('——防火墙HEIDUNFIREWALL用户手册福建省海峡信息技术有限公司http://www.si.net.cn黑盾防火墙产品使用手册重要声明\uf0d8本书为【黑盾防火墙】产品配置使用指导手册,适用于黑盾防火墙系列产品。其内容将随着产品不断升级而改变,恕不另行通知。如有需要,请从福建省海峡信息技术有限公司网站下载本手册最新版本。\uf0d8在法律法规的最大允许范围内,福建省海峡信息技术有限公司除就本手册和产品应负的瑕疵担保责任外,无论明示或默示,不作其他任何担保,包括(但不限于)本手册中推荐使用产品的适用性和安全性、产品的适销性和适合某特定用途的担保。\uf0d8在法律法规的最大允许范围内,福建省海峡信息技术有限公司对于您的使用或不能使用本产品而发生的任何损害(包括,但不限于直接或间接的个人损害、商业利润的损失、业务中断、商业信息的遗失或其他损失),不负任何赔偿责任。\uf0d8感谢您购买福建省海峡信息技术有限公司研制开发的“黑盾”系列网络安全产品。请在安装本产品之前认真阅读配套的使用手册,当您开始使用黑盾防火墙时,海峡信息认为您已经阅读了本使用手册。福建省海峡信息技术有限公司福建省福州市湖东路11号4F邮编:350003电话:086-591-87303706传真:086-591-87303709E-mail:si@mail.si.net.cnHttp://www.si.net.cn版权所有翻录必究2黑盾防火墙产品使用手册目录1黑盾防火墙简介..............................................................................................................................................61.1系统概述.........................................................................................................................................61.1.1基本功能.........................................................................................................................................61.1.2系统技术参数.................................................................................................................................71.1.3系统组成.........................................................................................................................................81.2用户手册概述.................................................................................................................................81.3产品目录.........................................................................................................................................81.4防火墙在线帮助.............................................................................................................................91.5防火墙主页面.................................................................................................................................92部署黑盾防火墙............................................................................................................................................122.1黑盾防火墙网络拓扑规划............................................................................................................122.2防火墙的透明模式和路由模式一体化........................................................................................132.3确定网络应用服务和防火墙配置参数........................................................................................133黑盾防火墙的初始安装................................................................................................................................143.1准备工作.......................................................................................................................................143.2把防火墙连接到网络和设备上....................................................................................................153.3管理机的要求...............................................................................................................................153.4通过WEB浏览器配置防火墙......................................................................................................153.5通过管理机的串口配置防火墙....................................................................................................173.5.1串口设置.......................................................................................................................................183.5.2管理机的配置...............................................................................................................................183.5.3命令行...........................................................................................................................................214防火墙的安全配置........................................................................................................................................264.1系统信息.......................................................................................................................................274.1.1版本说明.......................................................................................................................................284.1.2系统资源.......................................................................................................................................294.1.3当前连接.......................................................................................................................................304.1.4ARP缓存........................................................................................................................................314.1.5IP资产管理...................................................................................................................................324.1.6调试工具.......................................................................................................................................324.2系统维护.......................................................................................................................................354.2.1配置管理.......................................................................................................................................354.2.2系统升级.......................................................................................................................................384.2.3系统自动重启...............................................................................................................................394.2.4重启系统.......................................................................................................................................394.2.5关闭系统.......................................................................................................................................404.2.6重新登录.......................................................................................................................................404.3系统设置.......................................................................................................................................414.3.1网口配置.......................................................................................................................................414.3.2路由配置.......................................................................................................................................474.3.3DHCP服务器.................................................................................................................................504.3.4DDNS管理.....................................................................................................................................544.3.5DNS配置.......................................................................................................................................544.3.6时间设置.......................................................................................................................................544.3.7网络参数.......................................................................................................................................554.3.8管理员设置...................................................................................................................................564.3.9管理主机.......................................................................................................................................614.3.10网络通信日志...............................................................................................................................634.3.11应用日志.......................................................................................................................................644.3.12链路备份.......................................................................................................................................653黑盾防火墙产品使用手册4.4IP包转换.......................................................................................................................................664.4.1源地址转换...................................................................................................................................674.4.2目标地址转换...............................................................................................................................704.4.3负载平衡.......................................................................................................................................744.4.4FWMARK设置...............................................................................................................................774.4.5TOS设置........................................................................................................................................774.5访问控制.......................................................................................................................................794.5.1帧过滤规则...................................................................................................................................804.5.2过滤规则.......................................................................................................................................824.5.3FTP高级过滤.................................................................................................................................864.5.4WEB高级过滤...............................................................................................................................884.5.5通用内容过滤...............................................................................................................................894.5.6P2P应用控制................................................................................................................................904.5.7流量控制.......................................................................................................................................904.5.8并发数控制...................................................................................................................................934.6安全选项.......................................................................................................................................934.6.1安全过滤选项...............................................................................................................................944.6.2IDS联动设置.................................................................................................................................974.6.3安全信任主机...............................................