天融信防火墙安装培训.ppt

防火墙建议配置步骤： 1、根据网络环境考虑防火墙部署模式（路由模式、透明模式、混合模式） 2、配置防火墙接口IP 3、配置区域和默认访问权限 4、设置路由表 5、定义对象 6、制定地址转换策略（包括源地址转换、目的地址转换、双向转换、不做转换） 7、制定访问控制策略 8、其他特殊应用配置 9、配置保存 10、配置文件备份 提示：每次修改配置前，建议首先备份防火墙再修改配置，避免防火墙配置不当造成网络中断。 注意：如果需要源地址转换为一段地址，则首先需要创建一段地址范围，且该地址范围不能设置排除IP地址 防火墙高级应用-基于用户名的访问控制 用户认证的主要目的是为了对用户进行身份鉴别、授权以及进行细粒度的访问控制，解决以往简单认证方式带来的弊端，保证用户设备之间访问的安全性。通过用户名对设备、用户和管理员身份的合法性进行认证，防止非法接入用户访问关键应用（如财务）。 防火墙支持的认证方式和协议主要包括： 本地认证 OTP 认证服务器 Basic 认证服务器 证书认证服务器 RADIUS认证 TACACS 认证 SecurID认证 LDAP 认证 域认证（使用Windows 域认证服务器） Web认证 下面以本地认证为例 本地认证服务器主要用于本地数据库中的用户使用TOS 认证客户端通过密码方式向防火墙进行认证 1.启用本地认证服务器 2.创建用户列表 3.创建用户角色 4.在相应区域开放验证服务 6.设置认证客户端并启动 用户验证成功 用户验证失败 也可以手动实现IP/MAC绑定，点击“防火墙”—“IP/MAC绑定” 服务热线 互联网 Host A Host B Host C Host D 00-50-04-BB-71-A6 00-50-04-BB-71-BC BIND To 00-50-04-BB-71-A6 BIND To 00-50-04-BB-71-BC IP与MAC地址绑定后，不允许Host B假冒Host A的IP地址上网 防火墙允许Host A上网 跨路由器 防火墙高级应用- IP与MAC（用户）的绑定 点击“网络管理”—”二层网络”—”ARP”，在需要邦定的地址后选择“定义”，点击“确定” 2、区域和缺省访问权限配置 在“资产管理”－”区域“中定义防火墙区域及默认权限为”禁止访问“ 防火墙管理权限设置 系统默认只能从ETH0对防火墙进行管理 添加ETH0接口为“内网”区域； ETH1接口为“外网”区域 “内网”区域添加对防火墙的管理权限（当然也可以对“外网”区域添加），点击“系统管理”—“配置”—“开放服务”，点击添加 定义你希望从哪个接口（区域）管理防火墙 3、路由表配置 添加静态路由 在“网络管理” － “路由”－“静态路由”添加静态路由 设置默认路由时，源和目的全为“0” 3、定义对象 添加单个主机对象 点击：”资源管理“－“地址”－“主机”，点击右上角“添加配置” 3、定义对象 添加地址范围 点击：”资源管理“－“地址”－“范围”，点击右上角“添加配置” 3、定义对象 添加地址组 点击：”资源管理“－“地址”－“地址组”，点击右上角“添加配置” 3、定义对象 添加自定义服务： 防火墙内置一些标准服务端口，用户在端口引用时，但有时用户的系统 没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。 点击：”资源管理“－“服务”－“自定义服务”，点击“添加”，可以添加单个端口或范围 ，单个端口只填起始端口 3、定义对象 添加时间 点击：”资源管理“－“时间”，点击“添加”，可以设置单次和多次 注意：防火墙所有需要引用对象的配置，请先定义对象， 才能引用。 Internet 4 Host A 受保护网络 Host C Host D 1 5 防火墙 Eth0：54 Eth1：30 数据 IP报头 数据 IP报头 源：1:1080 目地：4:80 源：30:1120 目地：4:80 54 隐藏了内部网络的结构 内部网络可以使用私有IP地址 公开地址不足的网络可以使用这种方式提供IP复用功能 4、NAT地址转换策略 源地址转换 4、地址转换策略配置 内网可以访问互联网，需要配置源转换 源选择源区域“内网区域”，目的选择目的区域“外网区域”，源转换为Eth1接口（即转换为Eth1接口IP地址）或者转换30 Internet 公开服务器可以使用私有地址 隐藏内部网络的结构 WWW FTP MAIL DNS 54 30 MAP ：80 TO 30：80 MAP ：21 TO 30：21 MAP ：53 TO 30：53 MAP ：25 TO 30：25 30 MAP (目的地