防火墙基本配置
一、了解防火墙基本机制
防火墙是一种 网络安全 设备,通常位于网络边界,用于隔离不同安全级别的网络,保护一个网络免受来自另一个网络的攻击和入侵,这种“隔离”不是一刀切的,而是有控制的隔离,允许合法流量通过防火墙,禁止非法流量通过防火墙,防火墙与路由器、交换机是有区别的:
1、 路由器 :用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地。
2、 交换机 :通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文。
3、 防火墙 :主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性,路由器与交换机的本质是转发,而防火墙的本质是控制。
防火墙控制网络流量的实现主要依托于安全区域和安全策略。
二、接口与安全区域
防火墙用于隔离不同安全级别的网络,那么防火墙如何识别不同网络呢?答案就是安全区域(Security Zone),通过将防火墙各接口划分到不同的安全区域,从而将接口连接的网络划分为不同的安全级别,防火墙上的接口必须加入安全区域(部分机型的独立管理口除外)才能处理流量。
安全区域的设计理念
安全区域的设计理念可以减少网络攻击面,一旦划分安全区域,流量就无法在安全区域之间流动,除非管理员指定了合法的访问规则,如果网络被入侵,攻击者也只能访问同一个安全区域内的资源,这就把损失控制在一个比较小的范围内,因此建议通过安全区域为网络精细化分区。
接口、网络和安全区域的关系
接口加入安全区域代表接口所连接的网络加入安全区域,而不是指接口本身,接口、网络和安全区域的关系如图所示。
+-------------------------++-------------+|Internet||防火墙|||||||||||-------+|||||||||+-------------------------++-------------+
防火墙的安全区域划分
防火墙的安全区域按照安全级别的不同从1到100划分安全级别,数字越大表示安全级别越高,防火墙缺省存在trust、dmz、untrust和local四个安全区域,管理员还可以自定义安全区域实现更细粒度的控制,一个企业按如图所示划分防火墙的安全区域,内网接口加入trust安全区域,外网接口加入untrust安全区域, 服务器 区接口加入dmz安全区域,另外为访客区自定义名称为guest的安全区域。
+-------------------------++-------------+|Internet||防火墙|||||||||||-------+|||||||||+-------------------------++-------------+
特殊安全区域local
上图中有一个特殊的安全区域local,安全级别最高为100,local代表防火墙本身,local区域中不能添加任何接口,但防火墙上所有接口本身都隐含属于local区域,凡是由防火墙主动发出的报文均可认为是从local安全区域发出,凡是接收方是防火墙的报文(非转发报文)均可认为是由local安全区域接收。
逻辑接口与安全区域
除了物理接口,防火墙还支持逻辑接口,如子接口、VLANIF、Tunnel接口等,这些逻辑接口在使用时也需要加入安全区域。
三、安全策略
前文提到防火墙通过规则控制流量,这个规则在防火墙上被称为“安全策略”,安全策略是防火墙产品的一个基本概念和核心功能,防火墙通过安全策略来提供安全管控能力。
安全策略的组成
如图所示,安全策略由匹配条件、动作和内容安全配置文件组成,针对允许通过的流量可以进一步做反病毒、入侵防御等内容安全检测。
+---------------------------------------+|匹配条件||-----------------------------------||||动作|+---------------------------------------+
