联想网御防火墙技术培训.ppt

1 联想网御PowerV防火墙技术培训 2011年4月 2 目录 一 联想网御防火墙技术原理培训 二 联想网御PowerV防火墙案例培训 3 防火墙是指设置在不同网络或网络信任域与非信任域之间的一系列功能部件的组合 通过制订安全策略 它可通过监测 限制 更改跨越防火墙的数据流 尽可能地对外部屏蔽网络内部的信息 结构和运行状况 以此来实现网络的安全保护 通常是网络安全防护体系的最外一层 防火墙概念介绍什么是防火墙 4 防火墙概念介绍什么是防火墙 防火墙能做什么 保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动 防火墙不能做什么 不能主动防范新的安全威胁 不能防范来自网络内部的攻击 不能控制不经防火墙的通信与访问 5 防火墙概念介绍什么是防火墙 6 防火墙概念介绍什么是防火墙 7 透明模式 8 路由模式 9 混合模式 10 数据包的形式 防火墙能利用包头的信息进行过滤 仅允许符合规则的数据包通过防火墙规则可细分为源地址 目的地址 源端口 目的端口 协议 连接方向等项目 包过滤技术 11 包过滤技术什么是状态检测 每个网络连接包括以下信息 源地址 目的地址 源端口和目的端口 协议类型 连接 会话 状态 如超时时间 TCP连接的状态 等 防火墙把这些信息统称为状态 能够检测这些状态的防火墙叫做状态检测防火墙 12 包过滤技术状态检测的优点 与包过滤防火墙相比 更安全 检查内容 包过滤检查内容 连接状态更高效 包过滤 收到一个包 检查一遍规则集状态检测 先查状态表 再查规则集 13 目录 二 联想网御PowerV防火墙案例培训 14 电子钥匙 证书 串口登录透明接入路由 NAT模式静态路由IP映射 端口映射包过滤策略DHCP 目录 15 案例一电子钥匙 证书 串口登录 16 联想网御防火墙Web登陆认证 数字证书 电子钥匙 案例1 电子钥匙 证书 串口登录 17 1 双击随机光盘ikeydriver目录下的INSTDRV EXE 自动安装电子钥匙驱动 切记 安装驱动前不要插入USB电子钥匙 电子钥匙认证 2 随机光盘administrator目录下的ikeyc程序 程序将提示用户输入PIN口令 首次使用默认PIN为 12345678 案例1 电子钥匙 证书 串口登录 18 在IE地址栏输入https 10 1 5 254 8888 等待约十秒左右 弹出一个一个对话框提示接受证书 选择接受即可出现联想网御防火墙登录画面 案例1 电子钥匙 证书 串口登录 电子钥匙登录 19 数字证书认证 1 把防火墙证书导入防火墙并启用 2 管理主机上导入IE浏览器证书 案例1 电子钥匙 证书 串口登录 20 数字证书认证 证书页面导入 导入证书后选择生效选项 第一步 第二步 案例1 电子钥匙 证书 串口登录 21 数字证书认证 证书导入 导入防火墙证书要导入相对应的IE浏览器证书 在管理主机本地双击IE浏览器证书 按照提示进行安装 需要输入密码时输入 hhhhhh 当出现导入成功后点击确定完成 案例1 电子钥匙 证书 串口登录 22 数字证书认证 当防火墙与IE证书均导入成功后 我们在管理主机打开IE浏览器并输入https 10 1 5 254 8889 出现选择证书提示后点击 确定 画面 案例1 电子钥匙 证书 串口登录 23 管理主机 防火墙出厂时默认的管理主机地址10 1 5 200 当接入一个新的网络环境中时 首先要进行管理主机的配置 案例1 电子钥匙 证书 串口登录 一定不要添加0 0 0 0的管理主机 24 案例二 透明接入 25 透明接入多部署于拓扑相对固定网络 为了不改变原有网络拓扑 常采用此部署方式 防火墙本身作为网桥接入网络 按照此方式部署后的防火墙如出现软硬件故障 可以紧急将防火墙撤离网络 不必更改其他路由 交换设备的配置 案例2 透明接入 透明接入 概述 26 C 192 168 1 100 S 192 168 1 200 Brg 192 168 1 254 fe2 fe3 透明接入模式防火墙配置需求 防火墙配置的FE2 FE3口配置为透明模式 允许工作站C192 168 1 100访问服务器S192 168 1 200的HTTP服务 工作站C192 168 1 100不能访问服务器S192 168 1 200的其它服务 透明接入拓扑图 