《天清漢馬防火墻培訓手冊.ppt》由會員分享���,可在線閱讀��,更多相關(guān)《天清漢馬防火墻培訓手冊.ppt(44頁珍藏版)》請在裝配圖網(wǎng)上搜索�。
1��、天清漢馬防火墻培訓手冊,配置管理概述 防火墻基本配置 日志功能,提綱,配置管理概述,配置管理概述,USG設備的管理方式 通過Console口配置����; 通過Telnet 進行命令行的配置; 通過SSH進行命令行的配置; 通過HTTP 或HTTPS協(xié)議�,從GUI界面進行配置管理; 安裝集中管理中心軟件���,集中管理�����、配置USG設備;,配置管理概述,管理員用戶與權(quán)限表 通過默認管理員或自建管理員用戶來進行管理配置�; 管理員可以通過本地或Radius進行認證; 出廠默認管理用戶admin�����,密碼venus.usg�����; 管理員權(quán)限表規(guī)定了管理員可以執(zhí)行的操作�; 可以給管理員添加管理IP限制;,配置管理概述,新建管
2���、理員用戶,配置管理概述,新建管理員權(quán)限表,配置管理概述 防火墻基本配置 日志功能,提綱,USG的工作模式,USG支持三種接入模式: 透明模式��; 路由模式�����; 混合模式�; 這三種模式無需顯式配置,USG根據(jù)用戶配置自動生效��。,USG中的接口概念,USG中包含以下接口級的概念: 物理接口���; Vlan接口����; 透明橋接口�����; GRE接口�; 安全域; 其他隱藏接口���,包括loopback接口��、L2TP接口和tunssl接口,物理接口,,Vlan接口,,透明橋接口,,路由配置,路由表查詢,路由配置,創(chuàng)建靜態(tài)路由,路由配置,創(chuàng)建策略路由,安全策略,安全策略是USG應用的核心�����,我們通過配置安全策略: 實現(xiàn)對數(shù)據(jù)流的
3����、匹配(接口、IP���、服務�、時間) 控制和管理流經(jīng)設備的數(shù)據(jù)流(Permit��、Deny���、IPSec加密、SSL加密) 施行QoS 服務質(zhì)量劃分,安全策略,創(chuàng)建和編輯安全策略,安全策略,安全策略的啟用與匹配 安全策略配置后必須啟用才會生效�; 安全策略按先配置優(yōu)先的原則進行匹配; 對通過設備的數(shù)據(jù)包進行處理����,對于到設備本身的數(shù)據(jù)包和設備本身發(fā)出的數(shù)據(jù)包不進行限制; 可以調(diào)整安全策略的順序����,以使位置在前的策略優(yōu)先匹配; 可以創(chuàng)建一條新的安全策略,并插入到指定的策略之前����;,網(wǎng)絡地址轉(zhuǎn)換(NAT),網(wǎng)絡地址轉(zhuǎn)換(NAT): 最初用于私有地址向公有地址的轉(zhuǎn)換,以解決公有IP地址短缺的問題�����; 單向隔離�����,具有額外
4�����、的安全性����; 利用目標地址的映射,使公有地址可訪問配置了私有地址的服務器���; 可用于服務器的負載均衡和地址復用�����;,網(wǎng)絡地址轉(zhuǎn)換(NAT),USG支持以下NAT: 源NAT�����,按照使用不同可劃分為: 動態(tài)NAT: 源地址映射到一個地址池(NAT Pool)����; PAT: 所有源地址映射到同一目的地址; 靜態(tài)NAT:一對一雙向地址映射��; 目的NAT��;,網(wǎng)絡地址轉(zhuǎn)換(NAT),源地址轉(zhuǎn)換(SNAT)�����,可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或 者地址池中的地址����。,網(wǎng)絡地址轉(zhuǎn)換(NAT),目的地址轉(zhuǎn)換(DNAT)����,可以將目標地址轉(zhuǎn)換成NAT Pool中的地址,亦可實現(xiàn)服務器負載分擔與業(yè)務分流��。,網(wǎng)絡地址轉(zhuǎn)換(NAT),
