网络卫士防火墙&UTM系统
技术工程师讲义
(初级)
1
目录
售后技术部分 ........................................................................................................................... 3 1.1 配置管理 ................................................................................................................... 3 1.2 系统时间配置 ........................................................................................................... 5 1.3 网络配置 ................................................................................................................... 5
1.3.1 物理接口 ........................................................................................................... 5 1.3.2 子接口 ............................................................................................................... 6 1.4 路由模式基本属性设置 ........................................................................................... 7 1.5 交换模式基本属性设置 ........................................................................................... 8 1.6 ADSL接入方式配置 .................................................................................................. 9 1.7 动态主机配置协议DHCP ........................................................................................ 11 1.8 虚拟线 ..................................................................................................................... 12 1.9 设置主机资源 ......................................................................................................... 12 1.10 防火墙安全规则配置 ............................................................................................. 13 1.11 IP/MAC地址绑定 .................................................................................................... 13 1.12 内容安全配置 ......................................................................................................... 15 1.13 地址转换NAT .......................................................................................................... 19 1.14 IDS配置 .................................................................................................................. 19 1.15 用户认证配置 ......................................................................................................... 20 1.16 PKI配置 .................................................................................................................. 21 1.17 高可用性 ................................................................................................................. 22
1.17.1 接口联动功能 ................................................................................................ 22 1.17.2 双机热备模式 ................................................................................................ 22 1.17.3 服务器负载均衡组 ........................................................................................ 23 1.18 虚拟防火墙 ............................................................................................................. 25 1.19 日志和报警 ............................................................................................................. 25
