防火墻培訓(xùn)教材

1、防火墻培訓(xùn)教材防火墻培訓(xùn)教材課程目標(biāo)課程目標(biāo)規(guī)范公司員工合理有效的上網(wǎng)規(guī)范公司員工合理有效的上網(wǎng) 策略策略 :地址、服務(wù)、時(shí)間、流量監(jiān)控、地址、服務(wù)、時(shí)間、流量監(jiān)控、認(rèn)證、認(rèn)證、 會(huì)話控制、日志會(huì)話控制、日志 地址綁定地址綁定分支機(jī)構(gòu)、移動(dòng)辦公分支機(jī)構(gòu)、移動(dòng)辦公, 安全連入總部安全連入總部 （L2、 ） 分公司為星型分公司為星型冗余冗余策略的組成策略的組成 源地址目的地址源地址目的地址 地址地址 地址群地址群 服務(wù)服務(wù) 預(yù)定義服務(wù)預(yù)定義服務(wù) 定制服務(wù)定制服務(wù) 定制服務(wù)群定制服務(wù)群 動(dòng)作動(dòng)作 會(huì)話控制會(huì)話控制 日志日志 高級(jí)選項(xiàng)高級(jí)選項(xiàng) 時(shí)間、流量控制時(shí)間、流量控制/統(tǒng)計(jì)、認(rèn)證統(tǒng)計(jì)、認(rèn)證地址地址

2、服務(wù)服務(wù)動(dòng)作動(dòng)作日志日志流量統(tǒng)計(jì)流量統(tǒng)計(jì)認(rèn)證認(rèn)證一、安全策略一、安全策略創(chuàng)建策略創(chuàng)建策略 模式模式 組成組成選擇與的安全區(qū)選擇與的安全區(qū)源目的地址源目的地址通過(guò)下拉菜單選取前面通過(guò)下拉菜單選取前面設(shè)定的地址設(shè)定的地址服務(wù)服務(wù)通過(guò)下拉菜單選取前面通過(guò)下拉菜單選取前面設(shè)定的服務(wù)設(shè)定的服務(wù)行動(dòng)行動(dòng)允許允許, 拒絕拒絕, 安全隧道安全隧道日志日志認(rèn)證，流量控制、統(tǒng)計(jì)認(rèn)證，流量控制、統(tǒng)計(jì)認(rèn)證認(rèn)證流量控制流量控制流量統(tǒng)計(jì)流量統(tǒng)計(jì)重點(diǎn)：流量控制，認(rèn)證。重點(diǎn)：流量控制，認(rèn)證。 針對(duì)不同的服務(wù)或者部門(mén)，可以制定不同的流量策略針對(duì)不同的服務(wù)或者部門(mén)，可以制定不同的流量策略，保證其帶寬。，保證其帶寬。 重要資源要求

3、身份認(rèn)證重要資源要求身份認(rèn)證安全策略的順序安全策略的順序 新策略加載在最后新策略加載在最后 在所有策略的末尾有隱含的在所有策略的末尾有隱含的 的策略的策略 順序非常重要，改變策略的順序會(huì)影響到實(shí)際應(yīng)用效果順序非常重要，改變策略的順序會(huì)影響到實(shí)際應(yīng)用效果 公司內(nèi)部員工隨意更改地址，導(dǎo)致地址沖突公司內(nèi)部員工隨意更改地址，導(dǎo)致地址沖突 外來(lái)人員隨意接入，影響公司網(wǎng)絡(luò)安全外來(lái)人員隨意接入，影響公司網(wǎng)絡(luò)安全利用防火墻實(shí)現(xiàn)地址綁定利用防火墻實(shí)現(xiàn)地址綁定實(shí)現(xiàn)綁定功能需要三個(gè)步驟實(shí)現(xiàn)綁定功能需要三個(gè)步驟1、強(qiáng)迫執(zhí)行目地掃描：、強(qiáng)迫執(zhí)行目地掃描： 2、作靜態(tài)綁定：、作靜態(tài)綁定： 10.0.0.250 0002b

