天清汉马防火墙培训手册.ppt

天清汉马防火墙培训手册,配置管理概述 防火墙基本配置 日志功能,提纲,配置管理概述,配置管理概述,usg设备的管理方式 通过console口配置； 通过telnet 进行命令行的配置； 通过ssh进行命令行的配置； 通过http 或https协议，从gui界面进行配置管理； 安装集中管理中心软件，集中管理、配置usg设备；,配置管理概述,管理员用户与权限表 通过默认管理员或自建管理员用户来进行管理配置； 管理员可以通过本地或radius进行认证； 出厂默认管理用户admin，密码venus.usg； 管理员权限表规定了管理员可以执行的操作； 可以给管理员添加管理ip限制；,配置管理概述,新建管理员用户,配置管理概述,新建管理员权限表,配置管理概述 防火墙基本配置 日志功能,提纲,usg的工作模式,usg支持三种接入模式： 透明模式； 路由模式； 混合模式； 这三种模式无需显式配置，usg根据用户配置自动生效。,usg中的接口概念,usg中包含以下接口级的概念: 物理接口； vlan接口； 透明桥接口； gre接口； 安全域； 其他隐藏接口，包括loopback接口、l2tp接口和tunssl接口,物理接口,vlan接口,透明桥接口,路由配置,路由表查询,路由配置,创建静态路由,路由配置,创建策略路由,安全策略,安全策略是usg应用的核心，我们通过配置安全策略: 实现对数据流的匹配(接口、ip、服务、时间) 控制和管理流经设备的数据流(permit、deny、ipsec加密、ssl加密) 施行qos 服务质量划分,安全策略,创建和编辑安全策略,安全策略,安全策略的启用与匹配 安全策略配置后必须启用才会生效； 安全策略按先配置优先的原则进行匹配； 对通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制； 可以调整安全策略的顺序，以使位置在前的策略优先匹配； 可以创建一条新的安全策略，并插入到指定的策略之前；,网络地址转换(nat),网络地址转换(nat): 最初用于私有地址向公有地址的转换，以解决公有ip地址短缺的问题； 单向隔离，具有额外的安全性； 利用目标地址的映射，使公有地址可访问配置了私有地址的服务器； 可用于服务器的负载均衡和地址复用；,网络地址转换(nat),usg支持以下nat: 源nat，按照使用不同可划分为: 动态nat: 源地址映射到一个地址池(nat pool)； pat: 所有源地址映射到同一目的地址； 静态nat：一对一双向地址映射； 目的nat；,网络地址转换(nat),源地址转换(snat)，可以将内部地址转换成出接口地址或 者地址池中的地址。,网络地址转换(nat),目的地址转换(dnat)，可以将目标地址转换成nat pool中的地址，亦可实现服务器负载分担与业务分流。,网络地址转换(nat),nat地址池(pool)，注意起始地址不能大于结束地址，在 地址不是很充分的情况下，可以配置地址轮询。,动态地址分配(dhcp),usg设备可以担当所有的dhcp 角色: dhcp server dhcp relay dhcp client,动态地址分配(dhcp),配置dhcp服务器的步骤: 在相应接口开启dhcp server服务； 创建dhcp服务器； 如果有必要，创建dhcp地址的排除范围； 如果有必要，创建ip-mac绑定条目； 通过监视器可察看由usg分配的动态地址；,动态地址分配(dhcp),高可用性(ha),高可用性 (ha, high availability)，可防止网络中由于单个防火墙 的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。,高可用性(ha),天清汗马usg上的ha: 目前支持主备模式，下一版本将支持主主模式； 支持两台防火墙互为备份； 两台设备的硬件型号要求一致； ha接口为专用物理口，不处理业务； 支持透明模式、路由模式和混合模式；,高可用性(ha),配置usg工作于主备模式:,高可用性(ha),察看当前ha的工作状态与同步情况:,防攻击防扫描,常见的网络攻击: ping-of-death jolt2 land-base teardrop winnuke smurf syn-flag,防攻击防扫描,网络扫描通常分为以下几种: 垂直扫描：针对相同主机的多个端口 水平扫描：针对多个主机的相同端口 ping扫描：针对某地址范围，通过ping方式发现存活主机 扫描通常是网络攻击的前兆；usg设备可以有效防范以上几 类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检 测到扫描探测时，向用户进行报警提示。,防攻击防扫描,根据网络情况开启相应的防攻击和防扫描功能，并设定合理的 参数。,防攻击防扫描,防flood攻击: 通过限制源主机或目的主机的连接数来起到防止flood攻击的目的； 在安全防护表中启用，并通过安全策略来引用，不是全局使能的； 根据网络情况，配置合理的参数值； 可以认为是防攻击、防扫描的补充。,防攻击防扫描,配置管理概述 防火墙基本配置 日志功能,提纲,日志功能,usg日志分为: 事件日志 病毒日志 入侵防护日志 流量日志: 支持netflow v9 对于前三种日志，可以配置将其记录到内存、标准syslog服 务器或者数据中心；对于流量日志，可以输出到第三方流量收 集器或数据中心。,日志功能,大部分事件日志在这儿配置:,日志功能,nat的日志事件在配置nat策略时配置:,日志功