所有匹配条件在一条安全策略中都是可选配置;但是一旦配置了,就必须全部符合才认为匹配,即这些匹配条件之间是“与”的关系,一个匹配条件中如果配置了多个值,多个值之间是“或”的关系,只要流量匹配其中任意一个值,就认为匹配了这个条件。
一条安全策略中的匹配条件越具体,其所描述的流量越精确,你可以只使用五元组(源/目的IP地址、端口、协议)作为匹配条件,也可以利用防火墙的应用识别、用户识别能力,更精确、更方便地配置安全策略。
穿墙安全策略与本地安全策略
穿过防火墙的流量、防火墙发出的流量、防火墙接收的流量均受安全策略控制,如图所示,内网PC既需要Telnet登录防火墙管理设备,又要通过防火墙访问Internet,此时需要为这两种流量分别配置安全策略。
+-------------------------++-------------+|Internet||防火墙|||||||||||-------+|||||||||+-------------------------++-------------+
尤其讲下本地安全策略,也就是与local域相关相关的安全策略,以上例子中,位于trust域的PC登录防火墙,配置trust访问local的安全策略;反之如果防火墙主动访问其他安全区域的对象,例如防火墙向日志服务器上报日志、防火墙连接安全中心升级特征库等,需要配置local到其他安全区域的安全策略,记住一点防火墙本身是local安全区域,接口加入的安全区域代表接口连接的网络属于此安全区域,这样就可以分清防火墙本身和外界网络的域间关系。
缺省安全策略与安全策略列表
防火墙存在一条缺省安全策略default,默认禁止所有的域间流量,缺省策略永远位于策略列表的最底端,且不可删除,用户创建的安全策略,按照创建顺序从上往下排列,新创建的安全策略默认位于策略列表底部,缺省策略之前,防火墙接收到流量之后,按照安全策略列表从上向下依次匹配,一旦某一条安全策略匹配成功,则停止匹配,并按照该安全策略指定的动作处理,如果所有手工创建的安全策略都未匹配,则按照缺省策略处理,由此可见,安全策略列表的顺序是影响策略是否按预期匹配的关键,新建安全策略后往往需要手动调整顺序。
四、完成初始配置
登录Web界面
首次登录Web界面时,系统会提示更改初始密码,更改完成后重新登录,登录后进入系统信息页面查看设备信息,如需修改设备名称,可以在系统设置中进行修改,初次登录时会有新手向导指导操作步骤。
配置三层接入
根据实际需求选择PPPoE、DHCP或静态IP接入方式,以PPPoE为例,填写运营商提供的用户名和密码等信息完成配置,完成接入后保存配置并重启设备使配置生效,对于DHCP接入方式只需简单几步即可完成配置;对于静态IP接入方式则需要填写IP地址、子网掩码及网关地址等信息来完成整个接入过程。
配置二层透明接入
首先创建一个桥接接口并将其加入到相应的VLAN中以便实现二层透明接入功能,接着配置VLANIF地址以便实现与其他网络之间的互联互通功能,最后启用该桥接接口即可完成整个二层透明接入过程,需要注意的是在进行二层透明接入时一定要确保网络拓扑结构清晰明确避免出现环路等问题导致网络故障发生。
五、测试网络连通性
使用ping命令测试与外网及其他关键节点之间的连通性是否正常以确保网络正常运行无阻礙存在异常情况及时排查处理恢复业务正常运行状态保障用户体验良好感受服务质量高效稳定可靠安全无忧!
六、完成其他高级配置
根据实际需求继续完成NAT配置、激活License以及升级特征库等操作进一步提升设备性能增强安全防护能力确保业务运行更加顺畅无阻提升整体工作效率与质量水平满足用户需求变化适应市场发展趋势变化要求不断优化改进提高竞争力赢得更多客户信任支持认可!
以上就是关于“ 防火墙基本配置 ”的问题,朋友们可以点击主页了解更多内容,希望可以够帮助大家!