1.19.1 日志 ................................................................................................................ 25 1.19.2 报警 ................................................................................................................ 26 1.20 辅助功能简介 ......................................................................................................... 27
1.20.1 设备版本信息 ................................................................................................ 27 1.20.2 设备软件版本升级 ........................................................................................ 27 1.20.3 健康记录 ........................................................................................................ 28 1.20.4 设备License ................................................................................................. 28 1.20.5 扩展IP协议支持 .......................................................................................... 28 1.20.6 重要命令行配置 ............................................................................................ 29 1.21 性能测试指标说明 ................................................................................................. 29 1.22 提交外部故障要点 ................................................................................................. 30
1 售后技术部分
1.1 配置管理
系统配置指的是整个防火墙中各个功能模块的配置和文件,包括防火墙配置(包括网络基本配置)、VPN配置、AV配置。 系统配置基本上可以分为三种:
运行配置,指的是设备当前运行状态下的配置情况,该配置可以随用户的操作而动态调整,当系统重新启动后,该配置失效。
存盘配置,指的是用户最后一次手工保存在设备上的配置文件,当系统重新启动后,会自动加载该配置文件。
备份配置,指的是用于备份的存盘配置,通常是某一历史时刻的存盘配置。备份配置只存在于V3.3.006之后的TOS版本。
另外,系统还提供了对设备配置进行维护的功能,用户可以方便地进行上传/下载配置文件、导出部分配置等维护操作。 维护配置的操作方法如下:
1)选择 系统管理 > 维护,选择“配置维护”页签。 2)配置导入导出 a)配置导出
是指将防火墙上已定义的访问控制策略、阻断策略和地址、服务、时间等资源进行下载到管理器主机进行备份。
勾选“访问控制策略”、“阻断策略”或“地址,服务,时间,用户角色”后的选择框,并点击“下载”按钮,界面上出现下载链接。 点击链接进行配置文件下载操作。 b)配置导入
指的是将已经下载的配置文件重新导入设备,或者批量导入多条配置命令。 参数说明如下表所示: 参数 说明
选择文件 是指利用上传的配置文件更新当前防火墙上的策略或资源配置。点击“浏览”按钮选择要上传的配置文件,并点击“上传”按钮,系统将对上传的配置文件作合法性检查,不允许上传超过3M的配置文件,配置文件格式不合法也会作出提示。 输入配置 通过在文本框中一次输入多个命令,然后点击“上传”按钮,可以一次将多个配置命令批量上传到防火墙。 说明: 命令输入格式请参见《NGFW命令行手册——基础配置》。 c)实时操作,是指实时输入系统命令,一次只能输入一条命令。
点击“实时操作”按钮后,在文本框内输入完整的命令,回车即可查看命令执行结果。 点击“清屏”,则删除文本框中所有信息。
3)配置维护。配置维护是指对防火墙上的配置文件进行下载备份或上传更新。 a)配置替换
配置替换是指把本地管理主机上备份的配置文件上传到设备,作为设备的保存配置,同时自动加载到运行配置。替换配置文件后,需要管理员重新登录网络卫士防火墙。 点击“浏览”,选择配置文件所在的目录。然后点击“替换”,则将本地保存的配置文件加载到设备上,则新加载的配置文件替换设备原来的配置文件。 b)配置下载
配置下载是指导出系统的运行配置或保存的配置信息,并将其保存在管理主机指定目录中。
首先,需要选择下载“运行配置”还是“存盘配置”。
其次,选择是否以加密形式下载配置文件,勾选“加密”后,下载的配置文件为“密文”方式;否则为“明文”方式。
然后,点击“下载”按钮,按纽下方增加蓝色提示性文字。
点击此链接或点击鼠标右键菜单中选择“目标另存为”,可以将系统当前运行的配置文件保存到管理主机本地的文件夹中。 4)备份配置
此功能仅适用于3.3.006之后的版本。
