CheckPoint防火墙配置

CheckPoint 防火墙配置

╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施

S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l

C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e

版本号：１.０.０

中国移动通信有限公司网络部

目录

1概述.................................................................. 错误!未指定书签。

1.1适用范围 ........................................................... 错误!未指定书签。

1.2内部适用性说明 ..................................................... 错误!未指定书签。

1.3外部引用说明 ....................................................... 错误!未指定书签。

1.4术语和定义 ......................................................... 错误!未指定书签。

1.5符号和缩略语 ....................................................... 错误!未指定书签。2CHECKPOINT防火墙设备配置要求.......................................... 错误!未指定书签。

前言

概述

1.1 适用范围

本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙

设备。本规范明确了设备的基本配置要求，为在设备入网测试、工程验收和设备

运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规

范，工程验收手册，局数据模板等文档的参考

1.2内部适用性说明

本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出

的CHECKPOINT防火墙配置要求规范，为便于比较，特作以下逐一比较及说明（在

“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增

要求”、“不采纳”。在“补充说明”部分，对于增强要求的情况，说明在本规

范的相应条款中描述了增强的要求。对于“不采纳”的情况，说明采纳的原因）。

内容采纳意见备注

完全采纳

1.不同等级管理员分配不同账

号，避免账号混用。

2.应删除或锁定与设备运行、维

完全采纳

护等工作无关的账号。

完全采纳

3.防火墙管理员账号口令长度至

少8位，并包括数字、小写字

母、大写字母和特殊符号4类

中至少2类。

4.账户口令的生存期不长于90

天。部分采纳IPSO操作系统支

持

5.应配置设备，使用户不能重复

使用最近5次（含5次）内已

使用的口令。部分采纳IPSO操作系统支

持

6.应配置当用户连续认证失败次

数超过6次（不含6次），锁

定该用户使用的账号。部分采纳IPSO操作系统支

持

7.在设备权限配置能力内，根据

用户的管理等级，配置其所需

的最小管理权限。

完全采纳

8.设备应配置日志功能，对用户

登录进行记录，记录内容包括

用户登录使用的账号，登录是

否成功，登录时间，以及远程

登录时，用户使用的IP地址。

完全采纳

9.设备应配置日志功能，记录用

户对设备的重要操作。

完全采纳

10.设备应配置日志功能，记录对

与设备相关的安全事件。

完全采纳11.设备配置远程日志功能，将需

要重点关注的日志内容传输到

日志服务器。

完全采纳12.防火墙应根据业务需要，

配置基于源IP地址、通信

协议TCP或UDP、目的IP

地址、源端口、目的端口

的流量过滤，过滤所有和

业务不相关的流量。

完全采纳

13.对于使用IP协议进行远程维护

的设备，设备应配置使用SSH，

HTTPS等加密协议。

完全采纳

14.所有防火墙在配置访问规则

时，最后一条必须是拒绝一切

流量。

完全采纳

15.在配置访问规则时，源地址和

目的地址的范围必须以实际访

完全采纳

问需求为前提，尽可能的缩小

范围。

完全采纳16.对于访问规则的排列，应当遵

从范围由小到大的排列规则。

完全采纳17.在进行重大配置修改前，必须

对当前配置进行备份。

18.对于VPN用户，必须按照其访

完全采纳问权限不同而进行分组，并在

访问控制规则中对该组的访问

权限进行严格限制。

完全采纳19.访问规则必须按照一定的规则

进行分组。

20.打开防DDOS攻击功能。完全采纳

完全采纳21.对于常见病毒的端口号应当进

行端口的关闭配置。

完全采纳22.限制ping包的大小，以及一段

时间内同一主机发送的次数。

完全采纳23.对于各端口要开启防欺骗功

能。

完全采纳24.对于具备字符交互界面的设

备，应配置定时账户自动登出。

完全采纳25.对于具备图形界面（含WEB界

面）的设备，应配置定时自动

登出。

26.对于具备console口的设备，应

完全采纳配置console口密码保护功能。

完全采纳27.对于登陆账户的ip地址，配置

为只允许从某些ip地址登陆。

完全采纳28.对于外网口地址，关闭对ping

包的回应。建议通过VPN隧道

获得内网地址，从内网口进行

远程管理。

29.设定统一时钟源完全采纳

30.设定对防火墙的保护安全规则完全采纳

31.根据实际的网络连接调整防火

完全采纳墙并发连接数

部分采纳32.双机集群架构采用VRRP模式

部署

完全采纳33.透明桥模式须关闭状态检测有

关项

34.对管理服务器的日志文件大小

完全采纳和转存必须进行设置，并保护

系统磁盘空间

35.配置SNMP监控完全采纳

36.设置与防火墙互联的网络设备

完全采纳

端口速率，双工状态

1.3外部引用说明

《中国移动网络与信息安全保障体系总纲》

《中国移动内部控制手册（第二版）》

《中国移动标准化控制矩阵（第二版）》

1.4术语和定义