................................................................................994.7IPSECVPN配置............................................................................................................................1004.7.1VPN接口管理.............................................................................................................................1014.7.2VPN节点设置.............................................................................................................................1024.7.3密钥管理.....................................................................................................................................1064.7.4VPN隧道管理.............................................................................................................................1114.7.5VPN状态.....................................................................................................................................1154.8拨号VPN网络管理.....................................................................................................................1164.8.1用户管理.....................................................................................................................................1184.8.2连接状态.....................................................................................................................................1194.8.3为远程VPN建立规则.................................................................................................................1194.8.4客户端进行VPDN拨号...............................................................................................................1224.9SSLVPN模块................................................................................................................................1274.9.1服务端管理.................................................................................................................................1284.9.2客户端管理.................................................................................................................................1334.9.3RADIUS用户管理........................................................................................................................1404.9.4用户组管理.................................................................................................................................1424.9.5连接状态.....................................................................................................................................1434.9.6分支机构.....................................................................................................................................1444.9.7为远程SSLVPN客户端建立访问控制规则.................................................................................1484.10SSLVPN客户端软件.....................................................................................................................1504.10.1隧道管理.....................................................................................................................................1514.10.2配置管理.....................................................................................................................................1574.10.3日志管理.....................................................................................................................................1624.10.4程序安装/卸载............................................................................................................................1634.11对象定义.....................................................................................................................................1664.11.1地址池.........................................................................................................................................1674.11.2服务类型.....................................................................................................................................1724.11.3时间域.........................................................................................................................................1774.11.4用户组.........................................................................................................................................1804.12用户认证.....................................................................................................................................1824.12.1配置选项.....................................................................................................................................1824.12.2账号管理.....................................................................................................................................1834.12.3账号导入.....................................................................................................................................1844.12.4在线用户.....................................................................................................................................1854.12.5客户端登录.................................................................................................................................1854.12.6客户端设置.................................................................................................................................1874黑盾防火墙产品使用手册4.12.7客户端修改密码.........................................................................................................................1894.12.8客户端注销和退出.....................................................................................................................1894.12.9客户端软件分发.........................................................................................................................1904.12.10认证信任连接.....................................................................................................................1914.12.11认证网关.............................................................................................................................1914.12.12认证定时器.........................................................................................................................1924.13审计日志.....................................................................................................................................1924.13.1成功审计查询.............................................................................................................................1924.13.2失败审计日志.............................................................................................................................1934.13.3审计备份.....................................................................................................................................1944.13.4系统审计查询.............................................................................................................................1955黑盾防火墙应用实例..................................................................................................................................1965.1源、目的地址路由(策略路由)的配置..................................................................................1965.2VLANTrunk配置..........................................................................................................................2115.3支持视频会议.............................................................................................................................2156附录1常见网络安全术语..........................................................................................................................2195黑盾防火墙产品使用手册1黑盾防火墙简介黑盾防火墙是海峡信息安全解决方案中一个主要的安全组件,适用于政府、企业、证券、保险、金融、公安、教育、医疗军事等行业。它是执行网络之间的访问控制策略的有效网络安全模型,阻挡了对内、对外的非法访问和不安全数据的传递,增强了内部网络的安全性。黑盾防火墙采用包过滤和应用代理相结合的技术,根据网络的数据包、来往的网络地址以及防火墙的安全规则等,审查网络的数据流,拒绝或允许访问,同时提供应用级的安全认证手段,增加应用代理功能,实现更为细致的安全控制。此外,黑盾防火墙还结合了最新的入侵检测和阻断技术,具有智能化的防范攻击能力,并为管理员提供了多种方便易用的管理功能。1.1系统概述黑盾防火墙采用集中管理的分布式安全策略,通过浏览器对防火墙进行管理,完成防火墙的设置、安全策略与规则的配置、提供审计告警信息等。黑盾防火墙是基于状态检测、网络层与应用层相结合的安全解决方案。单位内部网可以设置多个防火墙,由一个管理机负责监控管理。对于受保护的信息,用户只有在获得授权后才能访问它。黑盾防火墙的功能设计,参照了防火墙标准NIST/NSADCA100-95-D-0104、GB/T18019-1999、GB/T18020-1999等,集中了包过滤、电路级网关、应用级网关等各类防火墙的主要特点,经有机结合而成。1.1.1基本功能基本功能如下:\uf0d8基于状态检测的动态包过滤功能;\uf0d8双向网络地址转换(NAT),并支持负载平衡;\uf0d8支持规则模版定制,方便防火墙部署和维护;\uf0d8支持基于策略的路由,能够建立灵活的选路方式;\uf0d8支持多层数据过滤,包括帧过滤,IP包过滤,应用层过滤;\uf0d8第二层帧过滤功能,包括源mac地址/目标mac地址/协议过滤,并对arp等二层6黑盾防火墙产品使用手册协议作深层过滤;\uf0d8IP包过滤功能,包括源地址/目的地址、源端口/目的端口、协议、服务等的过滤;\uf0d8智能内容过滤功能,支持任意指定端口的通用内容过滤,最大限度地对未知病毒,反动、黄色内容进行防范和屏蔽;\uf0d8透明接入功能,无需改变用户的网络结构和用户的设置;\uf0d8支持DHCP、PPPOE、VLANTRUNK接入功能;\uf0d8HTTP、FTP、TELNET、SMTP、POP3等应用代理;\uf0d8IP地址与MAC地址绑定,防止非法访问;\uf0d8防范DoS等攻击,提供对攻击活动的识别和告警;\uf0d8支持与多种入侵检测系统的联动功能;\uf0d8提供网络访问活动情况的实时监视;\uf0d8提供防火墙系统工作情况的实时监视;\uf0d8提供对防火墙的各种操作的审计日志;\uf0d8提供精确的流量统计,为计费提供依据\uf0d8提供基于IP和服务的网络流量控制,提供基于优先级和基于带宽的控制功能,可以保证关键业务的网络带宽;\uf0d8虚拟专网VPN(可选),实现内部网-公共网络-内部网之间的安全保密通信;\uf0d8支持VPN网关和拨号VPN的使用;\uf0d8支持双机热备份功能(可选);\uf0d8Web界面的管理程序,通过SSL加密通道进行远程管理和配置;\uf0d8提供恢复出厂配置、配置存档与恢复、在线升级、日志下载等功能。1.1.2系统技术参数网络接口三个10/100M自适应的以太网接口,符合IEEE802.310Base-T和IEEE802.3u100Base-TX标准,可扩展到8个接口Console口RS232C,DTE,9600-8-N-1工作原理NAT+状态检测+透明接入+应用代理支持协议TCP/IP协议、PPPOE、802.1Q、802.1D、IPX、NETBEUI、IPSEC、PPTP、H.323、MultiCast等用户数无限制性能转发速率:大于98Mbps7黑盾防火墙产品使用手册MTBF:60000小时外型尺寸支持电信标准,可选1U上架型改进机箱电气特性电压220~230V;频率50/60赫兹;最大功耗300W工作电压AC220V环境运行温度:0℃~45℃;非运行温度:-20℃~65℃,湿度10-95%(45℃)非冷凝80%尺寸420mmx300mmx43mm(1U标准)1.1.3系统组成黑盾防火墙包括:硬件、专用安全操作系统(内置)和防火墙软件。黑盾防火墙采用具有安全内核的专用操作系统,具有状态检测包过滤、NAT、透明接入、应用代理、帧过滤、双机热备份、带宽控制、安全管理、VPN等模块。黑盾防火墙是黑盾安全系列产品,不同的版本提供不同的功能模块,各版本之间的差异在手册中有详细注释。1.2用户手册概述本手册详细解释了防火墙的各项功能和使用,请在安装配置防火墙前认真阅读。如果由于配置失误等造成管理员无法登录防火墙时,可按“恢复出厂配置”进行操作(详见本手册第三章的“串口配置”),恢复出厂配置,然后恢复先前有效的配置存档。为有效使用防火墙,需要您事先了解一些与网络有关的基本知识,如DomainNameServers(DNS)、IP地址和防火墙等概念。1.3产品目录防火墙出厂装箱清单包括如下内容:·黑盾防火墙硬件主机;·1根灰色或红色非屏蔽5类双绞线(直连线);·1根蓝色非屏蔽5类双绞线(交叉线);·1根电源线;·1根console口连接线;·用户手册(含电子版本光盘一张);8黑盾防火墙产品使用手册防火墙外观(正面):背面:1.4防火墙在线帮助防火墙提供了丰富的在线帮助。在用户接口的任何一个界面和菜单里,单击在线帮助按钮,将会打开一个新的窗口,显示与当前操作有关的帮助信息。1.5防火墙主页面黑盾防火墙用WEB浏览器来进行管理,推荐使用MicrosoftInternetExplorer。防火墙主界面可以分为九个部分。\uf0b7\uf020系统信息:系统统信息提供防火墙系统的基本信息以及测试工具,使管理员能够了解系统的版本,系统资源,实时状态连接,ARP缓存,IP资产管理等信息,还提供了丰富的网络调试工具:PING,路由跟踪,在线捕包等。利用系统信息工具,管理员能够了解防火墙系统以及网络的实时状态。系统维护:系统维护提供了防火墙系统配置、规则配置的备份和恢复,系统升级,系统的停启以及重新登录等功能。为防火墙的安装部署,更新防火墙版本提供了强有力的功能。\uf0b7\uf020系统设置:系统设置为管理员提供了防火墙各个工作模式下的基本参数、管理权限、日志服务器的配置,此外还提供了DHCP服务器功能配置。防火墙基本参数为各种工作模式下的网络接口提供详细的参数配置和状态查看,并且还可以设置VLAN,桥,PPPOE,DHCP等多种联网方式。\uf0b7\uf020IP包转换:IP包转换是防火墙的一个重要功能,通过设置,防火墙会对符合条9黑盾防火墙产品使用手册件的IP包包头进行修改。网络地址转换(NAT)可以对源地址源端口或目标地址目标端口进行一对一、一对多、多对一或多对多的地址变换,实现灵活的NAT功能。此外,还可以对IP数据包打上FWMARK和TOS标记,使防火墙能够对数据包进行灵活的策略路由、流量控制(QOS)。