天融信防火墙操作课件

TEL：800-810-5119FAX：82776677E-MAIL:service@北京天融信分公司天融信网络卫士

防火墙安装使用培训1天融信防火墙操作接入控制案例学习思路部署位置？通讯方式?如何管理?路由设置?访问控制?我们今天的话题！成功部署并配置防火墙其他功能金财部署关键概念高级应用2天融信防火墙操作防火墙的关键概念3天融信防火墙操作Internet一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。两个安全域之间通信流的唯一通道UDPBlockHostCHostBTCPPassHostCHostADestinationProtocolPermitSource根据访问控制规则决定进出网络的行为防火墙定义内部网4天融信防火墙操作防火墙的功能－1包过滤URL过滤HTTP脚本过滤、关键字过滤邮件资源过滤时间控制NAT(静态、动态)MAP(PORTMAP，IPMAP)带宽管理IP+MAC地址绑定实时监控应用程序过滤（ＢＴ、ＱＱ等）并发连接限制DOS攻击、CC攻击5天融信防火墙操作日志审计（自身、日志服务器、第三方）用户+IP绑定支持自身认证和第三方认证入侵检测VPN(可选)病毒(可选）安全联动双机热备负载均衡支持VLAN间路由、生成树协议。。。防火墙的功能－26天融信防火墙操作防火墙的局限性物理上的问题断电物理上的损坏或偷窃人为的因素内部人员通过某种手段窃取了用户名和密码病毒（应用层携带的）防火墙自身不会被病毒攻击但不能防止内嵌在数据包中的病毒通过内部人员的攻击某些可以“透过”防火墙的攻击，如injection（注入）防火墙的配置不当7天融信防火墙操作防火墙的接口和区域接口和区域是两个重要的概念接口：和网络卫士防火墙的物理端口一一对应，如Eth0、Eth1等。区域：可以把区域看作是一段具有相似安全属性的网络空间。8天融信防火墙操作物理接口的交换和路由防火墙的一个接口，要么设置为交换接口，要么设置为路由接口区别：交换接口：不可以给该接口配置IP地址，该物理接口不对收到的数据做转发，大多在防火墙透明接入的情况下设置接口为交换口。路由接口：可以为该接口配置一个或多个IP地址，大多在非透明模式下设置。9天融信防火墙操作对象A：B：图示中机器A访问B机器的HTTP服务，在此过程中，若要使防火墙对该访问进行严格的控制，则需要首先把机器A、机器B、HTTP服务首先定义为独立的对象，然后再在具体的访问控制策略中进行引用，由此可见，对象的重要性。在防火墙中可定义的对象包括：主机对象、地址范围、子网对象、地址组、服务对象、服务组、文件对象、URL对象、关键字对象、区域对象等。定义对象起到一个明确“你我”的作用。HTTP（TCP：80）10天融信防火墙操作外部网内部网透明（桥接）防火墙采用透明方式情况下，可以把防火墙简单地看做为二层交换机或HUB设备，它的部署不改变网络拓扑结构及配置，防火墙调试维护相对简单。原由网络及业务运行正常，只是需要使用FW进行访问控制，不需要FW对数据进行路由或转发。特点：对原有网络无影响维护配置简单同一网段11天融信防火墙操作Internet内部网NAT（地址转换、源地址转换）内部私有地址无法访问Internet,在内部用户访问Internet的时候需要把内部私有地址翻译成为合法的公有地址。特点：节省公网IP

隐藏内部网络结构一对一、多对一、多对多私有地址不同网段公有地址私有地址公有地址NAT12天融信防火墙操作Internet内部网MAP（地址映射、端口映射、目的地址转换）Internet用户无法直接访问私有地址，在Internet用户需要访问内部私有地址机器的时候，需要把一个公有的地址翻译给内部私有的地址，Internet用户通过访问该公网地址以达到访问内部私有地址服务器的目的。也可以只把某一公网IP的某一个或多个端口映射给某一IP的某一或多个端口（端口映射）。特点：1，隐藏网络结构，避免直接访问2，节省IP（仅限端口映射）3，一对一，多对一，一对多（仅限端口映射）私有地址不同网段公有地址私有地址公有地址MAP13天融信防火墙操作规则列表需要注意的问题：

1、规则作用有顺序

2、访问控制列表遵循第一匹配规则

3、规则的一致性和逻辑性顺序14天融信防火墙操作防火墙的接入控制15天融信防火墙操作

硬件一台外形：19寸1U标准机箱产品外形接COM口管理机直通线交叉线串口线PCRouteSwich、Hub交叉线16天融信防火墙操作CONSOLE线缆UTP5双绞线-直通(1条，颜色:灰色)-交叉(1条，颜色:红色)使用:直通:与HUB/SWITCH交叉:与路由器/主机（一些高端交换机也可以通过交叉线与防火墙连接）软件光盘上架附件产品提供的附件及线缆使用方式17天融信防火墙操作防火墙提供的接入模式透明模式(提供桥接功能)在这种模式下，网络卫士防火墙的所有接口均作为交换接口工作。也就是说，对于同一VLAN的数据包在转发时不作任何改动，包括IP和MAC地址，直接把包转发出去。同时，网络卫士防火墙可以在设置了IP的VLAN之间进行路由转发。路由模式(静态路由功能)在这种模式下，网络卫士防火墙类似于一台路由器转发数据包，将接收到的数据包的源MAC地址替换为相应接口的MAC地址，然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样，网络卫士防火墙的每个接口均要根据区域规划配置IP地址。综合模式(透明+路由功能)顾名思义，这种模式是前两种模式的混合。也就是说某些区域（接口）工作在透明模式下，而其他的区域（接口）工作在路由模式下。该模式适用于较复杂的网络环境。说明：防火墙采用何种通讯方式是由用户的网络环境决定的，用户需要根据自己的网络情况，合理的确定防火墙的通讯模式；并且防火墙采用何种通讯方式都不会影响防火墙的访问控制功能。

