NetEyeFW配置使用技术培训v3.ppt

《NetEyeFW配置使用技术培训v3.ppt》由会员分享，可在线阅读，更多相关《NetEyeFW配置使用技术培训v3.ppt（31页珍藏版）》请在三一办公上搜索。

1、NETEYE管理结构,防火墙管理结构分为以下三层:策略制定(防火墙安全控制台，图标一)用户管理(防火墙管理器，图标二)日志管理(防火墙审计系统、网络实时监控系统，图标三及图标四),首次运行,第一次运行管理端软件，需配置防火墙地址簿，防火墙管理口初始地址为192.168.1.100，使用防火墙前，需对防火墙配置使用者帐号及分配适当的权限。NETEYE系列防火墙支持多用户，分级别的管理模式。,相关说明：这里的地址是防火墙的管理口初始化地址。此地址可以在安全控制台中新工程中重新定义为其它IP地址，以方便客户的管理需要。重定义管理口IP常见的两种情况如下(更改设置参照)防火墙工作于桥模式，管理口地址需

2、改为内网段IP地址便于网络维护采用两台防火墙进行同步时，需要通过防火墙的管理口进行信息同步，需将其中一台的管理口设置为其它地址,首次登录,防火墙初始root用户，密码为neteye。此用户只可用于管理用户(如新增用户，重置用户密码)。初始化帐户ROOT无法更改用户名，但用户可以根据自己需要更改其初始密码。,注意事项：NETEYE系列防火墙对登录错误是有限制，超过五次错误登录，防火墙将暂时锁定请于半个小时再次登录。锁定期间，即使输入正确用户名及密码防火墙也不予登录内置ROOT用户的权限权可管理用户。并可重置用户新建帐户的密码，所以请慎重更改其口令。如防火墙管理帐户口令遗失或忘记可与我们联系。,新

3、建用户,左图即为新建用户界面，图示命令按钮功能，可以在程度界面下的用户管理菜单下找到。,相关说明：对帐户进行权限操作时(如增加或取消权限时)，必须以其它具有管理用户权限的用户(如ROOT)登录后才可修改。更改密码时无需如此管理用户：内置ROOT帐户即为此权限。具有此权限的用户可对防火墙帐户进行管理。也可以理解为有权限“NetEye防火墙管理器”进行帐户设置。安全控制：是配置防火墙策略所必须的权限。且有此权限用户可以使用“防火墙安全控制台”、“网络实时监控系统”制定更改防火墙设置审计：具有此权限的用户可以实现对“NetEye 防火墙审计系统”所记录的日志进行查询,认识工程,NETEYE防火墙是基

4、于工程的结构框架，实现对防火墙运行模式、硬件配置、规则策略制定等功能操作。左框架为防火墙工作于路由模式的一个基本配置结构。,运行模式：运行模式是防火墙一个重要属性，他指定防火墙运行方式。交换模式：也称为桥模式，是一种不更改网络拓朴的应用模式。运行此模式下的防火墙多处于原网络路由及交换机间路由模式：与桥模式相对不同，此模式需对原网络结构进行修改。运行此模式下的防火墙可以看作是一台路由器及运行于桥模式下的防火墙,新建工程,新建工程时，首先需要确认的就是此工程的运行模式。图示选择为交换模式。系统默认的default工程即为一个全通规则的交换模式工程。,小知识：源路由攻击：攻击者利用TCPIP协议支持

5、IP包的源路由选项这一特性，指定一个IP包传输时所经过的特定路由，从而绕开网络安全检查。,交换模式,交换模式下的工程文件结构如左图所示，相对路由模式的配置文件要简单一些。大致分为三个步骤。,交换模式配置：设备管理：由于工作于交换模式下的防火墙，只需负责数据包的过滤与转发。所以网卡无需设置IP地址。这里我们只需对防火墙的管理口设置IP为内网IP以方便今后对防火墙的管理规则设定：根据实施环境，对防火墙过滤规则进行制定并在工程的应用规则中加载内容过滤：内容过滤是对防火墙应用规则的一种应用扩展，可以看成是应用规则的子规则。以实现应用层信息的过滤、替换、阻断等操作,交换模式,交换模式下的设备管理项下，我

6、们只需对管理口的IP进行定义即可。其它端口在交换模式下无需定义IP地址，区域名可以为任意，其作用主要用来标识数据流向。,小知识：管理口：管理口是NETEYE系列防火墙所设置的一个特殊的端口，这个端口只用于与防火墙管理端GUI进行通讯，不接收或转发数据流。交换模式下设置将此端口地址更改为内网IP后，可以方便用户在内网对防火墙的实时管理。路由模式下，不单单可以通过管理口对防火墙进行管理操作，也可通过本地访问控制规则来设置其它端口进行管理。,交换模式,规则文件，好比程序中定义的函数一样，需要在工程中对其调用才能实现相应功能。规则文件如左图共分为七类，下面我们将对主要的几类规则：包过滤规则、本地访问控

