防火墙的基本配置
防火墙配置
目录
一.防火墙的基本配置原则 (3)
1.防火墙两种情况配置 (3)
2.防火墙的配置中的三个基本原则 (3)
3.网络拓扑图 (4)
二.方案设计原则 (4)
1. 先进性与成熟性 (4)
2. 实用性与经济性 (5)
3. 扩展性与兼容性 (5)
4. 标准化与开放性 (5)
5. 安全性与可维护性 (5)
6. 整合型好 (5)
三.防火墙的初始配置 (6)
1.简述 (6)
2.防火墙的具体配置步骤 (6)
四. Cisco PIX防火墙的基本配置 (8)
1. 连接 (8)
2. 初始化配置 (8)
3. enable命令 (8)
4.定义以太端口 (8)
5. clock (8)
6. 指定接口的安全级别 (9)
7. 配置以太网接口IP地址 (9)
8. access-group (9)
9.配置访问列表 (9)
10. 地址转换(NAT) (10)
11. Port Redirection with Statics (10)
1.命令 (10)
2.实例 (11)
12. 显示与保存结果 (12)
五.过滤型防火墙的访问控制表(ACL)配置 (13)
1. access-list:用于创建访问规则 (13)
2. clear access-list counters:清除访问列表规则的统计信息 (14)
3. ip access-grou (15)
4. show access-list (15)
5. show firewall (16)
一.防火墙的基本配置原则
1.防火墙两种情况配置
拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。
允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3和SMTP的进程。
2.防火墙的配置中的三个基本原则
(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。
每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。
(2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。
(3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境中,80%
以上的威胁都来自内部,所以我们要树立防内的观念,从根本上改变过去那种防外不防内的传统观念。对内部威胁可以采取其它安全措施,比如入侵检测、主机防护、漏洞扫描、病毒查杀。这方面体现在防火墙配置方面就是要引入全面防护的观念,最好能部署与上述内部防护手段一起联动的机制。目前来说,要做到这一点比较困难。
3.网络拓扑图
二.方案设计原则
1. 先进性与成熟性
采用当今国内、国际上先进和成熟的计算机应用技术,使搭建的硬件平台能够最大限度的适应今后的办公自动化技术和系统维护的需要。从现阶段的发展来看,系统的总体设计的先进性原则主要体现在使用Thin-Client/Server计算机体系是先进的、开放的体系结构,当系统应用量发生变化时具备良好的可伸缩性,避免瓶颈的出现。
2. 实用性与经济性
实用性就是能够最大限度地满足实际工作的要求,是每个系统平台在搭建过程中必须考虑的一种系统性能,它是对用户最基本的承诺。办公自动化硬件平台是为实际使用而建立,应避免过度追求超前技术而浪费投资。
3. 扩展性与兼容性
系统设计除了可以适应目前的应用需要以外,应充分考虑日后的应用发展需要,随着数据量的扩大,用户数的增加以及应用范围的拓展,只要相应的调整硬件设备即可满足需求。通过采用先进的存储平台,保证对海量数据的存取、查询以及统计等的高性能和高效率。同时考虑整个平台的统一管理,监控,降低管理成本。
4. 标准化与开放性
系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及外界信息的沟通。
计算机软硬件和网络技术有国际和国内的标准,但技术标准不可能详细得面面俱到,在一些技术细节上各个生产厂商按照自己的喜好设计开发,结果造成一些产品只能在较低的层面上互通,在较高层面或某些具体方面不能互通。我们不但选用符合标准的产品,而且尽量选用市场占有率高、且发展前景好的产品,以提高系统互通性和开放性。
5. 安全性与可维护性
随着应用的发展,系统需要处理的数据量将有较大的增长,并且将涉及到各类的关键性应用,系统的稳定性和安全性要求都相对较高,任意时刻系统故障都可能给用户带来不可估量的损失,建议采用负载均衡的服务器群组来提高系统整体的高可用。
6. 整合型好
当前采用企业级的域控制管理模式,方便对所有公司内所有终端用户的管理,同时又可以将公司里计算机的纳入管理范围,极大地降低了网络维护量,并能整体提高当前网络安全管理!
