第二章 防火墙基础技术.

Slides:



Advertisements
Similar presentations
南投縣教育網路專案 建置說明 2016/7/11 D-Link Taiwan 台中技術支援課 工程師 林俊佑 #23 Version 1.03.
Advertisements

项目六 路由器基本配置与管理.
第6章 路由器的配置和应用 教学目的: 本章的主要学习目的是了解路由器的结构,掌握路由器的硬件连接与软件配置连接,学会CISCO IOS的维护、常用操作命令的使用,并能在理解网络如何互连的基础上,通过在命令行状态下配置好CISCO路由器,实现特定的互连要求与安全访问控制要求。
江西省委组织部远教办 ( 地 市 小 集 成 系 统 )培 训
21世纪全国高职高专 计算机系列实用规划教材 计算机网络技术基础 主 编: 杨瑞良 李 平 副主编: 邱 涛 李明龙.
第二讲 电子商务技术 Internet和www技术(重点掌握) 信息处理技术(重点掌握) EDI技术(熟悉) 电子支付系统(熟悉)
網路犯罪 組別:第5組 組員:卓岳正,連樹勛,劉洛翔,劉博文,蔡宗憲,吳柏錞,程聖發 組長:卓岳正
財團法人天主教 聖馬爾定醫院新進報到職前訓練簡報 竭誠歡迎您加入 我們的行列.
實驗 9: 無線安全網路之建設.
第 14 章 網路應用軟體: 傳輸、社群、通訊 著作權所有 © 旗標出版股份有限公司.
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
开源软件 OSS (Open Source Software)
Xoops架站器介紹 基隆市教育網路中心 王言俊 按一下以新增備忘稿.
第六章 Linux的系統管理基礎 課前指引 身為Linux系統管理員,除了熟悉作業系統的安裝、圖形介面的操作及系統指令的使用與軟體套件的安裝外,更需要瞭解基礎的Linux系統管理技巧。本節,將針對此部分進行說明。
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
台灣雲端運算應用實驗中心研發計畫 計 畫 期 間:自98年7月1日至99年6月30日止 執行單位名稱 :財團法人資訊工業策進會 國立中山大學.
北京信联云通科技有限责任公司,版权所有 NRS2 使用方法 Copyright©2011 by Octopus Link.
第六章 在华为路由器上配置动态路由OSPF协议(实训)
安徽广播电视大学 组网技术与配置(第2版) 第8章 路由器的配置 汪本标.
课程介绍 教师:邹国忠、白金荣、沐士光 内容:课堂实验、课外实验、选作实验 时间安排:实验:双周 考试形式:闭卷、每人一组独立操作。
计算机系统安全 第10章 常用攻击手段.
北京汉邦高科数字技术股份有限公司 2015年年报交流.
研究生入学教育 网络中心
温江区行政事业单位 资产管理信息系统培训 2010年10月28日.
教学目的:通过本章的学习大家要掌握端口 教学重点:端口的分类的两大类,静态端口 教学难点:几种常见的端口.
第 6 章 IP 遶送.
張晃崚 麟瑞科技股份有限公司 網路基本概念/網路Router設定 張晃崚 麟瑞科技股份有限公司.
第 14 章 網路應用軟體: 傳輸、社群、通訊.
利用 ISA Server 2004 建置應用層防護機制
高雄應用科技大學 有線網路建置實習(I) 聯易科技股份有限公司 Ben 李政勳
計中「多媒體與網路應用」短期訓練課程 FTP server 架設 (in Windows)
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
系統安全期末報告 Nessus 與其相關軟體使用心得
第 16 章 Internet架構.
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
ARUBA 無線網路教育訓練.
网络设备配置与管理 子项目1 登录与管理交换机.
第8單元 Internet以及線上資源 McGraw-Hill Education.
Linux 圖形操作介面 GUI -- X-window 與 Webmin
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
聚合端口.
DGS-1510 基隆教網教育訓練文件.
RG-N18000K.
班級:四子二甲 姓名:孫培修 學號: 指導教授:謝欽旭老師
第 2 章 TCP / IP 簡介.
TCP/IP基本原理 第九章 文件传输.
《计算机网络 --基于因特网的信息服务平台》 (第2版)
Windows 2003 server 進階介紹 麋鹿.
認識FTP檔案傳輸協定 建立我的部落格 Archie檔案檢索服務 Google搜尋密技 歷久彌新的老朋友-BBS Skype網路電話
考试题型 填空题(30) 选择题(20) 名词解释(10) 问答题(24) 计算题(16) 附加题(30) 成绩核算:
江西财经大学信息管理学院 《组网技术》课程组
第5單元 實習1 ilon10 setup.
数据智能同步系统 操作指南.
E地通VPN设备部署.
凌宁 系统工程师 亚洲区嵌入式系统事业群 微软(中国)有限公司
Python联合服务器的使用.
98年-ichip使用與轉移教育訓練 注意事項 使用者資料備份與還原 資料庫資料匯出與匯入 環境設定備份(時光回溯) 系統基礎操作
ISA Server 2004.
第11章 網路的設定與測試.
Network Application Programming(3rd Edition)
AWS雲端企業 馮治平 2016/10/06.
個人電腦與網路 1.個人電腦IP設定 自動取得IP與固定IP IP登錄系統與IP自動分配系統 固定IP申請 IP衝突處理
2008能源與科技論壇暨研討會 自主型二足機器人之研製 鄭暉騰 倪世銓 李明哲 黃加慶 王仲淳 元智大學電機研究所
Speaker : Chang Kai-Jia Date : 2010/04/26
講員:游文志 排程系統教育訓練 後台管理系統 講員:游文志
第三章 安裝 SQL Server 資料庫環境.
TYPE B 3504A設定 使用瀏覽器連線到閘道器的ip 例如:
TYPE A 3702A設定 使用瀏覽器連線到閘道器的ip 例如:
第10讲 Web服务.
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
Presentation transcript:

