rg-wall系列防火墙培训 锐捷网络 网络解决方案第一品牌公司

RG-WALL系列防火墙培训,部门/作者,TAC/田杨,熟悉防火墙系列产品了解防火墙硬件架构熟悉防火墙技术原理掌握防火墙基本配置掌握防火墙日常维护,课程目标,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,3,第 4页 / 共 4页,2010年防火墙产品ROADMAP,RG-WALL1600S,RG-WALL1600M,RG-WALL1600T,RG-WALL160M,RG-WALL160T,RG-WALL160E,RG-WALL1600系列,RG-WALL160系列,RG-WALL1600E,RG-WALL160S,RG-WALL160C,RG-WALL1600P,Q1上市新品：RG-WALL 1600P：万兆平台，64字节小包可以达到8GbpsRG-WALL160C/S：替代RG-WALL 60,防火墙硬件架构,X86、多核灵活性好、技术成熟转发性能较差RMI、CAVIUM（管理、数据分离）ASIC转发能力强灵活性较差通常配合其它架构共同使用，如X86+ASICNP编码复杂灵活性、转发性能介于X86和ASIC之间,5,防火墙硬件架构,6,X86架构,防火墙硬件架构,7,ASIC架构,Q&A,RG-WALL系列防火墙各型号之间有什么差异？RG-WALL1600E支持的功能，RG-WALL160T也支持吗？在监控防火墙状态时，发现CPU占用率比较高，为什么？,8,思考题,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,9,什么是防火墙,防火墙概述所谓防火墙指的是一个由软件和硬件设备组合而成应用场景内部网和外部网之间专用网与公共网之间,10,internet,intranet,Server,根据访问控制规则决定网络进出行为,根据访问控制规则决定网络进出行为,什么是防火墙,防火墙相关概念连接数新建连接数并发连接数吞吐量收、发双向流量状态表,简单包过滤技术简介,概述类似交换机、路由ACL实现原理检查IP、TCP、UDP信息,12,,,http:80,允许访问,简单包过滤技术优缺点,优点速度快，性能高，可以用硬件实现实现原理：检查IP、TCP、UDP信息缺点不能根据状态信息进行控制前后报文无关不能处理网络层以上的信息,状态检测技术简介,概述根据通信和应用程序状态确定是否允许包的通行用于识别或者控制数据流是返回的数据流还是首发的数据流在数据包进入防火墙时就根据状态表进行识别和判断，无需重复查找规则,14,状态检测技术原理,原理示意图安全规则表状态表（五元组及扩展字段）,15,,http:80,规则表：permit any 80 http,状态表：permit 12345 80 httppermit 80 12345 http,状态检测技术原理（续）,原理流程图优点更加安全缺点状态表庞大不能检测应用层协议内容，如URL过滤,16,状态表,规则表,数据流,转发规则,N,Y,状态检测技术存在的问题,问题FTP协议（被动模式）,17,,ftp:21,规则表：permit any 21 ftp,状态表：permit 12345 21 ftp?,状态检测技术的改进,ALG（Application Level Gateway）一个应用由多个通道组成（控制面、数据面）管理通道或者其他通道由内嵌式IP地址或者端口号例：FTP、H.323、SIP、PPTP等FTP解析（passive mode）识别FTP协议读取协议字段,18,应用代理防火墙简介,概述用户数据先到达代理服务器，再由代理服务器进行目标地址访问分类非透明代理透明代理（协议）,19,应用代理防火墙原理,原理,20,,http:80,0,应用代理防火墙优缺点,优点用户数据不与访问目标直接通讯，增强了访问安全性缺点支持的协议比较少HTTPFTPSMTP/POP3TELNET主要是明文协议并且基本是比较老的协议不支持BT这些应用程序,21,防火墙技术总结,22,VPN概念,VPN (Virtual Private Network) 被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。