中兴防火墙ZXSECUS培训教材.ppt

ZXSECUS宙斯盾技术培训 培训安排 ZXSECUS产品概要 17日上午 设备初始化连接 17日上午 安全网关部署及维护 17日下午 防火墙功能配置 18日上午 UTM功能配置 18日下午 1 2 3 4 5 VPN功能配置 19日上午 6 考试及答疑 19日下午 7 2006 ZTECorporation Allrightsreserved 1 ZXSECUS产品概要 DMZ ServerFarm Mailserver Webserver Fileserver Printserver APPserver 入侵防御 交换机 VPN 防垃圾邮件 防病毒 交换机 防火墙 企业安全防护 ZXSECUS宙斯盾 Internet 产品概要 产品概要 统一安全部署简单网络简化管理统一成本降低故障率低 停火区 服务器区 入侵防御 交换机 VPN 防垃圾邮件 防病毒 路由器 防火墙 企业安全防护措施 Internet 内部网络 邮件服务器 Web服务器 数据库服务器 应用服务器 终端 ZXSECUS宙斯盾 防火墙防病毒VPN入侵防御WEB过滤垃圾邮件 US1808 10 100M吞吐量 100Mbps并发会话数 200 000US3508 10 100M吞吐量 150Mbps并发会话数 400 000US5504 10 100M2 10 100 1000M吞吐量 400Mbps并发会话数 400 000 产品概要 US7004 10 100M2 10 100 1000M吞吐量 500Mbps并发会话数 400 000US9008 10 100M2 10 100 1000M吞吐量 600Mbps并发会话数 400 000 产品概要 US13004 10 100M4 10 100 1000M吞吐量 1Gbps并发会话数 400 000US1300F4 10 100M4 1000MSFP吞吐量 1Gbps并发会话数 400 000US201010 10 100 1000M吞吐量 2Gbps并发会话数 600 000US2010A增加2 SFP接口 小包线速 产品概要 US611016 1000MSFP 全线速 吞吐量 16Gbps 20Gbps并发会话数 2 500 0001 AMC插槽 SW US60108 10 100 1000M2 1000MSFP 小包线速 吞吐量 6Gbps 10Gbps并发会话数 1 000 0001 AMC插槽 SW US67108 10 100 1000M2 1000MSFP 小包线速 吞吐量 7Gbps 26Gbps并发会话数 2 000 0004 AMC插槽 2 SW 2 DW 产品概要 防垃圾邮件 防病毒 ZTEUS 入侵防御 IM P2P 日志 Router Firewall UTM WEB过滤 功能分解 ZXSECIOS ZXSECUS统一安全网关ASIC硬件平台 防火墙 Firewall 入侵防御 IPS IDS 虚拟专网 VPN 病毒过滤 AVS Web过滤 Mail过滤 功能分解 ASIC CP 内容处理器 防病毒内容检测Web过滤协议分析ASIC NP 网络处理器 全线速防火墙VPN入侵防御流量控制 高效 独有的双ASIC芯片加速 实验 1 查看设备外观2 查看设备内部结构3 对us安全网关设备的功能能够正确理解 2006 ZTECorporation Allrightsreserved 2 设备初始化安装 1 开箱 设备一台电源适配器一个产品说明书光盘一张灰色直通网线一条 连接Internal口和配置电脑 交叉网线一条 连接路由器 交换机 Console线一条 2 设备连接 推荐第2种方式连接 串口 DB9 连接串口设置 9600bps8BitdataNoParity1StopbitNoFlowControl internal网口 RJ45 连接配置电脑配置IP地址 网段为192 168 1 0内的IP地址管理员在IE中输入https 192 168 1 99进入登陆页面缺省的用户名是 admin 密码为空或admin 易管理 Web管理界面 3 确定网络拓扑结构和使用模式 NAT 如果需要连接不同IP地址段 则将设备置于NAT模式 设备工作在第三层 相当于一台路由器 连接不同的IP地址段 每一个接口都有一个IP地址 分别对应不同的网段 在路由模式下支持各种路由方法 包括静态路由 动态路由 策略路由 可以满足多种网络环境的要求 透明模式 如果内 外网使用相同网段的IP地址 便无需担负路由的工作 