防火墻管理與維護(hù)培訓(xùn)ppt課件

1、TOPSEC NGFW 培訓(xùn)講座 TEL：800-810-5119 FAXE-mail:service.第一章:防火墻的管理及維護(hù)第二章:防火墻一般故障的解決方法第三章:防火墻應(yīng)急響應(yīng)機(jī)制 目 錄.第一章防火墻的管理及維護(hù)本章目標(biāo)：了解防火墻登陸控制了解防火墻VLAN設(shè)置了解防火墻規(guī)則設(shè)置及更改了解防火墻的狀態(tài)信息了解防火墻的實時監(jiān)控防火墻日志服務(wù)器的維護(hù)防火墻雙機(jī)情況下的維護(hù).要管理防火墻首先要登陸防火墻，防火墻4000提供3種登陸管理方式 串口管理 TELNET管理 GUI管理第一章防火墻的管理及維護(hù)一、防火墻登陸控制命令行管理圖形化管理由于防火墻命令行的管理方

2、式比較復(fù)雜，圖象化管理方式即簡單又人性話，所以我們在管理時盡量使用圖形化管理方式防火墻GUI登陸在登陸防火墻之前，先在管理機(jī)上PING防火墻的管理地址，PING通后在用防火墻集中管理器登陸防火墻登陸時如果提示“沒有管理權(quán)限”的話就要在“串口管理”模式下添加GUI管理權(quán)限，操作步驟如下： 1）在管理機(jī)上通過串口線將管理機(jī)與防火墻的串口相連 2）在管理機(jī)上通過超級終端登陸防火墻.第一章防火墻的管理及維護(hù) 防火墻超級終端連接時的屬性設(shè)置如下 每秒位數(shù)：9600數(shù)據(jù)位：8奇偶校驗：無停止位：1數(shù)據(jù)流控制：無防火墻串口登陸時不需用戶名，只需密碼，默認(rèn)密碼為 talent3） 在超級終端上添加防火墻的GU

3、I登陸權(quán)限，具體命令如下： area show 顯示防火區(qū)域?qū)傩浴?firewall client add client_name -t GUi -a area_name -i ip1 - ip2 在防火墻上添加新的GUI登錄用戶 firewall client show 顯示所有的防火墻登錄用戶 firewall client add test t gui -a ssn i -55 說明：在”ssn”區(qū)域新建一個可以GUI防火墻的管理客戶端，并將其 命名為”test” 在確認(rèn)即可PING通防火墻又有GUI登陸權(quán)限就可用防火墻的集中管理 器以圖形化的方式登陸防火墻進(jìn)行管理.第一章防火墻的管理及

4、維護(hù)5）在防火墻集中管理器上成功登陸防火墻后顯示的管理界面.第一章防火墻的管理及維護(hù)二、防火墻VLAN設(shè)置先用集中管理器登陸防火墻，在“高級管理”“特殊對象”“透明網(wǎng)絡(luò)”中新建一個對象，該透明對象名稱隨意起，對象包括的區(qū)域選擇“工作站區(qū)”、“服務(wù)器區(qū)”與“外網(wǎng)”按上圖的提示操作就可以將“工作站區(qū)”、“服務(wù)器區(qū)”與“外網(wǎng)”劃到同一VLAN中，實現(xiàn)防火墻的透明接入； .第一章防火墻的管理及維護(hù)三、防火墻規(guī)則設(shè)置防火墻的規(guī)則分為：默認(rèn)規(guī)則與訪問規(guī)則，數(shù)據(jù)包經(jīng)過防火墻時是先查訪問規(guī)則再查默認(rèn)規(guī)則，如該數(shù)據(jù)包匹配訪問規(guī)則即執(zhí)行不再去查默認(rèn)規(guī)則，并且在查訪問規(guī)則時也是從上往下執(zhí)行的，以先查到的規(guī)則為準(zhǔn)來執(zhí)

