防火墻utm配置secpath產品開局指導

H3CSecPathUTM產品開局指導日期：2009.12杭州華三通信技術有限公司作者：朱慶偉了解UTM的基本特性熟悉UTM的防火墻功能配置掌握UTM的深度安全策略配置掌握UTM的基本故障處理課程目標學習完本課程，您應該能夠：目錄產品概述基本配置及維護防火墻基本功能配置深度安全策略配置常見問題分析UTM概念UTM—UnitedThreatManagement；最早由Fortinet公司在2002年提出，2004年IDC將集成了防病毒、入侵檢測和防火墻的安全設備定義為UTM；目前主流UTM設備具有的功能：防火墻、VPN、防病毒、IPS、帶寬管理、行為審計、反垃圾郵件、URL過濾等。漏洞防護防御最新的安全威脅及惡意攻擊防火墻提供訪問控制和策略加強NAT保證隱蔽內網架構，屏蔽外網攻擊VPN提供遠程訪問數(shù)據的防竊取、防竄改的安全保證防病毒提供病毒、蠕蟲、木馬、惡意代碼的查殺功能防垃圾郵件提供垃圾郵件、病毒郵件的過濾URL過濾屏蔽外網有害內容行為審計規(guī)范用戶上網行為，保障核心業(yè)務運行基于多核硬件平臺的H3CUTM融合基礎網絡安全功能和內容安全功能H3CUTM解決之道H3CUTM典型應用SecPathU200系列統(tǒng)一威脅管理設備移動辦公合作伙伴WEBPOP3SMTPDMZERPOACRM數(shù)據中心內部網絡外部用戶UTM部署在網絡出口安全隔離病毒防護漏洞防御行為審計流量監(jiān)控網頁過濾垃圾郵件防御應用軟件控制SecPathU200-M固定接口：6個千兆擴展槽位：1個大中型企業(yè)小型企業(yè)H3CUTM產品全家福SecPathU200-A固定接口：6個千兆擴展槽位：2個SecPathU200-S固定接口：5個千兆擴展槽位：1個H3C全系列UTM產品覆蓋中小企業(yè)的安全需求，可以實現(xiàn)對安全威脅的抵御H3CUTM多核硬件平臺線程1線程2線程3線程4.漏洞防護線程…5.防垃圾郵件、URL過濾1.狀態(tài)防火墻2.VPN遠程安全互聯(lián)3.病毒防護多核多線程保障多個安全業(yè)務的并行處理，解決安全性能瓶頸問題。CPU1CPU2CPU3防火墻VPN/NAT＋防垃圾郵件＋URL過濾＋防病毒＋行為審計＋性能功能漏洞防護＋有效請求H3CUTM允許有效請求通過服務器黑客代理傀儡機傀儡機代理代理代理代理代理應用層攻擊抵御：蠕蟲、木馬、間諜軟件的實時防護全球漏洞特征升級：設備自動完成升級，實現(xiàn)實時防護完善的漏洞防護功能—防御應用層攻擊網頁病毒郵件病毒文件病毒集成卡巴斯基SafeStream專業(yè)病毒特征庫，實現(xiàn)速度和效率的完美結合專業(yè)的防毒引擎支持對HTTP、FTP、SMTP和POP3協(xié)議識別，并對協(xié)議的負載進行病毒檢測。提供允許、阻斷、重定向等靈活的防病毒策略，滿足各種用戶的需要。豐富的病毒日志功能，為審計、設備故障診斷提供了豐富的信息，并提供了日志條件查詢，方便日志的分析。H3C設立全球的病毒服務器，允許企業(yè)UTM設備通過手動、自動的方式進行病毒升級，保證對新的病毒及時響應。在線實時病毒查殺—解決病毒泛濫問題發(fā)件人、收件人的黑白名單源服務器的靜態(tài)黑白名單郵件標題過濾源服務器反向DNS查詢源服務器實時黑名單內容關鍵字過濾領先的過濾技術—根除垃圾郵件危害Internet關鍵字黑、白名單過濾ActiveX、JavaApplet過濾相關過濾商業(yè)安全法律娛樂帶寬占用HTTPGETHTTPRESPONSEURL可以定義的URL分類支持JavaBlocking、ActiveXBlocking過濾支持黑白名單及本地緩存技術，保證關鍵業(yè)務的快速通過全面的URL過濾—拒絕有害網站豐富的應用識別—保障核心業(yè)務規(guī)范化關鍵業(yè)務應用EmailP2P網絡游戲H3CUTMIntranetMedLowPOP3IMAPSMTPP2PEmail總帶寬High網絡游戲HTTPDBVoIPBTeMule/eD2KCS關鍵業(yè)務應用識別迅雷等P2P流量識別和控制網絡游戲，如魔獸世界等識別和控制炒股軟件，如大智慧等

