防火墻utm配置secpath產(chǎn)品開局指導(dǎo)

H3CSecPathUTM產(chǎn)品開局指導(dǎo)日期：2009.12杭州華三通信技術(shù)有限公司作者：朱慶偉了解UTM的基本特性熟悉UTM的防火墻功能配置掌握UTM的深度安全策略配置掌握UTM的基本故障處理課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：目錄產(chǎn)品概述基本配置及維護(hù)防火墻基本功能配置深度安全策略配置常見問題分析UTM概念UTM—UnitedThreatManagement；最早由Fortinet公司在2002年提出，2004年IDC將集成了防病毒、入侵檢測和防火墻的安全設(shè)備定義為UTM；目前主流UTM設(shè)備具有的功能：防火墻、VPN、防病毒、IPS、帶寬管理、行為審計、反垃圾郵件、URL過濾等。漏洞防護(hù)防御最新的安全威脅及惡意攻擊防火墻提供訪問控制和策略加強(qiáng)NAT保證隱蔽內(nèi)網(wǎng)架構(gòu)，屏蔽外網(wǎng)攻擊VPN提供遠(yuǎn)程訪問數(shù)據(jù)的防竊取、防竄改的安全保證防病毒提供病毒、蠕蟲、木馬、惡意代碼的查殺功能防垃圾郵件提供垃圾郵件、病毒郵件的過濾URL過濾屏蔽外網(wǎng)有害內(nèi)容行為審計規(guī)范用戶上網(wǎng)行為，保障核心業(yè)務(wù)運行基于多核硬件平臺的H3CUTM融合基礎(chǔ)網(wǎng)絡(luò)安全功能和內(nèi)容安全功能H3CUTM解決之道H3CUTM典型應(yīng)用SecPathU200系列統(tǒng)一威脅管理設(shè)備移動辦公合作伙伴WEBPOP3SMTPDMZERPOACRM數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)外部用戶UTM部署在網(wǎng)絡(luò)出口安全隔離病毒防護(hù)漏洞防御行為審計流量監(jiān)控網(wǎng)頁過濾垃圾郵件防御應(yīng)用軟件控制SecPathU200-M固定接口：6個千兆擴(kuò)展槽位：1個大中型企業(yè)小型企業(yè)H3CUTM產(chǎn)品全家福SecPathU200-A固定接口：6個千兆擴(kuò)展槽位：2個SecPathU200-S固定接口：5個千兆擴(kuò)展槽位：1個H3C全系列UTM產(chǎn)品覆蓋中小企業(yè)的安全需求，可以實現(xiàn)對安全威脅的抵御H3CUTM多核硬件平臺線程1線程2線程3線程4.漏洞防護(hù)線程…5.防垃圾郵件、URL過濾1.狀態(tài)防火墻2.VPN遠(yuǎn)程安全互聯(lián)3.病毒防護(hù)多核多線程保障多個安全業(yè)務(wù)的并行處理，解決安全性能瓶頸問題。CPU1CPU2CPU3防火墻VPN/NAT＋防垃圾郵件＋URL過濾＋防病毒＋行為審計＋性能功能漏洞防護(hù)＋有效請求H3CUTM允許有效請求通過服務(wù)器黑客代理傀儡機(jī)傀儡機(jī)代理代理代理代理代理應(yīng)用層攻擊抵御：蠕蟲、木馬、間諜軟件的實時防護(hù)全球漏洞特征升級：設(shè)備自動完成升級，實現(xiàn)實時防護(hù)完善的漏洞防護(hù)功能—防御應(yīng)用層攻擊網(wǎng)頁病毒郵件病毒文件病毒集成卡巴斯基SafeStream專業(yè)病毒特征庫，實現(xiàn)速度和效率的完美結(jié)合專業(yè)的防毒引擎支持對HTTP、FTP、SMTP和POP3協(xié)議識別，并對協(xié)議的負(fù)載進(jìn)行病毒檢測。提供允許、阻斷、重定向等靈活的防病毒策略，滿足各種用戶的需要。豐富的病毒日志功能，為審計、設(shè)備故障診斷提供了豐富的信息，并提供了日志條件查詢，方便日志的分析。H3C設(shè)立全球的病毒服務(wù)器，允許企業(yè)UTM設(shè)備通過手動、自動的方式進(jìn)行病毒升級，保證對新的病毒及時響應(yīng)。在線實時病毒查殺—解決病毒泛濫問題發(fā)件人、收件人的黑白名單源服務(wù)器的靜態(tài)黑白名單郵件標(biāo)題過濾源服務(wù)器反向DNS查詢源服務(wù)器實時黑名單內(nèi)容關(guān)鍵字過濾領(lǐng)先的過濾技術(shù)—根除垃圾郵件危害Internet關(guān)鍵字黑、白名單過濾ActiveX、JavaApplet過濾相關(guān)過濾商業(yè)安全法律娛樂帶寬占用HTTPGETHTTPRESPONSEURL可以定義的URL分類支持JavaBlocking、ActiveXBlocking過濾支持黑白名單及本地緩存技術(shù)，保證關(guān)鍵業(yè)務(wù)的快速通過全面的URL過濾—拒絕有害網(wǎng)站豐富的應(yīng)用識別—保障核心業(yè)務(wù)規(guī)范化關(guān)鍵業(yè)務(wù)應(yīng)用EmailP2P網(wǎng)絡(luò)游戲H3CUTMIntranetMedLowPOP3IMAPSMTPP2PEmail總帶寬High網(wǎng)絡(luò)游戲HTTPDBVoIPBTeMule/eD2KCS關(guān)鍵業(yè)務(wù)應(yīng)用識別迅雷等P2P流量識別和控制網(wǎng)絡(luò)游戲，如魔獸世界等識別和控制炒股軟件，如大智慧等

