防火墙详细说明4000-UF
防火墙详细说明
产品概述
网络卫士系列防火墙NGFW4000-UF(NetGuard FireWall)系列产品,是天融信公司结合了多年来的网络安全产品开发与实践经验,在参考了天融信广大用户宝贵建议的基础上,开发的最新一代网络安全产品。该产品以天融信公司具有自主知识产权的TOS
(Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计,融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案,构建的一个安全、高效、易于管理和扩展的网络安全产品。
NGFW4000-UF属于网络卫士系列防火墙的中高端产品,特别适用于网络结构复杂、应用丰富、高带宽、大流量的大中型企业骨干级网络环境。
NGFW4000-UF(TG-5030)
产品特点
自主安全操作系统平台
采用自主知识产权的安全操作系统--TOS(Topsec Operating System),TOS拥有优秀的模块化设计架构,有效保障了防火墙、IPSECVPN、SSLVPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能,其良好的扩展性为未来迅速扩展更多特性提供了无限可能。
TOS具有具有高安全性、高可靠性、高实时性、高扩展性及多体系结构平台适应性的特点。
虚拟防火墙
虚拟防火墙,是指在一台物理防火墙上可以存在多套虚拟系统,每套虚拟系统在逻辑上都相互独立,具有独立的用户与访问控制系统。不同的企业或不同的部门可以共用1台防火墙,但使用不同的虚拟系统。对于用户来说,就像是使用独立的防火墙。大大节省了成本。
强大的应用控制
网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用,如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略,如禁止、限时、乃至流量控制。网络卫士防火墙还提供了定制功能,可以对用户所关心的网络应用进行全面控制。
CleanVPN服务
企业对VPN应用越来越普及,但是当企业员工或合作伙伴通过各种VPN远程访问企业网络时,病毒、蠕虫、木马、恶意代码等有害数据有可能通过VPN隧道从远程PC 或网络传递进来,这种威胁的传播方式极具隐蔽性,很难防范。
网络卫士防火墙同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各功能相互融合,能够对VPN数据进行检查,拦截病毒、蠕虫、木马、恶意代码等有害数据,彻底保证了VPN通信的安全,为用户提供放心的CleanVPN服务。
完全内容检测CCI
内容检测技术发展至今,大致经历了三个阶段,从早期的状态检测(Status Inspection)到后来的深度包检测(Deep Packet Inspection),现在已经发展到了最新的完全内容检测(CCI,Complete Content Inspection)。状态检测只检查数据包的包头,深度包检测可对数据包内容进行检查,而CCI则可实时将网络层数据还原为完整的应用层对象(如文件、网页、邮件等),并对这些完整内容进行全面检查,实现彻底的内容防护。
在MAC层提供基于MAC地址的过滤控制能力,同时支持对各种二层协议的过滤功能;在网络层和传输层提供基于状态检测的分组过滤,可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤,并进行完整的协议状态分析;在应用层通过深度内容检测机制,可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制;同时还直接支持丰富的第三方认证,提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制,实现了全方位的安全控制。
先进的设计思想
采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。极大地提高了网络安全性,并保证了配置的方便性。
超强的防御功能
高级的Intelligent Guard技术提供了强大的入侵防护功能,能抵御常见的各种攻击,包括Syn Flood、Smurf、Targa3、Syn Attack、ICMP flood、Ping of death、Ping Sweep、Land attack、Tear drop attack、IP address sweep option、Filter IP source route option、Syn fragments、No flags in TCP、ICMP碎片、大包ICMP攻击、不明协议攻击、IP欺骗、IP security options、IP source route、IP record route 、IP bad options、IP碎片、端口扫描等几十种攻击,网络卫士系列防火墙不但有内置的攻击检测能力,还可以和IDS产品实现联动。这不但提高了安全性,而且保证了高性能。
强大的应用代理模块
具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。
丰富的AAA功能,支持会话认证
网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证,如一次性口令(OTP)、S/KEY、RADIUS 、TACACS、LDAP、securid 、域认证及数字证书等常用的安全认证方法,也可以使用专用的认证客户端软件进行认证。基于用户的安全策略更
灵活、更广泛地实现了用户鉴别和用户授权的控制,并提供了丰富的安全日志来记录用户的安全事件。
网络卫士系列防火墙支持会话认证功能,即当开始一个新会话时,需要先通过认证才能建立会话。这个功能可大大提高应用访问的安全性,实现更细粒度的访问控制。
