海信FW3010PF防火墙介绍 北京海信数码科技有限公司 www.hisencyber.com
讲义内容 一、防火墙的基本概念 二、海信防火墙的功能特点 三、海信防火墙的操作 www.hisencyber.com
防火墙的基本概念 防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。 www.hisencyber.com
防火墙的类型 防火墙的类型 包过滤型防火墙 应用网关型防火墙 状态监测型 防火墙 复合型防火墙 www.hisencyber.com
包过滤型防火墙 定义:网络上的数据都是以"包"为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些"数据包"是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 www.hisencyber.com
优点:处理速度快,实现方便,能够以较小的代价在一定程度上保证系统的安全。 包过滤型防火墙的优势与缺陷 优点:处理速度快,实现方便,能够以较小的代价在一定程度上保证系统的安全。 缺陷:只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入 。 www.hisencyber.com
应用网关型防火墙 定义:通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。 优点:安全性要高于包过滤型产品。 缺陷:只能处理已知的网络服务,对新出现的和未知的网络服务不予支持 ,处理速度受限于代理软件的性能。 www.hisencyber.com
状态监测型防火墙 状态监测型防火墙是对包过滤防火墙的改进。它能够对网络各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入。 www.hisencyber.com
复合型防火墙 把基于包过滤的方法与基于应用代理、状态监测的方法有效结合起来,便形成了复合型防火墙产品。 它兼有代理防火墙强大的访问控制设置和高级别的安全性,同时又有状态监测防火墙高速的网络处理能力与实时的监测。 www.hisencyber.com
海信FW3010PF复合型防火墙功能 主要功能 双机热备 多接口结构体系 透明代理 多工作模式选择 用户认证 多级过滤设置 三权分立机制 高级路由管理功能 完备的日志处理功能 IDS动态策略 时间限制 主要功能 多接口结构体系 多工作模式选择 多级过滤设置 用户访问时间限制 强大的NAT能力 基于规则的带宽管理 内置入侵检测与实时报警功能 www.hisencyber.com
海信防火墙——应用一 www.hisencyber.com CA服务器 防火墙 安全路由器 认证服务器 流量控制服务器 PF防火墙〈VPN〉 安全FTP服务器 安全HTTP服务器 IDS监测主机 交换机 防火墙 网管主机 内部IDS监测主机 安全审计服务器 内部认证服务器 内部CA服务器 www.hisencyber.com
应用二 www.hisencyber.com Internet IDS服务器 Web服务器 Email服务器 DNS服务器 数据库 身份认证 FDDI光纤 PSTN IDS服务器 光电转换器 Web服务器 ISDN Email服务器 数据库 HFC Bay 5000 双绞线 DNS服务器 身份认证 FW+VPN Cisico 4500路由器 WSD CISCO2503 FW+VPN 东滩、兴隆 FW+VPN FW+VPN 南屯、北宿 FW+VPN FW+VPN Cisico 3640路由器 机关大楼 公司营业楼 FW+VPN PSTN拨号网 富锦苑小区 环保中心 煤业公司 业务上需要特别通信保护的主机 FW+VPN www.hisencyber.com
海信FW3010PF复合型防火墙操作介绍 www.hisencyber.com
以web方式登陆管理防火墙 海信防火墙无需安装专门的客户端,利用IE浏览器就可以进行管理,用只要在IE地址栏内输入https://防火墙IP,就可以进入防火墙的登陆界面。在登陆界面中输入不同权限的管理员和密码,就可以进入不同的界面。海信防火墙采用三权(系统管理、日志管理和策略管理)分立的管理模式。 www.hisencyber.com
系统管理 系统管理包括:管理界面设置、网络配置、VPN配置、IP/MAC绑定、系统状态、系统备份、保存配置、关机重启,主要完成对防火墙的接口地址、路由、网关等基本信息的配置;对VPN、带宽、双机热备进行管理以及对防火墙的配置信息进行备份保存。 www.hisencyber.com
1、界面设置 www.hisencyber.com
