT设备后源地址被重新封装,起到一定屏蔽内网作用。,内网,外网,客户端C:10.1.5.200,eth0,eth3,10.1.5.254,10.100.100.1,服务器S:x.x.x.x,防火墙工作为路由/NAT模式。 内部客户PC需要通过防火墙访问外部网络上服务。 从防火墙外无法看到内部客户
20、端的真实IP。 服务器上看到的来访问的源IP是防火墙外网接口地址 此模式下内部PC需将网关指向防火墙,而外部服务器不需要将网关指向防火墙,路由/NAT模式(NAT转换),外网默认网关: 10.100.100.254,路由/NAT模式(NAT转换)-网络接口地址,路由/NAT模式(NAT转换)-添加默认路由,默认路由(默认网关)IP和外网口IP地址、子网掩码一般都由ISP提供, 如果某线路不是互联网出口,而是联到某专网,则无需添加默认网关,只添加静态路由即可,路由/NAT模式(NAT转换)-默认网关,该值一般设为10,需设定对应的网络接口,NAT规则,在源地址处选择“客户端C”,源地址转换为防火
21、墙外网接口地址10.100.100.1,点击“提交”确定,网络接口、NAT规则配置完成后,仍然需要添加相应的安全策略,这样防火墙允许内部客户机10.1.5.200访问外网上的服务器。,路由/NAT模式(NAT转换),案例3. 路由&NAT接入,注意:NAT规则中不建议添加any到any的nat规则,请查明用户网络中的内网地址到底是哪个网段,然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化,会对映射、vpn产生影响。即便你在端口映射和ip映射中选择了源地址不转换,但是如果你添加了any到any的nat规则,进入防火墙的报文的源地址还是会被转换
22、。对于送往IPsec的流量,不要进行NAT,否则IPsec规则会匹配出错。,案例3. 路由&NAT接入,路由&NAT接入配置NAT策略2,NAT策略中,允许通过即意味着可以不对数据包做源地址转换,内网,外网,服务器S:10.1.5.200 开放了FTP服务,eth0,eth3,10.1.5.254,接口IP: 10.100.100.1 别名IP地址: 10.100.100.2,客户端C: x.x.x.x,防火墙工作为路由/NAT模式。 外部客户PC需要通过防火墙访问内网的服务器提供的服务 客户端访问的是防火墙接口IP地址 本案例要求外网能通过公开地址10.100.100.2访问内部服务器10.
23、1.5.200的FTP服务,端口映射和IP映射,外网默认网关: 10.100.100.254,案例3. 路由&NAT接入,端口映射和IP映射-网络接口地址配置,案例3. 路由&NAT接入,端口映射和IP映射-添加别名设备,防火墙接口上可绑定多个别名设备,当在外网口需要多个IP地址映射到内部不同服务器时,需要先添加别名设备,案例3. 路由&NAT接入,端口映射和IP映射-别名地址配置,每个别名设备的别名ID 不能相同(0-399),别名设备需开启通告,否则可能会出现对端设备无法找到该别名IP,地址定义,在新建映射策略之前要定义服务器地址便于规则引用 服务器S:10.1.5.200,案例3. 路由
24、&NAT接入,端口映射和IP映射-添加端口映射规则,使用端口映射方式可减少服务器暴露在外网的风险,案例3. 路由&NAT接入,端口映射和IP映射-添加端口映射规则,ftp服务要选用小写的,一定要关闭隐藏内部地址选项,默认是开启的,案例3. 路由&NAT接入,端口映射和IP映射-添加端口映射规则,注意:映射规则对应的真实服务器的网关应指向防火墙,否则外网客户端无法访问真实服务器。,案例3. 路由&NAT接入,端口映射和IP映射-添加IP映射规则,案例3. 路由&NAT接入,端口映射和IP映射-添加IP映射规则,一定要关闭隐藏内部地址选项,默认是开启的,案例3. 路由&NAT接入,端口映射和IP映
25、射-添加IP映射规则,注意:如果IP映射规则对应的真实服务器无法ping通,启用该规则将导致映射用的外网口IP地址也无法ping通,映射规则配置完成后,仍然需要添加相应的安全策略才能让外网客户端访问内部服务器,端口映射和IP映射,映射规则对应的安全策略目的地址应该是真实服务器地址而不是外网口地址,防火墙功能介绍,案例4. 路由设置,静态路由,内网,外网,10.111.1.1 /24,eth3,eth2,外网,192.168.1.1 /30,C:172.16.1.2 /24,192.168.1.2 /30,172.16.1.1 /24,防火墙工作路由/NAT模式。 内部客PC172.16.1.2