设备配置要求：描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。

1.5符号和缩略语

2CHECKPOINT防火墙设备配置要求

编号：CHECKPOINTFW-PZ-1

要求内容不同等级管理员分配不同账号，避免账号混用。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

用配置中没有的用户名去登录，结果是不能登录

2、检测操作

在图形界面登陆

3、补充说明

无。

编号：CHECKPOINTFW-PZ-2

要求内容应删除或锁定与设备运行、维护等工作无关的账号。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

配置中用户信息被删除。

2、检测操作

无。

3、补充说明

无。

编号：CHECKPOINTFW-PZ-3

要求内容防火墙管理员账号口令长度至少8位，并包括数字、小写

字母、大写字母和特殊符号4类中至少2类。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法1、判定条件

该级别的密码设置由管理员进行密码的生成，设备本身无

此强制功能。

2、检测操作

无。

3、补充说明

无。

编号：CHECKPOINTFW-PZ-4

要求内容账户口令的生存期不长于90天。

操作指南1、参考配置操作

设备无此功能

2、补充操作说明

无。

检测方法1、判定条件

设备无此功能

2、检测操作

无。

3、补充说明

无。

编号：CHECKPOINTFW-PZ-5

要求内容应配置设备，使用户不能重复使用最近5次（含5次）内

已使用的口令。

操作指南1、参考配置操作

设备无此功能。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-6

要求内容应配置当用户连续认证失败次数超过6次（不含6次），

锁定该用户使用的账号。

操作指南1、参考配置操作

设备无此功能

2、补充操作说明

无。

检测方法 1.判定条件

无。

1.检测操作

无。

2.补充说明

无。

编号：CHECKPOINTFW-PZ-7

要求内容在设备权限配置能力内，根据用户的管理等级，配置其所

需的最小管理权限。

操作指南1、参考配置操作

2、补充操作说明

对于管理员不同权限设置，可以定义不同管理员的访问模

块以及相应权限。

检测方法 1.判定条件

不同用户登陆，尝试访问不同的模块。用户不能访问自己

权限以外的模块。

2.检测操作

不同用户登陆，尝试访问不同的模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-8

要求内容设备应配置日志功能，对用户登录进行记录，记录内容包

括用户登录使用的账号，登录是否成功，登录时间，以及

远程登录时，用户使用的IP地址。

操作指南1、参考配置操作

2、补充操作说明

设备只能部分支持该项配置要求。

检测方法 1.判定条件

在服务器上正确纪录了日志信息。

2.检测操作

查看日志模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-9

要求内容设备应配置日志功能，记录用户对设备的重要操作。

操作指南1、参考配置操作

2、补充操作说明

设备只支持纪录部分关键操作。

检测方法 1.判定条件

对设备的操作会记录在日志中。

2.检测操作

查看日志模块。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-10

要求内容设备应配置日志功能，记录对与设备相关的安全事件。

操作指南1、参考配置操作

2、补充操作说明

支持纪录所有的安全事件。

检测方法 1.判定条件

在服务器上正确纪录了日志信息。

2.检测操作

displaylogbuffer

3.补充说明

无。

编号：CHECKPOINTFW-PZ-11

要求内容设备配置远程日志功能，将需要重点关注的日志内容传输

到日志服务器。

操作指南1、参考配置操作

2、补充操作说明

可以设置发送的日志服务器IP地址。

检测方法 1.判定条件

日志服务器上是否接收到了正确的日志信息。

2.检测操作

在日志服务器上查看信息。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-12

要求内容防火墙应根据业务需要，配置基于源IP地址、通信协议

TCP或UDP、目的IP地址、源端口、目的端口的流量过滤，

过滤所有和业务不相关的流量。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

查看正常流量是否可以通过防火墙，非法流量是否被防火

墙阻隔。

2.检测操作

使用不同的流量进行测试。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-13

要求内容对于使用IP协议进行远程维护的设备，设备应配置使用

SSH等加密协议。

操作指南1、参考配置操作

使用SSH客户端登陆防火墙。

2、补充操作说明

无。

检测方法 1.判定条件

SSH可以登陆防火墙。

2.检测操作

使用SSH客户端登陆防火墙。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-14

要求内容所有防火墙在配置访问规则时，最后一条必须是拒绝一切

流量。

操作指南1、参考配置操作

将最后一条策略配置成拒绝一切流量。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

查看策略配置。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-15

要求内容在配置访问规则时，源地址和目的地址的范围必须以实际

访问需求为前提，尽可能的缩小范围。

操作指南1、参考配置操作

根据实际访问需求，缩小地址范围。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

根据实际访问需求，检查配置情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-16