可實現(xiàn)對各種行為的全面審計：

HTTP行為：可以記錄網頁IP、域名、訪問用戶、訪問時間等信息

Email行為：可以記錄收/發(fā)件人、郵件標題、附件標題等信息

FTP行為：可以記錄傳輸?shù)挠脩裘?、訪問記錄、通過FTP上傳下載的文件細致的行為審計—規(guī)范用戶行為HTTP訪問審計Email行為審計FTP行為審計圖形化集中管理平臺，可以實現(xiàn)多功能配置、特征庫升級和設備管理；率先支持雙網管協(xié)議（SNMP和TR069），可以實現(xiàn)海量設備管理。優(yōu)異的管理平臺—降低管理成本目錄產品概述基本配置及維護防火墻基本功能配置深度安全策略配置常見問題分析UTM產品概述——產品界面示意圖業(yè)務口U200-SConsole/AUX接口CF卡插槽PWR、SYS、CF卡指示燈注意：如果設備沒有CF卡，則無法啟用防病毒及防攻擊等深度安全檢測功能UTM模塊結構：FW模塊+深度檢測模塊防火墻FW深度檢測ETH0/0/32M_ETH2/32Untrust域Trust域G0/0默認管理口早期版本欲配置說明：

1. 配置Eth0/0接口IP地址，IP地址為：/32；

2. 將G0/0接口和Eth0/0接口加入到同一個安全域；

3. 在G0/0接口配置NATSEVER映射，通過G0/0地址訪問深度檢測WEB管理界面；

4. 通過G0/0管理接口來管理設備；

eg:g0/0ip地址：；

natservertcpglobal8080inside80

5.通過G0/0管理接口來升級深度檢測模塊的IPS/AV特征庫

UTMWeb管理登錄界面G0/0是默認的管理口，地址是：默認用戶名/密碼：admin/admin注：驗證碼不區(qū)分大小寫UTMWeb設備概覽菜單導航區(qū)設備型號快速配置向導（1）在設備基本配置中：可以引導您完成設備基本信息、服務管理、接口IP地址和NAT功能的簡單配置。配置設備的名稱以及修改當前的用戶密碼可以開啟設備的FTP、TELNET、HTTP/HTTPS的服務快速配置向導（2）在設備基本配置中：可以引導您完成設備基本信息、服務管理、接口IP地址和NAT功能的簡單配置?？梢赃x擇“DHCP”分配IP地址；或者選擇“靜態(tài)地址”后手工配置“IP地址”和“網絡掩碼”?？焖倥渲孟驅В?）在設備基本配置中：可以引導您完成設備基本信息、服務管理、接口IP地址和NAT功能的簡單配置。配置需要進行地址轉換的ACL，并啟用在相應接口配置需要映射到外網的內部服務器的地址和端口，并啟用在相應接口快速配置向導（4）快速配置向導（5）此時“配置向導”中的“設備基本配置”已經完成：產品概述基本配置及維護防火墻基本功能配置深度安全策略配置常見問題分析目錄防火墻安全區(qū)域UTM設備默認有4個業(yè)務安全區(qū)域：local、trust、dmz、untrust，其安全級別分別是100、85、50、5。還有一個特殊的管理區(qū)域management，安全級別為100。設備出廠g0/0默認屬于management區(qū)域。其他接口需自行加入安全區(qū)域。InternetDMZ50UTM200STrus100UnTrust5G0/2G0/3G0/1默認trust區(qū)域可以訪問untrudt區(qū)域，untrust區(qū)域不能訪問trust區(qū)域。配置UTM接口配置接口的各種參數(shù)，如：IP地址、工作模式等。配置接口所屬安全域：配置將g0/1口加入trust區(qū)域。訪問控制策略（域間策略）