可實現(xiàn)對各種行為的全面審計：

HTTP行為：可以記錄網(wǎng)頁IP、域名、訪問用戶、訪問時間等信息

Email行為：可以記錄收/發(fā)件人、郵件標(biāo)題、附件標(biāo)題等信息

FTP行為：可以記錄傳輸?shù)挠脩裘⒃L問記錄、通過FTP上傳下載的文件細(xì)致的行為審計—規(guī)范用戶行為HTTP訪問審計Email行為審計FTP行為審計圖形化集中管理平臺，可以實現(xiàn)多功能配置、特征庫升級和設(shè)備管理；率先支持雙網(wǎng)管協(xié)議（SNMP和TR069），可以實現(xiàn)海量設(shè)備管理。優(yōu)異的管理平臺—降低管理成本目錄產(chǎn)品概述基本配置及維護(hù)防火墻基本功能配置深度安全策略配置常見問題分析UTM產(chǎn)品概述——產(chǎn)品界面示意圖業(yè)務(wù)口U200-SConsole/AUX接口CF卡插槽PWR、SYS、CF卡指示燈注意：如果設(shè)備沒有CF卡，則無法啟用防病毒及防攻擊等深度安全檢測功能UTM模塊結(jié)構(gòu)：FW模塊+深度檢測模塊防火墻FW深度檢測ETH0/0/32M_ETH2/32Untrust域Trust域G0/0默認(rèn)管理口早期版本欲配置說明：

