启明星辰系列防火墙产品安装调试

启明星辰网关本部2014.6P系列防火墙产品安装调试目录12345防火墙基础功能操作防火墙接入模式简介防火墙路由功能配置简介防火墙高可用性功能原理及配置简介入侵防护，病毒防护，反垃圾邮件配置简介第一章防火墙基础功能操作 登陆管理 日志管理 配置导入导出 批处理的使用登陆管理 console口管理设置CRT或者超级终端属性：—设置serialport连接工具(e.g.微软超级终端)—ConnectRS-232—波特率9600,8bits,Noparity,1stopbit如图：��������登陆管理 SSH管理和Telnet管理防火墙默认关闭该功能，需要通过WEB管理方式或者命令行方式手动开启。一旦开启以后，该登陆方式适用于防火墙上的所有的三层接口一、WEB管理方式开启系统管理——管理员设置——设置——开启SSH或者Telnet二、命令行管理方式开启登陆管理 启用GUI管理设备出厂时默认只允许IP地址为10.1.5.200/49、10.1.6.200的PC对防火墙过街GUI管理。出厂时eth0接口的默认IP为10.1.5.254。一、WEB方式添加管理主机系统管理——管理员设置——管理主机二、命令行方式添加管理主机登陆管理 GUI管理P系统防火墙使用HTTPS方式登陆，使用8889端口。同时需要使用证认证。一、安装管理员证书二、登陆防火墙URL：https://IPv4地址：8889user:administratorpass:bane@7766三、特殊情况应对当遇到没有安装证书，但又需要通过GUI方式管理防火墙时，可以通过在后台输入命令（命令可以咨询400或者专家支持）然后直接通过8888接口管理防火墙，但这种方式在重启设备后会失效URL：https://IPv4地址：8888日志管理 日志查看防火墙日志包括系统日志及功能模块日志。系统日志是防火墙自身产生的信息，如管理员管理日志和设备状态日志（如接口up/down）；功能模块日志是防火墙功能模块启用后产生的信息，如HA日志、IPS日志、包过滤日志，这类日志需要防火墙对应的功能模块启动日志记录功能。日志——日志访问——日志查看日志管理 日志服务器配置由于防火墙本身的存储空间有限，最多只能提供10M的大小空间（10M空间用完后可以选择停止存储日志或者覆盖日志），当需要保存更多的日志信息时，需要将防火墙连接日志服务器，将日志传输给日志服务器（如syslog服务器或者安管服务器）。日志——日志配置——日志服务器配置导入导出 配置导出在导出配置前，对防火墙的配置进行保存，即可以通过WEB页面保存，也可以通过newconfigsave保存，如图：配置导入导出 配置导出系统管理——维护——备份与恢复——导出全部配置配置导入导出 配置导入配置导入功能在很多场景下可以为操作提供便捷，比如更换或者升级设备后，可以很快的使新设备恢复配置。系统管理——维护——备份与恢复——导入全部配置注意：导入配置后需要重启网关，配置才可以生效。3.6.0.1版本的配置导入3.6.0.2时，需要为防火墙打上前14个升级包，否则只能导入关键配置（NAT配置无法导入）批处理的使用在好多情况下，我们的配置工作都是重复操作过程，如果能将这些操作写在一个文件下执行，那么对我们的执行效率将大大提高。第一步：获取命令行格式系统管理——维护——批处理——历史记录最新操作对应的命令行在历史记录的最底层显示批处理的使用第二步：提交批处理命令并执行系统管理——维护——批处理——命令批处理A、获取相关命令行以后，可以对命令行进行增量修改（使用excel或者批处理工具）B、将新生成的命令行复制粘贴到命令批处理文本框内，点提交；C、提交完成后，点击执行批处理第二章防火墙接入模式简介 接口设备相关介绍 路由&NAT方式接入 透明方式接入 冗余方式接入 Trunk方式接入接口设备相关介绍 物理设备对应防火墙外观上的接口，通过ethx来表示。物理设备可以提供路由模式、透明模式、冗余模式、trunk模式注意：以下介绍的设备都是代表接口的含义，只是各安全厂商叫法不同接口设备相关介绍 vlan设备逻辑接口，与对应的物理接口共享MAC，为数据提供doltq封装，可以提供路由模式和透明模式。配置了vlan设备后，数据在离开防火墙时会被封装对应的vlanID接口设备相关介绍 vlan设备src:192.168.1.100dst:192.168.1.254vlan100src:0000.0000.0001dst:0000.0000.0002src:192.168.1.100dst:192.168.1.254vlan100src:0000.0000.0001dst:0000.0000.0002接口设备相关介绍 桥设备逻辑接口，可以将多个透明模式的设备划到同一个区域内，除了透明模式的物理设备可以被划到桥设备以外，透明的vlan设备也可以被划到桥设备内。