\uf0b7\uf020访问控制:访问控制是防火墙核心功能之一,提供对各个区域的资源进行访问控制。根据网络的安全策略制定相应的过滤规则,以达到管理用户以及保护内部服务的目标。在这部分配置中,除了对网络层、传输层过滤外,还可以对链路层(第二层)及应用层进行精度控制。此外,本防火墙还提供了基于时间、基于流量优先级的访问控制功能。\uf0b7\uf020安全选项:防火墙为自身和安全区域提供了强大的入侵检测和抗攻击能力,它能够进行扫描检测、错包检测,抗源路由攻击,IP欺骗,SYNFLOOD,ICMPFLOOD等攻击行为。防火墙还可以和入侵检测系统进行联动。\uf0b7\uf020VPN设置:VPN模块为用户提供了IPSECVPN、PPTPVPN和SSLVPN三种VPN方式,并与防火墙无缝集成。VPN网关以IPSEC协议族为基础提供安全服务,包括访问控制、无连接完整性、数据源验证、抗重播、机密性(加密)和通信流机密性。拨号VPN通过采用PPTP协议,支持CHAP,MS-CHAPV2等用户认证方式,数据采用MPPE128位加密。SSLVPN提供了灵活便捷的VPN接入,高安全强度的身份验证机制,同时适用于单个用户和一个网段的VPN接入。\uf0b7\uf020对象定义:防火墙采用面向对象的管理机制,在配置各类安全策略之前,先对每个网络实体进行定义,以便于策略统一部署。身份认证:使用身份认证功能实现用户上网的实名控制,可以根据用户名进行访问控制,配置过滤规则;管理员审计信息:用于查询管理员的操作记录,包括成功的操作及失败的操作。审计员可以对审计信息进行备份、下载及删除。系统审计信息:用于查询防火墙系统事件,比如关闭系统、启动系统等。审计员可以对审计信息进行备份、下载、删除。10黑盾防火墙产品使用手册图一:黑盾防火墙主界面黑盾防火墙的默认配置是为大多数用户所普遍需要的功能而设置的。但也有一些用户有某些额外需要。为满足这些需要,可通过定购选项模块来增加额外的功能,如VPN模块。11黑盾防火墙产品使用手册2部署黑盾防火墙“黑盾”防火墙系列产品能为各种规模的客户提供全面、实时的安全,支持宽带接入与千兆级主干网络流量,满足从远程用户/SOHO、小型办公室,到企业分支机构、电子商务站点、大型企业总部,再到电信级、网络服务运营商、数据中心网络环境的安全需求无论您是需要低成本的用于小型网络的解决方案,还是需要电信级的核心任务实施方案,每一款黑盾防火墙都能让您构建高质量的网络安全防护体系结构,享受简便安装、直观管理和海峡信息工程师全方位的技术支持服务。用户在安装部署黑盾防火墙之前应该首先对本企业网络进行整体规划,确定网络拓扑结构,制定企业安全策略,以便于日后进行更好的管理。黑盾防火墙典型部署拓扑图2.1黑盾防火墙网络拓扑规划一般地,使用黑盾防火墙的网络结构可以参照上图进行规划,图中所示的非安全网络为Internet。实际应用中,任何应重点保护的子网与其他不信任网络相连时,都可以考虑使用防火墙进行隔离,比如,可以在企业的财务部与其他部门之间安放一台防火墙,既可保证各部门之间能够进行必要的通信,又能保证财务部子网的安全。黑盾防火墙标准配置提供了三个网络接口:外网口、内网口和DMZ口。同时防火墙支持实际硬件载体所提供的所有网络接口,包括标准配置的三个接口和各个扩展口。标12发起访问请求进行访问规则检查合法请求则允许对外访问发起访问请求合法请求则允许访问不允许对内网的访问黑盾防火墙黑盾防火墙产品使用手册准配置的三个接口分别连接外部非安全区网络、内部安全区网络和非军事化区网络(DMZ区网络)。将企业网络划分为内部安全区网络和DMZ区网络,是为了将对外提供公开服务的服务器主机,如企业的web服务器、ftp服务器、邮件服务器等,与其它不提供对外服务的主机分开,这样既便于集中管理,还可将风险隔离。因为对外提供服务的主机,不可避免地要比内部不提供对外服务的主机暴露给外面世界的信息要多,这就使它们更容易遭受外部黑客的攻击。将这些服务器集中放在DMZ区,即使它们遭到攻击也不会危及内部安全区网络各主机的安全。内部安全区网络和DMZ区网络都是防火墙保护的安全区域。2.2防火墙的透明模式和路由模式一体化工作模式主要分为:透明模式、路由模式和混和模式。\uf0b7透明模式:即桥模式,防火墙的网口相当于交换机的端口,路由和NAT等功能将不能使用,防火墙以这种模式接入,只需要一个IP地址,供管理配置之用,不需要按网络接口划分网络区域。原网络拓扑结构无须任何改变。\uf0b7路由模式:在此模式下,防火墙的正向NAT、反向NAT和路由的功能都可使用。这时内部网络客户机的网关应当设为防火墙的内网口地址。\uf0b7混合模式:在此模式下,防火墙的路由和NAT功能依然可使用。同时防火墙的网口不仅可相当于交换机的端口,也可作为路由端口使用。当防火墙采用混合模式时,内部网络客户机的网关既可以设为防火墙的内网口地址,也可以直接指向防火墙外部的路由器上,内部网络配置选择余地较大。另外,也可以选择部分接口加入透明模式,部分接口保留路由模式。2.3确定网络应用服务和防火墙配置参数规划好网络结构之后,就要具体定义网络参数,请尽可能确定以下各项内容:\uf0d8与外网连接的网关或路由器地址\uf0d8防火墙外网口的IP地址、子网掩码\uf0d8防火墙内网口的IP地址、子网掩码\uf0d8防火墙DMZ口的IP地址、子网掩码\uf0d8外部域名服务器地址\uf0d8内部域名服务器地址\uf0d8防火墙管理主机的IP地址及名称(一般放在内部网络)13黑盾防火墙产品使用手册\uf0d8企业安全策略,如:\uf0b7是否允许内网访问外网,允许访问哪些服务;\uf0b7是否允许进行Windows域登录,是否使用DHCP;\uf0b7是否允许从外网向内部网络进行telnet和FTP服务;\uf0b7内部用户访问外网是否进行流量控制、时间限制和内容限制;\uf0b7本企业必须使用哪些协议和服务等等。这些参数确定之后,就可以按照网络结构图安装黑盾防火墙系统了。但在防火墙能与企业网络协同工作之前,还必须进行防火墙的配置工作。其中包括防火墙系统配置和企业安全策略的实施,这将在下面的章节中讲述。3黑盾防火墙的初始安装3.1准备工作黑盾防火墙是硬件防火墙,出厂时已作了基本配置:\uf0d8DMZ口上有3个IP地址:10.1.0.1/16,172.16.0.1/16,192.168.0.1/16\uf0d8缺省管理主机IP地址(由DMZ口进入):10.1.0.2/16,172.16.0.2/16,192.168.0.2/16\uf0d8缺省管理员名:admin;口令:admin\uf0d8缺省规则管理员名:rule;口令:abc123;\uf0d8缺省审计名:audit;口令:abc123;\uf0d8缺省管理机IP地址:192.168.0.2,10.0.0.2,172.16.0.2(由DMZ口进入)注:在实际使用中,内网和DMZ区的地址可以由用户自己指定。外网的地址由ISP分配,用户配置时只需将ISP分配的地址填入即可。3.2把防火墙连接到网络和设备上按以下步骤安装防火墙的硬件:1)把黑盾防火墙安装到19英寸标准机架上或一个干净、干燥、水平的台面上。2)把连接防火墙的电源关闭。3)用产品包中提供的电源电缆连接防火墙和电源插座(确保防火墙的电源供应是14黑盾防火墙产品使用手册220V)。连线方式见表1。接口交换机/集线器路由器/主机外网口直接连接交叉连接内网口直接连接交叉连接DMZ口直接连接交叉连接防火墙的线路连接将防火墙的DMZ口接到集线器或交换机上,将一台工作用机也接到同一个集线器上,或者用交叉线将防火墙DMZ口跟工作用机网卡直接相连。同时,将工作用机的地址配置成:10.1.0.2/16或172.16.0.2/16或192.168.0.2/16(出厂缺省的许可配置地址)。4)打开连接防火墙的各设备的电源。5)如果线路连接正确,相应的指示灯会变亮。3.3管理机的要求安装好硬件后,就可以配置防火墙了。用户可以用一个标准的WEB浏览器进行配置,进行配置管理的工作站(管理机)必须具备下列条件:\uf0b7有MicrosoftInternetExplorer5.01或更高版本,或者NetscapeCommunicator4.0或更高版本。\uf0b7连接防火墙的网络必须支持TCP/IP协议。3.4通过WEB浏览器配置防火墙用户可以选择将管理机安放在与防火墙相连的任一网络,为安全和方便起见,建议将管理机安放在内部网。1)记录管理机的IP地址和子网掩码。在以后过程中将会需要重新输入它们。2)把管理机的IP地址设为与防火墙DMZ口在同一子网,比如改为10.1.0.2/16或172.16.0.2/16或192.168.0.2/16,然后根据用户的操作系统确定是否需要重新启动管理机使配置生效。注意:黑盾防火墙出厂时DMZ口的IP地址初始设置为10.1.0.1/16或者172.16.0.1/16或者192.168.0.1/16,默认管理主机IP地址为10.1.0.2/16,172.16.0.2/16,192.168.0.2/1615黑盾防火墙产品使用手册3)将防火墙DMZ接口和管理机连接在同一网络上,启动管理机的浏览器。4)在浏览器的URL地址栏中,填入防火墙的IP地址https://192.168.0.1/注意:黑盾防火墙管理时采用SSL以增加管理的安全性,因此是“https”,而不是“http”。5)登录前将出现安全报警提示,如下图:点击“是(Y)”,出现输入登录信息的对话框,图一:防火墙的登录画面6)输入初始用户名admin和初始密码admin,然后单击“登录”按钮,就可登录到16黑盾防火墙产品使用手册防火墙的主页面。注意:用户名和密码是大小写敏感的。防火墙出厂时用户名为admin,密码为admin。7)单击屏幕主页面中的“系统配置”按钮以配置防火墙的IP地址。接口设置画面出现在主显示区域中,详见本手册第四章第三节的“系统配置”。8)然后在“管理主机”上加入您的管理机(即用来管理防火墙的计算机)的IP地址。注意:这一步必须在修改防火墙网口IP地址前完成,否则将无法连接防火墙9)在“网口配置”中为“内网口”填入内部网络中有效的IP地址和网络掩码,在“路由设置”中main路由表添加缺省网关,然后单击“确认”按钮以保存设置。10)退出防火墙管理界面后,如果要从管理机再次连接防火墙时,就应当输入防火墙的新接口IP地址,如https://192.168.109.13.5通过管理机的串口配置防火墙防火墙串口提供一些命令供系统管理员配置和查看当前防火墙的状态。3.5.1串口设置端口参数设置:波特率为9600,8位数据位,1位停止位,无奇偶效验,无流控。Console口是防火墙的串口1,海峡信息在产品包装箱中提供了连接线缆。3.5.2管理机的配置以WINDOWS2000以上操作系统为例.采用操作系统自带的超级终端(HyperTerminal)应用程序。用鼠标单击“开始”,选择“附件”中“通讯”的“超级终端”,运行“超级终端”。超级终端开始运行后,出现“连接描述”对话框,在名称输入项中键入连接名称,如“firewall”等,再选择一个图标,按“确定”。如下图:17黑盾防火墙产品使用手册图一:管理机的配置出现“连接到”对话框,在“连接时使用”下拉菜单中选择“直接连接到串口1”(假设串口线连接串口1),按“确定”。如下图:图二:主机端的配置出现“COM1属性”对话框,把波特率设为9600,8位数据位,1位停止位,无奇偶效验,无流控,按“确定”完成设置。如下图:18黑盾防火墙产品使用手册图三:主机端的配置确定之后,将出现一个连接到PC上COM1端口的空白超级终端窗口。在开始使用超级终端管理防火墙之前,要确保终端属性进行了正确的设置。单击“文件”菜单,选择“属性”,然后单击“设置”选项卡。确保“功能键、箭头键和Ctrl键”设置为“终端键”,“终端仿真”设置为VT100。“反卷缓冲区行数”应设置为最大值。这将让你看到所做的修改,并为剪切和粘贴保存最大的历史纪录。设置如图所示:★小技巧:为了达到终端最佳视觉效果,可以把字体设置为Fixedsys.☆进入终端状态连接通过后,用户请键入回车键(Enter键),便可在窗口中看到命令行提示符:19黑盾防火墙产品使用手册注意:如果没有看到,则要检查电缆是否正确连接到防火墙串口1上,或者是否选择了PC上的错误的COM端口。系统将提示用户输入访问口令。注意:该口令防火墙出产时缺省为abc123,用户在以后的配置中可以自定义修改。黑盾防火墙的命令行配置界面类似Cisco路由器的IOS配置界面,操作基本一致。该配置界面下可以做到:查看防火墙系统的基本信息,简单配置防火墙的网口地址、路由、管理主机以及防火墙系统的服务web和ssh,恢复防火墙的出厂配置等等。更多的配置工作则通过WEB浏览器配置方式完成。\uf06c访问状态级别黑盾防火墙有两种缺省的权限状态:“普通用户”状态和“超级用户状态”。在普通用户状态中,只能查看而不能修改防火墙状态。要了解更多的信息或者需要对防火墙做某些修改,则必须进入超级用户状态3002\uf06c如何使用命令行配置防火墙黑盾防火墙进入串口终端方式的命令行配置界面,任何时候都可以使用?号来获得在该状态下可以使用的命令集合以及各个命令的含义。单独输入一个问号,将显示当前状态下所有有效的命令。在输入的一个命令后添加一个问号,将显示以此命令开头的所有有效命令及命令参数。可以使用问号?帮助在命令行配置界面中浏览所有命令。在输入部分命令后,按Tab键可以补全该命令关键字。输入命令后可以用?号来获得后续可以使用的命令或参数的帮助列表。用户终端登录后,就进入了普通用户状态。要进入超级用户状态,需要在普通用户状态下,使用命令:enable,并且输入密码,20黑盾防火墙产品使用手册出厂密码是:“abc123”。要进入配置状态,需要在超级用户状态,使用命令:configureterminal。命令行配置,还支持命令简写功能,只要不引起歧义,可以用命令的前几个字符替代整个命令,这样,配置时的击键量就小多了。3.5.3命令行3.5.3.1一般用户状态下的功能见下图:SHOW显示防火墙各种状态和参数;ENABLE进入超级终端状态;PING检查网络状态,与WIN98的PING相同;TRACERTOUTE查看至目的地址的路由信息,与WIN98下的TRACERT相同;EXIT退出命令行配置防火墙。提示符下敲一个问号可以取得所有命令以及命令的解释,如图:21黑盾防火墙产品使用手册3.5.3.2超级用户状态下的功能在普通用户提示下键入enable命令,再键入相应的口令,进入超级用户状态,见下图:CONFIGURE配置防火墙参数;SHOW显示防火墙各种状态和参数;ENABLE进入超级用户状态;TELNET远程登录;PING与WIN98的PING相同;SECRET更改口令;TRACERTOUTE查看至目的地址的路由信息,与WIN98下的TRACERT相同;RESET恢复出厂设置(除备份数据);REBOOT重新引导;EXIT退出命令行配置防火墙。下表是普通用户、超级用户状态和配置状态下的命令列表:22黑盾防火墙产品使用手册具体命令如下:1.显示防火墙系统信息(1)showarp显示arp缓存(2)showclock显示系统时间(3)showinterface显示网络接口配置(4)showroute显示路由配置(5)showmemory显示内存使用情况(6)showcpu普通用户状态命令列表Show显示防火墙信息Enable进入超级用户状态Ping发送Ping指令Traceroute查看至目的地址的路由信息Exit退出超级用户状态命令列表Configure进入配置状态Show显示防火墙系统信息Enable进入超级用户状态Telnet启动一个telnet连接Ping发送Ping指令Secret配置用户和超级用户密码Traceroute查看至目的地址的路由信息Reset恢复出厂设置Reboot重新启动防火墙Exit退出配置状态下命令列表Route配置路由Interface配置网卡和IPadminhost配置管理主机Done写入配置23黑盾防火墙产品使用手册显示cpu使用情况(7)showprivilege显示当前用户状态,0为普通用户,1为超级用户(8)showuptime显示系统最后更新时间(9)show_version显示防火墙版本信息2.ping命令,检查网络状态,与win98的ping相同3.traceroute查看至目的地址的路由信息,与win98下的tracert相同4.Enable命令,输入密码,出厂是abc123,进入超级用户管理状态5.Exit退出串口终端配置系统注:进入管理员状态后,终端所有命令都可以使用,下面这些命令只有在管理员状态下才能使用6.telnet远程登录,与win98下的telnet相同7.configureterminal命令,此时系统进入“配置”状态,命令提示符为configure$(1)管理主机adminhostadminhostadd[interface]添加管理主机adminhostdelete输入要删除的id删除管理主机adminhostlist查看管理主机列表(2)管理路由routerouteadd–local[metric]添加本地路由routeadd–static[interface][metric]添加静态路由routeadd–default[interface][metric]添加默认路由routedelete输入要删除的id删除某条路由routelist查看路由列表(3)网络接口interfaceinterfacelistifcfg查看网络接口的配置状态interfacelistipaddr查看网络接口的ip地址interfaceset设定网络接口的状态和模式注:其中up----->yes,down----->no;为pppoe,dhcp,static三种模式之一interfaceadd添加网络接口的ip地址interfacedelete删除网络接口的ip地址(4)服务控制serverserver24黑盾防火墙产品使用手册注:此命令可启用、停用、重启系统的web或ssh服务(5)done命令,退出配置状态,返回到管理员状态8.secret命令secretlogin设置串口终端配置系统的登录密码secretenable设置进入管理员状态的密码9.reset命令,重新设置防火墙的出厂配置resetuser重新设置用户的出厂配置resetrule重新设置规则的出厂配置resetsystem重新设置系统的出厂配置resetall重新设置所有的出厂配置(用户.规则.系统)10.reboot命令,重启防火墙系统4防火墙的安全配置按照您的网络情况安装黑盾防火墙之后,系统管理员首先要做的第一件事就是进行系统配置,因为只有完成系统配置之后,防火墙才能与用户的网络协同工作。下面就是以超级用户进入黑盾防火墙后所看到的管理配置界面(本系统定义了4种用户组:超级管理员、规则管理员、审计员、只读管理员。各有相应的操作权限,登录后将根据不同的权限出现不同的配置界面,三种用户详细权限定义在用户管理中说明。注意:管理机如果连续10次登录失败,在之后的10分钟内将被禁止再次尝试登录防火墙)。25黑盾防火墙产品使用手册从上面界面看出超级用户可以进行的配置包括:系统信息、系统维护、系统设置、IP包转换、访问控制、安全选项、VPN设置、对象定义、身份认证、注销十个大栏目(不同型号的配置栏目不同)。4.1系统信息系统信息设置的主界面:26黑盾防火墙产品使用手册界面上概述了系统信息的要义:提供防火墙系统的基本信息以及测试工具,使管理员能够了解系统的版本,系统资源,实时状态连接,ARP缓存、IP资产管理等信息,还提供了丰富的网络调试工具:PING,路由跟踪,在线捕包等。利用系统信息工具,管理员能够了解防火墙系统以及网络的实时状态。4.1.1版本说明此处可以看出本机的版本号及出厂日期。序列号则是本机的唯一识别。目前版本为3.0。27黑盾防火墙产品使用手册4.1.2系统资源系统资源显示当前防火墙主要硬件资源的使用情况。\uf0b7CPU状态:显示user(用户进程)、system(系统进程)、nice(优先级数为正值的进程)、idle(空闲进程)使用CPU的百分比;\uf0b7内存状态:显示系统总的内存容量,已使用内存大小,空闲内存大小;\uf0b7存储使用率:显示存储介质总容量,已使用大小,空闲大小及其空间存储利用率;\uf0b7连续运行时间:显示防火墙最近一次开机至当前的持续工作时间;\uf0b7系统负载:显示系统平均5分钟,10分钟,15分钟的负载量;\uf0b7进程信息:显示当前进程总个数,睡眠进程个数,正在运行进程个数,僵死进程个数,已停止进程个数。28黑盾防火墙产品使用手册网络资源界面显示了当前的网络接口状态和网络带宽使用情况。查看完后,可以按“刷新信息”按钮重新获取系统资源或网络资源信息。4.1.3当前连接这个功能是让用户对当前防火墙的连接状态信息进行查询。可以对IP、端口号、协议、状态、流速等进行任意组合查询,并可以根据某一个或者多个条件进行统计和排序。查询条件包括如下内容:\uf0b7地址:指定要查询连接的地址对和通讯发起方向,通讯方向默认为双向,根据需要手工指定。地址可以是主机地址,也可以是网段(子网)地址;\uf0b7协议:指定所要查询连接的协议类型,可从下拉列表中选择“所有,tcp,udp,icmp,其他”之一。其中“所有”表示查询所有协议连接;“tcp”表示只查询tcp协议的连接;“udp”表示只查询udp协议的连接。默认选择“所有”。\uf0b7端口:指定要查询连接的源和目的端口值,并可根据需要指定通讯发起方向,默认值为双向。端口是指TCP和UDP协议的端口。\uf0b7连接状态:指定所要查询连接的状态类型,可从下拉列表中选择“所有,已连接,未答复,其他”之一。其中“所有”表示查询所有状态的连接;“已连接”表示只查询已建立连接(目标端已答复)的连接;“未答复”表示只查询未答复(目标端未答复)的连接。默认选择“所有”。\uf0b7流速:可选项为“所有,大于0,等于0”,默认值为“所有”。统计条件包括如下内容:\uf0b7不统计:默认值,选中此选项时将不对查询结果进行统计,列出所有符合查询条件的详细连接信息。\uf0b7统计所有:若选中此选项,则查询结果显示符合条件的连接状态的总连接数、总流量和总流速。\uf0b7自定义:用户可自定义统计条件,例如根据源IP进行统计时,统计结果会合并所有源IP相同的连接,计算这些连接的总连接数、总流量、总流速和总包数。自定义的统计条件支持多选。29黑盾防火墙产品使用手册排序条件包括系统、连接数、流速、流量、包个数、建立时间和剩余时间。默认根据系统顺序排列,用户可选择其它排序方式,所有排序方式均为降序。提示:若查询操作所得到的结果过多,无法找到希望查看的信息时,可以通过查询条件来减少查询结果。删除连接状态:点击界面右上角的“删除匹配连接”将会删除当前符合查询条件的连接。注意,要先进行查询才能正确删除连接状态。4.1.4ARP缓存防火墙上可以列出系统的ARP缓存的详细信息(每个表项对应的接口、原IP、MAC地址、状态),可以用页面上的“清空列表”按钮来删除ARP缓存中的所有表项,也可以点击每条表项后面的“删除”按钮来删除相应表项。对系统的ARP缓存还可以进行如下操作:\uf0b7设置静态条目:往ARP缓存中添加一条表项,要求指定IP地址,MAC地址,接口名可选;\uf0b7查找:在ARP缓存中查找符合条件的表项,条件为接口名,IP地址,MAC地址。可指定三个条件中的0-3个,其中IP地址,MAC地址可以只给出前面一部分,进行模糊匹配;\uf0b7导入静态条目:可以选定系统中已经存在的地址池对象导入到ARP缓存中。防火墙上将暂存通过防火墙的IP的ARP列表,实时在线的状态将显示可到达,曾在线的将显示超时。30黑盾防火墙产品使用手册4.1.5IP资产管理防火墙提供了资产管理功能帮助用户注册登记网络的IP-MAC资产,方便管理IP使用状况,通过网内IP使用实名制,方便定位查找。◆添加ip-mac:用户手工添加登记一条资产信息,内容包括IP、MAC和描述;◆扫描ip-mac:根据输入的开始IP和结束IP地址,并选择扫描区域,进行扫描;◆导入:系统支持用户已经导出的备份文件进行恢复ip支持表;◆导出:将目前系统的ip支持表信息导出到用户电脑做备份;◆清空:系统将IP资产表所有条目删除;◆IP-MAC绑定:用户根据需要选择IP-MAC地址绑定的信息;◆导入身份认证IP资产:如果使用了身份认证功能,系统支持从身份认证登记的资料导入到IP资产清单,这样避免重复登记录入ip资产信息。