三.防火墙的初始配置
1.简述
像路由器一样,在使用之前,防火墙也需要经过基本的初始配置。但因各种防火墙的初始配置基本类似,所以在此仅以Cisco PIX防火墙为例进行介绍。
防火墙的初始配置也是通过控制端口(Console)与PC机(通常是便于移动的笔记本电脑)的串口连接,再通过Windows系统自带的超级终端(HyperTerminal)程序进行选项配置。防火墙的初始配置物理连接与前面介绍的交换机初始配置连接方法一样。
防火墙除了以上所说的通过控制端口(Console)进行初始配置外,也可以通过telnet 和Tffp配置方式进行高级配置,但Telnet配置方式都是在命令方式中配置,难度较大,而Tffp方式需要专用的Tffp服务器软件,但配置界面比较友好。
防火墙与路由器一样也有四种用户配置模式,即:普通模式(Unprivileged mode)、特权模式(Privileged Mode)、配置模式(Configuration Mode)和端口模式(Interface Mode),进入这四种用户模式的命令也与路由器一样:
普通用户模式无需特别命令,启动后即进入;
进入特权用户模式的命令为"enable";进入配置模式的命令为"config terminal";而进入端口模式的命令为"interface ethernet()"。不过因为防火墙的端口没有路由器那么复杂,所以通常把端口模式归为配置模式,统称为"全局配置模式"。
2.防火墙的具体配置步骤
1. 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。
2. 打开PIX防火电源,让系统加电初始化,然后开启与防火墙连接的主机。
3. 运行笔记本电脑Windows系统中的超级终端(HyperTerminal)程序(通常在"附件"程序组中)。对超级终端的配置与交换机或路由器的配置一样,参见本教程前面有关介绍。
4. 当PIX防火墙进入系统后即显示"pixfirewall>"的提示符,这就证明防火墙已启动成功,所进入的是防火墙用户模式。可以进行进一步的配置了。
5. 输入命令:enable,进入特权用户模式,此时系统提示为:pixfirewall#。
Fortigate防火墙安全配置规范
Fortigate防火墙安全配置规范
1.概述 1.1. 目的 本规范明确了Fortigate防火墙安全配置方面的基本要求。为了提高Fortigate防火墙的安全性而提出的。 1.2. 范围 本标准适用于 XXXX使用的Fortigate 60防火墙的整体安全配置,针对不同型号详细的配置操作可以和产品用户手册中的相关内容相对应。
2.设备基本设置 2.1. 配置设备名称 制定一个全网统一的名称规范,以便管理。 2.2. 配置设备时钟 建议采用NTP server同步全网设备时钟。如果没有时钟服务器,则手工设置,注意做HA的两台设备的时钟要一致。 2.3. 设置Admin口令 缺省情况下,admin的口令为空,需要设置一个口令。密码长度不少于8个字符,且密码复杂。 2.4. 设置LCD口令 从设备前面板的LCD可以设置各接口IP地址、设备模式等。需要设置口令,只允许管理员修改。密码长度不少于8个字符,且密码复杂。 2.5. 用户管理 用户管理部分实现的是对使用防火墙某些功能的需认证用户(如需用户认证激活的防火墙策略、IPSEC扩展认证等)的管理,注意和防火墙管理员用于区分。用户可以直接在fortigate上添加,或者使用RADIUS、LDAP服务器上的用户数据库实现用户身份认证。 单个用户需要归并为用户组,防火墙策略、IPSEC扩展认证都是和用户组关联的。 2.6. 设备管理权限设置 为每个设备接口设置访问权限,如下表所示:
接口名称允许的访问方式 Port1 Ping/HTTPS/SSH Port2 Ping/HTTPS/SSH Port3 Ping/HTTPS/SSH Port4 HA心跳线,不提供管理方式 Port5 (保留) Port6 (保留) 且只允许内网的可信主机管理Fortinet设备。 2.7. 管理会话超时 管理会话空闲超时不要太长,缺省5分钟是合适的。 2.8. SNMP设置 设置SNMP Community值和TrapHost的IP。监控接口状态及接口流量、监控CPU/Memory等系统资源使用情况。 2.9. 系统日志设置 系统日志是了解设备运行情况、网络流量的最原始的数据,系统日志功能是设备有效管理维护的基础。在启用日志功能前首先要做日志配置,包括日志保存的位 置(fortigate内存、syslog服务器等)、需要激活日志功能的安全模块等。如下图 所示:
系统安全配置技术规范-Cisco防火墙
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
东软防火墙配置过程
(一)初始化设备 1)初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
(2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH (4) SCM Please input a choice[1-4](1)(example: 1,2,3):1,2,3,4 Password(6-128): < 密码> Repeat Password(6-128): < 密码> 选择y,添加ycz用户,设备相应密码,Web管理,Telnet。
防火墙方案
防火墙方案
防火墙方案
