天融信防火墙配置手册讲义

1、天融信防火墙配置手册 防火墙形态 类似于一台路由器设备，是一台特殊的计算机。 以天融信防火墙(TOPSEC FireWall ARESM)为实例，来测试防火墙各区域的访问控制机制：目标一： 了解访问策略的原理与作用。通过设置访问策略，测试Intranet（企业内联网）,SSN（安全服务区，即DMZ（非军事区）,Internet（互联网）区域之间访问控制机制。目标二： 了解NAT原理与作用。测试内网通过NAT方式相互访问。并通过NAT访问因特网，过滤特定网站和特定网页。目标三： 了解MAP原理与作用。测试外网通过MAP访问企业内部服务器。 了解防火墙三种接入模式。 配置目标防 火 墙 为 网 络

2、 用 户 提 供 安 全 的 Internet 接 入InternetDMZ WEB服务层Intranet 内部网络Web e-mail FTP防火墙 FireWallWeb Site FilterWeb 站 点 访 问 过 滤 限 制 对 非 本 企 业 业 务 目 的 的 Internet 资 源 的 访 问 Connection to outside networkConnection to inside networkConnection to www network防火墙在企业网的接入Intranet区域SSN区域Internet区域大门实验室分布情况Internet实验网络结构图0

3、/60网关：50DMZ 区Intranet 内网Web e-mail FTPInternet 外网0/60/70/80/90网关：500/60/70/80/90网关：502.2506.2501.250防火墙路由模式访问控制测试结构一、通过防火墙的路由功能实现访问控制，操作步骤如下：STEP1:线路连接根据图示设置主机IP地址(注意主机IP与连接的防火墙端口地址为同一网段，不能与连接的防火墙端口地址冲突)，设置防火墙本区域端口IP地址为主机网关地址。测试能否PING通防火墙端口IP地址。 上半部份STEP2:通过软件登陆Firewall 打开防火墙配置软件“TOPSEC集中管理器”， 新建项目，

4、输入防火墙本区域端口IP地址，登陆到防火墙。查看防火墙“基本信息”和“实时监控”，了解其他各菜单功能。 说明：登陆下列其中一个用户：user1/2/3/4/5/6/7/8/9/10, 口令为：123456 防火墙配置一般有三种方式： B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。区域之间缺省权限的设置STEP3: 防火墙区域缺省权限设置网络区域 防火墙三个区域 缺省访问权限设为允许访问。 操作说明：选择“可读、可写、可执行”选项，表示为允许访问。 本机PING其他区域内主机，测试连通性。网络区域 防火墙三个区域 缺省访问权限设为禁止访问。 操作说明：不选择“可读

5、、可写、可执行”选项，表示为禁止访问。本机PING其他区域内主机，测试连通性。 第四个区域area_4为该软件上带的区域名，可不管,实际硬件上没有。 缺省访问权限是指区域之间主机的默认权限。 如果是PING本区域内主机，由于是通过交换机进行通信，防火墙不能控制同一区域主机之间的权限，本区域内主机是能够连通的。 主机节点对象的建立接下来在防火墙三个区域缺省权限设为禁止访问的情况下，做以下步骤：STEP4: 主机节点对象建立高级管理网络对象本主机所在区域定义新对象定义节点 把本主机IP地址定义为一个节点。定义名称可任意，物理地址可不填。 说明：定义对象应在该对象所在区域内设置。本机在哪个区域，则在

6、那个区域内设置。定义节点针对一个主机定义，定义子网可定义一个网络地址段。定义对象没有任何权限的作用，只有通过访问策略（STEP5设置）调用这些对象才能设置权限。 防火墙访问控制过滤机制包过滤示意图源地址过滤目的地址过滤协议过滤协议端口过滤数据包数据包应用层过滤缺省访问权限（允许/禁止）源对象目的对象策略服务http,ftp,smtp等时间策略访问控制允许/拒绝一条访问策略规则： 2) 在本区域内增加包过滤策略，建立禁止对方主机（策略源）访问本机（策略目的）的访问策略，测试对方区域的主机到本机的连通性。说明： 必须针对不同区域设置访问权限，同一区域内的主机防火墙是不能控制权限的，设置的策略也是无