案例2 透明接入 27 透明接入 案例2 透明接入 28 STP未开启 未绑定设备 已启用 透明接入 案例2 透明接入 29 透明接入 案例2 透明接入 30 透明接入 案例2 透明接入 31 已启用 已变成透明模式 透明接入 案例2 透明接入 32 透明接入 变成透明模式的端口自动添加到绑定列表里面 网络接口配置完成后 仍然需要添加相应的包过滤规则 案例2 透明接入 33 透明接入 案例2 透明接入 34 透明接入 案例2 透明接入 35 至此 工作站192 168 1 100可以访问服务器192 168 200的HTTP服务 透明接入 案例2 透明接入 36 案例三 路由 NAT模式 37 配置路由 NAT模式的防火墙多部署于网络边界 或者是连接多个不同网络 起到保护内网主机安全 屏蔽内网网络拓扑等作用 案例3 路由 NAT模式 路由 NAT模式 概述 38 C 192 168 1 2 24 S 192 168 2 2 24 192 168 1 1 24 fe1 fe2 工作在路由 NAT模式下防火墙配置需求 本案例拓扑为一个只有两个网段的小型局域网 服务器192 168 2 2开放http服务 允许工作站192 168 1 2访问服务器192 168 2 2的http服务禁止工作站192 168 1 2访问服务器其它服务 192 168 2 1 24 CilentA ServerB 路由 NAT模式 不做NAT转换 案例3 路由 NAT模式 39 案例3 路由 NAT模式 路由 NAT模式 不做NAT转换 40 案例3 路由 NAT模式 路由 NAT模式 不做NAT转换 41 网络接口配置完成后 仍然需要添加相应的包过滤规则 这样防火墙允许工作站192 168 1 2访问服务器192 168 2 2的http服务 案例3 路由 NAT模式 路由 NAT模式 不做NAT转换 42 网络地址转换NAT为IETF定义标准 用于允许专用网络上的多台PC共享单个 全局路由的IPv4地址IPv4地址日益不足是经常部署NAT的一个主要原因 另外网络地址转换NAT经常作为一种网络安全手段使用 安全域内的机器通过NAT设备后源地址被重新封装 起到一定屏蔽内网作用 NAT 概述 案例3 路由 NAT模式 43 内网 外网 C 10 1 5 200 fe3 fe4 internet 10 1 5 254 211 100 100 1 S 211 100 100 2 防火墙工作路由 NAT模式 内部客户PC需要通过防火墙访问internet上服务 从防火墙外无法看到内部客户端的真实IP 案例3 路由 NAT模式 路由 NAT模式 NAT转换 44 路由 NAT模式 NAT转换 案例3 路由 NAT模式 45 路由 NAT模式 NAT转换 案例3 路由 NAT模式 46 路由 NAT模式 NAT转换 案例3 路由 NAT模式 47 案例3 路由 NAT模式 网络接口 NAT规则配置完成后 仍然需要添加相应的包过滤规则 这样防火墙允许内部客户机10 1 5 200访问internet上的服务器 路由 NAT模式 NAT转换 48 案例四 静态路由 49 静态路由 案例4 静态路由 内网 外网 222 111 1 1 24 fe3 fe4 internet 192 168 1 1 30 C 172 16 1 2 24 192 168 1 2 30 172 16 1 1 24 防火墙工作路由 NAT模式 内部客PC172 16 1 2需要通过防火墙访问internet上服务 防火墙和客户机之间有一台路由器 在防火墙上需要做回指路由保证客户机能访问internet 50 案例4 静态路由 静态路由 51 案例4 静态路由 静态路由 添加目的地址是172 16 1 0网段的静态路由 52 案例4 静态路由 静态路由 在本案例中 当客户机向外网发起连接时 数据包通过客户机的默认网关经交换机发送到防火墙 继续通过防火墙的默认网关发送到外网某台服务器 服务器回应的数据包通过一系列路由到达防火墙 防火墙上图配置静态路由作用是将数据包的回送到交换机最终到达客户端机器 保证该连接的通畅 53 案例五IP映射 端口映射 54 案例5 IP映射 端口映射 IP映射 端口映射 概述 作用 当外网主机主动发起连接访问防火墙的一个公网地址时 