防火墻知識(shí)培訓(xùn)ppt課件

1、防火墻知識(shí)培訓(xùn)技術(shù)部 .課程目標(biāo)防火墻的基礎(chǔ)知識(shí) 方正防火墻特點(diǎn)保定電子政務(wù)網(wǎng)防火墻配置策略說(shuō)明 常見(jiàn)問(wèn)題與解決方案.課程目標(biāo)防火墻的基礎(chǔ)知識(shí) 方正防火墻特點(diǎn)保定電子政務(wù)網(wǎng)防火墻配置策略說(shuō)明 常見(jiàn)問(wèn)題與解決方案.傳統(tǒng)防火墻的概念.IT領(lǐng)域中防火墻的概念.過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包； 管理進(jìn)出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為； 封堵某些禁止的訪(fǎng)問(wèn)行為； 記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)； 對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警能過(guò)濾大部分的危險(xiǎn)端口設(shè)置嚴(yán)格的外向內(nèi)的狀態(tài)過(guò)濾規(guī)則抵擋大部分的拒絕服務(wù)攻擊加強(qiáng)了訪(fǎng)問(wèn)控制能力防火墻的作用.對(duì)新出現(xiàn)的漏洞和攻擊方式不能迅速提供有效的防御方法緊急情況下無(wú)法做到迅速響應(yīng)性能和穩(wěn)定性制約了大范圍的使

2、用不能完全防范惡意代碼的通過(guò)防火墻的局限性.防火墻的分類(lèi)包過(guò)濾防火墻 最早的防火墻技術(shù)之一，功能簡(jiǎn)單，配置復(fù)雜應(yīng)用網(wǎng)關(guān)防火墻 最早的防火墻技術(shù)之二，連接效率低，速度慢狀態(tài)檢測(cè)防火墻 現(xiàn)代主流防火墻，速度快，配置方便，功能較多DPI防火墻（Deep Packet Inspection） 未來(lái)防火墻的發(fā)展方向，能夠高速的對(duì)第七層數(shù)據(jù)進(jìn)行檢測(cè).狀態(tài)檢測(cè)防火墻優(yōu)點(diǎn)減少檢查工作量，提高效率連接狀態(tài)可以簡(jiǎn)化規(guī)則的設(shè)置缺點(diǎn)：對(duì)應(yīng)用層檢測(cè)不夠深入.DPI防火墻優(yōu)點(diǎn)能夠提供更高級(jí)的安全策略控制具備一定的入侵檢測(cè)和防病毒功能缺點(diǎn)：目前的技術(shù)條件下速度太慢.主要內(nèi)容防火墻的基礎(chǔ)知識(shí) 方正防火墻特點(diǎn)保定電子政務(wù)網(wǎng)防火

3、墻配置策略說(shuō)明 常見(jiàn)問(wèn)題與解決方案.防火墻產(chǎn)品線(xiàn)3000-FG-D8000-FG-E8000-FG-T部門(mén)級(jí)3000-FG-E3000-FG-63403000-FG-T8000-FG-NA10003000-FS-D4-S8000-FG-P3000-FA-E3000-FA-T3000-FS-E48000-FA-E8000-FS-E中小型企業(yè)級(jí)大型企業(yè)級(jí)電信級(jí)8000-FA-T3000-FA-NP2003000-FA-NP1003000-FA-NP803000-FA-T8000-FG-NA2000.方正FG系列防火墻特點(diǎn)簡(jiǎn)介1、方正安全自2000年就開(kāi)始推出自主知識(shí)產(chǎn)權(quán)的防火墻產(chǎn)品，現(xiàn)在已經(jīng)發(fā)展到

4、了第三代，擁有三個(gè)系列20個(gè)型號(hào)的防火墻產(chǎn)品。2、具有出眾的穩(wěn)定性。作為網(wǎng)關(guān)產(chǎn)品，穩(wěn)定性是重中之重。評(píng)價(jià)穩(wěn)定性，用戶(hù)才最有發(fā)言權(quán)。以國(guó)稅和軍隊(duì)為例：方正防火墻連續(xù)三年入圍國(guó)稅、軍隊(duì)行業(yè)統(tǒng)采項(xiàng)目，累計(jì)銷(xiāo)售達(dá)2000臺(tái)以上，穩(wěn)定性尤其受到用戶(hù)好評(píng)。07年底一次性通過(guò)公安部突擊檢查。08年入圍315推薦產(chǎn)品目錄。3、具有出色的性能。05、06連續(xù)兩年方正防火墻獲賽迪防火墻性能評(píng)測(cè)第一名。4、具有多種功能，并可集中管理。.方正防火墻維護(hù)工程師培訓(xùn)FG防火墻配置.課程目標(biāo)了解方正防火墻的基本概念明確方正防火墻的基本使用流程能夠獨(dú)立完成方正防火墻的基本使用和配置.主要內(nèi)容使用方正防火墻的預(yù)備知識(shí)FIREG