接口设备相关介绍 别名设备逻辑接口，与对应的物理设备共享MAC，相当于cisco的secondryIP。目的是给三层设备接口（包括物理接口和逻辑接口）配置多个IP地址。接口设备相关介绍 冗余设备逻辑接口，将多个物理设备绑定起来，组成一个逻辑接口。冗余的方式有轮循方式、热备方式及802.3ad（LACP），其中轮循和热备方式都为静态方式，802.3ad为动态方式。接口设备相关介绍 接口引用关系1、物理设备可以被所有其它设备调用；2、桥接设备只能被别名设备调用；3、冗余设备可以被桥设备、别名设备、拨号设备、VLAN设备调用；4、VLAN设备可以被别名设备和桥设备调用；5、拨号设备和别名设备不能被任何设备调用；路由&NAT方式接入C:192.168.1.1001.1.1.2eth1：192.168.1.1eth2：1.1.1.1eth1eth2一、配置防火墙接口模式及IP路由&NAT方式接入C:192.168.1.1001.1.1.2eth1：192.168.1.1eth2：1.1.1.1eth1eth2二、配置NAT路由&NAT方式接入C:192.168.1.1001.1.1.2eth1：192.168.1.1eth2：1.1.1.1eth1eth2三、配置安全策略，允许流量通过路由&NAT方式配置完成！！！透明方式接入C:192.168.1.1001.1.1.2brg1：eth1eth2eth1eth2一、设置接口工作模式，将eth1和eth2划到brg1下透明方式接入C:192.168.1.100192.168.1.200brg1：eth1eth2eth1eth2二、配置安全策略，放通流量透明方式配置完成！！！冗余方式接入eth1eth2eth1eth2bond1：1.1.1.1bond1：1.1.1.2一、设置接口模式冗余方式接入eth1eth2eth1eth2bond1：1.1.1.1bond1：1.1.1.2二、创建冗余设备，并为冗余设备配IP冗余方式配置完成！！！Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式一：防火墙的eth1、eth2配置为trunk模式，并将他们划到同一个透明桥内Trunk方式接入vlan100---200vlan100---200trunktrunketh1eth2方式二：将eth1和eth2划入透明桥，再放通带vlan的流量防火墙——安全选项——二层包过滤策略Trunk方式配置完成！！！第三章防火墙路由功能配置简介 静态路由 OSPF 策略路由&ISP路由静态路由 默认路由 支持多默认路由负载均衡 支持基于状态回包 支持默认网关探测机制静态路由 默认路由——负载均衡注释：这个功能主要适用于内网向外网发起的访问静态路由 默认路由——基于状态回包注释：这个功能主要适用于外网向内网发起的访问，原因在于不同运营商之间可能存在路由不可达问题，基于状态回包可以将风险降到最低。即使回包时能被策略路由匹配，也不会选择策略路由转发。静态路由 默认路由——网关探测注释：默认路由网关探测可以使防火墙以最快的速度感知到故障的链路，使对应的默认路由失效，从而保证多出口网络的稳定性。探测方式为ICMP和ARP探测。静态路由 默认路由——网关探测注释：默认路由网关探测可以使防火墙以最快的速度感知到故障的链路，使对应的默认路由失效，从而保证多出口网络的稳定性。探测方式为ICMP和ARP探测。静态路由 默认路由——配置路由管理——基本路由——默认路由监测频率：防火墙向网关发送ICMP或者ARP报文的频率metric：相同路由之间区分优先级，越小越优先权重值：两条路由相同且metic也相同的情况下，分担流量的比重静态路由 静态路由路由管理——基本路由——静态路由表OSPF OSPF介绍OSPF（开放最短路径优先），像所有链路状态协议一样，OSPF协议和距离矢量协议相比，主要的改善在于它的快速收敛，这使得OSPF协议可以支持更大型的网络。OSPF通过各类LSA信息学习全网的路由，然后每台运行OSPF的路由器再根据SPF算法计算自己去往其它节点的最短路径。防火墙目前使用的OSPF是采用zebra软件实现，zebra是一种的开源软件。