强大的地址转换能力
网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web 、FTP 服务等)的服务器如果是私有IP 地址,或者想隐藏服务器的真实IP 地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址,由内部网使用保留IP 地址的服务器提供服务,同样既可以解决公有IP 地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP 地址,IP 映射则更为灵活方便。
卓越的网络及应用环境适应能力
支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC等协议,适用网络的范围更加广泛,保证了用户的网络应用。同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。
智能的负载均衡和高可用性
服务器负载均衡
网络卫士系列防火墙可以支持一个服务器阵列,这个阵列经过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡。
负载均衡方式如下:
1.轮流(顺序选择地址)
2.根据权重轮流
3.最少连接(将连接分配到当前连接最少的
服务器)
4.加权最少连接(最少连接和权重相结合)
高可用性
为了保证网络的高可用性与高可靠性,网络卫士系列防火墙提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。网络卫士系列防火墙支持两种模式的双机热备功能。一种为AS模式,即在正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外宕机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙自动代替主防火墙正常工作,从而保证了网络的正常使用。另一种模式为AA模式,即两台防火墙的网络接口分组互为备份。在每一个组中,都有一个主接口,一个从接口。而不同组中的主接口可以工作在两台防火墙中的任意一台。这样,两台防火墙都处于工作状态,不仅互为备份,而且可以分担网络流量。
网络卫士系列防火墙的双机热备功能使用自主专利的智能状态传送协议(ISTP),ISTP 能高效进行系统之间的状态同步,实现了TCP协议握手级别的状态同步和热备。当主防火墙发生故障时,这台防火墙上的正在建立或已经建立的连接不需要重新建立就可以透明地迁移到另一台防火墙上,网络使用者不会觉察到网络链路切换的发生。
流量均衡
网络卫士系列防火墙支持完整生成树(Spanning-Tree)协议,可以在交换网络环境中支持PVST和CST等工作模式,在接入交换网络环境时可以通过生成树协议的计算,使不同的VLAN使用不同的物理链路,将流量由不同的物理链路进行分担,从而进行流量均衡,该功能和ISTP协议结合使用还可以在使用高可用性的同时实现流量均衡。
系统升级与容错
网络卫士系列防火墙可以通过命令行及图形方式进行系统升级,同时网络卫士系列防火墙采用双系统设计,在主系统发生故障时,用户可以在启动时选择BACKUP方式,用备份系统引导系统。
产品功能
运行环境与标准
电源:
电压:AC 90-260V
频率:47-63HZ
输入电流:8.0/5.0A @115/230V
功率:350W (最大)
环境:
运行温度: 0-40 摄氏度
非运行温度: -40-70 摄氏度
相对湿度:5-95%,非冷凝
国家标准:
GB/T18336-2001
GB/T18019-1999
GB/T18020-1999
参考的安全规范及标准(相对参考):
GB4943-2001
UL 1950
TUV-IEC 950
电磁兼容标准:
GB9254-1998
GB17618-1998
FCC Class B
IEC 61000-4-2 (静电放电ESD抗扰度)
IEC 61000-4-3 (射频电磁场抗扰度)
IEC 61000-4-4 (电快速瞬变EFT抗扰度)
IEC 61000-4-5 (浪涌Surge抗扰度)
典型应用
典型应用一:在企业、政府纵向网络中的应用
典型应用二:在大型网络中的应用
典型应用三:防火墙作为负载均衡器
典型应用四:防火墙接口备份
典型应用五:虚拟防火墙应用
典型应用六:AA模式双机热备
关于防火墙规则的简单看法
好多网友发帖询问防火墙规则的做法,看来这些朋友不常到防火墙区走动,那里面有很好的教程啊。为了帮助这些朋友,我简单地说点个人的肤浅看法。 防火墙规则,一般分为全局规则和应用程序规则两部分。 全局规则,从应用程序的角度而言,是对所有程序都起作用的规则;从协议的角度而言,是针对ARP、ICMP、IGMP、TCP、UDP等协议进行规则设置的地方。 应用程序规则,从应用程序的角度而言,只对所设定的程序起作用;从协议的角度而言,只针对传输层的TCP、UDP协议以及消息控制的ICMP协议进行设置【很多防火墙中,应用程序规则只管TCP与UDP的设置即可,毛豆这里顺带考虑ICMP】。 TCP、UDP、ICMP、IGMP数据都是打包成IP数据包的形式进行传递的,所以,当毛豆规则中选用协议为IP时,实际上就包括了TCP、UDP、ICMP、IGMP等协议的数据。 全局规则,毛豆有内部集成的处理机制,一般不建议作特别详细和严厉的设置,通常只需选择一个适合自己使用的隐身模式设置一下即可,主要的精力可以放到应用程序规则的制定上,这样可以在保证基本的安全性的前提下获得很好的易用性。 在设置应用程序规则的时候,记住一个基本原则——不要轻易放行连入。因为我们的个人电脑一般不作服务器用,不需要对外开放端口来提供服务让别人连接访问我们的电脑,我们是客户端,只需出外去连接服务器开放的端口就能浏览网页、上网站、逛论坛…… 应用程序规则的制定,围绕协议、地址和端口这三个要素进行。 