海信FW3010PF防火墙介绍 北京海信数码科技有限公司 www.hisencyber.com.

Slides:



Advertisements
Similar presentations
一、软件简介 二、功能介绍 三、产品优势 四、应用范围 五、成功客户 目录目录 软件简介 ●员工工作时间,都认真工作了? ●还是在玩游戏? ●浏览与工作无关的网站? ●收发私人邮件? ●甚至将公司的机密资料拷贝带 走?或是通过邮件或聊天工具泄 密? …… 解决之道.
Advertisements

CERNET2宁波节点 汇报 提 纲 CERNET2宁波 节 点建 设 背景 CERNET2宁波 节 点建 设 目的 CERNET2宁波 节 点的 设计规划 CERNET2宁波 节 点建 设进 展 节 点所提供的服 务 、 应 用及 研 究。
晏宏斌工程师 2014 年 9 月 “ 宽带网络校校通 ” 校园网建设要点和基础维护方法. – 中小学校园网络建设要点 – 常见网络故障处理基本方法 目 录目 录.
Edu.51cto.com. 讲师: 大侠唐在飞(小侠唐在飞) 唐志强 edu.51cto.com 姓名:唐志强 网名:小侠唐在飞、大侠唐在飞 年龄:差点成 80 后 地址:乌鲁木齐 (切糕、大盘鸡、干果什么的) 擅长领域:扛显示器、装机、装系统、杀病毒、重启电脑、部署服务器、做网线、做电话头、帮领导下片、看监控、
图书馆电子资源的利用 图书馆电子资源部 电话:天河 (3897)从化 (3341)
校園資訊安全與防火牆架設 嘉義市育人國小 黃士騰.
项目四:Internet基础与接入方法 第八章 应用服务器安装配置
第6章:计算机网络基础 网考小组.
“营改增”税控开票软件(金税盘版)技术培训 2016年4月
半导体所网络概况 图书信息中心 张 棣.
江西省委组织部远教办 ( 地 市 小 集 成 系 统 )培 训
数据通信与计算机网络 第1讲 绪论 浙江万里学院 邵鹏飞.
第十四章 局域网组建典型案例 本章主要内容 局域网组网方案设计的一般方法 网吧建设方案 校园网建设方案 企业网络建设方案 2017/3/5
审计案例研究 第一讲 辅导教师 周桂芝.
龙芯多媒体电脑教室培训 龙梦极域电子教室 江苏龙芯梦兰科技股份有限公司.
二十世纪外国文学专题 章丘电大 李颜.
了 解 从 Internet IP 开 始.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
计算机网络安全培训 京承山希望小学 网络安全员:宋春辉.
电子商务网络技术 主讲:苑毅 电子商务教研室.
思考 问题十:大学生如何提高英语能力? (听说读写能力).
網頁創意設計 期末 web interactive art
of Shanghai JiaoTong University
全面战争时代 ——大数据分析 演讲者 周涛.
实训十四、IE浏览器的基本应用.
《计算机网络技术》 课程整体设计介绍.
淘宝个人创业 第三章 在淘宝网上购物.
2013年度企业财务会计决算 布置培训会.
第三章 管理信息系统的技术基础 主要内容: 数据处理 数据组织 数据库技术 4. 计算机网络.
北京信联云通科技有限责任公司,版权所有 NRS2 使用方法 Copyright©2011 by Octopus Link.
Fortinet负载均衡技术 Jan, 2009.
发票在线应用系统.
电子金融 第七章 网上金融安全 与网上支付机制 第七章 网上金融安全与网上支付机制 第七章 网上金融安全与网上支付机制.
了 解 Internet 从 ip 开 始.
2017/4/6 课程整体设计 计算机组网技术 梁建华.
一、登录界面 (一)登录方式 1、访问广东工程咨询网 ( 动态里,“咨询师登记工作”专栏 2、 IE地址栏中直接键入管理系统 地址(
深信服NGAF下一代应用防火墙.
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
学习目标: 1)理解包和包过滤 2)理解包过滤的方法 3)设置特殊的包过滤规则
文档维护者:白金(platinum)、陈绪(bjchenxu)
教师:陈有为 TCP/IP与Internet(A) 教师:陈有为
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
網路服務 家庭和小型企業網路 – 第六章.
访问控制列表(ACL) Version 1.0.
班級:四子二甲 姓名:孫培修 學號: 指導教授:謝欽旭老師
第 2 章 TCP / IP 簡介.
防火墙技术介绍   严峻的网络安全形势,促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术,涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
OSI七層架構 OSI階層 負責的工作 應用層 表達層 會議層 傳輸層 網路層 資料鏈結層 實體層 將應用程式所送出的訊息轉成字元資料
Windows Server 2008证书服务的安装
NetST®防火墙培训教程 清华得实® 保留所有权利.
第12章 远程访问、NAT技术.
2006「新進專任教師」研習營 研習營日期:95年4月11日(星期二)、 95年4月12日(星期三)
E地通VPN设备部署.
第2讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
Web前端开发 第23章:网站发布 阮晓龙 / 河南中医药大学管理科学与工程学科
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
Network Application Programming(3rd Edition)
计算机网络情况介绍 曾理
_01基本概念扫盲 本节课讲师——void* 视频提供:昆山爱达人信息技术有限公司 官网地址:
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
第 7 章 电子政府的支撑技术.
信息化建设情况及应用培训 (信息化办公室 朱尚明)
研究生出国申请流程 学生使用手册.
目 录: 一、网络存储系统的登录 二、网络存储系统的基本使用 三、学生提交作业功能的使用 四、教师开放资源功能的使用.
黑龙江省科学基金 项目验收填报培训 黑龙江省计算中心 2015年09月.
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
Presentation transcript:

海信FW3010PF防火墙介绍 北京海信数码科技有限公司 www.hisencyber.com

讲义内容 一、防火墙的基本概念 二、海信防火墙的功能特点 三、海信防火墙的操作 www.hisencyber.com

防火墙的基本概念 防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 www.hisencyber.com

防火墙的类型 防火墙的类型 包过滤型防火墙 应用网关型防火墙 状态监测型 防火墙 复合型防火墙 www.hisencyber.com

包过滤型防火墙 定义:网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"数据包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 www.hisencyber.com

优点:处理速度快,实现方便,能够以较小的代价在一定程度上保证系统的安全。 包过滤型防火墙的优势与缺陷 优点:处理速度快,实现方便,能够以较小的代价在一定程度上保证系统的安全。 缺陷:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入 。 www.hisencyber.com

应用网关型防火墙 定义:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 优点:安全性要高于包过滤型产品。 缺陷:只能处理已知的网络服务,对新出现的和未知的网络服务不予支持 ,处理速度受限于代理软件的性能。 www.hisencyber.com

状态监测型防火墙 状态监测型防火墙是对包过滤防火墙的改进。它能够对网络各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。 www.hisencyber.com

复合型防火墙 把基于包过滤的方法与基于应用代理、状态监测的方法有效结合起来,便形成了复合型防火墙产品。 它兼有代理防火墙强大的访问控制设置和高级别的安全性,同时又有状态监测防火墙高速的网络处理能力与实时的监测。 www.hisencyber.com

海信FW3010PF复合型防火墙功能 主要功能 双机热备 多接口结构体系 透明代理 多工作模式选择 用户认证 多级过滤设置 三权分立机制 高级路由管理功能 完备的日志处理功能 IDS动态策略 时间限制 主要功能 多接口结构体系 多工作模式选择 多级过滤设置 用户访问时间限制 强大的NAT能力 基于规则的带宽管理 内置入侵检测与实时报警功能 www.hisencyber.com

海信防火墙——应用一 www.hisencyber.com CA服务器 防火墙 安全路由器 认证服务器 流量控制服务器 PF防火墙〈VPN〉 安全FTP服务器 安全HTTP服务器 IDS监测主机 交换机 防火墙 网管主机 内部IDS监测主机 安全审计服务器 内部认证服务器 内部CA服务器 www.hisencyber.com

应用二 www.hisencyber.com Internet IDS服务器 Web服务器 Email服务器 DNS服务器 数据库 身份认证 FDDI光纤 PSTN IDS服务器 光电转换器 Web服务器 ISDN Email服务器 数据库 HFC Bay 5000 双绞线 DNS服务器 身份认证 FW+VPN Cisico 4500路由器 WSD CISCO2503 FW+VPN 东滩、兴隆 FW+VPN FW+VPN 南屯、北宿 FW+VPN FW+VPN Cisico 3640路由器 机关大楼 公司营业楼 FW+VPN PSTN拨号网 富锦苑小区 环保中心 煤业公司 业务上需要特别通信保护的主机 FW+VPN www.hisencyber.com

海信FW3010PF复合型防火墙操作介绍 www.hisencyber.com

以web方式登陆管理防火墙 海信防火墙无需安装专门的客户端,利用IE浏览器就可以进行管理,用只要在IE地址栏内输入https://防火墙IP,就可以进入防火墙的登陆界面。在登陆界面中输入不同权限的管理员和密码,就可以进入不同的界面。海信防火墙采用三权(系统管理、日志管理和策略管理)分立的管理模式。 www.hisencyber.com

系统管理 系统管理包括:管理界面设置、网络配置、VPN配置、IP/MAC绑定、系统状态、系统备份、保存配置、关机重启,主要完成对防火墙的接口地址、路由、网关等基本信息的配置;对VPN、带宽、双机热备进行管理以及对防火墙的配置信息进行备份保存。 www.hisencyber.com

