NetST®防火墙培训教程 清华得实®1997-2001 保留所有权利
防火墙基础 为什么需要防火墙 什么是防火墙 防火墙的类型 防火墙的基本功能 防火墙的扩展功能 TCP/IP协议基础 状态检测
为什么需要防火墙 安全的计算环境 不安全因素 计算机安全,广义地讲,是指防止其他人利用、借助你的计算机或外围设备,做你不希望他们做的任何事情 物理环境 网络协议 系统漏洞
什么是防火墙 防火墙位于内部网络与外部网络的交汇点,控制内部网络与外部网络间交换的所有数据,识别这些数据特征以确定是否允许这些数据通过防火墙。通过配置安全的访问控制规则,使内网用户受限地访问外网,外网也受限地访问内网服务器 防火墙不能防御由于系统漏洞导致的攻击
防火墙的类型 包过滤防火墙 应用网关(代理型防火墙) 操作对象:数据包,非连接,数据转发 过滤特征:MAC地址、IP地址、端口(数据链路层,IP层、TCP层) 速度:快 过滤能力:机械 过滤范围:广 应用网关(代理型防火墙) 操作对象:数据流,面向连接 过滤特征:从数据链路层到应用层 速度:慢 过滤能力:灵活 过滤范围:窄(每种协议需要对应的代理软件)
防火墙的基本功能 数据过滤 网络地址转换(NAT) 日志审计 防御网络攻击 DoS(deny of services) IP scan IP spoof ……
防火墙的扩展功能 智能审计 内容过滤 IDS (Intrusion Detect System) VPN(Virtual Private Network) 防病毒 用户认证 负载均衡 HA (High Availability) ……
TCP/IP协议初步 TCP/IP协议在网络协议族的位置 IP(Internet Protocol) 网络层,传输层,应用层 IP(Internet Protocol) IP, ICMP, IGMP,….. TCP(Transport Control Protocol) TCP(面向连接) UDP(非连接) …… Application TCP:HTTP, FTP, TELNET, SMTP, POP3,…… UDP:DNS,OICQ, ……
状态检测 使用监测引擎在网关上执行网络安全策略。监测引擎在不影响网络正常运行的前提下,采用抽取有关数据的方法对网络通信的各层实施监测,抽取状态信息,并动态地保存起来作为以后执行安全策略的参考。监测引擎支持多种协议和应用程序,并可容易地实现应用和服务的扩充。当用户访问请求到达网关的操作系统前,状态监视器要抽取有关数据进行分析,结合网络配置和安全规定做出接纳、拒绝、身份认证、报警或给该通信加密等处理动作。 这种功能的优点是一旦某个访问违反安全规定,就会拒绝该访问,并报告有关状态作日志记录。
防火墙基本安全策略 缺省拒绝 非明确接受的都拒绝 缺省接受 非明确拒绝的都接受
NetST®2103防火墙 产品型号 产品组成 功能特点 防火墙硬件 防火墙引擎 防火墙管理
产品型号速记 NetST®4位数字[3个字符] 第1位数字:适用环境 第2位数字:产品类型 第3、4位数字:产品的功能端口数 1:桌面环境 2:工作组/部门 5:企业 第2位数字:产品类型 1:防火墙 2:VPN 3:防火墙/VPN集成 4:Proxy/Internet Caching 第3、4位数字:产品的功能端口数
产品组成 NST-HD100防火墙硬件平台 NST-EG100 防火墙引擎及管理控制服务器 NST-JM100管理控制台 NST-LG100日志处理工具 NST-LI100用户登录工具
NetST®防火墙系统结构
数据处理流程
NetST防火墙数据过滤图 网卡输 入数据 NetST®防火墙 出数据 网卡转 发数据 自身输 NetST®防火墙自身数据 1 2 4 3 5
NetST防火墙安装位置
主要功能特点 基于状态检测的包过滤防火墙引擎 强大的包过滤功能,防御多种网络攻击 全面内容过滤 安全、方便、灵活的管理手段 良好的可扩展性 (升级能力) 高可靠性 基于用户身份认证的安全策略 实时在线监视和详细记录分析 包过滤防火墙的速度,应用网关的过滤能力
NST-HD100防火墙机箱 工控1U机箱,19“安装能力 PIII 733MHz以上 128MB RAM以上 32M DOM/DOC 4个10/100Base-TX以太网接口 1个RS-232接口(用于终端控制台)
NST-EG100防火墙引擎 专用操作系统 多层管理架构 支持协议:TCP/IP族内的各种协议 NAT: 友好的管理配置界面:终端,Java 提高处理效率,增强系统安全性 多层管理架构 支持协议:TCP/IP族内的各种协议 NAT: 静态NAT:多对一,一对一,多对多 动态NAT(IP伪装):多对一 友好的管理配置界面:终端,Java 系统安全防范 状态检测,标志检查 拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop, …) 端口扫描 IP欺骗 流量限制 用户认证 IP与MAC绑定
NST-JM100 防火墙实时监控 基于对象的防火墙策略编辑 安全可靠的NetST®防火墙管理控制台 良好的可扩展性和操作性
NetST®防火墙自身安全策略 使用专用设计的硬件平台,抗物理破坏,抗热关机等 关闭所有Internet服务 关闭所有ICMP响应(防火墙引擎启动时) 专用shell管理,不接触操作系统内部 终端串口管理,口令认证 专用管理网络端口,防止监听
