方正FS防火墙使用手册.ppt
《方正FS防火墙使用手册.ppt》由会员分享,可在线阅读,更多相关《方正FS防火墙使用手册.ppt(100页珍藏版)》请在冰豆网上搜索。
,方正FS防火墙,Page2,目录,方正FS防火墙的安装和管理方正FS防火墙的功能配置配置规则资源管理网络配置管理VPN设置应用管理设备参数管理状态监视维护工具辅助功能系统用户认证许可证,Page3,方正FS防火墙的安装和管理,1、方正防火墙硬件安装方正防火墙的安装步骤包括:
a.连接电源线。
b.连接方正防火墙到网络中。
如果网络环境正常,网口指示灯将作相应指示。
下图是一个典型的四网口防火墙硬件安装结构图,方正安装在路由器和交换机之间。
特别需要注意的是,防火墙与交换机、HUB等设备连接时应使用普通网线,而与路由器、主机等设备连接时要使用交叉网线。
Page4,硬件安装结构图,如下图所示:
Page5,2、方正防火墙的系统登录,方正防火墙提供基于Https协议的Web界面管理方式,管理员可以通过局域网或Internet安全的管理系统。
为了保证管理的最佳效果,管理主机浏览器推荐使用IE6.0或以上版本,显示器分辨率1024x768或以上。
系统初始登录地址为192.168.1.254(默认为网口1),用户在管理主机的IE浏览器地址栏中输入https:
/192.168.1.245即可登录到管理界面(注意:
请保证控制机与方正防火墙设备路由可达)。
方正防火墙默认用户名和密码都是:
admin。
初次登录系统后,请在“维护工具|管理员管理|管理员配置”模块中更改管理员密码;在维护工具|权限管理|管理员策略中根据实际网络环境设置控制IP。
设置完毕后退出配置界面,请使用新的控制IP和用户信息登录系统。
Page6,系统登录界面,如下图所示:
Page7,3、方正防火墙主界面介绍,方正防火墙主界面包括:
功能模块栏、登录信息、功能配置区三部分。
(注意:
以下举例的方正防火墙系统管理地址是根据实际网络环境设置的)。
1、功能模块栏:
方正防火墙将功能模块使用列表形式显示。
用户只需要点击某一个模块即可方便进入相关模块配置界面进行功能配置操作。
2、登录信息:
显示当前登录系统的管理员信息、登录时间等信息。
在登录信息右下方提供了“帮助”和“退出”功能。
点击“帮助”按钮获得方正防火墙系统功能的在线帮助信息。
点击“退出”按钮退出当前管理界面。
3、功能配置区:
功能配置区对应于相应的功能模块,用于查看、配置功能模块。
Page8,防火墙主界面,如下图所示:
Page9,方正FS防火墙的配置功能,1、配置规则方正防火墙规则的配置是安全功能的最重要体现,包括:
包过滤规则、NAT规则、代理规则、IP/MAC绑定规则、攻击防范规则、动态端口支持。
1.1策略组方正防火墙包过滤规则主要是通过制定过滤规则集,对数据包头源地址、目的地址、协议类型及端口等标志进行检查,判定数据包是否允许通过。
当满足过滤规则的数据包通过方正防火墙时,根据规则的策略决定允许或者禁止通过,不满足规则的包则被丢弃。
用户可以通过策略组的形式管理多条策略。
Page10,策略组的界面,如下图所示:
Page11,策略组的添加,如下图所示:
Page12,策略管理界面,如下图所示:
注:
添加一条策略组后,可以点击列表界面中的“”按钮管理一条或多条策略。
选择一条策略组,点击“”按钮进入策略管理界面。
Page13,添加过滤规则,如下图所示:
Page14,1.2NAT规则,方正防火墙可以实现一对一、多对一和多对多的源、目的地址转换方式,也可以实现源、目的地址的同时转换。
SNAT规则主界面,如下图所示:
Page15,源地址转换,当使用保留IP地址的内部网用户访问外部网时,经过源地址转换,将源地址转换为一个固定IP,也可以从一个地址池中根据某种策略动态选择一个。
用户经过SNAT转换获取合法的IP地址,实施外部访问。
这样既可以解决IP地址匮乏问题,又能够隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
