dcn多核安全网关基本操作及配置.pptVIP

DCFOS4.0以上的版本支持基于安全域的策略和全局策略两种模式，默认处于基于安全域的策略模式。 DCFOS4.0以上的版本支持基于安全域的策略和全局策略两种模式，默认处于基于安全域的策略模式。 3、网络地址转换NAT 点击“防火墙 NAT 源NAT 新建 高级配置” 源NAT高级配置 最终配置 DNAT（目的NAT规则） 转换目的IP地址，通常是将受防火墙保护的内部服务器（如WWW服务器或者SMTP服务器）的IP地址转换成公网IP地址。 主要应用：通过IP映射或者端口映射对外发布服务器 根据工作模式分为以下两种： · 端口映射 -该模式为一对多的映射，将公网某一IP的不同端口，映射到内网不 同IP的不同端口，解决公网IP有限时多个服务器需对外发布的需求 · IP映射 -该模式为一对一的映射，端口一一对应不做转换，通常用于公网IP 足够时服务器的对外发布。 3、网络地址转换NAT 3、网络地址转换NAT 先增加对象：点击“对象 地址薄 新建” 3、网络地址转换NAT 最终配置 点击“防火墙 NAT 目的NAT 新建 ” 安全策略基础 策略是网络安全设备的基本功能。默认情况下，安全设备会拒绝设备上所有安全域之间的信息传输。而策略则通过策略规则（Policy Rule）决定从一个安全域到另一个安全域的哪些流量该被允许，哪些流量该被拒绝。系统缺省的策略是拒绝所有的流量 策略分为两种 域间策略：域间策略对安全域间的流量进行控制可通过设置域间策略来拒绝、允许从一个安全域到另一个安全域的流量 域内策略：安全域内策略对绑定到同一个安全域的接口间流量进行控制。源地址和目的地址都在同一个安全域中，但是通过安全网关的不同接口到达。 策略规则 过滤条件和行为。安全域间流量的源地址、目的地址、服务类型以及角色构成策略规则的过滤条件。 对于匹配过滤条件的流量可以制定处理行为，如permit或deny等。 策略匹配顺序：系统查找策略顺序为由上至下，对流量按照找到的第一条与过滤条件相匹配的策略规则进行处理。 4、安全策略配置 配置策略的步骤 安全策略的方向 从哪个安全域，到那个安全域 如trust-untrust 网络层的信息 源自哪个IP/段，到哪个IP/段 如：从/24-any 服务信息 什么服务 如：http、ftp、bt等 采取的动作 允许通过，还是拒绝通过 ↗ ↗ ↗ 4、安全策略配置 4、配置策略规则（WebUI） 防火墙策略 选择源安全域trust和目的安全域untrust点击新建 防火墙策略 选择源安全域untrust和目的安全域trust点击新建 4、配置策略规则（WebUI） 4、配置策略列表 4、配置策略移动 THANKS! 神州数码安全网关出厂缺省开启ethernet 0/0接口的管理功能,IP为，用户可以通过HTTP、HTTPS、Telnet、SSH等方式登陆管理 * 在”系统设备管理基本信息“，页面列出了已配置的管理员账号，并且可以直观看到每个管理员的管理权限和管理方式。 如果需要编辑管理员属性，点击该管理员右侧操作看的编辑图标即可，可修改内容包括账户权限、允许管理方式以及该账户密码。 如需新建管理员账号，点击左上角”新建“按钮即可。 新建管理员可以根据需要配置不同权限和允许管理方式，管理员名称要求4-31个字符，管理员密码需符合系统已配置密码策略规则。 对”读-执行-写“权限管理员，可以定义其只具有更改IP-MAC绑定表的权限。 默认情况下，安全网关的可信主机范围是/0，即所有主机都是可信主机。所有可信主机列表中可信主机范围都是有效地。因此，建议用户在创建好合适的可信主机后名将系统原有的“/0” 可信主机范围删除。 可信主机可以按IP Mask方式添加子网，如/24，也可以按照IP Range方式添加IP地址范围，如-00 系统最多允许配置128条可信主机范围。 管理员可以更改登录安全网关的用户接口配置，修改默认端口、