5、ATE安裝初始化 登錄和管理FIREGATE FIREGATE功能配置介紹 .主要內(nèi)容使用方正防火墻的預(yù)備知識(shí)FIREGATE安裝初始化 登錄和管理FIREGATE FIREGATE功能配置介紹 .網(wǎng)絡(luò)接口：網(wǎng)口一 網(wǎng)口二 網(wǎng)口三 網(wǎng)口四串口：控制串口方正防火墻的硬件介紹.硬件連接示意圖.FGInitFGTestToolFireControlLogService卸載FireControl軟件模塊.主要內(nèi)容使用方正防火墻的預(yù)備知識(shí)FIREGATE安裝初始化 登錄和管理FIREGATE FIREGATE功能配置介紹 LogService報(bào)警說(shuō)明典型案例.FIREGATE硬件安裝連接電源線(xiàn) 連接串口

6、線(xiàn) 連接FG防火墻到網(wǎng)絡(luò)中.首先出現(xiàn)FG的Logo畫(huà)面 軟件安裝.新建實(shí)施域添加防火墻設(shè)備導(dǎo)入/導(dǎo)出管理員賬號(hào)*初始化程序運(yùn)行前應(yīng)先將計(jì)算機(jī)的COM1口與防火墻的控制串口連接，并將防火墻電源打開(kāi)FCINIT進(jìn)行初始化.FGInit初始化.主要內(nèi)容使用方正防火墻的預(yù)備知識(shí)FIREGATE安裝初始化 登錄和管理FIREGATE FIREGATE功能配置介紹 .FireControl是 什么？ FireControl是FG的管理程序, 其作用是管理、監(jiān)控、配置FG。策略管理員可自定義防火墻的各種參數(shù)，配置個(gè)性化的防火墻。. 首先進(jìn)行用戶(hù)登錄，必須使用Admin用戶(hù)登錄，然后進(jìn)入主界面，進(jìn)入主界面后，

7、首先要添加其他用戶(hù)，設(shè)置管理用戶(hù)的權(quán)限，然后是具體參數(shù)的配置。FIRECONTROL操作說(shuō)明登錄.進(jìn)入主界面后，在設(shè)備列表處選擇需要控制的防火墻FIRECONTROL操作說(shuō)明選擇設(shè)備.FIRECONTROL操作說(shuō)明主界面介紹.普通管理員權(quán)限設(shè)置：系統(tǒng)管理員admin在進(jìn)入主菜單后，點(diǎn)擊菜單項(xiàng)“操作”下的“管理員帳號(hào)管理”，即可進(jìn)行普通管理員的添加、修改和刪除，以及為非法管理員設(shè)置封禁功能。如圖所示：FIRECONTROL管理員權(quán)限設(shè)置.系統(tǒng)管理員admin進(jìn)入主菜單，點(diǎn)擊“操作”欄下的“添加管理員帳號(hào)”，即可進(jìn)行管理員帳號(hào)的添加。 如圖所示：FIRECONTROL填加管理員帳號(hào).系統(tǒng)管理員ad

8、min在添加完管理員帳號(hào)后，必須為相關(guān)管理員設(shè)置策略管理員和審計(jì)管理員的權(quán)限。以admin帳號(hào)登錄系統(tǒng)后，點(diǎn)擊“管理員權(quán)限設(shè)置”，如圖所示：只有系統(tǒng)管理員admin才有權(quán)設(shè)置管理員權(quán)限。 設(shè)置管理員權(quán)限.主要內(nèi)容使用方正防火墻的預(yù)備知識(shí)FIREGATE安裝初始化 登錄和管理FIREGATE FIREGATE功能配置介紹 .系統(tǒng)信息提供當(dāng)前系統(tǒng)時(shí)間、運(yùn)行總時(shí)間、系統(tǒng)負(fù)載及系統(tǒng)資源四項(xiàng)顯示信息?；九渲孟到y(tǒng)信息.方正防火墻使用別名機(jī)制管理端口和子網(wǎng)，策略管理員可以用簡(jiǎn)單好記的一條別名來(lái)代替服務(wù)器的多個(gè)端口和多個(gè)子網(wǎng)，方便管理。 在定義別名時(shí)，一定要使用便于閱讀的名稱(chēng)，盡可能使用中文?；九渲脛e名

