联想网御l防火墙技术培训.ppt
1,联想网御Power V 防火墙技术培训,2011年4月,2,目录,一、联想网御防火墙技术原理培训,二、联想网御Power V 防火墙案例培训,3,防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合。通过制订安全策略,它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。通常是网络安全防护体系的最外一层。,防火墙概念介绍 什么是防火墙?,4,防火墙概念介绍 什么是防火墙?,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,5,防火墙概念介绍 什么是防火墙?,6,防火墙概念介绍 什么是防火墙?,7,透明模式,8,路由模式,9,混合模式,10,数据包的形式:防火墙能利用包头的信息进行过滤,仅允许符合规则的数据包通过防火墙 规则可细分为源地址/目的地址、源端口/目的端口、协议、连接方向等项目,包过滤技术,11,包过滤技术 什么是状态检测?,每个网络连接包括以下信息:源地址、目的地址;源端口和目的端口;协议类型;连接(会话)状态(如超时时间,TCP连接的状态)等;防火墙把这些信息统称为状态,能够检测这些状态的防火墙叫做状态检测防火墙。,12,包过滤技术 状态检测的优点?,(与包过滤防火墙相比)更安全:检查内容=包过滤检查内容+连接状态更高效:包过滤收到一个包,检查一遍规则集状态检测先查状态表,再查规则集,13,目录,二、联想网御Power V 防火墙案例培训,14,电子钥匙、证书、串口登录 透明接入 路由/NAT模式 静态路由 IP映射、端口映射 包过滤策略 DHCP,目录,15,案例一 电子钥匙、证书、串口登录,16,联想网御防火墙Web登陆认证,数字证书,电子钥匙,案例1.电子钥匙、证书、串口登录,17,1.双击随机光盘ikey driver目录下的INSTDRV.EXE,自动安装电子钥匙驱动。切记:安装驱动前不要插入USB电子钥匙。,电子钥匙认证,2.随机光盘administrator目录下的ikeyc程序,程序将提示用户输入PIN口令,首次使用默认PIN为“12345678”。,案例1.电子钥匙、证书、串口登录,18,在IE地址栏输入https:/10.1.5.254:8888,等待约十秒左右,弹出一个一个对话框提示接受证书,选择接受即可出现联想网御防火墙登录画面。,案例1.电子钥匙、证书、串口登录,电子钥匙登录,19,数字证书认证,1、把防火墙证书导入防火墙并启用。2、管理主机上导入IE浏览器证书。,案例1.电子钥匙、证书、串口登录,20,数字证书认证证书页面导入,导入证书后选择生效选项,第一步,第二步,案例1.电子钥匙、证书、串口登录,21,数字证书认证证书导入,导入防火墙证书要导入相对应的IE浏览器证书.在管理主机本地双击IE浏览器证书,按照提示进行安装,需要输入密码时输入“hhhhhh”,当出现导入成功后点击确定完成。,案例1.电子钥匙、证书、串口登录,22,数字证书认证,当防火墙与IE证书均导入成功后,我们在管理主机打开IE浏览器并输入https:/10.1.5.254:8889,出现选择证书提示后点击“确定”画面。,案例1.电子钥匙、证书、串口登录,23,管理主机,防火墙出厂时默认的管理主机地址,当接入一个新的网络环境中时,首先要进行管理主机的配置。,案例1.电子钥匙、证书、串口登录,一定不要添加的管理主机,24,案例二、透明接入,25,透明接入多部署于拓扑相对固定网络,为了不改变原有网络拓扑,常采用此部署方式(防火墙本身作为网桥接入网络)。按照此方式部署后的防火墙如出现软硬件故障,可以紧急将防火墙撤离网络,不必更改其他路由、交换设备的配置。,案例2.透明接入,透明接入概述,26,Brg:,fe2,fe3,透明接入模式防火墙配置需求:防火墙配置的FE2FE3口配置为透明模式。允许工作站访问服务器的HTTP服务。工作站不能访问服务器的其它服务。,透明接入拓扑图,案例2.透明接入,27,透明接入,案例2.透明接入,28,STP未开启,未绑定设备,已启用,透明接入,案例2.