区域逻辑隔离建设(防火墙) 国家等级保护政策要求不同安全级别的系统要进行逻辑隔离,各区域之间能够按照用户和系统之间的允许访问规则控制单个用户,决定允许或者禁止用户对受控系统的资源访问。 国家等级化保护政策要求不同安全级别间的系统要进行区域的逻辑隔离,各区域之间能按照用户和系统之间的允许访问规则,控制担搁用户,决定允许或者拒绝用户对受控系统的资源访问。 在网络边界部署防火墙系统,并与原有防火墙形成双机热备,部署防火墙能够实现: 1.网络安全的基础屏障: 防火墙能极大地提高一个内部网络的安全性,并经过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能经过防火墙,因此网络环境变得更安全。如防火墙能够禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时能够保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙能够拒绝所有以上类型攻击的报文并通知防火墙管理员。 2.强化网络安全策略
经过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在网络访问时,一次一密口令系统和其它的身份认证系统完全能够不必分散在各个主机上,而集中在防火墙一身上。 3.对网络存取和访问进行监控审计 如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并作出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的。首先的理由是能够清楚防火墙是否能够抵挡攻击者的探测和攻击,而且清楚防火墙的控制是否充分。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4.防止内部信息的外泄 经过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者,隐私是内部网络非常关心的问题,一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣,甚至因此而曝露了内部网络的某些安全漏洞。使用防火墙就能够隐蔽那些透漏内部细节如Finger,DNS等服务。
防火墙的基本配置原则
本篇要为大家介绍一些实用的知识,那就是如何配置防火中的安全策略。但要注意的是,防火墙的具体配置方法也不是千篇一律的,不要说不同品牌,就是同一品牌的不同型号也不完全一样,所以在此也只能对一些通用防火墙配置方法作一基本介绍。同时,具体的防火墙策略配置会因具体的应用环境不同而有较大区别。首先介绍一些基本的配置原则。 一. 防火墙的基本配置原则 默认情况下,所有的防火墙都是按以下两种情况配置的: ?拒绝所有的流量,这需要在你的网络中特殊指定能够进入和出去的流量的一些类型。 ?允许所有的流量,这种情况需要你特殊指定要拒绝的流量的类型。可论证地,大多数防火墙默认都是拒绝所有的流量作为安全选项。一旦你安装防火墙后,你需要打开一些必要的端口来使防火墙内的用户在通过验证之后可以访问系统。换句话说,如果你想让你的员工们能够发送和接收Email,你必须在防火墙上设置相应的规则或开启允许POP3 和SMTP 的进程。 在防火墙的配置中,我们首先要遵循的原则就是安全实用,从这个角度考虑,在防火墙的配置过程中需坚持以下三个基本原则:(1). 简单实用:对防火墙环境设计来讲,首要的就是越简单越好。其实这也是任何事物的基本原则。越简单的实现方式,越容易理解和使用。而且是设计越简单,越不容易出错,防火墙的安全功能越容易得到保证,管理也越可靠和简便。 每种产品在开发前都会有其主要功能定位,比如防火墙产品的初衷就是实现网络之间的安全控制,入侵检测产品主要针对网络非法行为进行监控。但是随着技术的成熟和发展,这些产品在原来的主要功能之外或多或少地增加了一些增值功能,比如在防火墙上增加了查杀病毒、入侵检测等功能,在入侵检测上增加了病毒查杀功能。但是这些增值功能并不是所有应用环境都需要,在配置时我们也可针对具体应用环境进行配置,不必要对每一功能都详细配置,这样一则会大大增强配置难度,同时还可能因各方面配置不协调,引起新的安全漏洞,得不偿失。 (2). 全面深入:单一的防御措施是难以保障系统的安全的,只有采用全面的、多层次的深层防御战略体系才能实现系统的真正安全。在防火墙配置中,我们不要停留在几个表面的防火墙语句上,而应系统地看等整个网络的安全防护体系,尽量使各方面的配置相互加强,从深层次上防护整个系统。这方面可以体现在两个方面:一方面体现在防火墙系统的部署上,多层次的防火墙部署体系,即采用集互联网边界防火墙、部门边界防火墙和主机防火墙于一体的层次防御;另一方面将入侵检测、网络加密、病毒查杀等多种安全措施结合在一起的多层安全体系。 3). 内外兼顾:防火墙的一个特点是防外不防内,其实在现实的网络环境
防火墙设备安全配置作业指导书(安全加固)
v1.0 可编辑可修改 安全配置作业指导书 防火墙设备 XXXX集团公司 2012年7月
前言 为规范XXXX集团公司网络设备的安全管理,建立统一的防火墙设备安全配置标准,特制定本安全配置作业指导书。 本技术基线由XXXX集团公司提出并归口 本技术基线起草单位:XXXX集团公司 本技术基线主要起草人: 本技术基线主要审核人:
目录 1.适用范围 (1) 2.规范性引用文件 (1) 3.术语和定义 (1) 4.防火墙安全配置规范 (2) 4.1.防火墙自身安全性检查 (2) 4.1.1.检查系统时间是否准确 (2) 4.1.2.检查是否存在分级用户管理 (3) 4.1.3.密码认证登录 (3) 4.1.4.登陆认证机制 (4) 4.1.5.登陆失败处理机制 (5) 4.1.6.检查是否做配置的定期备份 (6) 4.1.7.检查双防火墙冗余情况下,主备切换情况 (7) 4.1.8.防止信息在网络传输过程中被窃听 (8) 4.1.9.设备登录地址进行限制 (9) 4.1.10.SNMP访问控制 (10) 4.1.11.防火墙自带的病毒库、入侵防御库、应用识别、web过滤为模块及时升级11 4.2.防火墙业务防御检查 (12) 4.2.1.启用安全域控制功能 (12) 4.2.2.检查防火墙访问控制策略 (13) 4.2.3.防火墙访问控制粒度检查 (14) 4.2.4.检查防火墙的地址转换情况 (15) 4.3.日志与审计检查 (16) 4.3.1.设备日志的参数配置 (16) 4.3.2.防火墙流量日志检查 (17) 4.3.3.防火墙设备的审计记录 (17)
