亿阳网警3000系列防火墙.ppt

1、亿阳网警BOCO.SFW-3000系列防火墙（V2.2.8）,亿阳安全技术有限公司 ,一、信息安全基础简介 二、防火墙技术简介 三、亿阳网警防火墙产品介绍 四、亿阳网警防火墙快速安装 五、亿阳网警防火墙基本配置 六、亿阳网警防火墙典型应用 七、FAQ,一、信息安全基础简介,信息安全的定义,信息安全的三个表现方面 机密性（信息只有经过授权的用户采允许访问，不被泄露） 完整性（信息在处理和交换过程中前后的一致性，没有被修改） 抗抵赖性（信息在处理和交换的过程中，其主体的身份不可被冒充）,信息安全工作的两个方面,客体安全 面向数据和信息的安全 主体安全 面向访问者（人）的安全,信息安全事件的模式,攻

2、击工具 攻击命令,攻击机制,目标网络,目标系统,攻击者,主体,客体,攻击事件和过程,信息安全的威胁主体,内部人员（占绝大部分） 准内部人员 外部个人和小组（所谓黑客） 竞争对手和恐怖组织 敌对国家和军事组织 自然和不可抗力,信息安全的客体脆弱性,系统自身导致的脆弱性 原理性的问题 BUG 有意（恶意） 管理不当导致的脆弱性 环境安全脆弱性,常见的攻击手段,社会工程学 物理攻击 行为学攻击 系统攻击 侦察攻击 入侵攻击 拒绝服务攻击（DoS：Denial of Service）,信息安全的几个特性（一）,安全的相对性原则 没有100%的绝对安全，只有相对的安全 安全是在一定的成本代价下，将风险降

3、到最低的一个过程 安全建设需要权衡以下关系： 可用性与安全性 易用性与安全性 经济性与安全性,信息安全的几个特性（二）,木桶原理 安全是一个分布性多层次的问题 任何一个环节出了问题，其余的层次安全强度再高也没有意义 系统的安全性取决于系统中最薄弱的一环！,千里长堤，溃于蚁穴,信息安全的几个特性（三）,三分技术、七分管理 信息安全是一个系统工程，单纯靠技术无法解决整体问题 信息安全不是靠技术产品的堆砌，需要用管理的手段将这些产品功能发挥至最大,二、防火墙技术简介,防火墙的概念,防火墙的本义原是指房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。然而，多数防火墙里都有一个重要的门，

4、允许人们进入或离开房屋。因此，防火墙在提供增强安全性的同时允许必要的访问。 计算机网络安全领域中的防火墙(Firewall)指位于不同网络安全域之间的软件和硬件设备的一系列部件的组合，作为不同网络安全域之间通信流的惟一通道，并根据用户的有关安全策略控制(允许、拒绝、监视、记录)进出不同网络安全域的访问。,防火墙部署模型,防火墙的作用,在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(即通常讲的内部网络)的连接，同时不妨碍本地网络用户对风险区域的访问。防火墙可以监控进出网络的通信，仅让安全、核准了的信息进入，抵制对本地网络安全

5、构成威胁的数据。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使用户强化自己的网络安全政策，简化网络的安全管理。,包过滤,数据包 -,包过滤策略1: - 通过,包过滤策略2: - 丢弃,包过滤策略n,包过滤策略3: - 丢弃,包过滤策略4: - 丢弃,按包过滤策略顺序逐条匹配，直到匹配到某一条策略时，按该策略所设定的动作对数据包进行处理，如果所有策略都不区配，则防火墙丢弃该数据包 在上图中，该数据包将匹配到策略4，防火墙按该策略定义的动

6、作对数据包做丢弃处理,NAT,地址转换可以起到隐藏内部网络结构和解决IP地址不足的问题。亿阳网警防火墙支持双向地址及服务转换功能（SNAT和DNAT）： SNAT在IP层上通过对源地址的转换提供IP地址(池)复用，解决IP地址不足的问题，对外隐藏内部的网络地址； DNAT在IP层上通过对目的地址的转换可以达到外部网络对内部网中服务器的访问，实现解决IP地址不足和对外隐藏内部网结构的作用。,NAT,防火墙 外网口: ,数据包 :2234-:80 SYN :2543-:80 SYN :2234-:

7、80 SYN :2234-:80 SYN,状态表 :2234-:80 应答 0- :2234 SYN :2543-:80 应答 0- :2543 SYN :2234-:80 应答 0- :2238 SYN :2234-:80 应答 0- :2234 SYN :1342-:80 应答 0

8、:80-:1342 SYN,数据包 :1342-:80 SYN,NAT策略 来自/24数据包 源地址- 到:80数据包 目的地址-0,SNAT,Internet,FW内口：66,FW外口：66,1,DNAT,Internet,FW内口：66,FW外口：66,Ftp Server,防攻击,数据包 :2231-:135 SYN :2542-:135 S

9、YN :1233-:135 SYN :4234-:135 SYN :2265-:135 SYN :2237-:135 SYN :2238-:135 SYN :2239-2.2.2.n:135 SYN,目前病毒泛滥，中毒的机器疯狂地向外部发起扫描以寻找其他机器的漏洞从而将病毒感染到其他机器。通过对报文的特征分析可以看出，病毒发出的扫描报文都是新建会话的报文，并且源IP地址保持不变，通过限制每一个源IP地址所发出的新建会话报文的速率，就可大大降低

10、病毒所造成的危害，减少病毒报文所占用的出口带宽。,数据包 :2231-:135 SYN :2542-:135 SYN,三、亿阳网警防火墙产品介绍,亿阳网警防火墙所获资质,公安部销售许可证 国家保密局颁发的技术鉴定证书 国家信息安全测评认证中心认证 赛迪评测中心2002年度精品 2003年百兆防火墙横向评测应用创新奖 2004年中国网络安全系统防火墙技术与应用大会推荐防火墙 3.15质量无投诉、服务无投诉诚信企业 产品质量满意、售后服务满意十佳企业 中国人民解放军测评中心认证（B+） 国家信息安全认证产品证书（EAL3级） ,部分成功案例,

11、中国证监会 上海证券交易所 深圳证券交易所 中国工商银行总行清算中心 中国人民银行呼和浩特市中心支行营业部 中国银行黑龙江省分行 中国人民保险公司广州分公司 青岛万通证券 武汉人民银行 吉林省建设银行 浙江省某市农村信用社 ,中华人民共和国外交部 中华人民共和国审计署 中华人民共和国民政部 国家无线电监测中心 国家贸易局 黑龙江省政府 哈尔滨市高新技术开发区 吉林省公安厅 北京各个区县金财、东北三省、河北省等十几省金财 江西地税,亿阳网警3000防火墙特点,亿阳网警防火墙结合以下设备的最佳特性： 包过滤防火墙 代理防火墙 状态检测防火墙,亿阳网警防火墙是基于增强的状态检测安全技术的混合型防火墙

12、,亿阳网警3000防火墙特点,专有BOS操作系统 全状态检测包过滤功能 完全的透明实现 真正强化的MAC地址绑定功能 基于源地址的策略路由功能 完善可靠的日志服务 安全灵活的管理方式 智能内容过滤功能 超强的扩充能力 强大的抗攻击能力 ,新版防火墙特色,支持物理接口冗余； 支持双活ISP接入； 支持固/动态链路备份的高可用性； 支持用户（组）策略绑定； NTP支持； 防火墙系统支持对象中文命名； 活跃连接的查询、及时阻断； 支持对P2P软件如BT、eMule/eDonkey的控制；支持对及时通讯软件如QQ、MSN的控制； 支持整合型策略配置； 支持URL过滤，同时支持白名单和黑名单；,支持路由

13、模式、透明接入（桥模式）、透明路由混合接入等模式，支持模式切换不重新引导防火墙系统； 支持MAC/IP绑定，要求自动收集IP、MAC地址的信息，包括手动绑定和自动绑定两种方式。 支持对连接主机IP的最大连接数限制功能，支持基于源地址、目的地址的连接速率的控制； 产品支持本地升级、远程在线FTP升级； 产品支持热备份，热备份在产品的各种应用模式均适应，同时启用热备功能不需要单独占用物理端口,新特性！,技术优势,高性能，新建速率均在15K以上 支持对P2P软件如BT、eMule/eDonkey的控制；支持对及时通讯软件如QQ、MSN的控制 支持对连接主机IP的最大连接数限制功能，支持基于源地址、目