透明接入,29,透明接入,案例2.透明接入,30,透明接入,案例2.透明接入,31,已启用,已变成透明模式,透明接入,案例2.透明接入,32,透明接入,变成透明模式的端口自动添加到绑定列表里面,网络接口配置完成后,仍然需要添加相应的包过滤规则,案例2.透明接入,33,透明接入,案例2.透明接入,34,透明接入,案例2.透明接入,35,至此,工作站可以访问服务器的HTTP服务,透明接入,案例2.透明接入,36,案例三、路由/NAT模式,37,配置路由/NAT模式的防火墙多部署于网络边界,或者是连接多个不同网络,起到保护内网主机安全,屏蔽内网网络拓扑等作用。,案例3.路由/NAT模式,路由/NAT模式概述,38,fe1,fe2,工作在路由/NAT模式下防火墙配置需求:本案例拓扑为一个只有两个网段的小型局域网。服务器开放http服务。允许工作站访问服务器的http服务禁止工作站访问服务器其它服务。,Cilent A,Server B,路由/NAT模式(不做NAT转换),案例3.路由/NAT模式,39,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),40,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),41,网络接口配置完成后,仍然需要添加相应的包过滤规则,这样防火墙允许工作站访问服务器的http服务。,案例3.路由/NAT模式,路由/NAT模式(不做NAT转换),42,网络地址转换NAT为IETF定义标准,用于允许专用网络上的多台PC共享单个、全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因。另外网络地址转换NAT经常作为一种网络安全手段使用,安全域内的机器通过NAT设备后源地址被重新封装,起到一定屏蔽内网作用。,NAT概述,案例3.路由/NAT模式,43,内网,外网,fe3,fe4,internet,防火墙工作路由/NAT模式。内部客户PC需要通过防火墙访问internet上服务。从防火墙外无法看到内部客户端的真实IP。,案例3.路由/NAT模式,路由/NAT模式(NAT转换),44,路由/NAT模式(NAT转换),案例3.路由/NAT模式,45,路由/NAT模式(NAT转换),案例3.路由/NAT模式,46,路由/NAT模式(NAT转换),案例3.路由/NAT模式,47,案例3.路由/NAT模式,网络接口、NAT规则配置完成后,仍然需要添加相应的包过滤规则,这样防火墙允许内部客户机访问internet上的服务器。,路由/NAT模式(NAT转换),48,案例四、静态路由,49,静态路由,案例4.静态路由,内网,外网,/24,fe3,fe4,internet,/30,/24,/30,/24,防火墙工作路由/NAT模式。内部客需要通过防火墙访问internet上服务。防火墙和客户机之间有一台路由器。在防火墙上需要做回指路由保证客户机能访问internet。,50,案例4.静态路由,静态路由,51,案例4.静态路由,静态路由,添加目的地址是网段的静态路由,52,案例4.静态路由,静态路由,在本案例中,当客户机向外网发起连接时,数据包通过客户机的默认网关经交换机发送到防火墙,继续通过防火墙的默认网关发送到外网某台服务器。服务器回应的数据包通过一系列路由到达防火墙。防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器,保证该连接的通畅。,53,案例五IP映射、端口映射,54,案例5.IP映射、端口映射,IP映射、端口映射-概述,作用:当外网主机主动发起连接访问防火墙的一个公网地址时,防火墙通过IP映射规则或者端口映射规则将访问请求映射到对应防火墙内部局域网服务器。,位于外网的主机发送的请求数据包到达防火墙后,防火墙在匹配包过滤规则之前,对数据包重新封装,用指定的目的地址替代原数据包包头中目的地址即为IP映射;用指定的目的地址和目的端口替代原数据包包头中的目的地址目的端口为端口映射。