硬件防火墙介绍及详细配置
华为防火墙的使用手册
华为防火墙的使用手册第一章:产品概述1.1 产品介绍本手册是为了帮助用户更好地使用华为防火墙(以下简称“防火墙”)而编写的。
防火墙是一种能够有效防范网络攻击和保护网络安全的设备,具有强大的安全防护功能和丰富的网络管理功能。
1.2 产品特点防火墙具有以下主要特点:- 能够进行安全审计和监控网络流量,实时检测和阻断潜在的威胁;- 具有灵活的策略配置和管理功能,可以根据实际需求进行定制化设置;- 支持多种安全协议和加密算法,确保网络数据的安全传输;- 具备高性能处理能力和可靠的硬件设施,能够满足大规模企业网络的安全需求。
第二章:硬件配置与安装2.1 硬件配置在使用防火墙之前,首先需要了解防火墙的硬件配置参数。
包括防火墙型号、CPU、内存、接口类型和数量等信息。
用户可以根据网络规模和安全需求选择适合的防火墙型号。
2.2 安装用户在安装防火墙时需要注意以下几点:- 将防火墙设备固定在防火墙机架上,并连接电源线;- 将防火墙设备与网络设备相连,包括连接入口路由器、交换机等;- 安全接入外部网络,并配置相关网络参数。
第三章:软件配置与管理3.1 系统初始化用户在首次接入防火墙时,需要进行系统初始化配置,包括设置管理员账号、密码、管理IP等信息。
确保只有授权的人员可以管理和操作防火墙。
3.2 策略配置配置防火墙的安全策略是非常重要的一项工作。
用户可以根据实际情况制定入站、出站、NAT、VPN等各类安全策略,以确保网络安全。
3.3 安全管理防火墙还具有安全管理功能,包括安全审计、日志记录、攻击防护等功能。
用户可以通过安全管理功能监控网络流量、分析安全事件并采取相应措施。
第四章:故障排除与维护4.1 系统状态监控防火墙设备可通过监控系统状态来查看硬件运行状况、网络流量情况等,及时发现故障并进行处理。
4.2 故障排除当防火墙出现故障时,用户可以通过系统日志、告警信息等来分析故障原因,并进行相应的处理和维护。
4.3 定期维护为了保持防火墙设备的稳定运行,用户需要对设备进行定期的维护工作,包括固件升级、系统优化、安全漏洞补丁安装等。
华为防火墙操作手册
华为防火墙操作手册一、概述华为防火墙产品华为防火墙作为一款国内领先的安全产品,致力于为企业用户提供全方位的网络安全防护。
防火墙具备强大的安全性能和易用性,可以有效防御各类网络攻击,确保企业网络的安全稳定。
本文将详细介绍防火墙的安装、配置及使用方法。
二、防火墙的安装与配置1.硬件安装在安装防火墙之前,请确保已阅读产品说明书,并根据硬件清单检查所需组件。
安装过程如下:(1)准备好安装工具和配件。
(2)按照产品说明书将防火墙设备组装起来。
(3)将电源线接入防火墙,开启设备电源。
2.软件配置防火墙默认采用出厂配置,为确保网络安全,建议对防火墙进行个性化配置。
配置过程如下:(1)通过Console口或SSH方式登录防火墙。
(2)修改默认密码,保障设备安全。
(3)配置接口、网络参数,确保防火墙与网络正确连接。
(4)根据需求,配置安全策略、流量控制、VPN等功能。
三、防火墙的基本功能与应用1.安全策略安全策略是防火墙的核心功能之一,可以通过设置允许或拒绝特定IP地址、协议、端口等,实现对网络流量的控制。
2.流量控制防火墙支持流量控制功能,可对进出网络的流量进行限制,有效保障网络带宽资源。
3.VPN防火墙支持VPN功能,可实现远程分支机构之间的安全通信,提高企业网络的可靠性。
四、防火墙的高级功能与优化1.入侵检测与防御防火墙具备入侵检测与防御功能,可以实时检测网络中的异常流量和攻击行为,并进行报警和阻断。
2.抗拒绝服务攻击防火墙能够有效抵御拒绝服务攻击(DDoS),确保网络正常运行。
3.网页过滤防火墙支持网页过滤功能,可根据预设的过滤规则,屏蔽恶意网站和不良信息。
五、防火墙的监控与维护1.实时监控防火墙提供实时监控功能,可以查看网络流量、安全事件等实时信息。
2.系统日志防火墙记录所有系统事件和操作日志,方便管理员进行审计和分析。
3.故障排查遇到故障时,可通过防火墙的日志和监控功能,快速定位问题并进行解决。
六、防火墙的性能优化与调整1.性能测试定期对防火墙进行性能测试,确保设备在高负载情况下仍能保持稳定运行。
[整理版]硬件防火墙配置实例大全
