啟明星辰P系列防火墻產品安裝調試

P系列防火墻產品安裝調試啟明星辰網(wǎng)關本部2014.6目錄12345防火墻基礎功能操作防火墻接入模式簡介防火墻路由功能配置簡介防火墻高可用性功能原理及配置簡介入侵防護，病毒防護，反垃圾郵件配置簡介第一章防火墻基礎功能操作登陸管理日志管理配置導入導出批處理的使用登陸管理console口管理設置CRT或者超級終端屬性：—設置serialport連接工具(e.g.微軟超級終端)—ConnectRS-232—波特率9600,8bits,Noparity,1stopbit如圖：登陸管理SSH管理和Telnet管理防火墻默認關閉該功能，需要通過WEB管理方式或者命令行方式手動開啟。一旦開啟以后，該登陸方式適用于防火墻上的所有的三層接口一、WEB管理方式開啟系統(tǒng)管理——管理員設置——設置——開啟SSH或者Telnet二、命令行管理方式開啟登陸管理啟用GUI管理設備出廠時默認只允許IP地址為00/49、00的PC對防火墻過街GUI管理。出廠時eth0接口的默認IP為54。一、WEB方式添加管理主機系統(tǒng)管理——管理員設置——管理主機二、命令行方式添加管理主機登陸管理GUI管理P系統(tǒng)防火墻使用HTTPS方式登陸，使用8889端口。同時需要使用證書認證。一、安裝管理員證書二、登陸防火墻URL：https://IPv4地址：8889user:administratorpass:bane@7766三、特殊情況應對當遇到沒有安裝證書，但又需要通過GUI方式管理防火墻時，可以通過在后臺輸入命令（命令可以咨詢400或者專家支持）然后直接通過8888接口管理防火墻，但這種方式在重啟設備后會失效URL：https://IPv4地址：8888日志管理日志查看防火墻日志包括系統(tǒng)日志及功能模塊日志。系統(tǒng)日志是防火墻自身產生的信息，如管理員管理日志和設備狀態(tài)日志（如接口up/down）；功能模塊日志是防火墻功能模塊啟用后產生的信息，如HA日志、IPS日志、包過濾日志，這類日志需要防火墻對應的功能模塊啟動日志記錄功能。日志——日志訪問——日志查看日志管理日志服務器配置由于防火墻本身的存儲空間有限，最多只能提供10M的大小空間（10M空間用完后可以選擇停止存儲日志或者覆蓋日志），當需要保存更多的日志信息時，需要將防火墻連接日志服務器，將日志傳輸給日志服務器（如syslog服務器或者安管服務器）。日志——日志配置——日志服務器配置導入導出配置導出在導出配置前，對防火墻的配置進行保存，即可以通過WEB頁面保存，也可以通過newconfigsave保存，如圖：配置導入導出配置導出系統(tǒng)管理——維護——備份與恢復——導出全部配置配置導入導出配置導入配置導入功能在很多場景下可以為操作提供便捷，比如更換或者升級設備后，可以很快的使新設備恢復配置。系統(tǒng)管理——維護——備份與恢復——導入全部配置注意：導入配置后需要重啟網(wǎng)關，配置才可以生效。版本的配置導入時，需要為防火墻打上前14個升級包，否則只能導入關鍵配置（NAT配置無法導入）批處理的使用在好多情況下，我們的配置工作都是重復操作過程，如果能將這些操作寫在一個文件下執(zhí)行，那么對我們的執(zhí)行效率將大大提高。第一步：獲取命令行格式系統(tǒng)管理——維護——批處理——歷史記錄最新操作對應的命令行在歷史記錄的最底層顯示批處理的使用第二步：提交批處理命令并執(zhí)行系統(tǒng)管理——維護——批處理——命令批處理A、獲取相關命令行以后，可以對命令行進行增量修改（使用excel或者批處理工具）B、將新生成的命令行復制粘貼到命令批處理文本框內，點提交；C、提交完成后，點擊執(zhí)行批處理第二章防火墻接入模式簡介接口設備相關介紹路由&NAT方式接入透明方式接入冗余方式接入Trunk方式接入接口設備相關介紹物理設備對應防火墻外觀上的接口，通過ethx來表示。物理設備可以提供路由模式、透明模式、冗余模式、trunk模式注意：以下介紹的設備都是代表接口的含義，只是各安全廠商叫法不同接口設備相關介紹vlan設備邏輯接口，與對應的物理接口共享MAC，為數(shù)據(jù)提供doltq封裝，可以提供路由模式和透明模式。配置了vlan設備后，數(shù)據(jù)在離開防火墻時會被封裝對應的vlanID接口設備相關介紹vlan設備src:00dst:54vlan100src:0000.0000.0001dst:0000.0000.0002src:00dst:54vlan100src:0000.0000.0001dst:0000.0000.0002接口設備相關介紹橋設備邏輯接口，可以將多個透明模式的設備劃到同一個區(qū)域內，除了透明模式的物理設備可以被劃到橋設備以外，透明的vlan設備也可以被劃到橋設備內。