强五防火墙安装调试培训研讨.ppt

Power V系列防火墙安装;目录;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;初次安装管理;目录; 配置管理主机 配置网络接口 配置路由/网关 资源定义 配置安全规则 其它功能配置 ;常见配置步骤;常见配置步骤 配置管理主机 防火墙出厂时默认的管理方式有两种方式，在管理方式里可以增加远程SSH和PPP接入方式。 ;常见配置步骤 配置管理主机 防火墙出厂时默认的管理员帐号有两个，超时时间为600S ;常见配置步骤 配置管理主机 管理主机无法管理防火墙问题说明;常见配置步骤 网络接口配置 防火墙接入方式主要分三种情况：透明方式，即防火墙工作在数据链路层，不需改动现有的网络结构。路由方式、混合模式，即防火墙工作网口既有路由模式又有透明模式;常见配置步骤 网络接口配置 路由方式下的物理设备配置;常见配置步骤 网络接口配置 可以选择网络接口的属性 ;常见配置步骤 网络接口配置 透明方式下的桥设备配置;常见配置步骤 路由/网关配置 默认网关及路由配置;常见配置步骤 路由/网关配置 需要配置路由拓朴;常见配置步骤 安全规则配置 防火墙出厂默认的规则是全通的。需要更改为默认全禁止，再详细配置允许规则；或相反。;常见配置步骤 安全规则配置 配置详细的包过滤安全规则;常见配置步骤 安全规则配置 配置详细的包过滤安全规则;常见配置步骤 NAT 什么是 NAT？ 网络地址转换 (NAT) 是一个 Internet 工程任务组 (Internet Engineering Task Force，IETF) 标准，用于允许专用网络上的多台 PC (使用专用地址段，例如 10.0.x.x、192.168.x.x、172.x.x.x) 共享单个、全局路由的 IPv4 地址。IPv4 地址日益不足是经常部署 NAT 的一个主要原因。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。 ;常见配置步骤 NAT 什么是 映射 就是当外网访问防火墙的一个公网地址时，防火墙会自动将访问请求映射到对应局域网主机/服务器。 ;常见配置步骤 NAT NAT和映射实例 ;常见配置步骤 NAT配置 在强五系统防火墙中每条NAT/SNAT规则都需要有相对应的包过滤规则支持才可以生效。;常见配置步骤 NAT配置 端口映射配置;常见配置步骤 NAT配置 IP映射NAT配置;常见配置步骤 服务和地址资源定义 ;常见配置步骤 服务和地址资源定义 ;常见配置步骤 服务和地址资源定义 ;常见配置步骤 服务和地址资源定义 ;其它重要功能配置及说明 连接管理 ;主要用途技术亮点 主要用途： 实现基于多出口的均衡 实现出口冗余 技术亮点： 实现基于权值的均衡; 功能实现原理; 当新建连接与已建立连接的源IP或目的IP不同时，将依据权重选择默认路由。; 典型拓扑： ; 多默认路由均衡 ; 主要用途技术亮点; 功能实现原理;BT通信步骤： BT客户端取得种子文件，种子文件中包含供下载的文件信息及相应的Tracker服务器信息； BT客户端向Tracker服务器发起查询请求，Tracker服务器返回其它BT客户端的IP地址和端口； BT客户端向其它BT客户端发起TCP连接，下载文件。;通过分析bt、emule、edonkey协议，总结出bt、emule、edonkey的特征，依据这些特征识别出经过防火墙的数据包是否属于bt、emule、edonkey的应用，实现对经过防火墙的P2P应用的连接进行过滤，包括阻断或允许通过。 天融信的防火墙宣称也能够支持P2P过滤，但只是一种url过滤的扩展，做不到像网御在基于协议分析的基础上进行过滤; P2P带宽限制在原有带宽管理功能的基础上实现 P2P带宽限制配置方法类似于带宽管理规则 ; 对于有关对bt等p2p做带宽限制的注意事项，如果同时选择了服务，只有那些可能是BT连接的服务，比如tcp_any才可能进行BT过滤，而ftp这样不可能是BT的服务则不会进行BT过滤。如果服务类型不包括BT/eMule时，同时又选择了p2p过滤，该规则不仅对BT/eMule不生效，对所选的服务也不会生效 ;; 主要用途技术亮点; 功能详述; 注意事项;应用代理和深度过滤相应功能的对比; 深度过滤 ;其它重要功能配置及说明 深度过滤 ;其它重要功能配置及说明 深度过滤 ;其它重要功能配置及说