![[整理版]硬件防火墙配置实例大全](https://img.taocdn.com/s3/m/bd19f56503768e9951e79b89680203d8ce2f6a7b.png)
思科pix防火墙配置实例大全在配置PIX防火墙之前,先来介绍一下防火墙的物理特性。
防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口;当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下:内部区域(内网):内部区域通常就是指企业内部网络或者是企业内部网络的一部分。
它是互连网络的信任区域,即受到了防火墙的保护。
外部区域(外网):外部区域通常指Internet或者非企业内部网络。
它是互连网络中不被信任的区域,当外部区域想要访问内部区域的主机和服务,通过防火墙,就可以实现有限制的访问。
停火区(DMZ):停火区是一个隔离的网络,或几个网络。
位于停火区中的主机或服务器被称为堡垒主机。
一般在停火区内可以放置Web服务器,Mail服务器等。
停火区对于外部用户通常是可以访问的,这种方式让外部用户可以访问企业的公开信息,但却不允许他们访问企业内部网络。
注意:2个接口的防火墙是没有停火区的。
由于PIX535在企业级别不具有普遍性,因此下面主要说明PIX525在企业网络中的应用。
PIX防火墙提供4种管理访问模式:非特权模式。
PIX防火墙开机自检后,就是处于这种模式。
系统显示为pixfirewall>特权模式。
输入enable进入特权模式,可以改变当前配置。
显示为pixfirewall#配置模式。
输入configure terminal进入此模式,绝大部分的系统配置都在这里进行。
显示为pixfirewall(config)#监视模式。
PIX防火墙在开机或重启过程中,按住Escape键或发送一个"Break"字符,进入监视模式。
这里可以更新*作系统映象和口令恢复。
显示为monitor>配置PIX防火墙有6个基本命令:nameif,interface,ip address,nat,global,route.这些命令在配置PIX时是必须的。
以下是配置的基本步骤:1. 配置防火墙接口的名字,并指定安全级别(nameif)。
防火墙配置和管理手册
防火墙配置和管理手册防火墙是保护计算机网络安全的重要工具之一。
它可以过滤网络流量,阻止恶意的入侵和攻击,从而提高网络的安全性。
本手册将介绍防火墙的配置和管理,帮助用户正确设置和维护防火墙,确保网络的安全性和可靠性。
一、防火墙基础知识1. 防火墙的作用和原理防火墙作为网络的守门员,通过筛选和控制网络流量来保护受保护网络。
其原理是根据预先设定的规则集,对进出网络的数据包进行检测和过滤。
2. 防火墙分类根据部署位置和功能特点,防火墙可以分为网络层防火墙、主机层防火墙和应用层防火墙等不同类型。
用户需根据实际需求选择适合的防火墙类型。
二、防火墙配置1. 硬件防火墙配置硬件防火墙通常是指专用设备,采用硬件芯片实现防火墙功能。
首先,根据网络拓扑结构,将硬件防火墙正确地部署在网络中。
其次,根据需求进行基本设置,包括网络接口配置、管理员密码设置和访问控制规则设置等。
2. 软件防火墙配置软件防火墙可以是在操作系统上安装的软件程序,也可以是基于虚拟化技术的虚拟防火墙。
在软件防火墙配置过程中,需要设置防火墙的工作模式、网络接口设置和访问控制规则等。
三、防火墙管理1. 安全策略管理防火墙安全策略是指针对不同类型的网络流量设置的规则集。
用户需进行安全策略的管理,包括规则的添加、修改和删除等操作。
合理设置安全策略可以提高防火墙的效率,并确保网络的正常运行。
2. 更新和升级由于网络威胁的不断演变,防火墙的规则库和软件版本需要经常更新和升级。
用户需定期检查更新,以确保防火墙具备最新的安全特性和功能。
3. 日志和审计防火墙的日志记录和审计功能对网络安全事件的追踪和分析至关重要。
用户需开启和配置防火墙的日志功能,并定期检查和分析日志,及时发现潜在的安全威胁。
四、防火墙最佳实践1. 最小权限原则根据实际需要,合理划分网络用户的权限,将最低权限原则应用于防火墙的访问控制策略中,最大限度地减少潜在的安全风险。
2. 及时备份和恢复定期备份防火墙的配置和日志文件,以便在系统崩溃或意外事件中能够快速恢复。
作业。硬件防火墙的选购与配置