如何在Foxmail里设置防火墙
、初次安装完毕后,会提示您输入邮箱名,密码等。 如果之后还想添加新的邮箱可以在“邮箱”->“新建邮箱帐户”2、写邮件:点击“撰写”,这里面就像普通邮箱一样,填写主题、邮箱地址、写好邮件内容、如果要添加附件就点击“附件”进行添加。 如果想添加地址簿,可以在上面的快捷方式栏点击右键添加“地址簿”和“选择地址”。 3、收邮件:选择好邮箱帐户后点击“接受”即可。 我常用的方法是先选择“远程管理”再在里面选者你要接受的信件之后,在接收,这样不会了连广告也接受下来。 其余的功能,慢慢探索吧!不过现在你还没有发送和接受邮件,很可能是你的防火墙阻挡里你的FOXMAIL收发邮件。
防火墙在哪里设置
一.防火墙一般放在服务器上:这样他既在服务器与服务器之间又在服务器与工作站之间;如果连外网他更在外网与内网之间二.防火墙的作用:1.包过滤 具备包过滤的就是防火墙?对,没错!根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。 早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。 虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。 通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。 2.包的透明转发 事实上,由于防火墙一般架设在提供某些服务的服务器前。 如果用示意图来表示就是 Server—FireWall—Guest 。 用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。 3.阻挡外部攻击 如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。 4.记录攻击 如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。 以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
硬件防火墙怎么配置
一般来说,硬件防火墙的例行检查主要针对以下内容:1.硬件防火墙的配置文件不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变。 硬件防火墙的规则总会不断地变化和调整着,配置参数也会时常有所改变。 作为网络安全管理人员,最好能够编写一套修改防火墙配置和规则的安全策略,并严格实施。 所涉及的硬件防火墙配置,最好能详细到类似哪些流量被允许,哪些服务要用到代理这样的细节。 在安全策略中,要写明修改硬件防火墙配置的步骤,如哪些授权需要修改、谁能进行这样的修改、什么时候才能进行修改、如何记录这些修改等。 安全策略还应该写明责任的划分,如某人具体做修改,另一人负责记录,第三个人来检查和测试修改后的设置是否正确。 详尽的安全策略应该保证硬件防火墙配置的修改工作程序化,并能尽量避免因修改配置所造成的错误和安全漏洞。 2.硬件防火墙的磁盘使用情况如果在硬件防火墙上保留日志记录,那么检查硬件防火墙的磁盘使用情况是一件很重要的事情。 如果不保留日志记录,那么检查硬件防火墙的磁盘使用情况就变得更加重要了。 保留日志记录的情况下,磁盘占用量的异常增长很可能表明日志清除过程存在问题,这种情况相对来说还好处理一些。 在不保留日志的情况下,如果磁盘占用量异常增长,则说明硬件防火墙有可能是被人安装了Rootkit工具,已经被人攻破。 因此,网络安全管理人员首先需要了解在正常情况下,防火墙的磁盘占用情况,并以此为依据,设定一个检查基线。 硬件防火墙的磁盘占用量一旦超过这个基线,就意味着系统遇到了安全或其他方面的问题,需要进一步的检查。 3.硬件防火墙的CPU负载和磁盘使用情况类似,CPU负载也是判断硬件防火墙系统运行是否正常的一个重要指标。 作为安全管理人员,必须了解硬件防火墙系统CPU负载的正常值是多少,过低的负载值不一定表示一切正常,但出现过高的负载值则说明防火墙系统肯定出现问题了。 过高的CPU负载很可能是硬件防火墙遭到DoS攻击或外部网络连接断开等问题造成的。 4.硬件防火墙系统的精灵程序每台防火墙在正常运行的情况下,都有一组精灵程序(Daemon),比如名字服务程序、系统日志程序、网络分发程序或认证程序等。 在例行检查中必须检查这些程序是不是都在运行,如果发现某些精灵程序没有运行,则需要进一步检查是什么原因导致这些精灵程序不运行,还有哪些精灵程序还在运行中。 5.系统文件关键的系统文件的改变不外乎三种情况:管理人员有目的、有计划地进行的修改,比如计划中的系统升级所造成的修改;管理人员偶尔对系统文件进行的修改;攻击者对文件的修改。 经常性地检查系统文件,并查对系统文件修改记录,可及时发现防火墙所遭到的攻击。 此外,还应该强调一下,最好在硬件防火墙配置策略的修改中,包含对系统文件修改的记录。 6.异常日志硬件防火墙日志记录了所有允许或拒绝的通信的信息,是主要的硬件防火墙运行状况的信息来源。 由于该日志的数据量庞大,所以,检查异常日志通常应该是一个自动进行的过程。 当然,什么样的事件是异常事件,得由管理员来确定,只有管理员定义了异常事件并进行记录,硬件防火墙才会保留相应的日志备查。 上述6个方面的例行检查也许并不能立刻检查到硬件防火墙可能遇到的所有问题和隐患,但持之以恒地检查对硬件防火墙稳定可靠地运行是非常重要的。 如果有必要,管理员还可以用数据包扫描程序来确认硬件防火墙配置的正确与否,甚至可以更进一步地采用漏洞扫描程序来进行模拟攻击,以考核硬件防火墙的能力。
发表评论