18天融信防火墙操作Internet内部网ETH0：ETH1：ETH2：0/24网段0/24网段外网、SSN、内网在同一个广播域，防火墙做透明设置。此时防火墙为透明模式。透明模式的典型应用19天融信防火墙操作Internet内部网ETH0：ETH1：ETH2：/24网段/24网段外网、SSN区、内网都不在同一网段，防火墙做路由方式。这时，防火墙相当于一个路由器。路由模式的典型应用20天融信防火墙操作综合接入模式的典型应用ETH1：02ETH2：00/24网段/24网段此时整个防火墙工作于透明+路由模式，我们称之为综合模式或者混合模式/24网段ETH0：两接口在不同网段，防火墙处于路由模式两接口在不同网段，防火墙处于路由模式两接口在同一网段，防火墙处于透明模式21天融信防火墙操作串口(console)管理方式：管理员为空，回车后直接输入口令即可，初始口令talent,用passwd修改管理员密码，请牢记修改后的密码。TELNET管理方式：

模拟console管理方式，用户名superman，口令：talentSSH管理方式：模拟console管理方式，用户名superman，口令：talentWEBUI管理方式：

超级管理员:superman，口令:talent管理器管理方式：超级管理员:superman，口令:talent，集中管理SNMP管理

支持第三方管理软件管理方式22天融信防火墙操作防火墙的CONSOLE管理方式超级终端参数设置：23天融信防火墙操作防火墙的CONSOLE管理方式防火墙的命令菜单：24天融信防火墙操作防火墙的CONSOLE管理方式输入helpmodechinese命令可以看到中文化菜单25天融信防火墙操作防火墙出厂管理配置26天融信防火墙操作防火墙的WEBUI管理方式在浏览器输入：，看到下列提示，选择“是”27天融信防火墙操作防火墙的WEBUI管理方式输入用户名和密码后，按“提交”按钮28天融信防火墙操作防火墙的WEBUI管理方式29天融信防火墙操作防火墙的管理方式－打开防火墙管理端口注意：要想通过TELNET、SSH方式管理防火墙，必须首先打开防火墙的服务端口，系统默认打开“HTTP”方式。在“系统”－“系统服务”中选择“启动”即可30天融信防火墙操作防火墙的TELNET管理方式通过TELNET方式管理防火墙：31天融信防火墙操作在安装防火墙之前必须弄清楚的几个问题：1、路由走向(包括防火墙及其相关设备的路由调整)确定防火墙的工作模式：路由、透明、综合。2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)根据确定好的防火墙的工作模式给防火墙分配合理的IP地址3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)4、要达到的安全目的(即要做什么样的访问控制)

32天融信防火墙操作常见病毒使用端口列表69/UDP

135-139/TCP

135-139/UDP445/TCP

445/UDP

4444/TCP1433/UDP1434/UDP4899/UDP1068/TCP5554/TCP9995/TCP9996/TCPICMP关掉不必要的PING33天融信防火墙操作常见路由协议使用端口列表RIP：UDP-520RIP2：UDP-520OSPF：IP-89IGRP：IP-9EIGRP：IP-88HSRP（Cisco的热备份路由协议）：UDP-1985BGP：(BorderGatewayProtocol边界网关协议，主要处理各ISP之间的路由传递，一般用在骨干网上) TCP-17934天融信防火墙操作网络卫士防火墙的基本配置过程：1、串口(console)下配置：配置接口IP地址，查看或调整区域管理权限。当然也可以通过命令的方式在串口下进行防火墙配置2、在串口下保存配置：用SAVE命令3、推荐使用WEBUI方式对防火墙进行各种配置4、配置具体的访问控制规则及其日常管理维护防火墙的配置过程提示：一般先设置并调整网络区域，然后再定义各种对象(网络对象、特殊对象等)，然后在添加访问策略及地址转换策略，最后进行参数调整及增加一些辅助的功能。35天融信防火墙操作防火墙的基本应用配置防火墙接口IP及区域默认权限设置路由表及默认网关定义防火墙的路由模式定义防火墙的透明模式定义网络对象制定访问控制策略制定地址转换策略（通讯策略）保存和导出配置36天融信防火墙操作防火墙的配置案例37天融信防火墙操作防火墙配置－例1配置案例1（路由模式）：INTERNET93505400/24应用需求：内网可以访问互联网服务器对外网做映射映射地址为49外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区38天融信防火墙操作定义网络接口在CONSOLE下，定义接口IP地址输入network命令进入到network子菜单定义防火墙每个接口的IP地址，注意子网掩码不要输错39天融信防火墙操作定义区域及添加区域管理权限defineareaaddnamearea_eth1attribute'eth1'accessondefineareaaddnamearea_eth2attribute'eth2'accessonpfserviceaddnamewebuiareaarea_eth1addressnameanypfserviceaddnameguiareaarea_eth1addressnameanypfserviceaddnamepingareaarea_eth1addressnameanypfserviceaddnametelnetareaarea_eth1addressnameany系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙40天融信防火墙操作调整区域属性进入防火墙管理界面，点击”网络“