部署防火墙的步骤
部署防火墙的步骤 部署防火墙的步骤一#转换特权用户pixfirewall>ena pixfirewall# #进入全局配置模式 pixfirewall# conf t #激活内外端口 interface ethernet0 auto interface ethernet1 auto #下面两句配置内外端口的安全级别 nameif ethernet0 outside security0 nameif ethernet1 inside security100 #配置防火墙的用户信息 enable password pix515 hostname pix515 domain-name domain #下面几句配置内外网卡的ip地址 ip address inside 192.168.4.1 255.255.255.0 ip address outside 公网ip 公网ip子网掩码global (outside) 1 interface nat (inside) 1 192.168.4.0 255.255.255.0 0 0
#下面两句将定义转发公网ip的ssh和www服务到192.168.4.2 static (inside,outside) tcp 公网ip www 192.168.4.2 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 公网ip ssh 192.168.4.2 ssh netmask 255.255.255.255 0 0 #下面两句将定义外部允许访问内部主机的服务 conduit permit tcp host 公网ip eq www any conduit permit tcp host 公网ip eq ssh 信任ip 255.255.255.255 #允许内部服务器telnet pix telnet 192.168.4.2 255.255.255.0 inside #下面这句允许ping conduit permit icmp any any #下面这句路由网关 route outside 0.0.0.0 0.0.0.0 公网ip网关 1 #保存配置 write memory 部署防火墙的步骤二步骤一:安装程序时 许多程序在安装时都要求关闭防火墙(如wps office 2003)。有些程序虽然并未直接明示,但若不及时关闭,就有可能造成安装失败,比如弹出“读取错误”、“安装*.exe出错”等信息,或者干脆死机,或者安装上去之后不能正常使用。笔者在安装金山影霸、office xp等程序时已经屡经验证。
(2020年最新版本)防火墙安全管理规定
1目的 Objective 规范防火墙系统的安全管理,保障公司防火墙系统的安全。 2适用范围 Scope 本规定适用于公司范围内所有防火墙系统、防火墙策略的维护与管理。 3定义 DMZ(demilitarized zone):中文名称为“隔离区”,也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。通常,它放在外网和内网中间,是内网中不被信任的系统。在进行防火墙设置时可阻断内网对DMZ的公开访问,尤其禁止DMZ到内网的主动连接。 GRE(Generic Routing Encapsulation):即通用路由封装协议,它提供了将一种协议的报文封装在另一种协议报文中的机制,使报文能够在异种网络中传输。 VPN(Virtual Private Networking):即虚拟专用网,VPN是用以实现通过公用网络(Internet)上构建私人专用网络的一种技术。 4管理细则 4.1基本管理原则 1.公司IT系统不允许直接和外部网络连接(包括Internet、合资公司等等),必须经 过防火墙的限制保护。防火墙的建设、安装须遵守《防火墙建设规范》。 2.防火墙指令的配置须严格遵守附件一《防火墙指令描述格式》。 3.防火墙口令设置参照《帐号和口令标准》,并由安全控制办统一管理。 4.防火墙日志管理参照《系统日志管理规定》。 5.防火墙变更管理参照《IT生产环境变更管理流程》。 6.防火墙不允许直接通过Internet管理;内部管理IP地址只允许相关人员知晓。 7.防火墙紧急开通策略有效期为2周。如2周内没有申请防火墙策略,则将自动失效。 8.在非工作时间处理防火墙紧急申请须遵循《紧急故障处理Token卡管理规定》。 4.2防火墙系统配置细则 1.当防火墙启动VPN功能时,需使用IPSEC进行隧道加密:认证算法采用SHA-1,加密 算法采用3DES算法。
实验:防火墙基本配置