5、行，所以在定義規(guī)則時一定要注意規(guī)則的順序防火墻一般時候是用來防止外網(wǎng)對內(nèi)網(wǎng)的攻擊的，所以在設(shè)置默認(rèn)規(guī)則時外網(wǎng)的權(quán)限可以放開，而內(nèi)網(wǎng)與SSN的默認(rèn)權(quán)限禁止防火區(qū)的默認(rèn)規(guī)則設(shè)置如下（以內(nèi)網(wǎng)接口設(shè)置為例）：1.）內(nèi)網(wǎng)的缺省訪問權(quán)限設(shè)置如下，選擇激活防火墻管理菜單下的網(wǎng)絡(luò)-區(qū)域。.第一章防火墻的管理及維護(hù)2.）雙擊“內(nèi)網(wǎng)”，激活其屬性窗口：3.)在缺省訪問權(quán)限里，根據(jù)需求選擇“可讀”，“可寫”，“可執(zhí)行”， 用戶可以單一選擇，也可自己組合。 注意： “可讀”，“可寫”，“可執(zhí)行”都選上代表默認(rèn)規(guī)則全通 “可讀”，“可寫”，“可執(zhí)行”都不選上代表默認(rèn)規(guī)則不通.第一章防火墻的管理及維護(hù)防火墻的訪問規(guī)則的定

6、義步驟如下：1.選擇防火區(qū)域 在已激活防火墻集中管理器中高級管理下訪問策略項目中，選擇需要制定訪問 策略的防火區(qū)2.選擇添加方式 策略的添加方式可以有多種：新建，在前添加，在后添加。.第一章防火墻的管理及維護(hù)3.選擇策略類型 選擇了添加方式后，策略向?qū)Т翱诒淮蜷_：首先要選擇相應(yīng)的策略類型，例如選擇包過濾類型，以下的步驟都是針對此 策略類型討論的。點(diǎn)擊下一步后，彈出策略源定義窗口。 .第一章防火墻的管理及維護(hù)4.定義策略源的對象5.定義策略目的對象選擇該訪問策略的訪問目的對象。選擇該訪問策略的 訪問源對象 .第一章防火墻的管理及維護(hù)6.定義訪問服務(wù)選擇該訪問策略包含的服務(wù)，如果用戶需要制定的服務(wù)

7、沒有包含在服務(wù)列表中，在策略定義后，可以點(diǎn)擊“自定義服務(wù)”來添加所需的服務(wù).第一章防火墻的管理及維護(hù)7.添加訪問策略控制 客戶策略可以定義如下部分：訪問權(quán)限：該用戶訪問目標(biāo)對象的權(quán)限；日志選項：描述日志級別；連接控制：可以為普通連接，也可以為長連接，一般地防火墻對通信空閑一定時間的連接將自動斷開，以提高安全性和釋放通信資源，但某些應(yīng)用所建立的連接需要長時期保持，即使處于空閑狀態(tài)！限定時間：該訪問策略作用的時間段，可以是任何時間，也可以是用戶自定義的時間。策略配置完成后，可以看到所有策略的當(dāng)前狀態(tài);以上訪問策略為包過濾策略,相應(yīng)的過濾策略，HTTP、文件資源、郵件做下圖的對應(yīng)選項，步驟同上： .

8、一條訪問策略已經(jīng)配置完成，下表總結(jié)了策略定義中主要項的含義：名字 意義 目的區(qū)域 本訪問策略所屬的防火區(qū)域。 目的資源 0個、1個、多個文件資源?？梢詾榭眨硎舅匈Y源。 源機(jī)器 表示其他區(qū)域的1個或多個網(wǎng)絡(luò)節(jié)點(diǎn)、子網(wǎng)、對象組、用戶組。 訪問權(quán)限 讀、寫的組合。 作用時間 表示在哪個時間內(nèi)這個策略有效。時間分為兩部分，一個是星期，可以描述星期一到星期日中的某幾天，一個是時刻，表示在一天中從哪個時刻開始，哪個時刻結(jié)束，最小單位為分鐘。例如：某個策略的起作用的時間為每星期的星期一、星期四、星期天的每天的上午10：00到下午17：30。 長連接 普通連接如果在一段時間內(nèi)沒有收到報文則連接超時，以防止