4.1.6调试工具防火墙上内置了些小工具协助用户分析网络故障◆冲突告警:该功能显示最近一次与防火墙发生IP冲突的内网主机,包括IP、MAC、以及发生冲突的时间(如下图),有助与管理员迅速排查因IP冲突造成的网31黑盾防火墙产品使用手册络故障。◆PING:校验与远程计算机或本地计算机的连接。Ping命令通过向计算机发送ICMP回应报文并且监听回应报文的返回,以校验与远程计算机或本地计算机的连接。对于每个发送报文,Ping最多等待1秒,并打印发送和接收把报文的数量。比较每个接收报文和发送报文,以校验其有效性。默认情况下,发送四个回应报文,每个报文包含64字节的数据(周期性的大写字母序列)。◆TRACEROUTE:当数据报从你的计算机经过多个网关传送到目的地时,Tracerout命令可以用来跟踪数据报使用的路由(路径)。该实用程序跟踪的路径是源计算机到目的地的一条路径,不能保证或认为数据报总遵循这个路径。如果你的配置使用DNS,那么你常常会从所产生的应答中得到城市、地址和常见通信公司的名字。Tracert是一个运行得比较慢的命令(如果你指定的目标地址比较远),每个路由器你大约需要给它15秒钟\ue5e5\ue5e5Tracerout的使用很简单,只需要在Tracerout后面跟一个IP地址或URL,Tracerout会进行相应的域名转换的。Tracerout一般用来检测故障的位置,你可以用TraceroutIP在哪个环节上出了问题,虽然还是没有确定是什么问题,但它已经告诉了我们问题所在的地方,你也就可以很有把握的告诉别人——某某出了问题。◆SNIFFER:该功能是根据设定的条件对网络数据包进行捕包,并可以分析捕到数据包的内部信息(如下图:)A、sniffer可设定捕包条件:\uf0b7接口:在指定接口上捕包;可以在接口列表中选择接口或者直接输入接口名称。\uf0b7接口名称:有效的接口名称可以是(X代表整数):ethX(物理接口),br1(网桥接口),ethX.X(VLAN虚接口),ipsec.X(VPN接口),pppX(VPDN接口)。可用的接口名称可以从“路由表”中查看。\uf0b7协议:想捕捉的数据包的协议;以在协议列表中选择协议或者直接输入协议类型。\uf0b7包个数:想捕捉的数据包的个数;32黑盾防火墙产品使用手册\uf0b7源MAC:想捕捉的数据包的源MAC地址;\uf0b7目标MAC:想捕捉的数据包目标MAC地址;\uf0b7源IP:想捕捉的数据包的源IP地址;\uf0b7目标IP:想捕捉的数据包目标IP地址;\uf0b7原端口:想捕捉的数据包的源端口;\uf0b7目标端口:想捕捉的数据包目标端口;按“开始”按钮开始捕包,按“终止”终止捕包,本页面把捕到的数据包的内部信息详细列出。提示:捕包条件可以只设置部分,但每个条件都要求精确匹配,如“源IP”:要求给出完整IP地址,且不支持网络地址。B、sniffer捕包结果分析:1ip数据包分析(如下图)第一列:表示时间,时:分:秒:微秒;第二列:源IP.源端口;第三列:目的IP.目的端口;第四列:如果不是TCP协议,那么表示的是协议名称;如果是TCP协议,那么表示的是TCP的标记位;Len:表示数据包长度;2ARP数据包分析(如下图)33黑盾防火墙产品使用手册第一列:表示时间,时:分:秒:微秒;第二列:源MAC第三列:表示目标MAC,或广播包(Broadcast)第四列:表示arp协议,及arp数据的具体内容;“who-has”为arp查询包,“reply”为arp应答包。4.2系统维护系统维护下有配置管理、系统自动重启、系统升级、重新启动、关闭系统、重新登录、在线帮助共7个项目。4.2.1配置管理配置管理让用户能将防火墙的当前配置信息进行可选择的备份,并下载备份文件保存到管理主机或者其它设备上,需要恢复配置时再上传到防火墙上去。34黑盾防火墙产品使用手册备份完成如上图,备份界面里包括“备份当前配置”、“恢复”、“下载”、“删除”、“上传”和“清空”六个功能。1)如果您刚对防火墙做完详细的配置,您可以点击“备份当前配置”将您所做的相关配置备份下来,如下图:2)您可以点击“下载”,将所做的防火墙备份数据下载到管理机上保存,如下图:35黑盾防火墙产品使用手册提示:保存时尽量使用不包含中文的文件名,如上图所示的“allconfig.fwconf”。若使用中文文件名,则需要修改浏览器设置,去掉“总是以UTP-8发送URL”。如下图:3)如果您需要采用以前的防火墙系统配置,可以点击“上传配置”,选择相关的防火墙配置文件,如下图:36黑盾防火墙产品使用手册提示:若要上传文件名包含中文的配置文件,请参考上一步中的浏览器设置。4)点击您所上传的防火墙系统配置文件对应栏内的“恢复”,出现如下提示:5)点击“确定”后,防火墙将应用新的防火墙配置。配置恢复无需重启防火墙即可生效。6)配置成功恢复后需要进行保存当前配置的操作,才能使防火墙在重启之后不还原到“恢复”操作进行之前的配置。4.2.2系统升级网络安全是动态变化,要确保网络安全防护的有效性,升级是有必要的。见下图:您可以点击“上传升级包”,选择升级系统所需要的升级数据包。如下图:37黑盾防火墙产品使用手册点击“确定上传”,后出现如下提示:点击“确定”后,系统将自动重启,并完成升级。4.2.3系统自动重启用户可以设定指定两个时刻重启指定服务或重启系统,用户可预先指定时间,到时防火墙将自动重启指定的服务或系统。4.2.4重启系统38黑盾防火墙产品使用手册该功能是给用户在一些特定的时候对防火墙进行重新启动的操作。4.2.5关闭系统该功能是给用户在一些特定的时候对防火墙进行关闭的操作。4.2.6重新登录顾名思义,给用户提供一个重新登录的入口,比如由规则管理员换为审计员,界面见下图:4.3系统设置系统设置如下图:系统配置下有网口配置、路由配置、DHCP服务器、DDNS管理、DNS配置、系统时间、39黑盾防火墙产品使用手册网络参数、双击热备、管理员设置、管理主机、SNMP管理、日志管理等十二个选项,以下一一介绍。4.3.1网口配置防火墙基本参数为各种工作模式下的网络接口提供详细的参数配置和状态查看,并且还可以设置VLAN、桥、PPPOE、DHCP等多种联网方式。网口配置分为以下几个内容:外网口、内网口、DMZ区、EXT1(扩展口)、VLAN、网桥的配置。您可以通过“网口配置”为防火墙上各个物理接口设置IP地址,网口配置如下图:4.3.1.1物理接口配置如上图可以看到外网口的信息:包括基本信息、流量信息和参数设置。基本信息:包括接口名,设备名,链路状态,连接类型(如:10兆半双工为10baseT-HD、百兆全双工为100baseTX-FD,根据网口的不同类型显示),活动状态(可以选择启用、停用或重启)。允许对接口名进行重新定义:如对EXT1(扩展口1)重新定义为“服务器区”。40黑盾防火墙产品使用手册流量信息:按照接收和发送状况显示字节/每秒,包数/每秒,比特/每秒,平均包长度。参数设置:接口可以通过3种方式获取地址,DHCP、PPPOE、手工设置静态IP地址,并只能选其一。1)在选择DHCP方式时,可选择所使用的路由表,通过DHCP获取的默认路由将加入该表中。2)目前只允许在一个接口上使用PPPOE,当有一个接口使用时,其它接口上该选项将显示为不可用。当选择PPPOE时,请先对其参数进行设置。PPPOE参数设置:PPPOE的验证协议包括口令验证协议(PAP)和挑战握手验证协议(CHAP):(a)口令验证协议(PAP)PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。(b)挑战-握手验证协议(CHAP)CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串。远程客户必须使用MD5单向哈希算法返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。用户可以根据需要选择CHAP或者PAP。然后输入用户名和密码,并确认密码。MSS设置:MSS(MaximumSegmentSize),最大分组大小,等于MxaMTU减去40字节的地址信息)的整数倍,用户可以对MSS不指定,也可以指定,但要注意对41黑盾防火墙产品使用手册MSS指定有可能影响IPsec等特殊协议的连接。3)静态IP可设置多个地址,其中在“已激活IP”栏中第一项为主IP,可在“已激活IP”中选中一项,点击“设为主IP”按钮来设置。如果添加多个地址,也要写上相应的子网掩码。MAC地址:MAC地址设置,可以根据需要修改,也可以恢复为网卡默认值。设置网卡模式:如果要使用防火墙上的在线捕包功能,启用sniffer,需要将网卡设置为杂凑模式,在右边框打钩即可,也可选择ARP代理,将该网口设为ARP代理。MTU设置:在TCP/IP通讯中,以太网的IP层的报文重组中有一个长度限制1500,限定了网络接口所能接收的报文大小,所以在此默认设置值为1500,用户可以根据实际需要修改MTU值,但是最大不超过1500。★注意事项:内网口、DMZ口、EXT1的参数配置与外网口的方法一样,内网口的默认IP是192.168.1.1/24,DMZ口的默认IP是172.16.1.1/16。4.3.1.2VLAN设置,支持VLANTRUNK(802.1Q)协议如果网络中要设置VLAN,需要与防火墙绑定接口。对于需要接入到VLAN的网络接口,需要为该接口设置VLAN标记(tag),输入VLANID号,生成虚拟VLAN接口,虚拟接口名字为[接口名].[VLANID]。不需要的时候,也可以“删除接口”。接下来选择“基本信息”的“VLAN接口”,查看该虚拟接口的流量信息,设置IP地址。如下图所示:42黑盾防火墙产品使用手册注意:VLANID的范围是1-4095。4.3.1.3网桥设置通过把需要工作于透明模式的网络接口(实接口或虚接口)加入到桥模式,生成桥虚拟接口。为了保证防火墙的正常工作,一般在一个网口加入桥之前或之后,删除相应接口的IP地址。如下图所示:43黑盾防火墙产品使用手册转发表信息查看:网桥模式,也称“交换模式”,网卡工作于混杂模式,通过学习形成一张端口MAC为主的转发表。STP生成树协议:默认启用STP,使用生成树协议可以检测并禁用网络回路。下面是STP协议参数配置:\uf0a7maxage:设置桥接口收到的配置BPDU的最大寿命。默认值:20秒,合理值:6-40秒\uf0a7hellotime:设置生成树根设备发送配置BPDU的时间间隔(单位:秒),推荐值2秒,合理值:1-10秒\uf0a7agetime:MAC地址更新间隔。单位为秒,默认值:200秒\uf0a7forwarddelay:转发延时,默认为1秒,合理范围1-15。用于设置生成树根设备在变更状态之前(即学习到转发)的最长等候时间(以秒为单位)。这个延迟是必需的,这是因为任何一台设备在开始转发帧之前首先必须接收到有关拓扑变更的消息。除此之外,每个端口都需要一定时间侦听冲突信息,这将使其返回到阻塞状态;否则可能会造成暂时的数据回路。\uf0a7garbagecollectioninterval:碎片收集间隔,单位为秒。\uf0a7toplogychagetimer:拓扑改变时间同时可以察看桥接口流量信息,为桥接口配置IP地址,实现三层交换(路由透明混合模式)。44黑盾防火墙产品使用手册4.3.2路由配置防火墙基于策略的路由配置涉及两个方面:路由表和路由规则。路由配置模块主要功能是用于对防火墙上的路由表进行配置维护,设置路由规则指定符合条件的数据包所要查询的路由表。防火墙的路由配置步骤如下:1.建立路由表2.设置各个路由表3.设置相应的路由规则。其路由配置主界面如下图:4.3.2.1建立路由表点击配置界面的左上角“路由表”出现路由列表,如下图所示:路由表总共可以有254张,其中表号为254表名为main的路由表为防火墙的主路由表,默认已创建,其他路由表,用户在使用前要先进行创建。点击“创建新表”来建新的路由表,如下图所示:45黑盾防火墙产品使用手册4.3.2.2设置路由表点击路由列表中各个路由表的“查看”,进入路由表的设置,例如对main(254)表进行配置,如下图所示:使用方法:按需求点击右下角的“新建静态路由”、“新建本地路由”、“新建默认路由”,按提示在输入框内正确输入路由参数,按右边的删除可以删除不需要的路由,如下图:静态路由:可以人为地指定对某一网络访问时所要经过的路径,在网络结构比较简单,且一般到达某一网络经过的路径唯一的情况下采用静态路由。46黑盾防火墙产品使用手册本地路由:防火墙配置网络接口后会自动生成本地路由。默认路由:用户的互联网ISP提供的网关路由。★注意事项:a.默认路由一般都要手动添加,它是指向下一跳网关路由,当是DHCP动态获取地址时能够自动会获取默认路由。b.添加静态路由时注意“目标网络”是一个网络段,注意掩码大小。c.不管是默认路由还是静态路由都必须注意网络接口的选择。4.3.2.3设置相应的路由规则路由规则用于指定符合条件的数据包所要查询的路由表,路由规则类似防火墙过滤规则,采用从上至下的优先匹配方式。当一个数据包符合某条规则时,进入该规则所指定路由表,查找符合条件的路由,匹配成功则走该路由,否则将跳出该路由表,继续查找符合条件的路由规则,再查表,直至找到路由,如果最终没找到适合的路由,则该数据包被丢弃。点击路由配置主界面上的“路由规则”,进入路由规则设置,注意系统默认的路由规则总是在其他路由规则的后面,如下图:新建路由规则如下所示:47黑盾防火墙产品使用手册4.3.3DHCP服务器在一些网络环境中,某些主机可能会使用DHCP(动态主机配置协议)服务,所以防火墙上提供了DHCP服务器功能,内部使用和管理都方便快捷。4.3.3.1DHCP参数设置该页面设置DHCP服务的主要运行参数,设置参数前,请先选择DHCP服务所要绑定和运行的接口。(页面上自动显示当前可绑定DHCP服务的网络接口)。选择完接口后,如果该接口未绑定DHCP服务,可点击‘编辑’进行参数设置。如果已经在该接口上已经有DHCP参数,页面将显示已设置的参数,也可点击‘编辑’重新进行参数设置。或则点击清除,表示不在该接口上绑定DHCP服务。清除后,将重新启动DHCP服务,以确认该操作。(注意事项:如果你某个接口上绑定了另外一个接口上的网络参数,DHCP可以启动,但需要操作者从逻辑上清楚自己到底在操作哪个接口)进入编辑页面,进行参数设置后,点击保存&运行,默认保存已经设置的参数并重新启动DHCP服务。如果你不需要启动DHCP服务,可进入DHCP状态页面,停止该服务。48黑盾防火墙产品使用手册\uf0b7其它参数设置o默认出租时间(秒):如果DHCP客户端在申请租约时不请求一个特定租约失效时间,则以该时间为租约时间。(默认28800秒=8个小时)o最大出租时间(秒):如果DHCP客户端有请求一个特定的租约失效时间,则采用不能超过该时间。(默认43200秒=12个小时)\uf0a7注意:地址池租期一般为多少最好?取决于网络中计算机使用的时间,一般从几小时到几天不等,计算机较多但是使用不频繁的时候可以选择小的时间范围!否则相反,如果计算机不多建议关闭dhcp使用固定ip,除非用于其他。o域名:提供给DHCP客户机作为默认搜索域的域名,如:firewall.comoDNS服务器:为DHCP客户分配DNS服务器IP地址oWINS服务器:为DHCP客户分配WINS服务器IP地址(可选)o默认网关:为DHCP客户分配默认的网关IP地址(路由)\uf0b7地址池设置o子网地址:DHCP服务分配IP所在子网地址。如:10.11.0.049黑盾防火墙产品使用手册o子网掩码:标明IP地址是否在同个逻辑网络里的选项。如:255.255.255.0\uf0a7注意:请熟悉子网地址和子网掩码的意义。常见错误:子网地址:10.11.0.1,子网掩码:255.255.255.0o开始地址:DHCP服务分配开始的IP地址o结束地址:DHCP服务分配结束的IP地址\uf0a7注意:开始和结束的IP地址必须符合子网地址和子网掩码的设置,也就是必须在子网地址和子网掩码的设置的IP范围内。4.3.3.2DHCP地址绑定设置DHCP服务在分配地址时IP和MAC进行绑定的情况。即特定的MAC获取特定的IP。DHCP服务将优先检查这些绑定情况。\uf0b7新建规则:手工添加MAC-IP的绑定列\uf0b7清空规则:清空MAC-IP的绑定列表。50黑盾防火墙产品使用手册\uf0b7上传规则:选择本地的MAC-IP绑定列表文件上传,将自动检查文件名,文件内容和格式,通过后导入绑定列表。\uf0b7导入地址池对象:导入对象设置里的地址池对象,并对地址池对象进行格式检查,通过的导入绑定列表。地址池对象可以根据对象定义的IP来选择,具体可参考4.8.1的“对象定义”中的“地址池”的配置方法。也可以新建规则,根据实际情况,自己填写需要绑定的MAC和IP地址。4.3.3.3DHCP状态查看DHCP地址分发情况,并控制DHCP服务的启动和停止。并同步到防火墙启动时,是否启动该服务。51黑盾防火墙产品使用手册4.3.4DDNS管理本配置主要给使用动态域名的用户使用,目前仅支持花生壳。用户必须事先已向花生壳申请了动态域名,在本地可以不需要安装花生壳客户端,这个工作由防火墙来处理。用户只需把申请的用户名和密码对应输入配置框中提交配置后点击启用就可以了。4.3.5DNS配置“DNS配置”主要起到DNS解析的功能。启用该功能后,只要将网络中可用的DNS服务器的IP地址填入DNS服务器IP后,防火墙作为DNS客户端身份就有了DNS解析功能。如下图:\uf0b7可为防火墙配置3个DNS服务器IP地址,以实现DNS查询的冗余。\uf0b7可调整3个DNS服务器IP地址的顺序,以调整防火墙查询DNS服务器的优先顺序。4.3.6时间设置为了保证防火墙的任何日志以及审计记录等时间的正确性,需要管理人员正确设置防火墙的系统时间,该功能对于事后的任何安全审查而言都是相当重要的,系统时间操作界面如52黑盾防火墙产品使用手册下:1)您可以点击“修改”进行修改,如下图:1)分别在各个时间框中填入相应的数值,点击“提交”后退出,您所做的时间配置就立即生效了,如下图。4.3.7网络参数查看和修改防火墙网络协议的部分参数,以达到优化防火墙网络性能的目的。53黑盾防火墙产品使用手册注意:请在熟悉网络知识或厂商的指导下修改配置。在配置出错时,可恢复到系统默认的配置。大部分情况下可以使用原有的参数而不需要做特殊改变。下面举几个经常可能需要修改的例子:\uf0b7TCP_CLOSE_WAIT:默认为259200秒=72小时=3天。即TCP如果没有正常关闭时,需要等待3天,这条连接状态才会从防火墙的状态列表中消失。在实际应用中,非正常的操作,如:突然关机、应用程序出错、系统崩溃等等都有可能产生这样未关闭的连接,从而导致占用了防火墙系统宝贵的连接状态列表。在一个很容易产生这种连接状态的网络里,3天的等待时间可能轻易地添满了防火墙所有的连接状态列表。最终导致防火墙拒绝工作。所以我们可以根据实际情况,调整该数值(如43200秒=12小时)。以达到优化防火墙状态列表的目的。\uf0b7TCP_ESTABLISHED:默认为432000秒=120小时=5天。即TCP连接已建立的维持时间。大部分情况下我们可以把该值修改的小点(如86400秒=24小时)。但对于那些必须维护长时间连接状态而不断开连接的应用,必须根据实际情况修改该数值。\uf0b7ICMP:ICMP状态超时,默认为30秒。有可能易产生安全问题。如,原来某规则允许192.168.1.22去ping10.11.1.22,192.168.1.22ping了10.11.1.22,这个时候防火墙里就维护了条ICMP_PING的状态,这个时候如果修改规则,变成了拒绝,但是如果在没有超过30秒的时间内,192.168.1.22重新ping10.11.1.22,防火墙会根据30秒内仍然生存的那条ICMP_PING的状态,让数据包由这条规则通过。4.3.8管理员设置在用户管理界面中,您可以进行用户账号的添加、删除、修改(见下图):54黑盾防火墙产品使用手册点击“新建账号”,您可以设置五种不同权限的用户账号:超级管理员、规则管理员、审计员、身份认证管理员、只读管理员。如下图:其中:超级管理员具有最高的权限,可以进行除查看审计信息外的所有操作。界面如下:规则管理员只能进行防火墙的规则管理。(规则管理员缺省用户名:rule;缺省密码:55黑盾防火墙产品使用手册abc123)以规则管理员身份进入防火墙,其界面如下,具体配置细节见后面章节的叙述。审计员只能对防火墙的配置操作进行审计查看。(缺省用户名:audit,缺省密码:abc123)以审计员身份进入防火墙,其界面如下,具体配置细节见后面章节的叙述。下面是3种管理组用户的各自权限对比:56黑盾防火墙产品使用手册系统信息系统维护系统设置IP包转换访问控制安全选项VPN设置对象定义身份认证审计操作超级用户规则管理审计员身份认证管理员只能对身份认证模块中的账号管理功能进行配置,另外还能查看用户在线状态。只读管理员只能查看系统所有配置,没有变更的权限。一次性口令管理员由于防火墙处于网络的关键位置,所以防火墙的管理员和他的口令更是十分重要。为了加强管理员在注册时的安全性,防止恶意用户在网上截取和破解口令,黑盾防火墙提供一次性口令登录的功能,该一次性口令符合SKEY标准,用防火墙一次性口令生成器(黑盾文档工具光盘中提供)生成的一次性口令进行登录。由于该口令是每次动态变化的,大大增加了防火墙管理员远程管理的登录安全。下面是建立一次性口令用户的界面;57黑盾防火墙产品使用手册建完后就可以在用一次性口令用户登录时,将登录界面的“一次性口令”复选框打上钩,输入完管理员提供的密码后就会出现一次性口令交换界面,如下图:将登录界面上的“Challenge”系数复制到口令产生器中的challenge框格中去,点击“产生”按钮,在“一次性口令”框中即产生出制作的口令,再将产生出来的口令复制到上面登录界面的“请输入一次性口令”框中,按“登录”按钮后则可注册成功;登录成功后这个口令就作废了,下次登录再重复这一过程;下面是产生一次性口令的客户工具界面:58黑盾防火墙产品使用手册区别如下:\uf0b7普通管理员:可根据实际需要添加、删除、修改具有不同职责和权限的管理员。这个时候设置的密码,即为登陆时所需要的密码。\uf0b7一次性口令管理员:不同于普通管理员,只具备规则管理员和审计员这两种身份。这个时候设置的密码并不能最终登陆防火墙WEB管理系统,而是由防火墙系统根据用户和密码随机生成一个CHALLENGE值,并打印在登陆的页面上。把该CHALLENGE值反馈到具有最高权限的管理员(他具有根据用户+密码+CHALLENGE值生成最终登陆密码的算法软件),在取得最终登陆密码后,才能登陆WEB管理系统。但是,下一次登陆,CHALLENGE值又是随机变化的,所以必须取得新的登陆口令才能登陆WEB管理系统。注意:由生成最终登陆的密码的软件请勿随意分发。应由超级管理员保管。4.3.9管理主机管理主机是指用于连接和管理防火墙的计算机。要对防火墙进行管理配置,就必须先设定一台管理主机。防火墙出厂时缺省的管理主机IP为:192.168.1.2。(注意:这时候,管理主机必须是和防火墙的内网口连接)。管理主机配置界面如下:从界面可以看出管理主机组列表可以通过“手动创建”,也可以“自动搜索”。59黑盾防火墙产品使用手册手动创建:添加管理主机名,并且手动添加IP和MAC地址。这个也可以在4.8.1“对象定义”中的“地址池”设置。管理规则:将已设置好的管理主机匹配上相应的规则,如IP匹配,MAC匹配,IP或MAC匹配,宽松IP-MAC绑定,严格IP-MAC绑定。管理方式:防火墙支持多种管理方式,在创建管理规则时应选择授于的管理方式;Web:支持HTTPS协议的WEB管理;SSH和TELNET:基于命令行的管理方式;SNMP:支持SNMP协议的管理方式;注意事项:在管理主机配置方面应注意的是接口的选择,如果要从外网管理防火墙则接口选择“外网口”,同样如果是在与防火墙内网口相连接网络中的管理机则选择“内网口”,而如果要指定在DMZ区的工作机为管理主机则“接口”选择“DMZ区”。