14、的地址的连接速率的控制 产品支持本地升级、远程在线FTP升级 产品支持热备份，热备份在产品的各种应用模式均适应，同时启用热备功能不需要单独占用物理端口 NTP支持 ,四、亿阳网警防火墙快速安装,快速安装准备,一、了解用户需求 了解周边网络环境（交换机、路由器及相关配置） 了解用户业务、需要开放的服务等 二、初始化防火墙 结合用户网络结构，绘制网络拓扑图 明确防火墙接入位置，确定接入模式 对防火墙进行初始化设置 配置日志服务器地址 增加安全管理员用户 增加审计管理员用户,快速安装准备,三、添加相应属性 添加地址属性、添加服务属性、添加时间属性 四、规则设置 包过滤规则（按照从宽到细的顺序添加）

15、地址转换规则 路由管理规则,快速安装准备,五、针对用户的要求，对前面制定的规则进行细化，关闭不必要的服务 六、对配置规则进行备份 保存当前的网络拓扑结构 保存当前的设置规则 导出防火墙的配置规则,快速安装准备,最后步骤 把结果返回给服务中心存档 把导出的规则设置跟用户交代清楚 跟用户建立快速沟通关系，及时响应,防火墙前面板特征,产品标识（B）：标识亿阳防火墙的型号等信息 电源指示灯：用于指示当前防火墙的电源开关状态 内网口：一般配置成可信内网接口 外网口：一般配置成不可信的外部网络接口 DMZ接口：一般配置成停火区，主要用于隔离服务器网段 配置口：管理员命令行控制的硬件接口，一般为RS232接

16、口,防火墙后面板特性,电源开关：控制防火墙的电源 电源插孔：适用于AC 220V（正负偏差5%） 锁：打开/关闭防火墙机箱盖，增强安全性 注意：以上显示的是亿阳网警BOCO.SFW-3000E型号防火墙的前后面板，不同型号的防火墙前后面板会存在一定差距，但各项标识的功能是一致的,防火墙安装前注意事项,选择适合的安装地点： 防火墙应安装在一个安全场所，即只有安全管理人员可以进入的地点。把亿阳网警BOCO.SFW-3000防火墙安装到一个19吋机架固定件上，只能由带有钥匙的维护人员才能进入此场所或采取其他安全措施来保证设备的物理安全 不要在具有过多的潮气、热量、灰尘或气载沉降物中的场所，安装亿阳网

17、警BOCO.SFW-3000防火墙 不要把防火墙安装在强磁场的环境中，例如靠近电视或监视器的地方 要把亿阳网警防火墙安装在一个通风状况良好的地方。要避免阻塞此设备一侧的制冷通风口，以及背板上的向外排气的通风口,防火墙安装前注意事项,选择安全的设备装置： 只使用和亿阳网警BOCO.SFW-3000相配套的电源线 当拔掉电源线的时候，要抓住插塞拔，不要拉电源线 为了保护亿阳网警BOCO.SFW-3000防火墙免受电源波动的影响，进而造成此设备的损坏，应使用一个浪涌抑制器或一个非间断电源(UPS)。这些设备应该接到独立的电源上 把网络电缆放在远离人踩踏或不绊倒人的地方 为了避免电击的危险，不要在电气

18、扰动的时候安装亿阳网警BOCO.SFW-3000防火墙 从电源上插入和拔掉电源线之前，要始终关闭亿阳网警BOCO.SFW-3000防火墙和其他的设备,防火墙安装前注意事项,非用户使用部分的警告： 除非亿阳信通有限公司做出了明确的认可，否则用户对本产品所作的任何改动都有可能导致操作此设备无效 若产品报废，应该根据国家法律和规定作最终的处置 不要把电话线连向如下接口：以太网口，配置口,Warning！,路由模式接入拓扑结构,透明模式接入拓扑结构,五、亿阳网警防火墙基本配置,亿阳网警BOCO.SFW-3000防火墙可以工作在三种模式下：透明模式（桥模式）、路由模式、混合（透明和路由混和使用）接入模式