当我们发起对外的连接【外出访问,连出】时,源地址是本机,目标地址是远程计算机【可能是服务器,也可能是个人电脑】。 当我们开放本机端口提供服务【接入访问,连入】时,源地址是远程计算机,目标地址是本机。 如非必要,在做规则时,一般可以不填源地址和目标地址。 【方向出,一般称为出站、出站连接、外出、连出;方向入,一般称为入站、入站连接、连入。名词虽不同,意思都是一样的】 计算机上的端口,理论上有0-65535个,按TCP和UDP协议分,则TCP端口和UDP端口各有65536个。 在这65536个端口中,0-1023的端口是固定端口【又称低端口】,是特定的系统服务占用的,如非必要,绝对不能开放低端口;从1024开始到65535止,是系统分配给应用程序使用的,称为活动端口【又称高端口】。高端口与低端口的名称,源自端口号的大小,是一种俗称。 使用TCP端口进行连接,俗称TCP连接;使用UDP端口进行连接,俗称UDP连接。TCP连接是可靠连接,网络数据传输中使用得比较多。UDP连接虽然是不可靠连接,但是传输速度较快,QQ和P2P 软件中会使用它。 【要了解各个端口的作用及对应的服务,可以下个《端口大全》之类的资料进行参考】 【本地高端口(活动端口)的选择,精确一些的话,选常用端口即可。xp的常用端口是1024-5000,vista的好像是49512-65535。一般情况下,偷懒的话,直接选满档1024-65535即可。注意,域名解析的规则,一定要选1024-65535,因为微软的补丁变来变去的,一会儿是常用端口,下一个补丁来了可能又变成50000以上的大端口】 基本东西了解,程序规则做起来就很简单。 先看系统进程: 外网的话,只须允许svchost即可,其它的可以禁止访问网络。svchost的规则如下: 1、域名解析行为允许协议UDP 方向出源端口1024-65535 目标端口53 2、DHCP服务行为允许协议UDP 方向出源端口68 目标端口67【有的规则直接写成源端口67-68,目标端口67-68,目的是同时适用于客户端与服务端】 3、时间同步行为允许协议UDP 方向出源端口123 目标端口123
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
网络拓扑图
络网拓扑图 编辑词条 网络拓扑结构是指用传输媒体互连各种设备的物理布局。媒体互连在一起有多种方法,实际上只有几种方式能适合LAN的工作。 目录 1 基本介绍 2 主要分类 3 典型结构 1 基本介绍 2 主要分类 3 典型结构 1 基本介绍编辑本段 网络拓扑结构是指用传输媒体互连各种设备的物理布局,就是用什么方式把网络中的计算机等设备连接起来。拓扑图给出网络服务器、工作站的网络配置和相互间的连接,它的结构主要有星型结构、环型结构、总线结构、分布式结构、树型结构、网状结构、蜂窝状结构等。
2 主要分类编辑本段 星型拓扑结构 星型结构是最古老的一种连接方式,大家每天都使用的电话属于这种结构。星型结构是指各工作站以星型方式连接成网。网络有中央节点,其他节点(工作站、服务器)都与中央节点直接相连,这种结构以中央节点为中心,因此又称为集中式网络。 这种结构便于集中控制,因为端用户之间的通信必须经过中心站。由于这一特点,也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信。同时它的网络延迟时间较小,传输误差较低。但这种结构非常不利的一点是,中心系统必须具有极高的可靠性,因为中心系统一旦损坏,整个系统便趋于瘫痪。对此中心系统通常采用双机热备份,以提高系统的可靠性。 环型网络拓扑结构 环型结构在LAN中使用较多。这种结构中的传输媒体从一个端用户到另一个端用户,直到将所有的端用户连成环型。数据在环路中沿着一个方向在各个节点间传输,信息从一个节点传到另一个节点。这种结构显而易见消除了端用户通信时对中心系统的依赖性。 环行结构的特点是:每个端用户都与两个相临的端用户相连,因而存在着点到点链路,但总是以单向方式操作,于是便有上游端用户和下游端用户之称;信息流在网中是沿着固定方向流动的,两个节点仅有一条道路,故简化了路径选择的控制;环路上各节点都是自举控制,故控制软件简单;由于信息源在环路中是串行地穿过各个节点,当环中节点过多时,势必影响信息传输速率,使网络的响应时间延长;环路是封闭的,不便于扩充;可靠性低,一个节点故障,将会造成全网瘫痪;维护难,对分支节点故障定位较难。 总线拓扑结构 总线结构是使用同一媒体或电缆连接所有端用户的一种方式,也就是说,连接端用户的物理媒体由所有设备共享,各工作站地位平等,无中心节点控制,公用总线上的信息多以基带形式串行传递,其传递方向总是从发送信息的节点开始向两端扩散,如同广播电台发射的信息一样,因此又称广播式计算机网络。各节点在接受信息时都进行地址检查,看是否与自己的工作站地址相符,相符则接收网上的信息。 使用这种结构必须解决的一个问题是确保端用户使用媒体发送数据时不能出现冲突。在点到点链路配置时,这是相当简单的。如果这条链路是半双工操作,只需使用很简单的机制便可保证两个端用户轮流工作。在一点到多点方式中,对线路的访问依靠控制端的探询来确定。然而,在LAN环境下,由于所有数据站都是平等的,不能采取上述机制。对此,研究了一种在总线共享型网络使用的媒体访问方法:带有碰撞检测的载波侦听多路访问,英文缩写成CSMA/CD。 这种结构具有费用低、数据端用户入网灵活、站点或某个端用户失效不影响其它站点或端用户通信的优点。缺点是一次仅能一个端用户发送数据,其它端用户必须等待到获得发送权;媒体访问获取机制较复杂;维护难,分支节点故障查找难。尽管有上述一些缺点,但由于布线要求简单,扩充容易,端用户失效、增删不影响全网工作,所以是LAN技术中使用最普遍的一种。 分布式拓扑结构
防火墙知识点.
