天融信防火墙操作解决方案.ppt

包过滤 URL过滤 HTTP脚本过滤、关键字过滤 邮件资源过滤 时间控制 NAT (静态、动态) MAP(PORT MAP，IP MAP) 带宽管理 IP+MAC地址绑定 实时监控 应用程序过滤（ＢＴ、ＱＱ等） 并发连接限制 DOS攻击、CC攻击 日志审计（自身、日志服务器、第三方） 用户+IP绑定 支持自身认证和第三方认证 入侵检测 VPN (可选) 病毒(可选） 安全联动 双机热备 负载均衡 支持VLAN间路由、生成树协议 。。。 防火墙的局限性 规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。 串口(console)管理方式： 管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。 TELNET管理方式： 模拟console管理方式，用户名superman，口令：talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent WEBUI管理方式： 超级管理员:superman，口令:talent 管理器管理方式： 超级管理员:superman，口令:talent，集中管理 SNMP管理 支持第三方管理软件 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) DPI（报文深度过滤） 文件名过滤 设置文件对象 注意：没有选取读（GET）权限 DPI（报文深度过滤） 文件名过滤 定义“FTP”策略 注意：文件的权限必须和“文件对象”中设置的一样 DPI（报文深度过滤） 文件名过滤 最后在访问规则中引用定义好“DPI”策略 注意：服务必须 选择“FTP” DPI（报文深度过滤） 文件名过滤 可以看到通过 FTP无法下载 MD5SUMMER.EXE 这个文件 DPI（报文深度过滤） 邮件过滤（POP3） 定义一个关键字为“收件人”地址 *@ DPI（报文深度过滤） 邮件过滤（POP3） 定义“文件对象”，不选择“读”权限 没有选择“读”权限 DPI（报文深度过滤） 邮件过滤（POP3） 定义POP3策略，只选择定义好的”收件人“ DPI（报文深度过滤） 邮件过滤（POP3） 在”访问控制规则中的DPI策略中引用 注意：协议必须选择POP3 DPI（报文深度过滤） 邮件过滤（POP3） 所有后缀为“@”的邮箱都收不了邮件了 DPI（报文深度过滤） 邮件过滤（SMTP） 定义一个关键字为“发件人”地址 *@ DPI（报文深度过滤） 邮件过滤（SMTP） 定义“文件对象”，不选择“写”权限 没有选择“写”权限 DPI（报文深度过滤） 邮件过滤（SMTP） 定义SMTP策略，只选择定义好的”发件人“ DPI（报文深度过滤） 邮件过滤（SMTP） 在”访问控制规则中的DPI策略中引用 注意：协议必须选择SMTP DPI（报文深度过滤） 邮件过滤（SMTP） 所有后缀为“@”的邮箱都发不了邮件了 用户认证 网络卫士防火墙支持以下认证方式或协议： ?? 本地认证（网络卫士防火墙内置的用户数据库） ?