天清汉马防火墙培训手册.ppt

天清汉马防火墙培训手册,配置管理概述防火墙基本配置日志功能,提纲,配置管理概述,配置管理概述,USG设备的管理方式通过Console口配置；通过Telnet进行命令行的配置；通过SSH进行命令行的配置；通过HTTP或HTTPS协议，从GUI界面进行配置管理；安装集中管理中心软件，集中管理、配置USG设备；,配置管理概述,管理员用户与权限表通过默认管理员或自建管理员用户来进行管理配置；管理员可以通过本地或Radius进行认证；出厂默认管理用户admin，密码venus.usg；管理员权限表规定了管理员可以执行的操作；可以给管理员添加管理IP限制；,配置管理概述,新建管理员用户,配置管理概述,新建管理员权限表,配置管理概述防火墙基本配置日志功能,提纲,USG的工作模式,USG支持三种接入模式：透明模式；路由模式；混合模式；这三种模式无需显式配置，USG根据用户配置自动生效。,USG中的接口概念,USG中包含以下接口级的概念:物理接口；Vlan接口；透明桥接口；GRE接口；安全域；其他隐藏接口，包括loopback接口、L2TP接口和tunssl接口,物理接口,Vlan接口,透明桥接口,路由配置,路由表查询,路由配置,创建静态路由,路由配置,创建策略路由,安全策略,安全策略是USG应用的核心，我们通过配置安全策略:实现对数据流的匹配(接口、IP、服务、时间)控制和管理流经设备的数据流(Permit、Deny、IPSec加密、SSL加密)施行QoS服务质量划分,安全策略,创建和编辑安全策略,安全策略,安全策略的启用与匹配安全策略配置后必须启用才会生效；安全策略按先配置优先的原则进行匹配；对通过设备的数据包进行处理，对于到设备本身的数据包和设备本身发出的数据包不进行限制；可以调整安全策略的顺序，以使位置在前的策略优先匹配；可以创建一条新的安全策略，并插入到指定的策略之前；,网络地址转换(NAT),网络地址转换(NAT):最初用于私有地址向公有地址的转换，以解决公有IP地址短缺的问题；单向隔离，具有额外的安全性；利用目标地址的映射，使公有地址可访问配置了私有地址的服务器；可用于服务器的负载均衡和地址复用；,网络地址转换(NAT),USG支持以下NAT:源NAT，按照使用不同可划分为:动态NAT:源地址映射到一个地址池(NATPool)；PAT:所有源地址映射到同一目的地址；静态NAT：一对一双向地址映射；目的NAT；,网络地址转换(NAT),源地址转换(SNAT)，可以将内部地址转换成出接口地址或者地址池中的地址。,网络地址转换(NAT),目的地址转换(DNAT)，可以将目标地址转换成NATPool中的地址，亦可实现服务器负载分担与业务分流。,网络地址转换(NAT),NAT地址池(Pool)，注意起始地址不能大于结束地址，在地址不是很充分的情况下，可以配置地址轮询。,动态地址分配(DHCP),USG设备可以担当所有的DHCP角色:DHCPServerDHCPRelayDHCPClient,动态地址分配(DHCP),配置DHCP服务器的步骤:在相应接口开启DHCPServer服务；创建DHCP服务器；如果有必要，创建DHCP地址的排除范围；如果有必要，创建IP-MAC绑定条目；通过监视器可察看由USG分配的动态地址；,动态地址分配(DHCP),高可用性(HA),高可用性(HA,HighAvailability)，可防止网络中由于单个防火墙的设备故障或网络故障导致网络中断，保证网络服务的连续性和强度。,高可用性(HA),天清汗马USG上的HA:目前支持主备模式，下一版本将支持主主模式；支持两台防火墙互为备份；两台设备的硬件型号要求一致；HA接口为专用物理口，不处理业务；支持透明模式、路由模式和混合模式；,高可用性(HA),配置USG工作于主备模式:,高可用性(HA),察看当前HA的工作状态与同步情况:,防攻击防扫描,常见的网络攻击:Ping-of-deathJolt2Land-BaseTearDropWinnukeSmurfSyn-flag,防攻击防扫描,网络扫描通常分为以下几种:垂直扫描：针对相同主机的多个端口水平扫描：针对多个主机的相同端口Ping扫描：针对某地址范围，通过Ping方式发现存活主机扫描通常是网络攻击的前兆；USG设备可以有效防范以上几类扫描，从而阻止外部的恶意攻击，保护设备和内网。当检测到扫描探测时，向用户进行报警提示。,防攻击防扫描,根据网络情况开启相应的防攻击和防扫描功能，并设定合理的参数。,防攻击防扫描,防Flood攻击:通过限制源主机或目的主机的连接数来起到防止Flood攻击的目的；在安全防护表中启用，并通过安全策略来引用，不是全局使能的；根据网络情况，配置合理的参数值；可以认为是防攻击、防扫描的补充。,防攻击防扫描,配置管理概述防火墙基本配置日志功能,提纲,日志功能,USG日志分为:事件日志病毒日志入侵防护日志流量日志:支持NetFlowV9对于前三种日志，可以配置将其记录到内存、标准Syslog服务器或者数据中心；对于流量日志，可以输出到第三方流量收集器或数据中心。,日志功能,大部分事件日志在这儿配置:,日志功能,NAT的日志事件在配置NAT策略时配置:,日志功能,