第一章 1.防火墙定义:防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件的集合。(或者防火墙是设置在本地计算机或内联网络与外联网络之间,保护本地网络或内联网络免遭来自外部网络的威胁和入侵的一道屏障。) 2.防火墙位置:物理位置,安装在内联网络与外联网络的交界点上;对于个人防火墙来说,是指安装在单台主机硬盘上的软件系统。 逻辑位置:防火墙与网络协议相对应的逻辑层次关系。 3.防火墙理论特性:根据信息安全理论对其提出的要求而设置的安全功能,是各种防火墙的共性作用。 防火墙从理论上讲是分离器、限制器和分析器,即防火墙要实现四类控制功能: 方向控制:防火墙能够控制特定的服务请求通过它的方向; 服务控制:防火墙可以控制用户可以访问的网络服务类型; 行为控制:防火墙能够控制使用特定服务的方式; 用户控制:防火墙能够控制能够进行网络访问的用户。 4.防火墙规则 (1)过滤规则 (2)设计原则:a.拒绝访问一切未予特许的服务:这个原则也被称为限制性原则,在该规则下,防火墙阻断所有的数据流,只允许符合开放规则的数据流进出。 b.允许访问一切未被特许拒绝的服务:该规则也被称为连通性原则,在该规则下, 防火墙只禁止符合屏蔽规则的数据流,而允许转发其他所有数据流。 5.防火墙分类 按采用的主要技术划分:包过滤型防火墙、代理型防火墙 按具体实现划分:(1)多重宿主主机:安放在内联网络和外联网络接口上的一台堡垒主机,它提供最少两个网络接口,一个与内联网络连接,另一个与外联网络连接。 (2)筛选路由器:用一台放置在内联网络与外联网络之间的路由器来实现。它对进出内联网络的所有信息进行分析,并按照一定的信息过滤规则对进出内联网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。 (3)屏蔽主机:由内联网络和外联网络之间的一台过滤路由器和一台堡垒主机构成。它强迫所有外部主机与堡垒主机相连接,而不让他们与内部主机直接相连。 (4)屏蔽子网:它对网络的安全保护通过两台包过滤路由器和在这两个路由器之间构筑的子网来实现。 6.防火墙的优点 (1)防火墙是网络安全的屏障 (2)防火墙实现了对内网系统的访问控制 (3)部署NAT机制 (4)提供整体安全解决平台 (5)防止内部信息外泄 (6)监控和审计网络行为 (7)防火墙系统具有集中安全性 (8)在防火墙上可以很方便的监视网络的信息流,并产生警告信息。 7.防火墙的缺点 (1)限制网络服务 (2)对内部用户防范不足 (3)不能防范旁路连接
网络拓扑结构图设计及其方案说明
[设备清单] Cisco 2600路由器一台 Cisco 2900XL交换机若干台 Cisco PIX防火墙一台 网线:若干箱 制线嵌:若干个 正版软件:Microsoft ISA [方案设计] 一.使用一台路由器实现内网与外网的连接 其功能实现: 1、实现内网与外网的连接 2、实现内网中不同VLAN的通信 3、实现NAT代理内网计算机连接Internet 4、实现ACL提供内外网的通信的安全 二. 使用多台交换机实现VLAN的规划 1、按部门或场所划分vlan
1)vlan1:经理; 2) vlan2:人事部; 3)vlan3:销售部; 4)vlan4:策划部; 5)vlan5:技术部 2、vlan之间的通信 1)实现有通信需要的vlan之间的通信,如vlan2与vlan3,vlan5等; 2)使用上述路由器实现vlan之间的通信; 3)使用ACL提供valn间通信的安全; 一、IP地址规划: 1、考虑内网中机器较多,并考虑到公司规模日益庞大故使用10.0.0.0/8私有 地址并将其进行子网划为/24; 2、不同vlan给予不同子网ip,如vlan2可为10.31.0.0/24子网; 3、通过DHCP服务器动态分配所有ip; 二、win2003域规划: 为方便管理和提高网络安全性,将内网中部分计算机实现win2003域结构网络: 1、创建一个win2003域,如:https://www.sodocs.net/doc/8c11275257.html,; 2、将经理办公用机,各部门用机,等所有员工用机加入所建域; 3、创建额外域DC提供AD容错功能和相互减轻负担功能; 三、服务器规划 1、文件打印服务器(win2003系统):用于连接多台打印设备,并将这些 打印机发布到活动目录 1)实现域中所有计算机都可方便查找和使用打印机; 2)实现打印优先级,使得重要用户,如部门领导可优先使用打印机; 3)实现打印池功能,使得用户可优先自动使用当前空闲打印机; 4)实现重定向功能,使得当一打印设备故障,如缺墨缺纸,可自动被重定向到其它打印设备打印; 5)实现打印机使用时间限制:如管理人员可24小时使用,普通员工只可上班时间使用; 2、DHCP服务器(linux AS4.0系统):用于为内网客户机分配ip,考虑到 效率和可靠性 1)根据所需使用子网,实现多个作用域,并将这些作用域加入进一个超级作用域,为不同子网内的客户机分配相应; 2)实现为客户机分配除ip之外的其它设置,如网关IP,DNS IP,等等; 3)实现地址排除:将各服务器所使用地址在作用域内排除; 4)实现保留:为需要的用户,如网络系做网络相关实验的老师,保留特定的IP,使其可长期使用该IP而不与其他人冲突; 5)实现DDNS的支持,能够自动更新DNS数据库。 3、DNS服务器(linux AS4.0系统):提供域名解析 1)实现主要名称服务器,并创建AD集成区域,如https://www.sodocs.net/doc/8c11275257.html,; 2)实现允许安全动态更新的DDNS,使得与DHCP服务器合作,动
防火墙的分类
