Hisense FW3010PF Firewall by HC120126064517

VIEWS: 12 PAGES: 69

									北京海信数码科技有限公司




         www.hisencyber.com
    讲义内容


一、防火墙的基本概念
二、海信防火墙的功能特点
三、海信防火墙的操作




             www.hisencyber.com
   防火墙的基本概念



• 防火墙是指设置在不同网络或网络信
  任域与非信任域之间的一系列功能部
  件的组合。通过制订安全策略,它可
  通过监测、限制、更改跨越防火墙的
  数据流,尽可能地对外部屏蔽网络内
  部的信息、结构和运行状况,以此来
  实现网络的安全保护。



            www.hisencyber.com
     防火墙的类型


• 防火墙的类型
  – 包过滤型防火墙
  – 应用网关型防火墙
  – 状态监测型 防火墙
  – 复合型防火墙




                www.hisencyber.com
       包过滤型防火墙


定义:网络上的数据都是以"包"为单位进行传输的,数据
 被分割成为一定大小的数据包,每一个数据包中都会包
 含一些特定信息,如数据的源地址、目标地址、TCP/
 UDP源端口和目标端口等。防火墙通过读取数据包中的
 地址信息来判断这些"数据包"是否来自可信任的安全站
 点,一旦发现来自危险站点的数据包,防火墙便会将这
 些数据拒之门外。系统管理员也可以根据实际情况灵活
 制订判断规则。




                 www.hisencyber.com
   包过滤型防火墙的优势与缺陷




 优点:处理速度快,实现方便,能够以较小的
  代价在一定程度上保证系统的安全。
 缺陷:只能根据数据包的来源、目标和端口等
  网络信息进行判断,无法识别基于应用层的恶
  意侵入 。




              www.hisencyber.com
    应用网关型防火墙



 定义:通过对每种应用服务编制专门的代
  理程序,实现监视和控制应用层通信流的
  作用。
 优点:安全性要高于包过滤型产品。
 缺陷:只能处理已知的网络服务,对新出
  现的和未知的网络服务不予支持 ,处理速
  度受限于代理软件的性能。




              www.hisencyber.com
        状态监测型防火墙



   状态监测型防火墙是对包过滤防火墙的改进。它
    能够对网络各层的数据进行主动的、实时的监测,
    在对这些数据加以分析的基础上,监测型防火墙
    能够有效地判断出各层中的非法侵入。




                 www.hisencyber.com
         复合型防火墙



   把基于包过滤的方法与基于应用代理、状态监测
    的方法有效结合起来,便形成了复合型防火墙产
    品。
   它兼有代理防火墙强大的访问控制设置和高级别
    的安全性,同时又有状态监测防火墙高速的网络
    处理能力与实时的监测。




                  www.hisencyber.com
     海信FW3010PF复合型防火墙功能

   主要功能
     多接口结构体系        双机热备
     多工作模式选择        透明代理
     多级过滤设置         用户认证
     用户访问时间限制       三权分立机制
     强大的NAT能力       高级路由管理功能
     基于规则的带宽管理      完备的日志处理功能
     内置入侵检测与实时      IDS动态策略
      报警功能           时间限制


                       www.hisencyber.com
            海信防火墙——应用一
CA服务器       防火墙
                         安全路由器


认证服务器                     流量控制
                          服务器
                         PF防火墙
   安全FTP                 〈VPN〉
   服务器

   安全HTTP                                  IDS监测主机
    服务器

                                     交换机



                  防火墙
                                                     网
                                                     管
                                                     主
                                  内部IDS 安全审计         机
                                  监测主机 服务器

 内部认证
 服务器
                        内部CA
                        服务器

                                 www.hisencyber.com
                                      应用二
                                                                                                   2M 微波
                                      Internet                                                     FDDI光纤

                                                                                                   PSTN
                        IDS服务器          光电转换器
                                                                                                   ISDN
    Web服务器
 Email服务器                       数据库                                                                HFC
                                                 Bay
                                                 5000                                              双绞线
DNS服务器                           身份认证