,23,Internet,Intranet,Intranet,VPN隧道,VPN分类,二层VPNPPTP、L2TP工作在数据链路层三层VPNIPSEC、GRE工作在网络层七层VPNSSL VPN工作在应用层,24,IPSEC,IPSEC是提供IP数据安全的行业标准，它为IP数据提供了安全性和完整性服务工作在IP层IPSEC拥有两种协议来提供数据安全Encapsulation Security Payload ESPAuthentication Header AHIPSEC的两种模式传输模式隧道模式,25,Encapsulation Security Payload ESP,定义在RFC 2406IP协议号50提供了数据机密性数据完整性数据源的验证Anti-replay功能ESP可以工作在传输模式或隧道模式下,26,隧道模式下的ESP报文,27,Authentication Header AH,定义在RFC 2402IP协议号51提供了数据完整性数据源的验证Anti-replay功能ESP可以工作在传输模式或隧道模式下,28,隧道模式下的AH报文,29,The Internet Key Exchange (IKE),The Internet Key Exchange (IKE)为安全协议的协商提供标准化的流程UDP协议，500端口可以用来为IPSEC协议提供SA的自动协商功能为IPSEC协商加密和验证的算法（这些加密/验证的算法被称为proposal）为加密/验证算法自动 提供需要的密钥（并不断更新）提供网关识别功能,30,Security Associations (SA),SA是一系列用以保护端对端信息安全的策略和密钥SA通过以下三个要素被唯一化Security Parameters Index SPI（安全参数索引）目的端IP地址安全协议（ESP或AH）IKE的Phase1和Phase2都会产生相应的SAPhase1的SA是双向的，Phase2的SA是单向的,31,IKE的两个阶段,Phase1两端建立一个互相信任的、安全的通道使用DH密钥交换来产生一个两端一致的对称密钥协商加密算法（DES、3DES）、HASH算法（MD5、SHA）、认证方法（预共享密钥、证书）有两种工作模式主模式（Main mode） - 两端都使用静态IP地址野蛮模式（Aggressive mode） - 一端使用了动态IP地址Phase2通过Phase1建立的隧道来协商后续的SA协商IPSEC协议（ESP、AH）、HASH算法（MD5、SHA）、是否加密以及加密算法（DES、3DES）,32,Q&A,用户反映上网慢，有时要多次才能打开一个网页，为什么？通过防火墙是否可以实现数据单向访问？IPSEC的两种工作模式？ESP和AH的区别？,33,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,34,防火墙管理,管理方式WEB证书方式（常用）USB-KEY方式命令行管理ConsoleSSH（远程）Telnet（从其它设备）,35,防火墙管理,WEB管理方式默认管理地址：00:6666管理主机IP：00（左侧第一个接口）管理证书：证书安装密码123456用户名/密码：admin/firewall,36,防火墙管理,WEB管理方式扩展管理主机不受限制允许多个管理员同时管理允许登陆失败的次数（3-10次）最后一次登陆失败后禁止多少时间再次登陆（30-86400秒）,37,防火墙管理,WEB管理方式扩展通过“接口IP”菜单来设置可管理的接口关于防火墙的“允许Traceroute”,38,Q&A,防火墙通过IP映射规则将内网的一台SSH服务器映射到外网，但外网用户却无法访问，为什么 ？,39,系统配置,系统时钟当“防火墙当前时间”和“管理主机当前时间”相差很多时，会出现无法通过WEB方式管理的问题。出现这种情况时，需要通过Console管理，并通过命令手动设置时钟,40,接口IP管理,网络接口方式网络配置网络接口路由模式混合模式（trunk配置）接口IP配置网络配置接口IP路由接口IP桥接口IP,41,安全规则应用,分类包过滤规则NAT规则IP映射端口映射应用代理,42,包过滤规则,概述定义防火墙的数据转发规则允许禁止默认规则禁止配置安全策略安全规则源、目的地址服务转发规则,43,实战包过滤规则,拓扑图允许PC1访问PC2不允许PC2访问PC1,44,GE1:54,GE2:54,PC1:,PC2:,实战包过滤规则配置,步骤为GE1、GE2配置接口IP添加包过滤规则，允许PC1访问PC2测试PC1可以ping通PC2PC2不可以ping通PC1,45,NAT规则,概述定义防火墙的nat规则配置安全策略安全规则源/目的地址服务转换地址,46,实战NAT规则,拓扑图PC2不配置默认网关,47,GE1:54,GE2:54,PC1:,PC2:,实战NAT规则配置,步骤为GE1、GE2配置接口IP添加nat滤规则，PC1访问PC2时将地址转换为GE2接口IP测试PC1可以ping通PC2PC2收到的ping报文源地址为GE2接口IP,48,端口映射规则,概述将内网IP的端口映射到外网IP的端口配置安全策略安全规则源地址外部地址/内部地址外部/内部端口反向pat（源地址转换）,49,实战端口映射规则,拓扑图PC2不能配置默认网关,50,GE1:54,GE2:54,PC1: HTTP,PC2:,PC3:,实战端口映射规则配置,步骤为GE1、GE2配置接口IP添加端口映射规则，PC2访问GE2接口IP的http端口时，将被映射到PC1测试PC2访问GE2接口的http端口能访问到PC1的WEB服务PC3访问GE2接口的http端口能访问到PC1的WEB服务,51,对象定义,概述定义一组对象，以便被安全规则或其他应用所引用分类地址地址列表：由一段连续的地址组成地址组：地址列表的集合NAT地址池：用于NAT的地址池服务服务列表：协议、源端口、目标端口服务组：服务列表的集合代理（略）时间（略）,52,地址列表,配置对象定义地址地址列表IP段/子网掩码起始IP地址,53,地址组,配置对象定义地址地址列组引用多个地址列表,54,NAT地址池,配置对象定义地址NAT地址池IP段/子网掩码起始IP地址IP段/子网方式下每个NAT地址池最大IP数量128个；起始IP地址方式下每个NAT地址池最大IP数量254个,55,服务列表-基本服务,配置对象定义服务服务列表基本协议：TCP、UDP、指定协议号源端口：0-65535目的端口：开放服务端口,56,服务列表-动态服务（ALG）,配置对象定义服务服务列表动态动态协议类型：FTP、H323、PPTP、TFTP、RTSP、MMS、SIP、SQLNET、GateKeeper源口号：开放服务端口,57,对象引用,地址列表/地址组安全规则的源地址/目的地址引用NAT地址池NAT规则的源地址转换引用服务列表/服务组安全规则的服务引用,58,静态路由,配置网络配置策略路由添加路由目的地址（全0表示默认路由）下一跳地址选择PBR端口,59,策略路由（PBR）,配置网络配置策略路由添加源路由源地址（NAT后的地址）目标地址（全0表示全匹配）下一条地址,60,防火墙处理数据流程,常用功能包过滤、NAT、端口映射、静态路由、PBR常用功能匹配顺序状态表安全规则PBR静态路由安全规则匹配顺序由上至下匹配静态路由匹配顺序目的地址最长匹配PBR匹配顺序先源地址最长匹配、后目的地址最长匹配,61,实战防火墙路由模式,拓扑图,62,PC1:,GE3:27/25,SERVER:,GE4:54,GE2:26/25,F0/0:27/25,GE1:7/30,F0/0:8/30,/15/12/12,,loopback0,loopback0、1、2,NAT:29-254,NAT:-125,FTP 6666HTTP 8080,实战防火墙路由模式配置,步骤配置连通性对象定义配置包过滤配置NAT配置路由静态路由默认路由,实战防火墙透明模式,拓扑图,64,PC1:,F0/2:27/25,SERVER:,F0/1:54,FTP 6666HTTP 8080,GE1,GE2,26,实战防火墙透明模式配置,步骤配置连通性对象定义配置包过滤,Q&A,可以创建多个超级管理员账户吗？,66,课程内容,第一章 RG-WALL系列防火墙产品介绍第二章 RG-WALL系列防火墙技术原理第三章 RG-WALL系列防火墙基本配置第四章 RG-WALL系列防火墙日常维护,67,命令行操作,查看接口IPsysip disp添加接口IPsysip add 删除接口IPsysip del ,68,命令行操作,查看系统信息sysinfo dispLicense设备型号软件版本序列号,69,命令行操作,查看系统时间systiem disp设置系统时间systime set ,70,命令行操作,查看系统配置syscfg disp保存系统配置syscfg save恢复出厂配置syscfg reset,71,命令行操作,查看管理主机mnghost disp打开/关闭管理主机不受限制mnghost limitless on/off添加、删除管理主机mnghost add/del ,72,命令行操作,管理账户解锁mngacct unlock多管理员同时登陆mngacct multi on/off添加、删除管理账户mngacct add/del ,73,查看防火墙连接,查看方法系统监控网络监控实时监控,74,资源状态,查看方式系统监控资源状态CPU统计图系统监控资源状态内存统计图,75,网络接口,查看方法系统监控网络接口选择接口统计图,76,安全