当软件版本从小于3.3.006版本时,只有当前配置,不存在备份配置。升级至3.3.006时,系统会自动将升级之前存储的配置文件作为备份配置文件保存在设备中。 管理员可以点击“复制主配置到备份配置”右侧的“复制”按钮,利用当前配置文件更新备份配置文件;
也可以点击“复制备份配置到主配置”右侧的“复制”按钮,在系统出现故障时使用备份配置文件替换当前的配置文件
1.2 系统时间配置
防火墙系统的内置时钟,是防火墙系统记录日志信息、访问控制、QoS控制、报警等事件的时间基准,因此防火墙的时间的精确性会对这些事件产生直接影响。防火墙为了解决此类问题提供了系统时间管理功能,用户可以简单地手工修改防火墙时钟;也可以作为NTP(Network Time Protocol)客户端,根据设定的NTP服务器上的时间来同步防火墙的系统时钟。
用NTP服务器更新系统时钟时,请确认远程的NTP服务器工作正常,并启动了★ ★
该项服务。
修改防火墙系统时间后,用户必须重新登录。
1.3 网络配置
1.3.1 物理接口
对网络卫士防火墙的物理接口的属性进行设置,具体步骤如下:
1)在管理界面左侧导航菜单中选择 网络管理 > 接口,或在WEBUI界面右上方的菜单栏选择 接口配置,选择“物理接口”页签,可以看到防火墙的所有物理接口的相关属性。
2)点击该接口对应的设置图标,可以设置接口的属性及相关参数。
a)设置接口的基本属性:包括接口工作在路由模式还是交换模式、是否启用该接口以及接口描述信息。
参数 名称 描述 状态 说明 显示接口名称及其MAC地址。 用户可以输入对该接口的简要描述。 默认接口为“启用”状态,表示可以使用该接口;如勾选“停用”,则表示该接口将不会工作,该接口所在的区域将无法和其他接口进行通讯。 模式 设定接口工作在路由模式、交换模式或IDS监听模式。 当接口工作在IDS监听模式时,接口对于接收的数据报文只作检测及报警,不作转发。
b)设置接口在不同工作模式下的属性。
1.3.2 子接口
子接口是在单个物理接口和聚合端口上配置的多个逻辑接口,所有的子接口共用物理接口的物理参数配置,但有各自的链路层和网络层配置参数,子接口提供了在一个物理接口或聚合端口上支持多个网络互连的功能,为用户提供了很高的灵活性。 说明
只有当物理接口工作在路由模式时才能添加子接口。 可以在聚合端口上设置子接口。 设置子接口的具体步骤如下:
在管理界面左侧导航菜单中选择网络管理 > 接口,或在WEBUI 界面右上方的 菜单栏选择接口配置,然后选择“子接口”页签,进入子接口配置界面,如下图所示。
最多支持32个子接口。
1.4 路由模式基本属性设置
当在“基本信息”处设置接口工作在“路由”模式时,需要设置接口的IP地址及其掩码。
参数说明见下表所示: 参数 地址/掩码 说明 输入接口的IP地址及其子网掩码。 说明: 1)可以为路由接口设置多个IP地址。 2)网络卫士防火墙不支持不同的物理接口配置相同的IP地址或IP地址在同一子网内。 3)如果在某接口启动了DHCP客户端进程,则不能手动添加该接口的IP地址。 非同步地址 如果在网络中配置了双机热备功能,则设置心跳口IP时必须要选择“非同步地址”,否则接口的IP地址信息会在主/从设备同步运行状态时被对方覆盖。对于双机热备中设置为“从属机”身份的防火墙,其管理IP必须选择“非同步地址”,否则无法对从属机进行管理。关于双机热备的配置请参见 高可用性。
添加 如果“地址/掩码”设置正确,点击“添加”按钮,则新添加接口的IP地址会显示在列表中 删除 点击IP地址对应的删除图标,可以删除添加的IP地址。 说明: 如果在某接口启动了DHCP服务器进程,则不能删除该接口的IP地址。 注意:路由模式下接口可进行IP地址设置,支持可变长子网掩码;可以为路由接口设置多个 IP 地址;不支持不同的物理接口配置相同的 IP 地址或IP 地址在同一子网内。
网络卫士防火墙可以作为网络中的路由设备使用,可以同时支持静态路由协议、动态路由协议和多播路由协议。网络卫士防火墙支持静态路由协议,初次使用的用户须先设定策略路由和静态路由。静态路由和策略路由都是为了转发数据包而进行路径选择的策略,区别是静态路由通常都是根据数据报文的目的地址来设置转发策略,策略路由则可同时根据目的地址、源地址、目的端口、源端口及其使用的协议设置转发策略。
当防火墙接收到数据包,并进行转发的时候,匹配路由的顺序为:直连路由、接口策略路由、全局策略路由、静态路由
1.5 交换模式基本属性设置
当在“基本信息”处设置接口工作在“交换”模式时,需要设置接口类型为“access”接口或“trunk”接口,及其所属VLAN的ID号。 ① 当交换接口为“access”口时。
② 当交换接口为“trunk”接口时,则表示该交换接口可以属于多个VLAN。 参数说明见下表所示: 参数 类型 Access
说明 设置该交换接口的类型。可选值为access和trunk。 仅当“类型”为“access”时,需要设置该项。“access” 交换接
口只属于一个VLAN,此参数用于指定Access口所属的VLAN ID号码。 VLAN范围 仅当“类型”为“Trunk”时,需要设置该项。 用于设置该Trunk接口属于哪些VLAN。VLAN值的范围为1-4094。 格式举例: 1-10表示属于VLAN1到VLAN 10; 1,10表示属于VLAN1和VLAN10。 封装类型 仅当“类型”为“Trunk”时,需要设置该项。 用于设置Trunk接口数据的封装方式,系统支持两种数据封装方式:802.1Q(标准IEEE802.1Q协议)方式和ISL方式。
3)设置完成后,点击“确定”按钮完成,接口属性设置。 4)查看接口相关设置。
在WUBUI界面点击具体的“接口名称”,可以查看该接口的流量统计信息。
QinQ功能:
网络卫士防火墙的接口工作在交换模式时,支持在接口上启用 QinQ 功能。QinQ 是指将用户私网vlan tag 封装在公网vlan tag 中,使报文带着两层vlan tag 穿越运营商的骨干网络(公网)。在公网中报文只根据外层vlan tag(即公网vlan tag)传播,用户的私网vlan tag 被屏蔽。从而为用户提供一种较为简单的二层VPN 隧道。
1.6 ADSL接入方式配置
当企业内网用户利用ADSL接入方式连接Internet时,网络卫士防火墙可以配置为PPPoE客户端,通过外接ADSL Modem,拨号与远端的ADSL服务器建立PPPoE连接。局域网内的主机不用安装PPPoE客户端软件即可访问Internet,而且同一个局域网中的所有PC 可以共享一个ADSL 帐号。
防火墙支持两种ADSL连接方式:主动连接方式和按需拨号方式。
主动连接方式:根据管理员启动或停止拨号的指令,建立或断开内之间的通信链路。拨号连接建立后,除非管理员主动停止拨号连接,否则此PPPoE 会话将一直存在。