方正防火墙可以实现一对一、多对一和多对多的源地址转换方式。
Page16,添加源地址转换,如下图所示:
Page17,DNAT规则主界面,如下图所示:
Page18,目的地址转换,如果内部网提供让外部网用户访问的服务器,方正防火墙还支持一对一和一对多的目的地址转换方式,为内部网络服务器作IP和端口映射,这样外部网用户就可以通过方正防火墙直接访问该服务器。
Page19,添加目的地址转换,如下图所示:
Page20,1.3IP/MAC绑定规则,IP/MAC绑定有些时候,不但要防止来自外部的黑客攻击,而且还要防止来自内部网的个别用户盗用别人的主机IP地址访问外部网,甚至进行一些非法活动。
方正防火墙采用将内部IP地址与MAC地址(网卡)一一绑定的方式,防止内部主机盗用其它主机的IP,进行不正当的网络活动。
Page21,IP/MAC地址绑定规则列表,如下图所示:
Page22,添加IP/MAC地址绑定规则,如下图所示:
Page23,搜索IP/MAC,为了方便管理员给内网用户做地址绑定,我们还提供了搜索IP列表的功能。
举例来说,如果管理员要对内网所有用户启用地址绑定功能,管理员可以输入内网的IP地址范围,如下图所示,然后点击开始搜索。
搜索完成后,所有内网用户的MAC地址和IP列表的对应关系就显示在下面列表中。
管理员选择需要做绑定的项,然后点击添加到IP/MAC按钮。
Page24,IP/MAC地址自动搜索列表,如下图所示:
Page25,1.4带宽管理,方正防火墙提供带宽管理策略,可方便的根据源或者目的地址对流量进行控制管理,以防止线路资源的非许可消耗,有效地管理带宽资源,从而使网络资源得到有效利用。
设置流量控制规则,如下图所示:
Page26,添加带宽管理规则,如下图所示:
Page27,2、资源管理资源管理模块用于进行地址资源、服务资源、时间资源等资源的管理。
2.1IP资源方正防火墙通过地址资源管理IP地址。
地址资源管理包括IP资源和IP组资源管理。
IP资源界面,如下图所示:
Page28,添加IP资源,如下五图所示:
Page29,2.2服务资源管理,服务资源管理是为了方便管理员通过资源方式管理应用服务的协议类型和端口信息。
管理员可以将服务加入到服务资源列表中进行管理。
方正方正防火墙已将一些常用服务加入到服务资源列表中服务资源配置界面,如下图所示:
Page30,添加、修改服务对象,如下图所示:
Page31,添加、修改服务组,如下图所示:
Page32,2.3时间资源时间资源管理方便用户通过资源方式管理时间。
循环循环时间资源用于管理周期性的、重复的时间段。
循环时间资源配置界面,如下图所示:
Page33,添加、修改循环时间资源界面,如下图所示:
Page34,单次单次时间资源用于管理连续的、一段的时间。
时间资源配置界面,如下图所示:
Page35,添加、修改单次时间资源,如下图所示:
Page36,3、网络配置管理网络配置管理包括接口管理、路由管理、DNS配置、可用性管理。
3.1接口管理方正防火墙的网络接口设备包括三类:
物理接口、网桥接口和VLAN接口,分别在物理接口、网桥接口、VLAN接口三个标签页中进行设置。
每个标签页均包含设备配置信息列表及功能按钮两部分内容。
Page37,物理接口物理接口模块主要配置网口的物理链路属性,如配置物理接口协商模式。
物理接口配置界面,如下图所示:
Page38,编辑物理接口配置界面,如下图所示:
Page39,接口IP设置接口IP设置主要配置物理接口的IP地址,接入方式以及管理端口的访问控制等属性。
接口IP设置界面,如下图所示:
Page40,手工配置、DHCP、PPPOE设置,如下三图所示:
Page41,网桥接口,网桥接口配置界面,如下图所示:
Page42,添加网桥接口界面,如下图所示:
Page43,VLAN接口,方正防火墙支持VLAN技术。
用户可以在此界面进行VLAN设备的配置。
VLAN设备是在防火墙物理网口上创建的虚拟网卡设备,可以接收和发送VLAN包,它的使用与网口设备相同。
