联想网御防火墙使用手册ppt课件

1、1,联想网御Power V防火墙技术培训,POWER V防火墙培训大纲,2,什么是防火墙,防火墙技术原理,防火墙配置案例,问题处理及日常维护,什么是防火墙,安全域的概念,什么是防火墙,什么是防火墙,访问控制，过滤未经许可的通信流量,RISK,RISK,RISK,风险,基本的风险,采取措施后剩余的风险,风险管理：-就是为了把网络的安全风险降到可接受的程度,什么是防火墙,定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。 核心思想：在不安全的网络环境中构造一个相对安全的子网环境。 目的：都是为了在被保护的内部网与不安全的非信任网络之间设

2、立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作,防火墙能做什么,保障授权合法用户的通信与访问,禁止未经授权的非法通信与访问,记录经过防火墙的通信活动,防火墙不能做什么,不能主动防范新的安全威胁,不能防范来自网络内部的攻击,不能控制不经防火墙的通信与访问,什么是防火墙,POWER V防火墙培训大纲,9,什么是防火墙,防火墙技术原理,防火墙配置案例,问题处理及日常维护,数据包,协议,数据包连接状态,通过netstat na命令来查看本机的连接,工作模式-透明模式,internet,防火墙透明接入，相当于交换机，防火墙接口不需要配置ip地址，同时不用更改周边设备的路由

3、等信息,工作模式-路由模式,防火墙做内部网络的网关,internet,部署位置网络边界防护,internet,部署位置网络内部区域防护,网络内部区域防护，即多安全域防护,internet,POWER V防火墙培训大纲,16,什么是防火墙,防火墙技术原理,防火墙配置案例,问题处理及日常维护,防火墙配置案例,准备工作-登录防火墙 配置前的信息收集 网御防火墙的配置顺序 防火墙路由模式接入案例 防火墙策略注意事项,准备工作登录防火墙,配置管理主机的ip地址 连接连接主机和防火墙 登录防火墙,准备工作,准备工作-本机配置,主要是配置主机的IP地址为00/,准备

4、工作-连接防火墙,FE1IP地址：54,网卡IP地址：00,打开IE浏览器输入54:8888 按照提示选择证书，登录完成。 输入用户名和密码,登录防火墙,配置前的信息收集工作,配置前的信息收集工作,查看网络环境（防火墙及周边路由器、交换机和服务器的IP、路由状况等） 搞清楚应用需求（协议、服务和端口） 制定合适的安全策略,网御防火墙配置顺序,配置步骤,配置接口 配置路由或默认路由 定义资源-基于对象的概念，遵循先定义后引用的原则。 配置策略-从上到下依次执行，第一优先匹配的原则,案例防火墙路由模式接入网络,路由模式的防火墙多部署于网

5、络边界 连接多个不同网络,路由模式概述,案例二：路由模式,NAT配置步骤,NAT基本配置,30,SUPER V网络出口应用,1：SNAT+DNAT典型应用: A：内网用户通过SNAT+地址池访问Internet B：外网用户通过DNAT访问内网的服务器,SUPER V 典型应用方案,网络接口配置,接口 IP地址,在一个接口上可以配置多个地址 应用于HA和VRRP的地址较特别 在HA一节中详细讲解,静态路由的配置,配置 静态 路由,标记为不可达路由和黑洞路由的流量都会被丢弃，对不可达的流量将返回ICMP不可达差错消息,对于多出口路由后，将根据所配置的权值决定流量的分担,page 33,2021/

6、2/1,FlowOpt产品的主要功能 透明模式和路由模式 流量可视 基于管道的带宽管理 应用识别 抗DDOS攻击功能 内容过滤功能 其他基础网络功能 一级菜单 PCP 基本服务对象 服务对象组 时间对象 静态路由 系统监控,PCP,主要功能,page 34,2021/2/1,FlowOpt产品的主要功能 透明模式和路由模式 流量可视 基于管道的带宽管理 应用识别 抗DDOS攻击功能 内容过滤功能 其他基础网络功能 一级菜单 PCP 基本服务对象 服务对象组 时间对象 静态路由 系统监控,基本服务对象,主要功能,page 35,2021/2/1,FlowOpt产品的主要功能 透明模式和路由模式

7、流量可视 基于管道的带宽管理 应用识别 抗DDOS攻击功能 内容过滤功能 其他基础网络功能 一级菜单 PCP 基本服务对象 服务对象组 时间对象 静态路由 系统监控,服务对象组,主要功能,37,典型应用方案二 详细配置,设备一： object service ftp protocol tcp sport port-range 1 65535 dport port-range 21 21 interface Ge0/1/0 ip address 24 interface Ge0/1/1 ip address 24 pcp net_1 source-ip ne

8、t pcp net_2 source-ip net pcp dnat-jl-ftp destination-ip net 55 service-obj ftp filter default accept nat pcp net_1 snat interface g0/1/1 address-pool out hash-mapping on nat pcp dnat-jl-ftp dnat interface g0/1/1 address-pool out hash-m

9、apping on ip route-static 0 gateway ip route-static 16 gateway ,防火墙策略注意事项,不管防火墙采用什么样的工作模式，必须进行规则的设定。 注意策略的方向性，谁去访问谁。 策略是从上到下顺序匹配执行。 掩码的设置 IP/55代表的是唯一的一台主机 IP/代表的是一个子网内的主机 源目的IP和服务中的any代表的是all workstation 和all protocol,POWER V防火墙培训大纲,39,什么是防

10、火墙,防火墙技术原理,防火墙配置案例,问题处理及日常维护,典型部署方式,部署网络防火墙策略十四条守则,计算机没有大脑。所以，当防火墙的行为和你的要求不一致时，请检查你的防火墙配置。 只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则，看规则的元素是否和你所需要的一致。 拒绝的规则一定要放在允许的规则前面。 当需要使用拒绝时，显式拒绝是首要考虑的方式。 在不影响防火墙策略执行效果的情况下，请将匹配度更高的规则放在前面。 在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面,尽量简化你的规则，执行一条规则的效率永远比执行两条规则的效率高。 永远不要在网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks)，这样只是让你的防火墙形同虚设。 如果可以通过配置系统策略来实现，就没有必要再建立自定义规则（或特征）。 防火墙的每条访问规则都是独立的，执行每条访问规则时不会受到其他