7、用的。 3) 禁止其他区域主机访问本机135-139及445,7626,4006，1027，6267，8080端口（任选其一设置）。 策略服务在都不选择的情况下，为任何服务，包括所有协议所有端口。 策略服务在都选择的情况下，表示只对所选择的服务进行访问控制。 访问策略优先级高于区域默认权限策略的优先级（STEP3已设置）。 每个访问策略都是单向访问，只有策略源对象访问到策略目的对象。两个不同区域主机如需要相互访问，则需要建立两个策略。访问策略可控制源地址，目标地址，策略服务，访问控制时间。访问控制测试STEP6: 通过策略范围来控制主机访问权限(1)设置两个策略，一个策略为设置本机访问其他区域

8、某一主机的访问策略，访问策略为允许，另一个策略同样是访问该主机，但访问控制设为禁止，更改两个策略的优先级，通过PING 对方主机测试连通性。 说明：鼠标上下拖动所建策略可以更改优先级，排在上面的策略优先级高。 (2) 设置两个策略，一个策略为本机访问其他整个区域的策略，另一个策略为本机禁止访问其他区域内某一个主机的策略，更改两个策略的优先级，通过PING 对方区域内主机测试连通性。 (3) 设置两个策略，一个策略为本机访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机禁止通过策略服务PING其他区域该主机。更改两个策略的优先级，通过PING 对方主机测试连通性。 访问控制测试 (4

9、) 设置两个策略，一个策略为本机禁止访问其他区域某主机的策略，策略服务为任何服务，另一个策略为本机允许通过策略服务PING其他区域该主机。更改两个策略的优先级，通过PING 对方主机测试连通性，访问对方主机其他端口（如共享方式）进行测试。 (5) 设置本区域允许访问其他整个区域，策略服务为任何服务，通过PING 对方所有主机测试连通性。 (6) 在网络区域，设置所有区域缺省权限为允许，再建立一个访问策略，禁止PING对方某一主机的访问策略。测试与对方主机的连通性。 7）根据需要，自行定义策略，设置权限。说明：如果选择整个区域，如选择INTRANET区域”，则指包括连入INTRANET内的所有主

10、机。 可以通过策略的优先级，把范围小的策略优先级设置为高于范围大的策略，能够有效控制不同区域之间的访问对象和策略服务。这样先满足范围小的策略，超过这个范围则再受到范围大的策略限制。 访问控制测试企业防火墙设置注意要点：防火墙是企业安全的关键中枢，企业安全管理实施需要通过运用防火墙访问策略来实现。访问策略不只是从技术上考虑，最重要的是安全管理的需要来进行设置。为了安全需要，防火墙最好只能一个管理员进行配置，有其他人设置时要有日志记录便于管理审计。防止无关管理员任意设置。策略规则应尽量简化，策略太多容易杂乱，不便管理，影响防火墙效率。常见的木马、病毒使用的端口尽量关闭，如445,7626，4006

11、，1027，6267等，对高发及最新病毒、木马端口要及时做出处理。防止反向连接,对由内到外的连接也要注意端口防护。 与另一区域的一主机配合操作。在目标主机无网关（路由）的情况下，通过NAT方式进行访问。访问端需要有网关（路由）。 1）把需要测试的目标主机操作系统中网关地址 (在网络属性中设置) 删除。 2）在目标主机无网关情况下， 增加一个访问策略，允许本机（策略源）访问该目标主机（策略目的），测试与该主机连接情况。 3) 进入高级管理通信策略 增加本机（策略源）到该目标主机（策略目的）的通讯策略，通信方式选择NAT方式。 4） 测试与该主机连通情况以及对方主机访问本机的连通情况。 5） 本机