9、連接積累得越來越多。而長連接則不受這個限制，除非通信的一方主動拆除連接，否則連接不會被刪除。主要用在某些必須一直保持在線的應(yīng)用中，例如ATM機(jī)器必須和處理中心的服務(wù)器一直保持著連接，這個連接必須設(shè)置為長連接。 第一章防火墻的管理及維護(hù)具體的操作及對象的添加請參考“防火墻應(yīng)用（初級）”.第一章防火墻的管理及維護(hù)防火墻規(guī)則更改防火墻規(guī)則更改只要在以添加規(guī)則上雙機(jī)即可打開策略窗口.第一章防火墻的管理及維護(hù)在策略窗口中選擇要修改的源、目的、服務(wù)或控制按自身要求進(jìn)行相應(yīng)的更改注意：防火墻規(guī)則是以從上向下的順序執(zhí)行的，所以一定要注意防火墻 規(guī)則的順序，如順序不正確可用鼠標(biāo)左健點(diǎn)住拖動到相應(yīng)的位置；移動前移

10、動后.第一章防火墻的管理及維護(hù)四、防火墻狀態(tài)信息查看 防火墻工作狀態(tài)是否正常對整個網(wǎng)絡(luò)環(huán)境至關(guān)重要，在“網(wǎng)絡(luò)衛(wèi)士”系列防火 墻的集中管理器中，為管理員提供了一個直觀的防火墻狀態(tài)信息監(jiān)控功能。 查看方法如下：通過集中管理器登錄到需要查看狀態(tài)信息的防火墻，在已激活防火墻集中管理器下，選擇“基本信息”-“接口狀態(tài)”，其中顯示了防火墻各接口的詳細(xì)統(tǒng)計信息： .第一章防火墻的管理及維護(hù)選擇“基本信息”-“性能”，其中顯示了防火墻CPU、內(nèi)存使用情況，和防火墻現(xiàn)在的連接數(shù)：.第一章防火墻的管理及維護(hù)五、防火墻監(jiān)控器的使用在實時監(jiān)控啟動之前，要在“工具”中“防火墻登錄控制”中添加監(jiān)控器權(quán)限，否則在啟動監(jiān)控時

11、會提示監(jiān)控初始化失敗在GUI方式下添加監(jiān)控器管理客戶端：在工具-防火墻登陸控制下添加.第一章防火墻的管理及維護(hù)在確定集中管理器有實時監(jiān)控的權(quán)限后在啟動監(jiān)控通過對連接信息的查看，用戶可以了解當(dāng)前通過、未通過、已建立或已斷開連接的源地址、目的地址、發(fā)送流量、接收流量等信息，同時用戶還可以設(shè)定不需要進(jìn)行查看的連接的過濾條件。 具體操作如下：在已激活防火墻集中管理器下選擇“實時監(jiān)控”，單擊右鍵，選擇“啟動監(jiān)控”：或者點(diǎn)擊工具條上的快捷按鈕：.第一章防火墻的管理及維護(hù)2. 啟動監(jiān)控后，會彈出“設(shè)置過濾器”窗口 點(diǎn)擊“增加過濾條件”，打開過濾條件的設(shè)置窗口：.第一章防火墻的管理及維護(hù)在過濾條件中選擇源目標(biāo)

12、和目的目標(biāo)的所屬區(qū)域，并輸入源、目的IP（起始IP地址為，結(jié)束IP地址為：55表示該區(qū)域的所有設(shè)備），端口（為0表示所有端口）； .第一章防火墻的管理及維護(hù)過濾器設(shè)置說明在高級控制中，包括監(jiān)控類型（被拒絕的連接）和協(xié)議類型，如果選擇“不監(jiān)控此條件連接”表示不對滿足此條件的連接進(jìn)行監(jiān)控，如果選擇“停用該過濾條件”表示，監(jiān)控除此條件外的所有連接。過濾器可以設(shè)置多個過濾條件，條件有先后順序，需要將范圍大的過濾條件放在后面，先設(shè)置過濾范圍小的過濾條件。比如：對網(wǎng)絡(luò)中除了IP地址為86外的所有連接進(jìn)行監(jiān)控，就需要配置兩條過濾條件條件1：設(shè)置86為源IP地址（起始和結(jié)束IP地址都為它，端口可設(shè)為0），將“

