02-防火墙产品培训ppt-增加二次防护内容.ppt

日志分析 b）激活“常规日志”页签，然后在“日志类型”右侧的下拉框中选择待查看日志的类型，日志列表中将显示该日志类型的所有日志信息，管理员可以滚动查看相关日志。 例如：选择日志类型为“配置管理”后，日志列表中显示所有类型为“配置管理”的日志信息，如下图所示。 日志分析 c）在“日志类型”右侧的下拉框中选择待查看日志的类型，然后在“查找”右侧的文本框中输入待查看日志的关键字，最后点击“查找”按钮，日志列表中将显示包括该关键字的所有属于该日志类型的日志信息，管理员可以滚动查看相关日志。 例如：选择“配置管理”后，然后在“查找”右侧的文本框中输入关键字“25”，最后点击“查找”按钮，日志列表中将显示属于“配置管理”日志类型，并且包含“25”的所有日志信息，如下图所示。 日志分析 注意事项 1）日志查询中输入的关键字不能包括特殊字符，如“/”、“=”等。管理员输入查询关键字后，网关将在本地缓存的日志信息中查找包括该关键字的所有日志信息。 2）由于防火墙存储日志的数量有限，不能全面详尽的提供日志查看功能。建议结合天融信 TOPSEC 安全审计综合分析系统（TOPSEC Auditor）进行日志查看，具体操作请参见相关手册。 谢谢观看！ 基本需求 企业 WEB 服务器（IP：34）通过防火墙 MAP 为 01 对内网用户提供 WEB 服务，网络示意图如下。 地址转换 如上图所示，管理主机和 WEB 服务器同样处于网段/24。正常情况下，管理主机与服务器之间的通信可以不经过防火墙， 而经过其他路由达成。 但是当管理主机使用公网地址（或域名）访问服务器时，数据包的源 IP 为管理主机地址，目的地址为服务器公网地址。 如果防火墙仅作目的 NAT， 则服务器收到数据包的源 IP 为管理主机地址，目的地址为自身地址。当其回应管理主机时，发出的数据包会不经过防火墙，而经过其他路由达成。此情况会导致会话无法建立。因此需要设置双向地址转换规则。 地址转换 配置要点 定义区域资源。 定义主机地址资源。 定义地址转换规则。 地址转换 配置步骤 1）定义区域资源 选择菜单 资源管理 区域，点击“添加”，分别设置接口 Eth0 对应的区域为area_eth0，区域权限为“禁止”，如下图所示。 地址转换 接口 Eth1 对应的区域为 area_eth1，设置区域的访问权限为“允许”，如下图所示。 地址转换 2）定义主机地址资源：webserver、MAP_IP 和 MAP_USERIP选择 资源管理 地址，并选择“主机”页签，点击“添加”添加主机地址资源。 定义 webserver 主机资源，如下图所示。 地址转换 定义 MAP_IP 和 MAP_USERIP 可以参考上图。设置完成后，如下图所示。 地址转换 3）定义地址转换规则 定义地址转换策略过程如下： 选择 防火墙 地址转换，并点击“添加”添加地址转换规则。如下图所示，选择“双向转换”选项设定双向地址转换策略。 设置完成后，点击“确定”按钮，完成 NAT 规则设置。 地址转换 注意事项 定义双向 NAT 规则时，可以将源 IP 转换为任意一个虚拟 IP 地址，本例中将源地址转换为了防火墙 eth0 口的 IP。 地址转换 目 录 1 2 3 配置维护 地址转换 访问控制 · · · · · · · · · · · · · · · · · · · · 4 日志分析 访问控制 访问规则描述了天融信防火墙允许或禁止匹配访问控制规则的报文通过。 防火墙接收到报文后，将顺序匹配访问规则表中所设定规则。一旦寻找到匹配的规则，则按照该策略所规定的操作（允许或丢弃）处理该报文，不再进行区域缺省属性的检查。如果不存在可匹配的访问策略， 天融信防火墙将根据目的接口所在区域的缺省属性 （允许访问或禁止访问），处理该报文。 在进行访问控制规则查询之前， 天融信防火墙将首先查询数据包是否符合目的地址转换规则。如果符合目的地址转换规则，天融信防火墙将把接收的报文的目的 IP 地址转换为预先设置的 IP 地址（一般为真实 IP）。因此在进行访问规则设置时，系统一般采用的是真实的源和目的地址（转换后目的地址）来设置访问规则；同时，系统也支持按照转换前的目的地址设置访问规则，此时，报文将按照转换前的目的地址匹配访问控制规则。 访问控制 某企业的网络结构示意图如图所示。 访问控制 基本需求 内网 area_eth2 区域的文档组（/24）可以上网；允许项目组领导（ 和 ）上网，禁止项目组普通员工上网。 外网和 area_eth0 区域的机器不能访问研发部门内网； 仅允许外网用户访问 area_eth0 区域的 WEB 服务器： 真实 IP 为 ， 虚拟IP 为 43。内网用户不允许访问 WEB 服务器。 访问控制 配置