                                      FW+VPN       Cisico 4500
            WSD
                                                     路由器            CISC          FW+VPN
                                                                    O2503
                                                                                           东滩、兴隆


                                          FW+VPN
                                                                             FW+VPN
                                                                                           南屯、北宿
           FW+    FW+
           VPN    VPN                                              Cisico 3640
                                                                     路由器


    机关大楼                公司营业楼                                                     FW+VPN

                                      PSTN拨         富锦苑                                    环保中心
                                       号网           小区


                                                                                           煤业公司

            业务上需要特别通信
                                                                                 FW+VPN
              保护的主机
                                                                 www.hisencyber.com
海信FW3010PF复合型防火墙操作介绍




              www.hisencyber.com
以web方式登陆管理防火墙




   海信防火墙无需安装专门的客户端,利用IE浏览
 器就可以进行管理,用只要在IE地址栏内输入https://
 防火墙IP,就可以进入防火墙的登陆界面。在登陆界
 面中输入不同权限的管理员和密码,就可以进入不同
 的界面。海信防火墙采用三权(系统管理、日志管理
 和策略管理)分立的管理模式。




                    www.hisencyber.com
系统管理


系统管理包括:管理界面设置、网络配置、VPN配置、
IP/MAC绑定、系统状态、系统备份、保存配置、关机
重启,主要完成对防火墙的接口地址、路由、网关等
基本信息的配置;对VPN、带宽、双机热备进行管理
以及对防火墙的配置信息进行备份保存。




                 www.hisencyber.com
1、界面设置




         www.hisencyber.com
主要对整个防火墙的登陆界面进行配置。
在以系统管理员身份登陆防火墙之后,点击左侧的界面配置菜单
进入右侧页面进行配置,主要配置以下参数:
最大认证失败次数:管理员连续登录防火墙该参数值失败后,系
统将锁定此管理帐号,该参数默认值为3次。
帐号失败锁定时间:被锁定的管理员账号在经过此时间后,系统
将解除对该账号的的锁定,该参数默认值为2天。
最大超时时间:在无任何操作时,防火墙管理界面自动退出的时
间,该参数默认值为300秒。




                  www.hisencyber.com
2、网络配置


 主要对防火墙的接口地址、路由信息、默认网关进行
 配置,此外还包括带宽控制以及双机热备等功能。




                www.hisencyber.com
接口地址配置
点击左侧菜单中的网络配置,进入右侧接口配置页面,
显示了防火墙现有的所有物理接口,用户可以通过点
击各个网络接口进入接口属性配置界面依次更改其配
置。




               www.hisencyber.com
www.hisencyber.com
缺省网关
缺省网关是防火墙外部接口对外传输数据包的下一个
节点地址。




               www.hisencyber.com
www.hisencyber.com
接口查询
用于查询防火墙接口配置结果,该界面显示了当前所
有物理接口、虚拟接口和网桥设备的详细配置情况。




               www.hisencyber.com
www.hisencyber.com
带宽控制
网络带宽能够对不同的外部访问占用的带宽进行统一
分配,也可以针对具体的通信(按照源地址)对网络
带宽进行分配,使得某一类的访问所占用的带宽不能
超过管理员为其分配的额度,从而不至于影响其它访
问的正常进行。




               www.hisencyber.com
www.hisencyber.com
双机热备
双机热备是在防火墙的安装点配置两台防火墙,一台
作为主防火墙,另一台作为备份防火墙,两台防火墙
通过串口连接,互相实时监测,当主防火墙发生故障
时,备份防火墙自动接管主防火墙,同时报告系统管
理员,避免整个网络通信发生中断。




