联想网御防火墙使用手册.ppt
联想网御防火墙Power V Web界面操作手册
联想网御防火墙使用手册
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl- interface g0/1/1 address-
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet B:外网用户通过DNAT访问内网
的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
网御防火墙管理系统使用手册
2.5.1 控制台的安装要求.........................................................................................15 2.5.2 第一个控制台的安装过程.............................................................................15 2.5.3 其它控制台安装.............................................................................................16 2.5.4 控制台的修复.................................................................................................16 2.5.5 控制台卸载.....................................................................................................16 2.5.6 控制台的重新安装.........................................................................................16
2.3 数据库的安装和卸载...............................................................................8
联想网御防火墙Smart_V功能使用手册
联想网御防火墙Smart V 功能使用手册声明本手册所含内容若有任何改动,恕不另行通知。
在法律法规的最大允许范围内,联想网御科技(北京)有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其它任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。
在法律法规的最大允许范围内,联想网御科技(北京)有限公司对于您的使用或不能使用本产品而发生的任何损坏(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或任何其它损失),不负任何赔偿责任。
本手册含受版权保护的信息,未经联想网御科技(北京)有限公司书面允许不得对本手册的任何部分进行影印、复制或翻译。
联想网御科技(北京)有限公司中国北京海淀区中关村南大街6号中电信息大厦8层章节目录章节目录 (III)图目录 (VII)第1章前言 (1)1.1导言 (1)1.2本书适用对象 (1)1.3本书适合的产品 (1)1.4手册章节组织 (1)1.5相关参考手册 (2)第2章VPN概念与配置方法 (3)2.1IPS EC VPN隧道 (3)2.2IKE密钥交换 (4)2.3VPN虚拟接口设备配置方法 (5)2.4局域网-局域网配置方法 (6)2.4.1 添加远程VPN (6)2.4.2 隧道配置方法 (6)2.5VPN客户端远程访问的配置方法 (7)2.6野蛮模式的应用 (8)2.7星形部署 (8)2.8VPN隧道与安全规则的关系 (8)2.9PPTP/L2TP远程访问VPN配置方法 (9)2.10动态域名配置方法 (12)2.11SSLVPN (13)2.11.1 SSLVPN的使用方法 (13)2.11.2 SSLVPN的配置 (14)2.11.3 SSLVPN支持的应用 (14)2.12常见问题(FAQ) (14)2.13如何注册的动态域名 (15)2.14网御VPN CA中心的使用方法 (18)2.14.1 证书管理 (18)2.14.2 使用第三方CA证书管理中心 (19)2.14.3 CA中心自身的管理 (20)2.15GRE隧道中继 (21)2.15.1 需求描述 (21)2.15.2 配置步骤 (21)2.15.3 总结 (24)第3章用户认证概念与配置方法 (25)3.1功能概述 (25)3.1.1 用户使用认证服务的过程 (25)3.1.2 用户认证模块的主要功能和参数 (26)3. 1. 2. 1 用户具有的功能: (27)3. 1. 2. 2 管理员具有的功能: (27)3. 1. 2. 3 用户认证模块的参数设置为: (27)3. 1. 2. 4 本地认证服务器的参数设置为: (28)3.1.3 使用防火墙用户认证服务的基本步骤 (28)3.2用户认证客户端软件使用指南 (29)3.2.1 概述 (29)3.2.2 客户端软件的安装 (29)3.2.3 基本使用方法 (30)3. 2. 3. 1 客户端主界面 (30)3. 2. 