1、界面设置 www.hisencyber.com

主要对整个防火墙的登陆界面进行配置。 在以系统管理员身份登陆防火墙之后,点击左侧的界面配置菜单进入右侧页面进行配置,主要配置以下参数: 最大认证失败次数:管理员连续登录防火墙该参数值失败后,系统将锁定此管理帐号,该参数默认值为3次。 帐号失败锁定时间:被锁定的管理员账号在经过此时间后,系统将解除对该账号的的锁定,该参数默认值为2天。 最大超时时间:在无任何操作时,防火墙管理界面自动退出的时间,该参数默认值为300秒。 www.hisencyber.com

2、网络配置 主要对防火墙的接口地址、路由信息、默认网关进行配置,此外还包括带宽控制以及双机热备等功能。 www.hisencyber.com

接口地址配置 点击左侧菜单中的网络配置,进入右侧接口配置页面,显示了防火墙现有的所有物理接口,用户可以通过点击各个网络接口进入接口属性配置界面依次更改其配置。 www.hisencyber.com

www.hisencyber.com

缺省网关 缺省网关是防火墙外部接口对外传输数据包的下一个节点地址。 www.hisencyber.com

www.hisencyber.com

接口查询 用于查询防火墙接口配置结果,该界面显示了当前所有物理接口、虚拟接口和网桥设备的详细配置情况。 www.hisencyber.com

www.hisencyber.com

带宽控制 网络带宽能够对不同的外部访问占用的带宽进行统一分配,也可以针对具体的通信(按照源地址)对网络带宽进行分配,使得某一类的访问所占用的带宽不能超过管理员为其分配的额度,从而不至于影响其它访问的正常进行。 www.hisencyber.com

www.hisencyber.com

双机热备 双机热备是在防火墙的安装点配置两台防火墙,一台作为主防火墙,另一台作为备份防火墙,两台防火墙通过串口连接,互相实时监测,当主防火墙发生故障时,备份防火墙自动接管主防火墙,同时报告系统管理员,避免整个网络通信发生中断。 www.hisencyber.com

www.hisencyber.com

高级路由管理 通过防火墙的路由管理模块,数据包选择不同的路径,以保持网络的连通性。 www.hisencyber.com

www.hisencyber.com

www.hisencyber.com

用户可以点击增加进入路由增加界面,具体配置参数如下: 路由表:填写特定路由名称,支持的字符集有大小写英文字母和数字0-9。 目标网络:填目的网络地址。 来源地址:填源地址网络。 网关地址:由路由所确定的,数据通过防火墙直接可达的网络接口地址。 优先权:设置路由标的优先权。 处理方式:分为“允许” 和“禁止”。 操作:“add”表示增加路由。 www.hisencyber.com

简单路由管理 简单路由管理只用来建立路由。它与高级路由区别在于:高级路由基于策略路由,可以对路由的源地址进行路由控制,而简单路由只形成路由,不能进行路由策略控制。 www.hisencyber.com

启动规则 启动规则是启动防火墙的路由规则。在配置路由管理时,由于管理员考虑不周可能会配置循环路由等,造成管理员不能登录防火墙或者网络不通等情况。这时可以重新启动防火墙,而路由规则并未启动,管理员可以登录防火墙检查路由规则。因此如果配置了路由规则,每次重新启动防火墙后,必须重新启动防火墙规则。点击“启动规则”,使防火墙配置规则开始生效。 www.hisencyber.com

3、VPN配置 本功能提供网关到网关的VPN通道。 本地内口地址:本地防火墙的内口IP地址。 本地外口地址:本地防火墙的外口IP地址。 远端内部网络:远端防火墙内口所在的网段地址。 远端外部地址:远端的防火墙外口IP地址。 注意:当增加一条VPN通道后,在简单路由管理中就可以看到一条通过IPSEC设备到远端网络的路由。 www.hisencyber.com

www.hisencyber.com

4、IP与MAC绑定 IP与MAC绑定可以防止IP地址的伪造、内部地址被盗用以及内部网络用户进行破坏网络等行为, www.hisencyber.com

www.hisencyber.com

5、系统状态 防火墙版本 系统状态 Ping 显示防火墙软件的版本。 显示当前防火墙的CPU使用率和内存的使用情况。 使用“ping”命令不间断的检查网络的连通性,以此判 断网络配置是否正常以及主机能否连接到网络上。使用时,只需输入目的IP即可。 www.hisencyber.com

6、系统备份 为了防止修改配置错误,快速恢复防火墙正常工作,管理员需要对完成的配置进行备份,备份的范围是防火墙上所有的配置文件,包括:网络接口的配置、用户组信息,路由信息,安全策略、计费规则等。 www.hisencyber.com

www.hisencyber.com

7、保存配置 防火墙系统是以电子介质存贮的,当防火墙系统在运行时,防火墙系统及其用户的配置均在内存中进行,为了保存用户的设置,管理员必须利用此功能来完成用户的操作。否则当防火墙重启动后,用户的配置将丢失。 www.hisencyber.com

