網(wǎng)神防火墻產(chǎn)品應(yīng)用培訓(xùn)

1、網(wǎng)神防火墻產(chǎn)品應(yīng)用培訓(xùn)講師：郭辰防火墻的多項(xiàng)功能路由、交換攻擊防護(hù)日志記錄冗余設(shè)計(jì) 訪問控制虛擬專網(wǎng)動(dòng)態(tài)、靜態(tài)路由、VLAN、NAT等SYN-FLOOD、PING OF DEATH等結(jié)合SGM進(jìn)行必要的事件、問題記錄VRRP、STP、配置及狀態(tài)同步IPSec-VPN、SSL-VPN、PPTP-VPN安全規(guī)則、身份認(rèn)證等你必須要知道防火墻的幾點(diǎn)錯(cuò)誤的操作或不當(dāng)?shù)呐渲?，容易引發(fā)災(zāi)難性的網(wǎng)絡(luò)后果。（如禁用網(wǎng)口、刪除IP、相關(guān)安全規(guī)則）對(duì)不經(jīng)過自身的網(wǎng)絡(luò)數(shù)據(jù)無法控制，由其是內(nèi)部網(wǎng)絡(luò)之間。典型典型邊邊界防界防護(hù)設(shè)備護(hù)設(shè)備策略配置相策略配置相對(duì)復(fù)雜對(duì)復(fù)雜、專業(yè)專業(yè)1、工作中防火墻更多的是針對(duì)傳輸層及以下協(xié)

2、議進(jìn)行控制2、數(shù)據(jù)包的深層分析嚴(yán)重影響性能。L24 過濾設(shè)備過濾設(shè)備防火墻證書安裝雙擊防火墻證書后點(diǎn)擊下一步防火墻證書安裝不用更改路徑，使用默認(rèn)路徑即可防火墻證書安裝在密碼一欄中輸入密鑰：123456防火墻證書安裝按照默認(rèn)選擇即可，不用更改，點(diǎn)擊下一步，最終提示導(dǎo)入成功防火墻網(wǎng)頁(yè)登陸初始配置時(shí)，瀏覽器中輸入5:8889回車進(jìn)入證書選擇由于管理主機(jī)中可能存在其他的證書，所以在選擇時(shí)一定要注意選擇名為SecGateAdmin的證書防火墻網(wǎng)頁(yè)登陸此問題忽略，點(diǎn)擊繼續(xù)瀏覽此網(wǎng)站。防火墻網(wǎng)頁(yè)登陸此處在初始配置時(shí)，賬號(hào)為admin不用更改，口令為admin123首頁(yè)信息-

3、設(shè)備信息此處為L(zhǎng)ICENSE到期提醒此處信息可以代替出廠編號(hào)進(jìn)行許可申請(qǐng)防火墻軟件版本信息首頁(yè)信息-接口信息此處為接口的實(shí)時(shí)流量顯示，單位是Kbit每秒當(dāng)兩個(gè)接口綁定透明橋時(shí)，成對(duì)的接口收發(fā)流量對(duì)稱首頁(yè)信息-系統(tǒng)資源狀態(tài)當(dāng)網(wǎng)絡(luò)中網(wǎng)速變慢，或者斷網(wǎng)，查看該三項(xiàng)參數(shù)是否正常。CPU、內(nèi)存利用率是否過高【超過80%以上】首頁(yè)信息-在線管理員該出信息能夠提供給我們當(dāng)前在線的防火墻管理員。并能夠查看其名稱、登陸方式（WEB或者CONSOLE）、登陸地點(diǎn)（IP地址）、登陸時(shí)間。防火墻管理配置-管理方式默認(rèn)只開啟了前三種管理方式，推薦使用SSH作為遠(yuǎn)程管理（CLI方式、加密，所以較為安全）防火墻管理配置-管