19、 配置更为灵活，可以将部分接口配成桥，再跟剩下的接口配置路由方式 支持完全web下配置 支持模式切换不重新引导防火墙系统,工作模式,管理方式,命令行 -串口 -SSH WEB/GUI,命令行登录（超级终端）,步骤1 取出配置口线，一端接入防火墙配置口，一端接入PC机配置口 步骤2 启动PC机和防火墙 步骤3 等待防火墙启动（大约需20秒钟） 步骤4 打开PC机“开始程序附件通讯超级终端”。 步骤5 将超级终端的初始设置选定为默认值（9600/VT100）,命令行登录（超级终端）,防火墙启动后，超级终端显示如下登录界面,输入以下默认口令登录防火墙控制系统： login: administrato

20、r password: bocoboco 输入用户名、口令后，系统出现提示符“BocoFW ”表示已经成功登录防火墙，可以对防火墙进行设置了,命令行登录（超级终端）,也可以通过SSH登录命令行对防火墙进行管理，登录过程同串口方式类似 SSH方式适用于远程命令行方式对防火墙进行管理 推荐软件：Putty、SecureCRT,登录界面（SecureCRT）,提示：输入”?”可以获得当前可操作命令的提示，如下图：,初始化配置防火墙,基本配置命令： network interface show network route show policy show save reboot loaddefault

21、 ,我们通过两个防火墙配置当中最基本的例子来了解如何通过命令行对亿阳网警BOCO.SFW-3000(V2.2.8)防火墙进行一些基本的配置。 （注：在知道默认IP（9）的前提下，所有的配置，包括模式的切换，都可以通过WEB方式进行配置，非常方便直观）,在路由模式下，可以把私有内部网上的内部IP地址转换成外部IP地址，用来在外部公众网络上传输。进入的流量会被转发到内部网络中的初始主机上 在下面的例子中，我们需要将防火墙配置为路由接入模式，eth0口接入/24网段，地址配置为9，eth1口接入/16网段，地

22、址配置为99,路由模式配置,通过输入配置命令network interface show 命令可以显示当前网口信息，如下图： （可以看到其他网口都默认为空值，且权限都为disable，只有eth0存在配置信息。出厂默认eth0所有权限都是打开的）,查看当前网口信息,通过network interface eth0 ? 命令可以获得当前可对eth0进行的操作，如下图：,配置eth0口,eth0出厂默认的配置已经是9，所以在这里我们可以不用再对其进行配置,配置eth1口,通过network interface eth1的相关子命令对eth1进行配置，如

23、下图：,用show命令查看一下刚才对eth1的配置：,查看eth1口信息,通过network route show命令来查看当前的路由信息：,配置路由信息,本例以54为外网关路由地址，通过network route add default A.B.C.D 命令添加默认路由信息，如下图：,添加默认路由,本例中配置从内网到外网的路由过程不受任何限制的一个策略-最简单的一种情况 ：全通。,配置策略,以上5步为防火墙快速配置的最基本操作，我们在实际情况中还应该在具体的每一步针对不同的应用环境进行实际的设置 在配置的时候还应该注意，防火墙对命令输入的大小写是进行区分的，比如上面步

24、骤5中配置路由策略的时候， policy add ANY ANY ANY ANY accept ，ANY必须要为大写，否则防火墙是不会识别的。 在查看完所做的配置确定无误之后，用save命令保存一下，否则所做的配置只是保留在内存中，防火墙重启之后就会丢失。,在 (透明/桥接)模式下，不必修改用户网络中设备的设置只须将防火墙内部网口与要保护的局域网相连，外部网口与外网相连即可 在下面的例子中，我们需要将防火墙配置为桥模式接入。桥ip配置为9/16，将eth0和eth1都加入到桥br0中。通过network bridge 相关子命令进行配置，如下图：,透明（桥）模式配置,配置

25、桥权限信息,通过network bridge br0 access 的相关子命令可以对桥br0的权限进行配置：,配置路由信息及策略 br0的路由信息及策略配置与路由模式基本相同，可参照路由模式下配置 以上配置都是即时生效 基本配置完成后检查无误用save命令进行配置保存，通过reboot命令重启防火墙,WEB/GUI管理,使用单机GUI对防火墙进行管理，需要在管理主机安装JAVA运行环境。JAVA运行环境的安装包可以从随机光盘获取，也可以直接从SUN公司网站上免费下载获得，下载网址如下：,系统登录,在管理主机的IE地址栏中输入被管理防火墙的IP地址并回车，出现下图所示web界面,根据提示点击“

