天融信防火墙配置手册.ppt
《天融信防火墙配置手册.ppt》由会员分享,可在线阅读,更多相关《天融信防火墙配置手册.ppt(84页珍藏版)》请在三一文库上搜索。
1、天融信防火墙配置防火墙配置 实训手册实训手册 Http:/ 华迪信息.网络工程中心 防火墙形态防火墙形态 类似于一台路由器设备,是一台特殊的计算机。 以天融信防火墙(TOPSEC FireWall ARESM)为实例,来测试防火墙各 区域的访问控制机制: 目标一: 了解访问策略的原理与作用。通过设置访问策略,测试Intranet(企 业内联网),SSN(安全服务区,即DMZ(非军事区),Internet(互联网 )区域之间访问控制机制。 目标二: 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过 NAT访问因特网,过滤特定网站和特定网页。 目标三: 了解MAP原理与作用。测试外网通
2、过MAP访问企业内部服务器。 了解防火墙三种接入模式。 配置目标配置目标 n防 火 墙 n n 为为 网网 络络 用用 户户 提提 供供 安安 全全 的的 Internet Internet 接接 入入 InternetInternet DMZ WEB服务层 Intranet 内部网络 Web e-mail FTP 防火墙 FireWall Web Site FilterWeb Site Filter Web 站 点 访 问 过 滤 限限 制制 对对 非非 本本 企企 业业 业业 务务 目目 的的 的的 Internet Internet 资资 源源 的的 访访 问问 Connection t
3、o outside network Connection to inside network Connection to www network 防火墙在企业网的接入 Intranet区域 SSN区域 Internet区域 大门 实实 验验 室室 分分 布布 情情 况况 Internet 实验网络结构图实验网络结构图 192.168.6.50/60 网关:192.168.6.250 DMZ 区 Intranet 内网 Web e-mail FTP Internet 外网 192.168.2.50/60/70/80/90 网关:192.168.2.250 192.168.1.50/60/70/8
4、0/90 网关:192.168.1.250 2.2506.250 1.250 防火墙 路由模式 访问控制 测试结构 一、通过防火墙的路由功能实现访问控制,操作步骤如下: STEP1:线路连接 根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网 段,不能与连接的防火墙端口地址冲突),设置防火墙本区域端口IP地址 为主机网关地址。 测试能否PING通防火墙端口IP地址。 上半部份上半部份 STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”, 新建项目, 输入防火墙本区域端口IP地址,登陆到防火墙。查看防火墙 “基本信息” 和“实时监控”, 了解
5、其他各菜单功能。 说明:登陆下列其中一个用户:user1/2/3/4/5/6/7/8/9/10, 口令为:123456 防火墙配置一般有三种方式: B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。 区域之间缺省权限的设置区域之间缺省权限的设置 STEP3: 防火墙区域缺省权限设置 网络区域 防火墙三个区域 缺省访问权限设为允许访问。 操作说明:选择“可读、可写、可执行”选项,表示为允许访问。 本机PING其他区域内主机,测试连通性。 网络区域 防火墙三个区域 缺省访问权限设为禁止访问。 操作说明:不选择“可读、可写、可执行”选项,表示为禁止访问。 本机PING其他
6、区域内主机,测试连通性。 第四个区域area_4为该软件上带的区域名,可不管,实际硬件上没有。 缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机,由于是通过交换机进行通信,防火墙不能控 制同一区域主机之间的权限,本区域内主机是能够连通的。 主机节点对象的建立主机节点对象的建立 接下来在防火墙三个区域缺省权限设为禁止访问的情况下, 做以下步骤: STEP4: 主机节点对象建立 高级管理网络对象本主机所在区域定义新对象定义节点 把本主机IP地址定义为一个节点。定义名称可任意,物理地址可不 填。 说明:定义对象应在该对象所在区域内设置。本机在哪个区域,则在 那个区域内设置。定义节
7、点针对一个主机定义,定义子网可定义一个网 络地址段。定义对象没有任何权限的作用,只有通过访问策略(STEP5 设置)调用这些对象才能设置权限。 防火墙访问控制过滤机制包过滤示意图防火墙访问控制过滤机制包过滤示意图 源地址 过滤 目的 地址 过滤 协议 过滤 协议 端口 过滤 数据包数据包 应用层 过滤 缺省访问权限(允许/禁止) 源对象目的对象 策略服务 http,ftp,smtp等 时间策略访问控制 允许/拒绝 一条访问策略规则: STEP5 :区域之间主机权限策略设置,测试访问控制 1) 首先明确源主机、目标主机,访问控制是针对源到目 的的访问。 然后在高级管理访问策略需要访问的目标主机所