”物理接口“可以看到物理接口定义结果：点击每个接口的”其他”按钮可以修改每个接口的名称注：防火墙每个接口的默认状态均为“路由”模式41天融信防火墙操作定义区域的缺省权限在“对象”－”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“42天融信防火墙操作设置防火墙缺省网关在“网络”－“静态路由”添加缺省网关43天融信防火墙操作设置防火墙缺省网关设置缺省网关时，源和目的一般为全“0”防火墙的缺省网关在静态路由时，必须放到最后一条路由44天融信防火墙操作定义对象－主机对象点击：”对象“－“地址对象”－“主机对象”，点击右上角“添加配置”45天融信防火墙操作定义对象－主机对象主机对象中可以定义多个IP地址46天融信防火墙操作定义对象－地址对象和子网对象47天融信防火墙操作制定访问规则第一条规则定义“内网”可以访问互联网。源选择“内部子网_1”；目的可以选择目的区域“AERA_ETH0”，也可以是“ANY[范围]”48天融信防火墙操作定义访问规则第二条规则定义外网可以访问WEB服务器的映射地址，并只能访问TCP80端口。源选择“AERA_ETH0”、目的选择”WEB服务器—MAP“地址。转换前目的选择”WEB服务器“（服务器真实的IP地址）49天融信防火墙操作定义访问规则定义好的两条访问策略50天融信防火墙操作定义地址转换（通信策略）根据前面的需求如果内网要访问外网，则必须定义NAT策略；同样外网要访问WEB服务器的映射地址，也要定义MAP策略

定义NAT策略，选择源为已定义的内部子网，目的为“AERA_ETH0”区域51天融信防火墙操作定义地址转换（通信策略）转换地址要选择”源地址转换为“ETH0”，也就是防火墙外网接口IP地址；也可以选择定义好的“NAT地址池”（在“对象”－“地址范围中定义”）使用地址池使用防火墙接口52天融信防火墙操作定义地址转换（通信策略）配置MAP（映射）策略源地址可以选择区域“AERA_ETH0”;也可以选择“ANY”目的必须选择服务器映射后的IP（合法IP）选择已定义的“WEB服务器－MAP”53天融信防火墙操作定义地址转换（通信策略）目的地址转换为必须选择服务器映射前的IP（也就是WEB服务器的真实IP地址），选择“WEB服务器”主机对象即可。54天融信防火墙操作定义地址转换（通信策略）设置好的地址转换策略（通信策略）第一条为内网访问外网做NAT；第二条为外网访问WEB服务器的映射地址，防火墙把包转发给服务器的真实IP55天融信防火墙操作配置保存点击防火墙管理页面右上角“保存”按钮，然后选择弹出对话框“确定”即可保存当前配置56天融信防火墙操作查看配置、导出配置在“系统”－“配置维护”中进行防火墙当前配置的保存、下载、上传等操作57天融信防火墙操作查看配置、导出配置按照下图中数字所示顺序即可把防火墙配置导出到本地58天融信防火墙操作防火墙配置－例2配置案例1（透明模式）：INTERNET93防火墙VLAN（透明域）IP地址52应用需求：内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区/245059天融信防火墙操作定义区域及添加区域管理权限defineareaaddnamearea_eth1attribute'eth1'accessondefineareaaddnamearea_eth2attribute'eth2'accessonpfserviceaddnamewebuiareaarea_eth1addressnameanypfserviceaddnameguiareaarea_eth1addressnameanypfserviceaddnamepingareaarea_eth1addressnameanypfserviceaddnametelnetareaarea_eth1addressnameany系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙60天融信防火墙操作登陆防火墙定义VLAN首先通过防火墙的缺省IP：54登陆防火墙第一步，定义一个VLAN。点击“网络”－“VLAN”－“添加/删除VLAN范围”61天融信防火墙操作定义VLAN地址添加完VLAN后，点击“地址信息”下的图标设置VLANIP地址62天融信防火墙操作定义VLAN地址定义好的VLAN地址63天融信防火墙操作定义加入VLAN中的物理接口（透明域）分别点击属于VLAN中物理接口的“交换”图标，把物理接口的模式改为“交换”点击后，按默认值即可64天融信防火墙操作定义VLAN中的物理接口（透明域）当把ETH0接口的模式改为“交换”后，管理会丢失。因为此接口设为“交换”后，其原来的IP（54)地址会自动删除。这时，可以通过刚才定义的VLAN地址进行管理。下图中可以看到添加到VLAN1中的三个接口都没有IP，模式为“交换”65天融信防火墙操作定义区域的缺省权限在“对象”－”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“66天融信防火墙操作定义对象定义主机对象（WEB服务器）定义内网对象（你的内网网段）67天融信防火墙操作定义访问策略注：透明模式下防火墙不参与任何路由转发，因此不需要设置地址转换策略。