12、删除网关后，让对方主机增加网关，反过来再增加访问策略和NAT进行测试。说明：访问策略是权限的问题，通讯策略是路径的问题。NAT都是单向访问，内网需要网关路由到外网，而外网不需路由到内网。保护了内网的安全。思考: NAT是作为源IP地址转换，NAT在整个转换过程中所起到的作用?通信策略STEP7: 设置NAT（网络地址转换）方式NAT 在互联网的应用隐藏了内部网络结构内部网络可以使用私有IP地址NAT原理源地址转换0网关：500Intranet:50Internet:50报头 数据源地址：0目的地址：0报头 数据源地址：50目的地址：0NAT转换0发送的数据包经过NAT转换后，源地址成为50DM

13、Z 区Intranet 内网Web e-mail FTPInternet 互联网0/60/70/80/90网关：500/60/70/80/90网关：502.2506.2501.250互联网过滤互联网过滤1）首先把防火墙INTERNET区域端口接入到华迪实训公司INTERNET网络线路。 2) 建立一个访问策略（包过滤策略），以本机作为策略源，以INTERNET区域做为策略目的，策略服务选择任何服务。 3）再建立一个通信策略（NAT方式），本机做为策略源，INTERNET区域作为策略目的。然后本机DNS（在网络属性中设置）指向到互联网DNS服务器IP地址, 检查能否PING通DNS服务器IP，测

14、试能否连入互联网。 DNS服务器IP：61 9 STEP8: 通过HTTP过滤策略, 过滤网站和过滤网页.4) 在高级管理特殊对象URL 定义新对象 ，输入任一网址，注意格式要求。注意：定义URL时前后应加 * , 如格式： * 。 5）访问策略 INTERNET区域 增加HTTP策略 ，禁止某一网站 。把过滤策略优先级提到最前面，测试该网站能否打开。（不需选择关键字） 6）在高级管理特殊对象关键字定义关键字 7）访问策略INTERNET区域 增加 HTTP策略，允许某一网站访问，但禁止关键字访问。 把过滤策略优先级提到最前面，测试含有该关键字的网页能否打开。注意：定义关键字不需要加 * ，过

15、滤关键字即过滤含有关键字的网页。 选择关键字则访问策略的访问控制只能选择“允许”,不能选择禁止。 8）通过包过滤策略，禁止本机访问INTERNET,策略服务为TCP:80(HTTP服务)，测试能否连入互联网。9) PING 某一网站域名(网址），记住其IP地址，通过访问策略禁止本机PING此IP地址。 下半部份二 、通过防火墙透明模式测试区域网络的访问控制：说明：防火墙透明模式可以让同一网段在不同区域的主机进行通信。 （相当于二层交换）而路由模式可以让不同网段在不同区域通过防火墙端口IP地址路由进行通信。（三层交换作用）了解防火墙的三种接入模式1.透明模式（网络）2.路由模式路由模式3.透明及

16、路由的混合模式透明网络结构DMZ 区Intranet 内网Web e-mail FTP10/120/130/140/1500/60/70/80/9000/210Internet 外网1.2401.2301.250防火墙透明网络测试结构STEP1: 按上图设置主机IP (注意可不设网关)，用TOPSEC集中管理器重新登陆到本区域端口地址。在高级管理特殊对象透明网络增加透明网络，选择“INTERNET区域” “INTRANET,SSN 。说明：增加本区域和要进行透明网络测试的区域。STEP2: 在网络区域设置三个区域为禁止访问。在网络对象中重新按以上IP在本区域建立本机节点，在访问策略中，增加本机