按需拨号方式:系统根据流量信息控制拨号过程。只有当有数据需要传送时,防火墙才会发起PPPoE 呼叫,建立PPPoE 会话。如果PPPoE链路的空闲时间超过用户的配置,防火墙会自动中止PPPoE 会话。
网络卫士防火墙支持多路拨号功能,最多可以提供4条ADSL拨号链路,可以有效地扩充网络流量。如果管理员需要指定部分用户使用某条固定的链路连接,则需要设置“接口”属性为ADSL的静态路由,具体请参见 路由。 需要说明的是:
a)如果选择了“按需拨号”,则链路状态显示为“协商pppoe链路„„”,“拨号状态”显示为“启动”状态仅表示防火墙上的ADSL Client进程处于启动状态,随时接听数据传输请求。当有数据需要通过ADSL链路传输时,防火墙才会发起PPPoE 呼叫,建立PPPoE 会话。
b)如果没有选择“按需拨号”,则需要管理员点击页面上“操作”一列对应的启动按钮,发起PPPoE 呼叫。“状态”一列会显示ADSL拨号协商的状况。 需要注意的是:
如果局域网内计算机使用的IP地址为私有地址,需要通过ADSL 链路访问时,还需要管理员在网络卫士防火墙上手工配置NAT源地址转换策略,将内网的数据报文的源地址转化为ADSL所绑定的属性名称,系统会自动将内网私有地址转换为属性所绑定的接口地址。同时,如果用户需要设置目的区域,则该目的区域必须与ADSL属性绑定。
网络卫士防火墙可以作为网络中的路由设备使用,支持普通数据报文的转发,管理员可以手工配置静态路由和策略路由,同时支持通过RIP、OSPF和BGP动态路由协议动态发现路由。其中,策略路由的优先级最高;静态路由和动态发现的路由则在静态路由表中统一管理,通过将各路由协议(包括静态路由)赋予不同的“度量值”,当针对
同一目的地存在不同下一跳的若干条路由时,具有较高“度量值”的路由协议发现的路由将成为当前路由。
对于静态路由和策略路由,网络卫士防火墙支持路由的负载均衡功能,即允许配置多条到同一目的地而且“度量值”相同的路由,此时根据路由的“权重值”选择下一跳;当多条路由的度量值及权重值均相同时,采取轮询方式选择下一跳,从而实现路由的负载均衡。
网络卫士防火墙可以通过定义多播路由,允许IP多点广播数据报文穿越网络卫士防火墙。
1.7 动态主机配置协议DHCP
DHCP(动态主机配置协议)是Dynamic Host Configuration Protocol 的缩写,DHCP 的目的是为网络中的主机自动进行IP 地址分配及其他IP 相关设置。通过DHCP,可以简化网络管理员的工作,实现IP 地址集中、高效的管理。DHCP 服务工作在典型的Client/Server 方式下。DHCP 服务器负责集中管理和维护IP配置信息,处理客户机的DHCP 请求并进行IP 地址的动态分配和租期管理,同时还可以向客户机提供其他的IP 配置信息,如默认网关、DNS 及WINS 服务器的IP 地址等等。DHCP客户机则会使用分配的IP 及其他信息进行IP 环境配置。如果DHCP服务器和DHCP客户机不在同一子网内(一个广播域),则需要路由设备支持DHCP 报文的转发(DHCP中继)。网络卫士防火墙提供比较全面的 DHCP 服务功能,能够很好地结合到客户网络环境中。
网络卫士防火墙可以提供以下DHCP 服务:
作为 DHCP 客户端,从DHCP 服务器获取动态IP 地址。 作为 DHCP 服务器,集中管理和维护客户网络主机IP 地址分配。 作为 DHCP 中继,转发DHCP 报文。
同时作为 DHCP 服务器和DHCP 客户机(需工作在网络卫士防火墙的不同接口 上)。
1.8 虚拟线
虚拟线(virtual-line)指的是在防火墙上设定一个物理接口组AB 口,从A 口进入防火墙后,除了目的地址为防火墙的数据报文外,均强制从B 口进行转发,即不经过二层交换以及三层路由的检查就将报文直接送出,相当于一个物理层交换机。
注意事项:
虚拟线能够转发 802.1q 报文。
如果一个物理接口已经加入了端口聚合,则不能再加入虚拟线,因为端口聚合功能会在数据报文刚刚进入防火墙时将接收的物理接口替换为聚合后的虚拟聚合端口。
网络卫士防火墙不支持子接口之间建立虚拟线。
对于建立虚拟线的两个物理端口相关的 NAT 规则无效。
如果一个物理接口加入到虚拟线中,则数据将直接通过虚拟线转发,而不会通过虚接口转发,因此在虚拟专网 > 虚接口绑定处与该物理接口相关的绑定规则无效。
虚拟线的报文可以完全的支持阻断策略以及访问控制,因为这样的报文会正常的建立连接和维护连接,不会影响阻断策略的结果。
虚拟线不支持 AV 过滤和深度内容过滤,如果设置了虚拟线,在ACL 规则中不应设置相关的DPI 规则和AV 策略。
虚拟线中的接口不支持 SYN 代理。
1.9 设置主机资源
网络卫士防火墙大多数的功能配置都是基于资源的。如访问控制策略、地址转换策略、服务器负载均衡策略、认证管理等。可以说,定义各种类型的资源是管理员在对网络卫士防火墙进行配置前首先要做的工作之一。资源概念的使用大大简化了管理员对网络卫士防火墙的管理工作。当某个资源发生变化时,管理员只需要修改资源本身的属性即可,而无需逐一地修改所有涉及到这个资源的策略或规则。
在网络卫士防火墙中,用户可定义的资源的类型包括: 地址资源:包括主机资源、地址范围资源、子网资源和地址组。
属性资源:包括属性资源和属性组。属性资源需要与其他资源绑定方能生效(如接口、子接口、区域资源等绑定)。
区域资源:通过与属性资源绑定,定义区域的访问权限。 时间资源:包括多次循环的时间资源和单次时间资源。
服务资源:包括系统定义的服务资源、自定义的服务资源和服务组。
1.10 防火墙安全规则配置
阻断策略实现对IP 数据包的过滤,对NGFW需要转发的数据包,先获取数据包的包头信息,包括IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,以及数据包的二层协议类型、源和目的MAC地址信息,然后顺序和设定的阻断策略进行比较,根据比较的结果决定对数据包进行转发或者丢弃处理。如果没有匹配到任何策略,则会依据默认规则对该报文进行处理。在出厂配置中,默认阻断策略为允许所有的数据报文通过防火墙。
访问控制规则对报文实现基于内容的过滤方式,不仅能够检测报文的网络层和传输层信息,还能够检测报文的应用层内容。网络卫士防火墙接收到一个报文时,检测报文的源和目的区域、源VLAN、源和目的地址、服务等,按照一定顺序检测访问控制规则表中是否有匹配的规则。如果有,则按照策略所规定的操作处理该报文;否则,将根据目的区域的缺省属性处理该报文。
