網(wǎng)絡(luò)安全設(shè)備配置及講解

1、網(wǎng)絡(luò)安全設(shè)備測試一、部署測試總體拓?fù)涠?、安全設(shè)備簡介1、軟件防火墻和硬件防火墻軟件防火墻工作于系統(tǒng)接口與NDIS之間，用于檢查過濾由NDIS發(fā)送過來的數(shù)據(jù)，在 無需改動硬件的前提下便能實現(xiàn)一定強(qiáng)度的安全保障，但是由于軟件防火墻自身屬于運(yùn)行于 系統(tǒng)上的程序，不可避免的需要占用一部分CPU資源維持工作，而且由于數(shù)據(jù)判斷處理需 要一定的時間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里，軟件防火墻會使整個系統(tǒng)工作效率和數(shù)據(jù)吞吐 速度下降，甚至有些軟件防火墻會存在漏洞，導(dǎo)致有害數(shù)據(jù)可以繞過它的防御體系，給數(shù)據(jù) 安全帶來損失，因此，許多企業(yè)并不會考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而 是使用看得見摸得著的硬件防火墻

2、。硬件防火墻是一種以物理形式存在的專用設(shè)備，通常架設(shè)于兩個網(wǎng)絡(luò)的駁接處，直接從 網(wǎng)絡(luò)設(shè)備上檢查過濾有害的數(shù)據(jù)報文，位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng) 過防火墻處理的相對安全的數(shù)據(jù)，不必另外分出CPU資源去進(jìn)行基于軟件架構(gòu)的NDIS數(shù) 據(jù)檢測，可以大大提高工作效率。硬件防火墻一般是通過網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服 務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備，這里又另外派分出兩種結(jié)構(gòu)，一種是普通硬件級別防火墻，它 擁有標(biāo)準(zhǔn)計算機(jī)的硬件平臺和一些功能經(jīng)過簡化處理的UNIX系列操作系統(tǒng)和防火墻軟件， 這種防火墻措施相當(dāng)于專門拿出一臺計算機(jī)安裝了軟件防火墻，除了不需要處理其他事務(wù)以 外，它畢竟還是一般的操作

3、系統(tǒng)，因此有可能會存在漏洞和不穩(wěn)定因素，安全性并不能做到 最好；另一種是所謂的“芯片”級硬件防火墻，它采用專門設(shè)計的硬件平臺，在上面搭建的軟 件也是專門開發(fā)的，并非流行的操作系統(tǒng)，因而可以達(dá)到較好的安全性能保障。硬件防火墻中可能還有除軟件防火墻的包過濾功能以外的其他功能，例如CF （內(nèi)容過 濾）、地址轉(zhuǎn)換、路由、IDS（入侵偵測）IPS（入侵防護(hù)）以及VPN等等的功能。硬件防火墻的三種部署方式：路由模式、透明模式、混合模式1、路由模式當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時，需要將防火墻與內(nèi)部網(wǎng)絡(luò)、夕卜部網(wǎng)絡(luò)以及 DMZ三個區(qū)域相連的接口分別配置成不同網(wǎng)段的IP地址，重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)洌?時

4、相當(dāng)于一臺路由器。2、透明模式采用透明模式時，只需在網(wǎng)絡(luò)中像放置網(wǎng)橋bridge）一樣插入該防火墻設(shè)備即可，無 需修改任何已有的配置。與路由模式相同，IP報文同樣經(jīng)過相關(guān)的過濾檢查（但是IP報文 中的源或目的地址不會改變），內(nèi)部網(wǎng)絡(luò)用戶依舊受到防火墻的保護(hù)。3、混合模式如果防火墻既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式 的接口（接口無IP地址），則防火墻工作在混合模式下?；旌夏Ｊ街饕糜谕该髂Ｊ阶麟p機(jī) 備份的情況，此時啟動VRRP （Virtual Router Redundancy Protocol虛擬路由冗余協(xié)議）功 能的接口需要配置IP地址，其它接口不配置IP

