网络安全设备配置及讲解

网络安全设备测试一、部署测试总体拓扑二、安全设备简介1、软件防火墙和硬件防火墙软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是使用看得见摸得着的硬件防火墙。硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，这里又另外派分出两种结构，一种是普通硬件级别防火墙，它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件，这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙，除了不需要处理其他事务以外，它毕竟还是一般的操作系统，因此有可能会存在漏洞和不稳定因素，安全性并不能做到最好；另一种是所谓的“芯片”级硬件防火墙，它采用专门设计的硬件平台，在上面搭建的软件也是专门开发的，并非流行的操作系统，因而可以达到较好的安全性能保障。硬件防火墙中可能还有除软件防火墙的包过滤功能以外的其他功能，例如CF（内容过滤）、地址转换、路由、IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。硬件防火墙的三种部署方式：路由模式、透明模式、混合模式1、路由模式当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、夕卜部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器。2、透明模式采用透明模式时，只需在网络中像放置网桥bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。与路由模式相同，IP报文同样经过相关的过滤检查（但是IP报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。3、混合模式如果防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（VirtualRouterRedundancyProtocol虚拟路由冗余协议）功能的接口需要配置IP地址，其它接口不配置IP地址2、行为管理设备简单的来说上网行为管理设备就是基于用户、时间、应用、带宽等元素对员工的上网行为进行全面而灵活的策略设置，把网络风险管理从“被动式响应管理”提升为“主动式预警管理”，从“防范管理”提升为“控制管理”，把网络的“通信安全”提升为“应用安全”。为了实现真正安全的网络环境，企业需要'内外兼修”，除了阻挡外部攻击外，还应该转换视角，大力加强对内的管理，对员工的上网行为进行规范管理。行为管控设备的三种部署方式：路由模式、网桥模式、旁路模式1、路由模式-就是把设备当成路由器使用，和防火墙的路由模式差不多。2、网桥模式-“透明模式”在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。（在部署的时候，一般都是用的这个模式）3、旁路模式-这个需要做端口镜像，一般不推荐。三、网络安全设备连接1、初始默认的2种连接方式（1）通过使用console线连接电脑和设备，通过超级终端或者securecrt等软件进行连接，连接后使用命令进行操作。（2）常规的我们使用电脑连接管理口，访问其web网页对设备进行配置管理。2、访问配置1、天融信防火墙默认访问方式：（1）默认管理接口为网线接MGMT口，使用网线将设备和电脑连接（2）静态路由：/24（不要和防火墙的254-样）⑶访问54（4）用户名：superman默认密码：talent2、深信服行为管理默认访问方式：（1）默认管理接口为网线接eth0口，使用网线将设备和电脑连接（2）配置静态路由：/24（不要和设备的251-样）（3）访问51（4）用户名：admin密码：adminPs:深信服ac设备有个私有地址5248、部署实施细节采用路由模式进行部署（每一次配置都需要对配置进行保存）:接口连线：网线接入防火墙eth10口，ipxxxx（网线接入ip）防火墙eth11口（xxxx）口连接行为管控eth2口行为管控eth0口连接路由器wan口1、防火墙配置1、接口配置此配置是对防火墙的入口和出口进行配置（1）接口配置，管理界面右上角接口配置-点击已经连接的端口（链接为绿色圆点）-点击配置（2）按照自己的基本网络信息进行配置（记住对应的描述名称，后续地址转换时会使用到）-然后点击添加保存（2）按照自己的基本网络信息进行配置（记住对应的描述名称，后续地址转换时会使用到）-然后点击添加保存（3）配置成功截图2、路由配置此配置是配置防火墙的路由功能，使网路能畅通根据网络情况和需求选择路由协议进行配置：（1）网络管理-路由-静态路由-添加-根据网络情况和需求进行配置（静态路由+无子网的