系统提供对ACL规则的分组管理功能,不同组之间的前后顺序和组内规则的排列顺序共同决定访问控制规则的匹配顺序。
ACL规则分为权限为“收集”的规则和权限为“允许”或“禁止”的规则两种。访问控制规则的配置包括规则组添加、规则管理、规则添加等内容。
1.11 IP/MAC地址绑定
IP/MAC绑定技术是将主机的IP地址和网卡的硬件地址绑定起来,目的是为了防止IP欺骗、地址伪装,主要用于绑定一些重要管理员IP和IP。当某个IP通过防火墙访
问时,防火墙要检查发出这个IP广播包的MAC地址,并与防火墙上的MAC规则相比较,如果相符就允许通过;否则不允许通过防火墙。此种技术特别适用于防止外部用户假冒内部地址穿过防火墙来访问内部网络。 添加IP/MAC地址绑定策略有两种方法: (1)手工添加策略;
(2)通过ARP探测添加策略:利用发送ARP包来检测网络中处于活动状态的主机,实现IP地址和MAC地址的自动搜集,从而实现批量IP地址和MAC地址绑定。每次最多能探测255个主机地址。 设置IP/MAC绑定策略的操作如下:
1)选择 防火墙 > IP/MAC绑定,右侧界面显示已有的配置。 2)通过ARP探测添加绑定策略 a)点击“探测”。 参数说明如下表所示: 参数 根据IP地址探测 说明 输入IP地址字符串。不能输入广播地址或组播地址,否则系统会提示错误并返回。 根据接口探测 选择物理接口、VLAN虚接口或子接口名,如“eth0”,如果接口不存在或者该接口没有指定IP,则系统提示错误并返回。 起始IP 输入探测的起始IP地址,该地址必须在接口所属的子网内,而且要和“结束IP”在同一个子网内。 说明: 如果起末IP地址不在该接口子网内、起末IP不属于同一个子网或者要检测的IP数大于最大探测数量255,则系统提示错误并返回。 结束IP
b)点击“探测”发送ARP包,则下面的列表中将显示探测到的IP/MAC地址对应表。 c)点击“全选”则直接选定列表中的所有探测到的对象。也可选择部分需要绑定的IP/MAC地址对应项目,点击“绑定”,则完成IP/MAC地址的绑定操作。
输入探测的结束IP地址。
3)手工添加IP/MAC地址绑定。 点击“添加”,系统出现添加配置页面。 参数说明如下表所示: 参数 主机 说明 选择已定义的主机地址资源,关于主机地址资源的设置请参见设置主机资源。 MAC地址
点击“确定”完成对主机地址资源和MAC地址绑定策略的配置。
4)点击“修改”或“删除”图标可以修改或删除已添加的配置。点击“清空”按钮可以一次性删除所有的绑定策略。
输入与主机地址资源绑定的MAC地址。 1.12 内容安全配置
内容保护表用于配置对应用层协议数据的处理策略,网络卫士防火墙支持的应用层协议包括HTTP、FTP、SMTP、POP3、IMAP、DNS、TELNET和RSH等协议,以及各种即时通讯协议。
HTTP过滤:对HTTP协议数据配置网页内容过滤和网页重定向服务。 FTP过滤:对FTP协议数据配置文件名称和权限过滤、FTP操作命令过滤。 WEB过滤:设置拒绝用户访问的恶意网站。
邮件过滤:对POP3、SMTP以及IMAP协议数据配置主题、内容、附件中的文件名以及收件人和发件人的名称进行过滤。
防病毒:对HTTP,FTP,IMAP,POP3与SMTP等协议,以及应用程序识别策略配置反病毒保护。
反垃圾邮件:配置反垃圾邮件过滤服务。
应用程序识别:对即时通讯软件(如:MSN、QQ、网易泡泡、新浪UC、Yahoo!Messenger、阿里旺旺、迅雷和SKYPE等)配置过滤、带宽控制及访问控制。
其他协议过滤:对通过RSH、TELNET传输的命令进行关键字过滤,对通过设备的DNS查询请求进行域名过滤和域名重定向。
记录日志:配置是否在系统日志中记录各个协议过滤的情况。
管理员可以根据实际需要,在内容安全策略中设置启用或禁用某些协议或功能。 需要特别注意的是:
(1)配置内容安全策略后,必须在访问控制规则中引用该策略,才可以实现对应用层数据的过滤功能。对匹配ACL规则的网络连接,将首先根据应用端口绑定策略,根据五元组中的目的端口和协议类型确定应用层协议类型(请参见 应用端口绑定);然后按照所引用的内容安全策略的配置,对数据采取相应协议对应的处理方案。因此,即使在内容保护表中选择了很多选项,到达的会话只做五元组命中的过滤,比如即使在内容安全策略中定义了HTTP协议以外的其他协议的策略,一个HTTP会话也不会去做HTTP以外的过滤检查。
(2)对于同一个协议,可以配置多种过滤方式,则系统将按照一定的顺序进行检查,如果会话命中靠前的过滤功能,那么后面的过滤将不执行。
对于HTTP协议,如果在内容保护表中同时配置了HTTP内容过滤、URL过滤、Web过滤和病毒过滤的策略,则检查顺序为:HTTP内容过滤->URL过滤->Webfilter->病毒过滤。
对于邮件类协议(POP3、SMTP和IMAP),如果在内容安全策略中同时配置了邮件过滤、反垃圾邮件和防病毒过滤策略,则检查顺序为邮件过滤->反垃圾邮件->防病毒过滤。
对于FTP协议,如果在内容安全策略中同时配置了FTP过滤和防病毒过滤策略,则检查顺序为FTP过滤->防病毒过滤。
HTTP过滤用于设置HTTP协议过滤所需的关键字对象。 下面主要介绍:
URL过滤:用于设置URL关键字对象。
内容过滤:用于设置网页内容过滤关键字和HTTP头过滤的关键字对象。
网络卫士防火墙根据ACL策略中引用的内容安全策略,对通过设备的数据包的内容进行检测。如果在所引用的内容安全策略中开启了邮件过滤功能,网络卫士防火墙将对通过设备的邮件进行检查,当邮件匹配SMTP DPI策略、POP3 DPI策略时,根据策略设置的关键字权限(允许或拒绝)进行处理;否则系统将按照与关键字权限相反的权限对数据进行处理。对于邮件,则可能丢弃该邮件的全部或其附件,也可能将原邮件转发到指定人员。
网络卫士防火墙支持对SMTP协议的反垃圾邮件功能。
管理员通过配置邮件地址和IP地址黑白名单,对于通过SMTP协议传输的邮件进行过滤。还可以通过连接第三方的DNS服务器查找实时黑名单,过滤垃圾邮件。 需要注意的是,只有内容安全策略对象中开启了反垃圾邮件过滤功能,并且在访问控制规则中引用该内容安全策略对象,反垃圾邮件功能才会生效。否则即使此处设置了策略,也不会生效。访问控制规则设置请参见 添加规则。内容安全策略设置请参见 内容安全策略。 下面主要介绍:
黑白名单
在内容安全策略中启动SMTP协议的反垃圾邮件过滤功能后,防火墙设备使用IP地址黑白名单与邮件地址黑白名单来过滤经过设备传输的邮件。