17、（策略源）可以访问其他区域内某一主机（策略目的）的权限。STEP3:测试能否PING通其他区域的主机。STEP4: 删除所有建立的透明网络，测试能否连通其他区域主机。 STEP5: 在网络区域设置三个区域为允许访问，建立禁止访问其他区域主机的访问策略，测试连通性。透明网络测试不同区域任意两个主机之间都可配合按以下步骤操作。 三、MAP映射操作步骤DMZ 区Intranet 内网Web e-mail FTPInternet 外网0/60/70/80/90网关：500/60/70/80/90网关：500/60网关：502.2506.2501.250（本实验可选）MAP端口（地址）映射 在互联网的应

18、用MAP也称为反向NATSTEP1:在网络区域本主机所在区域虚口设置设置虚口IP地址 增加本区域同一网段的虚口IP地址，注意不要跟其他地址冲突。说明：增加一个虚口地址做映射地址。建立MAP映射后，IP地址将会完全代替被映射的主机IP,为了使MAP后“TOPSEC集中管理器”能连到防火墙原防火墙IP地址，所以增加一个虚口地址来做为MAP映射的IP地址。STEP2: 在高级管理网络对象本区域内增加STEP1所做的虚口地址为一个节点A。在高级管理网络对象对方区域内增加对方主机为一个节点B。Ping 虚口IP地址, 检查能否连接该地址。STEP3: 在高级管理访问策略对方区域内增加本机访问对方主机的访

19、问策略, 策略服务设为任何服务。STEP4: 在高级管理通信策略增加MAP映射。策略源为本机所在区域名，策略目的为节点A(即虚口地址）,通信方式：MAP,目标机器为对方主机节点B，访问目标的源为节点A(即虚口地址）。 认真按以下步骤操作，可参照后面参考案例MAP测试过程STEP5: 进行MAP测试，本机访问虚口地址。可以通过 PING a 虚口IP 的方式查找计算机名，如能解析出对方计算机名。则可以说虚口地址已映射为对方计算机IP.通过地址映射后，访问虚口地址即实际转向访问到节点B. 如访问虚口地址上的网站即访问节点B的WEB.STEP6: 高级管理通信策略 把刚才做的MAP策略，指定协议改为

20、TCP , 映射方式改为端口映射：80 端口80端口。 （如果是WEB,为80，如为FTP,端口为21) 对方的IIS配置好，访问对方WEB。原理说明：只能针对节点（主机）对节点（主机）进行MAP 。通过这种方式，互联网上主机可不需路由（网关）到企业内网。当具体应用时，因外网不能直接访问到内网私有地址的服务器，在外网主机访问内网服务器时就需先访问外网IP地址，再通过MAP访问内网服务器。 MAP是目的地址转换，经MAP转换后IP转换为防火墙另一区域的目标主机IP . MAP映射参考案例从Internet 区域向SSN 区域做映射。 目的：51 MAP= 0 DMZ 区Intranet 内网We

21、b e-mail FTP0(节点B)0/60/70/800虚口地址（节点A)：51Internet 外网防火墙MAP映射测试结构2.2506.2501.250STEP1:按如图所示，以0模拟互联网上某主机。在网络区域INTERNET区域虚口设置设置虚口地址51.STEP2: 在高级管理网络对象INTERNET增加虚口地址为一个节点A。在高级管理网络对象SSN0为一个节点B。STEP3: 在高级管理访问策略SSN增加INTERNET访问0的访问策略。STEP4:在高级管理通信策略增加MAP映射。策略源为INTERNET区域，策略目的为节点A(即虚口地址）,通信方式：MAP,目标机器为节点B，访问

22、目标的源为节点A(即虚口地址）。说明：本区域虚口地址映射到目标区域内主机。STEP5:Internet内一主机访问虚口地址。通过地址映射后，访问虚口地址即实际转向访问到节点B. 如访问虚口地址上的Web即访问节点B的Web.0网关：500Intranet:50Internet:50报头 数据源地址：0目的地址：0报头 数据源地址：0目的地址：50MAP映射MAP映射原理目的地址转换0发送的数据包经过MAP映射后，目的地址成为0案例应用综合测试： 某公司根据网络安全需要，要求做到以下几点： 1、允许内网所有主机访问互联网,但不能访问,不能访问有“游戏”关键字的网页。 2、 禁止SSN主机访问互联