（当然，如果用户有需求，也可以设置相关NAT策略和MAP策略）68天融信防火墙操作防火墙配置－例3配置案例1（综合模式）：INTERNET93

防火墙VLAN（透明域）IP地址52应用需求：内网可以访问互联网外网可以访问WEB服务器外网禁止访问内网WEB服务器防火墙接口分配如下：ETH0接INTERNETETH1接内网ETH2接服务器区/24505469天融信防火墙操作定义网络接口在CONSOLE下，定义接口IP地址1、输入network命令进入到network子菜单，定义防火墙内网接口的IP地址70天融信防火墙操作定义区域及添加区域管理权限defineareaaddnamearea_eth1attribute'eth1'accessondefineareaaddnamearea_eth2attribute'eth2'accessonpfserviceaddnamewebuiareaarea_eth1addressnameanypfserviceaddnameguiareaarea_eth1addressnameanypfserviceaddnamepingareaarea_eth1addressnameanypfserviceaddnametelnetareaarea_eth1addressnameany系统默认只能从ETH0接口（区域）对防火墙进行管理，输入如下命令：添加ETH1接口为“AREA_ETH1”区域；ETH2接口为“AREA_ETH2”区域对“AREA_ETH1”区域添加对防火墙的管理权限（当然也可以对“AREA_ETH2”区域添加）定义你希望从哪个接口（区域）管理防火墙71天融信防火墙操作登陆防火墙定义VLAN通过防火墙的内网区域的IP：54登陆防火墙定义一个VLAN。点击“网络”－“VLAN”－“添加/删除VLAN范围”72天融信防火墙操作定义VLAN的IP地址设置VLAN地址73天融信防火墙操作定义加入VLAN中的物理接口（透明域）74天融信防火墙操作设置防火墙缺省网关注意：如果防火墙的默认网关在VLAN（透明域）中，则不需要指定防火墙接口。防火墙自动匹配到VLAN75天融信防火墙操作定义区域的缺省权限在“对象”－”区域对象“中定义防火墙3个区域（接口）的默认权限为”禁止访问“76天融信防火墙操作定义对象定义主机对象（WEB服务器）定义内网对象（你的内网网段）77天融信防火墙操作定义NAT转换地址内网访问外网肯定要做NAT，但是由于外网和SSN区是透明。其物理接口并没有设置IP地址。在“地址转换”策略中不能直接选择外网的物理接口做地址转换。所以需要定义一个NAT转换地址。78天融信防火墙操作定义访问策略和地址转换策略定义访问控制策略定义地址转换策略79天融信防火墙操作防火墙其他设置80天融信防火墙操作网络卫士防火墙的硬件设备安装完成之后，就可以上电了。在工作过程中，用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态，具体请见下表：防火墙的工作状态81天融信防火墙操作查看防火墙基本信息82天融信防火墙操作查看/修改防火墙系统时间83天融信防火墙操作查看防火墙运行状态84天融信防火墙操作查看系统参数85天融信防火墙操作日志设置防火墙本身只存储少量日志信息，如果要保留相关日志，请安装随机光盘的日志服务器软件。然后设置日志服务器地址，防火墙就会把日志信息发送到日志服务器上86天融信防火墙操作报警设置设置触发报警的安全事件管理管理员登陆或离线。重要配置发生变化。系统资源不足（如内存不足等等）。系统硬件故障（如网卡、加密卡损坏等等）。系统状态异常（除资源不足和硬件损坏）。系统进行升级以及其他对外关键通信事件出现故障。系统监测到攻击发生、违反了某条访问策略，并且此条访问策略还规定了违反时必须报警等。分为：邮件报警、声音报警、SNMP、NETBIOS、控制台报警87天融信防火墙操作开放服务88天融信防火墙操作健康记录管理员可以定期生成、下载设备的健康记录，以便当设备出现异常时，可以帮助天融信的技术支持人员快速地定位并解决故障。89天融信防火墙操作恢复出厂设置系统除了提供上节所述的设备配置维护功能外，还提供了恢复出厂默认配置的功能，以方便用户重新配置设备。恢复出厂配置后，设备的网络接口地址可能会改变，配置信息会被清除，进而导致失去连接，请用户提前做好准备。90天融信防火墙操作系统升级设备支持基于TFTP协议的升级方式和专用升级工具注意：请在升级前进行系统备份！！！91天融信防火墙操作添加管理用户及修改管理员口令设备支持多级用户管理，不同类型的用户具有不同的操作权限。用户权限基本可分为三种：超级管理员、管理用户与审计用户。超级管理员是系统的内建帐号，具有全部的功能权限；管理用户可以设定和查看规则，但没有综合配置（例如分配管理员、配置维护等）的权限。审计用户权限最小，只可以查看已有规则，没有添加和修改规则的权限。超级管理员是系统内建帐号，用户名是superman，不可以修改，用户对其帐号维护仅限于口令的修改92天融信防火墙操作查看CDP邻居信息网络卫士防火墙可以接受CDP（CiscoDiscoveryProtocol）消息，并识别出相应的思科设备。使用CDP功能的具体方法是选择网络>CDP，网络卫士防火墙即可自动发现并识别出相邻的思科设备。93天融信防火墙操作ARP及MAC地址网络卫士防火墙内部维护了一张ARP表，维护了网络卫士防火墙所学习到的主机IP和MAC地址的对应关系条目。当网络卫士防火墙转发数据报文时，会首先查看ARP表，如目的IP已经在ARP表中，网络卫士防火墙则不必再发送ARP广播就获取了目的设备的MAC地址。选项“限制ARP请求个数”，设定允许ARP请求的上限值。94天融信防火墙操作ARP及MAC地址设置IP＋MAC地址绑定网络卫士防火墙内部维护了一张ARP表，维护了网络卫士防火墙所学习到的主机IP和MAC地址的对应关系条目。在ARP表中“定义”好后，系统自动生成“主机对象”（包含了IP及MAC地址95天融信防火墙操作ARP及MAC地址设置ARP代理网络卫士防火墙提供ARP代理功能。也就是说，当一个ARP请求是发往一个不同子网的主机地址的时候，如果该目的主机位于被代理的区域，网络卫士防火墙作为中间设备，可以代为回答该ARP请求。这样ARP请求端会把网络卫士防火墙的物理接口的MAC地址当成目的主机的MAC地址，使它认为网络卫士防火墙就是目的主机，从而达到保护目的主机的作用如果选择代理类型为静态，则设置的ARP代理将被保存；如果设置为动态，设备重启后，需要重新配置ARP代理96天融信防火墙操作ARP及MAC地址MAC地址表网络卫士防火墙内部维护了一张VLAN虚接口的MAC地址表，保存了网络卫士防火墙所学习到的物理接口及该接口所在区域主机MAC地址的对应表。当网络卫士防火墙转发数据帧时，会查看虚接口MAC地址表，如果该目的MAC在网络卫士防火墙的MAC地址表中，网络卫士防火墙将直接通过该MAC地址所对应的接口发送数据帧。也可以自行添加MAC地址97天融信防火墙操作TCPDUMP