要求内容对于访问规则的排列，应当遵从范围由小到大的排列规则。

操作指南1、参考配置操作

按照访问规则涉及范围大小来排序。

2、补充操作说明

无。

检测方法 1.判定条件

检查访问规则的排列，查看是否是遵从范围由小到大的排

列原则。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-17

要求内容在进行重大配置修改前，必须对当前配置进行备份。

操作指南1、参考配置操作

在进行重大配置修改前，备份当前配置。

2、补充操作说明

无。

检测方法 1.判定条件

查看是否有前期的配置备份。

2.检测操作

查看备份配置

3.补充说明

无。

编号：CHECKPOINTFW-PZ-18

要求内容对于VPN用户，必须按照其访问权限不同而进行分组，并

在访问控制规则中对该组的访问权限进行严格限制。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

查看用户是否已经按照权限不同进行分组。

2.检测操作

查看用户分组情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-19

要求内容访问规则必须按照一定的规则进行分组。

操作指南1、参考配置操作

按照一定的规则对访问控制规则进行分组。

2、补充操作说明

无。

检测方法 1.判定条件

查看访问控制规则是否已经分组。

2.检测操作

查看访问控制规则分组情况。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-20

要求内容打开防DDOS攻击功能。

操作指南1、参考配置操作

打开防DDOS攻击功能。

2、补充操作说明

打开该功能后，对该功能进行一定的配置。

检测方法 1.判定条件

查看是否已经将此功能打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-21

要求内容对于常见病毒的端口号应当进行端口的关闭配置。。

操作指南1、参考配置操作

使用访问控制策略关闭病毒常用端口

2、补充操作说明

无。

检测方法 1.判定条件

是否已经将常用病毒端口关闭。

2.检测操作

查看访问控制策略。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-22

要求内容限制ping包的大小，以及一段时间内同一主机发送的次

数。

操作指南1、参考配置操作

2、补充操作说明

打开该功能后需进行一定的配置。

检测方法 1.判定条件

查看该功能是否已经打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-23

要求内容对于各端口要开启防欺骗功能。

操作指南1、参考配置操作

2、补充操作说明

检测方法 1.判定条件

查看防欺骗功能是否打开。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-24

要求内容对于具备字符交互界面的设备，应配置定时账户自动登出。

操作指南1、参考配置操作

该设备自动设定。

2、补充操作说明

无。

检测方法 1.判定条件

停止操作一段时间，查看是否已经自动登出。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-25

要求内容对于具备图形界面（含WEB界面）的设备，应配置定时

自动登出。

操作指南1、参考配置操作

该设备自动进行默认设置。

2、补充操作说明

无。

检测方法 1.判定条件

在超出设定时间后，用户自动登出设备。

2.检测操作

无。

3.补充说明

编号：CHECKPOINTFW-PZ-26

要求内容对于具备consol口的设备，应配置consol口密码保护功

能。。

操作指南1、参考配置操作

该设备无此功能。

2、补充操作说明

无。

检测方法 1.判定条件

无。

2.检测操作

无。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-27

要求内容对于登陆账户的ip地址，配置为只允许从某些ip地址登陆。

操作指南1、参考配置操作

2、补充操作说明

无。

检测方法 1.判定条件

对于非允许的ip地址不能登陆。

2.检测操作

使用非允许的ip地址登陆。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-28

要求内容对于外网口地址，关闭对ping包的回应。建议通过VPN

隧道获得内网地址，从内网口进行远程管理。

操作指南1、参考配置操作

在策略中添加一条禁止ping外网口的策略。

2、补充操作说明

检测方法 1.判定条件

对于外网口的ping测试不成功。

2.检测操作

对于外网口进行ping测试。

3.补充说明

无。

编号：CHECKPOINTFW-PZ-29

要求内容设定统一的时钟源。

操作指南1、参考配置操作

在Voyager界面的‘RouterServices’启动NTP服务；

在’Configuration’的‘Configuresystemtime’指定NTP服务器

IP地址。

2、补充操作说明

无。

检测方法 4.判定条件

系统时间和时钟源同步。

5.检测操作

用系统命令’date’查看系统时间。

6.补充说明

无。

要求内容设定对防火墙的保护安全规则

操作指南1、参考配置操作

在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。

2、补充操作说明

无。

检测方法7.判定条件

指定主机/网络之外的客户端不能访问防火墙。

8.检测操作

无。

9.补充说明

无。

要求内容根据实际的网络连接调整防火墙并发连接数。

操作指南1、参考配置操作

在防火墙管理界面调整防火墙并发连接数。

2、补充操作说明

无。

检测方法10.判定条件

根据网络流量实际状况调整并发连接数至稍大于实际连接

数。

11.检测操作

无。

12.补充说明

无。

要求内容双机架构采用VRRP模式部署

操作指南1、参考配置操作

在Voyager界面配置VRRP模式双机集群，采用简单电路监控模式。

启用’AcceptConnectionstoVRRPIPs’

