1、丰富而完善的可视化管理、审计、报表功能,使得网络管理员可以掌握全面真实的网络状况,以帮助管理员更好地做出防护措施。,网络定位,网络定位,防火墙外观结构,百兆防火墙USG6507对应原防火墙USG2205,防火墙外观结构,千兆防火墙USG6550对应原防火墙USG5150,防火墙外观结构,防火墙USG6507前面板局部图,防火墙的区域,防火墙区域:Local区域Trust区域Untrust区域DMZ区域安全区域的优先级(安全级别):优先级值越大安全级别越高,不同区域的安全级别值不能相同。,防火墙的区域,防火墙的访问规则和策略(如ACL)不是应用在端口上,而是在区域间之间,通过区域的优先级值来表示
2、inbound或outbound的方向。安全级别高的区域向级别低的区域访问是出站方向inbound安全级别低的区域向级别高的区域访问是入站方向outbound 防火墙的同一安全区域内的端口之间访问不需要安全策略检查,不同安全区域的端口之间进行访问,需要有安全策略的检查和控制管理,防火墙的工作模式,1、路由模式相当于路由器的位置个功能,放在网络中是以三层设备的角色,接口都必须配置IP地址。2、透明模式在原有的网段中放置防火墙进行过滤工作,但是不改变原有的网段配置,防火墙仅作为一个二层设备连接,相当于一个二层交换机,接口不能配置IP地址。3、混合模式有两个防火墙,主要为了实现备份和冗余,一个是路由
3、模式,一个是透明模式,不推荐。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,现网状态判定组网:透明墙,两区域隔离,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,防火墙连接登录设备Web界面对管理员PC浏览器的要求如下:Internet Explorer浏览器:6.09.0版本Firefox浏览器(推荐):10.0及以上版本Chrome浏览器:17
4、.0及以上版本1、将管理员PC网口与设备的MGMT接口(GigabitEthernet 0/0/0)通过网线或者二层交换机相连。2、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0.254范围内的IP地址。,透明墙配置,防火墙连接3、在管理员PC中打开网络浏览器,访问需要登录设备的GigabitEthernet 0/0/0,缺省IP地址https:/192.168.0.1:84434、在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin123”,单击“登录”。5、将管理员PC的网络连接的IP地址设置为在192.168.0.2192.168.0
5、.254范围内的IP地址。6、修改缺省管理员帐号的密码,单击“确定”,进入Web界面。,透明墙配置,防火墙连接,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,参数确认,透明墙配置,参数确认,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。然后将接口切换为二层以太网接口,将接口加入VLANA、选择“网络 接口”。B、单击待配置的接口所在行的C、根据已经确认的参数配置以太网接口的参数。,
6、透明墙配置,地址配置1、通过二层以太网接口实现设备间互联之前,请先确定待使用的接口。B、单击待配置的接口所在行的C、配置以太网接口的参数。,透明墙配置,地址配置2、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。A、选择“对象 地址 地址”。B、单击“新建”配置地址集,然后单击“确定”。,透明墙配置,地址配置1、配置名称为安全I区的地址集,将几个不允许访问服务器的IP地址加入地址集。2、配置名称为安全I I区的地址集,将几个不允许访问服务器的IP地址加入地址集。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透
7、明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。A、选择“对象 服务 服务”。B、单击“新建”,输入服务名称并添加成员。,透明墙配置,服务配置1、分别为Server1和Server2配置自定义服务集server1_port和server2_port,将服务器的非知名端口加入服务集。,透明墙配置,透明墙配置1、现网状态判定2、防火墙连接3、参数确认4、地址配置5、服务配置6、安全策略配置,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。A、选择“策略 安全策略 安
8、全策略”。B、单击“新建”,配置安全I区到安全II区的策略,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略,透明墙配置,安全策略配置1、配置安全策略,引用之前配置的地址集及服务集。B、单击“新建”,配置安全I区到安全II区的策略C、单击“新建”,配置安全II区到安全I区的策略,透明墙配置,结果验证1、安全I区到安全II区的服务内的数据能访问2、安全I区到安全II区的服务外的数据不能能访问3、非安全I区、安全II区的地址访问全部受阻,路由墙配置(作为出口),组网需求电站在网络
9、边界处部署了NGFW作为安全网关,并从运营商处购买了宽带上网服务,实现内部网络接入Internet的需求。具体需求如下:内部网络中的PC使用私网网段10.3.0.0/24实现互通,要求由NGFW为PC分配私网地址、DNS服务器地址等网络参数,减少管理员手工配置的劳动量。内部网络中的PC可以访问Internet。,路由墙配置(作为出口),参数确认,路由墙配置(作为出口),接口配置1、配置接口GigabitEthernet 1/0/1。选择“网络 接口”。单击GE1/0/1对应的,按如下参数配置单击“确定”。,路由墙配置(作为出口),接口配置2、配置接口GigabitEthernet 1/0/3。单击GE1/0/3对应的,按如下参数配置单击“确定”。,路由墙配置(作为出口),服务配置配置DHCP服务器。选择“网络 DHCP服务器 服务”。单击“新建”,按如下参数配置单击“确定”。,路由墙配置(作为出口),安全策略配置配置安全策略,允许内部网络中的PC访问Internet。选择“策略 安全策略”。单击“新建”,按如右参数配置。单击“确定”。处只给出了完成本举例所需的安全策略的基本参数,具体使用时,请根据实际情况设置安全策略中的其他参数。,谢谢!,
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1