配置思路

將IP地址和域名簡化為地址資源和地址組資源；將源端口、目的端口以及協(xié)議號簡化為服務資源和服務組資源（可選操作）通過引用地址組資源和服務組資源創(chuàng)建域間策略域間訪問策略即可實現(xiàn)對網絡訪問的控制配置地址資源（1）有3種方式來創(chuàng)建地址資源主機地址資源適用于歸類散列IP地址第一步配置地址資源配置地址資源（2）范圍地址資源適用于連續(xù)的IP地址段如果在地址范圍中有幾個地址是需要排除的，可以在此輸入。要排除多個地址時需用半角逗號隔開。配置地址資源（3）子網地址資源適用于整個網段的ip地址資源，用掩碼控制范圍必須要使用反掩碼配置地址資源（4）當要賦予幾個不同的地址資源相同的訪問權限時，可以將其組合成大的地址資源組配置域間策略（1）第二步配置域間策略正確填寫源域和目的域，源域對應源IP地址，目的域對應目的IP地址使用已創(chuàng)建的地址資源使用設備自帶或創(chuàng)建的服務資源配置域間策略（2）開啟該策略必須保證向上的綠色箭頭，如果想禁止使用該策略，可以點擊禁止點擊向上向下的三角可以移動規(guī)則，策略是按順序匹配的多條域間策略匹配規(guī)則：先下發(fā)先生效，順序匹配。配置地址轉換策略（1）第一步配置ACL配置地址轉換策略（2）注意須填寫反掩碼設置訪問控制列表控制只有該網段的PC可以通過地址轉換訪問Internet,而其他的不行配置地址轉換策略（3）第二步選擇外網口并配置地址轉換策略EasyIP：接使用接口的IP作為轉換后的源地址。除easyip外，還有pat和nopat兩種方式來配置地址轉換，此時需要結合地址池配置。內部服務器原理