60黑盾防火墙产品使用手册4.3.10网络通信日志为了使防火墙能完整精确、全面地记录安全日志,并且能让用户方便地查询,需要在防火墙所在的内部网络中的PC机上安装日志管理系统,日志管理系统负责接收防火墙发送来的日志信息,处理后提供给用户查询。您还必须在防火墙上将日志管理用机的IP地址、协议和端口配置正确,才能保证日志管理系统有效的工作。具体配置步骤如下:1)您可以点击“系统配置”→“日志管理”,出现日志服务器的默认界面,如下图:2)防火墙上的日志管理,包括“访问控制及流量信息”,“安全日志”和“系统应用日志”,在“服务器地址”栏中填入装有黑盾防火墙日志管理系统的pc机的IP地址,如:172.16.100.100。“通讯使用协议”和“通讯使用端口”保持默认状态即可。将发送日志前的文本框打钩就启动发送日志,否则是在停止状态。\uf0d8服务器地址:日志服务器的IP地址。该服务端为WIN2K以上平台。发送前必须先安装好服务端。\uf0d8通信协议:可选择TCP、UDP方式。(建议使用TCP方式)。\uf0d8端口:日志服务器的接受端口。默认为516。\uf0d8用户认证:选择是否发送用户认证模块的日志信息,包含用户的登录、退出日志。\uf0d8异常连接:“详细”将发送所有的连接日志;“统计”将指定协议的异常连接进行统计后发送,能大大减少无用的日志信息,方便查询;“忽略”将不对指定协议的异常连接日志进行记录,减轻日志服务器压力;61黑盾防火墙产品使用手册\uf0d8实时发送:防火墙将实时发送日志信息,不对信息进行长时间的缓冲等待;用户在需要实时查看日志时可选择此项,此项将加大日志数据量和服务器负载,日常记录不推荐使用;注意:如果日志服务器未能连接上,防火墙每隔5秒会反复尝试连接日志服务器。当日志空间充满,新的日志将丢失。所以,启动日志发送服务前,请先确认日志服务器是否正确安装并启动。4.3.11应用日志防火墙除了能对通信日志进行记录,还能对应用层的日志进行记录。点击“系统配置”→“日志管理”→“应用日志”,打开配置界面:\uf0d8服务器地址:输入日志服务器的IP\uf0d8端口:输入日志服务器的端口,默认请输入4100\uf0d8发送日志:勾选此项将启动应用日志发送功能\uf0d8URL日志:勾选此项将启动URL日志发送功能\uf0d8http端口:在开启URL日志时,要输入http协议的通信端口,防火墙将对这些端口进行URL日志记录,默认请输入80如下图:62黑盾防火墙产品使用手册4.3.12链路备份链路备份功能提供了备份链路与主链路快速自动切换的能力。主要应用于有备份链路的网络环境,防火墙会自动检测与其相连接的网关是否正常工作,如果防火墙检测不到与其相连接的网关,那么就会根据策略自动切换至备用网关所在的链路。配置方法:1.为备份线路创建路由表rt2;2.配置路由表rt2中的路由信息,添加备用网关的路由信息;3.按顺序创建路由规则,将主链路路由表放在备份链路的前面。系统将按路由规则先后顺序进行链路备份;63黑盾防火墙产品使用手册4.启动链路备份服务;4.4IP包转换IP包转换是防火墙的一个重要功能,通过设置,防火墙会对符合条件的IP包包头进行修改。网络地址转换(NAT)可以对源地址、源端口或目标地址、目标端口进行一对一、一对多、多对一或多对多的地址变换,实现灵活的NAT功能。此外,还可以对IP数据包打上FWMARK和TOS标记,使防火墙能够对数据包进行灵活的策略路由、流量控制(QOS)。这一类中包括了5个部分的设置:源地址转换、目标地址转换、负载均衡、FWMARK设置和TOS设置。64黑盾防火墙产品使用手册4.4.1源地址转换源地址转换也称为正向地址转换,用于使用保留IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用保留IP地址就可以正常访问公众网,有效的解决了全局IP地址不足的问题。点击页面上的“新建规则”,显示用户可以配置的选项,如下图:1)“协议”选项,如下图:“协议”选项定义需要进行地址转换的协议,可选择“所有”、“TCP”、“UDP”、“ICMP”和“其他”。选择“其他”时,在右边的选项中填入所转65黑盾防火墙产品使用手册换协议的协议号,协议号以16进制表示。只有在选择“TCP”和“UDP”协议时,随后的“端口”选项才是可选择的。2)其他:只有协议选择了“其他”时,该项目才可填。防火墙将根据随后设定的条件对从指定接口发送的数据包进行地址转换。3)目标地址:可有选择性地根据访问目标对象,进行源地址转换。从地址池对象里选择该对象,所以需要先定义主机地址池对象。注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。一般情况下,选择“所有”,即对目标地址不做限制。匹配模式:根据主机选择的情况,和限制的严格程度,选择相应的匹配模式。4)“转换前IP”,在这一可选项,用户可以配置要进行源地址转换的IP或IP段,不填表示任意地址。若用户选择了“TCP”或“UDP”协议,则还可以对源地址66黑盾防火墙产品使用手册的“端口”加以配置,不填则表示任意端口。如下图:5)动态源地址转换:防火墙进行源地址转换有两种方式,动态转换和静态转换。当使用动态源地址转换时,防火墙将自动选择转换后的源IP地址,一般为数据包出口的主IP地址。若用户选择了“TCP”或“UDP”协议,则用户还可以配置源地址转换后相应的源端口范围。如下图:6)静态源地址转换:在使用静态转换时,用户可自定义转换后的IP或IP地址池。在使用IP地址池时,防火墙将会把要进行地址转换的数据包依次转换为IP地址池指定的IP。如下图:67黑盾防火墙产品使用手册若用户选择了“TCP”或“UDP”协议,还可以定义转换后的端口范围。如下图:4.4.2目标地址转换目标地址转换也就是反向地址转换,内部网用户对公众网提供访问服务(如Web、FTP服务等)的所在服务器如果是放置在局域网中,使用虚拟IP地址,或者想隐藏服务器的真实IP地址,都可以使用防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址,由内部网使用保留IP地址的服务器提供服务,同样既可以解决全局IP地址不足的问题,又能有效的隐藏内部服务器信息,对服务器进行保护。黑盾防火墙能提供端口映射和IP映射两种反向地址转换方式,端口映射安全性更高、更节省全局IP地址,IP映射则更为灵活方便。68黑盾防火墙产品使用手册点击页面上的“新建规则”,显示用户可以配置的转换选项,如下图:1)“协议”,如下图:此选项定义要进行地址转换的协议,可选择“所有”、“TCP”、“UDP”、“ICMP”和“其他”。选择“其他”时,在右边的选项中填入所转换协议的协议号,协议号以16进制表示。只有在选择“TCP”和“UDP”协议时,随后的“端口”选项才是可选择的。2)源地址:可有选择性地根据访问源地址对象,进行目标地址转换。从地址池对象里选择该对象,所以需要先定义主机地址池对象。如下图:69黑盾防火墙产品使用手册注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。一般情况下,选择“所有”,即对源地址不做限制。匹配模式:根据主机选择的情况,和限制的严格程度,选择相应的匹配模式。3)转换前的目标地址,用户可以在这里设置要进行目标转换的IP地址,若用户选择了“TCP”或“UDP”协议,还可以定义转换后的端口或者端口范围,则防火墙只对相应的端口作地址转换。若不填端口号则表示任意端口。如下图:在配置端口时还可以配置成端口范围,使设定的端口都进行转换。如下图:70黑盾防火墙产品使用手册4)转换后目标地址,此选项可设置要将在上一选项中指定的IP转换到某个IP和端口。“目标地址”中可以设定单个IP,也可以设定一个IP范围;“端口”中可以设定单个端口,也可以设定成一个端口范围。将目标地址设定成一个范围的IP和端口,可以实现服务器的负载均衡。防火墙会以轮询的方式,将访问请求转换到指定的IP和端口。轮询时IP地址优先进行,即先转换到固定端口的IP范围,轮询完一遍后再转换到另一个端口。71黑盾防火墙产品使用手册4.4.3负载平衡负载均衡,能够将虚拟服务器的负载分流到各均衡服务器上,并且可实时查看连接状态。点击页面上的“新建规则”,显示用户可以配置的负载平衡选项,如下图:1)“协议”,如下图:此选项定义要进行负载平衡的协议,可选择所有、TCP、UDP。当选择TCP/UDP时,虚拟地址的端口项目、均衡服务器的端口项目才为可填项目。2)源地址:可有选择性地根据源地址对象,进行负载均衡。从地址池对象里选择该对象,所以需要先定义主机地址池对象。注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。一般情况下,选择“所有”,即对源地址不做限制。如图所示:72黑盾防火墙产品使用手册3)虚拟地址:端口:指需要进行负载均衡的IP和服务端口,一般为多台服务器对外提供服务所用的IP地址。如图所示:4)均衡服务器地址:设置进行负载均衡的服务器的真实IP、端口。可以设置多个均衡服务器IP、端口。如图所示:73黑盾防火墙产品使用手册5)权重分配:每个均衡服务器都可以设置权重。防火墙将根据权重的比值分配网络流量。每个服务器的权重比值等于当前服务器占权重值总和的百分比。如图所示图中172.16.1.2服务器的权重比值为60%。6)超时时间设置:超时时间是指负载分配的有效时间。如上图,当某个客户机没有访问相应服务器218.66.59.64时,若超过10分钟不访问,那么防火墙将重置此客户机的负载均衡分配状态,下一次访问时防火墙将重新分配实际的均衡服务器地址。4.4.4FWMARK设置“FWMARK设置”功能能为指定的IP数据包打上FWMARK标记,使得防火墙能74黑盾防火墙产品使用手册够根据Fwmark标记对数据包进行灵活的策略路由和流量控制(QoS)。\uf0d8源地址:从地址池对象里选择该对象,所以需要先定义主机地址池对象。\uf06e注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。一般情况下,需要确定特定的对象如“内网”(需要预先定义好该对象),即对源地址来之内网的数据包打上特定的FWMARK数值。\uf0d8匹配模式:根据主机选择的情况,和限制的严格程度,选择相应的匹配模式。\uf0d8目标地址:从地址池对象里选择该对象,所以需要先定义主机地址池对象。\uf06e注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。\uf0d8服务类型:从服务类型对象中选择,需要预先定义好服务类型对象。\uf06e注意:可根据实际需要,对特定的应用打上FWMARK,如浏览网页服务类型应用(需要定义该对象包括UDP53+TCP80),再设置相应的策略路由,在有两条出口线路的情况,选择其中的一条线路用来专门浏览网页。\uf0d8FWMARK值:0x0000000-0xfffffff之间取一个任意的16进制的数值,如:2ef345,0123,34abc。\uf06e注意:每位的数值不能超过16进制的表示,如345ty,这就是一个错误的数值。要定义一条标记策略,用户只要在各下拉菜单中选择相应的选项,并在FWMARK值一项输入7位16进制的数值。4.4.5TOS设置“TOS(TypeofService)设置”功能能为指定的IP数据包设置TOS选项,使得防火墙75黑盾防火墙产品使用手册能够根据TOS选项对数据包进行灵活的策略路由和流量控制(QoS)。\uf0d8源地址:从地址池对象里选择该对象,所以需要先定义主机地址池对象。\uf06e注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。一般情况下,需要确定特定的对象如“内网”(需要预先定义好该对象),即对源地址来之内网的数据包打上特定的TOS值。\uf0d8匹配模式:根据主机选择的情况,和限制的严格程度,选择相应的匹配模式。\uf0d8目标地址:从地址池对象里选择该对象,所以需要先定义主机地址池对象。\uf06e注意:可根据实际需要定义地址池对象。可以是单个主机、MAC、整个网段或则所有(即任意地址)。\uf0d8服务类型:从服务类型对象中选择,需要预先定义好服务类型对象。\uf06e注意:可根据实际需要,对特定的应用打上特定的TOS值,如浏览网页服务类型应用(需要定义该对象包括UDP53+TCP80),再设置相应的策略路由,在有两条出口线路的情况,选择其中的一条线路用来专门浏览网页。\uf0d8TOS值:预定义了5种TOS类型:最小时延、最大吞吐量、最高可靠性、最小费用和正常服务,分别对应了不同TOS值。\uf06e注意:可以根据不用的应用选择不同的TOS类型。如:FTP需要最大的吞吐量,Telnet和Rlogin要求最小的传输时延,路由协议需要最高的可靠性,网络新闻协议(NNTP)要求最小费用。但传统意义上的TOS值意义在这里的区别并不明显,这里只是利用IP头的TOS标志位,为后继的高级控制提供标志。要定义一条标记策略,用户只要在各下拉菜单中选择相应的选项,“TOS”值有5种76黑盾防火墙产品使用手册可选项。注解:Internet上采用的路由算法一般是基于数据包目的地址的。而在某些情况下,我们不只是需要通过数据包的目的地址决定路由,可能还需要通过其他一些域:源地址、IP协议、传输层端口甚至数据包的负载。这就叫做:策略路由。4.5访问控制这一部分是防火墙最主要的功能之一,提供对各个区域的用户进行访问控制的功能。根据用户网络的安全策略制定相应的过滤规则,以达到管理用户以及保护内部服务的目的。在这部分配置中,除了对传统的网络层、传输层过滤外,还可以对链路层(第二层)及应用层进行精度控制。此外,本防火墙还提供了基于时间、基于流量优先级的访问控制功能等。防火墙的访问控制策略(规则)的匹配顺序是:1、帧过滤规则2、IP过滤规则3、FTP高级过滤规则4、WEB高级过滤规则5、通用内容过滤规则。同时任何一类规则中的具体规则都有优先级排列,序号值小的优先级越高,防火墙会根据优先级从高到低进行规则匹配检查。具体过程如下:1)当数据到达防火墙时,首先防火墙对它进行第1类帧过滤规则的匹配检查,根据优先级从高到低进行,如果匹配的规则动作是拒绝,那么数据将被扔掉;如果匹配的规则动作是通过,或者没有规则与它匹配,由于最后默认规则是通过,那么数据将通过该类规则的检查,进行第2类IP过滤规则的检查。2)当数据进入IP过滤规则检查时,如果匹配的规则动作是拒绝,或者没有规则与它匹配,由于最后默认规则是拒绝,那么数据将被扔掉;如果匹配的77黑盾防火墙产品使用手册规则动作是通过,那么它将进入第3类FTP高级过滤规则的检查。3)当数据进入FTP高级过滤规则检查时,如果匹配的规则动作是拒绝,那么数据将被扔掉;如果匹配的规则动作是通过,或者没有规则与它匹配,由于最后默认规则是通过,那么数据将通过该类规则的检查,进行第4类WEB高级过滤规则的检查。4)当数据进入WEB高级过滤规则检查时,如果匹配的规则动作是拒绝,那么数据将被扔掉;如果匹配的规则动作是通过,或者没有规则与它匹配,由于最后默认规则是通过,那么数据将通过该类规则的检查,进行第5类通用内容过滤规则的检查。5)当数据进入通用内容过滤规则检查时,如果匹配的规则动作是拒绝,那么数据将被扔掉;如果匹配的规则动作是通过,或者没有规则与它匹配,由于最后默认规则是通过,那么数据将通过该类规则的检查,到此数据通过了所有访问规则的检查进入各应用程序处理。配置防火墙的访问控制策略,是实现企业安全策略的重要步骤。在设置界面中,您可以按自己的安全需求在防火墙上添加、修改、删除安全规则,以及调整规则的顺序和启用停用规则。通过对规则参数的细心配置,可以详尽的对网络的安全和访问进行全面的控制。4.5.1帧过滤规则帧过滤是在第二层(链路层)对数据进行过滤。在IPv4帧类型下,提供了基于MAC地址的访问控制能力,即一条包过滤规则,网络地址可以仅只指明MAC地址。通用帧过滤的条件有:协议(也就是以太网帧类型,如ipv4,ipx,NetBEUI,arp,也可指定其他帧协议号过滤),源地址组、目的地址组(在对象定义中定义)等。对于特定的协议可以进行更深层的过滤,如对于ARP协议,可以用操作码进行控制,从而实现对ARP协议的精确控制。通过该层控制,可以实现对非IP协议的控制,如ARP、IPX、AARP、RAW_FR、NetBEUI、ATALK等等,所有基于以太帧的非IP协议,以及802.2/802.3网络。注意:帧过滤是没有状态的。该类过滤规则默认是接受的,也就是说在所有帧过滤规则之后隐含有一条允许所有数据通过的规则。1)通用帧过滤:在此用户可以设置通用过滤帧规则的参数。如下图:78黑盾防火墙产品使用手册在“动作”选项,可选择“阻断”和“通过”。“协议”选项中有多种协议类型可选择,如下图:当用户选择“其他”协议类型时,需在右边的选项框中输入“协议号”。如下图:在“源地址组”和“目标地址组”中,用户可以根据需要选择包含MAC地址的组对象。下图为配置好的通用帧过滤规则:2)ARP协议过滤:用户可能利用这个功能对网络上的ARP协议进行控制,可以控79黑盾防火墙产品使用手册制指定MAC地址的ARP协议的动作。如下图:“动作”选项包括两种动作:“阻断”和“通过”。“操作码”有两个可选项:用户可以选择“ARP请求”或“ARP答复”,操作码分别为1(请求),2(答复)。如下图:在“源地址组”和“目标地址组”中,用户可以根据需要选择包含MAC地址的组对象。下图为配置好的ARP过滤规则:4.5.2过滤规则过滤规则包括基于地址和基于用户组的过滤规则。用户不仅可以设定基于地址的过滤规则,为了更好的管理和控制身份认证用户组,管理员还设定基于身份认证用户组的过滤规则。用户可以根据设定的源地址/用户组、目的地址/用户组、服务类型(端口)、有效时间等选项对IP数据包进行过滤。1)点击“新建规则”,根据需要新建一条IP包过滤规则,如下图:80黑盾防火墙产品使用手册2)您可以设定规则的“动作”为“通过”或“拒绝”。如果选择“通过”,那么所有符合这条规则的数据包,防火墙都予以通过;如果选择“拒绝”,那么所有符合这条规则的数据包,防火墙都予以阻断。当用户选择“拒绝”时,还可以对“答复信息”选项进行设置,防火墙根据用户设置向被规则拒绝的源地址发送ICMP错误控制数据包或其他答复信息,如下图:81黑盾防火墙产品使用手册各选项的含义如下:(1)无答复信息:防火墙不会发送任何答复数据包;(2)Net-unreach:防火墙将发送表示“网络不可到达”的ICMP数据包;(3)Host-unreach:防火墙将发送表示“主机不可到达”的ICMP数据包;(4)Proto-unreach:防火墙将发送表示“协议不可到达”的ICMP数据包;(5)Port-unreach:防火墙将发送表示“端口不可到达”的ICMP数据包;(6)Net-prohib:防火墙将发送表示“目标网络被强制禁止”的ICMP数据包;(7)Host-prohib:防火墙将发送表示“目标主机被强制禁止”的ICMP数据包;(8)Tcp-reset:防火墙将发送表示“连接重置”的TCP数据包。3)用户可以在“源地址”、“目标地址”、“服务类型”和“时间域”选项中,选择预先定义好的对象组。4)“源地址”右边的选项为“IP地址匹配模式”,有5种可选项,如下图:(1)IP匹配:是指防火墙只将数据包的源IP与规则中所选对象地址组的各个IP地址进行匹配,不比较MAC地址,注意:地址组中IP为0.0.0.0/0时不匹配任何地址;(2)MAC匹配:是指防火墙只将数据包的源MAC与规则中所选对象地址组的各个MAC地址进行匹配,不比较IP地址,注意:地址组中MAC为00:00:00:00:00:00/0时不匹配任何地址;(3)IP或MAC匹配:是指防火墙对数据包先做IP匹配比较,如果比较成功则不再进行MAC方式比较,返回成功,否则再做MAC方式比较,也就是说数据包只需匹配对象地址组中IP或MAC的一种;(4)宽松IP-MAC绑定:是指防火墙同时将数据包的源IP和MAC与规则中所选对象地址组的各条IP和MAC地址进行匹配,只有都相符才返回成功,当地址组中IP为0.0.0.0/0或MAC为00:00:00:00:00:00/0时,匹配任何的IP地址或MAC地址,但IP与MAC不可能同时为0;82黑盾防火墙产品使用手册(5)严格IP-MAC绑定:类似宽松IP-MAC绑定方式,区别在于对地址为0的解释,在严格方式下,当地址组中IP为0.0.0.0/0或MAC为00:00:00:00:00:00/0时,匹配不成功,规则就不检查该数据包,数据包将继续下一条规则。一条完整的规则如下图:4.5.3FTP高级过滤“FTP高级过滤”功能,能够对FTP操作的命令进行控制。用户可以在“有效时间”的条件下对“上传文件”、“下载文件”、“删除文件”、“删除目录”、“重新命名”和“建立目录”等操作命令进行访问控制。如下图:要使用此功能,先要设置“FTP服务端口”,如下图:点击链接“设置服务端口”,打开配置页面,填入FTP服务器所运行的端口号,系统默认是21端口,如有多个端口则用逗号隔开。如下图:点提交按钮完成服务端口设置。然后,点击“新建规则”,得到下图:83黑盾防火墙产品使用手册在“源地址”和“目标地址”中选择需要过滤的地址对象/用户组对象及地址匹配模式;在“端口”中选择要进行过滤FTP服务运行的端口;如下图:在“行为”选项中,勾选要过滤的命令(可多选),并在命令右边的文本框中输入要过滤的命令包含的文件名或目录名。注意:对于文件名允许使用通配符和逗号来匹配一类文件,如:.txt,.doc,heidun???.xls最后选择相应的“有效时间”、“动作”和“答复信息”,只有动作是拒绝时,才可以设定答复信息。如下图:84黑盾防火墙产品使用手册4.5.4WEB高级过滤“WEB高级过滤”可以进行URL地址过滤。点击新建规则,界面如下图:选择“源地址”、“匹配模式”、“有效时间”、“动作”及答复信息”,在“端口”一项中输入要过滤的端口号,在“URL”的文本框中输入要过滤的URL地址,然后点击“添加”按钮。如下图:85黑盾防火墙产品使用手册4.5.5通用内容过滤通用内容过滤是防火墙提供的对应用层过滤功能之一,它可以对经过防火墙的IP数据流中的字符串进行内容过滤,您可以通过它来实现许多细致的访问控制。通过应用层字符串过滤,可以达到有效防御网络蠕虫的功能。一旦新的网络蠕虫病毒(攻击)爆发,用户可以通过把蠕虫攻击的特征码作为关键字符串输入,系统将对每一个数据包进行模式匹配,达到入侵检测及防御的效果。配置页面如下图:配置方法与“IP过滤规则”一样,只是多了一个选项“过滤字串”,用户只要在这一文本框中输入要过滤的字符即可。如下图:86黑盾防火墙产品使用手册4.5.6P2P应用控制随着P2P类的软件应用的普遍化,各级单位都感到了带宽资源消耗的强大压力。黑盾防火墙深入分析软件内核,采用多重检测技术,有效增强了防火墙在P2P软件过滤、限制上的功能。帮助用户采现带宽的可控性,避免流量风暴。界面如下:控制策略只有一条,主要有两种方式:一是默认允许,所设置对象拒绝,其中的对象就是后面所跟的选项,这个对象需要在对象定义中事先定义;二是默认拒绝,所设置对象允许,其中的对象同上。同一时只能有一条起作用。只要在受控服务中的软件名称前的复选框中打上勾,控制策略将对起作用。最后提交配置。4.5.7流量控制随着计算机网络通信的迅猛发展,虽然各单位不断地增加网络带宽容量,但还是无法满足用户对网络的性能需求。因此,网络带宽管理至关重要。黑盾防火墙有强大的流量控制功能,可以通过设置优先级和流量值的方式,对主机的带宽和规则享受的带宽进行保证,提供QoS机制,保证带宽的合理分配,充分利用网络资源。1)优先级控制:在这种方式下,规则对各个网段以及相应应用的数据通讯优先权87黑盾防火墙产品使用手册进行定义,优先值越大,数据流越先通过,界面如下:在配置规则之前,要先点击“启用优先级控制”,以使防火墙启用优先级控制功能。注意:优先级控制和流量值控制同时只能启用一种,启动一种控制方式时另一种将自动停用。点击“新建规则”,进行优先级控制的规则配置,如下图:用户可以设定规则的优先级。优先级分为1-7级,其中优先级的值越大权限越高,越先通过防火墙。如当网络发生拥塞时,防火墙会保证优先级为7的数据比优先级为5的数据优先通过。另外,源地址、目标地址、服务类型等参数可以根据用户的实际需要配置。