天融信防火墻配置與維護(hù)

中國信息安全領(lǐng)導(dǎo)企業(yè)天融信防火墻產(chǎn)品配置與維護(hù)

February6,2023內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實(shí)驗(yàn)案例介紹Internet一種高級訪問控制設(shè)備，是置于不同網(wǎng)絡(luò)安全域之間的一系列部件的組合，它是不同網(wǎng)絡(luò)安全域間通信流的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。兩個(gè)安全域之間通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根據(jù)訪問控制規(guī)則決定進(jìn)出網(wǎng)絡(luò)的行為防火墻簡介內(nèi)部網(wǎng)防火墻提供的通訊模式透明模式(提供橋接功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻的所有接口均作為交換接口工作。也就是說，對于同一VLAN的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)不作任何改動，包括IP和MAC地址，直接把包轉(zhuǎn)發(fā)出去。同時(shí)，網(wǎng)絡(luò)衛(wèi)士防火墻可以在設(shè)置了IP的VLAN之間進(jìn)行路由轉(zhuǎn)發(fā)。路由模式(靜態(tài)路由功能)在這種模式下，網(wǎng)絡(luò)衛(wèi)士防火墻類似于一臺路由器轉(zhuǎn)發(fā)數(shù)據(jù)包，將接收到的數(shù)據(jù)包的源MAC地址替換為相應(yīng)接口的MAC地址，然后轉(zhuǎn)發(fā)。該模式適用于每個(gè)區(qū)域都不在同一個(gè)網(wǎng)段的情況。和路由器一樣，網(wǎng)絡(luò)衛(wèi)士防火墻的每個(gè)接口均要根據(jù)區(qū)域規(guī)劃配置IP地址。綜合模式(透明+路由功能)顧名思義，這種模式是前兩種模式的混合。也就是說某些區(qū)域（接口）工作在透明模式下，而其他的區(qū)域（接口）工作在路由模式下。該模式適用于較復(fù)雜的網(wǎng)絡(luò)環(huán)境

透明模式的典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0：ETH1：ETH2：0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個(gè)廣播域，防火墻做透明設(shè)置。此時(shí)防火墻為透明模式。路由模式的典型應(yīng)用Internet內(nèi)部網(wǎng)ETH0：ETH1：ETH2：0/24網(wǎng)段0/24網(wǎng)段外網(wǎng)、SSN、內(nèi)網(wǎng)在同一個(gè)廣播域，防火墻做透明設(shè)置。此時(shí)防火墻為透明模式。綜合接入模式的典型應(yīng)用ETH1：02ETH2：00/24網(wǎng)段/24網(wǎng)段此時(shí)整個(gè)防火墻工作于透明+路由模式，我們稱之為綜合模式或者混合模式/24網(wǎng)段ETH0：兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在不同網(wǎng)段，防火墻處于路由模式兩接口在同一網(wǎng)段，防火墻處于透明模式1、路由走向(包括防火墻及其相關(guān)設(shè)備的路由調(diào)整)確定防火墻的工作模式：路由、透明、綜合2、IP地址的分配(包括防火墻及其相關(guān)設(shè)備的IP地址分配)根據(jù)確定好的防火墻的工作模式給防火墻分配合理的IP地址3、數(shù)據(jù)應(yīng)用和數(shù)據(jù)流向(各種應(yīng)用的數(shù)據(jù)流向及其需要開放的端口號或者協(xié)議類型)4、要達(dá)到的安全目的(即要做什么樣的訪問控制)

在配置防火墻之前的準(zhǔn)備網(wǎng)絡(luò)衛(wèi)士防火墻的硬件設(shè)備安裝完成之后，就可以上電了。在工作過程中，用戶可以根據(jù)網(wǎng)絡(luò)衛(wèi)士防火墻面板上的指示燈來判斷防火墻的工作狀態(tài)，具體請見下表：防火墻的工作狀態(tài)串口(console)管理方式：用戶名superman，口令：talent,用passwd修改管理員密碼，請牢記修改后的密碼。WEBUI管理方式：