启用’MonitorFirewallState’

在SmartDashBoard配置VRRP双机模块。

2、补充操作说明

建议采用VRRP集群模式。

检测方法13.判定条件

双机切换，网络连接不中断。

14.检测操作

无。

15.补充说明

无。

防火墙的主要类型

防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表（又叫规则表），规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口存在着潜在的危险。 例如：“天网个人防火墙”就属于包过滤类型防火墙，根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理，有效地提高了计算机的抗攻击能力。 2、应用代理防火墙

应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用；缺点是执行速度慢，操作系统容易遭到攻击。 代理服务在实际应用中比较普遍，如学校校园网的代理服务器一端接入Internet,另一端介入内部网，在代理服务器上安装一个实现代理服务的软件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。 在实际使用中，一般综合采用以上几种技术，使防火墙产品能够满足对安全性、高效性、

Juniper 防火墙策略路由配置

Juniper 防火墙策略路由配置 一、网络拓扑图 要求： 1、默认路由走电信； 2、源地址为192.168.1.10 的pc 访问电信1.0.0.0/8 的地址，走电信，访问互联网走网通； 二、建立extended acl 1、选择network---routing---pbr---extended acl list,点击new 添加：

Extended acl id:acl 编号Sequence No.：条目编号源地址：192.168.1.10/32 目的地址：1.0.0.0/8 Protocol：选择为any 端口号选择为：1-65535 点击ok：

2、点击add seg No.再建立一条同样的acl，但protocol 为icmp，否则在trace route 的时候仍然后走默认路由:

3、建立目的地址为0.0.0.0 的acl： 切记添加一条协议为icmp 的acl； 命令行： set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 10 src-ip 192.168.1.10/32 dst-ip 1.0.0.0/8 protocol icmp entry 20 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 src-port 1-65535 dst-port 1-65535 protocol any entry 10 set access-list extended 20 src-ip 192.168.1.10/32 dst-ip 0.0.0.0/0 protocol

