联想网御防火墙使用手册课件

1联想网御PowerV防火墙

技术培训

1联想网御PowerV防火墙

技术培训

1POWERV防火墙培训大纲2什么是防火墙防火墙技术原理防火墙配置案例问题处理及日常维护POWERV防火墙培训大纲2什么是防火墙防火墙技术原理防火2什么是防火墙？安全域的概念什么是防火墙？安全域的概念3什么是防火墙？什么是防火墙？4什么是防火墙？访问控制，过滤未经许可的通信流量未经许可的流量合法的流量什么是防火墙？访问控制，过滤未经许可的通信流量未经许可的流量5风险RISKRISKRISKRISK风险基本的风险采取措施后剩余的风险资产威胁漏洞资产威胁漏洞风险管理：就是为了把网络的安全风险降到可接受的程度风险RISKRISKRISKRISK风险基本的风险采取措施后6什么是防火墙？定义：防火墙（Firewall）是一种用来加强网络之间访问控制的特殊网络互连设备，是一种非常有效的网络安全模型。核心思想：在不安全的网络环境中构造一个相对安全的子网环境。目的：都是为了在被保护的内部网与不安全的非信任网络之间设立唯一的通道，以按照事先制定的策略控制信息的流入和流出，监督和控制使用者的操作。什么是防火墙？定义：防火墙（Firewall）是一种用来加强7防火墙能做什么保障授权合法用户的通信与访问禁止未经授权的非法通信与访问记录经过防火墙的通信活动防火墙不能做什么不能主动防范新的安全威胁不能防范来自网络内部的攻击不能控制不经防火墙的通信与访问什么是防火墙？防火墙能做什么保障授权合法用户的通信与访问禁止未经授权的非法8POWERV防火墙培训大纲9什么是防火墙防火墙技术原理防火墙配置案例问题处理及日常维护POWERV防火墙培训大纲9什么是防火墙防火墙技术原理防火9数据包协议数据包协议10数据包连接状态通过netstat–na命令来查看本机的连接数据包连接状态通过netstat–na命令来查看本机的连接11

工作模式-透明模式internet防火墙透明接入，相当于交换机，防火墙接口不需要配置ip地址，同时不用更改周边设备的路由等信息工作模式-透明模式internet防火墙透明12

工作模式-路由模式防火墙做内部网络的网关internet工作模式-路由模式防火墙做内部网络的网关in13部署位置－网络边界防护internet部署位置－网络边界防护internet14部署位置－网络内部区域防护网络内部区域防护，即多安全域防护。internet部署位置－网络内部区域防护网络内部区域防护，即多安全域防护。15POWERV防火墙培训大纲16什么是防火墙防火墙技术原理防火墙配置案例问题处理及日常维护POWERV防火墙培训大纲16什么是防火墙防火墙技术原理防16防火墙配置案例

准备工作-登录防火墙配置前的信息收集网御防火墙的配置顺序防火墙路由模式接入案例防火墙策略注意事项防火墙配置案例

准备工作-登录防火墙17准备工作

登录防火墙准备工作

登录防火墙18配置管理主机的ip地址连接连接主机和防火墙登录防火墙准备工作配置管理主机的ip地址准备工作19准备工作-本机配置主要是配置主机的IP地址为00/准备工作-本机配置主要是配置主机的IP地址为20准备工作-连接防火墙FE1IP地址：54网卡IP地址：00准备工作-连接防火墙FE1IP地址：54网卡21打开IE浏览器输入54:8888按照提示选择证书，登录完成。输入用户名和密码。登录防火墙打开IE浏览器输入54:8822配置前的信息收集工作配置前的信息收集工作23配置前的信息收集工作查看网络环境（防火墙及周边路由器、交换机和服务器的IP、路由状况等）搞清楚应用需求（协议、服务和端口）制定合适的安全策略配置前的信息收集工作查看网络环境（防火墙及周边路由器、交换机24网御防火墙配置顺序网御防火墙配置顺序25配置步骤配置接口配置路由或默认路由定义资源-基于对象的概念，遵循先定义后引用的原则。配置策略-从上到下依次执行，第一优先匹配的原则。配置步骤配置接口26案例