实验七交换机基本配置 一、实验目的 (1)使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理,行能根据需要进行简单网络的规划和设计。 实验设备与器材 熟悉交换机开机界面; (2)掌握Quidway S系列中低端交换机几种常用配置方法; (3)掌握Quidway S系列中低端交换机基本配置命令。 二、实验环境 Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。 交换机,标准Console配置线。 三、实验内容 学习使用Quidway R2611模块化路由器的访问控制列表(ACL)进行防火墙实验。 预备知识 1、防火墙 防火墙作为Internet访问控制的基本技术,其主要作用是监视和过滤通过它的数据包,根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃,以拒绝非法用户访问网络并保障合法用户正常工作。 2、包过滤技术 一般情况下,包过滤是指对转发IP数据包的过滤。对路由器需要转发的数据包,先获取包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等,然后与设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。 3、访问控制列表 路由器为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACL(Access Control List)定义的。
访问控制列表是由permit | deny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到路由器接口上,路由器根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。 访问控制列表(Access Control List )的作用 访问控制列表可以用于防火墙; 访问控制列表可用于Qos(Quality of Service),对数据流量进行控制; 访问控制列表还可以用于地址转换; 在配置路由策略时,可以利用访问控制列表来作路由信息的过滤。 一个IP数据包如下图所示(图中IP所承载的上层协议为TCP) ACL示意图 ACL的分类 按照访问控制列表的用途,可以分为四类: ●基本的访问控制列表(basic acl) ●高级的访问控制列表(advanced acl) ●基于接口的访问控制列表(interface-based acl) ●基于MAC的访问控制列表(mac-based acl) 访问控制列表的使用用途是依靠数字的范围来指定的,1000~1999是基于接口的访问控制列表,2000~2999范围的数字型访问控制列表是基本的访问控制列表,3000~3999范围的数字型访问控制列表是高级的访问控制列表,4000~4999范围的数字型访问控制列表是基于MAC地址访问控制列表。 4、防火墙的配置项目 防火墙的配置包括:
防火墙安全配置规范试题
防火墙安全配置规范试题 总分:100分时间:70分钟姓名:_____________ 工号:__________ 一、判断题(每题2分,共20分) 1、工程师开局需要使用推荐版本和补丁。(对) 2、防火墙Console口缺省没有密码,任何人都可以使用Console口登录设备。(错) 3、一般情况下把防火墙连接的不安全网络加入低优先级域,安全网络加入高优先级域 (对) 4、防火墙缺省包过滤默认是打开的。(错) 5、防火墙local域和其它域inbound方向可以不做安全策略控制。(错) 6、防火墙双机热备场景下,HRP心跳线可以只用一条物理链路。(错) 7、原则上SNMP需要采用安全的版本,不得采用默认的community,禁用SNMP写功能, 配置SNMP访问列表限制访问。(对) 8、防火墙可以一直开启ftp server功能。(错) 9、远程登录防火墙建议使用SSH方式。(对) 10、正确设置设备的系统时间,确保时间的正确性。(对) 二、单选题(每题3分,共36分) 1. 防火墙一般部署在内网和外网之间,为了保护内网的安全,防火墙提出了一种区别路由 器的新概念(A),用来保障网络安全。 A. 安全区域 B. 接口检测 C. 虚拟通道 D. 认证与授权 2. 防火墙默认有4 个安全区域,安全域优先级从高到低的排序是(C) A. Trust、Untrust 、DMZ、Local B. Local、DMZ 、Trust 、Untrust
C. Local、Trust、DMZ 、Untrust D. Trust 、Local、DMZ 、Untrust 3. 针对防火墙安全功能描述错误的是(D) A. 防火墙可以划分为不同级别的安全区域,优先级从1-100 B. 一般将内网放入Trust 域,服务器放入 DMZ 域,外网属于Untrust 域 C. 要求在域间配置严格的包过滤策略 D. 防火墙默认域间缺省包过滤是permit 的 4.防火墙Console口缺省用户名和密码是( D) A. huawei;huawei B. huawei;huawei@123 C. root;huawei D. admin;Admin@123 5.防火墙登录密码必须使用强密码,什么是强密码?(D ) A.长度大于8,同时包含数字、字母 B.包含数字,字母、特殊字符 C.包含数字,字母 D.长度大于8,同时包含数字、字母、特殊字符 6.对于防火墙域间安全策略,下面描述正确的是() A.防火墙域间可以配置缺省包过滤,即允许所有的流量通过 B.域间inbound方向安全策略可以全部放开 C.域间outbound方向安全策略可以全部放开 D.禁止使用缺省包过滤,域间要配置严格的包过滤策略;若要使用缺省包过滤,需得 到客户书面授权。
防火墙安全规则和配置