8、 在区域内增加包过滤策略,策略源为访问端(只选择本 机节点),策略目的为被访问端(只选择其他区域某节点) ,策略服务为PING,访问控制设为允许。注意策略源和目 的只选择节点,针对主机进行权限设置。 通过PING 对方主 机测试连通性。 特别注意:访问策略应在被访问对象所在的目标区域设 置策略。如:访问SSN区域内主机,则应在SSN区域内设 置策略。 访问控制测试访问控制测试 2) 在本区域内增加包过滤策略,建立禁止对方主机(策略源)访问本 机(策略目的)的访问策略,测试对方区域的主机到本机的连通性。 说明: 必须针对不同区域设置访问权限,同一区域内的主机防火墙是 不能控制权限的,设置的策略也
9、是无用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006,1027, 6267,8080端口(任选其一设置)。 策略服务在都不选择的情况下,为任何服务,包括所有协议所有端口 。 策略服务在都选择的情况下,表示只对所选择的服务进行访问控制。 访问策略优先级高于区域默认权限策略的优先级(STEP3已设置)。 每个访问策略都是单向访问,只有策略源对象访问到策略目的对象。 两个不同区域主机如需要相互访问,则需要建立两个策略。 访问策略可控制源地址,目标地址,策略服务,访问控制时间。 访问控制测试访问控制测试 STEP6: 通过策略范围来控制主机访问权限 (1)设置两个策略,
10、一个策略为设置本机访问其他区域某一主机的访问 策略,访问策略为允许,另一个策略同样是访问该主机,但访问控制设 为禁止,更改两个策略的优先级,通过PING 对方主机测试连通性。 说明:鼠标上下拖动所建策略可以更改优先级,排在上面的策略优先 级高。 (2) 设置两个策略,一个策略为本机访问其他整个区域的策略,另一 个策略为本机禁止访问其他区域内某一个主机的策略,更改两个策略的 优先级,通过PING 对方区域内主机测试连通性。 (3) 设置两个策略,一个策略为本机访问其他区域某主机的策略,策 略服务为任何服务,另一个策略为本机禁止通过策略服务PING其他区 域该主机。更改两个策略的优先级,通过PIN
11、G 对方主机测试连通性。 访问控制测试访问控制测试 (4) 设置两个策略,一个策略为本机禁止访问其他区域某主机的策 略,策略服务为任何服务,另一个策略为本机允许通过策略服务 PING其他区域该主机。更改两个策略的优先级,通过PING 对方主 机测试连通性,访问对方主机其他端口(如共享方式)进行测试。 (5) 设置本区域允许访问其他整个区域,策略服务为任何服务,通 过PING 对方所有主机测试连通性。 (6) 在网络区域,设置所有区域缺省权限为允许,再建立一个 访问策略,禁止PING对方某一主机的访问策略。测试与对方主机的 连通性。 7)根据需要,自行定义策略,设置权限。 说明:如果选择整个区域
12、,如选择INTRANET区域”,则指包括连 入INTRANET内的所有主机。 可以通过策略的优先级,把范围小的策略优先级设置为高于范围 大的策略,能够有效控制不同区域之间的访问对象和策略服务。这 样先满足范围小的策略,超过这个范围则再受到范围大的策略限制 。 访问控制测试访问控制测试 企业防火墙设置注意要点:企业防火墙设置注意要点: 防火墙是企业安全的关键中枢,企业安全管理实施需要通过运用防 火墙访问策略来实现。 访问策略不只是从技术上考虑,最重要的是安全管理的需要来进行 设置。 为了安全需要,防火墙最好只能一个管理员进行配置,有其他人设 置时要有日志记录便于管理审计。防止无关管理员任意设置。
13、 策略规则应尽量简化,策略太多容易杂乱,不便管理,影响防火墙 效率。 常见的木马、病毒使用的端口尽量关闭,如445,7626,4006, 1027,6267等,对高发及最新病毒、木马端口要及时做出处理。 防止反向连接,对由内到外的连接也要注意端口防护。 与另一区域的一主机配合操作。在目标主机无网关(路由)的情况下 ,通过NAT方式进行访问。访问端需要有网关(路由)。 1)把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删 除。 2)在目标主机无网关情况下, 增加一个访问策略,允许本机(策略源) 访问该目标主机(策略目的),测试与该主机连接情况。 3) 进入高级管理通信策略 增加本
14、机(策略源)到该目标主机( 策略目的)的通讯策略,通信方式选择NAT方式。 4) 测试与该主机连通情况以及对方主机访问本机的连通情况。 5) 本机删除网关后,让对方主机增加网关,反过来再增加访问策略和 NAT进行测试。 说明:访问策略是权限的问题,通讯策略是路径的问题。 NAT都是单向访问,内网需要网关路由到外网,而外网不需路由到内网。 保护了内网的安全。 思考: NAT是作为源IP地址转换,NAT在整个转换过程中所起到的作用? 通信策略通信策略 STEP7: 设置NAT(网络地址转换)方式 NAT 在互联网的应用 隐藏了内部网络结构 内部网络可以使用私有IP地址 NATNAT原理源地址转换原
15、理源地址转换 192.168.1.50 网关:192.168.1.250 192.168.8.50 Intranet:192.168.1.250 Internet:192.168.8.250 报头 数据 源地址:192.168.1.50 目的地址:192.168.8.50 报头 数据 源地址:192.168.8.250 目的地址:192.168.8.50 NAT转换 192.168.1.50发送 的数据包经过NAT 转换后,源地址成 为192.168.8.250 DMZ 区 Intranet 内网 Web e-mail FTP Internet 互联网 192.168.2.50/60/70/8
