联想网御防火墙使用手册.ppt

联想网御防火墙使用手册.ppt

《联想网御防火墙使用手册.ppt》由会员分享，可在线阅读，更多相关《联想网御防火墙使用手册.ppt（43页珍藏版）》请在冰豆网上搜索。

1联想网御联想网御PowerV防火墙防火墙技术培训技术培训POWERV防火墙培训大纲防火墙培训大纲22什么是防火墙什么是防火墙防火墙技术原理防火墙技术原理防火墙配置案例防火墙配置案例问题处理及日常维护问题处理及日常维护什么是防火墙？

安全域的概念安全域的概念什么是防火墙？

什么是防火墙？

访问控制，过滤未经许可的通信流量访问控制，过滤未经许可的通信流量未经许可的流量未经许可的流量合法的流量合法的流量风险风险RISKRISKRISKRISKRISKRISKRISKRISK风险风险基本的风险基本的风险采取措施后剩余的风险采取措施后剩余的风险资产资产资产资产威胁威胁威胁威胁漏洞漏洞资产资产资产资产威胁威胁威胁威胁漏洞漏洞漏洞漏洞风险管理：

风险管理：

-就是为了把网络的安全风险降到可接受的程度就是为了把网络的安全风险降到可接受的程度什么是防火墙？

定义：

防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。

核心思想：

在不安全的网络环境中构造一个相对安全的子网环境。

目的：

都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。

防火墙能做什么防火墙能做什么保障授权合法用户的通信与访问保障授权合法用户的通信与访问禁止未经授权的非法通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动记录经过防火墙的通信活动防火墙不能做什么防火墙不能做什么不能主动防范新的安全威胁不能主动防范新的安全威胁不能防范来自网络内部的攻击不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问不能控制不经防火墙的通信与访问什么是防火墙？

POWERV防火墙培训大纲防火墙培训大纲99什么是防火墙什么是防火墙防火墙技术原理防火墙技术原理防火墙配置案例防火墙配置案例问题处理及日常维护问题处理及日常维护数据包协议协议数据包连接状态通过netstatna命令来查看本机的连接工作模式-透明模式internet防火墙透明接入，相当于交换机，防火墙接口不需要配置ip地址，同时不用更改周边设备的路由等信息工作模式-路由模式防火墙做内部网络的网关internet部署位置网络边界防护internet部署位置网络内部区域防护网络内部区域防护，即多安全域防护。

internetPOWERV防火墙培训大纲防火墙培训大纲1616什么是防火墙什么是防火墙防火墙技术原理防火墙技术原理防火墙配置案例防火墙配置案例问题处理及日常维护问题处理及日常维护防火墙配置案例防火墙配置案例准备工作-登录防火墙配置前的信息收集网御防火墙的配置顺序防火墙路由模式接入案例防火墙策略注意事项准备工作准备工作登录防火墙登录防火墙配置管理主机的ip地址连接连接主机和防火墙登录防火墙准备工作准备工作准备工作准备工作-本机配置本机配置主要是配置主机的IP地址为10.1.5.200/255.255.255.0准备工作准备工作-连接防火墙连接防火墙FE1IP地址：

10.1.5.254网卡IP地址：

10.1.5.200打开IE浏览器输入https:

/10.1.5.254:

8888按照提示选择证书，登录完成。

输入用户名和密码。

登录防火墙登录防火墙配置前的信息收集工作配置前的信息收集工作配置前的信息收集工作配置前的信息收集工作查看网络环境（防火墙及周边路由器、交换机和服务器的IP、路由状况等）搞清楚应用需求（协议、服务和端口）制定合适的安全策略网御防火墙配置顺序网御防火墙配置顺序配置步骤配置接口配置路由或默认路由定义资源-基于对象的概念，遵循先定义后引用的原则。

配置策略-从上到下依次执行，第一优先匹配的原则。

案例案例防火墙路由模式接入网络防火墙路由模式接入网络路由模式的防火墙多部署于网络边界连接多个不同网络路由模式路由模式概述概述案例二：

路由模式定义被引用的地址资源（可选）添加报文待匹配的包分类（PCP）配置pcp对应的NAT策略查看是否生效（会话表）NAT配置步骤：

NAT基本配置3030SUPERVSUPERV网络出口应用网络出口应用1：

SNAT+DNAT典型应用典型应用:

A：

内网用户通过：

内网用户通过SNAT+地址池访地址池访问问InternetB：

外网用户：

外网用户通过通过DNAT访问访问内网的服务器内网的服务器SUPERV典型应用方案典型应用方案网络接口配置接口接口IP地址地址在一个接口上可以配置多个地址应用于HA和VRRP的地址较特别在HA一节中详细讲解静态路由的配置配置配置静态静态路由路由标记为不可达路由和黑洞路由的流量都会被丢弃，对不可达的流量将返回ICMP不可达差错消息对于多出口路由后，将根据所配置的权值决定流量的分担pagepage33332022/10/272022/10/27lFlowOpt产品的主要功能产品的主要功能透明模式和路由模式流量可视基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能其他基础网络功能一级菜单PCP基本服务对象服务对象组时间对象静态路由系统监控-PCP主要功能pagepage34342022/10/272022/10/27lFlowOpt产品的主要功能产品的主要功能透明模式和路由模式流量可视基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能其他基础网络功能一级菜单PCP基本服务对象基本服务对象服务对象组时间对象静态路由系统监控-基本服务对象基本服务对象主要功能pagepage35352022/10/272022/10/27lFlowOpt产品的主要功能产品的主要功能透明模式和路由模式流量可视基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能其他基础网络功能一级菜单PCP基本服务对象服务对象组服务对象组时间对象静态路由系统监控-服务对象组服务对象组主要功能3737典型应用方案二典型应用方案二详细配置详细配置设备一：

objectserviceftpprotocoltcpsportport-range165535dportport-range2121interfaceGe0/1/0ipaddress6.0.0.124interfaceGe0/1/1ipaddress211.10.0.124pcpnet_1source-ipnet1.2.0.0255.255.0.0pcpnet_2source-ipnet2.2.0.0255.255.0.0pcpdnat-jl-ftpdestination-ipnet211.10.0.1255.255.255.255service-objftpfilterdefaultacceptnatpcpnet_1snatinterfaceg0/1/1address-poolouthash-mappingonnatpcpdnat-jl-ftpdnatinterfaceg0/1/1address-poolouthash-mappingoniproute-static0.0.0.00gateway211.10.0.2iproute-static1.2.0.016gateway6.0.0.2配置说明：

1：

定义服务objectserviceftpprotocoltcpsportport-range165535dportport-range21212：

定义PCPpcpdnat-jl-ftpdestination-ipnet211.10.0.1255.255.255.255service-objftppcpnet_1source-ipnet1.2.0.0255.255.0.0pcpnet_2source-ipnet2.2.0.0255.255.0.03：

配置SNAT+DNATnatpcpnet_1snatinterfaceg0/1/1address-poolouthash-mappingonnatpcpdnat-jl-ftpdnatinterfaceg0/1/1address-poolouthash-mappingon4：

配置路由iproute-static0.0.0.00gateway211.10.0.2iproute-static1.2.0.016gateway6.0.0.2防火墙策略注意事项不管防火墙采用什么样的工作模式，必须进行规则的设定。

注意策略的方向性，谁去访问谁。

策略是从上到下顺序匹配执行。

掩码的设置IP/255.255.255.255代表的是唯一的一台主机IP/255.255.255.0代表的是一个子网内的主机源目的IP和服务中的any代表的是allworkstation和allprotocolPOWERV防火墙培训大纲防火墙培训大纲3939什么是防火墙什么是防火墙防火墙技术原理防火墙技术原理防火墙配置案例防火墙配置案例问题处理及日常维护问题处理及日常维护典型部署方式典型部署方式部署网络防火墙策略十四条守则1.计算机没有大脑。

所以，当防火墙的行为和你的要求不一致时，请检查你的防火墙配置。

2.只允许你想要允许的客户、源地址、目的地和协议。

仔细的检查你的每一条规则，看规则的元素是否和你所需要的一致。

3.拒绝的规则一定要放在允许的规则前面。

4.当需要使用拒绝时，显式拒绝是首要考虑的方式。

5.在不影响防火墙策略执行效果的情况下，请将匹配度更高的规则放在前面。

6.在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面。

7.尽量简化你的规则，执行一条规则的效率永远比执行两条规则的效率高。

8.永远不要在网络中使用Allow4ALL规则（Allowallusersuseallprotocolsfromallnetworkstoallnetworks），这样只是让你的防火墙形同虚设。

9.如果可以通过配置系统策略来实现，就没有必要再建立自定义规则（或特征）。

10.防火墙的每条访问规则都是独立的，执行每条访问规则时不会受到其他访问规则的影响。

部署网络防火墙策略十四条守则11.永远也不要允许任何网络访问防火墙本机的所有协议。

内部网络也是不可信的。

12.无论作为访问规则中的目的还是源，最好使用IP地址。

13.请不要忘了，防火墙策略的最后还有一条DENY4ALL。

14.最后，请记住，防火墙策略的测试是必需的。

部署网络防火墙策略十四条守则