8、关机重启 系统管理员通过此功能来对防火墙进行重启动和关闭。 www.hisencyber.com

安全策略 安全策略模块包括包过滤规则的设置、代理规则的设置以及黑名单的管理。 www.hisencyber.com

1、包过滤 包过滤策略由四部分组成:包过滤规则、NAT规则、用户组管理、字符串过滤。包过滤的策略配置顺序依次为:用户组管理,NAT策略(可选),包过滤规则,字符串过滤(可选)。 www.hisencyber.com

用户组管理 用户组是内部网络地址的IP地址组成的一个集合。防火墙通过对用户组的管理来实现对内部网络的管理。 www.hisencyber.com

www.hisencyber.com

NAT规则 NAT模式分为SNAT(源网络地址转换)和DNAT(目标网络地址转换)。利用NAT可以节省静态地址资源、隐藏内部IP地址以及保护重要服务器不受直接攻击等。 www.hisencyber.com

www.hisencyber.com

包过滤规则 包过滤规则是针对数据包的头信息和状态进行检测并实施访问控制的过滤规则。防火墙在此模式下控制所有通过防火墙的数据包。 www.hisencyber.com

www.hisencyber.com

字符串过滤 防火墙可以对指定的字符串进行过滤: 端口:对应不同服务类型的数据端口。 协议:TCP或UDP。 过滤内容:需要过滤的字符串,如hisencyber.com。也可以是文件扩展名,如.mp3 或 .zip等。 www.hisencyber.com

www.hisencyber.com

2、代理接口 主要规定以下代理规则所对应的接口,方便代理规则配置。 www.hisencyber.com

www.hisencyber.com

3、HTTP代理 www.hisencyber.com

4、SOCKET5代理 SOCKS是一种网络代理协议,该协议描述了使用私有IP地址的内部主机通过SOCKS服务器获得完全的Internet访问的方法。SOCKS代理旨在提供一种广义的代理服务,工作在应用层和传输层之间,与具体应用无关,不管再出现什么新的应用都能提供代理服务。 www.hisencyber.com

5、SMTP代理 www.hisencyber.com

日志管理 日志管理模块用来统计、查询用户使用防火墙的日志信息,包括:流量分析、远程日志、综合分析、审计日志、报警设置、备份日志等功能。它可以辅助管理员分析、查找事故的潜在痕迹或跟踪特定用户。本系统对每一次访问都进行记录,记录方式包括简要记录和详细记录(包括源地址、目的地址、流量、连接时间、连接次数等)。 www.hisencyber.com

1、流量分析 流入统计 用户可以输入具体的IP地址或一定的IP范围,查看流入数据流量。由此,管理员可掌握外网流入到每个用户的各种协议的数据量信息,并且可以对结果进行排序,方便查看, 流出统计 具体操作同流入统计。 统计设置 设置进行流量统计的接口以及与该接口相匹配的IP地址。 清除流量 用于清除所有地址有关本月的流入、流出统计,同时网络计费部分的结果也会被清除,流量统计重新统计 www.hisencyber.com

2、综合分析 用户可以通过综合分析,查看包过滤、HTTP代理、SOCKS代理和SMTP代理日志。 www.hisencyber.com

3、审计日志 用户可以通过审计日志,查看所有管理员对防火墙的操作日志。 www.hisencyber.com

4、报警设置 审计告警主要是设定日志记录系统在系统资源即将耗尽情况下采取的动作。 www.hisencyber.com

www.hisencyber.com

5、备份日志 管理员可根据需要,将各种日志记录备份在计算机的存储介质或本地盘上。但请注意,一旦将各种日志备份以后,防火墙上所有的日志将被清除。 www.hisencyber.com

6、远程日志 海信防火墙提供远程日志功能,可以把防火墙产生的大量的日志,传输到专门记录日志的服务器,以减轻防火墙的负担。远程日志主机必须装有海信的远程日志浏览器,以方便日志的查询、浏览。 www.hisencyber.com

7、安全检测 安全检测分为实时检测和可疑记录两部分。实时检测可以实时地显示当前进出防火墙数据包的详细信息;可疑记录记录了系统认为是非正常的访问,即系统认为是攻击行为的访问。 www.hisencyber.com

8、网络计费 网络计费是根据管理员制定的计费规则进行网络的统计计费。系统提供的统计接口,可以对经过防火墙的访问节点地址进行记录,并用列表方式显示结果,供统计分析和收费记帐用。 www.hisencyber.com

海信数码科技有限公司 谢谢各位! www.hisencyber.com