16、0/90 网关:192.168.2.250 192.168.1.50/60/70/80/90 网关:192.168.1.250 2.250 6.250 1.250 互联网过滤 互联网过滤 1)首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络 线路。 2) 建立一个访问策略(包过滤策略),以本机作为策略源,以INTERNET 区域做为策略目的,策略服务选择任何服务。 3)再建立一个通信策略(NAT方式),本机做为策略源,INTERNET区域 作为策略目的。然后本机DNS(在网络属性中设置)指向到互联网DNS服务 器IP地址, 检查能否PING通DNS服务器IP,测试能否
17、连入互联网。 DNS服务器IP:211.95.129.161 61.139.2.69 STEP8: 通过HTTP过滤策略, 过滤网站和过滤网页. 4) 在高级管理特殊对象URL 定义新对象 ,输入任一网址,注意格 式要求。 注意:定义URL时前后应加 * , 如格式: ** 。 5)访问策略 INTERNET区域 增加HTTP策略 ,禁止某一网站 。 把过滤策略优先级提到最前面,测试该网站能否打开。(不需选择关键字) 6)在高级管理特殊对象关键字定义关键字 7)访问策略INTERNET区域 增加 HTTP策略,允许某一网站访问 ,但禁止关键字访问。 把过滤策略优先级提到最前面,测试含有该关键字
18、的 网页能否打开。 注意:定义关键字不需要加 * ,过滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止 。 8)通过包过滤策略,禁止本机访问INTERNET,策略服务为 TCP:80(HTTP服务),测试能否连入互联网。 9) PING 某一网站域名(网址),记住其IP地址,通过访问策略禁止本机 PING此IP地址。 下半部份 二 、通过防火墙透明模式测试区域网络的访问控制: 说明: 防火墙透明模式可以让同一网段在不同区域的主机进行通信。 (相当于二层交换) 而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由进 行通信。(三层交换作用)
19、了解防火墙的三种接入模式了解防火墙的三种接入模式 1.透明模式(网络) 2.路由模式 路由模式路由模式 3.透明及路由的混合模式 透明网络结构透明网络结构 DMZ 区 Intranet 内网 Web e-mail FTP 192.168.1.110/120/130/140/150 192.168.1.50/60/70/80/90 192.168.1.200/210 Internet 外网 1.2401.230 1.250 防火墙 透明网络 测试结构 STEP1: 按上图设置主机IP (注意可不设网关),用TOPSEC集中管理器重 新登陆到本区域端口地址。 在高级管理特殊对象透明网络增加透明网络
20、,选择“INTERNET区 域” “INTRANET“,“SSN“ 。 说明:增加本区域和要进行透明网络测试的区域。 STEP2: 在网络区域设置三个区域为禁止访问。 在网络对象中重新按以上IP在本区域建立本机节点,在访问策略中,增加 本机(策略源)可以访问其他区域内某一主机(策略目的)的权限。 STEP3:测试能否PING通其他区域的主机。 STEP4: 删除所有建立的透明网络,测试能否连通其他区域主机。 STEP5: 在网络区域设置三个区域为允许访问,建立禁止访问其他区 域主机的访问策略,测试连通性。 透明网络测试透明网络测试 不同区域任意两个主机之间都可配合按以下步骤操作。 三、三、MA
21、PMAP映射操作步骤映射操作步骤 DMZ 区 Intranet 内网 Web e-mail FTP Internet 外网 192.168.2.50/60/70/80/90 网关:192.168.2.250 192.168.1.50/60/70/80/90 网关:192.168.1.250 192.168.6.50/60 网关:192.168.6.250 2.2506.250 1.250 (本实验可选) MAP端口(地址)映射 在互联网的应用 MAP也称为反向NAT STEP1:在网络区域本主机所在区域虚口设置设置虚口IP地址 增加本区域同一网段的虚口IP地址,注意不要跟其他地址冲突。 说明:
22、增加一个虚口地址做映射地址。建立MAP映射后,IP地址将会完 全代替被映射的主机IP,为了使MAP后“TOPSEC集中管理器”能连到防火墙 原防火墙IP地址,所以增加一个虚口地址来做为MAP映射的IP地址。 STEP2: 在高级管理网络对象本区域内增加STEP1所做的虚口地 址为一个节点A。 在高级管理网络对象对方区域内增加对方主机为一个节点B。 Ping 虚口IP地址, 检查能否连接该地址。 STEP3: 在高级管理访问策略对方区域内增加本机访问对方主机的 访问策略, 策略服务设为任何服务。 STEP4: 在高级管理通信策略增加MAP映射。 策略源为本机所在区域名,策略目的为节点A(即虚口地
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 天融信 防火墙 配置 手册
链接地址:https://www.31doc.com/p-2154090.html