3. 2 配置系统 (30)3. 2. 3. 3 认证 (30)3. 2. 3. 4 修改密码 (31)3. 2. 3. 5 获取剩余时间流量 (32)3.3用户认证网闸功能 (33)3.3.1 功能概述 (33)3.3.2 思路分析 (35)3.3.3 SMART V实施方法 (35)3.4RADIUS服务器的配置和安装 (36)3.4.1 RADIUS概述 (36)3.4.2 RADIUS服务器的配置 (36)3. 4. 2. 1 安装mysql (37)3. 4. 2. 2 安装FreeRADIUS (37)3. 4. 2. 3 配置FreeRADIUS (37)3.5用户认证和深度过滤的结合使用 (40)第4章深度过滤概念与配置方法 (43)4.1基本概念 (43)4.2配置方法 (43)4.2.1 启用深度过滤和设置服务端口 (44)4.2.2 定义资源组 (44)4.2.3 定义深度过滤策略 (45)4.2.4 安全规则 (47)4.2.5 蠕虫过滤 (48)4.3注意事项 (50)第5章典型应用环境 (51)5.1三网口纯路由模式 (51)5.1.1 需求描述 (51)5.1.2 配置步骤 (52)5.2三网口混合模式 (53)5.2.1 需求描述 (53)5.2.2 配置步骤 (54)5.3三网口透明模式 (55)5.3.1 需求描述 (55)5.3.2 配置步骤 (55)5.4三网口透明模式上的路由 (57)5.4.1 需求描述 (57)5.4.2 配置步骤 (57)5.5三网口多VLAN环境 (59)5.5.1 需求描述 (59)5.5.2 配置步骤 (60)5.6多网口多DMZ (62)5.6.1 需求描述 (62)5.6.2 配置步骤 (63)5.7多网口多内网区段 (64)5.7.1 需求描述 (64)5.7.2 配置步骤 (65)5.8ADSL连接 (67)5.8.1 需求描述 (67)5.8.2 配置步骤 (67)5.9多默认路由负载均衡 (68)5.9.1 需求描述 (68)5.9.2 配置步骤 (68)5.10DHCP的应用 (69)5.10.1 需求描述 (69)5.10.2 配置步骤 (70)5.11多外网出口 (71)5.11.1 需求描述 (71)5.11.2 配置步骤 (72)5.12端口映射应用 (73)5.12.1 需求描述 (73)5.12.2 配置步骤 (73)5.13连接企业分支的局域网-局域网VPN应用 (75)5.13.1 需求描述 (75)5.13.2 配置步骤 (76)5.14远程访问VPN客户端应用 (78)5.14.1 需求描述 (78)5.14.2 配置步骤 (78)5.14.3 防火墙配置 (78)5.14.4 客户端配置 (79)5.15PPTP/L2TP远程访问 (80)5.15.1 需求描述 (80)5.15.2 配置步骤 (80)5.15.3 防火墙配置 (80)5.15.4 远程用户配置 (80)第6章FAQ与附录 (82)6.1防火墙常见问题解答 (82)6.1.1 如何登录到防火墙管理界面? (82)6.1.2 配置防火墙SMART V的基本过程是怎样的? (83)6.1.3 哪些应用可以和用户认证结合使用? (83)6.1.4 “物理设备”,“别名设备”,“VLAN设备”,“桥接设备”,“VPN设备”,“拨号设备”的定义是怎样的,之间有什么区别与联系? (84)6.1.5 为什么有些需要输入时间、地址、网络接口和服务的下拉框为空? (85)6.1.6 资源定义>>地址>>地址池列表中定义的地址池资源是如何生效的? (85)6.1.7 为什么选择了按网口探测网络上的MAC 地址会探测不到内容? (85)6.1.8 为什么配置了策略配置>>安全规则>>端口映射规则,IP映射规则和NAT规则之后,还不能直接访问相应的服务? (85)6.1.9 ADSL拨号失败怎么办? (86)6.2附录:网络基本知识 (87)6.2.1 OSI参考模型概述 (87)6.2.2 网络 (88)6.2.3 协议 (90)6.2.4 IP地址 (95)6.2.5 路由 (99)6.2.6 端口 (100)6.2.7 包过滤 (103)6.2.8 防火墙 (106)6.3附录:常用端口列表 (107)6.4附录:IP协议号列表 (125)6.5附录:防火墙选配电缆说明 (128)6.6附录:术语解释(按英文名称字母顺序) (130)图目录图2-1局域网-局域网隧道 (3)图2-2远程访问VPN隧道 (4)图2-3 PPTP/L2TP VPN网络连接的协议选择 (10)图2-4 PPTP/L2TP VPN网络连接的加密属性配置 (11)图2-5 PPTP/L2TP VPN网络连接的认证属性配置 (12)图2-6动态DNS帐户设置 (12)图2-7动态IP接口的DNS设置 (13)图2-8动态DNS用户注册(1) (15)图2-9动态DNS用户注册(2) (16)图2-10动态DNS用户注册(3) (16)图2-11动态DNS用户注册(4) (17)图2-12动态DNS管理域名(1) (17)图2-13动态DNS管理域名(2) (17)图2-14动态DNS管理域名(3) (18)图2-15防火墙证书管理-导入请求 (19)图2-16防火墙证书管理-生成证书 (19)图2-17自定义CA提示 (20)图2-18生成自定义CA (20)图2-19网络拓扑图 (21)图2-20 B1远程VPN (22)图2-21 B1网关隧道配置 (22)图2-22 