9、.基本配置設(shè)備配置.橋模式 .在“網(wǎng)口配置”標(biāo)簽頁(yè)中，各個(gè)網(wǎng)口設(shè)備設(shè)置了不同網(wǎng)段的IP地址。這樣，防火墻成為這些網(wǎng)段間通信的路由器。路由模式.混雜模式.防火墻的規(guī)則配置是面向網(wǎng)口設(shè)備的，每個(gè)網(wǎng)口上的規(guī)則是指：這個(gè)接口設(shè)備接收到的數(shù)據(jù)包要經(jīng)過(guò)這些規(guī)則的過(guò)濾，此處的接口包括物理接口設(shè)備和VLAN設(shè)備。安全防火墻策略.靜態(tài)路由提供目的地址路由（即靜態(tài)路由）和策略路由功能 網(wǎng)絡(luò)管理靜態(tài)路由.方正防火墻維護(hù)培訓(xùn)FG日常管理以及故障處理.防火墻命令-Debug帳號(hào)Debug帳號(hào)登陸方式windows超級(jí)終端方式，推薦用SecureCRT 下圖為windows超級(jí)終端登陸的設(shè)置畫(huà)面.Debug帳號(hào)登陸用戶(hù)名

10、密碼用戶(hù)名：debug密碼：fgdebug防火墻命令-Debug帳號(hào).用途主要用于獲取防火墻上次初始化時(shí)使用的key若防火墻從未初始化過(guò)，則該命令返回為空若上次初始化的key不對(duì)或功能不全，則該命令并不對(duì)此進(jìn)行校驗(yàn)或修正getlkDebug$getlk HVWRTTXAF8H5VW7XC692TCVFMCDebug$防火墻命令- getlk.用途主要用于防火墻設(shè)備配置里面ip配置察看Ifconfig用于查看正在使用的設(shè)備防火墻命令-ifconfig.用途用與ping遠(yuǎn)程主機(jī)確認(rèn)網(wǎng)絡(luò)狀態(tài)Ping targetipEg:Ping 通Debug$ping 2 packets transmitted,

11、 2 packets received, 0% packet lossround-trip min/avg/max = 0.6/0.7/0.9 msDebug$Eg:Ping 0不通Debug$ping 03 packets transmitted, 0 packets received, 100% packet lossDebug$防火墻命令-Debug命令- ping.用途重起防火墻reboot防火墻命令-reboot.用途主要用于防火墻的路由表顯示，和ip route ls等價(jià)，但是輸出方式不一樣route顯示防火墻的靜態(tài)路由表防火墻命令-route.用途telnet遠(yuǎn)程主機(jī)或路由器te

12、lnet 9防火墻命令-telnet.用途traceroute遠(yuǎn)程主機(jī)或路由器主要用于路徑定位和排錯(cuò)traceroute 9防火墻命令-traceroute.(1) 溫度1025；(2) 相對(duì)濕度：4060（不結(jié)霜）；(3) 交流220V電源；(4) 三芯帶接地保護(hù)的電源插頭和插座；(5) 防火墻系統(tǒng)不可帶電搬運(yùn)，任何零部件不可帶電插拔，否則可能損壞防火墻。 日常維護(hù)：保持機(jī)房溫度.日常維護(hù)：備份防火墻管理員證書(shū).日常維護(hù)：定期備份防火墻配置文件.防火墻源地址轉(zhuǎn)換.排除電源線(xiàn)和電源插座故障拔下電源線(xiàn)再插上，再啟動(dòng)防火墻。檢查電源指示燈是否正常，排除電源故障如果確實(shí)無(wú)法啟動(dòng)，撥打技術(shù)支持電話(huà)：

13、800-8101353。典型軟、硬件故障排除不能啟動(dòng).排除串口線(xiàn)連接錯(cuò)誤，檢查串口線(xiàn)是否正確連接控制主機(jī)的COM1口和FireGate的“管理串口”排除串口線(xiàn)質(zhì)量故障，更換好的串口線(xiàn)用超級(jí)終端登陸，是否顯示登陸符號(hào)信息如果串口無(wú)法連接，就做進(jìn)一步的系統(tǒng)無(wú)法啟動(dòng)故障判定典型軟、硬件故障排除串口線(xiàn)不能登陸防火墻.防火墻持續(xù)重啟，無(wú)法進(jìn)入FC及超級(jí)終端拔掉與內(nèi)網(wǎng)連接的網(wǎng)線(xiàn)，發(fā)現(xiàn)控制機(jī)連接變得正常用sniffer軟件對(duì)內(nèi)網(wǎng)進(jìn)行探測(cè)，發(fā)現(xiàn)帶病毒的機(jī)器，將其關(guān)機(jī)后，網(wǎng)絡(luò)正常用戶(hù)網(wǎng)絡(luò)中存在蠕蟲(chóng)病毒典型軟、硬件故障排除持續(xù)重啟.順平案例:突然斷電引起不能連網(wǎng),FC連接錯(cuò)誤排除控制口IP沖突故障，網(wǎng)絡(luò)中是否有其