反垃圾邮件检查是通过检查其发件人的邮件地址及IP地址是否匹配黑白名单,来确认邮件是否为垃圾邮件。匹配黑白名单的顺序是 ①“IP地址白名单”②“邮件地址白名单”③ “IP地址黑名单”④ “邮件地址黑名单”。如果黑白名单均不匹配,则直接放行数据去进行后续检查。
对以SMTP协议发送的邮件,如果命中白名单,则此处放行;如果命中黑名单,邮件将被拦截,同时发件人会收到邮件被拦截的提示信息(512网关提示)。
实时黑名单
对于SMTP协议,网络卫士防火墙提供根据实时黑名单(RBL)查询服务来预防垃圾邮件通过防火墙进行传输。管理员首先要配置黑名单服务器的域名,当防火墙收到发送邮件的数据包时,会向黑名单服务器发送DNS查询请求,以确认发件服务器的IP地
址是否在RBL中,如果在,则根据内容安全策略中的设置,拒绝其发送邮件的请求或者记录相关情况。 相关配置有:
(1)防火墙通过向黑名单服务器发送DNS查询请求,因此需要保证防火墙能够连接到Internet;还需要设置好DNS服务器,DNS服务器具体参数设置请参见 域名解析。 (2)要使用实时黑名单进行反垃圾邮件过滤,需要管理员在定义内容安全策略对象时启用“实时黑名单”(请参见 内容安全策略),并且在ACL策略中引用该内容安全策略对象(请参见 添加规则)。那么,当数据报文匹配ACL规则时,将使用实时黑名单进行查询服务。
灰名单技术
灰名单技术基于一种重试的原则,即第一次看到某个IP要想给某个收件人发信,那么它将简单的返回一个临时错误,并拒绝此请求,但是在系统中记录发送邮件的IP地址和发件人信息。正常的邮件服务器都会在一段时间内重发一次邮件,如果重发邮件的时间间隔在系统设定的时间内,而且和系统记录的发件人的IP地址和邮件地址向匹配,则系统将此IP地址和邮件地址加入可信任列表,并对邮件予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭拒绝。因此,只要在灰名单的参数中设置一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。灰名单的一大特点就是不会丢失邮件,但是最大缺点是延迟(delay),为了避免影响用户正常发送邮件,可以设置工作时间内不进行灰名单检测。
设置灰名单相关参数的步骤描述如下: 1)选择 反垃圾邮件 > 灰名单技术。 参数说明如下表所示: 参数 对不信任的发件人初始延迟时间 在多长时间内重复发送的邮件将被允许 说明 设置邮件最小重发间隔时间,单位:分钟。(默认值为4)。 等待邮件重发最长时间,范围为1-60,单位:小时。(默认值为25)。
保存被信任的发件人信息时间 设置灰名单(包括可信任列表和不可信任列表)在系统中的保留时间,超过设定的时间后,将从系统中删除灰名单信息。范围为36-60,单位为天。默认值为36。 在工作时自动关闭灰名单功能 设置是否在“工作时间”设置的时间段内自动关闭灰名单检测功能,如果勾选,则只有在非工作时间内启动灰名单检测功能。 工作时间
设定工作时间的开始和结束时刻。 点击“确定”完成参数设置。点击“清除设置”,可以将界面设置的参数恢复出厂配置。
1.13 地址转换NAT
网络卫士防火墙中定义的所有地址转换规则都按一定顺序存储在一张规则表中。当数据包通过网络卫士防火墙时,网络卫士防火墙将按照地址转换规则的排列顺序检索地址转换规则表,逐一与数据包匹配。一旦存在一条匹配的地址转换规则,网络卫士防火墙将停止检索,并按所定义的规则处理数据包。 网络卫士防火墙提供以下几种转换控制方式:
源地址转换(SNAT):可以实现具有私有地址的用户对公网的访问。
目的地址转换(DNAT):可以实现公网上的用户对位于内网的具有私有地址的服务器的访问。
双向地址转换(双向NAT):可以实现一个内网IP 地址到另一个内网IP 地址的访问。 不做转换(NoNAT):用于定义源NAT 、目的NAT、双向NAT 规则的特例,此时需要置于NAT 规则列表前面。
1.14 IDS配置
网络卫士防火墙内置的 IDS 模块,可以有效检测并抵御常见的攻击行为,用户通过
简单设置即可保护指定的网络对象免于受到以下类型的攻击: (1)统计型攻击,包括:
SYN Flood、UDP Flood、ICMP Flood、IP Sweep 和Port Scan。 (2)异常包攻击,包括:
Land、Smurf、Ping of Death、WinNuke、TCP Scan、IP Option、TearOfDrop 和Targa3。 说明:
1)SYN Flood 是当前比较流行的拒绝服务攻击的方式之一。 SYN Flood 利用了TCP协议的固有缺陷,通过发送大量伪造的TCP连接请求,使被攻击方充满了SYN 半连接,从而耗尽被攻击方的资源而无法响应正常请求。
2)UDP Flood 是当前比较流行的拒绝服务攻击的方式之一。攻击者通过发送大量的含有UDP 数据报的IP 封包,以至于受害者再也无法处理有效的连接时,就发生了UDP 泛滥。
3)ICMP Flood 通过向被攻击者发送大量的ICMP 回应请求,消耗被攻击者的资源来进行响应,直至被攻击者再也无法处理有效的网络信息流时,就发生了ICMP 泛滥。 4)IP Sweep(IP扫描)是一种简单的网络地址扫描方式,通过发送ICMP回应请求到某一地址段的所有主机,根据响应情况分析被扫描网络及主机的基本情况。 IP Sweep 一般来说是恶意攻击的第一步。
5)Port Scan(端口扫描),通过向一个特定主机地址的不同端口(包括TCP端口和UDP端口)发送IP数据包,以确定该主机开启的服务。
1.15 用户认证配置
TOS系统可以实现有效、快速、全面的对远程接入的用户进行认证,支持本地证书认证、本地密码认证、外部服务器认证、第三方CA证书认证等认证方式,进而基于角色向用户授权可以访问的内网资源。对于SSLVPN用户和VRC用户,还可以基于用户进行资源授权。防火墙还可以对接入的认证客户端进行端点安全检测,如果客户端的某些安全因素不满足设定的规则,则不允许远程接入。
网络卫士防火墙不仅能够作为认证服务器接受用户的认证请求,还可以转发用户向外部认证服务器提出的认证请求,此时需要在防火墙上对外部认证服务器的连接信息(例如IP地址、端口号等)进行设置。并添加用户角色,将外部认证服务器上的用户映射为本地用户角色,然后基于角色对认证用户设置访问控制规则。网络卫士防火墙支持的外部认证协议包括Radius、Tacacs、LDAP、SecuID协议,以及和TP服务器的联合认证。
1.16 PKI配置