A远程VPN (22)图2-23 A 网关隧道配置 (22)图2-24 B2 远程VPN (22)图2-25 B2网关隧道配置 (23)图2-26 B1 的GRE隧道 (23)图2-27 A的GRE隧道 (23)图2-28 B2的GRE隧道 (23)图2-29 B1的策略路由配置 (23)图2-30 A的策略路由配置 (24)图2-31 B2策略路由配置 (24)图3-1用户网络访问图1 (25)图3-2用户网络访问图2 (26)图3-3用户网络访问图3 (26)图3-4用户认证服务器 (28)图3-5安全规则 (28)图3-6在线用户 (29)图3-7 客户端主界面 (30)图3-8配置客户端 (30)图3-9处于认证过程中的界面 (31)图3-11修改密码界面 (32)图3-12输入新密码 (32)图3-13成功修改密码 (32)图3-14获取剩余时间流量界面 (33)图3-15成功获取剩余时间和流量 (33)图3-16例子网络拓扑图 (34)图3-17 禁止访问OA服务器时的网络拓扑图 (34)图3-18 禁止访问Internet时的网络拓扑图 (35)图3-19 Smart安全规则配置示意图 (36)图3-20 RADIUS角色示意图 (36)图3-21 防火墙RADIUS服务器配置范例 (40)图4-1 深度过滤基本配置 (44)图4-2 定义资源组 (44)图4-3 深度过滤策略配置1 (46)图4-4 深度过滤策略配置2 (47)图4-5 安全规则选择深度过滤策略 (48)图4-6 蠕虫过滤策略配置 (49)图4-7 安全规则中选择深度过滤策略 (49)图5-1三网口纯路由模式 (51)图5-2三网口混合模式 (53)图5-3三网口透明模式 (55)图5-4三网口透明模式上的路由 (57)图5-5三网口多VLAN环境 (59)图5-6多网口多DMZ (62)图5-7多网口多内网区段 (64)图5-8 ADSL连接 (67)图5-9多出口默认路由负载均衡配置图 (68)图5-10 DHCP的应用 (69)图5-11多外网出口 (71)图5-12端口映射应用 (73)图5-13连接企业分支的局域网-局域网VPN应用 (75)图5-14远程访问VPN客户端应用 (78)图5-15 PPTP/L2TP远程访问 (80)图6-1登录到防火墙管理界面 (82)图6-2不同网络设备之间的配置关系 (85)图6-3 OSI七层参考模型 (87)图6-4一个连到Internet的网络 (89)图6-5 UDP头 (92)图6-6握手 (93)图6-7IP包头 (93)图6-8TCP/IP协议栈 (94)图6-9封装 (95)图6-10子网掩码 (96)图6-12通过网关路由 (99)图6-13包头与包路由选择 (102)图6-14端口 (103)图6-15包过滤防火墙 (104)图6-16包如何过滤 (105)第1章前言1.1 导言《功能使用手册》是网御防火墙Smart V管理员手册中的一本。
联想网御防火墙PowerVWeb界面操作手册_5策略配置
第5章策略配置本章是防火墙配置的重点。
符合安全规则的策略是保证防火墙真正起到“防火”作用的基础。
错误的安全规则不但有可能使得防火墙形同虚设,甚至有可能妨碍网络正常功能的使用。
5.1 安全选项安全选项提供防火墙可设置的一些全局安全策略,包括包过滤策略、抗攻击策略、IP/MAC 检查开关和是否允许除IP和ARP之外的其他二层协议通过。
这些参数对整个防火墙生效。
界面如下图所示:图 5-1 安全选项配置5.1.1 包过滤策略包过滤缺省允许策略:提供包过滤缺省策略的选项设置,选中为允许,不选为禁止。
包过滤缺省策略是当所有的用户添加的包过滤规则都没有被匹配时所使用的策略。
如果包过滤缺省策略是禁止,用户添加的包过滤规则应该是允许哪些连接可以通过;如果包过滤缺省策略是允许,用户添加的包过滤规则应该是禁止哪些连接不能通过。
严格的状态检测:选中为启用,不选为禁止。
仅针对TCP连接。
只有完成三次握手的TCP连接才创建状态,除此之外的任何TCP数据包都不创建状态。
启用严格的状态检测,是为了防止ACK扫描攻击。
因为如果没有严格的状态检测,那么如果收到ACK置位的包,防火墙就会创建相应的状态,使得此连接可以通过防火墙。
需要使用“策略配置>>安全规则>>包过滤规则”中的“长连接”属性,设置连接建立的时间时,就必须选中此项属性“策略配置>>安全规则>>包过滤规则”。
在某些特殊网络环境下,防火墙可能无法收到所有三次握手的数据包,此时就不能选中严格的状态检测。
包过滤策略中还包括两项高级设置:图 5-2 安全选项高级设置规则配置立即生效:启用后为规则优先(缺省是状态优先)。
如果不启用,当一个连接在防火墙上的建立起来后,设置了与原有的规则相反的规则,则此时数据包仍能够根据建立的状态表通过防火墙;如果启用,则此时数据包根据设定的规则将无法通过防火墙。
重新设置规则可能会造成已有连接中断。
建议不启用。
联想网御防火墙PowerVWeb界面操作手册网络配置
是否允许TRACEROUTE设备的IP
是否启用
是否启用设备
图49别名设备列表
图410别名设备可配置的属性
4.1.6
冗余设备的目的是将两个物理设备做为一个虚拟的设备,这两个物理设备同一时间只有一个处于启用状态,如果处于启用状态的设备失效,则另一个设备启用。冗余设备可以工作在全冗余模式下,在全冗余模式下,加入冗余设备的两个物理设备的IP地址,掩码,MAC地址(如果冗余设备设置了MAC地址)都将使用冗余设备的IP地址,掩码和MAC地址。如果不是工作在全冗余模式,这两个设备使用它自己的参数。冗余设备默认不工作在全冗余模式下。