硬件防火墙的选购与配置选购要点应该客观地看到,没有一个防火墙的设计能够适用于所有的环境,因此企业应根据站点的特点来选择合适的防火墙:(1)安全性大多数企业在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务,但往往忽略了最重要的这一点,防火墙也是网络上的主机之一,也可能存在安全问题,防火墙如果不能确保自身安全,则防火墙的控制功能再强,也终究不能完全保护内部网络。
谈到防火墙的安全性就不得提一下防火墙的配置。
防火墙配置有三种:Dual-homed 方式、Screened-host方式和Screened-subnet方式。
Dual-homed方式最简单。
Dual-homed Gateway放置在两个网络之间,这个Dual-homed Gateway又称为bastionhost。
这种结构成本低,但是它有单点失败的问题。
这种结构没有增加网络安全的自我防卫能力,而它往往是受黑客攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
Screened-host 方式中的Screeningrouter为保护Bastionhost 的安全建立了一道屏障。
它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。
这种结构依赖Screeningrouter和Bastionhost,只要有一个失败,整个网络就暴露了。
Screened-subnet包含两个Screeningrouter和两个Bastionhost。
在公共网络和私有网络之间构成了一个隔离网,称之为"停火区"(DMZ,即DemilitarizedZone),Bastionhost放置在"停火区"内。
这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
(2)高效性好的防火墙还应该向使用者提供完整的安全检查功能,但是一个安全的网络仍必须依靠使用者的观察及改进,因为防火墙并不能有效地杜绝所有的恶意封包,企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。
网络安全防火墙设置规范
网络安全防火墙设置规范随着互联网的快速发展和普及,网络安全问题日益突出。
为了防止黑客攻击、数据泄露和恶意软件的侵入,建立一个健全的网络安全防火墙设置规范是至关重要的。
本文将详细介绍网络安全防火墙设置的规范和步骤,以帮助您保护网络安全。
一、背景介绍随着信息技术的迅猛发展,网络攻击手段日益复杂多样。
黑客、恶意软件和网络病毒成为网络安全的威胁。
为了保护企业和个人的数据安全,建立一个有效的网络安全防火墙是必不可少的。
二、1. 硬件设备规范网络安全防火墙的硬件设备是构建一个安全网络的关键。
以下是网络安全防火墙硬件设备的规范要求:(1)性能要求:根据网络规模和需求,选择适当的硬件设备。
确保硬件设备具备足够的性能来处理网络流量和安全策略。
(2)冗余备份:建议采用冗余备份的方式来提高防火墙的可靠性。
同时,定期对备份设备进行检测和更新。
(3)网络接口:根据网络拓扑结构和需求,合理配置网络接口。
确保所有网络流量都经过防火墙进行检测和过滤。
2. 防火墙策略规范网络安全防火墙的策略设置是保障网络安全的核心。
以下是防火墙策略规范的要求:(1)入站和出站规则:根据业务需求和安全策略,制定入站和出站规则。
确保只有经过授权的流量才能通过防火墙。
(2)访问控制:根据用户角色和权限,设置不同的访问控制策略。
为敏感信息和关键系统设定更高级别的访问权限。
(3)应用层策略:设置应用层策略来过滤非法的网络流量。
防止恶意软件、病毒和蠕虫通过网络传播。
3. 实施与管理规范网络安全防火墙的实施与管理是确保其有效运行的关键。
以下是实施与管理规范的要求:(1)定期更新:及时更新防火墙的软件和硬件。
确保防火墙具备最新的安全补丁和功能。
(2)事件记录:建立和管理事件记录系统,对防火墙日志进行定期审计和分析。
及时发现和应对安全事件。
(3)员工培训:培训员工关于网络安全和防火墙的使用和管理知识。
提高员工的安全意识和技能。
四、总结网络安全防火墙设置规范是确保网络安全的重要保障措施。
防火墙配置培训