超級管理員:superman，口令:talentTELNET管理方式：

模擬console管理方式，用戶名superman，口令：talentSSH管理方式：

模擬console管理方式，用戶名superman，口令：talent防火墻的管理方式防火墻的CONSOLE管理方式超級終端參數(shù)設(shè)置：防火墻的CONSOLE管理方式輸入helpmodechinese命令可以看到中文化菜單防火墻的WEBUI管理方式在瀏覽器輸入：HTTPS://54，看到下列提示，選擇“是”防火墻的TELNET管理方式通過TELNET方式管理防火墻：網(wǎng)絡(luò)衛(wèi)士防火墻配置思路：一、配置網(wǎng)絡(luò)連通二、配置安全控制防火墻的配置思路1.配置區(qū)域和接口2.配置路由3.配置地址轉(zhuǎn)換1.規(guī)劃好需要制定什么樣的訪問策略2.配置訪問控制3.調(diào)整安全參數(shù)（管理員、密碼等）拓樸描述原有網(wǎng)絡(luò)網(wǎng)絡(luò)規(guī)劃后防火墻的基本應(yīng)用配置防火墻接口IP及區(qū)域默認(rèn)權(quán)限設(shè)置路由表及默認(rèn)網(wǎng)關(guān)定義防火墻的路由模式定義防火墻的透明模式定義網(wǎng)絡(luò)對象制定訪問控制策略制定地址轉(zhuǎn)換策略（通訊策略）保存和導(dǎo)出配置定義區(qū)域在“對象”－”區(qū)域?qū)ο蟆爸卸x防火墻3個(gè)區(qū)域（接口）的默認(rèn)權(quán)限為”禁止訪問“定義區(qū)域的服務(wù)在“系統(tǒng)管理”－“配置”－“開放服務(wù)”里給區(qū)域定義服務(wù)路由模式－配置接口IP進(jìn)入防火墻管理界面，點(diǎn)擊”網(wǎng)絡(luò)管理“

”接口“可以看到物理接口定義結(jié)果：點(diǎn)擊每個(gè)接口的”設(shè)置”按鈕可以修改每個(gè)接口的名稱、地址、模式等透明模式TRUNK模式配置要點(diǎn)

配置接口為TRUNK

添加需要透傳的VLANID號ACCESS模式配置要點(diǎn)