5、NAT地址池(Pool)�����,注意起始地址不能大于結(jié)束地址����,在 地址不是很充分的情況下,可以配置地址輪詢��。,動態(tài)地址分配(DHCP),USG設備可以擔當所有的DHCP 角色: DHCP Server DHCP Relay DHCP Client,動態(tài)地址分配(DHCP),配置DHCP服務器的步驟: 在相應接口開啟DHCP Server服務����; 創(chuàng)建DHCP服務器; 如果有必要����,創(chuàng)建DHCP地址的排除范圍; 如果有必要��,創(chuàng)建IP-MAC綁定條目�; 通過監(jiān)視器可察看由USG分配的動態(tài)地址;,動態(tài)地址分配(DHCP),,高可用性(HA),高可用性 (HA, High Availability)��,可防止網(wǎng)絡
6��、中由于單個防火墻 的設備故障或網(wǎng)絡故障導致網(wǎng)絡中斷,保證網(wǎng)絡服務的連續(xù)性和強度�����。,高可用性(HA),天清汗馬USG上的HA: 目前支持主備模式��,下一版本將支持主主模式�; 支持兩臺防火墻互為備份; 兩臺設備的硬件型號要求一致���; HA接口為專用物理口���,不處理業(yè)務; 支持透明模式���、路由模式和混合模式���;,高可用性(HA),配置USG工作于主備模式:,高可用性(HA),察看當前HA的工作狀態(tài)與同步情況:,防攻擊防掃描,常見的網(wǎng)絡攻擊: Ping-of-death Jolt2 Land-Base TearDrop Winnuke Smurf Syn-flag,防攻擊防掃描,網(wǎng)絡掃描通常分為以下幾種: 垂直
7�����、掃描:針對相同主機的多個端口 水平掃描:針對多個主機的相同端口 Ping掃描:針對某地址范圍����,通過Ping方式發(fā)現(xiàn)存活主機 掃描通常是網(wǎng)絡攻擊的前兆����;USG設備可以有效防范以上幾 類掃描����,從而阻止外部的惡意攻擊,保護設備和內(nèi)網(wǎng)��。當檢 測到掃描探測時�,向用戶進行報警提示。,防攻擊防掃描,根據(jù)網(wǎng)絡情況開啟相應的防攻擊和防掃描功能�����,并設定合理的 參數(shù)����。,防攻擊防掃描,防Flood攻擊: 通過限制源主機或目的主機的連接數(shù)來起到防止Flood攻擊的目的; 在安全防護表中啟用�,并通過安全策略來引用,不是全局使能的�����; 根據(jù)網(wǎng)絡情況,配置合理的參數(shù)值�; 可以認為是防攻擊、防掃描的補充�����。,防攻擊防掃描,,配置管
8�、理概述 防火墻基本配置 日志功能,提綱,日志功能,USG日志分為: 事件日志 病毒日志 入侵防護日志 流量日志: 支持NetFlow V9 對于前三種日志,可以配置將其記錄到內(nèi)存�、標準Syslog服 務器或者數(shù)據(jù)中心;對于流量日志�,可以輸出到第三方流量收 集器或數(shù)據(jù)中心。,日志功能,大部分事件日志在這兒配置:,日志功能,NAT的日志事件在配置NAT策略時配置:,日志功能,系統(tǒng)監(jiān)控的日志事件配置: 系統(tǒng)周期性輪詢設備的運行狀態(tài)如CPU和內(nèi)存利用率���、當前 連接數(shù)�,以及系統(tǒng)檢測事件���,并給出告警�����。,日志功能,病毒、入侵等的日志事件在安全防護表中配置:,日志功能,NetFlow日志在安全策略中配置:,,謝 謝���!,
天清漢馬防火墻培訓手冊.ppt