防火墙配置培训一、基本概念1. 什么是防火墙?防火墙是一种网络安全设备,它可以监视和控制来自不信任网络的流量,并根据预定义的规则对其进行过滤。
通常情况下,防火墙可以阻止恶意流量进入网络,同时允许合法流量通过。
2. 防火墙的作用防火墙可以保护网络不受来自外部网络的攻击,例如DDoS攻击、恶意软件、勒索软件等。
同时,它也可以防止网络内部的机密信息泄露给外部不信任的网络。
3. 防火墙的类型防火墙可以分为软件防火墙和硬件防火墙。
软件防火墙通常运行在操作系统上,如Windows防火墙、Linux防火墙等;硬件防火墙则是一种专门的硬件设备,如思科防火墙、华为防火墙等。
二、防火墙配置方法1. 防火墙的基本配置防火墙的基本配置包括定义规则、设置访问控制列表、配置虚拟专用网络、启用安全策略等。
2. 高级配置高级配置包括对特定应用程序、端口、协议进行控制,实施深度数据包检查、配置入侵检测系统等。
三、防火墙最佳实践1. 定期更新防火墙规则随着网络环境的变化,防火墙的规则也需要不断地更新。
组织应该定期审查和更新防火墙规则,以确保它能够有效地保护网络。
2. 实施多层防御除了防火墙,组织还应该实施其他安全措施,如入侵检测系统、入侵防御系统等,以构建多层防御体系。
3. 定期进行安全漏洞评估组织可以通过定期进行安全漏洞评估,发现并及时修补网络上的安全漏洞,从根本上减少网络受攻击的风险。
四、防火墙配置培训的重要性1. 保护网络安全通过防火墙配置培训,组织可以更好地理解如何配置防火墙,从而保护其网络不受来自外部网络的威胁。
2. 减少网络安全事故熟悉防火墙配置的员工可以更快地发现并应对网络安全事故,降低网络受到攻击的风险。
3. 符合合规要求一些行业标准和法规要求组织必须配置防火墙来保护其网络安全,因此防火墙配置培训有助于组织合规。
综上所述,防火墙配置培训对于保护网络安全至关重要。
通过了解防火墙的基本概念、配置方法和最佳实践,组织可以更好地保护其网络不受攻击,降低网络安全风险。
防火墙的作用与设置
防火墙的作用与设置防火墙是一种网络安全设备,用于保护计算机和网络免受未经授权的访问和恶意攻击。
它通过监控和过滤网络流量,确保只有合法和可信的数据可以进入或离开受保护的网络。
本文将介绍防火墙的作用、不同类型的防火墙以及如何正确设置防火墙。
一、防火墙的作用1. 过滤网络流量:防火墙的主要作用之一是过滤网络流量,它可以根据预设的规则,阻止未经授权的数据包通过网络。
这有助于防止恶意软件、病毒、蠕虫等网络攻击进入受保护的网络。
2. 网络访问控制:防火墙可以控制对受保护网络的访问权限。
通过设置访问规则和策略,防火墙可以限制特定用户、设备或IP地址的访问权限,确保只有授权的用户可以访问网络资源。
3. NAT转换:防火墙还可以实现网络地址转换(Network Address Translation,NAT),将内部网络中的私有IP地址转换为合法的公共IP地址,以提高网络安全性和网络资源利用率。
4. 日志记录和审计:防火墙可以记录所有进出网络的数据包,并生成详细的日志文件。
这些日志文件可以用于安全审计、追踪攻击来源、检测网络异常等用途,有助于及时发现并应对安全威胁。
二、不同类型的防火墙1. 基于网络层的防火墙:这种类型的防火墙工作在网络层(OSI模型的第三层),它根据源IP地址、目标IP地址、端口号等信息来过滤和控制网络流量。
常见的网络层防火墙有路由器防火墙、软件防火墙等。
2. 基于应用层的防火墙:这种类型的防火墙工作在应用层(OSI模型的第七层),可以深入分析和检测网络传输中的应用数据。
它可以根据应用协议、报文内容等特征进行精确的流量过滤。
常见的应用层防火墙有代理防火墙、应用程序防火墙等。
三、设置防火墙的步骤1. 定义安全策略:首先,需要明确受保护网络的安全需求,并定义相应的防火墙策略。
这包括允许的访问规则、禁止的访问规则、阻止恶意攻击的规则等。
2. 选择合适的防火墙设备:根据安全策略的要求,选择适合的防火墙设备。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
硬件防火墙介绍及详细配置本文从网管联盟上转载:防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问,对内部强化设备监管、控制对服务器与外部网络的访问,在被保护网络和外部网络之间架起一道屏障,以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种,硬件防火墙和软件防火墙,他们都能起到保护作用并筛选出网络上的攻击者。