第二章 防火墙基础技术

目标 学完本课程后,您将能够: 了解防火墙的定义和分类 理解防火墙的主要功能和技术 掌握防火墙设备管理的方法 掌握防火墙的基本配置

目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置

防火墙设备管理概述 设备登录管理 设备文件管理 Console登录 Web登录 telnet登录 SSH登录 配置文件管理 系统文件管理(软件升级) License管理 设备登录管理 Console:通过RS-232配置线连接到设备上,使用Console方式登录到设备上,进行配 置。 Telnet: 通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行配置。 Web : 在客户端通过Web浏览器访问设备,进行控制和管理。 SSH: 提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截 取等攻击。 设备文件管理 配置文件是设备启动时要加载的配置项。用户可以对配置文件进行保存、更改和清除 、选择设备启动时加载的配置文件等操作。系统文件包括USG设备的软件版本,特征库文 件等。一般软件升级需要管理系统文件。 系统软件升级。上传系统软件到设备可通过TFTP方式和FTP方式上传系统软件到设备上 。 升级系统软件 配置设备下次启动时使用的软件系统。 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式, License可以动态控制产品的某些特性是否可用。

设备登录管理 设备登录管理组网- Console 设备登录管理组网- Web / SSH / Telnet 直接相连(通过局域网) 远程连接(通过广域网) 通过Console口登录: 使用PC终端通过连接设备的Console口来登录设备,进行第一次上电和配置。当用户 无法进行远程访问设备时,可通过Console进行本地登录;当设备系统无法启动时,可通 过console口进行诊断或进入BootRom进行系统升级。 通过Telnet登录: 通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行本地或远程的配置, 目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对设备进行远程管理 和维护。 通过SSH登录: 提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截取等攻击 。SSH登录能更大限度的保证数据信息交换的安全。 通过Web登录: 在客户端通过Web浏览器访问设备,进行控制和管理。适用于配置终端PC通过Web方 式登录。 注意:PC和USG以太网口的IP地址必须在同一网段或PC和USG之间有可达路由。

通过Console口登录设备 USG配置口登录的缺省用户名为admin,缺省用户密码为Admin@123。其中,用户名不区分大小写,密码要区分大小写。 如果使用PC进行配置,需要在PC上运行终端仿真程序(如Windows3.1的Terminal, Windows98/Windows2000/Windows XP的超级终端),建立新的连接。如图所示,键入 新连接的名称,单击“确定”。 在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位为1, 流量控制为无,单击“确定”,返回超级终端窗口。 打开设备电源开关。设备上电后,检查设备前面板上的指示灯显示是否正常。 华为技术有限公司 版权所有 未经许可不得扩散

通过Web方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。 将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 将PC的以太网口与设备的缺省管理接口直接相连,或者通过交换机中转相连。 在PC的浏览器中访问http://192.168.0.1,进入Web界面的登录页面。 缺省用户名为admin,密码为Admin@123 缺省情况下,设备开启HTTP;建议开启HTTPS,提高安全性。用户可以通过用户名/ 密码:admin/Admin@123登录,为保证系统安全,登录后请修改密码。 只有GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址(192.168.0.1/24),并 开放Trust域到Local域的缺省包过滤,方便初始登录设备。 缺省情况下开放Local域到其他任意安全区域的缺省包过滤,方便设备自身的对外访问 。 其他接口都没有加安全区域,并且其他域间的缺省包过滤关闭。要想设备转发流量必 须将接口加入安全区域,并配置域间安全策略或开放缺省包过滤。 华为技术有限公司 版权所有 未经许可不得扩散