7、制规则、地址绑定规则，相关的设置进行说明。,小知识：包过滤规则：防火墙主要规则文件，负责设置数据流过滤条件(如方向，源、目标地址，协议，端口，时间，操作等参数)本地访问控制规则：设置允许访问防火墙用户IP地址及访问的权限地址绑定规则：对通过防火墙的数据流的地址源与绑定MAC地址进行判断，以防止非法的IP地址通过,包过滤规则,左图为系统默认的Default规则文件。从中我们可以了解到规则文件一些设置信息，如方向性、操作、访问源及目标、协议、有效时间等。右下角更加明了的显示了IN到OUT这一规则的参数。规则文件具有优先级，优先顺序为自上而下。,新建包规则,新建包过滤规则，如图所示。三个参数，文件名

8、与备注不用再解释，只要注意文件不重复即可。不匹配此文件规则的连接产生日志，是指对规则中未定义的网络连接进行记录。如一般规则文件中我们只制定允许通过的网络连接，如果选定此选项，则会对规则中未定义的阻断连接进行记录。,小知识：日志系统：NETEYE系列防火墙都提供完善的数据库日志记录系统。并提供两种记录方式本地记录：系统日志直接记录在防火墙内部的存储空间(部分型号不支持此功能)网络记录：支持将日志记录至外部数据库系统,新建过滤规则,常规：设置数据连接方向及是否记录此连接。这里我们设置的规则方向是内网至外网,小知识：打开日志系统：防火墙日志默认是关闭日志记录功能。打开操作步骤如下：在防火墙安全控制台

9、文件菜单系统配置服务配置审计选择打开审计,新建过滤规则,操作：分为拒绝与允许，对未定义的连接默认都是拒绝操作,小知识：TCP连接认证：此选项用于配合客户端软件认证通过防火墙的TCP通讯。认证域子项需先在资源-认证管理中定义。SYN攻击：是DoS（拒绝服务攻击）与DdoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。,新建过滤规则,访问源：当前规则连接方向为内网至外网，其访问源就是内网的IP地址。,小技巧：来源于名单：通过名单子功能我们可以方便、快捷的将预先输入的访问及目标源应用于新规则中

10、。新建方式如左图所示，我们在建立规则前，首先创建了两条名单：Localnet和All。保存后即可在新规则的访问源及访问目标中便捷的调用了。,新建过滤规则,访问目标：当前规则连接方向为内网至外网，其访问目标就是外网的IP地址。,小技巧：去除下列地址及域名：去除地址功能用于快速排除地址，而无需重新建立新的规则最下方的域名功能是3.2系列新增功能，可实现防火墙对IP地址支持外，新增对域名进行自动解析的功能。最常用于封闭某网站(如图所示为阻断访问163网站的设置)。要使用此功能必须设置防火墙的DNS，设置步骤：防火墙安全控制台系统配置域名服务设置,新建过滤规则,协议：协议是过滤规则中比较重要的一项设置

11、。防火墙提供了对包括TCP、UDP、ICMP及其它协议的支持。可以通过细分这些协议和网络通讯的实际需求达到网络管理的功能。,关于协议：TCP：常用的TCP协议端口有HTTP-80，SMTP-25，POP3-110，FTP-21，MMS-1755详细协议对照请参考防火墙手册。UDP：UDP端口常见较多为DNS-53，QQ-8000ICMP：要关闭PING功能请删除此协议，打开只需增加ICMP中ECHOREPLY，ECHO,新建过滤规则,有效时间：功能可实现对规则运行时间的控制。如左图所示设置为：上班时间不允许访问外网。,有效时间：这里我们定义的有效时间里去除了上班时限。另一种方法是先建一条规则不

12、加时间限制。然后然规则复制，将操作更改为拒决并把时间限制设为工作时间。最后将这条拒决规则置于刚刚那条全通规则之上。,新建过滤规则,左图就是我们刚刚建立的一条内网访问外网规则。右下方就是这条规则的明细设置我们可以看了。这里我们内网地址源为192.168.0.X，访问外网地址除访问163网站外都没有限制。协议部分我们将PING关闭，对TCP连接未作限制。,小提示：对于规则建立我们可以通过对上条规则拷贝、向上粘贴或是向下粘贴(选中某条规则后，点击鼠标右键)可以方便的建立多项规则。,本地访问控制规则,本地访问控制规则，主要用于设置，防火墙信任地址。简单的说就是为了告诉防火墙允许什么地址来管理。规则提供