23、网。 3、 禁止内网访问除0外SSN区域的主机。 4、 外网建立虚口地址51，并使此IP的TCP:80端口映射到0主机tcp:80端口。5、 允许Intranet 主机0主机访问SSN网0主机。 请根据这些安全要求设置防火墙策略！InternetDMZ WEB服务层Intranet 内部网络Web e-mail FTP防火墙 FireWallTrust 区Untrust 区1.50 1.601.20 2.606.251135-139,445,7626案例应用综合测试图： 实验完 附： Firewall讲义词汇表本讲义所用的词汇解释Intranet 内联网（企业网）DMZ 非军事区（停火区）SS

24、N 安全服务区防 火 墙 为 网 络 用 户 提 供 安 全 的 Internet 接 入InternetDMZ WEB服务层Intranet 内部网络Web e-mail FTP防火墙 FireWallWeb Site FilterWeb 站 点 访 问 过 滤 限 制 对 非 本 企 业 业 务 目 的 的 Internet 资 源 的 访 问 Connection to outside networkConnection to inside networkConnection to www network1.3带防火墙的Web服务层1.4防火墙的接口交换机Internet 核心交换机 交

25、换机 交换机PCPCPCPCPCPC 防火墙需要了解的内容：1、防火墙的区域端口SERVERDMZSERVERSERVERINTRANET50INTERNET501.5 IT领域防火墙的概念 一种高级访问控制设备，置于不同安全域之间，是不同安全域之间的唯一通道，能根据企业有关的安全政策执行允许，拒绝，监视，记录进出网络的行为。1.6 防火墙 防火墙是一个或一组系统，用于管理两个网络直接的访问控制及策略所有从内部访问外部的数据流和外部访问内部的数据流均必须通过防火墙；只有在被定义的数据流才可以通过防火墙(如果通过其他方式带出信息，则无法防备）防火墙本身必须有很强的免疫力TCP/IP协议协议层次O

26、SI/RM模型TCP/IP协议栈物理层数据链接层网络层传输层会话层表示层应用层网络接口层IP层传输层HTTP FTP SMTP TCP UDPIP ICMP ARP以太网，ATM，FDDI需要了解的内容：2、TCP/IP应用层TCP/IP协议簇数据包各层协议结构MAC帧首部尾部首部IP数据报首部传输层MAC地址源 IP,目的 IP、协议类型数据部份数据部份数据部份ICMP IGMP EGP OSPF ARPTCP UDP应用层源端口,目的端口TELNET,SMTP,FTP, HTTP,DNS,SNMP,DHCP RIP.链路层IP层各层首部长度：MAC帧首部14B,尾部4B,IP数据报首部20

27、B,TCP: 20B,UDP:8B,ICMP:8BTCP/IP协议簇IP层协议：IP : 网际协议 ICMP: 网际控制报文协议 ARP 地址解析协议传输层协议：TCP: 传输控制协议 特点：面向连接，较可靠。需先建立连接，开销较大。UDP:用户数据报协议 特点：无连接，不可靠，尽最大努力交付。应用层协议： FTP TCP:21 SMTP TCP:25 TELNET TCP:23 HTTP TCP:80 POP3 TCP:110 SNMP UDP: 161/162DNS TCP:53/UDP:53 PPTP TCP:1723 L2TP TCP:1701MSTerminal TCP:3389 W