Web登录配置管理 配置USG的IP地址。(略) 配置USG接口Web设备管理。 启动Web管理功能。 配置Web用户。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage http permit 启动Web管理功能。 [USG] web-manager security enable port 2000 配置Web用户。 [USG] aaa [USG-aaa] local-user webuser password cipher Admin@123 [USG-aaa] local-user webuser service-type web [USG-aaa] local-user webuser level 3 开启HTTP 执行命令system-view,进入系统视图。 执行命令web-manager enable [ port port-number ],开启HTTP。 此时在Web浏览器中应该通过http://格式的地址登录设备。默认端口号是80。 开启HTTPS(默认证书) 执行命令web-manager security enable port port-number,开启HTTPS。 此时在Web浏览器中应该通过https://格式的地址登录设备。 local-user level命令用来配置本地用户的优先级。 Level 3:管理级 华为技术有限公司 版权所有 未经许可不得扩散

Web登录配置管理 配置Web管理员,并启动Web管理功能,根据客户需求启动HTTP或者HTTPS管理,以及设置端口号。 新建管理员和管理员级别。 Note:不需要设置Web,FTP,Telnet等类别。默认支持所有用户类别。 启动Web管理功能,根据客户需求启动HTTP或者HTTPS管理,以及设置端口号。 开启HTTP/HTTPS服务后(设备作为Web服务器),配置终端通过HTTP/HTTPS协 议(Web方式)登录设备,实现远程配置和管理。相比HTTP,HTTPS具有更高的安全性 。在一个需要更高安全保证的网络环境下,建议使用HTTPS服务。 选择“系统 > 管理员 > 设置”。 选中“HTTP服务”或“HTTPS服务”对应的“启用”。 可以同时开启HTTP服务 和HTTPS服务。 在“HTTP服务端口”或“HTTPS服务端口”中输入端口号。 单击“应用”。

通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。 课程名称 通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。 将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 通过Putty telnet192.168.0.1,进入登录页面。 缺省用户名为admin,密码为Admin@123 GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址(192.168.0.1/24),并开放 Trust域到Local域的缺省包过滤,方便初始登录设备。 华为技术有限公司 版权所有 未经许可不得扩散

Telnet登录配置管理 配置USG接口telnet设备管理。 配置vty interface。 配置Telnet用户信息。 课程名称 Telnet登录配置管理 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置vty interface。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound telnet 配置Telnet用户信息。 [USG] aaa [USG-aaa] local-user user1 password cipher password@123 [USG-aaa] local-user user1 service-type telnet [USG-aaa] local-user user1 level 3 USG提供两种验证方式来检查远端Telnet用户的合法性,分别是密码验证和AAA验证。 使用密码方式远程Telnet 验证方式为密码验证时,远端用户登录到USG只需要输入密码。 执行命令user-interface [ interface-type ] first-number [ last-number ],进入VTY 用户界面视图。 执行authentication-mode password,配置验证方式为密码验证。 执行set authentication password cipher password,设置Password验证的密码 使用AAA方式远程Telnet 执行命令authentication-mode aaa,配置验证方式为AAA验证。 执行命令protocol inbound { all | telnet },配置用户界面支持Telnet协议。 执行命令aaa,进入AAA视图。 执行命令local-user user-name password cipher password,创建本地用户。 执行命令local-user user-name service-type telnet,配置本地用户的服务类型为 telnet。 执行命令local-user user-name level level,配置本地用户的级别。

Telnet登录配置管理 配置Telnet管理员 新建管理员和管理员级别。 Note:不需要设置Web,FTP,Telnet等类别。默认支持所有用户类别。

通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略) 配置USG接口telnet设备管理。 配置RSA本地密钥对。 课程名称 通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略) 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置RSA本地密钥对。 <USG> system-view [USG] rsa local-key-pair create It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys... ..++++++++++++ ............................... 配置VTY用户界面。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound ssh SSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。配置USG接口 SSH设备管理,管理员根据实际的需要打开。 在USG上生成本地密钥对。 成功完成SSH登录的首要操作是:配置并产生本地RSA密钥对。请您在进行其它SSH 配置之前,一定记得完成rsa local-key-pair create配置,生成本地密钥对。此命令只需 执行一遍,设备重启后不必再次执行。