NetST®防火墙内容过滤功能 HTTP协议 FTP协议 SMTP协议附件过滤(拒绝发送) POP3协议附件过滤(修改文件名后缀) URL过滤:支持清华得实WebCM产品的无缝集成 HTTP内容过滤 图片、音频、视频、脚本、Java Applet FTP协议 双向控制(上载/下载) 支持用户自定义文件类型 SMTP协议附件过滤(拒绝发送) POP3协议附件过滤(修改文件名后缀)
NetST®防火墙对用户的收益 提供安全的网络环境,防止网络攻击 节约IP资源,只需一个合法IP地址即可实现整个内网机器访问Internet和向外提供服务 限制网络访问,提高工作效率,降低网络流量
解决方案 各网卡均可绑定多IP地址 内网 外网 DMZ ADMIN 使用保留IP地址,NAT方式连接Internet,可设多个网段,可加内网路由 使用合法地址,路由方式连接Internet 外网 使用合法IP地址 DMZ 使用保留IP地址, NAT方式提供服务,不必加载过滤规则 使用合法IP地址,路由方式提供服务,为防止对服务器其他端口的访问,需加设一些过滤规则 ADMIN 使用保留地址
配置步骤 安装防火墙 系统规划 配置网络参数 配置安全选项 配置NAT规则 配置过滤规则
典型系统配置示例
系统需求 公司内部设两个部门,要使用不同的网段,内部网1可以访问外部Internet和DMZ服务器,内部网2只能访问DMZ服务器,不能访问Internet; 公司向外部提供WWW、FTP、SMTP和POP-3服务,但要防止被DoS攻击; 从内部向外部的访问要求是:进行用户认证,只有合法用户才能访问外部Internet和DMZ服务器;内网所有合法用户都能访问DMZ服务器;DMZ网内的机器不能主动访问外网;内网1的用户只允许使用ICMP协议、UDP协议中的域名解析协议和TCP协议的WWW、FTP协议访问外部Internet,只能使用内部的MAIL服务器收发电子邮件;内网有一台指定机器能访问所有服务器的所有服务,并可对服务器进行控制。
安装防火墙 安放位置 网线连接 串口线连接 安装Java管理控制台
系统规划 内部网络拓扑结构 地址分配 安全策略 开放服务 允许IP 允许服务 用户鉴别 内容过滤
防火墙IP地址设计 EXTERNAL: INTERNAL: DMZ: ADMIN 202.205.113.64, 202.205.113.65(WWW), 202.205.113.66(FTP), 202.205.113.67(MAIL) INTERNAL: 192.168.1.1, 192.168.3.1 DMZ: 10.10.10.1 ADMIN 172.16.1.1
配置IP地址命令 NetST>set if external 202.205.113.64/24 NetST>set if dmz 10.10.10.1/24 NetST>set if internal 192.168.1.1/24 NetST>add alias external 202.205.113.65/24 NetST>add alias external 202.205.113.66/24 NetST>add alias external 202.205.113.67/24 NetST>add alias internal 192.168.3.1/24 NetST>start alias NetST>set net firewall 202.205.113.1 external NetST>start net
设置网络管理工作站 NetST>set nms 172.16.1.1 xx:xx:xx:xx:xx:xx
配置安全选项 NetST>delall tog(CR) NetST>set tog drop dos scan flag spoof state auth log limit NetST>set limit 100 200
增加用户信息 NetST>add user
配置NAT规则 先清空NAT规则: NetST>delall nat 源NAT,使内网访问外部Internet: NetST>add nat static 192.168.1.0/24 any any 202.205.133.64 any any 目的NAT,使外网访问内部服务器: NetST>add nat static any 202.205.133.65 www any 10.10.10.10 www NetST>add nat static any 202.205.133.66 ftp any 10.10.10.20 ftp NetST>add nat static any 202.205.133.67 smtp any 10.10.10.30 smtp NetST>add nat static any 202.205.133.67 pop-3 any 10.10.10.30 pop-3
配置NAT规则 允许内网机器192.168.1.2访问内部服务器的任何服务 NetST>add nat static 192.168.1.2 202.205.133.65 any 192.168.1.2 10.10.10.10 any NetST>add nat static 192.168.1.2 202.205.133.66 any 192.168.1.2 10.10.10.20 any NetST>add nat static 192.168.1.2 202.205.133.67 any 192.168.1.2 10.10.10.30 any
