网御星云LSPE-FW技术培训.ppt
《网御星云LSPE-FW技术培训.ppt》由会员分享,可在线阅读,更多相关《网御星云LSPE-FW技术培训.ppt(262页珍藏版)》请在三一办公上搜索。
1、网御星云LSPE防火墙/UTM技术培训,防火墙基本概念介绍,什么是防火墙?,防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通常是网络安全防护体系的最外一层。,防火墙基本概念介绍,什么是防火墙?,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,防火墙基本概念介绍,什么是防火墙?
2、,防火墙主要技术介绍,透明模式,防火墙主要技术介绍,路由模式,防火墙主要技术介绍,混合模式,防火墙主要技术介绍,源地址转换,什么是 NAT?(源地址转换)网络地址转换(NAT,Network Address Translation)属接入广域网技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。,防火墙主要技术介绍,源地址转换,防火墙主要技术介绍,源地址转换,源地址转换的好处:节约地址资源隐藏内部网络地址源地址转换的用途:从受信任网络访问非受信任网络,防火墙主要技术介绍,目的地址转换,什么是 映射?(目的地址转换)就是当
3、外网访问防火墙的一个公网地址时,防火墙会自动将访问请求映射到对应局域网主机/服务器。,防火墙主要技术介绍,目标地址转换,防火墙主要技术介绍,包过滤技术,数据包的形式:防火墙能利用包头的信息进行过滤,仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目,防火墙主要技术介绍,什么叫状态检测?,每个网络连接包括以下信息:源地址、目的地址;源端口和目的端口;协议类型;连接(会话)状态(如超时时间,TCP连接的状态)等;防火墙把这些信息统称为状态,能够检测这些状态的防火墙叫做状态检测防火墙。,防火墙主要技术介绍,状态检测的优点?,(与包过滤防火墙相比)更
4、安全:检查内容=包过滤检查内容+连接状态更高效:包过滤收到一个包,检查一遍规则集状态检测先查状态表,再查规则集,防火墙主要技术介绍-软件技术,综合安全防护网关,监测/阻断系统入侵,隔离蠕虫/网络病毒,隔离混合攻击,阻断木马/后门,防止地址欺骗,抗拒绝服务攻击,屏蔽端口扫描,防火墙,防止数据窃听和篡改,防火墙主要技术介绍-软件技术,ASIC架构,NP网络处理器架构,多核硬件架构,18,防火墙主要技术介绍-硬件发展,防火墙主要技术介绍-自主知识产权VSP,防火墙主要技术介绍-硬件架构,上图的硬件架构具有下面特点:系统中集中多个CPU(,这些CPU可以并发地执行多个指令,不象单CPU采用时分复用或者
5、流水线方式达到逻辑上并发执行指令,各个CPU有自己独立的指令单元,相互之间没有依赖;每个CPU内部有多个线程T1Tn,每个线程有自己独立的算术逻辑单元、寄存器组和控制单元,如果一个Chip上有m个CPU,每个CPU有n个Thread,那么一个Chip上相当于有mn个虚拟CPU;所以Super V一共具备N个可独立进行运算的vCPU,成为高性能安全网关处理系统核心,防火墙主要技术介绍-硬件架构,22,防火墙主要技术介绍-并行编程模型化,Super V诞生,Super V应多核时代应运而生:高性能提高单处理器的主频 网络处理器多核多线程处理器Super V的远见:考虑到多核编程的灵活性考虑到产品升
6、级换代的问题考虑到业务布局的灵活性Super V的重大价值:万兆安全业务处理性能Windrunner并行运算扩展灵活,23,防火墙主要技术介绍,简单包过滤技术,检查项,IP 包的源地址,IP 包的目的地址,TCP/UDP 源端口,IP 包,检测包头,检查路由,安全策略:过滤规则,路由表,包过滤防火墙,转发,符合,不符合,丢弃,防火墙主要技术介绍-技术原理,IP 包,检测包头,下一步处理,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,丢弃,状态检测过滤流程,符合,防火墙主要技术介绍-技术原理,记录,1,http:/,2,我不是蠕虫!,/downloads/.rmvb