CheckPoint 防火墙 双机 HA 实施 方案

本文由ｎｏ１ｍｏｏｎｂｏｙ贡献 ｄｏｃ１。 双　ＣｈｅｃｋＰｏｉｎｔ　防火墙实施方案 目　录 第一章　客户环境概述……　４　１．１　概述　……　４　１．２　网络拓扑与地址分配表　……　４　１．３　安装前准备事宜　……　６　第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置　……　７　２．１　概述　……　７　２．２　初始化　ｎｏｋｉａ３８０　……　７　２．３　设置　ｎｏｋｉａ　基本信息　……　８　２．３．１　Ｎｏｋｉａ　端口　ＩＰ　地址设定　……　８　２．３．２　设置网关路由　……　８　２．３．３　设置　Ｎｏｋｉａ　平台时间　……　９　２．３．４　设定　Ｎｏｋｉａ　高可用　ＶＲＲＰ　参数　……　９　２．４　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１４　２．４．１　在　ｎｏｋｉａ　平台上　ｃｈｅｃｋｐｏｉｎｔ　的安装与卸载　……　１４　２．４．２　初始化　ｃｈｅｃｋｐｏｉｎｔ　……　１６　第三章　管理服务器的安装与配置……　１７　３．１ｃｈｅｃｋｐｏｉｎｔ　ｓｍａｒｔｃｅｎｔｅｒ　的安装……　１８　３．１．１　安装前的准备　……　１８　３．１．２　安装步骤　……　１８　３．２　配置　ｃｈｅｃｋｐｏｉｎｔ　对象和参数　……　２０　３．２．１　建立　ｓｉｃ　……　２０　３．２．２　定义防火墙对象拓扑结构　……　２１　３．２．３　使用同样的步骤按照表　１　的参数建立　ＩＰ３８０Ｂ　ｃｈｅｃｋｐｏｉｎｔ　ｇａｔｅｗａｙ　对象。　……　２１　３．３　基于　ｎｏｋｉａ　ｖｒｒｐ　或者　ｃｌｕｓｔｅｒ　的设置……　２２　３．３．１　基于　Ｎｏｋｉａ　ＶＲＲＰ　的设置　……　２２　３．３．２　为　ｎｏｋｉａ　ｖｒｒｐ　定义策略　……　２２　３．３．３　高可用性的检查　……　２３　３．４ｎｏｋｉａ　ｃｌｕｓｔｅｒ　的设置　……　２３　３．５　暂时没有　……　２３　第四章　策略设定……　２４　４．１　概述　……　２４　４．２　ｎｅｔｓｃｒｅｅｎ　的策略　……　２４　４．３　经过整理后转换成　ｃｈｅｃｋｐｏｉｎｔ　的策略　……　２４　４．４　设定策略　……　２４　４．４．１　定义主机对象　……　２４　４．４．２　定义网络对象　……　２５　４．４．３　定义组　……　２６　４．４．４　定义服务　……　２６ ４．４．５　添加标准策略　……　２７　４．４．６　添加　ＮＡＴ　策略……　２７　第五章　切换与测试……　２９　５．１　切换　……　２９　５．２　测试　……　２９　５．３　回退　……　３０　第六章　日常维护……　３１　６．１　防火墙的备份与恢复　……　３１　６．１．１　ｎｏｋｉａ　防火墙的备份与恢复方法　……　３１　６．１．２　ｃｈｅｃｋｐｏｉｎｔ　ｍａｎａｇｅｍｅｎｔ　上的备份与恢复　……　３３ 第一章 客户环境概述 １．１　概述 ＸＸＸＸＸＸ　公司因应企业内部的网络需求，对总部网络进行扩容改动，中心　防火墙从原来的　ｎｅｔｓｃｒｅｅｎ　换成两台　Ｎｏｋｉａ　ＩＰ３８０，两台　ｎｏｋｉａ　互为热备。维持原　有的服务不变。　由于这次网络改动比较大，所以先离线进行安装和测试，最后再进行切换 １．２　网络拓扑与地址分配表 ＸＸＸＸＸＸ　改造前网络拓扑如下 改动后，ＸＸＸ　将按照以下图进行实施　改动后， 给个设备及端口的地址分配入下表所示　ＩＰ　地址分配表（表　１） 管理服务器参数　ＩＰ　地址　防火墙各端口参数　端口　Ｅｔｈ１　用途　外网　口　Ｅｔｈ２　Ｅｔｈ３　Ｅｔｈ４　？　ＤＭＺ　内网　同步　口　ｇａｔｅｗａｙ　静态路　由　１７２．１６．１００．５／３０　１７２．１６．１００．６／３０　１７２．１６．１００．１／３０　１０．１０１．１．１０１／２４　１０．１０１．１．１０２／２４　１０．１０１．１．１／２４　１９２．１６８．１１．１／２４　１９２．１６８．１１．２／２４　Ｎｏｋｉａ３８０Ａ　Ｎｏｋｉａ３８０Ｂ　虚拟地址 １．３　安装前准备事宜 １．管理服务器硬件平台　ＣＰＵ　奔腾　３　５００　以上　内存　１２８　以上　硬盘　６０Ｍ　以上　操作系统，ｗｉｎｄｏｗｓ　２０００　ｓｅｒｖｅｒ　＋ＳＰ４　补丁 ２．网络连线　３．Ｃｈｅｃｋｐｏｉｎｔ　及　ｎｏｋｉａ　管理软件　Ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包　ｆｏｒ　ｗｉｎｄｏｗｓ　ｈｏｔｆｉｘ０９　或以上 ４．Ｎｏｋｉａ　ＩＰ３８０　设备两台　内置　ＩＰＳＯ３．８　ｂｕｉｌｄ　３９　内置　ｃｈｅｃｋｐｏｉｎｔ　ＮＧ　ＡＩ　Ｒ５５　安装包 第二章　Ｎｏｋｉａ　ＩＰ３８０　安装与配置 ２．１　概述 首先我们可以对两台　Ｎｏｋｉａ　ＩＰ３８０　进行安装与配置，由于　Ｎｏｋｉａ　防火墙将会　替代　Ｎｅｔｓｃｒｅｅｎ，所以　Ｎｏｋｉａ　防火墙可以进行离线配置。配置步骤如下。 ２．２　初始化　ｎｏｋｉａ３８０ １．　使用　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　线，连接　ｎｏｋｉａ　ｃｏｎｓｏｌｅ　口和管理　ｐｃ　的串行端口，

虚拟化防火墙安装

虚拟化防火墙安装使用指南 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 ：+86 传真：+87 服务热线：+8119 https://www.sodocs.net/doc/d87681312.html,

版权声明本手册中的所有内容及格式的版权属于北京天融信公司（以下简称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印?2013天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSEC?天融信公司 信息反馈 https://www.sodocs.net/doc/d87681312.html,