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单,价格便宜,易于安装和使用,网络性能和透明性好,它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备,因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点:一是非法访问一旦突破防火墙,即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部,很有可能被窃听或假冒。 分组过滤或包过滤,是一种通用、廉价、有效的安全手段。之所以通用,因为它不针对各个具体的网络服务采取特殊的处理方式;之所以廉价,因为大多数路由器都提供分组过滤功能;之所以有效,因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:据以过滤判别的只有网络层和传输层的有限信息,因而各种安全要求不可能充分满足;在许多过滤器中,过滤规则的数目是有限制的,且随着规则数目的增加,性能会受到很大地影响;由于缺少上下文关联信息,不能有效地过滤如UDP、RPC一类的协议;另外,大多数过滤器中缺少审计和报警机制,且管理方式和用户界面较差;对安全管理人员素质要求高,建立安全规则时,必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此,过滤器通常是和应用网关配合使用,共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点,就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑,则防火墙内外的计算机系统建立直接联系,防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态,这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels),也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术,其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”,由两个终止代理服务器上的“链接”来实现,外部计算机的网络链路只能到达代理服务器,从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记,形成报告,同时当发现被攻击迹象时会向网络管理员发出警报,并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信
win7防火墙设置规则
Win7系统墙规则设置 Windows Firewall with Advanced Security (Guide for win7) 这篇文章大体上是防火墙高手stem在https://www.sodocs.net/doc/8c11275257.html,/showthread.php?t=239750 里面的Vista系统墙的教程。本人将其翻译成中文然后全部在win7中测试过其可靠性。而且全部例子全部用win7试验过,全部截图都是win7下自己截的,并未使用原作者的图片。我觉得这篇文章确实很好,对喜欢用系统防火墙的用户来说是一个很好的教程。希望大家有所收获。 本文分三个部分,以后还会继续翻译和添加 第一部分:win7系统墙概要 第二部分:规则建立的基本理论知识和实例 第三部分:实战,添加特殊的规则 第一部分:win7系统墙概要 位置:控制面板-windows防火墙
打开后 点击高级设置
里面默认有3种配置文件供你使用,一个是域配置文件,一个是专用配置文件,一个是公用配置文件。一个配置文件可以解释成为一个特定类型的登录点所配置的规则设置文件,他取决于你在哪里登录网络。 域:连接上一个域 专用:这是在可信网络里面使用的,如家庭的网络,资源共享是被允许的。 公用:直接连入Internet或者是不信任的网络,或者你想和网络里面的计算机隔离开来。 当你第一次连接上网络的时候,windows会检测你的网络的类型。如果是一个域的话,那么对应的配置文件会被选中。如果不是一个域,那么防火墙会有一个弹窗,让你选中是“公用的”还是“专用的”,这样你就能决定使用哪个配置文件。如果你在选择后改变了主意,想改变其,那么你就得去“网络和共享”那里。这我们会在后面提到。 在我们进一步深入之前,我们得学会怎样进行出站控制。 选中高级设置图片中的属性(上图打框的那里)
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
Windows_7防火墙设置详解
Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法,自从Vista开始,Windows的防火墙功能已经是越加臻于完善、今非昔比了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,下面这张图是Windows 7帮助里截出来的工作原理图: Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,如下图所示:
上图中,天缘启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,具体设置方法,可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法: 一、打开和关闭Windows防火墙
网络拓扑图说明
