绿盟防火墙基础知识

1.定义接口类型

接口:指网络物理硬件接口的逻辑对象,拥有配置网络地址并进行网络通讯的能力。

接口的模式 :  全双工  半双工 以及 auto  。

绿盟防火墙的默认接口模式为 auto 。

子接口:信息流进出安全区的开口 (安全区域的类型为type 3 ,能够配置不同网段的地址)

即一个物理接口,可以分为多个子接口 (类似VLAN的划分模式)

2.绿盟防火墙的5种工作模式

1.透明(layer2)——配置在同一种安全区的多个接口处于二层交换工作模式。

2.路由(layer3)——配置在同一种的多个安全区之内的接口处于三层交换工作模式。 

3.监听(monitor)——配置为该安全区的接口处于IDS监听工作模式。 

4.直通(direct)——同一个安全区之内的接口处于IPS的inline工作模式。 

5.管理(mgt)——配置为该安全区的接口只能用于带外管理。

6.global 区域是系统缺省的全区域,包含所有的安全区。

3. 对象  

可以将不同的设备定义为对象(是在做防火墙的时候能用的到)

4.证书

试用证书: 试用证书过期后,将无法继续使用本系统。

销售证书 :销售证书过期后,可以继续使用本系统,但无法进行系统升级。

5.防火墙部署模式

1.单路由部署模式

Direct-A部署方式,Direct接口IP在通讯中不起作用,但不能和管理口IP在同一网段.

2.多线路部署路由模式

3.三层部署方式  (防火墙当出口路由使用,当外网链接设备较多的时候大多事采用串联的方式为主,这样很容易造成单点故障,由此防火墙可以设置不同的模式)

 注:防火墙类似于一个路由器提供 :静态路由、动态路由和策略路由;同时,它又是一台防火墙,实现NAT地址转换和流量管理,提供网络层安全防护;另外,它还是一台***防护系统,实现应用层和内容层的安全防御。也就是配置内网、外网和DMZ区域的三个接口,实现NAT和一一映射。

6.静态路由模式

1.针对于只有一条外网线路情况下使用

静态路由部署,即配置内网、外网和DMZ三个区域,部署结构如图 1-1所示。

图1-1

案例需求

eth0连接内网,eth1连接外网,eth2连接DMZ区域。

具体参数配置如下: 

eth0 连接内网的IP地址是192.168.10.186/24,该内网网段还包括192.168.1.0/24和192.168.2.0/24两个网段,内网接口网关是192.168.10.254;  

eth1连接外网的IP地址是200.200.200.2/255.255.255.248,外网路由设备R1的IP地址是200.200.200.1; 

eth2连接DMZ区域的IP地址是10.1.1.2,DMZ区域内的两台服务器需要开放从外网访问的权限,其中F1(10.1.1.30)对外开放所有端口,F2(10.1.1.131)只对外开放80端口; 

200.200.200.3-6作为剩余获取的公网IP地址。

分析

配置给设备的管理地址 ,配置各个接口的地址,并且配置默认网关。

进行NAT转换

做策略路由

1.配置安全区域 内网.外网.DMZ区域

2.配置端口信息  ( 注:在配置外网的地址的时候要将是否可管理 选填是)

3.配置对象

在配置NAT、端口映射和一一映射之前,必须先创建对象,包括NAT使用的IP地址或IP地址池、内部服务器的IP地址、映射后使用的公网IP地址等。 

选择菜单【对象】【网络】,进入配置网络对象的页面,依次配置以下内容。

1)创建节点对象(DMZ服务器),作为一一映射的服务器,如图 1-2 所示。

图1-2

2)创建节点对象(一一映射公网的IP地址),如图 1-3 所示。

图1-3

3)创建节点对象(DMZ区域的Web服务器内部IP地址),如图 1-4 所示

图1-4

4)创建节点对象(外网接口IP地址),作为端口映射的公网IP地址,如图 1-5 所示

图1-5

如图1-6所示各个站点的列表

图1-6

6)配置NAT使用的外网IP地址池(也可以使用外网接口IP地址),如图 1-7所示

图1-7

NAT列表

图1-8

NAT配置

选择菜单【策略】-【防火墙】-【防火墙策略】,进入防火墙规则列表的页面,依次配置以下内容。

(1)创建一条防火墙规则,如图 1-8 所示

图1-8

(2)创建映射配置

选择菜单【网络】-【接口】,进入外网接口eth1的编辑页面

1)创建eth1的一一映射规则,如图 1-9

图1-9

查看端口对比

图1-10

创建外网到外网的映射防护墙的规则如图1-11

图1-11

端口映射

选择菜单【网络】-【接口】,进入外网接口eth1的编辑页面,依次配置以下内容: (1)创建eth1的端口映射规则,如图1-12所示。

图1-12

表象

若要访问内网192.168.1.0/24和192.168.2.0/24的两个网段,必须添加静态路由信息,由于该网段不在接口路由中,所以需要手工添加,依次配置以下内容: 

(1)选择菜单【网络】-【路由】-【静态路由】,创建内网接口的静态路由,如图 1-13和图 1-14所示。

图 1-13

图1-14

静态路由配置

配置动态路由

通过console线连接串口 初始用户名和密码 shell

NSFOCUS NIPS

既作为NAT设备使内网用户可以连接外网网络。

通过OSPF为两个网络提供路由。

115200位每秒 8 位  超级终端

2.案例

假定某企业有三台WEB服务器同时提供WEB服务,网络部署方式的结构如下图所示。

企业内网的地址为保留地址 10.10.10.2/24-10.10.10.50/24,

企业的对外服务器的内部地址为  192.168.10.101-192.168.10.103,

防火墙的内端口地址为 10.10.10.1,

防火墙外网地址为 202.100.100.3。

NIPS 设备接口连接方式如下:eth2连接外网,eth1连接内网,eth3连接服务器DMZ区。

附:

负载均衡的方式有两种:

随机和轮询。

选择随机方式,表示不同服务器之间响应外网的方式是随机的;

选择轮询方式,表示不同服务器之间以一定的次序轮流响应外网的访问。

1.HA高可用性

高可用性HA(High Availability),是指通过尽量缩短因日常维护操作(计划)和突发的系统崩溃(非计划)所导致的停机时间,以提高系统和应用的可用性。HA系统是目前企业防止核心计算机系统因故障停机的最有效手段。

2.配置策略

对象:系统中所有对象,包括网络对象、服务对象、事件对象、IM/P2P对象和时间对象

网络对象:网络、节点、MAC地址、IP池和网络组。

2.1MAC地址对象

这里的MAC地址是为系统的防火墙策略配置而设计。在这里创建MAC地址对象后,配置防火墙策略时,用户可以引用此MAC地址,从而实现基于MAC的防火墙控制功能。

注:对于无法删除的MAC地址对象,表示已包含在网络组对象中或者正被某些规则使用,无论规则是否启用。

创建MAC地址对象

创建IP地址池

网络组:这里的组是指若干个网络、节点或IP池对象组成的逻辑集合,组同样也可以包含其他组。

事件对象。

在设置***防护策略时,需要选择事件对象来定义规则,分为以下三类事件对象:系统事件、自定义事件和事件组。 

选择菜单【对象】-【事件】,进入事件对象的设置页面。通过单击页面首部的标签,可以切换到相应的事件对象列表。