网络卫士防火墙支持对远程用户和隧道对端设备进行数字证书认证。防火墙内置CA中心,可以为设备及用户签发证书并对证书进行管理。防火墙还支持采用第三方CA签发的证书对用户和设备进行认证。对于第三方CA签发证书,支持证书状态的离线验证和在线验证。离线认证是指利用颁发者证书和证书撤销列表(CRL)来验证签名证书的有效性,需要在设备上导入CA证书和CRL列表。在线认证是指通过向轻目录访问协议(LDAP)服务器和在线证书状态协议(OCSP)服务器在线查询证书是否有效。 下面主要介绍:
本机证书:主要介绍如何为防火墙设置设备证书,该证书主要用于在建立VPN隧道时进行身份认证。
本机证书是指由安全设备与策略管理系统TopPolicy(以下简称TP)或CA机构下发的本设备的证书。设备之间可以根据对方的证书信息验证对方身份的合法性。
TopPolicy(以下简称TP)是由天融信开发的安全设备与策略管理系统,由其下发的证书包括3个部分:根证书、设备证书和私钥,分别以3个的存盘文件存在,可以存储在硬盘或USBKEY等存储载体中。根证书是证书发行机构的自身证书,可以用来验证该发行机构所发行的证书的合法性。设备证书中包含证书持有者的身份信息、公钥及CA发行机构的数字签名,在网络通讯中标识证书持有者的身份。私钥文件是存放私钥的文件,与证书中的公钥组成一对互相匹配的公私钥对,是基于证书的加密体系的重要部分。私钥文件是证书持有人的私有文件,需要妥善保管。私钥文件有私钥保护密码保护,在一定程度上避免私钥丢失被其他人利用。
由于出厂配置中防火墙没有本机证书,因此需要管理员手工导入。本机证书的导入是需要将上述的设备证书和私钥从存储载体中导入到防火墙中。
第三方CA证书:介绍如何在防火墙上导入第三方CA证书和CRL列表。 本地CA策略:介绍防火墙内置的CA中心如何设置CA根证书,如何对设备或移动用户进行数字证书的发放、查看、导出、写入USBKey、撤销、删除等操作,以及如何对CRL列表进行维护。
USBKEY:介绍如何开启防火墙上的USBKey接口。
远程证书认证:介绍如何开启第三方CA的证书在线认证功能并设置服务器的相关信息。
证书请求:介绍如何生成证书请求,以及如何导入第三方CA服务器根据证书请求文件签发的证书文件。
备份和恢复:介绍如何对防火墙中保存的证书文件进行维护,包括证书文件的恢复和下载功能。
1.17 高可用性
1.17.1
接口联动功能
接口联动主要用于防火墙工作在负载均衡模式时,可以在短时间内根据单一接口的状 态调整组内所有接口的状态,保证转发设备出接口和入接口状态的一致性。
联动组的接口成员可以是防火墙的物理接口或链路聚合口,不支持子接口和VLAN;同一个物理接口不能同时属于不同的联动组,并且每个联动组的成员数不能低于2个,不能高于8个。
1.17.2 双机热备模式
网络卫士防火墙可以实现多种方式下的冗余备份,包括:双机热备模式、负载均衡模式和连接保护模式。双机热备模式和负载均衡模式下,需要通过VRRP(VirtualRouter
Redundancy Protocol,虚拟路由冗余协议)完成防火墙主备状态的协商;连接保护模式下,由上下游设备决定流量的走向,防火墙之间只做连接同步,并不建立主备状态。
1.17.3 服务器负载均衡组
1)点击 高可用性 > 服务器负载均衡,然后选择“均衡组”页签。 2)点击页面中的“添加”,添加负载均衡组。 参数说明如下表所示。 参数 名称 选择服务器 负载均衡方式 说明 设置服务器负载均衡组的名称。 选择要加入此均衡组的服务器。 设置对多个服务器进行负载分配时所依据的原则。 说明: 轮流:当负载均衡组中的所有服务器性能基本相同时,可以选择轮流选择的方式,网络请求会轮流分配给负载均衡组中的服务器。 根据权重轮流:根据服务器的权重值来分配服务请求流量。根据权重的负载均衡方式可以保证高性能的服务器负担较多的请求,性能差一点的服务器承担相对少一点的请求。 最少连接:记录服务器的当前连接数,将新连接分配到当前连接最少的服务器。 加权最少连接:在最少连接方式下根据系统定义的权值分配连接。 根据源地址作HASH查找:相同的源IP地址均衡到相同的服务器。 根据目的地址作HASH查找:相同的目的IP地址映射到相同的服务器上。 备份组 当本组中的所有服务器均停止服务时,负载均衡组中服务器的内容将备份到该处选择的负载均衡组。
参数设置完成后,点击“确定”按钮,完成负载均衡组的设置。 3)点击页面中的“参数设置”,设置负载均衡组的基本参数。 参数说明如下表所示。 参数 服务器切换时间 说明 设置两个均衡组之间服务器的切换时间。 取值范围为0-30秒。 探测时间间隔 设置本次探测与下一次探测之间的间隔时间。 取值范围为5-30秒。 探测的报文数 设置每次探测所发送的探测报文数目。 取值范围为1-8个。
参数设置完成后,点击“确定”按钮即可。
4)在“均衡组”页面,点击待修改均衡组条目后的“修改”图标,可以修改均衡组信息。
5)在“均衡组”页面,点击待删除均衡组条目后的删除图标,可以删除该均衡组信息。
正确定义了负载均衡组后,还需要设置相应的地址转换规则,这样才能将针对某一主机的访问请求通过负载均衡算法分配到负载均衡组中的各服务器。定义地址转换规则的操作步骤如下:
1)选择 防火墙 > 地址转换 ,在右侧页面中点击“添加”,进入设置地址转换规则页面。具体参数含义请参见 地址转换。
2)选择“目的转换”,并在“源”、“目的”和“服务”处分别选择需要转换的地址和服务。“目的”应设置为需要使用负载均衡组来分担网络负担的设备的IP地址,也就是向外部提供服务的虚拟IP地址。该地址可以通过添加主机对象来设置。 3)在“目的地址转换为”项中设置转换后的目的地址为刚才已定义的负载均衡组。根据需要,也可以设置“目的端口转换”,实现对外提供服务的端口到真实服务端口的转化。通过“目的端口转换”,可以更好的隐藏内部服务器及网络结构。 4)点击“确定”按钮,完成地址转换规则的设置。
至此,便彻底完成了负载均衡组的设置。
1.18 虚拟防火墙
虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互,具有的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用的防火墙,大大节省了成本。
TOS系统在3.3.005,3.3.006以及3.3.010版本上支持配置的虚拟系统ID号为1-254,即最大支持254个虚拟系统。使用虚拟系统包含以下几步,首先在主系统中将虚拟系统需要使用的资源分配给虚拟系统,资源包括接口,VLAN等等,其次在主系统上配置相应的虚拟系统管理员,然后使用虚拟系统管理员登录虚拟系统进行策略的配置。
1.19 日志和报警
1.19.1
日志