1. 配置Eth0/0接口IP地址，IP地址為：/32；

2. 將G0/0接口和Eth0/0接口加入到同一個安全域；

3. 在G0/0接口配置NATSEVER映射，通過G0/0地址訪問深度檢測WEB管理界面；

4. 通過G0/0管理接口來管理設(shè)備；

eg:g0/0ip地址：；

natservertcpglobal8080inside80

5.通過G0/0管理接口來升級深度檢測模塊的IPS/AV特征庫

UTMWeb管理登錄界面G0/0是默認(rèn)的管理口，地址是：默認(rèn)用戶名/密碼：admin/admin注：驗證碼不區(qū)分大小寫UTMWeb設(shè)備概覽菜單導(dǎo)航區(qū)設(shè)備型號快速配置向?qū)В?）在設(shè)備基本配置中：可以引導(dǎo)您完成設(shè)備基本信息、服務(wù)管理、接口IP地址和NAT功能的簡單配置。配置設(shè)備的名稱以及修改當(dāng)前的用戶密碼可以開啟設(shè)備的FTP、TELNET、HTTP/HTTPS的服務(wù)快速配置向?qū)В?）在設(shè)備基本配置中：可以引導(dǎo)您完成設(shè)備基本信息、服務(wù)管理、接口IP地址和NAT功能的簡單配置?？梢赃x擇“DHCP”分配IP地址；或者選擇“靜態(tài)地址”后手工配置“IP地址”和“網(wǎng)絡(luò)掩碼”?？焖倥渲孟?qū)В?）在設(shè)備基本配置中：可以引導(dǎo)您完成設(shè)備基本信息、服務(wù)管理、接口IP地址和NAT功能的簡單配置。配置需要進(jìn)行地址轉(zhuǎn)換的ACL，并啟用在相應(yīng)接口配置需要映射到外網(wǎng)的內(nèi)部服務(wù)器的地址和端口，并啟用在相應(yīng)接口快速配置向?qū)В?）快速配置向?qū)В?）此時“配置向?qū)А敝械摹霸O(shè)備基本配置”已經(jīng)完成：產(chǎn)品概述基本配置及維護(hù)防火墻基本功能配置深度安全策略配置常見問題分析目錄防火墻安全區(qū)域UTM設(shè)備默認(rèn)有4個業(yè)務(wù)安全區(qū)域：local、trust、dmz、untrust，其安全級別分別是100、85、50、5。還有一個特殊的管理區(qū)域management，安全級別為100。設(shè)備出廠g0/0默認(rèn)屬于management區(qū)域。其他接口需自行加入安全區(qū)域。InternetDMZ50UTM200STrus100UnTrust5G0/2G0/3G0/1默認(rèn)trust區(qū)域可以訪問untrudt區(qū)域，untrust區(qū)域不能訪問trust區(qū)域。配置UTM接口配置接口的各種參數(shù)，如：IP地址、工作模式等。配置接口所屬安全域：配置將g0/1口加入trust區(qū)域。訪問控制策略（域間策略）

配置思路

將IP地址和域名簡化為地址資源和地址組資源；將源端口、目的端口以及協(xié)議號簡化為服務(wù)資源和服務(wù)組資源（可選操作）通過引用地址組資源和服務(wù)組資源創(chuàng)建域間策略域間訪問策略即可實現(xiàn)對網(wǎng)絡(luò)訪問的控制配置地址資源（1）有3種方式來創(chuàng)建地址資源主機(jī)地址資源適用于歸類散列IP地址第一步配置地址資源配置地址資源（2）范圍地址資源適用于連續(xù)的IP地址段如果在地址范圍中有幾個地址是需要排除的，可以在此輸入。要排除多個地址時需用半角逗號隔開。配置地址資源（3）子網(wǎng)地址資源適用于整個網(wǎng)段的ip地址資源，用掩碼控制范圍必須要使用反掩碼配置地址資源（4）當(dāng)要賦予幾個不同的地址資源相同的訪問權(quán)限時，可以將其組合成大的地址資源組配置域間策略（1）第二步配置域間策略正確填寫源域和目的域，源域?qū)?yīng)源IP地址，目的域?qū)?yīng)目的IP地址使用已創(chuàng)建的地址資源使用設(shè)備自帶或創(chuàng)建的服務(wù)資源配置域間策略（2）開啟該策略必須保證向上的綠色箭頭，如果想禁止使用該策略，可以點擊禁止點擊向上向下的三角可以移動規(guī)則，策略是按順序匹配的多條域間策略匹配規(guī)則：先下發(fā)先生效，順序匹配。配置地址轉(zhuǎn)換策略（1）第一步配置ACL配置地址轉(zhuǎn)換策略（2）注意須填寫反掩碼設(shè)置訪問控制列表控制只有該網(wǎng)段的PC可以通過地址轉(zhuǎn)換訪問Internet,而其他的不行配置地址轉(zhuǎn)換策略（3）第二步選擇外網(wǎng)口并配置地址轉(zhuǎn)換策略EasyIP：接使用接口的IP作為轉(zhuǎn)換后的源地址。除easyip外，還有pat和nopat兩種方式來配置地址轉(zhuǎn)換，此時需要結(jié)合地址池配置。內(nèi)部服務(wù)器原理