配置接口模式為ACCESS，并設(shè)置該接口屬于哪個(gè)VLAN

添加VLAN

定義VLAN定義一個(gè)VLAN。點(diǎn)擊“網(wǎng)絡(luò)管理”－“二層網(wǎng)絡(luò)”－“添加/刪除VLAN范圍”設(shè)置vlanID定義VLAN的IP地址，更改接口模式設(shè)置VLAN地址設(shè)置接口工作模式及地址設(shè)置防火墻路由設(shè)置缺省網(wǎng)關(guān)時(shí)，源和目的一般為全“0”防火墻的缺省網(wǎng)關(guān)在靜態(tài)路由時(shí)，必須放到最后一條路由定義對象－主機(jī)對象點(diǎn)擊：”資源管理“－“地址”－“主機(jī)”，點(diǎn)擊右上角“添加”定義對象－主機(jī)對象主機(jī)對象中可以定義多個(gè)IP地址定義對象－地址對象和子網(wǎng)對象定義地址轉(zhuǎn)換（通信策略）根據(jù)前面的需求如果內(nèi)網(wǎng)要訪問外網(wǎng)，則必須定義NAT策略；同樣外網(wǎng)要訪問WEB服務(wù)器的映射地址，也要定義MAP策略定義NAT策略，選擇源為已定義的內(nèi)部子網(wǎng)，目的為“AERA_ETH0”區(qū)域轉(zhuǎn)換地址要選擇”源地址轉(zhuǎn)換為“ETH0”，也就是防火墻外網(wǎng)接口IP地址；也可以選擇定義好的“NAT地址池”（在“對象”－“地址范圍中定義”）配置MAP（映射）策略，源選擇外網(wǎng)區(qū)域“area_eth0”目的選擇映射后的公網(wǎng)IP地址（也就是WEB服務(wù)器－MAP），目的地址轉(zhuǎn)換為必須選擇服務(wù)器映射前的IP（也就是WEB服務(wù)器的真實(shí)IP地址），選擇“WEB服務(wù)器”主機(jī)對象即可。定義地址轉(zhuǎn)換（通信策略）設(shè)置好的地址轉(zhuǎn)換策略（通信策略）第一條為內(nèi)網(wǎng)訪問外網(wǎng)做NAT；（源轉(zhuǎn)換）第二條為外網(wǎng)訪問WEB服務(wù)器的映射地址，防火墻把包轉(zhuǎn)發(fā)給服務(wù)器的真實(shí)IP；（目的轉(zhuǎn)換）制定訪問規(guī)則（1）第一條規(guī)則定義“內(nèi)網(wǎng)”可以訪問互聯(lián)網(wǎng)。源選擇“內(nèi)部子網(wǎng)_1”；目的可以選擇目的區(qū)域“AERA_ETH0”，也可以是“ANY[范圍]”制定訪問規(guī)則（2）定義訪問規(guī)則（3）第二條規(guī)則定義外網(wǎng)可以訪問WEB服務(wù)器的映射地址，并只能訪問TCP80端口。源選擇“AERA_ETH0”、目的選擇”WEB服務(wù)器—MAP“地址。轉(zhuǎn)換前目的選擇”WEB服務(wù)器“（服務(wù)器真實(shí)的IP地址）點(diǎn)選“高級”選擇源AREA－area_eth0選擇目的－“WEB服務(wù)器－MAP”“服務(wù)”－“HTTP”定義訪問規(guī)則定義好的兩條訪問策略配置保存點(diǎn)擊防火墻管理頁面右上角“保存”按鈕，然后選擇彈出對話框“確定”即可保存當(dāng)前配置查看配置、導(dǎo)出配置在“系統(tǒng)管理”－“維護(hù)”中進(jìn)行防火墻當(dāng)前配置的保存、下載、上傳等操作按照下圖中數(shù)字所示順序即可把防火墻配置導(dǎo)出到本地，其中配置替換是把本地配置導(dǎo)入到防火墻時(shí)候用的。內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實(shí)驗(yàn)案例介紹防火墻的高級應(yīng)用策略路由應(yīng)用應(yīng)用程序識別部分DPI（URL）過濾全面支持DHCP鏈路備份流量管理雙機(jī)熱備策略路由策略路由與靜態(tài)路由都用于定義數(shù)據(jù)包轉(zhuǎn)發(fā)規(guī)則，比傳統(tǒng)路由控制能力更強(qiáng)，使用更靈活，根據(jù)協(xié)議類型、應(yīng)用、IP源地址或者其它的策略來選擇轉(zhuǎn)發(fā)路徑。這種方式可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的指定對象使用特定外部線路與外部網(wǎng)絡(luò)通信，從而進(jìn)一步增強(qiáng)了網(wǎng)絡(luò)的通信安全。需求1：電信和網(wǎng)通用戶可以分別通過兩個(gè)不同的公網(wǎng)地址來訪問企業(yè)內(nèi)網(wǎng)的一臺服務(wù)器；而且內(nèi)網(wǎng)服務(wù)器回復(fù)報(bào)文遵循電信用戶使用電信出口，網(wǎng)通用戶使用網(wǎng)通出口的規(guī)則。需求2：內(nèi)網(wǎng)服務(wù)器22訪問外網(wǎng)使用電信線路，其他使用網(wǎng)通。策略路由配置要點(diǎn)：添加路由綁定屬性添加路由條目應(yīng)用程序識別IM實(shí)現(xiàn)方式及功能支持協(xié)議：QQ、MSN、SKYPE；實(shí)現(xiàn)內(nèi)容：禁止IM客戶端登陸；實(shí)現(xiàn)方式：根據(jù)登陸過程的協(xié)議特征進(jìn)行判斷；P2P實(shí)現(xiàn)方式及功能支持協(xié)議：BT、eDonkey；實(shí)現(xiàn)內(nèi)容：禁止下載、QOS限制和連接數(shù)限制；實(shí)現(xiàn)方式：根據(jù)數(shù)據(jù)開始特征進(jìn)行判斷內(nèi)容過濾支持對HTTP、SMTP、POP3、IMAP、FTP等協(xié)議的深度內(nèi)容過濾支持URL過濾。支持對移動代碼如Javaapplet、Active-X、VBScript、Javascript的過濾。支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾。支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾。支持GB2312、UTF-8等多種編碼方式。可屏蔽受保護(hù)主機(jī)/服務(wù)器系統(tǒng)信息，如替換服務(wù)器（FTP、SMTP、POP3、telnet,HTTP）的BANNER信息。案例介紹-內(nèi)容過濾需求：開啟DPI過濾禁止訪問sina和sohu；開啟應(yīng)用程序識別每周一到周五上午9：00－17：00禁止使用QQ/BT;其他時(shí)間可以使用QQ/MSN案例介紹-URL過濾URL過濾配置要點(diǎn)：DPI應(yīng)用端口綁定添加URL對象添加HTTP過濾策略引用到訪問控制案例介紹-應(yīng)用程序識別應(yīng)用程序識別配置要點(diǎn)：添加應(yīng)用程序識別策略引用到防火墻訪問控制防火墻高級應(yīng)用－DHCP網(wǎng)絡(luò)衛(wèi)士防火墻提供比較全面的DHCP服務(wù)功能，能夠很好地結(jié)合到客戶網(wǎng)絡(luò)環(huán)境中。網(wǎng)絡(luò)衛(wèi)士防火墻可以提供以下DHCP服務(wù)：作為DHCP客戶端，從DHCP服務(wù)器獲取動態(tài)IP地址；作為DHCP服務(wù)器，集中管理和維護(hù)客戶網(wǎng)絡(luò)主機(jī)IP地址分配；作為DHCP中繼，轉(zhuǎn)發(fā)DHCP報(bào)文；同時(shí)作為DHCP服務(wù)器和DHCP客戶機(jī)（需工作在網(wǎng)絡(luò)衛(wèi)士防火墻的不同接口上）；網(wǎng)絡(luò)衛(wèi)士防火墻可以作為DHCP客戶端，接口可以自動獲取某個(gè)IP地址。在這種情況下，網(wǎng)絡(luò)衛(wèi)士防火墻的某些接口或全部接口將由DHCP服務(wù)器動態(tài)分配IP地址。設(shè)置要自動獲得IP地址的接口，點(diǎn)擊“運(yùn)行”后該接口將從DHCP服務(wù)器自動獲取IP地址。要禁止接口獲得IP地址，點(diǎn)擊“停止”，該接口將停止從DHCP服務(wù)器自動獲取IP地址。防火墻高級應(yīng)用－做DHCP客戶端該接口必須工作在路由模式下。防火墻高級應(yīng)用－做DHCP服務(wù)器配置要點(diǎn)：開放對應(yīng)區(qū)域的DHCP服務(wù)配置DHCP地址池指定DHCP運(yùn)行接口網(wǎng)絡(luò)衛(wèi)士防火墻提供DHCP中繼服務(wù)，即支持某一網(wǎng)段的主機(jī)連接到位于另一網(wǎng)段的DHCP服務(wù)器。輸入網(wǎng)絡(luò)上的DHCP服務(wù)器地址，并填寫指定客戶端所在端口，還有接受server回應(yīng)的端口。點(diǎn)擊“運(yùn)行”，啟動中繼服務(wù)。防火墻高級應(yīng)用－做DHCP中繼防火墻高級應(yīng)用－鏈路備份用戶環(huán)境為雙出口鏈路時(shí)，天融信防火墻實(shí)時(shí)監(jiān)視整個(gè)鏈路的工作情況，一旦發(fā)現(xiàn)異常，就立即啟動“鏈路備份”功能自動切換到另一條備用鏈路，以確保網(wǎng)絡(luò)的正常通信。配置要點(diǎn)：配置網(wǎng)絡(luò)；配置二條路由；設(shè)置鏈路備份參數(shù)；防火墻高級應(yīng)用－流量管理

