天融信防火墙配置与维护

中国信息安全领导企业天融信防火墙产品配置与维护

February6,2023内容提纲防火墙基本应用防火墙高级应用防火墙常见问题与排除综合实验案例介绍Internet一种高级访问控制设备，是置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙简介内部网防火墙提供的通讯模式透明模式(提供桥接功能)在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。路由模式(静态路由功能)在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP地址。综合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境

透明模式的典型应用Internet内部网ETH0：ETH1：ETH2：0/24网段0/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。路由模式的典型应用Internet内部网ETH0：ETH1：ETH2：0/24网段0/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。综合接入模式的典型应用ETH1：02ETH2：00/24网段/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24网段ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)

在配置防火墙之前的准备网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，具体请见下表：防火墙的工作状态串口(console)管理方式：用户名superman，口令：talent,用passwd修改管理员密码，请牢记修改后的密码。WEBUI管理方式：

超级管理员:superman，口令:talentTELNET管理方式：

模拟console管理方式，用户名superman，口令：talentSSH管理方式：

模拟console管理方式，用户名superman，口令：talent防火墙的管理方式防火墙的CONSOLE管理方式超级终端参数设置：防火墙的CONSOLE管理方式输入helpmodechinese命令可以看到中文化菜单防火墙的WEBUI管理方式在浏览器输入：HTTPS://54，看到下列提示，选择“是”防火墙的TELNET管理方式通过TELNET方式管理防火墙：网络卫士防火墙配置思路：一、配置网络连通二、配置安全控制防火墙的配置思路1.配置区域和接口2.配置路由3.配置地址转换1.规划好需要制定什么样的访问策略2.配置访问控制3.调整安全参数（管理员、密码等）拓朴描述原有网络网络规划后防火墙的基本应用配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略（通讯策略）保存和导出配置定义区域在“对象”－”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“定义区域的服务在“系统管理”－“配置”－“开放服务”里给区域定义服务路由模式－配置接口IP进入防火墙管理界面，点击”网络管理“

”接口“可以看到物理接口定义结果：点击每个接口的”设置”按钮可以修改每个接口的名称、地址、模式等透明模式TRUNK模式配置要点

配置接口为TRUNK

添加需要透传的VLANID号ACCESS模式配置要点

配置接口模式为ACCESS，并设置该接口属于哪个VLAN

添加VLAN

定义VLAN定义一个VLAN。点击“网络管理”－“二层网络”－“添加/删除VLAN范围”设置vlanID定义VLAN的IP地址，更改接口模式设置VLAN地址设置接口工作模式及地址设置防火墙路由设置缺省网关时，源和目的一般为全“0”防火墙的缺省网关在静态路由时，必须放到最后一条路由定义对象－主机对象点击：”资源管理“－“地址”－“主机”，点击右上角“添加”定义对象－主机对象主机对象中可以定义多个IP地址定义对象－地址对象和子网对象定义地址转换（通信策略）根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网要访问WEB服务器的映射地址，也要定义MAP策略定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址；也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”）配置MAP（映射）策略，源选择外网区域“area_eth0”目的选择映射后的公网IP地址（也就是WEB服务器－MAP），目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实IP地址），选择“WEB服务器”主机对象即可。定义地址转换（通信策略）设置好的地址转换策略（通信策略）第一条为内网访问外网做NAT；（源转换）第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP；（目的转换）制定访问规则（1）第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”；目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]”制定访问规则（2）定义访问规则（3）第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器—MAP“地址。转换前目的选择”WEB服务器“（服务器真实的IP地址）点选“高级”选择源AREA－area_eth0选择目的－“WEB服务器－MAP”“服务”－“HTTP”定义访问规则定义好的两条访问策略配置保存点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定”即可保存当前配置查看配置、导出配置在“系统管理”－“维护”中进行防火墙当前配置的保存、下载、上传等操作按照下图中数字所示顺序即可把防火墙配置导出到本地，其中配置替换是把本地配置导入到防火墙时候用的。内容提纲防火墙基本应用防火墙高级应用防火墙常见问题与排除综合实验案例介绍防火墙的高级应用策略路由应用应用程序识别部分DPI（URL）过滤全面支持DHCP链路备份流量管理双机热备策略路由策略路由与静态路由都用于定义数据包转发规则，比传统路由控制能力更强，使用更灵活，根据协议类型、应用、IP源地址或者其它的策略来选择转发路径。这种方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信，从而进一步增强了网络的通信安全。需求1：电信和网通用户可以分别通过两个不同的公网地址来访问企业内网的一台服务器；而且内网服务器回复报文遵循电信用户使用电信出口，网通用户使用网通出口的规则。需求2：内网服务器22访问外网使用电信线路，其他使用网通。策略路由配置要点：添加路由绑定属性添加路由条目应用程序识别IM实现方式及功能支持协议：QQ、MSN、SKYPE；实现内容：禁止IM客户端登陆；实现方式：根据登陆过程的协议特征进行判断；P2P实现方式及功能支持协议：BT、eDonkey；实现内容：禁止下载、QOS限制和连接数限制；实现方式：根据数据开始特征进行判断内容过滤支持对HTTP、SMTP、POP3、IMAP、FTP等协议的深度内容过滤支持URL过滤。支持对移动代码如Javaapplet、Active-X、VBScript、Javascript的过滤。支持对邮件的收发邮件地址、文件名、文件类型过滤。支持对邮件主题、正文、收发件人、附件名、附件内容等关键字匹配过滤。支持GB2312、UTF-8等多种编码方式。可屏蔽受保护主机/服务器系统信息，如替换服务器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。案例介绍-内容过滤需求：开启DPI过滤禁止访问sina和sohu；开启应用程序识别每周一到周五上午9：00－17：00禁止使用QQ/BT;其他时间可以使用QQ/MSN案例介绍-URL过滤URL过滤配置要点：DPI应用端口绑定添加URL对象添加HTTP过滤策略引用到访问控制案例介绍-应用程序识别应用程序识别配置要点：添加应用程序识别策略引用到防火墙访问控制防火墙高级应用－DHCP网络卫士防火墙提供比较全面的DHCP服务功能，能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP服务：作为DHCP客户端，从DHCP服务器获取动态IP地址；作为DHCP服务器，集中管理和维护客户网络主机IP地址分配；作为DHCP中继，转发DHCP报文；同时作为DHCP服务器和DHCP客户机（需工作在网络卫士防火墙的不同接口上）；网络卫士防火墙可以作为DHCP客户端，接口可以自动获取某个IP地址。在这种情况下，网络卫士防火墙的某些接口或全部接口将由DHCP服务器动态分配IP地址。设置要自动获得IP地址的接口，点击“运行”后该接口将从DHCP服务器自动获取IP地址。要禁止接口获得IP地址，点击“停止”，该接口将停止从DHCP服务器自动获取IP地址。防火墙高级应用－做DHCP客户端该接口必须工作在路由模式下。防火墙高级应用－做DHCP服务器配置要点：开放对应区域的DHCP服务配置DHCP地址池指定DHCP运行接口网络卫士防火墙提供DHCP中继服务，即支持某一网段的主机连接到位于另一网段的DHCP服务器。输入网络上的DHCP服务器地址，并填写指定客户端所在端口，还有接受server回应的端口。点击“运行”，启动中继服务。防火墙高级应用－做DHCP中继防火墙高级应用－链路备份用户环境为双出口链路时，天融信防火墙实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。配置要点：配置网络；配置二条路由；设置链路备份参数；防火墙高级应用－流量管理

