防火墙知识培训

防火墙学问培训技术部课程目标防火墙的基础学问方正防火墙特点保定电子政务网防火墙配置策略说明常见问题与解决方案课程目标防火墙的基础学问方正防火墙特点保定电子政务网防火墙配置策略说明常见问题与解决方案传统防火墙的概念IT领域中防火墙的概念过滤进出网络的数据包；管理进出网络的访问行为；封堵某些禁止的访问行为；记录通过防火墙的信息内容和活动；对网络攻击进行检测和告警能过滤大部分的危急端口设置严格的外向内的状态过滤规则抵抗大部分的拒绝服务攻击加强了访问限制实力防火墙的作用对新出现的漏洞和攻击方式不能快速供应有效的防卫方法紧急状况下无法做到快速响应性能和稳定性制约了大范围的运用不能完全防范恶意代码的通过防火墙的局限性防火墙的分类包过滤防火墙最早的防火墙技术之一，功能简洁，配置困难应用网关防火墙最早的防火墙技术之二，连接效率低，速度慢状态检测防火墙现代主流防火墙，速度快，配置便利，功能较多DPI防火墙（DeepPacketInspection）将来防火墙的发展方向，能够高速的对第七层数据进行检测状态检测防火墙 优点削减检查工作量，提高效率连接状态可以简化规则的设置缺点：对应用层检测不够深化DPI防火墙优点能够供应更高级的平安策略限制具备确定的入侵检测和防病毒功能缺点：目前的技术条件下速度太慢主要内容防火墙的基础学问方正防火墙特点保定电子政务网防火墙配置策略说明常见问题与解决方案防火墙产品线3000-FG-D8000-FG-E8000-FG-T部门级3000-FG-E3000-FG-63403000-FG-T8000-FG-NA10003000-FS-D4-S8000-FG-P3000-FA-E3000-FA-T3000-FS-E48000-FA-E8000-FS-E中小型企业级大型企业级电信级8000-FA-T3000-FA-NP2003000-FA-NP1003000-FA-NP803000-FA-T8000-FG-NA2000方正FG系列防火墙特点简介1、方正平安自2000年就起先推出自主学问产权的防火墙产品，现在已经发展到了第三代，拥有三个系列20个型号的防火墙产品。2、具有出众的稳定性。作为网关产品，稳定性是重中之重。评价稳定性，用户才最有发言权。以国税和军队为例：方正防火墙连续三年入围国税、军队行业统采项目，累计销售达2000台以上，稳定性尤其受到用户好评。07年底一次性通过公安部突击检查。08年入围315举荐产品书目。3、具有精彩的性能。05、06连续两年方正防火墙获赛迪防火墙性能评测第一名。4、具有多种功能，并可集中管理。方正防火墙维护工程师培训FG防火墙配置课程目标了解方正防火墙的基本概念明确方正防火墙的基本运用流程能够独立完成方正防火墙的基本运用和配置主要内容运用方正防火墙的预备学问FIREGATE安装初始化登录和管理FIREGATEFIREGATE功能配置介绍主要内容运用方正防火墙的预备学问FIREGATE安装初始化登录和管理FIREGATEFIREGATE功能配置介绍网络接口：网口一 网口二 网口三 网口四串口：限制串口方正防火墙的硬件介绍硬件连接示意图FGInitFGTestToolFireControlLogService卸载FireControl软件模块主要内容运用方正防火墙的预备学问FIREGATE安装初始化登录和管理FIREGATEFIREGATE功能配置介绍LogService报警说明典型案例FIREGATE硬件安装连接电源线连接串口线连接FG防火墙到网络中首先出现FG的Logo画面软件安装新建实施域添加防火墙设备导入/导出管理员账号*初始化程序运行前应先将计算机的COM1口与防火墙的限制串口连接，并将防火墙电源打开FCINIT进行初始化FGInit初始化主要内容运用方正防火墙的预备学问FIREGATE安装初始化登录和管理FIREGATEFIREGATE功能配置介绍FireControl是什么？FireControl是FG的管理程序,其作用是管理、监控、配置FG。策略管理员可自定义防火墙的各种参数，配置特性化的防火墙。首先进行用户登录，必需运用Admin用户登录，然后进入主界面，进入主界面后，首先要添加其他用户，设置管理用户的权限，然后是具体参数的配置。FIRECONTROL操作说明—登录进入主界面后，在设备列表处选择须要限制的防火墙FIRECONTROL操作说明—选择设备FIRECONTROL操作说明——主界面介绍一般管理员权限设置：系统管理员admin在进入主菜单后，点击菜单项“操作”下的“管理员帐号管理”，即可进行一般管理员的添加、修改和删除，以及为非法管理员设置封禁功能。如图所示：FIRECONTROL管理员权限设置系统管理员admin进入主菜单，点击“操作”栏下的“添加管理员帐号”，即可进行管理员帐号的添加。如图所示：FIRECONTROL填加管理员帐号系统管理员admin在添加完管理员帐号后，必需为相关管理员设置策略管理员和审计管理员的权限。以admin帐号登录系统后，点击“管理员权限设置”，如图所示：只有系统管理员admin才有权设置管理员权限。

