云安全产品配置与应用 防火墙操作实践 1-2-02《信息安全产品配置与应用》课程-防火墙篇-配置前准备【防火墙操作实践】.ppt

《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 任务目标 任务1：了解 防火墙配置流程及管理方式 任务2：了解配置防火墙前需要弄清的几个问题 任务3：学习天融信防火墙基本功能应用 任务4：学习天融信防火墙特殊功能应用 任务5：学习天融信防火墙高级应用 任务6：学习天融信防火墙辅助功能 学习目标 掌握防火墙的配置准备工作及注意事项 掌握天融信防火墙的主要配置方法 掌握一般防火墙的故障处理过程 本讲任务与学习目标 防火墙配置前的必要工作 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) * 防火墙提供的通讯模式 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。 透明模式的典型应用 Internet 内部网 202.99.88.1 ETH0：202.99.88.2 ETH1：202.99.88.3 ETH2：202.99.88.4 202.99.88.10/24 网段 202.99.88.20/24 网段 外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。 路由模式的典型应用 Internet 内部网 202.99.88.1 ETH0：202.99.88.2 ETH1：10.1.1.2 ETH2：192.168.7.2 10.1.1.0/24 网段 192.168.7.0/24 网段 外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。 综合接入模式的典型应用 ETH1：192.168.7.102 ETH2：192.168.7.2 192.168.1.100/24 网段 192.168.7.0/24 网段 此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式 202.11.22.1/24 网段 ETH0：202.11.22.2 两接口在不同网段，防火墙处于路由模式 两接口在不同网段，防火墙处于路由模式 两接口在同一网段，防火墙处于透明模式 常见病毒使用端口列 69/UDP135-139/TCP135-139/UDP 445/TCP445/UDP4444/TCP 1433/UDP 1434/UDP 4899/UDP 1068/TCP 5554/TCP 9995/TCP 9996/TCP 关掉不必要的PING 常见路由协议使用端口列表 * RIP：UDP-520 RIP2：UDP-520 OSPF：IP-89 IGRP：IP-9 EIGRP：IP-88 HSRP（Cisco的热备份路由协议）：UDP-1985 BGP：(Border Gateway Protocol边界网关协议，主要 处理各ISP之间的路由传递，一般用在骨干网上)：TCP-179 访问控制规则说明 规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 * * * * * * * * * 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信息安全产品配置与应用》精品课程之防火墙篇 《信