注意:数据的通信是双向的,流量控制也是有方向性的,配置规则时要注意所控制的方向。比如,控制下载实际是控制外网到内网的流量,所以在选择目标地址和源地址时要注意,目标地址框中应该选中包含您要控制的内网对象的地址组。如图:2)流量值控制方式:点击“启用流量值控制”来启动流量值控制功能。如下图:88黑盾防火墙产品使用手册点击“新建规则”,进入配置页面。如下图:A、源地址、目标地址、服务类型参数可以根据用户实际需要配置。B、用户可以精确定义所需的流量值,单位为Kbit/s(注意:单位是千比特而非千字节)。C、用户可以选择是否允许借用带宽。“借用带宽”是指允许自己在带宽不够的时候,而他人的带宽空余时利用他人的带宽进行网络通讯。例如:分配给您同事的带宽为200Kbit/S,他现在没有任何网络通讯行为。您所分配到的带宽为100Kbit/S。您现在正在观看在线视频,由于带宽不够,视频传输也许不够流畅。如果您在防火墙上设置允许借用带宽,则您就可以使用最大300Kbit/S的传输带宽,但当您的同事开始使用网络时,防火墙将会自动先保证您的同事200Kbit/S网络传输速率。如果您在防火墙上设置的是不允许借用带宽,那么就算您的同事没有使用任何网络带宽,您也只能使用100Kbit/S的速率访问网络。如下图:89黑盾防火墙产品使用手册4.5.8并发数控制并发数控制,是针对TCP协议,控制源IP的可建立连接数。分为每用户及总用户。每用户为源地址组中每个源IP的最大并发数,即最大的可同时建立的连接数。总用户即为符合规则的源地址组中所有源IP的最大并发数总和。当两项都设置时,用户的最大连接数必须同时满足这两个条件。配置界面如下图:选择参数“源地址”、“目标地址”、“服务类型”、“有效时间”的相应对象值。在“每用户”和“总用户”选项中为其指定并发数数值,此数值是指连接状态为“已建立”的连接的最大个数。如下图:4.6安全选项安全选项如下图:90黑盾防火墙产品使用手册安全选项主要是对安全规则的设置,是防火墙为自身和安全区域提供了强大的入侵检测和抗攻击能力,它能够进行扫描检测、错包检测,抗源路由攻击,IP欺骗,SYNFLOOD,ICMPFLOOD等攻击行为。防火墙还可以和入侵检测系统进行联动。安全选项包含了安全过滤选项、IDS联动主机、信任主机三项。4.6.1安全过滤选项选择你要配置的网络接口,在出现的页面上进行相应的安全配置。出现如下防火墙安全选项:91黑盾防火墙产品使用手册按“确定”,使新的安全选项在该接口上生效。如果你需要恢复默认的安全选项配置,可按“恢复默认”以恢复的默认的该接口上的安全选项设置。选项意义:本地安全:\uf0b7允许Ping是否允许PING防火墙。而且PING的速度和个数受防火墙保护。92黑盾防火墙产品使用手册流量:\uf0b7TCP包PPS该接口上TCP每秒通过包数。\uf0b7UDP包PPS该接口上UDP每秒通过包数。\uf0b7ICMP包PPS该接口上ICMP每秒通过包数。\uf0b7IGMP包PPS该接口上IGMP每秒通过包数。注意:该选项主要用于控制该接口上正常和非正常的网络流量,以达到保护和限制该接口上网络流量的目的。扫描/欺骗/防御:\uf0b7端口扫描防护:数值与灵敏程度成正比,建议值1000-5000。\uf0a7注意:数值越大,虽然灵敏度越高,但是产生误报的几率也随之提高。\uf0b7IP地址欺骗防护:如果从该接口流出的数据包源地址的IP不符合该接口上的网络设置,数据包将被丢弃。\uf0a7注意:该选项一般用于限制内部网络,外部网络(如INTERNET接口)应不予限制。\uf0a7RFC1918保留地址过滤:RFC1918文档规定的私网地址过滤:10.0.0.0-10.255.255.255(10/8比特前缀)172.16.0.0-172.31.255.255(172.16/12比特前缀)192.168.0.0-192.168.255.255(192.168/16比特前缀)\uf0b7LAND攻击防护:源地址和目标地址一致的LAN攻击过滤。\uf0b7WINOOB攻击防护:WIN95的WINOOB蓝屏攻击过滤。\uf0b7IGMPBOOM攻击防护:WIN98/WIN98SE的处理超大IGMP数据包导致蓝屏和重起的攻击功率。\uf0b7ICMP>1024数据包过滤:超大ICMP包过滤,属于ICMPFLOOD攻击过滤。\uf0b7SYNFLOODSEQ防护:SYNFLOOD包中的SEQ是固定或则在一个固定范围变动时候,该选项可过滤这种攻击。\uf0b7SYNFLOODSYN-PROXY代理防护属于SYN-ACK-ACK代理,防火墙将代理TCP握手的前面两次握手,在确认能收到客户端的SYN+ACK包后(该地址是有效真实的IP),真正的连接才被建立。93黑盾防火墙产品使用手册不规则数据包:\uf0b7IP头带任意选项过滤\uf0b7IP头带静态路由选项过滤\uf0b7IP头带宽松路由选项过滤\uf0b7IP头带记录路由选项过滤\uf0b7IP头带时间戳选项过滤\uf0b7IP头带路由警告选项过滤oIP头选项会带来部分的安全问题,如修改路由,使数据包按照攻击者的意愿“经过”某些特定地主机,使得攻击者有机会窃取数据。以上选项提供对带IP头选项的过滤功能。\uf0b7TCP头带ACK标志位错误包过滤:TCPACK标志位错包过滤。如:TCP头带SYN+FIN标志位数据包过滤TCP标志位SYN+FIN过滤。不应该出现这样的数据包。\uf0b7TCP头带SYN+RST标志位数据包过滤:TCP标志位SYN+RST过滤。不应该出现这样的数据包。\uf0b7TCP头带FIN标志位不带ACK数标志位据包过滤:TCP标志位带FIN无ACK过滤,用于过滤FIN扫描。\uf0b7TCP头带FIN+URG+PSH标志位数据包过滤:TCP标志位FIN、URG、PUSH组合过滤,用于过滤该组合扫描(根据RFC793)\uf0b7TCP头带SYN+RST+ACK+URG+FIN标志位数据包过滤:TCP标志位只有PSH为空过滤。用于过滤主机系统探测。\uf0b7TCP头带SYN+RST+ACK+URG+FIN+PSH标志位数据包过滤:TCP标志位全部使用的错包过滤。不应该出现这样的数据包。\uf0b7TCP头带空标志位数据包过滤:TCP标志位为空过滤,用于过滤该扫描(根据RFC793)\uf0b7TCP头带可选标志位数据包过滤:TCP带选项位过滤。过滤该类型数据包。94黑盾防火墙产品使用手册4.6.2IDS联动设置这一功能是与局域网内的IDS(入侵监测系统)联动设置的,用于定义IDS主机的IP地址、MAC地址、动作请求发至防火墙的哪个网口,同时,还可以查看联动功能产生的规则以及停止联动功能,如下图:1)您可以点击“增加IDS主机”,进入IDS主机的配置界面,如下图:2)您可以在主机框内选择地址范围,这些地址是在“对象定义”中的“地址池”已经定义好了,可以参照,另外可以选择IP匹配或者是MAC匹配。对于“允许时间”,也可以根据需要选择。95黑盾防火墙产品使用手册3)配置完毕,请点击“提交”退出,防火墙和IDS将尝试进行联动。4)您可以点击“联动规则”,来查看由IDS联动所产生的所有的防火墙过滤规则。如下图:5)如果您需要停止防火墙和IDS联动的功能,请点击“停止服务”,当发现当前工作状态为:“已停用”,表示您已经成功停止了防火墙和IDS联动功能,如下图:6)默认联动端口为5800,可根据需要修改。如图:4.6.3安全信任主机安全信任主机指网络中不希望受到安全过滤选项限制(参见4.6.1)的主机。注意,安全信任主机同样会受到访问控制规则控制。。96黑盾防火墙产品使用手册“新增主机”的配置与IDS主机配置方式相同。4.7IPSECVPN配置随着产业分工的细化和经济的国际化,今天的企业不得不维护一个成本较高的通信网络,以保持与外部商业环境的密切联系。依赖租用专线或帧中继永久虚电路等传统方案。已经不能满足灵活接入的要求。另外,不断增长的远程办公和移动办公数量,使企业的通信费用迅速攀升。因此,企业迫切需要一种性价比更高的新技术来替代传统的解决方案。Internet的迅速普及,以及ISP提供的高性能、低价位的Internet接入服务,使得传统信息系统的关键性商务应用及数据,能通过无处不及的Internet来实现方便快捷的访问。但是Internet是一个开放的公共网络,是一个不安全的网络,因此VPN技术正是在这种背景下产生的。VPN技术包含有一整套安全机制以保证数据在传输过程中不被窃听和篡改。VPN为正在使用专用网络设施的大企业提供了降低通信费用的机会,同时,VPN为没有能力支付专线费用的中小企业提供了广域网连接的可能。归结起来,有三个主要因素驱动着VPN的应用:1)节省开支VPN从三个方面降低了费用。第一,通过共享Internet网络基础设施,使用VPN进行企业网点间(site-to-site)的通信,比专线降低20%~40%的通信费用;第二,VPN设备投资简单,降低了设备的维护费用和支持远程计算的维护费用;第三,VPN允许远程用户通过本地ISP接入,与专用网络相比降低了远程访问费用的60~80%。2)有利益于扩展企业与合作伙伴及客户的关系由于网络的使用费用,使许多中小型企业加入到电子商务市场中来,进而增加了他们的交易,提高了生产率和收益率。企业BtoB电子商务的迅速发展。在很大程度上受益于VPN的帮助。3)灵活的服务Internet的无处不在以及ISP提供的多种接入方式,使VPN的使用非常灵活,企业可97黑盾防火墙产品使用手册以根据业务需要增加VPN用户,使VPN的大小很容易调节。虚拟专用网(VPN)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传输。通过“黑盾”防火墙VPN模块来建立VPN能够减轻企业费用,防止数据在传输过程中被网络上的不法分子监听或篡改,保证企业数据的安全性、私有性和完整性。“黑盾”防火墙VPN模块管理分6个小项目,VPN接口管理、节点管理、密钥管理、隧道管理、VPN状态查看;见下图:4.7.1VPN接口管理“VPN接口管理”是为VPN隧道虚拟接口指明物理接口,它可以是防火墙设备上的任一物理接口(如外网口或内网口等),也可以是混合模式下的桥接口,缺省值是默认路由所在接口。默认的虚拟接口为:虚拟接口一。如下图:您可以点击VPN接口设置进行相应的设置,在“虚拟接口设置”中,左边是“虚拟接口”设置,右边则是“物理接口”设置。如下图:98黑盾防火墙产品使用手册注意:一个虚拟接口上可以建立多个VPN隧道;此设置是为了增加VPN部署的灵活性。如无特殊情况,请用默认值;如果是动态IP网关,只能使用默认配置。【配置实例】如果您的单位是一个省级单位。并且建立了全省系统的信息网络。在您的网络规划中,全省系统网络都划分在内部网络中。您希望通过“黑盾”防火墙来建立总部和其他地市之间的VPN隧道。您部署防火墙时,是由内网口来连接各地市的分支机构的因此,具体的VPN接口设置如下图:1)点击“虚拟接口”的下拉菜单,任意选择一个虚拟接口,如“虚拟接口一”:2)点击“物理接口”的下拉菜单,您是使用内网口来建立与地市的VPN隧道的,所以在这里我们的物理接口应当选择“内网口”,如下图:3)点击“确定”后退出,您的VPN的接口配置已经成功了。注意:默认虚拟接口自动识别系统默认路由所在的接口(通常为外网口),如果没有异于默认路由所在接口的VPN连接,请采用默认值。4.7.2VPN节点设置VPN节点是指每个VPN隧道两端的终端设备(可以是黑盾防火墙,也可以是安装99黑盾防火墙产品使用手册有VPN移动客户端的用户)。VPN节点信息包括一个容易识别的节点名称、节点的IP、节点的接入路由、节点相对应的内部网段、以及本地节点标志。如下图:您可以通过点击“新建VPN节点”来进行VPN隧道的详细配置,具体步骤如下:1)在“节点名”的方框中填写VPN节点名称。节点名称可用任意的字符串表示,主要是用于方便地识别各个VPN节点。例如您建立了和某分支机构的VPN隧道,那么您可以将VPN节点命名为“f4”。如下图:2)在“VPN网关”的方框中填写VPN节点的IP地址,也就是各个VPN隧道的终端设备上的所对应物理接口的IP地址。默认就是以外网口作为节点,也就是说节点的IP地址就是外网口的地址。例如:分支机构是通过防火墙的外网口来和总部建立VPN隧道,那就写上分支机构防火墙外网口的IP地址,如下图:100黑盾防火墙产品使用手册请注意:I、如果建立的VPN隧道的节点是装有移动用户VPN客户端的PC,由于移动VPN用户的IP地址不是固定的,所以移动VPN用户的节点IP地址就使用“any”或“移动用户”来表示。如果能够确定动态节点的内部网段,则填之;否则,可以使用0.0.0.0/0来通配不同的内部网段如下图:II、如果本地VPN网关作为分支VPN要支持动态IP(支持PPPOE拨号、DHCP)与总部建立VPN,则需进行如下配置,VPN网关:使用“any”或"动态网关"来标示动态网关的节点地址;接入路由:必须使用默认路由;内部网段:填写本地的内部网段;本地VPN:是。3)“VPN网关ID”在启用NAT穿透时需填写节点的ip地址,不启用NAT穿越时可以不填。4)填入VPN节点的接入路由。接入路由是指要到达VPN隧道另一端所经过的下一跳路由,一般是VPN节点的网关IP。默认值是使用系统的默认路由,若不是使用默认路由,那么此项需手工指定。101黑盾防火墙产品使用手册5)内部网段是指要提供给VPN隧道对方访问的IP或IP段。不同VPN节点的“内部网段”项是不能相同的。如果节点是黑盾防火墙,则需要指明内部网段;如果节点是一个客户端,比如WIN2000PC机,则内部网段保留空。例如:分支机构的外网口IP为:218.66.59.64,内部网络为:10.4.0.0/16,那么就在内部网段中填入:“10.4.0.0/16”。如下图:6)本地VPN选项用于区分节点的位置,只有本台黑盾防火墙才能选择此标识。例如:您是在总部的防火墙上配置VPN,总部防火墙的VPN节点名为“f4”。在配置“f4”这个节点时,就必须在“本地VPN”后的方框中勾上“是”。如下图:7)另外还有“NAT穿越”的选项,VPN支持NAT穿越,因此可以经过NAT设备以后建立VPN隧道,包括客户端的穿越和VPN设备之间的穿越。比如配置“move”这个节点时,对于移动用户,需要使用NAT穿越,就在“NAT穿越”后的方框中勾上“是”。102黑盾防火墙产品使用手册8)点击“确定”后退出,那么一个VPN节点的相关参数就配置成功了,如下图:请注意:不同VPN节点的“内部网段”项是不能相同的。4.7.3密钥管理IKE是Internet密钥交换协议,用来建立一个安全关联(SA),并获得IPSEC协议所需的经过认证的密钥信息。IKE认证管理是用来配置建立VPN隧道时两端节点所使用的协议、加密算法和密钥。“黑盾”防火墙的VPN模块提供了多种的认证加密方式,如下图:103黑盾防火墙产品使用手册1、采用RSA签名认证方式,具体配置如下:a)在建立隧道之前,首先需生成本地防火墙的公钥。点击上图中的“本地RSA密钥生成”,如下图:先选择密钥的长度,长度越大,公钥的安全性就越高(同时,系统的性能就越低)。默认值是1024比特。然后点击“生成RSA签名”的按钮,生成本地的RAS密钥。再点击公钥下载中的链接,把公钥文件下载到本地硬盘保存。如下图:在生成了本地RSA签名后,在“RSA公钥管理”面页可以看到,本地节点的公钥信息会自动取得,如下图:104黑盾防火墙产品使用手册b)交换公钥信息。在加入VPN隧道的各台防火墙都生成本地节点的公钥信息之后,就要进行各台防火墙的“本地节点公钥信息”的互相交换。在上图中,显示出本地节点已经取得了公钥信息,而远程节点的公钥信息需要手动上传。点击“浏览”按钮,在弹出的对话框中选择要上传的公钥信息文件,选择“保存”。其中各个节点的公钥信息文件中都会包含各VPN节点的IP地址。上传公钥文件名格式为:publickey-(IP).zip,该公钥文件来自于其他VPN网关节点。上传之后,系统能够自动匹配公钥和节点,如果匹配,系统会把公钥信息列出来,请核对该公钥信息的生成时间以验证其正确性。上传所有欲建立VPN隧道的非“本地节点”的公钥信息。105黑盾防火墙产品使用手册2、采用预共享密钥认证方式预共享密钥:在隧道两端节点使用同一个字符串(<=20字符)作为认证密钥,在建立隧道时指定。具体配置方法详见“本章第4节VPN隧道策略”。3、采用X.509数字证书认证方式(a)本地证书生成:生成本VPN节点数字证书对(包括证书和私钥)。本地证书类型有两种:自签名证书和证书请求。自签名证书是VPN网关自己给自己签发的证书,而证书请求仅仅生成证书请求文件,需要交给第三方CA中心来签发。具体配置如下图:106黑盾防火墙产品使用手册选择一种新证书类型,同时填写数字证书的基本资料,点击“生成新证书”按钮即可生成新的证书。以后再点选“本地证书生成”超链接,先出现已经生成的“证书请求”或者“自签名证书”的信息,如下图所示,同时我们可点击“生成新证书”按钮,生成新的证书来取代原来的证书。(b)VPN证书管理:管理VPN网关的证书,包括自签名证书和证书请求经第三方CA中心签发的数字证书,上传文件名格式为:HDCert_(IP).cer。上传之后,系统能够自动匹配证书和节点,如果匹配,系统会把信息列出来,可以在线查看证书信息。107黑盾防火墙产品使用手册在上图中,显示出本地节点已经取得了证书信息,而远程节点的证书信息需要手动上传。4.7.4VPN隧道管理VPN隧道策略用于建立指定的两个节点间的加密隧道,以及设置各个VPN隧道的属性。我们可以通过配置VPN隧道策略来建立一个VPN隧道,具体配置如下:1)您可以点击“新建VPN隧道”,进入以下页面:108黑盾防火墙产品使用手册2)请在“本地VPN”选择框中选择本地VPN节点名(如:local),在“远程VPN”中选择一个VPN节点名(如remote)。3)您可以选择在要建立的VPN隧道中采用IPSEC协议的参数。(IPSEC协议:指109黑盾防火墙产品使用手册VPN隧道使用的IP数据包封装方式。)可选项有ESP和AH+ESP,默认值为ESP。ESP(封装安全载荷):提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能;AH(认证报头):提供数据源身份认证、数据完整性保护、重放攻击保护功能。4)您可以选择在要建立的VPN隧道中采用哪种IKE认证(IKE认证:指不同VPN节点用于相互验证的方法)。可选项有RSA签名和预共享密钥,默认为RSA签名。RSA签名用于建立防火墙与防火墙之间的VPN隧道,而预共享密钥既能用于建立防火墙与防火墙的VPN隧道,也能用于防火墙与PC客户机的VPN隧道。注意:如果在本地防火墙的VPN隧道策略中选择“预共享密钥”后,直接输入您设定的密码。【配置实例】您现在是在配置本地“local”和分支机构“remote”的VPN隧道,希望采用预共享密钥的IKE认证方式。您可以直接在“local”这台防火墙的VPN隧道策略中设定预共享密钥的密码为:“abc123”。同时,通知在厦门分支机构的网管人员在设置“remote”这台防火墙的VPN隧道策略也选择用预共享密钥的IKE认证方式,密码为:“abc123”。具体配置如下图:110黑盾防火墙产品使用手册预共享密钥的IKE认证方式的好处在于建立方便。(直接通知对方VPN隧道的密钥就可以了,不需要相互传递公钥)5)您可以选择相关的IKE策略:此选项定义IKE使用的加密算法和散列算法以及工作密钥更新周期。加密算法用于加密VPN隧道传输的数据,默认使用3DES加密算法,密钥长度为168位。散列算法可选MD5或SHA1,用于数据的完整性验证,默认设定工作密钥更新周期为8小时。6)您可以选择相关的IPSEC策略:此选项定义VPN隧道使用的加密算法和散列算法以及会话密钥更新周期。加密算法用于加密VPN隧道传输的数据,默认使用3DES加密算法,密钥长度为168位。散列算法可选HMAC-MD5或HMAC-SHA1,用于数据的完整性验证,默认设定会话密钥更新周期为8小时。。7)密钥更新周期:此选项可以调整VPN隧道连接的生命周期,当VPN隧道连接到达生命周期时,系统通过IKE重新开始自动协商和更换加密算法和验证算法的密钥。8)您可以选择是否使用IP压缩:IP压缩功能用于减少IP数据包包头的大小,以提高慢速线路的传输效率,IP压缩TCP/IP包头的大小接近3个字节。此选项对于宽带线路效果不是很明显。9)DPD(实效同层探测)功能是默认打开的,便于更好的探测对方网络状况,DPD超时策略可以选择:重新连接(默认值)和清除隧道,其中“清除隧道”选项用于对方使用vpn客户端(见4.7.10的使用说明)的情形。10)在选定VPN隧道策略的各选项之后,点“确定”来建立一条VPN隧道。下图是按默认选项建立的VPN隧道示意图:VPN连接隧道表中,具体显示了每一条隧道在建立时所配置的各项参数。若要重启VPN连接隧道,只需点击“重启VPN连接”。此操作将重新启动VPN连接隧道表中的所有连接。若要停用VPN连接隧道,则点击“生效”下的图标,确认停用之后,出现图标表示该隧道已经停用。111黑盾防火墙产品使用手册若要删除某一VPN连接隧道,则点击“删除”下的相应图标。4.7.5VPN状态在VPN状态页面中可查看VPN隧道的两类状态:VPN隧道状态和IKE协商状态。a)VPN隧道状态VPN隧道状态用来查看当前启动的VPN连接隧道的状态,其状态常见的有两种:协商成功和等待协商中。若状态显示为“协商成功”,则表明VPN隧道已经完成协商并成功建立。点击“协商成功”的链接,将显示安全关联(SA)状态。如下图:若状态显示为“等待协商中”(如上图),有可能是因为VPN隧道另一端防火墙上未建立或启动VPN隧道连接。注意,同一条VPN隧道两端的隧道参数应该是相同的,某些参数的不相同也可能会导致VPN连接不能正确协商。b)IKE协商状态IKE协商状态显示的是VPN隧道在连接过程中,两端防火墙的协商情况。如图:下图112黑盾防火墙产品使用手册为f4节点的协商情况。c)实时隧道路径列表4.8拨号VPN网络管理拨号VPN(即VPDN)为移动用户和远程办公用户提供了对公司企业网的远程安全访问。这是最常见的一种VPN部署形式,VPDN主要是基于PPTP协议。VPDN允许多个不同领域的用户都能通过公共网络或者Internet或其他公用网络获得安全的通路到他们的企业内部网络。“黑盾”拨号VPN通过采用PPTP协议,支持CHAP,MS-CHAP,MS-CHAPV2等用户认证方式,默认采用支持双向认证的MS-CHAPV2认证协议。数据采用MPPE128位加密。“黑盾”拨号VPN客户端支持目前流行的所有Windows平台:win98、winme、winnt、win2000、winxp等以及Linux、Freesbsd平台。“黑盾”拨号vpn支持内置用户认证数据库,自动ip、dns、wins地址信息分配功能。“黑盾”拨号vpn和“黑盾”防火墙无缝集成,内置抗DOS暴力攻击功能,可以在防火墙过滤规则上统一部署安全策略。拨号VPN管理中有3个管理项目:网络管理、用户管理、连接状态。在网络管理页面中设置VPDN客户端地址池范围、域名服务器和WINS服务器。113黑盾防火墙产品使用手册点击“编辑”下的图标,如下图:1)您可以在“从”栏中设置您要分配给拨号VPN用户的IP地址池的起始IP地址,此IP地址将用作拨号VPN客户端的网关;2)在“到”栏中设置您要分配给拨号VPN用户的IP地址池的终结IP地址,此栏中所填入的IP与上一栏中的IP之间至少要间隔一个IP,即地址池中应至少含3个IP;3)“DNS”栏中设置地址池中IP使用的DNS服务器的IP,可以是内网的DNS,也可以是Internet的DNS;4)“WINS”栏中设置地址池中IP所使用的WINS服务器的IP。如下图:5)点击“确定”就会根据以上IP设置来启动VPDN服务,如下图:114黑盾防火墙产品使用手册4.8.1用户管理拨号VPN采用内置用户数据库,支持CHAP,MS-CHAP,MS-CHAPV2等用户认证方式,默认采用支持双向认证的MS-CHAPV2认证协议。数据采用MPPE128位加密。用户名可以进行IP地址绑定,也可以随意获取IP地址。1)您可以点击“新建用户”,输入“用户名”、“密码”、“确认密码”和“绑定IP”。2)其中“绑定IP”选项默认为“任意”。