通過QoS管理，用戶可以根據(jù)實(shí)際用戶網(wǎng)絡(luò)規(guī)劃，方便、靈活地定制帶寬策略，防止帶寬濫用現(xiàn)象，并可以確保關(guān)鍵應(yīng)用的帶寬需求。配置要點(diǎn)：設(shè)置采用QoS的物理接口；在接口下設(shè)置一到多個(gè)類及其子類；在類下設(shè)置數(shù)據(jù)流的匹配規(guī)則；注意事項(xiàng)：必須在第二級以上Class下設(shè)置rule才生效數(shù)據(jù)先過防火墻再進(jìn)行限制防火墻高級應(yīng)用－雙機(jī)熱備在雙機(jī)熱備模式下（最多支持九臺設(shè)備），任何時(shí)刻都只有一臺防火墻（主墻）處于工作狀態(tài)，承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，一組防火墻處于備份狀態(tài)并隨時(shí)接替任務(wù)。當(dāng)主墻的任何一個(gè)接口（不包括心跳口）出現(xiàn)故障時(shí)，處于備份狀態(tài)的防火墻經(jīng)過協(xié)商后，由優(yōu)先級高的防火墻接替主墻的工作，進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)。配置要點(diǎn)設(shè)置HA心跳口屬性設(shè)置除心跳口以外的其余通信接口屬于VRID10指定HA的工作模式及心跳口的本地地址和對端地址主從防火墻的配置同步防火墻高級應(yīng)用－雙機(jī)熱備注意事項(xiàng)度量值大優(yōu)先心跳口IP大優(yōu)先內(nèi)容提綱防火墻基本應(yīng)用防火墻高級應(yīng)用防火墻常見問題與排除綜合實(shí)驗(yàn)案例介紹常見問題分析和解決辦法工具介紹防火墻監(jiān)控工具輔助命令介紹常見問題和解決辦法防火墻無法管理長連接問題訪問控制導(dǎo)致網(wǎng)絡(luò)和應(yīng)用異常FAQ錦集防火墻監(jiān)控工具的使用(1)