5、地址2、行為管理設(shè)備簡單的來說上網(wǎng)行為管理設(shè)備就是基于用戶、時間、應(yīng)用、帶寬等元素對員工的上網(wǎng)行 為進(jìn)行全面而靈活的策略設(shè)置，把網(wǎng)絡(luò)風(fēng)險管理從“被動式響應(yīng)管理”提升為“主動式預(yù)警管 理”，從“防范管理”提升為“控制管理”，把網(wǎng)絡(luò)的“通信安全”提升為“應(yīng)用安全”。為了實現(xiàn)真正 安全的網(wǎng)絡(luò)環(huán)境，企業(yè)需要內(nèi)外兼修”，除了阻擋外部攻擊外，還應(yīng)該轉(zhuǎn)換視角，大力加強(qiáng) 對內(nèi)的管理，對員工的上網(wǎng)行為進(jìn)行規(guī)范管理。行為管控設(shè)備的三種部署方式：路由模式、網(wǎng)橋模式、旁路模式1、路由模式-就是把設(shè)備當(dāng)成路由器使用，和防火墻的路由模式差不多。2、網(wǎng)橋模式-“透明模式”在網(wǎng)絡(luò)中像放置網(wǎng)橋（bridge）一樣插入該防火墻設(shè)

6、備即可，無需 修改任何已有的配置。（在部署的時候，一般都是用的這個模式）3、旁路模式-這個需要做端口鏡像，一般不推薦。三、網(wǎng)絡(luò)安全設(shè)備連接1、初始默認(rèn)的2種連接方式（1）通過使用console線連接電腦和設(shè)備，通過超級終端或者securecrt等軟件進(jìn)行連接， 連接后使用命令進(jìn)行操作。（2）常規(guī)的我們使用電腦連接管理口，訪問其web網(wǎng)頁對設(shè)備進(jìn)行配置管理。2、訪問配置1、天融信防火墻默認(rèn)訪問方式：（1）默認(rèn)管理接口為網(wǎng)線接MGMT 口，使用網(wǎng)線將設(shè)備和電腦連接（2）靜態(tài)路由：/24（不要和防火墻的254 -樣）訪問 HYPERLINK 54 54（4）用戶名：superman 默認(rèn)密碼：tal

7、ent2、深信服行為管理默認(rèn)訪問方式：（1）默認(rèn)管理接口為網(wǎng)線接eth0 口，使用網(wǎng)線將設(shè)備和電腦連接（2）配置靜態(tài)路由：/24（不要和設(shè)備的251 -樣）（3）訪問 HYPERLINK 51 51（4）用戶名：admin 密碼：adminPs :深信服 ac 設(shè)備有個私有地址 52 48、部署實施細(xì)節(jié)采用路由模式進(jìn)行部署（每一次配置都需要對配置進(jìn)行保存）: 接口連線：網(wǎng)線接入防火墻eth10 口，ip xxxx（網(wǎng)線接入ip）防火墻eth11 口（xxxx）口連接行為管控eth2 口行為管控eth0 口連接路由器wan 口1、防火墻配置1、接口配置此配置是對防火墻的入口和出口進(jìn)行配置（1）接

8、口配置，管理界面右上角接口配置-點擊已經(jīng)連接的端口（鏈接為綠色圓點）-點擊 配置（2）按照自己的基本網(wǎng)絡(luò)信息進(jìn)行配置（記住對應(yīng)的描述名稱，后續(xù)地址轉(zhuǎn)換時會使用到）-然后點擊添加保存（3）配置成功截圖2、路由配置此配置是配置防火墻的路由功能，使網(wǎng)路能暢通根據(jù)網(wǎng)絡(luò)情況和需求選擇路由協(xié)議進(jìn)行配置：（1）網(wǎng)絡(luò)管理-路由-靜態(tài)路由-添加-根據(jù)網(wǎng)絡(luò)情況和需求進(jìn)行配置（靜態(tài)路由+無子網(wǎng)的情況下，路由表單會自動生成，如果增加子網(wǎng)，按照子網(wǎng)的網(wǎng)絡(luò)情況配置路由）3、地址轉(zhuǎn)換功能配置（snat）所謂網(wǎng)絡(luò)地址轉(zhuǎn)換，是將IP數(shù)據(jù)報頭中的IP地址轉(zhuǎn)換為另-個IP地址的過程。網(wǎng)絡(luò)衛(wèi)士防火墻提供以下幾種地址轉(zhuǎn)換方式4源地址轉(zhuǎn)