28、INS TCP :1512 HTTPS TCP:443DHCP UDP:67/68 QQ UDP:8000 SSH TCP:22PCANYWHERE TCP:5631MSN TCP:1863 RIP UDP:520TCP/IP协议簇各层之间的数据传递过程二、防火墙的发展历程 防火墙和路由器合为一体，只有过滤功能，适合安全要求不同的网络模块化软件包，用户可根据需要构建防火墙。安全性提高了。包括分组过滤; 装有专用的代理系统，监控所有协议的数据和指令。用户可配置参数，安全性和速度大为提高。包括分组过滤，应用网关，电路级网关。增加了加密，鉴别，审计，NAT. 透明性好。三、防火墙核心技术简单包过滤防

29、火墙状态检测包过滤防火墙应有代理防火墙包过滤和应有代理复合性防火墙核检测防火墙3.1 简单包过滤防火墙工作原理 3.2 状态检测包过滤防火墙工作原理 3.3 应用代理防火墙工作原理在应用层上进行检查网络层上不检查3.4 复合型防火墙工作原理 3.5 核检测防火墙工作原理 防火墙核心技术比较 四、防火墙体系结构 基于内核的会话检测技术 五、防火墙构造体系筛选路由器多宿主主机被屏蔽主机被屏蔽子网六、防火墙功能与原理 基于访问控制技术常用访问控制对象： 协议（TCP,UDP,ICMP)源IP地址 ，目的IP地址，源端口，目的端口时间，用户，流量，文件，网址，MAC地址防止DoS和DDoS攻击DoS

30、( Denial of Service ) 拒绝服务攻击 攻击者利用系统自身陋洞或者协议陋洞，耗尽可用资源乃至系统崩溃，而无法对合法用户作出响应。DDoS ( Distributed Denial of Service )分布式拒绝服务攻击 拒绝服务攻击通常是以消耗服务器端资源为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，实现攻击目的。 DDoS的表现形式主要有两种，一种是流量攻击，主要是针对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合法的网络数据包被虚假的网络数据包淹没而无法到达主机；另一种为资源耗尽攻击，主要是针对服务器主机进行的攻击

31、，即通过大量的攻击包导致主机的内存被耗尽，或是CPU被内核及应用程序占完而造成无法提供网络服务。与MAC地址绑定时间策略在访问中配置某条规则起作用的时间。如配置了时间策略，防火墙在规则匹配时将跳过那些当前时间不在策略时间段内的规则注：这个时间段不是允许访问的时间段，而是规则起作用的时间段。NAT 网络地址转换隐藏了内部网络结构内部网络可以使用私有IP地址NAT原理源地址转换0网关：500Intranet:50Internet:50报头 数据源地址：0目的地址：0报头 数据源地址：50目的地址：0NAT转换0发送的数据包经过NAT转换后，源地址成为50MAP端口（地址）映射 MAP也称为反向NA

32、T0网关：500Intranet:50Internet:50报头 数据源地址：0目的地址：0报头 数据源地址：0目的地址：50MAP映射MAP映射原理目的地址转换0发送的数据包经过MAP映射后，目的地址成为0服务器负载均衡负载均衡算法：顺序选择算法权值根据PING的时间间隔来选择地址权值根据CONNET的时间间隔来选择地址权值根据CONNET来发送请求并得到应答的时间间隔来选择地址权值 根据负载均衡算法将数据重定位到一台WWW服务器 减少单个服务器负载防火墙对TRUCK协议的支持 支持第三方认证服务器 1、支持第三方RADIUS服务器认证2、支持OTP认证服务器与IDS的安全联动IDS：入侵检测系统。是指对入侵行为的发觉，通过对算机网络系统中的若干关键点收集信息并对其进行分析，从中发觉网络系统中是否有违反安全策略的行为或被攻击的迹像。为什么需要IDS防范透过防火墙的入侵利用应用系统漏洞实施的入侵利用防火墙配置失误实施的入侵防范来自内部网的入侵内部网的攻击占总的攻击事件的70%没有监测的内部网是内部人员的“自由王国”对网络行为的审计，防范无法自动识别的恶意破坏入侵很容易入侵教程随处可见各种工具唾手