4.1.1
物理设备初始情况下工作在路由模式,也就是说该设备上绑定有IP地址,可以与其它设备进行数据包的路由转发。其中第一个物理设备(fe1或某些型号是ge1)是默认的可管理设备。它的默认IP地址是10.1.5.254,子网掩码为255.255.255.0,这个地址允许管理,PING和TRACEROUTE(默认管理主机的IP地址是10.1.5.200,请参考系统配置>>管理配置>>管理主机)。物理设备也可以切换到透明模式。当桥接设备当中只有一个桥设备brg0时,切换到透明模式的物理设备会自动加入到桥接设备brg0中;如果把物理设备从透明模式切换到路由模式,系统自动将这个设备从桥接设备的设备列表中删除。
链路工作模式
设备的链路工作模式,有以下三种
1:自适应
2:全双工
3:半双工
链路速度
设备的链路速度,有以下三种
1:10
2:100
3:1000
MTU
设备的MTU(最大传输单位)。百兆网络设备可设置的范围是68到1504,千兆网络设备可设置的范围是64到16128。
联想网御最终配置手册
联想网御防火墙配置手册1 登陆方法1.1 使用电子钥匙方式登陆防火墙在Web 界面管理中,管理主机默认只能连接防火墙的fe1,如果需要连接其它网口,必须进行相应的设置。
默认的管理主机IP 地址是10.1.5.200,Web 界面管理使用SSL 协议来加密管理数据通信,因此使用IE 来管理防火墙时,在地址栏输入https://a.b.c.d:8888/,来登录防火墙。
其中防火墙的地址“a.b.c.d”初始值为“10.1.5.254”,登录防火墙的初始用户名和口令都是“administrator”,“administrator”中所有的字母都是小写的。
注意:用Web 界面管理时,建议管理主机设成小字体,分辨率为1024*768;其他字体和分辨率可能使界面显示不全或顺序混乱。
管理员通过Web 方式管理防火墙有两种认证方式,电子钥匙认证和证书认证。
使用电子钥匙时,首先将电子钥匙插入管理主机的usb 口,启动用于认证的客户端ikeyc.exe,输入PIN 密码,默认为12345678,系统会读出用于认证的ikey 信息,此时窗口右边的灯是红的。
(如下图所示)选择“连接”,连接进行中灯是黄的,如果连接成功,灯会变绿,并且出现通过认证的提示框,“确定”后,就可以通过https://10.1.5.254:8888 连接防火墙了。
(如下图所示)注意:防火墙管理过程中,请不要拔下电子钥匙,也不要关闭防火墙管理认证客户端,否则可能无法管理。
1.2使用管理证书认证方式远程登陆防火墙1.2.1远程登陆防火墙的条件1、必须在先使用电子钥匙登陆防火墙,在“系统配置>>管理配置>>管理证书”页面上载防火墙证书。
(附图1)2、在准备登陆防火墙的计算机上导入浏览器认证证书“admin.p12”。
(附图2)3、在“系统配置〉〉管理配置〉〉管理主机”页面添加管理主机。
(附图3)4、对“网络配置〉〉网络设备”页面中的fe4口进行操作(附图4)。
网御防火墙管理系统使用手册
2.2.1 安装过程...........................................................................................................6 2.2.2 配置...................................................................................................................7
2.3 数据库的安装和卸载...............................................................................8
2.3.1 数据库的安装要求...........................................................................................8 2.3.2 安全管理数据库的安装过程 ...........................................................................8 2.3.3 数据库的配置...................................................................................................9 2.3.4 数据库的删除.................................................................................................10 2.3.5 数据库的重新安装......................................................................................... 11
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
用户 IP:1.2.x.x/16 Gw:1.2.2.1
IP:x Gw:2.2.2.3
