RG-WALL系列防火墙培训 锐捷网络 网络解决方案第一品牌公司.ppt

rg-wall系列防火墙培训,部门/作者,tac/田杨,熟悉防火墙系列产品 了解防火墙硬件架构 熟悉防火墙技术原理 掌握防火墙基本配置 掌握防火墙日常维护,课程目标,课程内容,第一章 rg-wall系列防火墙产品介绍 第二章 rg-wall系列防火墙技术原理 第三章 rg-wall系列防火墙基本配置 第四章 rg-wall系列防火墙日常维护,3,第 4页 / 共 4页,2010年防火墙产品roadmap,rg-wall1600s,rg-wall1600m,rg-wall1600t,rg-wall160m,rg-wall160t,rg-wall160e,rg-wall1600系列,rg-wall160系列,rg-wall1600e,rg-wall160s,rg-wall160c,rg-wall1600p,q1上市新品： rg-wall 1600p：万兆平台，64字节小包可以达到8gbps rg-wall160c/s：替代rg-wall 60,防火墙硬件架构,x86、多核 灵活性好、技术成熟 转发性能较差 rmi、cavium（管理、数据分离） asic 转发能力强 灵活性较差 通常配合其它架构共同使用，如x86+asic np 编码复杂 灵活性、转发性能介于x86和asic之间,5,防火墙硬件架构,6,x86架构,防火墙硬件架构,7,asic架构,q&a,rg-wall系列防火墙各型号之间有什么差异？rg-wall1600e支持的功能，rg-wall160t也支持吗？ 在监控防火墙状态时，发现cpu占用率比较高，为什么？,8,思考题,课程内容,第一章 rg-wall系列防火墙产品介绍 第二章 rg-wall系列防火墙技术原理 第三章 rg-wall系列防火墙基本配置 第四章 rg-wall系列防火墙日常维护,9,什么是防火墙,防火墙概述 所谓防火墙指的是一个由软件和硬件设备组合而成 应用场景 内部网和外部网之间 专用网与公共网之间,10,internet,intranet,server,根据访问控制规则 决定网络进出行为,根据访问控制规则 决定网络进出行为,什么是防火墙,防火墙相关概念 连接数 新建连接数 并发连接数 吞吐量 收、发双向流量 状态表,简单包过滤技术简介,概述 类似交换机、路由acl 实现原理 检查ip、tcp、udp信息,12,,, http:80,允许访问,简单包过滤技术优缺点,优点 速度快，性能高，可以用硬件实现 实现原理：检查ip、tcp、udp信息 缺点 不能根据状态信息进行控制 前后报文无关 不能处理网络层以上的信息,状态检测技术简介,概述 根据通信和应用程序状态确定是否允许包的通行 用于识别或者控制数据流是返回的数据流还是首发的数据流 在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则,14,状态检测技术原理,原理示意图 安全规则表 状态表（五元组及扩展字段）,15,, http:80,规则表：permit any 80 http,状态表： permit 12345 80 http permit 80 12345 http,状态检测技术原理（续）,原理流程图 优点 更加安全 缺点 状态表庞大 不能检测应用层协议内容，如url过滤,16,状态表,规则表,数据流,转发规则,n,y,状态检测技术存在的问题,问题 ftp协议（被动模式）,17,, ftp:21,规则表：permit any 21 ftp,状态表： permit 12345 21 ftp ?,状态检测技术的改进,alg（application level gateway） 一个应用由多个通道组成（控制面、数据面） 管理通道或者其他通道由内嵌式ip地址或者端口号 例：ftp、h.323、sip、pptp等 ftp解析（passive mode） 识别ftp协议 读取协议字段,18,应用代理防火墙简介,概述 用户数据先到达代理服务器，再由代理服务器进行目标地址访问 分类 非透明代理 透明代理（协议）,19,应用代理防火墙原理,原理,20,, http:80,0,应用代理防火墙优缺点,优点 用户数据不与访问目标直接通讯，增强了访问安全性 缺点 支持的协议比较少 http ftp smtp/pop3 telnet 主要是明文协议并且基本是比较老的协议 不支持bt这些应用程序,21,防火墙技术总结,22,vpn概念,vpn (virtual private network) 被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。