配置NAT规则 允许内网机器访问内部服务器: NetST>add nat static 192.168.1.0/24 202.205.133.65 www 192.168.1.0/24 10.10.10.10 www NetST>add nat static 192.168.3.0/24 202.205.133.65 www 192.168.1.0/24 10.10.10.10 www NetST>add nat static 192.168.1.0/24 202.205.133.66 ftp 192.168.1.0/24 10.10.10.20 ftp NetST>add nat static 192.168.3.0/24 202.205.133.66 ftp 192.168.3.0/24 10.10.10.20 ftp NetST>add nat static 192.168.1.0/23 202.205.133.67 smtp 192.168.1.0/24 10.10.10.30 smtp NetST>add nat static 192.168.3.0/23 202.205.133.67 smtp 192.168.3.0/24 10.10.10.30 smtp NetST>add nat static 192.168.1.0/24 202.205.133.67 110 192.168.1.0/24 10.10.10.30 110 NetST>add nat static 192.168.3.0/24 202.205.133.67 110 192.168.3.0/24 10.10.10.30 110
配置过滤规则 先清空过滤规则: 允许内网1的机器使用ICMP协议和域名解析协议: 允许内网1中的192.168.1.2机器访问任何地方: NetST>delall rule 允许内网1的机器使用ICMP协议和域名解析协议: NetST>add rule icmp 192.168.1.0/24 any any internal accept NetST>add rule udp 192.168.1.0/24 any 53 internal accept 允许内网1中的192.168.1.2机器访问任何地方: NetST>add rule tcp 192.168.1.2 any any internal accept 允许外网机器访问DMZ区的服务器: NetST>add rule tcp any 10.10.10.10 80 external accept NetST>add rule tcp any 10.10.10.20 ftp external accept NetST>add rule tcp any 10.10.10.30 25 external accept NetST>add rule 6 any 10.10.10.30 110 external accept
配置过滤规则 允许内网机器访问DMZ区的服务器: 内网1机器访问外部Internet的WWW、FTP服务: NetST>add rule tcp any 10.10.10.30 pop-3 internal accept NetST>add rule tcp any 10.10.10.30 smtp internal accept NetST>add rule tcp any 10.10.10.10 www internal accept NetST>add rule tcp any 10.10.10.20 ftp internal accept 内网1机器访问外部Internet的WWW、FTP服务: NetST>add rule tcp 192.168.1.0/24 any www internal accept NetST>add rule tcp 192.168.1.0/24 any ftp internal accept
启动防火墙引擎 NetST>start firewall
竞争对手不足 一般使用WWW配置,防火墙需内置HTTP服务器,需运行CGI程序,这些都是系统漏洞的根源,会导致防火墙被攻破 使用硬盘,容易损坏 基本不提供状态检测和内容过滤功能 功能多而不精,华而不实
定购方法 产品包括 NetST®2103,2103防火墙 Java管理软件包
FAQ 配置NetST防火墙需要什么理论基础? NetST防火墙性能如何? NetST防火墙安装情况如何? NetST防火墙升级能力如何? 计算机网络原理 TCP/IP协议原理 NAT原理 NetST防火墙性能如何? NAT时FTP文件传输率可达80Mbps以上 最大并发连接数8192 NetST防火墙安装情况如何? 为黑盒结构,防火墙内部软件本身已经安装完毕,连上终端即可使用,用户只需在管理工作站上安装Java管理控制台即可。 NetST防火墙升级能力如何? 用户以后可从清华得实网站下载升级软件自动升级,风险小
FAQ 防火墙引擎启动后为什么ping不通了? 防火墙引擎一旦启动,除了开放管理端口外,不再响应其他任何信息
清华得实研发部技术支持 培训 产品信息:内部支持网站 联系信息:netst@th-dascom.com.cn 紧急技术支持:7006 NST2000-1:防火墙及NetST理解、系统规划 NST2000-2:防火墙的管理 NST2000-3:防火墙JAVA管理控制台 NST2000-4:防火墙快速配置 产品信息:内部支持网站 产品/产品补丁更新信息 Bug报告 添加新功能申请 产品文档 联系信息:netst@th-dascom.com.cn 紧急技术支持:7006