               www.hisencyber.com
www.hisencyber.com
高级路由管理
通过防火墙的路由管理模块,数据包选择不同的路径,
以保持网络的连通性。




               www.hisencyber.com
www.hisencyber.com
www.hisencyber.com
用户可以点击增加进入路由增加界面,具体配置参数如下:
路由表:填写特定路由名称,支持的字符集有大小写英文字母和数
 字0-9。
目标网络:填目的网络地址。
来源地址:填源地址网络。
网关地址:由路由所确定的,数据通过防火墙直接可达的网络接口
 地址。
优先权:设置路由标的优先权。
处理方式:分为“允许” 和“禁止”。
操作:“add”表示增加路由。



                   www.hisencyber.com
简单路由管理
简单路由管理只用来建立路由。它与高级路由区别在
于:高级路由基于策略路由,可以对路由的源地址进
行路由控制,而简单路由只形成路由,不能进行路由
策略控制。




               www.hisencyber.com
启动规则
启动规则是启动防火墙的路由规则。在配置路由管理
时,由于管理员考虑不周可能会配置循环路由等,造
成管理员不能登录防火墙或者网络不通等情况。这时
可以重新启动防火墙,而路由规则并未启动,管理员
可以登录防火墙检查路由规则。因此如果配置了路由
规则,每次重新启动防火墙后,必须重新启动防火墙
规则。点击“启动规则”,使防火墙配置规则开始生
效。



               www.hisencyber.com
3、VPN配置


本功能提供网关到网关的VPN通道。
本地内口地址:本地防火墙的内口IP地址。
本地外口地址:本地防火墙的外口IP地址。
远端内部网络:远端防火墙内口所在的网段地址。
远端外部地址:远端的防火墙外口IP地址。
注意:当增加一条VPN通道后,在简单路由管理中就可
 以看到一条通过IPSEC设备到远端网络的路由。




                 www.hisencyber.com
www.hisencyber.com
4、IP与MAC绑定


 IP与MAC绑定可以防止IP地址的伪造、内部地址被盗
 用以及内部网络用户进行破坏网络等行为,




                  www.hisencyber.com
www.hisencyber.com
5、系统状态


 防火墙版本
 显示防火墙软件的版本。
 系统状态
 显示当前防火墙的CPU使用率和内存的使用情况。
 Ping
 使用“ping”命令不间断的检查网络的连通性,以此
 判 断网络配置是否正常以及主机能否连接到网络上。
 使用时,只需输入目的IP即可。


                 www.hisencyber.com
6、系统备份


 为了防止修改配置错误,快速恢复防火墙正常工作,
 管理员需要对完成的配置进行备份,备份的范围是防
 火墙上所有的配置文件,包括:网络接口的配置、用
 户组信息,路由信息,安全策略、计费规则等。




                www.hisencyber.com
www.hisencyber.com
7、保存配置


 防火墙系统是以电子介质存贮的,当防火墙系统在运
 行时,防火墙系统及其用户的配置均在内存中进行,
 为了保存用户的设置,管理员必须利用此功能来完成
 用户的操作。否则当防火墙重启动后,用户的配置将
 丢失。




                www.hisencyber.com
8、关机重启


系统管理员通过此功能来对防火墙进行重启动和关闭。




                www.hisencyber.com
安全策略



 安全策略模块包括包过滤规则的设置、代理规则的设
 置以及黑名单的管理。




                www.hisencyber.com
1、包过滤


 包过滤策略由四部分组成:包过滤规则、NAT规则、
 用户组管理、字符串过滤。包过滤的策略配置顺序依
 次为:用户组管理,NAT策略(可选),包过滤规则,
 字符串过滤(可选)。




                www.hisencyber.com
用户组管理
用户组是内部网络地址的IP地址组成的一个集合。防
火墙通过对用户组的管理来实现对内部网络的管理。




                www.hisencyber.com
www.hisencyber.com
NAT规则
NAT模式分为SNAT(源网络地址转换)和DNAT
(目标网络地址转换)。利用NAT可以节省静态地址
资源、隐藏内部IP地址以及保护重要服务器不受直接
攻击等。