服務(wù)器位于客戶網(wǎng)絡(luò)內(nèi)部，使用私網(wǎng)地址如/24，網(wǎng)關(guān)為；服務(wù)器要對外部網(wǎng)絡(luò)即Internet提供服務(wù)，使用TCP80端口，即WWW服務(wù)；

UTM設(shè)備可以開放該端口，結(jié)合外網(wǎng)口地址，對Internet用戶提供服務(wù)訪問能力，UTM設(shè)備會將來訪的訪問映射給內(nèi)部服務(wù)器。Internet內(nèi)部服務(wù)器G0/240訪問40的TCP80端口把訪問轉(zhuǎn)換成訪問TCP80端口配置內(nèi)部服務(wù)器產(chǎn)品概述基本配置及維護(hù)防火墻基本功能配置深度安全策略配置常見問題分析目錄UTM深度安全功能防病毒功能配置入侵防御功能配置（IPS）URL過濾功能配置反垃圾郵件功能配置帶寬管理功能配置協(xié)議審計功能配置應(yīng)用流量分析功能配置需要licenseLicense申請流程防病毒應(yīng)用控制URL過濾防垃圾郵件防攻擊《特征庫升級服務(wù)授權(quán)書》H3C官方網(wǎng)站注冊H3CLicense中心審核后通過用戶注冊郵箱返回License文件導(dǎo)入設(shè)備，完成注冊License注冊License注冊郵箱地址是用來接收License文件的，務(wù)必填寫正確。License文件導(dǎo)入設(shè)備方法升級特征庫（手動升級）第一步：在注冊License的網(wǎng)頁上，下載UTM的特征庫點擊可下載UTM的IPS特征庫文件點擊可下載UTM的病毒特征庫文件升級特征庫（手動升級）第二步：將下載到本地的UTM特征庫導(dǎo)入設(shè)備中升級特征庫（自動升級）勾選“開啟”，使能自動升級注：選擇從何時開始自動升級，由于升級特征庫涉及數(shù)據(jù)庫讀寫操作，建議升級時間選擇在用戶流量較小時間段升級。調(diào)整升級間隔時間升級特征庫（自動升級）另外：需要配置DNSserver，使UTM設(shè)備能夠訪問升級的網(wǎng)頁！防火墻模塊深度安全模塊Untrust域Trust域思考：如何將流量從防火墻模塊引入到深度安全模塊？？？配置深度安全功能的準(zhǔn)備—引流策略（1）如果在“IPS|AV|高級設(shè)置”中只啟用了防病毒功能，則進(jìn)入UTM的所有數(shù)據(jù)被引到段1上；同理如果只啟用IPS功能，則數(shù)據(jù)都被引到段2上；如果這兩個功能都啟用，則數(shù)據(jù)都被引到段3上；如果這兩個功能都沒啟用，則引流策略需要自己手工配置。配置深度安全功能的準(zhǔn)備—引流策略（2）配置從trust域到untrust域的流量需要引流進(jìn)入深度安全模塊使用acl來定義具體的流量配置深度安全功能的準(zhǔn)備—引流策略（3）一般而言：我們將雙向的流量均引起深度安全模塊進(jìn)行檢測，這樣效果更好。配置深度安全功能的準(zhǔn)備—引流策略（4）配置深度安全功能的準(zhǔn)備—引流策略（4）防病毒功能配置（1）選擇前面在防火墻模塊配置的“引流策略”中配置的段“10”引用默認(rèn)防病毒策略即可方向配置為“雙向”，內(nèi)外網(wǎng)經(jīng)過的流量均進(jìn)行防病毒檢測防病毒功能配置（2）點擊“激活”確定后顯示注：深度安全模塊中配置的策略均需要激活后方才生效，可以所有策略配置完成后再點擊激活”，這樣所有策略均生效！入侵防御功能配置（1）進(jìn)入“IPS”—>“快捷應(yīng)用”，創(chuàng)建策略名稱：“test-ips”使用推薦規(guī)則即可入侵防御功能配置（2）選擇前面在防火墻模塊配置的“引流策略”中配置的段“10”方向配置為“雙向”，內(nèi)外網(wǎng)經(jīng)過的流量均進(jìn)行防攻擊檢測.點擊后策略創(chuàng)建并直接激活生效！帶寬管理功能簡介Internet對網(wǎng)絡(luò)中上下行的P2P流量限制在100K之內(nèi)。應(yīng)用程序控制功能可以控制主流的P2P軟件，聊天軟件、炒股軟件、流媒體等上百種應(yīng)用軟件。通過帶寬管理，對各種應(yīng)用進(jìn)行靈活的帶寬控制，限制非關(guān)鍵應(yīng)用，并保證了客戶網(wǎng)絡(luò)上關(guān)鍵應(yīng)用的帶寬。某公司的內(nèi)網(wǎng)網(wǎng)段為/24。在UTM設(shè)備上配置帶寬管理策略，對該公司的每個用戶（除IP地址為00的主機(jī)外）發(fā)送和接收的P2P流量進(jìn)行限速（上下行100K）。帶寬管理功能配置思路創(chuàng)建應(yīng)用帶寬控制列表100K創(chuàng)建限速動作列表Limit_100K創(chuàng)建動作集Limit_P2P_Action創(chuàng)建帶寬管理策略在策略中創(chuàng)建規(guī)則將策略應(yīng)用在段上帶寬管理功能配置（1）第一步：創(chuàng)建應(yīng)用帶寬控制列表帶寬管理功能配置（2）第二步：創(chuàng)建限速動作列表創(chuàng)建上下行流量限速為100K帶寬管理功能配置（3）第三步：創(chuàng)建動作集列表帶寬管理功能配置（4）第四步：創(chuàng)建帶寬管理策略帶寬管理功能配置（5）第五步：在“p2p-100k”策略中創(chuàng)建規(guī)則帶寬管理功能配置（5）第五步：在“p2p-100k”策略中創(chuàng)建規(guī)則帶寬管理功能配置（6）第六步：將策略應(yīng)用在段上該限速策略對/24這個網(wǎng)段生效，但對00這個地址不作限速處理。協(xié)議審計功能配置（1）UTM設(shè)備可實現(xiàn)對WEB、FTP、E-Mail的行為及進(jìn)行全面審計協(xié)議審計功能配置（2）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表