用户
30
接口 IP地址
网络接口配置
•在一个接口上可以配置多个地址 •应用于HA和VRRP的地址较特别
在HA一节中详细讲解
静态路由的配置
配置 静态 路由
部署位置-网络内部区域防护
网络内部区域防护,即多安全域防护。
internet
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
16
防火墙配置案例
• 准备工作-登录防火墙 • 配置前的信息收集 • 网御防火墙的配置顺序 • 防火墙路由模式接入案例 • 防火墙策略注意事项
网御防火墙配置顺序
配置步骤
• 配置接口 • 配置路由或默认路由 • 定义资源-基于对象的概念,遵循先定义后
引用的原则。 • 配置策略-从上到下依次执行,第一优先匹
配的原则。
案例 防火墙路由模式接入网络
案例二:路由模式
路由模式—概述
• 路由模式的防火墙多部署于网络边界 • 连接多个不同网络
NAT基本配置
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------服务对象组
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
典型应用方案二 详细配置
• 设备一: • object service ftp protocol tcp sport port-
range 1 65535 dport port-range 21 21 • interface Ge0/1/0 • ip address 6.0.0.1 24 • interface Ge0/1/1 • ip address 211.10.0.1 24 • pcp net_1 source-ip net 1.2.0.0 255.255.0.0 • pcp net_2 source-ip net 2.2.0.0 255.255.0.0 • pcp dnat-jl-ftp destination-ip net 211.10.0.1
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------基本服务对象
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
B:外网用户通过DNAT访问
内网的服务器
NAT池: IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
电信
GE 0/1/1 IP add 211.10.0.1/24
GE 0/1/0 IP add 6.0.0.1/24 IP add 6.0.0.2/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙?
安全域的概念
什么是防火墙?
什么是防火墙?
访问控制,过滤未经许可的通信流量
未经许可的流量
合法的流量
风险管理:---就是为了把网络的安全风险降到可接受的程度
•标记为不可达路由和黑洞路由的流量都 会被丢弃,对不可达的流量将返回ICMP •对于多出口不路可由达后差,错将消根息据所配置的权
值决定流量的分担
主要功能 ------PCP
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
9
数据包
协议
数据包连接状态
• 通过netstat –na命令来查看本机的连接
工作模式-透明模式
internet
防火墙透明接入,相当于交换 机,防火墙接口不需要配置ip 地址,同时不用更改周边设备 的路由等信息
工作模式-路由模式
internet
防火墙做内部网络的网关
部署位置-网络边界防护
internet
NAT配置步骤:
定义被 添加报 配置 引用的 文待匹 pcp对
地址资 配的包 应的 源(可 分类 NAT策 选) (PCP) 略
查看是 否生效
(会话 表)
SUPER V 典型应用方案
• SUPER V网络出口应用
1:SNAT+DNAT典型应用: A:内网用户通过SNAT+地址池
访问Internet
• 打开IE浏览器输入https://10.1.5.254:8888 • 按照提示选择证书,登录完成。 • 输入用户名和密码。
配置前的信息收集工作
配置前的信息收集工作
• 查看网络环境(防火墙及周边路由器、交 换机和服务器的IP、路由状况等)
• 搞清楚应用需求(协议、服务和端口) • 制定合适的安全策略
准备工作 登录防火墙
准备工作
• 配置管理主机的ip地址 • 连接连接主机和防火墙 • 登录防火墙
准备工作-本机配置
• 主要是配置主机的IP地址为 10.1.5.200/255.255.255.0
准备工作-连接防火墙
FE1IP地址:10.1.5.254 网卡IP地址:10.1.5.200
登录防火墙
什么是防火墙?
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙?
➢ 定义:防火墙(Firewall)是一种用来加强网络之间访问 控制的特殊网络互连设备,是一种非常有效的网络安全模 型。
➢ 核心思想:在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的:都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道,以按照事先制定的策略控制信息的 流入和流出,监督和控制使用者的操作。