接口設備相關介紹別名設備邏輯接口，與對應的物理設備共享MAC，相當于cisco的secondryIP。目的是給三層設備接口（包括物理接口和邏輯接口）配置多個IP地址。接口設備相關介紹冗余設備邏輯接口，將多個物理設備綁定起來，組成一個邏輯接口。冗余的方式有輪循方式、熱備方式及802.3ad（LACP），其中輪循和熱備方式都為靜態(tài)方式，802.3ad為動態(tài)方式。接口設備相關介紹接口引用關系1、物理設備可以被所有其它設備調用；2、橋接設備只能被別名設備調用；3、冗余設備可以被橋設備、別名設備、撥號設備、VLAN設備調用；4、VLAN設備可以被別名設備和橋設備調用；5、撥號設備和別名設備不能被任何設備調用；路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2一、配置防火墻接口模式及IP路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2二、配置NAT路由&NAT方式接入C:00eth1：192.168.1.1eth2：eth1eth2三、配置安全策略，允許流量通過路由&NAT方式配置完成?。。⊥该鞣绞浇尤隒:00brg1：eth1eth2eth1eth2一、設置接口工作模式，將eth1和eth2劃到brg1下透明方式接入C:0000brg1：eth1eth2eth1eth2二、配置安全策略，放通流量透明方式配置完成！??！冗余方式接入eth1eth2eth1eth2bond1：bond1：一、設置接口模式冗余方式接入eth1eth2eth1eth2bond1：bond1：二、創(chuàng)建冗余設備，并為冗余設備配IP冗余方式配置完成?。?！Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式一：防火墻的eth1、eth2配置為trunk模式，并將他們劃到同一個透明橋內Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式二：將eth1和eth2劃入透明橋，再放通帶vlan的流量防火墻——安全選項——二層協(xié)議包過濾策略Trunk方式配置完成！?。〉谌路阑饓β酚晒δ芘渲煤喗殪o態(tài)路由OSPF策略路由&ISP路由靜態(tài)路由默認路由支持多默認路由負載均衡支持基于狀態(tài)回包支持默認網(wǎng)關探測機制靜態(tài)路由默認路由——負載均衡注釋：這個功能主要適用于內網(wǎng)向外網(wǎng)發(fā)起的訪問靜態(tài)路由默認路由——基于狀態(tài)回包注釋：這個功能主要適用于外網(wǎng)向內網(wǎng)發(fā)起的訪問，原因在于不同運營商之間可能存在路由不可達問題，基于狀態(tài)回包可以將風險降到最低。即使回包時能被策略路由匹配，也不會選擇策略路由轉發(fā)。靜態(tài)路由默認路由——網(wǎng)關探測注釋：默認路由網(wǎng)關探測可以使防火墻以最快的速度感知到故障的鏈路，使對應的默認路由失效，從而保證多出口網(wǎng)絡的穩(wěn)定性。探測方式為ICMP和ARP探測。靜態(tài)路由默認路由——網(wǎng)關探測注釋：默認路由網(wǎng)關探測可以使防火墻以最快的速度感知到故障的鏈路，使對應的默認路由失效，從而保證多出口網(wǎng)絡的穩(wěn)定性。探測方式為ICMP和ARP探測。靜態(tài)路由默認路由——配置路由管理——基本路由——默認路由監(jiān)測頻率：防火墻向網(wǎng)關發(fā)送ICMP或者ARP報文的頻率metric：相同路由之間區(qū)分優(yōu)先級，越小越優(yōu)先權重值：兩條路由相同且metic也相同的情況下，分擔流量的比重靜態(tài)路由靜態(tài)路由路由管理——基本路由——靜態(tài)路由表OSPFOSPF介紹OSPF（開放最短路徑優(yōu)先），像所有鏈路狀態(tài)協(xié)議一樣，OSPF協(xié)議和距離矢量協(xié)議相比，主要的改善在于它的快速收斂，這使得OSPF協(xié)議可以支持更大型的網(wǎng)絡。OSPF通過各類LSA信息學習全網(wǎng)的路由，然后每臺運行OSPF的路由器再根據(jù)SPF算法計算自己去往其它節(jié)點的最短路徑。防火墻目前使用的OSPF是采用zebra軟件實現(xiàn)，zebra是一種標準的開源軟件。因此我們的OSPF可以滿足一般企業(yè)網(wǎng)的使用需要，保存的路由條目不受限制，只與各型號設備的內存有關。除了支持骨干區(qū)域、普通區(qū)域、stub區(qū)域之外，還支持接口認證、區(qū)域認證和路由重發(fā)布。同時也支持OSPFv3。注意：防火墻廠商對于OSPF的支持度不如路由器廠商，在雙機情況下不建議使用OSPFOSPFOSPF配置

