防火墙培训教材

1、防火墙培训教材防火墙培训教材课程目标课程目标规范公司员工合理有效的上网规范公司员工合理有效的上网 策略策略 :地址、服务、时间、流量监控、地址、服务、时间、流量监控、认证、认证、 会话控制、日志会话控制、日志 地址绑定地址绑定分支机构、移动办公分支机构、移动办公, 安全连入总部安全连入总部 （L2、 ） 分公司为星型分公司为星型冗余冗余策略的组成策略的组成 源地址目的地址源地址目的地址 地址地址 地址群地址群 服务服务 预定义服务预定义服务 定制服务定制服务 定制服务群定制服务群 动作动作 会话控制会话控制 日志日志 高级选项高级选项 时间、流量控制时间、流量控制/统计、认证统计、认证地址地址

2、服务服务动作动作日志日志流量统计流量统计认证认证一、安全策略一、安全策略创建策略创建策略 模式模式 组成组成选择与的安全区选择与的安全区源目的地址源目的地址通过下拉菜单选取前面通过下拉菜单选取前面设定的地址设定的地址服务服务通过下拉菜单选取前面通过下拉菜单选取前面设定的服务设定的服务行动行动允许允许, 拒绝拒绝, 安全隧道安全隧道日志日志认证，流量控制、统计认证，流量控制、统计认证认证流量控制流量控制流量统计流量统计重点：流量控制，认证。重点：流量控制，认证。 针对不同的服务或者部门，可以制定不同的流量策略针对不同的服务或者部门，可以制定不同的流量策略，保证其带宽。，保证其带宽。 重要资源要求

3、身份认证重要资源要求身份认证安全策略的顺序安全策略的顺序 新策略加载在最后新策略加载在最后 在所有策略的末尾有隐含的在所有策略的末尾有隐含的 的策略的策略 顺序非常重要，改变策略的顺序会影响到实际应用效果顺序非常重要，改变策略的顺序会影响到实际应用效果 公司内部员工随意更改地址，导致地址冲突公司内部员工随意更改地址，导致地址冲突 外来人员随意接入，影响公司网络安全外来人员随意接入，影响公司网络安全利用防火墙实现地址绑定利用防火墙实现地址绑定实现绑定功能需要三个步骤实现绑定功能需要三个步骤1、强迫执行目地扫描：、强迫执行目地扫描： 2、作静态绑定：、作静态绑定： 10.0.0.250 0002b

4、34896 3、设置一个地址组，它只包含做地址绑定的那些地址。、设置一个地址组，它只包含做地址绑定的那些地址。然后设置一个策略，只让这个地址组通过。然后设置一个策略，只让这个地址组通过。 注：此功能只能通过命令行来实现。注：此功能只能通过命令行来实现。 绑定图示绑定图示 到防火墙接口到防火墙接口二二 应用应用 的应用说明：的应用说明： 的网络安全防火墙设备的应用模式较多，包括：的网络安全防火墙设备的应用模式较多，包括：基于策略的、基于路由的，集中星形和背靠背等。在基于策略的、基于路由的，集中星形和背靠背等。在这里，我们主要介绍最常用的模式：策略。这里，我们主要介绍最常用的模式：策略。 首先，如

5、何配置两种策略，一种是点对点的应用，一首先，如何配置两种策略，一种是点对点的应用，一种是拨号应用。其中点对点包括静态种是拨号应用。其中点对点包括静态/动态对静态，拨动态对静态，拨号包括号包括L2和客户端两种。和客户端两种。 其次，其次， 介绍介绍 和冗余。和冗余。静态对静态配置静态对静态配置地址对象地址对象服务对象服务对象网关网关 对象对象安全策略安全策略 总部总部分部分部13总部总部A与分部与分部C之间的之间的 总部总部A部分的部分的 设置设置 的设置的设置 的设置的设置策略设置策略设置分部分部C部分的部分的 设置设置 的设置的设置的设置的设置策略设置策略设置 14总部总部A 的设置的设置1

6、5总部总部A 的设置的设置16总部总部A 的设置的设置 高级选项高级选项17总部总部A 配置配置18总部总部A 配置配置 高级选项高级选项19总部总部A 策略的设置策略的设置20分部分部C 的设置的设置21分部分部C 的设置的设置22分部分部C 的设置的设置 高级选项高级选项23分部分部C 配置配置24分部分部C 配置配置 高级选项高级选项25分部分部C 策略的设置策略的设置动态对静态动态对静态 配置一配置一基本与静态对静态基本与静态对静态 设置内容一致设置内容一致地址对象地址对象服务对象服务对象网关（动态方网关（动态方 ） 对象对象安全策略安全策略 总部总部分部分部动态对静态动态对静态 配置