4、34896 3、設(shè)置一個(gè)地址組，它只包含做地址綁定的那些地址。、設(shè)置一個(gè)地址組，它只包含做地址綁定的那些地址。然后設(shè)置一個(gè)策略，只讓這個(gè)地址組通過(guò)。然后設(shè)置一個(gè)策略，只讓這個(gè)地址組通過(guò)。 注：此功能只能通過(guò)命令行來(lái)實(shí)現(xiàn)。注：此功能只能通過(guò)命令行來(lái)實(shí)現(xiàn)。 綁定圖示綁定圖示 到防火墻接口到防火墻接口二二 應(yīng)用應(yīng)用 的應(yīng)用說(shuō)明：的應(yīng)用說(shuō)明： 的網(wǎng)絡(luò)安全防火墻設(shè)備的應(yīng)用模式較多，包括：的網(wǎng)絡(luò)安全防火墻設(shè)備的應(yīng)用模式較多，包括：基于策略的、基于路由的，集中星形和背靠背等。在基于策略的、基于路由的，集中星形和背靠背等。在這里，我們主要介紹最常用的模式：策略。這里，我們主要介紹最常用的模式：策略。 首先，如

5、何配置兩種策略，一種是點(diǎn)對(duì)點(diǎn)的應(yīng)用，一首先，如何配置兩種策略，一種是點(diǎn)對(duì)點(diǎn)的應(yīng)用，一種是撥號(hào)應(yīng)用。其中點(diǎn)對(duì)點(diǎn)包括靜態(tài)種是撥號(hào)應(yīng)用。其中點(diǎn)對(duì)點(diǎn)包括靜態(tài)/動(dòng)態(tài)對(duì)靜態(tài)，撥動(dòng)態(tài)對(duì)靜態(tài)，撥號(hào)包括號(hào)包括L2和客戶端兩種。和客戶端兩種。 其次，其次， 介紹介紹 和冗余。和冗余。靜態(tài)對(duì)靜態(tài)配置靜態(tài)對(duì)靜態(tài)配置地址對(duì)象地址對(duì)象服務(wù)對(duì)象服務(wù)對(duì)象網(wǎng)關(guān)網(wǎng)關(guān) 對(duì)象對(duì)象安全策略安全策略 總部總部分部分部13總部總部A與分部與分部C之間的之間的 總部總部A部分的部分的 設(shè)置設(shè)置 的設(shè)置的設(shè)置 的設(shè)置的設(shè)置策略設(shè)置策略設(shè)置分部分部C部分的部分的 設(shè)置設(shè)置 的設(shè)置的設(shè)置的設(shè)置的設(shè)置策略設(shè)置策略設(shè)置 14總部總部A 的設(shè)置的設(shè)置1

6、5總部總部A 的設(shè)置的設(shè)置16總部總部A 的設(shè)置的設(shè)置 高級(jí)選項(xiàng)高級(jí)選項(xiàng)17總部總部A 配置配置18總部總部A 配置配置 高級(jí)選項(xiàng)高級(jí)選項(xiàng)19總部總部A 策略的設(shè)置策略的設(shè)置20分部分部C 的設(shè)置的設(shè)置21分部分部C 的設(shè)置的設(shè)置22分部分部C 的設(shè)置的設(shè)置 高級(jí)選項(xiàng)高級(jí)選項(xiàng)23分部分部C 配置配置24分部分部C 配置配置 高級(jí)選項(xiàng)高級(jí)選項(xiàng)25分部分部C 策略的設(shè)置策略的設(shè)置動(dòng)態(tài)對(duì)靜態(tài)動(dòng)態(tài)對(duì)靜態(tài) 配置一配置一基本與靜態(tài)對(duì)靜態(tài)基本與靜態(tài)對(duì)靜態(tài) 設(shè)置內(nèi)容一致設(shè)置內(nèi)容一致地址對(duì)象地址對(duì)象服務(wù)對(duì)象服務(wù)對(duì)象網(wǎng)關(guān)（動(dòng)態(tài)方網(wǎng)關(guān)（動(dòng)態(tài)方 ） 對(duì)象對(duì)象安全策略安全策略 總部總部分部分部動(dòng)態(tài)對(duì)靜態(tài)動(dòng)態(tài)對(duì)靜態(tài) 配置