此時的防火墻被部署在骨干區(qū)域內，充當骨干router，需要維護整個Area0區(qū)域的LSA。防火墻需要分別在3個接口上啟用OSPF，因此將/24、/24、/24發(fā)布出去OSPFOSPF后臺配置一、后臺輸入advrouteterminalospf二、通過cisco路由器的命令行方式進行調試策略路由&ISP路由策略路由介紹和其它路由協(xié)議一樣，策略路由也需要查找路由表，只不過策略路由的優(yōu)先級比其它路由（靜態(tài)路由、動態(tài)路由）更優(yōu)先。ISP路由是策略路由的一種，是基于運營商維護的地址段進行維護的。防火墻中各種路由協(xié)議的優(yōu)先級排序如下：ISP路由>策略路由>靜態(tài)路由>動態(tài)路由>默認路由注釋：只有在防火墻運行默認路由的基于狀態(tài)回包功能后，策略路由才不會被優(yōu)先匹配策略路由&ISP路由策略路由介紹防火墻后臺一共維護著256張路由表：table254維護著一些基礎路由（如靜態(tài)路由、默認路由、動態(tài)路由等）；

table1——200維護著策略路由；table201——205維護著ISP路由（201代表聯(lián)通、202代表電信、203代表教育網(wǎng)、204代表移動、205代表自定義）策略路由&ISP路由策略路由配置一、新建高級路由表（定義下一跳）路由管理——策略路由——高級路由表策略路由&ISP路由策略路由配置二、新建高級路由策略路由管理——策略路由——高級路由策略策略路由配置完成?。?！策略路由&ISP路由ISP路由配置一、添加ISP地址路由管理——ISP路由——ISP地址——操作——更新運營商地址可以從互聯(lián)網(wǎng)上下載，同時也可以自己編輯。如果是自己編輯的話則可以先創(chuàng)建一個txt文檔，然后在txt文檔內編輯上運營商網(wǎng)段，格式如下：/。策略路由&ISP路由ISP路由配置二、配置ISP路由表路由管理——ISP路由——ISP路由表——新建第四章防火墻高可用性雙機熱備會話保護端口聯(lián)動VRRP雙機熱備雙機熱備介紹防火墻雙機熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡更加穩(wěn)定。雙機熱備的原理是讓兩臺防火墻時刻保持配置一致，會話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡。主墻和備墻之間通過心跳線連接，用于同步配置、同步會話，以及判斷是否實施搶占。注意：做HA的兩臺設備必須保證同型號且同版本雙機熱備雙機熱備介紹防火墻雙機熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡更加穩(wěn)定。雙機熱備的原理是讓兩臺防火墻時刻保持配置一致，會話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡。主墻和備墻之間通過心跳線連接，用于同步配置、同步會話，以及判斷是否實施搶占。注意：做HA的兩臺設備必須保證同型號且同版本雙機熱備雙機熱備示意圖心跳線主備雙機熱備雙機熱備配置第一步：配置主備墻的HA網(wǎng)口網(wǎng)絡管理——高可用性——HA網(wǎng)口雙機熱備雙機熱備配置第二步：配置雙機熱備配置網(wǎng)絡管理——高可用性——雙機熱備設置HA標識符：HA集群的標識節(jié)點：區(qū)分集群內的防火墻，越小越優(yōu)先開啟搶占：開啟該功能之后，當主墻故障恢復，會重新?lián)屨?，再次接管網(wǎng)絡；如果該功能未開啟，則直到備墻出現(xiàn)故障，才會接管網(wǎng)絡探測網(wǎng)口：判斷故障的條件雙機熱備雙機熱備配置第三步：保存并重啟備墻，連接心跳線注意：

