清汉马防火墙培训手册.pptVIP

防攻击防扫描 常见的网络攻击: Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag 防攻击防扫描 网络扫描通常分为以下几种: 垂直扫描：针对相同主机的多个端口 水平扫描：针对多个主机的相同端口 Ping扫描：针对某地址范围，通过Ping方式发现存活主机 扫描通常是网络攻击的前兆；USG设备可以有效防范以上几 类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检 测到扫描探测时，向用户进行报警提示。 防攻击防扫描 根据网络情况开启相应的防攻击和防扫描功能，并设定合理的 参数。 防攻击防扫描 防Flood攻击: 通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的； 在安全防护表中启用，并通过安全策略来引用，不是全局使能的； 根据网络情况，配置合理的参数值； 可以认为是防攻击、防扫描的补充。 防攻击防扫描 配置管理概述 防火墙基本配置 日志功能 提纲 日志功能 USG日志分为: 事件日志 病毒日志 入侵防护日志 流量日志: 支持NetFlow V9 对于前三种日志，可以配置将其记录到内存、标准Syslog服 务器或者数据中心；对于流量日志，可以输出到第三方流量收 集器或数据中心。 日志功能 大部分事件日志在这儿配置: 日志功能 NAT的日志事件在配置NAT策略时配置: 日志功能 系统监控的日志事件配置: 系统周期性轮询设备的运行状态如CPU和内存利用率、当前 连接数，以及系统检测事件，并给出告警。 日志功能 病毒、入侵等的日志事件在安全防护表中配置: 日志功能 NetFlow日志在安全策略中配置: 谢 谢！ * * 安全变得简单，从天清汉马开始 天清汉马防火墙培训手册 配置管理概述 防火墙基本配置 日志功能 提纲 配置管理概述 配置管理概述 USG设备的管理方式 通过Console口配置； 通过Telnet 进行命令行的配置； 通过SSH进行命令行的配置； 通过HTTP 或HTTPS协议，从GUI界面进行配置管理； 安装集中管理中心软件，集中管理、配置USG设备； 配置管理概述 管理员用户与权限表 通过默认管理员或自建管理员用户来进行管理配置； 管理员可以通过本地或Radius进行认证； 出厂默认管理用户admin，密码venus.usg； 管理员权限表规定了管理员可以执行的操作； 可以给管理员添加管理IP限制； 配置管理概述 新建管理员用户 配置管理概述 新建管理员权限表 配置管理概述 防火墙基本配置 日志功能 提纲 USG的工作模式 USG支持三种接入模式： 透明模式； 路由模式； 混合模式； 这三种模式无需显式配置，USG根据用户配置自动生效。 USG中的接口概念 USG中包含以下接口级的概念: 物理接口； Vlan接口； 透明桥接口； GRE接口； 安全域； 其他隐藏接口，包括loopback接口、L2TP接口和tunssl接口 物理接口 Vlan接口 透明桥接口 路由配置 路由表查询 路由配置 创建静态路由 路由配置 创建策略路由 安全策略 安全策略是USG应用的核心，我们通过配置安全策略: 实现对数据流的匹配(接口、IP、服务、时间) 控制和管理流经设备的数据流(Permit、Deny、IPSec加密、SSL加密) 施行QoS 服务质量划分 安全策略 创建和编辑安全策略 安全策略 安全策略的启用与匹配 安全策略配置后必须启用才会生效； 安全策略按先配置优先的原则进行匹配； 对通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制； 可以调整安全策略的顺序，以使位置在前的策略优先匹配； 可以创建一条新的安全策略，并插入到指定的策略之前； 网络地址转换(NAT) 网络地址转换(NAT): 最初用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题； 单向隔离，具有额外的安全性； 利用目标地址的映射，使公有地址可访问配置了私有地址的服务器； 可用于服务器的负载均衡和地址复用； 网络地址转换(NAT) USG支持以下NAT: 源NAT，按照使用不同可划分为: 动态NAT: 源地址映射到一个地址池(NAT Pool)； PAT: 所有源地址映射到同一目的地址； 静态NAT：一对一双向地址映射； 目的NAT； 网络地址转换(NAT) 源地址转换(SNAT)，可以将内部地址转换成出接口地址或 者地址池中的地址。 网络地址转换(NAT) 目的地址转换(DNAT)，可以将目标地址转换成NAT Pool中的地址，亦可实现服务器负载分担与业务分流。 网络地址转换(NAT) NAT地址