7、,3,OK,记录,2,非法字段,!,增量状态表,基于内容增量检测技术的防火墙,综合安全过滤,26,防火墙主要技术介绍-技术原理,优势,优势特点虚拟化防火墙/VPN网关产品,虚拟化安全网关的技术优势,产品形态:基于License控制Firewall功能模块化,产品适应性:便于云计算中心内部署和扩展,产品部署模式:路由、透明、混合可控制虚拟机之间的信息交换,虚拟化环境支持:支持Vmware、Xen、KVM等国内外主流云计算平台,Super V主要功能特性,防火墙主要技术介绍-技术原理,Power V防火墙安装调试,登录管理 透明接入 路由&NAT接入 路由设置 安全策略 VPN设置 HA设置 会话
8、管理 病毒防护设置攻击防护设置注意事项,目录,防火墙功能介绍,案例1.登录管理,设备支持的登录管理方式:HTTPSSSHTelnet consolePPP(不建议使用)默认管理接口:eth3:Eth0:默认管理IP:,案例1.登录管理,WEB管理-登录管理,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击浏览器证书(admin.p12),按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。,案例1.登录管理,WEB管理-浏览器证书导入,修改本机的IP地址为:,子网掩码:将随机附带的网线连接电脑的网卡接口与设备的0号网口开启设备电源,等待约2分钟后,
9、可尝试用ping命令测试设备是否已正常启动,在命令行输入”ping 10.1.5.254”,是设备0号口的默认地址,注意,如果您拿到的是双电源的设备,只接一根电源的话,设备会发出蜂鸣声报警,可以按一下电源插口旁边的红色按钮来取消报警,当上述准备工作完成后,我们在管理主机打开IE浏览器并输入https:/10.1.5.254:8889,出现选择证书提示后,选择名称为“10.1.5.200”的证书,再点击“确定”按钮。注意:请使用IE8.0的浏览器来管理设备,其他浏览器可能会出现异常,当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https:/10.1.5.254:8889,出
10、现选择证书提示后点击“确定”画面。密码默认为bane7766,WEB管理-登录,案例1.登录管理,密码错误导致的锁定问题,用户登录3.6.0.2版本防火墙web界面,默认情况下如果连续输入错误的用户名密码3次,防火墙系统将锁定该用户直到防火墙重启。该参数在管理员账号管理可最大修改为10次,管理主机,防火墙出厂时默认的管理主机地址是,当接入一个新的网络环境中时,首先要进行管理主机的配置。可根据实际环境填写管理主机的范围,主机地址在该范围内是管理该设备的一个必要条件例子:可以增加:地址为7.0.0.0 子网掩码为的管理主机,管理主机无法管理防火墙问题说明,墙接口与默认管理主机不在同一网段;而管理主
11、机列表中没有能管理墙的主机,案例1.登录管理,WEB管理-无法管理问题,管理主机通过web管理防火墙的必要条件,管理主机使用合适的浏览器,导入了管理员证书管理主机可以连通防火墙管理IP(路由可达)防火墙上绑定该IP的接口启用了管理功能管理主机的IP地址在防火墙的管理主机列表中,案例1.登录管理,WEB管理-首页信息,案例1.登录管理,WEB管理-仪表盘,案例1.登录管理UTM,WEB管理UTM-仪表盘2,案例1.登录管理,WEB管理-接口流量曲线,案例1.登录管理,WEB管理-最新事件,模块许可开通,默认情况下很多功能没有开通,需要在模块许可功能中开启如果是UTM设备,则需要开启防病毒和IPS
12、功能开启功能后需要刷新页面才能看到相应的菜单,案例1.登录管理,WEB管理-日志存储类型,支持将感兴趣的日志保留并导出,案例1.登录管理,WEB管理-日志分类查看,保存配置,修改过设备的配置后需要保存,否则重新启动后会丢失未保存过的修改,保存配置,点击保存按钮后请耐心等待操作进度提示完成后再进行其他操作,案例1.登录管理,WEB管理-模块配置导入导出,防火墙功能介绍,案例2.透明接入,案例2.透明接入,透明接入多部署于拓扑相对固定网络,为了不改变原有网络拓扑,常采用此部署方式(防火墙本身作为网桥接入网络)。按照此方式部署后的防火墙如出现软硬件故障,可以紧急将防火墙撤离网络,不必更改其他路由、交
13、换设备的配置。按照目前的网络情况,透明接入主要用于在网络骨干建设完毕的网络中加入应用防护设备,如UTM。,透明接入概述,Brg:,eth2,eth3,透明接入模式防火墙配置需求:防火墙配置的eth2eth3口配置为透明模式。允许工作站访问服务器的HTTP服务。工作站不能访问服务器的其它服务。,透明接入拓扑图,透明接入:物理设备配置,点击物理设备列表右侧的操作按钮,将设备工作模式修改为“透明模式”,选中“是否启用”右侧的勾选框,再点击“提交”按钮,透明接入:桥设备,点击桥设备列表右侧的操作按钮,透明接入:桥设备,根据实际情况填写桥设备的IP地址,(如实际部署中该桥设备没有IP地址也可不填),如果