13、不監(jiān)控此條件連接”選項打勾，表示不監(jiān)控86對外訪問的連接；條件2：設(shè)置一條監(jiān)控所有連接的過濾條件，即將源目標(biāo)和目的目標(biāo)設(shè)為所有區(qū)域，IP地址范圍從到55，端口為0；這兩個條件設(shè)置完后，監(jiān)控器將監(jiān)控除IP地址為86以外的所有連接。 .第一章防火墻的管理及維護(hù)3. 過濾器的的條件設(shè)置完成后，如下圖所示：點(diǎn)擊“設(shè)置”使該過濾條件即時生效，同時，在不重新啟動防火墻集中管理器的情況下，如果重新啟動監(jiān)控，過濾器將自動載入上次（最近一次）設(shè)置的過濾條件；點(diǎn)擊“保存過濾器”可以將所有設(shè)置的條件都在本機(jī)上以文件形式保存，下一次重新啟動防火墻集中管理器后，過濾條件就會自動載入過濾器，并自動彈出過濾器設(shè)置窗口，需要

14、用戶點(diǎn)擊“設(shè)置”按鈕，過濾器中的條件才能設(shè)置到防火墻上起到過濾連接信息的作用。.第一章防火墻的管理及維護(hù)4. 當(dāng)過濾條件設(shè)置成功后，就可以看到當(dāng)前的連接信息：.第一章防火墻的管理及維護(hù)如果在連接信息中發(fā)現(xiàn)了有非法連接，用戶可以選擇該連接，單擊 右鍵，選擇“刪除選中連接”：或者點(diǎn)擊連接后，選擇工具條上的快捷按鈕：該連接就會被防火墻強(qiáng)制斷開，斷開的連接將顯示在連接信息下的斷開連接信息表中：.第一章防火墻的管理及維護(hù)當(dāng)顯示的連接數(shù)過多時，用戶可以設(shè)置當(dāng)前可顯示連接數(shù)和斷開連接數(shù)的最大值，將鼠標(biāo)移至連接信息顯示窗口處，單擊右鍵，選擇“設(shè)置顯示連接最大值”：設(shè)置需要顯示的最大連接數(shù)：.第一章防火墻的管理

15、及維護(hù)六、防火墻日志服務(wù)器的維護(hù)防火墻日志服務(wù)器的維護(hù)主要是服務(wù)中的兩個服務(wù)QuerySvrMonitor Service 和LogSvrMonitor Service與SSL代理有沒有啟動a) 日志服務(wù)啟動和停止,打開通過控制面板服務(wù)選項其中在服務(wù)進(jìn)程表里，日志服務(wù)器會有兩個服務(wù)：QuerySvrMonitor Service 和LogSvrMonitor Service ，你可以在這里啟動、關(guān)閉這兩個服務(wù)。 .第一章防火墻的管理及維護(hù)b) SSL 代理服務(wù)的啟動、關(guān)閉 SSL代理服務(wù)負(fù)責(zé)審計管理器和日志服務(wù)器通訊的加密。SSL 代理服務(wù)器如果啟動，會直接在任務(wù)欄里看到，如果沒有啟動，請在開

16、始菜單下的啟動一欄里啟動它。 在確認(rèn)以上3項都啟動后可查看日志服務(wù)器與防火墻通訊是否正常，可在日志服務(wù)器的DOS命令行下輸入NETSTAT命令查看，如顯示有與防火墻地址的4000端口的連接表示日志服務(wù)器與防火墻的通訊是正常的具體的操作可參考“防火墻應(yīng)用（高級）”中的日志服務(wù)器典型應(yīng)用d) 一臺防火墻日志服務(wù)器可以同時記錄16臺防火墻的日志.第一章防火墻的管理及維護(hù)七、防火墻雙機(jī)維護(hù)1）作為雙機(jī)熱備的兩臺防火墻必須保證配置的一致性，也就是說要是完全相同硬件與軟件的防火墻兩臺，并且防火墻配置也要保持一致，在防火墻使用過程中更改配置是經(jīng)常有的，重要的是更改完配置要在“工具”下的“防火墻配置管理”中點(diǎn)