情况下，路由表单会自动生成，如果增加子网，按照子网的网络情况配置路由）3、地址转换功能配置（snat）所谓网络地址转换，是将IP数据报头中的IP地址转换为另--个IP地址的过程。网络卫士防火墙提供以下几种地址转换方式4源地址转换（SNAT）。可以实现具有私有地址的用户对公网的访问。»目的地址转换（DNAT）。可以实现公网上的用户对位于内网的具有私有地址的月服务器的访问。4双向地址转换（双向NAT）。可以实现一一个内网串地址到另-一个内网串地址的访问。4不做转换（NoNAT）。一般用于定义源NAT和双向NAT规则的特例，此时NoNAT规则需要置于匹配范围较大的NAT规则前面。在此我们选择源地址转换（snat）（1）点击防火墙-地址转换-添加（配置主要涉及源和目的配置）(2)源配置■T-.16：■rt(3)目的配置4、访问控制配置此配置是防火墙的核心功能，什么网段能访问什么地址防火墙-访问控制-添加由于是测试，配置源和目的都为any筌靖唇』1B!筌靖唇』1B!r.sr™5、域名解析配置点击网络管理-域名解析，填入dns解析服务器地址，点击确定即可点击网络管理-域名解析，填入dns解析服务器地址，点击确定即可6、网络测试使用另一台pc中端对防火墙配置进行测试，使用网线将另一个eth端口与pc相连，访问外网进行测试，能够访问说明配置成功，不能访问就需要对以上接口、路由、地址转换移机区域配置进行检查（pc需配置转换后的静态网络地址）。2、行为管控设备配置1、部署模式（网桥模式）（1）登录系统后点击系统管理-网络配置-部署模式（2）点击下一步，网口配置，选择网桥列表，默认勾选了“开启网桥链路同步”（2）网桥配置，由于没有可用的网桥IP分配给AC，此处无需配置网桥IP(3)管理口配置，选择一个接口作为管理口，并且配置管理口地址，最好配置为同网段网络，便于使用。(4)网关配置，此时网关地址配置指向管理口所接对端接口的地址，此处为防火墙的入口网关。

(5)配置完成，点击提交设备重启后，部署配置完成，重启之后查看部署已经成功。2、新建静态路由在之前的部署模式配置中，配置了默认网关，会自动生成默认网关的缺省路由。此时无需额外再配置到内网的回包路由。3、路由器配置1、使用笔记本连接到路由器无线网（机身背后有名称），登录到leike.cc.1、选择上网设置并点击修改2、选择静态ip上网，并填写刚才配置的参数，点击确定素■国Iiflaiw3net<ore£^n素■国Iiflaiw3net<ore£^n日iwooc强的皆嗯昌庄3、回到首页，选择wifi设置，对名称和密码进行修改并点击确定netcore矗将nbi2ok谖目华GWlFiiSB7*74、网络测试皿；感ii使用终端连接刚才配置好的无线或者有线网络，尝试访问网站，成功访问即配置成功。路由器和行为管控设备也能显示相关用户。rmics1-y1BjHike,|■宙“LR—BHH叫Hg

IShE

EA"■■■ar«•■・•BEP-■L«■!i

!■「•*..•,.■■■回>Im.■■■I--ipg•■■.•『恒■>L：：

河55g.」55亦快皿5皿中皿皿皿皿55g.B『g.w5钵nTFsawKAaw^sa*-E'tlelo+Altsaacf33MM驾3™E™z":r,^;zMQKk黑二黑京二毗职巧佃钥切徊的新切彻泗初所泗枷钮所衲佃初时衲衲"幼衲佃eemwb?ksm1•说■J1咆袒u令2«™1?2.1®JoJmieuQ3m母北J1X214173』汕・J5172.1^20J172191^9申-MM[H.1翎PJ1在T1?J1iS£JbJ1T214I7Q6我W1?31EKJEiJ1T2HI7Q口[U.谯迎J便NU。1。*g讹.1龄口J11»™1?J1iS£JbJ1T214I7Q171711EKJBJg*H・7Qis鼬他J1咆NU。i*«M"M龄。J1咆NU。16»™1?31iS£JEJ172Ml731E蜜旧■1711EKJBJg*H・7Q