26、当前管理系统请从此处进入”，出现以下启动界面：,对出现的下面安全警告确认就可以了（首次安装）,GUI登录提示框,初次配置所涉及到的工作主要是设置基本的工作参数；设备安装到位后，可以通过系统缺省的IP地址9来访问亿阳网警BOCO.SFW-3000防火墙，缺省的用户名为administrator，缺省密码为bocoboco,一次性口令认证,可以选择认证方式为本地认证或一次性口令认证（OTP认证）。当您选择了OTP认证之后，请点击“获取”以获得一个七位的随机字符串，如下图所示,防火墙主界面,对象管理 用户管理 网络配置 策略管理 系统管理,基本操作,对象管理,地址对象添加主机

27、地址,在网关对象管理地址对象主机地址中点击右上角“”添加主机地址对象,地址对象添加主机地址,主机地址用来表示一个单一的IP地址。例如：99,地址对象添加网络地址,地址对象添加组地址,服务对象添加TCP服务对象,TCP服务是指类型为TCP的传输层数据包。一个TCP服务对象定义网络层协议类型为TCP的一组连续端口,注意,为了防止某些用户将0误作为可用的端口号，系统并不会将除了上述两种表示方式以外的其它的表示方式理解为所有端口：例如，（起始端口为0，结束端口为255）将被自动理解为（起始端口为1，结束端口为255）；另外，亿阳网警BOCO.SFW-3000防火墙系统将不接受结束

28、端口小于起始端口的表达方式：例如，（起始端口为900，结束端口为800）将不被接受。,UDP服务是指类型为UDP的传输层数据包。一个UDP服务对象表示类型为UDP服务的一组连续端口,服务对象添加UDP服务对象,ICMP服务是指类型为ICMP的网络层数据包。ICMP数据包一般用来做各种网络层控制数据的交换。ICMP数据包不存在端口的信息，但是它携带有类型标记。可以在定义的时候指定其类型标记。 ICMP服务的配置界面如下：,服务对象添加ICMP服务对象,IP服务是范指各种类型的网络层数据包。实际上，上面所定义的三种其它类型的服务其实都是IP服务的特例。目前用到的IP服务类型有限，IP服务对象主要用

29、于定义：通用的TCP报文、通用的UDP报文、ICMP报文、AH报文、ESP报文。 IP服务的配置界面如下：,服务对象添加IP服务对象,服务对象添加组服务对象,时间对象添加时间对象,用户管理,认证服务器,用户,从用户管理界面中点击右上角“添加”，系统弹出如下对话框：,用户-添加,用户-添加,注意,只有administrator组的用户具有修改三个系统管理组所包含的用户信息的权限。另外，出于对系统安全的考虑，我们不建议您添加多个administrator组成员，operator组的成员也可以完成基本的配置 管理员可以对已有的用户进行修改、删除操作，也可以添加新用户。但administrator用户

30、不能被删除，也不能被禁用，只能修改密码和E-MAIL地址。 如果要删除某用户，需要先在用户组中将其删除。,用户组,用户组编辑用户组,用户组添加用户组,在线用户,通过网关用户管理在线用户可以查看目前在线的用户信息,网络配置,网络接口配置,警告： 亿阳网警BOCO.SFW-3000防火墙系统可以将所有的网口都被禁用掉。当所有的网口被禁用，或没有被禁用的网口出现了故障，导致无法通过网络和图形界面来访问的时候，可以通过串口连接到亿阳网警BOCO.SFW-3000防火墙，通过文本界面进行配置。如果用户对此不熟悉，可以联系亿阳公司或是代理商，由通过亿阳公司认证的售后工程师进行处理解决,Warning！,双

31、击某个接口，或者选中某个接口，并点击“修改”键，可以查看该接口的详细信息,编辑网卡设置,透明网桥,通常情况下，具有多个网络接口的网络设备，不同的网络接口分别接到不同的网段中。但是有些时候，我们需要将两个相同网段的网络连接到一起，这个时候就需要让网络设备工作在一种称为“透明网桥”的特殊工作模式下 透明网桥的工作模式有如下特点： 1、多个网络接口使用同一个IP地址，或是不配置IP地址； 2、一个接口收到的同网段中不属于自己的数据包不是丢弃掉，而是转发到另外的接口上； 3、所连接的多个网络的配置不受网桥影响，就好像直接连接到一起。 透明网桥通常用于如下两种情形： 1、配置在主干线路上，进行透明的包过