抓包工具TCPDUMP[-ccount][-iinterface][expression][|SENDLOG][-ccount]参数为设置抓包的个数，满足该条件后自动停止；如果省略，则一直捕获，直到手动中断。[-iinterface]参数设置捕获通过防火墙某一接口的数据包，可以设置为捕获防火墙某一接口的数据包，如-ieth1；也可以省略，则捕获通过防火墙所有接口的数据包。[|sendlog]参数设置将捕获的数据包以日志形式存储在防火墙中，而不显示在命令行界面上。可以在防火墙GUI界面上通过查看‘管理日志’来显示捕获的数据包。如省略该项参数的话，则捕获的数据包默认显示在命令行界面上。[expression]参数有很多表达式可选，这里只以实例介绍几个常用的参数，详细信息请参见tcpdump技术资料。98天融信防火墙操作TCPDUMP

抓包工具通过CONSOLE或TELNET、SSH方式进入到>SYSTEM菜单下，输入TCPDUMP命令进行抓包99天融信防火墙操作长连接的应用在访问规则中，对于TCP的连接可以设置为普通连接，也可以设置为长连接，一般地防火墙对通信空闲一定时间的TCP连接将自动断开，以提高安全性和释放通信资源，但某些应用所建立的TCP连接需要长时期保持，即使处于空闲状态！普通连接如果在一段时间内没有收到报文则连接超时，以防止连接积累得越来越多。而长连接则不受这个限制，除非通信的一方主动拆除连接，否则连接不会被删除。主要应用在数据库和视频系统。100天融信防火墙操作长连接的应用长连接在访问规则中的应用：注意：只对需要的TCP协议的单个或多个端口使用长连接，不能默认对所有TCP端口都设置为长连接。不能对非TCP协议的端口做长连接。否则，会大量消耗掉防火墙的系统资源。101天融信防火墙操作自定义端口防火墙内置一些标准服务端口，用以在访问规则中引用。但有时用户的系统没有使用某些服务的标准端口，这时我们通过自定义方式加以定义。102天融信防火墙操作防火墙配置－自定义端口103天融信防火墙操作应用端口绑定和TCP连接的子连接如果某种应用层协议使用了非标准的端口时，用户需要将这些非标准端口与应用协议进行绑定。这样，防火墙在对这个应用层协议进行深度内容检测时，才会认为这些数据包是合法报文并进行检测，否则将不进行深度过滤检测并按照访问控制规则处理数据包。另外，在一些应用中（如：FTP、ORACLE）会包含一些子连接。也就是说某些应用在建立TCP连接时，只需要一个监听端口，但传送数据时会使用随机的端口进行数据传输。如果在防火墙访问策略中只开放了监听端口（如：ORACLE一般只开放TCP1521端口），其他端口禁止访问。那么，将导致数据无法传送。104天融信防火墙操作应用端口绑定和TCP连接的子连接在“防火墙引擎”－“深度过滤”－“应用端口绑定”中设置，系统默认只打开了“TFTP”协议105天融信防火墙操作应用端口绑定和TCP连接的子连接点击“重置策略”按钮，就可以上述防火墙支持的应用层协议网络卫士防火墙目前需要进行应用端口绑定的应用层协议类型如下：HTTP、FTP、TFTP、SMTP、POP3、MMS、H225、H225RAS、SIP、RTSP、SQLNET。106天融信防火墙操作阻断策略通过设置报文阻断策略可以对IP协议和非IP协议进行控制。当设备接收到一个数据报文后，会顺序匹配报文阻断策略，如果没有匹配到任何策略，则会依据默认规则对该报文进行处理。从具体应用上，一般用来阻断一些病毒传播端口阻断策略的优先级高于“访问控制策略107天融信防火墙操作陕西省金财工程应用108天融信防火墙操作109天融信防火墙操作谢谢！110天融信防火墙操作防火墙的高级应用DPI(深度报文检测）用户认证Trunk环境及VLAN间的路由策略路由和动态路由全面支持DHCPADSL拨号链路备份IDS联动双机热备服务器负载均衡多播111天融信防火墙操作DPI

（报文深度过滤）深度过滤策略可以实现对应用层协议的内容进行检测和过滤，目前深度过滤支持的应用层协议包括:FTP、HTTP、POP3

以及SMTP。深度过滤策略设置好以后不能够单独生效，用户必须在访问控制规则中引用深度过滤策略，匹配了该条访问控制规则的数据包才会进行深度内容检测处理。首先要打开DPI模块，在“防火墙引擎”－“深度过滤”－“应用端口绑定”中打开选择启动即可112天融信防火墙操作DPI（报文深度过滤）

设置关键字对象关键字的设置是进行深度内容检测的基础正则表达式说明：TOS中的关键字的正则格式与FW4000中的通配符区别很大，如果定义不当，会造成深度检测功能无法正常实现。字符.

匹配除“\n”之外的任何单个字符。要匹配包括‘\n’在内的任何字符，请使用象‘[.\n]’的模式；

字符*

匹配前面的子表达式零次或多次。例如，zo*能匹配"z"以及"zoo"。*等价于{0,}；字符\

将下一个字符标记为一个特殊字符、或后向引用、或转义。例如，'n'匹配字符"n"。'\n'匹配一个换行符，"\("则匹配"("。113天融信防火墙操作DPI（报文深度过滤）

设置关键字对象正则表达式举例：如：.rar和.exe等，正则定义：.*\.exe和.*\.rar如：法轮功，正则定义：.*法轮功如：新浪网站，正则定义：.*sina114天融信防火墙操作Step1：保证设备已经开启HTTP应用协议过滤115天融信防火墙操作Step2：配置关键字(特殊字符)本例的正则对象为.*\\.torrent，可以看出这里使用了2个“\\”其中第1个\在TOS系统读取配置文件时会自动删除掉，真正起作用的是第2个\，所以在定义包括特殊字符的关键字时要使用2个\\连写才能生效。116天融信防火墙操作Step2：配置关键字(普通字符)117天融信防火墙操作Step3：定义文件对象118天融信防火墙操作Step4：配置HTTP访问策略119天融信防火墙操作Step5：在访问策略中引用DPI120天融信防火墙操作Step6：配置完成保存、刷新连接121天融信防火墙操作HTTP对象设置中的部分参数说明如下：DPI（报文深度过滤）