服務器位于客戶網絡內部，使用私網地址如/24，網關為；服務器要對外部網絡即Internet提供服務，使用TCP80端口，即WWW服務；

UTM設備可以開放該端口，結合外網口地址，對Internet用戶提供服務訪問能力，UTM設備會將來訪的訪問映射給內部服務器。Internet內部服務器G0/240訪問40的TCP80端口把訪問轉換成訪問TCP80端口配置內部服務器產品概述基本配置及維護防火墻基本功能配置深度安全策略配置常見問題分析目錄UTM深度安全功能防病毒功能配置入侵防御功能配置（IPS）URL過濾功能配置反垃圾郵件功能配置帶寬管理功能配置協(xié)議審計功能配置應用流量分析功能配置需要licenseLicense申請流程防病毒應用控制URL過濾防垃圾郵件防攻擊《特征庫升級服務授權書》H3C官方網站注冊H3CLicense中心審核后通過用戶注冊郵箱返回License文件導入設備，完成注冊License注冊License注冊郵箱地址是用來接收License文件的，務必填寫正確。License文件導入設備方法升級特征庫（手動升級）第一步：在注冊License的網頁上，下載UTM的特征庫點擊可下載UTM的IPS特征庫文件點擊可下載UTM的病毒特征庫文件升級特征庫（手動升級）第二步：將下載到本地的UTM特征庫導入設備中升級特征庫（自動升級）勾選“開啟”，使能自動升級注：選擇從何時開始自動升級，由于升級特征庫涉及數(shù)據庫讀寫操作，建議升級時間選擇在用戶流量較小時間段升級。調整升級間隔時間升級特征庫（自動升級）另外：需要配置DNSserver，使UTM設備能夠訪問升級的網頁！防火墻模塊深度安全模塊Untrust域Trust域思考：如何將流量從防火墻模塊引入到深度安全模塊？？？配置深度安全功能的準備—引流策略（1）如果在“IPS|AV|高級設置”中只啟用了防病毒功能，則進入UTM的所有數(shù)據被引到段1上；同理如果只啟用IPS功能，則數(shù)據都被引到段2上；如果這兩個功能都啟用，則數(shù)據都被引到段3上；如果這兩個功能都沒啟用，則引流策略需要自己手工配置。配置深度安全功能的準備—引流策略（2）配置從trust域到untrust域的流量需要引流進入深度安全模塊使用acl來定義具體的流量配置深度安全功能的準備—引流策略（3）一般而言：我們將雙向的流量均引起深度安全模塊進行檢測，這樣效果更好。配置深度安全功能的準備—引流策略（4）配置深度安全功能的準備—引流策略（4）防病毒功能配置（1）選擇前面在防火墻模塊配置的“引流策略”中配置的段“10”引用默認防病毒策略即可方向配置為“雙向”，內外網經過的流量均進行防病毒檢測防病毒功能配置（2）點擊“激活”確定后顯示注：深度安全模塊中配置的策略均需要激活后方才生效，可以所有策略配置完成后再點擊激活”，這樣所有策略均生效！入侵防御功能配置（1）進入“IPS”—>“快捷應用”，創(chuàng)建策略名稱：“test-ips”使用推薦規(guī)則即可入侵防御功能配置（2）選擇前面在防火墻模塊配置的“引流策略”中配置的段“10”方向配置為“雙向”，內外網經過的流量均進行防攻擊檢測.點擊后策略創(chuàng)建并直接激活生效！帶寬管理功能簡介Internet對網絡中上下行的P2P流量限制在100K之內。應用程序控制功能可以控制主流的P2P軟件，聊天軟件、炒股軟件、流媒體等上百種應用軟件。通過帶寬管理，對各種應用進行靈活的帶寬控制，限制非關鍵應用，并保證了客戶網絡上關鍵應用的帶寬。某公司的內網網段為/24。在UTM設備上配置帶寬管理策略，對該公司的每個用戶（除IP地址為00的主機外）發(fā)送和接收的P2P流量進行限速（上下行100K）。帶寬管理功能配置思路創(chuàng)建應用帶寬控制列表100K創(chuàng)建限速動作列表Limit_100K創(chuàng)建動作集Limit_P2P_Action創(chuàng)建帶寬管理策略在策略中創(chuàng)建規(guī)則將策略應用在段上帶寬管理功能配置（1）第一步：創(chuàng)建應用帶寬控制列表帶寬管理功能配置（2）第二步：創(chuàng)建限速動作列表創(chuàng)建上下行流量限速為100K帶寬管理功能配置（3）第三步：創(chuàng)建動作集列表帶寬管理功能配置（4）第四步：創(chuàng)建帶寬管理策略帶寬管理功能配置（5）第五步：在“p2p-100k”策略中創(chuàng)建規(guī)則帶寬管理功能配置（5）第五步：在“p2p-100k”策略中創(chuàng)建規(guī)則帶寬管理功能配置（6）第六步：將策略應用在段上該限速策略對/24這個網段生效，但對00這個地址不作限速處理。協(xié)議審計功能配置（1）UTM設備可實現(xiàn)對WEB、FTP、E-Mail的行為及進行全面審計協(xié)議審計功能配置（2）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表

將軟件安裝包拷貝到服務器上，雙擊安裝包進行安裝

安裝完成后需要對軟件進行注冊填寫正確的信息確認協(xié)議審計功能配置（3）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表

安裝完成后需要對軟件進行注冊點擊“下載”，將生成的主機信息文件下載到本地

將該文件連同授權書的授權碼一起發(fā)送給H3CLicense中心：。三個工作日之內會返回您郵箱中一個License文件。協(xié)議審計功能配置（4）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表

安裝完成后需要對軟件進行注冊將License文件導入后完成注冊協(xié)議審計功能配置（5）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表

此時在UTM設備上需要配置SNMP參數(shù)snmp-agent

snmp-agentlocal-engineid800063A203000FE27E1330（該命令自動生成）

snmp-agentcommunityreadpublicsnmp-agentsys-infoversionall

進入UTMManager中添加UTM設備輸入UTM的接口地址，該地址必須與Manager路由可達

協(xié)議審計功能配置（6）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表Manager上添加UTM設備完成后顯示如下

此時需要到UTM設備上添加Manager的地址端口號為：30514

WEB審計協(xié)議審計功能配置（7）UTM設備上配置了協(xié)議審計的策略后，必須結合UTMManager輸出報表

此時若有WEB、FTP、E-mail流量經過UTM設備，UTM會到日志發(fā)送到UTMManager上，Manager輸出報表。協(xié)