因此我们的OSPF可以满足一般企业网的使用需要，保存的路由条目不受限制，只与各型号设备的内存有关。除了支持骨干区域、普通区域、stub区域之外，还支持接口认证、区域认证和路由重发布。同时也支持OSPFv3。注意：防火墙厂商对于OSPF的支持度不如路由器厂商，在双机情况下不建议使用OSPFOSPF OSPF配置此时的防火墙被部署在骨干区域内，充当骨干router，需要维护整个Area0区域的LSA。防火墙需要分别在3个接口上启用OSPF，因此将1.1.1.0/24、2.2.2.0/24、10.1.5.0/24发布出去OSPF OSPF后台配置一、后台输入advrouteterminalospf二、通过cisco路由器的命令行方式进行调试策略路由&ISP路由 策略路由介绍和其它路由协议一样，策略路由也需要查找路由表，只不过策略路由的优先级比其它路由（静态路由、动态路由）更优先。ISP路由是策略路由的一种，是基于运营商维护的地址段进行维护的。防火墙中各种路由协议的优先级排序如下：ISP路由>策略路由>静态路由>动态路由>默认路由注释：只有在防火墙运行默认路由的基于状态回包功能后，策略路由才不会被优先匹配策略路由&ISP路由 策略路由介绍防火墙后台一共维护着256张路由表：table254维护着一些基础路由（如静态路由、默认路由、动态路由等）；table1——200维护着策略路由；table201——205维护着ISP路由（201代表联通、202代表电信、203代表教育网、204代表移动、205代表自定义）策略路由&ISP路由 策略路由配置一、新建高级路由表（定义下一跳）路由管理——策略路由——高级路由表策略路由&ISP路由 策略路由配置二、新建高级路由策略路由管理——策略路由——高级路由策略策略路由配置完成！！！策略路由&ISP路由 ISP路由配置一、添加ISP地址路由管理——ISP路由——ISP地址——操作——更新运营商地址可以从互联网上下载，同时也可以自己编辑。如果是自己编辑的话则可以先创建一个txt文档，然后在txt文档内编辑上运营商网段，格式如下：1.1.1.0/255.255.255.0。策略路由&ISP路由 ISP路由配置二、配置ISP路由表路由管理——ISP路由——ISP路由表——新建第四章防火墙高可用性 双机热备 会话保护 端口联动 VRRP双机热备 双机热备介绍　　防火墙双机热备功能（HA），可以提高防火墙的可靠性，保证网络更加稳定。双机热备的原理是让两台防火墙时刻保持配置一致，会话一致，以便于在紧急情况下备墙可以接管网络。主墙和备墙之间通过心跳线连接，用于同步配置、同步会话，以及判断是否实施抢占。注意：做HA的两台设备必须保证同型号且同版本双机热备 双机热备介绍　　防火墙双机热备功能（HA），可以提高防火墙的可靠性，保证网络更加稳定。双机热备的原理是让两台防火墙时刻保持配置一致，会话一致，以便于在紧急情况下备墙可以接管网络。主墙和备墙之间通过心跳线连接，用于同步配置、同步会话，以及判断是否实施抢占。注意：做HA的两台设备必须保证同型号且同版本双机热备 双机热备示意图心跳线主备双机热备 双机热备配置第一步：配置主备墙的HA网口网络管理——高可用性——HA网口双机热备 双机热备配置第二步：配置双机热备配置网络管理——高可用性——双机热备设置HA标识符：HA集群的标识节点：区分集群内的防火墙，越小越优先开启抢占：开启该功能之后，当主墙故障恢复，会重新抢占，再次接管网络；如果该功能未开启，则直到备墙出现故障，才会接管网络探测网口：判断故障的条件双机热备 双机热备配置第三步：保存并重启备墙，连接心跳线注意：备墙在配置完后，需要重启，并在重启过程中连接心跳线，否则会出现数据库与linux后台配置不一致的现象。因此当出现数据库与linux后台不一置时，应当考虑是否这一步没有进行。成为备墙后，防火墙不能通过WEB进行管理，为了保存同步过来的配置，建议从console口通过newconfigsave保存备墙配置。双机热备 双机热备配置第四步：同步配置目前，当主墙修改配置后，备墙不能自动同步配置，需要通过HA界面手动同步。网络管理——高可用性——双机热备状态——节点配置同步双机热备 双机热备配置第五步：后台调试后台通过hashowstatus命令可以查看HA状态id：节点id号，双机热备配置中的节点号prio：代表优先级，小的代表主墙sync：表示是否同步配置，0代表未同步，1代表已同步会话保护 会话保护介绍　透明模式部署下，理论上防火墙就相当于网线的作用，不需要对数据包进行路由查找，只需要对数据包进行二层转发。