HTTP对象参数122天融信防火墙操作DPI（报文深度过滤）

关键字过滤例：我们定义（网页）关键字过滤，禁止出现有“新闻”字样页面打开123天融信防火墙操作DPI（报文深度过滤）

关键字过滤定义好关键字之后，也必须在“HTTP”策略中进行设置124天融信防火墙操作DPI（报文深度过滤）

URL过滤最后在访问规则中引用定义好“DPI”策略注意：服务必须选择“HTTP”125天融信防火墙操作DPI（报文深度过滤）

文件名过滤例：定义关键字，禁止下载”md5summer.exe文件126天融信防火墙操作定义文件对象DPI（报文深度过滤）

文件名过滤“文件”，用来定义关键字的读写属性（读、写、执行）。文件对象的权限设置借鉴了文件系统的权限控制，支持三种访问权限，及其多种组合：

读，即允许对目标文件对象的读操作，例如FTP的下载文件，HTTP中的“get”操作，POP3中的收邮件。

写，即允许对目标文件对象的写操作，例如FTP中的上传文件，HTTP中的“post”操作，SMTP中的发邮件。执行，即允许执行包括目标文件对象的程序，如CGI程序。如果“读”、“写”两个选项被同时选中，则表示允许任何访问。如所有三个选项都没被选中，表示禁止访问。127天融信防火墙操作DPI（报文深度过滤）

文件名过滤设置文件对象注意：没有选取读（GET）权限128天融信防火墙操作DPI（报文深度过滤）

文件名过滤定义“FTP”策略注意：文件的权限必须和“文件对象”中设置的一样129天融信防火墙操作DPI（报文深度过滤）

文件名过滤最后在访问规则中引用定义好“DPI”策略注意：服务必须选择“FTP”130天融信防火墙操作DPI（报文深度过滤）

文件名过滤可以看到通过FTP无法下载MD5SUMMER.EXE这个文件131天融信防火墙操作DPI（报文深度过滤）

邮件过滤（POP3）定义一个关键字为“收件人”地址*@132天融信防火墙操作DPI（报文深度过滤）

邮件过滤（POP3）定义“文件对象”，不选择“读”权限没有选择“读”权限133天融信防火墙操作DPI（报文深度过滤）

邮件过滤（POP3）定义POP3策略，只选择定义好的”收件人“134天融信防火墙操作DPI（报文深度过滤）

邮件过滤（POP3）在”访问控制规则中的DPI策略中引用注意：协议必须选择POP3135天融信防火墙操作DPI（报文深度过滤）

邮件过滤（POP3）所有后缀为“@”的邮箱都收不了邮件了136天融信防火墙操作DPI（报文深度过滤）

邮件过滤（SMTP）定义一个关键字为“发件人”地址*@137天融信防火墙操作DPI（报文深度过滤）

邮件过滤（SMTP）定义“文件对象”，不选择“写”权限没有选择“写”权限138天融信防火墙操作DPI（报文深度过滤）

邮件过滤（SMTP）定义SMTP策略，只选择定义好的”发件人“139天融信防火墙操作DPI（报文深度过滤）

邮件过滤（SMTP）在”访问控制规则中的DPI策略中引用注意：协议必须选择SMTP140天融信防火墙操作DPI（报文深度过滤）

邮件过滤（SMTP）所有后缀为“@”的邮箱都发不了邮件了141天融信防火墙操作用户认证网络卫士防火墙支持以下认证方式或协议：本地认证（网络卫士防火墙内置的用户数据库）

RADIUS认证（使用RADIUS第三方认证服务器）

TACACS认证（使用TACACS第三方认证服务器）证书认证（使用标准CA证书认证）

SecurID认证（使用SecurID方式认证）

LDAP认证（使用LDAP认证）域认证（使用WINDOWS域认证）网络卫士防火墙系统可以实现有效、快速、全面的用户及设备身份的管理，解决以往简单认证方式带来的弊端，保证用户访问和设备之间访问的安全性；用户通过网络卫士防火墙认证系统，可以通过简洁方便的模式实现对多种协议、多种类型、多种方式的用户实现认证，用户通过简单统一的认证模式便可以实现全方位的认证。142天融信防火墙操作用户认证例：设置一台Raduis服务器143天融信防火墙操作TRUNK环境

及VLAN间的路由防火墙支持TRUNK环境，也可以做VLAN间的路由例一：交换机有两个VLAN，通过TRUNK口与路由器TRUNK口相连。防火墙可以放置在路由器和交换机中间。144天融信防火墙操作TRUNK环境

及VLAN间的路由配置步骤：1、将ETH0、ETH1接口设置为交换（透明）模式。2、将ETH0、ETH1接口类型设置修改成Trunk模式TopsecOS#networkinterfaceeth0switchportTopsecOS#networkinterfaceeth0switchportmodetrunkTopsecOS#networkinterfaceeth0switchporttrunkencapsulationdot1qTopsecOS#networkinterfaceeth0switchporttrunknative-vlan1TopsecOS#networkinterfaceeth0switchportaccess-vlan1TopsecOS#networkinterfaceeth0switchporttrunkallowed-vlan1-1000TopsecOS#networkinterfaceeth0noshutdownTopsecOS#networkinterfaceeth1switchportTopsecOS#networkinterfaceeth1switchportmodetrunkTopsecOS#networkinterfaceeth1switchporttrunkencapsulationdot1qTopsecOS#networkinterfaceeth1switchporttrunknative-vlan1TopsecOS#networkinterfaceeth1switchportaccess-vlan1TopsecOS#networkinterfaceeth1switchporttrunkallowed-vlan1-1000TopsecOS#networkinterfaceeth1noshutdown145天融信防火墙操作TRUNK环境