防火墙通过IP映射规则或者端口映射规则将访问请求映射到对应防火墙内部局域网服务器 位于外网的主机发送的请求数据包到达防火墙后 防火墙在匹配包过滤规则之前 对数据包重新封装 用指定的目的地址替代原数据包包头中目的地址即为IP映射 用指定的目的地址和目的端口替代原数据包包头中的目的地址目的端口为端口映射 55 内网 外网 10 1 5 200 fe1 internet 10 1 5 254 fe3211 100 100 1 211 100 100 2 Server 192 168 1 100 fe2192 168 1 1 DMZ区 防火墙作IP 端口映射 局域网内部服务器192 168 1 100提供ftp服务 唯一的公网IP已被防火墙外网口使用 防火墙启用端口映射功能 将局域网内部ftp服务映射到外网 向外网客户机提供ftp服务 禁止外网客户机访问服务器192 168 1 100的其它服务 案例5 IP映射 端口映射 网络拓扑图 56 IP映射 端口映射 案例5 IP映射 端口映射 57 案例5 IP映射 端口映射 IP映射 端口映射 若此栏填写多个服务器地址则可以进行负载均衡 58 案例5 IP映射 端口映射 IP映射 端口映射 IP映射 端口映射2选1 59 IP映射 端口映射 案例5 IP映射 端口映射 60 案例5 IP映射 端口映射 IP映射 端口映射 IP映射 端口映射完成后 仍然需要添加相应的包过滤规则 61 IP映射 端口映射 案例5 IP映射 端口映射 至此 案例中的外网客户机可以访问服务器的ftp服务 62 案例六 包过滤策略 63 案例6 包过滤策略 包过滤策略 概述 包过滤是防火墙最基本最核心的功能 PowerV防火墙提供基于状态检测技术的动态包过滤 它为防火墙提供功能强大准确高效的访问控制引擎 并且为防火墙内安全域提供信息安全保证 包过滤除支持全部的TCP IP协议簇外还通过在 安全选项 页面对一些非IP协议进行控制 64 安全策略 过滤规则 会话连接状态缓存表 状态检测包过滤防火墙 符合 不符合 符合 状态检测包过滤检测机制 丢弃 下一步处理 IP数据包 检测包头 案例8 包过滤策略 65 包过滤策略 C 192 168 1 2 S 192 168 2 2 192 168 1 1 fe1 fe2 192 168 2 1 CilentA ServerB 包过滤案例配置需求 上图为一个只有两个网段的小型局域网服务器192 168 2 2开放http服务 允许工作站192 168 1 2访问服务器的http服务 禁止工作站192 168 1 2访问服务器其它服务 案例6 包过滤策略 66 默认全通 包过滤策略 案例6 包过滤策略 67 包过滤策略 案例6 包过滤策略 68 包过滤策略 规则按照从上到下的顺序进行匹配 没有明确允许的数据包都会被禁止 预先定义地址对象 服务对象 在包过滤规则中引用 尽量合并同类规则 保持规则数量500以内 案例6 包过滤策略 69 时间调度是让安全规则在指定的时间段内为生效状态 在其它时间段为失效状态 可选内容包括 资源 时间 时间列表 和 资源 时间 时间组 中定义的所有资源 包过滤 时间调度 案例6 包过滤策略 70 包过滤 时间调度 案例6 包过滤策略 71 包过滤 时间调度 至此 时间调度服务已经定义完毕 可根据需要在包过滤规则中引用 案例6 包过滤策略 72 对满足条件的数据包所在的连接进行用户认证检查 如果通过检查让该包通过 如果该连接的发起端 不启动客户端到防火墙上进行认证 或者没有通过认证则丢弃该包 包过滤 用户认证 案例6 包过滤策略 73 包过滤 用户认证 案例6 包过滤策略 74 包过滤 用户认证 案例6 包过滤策略 75 包过滤 用户认证 至此 用户认证服务已经定义完毕 可根据需要再包过滤规则中引用 案例6 包过滤策略 76 包过滤 用户认证 案例6 包过滤策略 至此 用户认证功能已经配置完毕 用户可以通过认证访问互联网 77 POWERV防火墙采用了增强型抗攻击技术 可有效的防范拒绝服务等攻击 可以防范以下攻击类型 SynFlood PingFlood UdpFlood等 包过滤 抗攻击选项 案例6 包过滤策略 防火墙上抗SYNFLOOD攻击功能可实现以下两个功能 禁止攻击流穿过防火墙 从而保护防火墙内部的主机 允许正常的访问请求穿过防火墙 从而保证正常的业务的通讯 78 案例七 DHCP