32、滤； 2、配置在交换机之间，进行透明的包过滤。,点击网关网络配置网络接口配置界面上的“透明桥”按钮来添加一个透明桥,添加透明网桥,添加透明网桥,路由配置,添加路由,（目前web方式下不支持自动检测对应MAC，通过命令行可以。具体命令为：network macbind add | del ）,地址绑定,策略管理,访问控制策略,点击网关策略管理访问控制策略界面上的“”按钮来添加访问控制策略,添加访问控制规则,访问控制策略,一个访问控制策略包括两个部分：匹配条件和对应的操作 匹配条件是指如何从网络通信流中找出需要进行处理的数据包。匹配条件通常包括：源地址；用户信息；目的地址；目的端口（也就是所使用的

33、服务）；时间信息。 操作是指对包所进行的处理。处理包括三种基本的操作：转发、丢弃和变换。但实际上，我们并不是简单根据匹配条件来作出这个决定，而是要根据一系列的深层分析和处理。 一条访问控制策略包括：内容过滤；流量控制；攻击防护；SNAT和DNAT；VPN；连接控制。,添加访问控制策略,基本数据包操作,基本的数据包操作是“转发”或者“丢弃”，也就是说，决定允许满足匹配条件的数据包通过或是将其丢弃。,亿阳网警BOCO.SFW-3000防火墙对数据包的缺省操作是“丢弃”，也就是说，没有匹配到任何访问控制策略的数据包将会被无条件丢弃。这是由亿阳网警BOCO.SFW-3000防火墙的安全特性决定的。反过

34、来说，如果需要对某个业务进行支持，必须要明确配置对应的访问控制策略，以允许其通过。 除了缺省的丢弃动作外，明确配置“丢弃”动作的访问控制策略是对其它安全策略的重要补充，主要用于描述需要在系统中加以限制的服务。 技巧：安全策略的作用与其排列次序是有关系的。因此，如果一个数据包可以匹配到多个安全策略，将只有第一个安全策略起效果。一般情况下，“丢弃”动作的访问控制策略会排在相关策略的前面。例如我们定义了“允许内网工作人员访问因特网”和“限制内网人员使用IM服务”这两条访问控制策略，应该将“限制内网人员使用IM服务”放在前面。,基本数据包操作,源地址转换(SNAT),亿阳网警BOCO.SFW-3000

35、防火墙提供的源地址转换是地址端口转换，可以使用很少的公网地址为众多的内网用户访问互联网提供支持。地址端口转换，是将数据包的源地址，转换为地址池中的某个地址，并将数据包的服务端口转换为某个动态的端口。,注意,注意： 一般情况下不要定义从内网到任何地址的源地址转换，由于该规则包括了目的地址是内网地址的情况，有可能造成发往内网的某些信息丢失。可以将该规则定义为从内网地址到某个具体网段的源地址转换，或是从内网地址到“非”内网地址的源地址转换。,目的地址转换，也叫虚拟服务，主要是对连接虚拟服务的数据包的目的地址和端口进行转换，将其转换到实际的目的服务主机上去。从外网用户看来，他们连接的是运行在防火墙上的

36、虚拟服务。,目的地址转换(DNAT),策略的顺序以及影响,策略的排列顺序如下： 描述绝对禁止的策略，处理通常是丢弃数据包，例如禁止感染病毒的机器访问网络。这些策略需要放到所有策略的最前面。 例外策略和限制策略： 描述例外情况的策略，通常是允许通过。 描述限制情况的策略，通常是丢弃。限制策略是重要的辅助性策略，说明在正常的业务流描述中，有必要加以限制的部分。上面描述的例外情况策略配合限制策略使用，限制策略说明限制用户进行访问的目的、服务，而例外策略说明不希望对那些用户实施限制等。 一般性描述普通业务信息流的策略，通常是允许通过： 源地址转换策略，主要描述内网对外网的访问； 通过策略，主要描述外网

