fw3000安装使用.ppt

北京天融信网络安全技术有限公司网址： 3、带宽使用优先级设置 设置共用带宽的不同优先级及相应的带宽分配比例 共分为17个优先级（包括缺省优先级） 注意：不管用户的带宽有多大，如果在访问规则中选择相应的带宽优先等级， 则将按所分配的相应等级来使用带宽。 系统配置模块 系统配置主要用于管理员查看和修改防火墙系统的配置情况。 系统配置 防火墙VPN内部网 防火墙的VPN内部网配置，一般可以不用配置。当有多个 内部子网，而且要求内部网之间的访问不匹配规则的时候， 可以将多个内部网地址配置成VPN内部网地址；如果要求 使用虚拟私有网的功能，要将对方子网设置在内部网中。 代理绑定地址 防火墙的代理绑定地址，要求该地址为防火墙网卡地址中的一个 合法IP地址，防火墙中的应用代理程序通过该地址与外部网络相联系。 一般情况下，不需配置代理绑定地址，只有某些特殊的网络拓扑结构 才需要配置：当防火墙的外部网卡地址为保留地址，内网卡或SSN网 卡上有合法IP,且用户要求使用代理功能时，需将代理绑定地址设置为 内网卡或SSN网卡上的合法IP地址。 NNTP代理对象 NNTP对象定义了用户通过防火墙进行NNTP访问 （即访问新闻组）时的各种限制设定。每个NNTP 对象包含若干条访问设定，而每一条设定的内容包括 方法（method）、新闻组、动作、日志和注释： 方法——为NNTP访问可以执行的POST和GROUP两种命令， POST---用于客户向新闻服务器的某个新闻组发表文章， GROUP---用于客户查看新闻服务器上的新闻组。 新闻组——新闻组的名字（可以使用通配符*和？）； 动作——Accept或Reject，允许或禁止进行这条设定规定的NNTP访问 （列表的动作项中的 表示Accept； 表示Reject）； 日志——对依据这条设定进行的NNTP访问，做（Log）或不做 （None）跟踪记录（日志项中的 表示做日志； 表示不做日志）； 注释——对这条设定加以注释说明，无实际作用。 ICMP对象 ICMP对象定义了用户通过防火墙发送ICMP报文时的设定 Echo允许——常用的ping程序即发出这种报文，否则不能ping； 源抑制允许——当对方主机发送报文过快时，发送源站抑制差错报文降低对方的发送 速率； 超时——当报文超时没有收到应答，发送报文的主机将收到该报文； 时间戳允许——允许系统向另一个系统查询当前时间，返回的建议值是自午夜开始 计算的毫秒数。应答报文中有三个时间戳：发起时间戳、接收时间戳 以及传送时间戳。不允许则没有应答； 地址请求允许——用于无盘系统在引导过程中获取自己的子网掩码，产生应答，不 允许则没有应答； 源地址不可达——当主机发送的报文不能路由时，路由器发送给主机该报文； 重定向允许——当一台主机只设置一条非最佳路由，路由器会发给主机一条重 定向的报文，要求主机改变其路由表； 参数请求——允许主机在启动的时候检测自己的地址。 如果要求通过防火墙互相ping通，一般只需设置下面图中的三个选项， 其它选项容易引起一些攻击：如源路由攻击、路由重定向攻击等。 访问规则 在完成了前面各类对象的定义以后，就可以设定访问规则，这是防火墙实 现包过滤功能所依据的安全政策。所有的规则组成访问控制表，过滤器对 访问控制表采取顺序检查方式，对每一条连接都在访问控制表中按序查找 匹配，如果与某一条规则匹配（匹配指的是当前连接的每一个域均包含于 这条规则的过滤域，否则认为不匹配），则根据这条规则指定的动作处理 ，对后序规则不再作检查。检查完所有规则后，如果不与任一条规则匹配 ，则遵循没有明确允许就拒绝的策略将之拒绝。 网络卫士防火墙3000访问控制表采用顺序检查方式，当收到一个数据包时， 防火墙按如下顺序进行处理： ·??此数据包是ARP/RARP，如果设置了透明（settrans eth* eth* on）， 则在设置透明的网卡之间转发，否则丢弃。 ·???此数据包若为IP包，匹配IP和MAC地址绑定规则，通过则继续后继规则。 ·??? 此数据包是IP广播包或多播包，如果设置了透明，且IP广播包和 多播包允许，则在设置透明的网卡之间转发此IP包，否则丢弃。 ·?????????