,23,internet,intranet,intranet,vpn隧道,vpn分类,二层vpn pptp、l2tp 工作在数据链路层 三层vpn ipsec、gre 工作在网络层 七层vpn ssl vpn 工作在应用层,24,ipsec,ipsec是提供ip数据安全的行业标准，它为ip数据提供了安全性和完整性服务 工作在ip层 ipsec拥有两种协议来提供数据安全 encapsulation security payload esp authentication header ah ipsec的两种模式 传输模式 隧道模式,25,encapsulation security payload esp,定义在rfc 2406 ip协议号50 提供了 数据机密性 数据完整性 数据源的验证 anti-replay功能 esp可以工作在传输模式或隧道模式下,26,隧道模式下的esp报文,27,authentication header ah,定义在rfc 2402 ip协议号51 提供了 数据完整性 数据源的验证 anti-replay功能 esp可以工作在传输模式或隧道模式下,28,隧道模式下的ah报文,29,the internet key exchange (ike),the internet key exchange (ike)为安全协议的协商提供标准化的流程 udp协议，500端口 可以用来为ipsec协议提供sa的自动协商功能 为ipsec协商加密和验证的算法（这些加密/验证的算法被称为proposal） 为加密/验证算法自动 提供需要的密钥（并不断更新） 提供网关识别功能,30,security associations (sa),sa是一系列用以保护端对端信息安全的策略和密钥 sa通过以下三个要素被唯一化 security parameters index spi（安全参数索引） 目的端ip地址 安全协议（esp或ah） ike的phase1和phase2都会产生相应的sa phase1的sa是双向的，phase2的sa是单向的,31,ike的两个阶段,phase1 两端建立一个互相信任的、安全的通道 使用dh密钥交换来产生一个两端一致的对称密钥 协商加密算法（des、3des）、hash算法（md5、sha）、认证方法（预共享密钥、证书） 有两种工作模式 主模式（main mode） - 两端都使用静态ip地址 野蛮模式（aggressive mode） - 一端使用了动态ip地址 phase2 通过phase1建立的隧道来协商后续的sa 协商ipsec协议（esp、ah）、hash算法（md5、sha）、是否加密以及加密算法（des、3des）,32,q&a,用户反映上网慢，有时要多次才能打开一个网页，为什么？ 通过防火墙是否可以实现数据单向访问？ ipsec的两种工作模式？ esp和ah的区别？,33,课程内容,第一章 rg-wall系列防火墙产品介绍 第二章 rg-wall系列防火墙技术原理 第三章 rg-wall系列防火墙基本配置 第四章 rg-wall系列防火墙日常维护,34,防火墙管理,管理方式 web 证书方式（常用） usb-key方式 命令行管理 console ssh（远程） telnet（从其它设备）,35,防火墙管理,web管理方式 默认管理地址：00:6666 管理主机ip：00（左侧第一个接口） 管理证书：证书安装密码123456 用户名/密码：admin/firewall,36,防火墙管理,web管理方式扩展 管理主机不受限制 允许多个管理员同时管理 允许登陆失败的次数（3-10次） 最后一次登陆失败后禁止多少时间再次登陆（30-86400秒）,37,防火墙管理,web管理方式扩展 通过“接口ip”菜单来设置可管理的接口 关于防火墙的“允许traceroute”,38,q&a,防火墙通过ip映射规则将内网的一台ssh服务器映射到外网，但外网用户却无法访问，为什么 ？,39,系统配置,系统时钟 当“防火墙当前时间”和“管理主机当前时间”相差很多时，会出现无法通过web方式管理的问题。出现这种情况时，需要通过console管理，并通过命令手动设置时钟,40,接口ip管理,网络接口方式 网络配置网络接口 路由模式 混合模式（trunk配置） 接口ip配置 网络配置接口ip 路由接口ip 桥接口ip,41,安全规则应用,分类 包过滤规则 nat规则 ip映射 端口映射 应用代理,42,包过滤规则,概述 定义防火墙的数据转发规则 允许 禁止 默认规则禁止 配置 安全策略安全规则 源、目的地址 服务 转发规则,43,实战包过滤规则,拓扑图 允许pc1访问pc2 不允许pc2访问pc1,44,ge1:54,ge2:54,pc1:,pc2:,实战包过滤规则配置,步骤 为ge1、ge2配置接口ip 添加包过滤规则，允许pc1访问pc2 测试 pc1可以ping通pc2 pc2不可以ping通pc1,45,nat规则,概述 定义防火墙的nat规则 配置 安全策略安全规则 源/目的地址 服务 转换地址,46,实战nat规则,拓扑图 pc2不配置默认网关,47,ge1:54,ge2:54,pc1:,pc2:,实战nat规则配置,步骤 为ge1、ge2配置接口ip 