7、二配置二 移动用户移动用户拨号用户拨号用户地址对象地址对象+拨号用户地址池拨号用户地址池服务对象服务对象网关网关2 对象对象安全策略安全策略 总部总部28L2 客户端客户端访问总部访问总部A的服务器的服务器L2 的设置的设置 安全策略安全策略客户端的设置客户端的设置 L2 设定部分设定部分 设定设定L2用户名用户名/密码密码29配置配置L2用户用户30配置配置L2 31L2 策略的设置策略的设置32 客户端的配置客户端的配置 0133 客户端的配置客户端的配置 0234 客户端的配置客户端的配置 0335 客户端的配置客户端的配置 0436 客户端的配置客户端的配置 0537 客户端的配置客户

8、端的配置 0638 客户端的配置客户端的配置 07注意：注意：远程用户所在的内部网络不能与远程用户所在的内部网络不能与 内部网络相同的子网。内部网络相同的子网。在在 2003创建一条创建一条L2 在在 下面要修改注册表：下面要修改注册表：开始开始/运行，找到下面这个路径运行，找到下面这个路径,新增或修改的值为新增或修改的值为1。重启计算机。重启计算机。 40 软件客户端软件客户端访问总部访问总部A的服务器的服务器 设置设置 设置设置 安全策略安全策略 客户端的设置客户端的设置 设定部分设定部分 设定用户的设定用户的 41配置用户配置用户设置设置 42配置配置 1 43配置配置 高级选项高级选项

9、 1 44配置配置 245配置配置 高级选项高级选项 246总部总部A 策略的设置策略的设置47 远程客户端的配置远程客户端的配置 0148 远程客户端的配置远程客户端的配置 0249 远程客户端的配置远程客户端的配置 0350 远程客户端的配置远程客户端的配置 0451 远程客户端的配置远程客户端的配置 05 介绍介绍 网关首先它是一种基于架构的远程访问方式，作为一网关首先它是一种基于架构的远程访问方式，作为一种新兴的技术，与传统的种新兴的技术，与传统的 技术各具特色，各有千秋。技术各具特色，各有千秋。 比较适合用于移动用户的远程接入比较适合用于移动用户的远程接入()，而，而 则在网对网则在

10、网对网()的连接中具备先天优势。的连接中具备先天优势。 与与 区别区别 1、 多用于多用于“网网网网”连接，连接， 用于用于“移动客户移动客户网网”连连接。接。 的移动用户使用标准的浏览器，无需安装客户的移动用户使用标准的浏览器，无需安装客户端程序，即可通过端程序，即可通过 隧道接入内部网络隧道接入内部网络;而而 的移动用的移动用户需要安装专门的客户端软件。户需要安装专门的客户端软件。 2、 用户不受上网方式限制，用户不受上网方式限制， 隧道可以穿透隧道可以穿透;而客户而客户端需要支持端需要支持“穿透穿透”功能才能穿透，而且需要打开功能才能穿透，而且需要打开500端口。端口。 4、 只需要维护

11、中心节点的网关设备，客户端免维护只需要维护中心节点的网关设备，客户端免维护，降低了部署和支持费用。而，降低了部署和支持费用。而 需要管理通讯的每个节需要管理通讯的每个节点，网管专业性较强。点，网管专业性较强。 5、 更容易提供细粒度访问控制，可以对用户的权限更容易提供细粒度访问控制，可以对用户的权限、资源、服务、文件进行更加细致的控制，与第三方、资源、服务、文件进行更加细致的控制，与第三方认证系统认证系统(如、等如、等)结合更加便捷。而结合更加便捷。而 主要基于五元组主要基于五元组对用户进行访问控制。对用户进行访问控制。 与与 区别区别速度偏慢解决方案速度偏慢解决方案 远程接入远程接入 应用应用企业部门数据比较集中，随着商务模式的不断变化，远程企业部门数据比较集中，随着商务模式的不断变化，远程办公、移动办公越来越多，但对于来说相对速度较慢，不能完办公、移动办公越来越多，但对于来说相对速度较慢，不能完美地解决此问题。美地解决此问题。 远程接入不需要对原有的网络有变更，只需在单位局域远程接入不需要对原有的网络有变更，只需在单位局域网内放置一台服务器，移动办公客户端无需安装任何的客户端网内放置一台服务器，移动办公客户端无需安装任何的客户端软件，实现零客户端安装，通过方式即可访问。使用轻松简洁软件，实现零客户端安装，通过方式即可访问。使用轻松简洁，十分人性