网络安全防火墙配置手册.docx
- 文档编号:10208278
- 上传时间:2023-02-09
- 格式:DOCX
- 页数:47
- 大小:4.55MB
网络安全防火墙配置手册.docx
《网络安全防火墙配置手册.docx》由会员分享,可在线阅读,更多相关《网络安全防火墙配置手册.docx(47页珍藏版)》请在冰豆网上搜索。
网络安全防火墙配置手册
网络安全防火墙设备快速安装手册
第一章前言
、防火墙配置概述
、防火墙管理配置的基本信息
、防火墙的常用功能
第二章软件操作
、防火墙配置文件的导出和导入
、配置文件的导出
、配置文件的导入
、防火墙软件()更新
、防火墙恢复密码与出厂配置的方法
、防火墙重启
第三章系列()
、结构
、硬件组件故障检查
、设备组件更换
第四章防火墙部署模式与基本配置
、模式
、路由模式
、透明模式
、模式下的基本配置
、模式下的基本配置
、透明模式下的基本配置
第五章防火墙常用功能的配置
、的配置
、使用浏览器方式配置
、使用命令行方式配置
、的配置
、使用浏览器方式配置
、使用命令行方式配置
、的配置
、使用浏览器方式配置
、使用命令行方式配置
、聚合接口()的配置
第六章防火墙双机的配置
、使用浏览器方式配置
、使用命令行方式配置
第七章防火墙的维护命令
登录防火墙的方式
查看设备相关日志和工作状态
检查设备的占有率
原因分析
采取的措施
检查内存占有率
原因分析
采取的措施
双机异常
原因分析
采取的措施
故障处理工具
第八章防火墙的配置优化
优化
防火墙数据包处理性能优化
日志优化
关闭双机会话同步
第九章移动网关配置案例
附录、防火墙的一些概念
第一章前言
我们制作本安装手册的目的是使维护网络安全防火墙设备(在本安装手册中简称为“防火墙”)的公司相关技术人员,可以通过此安装手册完成对防火墙基本功能的实现、应用和排错。
、防火墙配置概述
防火墙作为专业的网络安全设备,可以支持各种复杂网络环境中的网络安全应用需求;但是由于部署模式与功能的多样性使得防火墙在实际部署时具有一定的复杂性。
在配置防火墙之前我们通常需要先了解现有网络的规划情况和对防火墙配置与实现功能的诸多要求,建议参照以下思路和步骤对防火墙进行配置和管理。
基本配置:
1.确认防火墙的部署模式:
模式、路由模式、或者透明模式;
2.为防火墙的端口配置地址(包括防火墙的管理地址),配置路由信息;
3.配置访问控制策略,完成基本配置。
其它配置:
1.配置基于端口和基于地址的映射;
2.配置双机冗余;
3.修改防火墙默认的用户名、密码以与管理端口。
、防火墙管理配置的基本信息
防火墙常用管理方式:
1通过浏览器方式管理。
推荐使用浏览器进行登录管理,需要知道防火墙对应端口的管理地址;
2命令行方式。
支持通过端口超级终端连接和、防火墙管理地址连接两种命令行登录管理模式。
防火墙缺省管理端口和地址:
1防火墙出厂时可通过缺省设置的地址使用或者方式管理。
缺省地址为:
;
2缺省地址通常设置在防火墙的专用的管理端口上()。
防火墙缺省登录管理账号:
1用户名:
;
2密码:
。
、防火墙的常用功能
在一般情况下,防火墙设备的常用功能包括:
透明模式的部署、路由模式的部署、的应用、的应用、的应用、的应用、双机冗余。
本安装手册将分别对以上防火墙的配置与功能的实现加以说明。
注:
在对等防火墙的一些基本概念不甚了解的情况下,请先到本手册最后一章节内容查看了解!