网络拓扑图说明 网络拓扑图的要求: 1、标识清楚 拓扑图:要有标题(如***学院网络拓扑图) 网段:要标出子网地址、接入网络职能单位、使用设备(名称型号) 网络连接:给出连接带宽(网络长度,如1C 地址的长度为/24,具体见说明1)、连接设备 原有信息点填写格式:IP 地址段 接入网络职能单位 网络长度(见说明1) 使用设备 如:210.37.32.0 Office Building/24 D-link/1024r 新申请ip 地址填写格式:接入网络职能单位 网络长度(见说明1) 使用设备 如:学生宿舍1#/24 vdsltan-cu600 2、描绘详细 全网的拓扑云图,用来表示全网的连接情况。 主要汇聚连接点展开的拓扑图 连接情况及使用设备必须与IP 地址申请表格里的网络拓扑图说明一致 3、文档格式 使用OFFICE 的VISIO 制作拓扑图,然后再存储为jpg 图形格式 网络拓扑图图标出的地址用途和计划,须和old-network,network-plan 一一对应,与拓扑图保持一致,并且清晰可辩。 拓扑图使用的图例: 以太网交换机 核心交换机 路由器
网络拓扑图范例: 学生宿舍J -14A#/24Quidway 5624 图书馆/23公共教学楼政务学院/24信息科学院法学院/24Quidway 5624 Quidway 5624 教师宿舍A1#/23Quidway 5624 教师宿舍A2#/23Quidway 5624学生宿舍J -13A#/23Quidway 5624J -13B#23J -13C#/2313D#/23 学生宿舍J -13F#/23Quidway 5624 学生宿舍J -13G#/23Quidway 5624学生宿舍J -13H#/23Quidway 5624
Windows 7防火墙规则设置
Windows XP集成的防火墙常被视为鸡肋,但现在的WIN7防火墙强悍的功能也有了点“专业”的味道。今天教和大家一起来看看该如何使用WIN7防火墙。 与Vista相同的是,可以通过访问控制面板程序对Windows 7 firewall进行基础配置。与Vista 不同的是,你还可以通过访问控制面板的方式对其进行高级配置(包括对出站连接过滤器的配置),而不是一定要创建空白MMC并加入嵌入式管理单元来实现。只是点击一下左侧面板里的高级配置选项。 Vista 防火墙允许你去选择是在公共网格上还是在专用网络中,而在Windows 7中你有三个选择--公用网络、家庭网络、办公网络。后两个选项是专用网络的细化。 如果你选择了“家庭网络”选项,你将可以建立一个“家庭组”。在这种环境中,“网路发现”会自动启动,你将可以看到网络中其它的计算机和设备,同时他们也将可以看到你的计算机。隶属于“家庭组”的计算机能够共享图片、音乐、视频、文档库以及如打印机这样的硬件设备。如果有你不想共享的文件夹在文档库中,你还可以排除它们。 如果你选择的是“工作网络”,“网路发现”同样会自动启动,但是你将不能创建或是加入“家庭组”。如果你的计算机加入了Windows域(通过控制面板--系统和安全--系统--高级系统配置--计算机名选项卡)并通过DC验证,那么防火墙将自动识别网络类型为域环境网络。 而“公用网络”类型是当你在机场、宾馆、咖啡馆或使用移动宽带网络联通公共wi-fi网络时的适当选择,“网路发现”将默认关闭,这样其它网络中的计算机就不会发现你的共享而你也将不能创建或加入“家庭组”。 在全部的网络模式中,Windows 7 firewall都将在默认情况下拦截任何发送到不属于白名单中应用程序的连接。Windows 7允许你对不同网络类型分别配置。 多重作用防火墙策略
建立防火墙规则集
建立防火墙规则集 高阳 建立一个可靠的规则集对实现成功的、安全的防火墙来说是非常关键的一步。在安全审计中,经常能看到一个巨资购入的防火墙由于规则配置的错误而将机构暴露于巨大的危险中。本文以高阳信安的DS2000防火墙为例介绍如何设计、建立和维护一个可靠、安全的防火墙规则集。不管你用的是哪种类型的防火墙,设计规则集的基本原理都相同。 成功的关键 首先需要强调的是一个简单的规则集是建立安全的防火墙关键所在。你的网络的头号敌人是错误配置。为什么当你意外地将消息访问协议(IMAP)公开时,那些坏家伙会试图悄悄携带欺骗性的信息包通过你的防火墙?保持防火墙规则集简洁和简短,就会减少错误配置的可能性,并使理解和维护更容易,同时,只分析少数的规则,还能提高性能。一个好的准则是规则不要超过30条。有30条规则,理解将要发生什么相对简单。规则在30条至50条之间,事情就变得混乱起来,错误配置的概率以指数级递增。 那么,我们如何建立一个安全的规则集呢?我们从一个虚构企业的安全策略开始设计开发防火墙规则集。 安全策略 管理层规定实施什么样的安全策略,防火墙是策略得以实施的技术工具。所以,在建立规则集之前,我们必须理解安全策略。本文以一个简单的安全策略为例来说明如何建立规则集,管理层将该策略描述如下: ?内部雇员访问Internet不受限制; ?规定Internet有权使用公司的Web 服务器和Internet E mail; ?任何进入公用内部网络的通话必须经过安全认证和加密。 安全体系结构 作为管理员,我们的第一步是将安全策略转化为安全体系结构。现在,我们来讨论把每一项安全策略核心转化为技术实现。 ?第一项很容易。内部网络的任何东西都允许输出到Internet。 ?第二项安全策略核心很微妙。我们要为公司建立Web和E-mail服务器。我们通过把它们放入一个DMZ来实现该项策略核心。DMZ(Demilitarized Zone)是一个孤立的网络,你把不信任的系统放在那里。既然任何人都能访问我们的Web和E-mail服务器,我们不能信任它们。 ?唯一的从Internet到内部网络的通话是远程管理。我们必须让系统管理员能远程地访问他们的系统,实现的方式是只允许加密服务进入内部网络。 ?我们必须要添加DNS。作为安全管理员,要实现Split DNS。Split DNS是指在两台不同的服务器上分离DNS的功能,我们通过使用外部DNS服务器和内部用户使用的映射内部网络信息的内部DNS服务器来实现。可以将外部DNS服务器与Web和E-mail服务器一起放在有保护的DMZ 中。内部DNS服务器放在内部网络中,防止Internet危及内部DNS的安全。 规则次序