26、需要通过防火墙访问外网上服务。 防火墙和客户机之间有一台三层交换机。 在防火墙上需要做回指路由保证客户机能访问外网。,10.111.1.2,物理设备配置,静态路由,添加目的地址是172.16.1.0网段的静态路由,注意网络接口一定要选择正确,下一跳地址一定要和对应的网络接口的IP地址在同一网段内,静态路由,当静态路由所指的网口未接线时,该路由将不会生效在本案例中,当客户机向外网发起连接时,数据包通过客户机的默认网关经交换机发送到防火墙,继续通过防火墙的默认网关发送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器,
27、保证该连接的通畅。 注:相同目的地的访问,metic值越小的静态路由越优,默认路由,默认路由,防火墙连有多个接入路由设备,并且每个路由设备皆保证路由可达。各个接入路由设备之间可以实现路由冗余。可以根据各个接入路由的不同带宽自行设置权重如50:1、10:1(权重越大,路由命中的概率越大)。,防火墙各类路由匹配顺序原则,策略路由 直连路由 静态路由默认路由策略路由间遵照顺序匹配原则;静态路由间遵照最长子网掩码匹配原则;默认路由间遵照权重原则。,案例4. 路由设置,路由设置默认路由均衡拓扑,案例4. 路由设置,路由设置多默认路由均衡拓扑说明,1. 防火墙具备两个出口eth1 eth2且皆路由可达外网
28、服务器。 2.客户端1客户端2网关指向防火墙内网接口eth3。 3.由于数据流量较大防火墙有路由均衡的需求,案例4. 路由设置,路由设置路由负载均衡设置,案例4. 路由设置,路由设置路由负载均衡设置,案例4. 路由设置,路由设置ISP路由,ISP路由将不同运营商的地址进行分类,将去往不同目的地的访问数据按设置选择路由,实现按运营商区分的智能选路,注:单张ISP地址表地址上限:1024,案例4. 路由设置,路由设置ISP路由,添加ISP路由表,引用定义的ISP地址,ISP路由是否生效状态根据链路up/down实时显示。,注:区别于老版本,ISP路由添加完立即生效,不需要在高级路由策略里面再次引用
29、。,案例4. 路由设置,路由设置策略路由,防火墙策略路由通过细化到源目IP,流入网口,服务的策略来更好的进行数据转发,针对不同的内网用户指定不同的路由策略,注:防火墙添加策略路由,策略路由会优先于直连路由。解决办法:在高级路由表中添加下一跳全零、指定流出网口的路由。,案例4. 路由设置,路由设置策略路由,策略路由流入网口可以选择any,简化了多网口策略路由的配置过程 Ip rule show命令可以查看当前防火墙设备所存在的路由,从上面可以看出优先级为1的路由为我们所添加的策略路由,案例4. 路由设置,路由设置基本路由总结,默认路由:拨号的默认路由目前由系统自动添加;当PPPOE拨号成功后,系
30、统自动添加基于拨号的默认路由(网关0.0.0.0,流出网口dialX)针对出现的默认路由不生效问题,查看“mrglb“进程是否工作正常: ps aux |grep mrglb。如果此进程处于未工作状态,会导致默认路由无法添加,解决办法,重新启动该进程: /usr/sbin/mrglb。查看默认路由监控进程日志命令:cat /var/log/fw.log | grep mrglb静态路由:静态路由根据链路状态实时变化,链路down则静态路由失效,链路up则静态路由生效(静态路由添加上限1024)ISP路由:ISP地址添加格式为10.10.1.0/255.255.255.0,且ISP地址表名称为英
31、文,单个ISP地址表上限为1024。查看所添加的ISP路由条目ip route ls table 20x接口路由(0)策略路由(1)ISP路由(20X)直连路由(main)静态路由(main)默认路由(main),案例4. 路由设置,路由设置动态路由,新版防火墙全面支持IPV4、IPV6的动态路由协议,包括OSPF、RIP、组播、OSPFV3、RIPNG。增强了防火墙部署的网络适应性,在某些特殊环境中,可以采用上述协议让防火墙参与动态路由的运算,案例4. 路由设置,路由设置OSPF路由,防火墙参与OSPF网络环境,案例4. 路由设置,路由设置OSPF路由,配置防火墙在OSPF中的router-
32、id、需要进行重发布的路由、涉及到的OSPF区域、防火墙上需要进行network的网段、是否修改参与OSPF接口的hello报文参数值以及邻居之间协商的认证方式(none、text、MD5),案例4. 路由设置,路由设置组播路由,防火墙运行组播网络环境,案例4. 路由设置,路由设置组播路由,防火墙在网络路由可达的基础上运行组播,配置要启用组播的接口,运行组播路由的模式(pim-sm) 防火墙接口igmp的启用和设置需要root下advroute terminal pim进入zebraenableconfigure terminal选择接口interface ethx,防火墙功能介绍,案例5.