7、二配置二 移動(dòng)用戶移動(dòng)用戶撥號(hào)用戶撥號(hào)用戶地址對(duì)象地址對(duì)象+撥號(hào)用戶地址池?fù)芴?hào)用戶地址池服務(wù)對(duì)象服務(wù)對(duì)象網(wǎng)關(guān)網(wǎng)關(guān)2 對(duì)象對(duì)象安全策略安全策略 總部總部28L2 客戶端客戶端訪問(wèn)總部訪問(wèn)總部A的服務(wù)器的服務(wù)器L2 的設(shè)置的設(shè)置 安全策略安全策略客戶端的設(shè)置客戶端的設(shè)置 L2 設(shè)定部分設(shè)定部分 設(shè)定設(shè)定L2用戶名用戶名/密碼密碼29配置配置L2用戶用戶30配置配置L2 31L2 策略的設(shè)置策略的設(shè)置32 客戶端的配置客戶端的配置 0133 客戶端的配置客戶端的配置 0234 客戶端的配置客戶端的配置 0335 客戶端的配置客戶端的配置 0436 客戶端的配置客戶端的配置 0537 客戶端的配置客戶

8、端的配置 0638 客戶端的配置客戶端的配置 07注意：注意：遠(yuǎn)程用戶所在的內(nèi)部網(wǎng)絡(luò)不能與遠(yuǎn)程用戶所在的內(nèi)部網(wǎng)絡(luò)不能與 內(nèi)部網(wǎng)絡(luò)相同的子網(wǎng)。內(nèi)部網(wǎng)絡(luò)相同的子網(wǎng)。在在 2003創(chuàng)建一條創(chuàng)建一條L2 在在 下面要修改注冊(cè)表：下面要修改注冊(cè)表：開(kāi)始開(kāi)始/運(yùn)行，找到下面這個(gè)路徑運(yùn)行，找到下面這個(gè)路徑,新增或修改的值為新增或修改的值為1。重啟計(jì)算機(jī)。重啟計(jì)算機(jī)。 40 軟件客戶端軟件客戶端訪問(wèn)總部訪問(wèn)總部A的服務(wù)器的服務(wù)器 設(shè)置設(shè)置 設(shè)置設(shè)置 安全策略安全策略 客戶端的設(shè)置客戶端的設(shè)置 設(shè)定部分設(shè)定部分 設(shè)定用戶的設(shè)定用戶的 41配置用戶配置用戶設(shè)置設(shè)置 42配置配置 1 43配置配置 高級(jí)選項(xiàng)高級(jí)選項(xiàng)

9、 1 44配置配置 245配置配置 高級(jí)選項(xiàng)高級(jí)選項(xiàng) 246總部總部A 策略的設(shè)置策略的設(shè)置47 遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 0148 遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 0249 遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 0350 遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 0451 遠(yuǎn)程客戶端的配置遠(yuǎn)程客戶端的配置 05 介紹介紹 網(wǎng)關(guān)首先它是一種基于架構(gòu)的遠(yuǎn)程訪問(wèn)方式，作為一網(wǎng)關(guān)首先它是一種基于架構(gòu)的遠(yuǎn)程訪問(wèn)方式，作為一種新興的技術(shù)，與傳統(tǒng)的種新興的技術(shù)，與傳統(tǒng)的 技術(shù)各具特色，各有千秋。技術(shù)各具特色，各有千秋。 比較適合用于移動(dòng)用戶的遠(yuǎn)程接入比較適合用于移動(dòng)用戶的遠(yuǎn)程接入()，而，而 則在網(wǎng)對(duì)網(wǎng)則在