主要对整个防火墙的登陆界面进行配置。 在以系统管理员身份登陆防火墙之后,点击左侧的界面配置菜单进入右侧页面进行配置,主要配置以下参数: 最大认证失败次数:管理员连续登录防火墙该参数值失败后,系统将锁定此管理帐号,该参数默认值为3次。 帐号失败锁定时间:被锁定的管理员账号在经过此时间后,系统将解除对该账号的的锁定,该参数默认值为2天。 最大超时时间:在无任何操作时,防火墙管理界面自动退出的时间,该参数默认值为300秒。 www.hisencyber.com
2、网络配置 主要对防火墙的接口地址、路由信息、默认网关进行配置,此外还包括带宽控制以及双机热备等功能。 www.hisencyber.com
接口地址配置 点击左侧菜单中的网络配置,进入右侧接口配置页面,显示了防火墙现有的所有物理接口,用户可以通过点击各个网络接口进入接口属性配置界面依次更改其配置。 www.hisencyber.com
www.hisencyber.com
缺省网关 缺省网关是防火墙外部接口对外传输数据包的下一个节点地址。 www.hisencyber.com
www.hisencyber.com
接口查询 用于查询防火墙接口配置结果,该界面显示了当前所有物理接口、虚拟接口和网桥设备的详细配置情况。 www.hisencyber.com
www.hisencyber.com
带宽控制 网络带宽能够对不同的外部访问占用的带宽进行统一分配,也可以针对具体的通信(按照源地址)对网络带宽进行分配,使得某一类的访问所占用的带宽不能超过管理员为其分配的额度,从而不至于影响其它访问的正常进行。 www.hisencyber.com
www.hisencyber.com
双机热备 双机热备是在防火墙的安装点配置两台防火墙,一台作为主防火墙,另一台作为备份防火墙,两台防火墙通过串口连接,互相实时监测,当主防火墙发生故障时,备份防火墙自动接管主防火墙,同时报告系统管理员,避免整个网络通信发生中断。 www.hisencyber.com
www.hisencyber.com
高级路由管理 通过防火墙的路由管理模块,数据包选择不同的路径,以保持网络的连通性。 www.hisencyber.com
www.hisencyber.com
www.hisencyber.com
用户可以点击增加进入路由增加界面,具体配置参数如下: 路由表:填写特定路由名称,支持的字符集有大小写英文字母和数字0-9。 目标网络:填目的网络地址。 来源地址:填源地址网络。 网关地址:由路由所确定的,数据通过防火墙直接可达的网络接口地址。 优先权:设置路由标的优先权。 处理方式:分为“允许” 和“禁止”。 操作:“add”表示增加路由。 www.hisencyber.com
简单路由管理 简单路由管理只用来建立路由。它与高级路由区别在于:高级路由基于策略路由,可以对路由的源地址进行路由控制,而简单路由只形成路由,不能进行路由策略控制。 www.hisencyber.com
启动规则 启动规则是启动防火墙的路由规则。在配置路由管理时,由于管理员考虑不周可能会配置循环路由等,造成管理员不能登录防火墙或者网络不通等情况。这时可以重新启动防火墙,而路由规则并未启动,管理员可以登录防火墙检查路由规则。因此如果配置了路由规则,每次重新启动防火墙后,必须重新启动防火墙规则。点击“启动规则”,使防火墙配置规则开始生效。 www.hisencyber.com
3、VPN配置 本功能提供网关到网关的VPN通道。 本地内口地址:本地防火墙的内口IP地址。 本地外口地址:本地防火墙的外口IP地址。 远端内部网络:远端防火墙内口所在的网段地址。 远端外部地址:远端的防火墙外口IP地址。 注意:当增加一条VPN通道后,在简单路由管理中就可以看到一条通过IPSEC设备到远端网络的路由。 www.hisencyber.com
www.hisencyber.com
4、IP与MAC绑定 IP与MAC绑定可以防止IP地址的伪造、内部地址被盗用以及内部网络用户进行破坏网络等行为, www.hisencyber.com
www.hisencyber.com
5、系统状态 防火墙版本 系统状态 Ping 显示防火墙软件的版本。 显示当前防火墙的CPU使用率和内存的使用情况。 使用“ping”命令不间断的检查网络的连通性,以此判 断网络配置是否正常以及主机能否连接到网络上。使用时,只需输入目的IP即可。 www.hisencyber.com
6、系统备份 为了防止修改配置错误,快速恢复防火墙正常工作,管理员需要对完成的配置进行备份,备份的范围是防火墙上所有的配置文件,包括:网络接口的配置、用户组信息,路由信息,安全策略、计费规则等。 www.hisencyber.com
www.hisencyber.com