此时可以将设备置于透明模式 工作在第二层 在网络拓扑结构上相当于一个交换机只需直接插入到网络链路中即可 内外网用户并不能感觉到这台安全设备的存在 将ZXSECUS从网络中撤出也不会影响出口的连通性 只需配置一个管理IP就可以了 PC1Ip 192 168 1 0 24Ipgateway192 168 1 1 24 RouterWan 202 156 68 39 28Lan 192 168 1 1 24 透明模式应用 Switch US设备无需负担路由功能 只需为设备配置管理IP和却省网关即可 ZTEUS Internal Wan 确定网络拓扑结构和使用模式 CNC PCIp 192 168 1 0 24Ipgateway192 168 1 1 24 NAT模式应用 Switch US设备负责路由功能 为内外接口配置的ip地址和网段 Internal Wan DMZ 确定网络拓扑结构和使用模式 CNC ServerIp 192 168 0 0 24Ipgateway192 168 1 1 24 实验 1 从串口登录防火墙熟悉配置界面和命令体系2 从web页面登录防火墙设备 熟悉US设备主要功能模块3 备份恢复防火墙配置文件 web页面升级OS4 新建设备管理员分别授予不同级别的权限5 从web页面查看当前会话信息 学会使用过滤器6 将设备由NAT模式切换为透明模式 2006 ZTECorporation Allrightsreserved 3 设备部署 培训安排 US设备开通的一般步骤 透明模式下典型配置 NAT模式下典型配置 Pppoe典型配置 双线路典型配置 1 2 3 4 5 1 配置 开通网络 1 配置 开通网络 第一步 在系统管理 网络 接口 Wan1 DMZ 选项中 配置接口IP地址每个接口都支持以下几种方式 静态IPDHCPPPPoE 第二步 在路由 静态路由或动态路由选项中 配置路由 包括静态 动态路由 1 配置 开通网络 第三步 在防火墙 策略中 配置接口间访问策略主要包括 Wan Dmz Internal之间的控制 编辑时注意要选取NAT及调用保护内容表 1 配置 开通网络 第四步 在系统管理 DHCP选项中 配置DHCP服务 1 配置 开通网络 访问内容表是一个策略 权限 的集合体 有很多小的策略 权限 组成内容包括 防病毒Web过滤反垃圾邮件过滤USServiceWeb过滤 按分类阻断 USService反垃圾邮件过滤服务IM P2P过滤IPS日志一般情况下我们在各功能模块下配置各自的策略 然后通过访问内容表统一调用 在设备开通过程中 实施人员通过调用现有访问内容表或自己新建访问内容表可以实现以上功能 1 配置 开通网络 第五步 在防火墙 访问内容表选项中 新建 配置访问内容表 2 透明模式下典型配置 配置步骤1 切换设备到透明模式 配置设备的管理IP和网关2 开通各接口间的策略3 配置保护内容表4 配置其它选项 网络描述 用户通过宽带路由器上网 路由器对内提供DHCP和网关服务并负责数据的路由转发 此时将US设备设置为透明模式 设备工作在二层模式对原有网络结构没有任何影响 通过调用访问内容表调用病毒 网页过滤 入侵防御等功能 PC1Ip 192 168 1 0 24Ipgateway192 168 1 1 24 RouterWan 202 156 68 39 28Lan 192 168 1 1 24 Switch ZTEUS IP 192 168 1 200Gateway 192 168 1 1 Internal Wan CNC 3 NAT模式下典型应用 网络描述 用户通过运营商提供的IP和网关 由US设备负责数据的路由转发 对内提供DHCP和网关服务 此时将US设备设置为NAT模式 设备工作在三层模式 通过调用访问内容表调用病毒 网页过滤等功能 DMZ区只能与互联网固定主机通讯 internal区只能访问互联网 配置步骤1 切换设备到NAT模式2 配置各接口IP地址3 配置各接口DHCP选项4 配置路由5 开通各接口间的策略6 配置保护内容表 主要开启防病毒选 日志功能 7 配置其它选项 PCIp 192 168 1 0 24Ipgateway192 168 1 1 24 Switch Internal Wan DMZ CNC ServerIp 192 168 0 0 24Ipgateway192 168 1 1 24 ZTEUSWan1 60 190 105 234 30Internal 192 168 1 1 24Dmz 192 