,55,内网,外网,fe1,internet,fe3,fe2,DMZ区,防火墙作IP、端口映射:局域网内部服务器提供ftp服务,唯一的公网IP已被防火墙外网口使用,防火墙启用端口映射功能,将局域网内部ftp服务映射到外网,向外网客户机提供ftp服务。禁止外网客户机访问服务器的其它服务。,案例5.IP映射、端口映射,网络拓扑图,56,IP映射、端口映射,案例5.IP映射、端口映射,57,案例5.IP映射、端口映射,IP映射、端口映射,若此栏填写多个服务器地址则可以进行负载均衡,58,案例5.IP映射、端口映射,IP映射、端口映射,IP映射、端口映射2选1,59,IP映射、端口映射,案例5.IP映射、端口映射,60,案例5.IP映射、端口映射,IP映射、端口映射,IP映射,端口映射完成后,仍然需要添加相应的包过滤规则。,61,IP映射、端口映射,案例5.IP映射、端口映射,至此,案例中的外网客户机可以访问服务器的ftp服务。,62,案例六、包过滤策略,63,案例6.包过滤策略,包过滤策略-概述,包过滤是防火墙最基本最核心的功能,Power V防火墙提供基于状态检测技术的动态包过滤。它为防火墙提供功能强大准确高效的访问控制引擎,并且为防火墙内安全域提供信息安全保证。包过滤除支持全部的TCP/IP协议簇外还通过在“安全选项”页面对一些非IP协议进行控制。,64,安全策略:过滤规则,会话连接状态缓存表,状态检测包过滤防火墙,符合,不符合,符合,状态检测包过滤检测机制,丢弃,下一步处理,IP数据包,检测包头,案例8.包过滤策略,65,包过滤策略,fe1,fe2,Cilent A,Server B,包过滤案例配置需求:上图为一个只有两个网段的小型局域网服务器开放http服务。允许工作站访问服务器的http服务;禁止工作站访问服务器其它服务。,案例6.包过滤策略,66,默认全通,包过滤策略,案例6.包过滤策略,67,包过滤策略,案例6.包过滤策略,68,包过滤策略,规则按照从上到下的顺序进行匹配。没有明确允许的数据包都会被禁止。预先定义地址对象、服务对象,在包过滤规则中引用。尽量合并同类规则,保持规则数量500以内。,案例6.包过滤策略,69,时间调度是让安全规则在指定的时间段内为生效状态,在其它时间段为失效状态。可选内容包括:“资源时间时间列表”和“资源时间时间组”中定义的所有资源。,包过滤时间调度,案例6.包过滤策略,70,包过滤时间调度,案例6.包过滤策略,71,包过滤时间调度,至此,时间调度服务已经定义完毕。可根据需要在包过滤规则中引用。,案例6.包过滤策略,72,对满足条件的数据包所在的连接进行用户认证检查,如果通过检查让该包通过,如果该连接的发起端,不启动客户端到防火墙上进行认证,或者没有通过认证则丢弃该包。,包过滤用户认证,案例6.包过滤策略,73,包过滤用户认证,案例6.包过滤策略,74,包过滤用户认证,案例6.包过滤策略,75,包过滤用户认证,至此,用户认证服务已经定义完毕。可根据需要再包过滤规则中引用。,案例6.包过滤策略,76,包过滤用户认证,案例6.包过滤策略,至此,用户认证功能已经配置完毕,用户可以通过认证访问互联网。,77,POWER V防火墙采用了增强型抗攻击技术,可有效的防范拒绝服务等攻击,可以防范以下攻击类型:Syn Flood,Ping Flood,Udp Flood 等。,包过滤抗攻击选项,案例6.包过滤策略,防火墙上抗SYNFLOOD攻击功能可实现以下两个功能:禁止攻击流穿过防火墙,从而保护防火墙内部的主机。允许正常的访问请求穿过防火墙,从而保证正常的业务的通讯。,78,案例七、DHCP功能,79,DHCP功能概述,防火墙本身可以作为DHCP 服务器,通过DHCP协议为局域网其他主机动态分配IP地址。,案例7.DHCP功能,80,DHCP功能网络拓扑,本案例需求:右图是一个小型网络。需要防火墙作为DHCP服务器为局域网内PC分配段的IP。,案例7.DHCP功能,81,DHCP功能,案例7.DHCP功能,82,DHCP功能,案例7.DHCP功能,在地址列表里需要添加连续的地址段,83,DHCP功能,案例7.DHCP功能,84,DHCP功能,案例7.DHCP功能,85,DHCP功能,案例7.DHCP功能,86,让每一个人放心地使用互联网,谢谢!,