功能:

1.集中管理天融信設(shè)備。

2.讀取防火墻內(nèi)存，可以實(shí)時(shí)看到防火墻上的連接狀態(tài)。3.實(shí)時(shí)監(jiān)控防火墻的硬件信息并提示報(bào)警信息。工具獲取地址：

1.防火墻光盤里。2.用戶名:tos密碼:tos使用方法：1.安裝程序

防火墻監(jiān)控工具的使用(2)

使用方法:2.添加設(shè)備防火墻監(jiān)控工具的使用(3)

使用方法:2.右鍵設(shè)備功能介紹監(jiān)控防火墻CUP等信息進(jìn)入防火墻WEB管理界面防火墻連接實(shí)時(shí)監(jiān)控防火墻工具-TCPDUMP

通過CONSOLE或TELNET、SSH方式進(jìn)入到>SYSTEM菜單下，輸入TCPDUMP命令進(jìn)行抓包輔助工具-Ping、tracertnetworksession命令介紹

命令：networksessionshowmax-user功能：顯示按連接數(shù)排序的IP用戶信息快速定位某個(gè)IP的連接是否正常。

防火墻無法管理(1)問題描述:

通過WEB,telnet方式無法管理防火墻,但是應(yīng)用都正常。問題分析：

安全設(shè)備自身對外提供的服務(wù)默認(rèn)都是關(guān)閉的，因此在應(yīng)用正常的情況下，訪問防火墻設(shè)備功能異常的時(shí)候優(yōu)先考慮對外服務(wù)是否開啟解決辦法：1.查看管理PC對應(yīng)防火墻哪個(gè)接口2.我們使用IP已經(jīng)無法進(jìn)入防火墻管理了，使用CONSOLE口登陸防火墻，輸入defineareashow(查看區(qū)域配置)

防火墻無法管理(2)解決辦法：3.輸入命令pfservershow

這里可以看到對應(yīng)的區(qū)域名開放了哪些服務(wù)，如沒有按照命令格式添加。解決辦法2：

如果是誤刪導(dǎo)至無法管理防火墻，可以在不影響業(yè)務(wù)的情況下重啟防火墻將防火墻配置恢復(fù)到上一次保存時(shí)的配置。

長連接問題問題描述：

在使用數(shù)據(jù)庫和視頻連接的時(shí)候，過了一段時(shí)間業(yè)務(wù)提示和服務(wù)器斷開連接，重新連接就可以連上，影響了處理業(yè)務(wù)的效率。

問題分析：

安全設(shè)備在設(shè)計(jì)上考慮安全性和性能，通常設(shè)置了連接超時(shí)時(shí)間。

在防火墻“系統(tǒng)參數(shù)---配置---高級屬性勾上”可以查看超時(shí)時(shí)間。解決辦法：

在訪問控制添加策略，指定訪問源、訪問目的地、目的端口(建議使用詳細(xì)端口)。在選項(xiàng)里把普通連接改為長連接。

訪問控制導(dǎo)致網(wǎng)絡(luò)和應(yīng)用異