网络安全是一个系统的概念,有效的安全策略或方案的制定,是网络信 息安全的首要目标。网络安全技术主要有,认证授权、数据加密、访问 控制、安全审计等。而提供安全网关服务的类型有:地址转换、包过滤、 应用代理、访问控制和DoS防御。本文主要介绍地址转换和访问控制两 种安全网关服务,利用cisco路由器对ISDN拨号上网做安全规则设置。 试验环境是一台有fir ewall 版本IOS的cisco2621 路由器、一台交换 机组成的局域网利用ISDN拨号上网。 一、地址转换 我们知道,Internet 技术是基丁IP协议的技术,所有的信息通信都 是通过IP包来实现的,每一个设备需要进行通信都必须有一个唯一的 IP地址。因此,当一个网络需要接入Inte rnet的时候,需要在Internet 上进行通信的设备就必须有一个在全球Internet 网络上唯一的地址。当一个网络需要接入Internet 上使用时,网络中的每一台设备都有一个I nternet 地址,这在实行各种Internet 应用上当然是最理想不过的。但 是,这样也导致每一个设备都暴露在网络上,任何人都可以对这些设备 攻击,同时由丁I nternet目前采用的IPV4协议在网络发展到现在,所 剩下的可用的IP地址已经不多了,网络中的每一台设备都需要一个IP 地址,这几乎是不可能的事情。 采用端口地址转换,管理员只需要设定一个可以用作端口地址转换的公 有Internet 地址,用户的访问将会映射到IP池中IP的一个端口上去, 这使每个合法Internet IP 可以映射六万多台部网主机。从而隐藏部网
路地址信息,使外界无法直接访问部网络设备。 Cisco路由器提供了几种NAT转换的功能: 1、部地址与出口地址的——对应 缺点:在出口地址资源稀少的情况下只能使较少主机连到internet 。2、部地址分享出口地址 路由器利用出口地址和端口号以及外部主机地址和端口号作为接口。其 中部地址的端口号为随机产生的大丁1024的,而外部主机端口号为公认 的标准端口号。这样可以用同一个出口地址来分配不同的端口号连接任 意数量的部主机到外网。 具体配置:由丁实验用的是ISDN拨号上网,在internet 上只能随机获得出口地址,所以NAT转换的地址池设置为BRI 口上拨号所获得的地址。interface FastEthernet0/0 ip address 172.16.18.200 255.255.255.0 ip nat inside the interface connected to inside world ! interface BRI0/0 ip address negotiated ip nat outside the interface connected to outside network encapsulation ppp no ip split-horizon dialer string 163 dialer load-threshold 150 inbound
防火墙基础知识
防火墙基础知识 一、防火墙与路由器的异同: 1、防火墙的登陆管理方式及基本配置是一样,有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略,防火墙具备强大的访问控制:分 组对象。 3、路由器是默认的端口是开放的,防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口,路由器的登陆方式一样 2、telnet登陆,需要设置 3、SSH登陆,同telnet登陆一样 三、防火墙的用户模式: 1、用户模式:PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525(config)# 4、局部配置模式PIX525(config-if)# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口,外网口、内网口、DMZ 端口,主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0
nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关 route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关 路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525(config)# object-group service word TCP PIX525(config-if)port-object eq 8866 先在服务的对象分组中开放一个端口,在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255
Windows_7防火墙设置详解
Windows 7防火墙设置详解(一) 文介绍Windows 7防火墙的设置方法,自从Vista开始,Windows的防火墙功能已经是越加臻于完善、今非昔比了,系统防火墙已经成为系统的一个不可或缺的部分,不再像XP那样防护功能简单、配置单一,所以无论是安装哪个第三方防火墙,Windows 7自带的系统防火墙都不应该被关闭掉,反而应该学着使用和熟悉它,对我们的系统信息保护将会大有裨益。 防火墙有软件的也有硬件德,当然了,其实硬件仍然是按照软件的逻辑进行工作的,所以也并非所有的硬防就一定比软防好,防火墙的作用是用来检查网络或Internet的交互信息,并根据一定的规则设置阻止或许可这些信息包通过,从而实现保护计算机的目的,下面这张图是Windows 7帮助里截出来的工作原理图: Windows 7防火墙的常规设置方法还算比较简单,依次打开“计算机”——“控制面板”——“Windows防火墙”,如下图所示:
上图中,天缘启用的是工作网络,家庭网络和工作网络同属于私有网络,或者叫专用网络,图下面还有个公用网络,实际上Windows 7已经支持对不同网络类型进行独立配置,而不会互相影响,这是windows 7的一个改进点。图2中除了右侧是两个帮助连接,全部设置都在左侧,如果需要设置网络连接,可以点击左侧下面的网络和共享中心,具体设置方法,可以参考《Windows 7的ADSL网络连接和拨号连接设置方法》和《Windows 7的网络连接和共享设置教程》两篇文章,另外如果对家庭网络、工作网络和公用网络有疑问也可参考一下。 下面来看一下Windows 7防火墙的几个常规设置方法: 一、打开和关闭Windows防火墙
