防火墙知识培训,技术部,课程目标,防火墙的基础知识 方正防火墙特点 保定电子政务网防火墙配置策略说明 常见问题与解决方案,课程目标,防火墙的基础知识 方正防火墙特点 保定电子政务网防火墙配置策略说明 常见问题与解决方案,传统防火墙的概念,IT领域中防火墙的概念,过滤进出网络的数据包； 管理进出网络的访问行为； 封堵某些禁止的访问行为； 记录通过防火墙的信息内容和活动； 对网络攻击进行检测和告警 能过滤大部分的危险端口 设置严格的外向内的状态过滤规则 抵挡大部分的拒绝服务攻击 加强了访问控制能力,防火墙的作用,对新出现的漏洞和攻击方式不能迅速提供有效的防御方法 紧急情况下无法做到迅速响应 性能和稳定性制约了大范围的使用 不能完全防范恶意代码的通过,防火墙的局限性,防火墙的分类,包过滤防火墙 最早的防火墙技术之一，功能简单，配置复杂 应用网关防火墙 最早的防火墙技术之二，连接效率低，速度慢 状态检测防火墙 现代主流防火墙，速度快，配置方便，功能较多 DPI防火墙（Deep Packet Inspection） 未来防火墙的发展方向，能够高速的对第七层数据进行检测,状态检测防火墙,优点 减少检查工作量，提高效率 连接状态可以简化规则的设置 缺点：对应用层检测不够深入,DPI防火墙,优点 能够提供更高级的安全策略控制 具备一定的入侵检测和防病毒功能 缺点：目前的技术条件下速度太慢,主要内容,防火墙的基础知识 方正防火墙特点 保定电子政务网防火墙配置策略说明 常见问题与解决方案,防火墙产品线,3000-FG-D,8000-FG-E,8000-FG-T,部门级,3000-FG-E,3000-FG-6340,3000-FG-T,8000-FG-NA1000,3000-FS-D4-S,8000-FG-P,3000-FA-E,3000-FA-T,3000-FS-E4,8000-FA-E,8000-FS-E,中小型企业级,大型企业级,电信级,8000-FA-T,3000-FA-NP200,3000-FA-NP100,3000-FA-NP80,3000-FA-T,8000-FG-NA2000,方正FG系列防火墙特点简介,1、方正安全自2000年就开始推出自主知识产权的防火墙产品，现在已经发展到了第三代，拥有三个系列20个型号的防火墙产品。 2、具有出众的稳定性。作为网关产品，稳定性是重中之重。评价稳定性，用户才最有发言权。以国税和军队为例：方正防火墙连续三年入围国税、军队行业统采项目，累计销售达2000台以上，稳定性尤其受到用户好评。07年底一次性通过公安部突击检查。08年入围315推荐产品目录。 3、具有出色的性能。05、06连续两年方正防火墙获赛迪防火墙性能评测第一名。 4、具有多种功能，并可集中管理。,方正防火墙维护工程师培训,FG防火墙配置,课程目标,了解方正防火墙的基本概念 明确方正防火墙的基本使用流程 能够独立完成方正防火墙的基本使用和配置,主要内容,使用方正防火墙的预备知识 FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍,主要内容,使用方正防火墙的预备知识 FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍,网络接口：网口一 网口二 网口三 网口四,串口： 控制串口,方正防火墙的硬件介绍,硬件连接示意图,FGInit FGTestTool FireControl LogService 卸载FireControl,软件模块,主要内容,使用方正防火墙的预备知识 FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍 LogService报警说明 典型案例,FIREGATE硬件安装 连接电源线 连接串口线 连接FG防火墙到网络中,首先出现FG的Logo画面,软件安装,新建实施域 添加防火墙设备 导入/导出管理员账号,*初始化程序运行前应先将计算机的COM1口与防火墙的控制串口连接，并将防火墙电源打开,FCINIT进行初始化,FGInit初始化,主要内容,使用方正防火墙的预备知识 FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍,FireControl是 什么？ FireControl是FG的管理程序, 其作用是管理、监控、配置FG。策略管理员可自定义防火墙的各种参数，配置个性化的防火墙。,首先进行用户登录，必须使用Admin用户登录，然后进入主界面，进入主界面后，首先要添加其他用户，设置管理用户的权限，然后是具体参数的配置。,FIRECONTROL操作说明登录,进入主界面后，在设备列表处选择需要控制的防火墙,FIRECONTROL操作说明选择设备,FIRECONTROL操作说明主界面介绍,普通管理员权限设置： 系统管理员admin在进入主菜单后，点击菜单项“操作”下的“管理员帐号管理”，即可进行普通管理员的添加、修改和删除，以及为非法管理员设置封禁功能。如图所示：,FIRECONTROL管理员权限设置,系统管理员admin进入主菜单，点击“操作”栏下的“添加管理员帐号”，即可进行管理员帐号的添加。 如图所示：,FIRECONTROL填加管理员帐号,系统管理员admin在添加完管理员帐号后，必须为相关管理员设置策略管理员和审计管理员的权限。以admin帐号登录系统后，点击“管理员权限设置”，如图所示：,只有系统管理员admin才有权设置管理员权限。,设置管理员权限,主要内容,使用方正防火墙的预备知识 FIREGATE安装初始化 登录和管理FIREGATE FIREGATE功能配置介绍,系统信息提供当前系统时间、运行总时间、系统负载及系统资源四项显示信息。,基本配置系统信息,方正防火墙使用别名机制管理端口和子网，策略管理员可以用简单好记的一条别名来代替服务器的多个端口和多个子网，方便管理。