13、四条默认权限：PING、认证服务、修改认证口令、管理服务及自定义服务如左图所示规则文件打了TELNET23端口,小提示：本地访问控制规则同样支持，包过滤规则一样的拷贝与向上粘贴或是向下粘贴功能。可以通过此方式，便捷的快速的制定出所需规则。,地址绑定,地址绑定，就是将IP地址与网卡MAC进行绑定验证。以防止用户私自更换地址而避开防火墙规则限定。此功能实现必须确保到防火墙内网口接收的IP地址未经过任何路由器。,小提示：经过路由器会更改IP数据包中MAC地址，造成防火墙无法正确验证绑定地址。这种情况可以采用主动验证方式即通过认证客户端进行身份验证来解决关于地址绑定信息可点击左列图标进行选择防火墙帮你

14、收集到的IP地址与MAC信息。要使用此功能请确保：文件系统配置服务配置用户信息收集功能，已选中,加载规则,对于刚刚定义的子规则，要使其生效，必须在工程中对其加载后保存工程。,小提示：多播规则，这里多播规则是否加载可根据网络实际需要加载。如果处于防火墙两端的网络设置采用动态协议，需要多播协议来更新数据这里直接调用工程中，多播规则下的Default规则即可,路由模式,路由模式，适用于需要路由功能或是NAT转换的网络环境。另若使用VPN模块，防火墙也需工作在路由模式。,小知识：NetEye VPN采用国际标准安全协议-安全协议，对用户数据提供加密、完整性验证,并与身份认证系统一起，为信息传输提供安全

15、保护。NetEye VPN的密钥协商协议采用IKE密钥协商和管理协议及基于PKI的密钥管理框架，参照X.509数字证书标准，实现安全可靠的密钥分发与管理。VPN网关采用的加密器件采用国密办批准使用的高速硬件加密卡，对称加密算法及杂凑算法的密钥长度均为128位：采用1024位RSA公钥算法的数字签名进行VPN网关间的身份认证。算法具有极高的安全强度。,设备管理,设备管理与交换模式不同，这里我们须给每个网卡指定IP地址。如图所示为内网IP地址的设置。,小知识：设备管理高级设置，提供了对网卡的一些进阶操作。如区域名的更改。区域名用于之后的定义规则文件的连接方向，如果在建立规则文件后更改区域名，要注意

16、将规则文件重新更新保存。设置活动时间：防火墙对数据的阻断是一种逻辑上的隔离。而此处的活动时间，则可以实现对信息的物理隔离。在非活动时间内，网卡将处于睡觉状态。,路由配置,路由配置部分，可参照网络供应商提供的数据。若内网路由要与防火墙进行通讯，这里也需添加相应的静态路由,小知识：添加相应的静态路由，以实现与内网路由进行通讯时。还需在包过滤规则中添加一条设置ININ规则，防止默认过滤阻断路由信息而造成无法正常路由的现象。,地址转换,防火墙地址转换设置比较简单，支持多对多或多对单的地址、端口映射。常规标签下还为方便单机映射提供了单对单类型选项，此时映射地址间端口将一一对应,小知识：防火墙支持两种NA

17、T转换方式：静态转换和动态转换，3.X系列经过扩充，支持双向隐藏的NAT，即可以对地址进行两次翻译，进行双向的隐藏，形成一种对称的结构，从而可以满足更高的安全保护要求。关于映射设置，此处仅实现防火墙路由部分功能。要使映射的端口正常工作还必须在包过滤规则中打开此端口的相关协议,应用工程,路由模式的过滤规则与交换模式配置雷同，这里就不再赘述完成所有设置后，在工程中将他们调用后保存应用工程即完成配置工作,转换实例,如左图所示，因为内部服务器升级需通过INTERNET，让远程技术支持通过防火墙访问内网服务器TELNET端口。参数如下：内网服务器IP：192.168.0.5 需使用端口及协议：TCP 2

18、3 外网地址：217.22.22.1设置流程如左图所示先将内网地址映射为外网地址将外网地址端口映射为192.168.0.5地址TCP23端口将过滤规则打开对TCP23端口的访问；保存并重新应用工程,转换实例,设置地址及端口映射，这里的将内网服务器映射为外网地址192.168.0.5217.22.22.1,小知识：端口映射可以起到一定的保护作用，这里为了说明还是将映射后的外网端口设置为23。在实现使用中这里可以将端口指为其它高端端口,转换实例,设置外到内的过滤规则，操作为允许，协议为：TCP，端口为：23,小知识：此处目标端口为内网需提供服务的端口号，如本例中为TCP 23端口。如映射外网端口时，将192.168.0.5:23映射为其它端口217.22.22.1:6161时，规则文件中的目标端口应以内网实际提供服务的端口号为准，即就为23。,转换实例,设置完成并保存后，重新应用工程,小知识：交换模式下的设置更为简单，只需添加包过滤规则中的相应端口允许即可。,