4、理主機(jī)默認(rèn)管理地址為4為了方便管理與配置，如果用戶對(duì)此安全需求不高的話，可以將此項(xiàng)勾選。這樣只要網(wǎng)絡(luò)可達(dá)并安裝證書、且網(wǎng)絡(luò)接口開啟可以管理，就都可以管理防火墻了防火墻管理配置-管理員賬號(hào)為了方便管理，此處同樣可以勾選。默認(rèn)情況下通一賬號(hào)只能1個(gè)人登錄在添加賬號(hào)時(shí)可以按照：配置管理員、策略管理員、日志審計(jì)員進(jìn)行權(quán)限分配防火墻管理配置-集中管理注意啟用集中管理服務(wù)器IP開啟后防火墻閾值匹配上就會(huì)發(fā)出蜂鳴聲音報(bào)警SNMP參數(shù)設(shè)定，V2支持V2C防火墻系統(tǒng)配置-導(dǎo)入導(dǎo)出加密后導(dǎo)出是亂碼，可以對(duì)配置進(jìn)行保護(hù)導(dǎo)入備份配置后會(huì)要求重啟后生效配置恢出廠，許可會(huì)保留防火墻系統(tǒng)配置-升級(jí)許可此

5、處為軟件版本升級(jí)，升級(jí)時(shí)盡量拔掉防火墻業(yè)務(wù)線纜，只留下管理線路許可打鉤、授權(quán)、終止日期正確才表明該功能可用此處可以軟重啟防火墻系統(tǒng)配置-日志服務(wù)器填寫好日志服務(wù)器IP、日志級(jí)別選擇全部即可防火墻系統(tǒng)配置-系統(tǒng)時(shí)間養(yǎng)成良好的配置習(xí)慣，將防火墻的時(shí)間校正?？梢酝ㄟ^與管理PC手動(dòng)同步或者使用NTP進(jìn)行自動(dòng)同步防火墻網(wǎng)絡(luò)配置-網(wǎng)口聯(lián)動(dòng)如果兩個(gè)接口綁定為一個(gè)聯(lián)動(dòng)組，則聯(lián)動(dòng)族中一個(gè)口DOWN掉，聯(lián)動(dòng)組中的其他端口也會(huì)DOWN掉。防火墻配置-對(duì)象定義防火墻可以定義多種類型的對(duì)象，如地址、地址組、時(shí)間、服務(wù)（端口、協(xié)議號(hào)等），此處只用服務(wù)定義為例防火墻典型部署方案-1（邊界網(wǎng)關(guān)）防火墻采用路由模式作為網(wǎng)關(guān)設(shè)備

6、部署在用戶的公網(wǎng)出口，此種部署方案的注意點(diǎn)：1.如果是替代原有路由設(shè)備，一定要了解防火墻是否能夠擁有功能替代性2.如果是替代原有路由設(shè)備，原配置無法直接導(dǎo)入，所以可能導(dǎo)致大量的規(guī)則配置防火墻典型部署方案-1（邊界網(wǎng)關(guān)）1.配置外網(wǎng)口及內(nèi)網(wǎng)口IP地址如果用于管理，則要注意開啟防火墻典型部署方案-1（邊界網(wǎng)關(guān)）2.配置到公網(wǎng)的默認(rèn)路由，及到內(nèi)網(wǎng)的靜態(tài)路由防火墻典型部署方案-1（邊界網(wǎng)關(guān)）3.配置NAT規(guī)則防火墻典型部署方案-2（透明模式）防火墻采用透明模式串行部署在用戶的公網(wǎng)出口與核心交換之間，此種部署方案的優(yōu)勢(shì)：1.不更改用戶的網(wǎng)絡(luò)拓?fù)?，只需要在物理線纜上做一些改動(dòng)，整個(gè)防火墻在鏈路當(dāng)中是透明的

