海事局防火墙现场培训基本操作.ppt

* Web配置: 访问控制策略配置 * Web配置： 访问控制策略配置 * 命令行配置： pf service add name ping area inside addressname any inside区域开放ping服务，任何地址都可以ping通防火墙 Web配置； 管理方式的开通 * Web配置: 管理方式的开通 * 说明：配置备份只能通过web方式，不能通过命令行方式 日常配置备份 * * * * * * * * * * * * 安徽省海事局 防火墙配置与操作培训 2010年11月 天融信安徽办：肖庆斌 Email：xiaoqingbin@ * Internet 一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。也就是说防火墙可以控制内部网的哪些pc可以访问internet，internet的哪些ip地址可以访问内网。注意：数据包一定要经过防火墙时，防火墙才可以做访问控制。 两个安全域之间通信流的唯一通道 UDP Block Host C Host B TCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为 防火墙定义 内部网 * 防火墙的局限性 物理上的问题 断电 物理上的损坏或偷窃 人为的因素 内部人员通过某种手段窃取了用户名和密码 病毒（应用层携带的） 防火墙自身不会被病毒攻击 但不能防止内嵌在数据包中的病毒通过 内部人员的攻击 防火墙的配置不当 * 防火墙提供的通讯模式 透明模式(提供桥接功能) 在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN 的数据包在转发时不作任何改动，包括IP 和MAC 地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。 路由模式(静态路由功能) 在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。 综合模式(透明+路由功能) 顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。 说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网 络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会 影响防火墙的访问控制功能。 * 网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中， 用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态， 具体请见下表： 防火墙的工作状态 * 在安装防火墙之前必须弄清楚的几个问题： 1、路由走向(包括防火墙及其相关设备的路由调整) 确定防火墙的工作模式：路由、透明、综合。 2、IP地址的分配(包括防火墙及其相关设备的IP地址分配) 根据确定好的防火墙的工作模式给防火墙分配合理的IP地址 3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型) 4、要达到的安全目的(即要做什么样的访问控制) * 规则列表需要注意的问题： 1、规则作用有顺序 2、访问控制列表遵循第一匹配规则 3、规则的一致性和逻辑性 访问控制规则说明 * 串口(console)管理方式： 管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。 WEBUI管理方式： 超级管理员:superman，口令:talent SSH管理方式： 模拟console管理方式，用户名superman，口令：talent 防火墙配置-管理方式 * 防火墙配置-防火墙出厂配置 * 防火墙的CONSOLE管理方式 超级终端参数设置： * 防火墙的CONSOLE管理方式 防火墙的命令菜单： * 防火墙的CONSOLE管理方式 输入helpmode chinese命令 可以看到中文化菜单 本机IP地址设定 防火墙的WEBUI管理方式 * 防火墙的WEBUI管理方式 ETH0接口默认可以管理，ip地址：54 在浏览器输入：HTTPS://54，看到下列提示，选择“是” * 防火墙的WEBUI管理方式 输