備墻在配置完后，需要重啟，并在重啟過程中連接心跳線，否則會出現(xiàn)數(shù)據(jù)庫與linux后臺配置不一致的現(xiàn)象。因此當出現(xiàn)數(shù)據(jù)庫與linux后臺不一置時，應當考慮是否這一步沒有進行。

成為備墻后，防火墻不能通過WEB進行管理，為了保存同步過來的配置，建議從console口通過newconfigsave保存?zhèn)鋲ε渲?。雙機熱備雙機熱備配置第四步：同步配置目前，當主墻修改配置后，備墻不能自動同步配置，需要通過HA界面手動同步。網(wǎng)絡管理——高可用性——雙機熱備狀態(tài)——節(jié)點配置同步雙機熱備雙機熱備配置第五步：后臺調試后臺通過hashowstatus命令可以查看HA狀態(tài)id：節(jié)點id號，雙機熱備配置中的節(jié)點號prio：代表優(yōu)先級，小的代表主墻sync：表示是否同步配置，0代表未同步，1代表已同步會話保護會話保護介紹

透明模式部署下，理論上防火墻就相當于網(wǎng)線的作用，不需要對數(shù)據(jù)包進行路由查找，只需要對數(shù)據(jù)包進行二層轉發(fā)。但防火墻會對數(shù)據(jù)包做相應的檢查工作，比如包過濾、AV檢測、IPS檢測、應用檢測等?；谏鲜鲞@些功能，兩臺防火墻必須保持狀態(tài)一致（也就是會話同步），因此通過心跳線來同步會話。會話保護會話保護應用場景心跳線VRRPVRRP會話保護會話保護配置

會話保護的配置很簡單，只需要配置HA網(wǎng)口，注意要勾選“啟用同步”，如圖:端口聯(lián)動端口聯(lián)動介紹

端口聯(lián)動的意思是指，當防火墻某個接口出現(xiàn)故障，它會主動將防火墻上對應的接口也關閉，從而保證數(shù)據(jù)轉發(fā)可以順利的切換到備鏈路上，從而保證可靠性。端口聯(lián)動對應的是防火墻后臺一個進程，是通過軟件來實現(xiàn)的。與硬件Bypass有所區(qū)別。端口聯(lián)動的配置只能通過后臺進行。端口聯(lián)動端口聯(lián)動場景心跳線心跳線主備主備端口聯(lián)動端口聯(lián)動配置eth1eth2將防火墻的eth1和eth2進行端口聯(lián)動①Psynsetgroup1porteth1actionondecisionon②Psynsetgroup2porteth2actionondecisionon③Psynsetrungroup1group1,2activeonstartupon

③中的startupon是指開機時自動啟動該功能。如果配置順利的話，在敲完第3條命令后會感覺有明顯的停頓感，表明配置成功；如果沒有停頓感，則可能配置上出現(xiàn)了問題。VRRPVRRP介紹

虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負責轉發(fā)數(shù)據(jù)包到這些虛擬IP地址。VRRP控制報文只有一種：VRRP通告(advertisement)?它使用IP多播數(shù)據(jù)包進行封裝，組地址為8，發(fā)布范圍只限于同一局域網(wǎng)內?備份路由器在連續(xù)三個通告間隔內收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉?我們防火墻使用的VRRP是標準協(xié)議。但由于VRRP只是實現(xiàn)網(wǎng)關冗余，因此有的部署場景并不十分適合。VRRPVRRP應用場景主備eth1:eth1:eth2:eth2:VirIP：VirIP：配置思路：保證上下游網(wǎng)關的VirIP都在同一臺墻上，否則會出現(xiàn)孤島現(xiàn)象VRRPVRRP配置第一步：新建VRRP組網(wǎng)絡管理——高可用性——VRRP——新建VRRP組ID：相同集群下使用相同ID優(yōu)先級：區(qū)分由誰來承擔虛IP，默認為100，越大越優(yōu)先通行報文間隔：VRRP協(xié)議探測報文頻率VRRPVRRP配置第二步：創(chuàng)建別名設備，對應虛IP網(wǎng)絡管理——網(wǎng)絡接口——別名設備——新建這里創(chuàng)建的別名設備即對應虛IPVRRPVRRP配置第三步：啟動VRRP功能網(wǎng)絡管理——高可用性——VRRP——啟動VRRP查看VRRP運行狀態(tài)