7、，就像一根網(wǎng)線。2.配置較為簡(jiǎn)單此種部署方案的劣勢(shì)：1.增加了一個(gè)故障點(diǎn)2.部分安全功能不支持透明模式在這種工作模式下，防火墻不對(duì)數(shù)據(jù)包做任何三層（路由）轉(zhuǎn)發(fā)工作。但是會(huì)做二層（交換）轉(zhuǎn)發(fā)工作。防火墻典型部署方案-2（透明模式）1.設(shè)置防火墻接口狀態(tài)防火墻典型部署方案-2（透明模式）2.設(shè)置橋接口如果是透明網(wǎng)橋的話，只支持2個(gè)接口綁定一個(gè)透明橋防火墻典型部署方案-2（透明模式）3.設(shè)置相應(yīng)的包過濾規(guī)則防火墻典型部署方案-3（多出口）多出口，是為了區(qū)分內(nèi)網(wǎng)不同的用戶到達(dá)公網(wǎng)選擇不同的ISP的一種部署方案，一般都是為了增加出口帶寬的利用率和優(yōu)化平衡出口流量。以此圖為例，內(nèi)網(wǎng)2.0網(wǎng)段的用戶走116

8、的ISP,內(nèi)網(wǎng)3.0網(wǎng)段的服務(wù)器走201的ISP。此種情況無法優(yōu)選路由（例如選擇最佳路徑）防火墻典型部署方案-3（多出口）1.接口IP設(shè)置防火墻典型部署方案-3（多出口）2.配置策略路由，按照指定的源地址進(jìn)行相應(yīng)的下一跳路由轉(zhuǎn)發(fā)。單擊“網(wǎng)絡(luò)配置”“靜態(tài)路由”“策略路由”“添加”。備注：到內(nèi)網(wǎng)的路由在此就不再演示容易出現(xiàn)的錯(cuò)誤：如果添加兩條默認(rèn)目的路由，只有1條生效，因?yàn)橛衜etric值防火墻典型部署方案-3（多出口）3.配置NAT安全規(guī)則這里兩條規(guī)則把不同源地址的數(shù)據(jù)包轉(zhuǎn)換成不同的公網(wǎng)IP防火墻典型部署方案-4（鏈路聚合）網(wǎng)絡(luò)拓?fù)涿枋觯汉诵慕粨Q機(jī)將3個(gè)口配置為Channel，允許所有帶有VLA

9、NTAG的數(shù)據(jù)通過。防火墻將：ge2和ge3和ge4，3個(gè)接口工作模式設(shè)置為Channel；ge5和ge6和ge7，3個(gè)接口工作模式設(shè)置為Channel防火墻典型部署方案-4（鏈路聚合）1.接口模式設(shè)置注意：物理接口開啟Channel工作模式后，無法開啟trunk功能，如果需要匯聚組透?jìng)鱒LAN需要在channel組中配置。防火墻典型部署方案-4（鏈路聚合）2.配置端口聚合組ch0，將接口工作模式為channel接口，添加到ch0組中。單擊“網(wǎng)絡(luò)配置”“網(wǎng)絡(luò)接口”“channel”“添加”。工作模式：工作模式有兩種，路由模式和混合模式，路由模式表示Channel工作在三層，混合模式表示chan

10、nel工作在二層模式。防火墻典型部署方案-4（鏈路聚合）3.配置Channel組的工作模式IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置網(wǎng)絡(luò)說明：防火墻-1：假設(shè)為北京節(jié)點(diǎn)的防火墻，防火墻-2為上海節(jié)點(diǎn)的防火墻。內(nèi)網(wǎng)用戶-1為北京節(jié)點(diǎn)的內(nèi)網(wǎng)用戶；內(nèi)網(wǎng)用戶-2為上海節(jié)點(diǎn)的內(nèi)網(wǎng)用戶。IP規(guī)劃：北京節(jié)點(diǎn)的用戶網(wǎng)段為/24，網(wǎng)關(guān)為00上海節(jié)點(diǎn)的用戶網(wǎng)段為/24，網(wǎng)關(guān)為防火墻-1的GE1口IP：/24;GE2口IP：00/24防火墻-2的GE1口IP：/24;GE2口IP：1