14、它機(jī)器設(shè)置了和防火墻控制IP相同的IP排除網(wǎng)絡(luò)連接故障，檢查控制機(jī)IP配置是否正確，檢查網(wǎng)線(xiàn)，檢查控制網(wǎng)口網(wǎng)卡，排除網(wǎng)絡(luò)故障，確保可ping通控制口IP排除防火墻控制端口沒(méi)有開(kāi)放故障，用telnet IP 55443檢查防火墻控制端連接端口是否開(kāi)放超級(jí)終端連入(保證控制線(xiàn)連到控制口),用root命令登錄,檢查防火墻時(shí)間(date命令)解決辦法:初始化防火墻本次項(xiàng)目的案例FC連接錯(cuò)誤.望都案例:內(nèi)部網(wǎng)絡(luò)和防火墻連接中斷檢查防火墻物理連接正常(網(wǎng)火墻和交換機(jī)網(wǎng)路端口指示燈)排除網(wǎng)絡(luò)連接故障，重啟防火墻,連接恢復(fù)正常,過(guò)2分鐘,網(wǎng)絡(luò)又中斷斷開(kāi)內(nèi)網(wǎng)交換機(jī),連接一臺(tái)測(cè)試電腦到防火墻網(wǎng)口2,上網(wǎng)正常,一直

15、不斷網(wǎng)初步判斷:內(nèi)網(wǎng)病毒引起解決方法:拔掉和網(wǎng)口2連接的交換機(jī)上的網(wǎng)線(xiàn)(除網(wǎng)口2),一個(gè)一個(gè)網(wǎng)線(xiàn)重新插回交換機(jī),排除沒(méi)有病毒的分支,直到網(wǎng)絡(luò)中斷,找到病毒分支,安排殺毒本次項(xiàng)目的案例網(wǎng)絡(luò)斷.安新案例:連接防火墻丟包嚴(yán)重方法同上一個(gè)案例,拔掉所有分支,留測(cè)試機(jī),沒(méi)有丟包初步判斷:內(nèi)網(wǎng)病毒引起解決方法1:拔掉和網(wǎng)口2連接的交換機(jī)上的網(wǎng)線(xiàn)(除網(wǎng)口2),一個(gè)一個(gè)網(wǎng)線(xiàn)重新插回交換機(jī),排除沒(méi)有病毒的分支,直到網(wǎng)絡(luò)中斷,找到病毒分支,安排殺毒解決方法2:在網(wǎng)絡(luò)分支點(diǎn)安裝二級(jí)路由器,優(yōu)點(diǎn)1:可以隔離病毒對(duì)整個(gè)網(wǎng)絡(luò)的干擾,優(yōu)點(diǎn)2:在二級(jí)路由上做分級(jí)限速,避免網(wǎng)上某幾臺(tái)BT,迅雷下載的機(jī)器一工作,影響其他人的上網(wǎng)速度本次項(xiàng)目的案例網(wǎng)絡(luò)丟包嚴(yán)重.博野案例:連接防火墻丟包初步判斷:病毒引起查毒,殺毒網(wǎng)口3接測(cè)試機(jī),不丟包,下面測(cè)試機(jī)20多個(gè)包丟1個(gè)把三層交換上的端口限速配置去掉,下面測(cè)試機(jī)不丟包由于網(wǎng)絡(luò)上BT,迅雷下載使用非常頻繁,不做限速,一兩個(gè)人使用BT或迅雷就能把網(wǎng)絡(luò)帶寬全占滿(mǎn),考慮網(wǎng)絡(luò)結(jié)構(gòu)因素,增加分支路由不可能,而20多個(gè)包丟1個(gè),是三層交換機(jī)限制BT或迅雷下載的結(jié)果,對(duì)正常用戶(hù)不影響,所以,不做改變本次項(xiàng)目的案例網(wǎng)絡(luò)丟包.安國(guó)案例:外網(wǎng)正常,內(nèi)網(wǎng)斷內(nèi)網(wǎng)上不了網(wǎng),遠(yuǎn)程FC登錄防火墻,可以登錄檢查防火墻配置,發(fā)現(xiàn)靜態(tài)路由丟失解決