通过QoS管理，用户可以根据实际用户网络规划，方便、灵活地定制带宽策略，防止带宽滥用现象，并可以确保关键应用的带宽需求。配置要点：设置采用QoS的物理接口；在接口下设置一到多个类及其子类；在类下设置数据流的匹配规则；注意事项：必须在第二级以上Class下设置rule才生效数据先过防火墙再进行限制防火墙高级应用－双机热备在双机热备模式下（最多支持九台设备），任何时刻都只有一台防火墙（主墙）处于工作状态，承担报文转发任务，一组防火墙处于备份状态并随时接替任务。当主墙的任何一个接口（不包括心跳口）出现故障时，处于备份状态的防火墙经过协商后，由优先级高的防火墙接替主墙的工作，进行数据转发。配置要点设置HA心跳口属性设置除心跳口以外的其余通信接口属于VRID10指定HA的工作模式及心跳口的本地地址和对端地址主从防火墙的配置同步防火墙高级应用－双机热备注意事项度量值大优先心跳口IP大优先内容提纲防火墙基本应用防火墙高级应用防火墙常见问题与排除综合实验案例介绍常见问题分析和解决办法工具介绍防火墙监控工具辅助命令介绍常见问题和解决办法防火墙无法管理长连接问题访问控制导致网络和应用异常FAQ锦集防火墙监控工具的使用(1)

功能:

1.集中管理天融信设备。

2.读取防火墙内存，可以实时看到防火墙上的连接状态。3.实时监控防火墙的硬件信息并提示报警信息。工具获取地址：

1.防火墙光盘里。2.用户名:tos密码:tos使用方法：1.安装程序

防火墙监控工具的使用(2)

使用方法:2.添加设备防火墙监控工具的使用(3)

使用方法:2.右键设备功能介绍监控防火墙CUP等信息进入防火墙WEB管理界面防火墙连接实时监控防火墙工具-TCPDUMP

通过CONSOLE或TELNET、SSH方式进入到>SYSTEM菜单下，输入TCPDUMP命令进行抓包辅助工具-Ping、tracertnetworksession命令介绍

命令：networksessionshowmax-user功能：显示按连接数排序的IP用户信息快速定位某个IP的连接是否正常。

防火墙无法管理(1)问题描述:

通过WEB,telnet方式无法管理防火墙,但是应用都正常。问题分析：

安全设备自身对外提供的服务默认都是关闭的，因此在应用正常的情况下，访问防火墙设备功能异常的时候优先考虑对外服务是否开启解决办法：1.查看管理PC对应防火墙哪个接口2.我们使用IP已经无法进入防火墙管理了，使用CONSOLE口登陆防火墙，输入defineareashow(查看区域配置)

防火墙无法管理(2)解决办法：3.输入命令pfservershow

这里可以看到对应的区域名开放了哪些服务，如没有按照命令格式添加。解决办法2：

如果是误删导至无法管理防火墙，可以在不影响业务的情况下重启防火墙将防火墙配置恢复到上一次保存时的配置。

长连接问题问题描述：

在使用数据库和视频连接的时候，过了一段时间业务提示和服务器断开连接，重新连接就可以连上，影响了处理业务的效率。

问题分析：

安全设备在设计上考虑安全性和性能，通常设置了连接超时时间。

在防火墙“系统参数---配置---高级属性勾上”可以查看超时时间。解决办法：

在访问控制添加策略，指定访问源、访问目的地、目的端口(建议使用详细端口)。在选项里把普通连接改为长连接。

访问控制导致网络和应用异