设置管理员权限主要内容运用方正防火墙的预备学问FIREGATE安装初始化登录和管理FIREGATEFIREGATE功能配置介绍系统信息供应当前系统时间、运行总时间、系统负载及系统资源四项显示信息。基本配置—系统信息方正防火墙运用别名机制管理端口和子网，策略管理员可以用简洁好记的一条别名来代替服务器的多个端口和多个子网，便利管理。在定义别名时，确定要运用便于阅读的名称，尽可能运用中文。基本配置—别名基本配置—设备配置桥模式在“网口配置”标签页中，各个网口设备设置了不同网段的IP地址。这样，防火墙成为这些网段间通信的路由器。路由模式混杂模式防火墙的规则配置是面对网口设备的，每个网口上的规则是指：这个接口设备接收到的数据包要经过这些规则的过滤，此处的接口包括物理接口设备和VLAN设备。平安—防火墙策略静态路由供应目的地址路由（即静态路由）和策略路由功能网络管理—静态路由方正防火墙维护培训FG日常管理以及故障处理防火墙吩咐-Debug帐号Debug帐号登陆方式windows超级终端方式，举荐用SecureCRT下图为windows超级终端登陆的设置画面Debug帐号登陆用户名密码用户名：debug密码：fgdebug防火墙吩咐-Debug帐号用途主要用于获得防火墙上次初始化时运用的key若防火墙从未初始化过，则该吩咐返回为空若上次初始化的key不对或功能不全，则该吩咐并不对此进行校验或修正getlk Debug$getlk HVWRTTXAF8H5VW7XC692TCVFMC Debug$防火墙吩咐-getlk用途主要用于防火墙设备配置里面ip配置察看Ifconfig用于查看正在运用的设备防火墙吩咐-ifconfig用途用与ping远程主机确认网络状态PingtargetipEg:Ping172.31.118.1通Debug$ping172.31.118.1………2packetstransmitted,2packetsreceived,0%packetlossround-tripmin/avg/max=0.6/0.7/0.9msDebug$Eg:Ping172.31.118.10不通Debug$ping172.31.118.10………3packetstransmitted,0packetsreceived,100%packetlossDebug$防火墙吩咐-Debug吩咐-ping用途重起防火墙reboot防火墙吩咐-reboot用途主要用于防火墙的路由表显示，和iproutels等价，但是输出方式不一样route显示防火墙的静态路由表防火墙吩咐-route用途telnet远程主机或路由器telnet172.31.118.19防火墙吩咐-telnet用途traceroute远程主机或路由器主要用于路径定位和排错traceroute172.31.118.19防火墙吩咐-traceroute(1)温度10℃－25℃；(2)相对湿度：40％～60％（不结霜）；(3)沟通220V电源；(4)三芯带接地爱护的电源插头和插座；(5)防火墙系统不行带电搬运，任何零部件不行带电插拔，否则可能损坏防火墙。日常维护：保持机房温度日常维护：备份防火墙管理员证书日常维护：定期备份防火墙配置文件防火墙源地址转换解除电源线和电源插座故障拔下电源线再插上，再启动防火墙。检查电源指示灯是否正常，解除电源故障假如的确无法启动，拨打技术支持电话：800-8101353。典型软、硬件故障解除－不能启动解除串口线连接错误，检查串口线是否正确连接限制主机的COM1口和FireGate的“管理串口”解除串口线质量故障，更换好的串口线用超级终端登陆，是否显示登陆符号信息假如串口无法连接，就做进一步的系统无法启动故障判定典型软、硬件故障解除－串口线不能登陆防火墙防火墙持续重启，无法进入FC及超级终端拔掉与内网连接的网线，发觉限制机连接变得正常用sniffer软件对内网进行探测，发觉带病毒的机器，将其关机后，网络正常用户网络中存在蠕虫病毒典型软、硬件故障解除－持续重启顺平案例:突然断电引起不能连网,FC连接错误解除限制口IP冲突故障，网络中是否有其它机器设置了和防火墙限制IP相同的IP解除网络连接故障，检查限制机IP配置是否正确，检查网线，检查限制网口网卡，解除网络故障，确保可ping通限制口IP解除防火墙限制端口没有开放故障，用telnetIP55443检查防火墙限制端连接端口是否开放超级终端连入(保证限制线连到限制口),用root吩咐登录,检查防火墙时间(date吩咐)解决方法:初始化防火墙本次项目的案例－FC连接错误望都案例:内部网络和防火墙连接中断检查防火墙物理连接正常(网火墙和交换机网路端口指示灯)解除网络连接故障，重启防火墙,连接复原正常,过2分钟,网络又中断断开内网交换机,连接一台测试电脑到防火墙网口2,上网正常,始终不断网初步推断:内网病毒引起解决方法:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,解除没有病毒的分支,直到网络中断,找到病毒分支,支配杀毒本次项目的案例－网络断安新案例:连接防火墙丢包严峻方法同上一个案例,拔掉全部分支,留测试机,没有丢包初步推断:内网病毒引起解决方法1:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,解除没有病毒的分支,直到网络中断,找到病毒分支,支配杀毒解决方法2:在网络分支点安装二级路由器,优点1:可以隔离病毒对整个网络的干扰,优点2:在二级路由上做分级限速,避开网上某几台BT,迅雷下载的机器一工作,影响其他人的上网速度本次项目的案例－网络丢包严峻博野案例:连接防火墙丢包初步推断:病毒引起查毒,杀毒网口3接测试机,不丢包,下面测试机20多个包丢1个把三层交换上的端口限速配置去掉,下面测试机不丢包由于网络上BT,迅雷下载运用特别频繁,不做限速,一两个人运用BT或迅雷就能把网络带宽全占满,考虑网络结构因素,增加分支路由不行能,而20多个包丢1个,是三层交换机限制BT或迅雷下载的结果,对正常用户不影响,所以,不做变更本次项目的案例－网络丢包安国案例:外网正常,内网断内网上不了网,远程FC登录防火墙,可以登录检查防火墙配置,发觉静态路由丢失解决方法:加上静态路由配置本次项目的案例－外网正常,内网断顺平案例:上不了网,