7、保存配置 防火墙系统是以电子介质存贮的,当防火墙系统在运行时,防火墙系统及其用户的配置均在内存中进行,为了保存用户的设置,管理员必须利用此功能来完成用户的操作。否则当防火墙重启动后,用户的配置将丢失。 www.hisencyber.com
8、关机重启 系统管理员通过此功能来对防火墙进行重启动和关闭。 www.hisencyber.com
安全策略 安全策略模块包括包过滤规则的设置、代理规则的设置以及黑名单的管理。 www.hisencyber.com
1、包过滤 包过滤策略由四部分组成:包过滤规则、NAT规则、用户组管理、字符串过滤。包过滤的策略配置顺序依次为:用户组管理,NAT策略(可选),包过滤规则,字符串过滤(可选)。 www.hisencyber.com
用户组管理 用户组是内部网络地址的IP地址组成的一个集合。防火墙通过对用户组的管理来实现对内部网络的管理。 www.hisencyber.com
www.hisencyber.com
NAT规则 NAT模式分为SNAT(源网络地址转换)和DNAT(目标网络地址转换)。利用NAT可以节省静态地址资源、隐藏内部IP地址以及保护重要服务器不受直接攻击等。 www.hisencyber.com
www.hisencyber.com
包过滤规则 包过滤规则是针对数据包的头信息和状态进行检测并实施访问控制的过滤规则。防火墙在此模式下控制所有通过防火墙的数据包。 www.hisencyber.com
www.hisencyber.com
字符串过滤 防火墙可以对指定的字符串进行过滤: 端口:对应不同服务类型的数据端口。 协议:TCP或UDP。 过滤内容:需要过滤的字符串,如hisencyber.com。也可以是文件扩展名,如.mp3 或 .zip等。 www.hisencyber.com
www.hisencyber.com
2、代理接口 主要规定以下代理规则所对应的接口,方便代理规则配置。 www.hisencyber.com
www.hisencyber.com
3、HTTP代理 www.hisencyber.com
4、SOCKET5代理 SOCKS是一种网络代理协议,该协议描述了使用私有IP地址的内部主机通过SOCKS服务器获得完全的Internet访问的方法。SOCKS代理旨在提供一种广义的代理服务,工作在应用层和传输层之间,与具体应用无关,不管再出现什么新的应用都能提供代理服务。 www.hisencyber.com
5、SMTP代理 www.hisencyber.com
日志管理 日志管理模块用来统计、查询用户使用防火墙的日志信息,包括:流量分析、远程日志、综合分析、审计日志、报警设置、备份日志等功能。它可以辅助管理员分析、查找事故的潜在痕迹或跟踪特定用户。本系统对每一次访问都进行记录,记录方式包括简要记录和详细记录(包括源地址、目的地址、流量、连接时间、连接次数等)。 www.hisencyber.com
1、流量分析 流入统计 用户可以输入具体的IP地址或一定的IP范围,查看流入数据流量。由此,管理员可掌握外网流入到每个用户的各种协议的数据量信息,并且可以对结果进行排序,方便查看, 流出统计 具体操作同流入统计。 统计设置 设置进行流量统计的接口以及与该接口相匹配的IP地址。 清除流量 用于清除所有地址有关本月的流入、流出统计,同时网络计费部分的结果也会被清除,流量统计重新统计 www.hisencyber.com
2、综合分析 用户可以通过综合分析,查看包过滤、HTTP代理、SOCKS代理和SMTP代理日志。 www.hisencyber.com
3、审计日志 用户可以通过审计日志,查看所有管理员对防火墙的操作日志。 www.hisencyber.com
4、报警设置 审计告警主要是设定日志记录系统在系统资源即将耗尽情况下采取的动作。 www.hisencyber.com
www.hisencyber.com
5、备份日志 管理员可根据需要,将各种日志记录备份在计算机的存储介质或本地盘上。但请注意,一旦将各种日志备份以后,防火墙上所有的日志将被清除。 www.hisencyber.com
6、远程日志 海信防火墙提供远程日志功能,可以把防火墙产生的大量的日志,传输到专门记录日志的服务器,以减轻防火墙的负担。远程日志主机必须装有海信的远程日志浏览器,以方便日志的查询、浏览。 www.hisencyber.com
7、安全检测 安全检测分为实时检测和可疑记录两部分。实时检测可以实时地显示当前进出防火墙数据包的详细信息;可疑记录记录了系统认为是非正常的访问,即系统认为是攻击行为的访问。 www.hisencyber.com
8、网络计费 网络计费是根据管理员制定的计费规则进行网络的统计计费。系统提供的统计接口,可以对经过防火墙的访问节点地址进行记录,并用列表方式显示结果,供统计分析和收费记帐用。 www.hisencyber.com
海信数码科技有限公司 谢谢各位! www.hisencyber.com