168 0 1 24 60 190 105 233 30 4 NAT模式下PPPOE典型应用 网络描述 用户通过拨号上网 由US设备负责拨号 对内提供DHCP和网关服务并负责数据的路由转发 此时将US设备设置为NAT模式 设备工作在三层模式 通过调用访问内容表调用病毒 网页过滤 入侵防御等功能 配置步骤1 切换设备到NAT模式2 配置InternalIP地址和DHCP选项3 配置PPPOE接口 配置用户名和密码及其它相关选项4 开通各接口间的策略5 配置保护内容表 主要开启防病毒选 日志功能 配置其它选项 PCIp 192 168 1 0 24Ipgateway192 168 1 1 24 Switch Internal Wan CNC ZTEUSWan1 PPPOEInternal 192 168 1 1 24 ADSLmodem 5 NAT模式下双链路互为备份典型应用 网络描述 用户通过两家运营商提供的IP和网关 由US设备负责数据的路由转发 对内提供DHCP和网关服务 通过策略路由的优先级别高于静态路由的特性和路由管理距离的调整实现不同网段间的路由转发和备份 此时将US设备设置为NAT模式 设备工作在三层模式 通过调用访问内容表调用病毒 网页过滤 入侵防御等功能 DMZ区只能与互联网固定主机通讯 internal区只能访问互联网 配置步骤1 切换设备到NAT模式2 配置各接口IP地址配置各接口DHCP选项3 配置路由包括静态路由 策略路由4 开通各接口间的策略配置保护内容表5 配置其它选项 PCIp 192 168 1 0 24Ipgateway192 168 1 1 24 Switch Internal Wan1 DMZ 电信 ServerIp 192 168 0 0 24Ipgateway192 168 1 1 24 ZTEUSWan1 60 190 105 234 30Wan2 221 12 166 19 29Internal 192 168 1 1 24Dmz 192 168 0 1 24 60 190 105 233 30 CNC 221 12 166 17 29 Wan2 100M 10M 实验 1 将设备以NAT模式接入公司网络2 将设备以透明模式接入 2006 ZTECorporation Allrightsreserved 4 防火墙配置 说明 允许流量从一个接口流入到另外一个接口流量如果不能和防火墙策略匹配则不能通过防火墙对进入的数据包进行路由判断后处理 必须建立对象两种类型的地址 IP IP范围FQDN FQDN FullyQualifiedDomainName 全域名 是指主机名加上全路径 以下几种写法 192 168 1 99192 168 1 0 255 255 255 0192 168 1 0 24192 168 1 99 192 168 1 105192 168 1 99 105 Firewall地址对象 Firewall服务对象 可以在防火墙策略里直接使用预定义的服务 e g http tcp 80 防火墙已经预定义了很多对象可以创建服务的组 时间表 基于时间来设置防护墙的策略 防火墙策略案例 接口 时间表 服务 NAT Route 保护内容表 防火墙用户认证说明 用户必须通过认证才能让自己的会话通过防火墙用户组和活动目录中的用户成功的认证意味着所有相同的源IP流量都可以通过Idle时间 legacy 或Keep alive窗口 防火墙认证协议 通过以下协议实现认证 HTTP HTTPSFTPTelnet服务组可以用来当前不直接支持的协议的强制认证缺省认证时间是15分钟 流量整形和优先级 控制最大和保障的带宽Units Kbytes s为不同类型的流量设置优先级High Medium Low必须对所有的有效策略设置对于没有设置流量整形的流量 数据包进入到bypass队列简单队列服务启用anti starvationtimer高级别的队列 中级别队列 低级别队列 虚拟IP IP地址映射端口映射 2006 ZTECorporation Allrightsreserved 5 UTM功能及配置 培训安排 防病毒 Web过滤及USservice过滤 反垃圾邮件 IPS IM P2P 1 2 3 4 5 日志 6 保护内容表是一个策略 权限 的集合体 有很多小的策略 权限 组成内容包括 防病毒Web过滤USServiceWeb过滤 按分类阻断 反垃圾邮件过滤USService反垃圾邮件过滤服务IM P2P过滤IPS日志一般情况下我们