添加nat滤规则，pc1访问pc2时将地址转换为ge2接口ip 测试 pc1可以ping通pc2 pc2收到的ping报文源地址为ge2接口ip,48,端口映射规则,概述 将内网ip的端口映射到外网ip的端口 配置 安全策略安全规则 源地址 外部地址/内部地址 外部/内部端口 反向pat（源地址转换）,49,实战端口映射规则,拓扑图 pc2不能配置默认网关,50,ge1:54,ge2:54,pc1: http,pc2:,pc3:,实战端口映射规则配置,步骤 为ge1、ge2配置接口ip 添加端口映射规则，pc2访问ge2接口ip的http端口时，将被映射到pc1 测试 pc2访问ge2接口的http端口能访问到pc1的web服务 pc3访问ge2接口的http端口能访问到pc1的web服务,51,对象定义,概述 定义一组对象，以便被安全规则或其他应用所引用 分类 地址 地址列表：由一段连续的地址组成 地址组：地址列表的集合 nat地址池：用于nat的地址池 服务 服务列表：协议、源端口、目标端口 服务组：服务列表的集合 代理（略） 时间（略）,52,地址列表,配置 对象定义地址地址列表 ip段/子网掩码 起始ip地址,53,地址组,配置 对象定义地址地址列组 引用多个地址列表,54,nat地址池,配置 对象定义地址nat地址池 ip段/子网掩码 起始ip地址 ip段/子网方式下每个nat地址池最大ip数量128个；起始ip地址方式下每个nat地址池最大ip数量254个,55,服务列表-基本服务,配置 对象定义服务服务列表基本 协议：tcp、udp、指定协议号 源端口：0-65535 目的端口：开放服务端口,56,服务列表-动态服务（alg）,配置 对象定义服务服务列表动态 动态协议类型：ftp、h323、pptp、tftp、rtsp、mms、sip、sqlnet、gatekeeper 源口号：开放服务端口,57,对象引用,地址列表/地址组 安全规则的源地址/目的地址引用 nat地址池 nat规则的源地址转换引用 服务列表/服务组 安全规则的服务引用,58,静态路由,配置 网络配置策略路由添加路由 目的地址（全0表示默认路由） 下一跳地址 选择pbr端口,59,策略路由（pbr）,配置 网络配置策略路由添加源路由 源地址（nat后的地址） 目标地址（全0表示全匹配） 下一条地址,60,防火墙处理数据流程,常用功能 包过滤、nat、端口映射、静态路由、pbr 常用功能匹配顺序 状态表安全规则pbr静态路由 安全规则匹配顺序 由上至下匹配 静态路由匹配顺序 目的地址最长匹配 pbr匹配顺序 先源地址最长匹配、后目的地址最长匹配,61,实战防火墙路由模式,拓扑图,62,pc1:,ge3:27/25,server:,ge4:54,ge2:26/25,f0/0:27/25,ge1:7/30,f0/0:8/30,/15 /12 /12,,loopback0,loopback0、1、2,nat: 29-254,nat: -125,ftp 6666 http 8080,实战防火墙路由模式配置,步骤 配置连通性 对象定义 配置包过滤 配置nat 配置路由 静态路由 默认路由,实战防火墙透明模式,拓扑图,64,pc1:,f0/2:27/25,server:,f0/1:54,ftp 6666 http 8080,ge1,ge2,26,实战防火墙透明模式配置,步骤 配置连通性 对象定义 配置包过滤,q&a,可以创建多个超级管理员账户吗？,66,课程内容,第一章 rg-wall系列防火墙产品介绍 第二章 rg-wall系列防火墙技术原理 第三章 rg-wall系列防火墙基本配置 第四章 rg-wall系列防火墙日常维护,67,命令行操作,查看接口ip sysip disp 添加接口ip sysip add 删除接口ip sysip del ,68,命令行操作,查看系统信息 sysinfo disp license 设备型号 软件版本 序列号,69,命令行操作,查看系统时间 systiem disp 设置系统时间 systime set ,70,命令行操作,查看系统配置 syscfg disp 保存系统配置 syscfg save 恢复出厂配置 syscfg reset,71,命令行操作,查看管理主机 mnghost disp 打开/关闭管理主机不受限制 mnghost limitless on/off 添加、删除管理主机 mnghost add/del ,72,命令行操作,管理账户解锁 mngacct unlock 多管理员同时登陆 mngacct multi on/off 添加、删除管理账户 mngacct add/del ,73,查看防火墙连接,查看方法 系统监控网络监控实时监控,74,资源状态,查看方式 系统监控资源状态cpu统计图 系统监控资源状态内存统计图,75,网络接口,查看方法 系统监控网络接口选择接口统计图,76,安全规则日志,查看方法