14、有IP地址,可勾选用于管理、允许PING”,允许Traceroute,将需要绑定的物理设备加入绑定设备列表,取消选中“开启STP”右侧的勾选框,选中“是否启用”右侧的勾选框,再点击“提交”按钮,安全策略,安全策略,点击源地址/目的地址右侧的下拉按钮,点击“新建地址”,地址定义,分别定义源地址客户端C:目的地址服务器S:在定义单个地址时,子网掩码应设为,安全策略,在源地址处选择“客户端C”,目的地址处选择“服务器S”服务处选择“http”,点击“提交”确定,在选择服务时输入头几个字母可以快速定位,可根据需要输入相应的备注,工作站可以访问服务器192.168.1.200的HTTP服务,安全策略,安
15、全策略:禁止规则,在源地址处选择“客户端C”,目的地址处选择“服务器S”访问控制处选择“禁止”,点击“提交”确定,至此,工作站可以访问服务器192.168.1.200的HTTP服务,但是不能访问服务器192.168.1.200的其他服务,透明接入,注意事项,防火墙与其它以太网设备连接时,如低端光纤收发器、低端ADSL路由器等,可能会出现链路层协商问题。表现为:网络延迟、数据包丢包、网络抖动等。出现此类问题,可以将防火墙接口的链路工作模式由自适应强制为100M全双工、100M半双工、10M全双工、10M半双工并逐一下测试。(注:光纤接口只能更改双工模式,不可以更改链路速度)如图,案例2.透明接入
16、,透明接入常见问题和注意事项,如果防火墙部署在两台交换机之间,应提前向用户询问两台交换机之间的链路是否为二层TRUNK模式。如果是TRUNK模式,应在防火墙安全选项中打开二层协议包过滤策略功能:,案例2.透明接入,防火墙功能介绍,案例3.路由&NAT接入,案例3.路由&NAT接入,路由&NAT接入概述,配置路由/NAT模式的防火墙多部署于网络边界,或者是连接多个不同网络,起到保护内网主机安全,屏蔽内网网络拓扑等作用。,eth2,eth3,工作在路由/NAT模式下防火墙配置需求:本案例拓扑为一个只有两个网段的小型局域网。服务器开放http服务。允许工作站访问服务器的http服务禁止工作站访问服务
17、器B其它服务。,Cilent A,Server B,路由/NAT模式(不做NAT转换),将设备工作模式修改为“路由模式”,选中“是否启用”、“允许ping”、“允许traceroute”右侧的勾选框,“用于管理”可根据实际情况选择,设置好IP地址和掩码,再点击“提交”按钮,网络接口配置完成后,仍然需要添加相应的安全策略,路由/NAT模式(不做NAT转换),安全策略的添加与防火墙工作模式无关,前面已经介绍过了。这样防火墙允许工作站访问服务器的http服务。在此拓扑下,客户端和服务器需要把本机网关指向防火墙接口地址,路由/NAT模式(不做NAT转换),案例3.路由&NAT接入,路由&NAT接入NA
18、T概述,网络地址转换NAT为IETF定义标准,用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。另外网络地址转换NAT经常作为一种网络安全手段使用,安全域内的机器通过NAT设备后源地址被重新封装,起到一定屏蔽内网作用。,内网,外网,客户端,eth0,eth3,服务器S:,防火墙工作为路由/NAT模式。内部客户PC需要通过防火墙访问外部网络上服务。从防火墙外无法看到内部客户端的真实IP。服务器上看到的来访问的源IP是防火墙外网接口地址此模式下内部PC需将网关指向防火墙,而外部服务器不需要将网关指向防火墙,路由/NAT模式(NAT转换)
19、,外网默认网关:,路由/NAT模式(NAT转换)-网络接口地址,路由/NAT模式(NAT转换)-添加默认路由,默认路由(默认网关)IP和外网口IP地址、子网掩码一般都由ISP提供,如果某线路不是互联网出口,而是联到某专网,则无需添加默认网关,只添加静态路由即可,路由/NAT模式(NAT转换)-默认网关,该值一般设为10,需设定对应的网络接口,NAT规则,在源地址处选择“客户端C”,源地址转换为防火墙外网接口地址,点击“提交”确定,网络接口、NAT规则配置完成后,仍然需要添加相应的安全策略,这样防火墙允许内部客户机访问外网上的服务器。,路由/NAT模式(NAT转换),案例3.路由&NAT接入,注