將軟件安裝包拷貝到服務(wù)器上，雙擊安裝包進(jìn)行安裝

安裝完成后需要對軟件進(jìn)行注冊填寫正確的信息確認(rèn)協(xié)議審計功能配置（3）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表

安裝完成后需要對軟件進(jìn)行注冊點擊“下載”，將生成的主機(jī)信息文件下載到本地

將該文件連同授權(quán)書的授權(quán)碼一起發(fā)送給H3CLicense中心：。三個工作日之內(nèi)會返回您郵箱中一個License文件。協(xié)議審計功能配置（4）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表

安裝完成后需要對軟件進(jìn)行注冊將License文件導(dǎo)入后完成注冊協(xié)議審計功能配置（5）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表

此時在UTM設(shè)備上需要配置SNMP參數(shù)snmp-agent

snmp-agentlocal-engineid800063A203000FE27E1330（該命令自動生成）

snmp-agentcommunityreadpublicsnmp-agentsys-infoversionall

進(jìn)入UTMManager中添加UTM設(shè)備輸入UTM的接口地址，該地址必須與Manager路由可達(dá)

協(xié)議審計功能配置（6）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表Manager上添加UTM設(shè)備完成后顯示如下

此時需要到UTM設(shè)備上添加Manager的地址端口號為：30514

WEB審計協(xié)議審計功能配置（7）UTM設(shè)備上配置了協(xié)議審計的策略后，必須結(jié)合UTMManager輸出報表

此時若有WEB、FTP、E-mail流量經(jīng)過UTM設(shè)備，UTM會到日志發(fā)送到UTMManager上，Manager輸出報表。協(xié)