但防火墙会对数据包做相应的检查工作，比如包过滤、AV检测、IPS检测、应用检测等。基于上述这些功能，两台防火墙必须保持状态一致（也就是会话同步），因此通过心跳线来同步会话。会话保护 会话保护应用场景心跳线VRRPVRRP1.1.1.11.1.1.22.2.2.12.2.2.2会话保护 会话保护配置　会话保护的配置很简单，只需要配置HA网口，注意要勾选“启用同步”，如图:端口联动 端口联动介绍　端口联动的意思是指，当防火墙某个接口出现故障，它会主动将防火墙上对应的接口也关闭，从而保证数据转发可以顺利的切换到备链路上，从而保证可靠性。端口联动对应的是防火墙后台一个进程，是通过软件来实现的。与硬件Bypass有所区别。端口联动的配置只能通过后台进行。端口联动 端口联动场景心跳线心跳线主备主备端口联动 端口联动配置eth1eth2将防火墙的eth1和eth2进行端口联动①Psynsetgroup1porteth1actionondecisionon②Psynsetgroup2porteth2actionondecisionon③Psynsetrungroup1group1,2activeonstartupon　　③中的startupon是指开机时自动启动该功能。如果配置顺利的话，在敲完第3条命令后会感觉有明显的停顿感，表明配置成功；如果没有停顿感，则可能配置上出现了问题。VRRP VRRP介绍　虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。VRRP控制报文只有一种：VRRP通告(advertisement)｡它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内｡备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举｡我们防火墙使用的VRRP是标准协议。但由于VRRP只是实现网关冗余，因此有的部署场景并不十分适合。VRRP VRRP应用场景主备eth1:1.1.1.2eth1:1.1.1.3eth2:2.2.2.2eth2:2.2.2.3VirIP：1.1.1.1VirIP：2.2.2.1配置思路：保证上下游网关的VirIP都在同一台墙上，否则会出现孤岛现象VRRP VRRP配置第一步：新建VRRP组网络管理——高可用性——VRRP——新建VRRP组ID：相同集群下使用相同ID优先级：区分由谁来承担虚IP，默认为100，越大越优先通行报文间隔：VRRP协议探测报文频率VRRP VRRP配置第二步：创建别名设备，对应虚IP网络管理——网络接口——别名设备——新建这里创建的别名设备即对应虚IPVRRP VRRP配置第三步：启动VRRP功能网络管理——高可用性——VRRP——启动VRRP查看VRRP运行状态* 　 HA主备 HA（会话保护） VRRP 路由模式部署 支持 NA 支持 透明模式部署 支持 支持 NA　 链路聚合方式部署 支持 支持　 NA　 VLAN子接口部署 支持 支持 NA TRUNK方式部署 支持 支持 NA 配置同步 支持 NA NA 会话同步 支持 支持 NA 切换时延 中 低 中 负载分担 NA 支持 支持 VPNDB同步 NA NA NA VPNSA同步 NA NA NA 本地管理员帐号同步 NA　 NA　 NA　 统一认证用户名同步 支持 NA　 NA　 稳定性 mid high low第五章应用管控简介及配置 入侵防护 病毒防护 反垃圾邮件入侵防护 入侵防护介绍入侵防护是计算机网络安全设施，是对防病毒软件（AntivirusPrograms）和防火墙的补充。入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。应用入侵防护功能，首先需要定义入侵防护策略，然后将此策略在包过滤中引用并生效。入侵防护 入侵防护应用场景攻击机:192.168.1.100被攻击服务器:192.168.1.200Brg：192.168.1.254eth1eth2攻击流量从防火墙经过，防火对该流量进行拦截、或者发出警告入侵防护 入侵防护配置第一步：定义入侵防护应用防护——入侵防护——入侵防护策略——新建不同的模板对应不同的处理级别，有的对入侵事件做阻断，有的只是对入侵事件发出日志告警入侵防护 入侵防护配置第二步：在安全策略中调用模板防火墙——策略——安全策略——新建入侵防护 入侵防护——自定义特征库应用防护——入侵防护——自定义特征库——新建针对特殊情况，用户也可以自定义攻击特征，应用之后该特征会自动加载在所有的策略模板中入侵防护 入侵防护——入侵场景保留应用防护——入侵防护——场景和模式设置从发现攻击的一瞬间开始，记录一定长度的数据包，以便于事后审计，在插入U盘的时才可配置启用，FTP只用于U盘存储满后才开始上传。