37、对DMZ区中公共服务器的访问； 目的地址转换策略，主要用于描述外网/DMZ区通过DNAT对内网中服务器的访问。,调整访问控制策略顺序,选择一个策略条目，然后从菜单上选择“上移”或者“下移”调整顺序，如下图所示：,流量控制,绑定：系统强制限定策略所描述的网络流量不能超过设定的值，不能够借用其它服务的带宽或剩余的公共带宽 独占：系统强制保留指定的网络流量供策略所描述的服务使用，禁止别的服务借用,连接控制,连接控制可以限制某条策略所包含的每一个地址的数据信息流量，包含了两个功能：限制最大连接数和最大连接速率： 选中“最大连接数”，就代表限制了匹配这一条策略的任一地址的并发连接数；选中“最大速率”，就

38、代表限制了每秒最多建立的连接数。,内容过滤,亿阳网警BOCO.SFW-3000防火墙可以提供多种内容过滤，包括基于关键字的url黑、白名单过滤、p2p下载过滤、即时通讯过滤，您可以根据需要为某条策略指定合适的内容过滤，例如：如下图所示，说明当前策略开启了p2p过滤和即时通讯过滤。,仅仅在策略中设置内容过滤还不能实现过滤，还需要在管理树中点击“内容过滤”进行内容过滤的设置，如下图：,内容过滤,IDS联动,抗攻击,亿阳网警BOCO.SFW-3000防火墙提供强大的抗攻击功能模块，提供connlimit、srcconnrate、dstconnrate、 pingsweep、 icmpflood 、u

39、dpflood 、synflood 、land 、teardrop、smurf、arpattack、pingofdeath等12大类的过滤。 其中teardrop、smurf、arpattack、pingofdeath等4中抗攻击是系统默认打开，也是不可以配置的。,抗攻击,编辑抗攻击策略,系统管理,本地升级的前提条件是用户本地已经有了一个亿阳发布的升级包。首先选择上传，选中升级包，然后选中上传。,本地升级,本地升级,当系统提示上传成功后在上图的界面中会出现升级包的基本信息，选中升级包，选择升级，当系统提示升级成功后，升级完成,本地升级,在线升级,在线升级,在线升级,选择后缀名为“*.ugd”的

40、升级文件，下载，在下载完成后点击“确定”进行在线升级,时间同步,连接信息,高可用性,特点,支持多种接入模式双机热备实现 同步信息完整，从机实时地读取主机的全部网络配置及运行信息 接管快，最快可以在3秒以内接管 支持Adsl和路由两种方式的链路备份模式 实时自动探测缺省及备份链路状态，遇故障按设定时间切换,HA配置步骤,设置ha使用的网口，从已存在的网口中选择，并点击“”； 例：设置ha使用的网口为eth0和eth1口 设置对端防火墙ha网口使用的ip,在对端ip对话框输入ip地址； 例：设置对端防火墙ha网口使用的ip为： 添加ha工作时检测的工作网口（即心跳口）； 例：从

41、心跳网口的下拉菜单中，选择ha工作时检测的工作网口eth2 设置ha为AS工作模式； 例：设置ha为AS的主机且采用抢占式切换，抢占时间为5秒，若设置ha为非抢占式切换，则不用设置抢占时间 启动ha功能。 注意：配置要点击确定后才会生效。,HA配置,命令行下的HA配置,主机配置如下： ha ha_if eth2 ha worktype AS mastar preempt 5 ha peerip ha detectif add eth0 ha detectif add eth1 ha start 从机配置如下： ha ha_if eth2 ha worktype AS sl

42、ave ha peerip ha detectif add eth0 ha detectif add eth1 ha start,亿阳网警BOCO.SFW-3000防火墙可以探测安全网关的缺省路由设备的工作情况，如果在用户设定的超时时间内没有探测到缺省路由设备，则系统将缺省路由指向备份的路由设备、或者是进行ADSL拨号将缺省路由指向adsl 链路，等到缺省链路又正常工作了，就将备份链路关闭，启用缺省的链路。链路备份不支持桥模式，只在路由模式下才有意义。,链路备份,链路备份,六、亿阳网警防火墙典型应用,产品部署,部署： 在安全域边界上 重要的服务器区域边界 可信网络区域和外部不可信网络区域之间 根据网络特点、用户需求设计方案 配置： 对进出数据和协议进行分析 细化、严格的策略 管理： 定期策略审计 定期状态检查,Internet/ 公网,内部网,