绿盟防火墙基础知识
1.定义接口类型
接口:指网络物理硬件接口的逻辑对象,拥有配置网络地址并进行网络通讯的能力。
接口的模式 : 全双工 半双工 以及 auto 。
绿盟防火墙的默认接口模式为 auto 。
子接口:信息流进出安全区的开口 (安全区域的类型为type 3 ,能够配置不同网段的地址)
即一个物理接口,可以分为多个子接口 (类似VLAN的划分模式)
2.绿盟防火墙的5种工作模式
1.透明(layer2)——配置在同一种安全区的多个接口处于二层交换工作模式。
2.路由(layer3)——配置在同一种的多个安全区之内的接口处于三层交换工作模式。
3.监听(monitor)——配置为该安全区的接口处于IDS监听工作模式。
4.直通(direct)——同一个安全区之内的接口处于IPS的inline工作模式。
5.管理(mgt)——配置为该安全区的接口只能用于带外管理。
6.global 区域是系统缺省的全区域,包含所有的安全区。
3. 对象
可以将不同的设备定义为对象(是在做防火墙的时候能用的到)
4.证书
试用证书: 试用证书过期后,将无法继续使用本系统。
销售证书 :销售证书过期后,可以继续使用本系统,但无法进行系统升级。
5.防火墙部署模式
1.单路由部署模式
Direct-A部署方式,Direct接口IP在通讯中不起作用,但不能和管理口IP在同一网段.
2.多线路部署路由模式
3.三层部署方式 (防火墙当出口路由使用,当外网链接设备较多的时候大多事采用串联的方式为主,这样很容易造成单点故障,由此防火墙可以设置不同的模式)
注:防火墙类似于一个路由器提供 :静态路由、动态路由和策略路由;同时,它又是一台防火墙,实现NAT地址转换和流量管理,提供网络层安全防护;另外,它还是一台***防护系统,实现应用层和内容层的安全防御。也就是配置内网、外网和DMZ区域的三个接口,实现NAT和一一映射。
6.静态路由模式
1.针对于只有一条外网线路情况下使用
静态路由部署,即配置内网、外网和DMZ三个区域,部署结构如图 1-1所示。
图1-1
案例需求
eth0连接内网,eth1连接外网,eth2连接DMZ区域。
具体参数配置如下:
eth0 连接内网的IP地址是192.168.10.186/24,该内网网段还包括192.168.1.0/24和192.168.2.0/24两个网段,内网接口网关是192.168.10.254;
eth1连接外网的IP地址是200.200.200.2/255.255.255.248,外网路由设备R1的IP地址是200.200.200.1;
eth2连接DMZ区域的IP地址是10.1.1.2,DMZ区域内的两台服务器需要开放从外网访问的权限,其中F1(10.1.1.30)对外开放所有端口,F2(10.1.1.131)只对外开放80端口;
200.200.200.3-6作为剩余获取的公网IP地址。
分析
配置给设备的管理地址 ,配置各个接口的地址,并且配置默认网关。
进行NAT转换
做策略路由
1.配置安全区域 内网.外网.DMZ区域
2.配置端口信息 ( 注:在配置外网的地址的时候要将是否可管理 选填是)
3.配置对象
在配置NAT、端口映射和一一映射之前,必须先创建对象,包括NAT使用的IP地址或IP地址池、内部服务器的IP地址、映射后使用的公网IP地址等。
选择菜单【对象】【网络】,进入配置网络对象的页面,依次配置以下内容。
1)创建节点对象(DMZ服务器),作为一一映射的服务器,如图 1-2 所示。
图1-2
2)创建节点对象(一一映射公网的IP地址),如图 1-3 所示。
图1-3
3)创建节点对象(DMZ区域的Web服务器内部IP地址),如图 1-4 所示
图1-4
4)创建节点对象(外网接口IP地址),作为端口映射的公网IP地址,如图 1-5 所示
图1-5
如图1-6所示各个站点的列表
图1-6
6)配置NAT使用的外网IP地址池(也可以使用外网接口IP地址),如图 1-7所示
图1-7
NAT列表
图1-8
NAT配置
选择菜单【策略】-【防火墙】-【防火墙策略】,进入防火墙规则列表的页面,依次配置以下内容。
(1)创建一条防火墙规则,如图 1-8 所示
图1-8
(2)创建映射配置
选择菜单【网络】-【接口】,进入外网接口eth1的编辑页面
1)创建eth1的一一映射规则,如图 1-9
图1-9
查看端口对比
图1-10
创建外网到外网的映射防护墙的规则如图1-11
图1-11
端口映射
选择菜单【网络】-【接口】,进入外网接口eth1的编辑页面,依次配置以下内容: (1)创建eth1的端口映射规则,如图1-12所示。
图1-12
表象
若要访问内网192.168.1.0/24和192.168.2.0/24的两个网段,必须添加静态路由信息,由于该网段不在接口路由中,所以需要手工添加,依次配置以下内容:
(1)选择菜单【网络】-【路由】-【静态路由】,创建内网接口的静态路由,如图 1-13和图 1-14所示。
图 1-13
图1-14
静态路由配置
配置动态路由
通过console线连接串口 初始用户名和密码 shell
NSFOCUS NIPS
既作为NAT设备使内网用户可以连接外网网络。
通过OSPF为两个网络提供路由。
115200位每秒 8 位 超级终端
2.案例
假定某企业有三台WEB服务器同时提供WEB服务,网络部署方式的结构如下图所示。
企业内网的地址为保留地址 10.10.10.2/24-10.10.10.50/24,
企业的对外服务器的内部地址为 192.168.10.101-192.168.10.103,
防火墙的内端口地址为 10.10.10.1,
防火墙外网地址为 202.100.100.3。
NIPS 设备接口连接方式如下:eth2连接外网,eth1连接内网,eth3连接服务器DMZ区。
附:
负载均衡的方式有两种:
随机和轮询。
选择随机方式,表示不同服务器之间响应外网的方式是随机的;
选择轮询方式,表示不同服务器之间以一定的次序轮流响应外网的访问。
1.HA高可用性
高可用性HA(High Availability),是指通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。HA系统是目前企业防止核心计算机系统因故障停机的最有效手段。
2.配置策略
对象:系统中所有对象,包括网络对象、服务对象、事件对象、IM/P2P对象和时间对象
网络对象:网络、节点、MAC地址、IP池和网络组。
2.1MAC地址对象
这里的MAC地址是为系统的防火墙策略配置而设计。在这里创建MAC地址对象后,配置防火墙策略时,用户可以引用此MAC地址,从而实现基于MAC的防火墙控制功能。
注:对于无法删除的MAC地址对象,表示已包含在网络组对象中或者正被某些规则使用,无论规则是否启用。
创建MAC地址对象
创建IP地址池
网络组:这里的组是指若干个网络、节点或IP池对象组成的逻辑集合,组同样也可以包含其他组。
事件对象。
在设置***防护策略时,需要选择事件对象来定义规则,分为以下三类事件对象:系统事件、自定义事件和事件组。
选择菜单【对象】-【事件】,进入事件对象的设置页面。通过单击页面首部的标签,可以切换到相应的事件对象列表。