11、/24IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置1.配置接口IPIPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置2. VPN的基本配置，單擊“VPN配置”“IPsecVPN”“基本配置”。注意：修改完的預(yù)共享密鑰一定要和VPN端點(diǎn)的預(yù)共享密鑰保持一致，否則隧道無法正常建立。IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置3.配置VPN端點(diǎn)，該部分實(shí)現(xiàn)的主要作用為VPN第一階段的協(xié)商過程，單擊“VPN配置”“IPsecVPN”“VPN端點(diǎn)”“添加”。注意：IKE算法組件，預(yù)共享密鑰，IP地址或域名三處一定要配置正確，保證IKE算法組件和預(yù)共享密鑰兩臺(tái)防火墻保持一致，ip地址或域名兩臺(tái)防火墻分別配置對(duì)端設(shè)備的外連接口地址

12、。IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置4.配置VPN隧道，該部分為VPN隧道第二階段建立過程，單擊“VPN配置”“IPsecVPN”“VPN隧道”“添加”。本地網(wǎng)關(guān)IP地址：選擇防火墻接口地址（例如：本案例中配置防火墻-1 的ge1口地址）VPN端點(diǎn)：選擇創(chuàng)建好的第一階段VPN端點(diǎn)名稱“beijing”。數(shù)據(jù)包封裝協(xié)議：ESP和AH兩種模式，AH模式下不支持NAT穿越；默認(rèn)為ESP模式。啟用完美向前保護(hù)：勾選后選擇相應(yīng)的DH組。IPsec算法組件：主要保證數(shù)據(jù)傳輸安全，數(shù)據(jù)傳輸?shù)耐暾?。本地子網(wǎng)：該處填寫本地內(nèi)網(wǎng)地址（防火墻-1例如：/24）遠(yuǎn)程子網(wǎng)：該處填寫對(duì)端設(shè)備的內(nèi)網(wǎng)地址

13、（防火墻-2例如：/24）是否添加VPN策略：勾選該功能按鈕時(shí)，配置的本地子網(wǎng)和遠(yuǎn)程子網(wǎng)會(huì)自動(dòng)添加到VPN策略中與其他廠商設(shè)備進(jìn)行IPSecVPN互連時(shí)，PROXY-ID一定要按需求填寫。IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置5.配置VPN策略，單擊“VPN配置”“IPsecVPN”“VPN策略”“添加”。IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置6.配置安全規(guī)則，單擊“防火墻”“安全規(guī)則”“添加”。注意策略的雙向性IPSec-VPN網(wǎng)關(guān)到網(wǎng)關(guān)配置第二臺(tái)防火墻就不再演示了，配置步驟同上。只需要注意相應(yīng)的生存時(shí)間、算法組件、預(yù)共享密鑰要一致在端點(diǎn)、隧道、VPN策略、安全規(guī)則配置時(shí) 、注意IP

14、地址的更替即可IPSec-VPN名詞解釋IKE密鑰生存期:IKESA的生存時(shí)間，一旦超時(shí)將刪除一階段SA關(guān)聯(lián)信息。IPSec密鑰生存期:IPSECSA的生存時(shí)間，一旦超時(shí)將刪除二階段SA關(guān)聯(lián)信息。DPD死亡對(duì)等體檢:可用于檢測(cè)失效IPSEC對(duì)等體。DPD周期性的(periodic) 對(duì)等體周期性的發(fā)送keepalive來確保遠(yuǎn)端的對(duì)等體設(shè)備還是存活的。DPD需要在兩臺(tái)對(duì)等體上都啟用,否則設(shè)備之間不能協(xié)商.那么DPD將不會(huì)被使用。（不啟用不會(huì)主動(dòng)發(fā)現(xiàn)對(duì)端失效）NAT穿越: (NAT Traversal),它將一個(gè)ESP的數(shù)據(jù)包封裝在一個(gè)UDP的有效載荷中,可以很容易的穿過一臺(tái)執(zhí)行地址轉(zhuǎn)換設(shè)備【不

