天清漢馬防火墻培訓(xùn)手冊(cè).ppt

《天清漢馬防火墻培訓(xùn)手冊(cè).ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《天清漢馬防火墻培訓(xùn)手冊(cè).ppt（44頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

天清漢馬防火墻培訓(xùn)手冊(cè),配置管理概述防火墻基本配置日志功能,提綱,配置管理概述,配置管理概述,USG設(shè)備的管理方式通過Console口配置；通過Telnet進(jìn)行命令行的配置；通過SSH進(jìn)行命令行的配置；通過HTTP或HTTPS協(xié)議，從GUI界面進(jìn)行配置管理；安裝集中管理中心軟件，集中管理、配置USG設(shè)備；,配置管理概述,管理員用戶與權(quán)限表通過默認(rèn)管理員或自建管理員用戶來(lái)進(jìn)行管理配置；管理員可以通過本地或Radius進(jìn)行認(rèn)證；出廠默認(rèn)管理用戶admin，密碼venus.usg；管理員權(quán)限表規(guī)定了管理員可以執(zhí)行的操作；可以給管理員添加管理IP限制；,配置管理概述,新建管理員用戶,配置管理概述,新建管理員權(quán)限表,配置管理概述防火墻基本配置日志功能,提綱,USG的工作模式,USG支持三種接入模式：透明模式；路由模式；混合模式；這三種模式無(wú)需顯式配置，USG根據(jù)用戶配置自動(dòng)生效。,USG中的接口概念,USG中包含以下接口級(jí)的概念:物理接口；Vlan接口；透明橋接口；GRE接口；安全域；其他隱藏接口，包括loopback接口、L2TP接口和tunssl接口,物理接口,,Vlan接口,,透明橋接口,,路由配置,路由表查詢,路由配置,創(chuàng)建靜態(tài)路由,路由配置,創(chuàng)建策略路由,安全策略,安全策略是USG應(yīng)用的核心，我們通過配置安全策略:實(shí)現(xiàn)對(duì)數(shù)據(jù)流的匹配(接口、IP、服務(wù)、時(shí)間)控制和管理流經(jīng)設(shè)備的數(shù)據(jù)流(Permit、Deny、IPSec加密、SSL加密)施行QoS服務(wù)質(zhì)量劃分,安全策略,創(chuàng)建和編輯安全策略,安全策略,安全策略的啟用與匹配安全策略配置后必須啟用才會(huì)生效；安全策略按先配置優(yōu)先的原則進(jìn)行匹配；對(duì)通過設(shè)備的數(shù)據(jù)包進(jìn)行處理，對(duì)于到設(shè)備本身的數(shù)據(jù)包和設(shè)備本身發(fā)出的數(shù)據(jù)包不進(jìn)行限制；可以調(diào)整安全策略的順序，以使位置在前的策略優(yōu)先匹配；可以創(chuàng)建一條新的安全策略，并插入到指定的策略之前；,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT):最初用于私有地址向公有地址的轉(zhuǎn)換，以解決公有IP地址短缺的問題；單向隔離，具有額外的安全性；利用目標(biāo)地址的映射，使公有地址可訪問配置了私有地址的服務(wù)器；可用于服務(wù)器的負(fù)載均衡和地址復(fù)用；,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),USG支持以下NAT:源NAT，按照使用不同可劃分為:動(dòng)態(tài)NAT:源地址映射到一個(gè)地址池(NATPool)；PAT:所有源地址映射到同一目的地址；靜態(tài)NAT：一對(duì)一雙向地址映射；目的NAT；,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),源地址轉(zhuǎn)換(SNAT)，可以將內(nèi)部地址轉(zhuǎn)換成出接口地址或者地址池中的地址。,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),目的地址轉(zhuǎn)換(DNAT)，可以將目標(biāo)地址轉(zhuǎn)換成NATPool中的地址，亦可實(shí)現(xiàn)服務(wù)器負(fù)載分擔(dān)與業(yè)務(wù)分流。