目录 1前言 (1) 1.1文档目的 (1) 1.2读者对象 (1) 1.3约定 (1) 1.4技术服务体系 (2) 2虚拟化防火墙简介 (3) 3安装 (4) 3.1OVF模板部署方式 (4) 3.2ISO镜像安装方式 (11) 3.2.1上传vFW ISO文件 (11) 3.2.2创建vFW虚拟机 (13) 3.2.3安装vTOS操作系统 (22) 4TOPPOLICY管理虚拟化防火墙 (28) 4.1安装T OP P OLICY (28) 4.2管理虚拟化防火墙 (29) 5配置案例 (33) 5.1虚拟机与外网通信的防护 (33) 5.1.1基本需求 (33) 5.1.2配置要点 (33) 5.1.3配置步骤 (34) 5.1.4注意事项 (46) 5.2虚拟机之间通信的防护 (47) 5.2.1基本需求 (47) 5.2.2配置要点 (47) 5.2.3配置步骤 (48) 5.2.4注意事项 (57) 附录A重新安装虚拟化防火墙 (58)

链接-防火墙的分类

防火墙FIREWALL类型 目前市场的防火墙产品非常之多，划分的标准也比较杂。主要分类如下： 1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。 （1）：软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。 防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint、天网防火墙Sky Net FireWall。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。 （2）：硬件防火墙 这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC 架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。 传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。 （3）：芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。 2. 从防火墙技术分为 “包过滤型”和“应用代理型”两大类。 防火墙技术虽然出现了许多，但总体来讲可分为“包过滤型”和“应用代理型”两大类。“包过滤型”以以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表，“应用代理型”以美国NAI公司的Gauntlet防火墙为代表。 (1). 包过滤(Packet filtering)型 包过滤型防火墙工作在OSI网络参考模型的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。 包过滤方式是一种通用、廉价和有效的安全手段。之所以通用，是因为它不是针对各个具体的网络服务 采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路由器都提供数据包过滤功能， 所以这类防火墙多数是由路由器集成的；之所以有效，是因为它能很大程度上满足了绝大多数企业安全要 求。

win7防火墙设置指南、多重作用防火墙策略以及设置方法

win7防火墙设置指南、多重作用防火墙策略以及设置方法 214小游戏https://www.sodocs.net/doc/d87681312.html,/ windows XP集成防火强常被视为鸡肋，不过随着vista和WIN7的发布，微软对于防火墙的两次升级让windows的firewall不再是系统的累赘，特别是win7的firewall，强悍的功能让微软的防火墙也有了“专业”的味道。 本文就教大家来了解一下windows7下的 firewall设置以及向你展示怎样对多重作用防火墙策略下对Firewall进行配置。Windows Firewall的演变过程。 一、windows防火墙的演变 Windows XP中的防火墙是一款简单、初级仅保护流入信息，拦截任何不是由你主动发启入站连接的软件－－它是默认关闭的。SP2后它才被默认启动并可以通过组策略的方式由管理员进行配置。而 Vista Firewall 是建立在一个新的Windows Filtering Platform （WFP、Windows过滤平台）上、并通过Advanced Security MMC嵌入式管理单元添加了新的过滤外发信息的能力。在Windows 7中MS对firewall做了进一步的微调，使其更具可用性，尤其针对移动计算机，更是舔加了对多重作用防火墙策略的支持。 二、windows 7 firewall（防火墙）设置方法 与Vista相同的是，可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista不同的是，你还可以通过访问控制面板的方式对其进行高级配置（包括对出站连接过滤器的配置），而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 更多的网络配置 Vista firewall允许你去选择是在公共网格上还是在专用网络中，而在Windows 7中你有三个选择－－公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项，你将可以建立一个“家庭组”。在这种环境中，“网路发现”会自动启动，你将可以看到网络中其它的计算机和设备，同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中，你还可以排除它们。 如果你选择的是“工作网络”，“网路发现”同样会自动启动，但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域（通过控制面板－－系统和安全－－系统－－高级系统配置－－计算机名选项卡）并通过DC验证，那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi 网络时的适当选择，“网路发现”将默认关闭，这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中，Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略 在Vista中，尽管你有公用网络和私用网络两个配置文件，但是只会有一个在指定的时间内起作用。所以如果你的计算机发生要同时连接两个不同网络的情况，那你就要倒霉啦。最严格的那条配置文件会被用户到所有的连接上，这意味着你可能无法在本地（私用）网络中做你想做的事，因为你是在公用网络在规则下操作。而在Windows 7 （和 Server 2008 R2）中，不同网络适配器上可以使用不同的配置文件。也就是说专用网络之间的网络连接受专用网络规则支配，而与公用网络之间的流量则应用公用网络规则。 起作用的是那些不显眼的小事 在很多事例中，更好的可用性往往取决于小的改变，MS听取了用户的意见并将一些“不

CheckPoint 防火墙基本操作及应急措施

防火墙基本操作及应急措施陈世雄安全工程师 CCSE

议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施

Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中，100%企业使用我们的产品 –在防火墙和虚拟专用网络（VPN）市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 （Infonetics提供数据） ?VPN/防火墙软件市场占有率超过 54% （IDC提供数据） ?安全硬件设备市场份额中有 36% 为 Check Point 产品（由 Infonetics 提供） ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系