入侵防护 入侵防护——IPS防护云应用防护——入侵防护——IPS云防护代理将设备产生的攻击信息上传至启明星辰集团云防护中心，供安全人员分析补充。入侵防护 入侵防护——规避乱序检测应用防护——入侵防护——规避乱序检测逃避IPS检测的手段有：数据包分片、数据流分隔、RPC分片、URL混淆，以及攻击负载的多态和混淆等规避乱序检测功能，可以防止这些特别调整的攻击包漏过扫描入侵防护 入侵防护——维护入侵防护（IPS）模块是通过匹配特征库来实现的，为了保证该模块的有效性，及时的更新特征库很有必要。前提是购买了在线升级服务。系统管理——维护——系统升级——自动升级病毒防护 病毒防护介绍病毒防护，英文即Anti-virus（简称AV），是UTM系统的重要功能之一；病毒防护策略用于组织各种协议进行病毒防护，其中包括：HTTP、FTP、SMTP、POP、IMAP以及两种典型应用MSN和Webmail；病毒检查分为内核扫毒(快速模式)、代理扫毒(全面扫毒)病毒防护 病毒防护应用场景病毒机:192.168.1.100被攻击服务器:192.168.1.200Brg：192.168.1.254eth1eth2携带病毒的流量从防火墙经过，防火对该流量进行拦截、或者发出警告病毒防护 病毒防护配置第一步：定义病毒防护模板应用防护——病毒防护——病毒防护策略——新建不同的模板对应不同的处理级别，有的对病毒事件做阻断，有的只是对病毒事件发出日志告警病毒防护 病毒防护配置第二步：在安全策略中调用模板防火墙——策略——安全策略——新建病毒防护 病毒防护——文件过滤器应用防护——病毒防护——文件过滤器启用压缩文件扫毒只针对内核扫毒功能生效；缓存大小、病毒文件白名单后缀、病毒文件黑名单后缀针对代理扫毒功能设置；说明：1、缓存文件大小上限：表示代理扫毒处理数据包的大小(小于此大小的文件可以正常处理,如果大于此大小，则会进行文件末尾破坏)；2、病毒文件白名单后缀名：表示需要检测后缀类型(any表示所有的后缀都都进行检测)3、病毒文件黑名单后缀名：表示需要放过不检测的后缀类型(none表示任何后缀都不放过)病毒防护 病毒防护——隔离功能应用防护——病毒防护——隔离功能病毒隔离分为病毒文件隔离和病毒主机隔离。病毒文件隔离：1、该功能只适用于代理扫毒；2、需要在设备上连接一块FAT32格式的U盘方可使用启用；3、选择需要隔离的协议，使用的U盘，当设备检查到AV病毒时会将病毒文件隔离到U盘中，以备用户后续审计查看；4、病毒文件的存储上限是根据U盘大小而定的，当U盘存满之后设备不会再向U盘存储病毒文件。病毒主机隔离：1、该功能只适用于快速扫毒；2、选择主机隔离检查的协议类型(支持多选)；3、在设备检查到AV病毒之后，会将攻击的源IP所属的主机加入IP黑名单中，隔离时间由用户自己选择。病毒防护 病毒防护——自定义特征库应用防护——病毒防护——自定义病毒特征用户可以根据需要自己定义病毒特征，实施病毒防护；病毒特征中填充的是文件16进制码，长度以页面提示的为准；自定义病毒特征只支持内核扫毒；病毒防护 病毒防护——服务端口应用防护——病毒防护——服务端口除了FTP之后其它端口都允许增加5个自定义端口反垃圾邮件 反垃圾邮件介绍面对日益增多的垃圾邮件的干扰，启明星辰网关通过反垃圾邮件系统有效的对垃圾邮件进行适合用户需求的多样化处理。目前，反垃圾邮件系统的主要功能有：1、垃圾邮件服务器IP地址黑名单功能；2、启用垃圾邮件地址检查；3、启用主题关键字检查；4、启用正文关键字检查；5、启用附件正文关键字检查；6、启用附件大小检查；7、启用连接频率检查；8、启用发送邮件收件人数量限制；9、启用smtp发送邮件地址白名单功能。反垃圾邮件 反垃圾邮件应用场景病毒机:192.168.1.100被攻击服务器:192.168.1.200Brg：192.168.1.254eth1eth2垃圾邮件从防火墙经过，防火对该流量进行拦截、或者发出警告反垃圾邮件 反垃圾邮件配置第一步：配置反垃圾邮件模块应用防护——反垃圾邮件——基本配置添加邮件主题关键字反垃圾邮件 反垃圾邮件配置第二步：新建反垃圾邮件策略防火墙——策略——安全策略——新建邮件过滤策略注意：要将垃圾邮件过滤策略放在其它策略前面启明星辰网关本部2014.6谢谢！！！