15、會(huì)影響校驗(yàn)和加密】完美向前保護(hù)(PFS):在使用PFS之前，IPSEC第二階段的密鑰是從第一階段的密鑰導(dǎo)出的，使用PFS，使IPSEC的兩個(gè)階段的密鑰是獨(dú)立的。所以采用PFS來提高安全性。NAT Keepalive:如果數(shù)據(jù)SA空閑了一段時(shí)間的話,地址轉(zhuǎn)換設(shè)備中的轉(zhuǎn)換表項(xiàng)可能會(huì)過期,導(dǎo)致通過SA的后續(xù)數(shù)據(jù)包失敗,為了解決這個(gè)問題, 增加NATkeepalives特性,該特性讓路由器周期性的給遠(yuǎn)程對(duì)等體設(shè)備發(fā)送一個(gè)未加密的UDP數(shù)據(jù)包,這將導(dǎo)致轉(zhuǎn)換設(shè)備復(fù)位它的地址轉(zhuǎn)換表中的某個(gè)條目的空閑計(jì)時(shí)器IPSec-VPN快速排錯(cuò)1.檢查網(wǎng)絡(luò)通斷性，是否能夠PING對(duì)端地址。2.是否在網(wǎng)路鏈路之間有阻止IK

16、E（UDP500）NAT-T(UDP-4500)的安全策略，在NAT-T轉(zhuǎn)換的設(shè)備上是否設(shè)置了地址映射3.兩端的端點(diǎn)和隧道是否是生效狀態(tài)。4.DPD設(shè)置不會(huì)影響隧道的建立5.兩端加密、生存期、PSK等參數(shù)是否一致6.和其他廠商設(shè)備互聯(lián)時(shí)，隧道一定按照要求設(shè)置本段和對(duì)端proxy-id7.隧道起來了，但是業(yè)務(wù)不通，檢查防火墻VPN策略及相應(yīng)安全規(guī)則是否設(shè)定，檢查終端防火墻是否開啟阻擋了ICMP入站數(shù)據(jù)包防火墻HA配置-VRRP-主備網(wǎng)絡(luò)描述：主墻（master）ge1：21/24 ge2：/24 ge3：/24備墻（backup）ge1：1

17、22/24 ge2：/24 ge3：/24配置注意事項(xiàng)：1：兩臺(tái)做雙機(jī)的防火墻硬件版本和軟件版本保持一致。2：兩臺(tái)防火墻使用的接口必須保持一致。3：主墻和備墻的ge1口VRID必須保持一致；ge2口VRID必須保持一致。4：主墻的優(yōu)先級(jí)要高于備墻的優(yōu)先級(jí)。5：主墻和備墻基本配置完成后，先保存配置，然后再連接HA接口同步配置。6：主墻的優(yōu)先級(jí)一定要設(shè)置:高于備墻的優(yōu)先級(jí)。7：（主-備）模式中只能是主墻配置主控節(jié)點(diǎn)，備墻無需勾選主控節(jié)點(diǎn)。8：無需添加安全規(guī)則即可完成HA協(xié)商。防火墻HA配置-VRRP-主備配置思路第一步：定義主防火墻的名稱，將名