                www.hisencyber.com
www.hisencyber.com
包过滤规则
包过滤规则是针对数据包的头信息和状态进行检测并
实施访问控制的过滤规则。防火墙在此模式下控制所
有通过防火墙的数据包。




               www.hisencyber.com
www.hisencyber.com
字符串过滤
防火墙可以对指定的字符串进行过滤:
端口:对应不同服务类型的数据端口。
协议:TCP或UDP。
过滤内容:需要过滤的字符串,如hisencyber.com。
也可以是文件扩展名,如.mp3 或 .zip等。




                    www.hisencyber.com
www.hisencyber.com
2、代理接口



 主要规定以下代理规则所对应的接口,方便代理规则
 配置。




                www.hisencyber.com
www.hisencyber.com
3、HTTP代理




           www.hisencyber.com
4、SOCKET5代理


 SOCKS是一种网络代理协议,该协议描述了使用私有
 IP地址的内部主机通过SOCKS服务器获得完全的
 Internet访问的方法。SOCKS代理旨在提供一种广义
 的代理服务,工作在应用层和传输层之间,与具体应
 用无关,不管再出现什么新的应用都能提供代理服务。




                   www.hisencyber.com
5、SMTP代理




           www.hisencyber.com
日志管理


 日志管理模块用来统计、查询用户使用防火墙的日志
 信息,包括:流量分析、远程日志、综合分析、审计
 日志、报警设置、备份日志等功能。它可以辅助管理
 员分析、查找事故的潜在痕迹或跟踪特定用户。本系
 统对每一次访问都进行记录,记录方式包括简要记录
 和详细记录(包括源地址、目的地址、流量、连接时
 间、连接次数等)。




                www.hisencyber.com
1、流量分析


 流入统计
 用户可以输入具体的IP地址或一定的IP范围,查看流入数据流量。
 由此,管理员可掌握外网流入到每个用户的各种协议的数据量信
 息,并且可以对结果进行排序,方便查看,
 流出统计
 具体操作同流入统计。
 统计设置
 设置进行流量统计的接口以及与该接口相匹配的IP地址。
 清除流量
 用于清除所有地址有关本月的流入、流出统计,同时网络计费部
 分的结果也会被清除,流量统计重新统计

                    www.hisencyber.com
2、综合分析




 用户可以通过综合分析,查看包过滤、HTTP代理、
 SOCKS代理和SMTP代理日志。




                 www.hisencyber.com
3、审计日志




 用户可以通过审计日志,查看所有管理员对防火墙的
 操作日志。




                www.hisencyber.com
4、报警设置




 审计告警主要是设定日志记录系统在系统资源即将耗
 尽情况下采取的动作。




                www.hisencyber.com
www.hisencyber.com
5、备份日志



 管理员可根据需要,将各种日志记录备份在计算机的
 存储介质或本地盘上。但请注意,一旦将各种日志备
 份以后,防火墙上所有的日志将被清除。




                www.hisencyber.com
6、远程日志




 海信防火墙提供远程日志功能,可以把防火墙产生的
 大量的日志,传输到专门记录日志的服务器,以减轻
 防火墙的负担。远程日志主机必须装有海信的远程日
 志浏览器,以方便日志的查询、浏览。




                www.hisencyber.com
7、安全检测




 安全检测分为实时检测和可疑记录两部分。实时检测
 可以实时地显示当前进出防火墙数据包的详细信息;
 可疑记录记录了系统认为是非正常的访问,即系统认
 为是攻击行为的访问。




                www.hisencyber.com
8、网络计费




 网络计费是根据管理员制定的计费规则进行网络的统
 计计费。系统提供的统计接口,可以对经过防火墙的
 访问节点地址进行记录,并用列表方式显示结果,供
 统计分析和收费记帐用。




                www.hisencyber.com
海信数码科技有限公司




谢谢各位!


       www.hisencyber.com

								
To top