用户可自定义为其他IP,但这个IP需包含于您所要连接的VPN服务器IP地址池中,如下图:注意:115黑盾防火墙产品使用手册1、由于拨号VPN的IP地址分配采用先到先得原则,所以可能发生被设置成与用户名绑定的IP被其他先拨入的用户所占用,而导致产生IP地址冲突。我们建议您尽量使用在地址池中排列靠后的IP地址用作用户名绑定。2、不要把进行了IP绑定的用户名提供给两个或两个以上的用户使用,以免当两个用户同时拨号时产生地址冲突。3、如果使用windows98的客户端有进行Windows域登录,则用户名前面可能需要添加[域名]\\\\用户名,如:sinet\\\\username4.8.2连接状态可以查看拨号VPN实时连接状态,如下图:点击“查看VPDN连接审计日志”查看日志,如图:4.8.3为远程VPN建立规则以上只是建立了VPN隧道,如果要让远程VPN节点访问本地VPN节点的资源,还要进行下面的设置。这是最重要最关键的。1、建立远程VPN用户对象,其接口是“VPN接口”,如果是VPDN,则接口是“拨号VPN接口”。具体操作详见4.8.1地址池。116黑盾防火墙产品使用手册注意:远程VPN用户对象的地址一般为“任意地址”,如果要明确指定,则必需是在所建立的远程VPN节点指定的内网段范围内。远程VPDN用户对象地址推荐为“任意地址”,因为VPDN客户端动态获得地址(在VPDN设置->网络管理,指定的地址范围内)。2、建立本地对象,即允许远程VPN用户访问的内网资源。具体操作详见4.8.1地址池。117黑盾防火墙产品使用手册注意:区域为内网口,地址可具体指定为允许远程VPN用户访问的内网资源的IP,例如内网ftp、http服务器的IP地址。3、建立访问控制规则,具体操作详见4.5.2IP过滤规则。通过以上的设置,本地VPN和远程VPN就可以互相访问资源。118黑盾防火墙产品使用手册4.8.4客户端进行VPDN拨号通过以上的设置,防火墙的VPDN功能就可以正常使用了。在这一节将介绍VPDN客户端的设置情况。a)客户端主机操作系统为WIN2000、WINXP打开控制面板中的“网张和拨号连接”;选择“新建连接”—》“下一步”,选择“通过Internet连接到专用网络(VPN)”;在“目标地址”中填入VPDN防火墙中IP,如61.154.12.133:119黑盾防火墙产品使用手册接下来的其它选项都按默认设置,点确定后出现“连接虚拟专用连接”的对话框;以框中输入用户名和密码,点“连接”;120黑盾防火墙产品使用手册若提示为“TCP/IPCP已被成功连接”,则点“接受”,VPDN连接就算成功建立。VPDN就可以象在防火墙内网一样访问内网的服务。下图为虚拟专用连接状态,而且在CMD状态下用“ipconfig”命令也可以看到VPDN连接获取的IP:192.168.0.101121黑盾防火墙产品使用手册b)客户端主机操作系统为WIN98WIN98和WIN2000不同,它需要先安装一个网络设备,选择“控制面板”中的“网络”,然后“添加”—》“适配器”—》“Microsoft”—》“Microsoft虚拟专用网络适配器”。安装完后,在“拨号网络”中选择“建立新连接”,在向导中输入所要连接的黑盾防火墙的IP地址,然后继续。122黑盾防火墙产品使用手册建立完连接后,开始拨号,对拨号对话框中输入用户名和密码,点击“连接”。注意:如果WIN98的PC机加入了域,那么VPDN拨号进行到验证用户名和密码这一步时,可能会失败断开,此时就需要进行以下设置。在防火墙管理页面中的“VPN拨号用户”页面,新建一个用户,用户名设置为“域名\\\\用户名”,其中“域名”就是WIN98所加入的域的域名,“用户名”就是在拨号对话框中输入用户名,两个参数之间用“\\\\”相分隔。例如“domain\\\\test”。123黑盾防火墙产品使用手册4.9SSLVPN模块黑盾SSLVPN具有强大的远程安全连接功能,从功能上有网络访问、网上应用程序、Windows文件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供C/S应用和B/S应用访问。这其中最为重要的是网络访问功能,SSLVPN的网络访问功能避免了IPSecVPN的缺点而又继承了IPSecVPN的优点。黑盾SSLVPN实现了PC-TO-SITE功能,支持企业移动用户到企业总部的安全访问;同时实现了SITE-TO-SITE功能,支持企业分支机构到企业总部的安全访问。PC-TO-SITE功能,是通过黑盾SSLVPN客户端软件与黑盾SSLVPN服务端建立VPN连接的;SITE-TO-SITE功能,是利用黑盾SSLVPN的分支机构功能与企业总部的SSLVPN服务端建立VPN连接的,那么分支机构的子网与总部的子网可以安全的互相访问。4.9.1服务端管理在企业布署SSLVPN时,如果将黑盾SSLVPN作为企业总部服务端,需配置“服务端管理”、“客户端管理”、“RADIUS管理”和“用户组管理”四个模块的参数。如果将黑盾SSLVPN作为企业的分支机构,那么只需配置“分支机构”模块的参数。124黑盾防火墙产品使用手册4.9.1.1全局参数设置全局参数设置,主要包括SSLVPN服务的启用和停止状态控制,服务参数、安全参数、存活探测、数据压缩的设置。如下图所示:1)SSLVPN服务状态初始状态为“停止”,用户可点击“启动服务”来启用黑盾SSLVPN服务;当服务状态为“运行中”时,用户可点击“停止服务”来停止SSLVPN服务。注意:如果参数没有配置完整,SSLVPN服务无法启动,系统会给予具体缺少那个参数的友好提示。2)通过点击“编辑”按钮,来进行参数详细配置。进入以下页面,具体步骤如下:125黑盾防火墙产品使用手册A.服务绑定IP:可设置两个绑定的IP,申明SSLVPN服务使用的IP地址。您可以根据需要填入防火墙的IP地址,也可以不用填写,按默认值即可。B.服务端口:申明SSLVPN服务监听的端口,必须指定。您可以根据具体网络需要指定服务端口,建议用2048-65535之间的端口。C.加密算法:SSLVPN使用公开密钥体制和X.509数字证书技术保护信息传输的机密性,主要适用于点对点的信息传输。可选项有:默认算法(Blowfish)、AES-128、DES、3DES、CAST5。您可以根据需要选择一种算法,默认值为默认算法Blowfish。D.签名算法:保护信息传输的完整性。可选项有默认算法(SHA1)和MD5。您可以选择其中一种,默认值为默认算法SHA1。注意:SSLVPN客户端的加密算法和签名算法必须和SSLVPN服务端的参数值一致,否则客户端无法建立VPN连接。E.您可以指定存活探测时间参数。探测周期指定每隔多长时间通过SSLVPN通道探测对方超时时间指定如果连续多长时间客户端无响应,则认为连接丢失,通道将断开。F.数据压缩表示对通信的数据进行压缩,可启用或者不启用。注意:SSLVPN服务端和客户端必须一致,也就是说如果服务端启用数据压缩功能,则客户端也必须启用数据压缩,反之亦然,否则无法建立SSLVPN连接。G.认证方式:黑盾SSLVPN模块支持两种用户身份认证方式,一种是通过电子证书认证,另一种是通过用户名和密码进行认证,同时只能选用其中一种。注意:任何参数的修改,都需要重启SSLVPN服务,修改才生效。4.9.1.2服务器证书管理SSLVPN使用公开密钥体制和X.509数字证书技术保护信息传输的机密性,对通信双方所进行的应用通道进行加密。在建立SSLVPN连接前,必须上传服务器数字证书信息:CA根证书、CA证书吊销列表、服务器证书、服务器私钥。黑盾SSLVPN服务器证书管理,提供如下图的配置界面:126黑盾防火墙产品使用手册1)您可以点击每类证书的“上传”按钮进入此类证书的上传界面,例如上传CA根证书,点击“CA根证书”所在行的“上传”按钮,进入如下图:通过点击“浏览”,选择所要上传的CA根证书,上传CA根证书到服务器。证书文件扩展名支持:.crt,.cer,.pem,.key,.crl。2)CA证书吊销列表、服务器证书、服务器私钥的上传方式与CA根证书类似。当服务器数字证书信息都上传完成后如图所示:127黑盾防火墙产品使用手册3)服务器证书管理,同时提供了证书“查看”和“下载”的功能,方便用户更好的保管证书,但服务器私钥具有高安全性,不提供“查看”和“下载”。4)所有证书在防火墙出产时均已经上传,用户无需进行上传操作。注意:任何参数的修改,都需要重启SSLVPN服务,修改才生效。4.9.1.3服务端内网管理黑盾SSLVPN可以扩展企业的内部网络,允许企业的员工、客户以及合作伙伴通过Internet安全访问企业内网。通过服务端内网管理功能,来配置所允许访问的内网资源。如下图所示:1)增加内网子网点击“增加内网子网”按钮来配置所允许访问的内网,例如内网网段:192.167.100.0,内网掩码:255.255.255.0,配置过程如下图所示:128黑盾防火墙产品使用手册点击"确定“提交配置,”重置“表示重新配置内网子网。结果如下图所示:2)编辑、删除内网子网也可以通过点击编辑与删除按钮来重新配置内网子网。注意:任何参数的修改,都需要重启SSLVPN服务,修改才生效。SSLVPN服务器的内网与客户端管理中分配给SSLVPN客户端的虚拟IP地址尽量不要在同一网段。4.9.2客户端管理4.9.2.1动态地址分配配置完服务端管理,需要配置客户端选项。首先需要给客户端分配地址,动态地址分配用于管理SSLVPN客户端使用的地址池,给建立SSLVPN连接的客户端用户分配虚拟IP。在配置页面中设置SSLVPN客户端地址池范围、域名服务器和WINS服务器。点“编辑”,进入如下配置界面:129黑盾防火墙产品使用手册1)在“网段”栏中设置要分配给SSLVPN用户的IP地址网段和子网掩码,连接成功的客户将自动分配到SSLVPN网关、IP地址。注意:链路1网段对应于连接“服务绑定IP1”的外部地址,连接IP1的SSLVPN客户端将分配到链路1网段内的IP地址。同样,链路2网段对应于连接“服务绑定IP2”的外部地址。2)“DNS”栏中设置地址池中IP使用的DNS服务器的IP,可以是内网的DNS,也可以是Internet的DNS;3)“WINS”栏中设置地址池中IP所使用的WINS服务器的IP。如下图所示:4)点击“确定”完成客户端网络配置。注意:任何参数的修改,都需要重启SSLVPN服务,修改才生效。130黑盾防火墙产品使用手册SSLVPN服务器的内网与客户端管理中分配给SSLVPN客户端的虚拟IP地址尽量不要在同一网段。4.9.2.2客户端权限设置1)允许拨入的客户端互相访问(vpn服务器中转)在客户端权限设置,可以设置是否“允许拨入的客户端互相访问(vpn服务器中转)。如果允许,那么SSLVPN客户端通过SSLVPN服务端转发,直接相互访问。2)客户端拨入后只允许VPN通讯同时可以设置“客户端拨入后只允许VPN通讯,使Client的默认网关指向黑盾SSLVPN,那么Client的所有网络访问都从SSLVPN接口收发(除了与客户机直连的网络)。配置如下图所示:点击“确定”提交配置。注意:任何参数的修改,都需要重启SSLVPN服务,修改才生效。4.9.2.3客户端用户管理黑盾SSLVPN具有强大的客户端用户管理功能,只有在SSLVPN服务器上登记“证书用户名”的客户端用户才可以和SSLVPN服务器建立VPN连接,没有登记的则无法建立SSLVPN连接,即使他有正确的证书,这样保证企业可以方便地管理SSLVPN客户端。客户端用户管理具有以下功能:A.给客户端证书设置一个“使用者名称”,这样管理者针对客户端的管理更加直接。B.在建立VPN时,给指定证书用户名的客户端绑定IP地址,这个IP地址符合客户端网络动态地址分配中指定的IP地址池范围。C.让建立VPN连接的客户端后面的子网也可以走VPN隧道。D.只允许这些服务端所管理的客户端用户建立SSLVPN隧道,其他的不允许建立SSLVPN。131黑盾防火墙产品使用手册E.服务端所管理的客户端用户,可以控制“启用/停止”,即如果“停止”,那么这个客户端用户就不能建立SSLVPN,如果“启用”,就可以建立SSLVPN,它能方便的控制是否允许客户端建立VPN。F.在管理方式有:”自动登记“和“手动登记”2种方式,这样管理更方便。如下图所示:1)手动登记您可以通过“手动登记”功能来登记所要管理的客户端用户信息,配置如下图所示:a)证书用户名证书用户名为CA管理中心所签发的“certificatecommonname",根据不同的证书填入不同的用户名。b)用户组:可选项,为当前证书用户名指定所属的用户组,防火墙可对用户组制定访问控制策略。c)使用者可选项,为当前证书用户名指定一个使用者名称,使用者结构支持多级树状结构。如下图:132黑盾防火墙产品使用手册d)绑定IP给使用这张证书的客户端和服务端建立SSLVPN连接时分配个固定IP,每次建立连接时所得到的IP一直是这个,而不是动态分配的。当然也可以不选,则客户端是动态获得虚拟IP地址。注意:绑定的IP地址必须是在客户端管理中指定的动态地址池的IP地址。绑定IP地址必须遵循以下规则:32位的IP地址字符串最后一个数字值必须为4x+1或者4x+2(其中63>=x>=0)。例如192.167.101.81中的81=410+1。e)子网支持黑盾SSLVPN实现了SITE-TO-SITE(网关到网关)功能,支持企业分支机构到企业总部的安全访问。网关到网关,是利用黑盾SSLVPN的分支机构功能与企业总部的SSLVPN服务端建立VPN连接的,那么分支机构的子网与总部的子网可以安全的互相访问。子网支持指的是分支机构的子网。当企业分支机构的子网想要与总部建立安全连接时,在总部SSLVPN服务端配置“客户端用户管理”时指定分支机构的内部子网。当然也可以不指定,则不支持分支机构后面的子网走SSLVPN隧道。下图为一个配置实例:133黑盾防火墙产品使用手册注意:客户端管理中分配给SSLVPN客户端的虚拟IP地址与SSLVPN服务器的内网尽量不要在同一网段。子网支持功能通常用于作为网关使用的代理服务器。2)自动登记自动登记客户端用户功能为您提供了更方便的管理客户端用户的方法。您只要填写您所要管理的客户端用户的“证书用户名前缀”和“证书用户名编号范围”,然后点击“确定”提交即可,系统会帮您自动完成成批的客户端用户登记,您在根据具体的需要编辑某一客户端用户的登记信息。例如按下图所示方法登记hdvpn1-hdvpn5共5张证书用户名。通过“手动登记”和“自动登记”二种方式登记客户后,结果如下图所示:134黑盾防火墙产品使用手册3)“启用/停止”,即如果“停止”,那么这个客户端用户就不能建立SSLVPN,如果“启用”,就可以建立SSLVPN,它能方便的控制是否允许客户端建立VPN。注意:登记新的客户端用户,系统默认为“启用”状态,您可以通过“启用/停止”按钮来管理是否允许客户端用户建立SSLVPN。4)通过“编辑”与“删除”功能来管理已经登记的客户端用户,为客户端用户指定使用者名称、绑定IP、子网支持。5)在用户管理页面,如果有大量证书需要管理,可以通过搜索功能来过滤显示结果。如下图中,只显示包含“vpn1”字符的证书。也可以通过指定使用者来查询用户证书,如下图:4.9.2.4使用者信息管理此界面用于创建和管理使用者分布结构,它是一个树状的结构,用户可自定义各个分支的名称。如下图:135黑盾防火墙产品使用手册结构树默认有一个根结点,可以在此根结点下创建更多的分支结点,然后可以将用户证书指定给其中一个结点的使用者。上图中,结点名称右边的三个图标分别为“增加子结点”、“编辑”和“删除”。4.9.3RADIUS用户管理黑盾SSLVPN模块支持使用用户名密码验证方式进行VPN连接。用户账号保存于RADIUS服务器中,可以使用第三方的RADIUS服务器也可以使用防火墙内置的RADIUS服务器。4.9.3.1RADIUS认证服务器配置配置界面如下图:\uf0d8radius服务器:设置保存有用户账号的RADIUS服务器的IP地址。当使用防火墙内置RADIUS服务器保存用户账号时,设置为127.0.0.1。\uf0d8认证端口:设置RADIUS服务器所使用的认证端口,默认为1812(UDP)。\uf0d8计费端口:设置RADIUS服务器所使用的计费端口,默认为1813(UDP)。\uf0d8NAS密钥:设置RADIUS服务器所使用的密钥,应根据实际设置。当使用防火墙内置RADIUS服务器保存用户账号时,设置为“heidun”。4.9.3.2RADIUS用户管理防火墙内置了RADIUS,通过此界面进行用户管理。136黑盾防火墙产品使用手册新建账号:点击上图中的“新建账号”,输入用户名、密码、用户组等账号信息,如下图:添加成功后,将显示用户列表。4.9.4用户组管理点击上图中的“手动创建”,输入用户组名称,如下图:137黑盾防火墙产品使用手册选择想要加入该组的用户名或者证书名,点击图标,就能将用户加入该组。注意,一个用户只能加入一个用户组,已经加入某个组的用户名在上图所示的界面中将不显示。4.9.5连接状态4.9.5.1实时连接状态实时连接状态指的是,客户端和服务端建立SSLVPN连接后,显示客户端的具体信息包括:证书用户名、外部IP地址(即客户端所在网络的互联网IP真实IP地址)、分配IP地址(SSLVPN服务端分配给客户端的IP地址)、接收(字节)、发送(字节)、接入时间6部分。如下图所示:138黑盾防火墙产品使用手册4.9.5.2调试日志黑盾SSLVPN调试日志,不仅可以外传到专门的日志服务器,同时也允许内传到SSLVPN服务器上,方便用户查看管理。1)调试日志外传到专门的日志服务器调试日志外传到专门的日志服务器,可参考“系统设置”->“日志管理”模块的设置方法。选中“SSLVPN日志”,“发送日志”,然后提交配置即可。如下图所示:2)调试日志内传到SSLVPN服务器调试日志内传到SSLVPN服务器,方便管理者随时查看调试信息。点击“打开调试日志”按钮,打开了调试日志,点击“刷新”可查看所有的调试信息。139黑盾防火墙产品使用手册此时可以点击”关闭调试日志“按钮来关闭调试日志。注意:长时间打开调试日志会占用大量的系统资源,请及时关闭调试日志!防火墙重启时,会自动删除上次的调试日志。4.9.6分支机构黑盾SSLVPN实现了SITE-TO-SITE(网关到网关)功能,支持企业分支机构到企业总部的安全访问。网关到网关,是利用黑盾SSLVPN的分支机构功能与企业总部的SSLVPN服务端建立VPN连接的,那么分支机构的子网与总部的子网可以安全的互相访问。在企业布署SSLVPN时,如果将黑盾SSLVPN作为企业的分支机构,那么只需配置“分支机构”模块的参数即可。4.9.6.1参数设置参数设置,主要包括分支机构SSLVPN进程的启用和停止状态控制,远程VPN服务器地址、服务端口,加密算法与签名算法,数据压缩的设置。如下图所示:140黑盾防火墙产品使用手册1)分支机构SSLVPN连接状态初始状态为“停止”,用户可点击“启动服务”来启用分支机构SSLVPN进程;当服务状态为“运行中”时,用户可点击“停止服务”来停止SSLVPN服务。注意:如果参数没有配置完整,SSLVPN服务无法启动,系统会给予具体缺少那个参数的友好提示。分支机构SSLVPN服务启动后,分支机构任何配置参数的修改,要起作用,必须重新启动SSLVPN服务。2)通过点击“编辑”按钮,来进行参数详细配置。进入以下页面,具体步骤如下:A.远程VPN服务器地址:申明SSLVPN服务器的地址。注意:远程VPN服务器地址可以为IP地址,也可以为域名。B.服务端口:申明远程SSLVPN服务监听的端口,必须指定。可根据远程VPN服务器具体网络指定服务端口。141黑盾防火墙产品使用手册C.加密算法:SSLVPN使用公开密钥体制和X.509数字证书技术保护信息传输的机密性,主要适用于点对点的信息传输。可选项有:默认算法(Blowfish)、AES-128、DES、3DES、CAST5。可根据需要选择一种算法,默认值为默认算法Blowfish。D.签名算法:保护信息传输的完整性。可选项有默认算法(SHA1)和MD5。可选择其中一种,默认值为默认算法SHA1。注意:分支机构加密算法、签名算法必须和远程VPN服务器设定的算法一致,否则无法与总部服务端建立VPN连接。E.数据压缩表示对通信的数据进行压缩,可启用或者不启用。注意:SSLVPN服务端和分支机构必须一致,也就是说如果服务端启用数据压缩功能,则客户端也必须启用数据压缩,反之亦然,否则无法建立SSLVPN连接。F.在选定参数设置中各选项后,点击“提交配置”完成全局参数的配置。下图是按上面选项配置后的示意图注意:任何分支机构参数的修改,都需要重启分支机构SSLVPN服务,修改才生效。4.9.6.2本地证书管理SSLVPN使用公开密钥体制和X.509数字证书技术保护信息传输的机密性,对通信双方所进行的应用通道进行加密。在分支机构与总部服务器建立SSLVPN连接前,必须上传分支机构的本地数字证书信息:CA根证书、本地证书、本地私钥,黑盾SSLVPN分支机构本地证书管理,提供如下图的配置界面:142黑盾防火墙产品使用手册1)您可以点击每类证书的“上传”按钮进入此类证书的上传界面,例如上传本地证书,点击“本地证书”所在行的“上传”按钮,进入如下图:通过点击“浏览”,选择所要上传的本地证书,上传本地证书到服务器。证书文件扩展名支持:.crt,.cer,.pem,.key,.crl。2)CA根证书、本地私钥的上传方式与本地证书类似。当数字证书信息都上传完成后如图所示:3)本地证书管理,同时提供了证书“查看”和“下载”的功能,方便用户更好的保管证书,但私钥具有高安全性,不提供“查看”和“下载”。143黑盾防火墙产品使用手册4)当本地数字证书信息配置完成后,就可以到“参数设置”里点击“启动服务”来启用分支机构SSLVPN进程,与总部SSLVPN服务建立VPN连接。注意:任何分支机构参数的修改,都需要重启分支机构SSLVPN服务,修改才生效。客户端的证书和服务端的证书必须是经过相同的CA签名的数字证书。4.9.6.3连接状态连接状态指的是,分支机构和总部服务端建立SSLVPN连接后,显示分支机构VPN线路的网络信息,具体如下图所示:4.9.7为远程SSLVPN客户端建立访问控制规则以上只是建立了SSLVPN隧道,如果要让远程SSLVPN客户端或分支机构安全访问总部的资源,还要进行下面的访问控制规则的配置。这是非常重要的,而且是必须的配置。1)要进行SSLVPN用户访问控制,必须将用户加入某一个用户组中。2)建立本地对象,即允许远程SSLVPN用户访问的内网资源。具体如下图所示:144黑盾防火墙产品使用手册注意:区域为内网口,地址可具体指定为允许远程SSLVPN用户访问的内网资源的IP,例如内网ftp、http服务器的IP地址。3)建立访问控制规则,可参考“访问控制规则”的“IP过滤规则”配置。如下图所示:通过以下的设置,本地SSLVPN服务端资源和远程SSLVPN用户就可以互相访问。145黑盾防火墙产品使用手册4.10SSLVPN客户端软件客户端程序运行之后,会在任务栏显示一个托盘图标。点击该托盘图标,可显示或隐藏控制台。1)若使用硬件证书作为认证方式,那么就将“海峡信息”的USBkey设备插入到USB接口,否则将程序将无法连接隧道。其它方式可跳过这一步。2)打开控制台,开始“添加隧道”,勾选“启用该隧道”,填入隧道名称,Vpn服务器的域名或IP地址,以及服务端口等。如下图:\uf0d8隧道名称:为隧道起的别名,可以随意命名。\uf0d8Vpn服务器:Vpn服务器的IP地址或域名。\uf0d8服务端口:Vpn服务器为Vpn服务开发的端口号(可询问服务器管理员)。3)配置用户名若你使用的是用户名密码认证方式,需求在启动VPN连接之前输入你的用户名。146黑盾防火墙产品使用手册点击菜单中的“个人密码”,输入分配给你的用户名,如下图:不是使用用户名密码进行认证的用户可跳过这一步。4)启动VPN隧道连接;5)当首次启动隧道时,程序可能会要求输入USBkey设备的PIN码或者用户个人密码。输入成功后,程序就会自动连接Vpn服务器。此时隧道列表中的连接状态由“未连接”变成“已连接”,表示隧道连接成功。Pin码最多只允许15次错误验证,超出就不能使用(或与管理员联系)。所以,请谨慎使用。4.10.1隧道管理SSLVpn客户端软件的功能主要包括:1)隧道管理隧道创建,隧道删除,隧道编辑,隧道运行和停止2)日志管理包括系统日志和调试日志等隧道管理包括\uf06c隧道创建\uf06c隧道删除147黑盾防火墙产品使用手册\uf06c隧道编辑\uf06c隧道运行和停止4.10.1.1添加隧道1)点击隧道管理菜单,在下拉的菜单中选择“添加隧道”。