防火墙路由模式接入网络案例

防火墙路由模式接入网络27路由模式的防火墙多部署于网络边界连接多个不同网络路由模式—概述案例二：路由模式路由模式—概述案例二：路由模式28定义被引用的地址资源（可选）添加报文待匹配的包分类（PCP）配置pcp对应的NAT策略查看是否生效（会话表）NAT配置步骤：NAT基本配置定义被引用的地址资源（可选）添加报文待匹配的包分类（PCP）2930SUPERV网络出口应用1：SNAT+DNAT典型应用:A：内网用户通过SNAT+地址池访问InternetB：外网用户通过DNAT访问内网的服务器SUPERV典型应用方案30SUPERV网络出口应用1：SNAT+DNAT典型应用30网络接口配置接口IP地址在一个接口上可以配置多个地址应用于HA和VRRP的地址较特别在HA一节中详细讲解网络接口配置接口在一个接口上可以配置多个地址31静态路由的配置配置静态路由标记为不可达路由和黑洞路由的流量都会被丢弃，对不可达的流量将返回ICMP不可达差错消息对于多出口路由后，将根据所配置的权值决定流量的分担静态路由的配置配置标记为不可达路由和黑洞路由的流量都会被丢弃32page332023/8/13FlowOpt产品的主要功能透明模式和路由模式流量可视

基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能

一级菜单PCP基本服务对象服务对象组时间对象静态路由系统监控PCP主要功能page332023/8/1FlowOpt产品的主要功能-33page342023/8/13FlowOpt产品的主要功能透明模式和路由模式流量可视

基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能

一级菜单PCP基本服务对象服务对象组时间对象静态路由系统监控基本服务对象主要功能page342023/8/1FlowOpt产品的主要功能-34page352023/8/13FlowOpt产品的主要功能透明模式和路由模式流量可视

基于管道的带宽管理应用识别抗DDOS攻击功能内容过滤功能其他基础网络功能

一级菜单PCP基本服务对象服务对象组时间对象静态路由系统监控服务对象组主要功能page352023/8/1FlowOpt产品的主要功能-35联想网御防火墙使用手册ppt课件3637典型应用方案二详细配置设备一：objectserviceftpprotocoltcpsportport-range165535dportport-range2121interfaceGe0/1/0ipaddress24interfaceGe0/1/1ipaddress24pcpnet_1source-ipnetpcpnet_2source-ipnetpcpdnat-jl-ftpdestination-ipnet55service-objftpfilterdefaultacceptnatpcpnet_1snatinterfaceg0/1/1address-poolouthash-mappingonnatpcpdnat-jl-ftpdnatinterfaceg0/1/1address-poolouthash-mappingoniproute-static0gatewayiproute-static16gateway

配置说明：1：定义服务objectserviceftpprotocoltcpsportport-range165535dportport-range21212：定义PCPpcpdnat-jl-ftpdestination-ipnet55service-objftppcpnet_1source-ipnetpcpnet_2source-ipnet3：配置SNAT+DNATnatpcpnet_1snatinterfaceg0/1/1address-poolouthash-mappingonnatpcpdnat-jl-ftpdnatinterfaceg0/1/1address-poolouthash-mappingon4：配置路由iproute-static0gatewayiproute-static16gateway

37典型应用方案二详细配置设备一：配置说明：2：定义PCP37防火墙策略注意事项不管防火墙采用什么样的工作模式，必须进行规则的设定。注意策略的方向性，谁去访问谁。策略是从上到下顺序匹配执行。掩码的设置 IP/55代表的是唯一的一台主机IP/代表的是一个子网内的主机源目的IP和服务中的any代表的是

allworkstation和allprotocol防火墙策略注意事项不管防火墙采用什么样的工作模式，必须进行规38POWERV防火墙培训大纲39什么是防火墙防火墙技术原理防火墙配置案例问题处理及日常维护典型部署方式POWERV防火墙培训大纲39什么是防火墙防火墙技术原理防39部署网络防火墙策略十四条守则

计算机没有大脑。所以，当防火墙的行为和你的要求不一致时，请检查你的防火墙配置。只允许你想要允许的客户、源地址、目的地和协议。仔细的检查你的每一条规则，看规则的元素是否和你所需要的一致。拒绝的规则一定要放在允许的规则前面。当需要使用拒绝时，显式拒绝是首要考虑的方式。在不影响防火墙策略执行效果的情况下，请将匹配度更高的规则放在前面。在不影响防火墙策略执行效果的情况下，请将针对所有用户的规则放在前面。部署网络防火墙策略十四条守则计算机没有大脑。所以，当防火墙40尽量简化你的规则，执行一条规则的效率永远比执行两条规则的效率高。永远不要在网络中使用Allow4ALL规则(Allowallusersuseallprotocolsfromallnetworkstoallnetworks)，这样只是让你的防火墙形同虚设。如果可以通过配置系统策略来实现，就没有必要再建立自定义规则（或特征）。防火墙