及VLAN间的路由分别点击防火墙物理接口的“交换”按钮，做如下设置：注意选择TRUNK类型802.1q或ISL146天融信防火墙操作TRUNK环境

及VLAN间的路由例二：用防火墙做VLAN间的路由147天融信防火墙操作TRUNK环境

及VLAN间的路由配置步骤：1、创建VLANTopsecOS#networkvlanaddid10TopsecOS#networkvlanaddid20148天融信防火墙操作TRUNK环境

及VLAN间的路由2、配置VLAN地址

TopsecOS#networkinterfacevlan.10ipaddmaskTopsecOS#networkinterfacevlan.20ipaddmask149天融信防火墙操作TRUNK环境

及VLAN间的路由3、将ETH0接口设置为“交换”模式，并修改成Trunk模式

150天融信防火墙操作策略路由和动态路由网络卫士防火墙支持静、动态路由协议。策略路由可以不是只根据目的地址，而是同时根据目的地址和源地址进行路由，这种方式可以实现内部网络的指定对象使用特定外部线路与外部网络通信，从而进一步增强了网络的通信安全。策略路由：151天融信防火墙操作策略路由和动态路由添加策略路由：如果选择“NAT后的源”为“是”，表示策略路由的源地址为NAT后的地址，策略路由添加成功后的“标记”一栏显示为“UGM”。默认为“否”，策略路由添加成功后的“标记”一栏显示为“U”。152天融信防火墙操作策略路由和动态路由

OSPF动态路由：防火墙支持OSPF、RIP动态路由协议OSPF协议是一个基于链路状态的动态路由协议，其基本原理是：在一个OSPF

网络中，每一台路由器首先与自己的邻居建立邻接关系，然后向形成邻接关系的邻居之间发送链路状态通告（LSA），链路状态通告描述了所有的链路信息，每一个路由器接收到LSA都会把这些通告记录在链路数据库中，并发送一个副本给他的邻居，通过LSA泛洪到整个区域，所有的路由器都会形成相同的链路状态数据库，当所有路由器链路状态数据库相同时，会以自己为根，通过SPF

算法计算出一个无环的拓扑，从而计算出自己到达系统内部可达的最佳路由。153天融信防火墙操作策略路由和动态路由

OSPF配置OSPF在使用OSPF协议之前，需要首先启用OSPF进程154天融信防火墙操作策略路由和动态路由

OSPF设定区域及邻居OSPF协议的区域设定主要指：设定在哪个网段运行OSPF协议以及该网段属于哪个OSPF区域，并且设定该区域内的路由器更新路由时是否进行认证，进而采用何种认证方式。具体设置包括添加、修改和删除区域信息。OSPF协议一般使用组播来交换路由更新，只有组播地址中指定的路由器和主机才能参与这种交换。如果出现网络上不允许多播传送数据或只需要将路由更新信息通告某台指定设备的情况，则通过设定OSPF协议的邻居，以单播方式将路由更新信息只发送给某一台指定的路由器。邻居设置包括查看区域邻居配置、添加或者删除OSPF的邻居地址、查看或者添加/删除区域网络。155天融信防火墙操作策略路由和动态路由

OSPF添加OSPF区域查看区域邻居配置输入运行OSPF协议的网段所属区域ID、网段IP地址和IP地址掩码156天融信防火墙操作策略路由和动态路由

OSPF添加邻居地址设定接口属性在防火墙的接口上,可以配置的OSPF的参数包括:接口花费、HELLO报文发送间隔、重传间隔、接口链路状态传输时延、路由器优先级、相邻路由器老化时间、报文验证方式和报文验证字等。157天融信防火墙操作策略路由和动态路由

OSPFOSPF接口配置158天融信防火墙操作策略路由和动态路由

OSPF设置禁止哪些接口转发路由信息，则这些接口将只是被动地监听路由更新信息可以重复以上操作对防火墙的多个接口抑制转发路由信息159天融信防火墙操作策略路由和动态路由

OSPF重发布网络卫士防火墙OSPF支持将直连、RIP等路由重新发布入OSPF自治系统。在“动态路由.OSPF”标签页中“重新发布信息”处，选择要引入哪些路由信息到OSPF路由中作为外部路由信息。160天融信防火墙操作策略路由和动态路由

RIPRIP（RoutingInformationProtocol），路由信息协议，是推出时间最长的路由协议，也是最简单的路由协议。RIP通过广播或多播UDP报文来交换路由信息，每30秒发送一次路由信息更新，同时根据收到的RIP报文更新自己的路由表。RIP提供跳跃计数(hopcount)作为尺度来衡量路由距离，跳跃计数是一个包到达目标所必须经过的路由器的数目。网络卫士防火墙支持RIP的v1、v2版本。RIP协议：161天融信防火墙操作策略路由和动态路由

RIP配置RIP在使用RIP协议之前，需要首先启用RIP进程162天融信防火墙操作策略路由和动态路由

RIP查看RIP协议配置信息在“配置信息”处可以查看RIP路由协议的运行状况，包括RIP当前的状态信息、和RIP协议的调试信息163天融信防火墙操作策略路由和动态路由

RIP设置网络及邻居基本属性主要定义了运行RIP协议的网段、RIP路由的邻居、RIP协议的版本，并给出了各定时器的默认值查看网络配置164天融信防火墙操作策略路由和动态路由

RIP设置运行RIP协议的IP网段属性设置邻居165天融信防火墙操作策略路由和动态路由

RIP设置RIP路由协议的版本。默认网络卫士防火墙运行RIPv2。“接口”主要定义了已经启动RIP路由协议的各个接口的详细设置，例如接口发送接收RIP路由时所使用的RIP协议的版本、接口认证方式等166天融信防火墙操作策略路由和动态路由