33、安全策略,安全策略-概述,包过滤是防火墙最基本最核心的功能,Power V防火墙提供基于状态检测技术的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎,并且为防火墙内安全域提供信息安全保证。包过滤功能除支持全部的TCP/IP协议簇外还通过在“安全选项”页面对一些非IP协议进行控制。,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,符合,状态检测包过滤检测机制,丢弃,下一步 处理,IP数据包,检测包头,安全策略,规则按照序号从小到大顺序进行匹配。 没有明确允许的数据包都会被禁止。 预先定义地址对象、服务对象,在安全策略中引用。 尽量合并同类规则,保持规则数量5
34、00以内。,安全选项,启用安全选项中的包过滤缺省允许功能相当于在所有防火墙规则的最后添加一条任意到任意的全通规则,地址定义,地址定义的类型分为地址、地址组、地址池,地址组中可以添加已定义好的地址,在其他条件相同的安全策略引用多个地址的时候,将这些地址加到一个地址组中,让安全策略直接引用该地址组可以起到简化安全策略的目的,地址组,如图,可以将“客户端1“和”客户端2“加入到”客户端组“中,再到安全策略中引用客户端组,服务定义,在安全策略或其他规则中要引用的资源(如地址资源,服务资源)需要事先定义,服务定义的类型分为预定义服务、动态服务、ICMP服务、基本服务、服务组,自定义服务时使用基本服务来进
35、行定义 下图中定义了一个使用TCP9080端口的服务 注意:定义服务时一般只需要填写目的端口,服务组,服务组中可以添加已定义好的服务 在其他条件相同的安全策略引用多个服务的时候,将这些服务加到一个服务组中,让安全策略直接引用该服务组可以起到简化安全策略的目的,服务组定义,如图,可以将“http“和”ping“加入到”http_ping“服务组中,再到安全策略中引用服务组,在安全策略中引用服务组和地址组,像引用地址和服务一样,在安全策略中可以直接引用服务组和地址组,防火墙功能介绍,案例6. VPN设置,案例6. VPN设置,VPN概述,网御安全网关的VPN(虚拟私有网络)功能模块使得用户可以在I
36、nternet上构建基于IPSec(IP 数据包加密)技术的一系列加密认证技术以及密钥交换方案,使得在公共网络上组建的VPN,具有同本地私有网络一样的安全性、可靠性和可管理性等特点,同时大大降低了建设远程私有网络的费用。VPN 模块支持IPSec协议和SSL协议,提供网络层报文的身份鉴别、加密和完整性认证等功能。,案例6. VPN设置,IPSec VPN网关到网关网络拓扑图,上图是模拟局域网-局域网的应用环境。 网段是192.168.1.0 和网段是192.168.2.0 可以通过防火墙之间建立的加密隧道互访。,案例6. VPN设置,IPSec VPN设置,案例6. VPN设置,IPSec V
37、PN设置,案例6. VPN设置,IPSec VPN设置,案例6. VPN设置,IPSec VPN设置,此处设定的预共享密钥将作为 IKE设置中密钥的默认值,案例6. VPN设置,IPSec VPN设置,案例6. VPN设置,IPSec VPN设置,此处可以为每个IKE 设定不同的密钥,每个IKE的IP地址 不能相同,案例6. VPN设置,IPSec VPN设置,案例6. VPN设置,IPSec VPN设置,防火墙跨3层设备建立网关隧道,1.拓扑图:,两防火墙跨路由器建立网关隧道,协商口都是eth1 FW1保护网段为10.10.1.0/16 FW2保护网段为10.20.1.0/24,防火墙跨3层