17、“同步”將更改完的配置傳到另一臺防火墻（非工作的防火墻“從墻”）上，以保證兩面配置的一致性；.2）作為雙機(jī)熱備的兩臺防火墻的最后一個100M以太網(wǎng)端口（稱為“狀態(tài)同步端口”）只用來做兩臺防火墻的狀態(tài)信息傳送，不參與其他網(wǎng)絡(luò)通信，但該接口或接口所連的網(wǎng)線有問題會導(dǎo)致兩臺防火墻同時工作，即網(wǎng)絡(luò)中同時出現(xiàn)兩臺主墻，導(dǎo)致網(wǎng)絡(luò)中斷 ，在出現(xiàn)該問題時建議關(guān)掉其中一臺防火墻即可保證網(wǎng)絡(luò)的正常通訊；第一章防火墻的管理及維護(hù)3） 雙機(jī)防火墻中的一臺防火墻如果有問題的話，另一臺工作的防火墻（主墻）會發(fā)出異常響聲以提醒管理員從墻故障，這時管理員可以對從墻進(jìn)行細(xì)致的檢查；4） 防火墻雙機(jī)與IDS聯(lián)動成功后，在進(jìn)行防火

18、墻切換時當(dāng)前的IDS聯(lián)動阻斷規(guī)則不會生效；5） 防火墻在做雙機(jī)時要將交換機(jī)上的生成樹關(guān)掉.第二章防火墻一般故障的解決方法超級終端無法連接到防火墻 查看是否在超級終端上設(shè)置了正確的通信參數(shù)(9600-8-N-1)及終端類型,并檢查線纜連接正確。2. 無法TELNET或GUI管理防火墻 檢查防火墻登錄控制中是否允許TELNET或GUI管理; 確認(rèn)登錄源主機(jī)的IP是否在設(shè)定IP范圍內(nèi)。確認(rèn)是否有相同用戶名的用戶已登錄防火墻（同用戶名用戶不允許在同一時間登錄同一臺防火墻）。如果是新墻，確認(rèn)使用集中管理器（GUI管理）登錄防火墻的計算機(jī)連接在防火墻eth2內(nèi)網(wǎng)接口上（對剛出廠的防火墻，只允許通過內(nèi)網(wǎng)口對

19、其進(jìn)行配置管理。3.無法ping到防火墻 檢查客戶機(jī)所在的區(qū)域是否enable，區(qū)域設(shè)置中是否打開ping。檢查防火墻 是否設(shè)置了IP地址。如果客戶機(jī)和防火墻不在同一個網(wǎng)段，再檢查防火墻和 客戶機(jī)的路由設(shè)置。請參考基本配置中各接口的IP地址設(shè)置。4.防火墻在做雙機(jī)時總是時斷時續(xù)而且防火墻的接口燈狂閃 應(yīng)該是防火墻所在交換機(jī)的生成樹沒有關(guān)掉，關(guān)掉生成樹即可.第二章防火墻一般故障的解決方法5.使用綜合管理系統(tǒng)登錄防火墻后無法實現(xiàn)某些操作檢查登錄使用的用戶是否具有相應(yīng)的權(quán)限。6.配置一接口后原有一接口失效新配的接口與失效接口在同一網(wǎng)段, 防火墻將該網(wǎng)段的直接路由重新配置到了新接口上。7.不能增加一目

20、標(biāo)網(wǎng)段的路由檢查防火墻是否能解析該網(wǎng)關(guān)的MAC。8.增加策略禁止某主機(jī)，該主機(jī)仍能通過防火墻檢查該主機(jī)與通信目標(biāo)主機(jī)間的通信通道是否經(jīng)過防火墻；檢查是否已有策略許可該主機(jī)通過防火墻；檢查是測試源主機(jī)否為雙穴主機(jī)，是否網(wǎng)卡配有多個IP地址。9.無法增加地址映射通信策略檢查映射目的主機(jī)IP地址是否在防火墻的一接口上配置。10.成功添加一映射策略后，但無法訪問映射源主機(jī)檢查過濾規(guī)則是否許可其通過，過濾規(guī)則還應(yīng)許可映射目的主機(jī)通過防火墻，即映射前后的主機(jī)在防火墻上均許可通過才能訪問成功。 .第二章防火墻一般故障的解決方法11.IP地址綁定未起作用檢查綁定IP是否經(jīng)過其它路由設(shè)備（通過路由設(shè)備后IP地址已被改換）才到達(dá)防火墻。12.防火墻重啟后配置丟失通常情況下是用戶在防火墻重啟前沒