通过SSH方式登录设备 (2) 以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。 课程名称 通过SSH方式登录设备 (2) 新建用户名为Client001的SSH用户,且认证方式为password。 [USG] ssh user client001 [USG] ssh user client001 authentication-type password 为SSH用户Client001配置密码为Admin@123。 [USG] aaa [USG-aaa] local-user client001 password cipher Admin@123 [USG-aaa] local-user client001 service-type ssh 配置SSH用户Client001的服务方式为STelnet,并启用STelnet服务。 [USG] ssh user client001 service-type stelnet [USG] stelnet server enable 以上配置完成后,运行支持SSH的客户端软件,建立SSH连接。 在USG上创建SSH用户。 设备作为SSH服务器时,可配置对SSH用户的验证方式为Password、RSA方式。 上图以Password为例。 启用USG的服务方式为STelnet/SFTP服务。 执行命令ssh user user-name service-type { sftp | stelnet | all },为SSH用户配置 服务方式。 在使用SSH1.5版本配置SSH终端服务时,不需进行该配置;在使用SSH2.0版本 配置SSH终端服务时,必须配置该命令。 启用USG的STelnet/SFTP服务。 配置SSH服务器功能。 执行命令stelnet server enable,启用Stelnet服务。 华为技术有限公司 版权所有 未经许可不得扩散

配置文件管理 配置文件类型 配置文件操作 saved-configuration current-configuration 保存配置文件 擦除配置文件(恢复出厂配置) 配置下次启动时的系统软件和配置文件 重启设备 saved-configuration: USG设备下次上电启动时所用的配置文件,存储在USG的Flash或者CF卡,重启 不会丢失。 current-configuration: USG设备当前生效的配置,命令行和Web操作都是修改current-configuration。 存储在USG的内存中,重启丢失。 保存配置 作用:为了使当前配置能够作为防火墙下次上电时的起始配置。 方法1 (命令行):在用户视图下,执行命令save。 方法2 (Web):选择“主页”右上方的“保持”按钮。如下图所示。 重启防火墙 作用:防火墙将重新启动,并将重启动作记录至日志中。 方法1 命令行:在用户视图下,执行命令reboot命令。 方法2 Web:选择“系统 >维护>系统重启”如图所示。

版本升级(命令行) 使用TFTP下载文件 使用FTP下载文件 注:以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件 执行命令tftp tftp-server-address or hostname get source-filename [ destination-filename ] 使用FTP下载文件 执行命令ftp ip-address [ port-number ] [ vpn-instance vpn-instance-name ],与FTP服务器建立控制连接,并进入FTP客户端视图。 注:以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件 执行startup system-software sys-filename。 通过TFTP方式 USG作为TFTP客户端从TFTP服务器上获得系统软件。这种情况下,不要求 TFTP服务器和USG在同一个网段,只要保证二者之间路由可达即可。 通过FTP方式 这种情况下,不要求FTP服务器和USG在同一个网段,只要保证二者之间路由可达即可。 USG作为FTP客户端。 在FTP主机上运行FTP服务器程序,并把需要下载的系统软件放到相应的 FTP的工作目录下,在USG用户视图下,通过命令下载系统软件到USG的 相应目录下,具体操作请参见上传、下载文件。 USG作为FTP服务器。 在USG上启动FTP服务器,通过FTP客户端登录到USG后,把系统软件上 传到USG相应的目录下。

版本升级(Web) 一键式升级 说明:如果在升级过程中空然断电,那么系统将无法启动 一键升级系统软件 如果当前设备的存储空间不足,设备将自动删除当前运行的系统软件。 系统软件必须以“.bin”作为扩展名,不支持中文。 选择“系统 > 维护 > 系统更新”。 单击“一键式版本升级”,显示一键系统软件升级向导界面。 可选:依次单击“导出”,将设备上的告警信息、日志信息和配置信息导出到终 端。建议将配置信息保存到终端。 单击“浏览”,选择待上传的系统软件。 根据当前网络是否允许设备升级后立即重启,选中“设置为下次启动系统软件, 并重启系统”或“设置为下次启动系统软件,不重启系统”前的单选框。 重启设备后,才能使用升级后的系统软件。

License配置 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式,License可以动态控制产品的某些特性是否可用。 激活License 执行命令system-view,进入系统视图。 执行命令license file license-file,激活指定的License文件。 可以通过命令display license,查看License的信息。 点击此处,上传将要激活的License文件 手动激活License License文件必须以“.dat”作为扩展名,不支持中文。 选择“系统 > 维护 > License管理”。 在“License激活方式”中选择“本地手动激活”。 单击“浏览”,选择待上传的License文件。 单击“激活”,激活当前License文件。