第二章软件操作
、防火墙配置文件的导出和导入
防火墙的配置文件的导入导出功能为用户提供了一个快速恢复当前配置的有效的手段。
一旦用户不小心因为操作失误或设备损坏更换,都可以利用该功能,实现快速的防火墙配置的恢复,在最短的时间内恢复设备和网络正常工作。
、配置文件的导出
配置文件的导出():
在>>位置,点选:
,将当前的防火墙设备的配置文件导出为一个无后缀名的可编辑文本文件。
配置文件的导出():
配置文件从导出到服务器:
表示服务器地址,表示配置文件名称
例:
>
、配置文件的导入
配置文件的导入():
在>>位置,、点选:
,覆盖当前配置并保留不同之处;、点选:
替换当前配置文件。
导入完成之后,防火墙设备会自动重新启动,读取新的配置文件并运行。
配置文件的导入():
配置文件从服务器导入到:
表示服务器地址,表示配置文件名称
例:
>
或者>
、防火墙软件()更新
关于:
防火墙的软件是可以升级的,一般每一到两个月会有一个新的版本发布,版本如:
,其中前面的是大版本号,这个版本号的变化代表着功能的变化;后面的是小版本号,这个号码的变化代表着的完善,因此一般建议,在大版本号确定的情况下,选择小版本号大的作为当前设备的。
关于升级注意事项:
升级需要一定的时间,根据设备性能的不同略有差异,一般情况下大约需要分钟的时间。
在升级的过程中,需要保持电源的供应、网线连接的稳定,最好是将防火墙从网络中暂时取出,待升级完成后再将防火墙设备接入网络。
升级():
>>。
升级():
>
、防火墙恢复密码与出厂配置的方法
当防火墙密码遗失的情况下,我们只能将防火墙恢复到出厂配置,方法是:
1记录下防火墙的序列号(又称,在防火墙机身下面可找到);
2使用控制线连接防火墙的端口并重起防火墙;
3防火墙正常启动到登录界面,是用记录下来的序列号作为登录的用户名密码,根据防火墙的提示恢复到出厂配置。
、防火墙重启
当需要手动重新启动防火墙时,方法是:
1使用控制线连接防火墙或通过命令行方式登陆到防火墙设备;
2使用如下命令重启:
并回车
3当提示是否重新启动时,输入回车
第三章系列()
、结构
在中国移动网关项目中系列防火墙配置了两个模块,其中包括一个管理模块,一个的端口模块。
硬件结构介绍如下:
主机面板图
从上图可以直观的看出防火墙的板卡和槽位的对应关系以与电源的冗余情况。
主机面板图
由于与设备性能的不同,从上图只可以直观的看出管理模块和接口模块的分布情况。
管理模块介绍
接口模块介绍
、硬件组件故障检查
、检查防火墙前面板的指示灯显示状况
:
系统状态
黄色闪烁表示系统正常启动;
绿色闪烁表示系统正常工作。
:
系统告警
红色表示系统有严重硬件或软件故障;
黄色表示系统有某一方面负载过重。
如:
内存少于、利用率超过、连接数满。
绿色表示没有告警。
:
电源供电情况
绿色表示电源工作正常;
红色表示电源失效或没装电源模块。
:
高可用状态
绿色表示系统当前为主用状态;
绿色闪烁表示没有找到冗余组成员;
黄色表示系统当前为备用状态;
红色表示防火墙双机配置不同步;
黑色表示系统没有配置(高可用性)。
:
防火墙告警。
绿色表示没有防火墙攻击;
黄色表示防火墙有告警事件发生。
、检查防火墙的接口指示灯显示状况
绿色灯亮表示线路已经连通,但没有数据;
绿色闪烁灯亮表示线路已经连通,有数据传输。
、设备组件更换
防火墙组件的更换主要包括以下三部分:
1、板卡更换
2、电源更换
3、电源风扇更换
防火墙组件更换时请把需更换组件的防火墙设备切换至备机状态并下电,然后再进行相关操作。
详细操作方式请查看附件一中的《系列防火墙硬件安装配置手册》
第四章防火墙部署模式与基本配置
防火墙在实际的部署过程中主要有三种模式可供选择,这三种模式分别是:
1基于协议三层的模式;
2基于协议三层的路由模式;