RIP重发布重发布”主要定义了是否引入静态、直连、或者OSPF的路由信息到RIP路由协议中。167天融信防火墙操作DHCP网络卫士防火墙提供比较全面的DHCP服务功能，能够很好地结合到客户网络环境中。网络卫士防火墙可以提供以下DHCP服务：作为DHCP客户端，从DHCP服务器获取动态IP地址；作为DHCP服务器，集中管理和维护客户网络主机IP地址分配；作为DHCP中继，转发DHCP报文；同时作为DHCP服务器和DHCP客户机（需工作在网络卫士防火墙的不同接口上）。168天融信防火墙操作DHCP防火墙作为DHCP客户端网络卫士防火墙可以作为DHCP客户端，接口可以自动获取某个IP地址。在这种情况下，网络卫士防火墙的某些接口或全部接口将由DHCP服务器动态分配IP地址。设置要自动获得IP地址的接口，点击“运行”后该接口将从DHCP服务器自动获取IP地址。要禁止接口获得IP地址，点击“停止”，该接口将停止从DHCP服务器自动获取IP地址。169天融信防火墙操作DHCP防火墙作为DHCP服务器网络卫士防火墙可以指定某个物理接口或VLAN虚接口作为DHCP服务器，为该接口所在子网的主机动态分配IP地址，此时该接口必须工作在路由模式下。170天融信防火墙操作DHCP防火墙作为DHCP中继网络卫士防火墙提供DHCP中继服务，即支持某一网段的主机连接到位于另一网段的DHCP服务器。输入网络上的DHCP服务器地址，并填写指定客户端所在端口，还有接受server回应的端口。点击“运行”，启动中继服务。171天融信防火墙操作ADSL拨号防火墙支持动态接入的PPPoE协议。网络卫士防火墙可以外接ADSLModem，通过拨号与外网（如Internet）建立通信链路，在进行ADSL连接时，网络卫士防火墙是通过PPP协议拨号到ISP以获得一个动态的IP地址。ADSL拨号成功后，自动将ppp0口绑定到与其连接的一个以太网口，自动分配IP地址，并使系统默认网关指向ppp0。需要注意的是，当内网用户需要通过ADSLModem访问外网的时候，还需要用户在网络卫士防火墙上手工配置NAT源地址转换策略，将内网的数据报文的源地址转化为ADSL所绑定的属性名称，系统会自动将内网私有地址转换为属性所绑定的接口地址。172天融信防火墙操作ADSL拨号注意：用来进行ADSL拨号的接口必须绑定”ADSL“属性。在“对象”－“区域对象”中添加接口绑定“ADSL”属性173天融信防火墙操作ADSL拨号如何配置TOS防火墙ADSL拨号功能

174天融信防火墙操作ADSL拨号配置方式1――〖持久在线模式〗当链路异常掉线以后，防火墙也会无限次重复尝试连接，直到链路回复正常TopsecOS#networkadslsetdeveth1usernameB22612345passwd82771234demandnoidle300

mtu1492attributeadsl175天融信防火墙操作ADSL拨号配置方式2――〖按需拨号模式〗此模式下，当网络300秒内无任何流量时候，防火墙将自动断开ADSL链路，待网络再有流量访问Internet时自动出发ADSL自动拨号，直至链路回复正常。TopsecOS#networkadslsetdeveth1usernameB22612345passwd82771234demandyesidle300

mtu1492attributeadsl176天融信防火墙操作ADSL拨号〖配置地址转换策略〗Topsec#natpolicyaddsrcarea'area_eth0'dstarea'area_eth1'trans_srcadsl177天融信防火墙操作链路备份链路备份在网络设备的整个运行期间，无法保证设备所有接口都能长时间正常运作，或不可避免地会遇到一些可知或不可知因素造成设备某接口无法运行。网络卫士防火墙提供了“链路备份”功能来实时监视整个链路的工作情况，一旦发现异常，就立即启动“链路备份”功能自动切换到另一条备用链路，以确保网络的正常通信。设置“主链路”和“从链路”的接口，需要注意的是主链路和从链路不能选择同一个接口。“探测链路状态IP”是用来测试链路状态的测试用IP，输入IP地址，点击“设置参数”，系统将提示“添加成功”信息。点击“启动”或“停止”按钮，启动或停止链路备份功能。178天融信防火墙操作IDS联动防火墙可以与其他IDS设备进行联动。凡是支持TOPSEC协议的IDS设备都可以与天融信防火墙进行联动。文件名为：IDSKEY179天融信防火墙操作IDS联动点击“联动状态”－“刷新”即可看到联动状态。注意：防火墙生成的联动策略优先级是最高的180天融信防火墙操作双机热备为保证网络不间断的正常通信，可以采用两台网络卫士防火墙并联使用的方法，称为网络卫士防火墙的双机热备（份）。当使用双机热备时，任何时刻都只有一台网络卫士防火墙工作（主用网络卫士防火墙），另一台网络卫士防火墙处于监视状态。当工作机的任何一个接口（不包括作为监视端口的物理接口）出现故障时，监视状态的网络卫士防火墙将接替工作。在进行双机热备配置时，需要将两台网络卫士防火墙的最后一个接口（编号最高的）通过一个物理接口相连，用于两台防火墙之间的状态信息的同步。181天融信防火墙操作双机热备配置步骤：1、配置HA的交互IP（心跳线相连的两个端口）主墙：TopsecOS#networkinterfaceeth2ipaddmaskha-static备墙：TopsecOS#networkinterfaceeth2ipaddmaskha-static2、指定HA网口本地地址以及对端地址主墙：TopsecOS#haenableTopsecOS#halocalTopsecOS#hapeer备墙：TopsecOS#haenableTopsecOS#halocalTopsecOS#hapeer182天融信防火墙操作双机热备3、配置所有通