How-to---防火墙规则定义及其配置_图文(精)
防火墙规则定义及其配置 防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种ACL(Access Control List)。防火墙规则是由5个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL NSA系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。 防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的WEB网站,就属于从内网访问外网方向(LAN->WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网(WAN)到内网(LAN),从内网到外网,从内网到DMZ,从DMZ到内网,从DMZ到外网,从外网到DMZ等几种。最常用的就是从内网(LAN)到外网(WAN)的策略配置,因为要控制内网的用户到外网的访问。 在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。 SonicWALL NSA产品在出厂默认情况下,规则是从安全级别高的区域,如内网(LAN)到所有安全级别低的区域-------如外网(WAN)和DMZ--------是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。 下面以一个实例来说明防火墙策略配置的方法: 如图所示,某单位有很多不同网段和用户,每个网段的用户网络访问是不同的,需要在设备上做策略,需要下面几个步骤:
各系统说明及拓扑图
目录 各系统说明及拓扑图 (2) 一、视频会议系统拓扑图 (3) 二、投影系统拓扑图 (5) 三、门禁系统拓扑图 (6) 四、LED大屏系统拓扑图及说明 (7) 五、网络监控系统拓扑图及优势说明 (8) 六、楼宇对讲系统拓扑图及说明 (10) 七、红外报警系统拓扑图及说明 (17) 八、停车场管理系统拓扑图及说明 (18) 九、虚拟现实实验室拓扑图 (19)
各系统说明及拓扑图 河南思凯蓝通信科技有限公司成立于2012年,注册资金500万元,就是一家专业从事建筑智能化设计、系统集成、视讯及室内分布工程的高科技企业。已成为大型行业(政府及企业)信息化全面解决方案与产品的重要提供者,政府信息化建设的领航者。 公司秉承以人为本的企业理念,规范科学的管理与良好的经营机制使公司拥有了一些优秀管理人才与高级工程技术人才,现有员工三十人左右。为服务客户需求,公司特成立了技术支持与售后服务中心,专门负责系统分析、技术服务、工程设计与施工等。高素质、专业化的服务队伍加上严格的管理体系,使我们不仅能在技术上向用户提供全面的解决方案,而且更重要的就是,我们能够向用户提供包括专家咨询、业务指导与售后服务的长期保证。 公司一直以来与业界著名厂商保持密切合作关系,积累了丰富的IT专业人员资源、丰富的上游厂商资源、充足的备品备件资源与全国各地服务资源,可以为用户提供及时、高效、专业的技术支持。
一、视频会议系统拓扑图 视频会议将音视频会议、通信与Internet技术相融合,视频会议系统拓扑图之间决定了视频会议系统的实用性,可拓展行以及安全灵活性。由于软/硬件视频会议架构之间的优劣势不同,企业视频会议系统组网结构以及与会者参与方式不同,思凯蓝在视频会议系统拓扑图构建上具备丰富的行业经验,长期服务于大型企业视频会议系统的构架设计与实现,列举部分行业常见网络视频会议系统拓扑图作为参考。 视频会议系统拓扑图1
防火墙和访问控制列表讲解
首先为什么要研究安全? 什么是“计算机安全”?广义地讲,安全是指防止其他人利用、借助你的计算机或外围设备,做你不希望他们做的任何事情。首要问题是:“我们力图保护的是些什么资源?”答案并不是明确的.通常,对这个问题的答案是采取必要的主机专用措施。图5描述了目前的网络现壮。 图5 许多人都抱怨Windows漏洞太多,有的人甚至为这一个又一个的漏洞烦恼。为此,本文简要的向您介绍怎样才能架起网络安全防线。 禁用没用的服务 Windows提供了许许多多的服务,其实有许多我们是根本也用不上的。或许你还不知道,有些服务正为居心叵测的人开启后门。
Windows还有许多服务,在此不做过多地介绍。大家可以根据自己实际情况禁止某些服务。禁用不必要的服务,除了可以减少安全隐患,还可以增加Windows运行速度,何乐而不为呢? 打补丁 Microsoft公司时不时就会在网上免费提供一些补丁,有时间可以去打打补丁。除了可以增强兼容性外,更重要的是堵上已发现的安全漏洞。建议有能力的朋友可以根据自己的实际情况根据情况打适合自己补丁。 防火墙 选择一款彻底隔离病毒的办法,物理隔离Fortigate能够预防十多种黑客攻击, 分布式服务拒绝攻击DDOS(Distributed Denial-Of-Service attacks) ※SYN Attack ※ICMP Flood ※UDP Flood IP碎片攻击(IP Fragmentation attacks) ※Ping of Death attack ※Tear Drop attack ※Land attack 端口扫描攻击(Port Scan Attacks) IP源路由攻击(IP Source Attacks) IP Spoofing Attacks Address Sweep Attacks WinNuke Attacks 您可以配置Fortigate在受到攻击时发送警告邮件给管理员,最多可以指定3个邮件接受人。 防火墙的根本手段是隔离.安装防火墙后必须对其进行必要的设置和时刻日志跟踪。这样才能发挥其最大的威力。 而我们这里主要讲述防火墙概念以及与访问控制列表的联系。这里我综合了网上有关防火
ROS防火墙规则