,在定义别名时，一定要使用便于阅读的名称，尽可能使用中文。,基本配置别名,基本配置设备配置,桥模式,在“网口配置”标签页中，各个网口设备设置了不同网段的IP地址。这样，防火墙成为这些网段间通信的路由器。,路由模式,混杂模式,防火墙的规则配置是面向网口设备的，每个网口上的规则是指：这个接口设备接收到的数据包要经过这些规则的过滤，此处的接口包括物理接口设备和VLAN设备。,安全防火墙策略,静态路由提供目的地址路由（即静态路由）和策略路由功能,网络管理静态路由,方正防火墙维护培训,FG日常管理以及故障处理,防火墙命令-Debug帐号,Debug帐号登陆方式 windows超级终端方式，推荐用SecureCRT 下图为windows超级终端登陆的设置画面,Debug帐号登陆用户名密码 用户名：debug 密码：fgdebug,防火墙命令-Debug帐号,用途 主要用于获取防火墙上次初始化时使用的key 若防火墙从未初始化过，则该命令返回为空 若上次初始化的key不对或功能不全，则该命令并不对此进行校验或修正 getlk Debug$getlk HVWRTTXAF8H5VW7XC692TCVFMC Debug$,防火墙命令- getlk,用途 主要用于防火墙设备配置里面ip配置察看 Ifconfig 用于查看正在使用的设备,防火墙命令-ifconfig,用途 用与ping远程主机确认网络状态 Ping targetip Eg:Ping 172.31.118.1通 Debug$ping 172.31.118.1 2 packets transmitted, 2 packets received, 0% packet loss round-trip min/avg/max = 0.6/0.7/0.9 ms Debug$ Eg:Ping 172.31.118.10不通 Debug$ping 172.31.118.10 3 packets transmitted, 0 packets received, 100% packet loss Debug$,防火墙命令-Debug命令- ping,用途 重起防火墙 reboot,防火墙命令-reboot,用途 主要用于防火墙的路由表显示，和ip route ls等价，但是输出方式不一样 route 显示防火墙的静态路由表,防火墙命令-route,用途 telnet远程主机或路由器 telnet 172.31.118.19,防火墙命令-telnet,用途 traceroute远程主机或路由器 主要用于路径定位和排错 traceroute 172.31.118.19,防火墙命令-traceroute,(1) 温度1025； (2) 相对湿度：4060（不结霜）； (3) 交流220V电源； (4) 三芯带接地保护的电源插头和插座； (5) 防火墙系统不可带电搬运，任何零部件不可带电插拔，否则可能损坏防火墙。,日常维护：保持机房温度,日常维护：备份防火墙管理员证书,日常维护：定期备份防火墙配置文件,防火墙源地址转换,排除电源线和电源插座故障 拔下电源线再插上，再启动防火墙。检查电源指示灯是否正常，排除电源故障 如果确实无法启动，拨打技术支持电话： 800-8101353。,典型软、硬件故障排除不能启动,排除串口线连接错误，检查串口线是否正确连接控制主机的COM1口和FireGate的“管理串口” 排除串口线质量故障，更换好的串口线 用超级终端登陆，是否显示登陆符号信息 如果串口无法连接，就做进一步的系统无法启动故障判定,典型软、硬件故障排除串口线不能登陆防火墙,防火墙持续重启，无法进入FC及超级终端 拔掉与内网连接的网线，发现控制机连接变得正常 用sniffer软件对内网进行探测，发现带病毒的机器，将其关机后，网络正常 用户网络中存在蠕虫病毒,典型软、硬件故障排除持续重启,顺平案例:突然断电引起不能连网,FC连接错误 排除控制口IP冲突故障，网络中是否有其它机器设置了和防火墙控制IP相同的IP 排除网络连接故障，检查控制机IP配置是否正确，检查网线，检查控制网口网卡，排除网络故障，确保可ping通控制口IP 排除防火墙控制端口没有开放故障，用telnet IP 55443检查防火墙控制端连接端口是否开放 超级终端连入(保证控制线连到控制口),用root命令登录,检查防火墙时间(date命令) 解决办法:初始化防火墙,本次项目的案例FC连接错误,望都案例:内部网络和防火墙连接中断 检查防火墙物理连接正常(网火墙和交换机网路端口指示灯) 排除网络连接故障，重启防火墙,连接恢复正常,过2分钟,网络又中断 断开内网交换机,连接一台测试电脑到防火墙网口2,上网正常,一直不断网 初步判断:内网病毒引起 解决方法:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒,本次项目的案例网络断,安新案例:连接防火墙丢包严重 方法同上一个案例,拔掉所有分支,留测试机,没有丢包 初步判断:内网病毒引起 解决方法1:拔掉和网口2连接的交换机上的网线(除网口2),一个一个网线重新插回交换机,排除没有病毒的分支,直到网络中断,找到病毒分支,安排杀毒 解决方法2:在网络分支点安装二级路由器,优点1:可以隔离病毒对整个网络的干扰,优点2:在二级路由上做分级限速,避免网上某几台BT,迅雷下载的机器一工作,影响其他人的上网速度,本次项目的案例网络丢包严重,博野案例:连接防火墙丢包 初步判断:病毒引起 查毒,杀毒 网口3接测试机,不丢包,下面测试机20多个包丢1个 把三层交换上的端口限速配置去掉,下面测试机不丢包 由于网络上BT,迅雷下载使用非常频繁,不做限速,一两个人使用BT或迅雷就能把网络带宽全占满,考虑网络结构因素,增加分支路由不可能,而20多个包丢1个,是三层交换机限制BT或迅雷下载的结果,对正常用户不影响,所以,不做改变,本次项目的案例网络丢包,安国案例:外网正常,内网断 内网上不了网,远程FC登录防火墙,可以登录 检