在这里主要给大家介绍一下我们在企业网络安全实际运用中所常见的硬件防火墙。
一、防火墙基础原理1、防火墙技术防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务。
下面,我们将介绍这些手段的工作机理及特点,并介绍一些防火墙的主流产品。
包过滤技术是一种简单、有效的安全控制技术,它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。
但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
状态检测是比包过滤更为有效的安全控制方法。
对新建的应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在内存中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态表,就可以通过。
这种方式的好处在于:由于不需要对每个数据包进行规则检查,而是一个连接的后续数据包(通常是大量的数据包)通过散列算法,直接进行状态检查,从而使得性能得到了较大提高;而且,由于状态表是动态的,因而可以有选择地、动态地开通1024号以上的端口,使得安全性得到进一步地提高。
2、防火墙工作原理(1)包过滤防火墙包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。
这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
图1:包过滤防火墙工作原理图(2)应用网关防火墙应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(图2)(3)状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(图3)4)复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
(图4)3、四类防火墙的对比包过滤防火墙:包过滤防火墙不检查数据区,包过滤防火墙不建立连接状态表,前后报文无关,应用层控制很弱。
应用网关防火墙:不检查IP、TCP报头,不建立连接状态表,网络层保护比较弱。
状态检测防火墙:不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
复合型防火墙:可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细,会话控制较弱。
4、防火墙术语网关:在两个设备之间提供转发服务的系统。
网关是互联网应用程序在两台主机之间处理流量的防火墙。
这个术语是非常常见的。
DMZ非军事化区:为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。
吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。
这是测量防火墙性能的重要指标。
最大连接数:和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率:是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL:SSL(Secure Sockets Layer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。
SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换:网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT 常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
堡垒主机:一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部网络的一个检查点,以达到把整个网络的安全问题集中在某个主机上解决,从而省时省力,不用考虑其它主机的安全的目的。
