天融信防火墙TOPSEC系统管理.ppt
- 文档编号:1773565
- 上传时间:2022-10-24
- 格式:PPT
- 页数:188
- 大小:8.49MB
天融信防火墙TOPSEC系统管理.ppt
《天融信防火墙TOPSEC系统管理.ppt》由会员分享,可在线阅读,更多相关《天融信防火墙TOPSEC系统管理.ppt(188页珍藏版)》请在冰豆网上搜索。
1天融信网络防火墙4000(TOS)安装使用培训2服务须知服务须知u产品开箱后,应该按照以下步骤进行处理:
按照装箱单的提示,检查附件是否齐全填写保修单,并将其邮寄到天融信公司客户服务中心到天融信公司的网站进行产品注册;用户名、通信地址、联系电话、产品序列号、产品型号一定要填写清楚。
客户服务中心电话:
800-810-51193防火墙简介防火墙简介4InternetInternet一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同一种高级访问控制设备,置于不同网络安全域网络安全域网络安全域网络安全域之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同之间的一系列部件的组合,它是不同网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的网络安全域间通信流的唯一通道唯一通道唯一通道唯一通道,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策,能根据企业有关的安全政策控制控制控制控制(允许、拒绝、(允许、拒绝、(允许、拒绝、(允许、拒绝、监视、记录)进出网络的访问行为。
监视、记录)进出网络的访问行为。
监视、记录)进出网络的访问行为。
监视、记录)进出网络的访问行为。
两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义防火墙定义内部网内部网内部网内部网5防火墙的局限性防火墙的局限性物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒(应用层携带的)防火墙自身不会被病毒攻击但不能防止内嵌在数据包中的病毒通过内部人员的攻击防火墙的配置不当6硬件一台硬件一台外形:
外形:
1919寸寸11UU标准机箱标准机箱产品外形产品外形接接COM口口管理机管理机直通直通线线交叉交叉线线串口串口线线PCRouteSwich、Hub交叉交叉线线7CONSOLECONSOLE线缆线缆UTP5UTP5双绞线双绞线-直通直通(11条,颜色条,颜色:
灰色灰色)-交叉交叉(1(1条,颜色条,颜色:
红色红色)使用使用:
直通直通:
与与HUB/SWITCHHUB/SWITCH交叉交叉:
与路由器与路由器/主机(主机(一些高端交换机也可以通过交叉线与一些高端交换机也可以通过交叉线与防火墙连接防火墙连接)软件光盘软件光盘上架附件上架附件产品提供的附件及线缆产品提供的附件及线缆使用方式使用方式8防火墙提供的通讯模式防火墙提供的通讯模式透明模式(提供桥接功能)在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。
也就是说,对于同一VLAN的数据包在转发时不作任何改动,包括IP和MAC地址,直接把包转发出去。
同时,网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。
路由模式(静态路由功能)在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC地址替换为相应接口的MAC地址,然后转发。
该模式适用于每个区域都不在同一个网段的情况。
和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP地址。
综合模式(透明+路由功能)顾名思义,这种模式是前两种模式的混合。
也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。
该模式适用于较复杂的网络环境。
说明:
说明:
防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。
影响防火墙的访问控制功能。
9InternetInternet内部网内部网内部网内部网202.99.88.1ETH0:
202.99.88.2ETH1:
202.99.88.3ETH2:
202.99.88.4202.99.88.10/24网段202.99.88.20/24网段外网、SSN、内网在同一个广播域,防火墙做透明设置。
此时防火墙为透明模式。
透明模式的典型应用透明模式的典型应用10InternetInternet内部网内部网内部网内部网202.99.88.1ETH0:
202.99.88.2ETH1:
10.1.1.2ETH2:
192.168.7.210.1.1.0/24网段192.168.7.0/24网段外网、SSN区、内网都不在同一网段,防火墙做路由方式。
这时,防火墙相当于一个路由器。
路由模式的典型应用路由模式的典型应用11综合接入模式的典型应用综合接入模式的典型应用ETH1:
192.168.7.102ETH2:
192.168.7.2192.168.1.100/24网段网段192.168.7.0/24网段网段此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式202.11.22.1/24网段网段ETH0:
202.11.22.2两接口在不同网段,防火墙处于路由模式两接口在不同网段,防火墙处于路由模式两接口在同一网段,防火墙处于透明模式12网络卫士防火墙的硬件设备安装完成之后,就可以上电了。
在工作过程中,用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,具体请见下表:
防火墙的工作状态防火墙的工作状态13在安装防火墙之前必须弄清楚的几个问题:
在安装防火墙之前必须弄清楚的几个问题:
1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式:
路由、透明、综合。
2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)14常见病毒使用端口列表常见病毒使用端口列表69/UDP135-139/TCP135-139/UDP445/TCP445/UDP4444/TCP1433/UDP1434/UDP4899/UDP1068/TCP5554/TCP9995/TCP9996/TCPICMP关掉不必要的PING15常见路由协议使用端口列表常见路由协议使用端口列表RIP:
UDP-520RIP2:
UDP-520OSPF:
IP-89IGRP:
IP-9EIGRP:
IP-88HSRP(Cisco的热备份路由协议):
UDP-1985BGP:
(BorderGatewayProtocol边界网关协议,主要处理各ISP之间的路由传递,一般用在骨干网上)TCP-17916规则列表需要注意的问题:
规则列表需要注意的问题:
1、规则作用有顺序2、访问控制列表遵循第一匹配规则3、规则的一致性和逻辑性访问控制规则说明访问控制规则说明17防火墙防火墙4000(TOS)的安装配置的安装配置18串口串口(console)console)管理方式:
管理方式:
管理员为空,回车后直接输入口令即可,初始口令talent,用passwd修改管理员密码,请牢记修改后的密码。
WEBUIWEBUI管理方式:
管理方式:
超级管理员:
superman,口令:
talentTELNETTELNET管理方式:
管理方式:
模拟console管理方式,用户名superman,口令:
talentSSHSSH管理方式:
管理方式:
模拟console管理方式,用户名superman,口令:
talent防火墙配置防火墙配置-管理方式管理方式19防火墙配置防火墙配置-防火墙出厂配置防火墙出厂配置20防火墙的防火墙的CONSOLE管理方式管理方式超级终端参数设置:
21防火墙的防火墙的CONSOLE管理方式管理方式防火墙的命令菜单:
22防火墙的防火墙的CONSOLE管理方式管理方式输入helpmodechinese命令可以看到中文化菜单23防火墙的防火墙的WEBUI管理方式管理方式在浏览器输入:
HTTPS:
/192.168.1.254,看到下列提示,选择“是”24防火墙的防火墙的WEBUI管理方式管理方式输入用户名和密码后,按“提交”按钮25防火墙的防火墙的WEBUI管理方式管理方式26防火墙的管理方式打开防火墙防火墙的管理方式打开防火墙管理端口管理端口注意:
要想通过TELNET、SSH方式管理防火墙,必须首先打开防火墙的服务端口,系统默认打开“HTTP”方式。
在“系统”“系统服务”中选择“启动”即可27防火墙的防火墙的TELNET管理方式管理方式通过TELNET方式管理防火墙:
28防火墙的接口和区域防火墙的接口和区域接口和区域是两个重要的概念接口和区域是两个重要的概念接口:
和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1等。
区域:
可以把区域看作是一段具有相似安全属性的网络空间。
在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。
在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
29防火墙对数据包处理流程防火墙对数据包处理流程30网络卫士防火墙的基本配置过程:
11、串口(console)下配置:
配置接口IP地址,查看或调整区域管理权限。
当然也可以通过命令的方式在串口下进行防火墙配置2、在串口下保存配置:
用SAVE命令3、推荐使用WEBUI方式对防火墙进行各种配置4、配置具体的访问控制规则及其日常管理维护防火墙的配置过程防火墙的配置过程提示:
提示:
一般先设置并调整网络区域,然后再定义各种对象(网络对象、特殊对象等),然后在添加访问策略及地址转换策略,最后进行参数调整及增加一些辅助的功能。
31防火墙的基本应用配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略(通讯策略)保存和导出配置32防火墙三种工作模式防火墙三种工作模式的配置案例的配置案例33防火墙配置例防火墙配置例1配置案例1(路由模式):
INTERNET202.99.27.193202.99.27.250192.168.1.254172.16.1.100172.16.1.1192.168.1.0/24应用需求:
内网可以访问互联网服务器对外网做映射映射地址为202.99.27.249外网禁止访问内网WEB服务器防火墙接口分配如下:
ETH0接INTERNETETH1接内网ETH2接服务器区34防火墙配置定义网络接口防火墙配置定义网络接口在CONSOLE下,定义接口IP地址输入network命令进入到network子菜单定义防火墙每个接口的IP地址,注意子网掩码不要输错35防火墙配置定义区域及添加区防火墙配置定义区域及添加区域管理权限域管理权限defineareaaddnamearea_eth1attributeeth1accessondefineareaaddnamearea_eth2attributeeth2accessonpfserviceaddnamewebuiareaarea_eth1addressnameanypfserviceaddnameguiareaarea_eth1addressnameanypfserviceaddnamepingareaarea_eth1addressnameanypfserviceaddnametelnetareaarea_eth1addressnameany系统默认只能从ETH0接口(区域)对防火墙进行管理,输入如下命令:
添加ETH1接口为“AREA_ETH1”区域;ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限(当然也可以对“AREA_ETH2”区域添加)定义你
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天融信 防火墙 TOPSEC 系统管理