VLAN接口配置界面,如下图所示:
Page44,添加VLAN设备配置界面,如下图所示:
Page45,3.2路由管理,静态路由方正防火墙提供静态路由功能,对于要访问某一子网的用户必须经过路由表中配置的网关地址,才能到达该目的子网。
通过配置静态路由,用户可以人为地指定一条对某一网络访问时优先经过的路径。
系统支持用户最多设置5000条静态路由。
静态路由配置界面,如下图所示:
Page46,添加静态路由界面,如下图所示:
Page47,策略路由,策略路由功能提供了更丰富的路由选择条件,网络管理员不仅可以根据目的地址进行路由选择,而且还可以根据源地址来进行路由选择。
系统支持用户最多设置200条策略路由。
策略路由配置界面,如下图所示:
Page48,添加策略路由界面,如下图所示:
Page49,动态路由,动态路由是指路由器能够自动地建立自己的路由表,并且根据实际情况的变化适时地进行调整。
路由器之间的路由信息交换是基于路由协议实现的。
方正防火墙本身提供动态路由功能,并支持多种内部网关协议,包括RIP(RIPV1、RIPV2)协议和OSPF协议。
动态路由配置界面,如下图所示:
Page50,路由信息,路由信息模块显示当前系统内的所有静态路由信息,包括动态路由学习到的路由。
但不包括策略路由表。
路由信息界面,如下图所示:
Page51,3.3可用性管理,双机热备方正防火墙双机热备份系统采用VRRP协议方式实现,一般由两台配置相同的防火墙组成,可以配置成主从和主主工作方式,经过适当配置可以支持多达32台设备同时工作,互为备份。
正常情况下一台处于工作状态,为主防火墙,另一台处于热备状态,为从防火墙。
当主防火墙发生如网络故障、硬件故障等情况时,备份防火墙可以迅速切换工作状态,代替主防火墙工作,从而保证了整个网络的正常运行。
双机热备功能适用于对系统有高可靠性要求的网络安全需求。
Page52,双机热备配置界面,如下图所示:
Page53,心跳接口配置界面,如下图所示:
Page54,双机热备配置完的界面,如下图所示:
Page55,另一台双机热备配置完的界面,如下图所示:
Page56,如果希望正常情况下两台设备都处于工作状态,可以再添加一组虚拟IP,根据优先级的设置保证两台设备连接都正常情况下,每台设备各接管一组虚拟IP,当其中一台出现故障或掉线情况时,另外一台接管所有虚拟IP组。
这种配置情况下,内网用户分成两组,一组使用第一个虚拟IP作为网关,另外一组使用第二个虚拟IP作为网关。
这样正常情况下,内网的流量将均衡分布到两台防火墙设备,而且在出现故障的时候,所有流量将被另外一台设备全部接管。
从而实现负载均衡模式的双机热备。
Page57,第一台防火墙的配置,如下图所示:
Page58,第二台防火墙的配置,如下图所示:
Page59,端口同步端口同步功能用于支持两个端口的联动,当检查到本身链路中断后,切断关联端口,本身链路恢复后,再恢复关联端口。
端口同步配置界面,如下图所示:
Page60,规则同步,使用双机热备的情况下,为了方便用户,方正防火墙提供了规则同步功能,该功能可以把一台已经配好规则的设备上的所有策略,资源,地址转换配置同步到另外一台尚未配置的设备上。
规则同步配置界面,如下图所示:
Page61,在同步服务开启的情况下,另外一台设备可以配置客户端去获取所有策略,资源,地址转换配置到本机,配置界面如下图:
Page62,3.4DNS设置,DNS配置界面,如下图所示:
Page63,3.5DHCP服务为了方便内部用户不用手动配置IP就可以直接上网,方正防火墙提供了DHCP服务功能,启动该功能后,内部用户的电脑自动获取IP就可以上网了,DHCP服务配置界面,如下图所示:
Page64,编辑DHCP服务配置界面,如下图所示:
Page65,4、VPN设置方正系列防火墙提供IPSEC和PPTP/L2TP的VPN,以下分别介绍IPSEC和PPTP/L2TP的配置方式。
4.1IPSECVPNIPSEC服务配置界面
升级会员 