38、设备建立网关隧道,2.防火墙配置1)网络接口配置,防火墙跨3层设备建立网关隧道,2)路由配置(该拓扑中添加一条默认路由即可),两防火墙把默认路由都指向路由器接口即可,防火墙跨3层设备建立网关隧道,3)vpn基本配置(vpnIPSec基本配置),防火墙跨3层设备建立网关隧道,4)vpn规则配置,vpnIPSecvpn规则,两端的vpn规则要对应,否则隧道无法建立,5)IKE配置,vpnIPSecIKE配置,防火墙跨3层设备建立网关隧道,6)网关隧道配置,vpnIPSec网关隧道配置,防火墙跨3层设备建立网关隧道,7)监控页面启动隧道,vpnIPSec隧道监控,防火墙跨3层设备建立网关隧道,两端都
39、启动后,监控页面:,防火墙跨3层设备建立网关隧道,8)安全策略配置根据实际需求配置。如果只是单向访问,只添加单向的安全策略即可。如果是双向访问,则两端都要做相应配置。例如:此拓扑中要求只有fw2端pc可以访问fw1端pc,安全策略如下:防火墙地址,新建所要放行流量所在网段防火墙策略,添加安全策略,3.验证流量是否进隧道(两端PC发ping包为例)FW2端保护pc向FW1端保护PC发ping包监控页面显示:,后台抓包查看:,两端受保护pc的流量已经被网关隧道加密,网关隧道建立成功,防火墙跨3层设备建立网关隧道,客户端隧道 配置方法,安装客户端,1、执行setup程序,2、点击下一步,保持默认配置
40、即可,最后重启完成安装,3、注册 首次运行程序将提示用户进行注册:,输入注册码,进行注册。注册成功如下提示:,安装客户端,如果没有退出客户端请先退出再进行卸载。点击下一步,进行卸载,最后重启完成卸载,卸载客户端,测试拓扑1:,基本配置举例1,1、配置安全策略2、配置VPN规则3、配置IKE规则4、配置客户端隧道5、启动VPN,客户端到网关隧道配置流程,1、配置安全策略,进入页面【防火墙】【策略】【安全策略】。点击“新建”按钮,进行如下配置,放行进入VPN的流量。 其中net1-2-3-0和net55-6-7-0是两个地址列表,添加成功,显示如下图:,1.配置安全策略,2.启动IPSec服务,2
41、、配置VPN规则,添加成功,显示如下图:,3.配置VPN规则,4.配置IKE,添加成功,显示如下图:,如需修改配置,可以点击右侧的修改图标:,验证IKE配置,5.配置客户端隧道,添加成功,显示如下图:,验证客户端隧道配置,6.启动隧道,1、启用客户端2、使用向导配置隧道3、手动添加隧道4、启动隧道,客户端流程,初次运行客户端请先启用客户端!,启用客户端,进入如下界面,点击“向导”按钮,运行向导,填写隧道名称,本地有效,指定隧道名称,填写远程网关地址和对端保护子网:,指定VPN接入网关、网络,选择认证方式:,指定隧道认证方式,配置预共享密钥,设置预共享密钥,核对配置信息,无误后点击【完成】按钮:
42、,确认配置,向导配置过程中不能配置高级选项,想要配置这些功能可以使用手动添加的方式:,手工配置隧道,如果要配置高级选项,请点击【高级】按钮:,配置隧道基本参数,高级选项卡可以配置如下内容:,配置高级选项,完成配置如下:,配置完成,进入监控页,选中隧道后,点击【连接】按钮,监视页面,如果隧道建立,则其SA状态显示为“已建立”,成功接入VPN,此时查看防火墙上的监控页面如下:,查看隧道的具体信息,点击隧道名称右侧的图标即可:,在防火墙端查看隧道信息,防火墙功能介绍,案例7. HA设置,案例7. HA设置,HA概述,网御Power V防火墙双机热备功能可以在路由模式、透明模式和混合模式下使用。 网御
43、Power V防火墙双机负载均衡功能可以在路由模式下使用。,案例7. HA设置,HA使用拓扑,双机热备,案例7. HA设置,HA热备配置说明,配置顺序 1、先配置主墙HA参数,以及其他所有配置。 2、从墙离线配置HA参数,保存后关机。 3、从墙与主墙连接心跳线,并且开机。 4、在主墙上同步节点配置(网络配置 HAHA基本参数查看HA状态同步所有节点配置 ,也可以通过系统监控HA状态同步所有节点配置 来实现配置同步)。确认“节点配置同步”栏中 所有节点状态为“已同步”。 5、连接从墙的数据线,将从墙接入网络中。 6、测试双机是否正常工作。,案例7. HA设置,HA热备配置界面,HA心跳口可以自由