状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004

我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案

防火墙的基本配置原则

本篇要为大家介绍一些实用的知识，那就是如何配置防火中的安全策略。但要注意的是，防火墙的具体配置方法也不是千篇一律的，不要说不同品牌，就是同一品牌的不同型号也不完全一样，所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时，具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下，所有的防火墙都是按以下两种情况配置的： ?拒绝所有的流量，这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量，这种情况需要你特殊指定要拒绝的流量的类型。可论证地，大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后，你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说，如果你想让你的员工们能够发送和接收Email，你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中，我们首先要遵循的原则就是安全实用，从这个角度考虑，在防火墙的配置过程中需坚持以下三个基本原则：（1）. 简单实用：对防火墙环境设计来讲，首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式，越容易理解和使用。而且是设计越简单，越不容易出错，防火墙的安全功能越容易得到保证，管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位，比如防火墙产品的初衷就是实现网络之间的安全控制，入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展，这些产品在原来的主要功能之外或多或少地增加了一些增值功能，比如在防火墙上增加了查杀病毒、入侵检测等功能，在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要，在配置时我们也可针对具体应用环境进行配置，不必要对每一功能都详细配置，这样一则会大大增强配置难度，同时还可能因各方面配置不协调，引起新的安全漏洞，得不偿失。 （2）. 全面深入：单一的防御措施是难以保障系统的安全的，只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中，我们不要停留在几个表面的防火墙语句上，而应系统地看等整个网络的安全防护体系，尽量使各方面的配置相互加强，从深层次上防护整个系统。这方面可以体现在两个方面：一方面体现在防火墙系统的部署上，多层次的防火墙部署体系，即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御；另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3）. 内外兼顾：防火墙的一个特点是防外不防内，其实在现实的网络环境

Checkpoint防火墙测试用例

Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong

Revision History

1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)

防火墙基础知识

防火墙基础知识 3.3 包过滤包过滤技术(Ip Filtering or packet filtering) 的原理在于监视并过滤网络上流入流出的Ip包，拒绝发送可疑的包。由于Internet 与Intranet 的连接多数都要使用路由器，所以Router成为内外通信的必经端口，Router的厂商在Router上加入IP Filtering 功能，这样的Router也就成为Screening Router 或称为Circuit-level gateway. 网络专家Steven.M.Bellovin认为这种Firewall 应该是足够安全的，但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的，因而在安全要求较高的场合，通常还配合使用其它的技术来加强安全性。Router 逐一审查每份数据包以判定它是否与其它包过滤规则相匹配。(注：只检查包头的内容，不理会包内的正文信息内容) 过滤规则以用于IP顺行处理的包头信息为基础。包头信息包括: IP 源地址、IP目的地址、封装协议(TCP、UDP、或IP Tunnel)、TCP/UDP源端口、ICMP包类型、包输入接口和包输出接口。如果找到一个匹配，且规则允许这包，这一包则根据路由表中的信息前行。如果找到一个匹配，且规则允许拒绝此包，这一包则被舍弃。如果无匹配规则，一个用户配置的缺省参数将决定此包是前行还是被舍弃。*从属服务的过滤包过滤规则允许Router取舍以一个特殊服务为基

础的信息流，因为大多数服务检测器驻留于众所周知的TCP/UDP端口。例如，Telnet Service 为TCP port 23端口等待远程连接，而SMTP Service为TCP Port 25端口等待输入连接。如要封锁输入Telnet 、SMTP的连接，则Router 舍弃端口值为23,25的所有的数据包。典型的过滤规则有以下几种： .允许特定名单内的内部主机进行Telnet输入对话 .只允许特定名单内的内部主机进行FTP输入对话 .只允许所有Telnet 输出对话 .只允许所有FTP 输出对话 .拒绝来自一些特定外部网络的所有输入信息* 独立于服务的过滤 有些类型的攻击很难用基本包头信息加以鉴别，因为这些独立于服务。一些Router可以用来防止这类攻击，但过滤规则需要增加一些信息，而这些信息只有通过以下方式才能获

CheckPoint防火墙安装手册

防火墙安装操作手册By Shixiong Chen

一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件，UTM-1则不需要考虑这些问题。 第一，准备好服务器，服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台，并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性，将网卡扩展至与真实火墙一致，服务器需要自带光驱。 第二，准备好CheckPoint防火墙安装介质，注意软件的版本号与真实环境火墙一致，同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机，将服务器加电后，设置BIOS从光盘启动，将CheckPoint软件介质放入光驱，然后出现如下界面: 敲回车键盘开始安装。出现如下界面，选择OK,跳过硬件检测。