9、換（SNAT）?？梢詫崿F(xiàn)具有私有地址的用戶對公網(wǎng)的訪問。目的地址轉(zhuǎn)換（DNAT）?？梢詫崿F(xiàn)公網(wǎng)上的用戶對位于內(nèi)網(wǎng)的具有私有地址 的月服務(wù)器的訪問。4雙向地址轉(zhuǎn)換（雙向NAT）?？梢詫崿F(xiàn)一一個內(nèi)網(wǎng)串地址到另-一個內(nèi)網(wǎng)串地址的訪問。4不做轉(zhuǎn)換（NoNAT）。一般用于定義源NAT和雙向 NAT規(guī)則的特例，此時 NoNAT規(guī)則需要置于匹配范圍較大的NAT規(guī)則前面。在此我們選擇源地址轉(zhuǎn)換（snat）（1）點擊防火墻-地址轉(zhuǎn)換-添加（配置主要涉及源和目的配置）(2)源配置T- .16：rt(3)目的配置4、訪問控制配置此配置是防火墻的核心功能，什么網(wǎng)段能訪問什么地址防火墻-訪問控制-添加由于是測試，配置源

10、和目的都為any筌靖唇1B!r.sr5、域名解析配置點擊網(wǎng)絡(luò)管理-域名解析，填入dns解析服務(wù)器地址，點擊確定即可6、網(wǎng)絡(luò)測試使用另一臺pc中端對防火墻配置進(jìn)行測試，使用網(wǎng)線將另一個eth端口與pc相連，訪問外 網(wǎng)進(jìn)行測試，能夠訪問說明配置成功，不能訪問就需要對以上接口、路由、地址轉(zhuǎn)換移機(jī)區(qū)域配置進(jìn)行檢查（pc需配置轉(zhuǎn)換后的靜態(tài)網(wǎng)絡(luò)地址）。2、行為管控設(shè)備配置1、部署模式（網(wǎng)橋模式）（1）登錄系統(tǒng)后點擊系統(tǒng)管理-網(wǎng)絡(luò)配置-部署模式（2）點擊下一步，網(wǎng)口配置，選擇網(wǎng)橋列表，默認(rèn)勾選了 “開啟網(wǎng)橋鏈路同步”（2）網(wǎng)橋配置，由于沒有可用的網(wǎng)橋IP分配給AC，此處無需配置網(wǎng)橋IP(3)管理口配置，選擇

11、一個接口作為管理口，并且配置管理口地址，最好配置為同網(wǎng)段網(wǎng) 絡(luò)，便于使用。(4)網(wǎng)關(guān)配置，此時網(wǎng)關(guān)地址配置指向管理口所接對端接口的地址，此處為防火墻的入口 網(wǎng)關(guān)。(5)配置完成，點擊提交設(shè)備重啟后，部署配置完成，重啟之后查看部署已經(jīng)成功。2、新建靜態(tài)路由在之前的部署模式配置中，配置了默認(rèn)網(wǎng)關(guān)，會自動生成默認(rèn)網(wǎng)關(guān)的缺省路由。此時無需 額外再配置到內(nèi)網(wǎng)的回包路由。3、路由器配置1、使用筆記本連接到路由器無線網(wǎng)（機(jī)身背后有名稱），登錄到leike.cc.1、選擇上網(wǎng)設(shè)置并點擊修改2、選擇靜態(tài)ip上網(wǎng)，并填寫剛才配置的參數(shù)，點擊確定素國 I iflaiw3netI m . I - - ipg .恒 L

12、 ：河5 5 g.5 5亦快皿5皿中皿皿皿皿5 5 g. B g. w 5缽nTFsawKAawsa*- Etlelo+Altsaacf 3 3 M M 駕 3Ez:r,;zMQKk黑二 黑京二毗 職 巧佃鑰切徊的新切徹泗初所泗枷鈕所衲佃初時衲衲幼衲佃ee mwb?ks m1 說J1咆袒u令2 1?2.1J oJmieuQ3m母北J1X214173汕J5172.12 0J1721919申-MMH.1 翎 PJ1 在T1?J1iSJbJ1T214I 7Q6 我W1?31EKJEiJ1T2HI7Q口U.譙迎J便NU。1。*g訛.1齡口J11 1?J1iSJbJ1T214I 7Q171711EKJBJg*H 7Qis鼬他J1 咆 NU。i* MM齡。J1 咆 NU。16 1?31iSJEJ172 Ml 731E蜜舊1711EKJBJg*H 7Q1，汕單*iTiiafc