网络卫士防火墙提供完善的日志和报警服务功能,方便用户及时跟踪网络卫士防火墙 的工作状态,并可结合天融信的网络卫士安全审计系统(TOPAudit),可以对网络中的各种设备和系统进行集中的、可视的综合审计分析,及时发现安全隐患,提高安全系统成效,并大大提高安全管理的方便性。 为网络卫士防火墙配置日志服务器的具体方法如下:
日志级别如下:
0-EMERG 造成严重错误导致系统不可用,该日志被传送到日志服务器。 1-ALERT 警报信息,需要通知管理员,该日志被传送到日志服务器。 2-CRITICAL 严重错误信息,可能会造成某些功能无法正常工作。 3-ERROR 一般错误信息。
4-WARN 所有攻击行为以及非授权访问(除通信日志外)。 5-MANAG 管理员操作。 6-INFO 普通事件。
7-DEBUG 开发人员调试信息。
防火墙使用的日志类型,可以是Syslog 或Welf。
1.19.2 报警
网络卫士防火墙具有完善的报警提示功能,支持邮件报警、NETBIOS 报警、声音报警、SNMP 报警、控制台报警五种报警方式。管理员首先需要添加报警规则,设置报
警的对象和参数。然后设定触发报警规则的安全事件,包括设备本身发生故障和发生管理员预先定义的安全事件两种。这样当安全事件发生时,防火墙就会根据规则触发相应的报警信息。
网络卫士防火墙支持以下几种报警方式:
邮件报警:发送电子邮件到用户指定的电子邮件地址 NETBIOS :报警(发送NETBIOS 消息
声音报警:通过网络卫士防火墙的内置扬声器报警
SNMP 报警:通过发送SNMP TRAP 消息到SNMP 陷阱主机报警 控制台报警:发送报警信息到 TOPSEC 管理中心
1.20 辅助功能简介
1.20.1
设备版本信息
防火墙的详细版本信息能从WEBUI界面,命令行下,以及健康记录中获取,而无法从防火墙的配置信息中获取。
1.20.2 设备软件版本升级
选择 系统管理 > 维护,选择“升级”页签,进入系统升级界面。 通过TFTP服务器升级
点击“TFTP升级”按钮,弹出系统升级对话框。在“服务器地址”处输入TFTP服务器的IP地址,在“文件名称”处输入升级包文件的完整名称。点击“升级系统”按钮,开始升级。
通过FTP服务器升级
点击“FTP升级”按钮,弹出系统升级对话框。在“服务器地址”处输入FTP服务器的IP地址,在“文件名称”处输入升级包文件的完整名称。在“用户名”和“密码”处分别输入登录FTP服务器的用户名称和密码。网络卫士防火墙通过FTP服务器升级
时,支持匿名方式进行升级,因此用户名/密码也可为空。 点击“升级系统”按钮,开始升级。
通过WEBUI升级
点击“WEBUI升级”按钮,弹出提示框。点击“确定”后,弹出系统升级对话框。点击“浏览”按钮选择升级包。点击“升级系统”按钮,开始升级。
通过升级工具升级
打开升级工具,输入服务器IP地址,选择升级包文件,进行升级。
1.20.3 健康记录
管理员可以下载设备的健康记录,以便当设备出现异常时,可以帮助天融信的技术支持人员快速地定位并解决故障。
1)选择 系统管理 > 维护,选择“健康记录”页签,进入健康记录导出界面。 2)点击“获取健康记录”按钮,系统自动生成当前的健康记录,并提示下载链接。 3)根据提示,直接点击该链接或使用右键另存,保存健康记录到管理主机
1.20.4 设备License
防火墙/UTM设备的并发连接数由设备出厂时的License文件控制,如要增大设备所支持的并发连接数需要进行License文件的升级。
1.20.5 扩展IP协议支持
防火墙默认只对TCP,UDP和ICMP协议建立连接,但在 配置》系统参数 页面内可以添加 扩展IP协议支持
添加之后能对相应的IP协议建立连接,连接的建立是很多功能基础,例如地址转换,QOS等,无法建立连接就无法支持这些功能。
1.20.6 重要命令行配置
防火墙几条最基本且重要的命令: #system config reset 加载默认配置 #system reboot 系统重启 #system information 当前设备状态 #show / show-running 查看存盘/运行配置 #system tcpdump (参数) 抓包命令 #system version 系统版本号
#system uptime 显示系统启动后运行的总时间 #network session show latest-update 显示当前连接 #network session search 显示连接(可接精确查找条件)
#network syn reset 快速连接重用设置。当源到目的的连接已经存在,源向目的发送 SYN 包时,如果不设置该选项,则SYN 包会被丢弃。只有打开该开关时才会将已建立的连接删除并重新建立连接。
1.21 性能测试指标说明
RFC2544文档对4种设备性能评测参数的具体测试方法,结果的提交形式做了较详细的规定。4种性能评测参数为Throughput ,Latency ,Packet Loss ,back to back。 (1) 吞吐率(Throughput)
定义:被测设备在不丢包的情况下,所能转发的最大数据流量。通常使用每秒钟通过的最大的数据包数或者字节数来衡量(MB/s) 。
作用:反映被测试设备所能够处理(不丢失数据包) 的最大的数据流量。 (2) 丢包率(Lost Rate)
定义:在一定的负载下,由于缺乏资源而未能被转发的包占应该转发的包数的百分比。
作用:反映被测设备承受特定负载的能力。 (3) 时延(Latency)
定义:发送一定数量的数据包,记录中间数据包发出的时间T1,以及经由测试设备转发后到达接收端口的时间T2,然后按照下面的公式计算: 对于存储/位转发设备: Latency = T2 - T1 T2:输出帧的第一位到达输出端口的时间; T1:输入帧的最后一位到达输入端口的时间。 作用:反映被测设备处理数据包的速度。 (4) 背对背(Back-to-Back)
定义:以所能够产生的最大的速率,发送一定长度的数据包,并不断改变一次发送的数据包数目,直到被测设备能够完全转发所有发送的数据包,这个包数就是此设备的背对背值。
作用:反映被测设备处理突发数据的能力(数据缓存能力)。
1.22 提交外部故障要点
提交外部故障必须提交 外部故障报告,外部故障报告有统一的模板;根据故障的情况可能还需要提交:设备监控记录,设备配置文件,故障抓包文件,网络环境拓扑。
因篇幅问题不能全部显示,请点此查看更多更全内容
Copyright © 2019- baomayou.com 版权所有 赣ICP备2024042794号-6
违法及侵权请联系:TEL:199 18 7713 E-MAIL:2724546146@qq.com
本站由北京市万商天勤律师事务所王兴未律师提供法律服务