20、意:NAT规则中不建议添加any到any的nat规则,请查明用户网络中的内网地址到底是哪个网段,然后再根据这些网段为源地址添加nat规则。Any到any的nat规则会将进入防火墙的报文也进行地址转化,会对映射、vpn产生影响。即便你在端口映射和ip映射中选择了源地址不转换,但是如果你添加了any到any的nat规则,进入防火墙的报文的源地址还是会被转换。对于送往IPsec的流量,不要进行NAT,否则IPsec规则会匹配出错。,案例3.路由&NAT接入,路由&NAT接入配置NAT策略2,NAT策略中,允许通过即意味着可以不对数据包做源地址转换,内网,外网,服务器S开放了FTP服务,eth0,et
21、h3,接口IP:别名IP地址:10.100.100.2,客户端C:,防火墙工作为路由/NAT模式。外部客户PC需要通过防火墙访问内网的服务器提供的服务客户端访问的是防火墙接口IP地址本案例要求外网能通过公开地址访问内部服务器的FTP服务,端口映射和IP映射,外网默认网关:,案例3.路由&NAT接入,端口映射和IP映射-网络接口地址配置,案例3.路由&NAT接入,端口映射和IP映射-添加别名设备,防火墙接口上可绑定多个别名设备,当在外网口需要多个IP地址映射到内部不同服务器时,需要先添加别名设备,案例3.路由&NAT接入,端口映射和IP映射-别名地址配置,每个别名设备的别名ID不能相同(0-39
22、9),别名设备需开启通告,否则可能会出现对端设备无法找到该别名IP,地址定义,在新建映射策略之前要定义服务器地址便于规则引用服务器S:,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,使用端口映射方式可减少服务器暴露在外网的风险,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,ftp服务要选用小写的,一定要关闭隐藏内部地址选项,默认是开启的,案例3.路由&NAT接入,端口映射和IP映射-添加端口映射规则,注意:映射规则对应的真实服务器的网关应指向防火墙,否则外网客户端无法访问真实服务器。,案例3.路由&NAT接入,端口映射和IP映射-添加IP映射规则,案例3.路
23、由&NAT接入,端口映射和IP映射-添加IP映射规则,一定要关闭隐藏内部地址选项,默认是开启的,案例3.路由&NAT接入,端口映射和IP映射-添加IP映射规则,注意:如果IP映射规则对应的真实服务器无法ping通,启用该规则将导致映射用的外网口IP地址也无法ping通,映射规则配置完成后,仍然需要添加相应的安全策略才能让外网客户端访问内部服务器,端口映射和IP映射,映射规则对应的安全策略目的地址应该是真实服务器地址而不是外网口地址,防火墙功能介绍,案例4.路由设置,静态路由,内网,外网,/24,eth3,eth2,外网,/30,/24,/30,/24,防火墙工作路由/NAT模式。内部客需要通过
24、防火墙访问外网上服务。防火墙和客户机之间有一台三层交换机。在防火墙上需要做回指路由保证客户机能访问外网。,物理设备配置,静态路由,添加目的地址是网段的静态路由,注意网络接口一定要选择正确,下一跳地址一定要和对应的网络接口的IP地址在同一网段内,静态路由,当静态路由所指的网口未接线时,该路由将不会生效 在本案例中,当客户机向外网发起连接时,数据包通过客户机的默认网关经交换机发送到防火墙,继续通过防火墙的默认网关发送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器,保证该连接的通畅。注:相同目的地的访问,metic值
25、越小的静态路由越优,默认路由,默认路由,防火墙连有多个接入路由设备,并且每个路由设备皆保证路由可达。各个接入路由设备之间可以实现路由冗余。可以根据各个接入路由的不同带宽自行设置权重如50:1、10:1(权重越大,路由命中的概率越大)。,防火墙各类路由匹配顺序原则,策略路由 直连路由 静态路由默认路由策略路由间遵照顺序匹配原则;静态路由间遵照最长子网掩码匹配原则;默认路由间遵照权重原则。,案例4.路由设置,路由设置默认路由均衡拓扑,案例4.路由设置,路由设置多默认路由均衡拓扑说明,1.防火墙具备两个出口eth1 eth2且皆路由可达外网服务器。2.客户端1客户端2网关指向防火墙内网接口eth3。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 星云 LSPE FW 技术培训
![提示](https://www.31ppt.com/images/bang_tan.gif)
链接地址:https://www.31ppt.com/p-5812792.html