1.1防火墙基本配置
实验一防火墙基本配置 【实验目的】 掌握Web方式配置防火墙,实现不同局域网防火墙连接. 【背景描述】 你是某公司新进的网管,公司要求你熟悉网络产品,公司采用全系列锐捷网络产品,首先要求你登录防火墙,了解并掌握防火墙的Web操作方式. 【实现功能】 熟练掌握防火墙Web操作模式. 【实验设备】 RG-60防火墙(2台) 【实验步骤】 『第一步』管理员证书 管理员可以用证书方式进行身份认证。证书包括 CA 证书、防火墙证书、防火墙私钥、管理员证书。前三项必须导入防火墙中,后一个同时要导入管理主机的IE 中。 证书文件有两种编码格式:PEM 和DER,后缀名可以有pem,der,cer,crt 等多种,后缀名与编码格式没有必然联系。 CA 证书、防火墙证书和防火墙私钥只支持PEM 编码格式,cacert.crt 和cacert.pem 是完全相同的文件。管理员证书支持PEM 和DER 两种,因此提供administrator.crt 和administrator.der 证书administrator.crt 和administrator.pem 是完全相同的文件。*.p12 文件是将CA、证书和私钥打包的文件。 『第二步』管理员首次登录 正确管理防火墙前,需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理 IP、防火墙管 理方式。 ●默认管理员帐号为 admin,密码为firewall ●默认管理口:防火墙 WAN 口 ●可管理 IP:WAN 口上的默认IP 地址为192.168.10.100/255.255.255.0 ●管理主机:默认为 192.168.10.200/255.255.255.0 ●默认管理方式:(1)管理主机用交叉线与WAN 口连接(2)用电子钥匙进行身份认证(3)访问https://防火墙可管理IP 地址:6667(注:若用证书进行认证,则访问https://防
防火墙的配置及应用
防火墙的配置及应用 一、防火墙概念: 防火墙是指设置在不同网络之间,比如可信任的内部网和不可信的公共网,或者不同网络安全域之间的软硬件系统组合。 它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来保护企业内部网络的安全。防火墙是企业网络安全的屏蔽,它可以强化网络安全策略,对网络访问和内部资源使用进行监控审计,防止敏感信息的泄漏。 二、如何合理实施防火墙的配置呢? 1.动态包过滤技术,动态维护通过防火墙的所有通信的状态(连接),基于连接的过滤; 2.可以作为部署NAT(Network Address Translation,网络地址变换)的地点,利用NAT技术,将有限的IP地址动态或静态地与内部的IP地址对应起来,用来缓解地址空间短缺的问题; 3.可以设置信任域与不信任域之间数据出入的策略; 4.可以定义规则计划,使得系统在某一时可以自动启用和关闭策略; 5.具有详细的日志功能,提供防火墙符合规则报文的信息、系统管理信息、系统故障信息的记录,并支持日志服务器和日志导出; 6.具有IPSec VPN功能,可以实现跨互联网安全的远程访问; 7.具有邮件通知功能,可以将系统的告警通过发送邮件通知网络管理员; 8.具有攻击防护功能对不规则的IP、TCP报或超过经验阀值的TCP半连接、UDP报文以及ICMP报文采取丢弃; 9.Web中的Java, ActiveX, Cookie、URL关键字、Proxy进行过滤。 三、Windows 系统中的防火墙实例 1、打开Windows XP的访问控制面板,这里包括Windows 自带防火墙。
东软防火墙配置过程
(一)初始化设备 1) 初始化配置步骤: 1.用超级终端通过串口控制台连接(RJ-45 null-modem 线缆)来完成初始配置。完成初始配置后,可不再使用控制台。 2.打开NetEye 设备的电源开关。 3.终端控制台将显示如下提示: LILO 22.7.1 1 NetEye_FW_4_2_build_200080.install 2 bootmgr Press key '2' to enter BOOTMGR command mode 该提示信息将显示约5 秒钟,在此期间输入1 并按回车。 4.配置设备。 Config the firewall or quit (y/n)(n)y 5.修改主机名。 Please input the host name for this system Host name:
10:22:36 7.设置系统语言。 Please set system language (1) English (2) Chinese Please input a choice[1-2,q](2) <1、2 或q> 选择2,中文,回车 8.更改根管理员口令。(此步骤可选,但东软强烈建议首次登录后修改口令。) Changing default password of root?(y/n)(y): Old password(6-128): neteye Password(6-128): < 新密码> Repeat Password(6-128): < 新密码> 这里我们不更改它的默认密码,选择n 9.添加根系统管理员及选择登录方式。 Creating an administrator?(y/n)(y): Username: < 用户名> Please select a login type (1) Web (2) Telnet (3) SSH
防火墙安全策略配置
防火墙安全策略配置 -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