3基于二层协议的透明模式。
、模式
当防火墙入口接口(“内网端口”)处于模式时,防火墙将通往区(外网或者公网)的数据包包头中的两个组件进行转换:
源地址和源端口号。
防火墙使用区(外网或者公网)接口的地址替换始发端主机的源地址;同时使用由防火墙生成的任意端口号替换源端口号。
模式应用的环境特征:
1注册地址(公网地址)的数量不足;
2内部网络使用大量的非注册地址(私网地址)需要合法访问;
3内部网络中有需要外显并对外提供服务的服务器。
、路由模式
当防火墙接口配置为路由模式时,防火墙在不同安全区间(例如:
)转发信息流时数据包包头中的源地址和端口号保持不变(除非明确采用了地址翻译策略)。
1与模式下不同,防火墙接口都处于路由模式时,防火墙不会自动实施地址翻译;
2与透明模式下不同,当防火墙接口都处于路由模式时,其所有接口都处于不同的子网中。
路由模式应用的环境特征:
1防火墙完全在内网中部署应用;
2模式下的所有环境;
3需要复杂的地址翻译。
、透明模式
当防火墙接口处于“透明”模式时,防火墙将过滤通过的数据包,但不会修改数据包包头中的任何信息。
防火墙的作用更像是处于同一的层交换机或者桥接器,防火墙对于用户来说是透明的。
透明模式是一种保护内部网络从不可信源接收信息流的方便手段。
使用透明模式有以下优点:
1不需要修改现有网络规划与配置;
2不需要实施地址翻译;
3可以允许动态路由协议、的数据包通过。
、模式下的基本配置
和模式的配置建议首先使用命令行开始,最好通过控制台的方式连接防火墙,这个管理方式不受接口地址的影响。
注:
在设备缺省的情况下,防火墙的信任区()所在的端口是工作在模式的,其它安全区所在的端口是工作在路由模式的。
基于命令行方式的防火墙设备部署的配置如下(网络环境同上一章节所讲述的环境):
、模式下的基本配置
1(将端口分配到);
2(设置端口的地址,必须先定义,之后再定义地址);
3(将分配到);
4(设置口的地址);
5(设置防火墙对外的缺省路由网关地址);
6(定义一条由内网到外网的访问策略。
策略的方向是:
由到,源地址为:
,目标地址为:
,网络服务为:
,策略动作为:
允许,:
开启日志记录);
7(保存上述的配置文件)。
如果需要将端口从模式修改为路由模式,则可以按照如下的命令行进行修改:
1(设置端口为模式)
2
总结:
1模式做防火墙部署的主要模式,通常是在一台防火墙上两种模式混合进行(除非防火墙完全是在内网应用部署,不需要做地址转换,这种情况下防火墙所有端口都处于模式,防火墙首先作为一台路由器进行部署);
、透明模式下的基本配置
实现透明模式配置建议采用命令行的方式,因为采用的方式实现时相对命令行的方式麻烦。
通过控制台连接防火墙的控制口,登录命令行管理界面,通过如下命令与步骤进行二层透明模式的配置:
1(将端口上的默认地址删除);
2(将端口分配到:
基于二层的安全区,端口设置为该安全区后,则端口工作在二层模式,并且不能在该端口上配置地址);
3(将端口分配到);
4(将端口分配到);
5(设置的地址为:
,该地址作为防火墙管理地址使用);
6(设置一条由内网到外网的访问策略);
7(保存当前的配置);
总结:
1带有字样的为基于透明模式的安全区,在进行透明模式的应用时,至少要保证两个端口的安全区工作在二层模式;
2虽然防火墙可以在某些特殊版本工作在混合模式下(二层模式和三层模式的混合应用),但是通常情况下,建议尽量使防火墙工作在一种模式下(三层模式可以混用:
和路由)。
第五章防火墙常用功能的配置
这里讲述的防火墙的几种常用功能主要是指基于策略的的实现,包括:
、和,这三种常用功能主要应用于防火墙所保护服务器提供对外服务。
、的配置
是“一对一”的双向地址翻译(转换)过程。
通常的情况是:
当你有若干个公网地址,又存在若干的对外提供网络服务的服务器(服务器使用私有地址),为了实现互联网用户访问这些服务器,可在出口的防火墙上建立公网地址与服务器私有地址之间的一对一映射(),并通过策略实现对服务器所提供服务进行访问控制。
应用的网络拓扑图:
注:
配置在防火墙的外网端口(连接的端口)。
、使用浏览器方式配置
1登录防火墙,将防火墙部署为三层模式(或路由模式);
2定义:
>>>,配置实现的地址映射。
:
公网地址,:
内网服务器地址
3定义策略:
在中,配置由外到内的访问控制策略,以此允许来自外部网络对内部网络服务器应用的访问。
、使用命令行方式配置
1配置接口参数
2定义
3定义策略
()
、的配置
是一个公网地址对应一个私有地址,是一对一的映射关系;而是一个公网地址的不同端口(协议端口如:
、、等)与内部多个私有地址的不同服务端口的映射关系。
通常应用在只有很少的公网地址,却拥有多个私有地址的服务器,并且,这些服务器是需要对外提供各种服务的。
应用的拓扑图:
注:
配置在防火墙的外网连接端口上(连接的端口)。
、使用浏览器方式配置
1登录防火墙,配置防火墙为三层部署模式。
2
添加:
>>>
3添加与该公网地址相关的访问控制策略。
、使用命令行方式配置
1配置接口参数
2定义
3定义策略
()
注:
的地址可以利用防火墙设备的外网端口地址实现(限于低端设备)。
、的配置
的应用一般是在内网对外网的访问方面。
当防火墙内网端口部署在模式下,通过防火墙由内网对外网的访问会自动转换为防火墙设备的外网端口地址,并实现对外网(互联网)的访问,这种应用存在一定的局限性。
解决这种局限性的办法就是,在内部网络地址外出访问时,动态转换为一个连续的公网地址池中的地址。
应用的网络拓扑图:
、使用浏览器方式配置
1登录防火墙设备,配置防火墙为三层部署模式;
2定义:
>>>,在定义了公网地址的端口定义地址池;
3定义策略:
定义由内到外的访问策略,在策略的高级()部分的相关内容中,启用源地址,并在下拉菜单中选择刚刚定义好的地址池,保存策略,完成配置;
策略配置完成之后拥有内部地址的网络设备在访问互联网时会自动从该地址池中选择一个公网地址进行。
、使用命令行方式配置
1配置接口参数
2定义
3定义策略
总结:
1当需要做原地址转换时,可以有两种做法,一种是前面我们介绍到的基于接口的地址转换,这种方式的优点就是可以做端口复用,系列理论可以支持复用到会话;另外一种就是定义地址池,策略里调用我们定义的地址池,这种方式的缺点就是只能支持到个会话;
2做地址转换有两种方式,一种是,,的形式,另一种是基于策略的,在使用的时候,最好是统一为一种方式,要么都是,,;要么就都做基于策略的,不建议两种方式混用。
、聚合接口()的配置
使用命令行配置聚合口的设置:
设备聚合口需要注意的一点是,需要聚合的两个接口的物理属性(比如双工模式、速率)设置要一致,并且要求属于同一个芯片(系列的板卡上,前个物理接口属于同一个芯片,后个物理接口属于另一个芯片)
第六章防火墙双机的配置
为了保证网络应用的高可用性,在部署防火墙过程中可以在需要保护的网络边缘同时部署两台相同型号的防火墙设备,实现的配置。
防火墙提供了三种高可用性的应用配置模式:
主备方式、主主方式和双主冗余方式。
在这里,我们只对主备方式的配置进行说明。
防火墙网络拓扑图(主备模式):
、使用浏览器方式配置
(设备)
1接口
>>(对于):
输入以下内容,然后单击:
:
(出现时选择此选项)
:
>>(对于):
输入以下内容,然后单击
:
:
:
(出现时选择此选项)
:
:
输入以下内容,然后单击:
:
2接口监控
>>>>:
:
输入
以下内容,然后单击:
:
(选择);:
:
(选择);:
>>:
选择,然后
单击。
>>:
在字段中,键入,然后单击。
(设备)
1接口
>>(对于):
输入以下内容,然后单击:
:
:
(出现时选择此选项)
:
>>(对于):
输入以下内容,然后单击
:
:
:
(出现时选择此选项)
:
:
输入以下内容,然后单击:
:
2
>>>>:
:
输入
以下内容,然后单击:
:
(选择);:
:
(选择);:
>>:
选择,然后
单击。
>>:
在字段中,键入,然后单击。
、使用命令行方式配置
(设备)
1接口
2
(设备)
1接口
2
注:
基于主主方式的应用的说明:
详见《概念与范例参考指南》可以在:
免费获得。
第七章防火墙的维护命令
登录防火墙的方式
、方式()登录防火墙。
、从口采用命令行的方式登录防火墙。
、采用命令行的方式登录防火墙。
、采用命令行方式登录防火墙。
查看设备相关日志和工作状态
、查看内存状况
、查看会话信息
、查看使用状态
、查看设备会话数
、查看策略的流量日志
、查看流量日志
、查看事件告警
、查看策略配置
、查看系统日志
、查看端口流量
、查看大小
、查看接口状态
、索引查看
*
、查看信息(慎用)
、查看路由表
、查看某一条路由
10.10.10
、查看防火墙双机状态是否同步
、查看防火墙端口复用分配情况
检查设备的占有率
如果防火墙占有率过高,是重要问题,影响业务正常处理。
原因分析
检查设备告警日志,分析设备流量信息,出现占有率过高告警信息,可能的原因有:
1、同时在线会话数超出阀值。
2、新建会话数超出阀值。
、网络攻击。
采取的措施
、检查会话数目和新建会话数目。
、查看日志,是否存在网络攻击。
、关闭功能
、执行和命令,查看流媒体信息和基于接口的地址翻译情况。
、根据日志或者会话分析检查发起攻击的源,对并发起攻击的源进行检查隔离,直至问题解决。
检查内存占有率
由于防火墙内存使用模式是预分配模式,正常情况下内存使用率为左右,但如果内存占有率过高,需检查原因。
原因分析
检查设备告警日志,分析设备流量信息,内存占用率过高,可能的原因有:
、会话数过大,超出设备阀值。
、用户列表数目过大(比如认证的用户列表)。
采取的措施
根据日志检查分析会话数和用户列表数目过大的原因。
双机异常
防火墙双机出现异常是重要问题,虽然不影响业务正常处理,但影响设备可靠性。
原因分析
防火墙设备双机异常的现象表现在主备机通信异常、无法正常切换等。
引起这种现象可能是因为:
、设备双机网络配置不正确,网络地址存在冲突、网络故障、硬件故障或损坏。
、设备双机配置不正确。
采取的措施
1、检查双机网络配置是否正常。
、检查网络地址是否冲突。
、检查设备双机配置是否异常,请参见产品手册对应设备双机配置说明,根据其中的指引进行配置。
、必要时,请联系公司当地办事处技术服务工程师进行紧急处理。
如果防火墙前面板的指示灯出现红色,表明防火墙双机配置不同步。
可以通过命令行方式查看防火墙双机工作状态:
、如果是口登录时请执行命令:
、如果是登录时请执行命令:
和
防火墙输出有两种情况:
、:
说明防火墙配置或不同步,需要检查配置或执行同步。
当设备出现配置不同步情况下,请按照以下步骤操作:
先执行防火墙主机切换到备机命令:
[]
然后请使用以下命令将它们同步:
(然后重新启动设备)或(无需重新启动设备)。
、说明防火墙配置同步。
故障处理工具
防火墙提供灵活多样的维护方式,其中故障处理时最有用的两个工具是和,用于跟踪防火墙对指定包的处理,用于捕获流经防火墙的数据包,由于和均需要消耗防火墙的和资源,在使用时务必要设置过滤列表,防火墙将仅对过滤列表范围内的包进行分析,包分析结束后应在第一时间关闭和功能。
下面简要介绍一下两个工具的使用方法。
:
跟踪防火墙对数据包的处理过程
.设置过滤列表,定义捕获包的范围
、清除防火墙内存中缓存的分析包
、开启数据流跟踪功能