ROS防火墙规则 Routeros防火墙功能非常灵活。routeros防火墙属于包过滤防火墙,你可以定义一系列的规则过滤掉发往routeros、从routeros发出、通过routeros转发的数据包。在routeros防火墙中定义了三个防火墙(过滤)链(即input、forward、output),你可以在这三个链当中定义你自己的规则。 input意思是指发往routeros自己的数据(也就是目的ip是routeros接口中的一个ip地址); output意思是指从routeros发出去的数据(也就是数据包源ip是routeros 接口中的一个ip地址); forward意思是指通过routeros转发的(比如你内部计算机访问外部网络,数据需要通过你的routeros进行转发出去)。 禁止pingrouteros,我们一般需要在input链中添加规则,因为数据包是发给routeros的,数据包的目标ip是routeros的一个接口ip地址。(当然如果你硬是要在output里建立一条规则过滤掉icmp信息也能做到ping不通,当你ping的数据包到达routeos时,routeos能接收这个数据包并做出回应,当routeros回应给你的包要发出去的时候会检查output的规则并过滤掉回应你的包。) 在每条链中的每条规则都有目标ip,源ip,进入的接口(ininterface),非常灵活的去建立规则。比如ROS禁止PING,禁止外网ping你routeros,只需要在in interface中选择你连外部网络的接口。禁止内部ping的话可以选择连你内部网络的接口。如果禁止所有的ping的话,那么接口选择all。当然禁止ping协议要选择icmp,action选择drop或reject。 另外要注意的就是,icmp协议并不是就指的是ping,而是ping是使用icmp 协议中的一种(我们ping出去发送的数据包icmp协议的类型为8代码为0,在routeros中写为icmp-options=8:0;而我们对ping做出回应icmp类型为0代码为0),还有很多东西也属于icmp协议。打个比方,如果你禁止内部网络ping 所有外部网络,可以在forward链中建立一条规则,协议为icmp,action为
SonicWALL NSA UTM防火墙规则说明
防火墙的基本功能就是实现对于内外网之间的访问控制,和路由器及交换机产品类似,防火墙也使用一种策略的规则来实现管理,这也是一种ACL(Access Control List)。防火墙规则是由5个部分组成,源地址、源端口、目的地址、目的端口、执行动作来决定。SonicWALL NSA系列产品都是采用基于对象的控制方式,通过定义不同的对象,然后把它们组合到一条策略中,来实现访问规则的配置。 防火墙规则能够控制到单向访问,配置防火墙策略,首先需要判定访问方向,如果方向不对,就会出现配置好的策略不起作用,或根本无法达到应有的目的等情况。访问方向的是按照发起方来进行判定的,如从内网访问外网的WEB网站,就属于从内网访问外网方向(LAN->WAN)。不同方向的访问规则不会相互干扰。常见的防火墙策略的方向分为从外网(WAN)到内网(LAN),从内网到外网,从内网到DMZ,从DMZ到内网,从DMZ到外网,从外网到DMZ等几种。最常用的就是从内网(LAN)到外网(WAN)的策略配置,因为要控制内网的用户到外网的访问。 在配置几条策略在一个访问方向的时候,需要注意到是策略的排列,防火墙产品对于策略的匹配是有规则的,上面的规则优先于下面的规则,(上面是指在规则界面中排在上方的规则),当防火墙进行策略匹配时,一旦查询到一条匹配规则,防火墙将停止向下查询。如果同时需要做几个规则,需要考虑这几条规则的逻辑关系。 SonicWALL NSA产品在出厂默认情况下,规则是从安全级别高的区域,如内网(LAN)到所有安全级别低的区域-------如外网(WAN)和DMZ--------是允许访问的,而从安全级别低的区域到安全级别高的区域,是禁止访问的。 SonicWALL UTM防火墙是基于对象管理的,防火墙规则是在各个安全区域之间定义的。只要把一个物理端口划分到一个安全区域,在防火墙的Firewall->Access Rules界面就可以定制各个区域之间的安全规则。默认情况下,SonicWALL防火墙会自动产生各个安全区域之间的默认规则,用户可以自己删除,修改默认规则,也可以增加自定义的其它规则。下面的一个例子是TZ200W 防火墙的配置举例。一个LAN安全区域(X0,X5),一个WAN区域(包含X1,X2,X3三个端口),一个DMZ安全区域(包含X4,X6),一个WLAN安全区域(W0无线端口)。一个安全区域包含哪些端口,可以在Network->PortShield Groups界面配置。 在Network->PortShield Group界面,可以配置X2到X6口的用途,也就是对X2到X6口进行分组,一组端口相当于在一个L2 交换上连接。X2到X6口的任意一个端口即可单独做为一个独立的三层端口使用,也可以配置成PortShield到X0 LAN或者任何的DMZ的端口。PortShield的含义是把几个端口放在一个L2的交换机上。下面的例子是X5 PortShield到X0口,就是X5和X0在一个L2交换机上,以X0口IP 作为默认的网关,X1,X2,X3是三个独立的端口(在Network->Interfaces界面分别配置到WAN 的安全区域),X4是独立的端口(在Network->Interfaces界面配置到DMZ 的安全区域),X6端口Portshield到X4端口,就是X6 和X4口在一个L2 交换机上,以X4口IP 作为默认网关。从上面的图中可以看出,虽然X5口PortShield 到X0口,X6 口PortShield到X4口,但是X5,X6口本身不出现在Network->Interfaces的界面,他们相当于是X0口和X4口分别连接L2交换机扩展出来的端口。