HA主備HA（會話保護）VRRP路由模式部署支持NA支持透明模式部署支持支持NA

鏈路聚合方式部署支持支持

NA

VLAN子接口部署支持支持NATRUNK方式部署支持支持NA配置同步支持NANA會話同步支持支持NA切換時延中低中負載分擔NA支持支持VPNDB同步NANANAVPNSA同步NANANA本地管理員帳號同步NA

NA

NA

統(tǒng)一認證用戶名同步支持NA

NA

穩(wěn)定性midhighlow2023/11/27第五章應用管控簡介及配置入侵防護病毒防護反垃圾郵件入侵防護入侵防護介紹

入侵防護是計算機網(wǎng)絡安全設施，是對防病毒軟件（AntivirusPrograms）和防火墻的補充。入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡或網(wǎng)絡設備的網(wǎng)絡資料傳輸行為的計算機網(wǎng)絡安全設備，能夠即時的中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡資料傳輸行為。

應用入侵防護功能，首先需要定義入侵防護策略，然后將此策略在包過濾中引用并生效。入侵防護入侵防護應用場景攻擊機:00被攻擊服務器:00Brg：54eth1eth2攻擊流量從防火墻經過，防火對該流量進行攔截、或者發(fā)出警告入侵防護入侵防護配置第一步：定義入侵防護模板應用防護——入侵防護——入侵防護策略——新建不同的模板對應不同的處理級別，有的對入侵事件做阻斷，有的只是對入侵事件發(fā)出日志告警入侵防護入侵防護配置第二步：在安全策略中調用模板防火墻——策略——安全策略——新建入侵防護入侵防護——自定義特征庫應用防護——入侵防護——自定義特征庫——新建針對特殊情況，用戶也可以自定義攻擊特征，應用之后該特征會自動加載在所有的策略模板中入侵防護入侵防護——入侵場景保留應用防護——入侵防護——場景和模式設置

從發(fā)現(xiàn)攻擊的一瞬間開始，記錄一定長度的數(shù)據(jù)包，以便于事后審計，在插入U盤的時才可配置啟用，F(xiàn)TP只用于U盤存儲滿后才開始上傳。入侵防護入侵防護——IPS防護云應用防護——入侵防護——IPS云防護代理

將設備產生的攻擊信息上傳至啟明星辰集團云防護中心，供安全人員分析補充。入侵防護入侵防護——規(guī)避亂序檢測應用防護——入侵防護——規(guī)避亂序檢測

逃避IPS檢測的手段有：數(shù)據(jù)包分片、數(shù)據(jù)流分隔、RPC分片、URL混淆，以及攻擊負載的多態(tài)和混淆等規(guī)避亂序檢測功能，可以防止這些特別調整的攻擊包漏過掃描入侵防護入侵防護——維護

入侵防護（IPS）模塊是通過匹配特征庫來實現(xiàn)的，為了保證該模塊的有效性，及時的更新特征庫很有必要。前提是購買了在線升級服務。系統(tǒng)管理——維護——系統(tǒng)升級——自動升級病毒防護病毒防護介紹

病毒防護，英文即Anti-virus（簡稱AV），是UTM系統(tǒng)的重要功能之一；病毒防護策略用于組織各種協(xié)議進行病毒防護，其中包括：HTTP、FTP、SMTP、POP、IMAP以及兩種典型應用MSN和Webmail；病毒檢查分為內核掃毒(快速模式)、代理掃毒(全面掃毒)病毒防護病毒防護應用場景病毒機:00被攻擊服務器:00Brg：54eth1eth2攜帶病毒的流量從防火墻經過，防火對該流量進行攔截、或者發(fā)出警告病毒防護病毒防護配置第一步：定義病毒防護模板應用防護——病毒防護——病毒防護策略——新建不同的模板對應不同的處理級別，有的對病毒事件做阻斷，有的只是對病毒事件發(fā)出日志告警病毒防護病毒防護配置第二步：在安全策略中調用模板防火墻——策略——安全策略——新建病毒防護病毒防護——文件過濾器應用防護——病毒防護——文件過濾器

啟用壓縮文件掃毒只針對內核掃毒功能生效；

緩存大小、病毒文件白名單后綴、病毒文件黑名單后綴針對代理掃毒功能設置；說明：1、緩存文件大小上限：表示代理掃毒處理數(shù)據(jù)包的大小(小于此大小的文件可以正常處理,如果大于此大小，則會進行文件末尾破壞)；2、病毒文件白名單后綴名：表示需要檢測后綴類型(any表示所有的后綴都都進行檢測)3、病毒文件黑名單后