、发送测试数据包或让小部分流量穿越防火墙
、关闭所有功能
、检查防火墙对符合过滤条件数据包的分析结果
、清除防火墙过滤列表
、清除防火墙缓存的信息
、查看当前设置
:
捕获进出防火墙的数据包,与嗅包软件功能类似。
.设置过滤列表,定义捕获包的范围
、清除防火墙内存中缓存的分析包
、开启功能捕获数据包
注:
内有双方向抓包的命令,可以添加。
、发送测试数据包或让小部分流量穿越防火墙
、停止
、检查防火墙对符合过滤条件数据包的分析结果
、清除防火墙过滤列表
、清除防火墙缓存的信息
、查看设置
第八章防火墙的配置优化
通过防火墙在网关中的长期应用,我们建议在新设备上线时,优化设备配置,使其能更好的发挥其功能和性能。
优化
在业务中,推荐只开启、的功能,界面的设置:
通过命令行配置:
防火墙数据包处理性能优化
通过命令行配置:
日志优化
对于所有策略中的日志选项,我们不建议打开其日志功能,除非必须打开的。
取消策略中的日志选项配置如下:
关闭双机会话同步
命令行配置如下:
第九章移动网关配置案例
*启用网络时钟服务器功能,防火墙可通过服务器自动同步时钟*
*设定防火墙时区为东区,北京时间为东时区*
*设定虚拟路由器为共享路由器,作为根虚拟路由器,可以被其它虚拟系统()访问,目前防火墙没有启用*
""*系统缺省配置了虚拟路由器供用户选择使用*
""*系统缺省配置了虚拟路由器供用户使用,缺省情况下所有路由条目均在中*
*关闭将中接口路由自动导入到中,目前防火墙没有使用,故无需将接口路由导入进来*
********下面是用户自定义服务配置,不做具体描述**********
""
""
""
""
""
………………(后续自定义服务配置省略)
*关闭会话初始协议()的应用层网关功能,网络中没有应用流量*
*关闭媒体网关控制协议()的应用层网关功能,网络中没有该类应用流量*
*关闭瘦客户端呼叫控制协议()的应用层网关功能,网络中没有该类应用流量*
*关闭远程进程调用()的应用层网关功能,网络中没有该类应用流量*
*关闭微软远程进程调用()应用层网关功能,网络中没有该类应用流量*
*关闭协议的应用层网关功能,网络中使用的协议版本不需要使用该应用层网关功能*
*关闭实时流媒体协议()的应用层网关功能,网络中没有该类应用流量*
*关闭协议的应用层网关功能,网络中没有该类应用流量*
""*防火墙缺省为本地的认证服务器自动分配号*
""""*防火墙缺省设置本地验证服务器名称为*
""*防火墙缺省启用本地认证服务器进行管理员账号认证*
*防火墙缺省通过连接服务器的端口进行记账,目前网络没有启用该功能*
""*设置防火墙根管理口令为*
""*设置防火墙根管理账号,仅显示不可逆的加密密文*
""""""*设置只读权限的管理员账号口令*
*设置管理员账号登录超时时间为秒*
""*防火墙管理员账号采用本地认证服务器认证*
*防火墙缺省启用格式显示配置文件*
""""*缺省设置区域位于虚拟路由器*
""""*缺省设置区域位于虚拟路由器*
""""*缺省设置区域位于虚拟路由器*
""""*缺省设置区域位于虚拟路由器,模式仅在透明模式下使用*
""""*缺省设置区域位于虚拟路由器,区域仅在启用路由模式的下使用*
""*区域启用功能,当防火墙收到第一个报文不带有标志位时,防火墙给源端发送报文*
""*区域开启功能,当多个接口均位于区域时,接口间的流量必需经明确允许才能通过防火墙*
""*区域关闭功能,当防火墙收到第一个报文不带有标志位时,防火墙直接丢弃该报文,不会给予任何提示和响应报文*
""*区域启用功能*
""*区域缺省启用功能*
""*区域缺省启用功能*
""*区域
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 防火墙 配置 手册