文档介绍:天融信防火墙使用培训
北京天融信南京分公司
一种高级访问控制设备,置于不同网络安全域之间的一系列部件的组合,它是不同网络安全域间通信流的唯一通道,能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。
两个安全域之间通信流的唯一通道
UDP
Block
Host C
Host B
TCP
Pass
Host C
Host A
Destination
Protocol
Permit
Source
根据访问控制规则决定进出网络的行为
防火墙定义
内部网
防火墙的接口和区域
接口和区域是两个重要的概念
接口:和网络卫士防火墙的物理端口一一对应,如Eth0、Eth1 等。
区域:可以把区域看作是一段具有相似安全属性的网络空间。在区域的划分上,网络卫士防火墙的区域和接口并不是一一对应的,也就是说一个区域可以包括多个接口。在安装网络卫士防火墙前,首先要对整个受控网络进行分析,并根据网络设备,如主机、服务器等所需要的安全保护等级来划分区域。
防火墙提供的通讯模式
透明模式(提供桥接功能)
在这种模式下,网络卫士防火墙的所有接口均作为交换接口工作。也就是说,对于同一VLAN 的数据包在转发时不作任何改动,包括IP 和MAC 地址,直接把包转发出去。同时,网络卫士防火墙可以在设置了IP 的VLAN 之间进行路由转发。
路由模式(路由功能)
在这种模式下,网络卫士防火墙类似于一台路由器转发数据包,将接收到的数据包的源MAC 地址替换为相应接口的MAC 地址,然后转发。该模式适用于每个区域都不在同一个网段的情况。和路由器一样,网络卫士防火墙的每个接口均要根据区域规划配置IP 地址。
综合模式(透明+路由功能)
顾名思义,这种模式是前两种模式的混合。也就是说某些区域(接口)工作在透明模式下,而其他的区域(接口)工作在路由模式下。该模式适用于较复杂的网络环境。
说明:防火墙采用何种通讯方式是由用户的网络环境决定的,用户需要根据自己的网
络情况,合理的确定防火墙的通讯模式;并且防火墙采用何种通讯方式都不会
影响防火墙的访问控制功能。
内部网
ETH0:
ETH1:
ETH2:
网段
网段
外网、SSN、内网在同一个广播域,防火墙做透明设置。此时防火墙为透明模式。
透明模式的典型应用
内部网
ETH0:
ETH1:
ETH2:
网段
网段
外网、SSN区、内网都不在同一网段,防火墙做路由方式。这时,防火墙相当于一个路由器。
路由模式的典型应用
综合接入模式的典型应用
ETH1:
ETH2:
网段
网段
此时整个防火墙工作于透明+路由模式,我们称之为综合模式或者混合模式
网段
ETH0:
两接口在不同网段,防火墙处于路由模式
两接口在不同网段,防火墙处于路由模式
两接口在同一网段,防火墙处于透明模式
网络卫士防火墙的硬件设备安装完成之后,就可以上电了。在工作过程中,
用户可以根据网络卫士防火墙面板上的指示灯来判断防火墙的工作状态,
具体请见下表:
防火墙的工作状态
在安装配置防火墙之前必须弄清楚的几个问题:
1、路由走向(包括防火墙及其相关设备的路由调整)
确定防火墙的工作模式:路由、透明、综合。
2、IP地址的分配(包括防火墙及其相关设备的IP地址分配)
根据确定好的防火墙的工作模式给防火墙分配合理的IP地址
3、数据应用和数据流向(各种应用的数据流向及其需要开放的端口号或者协议类型)
4、要达到的安全目的(即要做什么样的访问控制)