DFL 系列防火墙区域联防功能的配置文档格式.docx

DFL 系列防火墙区域联防功能的配置文档格式.docx

《DFL 系列防火墙区域联防功能的配置文档格式.docx》由会员分享，可在线阅读，更多相关《DFL 系列防火墙区域联防功能的配置文档格式.docx（8页珍藏版）》请在冰豆网上搜索。

【背景描述】

在应用传统网络安全技术时，企业内部的电脑在遭受病毒及黑客攻击后，往往因受感染而成为对外发动攻击的跳板，此时网管人员需要不断地在安全设备中配置相应的ACL规则，才能抑制病毒的扩散及黑客的入侵，这充分暴露出了网络安全设备之间缺乏互动机制的缺陷——相关设备之间无法及时互动和有效的防止网络瘫痪。

D-Link防火墙通过区域联防功能，实现与D-Link交换机的安全联动

主机感染病毒后会向网络中发送大量的病毒包

防火墙可以阻止这些恶意的数据流通往其它的子网，但是不能阻止它在本网段内部传播[子网A]

最为有效的解决方法就是:

防火墙触发接入交换机的ACL机制，从而实现恶意数据流的实时过滤。

D-Link下一代防火墙上的区域联防机制，可以紧密结合D-Link交换机，布建新的网络安全架构。

通过在网络发生不正常突发性流量时激活区域联防机制，D-Link防火墙可以立即侦测异状并自动联系D-Link交换机下达安全指令，隔离不正常的电脑，及时中断其网络连接及服务。

通过区域联防机制，防火墙与交换机之间建立起一种互相协作、配合的安全防御体系，大大增强了网络的主动防御能力，使传统的网络防护由被动变为主动，从而可以为用户建立起一个坚固的安全环境，同时还将大幅度降低网管人员的工作量，简化网络管理的复杂性。

【实验拓扑】

【实验设备】DFL-800一台，DES-3526一台，测试PC2台，网线若干

【实验步骤】首先根据防火墙接入到ISP的实验配置将DFL-800接入到Internet。

首先配置交换机的IP地址，然后查看交换机SNMP团体字读和写权限的信息，在设置防火墙区域联防功能的时候需要用到这个参数。

在区域联防中，防火墙要在交换机上添加ACL，这一动作可以看作是对交换机的管理，因此需要这个参数来添加到防火墙中，以便防火墙可以和交换机实行联防。

在地址表创建2个地址:

一个命名为switch-ip,IP地址为192.168.1.250一个命名为admin-IP,IP地址为192.168.1.101。

在防火墙配制列表中选中区域联防项，然后选择交换机，点添加按钮，添加区域联防交换机。

出现右面的界面，交换机选择DES-3526，IP地址选择刚才建立的“switch-ip”，SNMP团体字项选择刚才在交换机上查询到的“private”,然后点击检测交换机按钮。

出现上图，证明交换机添加成功了。

然后在Excludelist里面添加交换机和防火墙的管理IP，添加这两个IP的目的是不受区域联防规则的限制。

如下图：

在HTTP这个门限规则下面添加子项，用来设置触发防火墙区域联防功能的阀值和超过阀值以后防火墙所采取的措施。

在PC1上频繁的打开网页，这个时候就触发了防火墙的区域联防机制，防火墙会自动地在交换机上设置ACL，来阻止PC1的通信。

可以在防火墙上察看区域联防的状态，还可以在交换机上使用“showaccess_profile”命令查看ACL。

我们也可以在防火墙上查看区域联防状态：

如果要解除防火墙对主机的阻止，可以在防火墙的区域联防状态里面选中要解除封锁的IP地址，然后点击解锁按钮，这个时候防火墙就解除了对这个IP的封锁，再次查看交换机的ACL，可以看到对这个IP的ACL命令已经没有了。

防火墙和交换机的区域联防机制对于网络中出现得异常数据流的控管是非常有效的，增强了网络内部的安全。