二、防火墙的外观及内部构造(一)(二)注:第一幅与第二幅并无关系。
三、防火墙的基本配置下面我以国内防火墙第一品牌天融信NGFW 4000为例给各位讲解一下在一个典型的网络环境中应该如何来配置防火墙。
图5:网络拓扑结构GFW4000有3个标准端口,其中一个接外网(Internet网),一个接内网,一个接DMZ区,在DMZ区中有网络服务器。
安装防火墙所要达到的效果是:内网区的电脑可以任意访问外网,可以访问DMZ中指定的网络服务器,Internet网和DMZ的电脑不能访问内网;Internet网可以访问DMZ中的服务器。
1、配置管理端口天融信网络卫士NGFW4000防火墙是由防火墙和管理器组成的,管理防火墙都是通过网络中的一台电脑来实现的。
防火墙默认情况下,3个口都不是管理端口,所以我们先要通过串口把天融信网络卫士NGFW4000防火墙与我们的电脑连接起来,给防火墙指定一个管理端口,以后对防火墙的设置就可以通过远程来实现了。
使用一条串口线把电脑的串口(COM1)与NGFW4000防火墙的console 口连接起来,启动电脑的"超级终端",端口选择COM1,通信参数设置为每秒位数9600,数据位8,奇偶校验无,停止位1,数据流控制无。
进入超级终端的界面,输入防火墙的密码进入命令行格式。
定义管理口:if eth1 XXX.XXX.XXX.XXX 255.255.255.0修改管理口的GUI登录权限:fire client add topsec -t gui -a 外网-i 0.0.0.0-255.255.255.2552、使用GUI管理软件配置防火墙安装天融信防火墙GUI管理软件"TOPSEC集中管理器",并建立NGFW4000管理项目,输入防火墙管理端口的IP地址与说明。
然后登录进入管理界面。
(1)定义网络区域Internet(外网):接在eth0上,缺省访问策略为any(即缺省可读、可写),日志选项为空,禁止ping、GUI、telnet。
Intranet(内网):接在eth1上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,允许ping、GUI、telnet。
DMZ区:接在eth2上,缺省访问策略为none(不可读、不可写),日志选项为记录用户命令,禁止ping、GUI、telnet。
(2)定义网络对象一个网络节点表示某个区域中的一台物理机器。
它可以作为访问策略中的源和目的,也可以作为通信策略中的源和目的。
网络节点同时可以作为地址映射的地址池使用,表示地址映射的实际机器,详细描述见通信策略。
图6子网表示一段连续的IP地址。
可以作为策略的源或目的,还可以作为NAT的地址池使用。
如果子网段中有已经被其他部门使用的IP,为了避免使用三个子网来描述技术部使用的IP地址,可以将这两个被其他部门占用的地址在例外地址中说明。
图7为了配置访问策略,先定义特殊的节点与子网:FTP_SERVER:代表FTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
HTTP_SERVER:代表HTTP服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
MAIL_SERVER:代表邮件服务器,区域=DMZ,IP地址= XXX.XXX.XXX.XXX。
V_SERVER:代表外网访问的虚拟服务器,区域=Internet,IP=防火墙IP地址。
inside:表示内网上的所有机器,区域=Intranet,起始地址=0.0.0.0,结束地址=255.255.255.255。
outside:表示外网上的所有机器,区域=Internet,起始地址=0.0.0.0,结束地址=255.255.255.255。
(3)配置访问策略在DMZ区域中增加三条访问策略:A、访问目的=FTP_SERVER,目的端口=TCP 21。
源=inside,访问权限=读、写。
源=outside,访问权限=读。
这条配置表示内网的用户可以读、写FTP服务器上的文件,而外网的用户只能读文件,不能写文件。
B、访问目的=HTTP_SERVER,目的端口=TCP 80。
源=inside+outside,访问权限=读、写。