选择安装的操作系统类型，根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言，默认选择US，按TAB键，继续安装。 配置网络接口，初始我们配置外网接口即可，选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关，然后选择OK,继续。 选择OK.开始格式化磁盘。

格式化完成后开始拷贝文件，最后提示安装完成，按照提示点击OK.系统会自动重新启动。然后出现登陆界面，如下所示。 第一次登陆系统，默认账号和密码都是admin，登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程

运行sysconfig 命令，启动安装防火墙包。选择n,继续安装。 打开网络配置页面，选择1,配置主机名，选择3配置DNS服务器，选择4配置网络，选择5配置路由，注意要与生产线设备的配置保持一致，特别是路由要填写完整，主机名、接口IP和子网掩码要填写正确。 配置完成后，选择n,下一步继续配置，如下图所示，选择1配置时区(选择5，9，1)，选择2配置日期，选择3配置本地系统时间，选择4查看配置情况。注意配置时间和日期的格式。完成后选择n， 然后会出现提示是否从tftp服务器下载安装软件，选择n.然后出现如下界面，选择N,继续安装。 选择Y,接受安装许可协议。

启用ASA和PIX上的虚拟防火墙

启用ASA和PIX上的虚拟防火墙 前言 有鉴于许多读者纷纷来信与Ben讨论防火墙的相关设定，并希望能够针对近两年防火墙的两大新兴功能：虚拟防火墙(Virtual Firewall or Security Contexts) 以及通透式防火墙(Transparent or Layer 2 Firewall) ，多做一点介绍以及设定上的解说，是以Ben特别在本期以Cisco的ASA，实做一些业界上相当有用的功能，提供给各位工程师及资讯主管们，对于防火墙的另一种认识。 再者，近几期的网管人大幅报导资讯安全UTM方面的观念，显示网路安全的需要与日遽增，Cisco ASA 5500为一个超完全的UTM，这也是为什么Ben选择ASA，来详细的介绍UTM的整体观念。 本技术文件实验所需的设备清单如下： 1Cisco PIX防火墙或是ASA (Adaptive Security Appliance) 网路安全整合防御设备。 本技术文件实验所需的软体及核心清单如下： 2Cisco PIX或是ASA 5500系列，韧体版本7.21，管理软体ASDM 5.21。 3Cisco 3524 交换器。 本技术文件读者所需基本知识如下： 4VLAN协定802.1Q。 5路由以及防火墙的基础知识。 6Cisco IOS 基础操作技术。 什么是虚拟防火墙跟通透式防火墙 虚拟防火墙(Virtual Firewall or Security Contexts)：

就一般大众使用者而言，通常买了一个防火墙就只能以一台来使用，当另外一个状况或是环境需要防火墙的保护时，就需要另外一台实体的防火墙；如此，当我们需要5台防火墙的时候，就需要购买5台防火墙；虚拟防火墙的功能让一台实体防火墙，可以虚拟成为数个防火墙，每个虚拟防火墙就犹如一台实体的防火墙，这解决了企业在部署大量防火墙上的困难，并使得操作及监控上更为简便。 通透式防火墙(Transparent or Layer 2 Firewall)： 一般的防火墙最少有两个以上的介面，在每个介面上，我们必须指定IP位址以便让防火墙正常运作，封包到达一个介面经由防火墙路由到另一个介面，这种状况下，防火墙是处在路由模式(Routed mode)；试想，在服务提供商(Internet Service Provider) 的环境中，至少有成千上万的路由器组成的大型网路，如果我们要部署数十个以上的防火墙，对于整体网路的IP位址架构，将会有相当大的改变，不仅容易造成设定路由的巨大麻烦，也有可能会出现路由回圈，部署将会旷日费时，且极容易出错。 举例来说，如果有两个路由器A及B，我们想在A跟B之间部署路由模式的防火墙，必须重新设计路由器介面的IP位址，以配合防火墙的IP位址，另外，如果路由器之间有跑路由通讯协定(ie. RIP、OSPF、BGP等)，防火墙也必须支援这些通讯协定才行，因此相当的麻烦；通透式防火墙无须在其介面上设定IP 位址，其部署方式就犹如部署交换器一样，我们只需直接把通透式防火墙部署于路由器之间即可，完全不需要烦恼IP位址的问题，因此，提供此类功能的防火墙，亦可称为第二层防火墙。 一般而言，高级的防火墙(Cisco、Juniper等)都支援这些功能；就Cisco的ASA 或是PIX而言(版本7.0以上)，都已支援虚拟防火墙以及通透式防火墙这两个功能。 如何设定虚拟防火墙(Security Contexts) 在Cisco的防火墙中，有些专有名词必须先让读者了解，以便继续以下的实验及内容。 专有名词解释 Context ASA/PIX在虚拟防火墙的模式下，每一个虚拟防火墙就可以称为一个context。

防火墙的分类

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信