,網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT),NAT地址池(Pool)，注意起始地址不能大于結(jié)束地址，在地址不是很充分的情況下，可以配置地址輪詢。,動(dòng)態(tài)地址分配(DHCP),USG設(shè)備可以擔(dān)當(dāng)所有的DHCP角色:DHCPServerDHCPRelayDHCPClient,動(dòng)態(tài)地址分配(DHCP),配置DHCP服務(wù)器的步驟:在相應(yīng)接口開啟DHCPServer服務(wù)；創(chuàng)建DHCP服務(wù)器；如果有必要，創(chuàng)建DHCP地址的排除范圍；如果有必要，創(chuàng)建IP-MAC綁定條目；通過監(jiān)視器可察看由USG分配的動(dòng)態(tài)地址；,動(dòng)態(tài)地址分配(DHCP),,高可用性(HA),高可用性(HA,HighAvailability)，可防止網(wǎng)絡(luò)中由于單個(gè)防火墻的設(shè)備故障或網(wǎng)絡(luò)故障導(dǎo)致網(wǎng)絡(luò)中斷，保證網(wǎng)絡(luò)服務(wù)的連續(xù)性和強(qiáng)度。,高可用性(HA),天清汗馬USG上的HA:目前支持主備模式，下一版本將支持主主模式；支持兩臺(tái)防火墻互為備份；兩臺(tái)設(shè)備的硬件型號(hào)要求一致；HA接口為專用物理口，不處理業(yè)務(wù)；支持透明模式、路由模式和混合模式；,高可用性(HA),配置USG工作于主備模式:,高可用性(HA),察看當(dāng)前HA的工作狀態(tài)與同步情況:,防攻擊防掃描,常見的網(wǎng)絡(luò)攻擊:Ping-of-deathJolt2Land-BaseTearDropWinnukeSmurfSyn-flag,防攻擊防掃描,網(wǎng)絡(luò)掃描通常分為以下幾種:垂直掃描：針對(duì)相同主機(jī)的多個(gè)端口水平掃描：針對(duì)多個(gè)主機(jī)的相同端口Ping掃描：針對(duì)某地址范圍，通過Ping方式發(fā)現(xiàn)存活主機(jī)掃描通常是網(wǎng)絡(luò)攻擊的前兆；USG設(shè)備可以有效防范以上幾類掃描，從而阻止外部的惡意攻擊，保護(hù)設(shè)備和內(nèi)網(wǎng)。當(dāng)檢測(cè)到掃描探測(cè)時(shí)，向用戶進(jìn)行報(bào)警提示。,防攻擊防掃描,根據(jù)網(wǎng)絡(luò)情況開啟相應(yīng)的防攻擊和防掃描功能，并設(shè)定合理的參數(shù)。,防攻擊防掃描,防Flood攻擊:通過限制源主機(jī)或目的主機(jī)的連接數(shù)來(lái)起到防止Flood攻擊的目的；在安全防護(hù)表中啟用，并通過安全策略來(lái)引用，不是全局使能的；根據(jù)網(wǎng)絡(luò)情況，配置合理的參數(shù)值；可以認(rèn)為是防攻擊、防掃描的補(bǔ)充。,防攻擊防掃描,,配置管理概述防火墻基本配置日志功能,提綱,日志功能,USG日志分為:事件日志病毒日志入侵防護(hù)日志流量日志:支持NetFlowV9對(duì)于前三種日志，可以配置將其記錄到內(nèi)存、標(biāo)準(zhǔn)Syslog服務(wù)器或者數(shù)據(jù)中心；對(duì)于流量日志，可以輸出到第三方流量收集器或數(shù)據(jù)中心。,日志功能,大部分事件日志在這兒配置:,日志功能,NAT的日志事件在配置NAT策略時(shí)配置:,日志功能,系統(tǒng)監(jiān)控的日志事件配置:系統(tǒng)周期性輪詢?cè)O(shè)備的運(yùn)行狀態(tài)如CPU和內(nèi)存利用率、當(dāng)前連接數(shù)，以及系統(tǒng)檢測(cè)事件，并給出告警。,日志功能,病毒、入侵等的日志事件在安全防護(hù)表中配置:,日志功能,NetFlow日志在安全策略中配置:,,謝謝！,