18、稱定義為：Secgate3600-A。第二步：配置防火墻使用的接口IP地址。第三步：配置HA基礎(chǔ)配置，勾選主控節(jié)點(diǎn)，同步配置，同步狀態(tài)。第四步：配置VRRP實(shí)例，定義主墻兩個(gè)接口的VRID。第五步：配置VRRP虛擬地址。第六步：配置VRRP關(guān)聯(lián)，將兩個(gè)實(shí)例添加到一個(gè)關(guān)聯(lián)中。第七步：定義從墻防火墻名稱，將名稱定義為：Secgate3600-B.第九步：配置備墻接口IP。第十步：配置備墻的HA基礎(chǔ)配置。防火墻HA配置-VRRP-主備配置名稱、方便日后區(qū)分設(shè)備設(shè)置IP地址防火墻HA配置-VRRP-主備配置A墻的HA模塊是否為控制節(jié)點(diǎn)：勾選為控制節(jié)點(diǎn)的設(shè)備（主墻）會(huì)主動(dòng)向HA另外一個(gè)設(shè)備（備墻）同步配

19、置和狀態(tài)。是否啟用透明模式備份網(wǎng)口：該功能和HA沒有關(guān)聯(lián)。是否為非搶占模式：勾選搶占模式的防火墻（主墻），當(dāng)發(fā)生系統(tǒng)故障后會(huì)變?yōu)閭鋲?，恢?fù)正常后會(huì)繼續(xù)為主墻，如果不勾選默認(rèn)為搶占模式。同時(shí)我們要注意的是，并不是所有防火墻配置都會(huì)被同步防火墻HA配置-VRRP-主備配置A墻VRRP實(shí)例配置VRRP實(shí)例的目的是對(duì)VRID號(hào)相同的實(shí)例會(huì)定時(shí)同步接口狀態(tài)，當(dāng)主墻發(fā)生鏈路故障時(shí)，VRID號(hào)相同的備墻會(huì)接替主墻繼續(xù)工作。注意：定義主墻和備墻的實(shí)例名稱可以不一致，但是必須保證定義的兩個(gè)VRR實(shí)例的VRID主墻和備墻要保持一致。防火墻HA配置-VRRP-主備配置A墻虛地址配置A墻關(guān)聯(lián)要注意優(yōu)先級(jí)、狀態(tài)、成員三

20、項(xiàng)參數(shù)防火墻HA配置-VRRP-主備配置B墻相關(guān)功能注意:虛擬IP可以通過HA同步過來,實(shí)地址需要自己手工配置防火墻HA配置-VRRP-主備注意:此處B墻為非主控節(jié)點(diǎn)。配置B墻相關(guān)功能配置B墻的關(guān)聯(lián)注意:把50改大一些，改到100。B墻的優(yōu)先級(jí)越高，實(shí)際權(quán)重越低防火墻HA配置-VRRP-主備驗(yàn)證配置，驗(yàn)證方法：通過拔掉主墻的網(wǎng)線來模擬網(wǎng)絡(luò)故障進(jìn)行相應(yīng)的切換，網(wǎng)線斷掉后原來的主墻狀態(tài)由master切換為backup;原有的備墻backup狀態(tài)變成master。防火墻HA配置-透明雙活配置注意事項(xiàng)：1：兩臺(tái)做雙機(jī)的防火墻硬件版本和軟件版本保持一致。2：兩臺(tái)防火墻使用的接口必須保持一致。3：主墻和備墻基本配置完成后，先保存配置，然后再連接HA接口同步配置。4：（主-備）模式中只能是主墻配置主控節(jié)點(diǎn)，備墻無需勾選主控節(jié)點(diǎn)。5：無需添加安全規(guī)則即可完成HA協(xié)商。防火墻HA配置-透明雙活配置思路、步驟主墻-A第一步：定義防火墻名稱，方便區(qū)分設(shè)備。第二步：配置接口模式，將業(yè)務(wù)接口的工作模式修改為混合模式，HA接口修改為路由模式。第三步：配置透明橋，將GE5口和GE6口綁定為透明橋。第四步：配置HA接口，配置HA接口的IP地址。第五步：配置HA基本信息，同步配置，同步狀態(tài)，是否為主控節(jié)點(diǎn)。備墻-B第一步：定義防火墻名稱，方便