10、網(wǎng)對(duì)網(wǎng)()的連接中具備先天優(yōu)勢(shì)。的連接中具備先天優(yōu)勢(shì)。 與與 區(qū)別區(qū)別 1、 多用于多用于“網(wǎng)網(wǎng)網(wǎng)網(wǎng)”連接，連接， 用于用于“移動(dòng)客戶移動(dòng)客戶網(wǎng)網(wǎng)”連連接。接。 的移動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器，無(wú)需安裝客戶的移動(dòng)用戶使用標(biāo)準(zhǔn)的瀏覽器，無(wú)需安裝客戶端程序，即可通過(guò)端程序，即可通過(guò) 隧道接入內(nèi)部網(wǎng)絡(luò)隧道接入內(nèi)部網(wǎng)絡(luò);而而 的移動(dòng)用的移動(dòng)用戶需要安裝專門(mén)的客戶端軟件。戶需要安裝專門(mén)的客戶端軟件。 2、 用戶不受上網(wǎng)方式限制，用戶不受上網(wǎng)方式限制， 隧道可以穿透隧道可以穿透;而客戶而客戶端需要支持端需要支持“穿透穿透”功能才能穿透，而且需要打開(kāi)功能才能穿透，而且需要打開(kāi)500端口。端口。 4、 只需要維護(hù)

11、中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)只需要維護(hù)中心節(jié)點(diǎn)的網(wǎng)關(guān)設(shè)備，客戶端免維護(hù)，降低了部署和支持費(fèi)用。而，降低了部署和支持費(fèi)用。而 需要管理通訊的每個(gè)節(jié)需要管理通訊的每個(gè)節(jié)點(diǎn)，網(wǎng)管專業(yè)性較強(qiáng)。點(diǎn)，網(wǎng)管專業(yè)性較強(qiáng)。 5、 更容易提供細(xì)粒度訪問(wèn)控制，可以對(duì)用戶的權(quán)限更容易提供細(xì)粒度訪問(wèn)控制，可以對(duì)用戶的權(quán)限、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，與第三方、資源、服務(wù)、文件進(jìn)行更加細(xì)致的控制，與第三方認(rèn)證系統(tǒng)認(rèn)證系統(tǒng)(如、等如、等)結(jié)合更加便捷。而結(jié)合更加便捷。而 主要基于五元組主要基于五元組對(duì)用戶進(jìn)行訪問(wèn)控制。對(duì)用戶進(jìn)行訪問(wèn)控制。 與與 區(qū)別區(qū)別速度偏慢解決方案速度偏慢解決方案 遠(yuǎn)程接入遠(yuǎn)程接入 應(yīng)用應(yīng)用企業(yè)部門(mén)數(shù)據(jù)比較集中，隨著商務(wù)模式的不斷變化，遠(yuǎn)程企業(yè)部門(mén)數(shù)據(jù)比較集中，隨著商務(wù)模式的不斷變化，遠(yuǎn)程辦公、移動(dòng)辦公越來(lái)越多，但對(duì)于來(lái)說(shuō)相對(duì)速度較慢，不能完辦公、移動(dòng)辦公越來(lái)越多，但對(duì)于來(lái)說(shuō)相對(duì)速度較慢，不能完美地解決此問(wèn)題。美地解決此問(wèn)題。 遠(yuǎn)程接入不需要對(duì)原有的網(wǎng)絡(luò)有變更，只需在單位局域遠(yuǎn)程接入不需要對(duì)原有的網(wǎng)絡(luò)有變更，只需在單位局域網(wǎng)內(nèi)放置一臺(tái)服務(wù)器，移動(dòng)辦公客戶端無(wú)需安裝任何的客戶端網(wǎng)內(nèi)放置一臺(tái)服務(wù)器，移動(dòng)辦公客戶端無(wú)需安裝任何的客戶端軟件，實(shí)現(xiàn)零客戶端安裝，通過(guò)方式即可訪問(wèn)。使用輕松簡(jiǎn)潔軟件，實(shí)現(xiàn)零客戶端安裝，通過(guò)方式即可訪問(wèn)。使用輕松簡(jiǎn)潔，十分人性