防火墙产品培训.ppt

课程内容 第一部分：防火墙简介 第二部分：防火墙基本应用 第三部分：防火墙特殊应用 第四部分：防火墙高级应用 第五部分：防火墙辅助功能 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) 规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 串口(console)管理方式： 用户名superman，口令：talent,用passwd修改管理员密码，请牢记修改后的密码。 WEBUI管理方式： 超级管理员:superman，口令:talent TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent 一些特殊应用设置 登陆标题替换功能(FTP) 登陆标题替换功能是对服务器操作系统和版本信息进行隐藏，替换为自定义的内容，增加攻击者的难度； 支持HTTP/FTP/SMTP/POP3/IMAP/TELNET协议； 登陆标题替换功能(FTP) 配置方式 端口绑定 关键字配置 策略配置 规则引用 登陆标题替换功能(FTP) 未开启此功能的效果 开启此功能后的效果 应用程序识别部分 IM实现方式及功能 支持协议：QQ、MSN、SKYPE； 实现内容：禁止IM客户端登陆； 实现方式：根据登陆过程的协议特征进行判断； P2P实现方式及功能 支持协议：BT、eDonkey； 实现内容：禁止下载、QOS限制和连接数限制； 实现方式：根据数据开始特征进行判断 综合案例介绍 用户需求： 开启DPI过滤 禁止访问sina和sohu； 禁止下载exe、rar格式的文件； 禁止访问带有“法轮功”字样的网页； 开启病毒过滤 开启应用程序识别 每周一到周五上午9：00－17：00禁止使用QQ/MSN/BT; 其他时间可以使用QQ/MSN，并限制BT下载速度为8Mbps； 综合案例介绍 DPI策略配置 协议端口绑定 URL对象配置 关键字对象配置 HTTP策略配置 综合案例介绍 应用程序识别配置 时间对象配置 QOS规则配置 综合案例介绍 应用程序识别策略配置 访问控制规则配置 4、添加主机对象 防火墙高级应用－IDS联动 防火墙可以与其他IDS 设备进行联动。凡是支持TOPSEC协议的IDS设备 都可以与天融信防火墙进行联动。 文件名为：IDSKEY 防火墙高级应用－IDS联动 防火墙高级应用－IDS联动 点击刷新可以查看联动信息，防火墙产生的联动策略，优先级是最高的。 QOS_实施案例 从FTP服务器下载速度限制为50K 从本地用户上传数据的上传速度限制为200K 防火墙高级应用－带宽管理 * 1、在QOS规则中添加要实现QOS功能的接口eth0和eth1并提交 防火墙高级应用－带宽管理 * 2、点击“下级”设置CLASS 从FTP服务器下载速度限制为50K要设置在出口(eth0)从本地用户上传数据的上传速度限制为200K要设置在出口eth1 点击“下级”设置一级CLA