44、选择已经启用的路由物理设备作为HA心跳网口,案例7. HA设置,HA热备配置界面,案例7. HA设置,HA热备配置界面,案例7. HA设置,HA使用拓扑,负载均衡,案例7. HA设置,HA负载均衡配置说明,由于LFRP集群中各防火墙节点对应的业务数据网口的IP和MAC地址分别相同,交换机必须得支持单mac多端口转发(大多数交换机都支持),这样可以确保LFRP集群中所有的节点都收到相同的业务数据(各节点根据数据帧的hash和本节点优先级决定是否处理收到的数据帧)。 交换机的单mac多端口转发可以使用如下命令配置举例mac-address-table static 0090.3e8d.6400 v
45、lan 100 interface fastethernet0/11 fastethernet0/12,案例7. HA设置,HA负载均衡配置界面,HA心跳口可以自由选择已经启用的路由物理设备作为HA心跳网口,案例7. HA设置,HA负载均衡配置界面,案例7. HA设置,HA会话同步拓扑,会话同步,案例7. HA设置,HA会话同步配置说明,注意该拓扑为状态同步的透明环境下的一种典型应用,但也可以在双链路路由环境下运行,起到会话保护的作用在该拓扑中如需正常使用,需交换机配置链路聚合;防火墙除配置状态同步外,还需配置端口联动,案例7. HA设置,HA会话同步配置界面,HA心跳口可以自由选择已经启用的
46、路由物理设备作为HA心跳网口,案例7. HA设置,HA-新版防火墙HA功能总结,1、支持的部署模式和原有版本保持一致:路由、透明、混合模式的HA双机热备;路由模式的HA负载均衡;路由、透明模式的HA会话同步; 2、新版防火墙HA功能在稳定性、适应性上得到了更大的优化 3、防火墙HA负载均衡需要交换机支持单mac多接口转发 例:mac-address-table static 0090.3e8d.6400 vlan 100 interface fastethernet0/11 fastethernet0/12,防火墙功能介绍,案例8. 会话管理,案例8. 会话管理,会话管理概述,连接管理功能提供
47、状态监控功能,可以提供连接状态统计、分析、管理功能。(目前没有并发数统计、排序),只能设置各种连接默认timer。可以协助网络管理人员查出内网或外网中有问题的客户端,并且可以通过进行连接数限制,切断其网络访问。(目前只能查看,不能管理),案例8. 会话管理,会话管理计时器设置,案例8. 会话管理,会话管理会话统计,案例8. 会话管理,会话管理会话管理,UTM功能介绍,案例9. 病毒防护设置,案例9. 病毒防护设置,病毒防护概述,病毒防护,英文即Anti-virus(简称AV),是安全网关系统的重要功能之一; 病毒防护策略用于组织各种协议进行病毒防护,其中包括:HTTP、FTP、SMTP、POP
48、、IMAP以及两种典型应用MSN和Webmail; 病毒检查分为内核扫毒(快速模式)、代理扫毒(全面扫毒),案例9. 病毒防护设置,病毒防护拓扑图,Brg:192.168.1.254,eth1,eth2,客户机:192.168.1.100,病毒服务器:192.168.1.200,本案例UTM配置需求: UTM的eth1eth2口配置为透明模式,配置管理ip:192.168.1.254。 新建一条名字为av的病毒防护策略,引用标准病毒防护模板。 新建一条包过滤策略,策略的病毒选项中引用“av”病毒防护策略。 通过ftp下载存储与服务器的等病毒样本,在UTM的最新事件和日志中查看相应的现象。,案例9. 病毒防护设置,病毒防护特征升级,案例9. 病毒防护设置,病毒防护配置病毒防护策略,案例9. 病毒防护设置,