一、防火墙设置外网不能访问内网的方法: 1、登录到天融信防火墙集中管理器; 2、打开“高级管理”→“网络对象”→“内网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”→“子网”,填入子网名称(自己命名),如“120段”,地址范围中,输入能够上网机器的所有IP范围(能够上网的电脑IP 范围)。点击确定。 3、在“网络对象”中选择“外网”,在右边窗口空白处点击右键,在弹出的快捷菜单中选择“定义新对象”“子网”,填入子网名称(自己命名),如“外网IP”,地址范围中,输入所有IP范围。点击确定。
4、访问策略设置 A、在“高级管理”中选择“访问策略”“内网”,在右边的窗口中,点击右键,选择“增加”,点击“下一步”。 B、在“策略源”中选择“外网IP”(刚才设置的外网IP),点击“下一步”。
C、在“策略目的”中选择“内网”和“120段”(刚才设置的上网IP),点击“下一步”。
D、在“策略服务”中,我们不做任何选择,直接点击“下一步”。(因为我们要限制所有外网对我们内网的访问,在此我们要禁用所有服务,因此不做选择) E、在“访问控制”中,“访问权限”选择“禁止”(因为我们上一步没有选择服务,在此我们选择禁止,表示我们将禁止外网对我们的所有服务),“访问时间”选择“任何”,“日志选项”选择“日志会话”,其他的不做修改,点击“下一步”。
F、最后,点击“完成”。 5、至此,我们就完成了对外网访问内网的设置。
防火墙基础知识与配置
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。
中国移动安氏防火墙安全配置规范V1.
中国移动安氏防火墙安全配 置规范 S p e c i f i c a t i o n f o r C o n f i g u r a t i o n o f F i r e w a l l U s e d i n C h i n a M o b i l e
版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部
目录 1.范围 (1) 2.规范性引用文件 (1) 3.术语、定义和缩略语 (1) 4.防火墙功能和配置要求 (1) 4.1.引用说明 (1) 4.2.日志配置要求 (3) 4.3.告警配置要求 (3) 4.4.安全策略配置要求 (3) 4.5.攻击防护配置要求 (4) 4.6.虚拟防火墙配置要求 (4) 4.7.设备其他安全要求 (5) 5.编制历史 (5)
前言 为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。 本标准明确了安氏防火墙的配置要求。 本标准主要包括日志配置、告警配置、安全策略配置、攻击防护配置,虚拟防火墙配置、设备其他安全要求等方面的配置要求。 本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团天津、江苏有限公司 本标准主要起草人:张瑾、赵强、来晓阳、周智、曹一生、陈敏时。
ASA防火墙基本配置
第二章ASA防火墙 实验案例一ASA防火墙基本配置 一、实验目的: 熟悉ASA基本配置 二、实验环境和需求 在WEB上建立站点https://www.sodocs.net/doc/c212058750.html,.,在Out上建立站点https://www.sodocs.net/doc/c212058750.html,,并配置DNS服务,负责解析https://www.sodocs.net/doc/c212058750.html,(202.0.0.253/29)和https://www.sodocs.net/doc/c212058750.html,(IP为202.2.2.1),PC1的DNS 指向200.2.2.1 只能从PC1通过SSH访问ASA 从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点从PC1可以ping通Out主 三、实验拓扑图 四、配置步骤 (一)路由器配置 int f1/0 ip add 200.0.0.1 255.255.255.252 no sh
int f0/0 ip add 200.2.2.254 255.255.255.0 no sh exit ip route 0.0.0.0 0.0.0.0 200.0.0.2 end (二) ASA基本属性配置 1、接口配置 Interface E 0/0 Ip address 192.168.0.254 255.255.255.0 Nameif inside //设置内接口名字 Security-level 100 //设置内接口安全级别 No shutdown Interface E 0/1 Ip add 192.168.1.254 255.255.255.0 Nameif dmz //设置接口为DMZ Security-level 50 //设置DMZ接口的安全级别 No shutdown Interface E 0/2 Ip address 200.0.0.2 255.255.255.252 Nameif outside //设置外接口名字 Security-level 0 //设置外接口安全级别 No shutdown 2、ASA路由配置:静态路由方式 (config)#Route outside 0.0.0.0 0.0.0.0 200.0.0.1 3、从PC1上可以PING通OUT主机 默认情况下不允许ICMP流量穿过,从内Ping外网是不通的,因为ICMP应答的报文返回时不能穿越防火墙,可以配置允许几种报文通过, (Config)# Access-list 111 permit icmp any any