2)点击yes按钮后,出现下图。3)修改隧道名称,连接的Vpn服务器的域名或IP地址,以及服务端口后点击确定。新添加的“新建Vpn隧道1”就显示在了下图的表格中148黑盾防火墙产品使用手册4.10.1.2删除隧道选择所要删除的隧道,并点击隧道管理下拉菜单中的“删除隧道”。还可以选择鼠标左键点击工具栏上的“删除”按钮,达到一样的效果。4.10.1.3编辑隧道1)双击隧道弹出隧道编辑窗体,或者点击工具栏的“编辑”按钮。149黑盾防火墙产品使用手册2)可以修改隧道名称,连接的Vpn服务器的域名或IP地址,以及服务端口等3)选择启用隧道复选框,则会表示隧道的处于启用状态。4)选择“参数配置”选项卡,这一页的选项不推荐手工设置。\uf0b7\uf0d8探测周期:客户端检测隧道连接状态的周期\uf0d8超时探测:超过指定时间没连接上VPN服务器,则认为隧道连接断开\uf0d8数据压缩:Vpn链路使用了数据压缩传送的方式,能一定程度上降低隧道的负载\uf0d8证书管理:使用USB-key设备连接,不需要选择证书。\uf0d8加密算法:有BF-CBC(默认算法),AES-128-CBC,DES-CBC,DES-EDE3-150黑盾防火墙产品使用手册CBC,CAST5-CBC,需要与服务端匹配才能使用。\uf0d8签名算法:有SHA1(默认设置)和MD5,需要与服务端匹配才能使用。\uf0d8它们是为了保护隧道数据传输的安全性和用户认证信息和密码的安全性,完整性。5)日志配置点击启用隧道日志,程序会自动选择隧道状态日志的文件名。它是保存隧道连接过程中的调试信息,对技术人员分析检测隧道故障很有帮助。4.10.1.4隧道运行/停止1)手动启动安装完之后,选择开始菜单->程序->SSLVpn客户端->SSLVpn启动程序后,进入主界面。151黑盾防火墙产品使用手册(1)用鼠标左键在列表中选择一条隧道作为当前默认隧道,此时该隧道的序号栏会以灰度显示,同时在点击的表格中会有虚线的矩形框。(2)用鼠标左键点击工具栏上的运行按钮,或用在列表中点鼠标右键在弹出菜单中选择“启动隧道”。客户端通过向服务器发出连接Vpn隧道的请求(其中包含了数据的加密和再封装),动态获得Vpn服务器发放的IP地址,子网硽码等信息。这需要客户端启用ClientDHCP服务支持。对于WindowsNT/XP系统来说,该服务可以被自动激活。2)停止隧道(1)点击工具栏上的按钮“停止”,或用在列表中点鼠标右键在弹出菜单中选择“停止隧道”。152黑盾防火墙产品使用手册(2)然后看见在列表中,该隧道的连接状态显示为“停止”。(3)此时该隧道的连接就会断口由于程序采用的是多线程的方式运行隧道,以及受网络连接速度,系统和服务器相应快慢的影响,有时断开隧道需要等待数秒左右的时间。4.10.1.5任务栏托盘图标客户端程序启动后,会在系统的状态栏中发现一个托盘图标。如图:。鼠标单击该图标,可以使控制台隐藏或显示,交替执行。鼠标右键点击托盘图标会弹出一个菜单,如下图:4.10.2配置管理配置管理主要包括:\uf0d8控制台设置\uf0d8系统参数设置\uf0d8修改PIN码\uf0d8导出配置文件\uf0d8导入配置文件可进行开机自启动,隧道自动连接,控制台密码设置,控制台密码保护,和USBKeyPIN码的相关设置等等。153黑盾防火墙产品使用手册4.10.2.1控制台管理控制台口令验证:选择为“验证”时,只有拥有控制台口令的人员(一般为网管)才能对SSLVPN客户端软件的各项参数进行配置。没有口令的普通用户只有使用权而没有配置变更的权限。控制台密码设置:可以设置控制台的管理密码,当启用控制台密码保护时,没有密码者不能对客户端软件进行任何配置操作,只能用来建立VPN连接。所有的设置要保存后才有效。4.10.2.2系统参数配置窗口中有三个部分,如下图:154黑盾防火墙产品使用手册1)开机自动启动:启动系统时,软件自动运行2)隧道启动方式\uf0d8自动连接Vpn:当启用时,只要软件在运行并且已经存在VPN隧道策略,该VPN策略将会自动连接。若连接因故断开,则也会自动重新连接。\uf0d8手动连接Vpn:需要手工来启动隧道,VPN连接断开后不会自动重连。3)密码输入设置\uf0d8自动输入:需要用户事先手工输入PIN码,验证成功之后起动隧道时不需要手工再次输入,而由系统自动验证。此选项适用于使用USBKEY验证方式。\uf0d8手工输入:与上相反,每次启动隧道,都要输入PIN码或用户密码。4)日志保存天数设置系统日志保存的天数,过期的日志会自动删除。系统日志默认保存在log子目录内。155黑盾防火墙产品使用手册4.10.2.3个人密码1)用户名:适用于用户名+密码的验证方式,在此输入用于连接SSLVPN的用户名。2)修改密码:\uf0d8用于修改USBKey设备的PIN码,需要知道当前的PIN码,否则修改不能成功。\uf0d8最多只能尝试15次,若超过限制请与管理员联系。\uf0d8如果管理员设置了控制台密码,那么用户在不知道控制台密码时,也能进行PIN密码修改。如下图:4.10.2.4导出配置信息该功能用于备份客户端程序当前的配置信息。156黑盾防火墙产品使用手册导出的文件名会自动生成,也可以手工修改。自动生成的文件名会带上日期信息,如上图。4.10.2.5导入配置文件为了方便用户的使用,用户只需导入配置好的文件而无需手工配置,提高效率。点击文件列表选择覆盖某个文件,或手工输入文件名。使用该操作会使当前的配置信息全部丢失,取而代之的是导入的配置文件。建议在157黑盾防火墙产品使用手册导入之前,先把当前的配置信息进行备份。4.10.3日志管理日志管理主要包括:\uf0d8系统日志它记录每天VPN客户端程序的操作情况。可以设置日志保留的天数。\uf0d8调试日志它是保存隧道连接过程中的调试信息,对技术人员分析检测隧道故障很有帮助。4.10.3.1系统日志系统日志记录每天VPN客户端程序的操作情况。日志的内容包括:操作的日期和时间,系统用户名,操作类型,即以隧道连接后获得的路由信息等等。系统日志的文件类似与“2006_4_26_sys.log"。默认保存在安装目录的log子目录内。默认日志保存的天数是7天。也可以手动修改天数。4.10.3.2调试日志调试日志保存隧道连接过程中的调试信息,对技术人员分析检测隧道故障很有帮助。如图:158黑盾防火墙产品使用手册每条隧道的调试信息都写入文件,该文件默认保存在log子目录内,具体的可查看隧道编辑窗体中的日志设置选项卡。4.10.4程序安装/卸载SSLVPN客户端程序的安装包安装简单,一般使用默认安装就可以,程序卸载也方便快捷。4.10.4.1程序安装1)鼠标双击程序安装包,开始安装程序。2)点击Next,选择程序的安装路径。程序默认安转路径是“C:\\ProgramFiles\\SSLVPN"也可以选择”浏览“按钮,手工选择安装路径。然后开始安装程序。3)当系统提示是否继续安装TAP-Win32的虚拟网卡之时,Windows系统会产生一个提示信息。此时必须选择“仍然继续”,虚拟网卡是VPN连接所必须的组件。159黑盾防火墙产品使用手册4)程序安装成功画面4.10.4.2程序卸载程序卸载步骤:1)开始菜单->程序->SSLVpn客户端->卸载VPNClient160黑盾防火墙产品使用手册2)选择Automatic单选按钮,然后点击Next3)点击Finish即可自动卸载程序。161黑盾防火墙产品使用手册4.11对象定义防火墙采用面向对象的管理机制,所有的策略(规则)都使用对象来定义,在配置各类安全策略之前,先对每个网络实体进行定义,以便于策略统一部署。对象定义在防火墙配置中将起到减轻用户配置防火墙工作量的重大意义。防火墙包含有三个类的对象定义:地址池、服务类型、时间域。例如,为了限制某台机器的访问,必须先定义一个包162黑盾防火墙产品使用手册括这台机器的对象。对象和物理的机器不是一一对应的,可能有某个对象包含多台物理机器,而某台物理机器可能同时属于多个对象,还有一些对象不包括任何的物理机器,只是逻辑上的概念。对象的定义主要是为配置防火墙服务的。4.11.1地址池地址池也就是地址组,在这个功能中管理员可以预定义一系列的地址组,可以是单个主机、MAC、整个网段或则所有(即任意地址)。在防火墙配置中可以直接拿来使用,免去了多次输入同样的IP-MAC群的烦琐事,在对大量IP-MAC设置及更改的情况下就省去了管理者宝贵的工作时间。地址列表显示所有已经创建成功的地址组,我们可以查看、编辑、删除各个地址组。注意:使用状状况统计的是该地址组在防火墙配置中的使用次数。我们可以通过手动创建和自动搜索两种方式来创建地址组。1)手动创建\uf0b7区域:指该地址组所处的防火墙实际接口。\uf0b7任意地址:指该区域上所有地址。\uf0b7IP:指IP地址,不指定时默认值是0.0.0.0/0,可以指定子网掩码,格式为IP/netmask。163黑盾防火墙产品使用手册\uf0b7MAC:指网卡的物理地址,不指定时默认值是00:00:00:00:00:00/0,支持windows和Linux两种MAC格式。注意:IP与MAC不能同时为空。2)自动搜索\uf0b7区域:指该地址组所处的防火墙实际接口。\uf0b7起始IP、终止IP:指定地址组所要搜索的网络范围。\uf0b7探测次数:指定尝试自动搜索的次数。\uf0b7仅保存搜索成功的地址:只保存在指定的网络范围内已经被分配同时也在线的网络实体的IP、MAC地址值。注意:如果没有选中“仅保存搜索成功的地址”,那么整个搜索网段的所有IP将保存在该地址组中,搜索成功的添加具体的IP、MAC值到地址组中,搜索不成功的则添加的是IP值和00:00:00:00:00:00/0的MAC值。3)排序排序行为主要是为了方便用户查看某个对象。分为按照名称排序和按使用次数排序。164黑盾防火墙产品使用手册要按名称排序,点击“名称”链接就将所有对象按照ASCII码值由小到大排序。如图所示:要按使用次数排序,点击“使用次数”链接按照使用次数从少到多排序,若使用次数一样,那么按照名称的ASCII码值从小到大排序。4)导出导出有两种情况:一种是对所有的备份对象导出,另外一种是对部分备份的对象导出。在导出之前一定要先备份对象。(1)对所有的备份对象导出:先点击“备份全部”,然后在点击“导出”。如图所示您可以点击“保存”,将所做的防火墙地址池数据备份到管理机上保存,如下图:165黑盾防火墙产品使用手册注意:保存类型必须选择所有文件!(2)对部分备份的对象导出。先点击要备份的地址池如图所示:然后点击“备份选中”就可以把要备份的地址池导出来。警告:不要修改备份的文件名,如上图所示的“ipmac.fwipm”。否则下次导入对象时校验将不会通过!5)导入导入地址池对象,数据包的名字固定为ipmac.fwipm,只有符合条件的备份数据包才会被正确导入地址池,也就是说只有通过前面方法导出的数据包才是合法的包。166黑盾防火墙产品使用手册如果您需要采用以前的防火墙的地址池,可以点击“导入”,选择相关的防火墙地址池,如下图:这样就可以恢复原来的地址池所配置的地址。注意:若要同时备份多个包,那么导出之后先把包的名字修改一下,待要导入的时候再将名字改为ipmac.fwipm就可以正确导入了。6)备份全部备份全部,对地址池中所有的对象进行备份,之后在点击导出。7)备份选中备份选中,先点击复选框来选择你要备份的对象,勾上表示选中,不勾表示不选。然后再点击“备份选中”按钮,这时候会弹出询问对话框,将这个对话框拉到一边去,仔细查看这些是不是想要备份的对象。确定备份之后,点击导出就可将对象导出。8)编辑编辑,可以对既有地址对象的名称、区域、ip、mac进行编辑,同时还可以导入IP资产,所谓的IP资产就是IP资产管理的IP-MAC成员。167黑盾防火墙产品使用手册4.11.2服务类型在防火墙配置中服务是很常用也是很重要的一个元素,很多防火墙配置都是以服务来划分配置的。在这里的服务既可以是公认的一些网络服务,例如http、ftp等,也可以是自己定义的方便管理的私有服务。168黑盾防火墙产品使用手册服务列表显示所有已经创建成功的服务组,我们可以查看、编辑、删除各个服务组。注意:使用状状况统计的是该服务组在防火墙配置中涉及到服务类型的配置中的使用次数。在新建服务类型组时,可同时设置Tcp、Udp、Icmp和其他协议类型的服务,也可以根据需要设置一种类型的服务或几种类型的服务。Udp、Tcp服务类型可指定源端口及目的端口的范围,对于其他类型的服务,我们只要指定协议号。如下图:注意:端口范围是0-65535。1.排序1)排序行为主要是为了方便用户查看某个对象。分为按照名称排序和按使用次数排序。要按名称排序,点击“名称”链接就将所有对象按照ASCII码值由小到大排序。169黑盾防火墙产品使用手册2)要按使用次数排序,点击“使用次数”链接按照使用次数从少到多排序,若使用次数一样,那么按照名称的ASCII码值从小到大排序如图所示。2.导出导出有两种情况,一种是对所有的备份对象导出,另外一种是对部分备份的对象导出。在导出之前一定要先备份对象。1)对所有的备份对象导出。先点击备份全部,然后点击导出如图所示:您可以点击“保存”,将所做的防火墙地址池数据备份到管理机上保存,如下图:170黑盾防火墙产品使用手册2)对部分备份的对象导出。先点击要备份的服务类型如图所示:然后点击备份选中就可以把要备份的服务类型导出来。警告:不要修改备份的文件名,如上图所示的“server.fwser”。否则下次导入回防火墙时校验将不会通过,该备份被破坏!3.导入导入服务类型对象,包的名字固定为server.fwser,只有符合一定条件的包才会被正确导入服务类型列表,也就是说只有前面导出的包才是合法的包。如图所示171黑盾防火墙产品使用手册记住:若要同时备份多个包,那么导出之后先把包的名字修改一下,待要导入的时候再将名字改为server.fwser就可以正确导入了。4.备份全部备份全部,对服务类型中所有的对象进行备份,之后在点击导出。5.备份选中备份选中,先点击复选框来选择你要备份的对象,勾上表示选中,不勾表示不选。然后再点击“备份选中”按钮,会弹出询问对话框,将这个对话框拉到一边去,仔细查看这些是不是想要备份的对象。将想要备份的对象进行了备份之后,点击导出就可将对象导出。4.11.3时间域时间域对象就是把时间进行划分定义。在防火墙的规则配置中将需要用到很多的时间配置,采用预先定义好各个时间域将会事半功倍。172黑盾防火墙产品使用手册时间域组列表显示所有已经创建成功的时间域组,我们可以查看、编辑、删除、导出导入、备份全部、备份选中各个时间域组。注意:使用状状况统计的是在防火墙配置中涉及到时间配置时该时间域组的使用次数。新建时间域对象如下图所示:定义时间域对象操作简单易行,用户可根据实际需求进行划分定义。1.排序1)排序行为主要是为了方便用户查看某个对象。分为按照名称排序和按使用次数排序。要按名称排序,点击“名称”链接就将所有对象按照ASCII码值由小到大排序。2)要按使用次数排序,点击“使用次数”链接按照使用次数从少到多排序,若使用次数一样,那么按照名称的ASCII码值从小到大排序如图所示。173黑盾防火墙产品使用手册2.导出导出有两种情况,一种是对所有的备份对象导出,另外一种是对部分备份的对象导出。在导出之前一定要先备份对象。1)对所有的备份对象导出:先点击备份全部,然后点击导出如图所示:您可以点击“保存”,将所做的防火墙时间域数据备份到管理机上保存,如下图:174黑盾防火墙产品使用手册2)对部分备份的对象导出。先点击要备份的时间域如图所示:然后点击备份选中就可以把要备份的时间域导出来。警告:不允许修改备份的文件名,如上图所示的“time.fwtim”。否则下次导入时校验将不会通过,该备份被破坏!3.导入导入时间域对象,包的名字固定为time.fwser,只有符合一定条件的包才会被正确导入时间域列表,也就是说只有通过前面导出的包才是合法的包。如图所示注意:若要同时备份多个包,那么导出之后先把包的名字修改一下,待要导入的时候再将名字改为time.fwtim就可以正确导入了。4.备份全部175黑盾防火墙产品使用手册备份全部,对服务类型中所有的对象进行备份,之后在点击导出。5.备份选中备份选中,先点击复选框来选择你要备份的对象,勾上表示选中,不勾表示不选。然后再点击“备份选中”按钮,这时候会弹出询问对话框,你可以将这个对话框拉到一边去,仔细查看这些是不是你想要备份的对象。将想要备份的对象进行了备份之后,点击导出就可将对象导出。4.12用户认证防火墙支持身份认证,提供用户本地身份认证系统。所有连接到外网的用户都要通过防火墙上的身份验证,如下图是服务端的配置:4.12.1配置选项176黑盾防火墙产品使用手册勾选相应的网口即在此网口上启用身份认证功能。一旦启用身份认证,那么所有进入此接口的通讯都必须进行认证,除非是信任连接中指定的通讯;监听端口:指定身份认证所工作的端口,认证客户端将使用此端口进行用户名密码认证、存活检测等通讯;冲突检测:防火墙将对所有已认证的在线用户进行唯一性检测,只要发现网络中存在另一台主机,其IP地址与在线用户一样,那么就会根据冲突处理方式中指定的动作进行处理;冲突处理方式:“拒绝通过”是指发现地址冲突的用户将被禁止通过防火墙;“告警”是指防火墙会发送IP地址冲突警告给相应的客户机;访问重定向:启用重定向之后,如果未经过认证的客户机访问网页(仅限于TCP80端口的网页),那么防火墙会将客户机所访问的URL重定向到管理员指定的URL,这样客户机这会访问到指定的网页;当前状态:“运行中…”表示身份认证模块处于工作状态;“停止”表示身份认证模块未开启;注:冲突检测功能会带来额外网络数据包,有可能影响网络,用户请根据需要来选择是否启用!4.12.2账号管理在防火墙上建立新账号,账号可以绑定ip及MAC地址,同时也能对账号进行锁定:177黑盾防火墙产品使用手册用户账号:用户登录所用的账号,支持中文账号名;绑定IP-MAC:限制用户登录时所使用的IP-MAC地址,即此用户只能在该IP-MAC的主机上登录;所属用户组:将用户分配到指定的用户组中;4.12.3账号导入点击导入用户组,选择用户列表文件。点击“确定上传”。用户列表文件在编辑时需要遵循一定的格式,使用EXECL进行编辑,列表以“name”开头,每一行均为列名。举例如下:namepwdgroupipmaccomment178黑盾防火墙产品使用手册utest1abc123market00user1utest2abc124market192.168.2.10user2utest3abc125market000:00:00:00:00:01user3格式说明:name,pwd,group都是字符串,代表用户名、密码、用户组名;ip,mac,comment代表绑定的IP、MAC和备注,如果不设置就用0取代每个单元格均不能为空。在EXECL中编辑好用户列表后,将文件另存为txt文件,导入时选取txt文件进行导入。4.12.4在线用户能以用户帐号、用户组、登录接口、登录IP、登录MAC、地址状态为查询条件随时查看在线用户的情况,查看在线用户的用户名、所属用户组、登录接口、登录所用的IP和MAC、登录的时间和时长等等;4.12.5客户端登录接收到管理员分发的认证客户端后,把客户端程序安装到本地计算机桌面或其它179黑盾防火墙产品使用手册目录,双击桌面图标运行客户端。运行后客户端最小化显示在屏幕右下脚任务栏上:第一次运行客户端软件将显示登录界面,点击“高级设置”,如下图:输入管理员分配的用户名、密码和防火墙地址及端口;如果客户机的网关是防火墙,可以使用搜索网关地址来自动获得防火墙地址;点击“登录”,如果登录成功,将出现:登录成功后,就可以进行正常的网络应用了。如果登录失败,将出现:注:如果您希望本地计算机记住您的密码,请选择“保存密码”(为了安全起见,特别在公共计算机上使用时,请勿选择这个选项)。4.12.6客户端设置启动客户端软件之后,您可以点击右下脚图标,选择“配置”:180黑盾防火墙产品使用手册客户端软件有三个分页的可配置内容;(1)系统:(2)选项的作用如注释所述(3)认证网关如果客户机的网关就是防火墙,那么选择“自动搜索”可自动以网关IP作为认证网关,否则请手工输入网关IP;181黑盾防火墙产品使用手册(4)管理员此页面的功能提供给网络管理员来使用,管理员可以设置密码来锁定此页面中的设置,默认密码为“abc123”;登录成功重定向:指定URL后,每一次用户登录成功,将会使用IE打开指定的URL网址;登录失败重定向:指定URL后,每一次用户登录失败,将会使用IE打开指定的URL网址;配置保存:只有在点击了“保存配置”之后,界面上所做的修改才会生效;配置导出:管理员可以将保存过的配置导出成配置文件,配置文件自动保存在客户端软件所在的目录中;4.12.7客户端修改密码如果您希望保证自己认证信息的安全性,登录成功后,您可以点击右下脚图标,选择“修改密码”:在弹出的对话框中输入旧密码和新密码,按确定即可:182黑盾防火墙产品使用手册修改成功后会提示:注:为了安全起见请在第一次登录后及时修改密码,并记住该密码。4.12.8客户端注销和退出如果您暂时不使用网络或要切换用户时,请点击右下脚图标,选择“注销”:并提示:如果您希望完全退出客户端,请点击右下脚图标,选择“退出”注:为了安全起见,在不使用网络或离开电脑时(特别是在公共计算机上),请记得退出用户认证客户端。183黑盾防火墙产品使用手册4.12.9客户端软件分发用户可以在随机光盘中获得认证客户端软件安装包,文件名为hdauthclient2009Q1B01061400.rar1)将安装包复制到WEB站点,制作一个下载页面;2)将URL重定向设置为该WEB站点,那么在启用身份认证之后,网络用户的WEB访问将被重定向到软件的下载页面;登录成功的用户将不会受到此重定向的影响;3)网络用户下载并运行安装程序,就能完成自动安装,并在桌面显示程序的快捷方式。4.12.10认证网关黑盾防火墙的认证系统不仅可以作为认证网关,也可以用作认证客户端。整个黑盾防火墙内的网络可以作为一个整体客户端向另一远程服务端进行认证。184黑盾防火墙产品使用手册4.12.11认证定时器认证定时器用于强制用户在指定时间重新认证,达到用户网络连接状态重置的作用。可以通过“增加定时”来添加认证断开时间,可以具体到某天某时某刻。若设置身份认证在某时断开后,所有的用户需要重新登陆认证客户端进行身份认证。如图所示:4.13审计日志系统对各种管理操作都进行了审计记录,以供用户对管理操作进行监督和审计查询,当使用审计用户登录的时候,将进入审计界面,审计包括管理员审计和系统审计两部分,以下这个图是管理员审计:注意:只有以审计用户登录,才能进行审计配置与操作。具体在“系统设置”->“管理员设置”中有详细介绍。185黑盾防火墙产品使用手册4.13.1成功审计查询审计是对防火墙的管理人员对防火墙的管理操作进行记录,将操作记录以审计日志的方式提供给用户,用户可以以审计员的身份查看管理员对防火墙的操作过程,也可以查看哪个非法地址的机器或用户试图对防火墙进行管理操作;由下图看出,可以根据时间、操作者地址、用户名、用户权限等方面对成功通过审计的操作进行日志查询:成功审计查询结果:4.13.2失败审计日志也可以用与成功审计日志相同的方式对未能通过操作审计的日志进行查询,界面如下:186黑盾防火墙产品使用手册失败审计查询结果:4.13.3审计备份审计日志记录的是防火墙管理过程中的操作记录,比较小,直接放在防火墙上,时间长了也会长大,备份功能是给用户对审计日志进行备份、下载和删除操作用的,界面见下图:点击"备份当前审计"后,系统将根据当前时间生成一个ZIP文件。并在页面上报告文件的生成日期和大小。可对该文件进行下载和删除的操作。同时,前期的防火墙操作成功信息日志文件被清空。187黑盾防火墙产品使用手册注意:为防止日志文件备份无限制地占用防火墙系统空间,备份文件个数被限制在5个。4.13.4系统审计查询系统审计信息用于查询防火墙系统事件,比如关闭系统、启动系统等,审计员可以对审计信息进行备份、下载、删除。系统审计查询可以根据日期和时间段来查询。如下图查询结果如图所示:188黑盾防火墙产品使用手册5黑盾防火墙应用实例5.1源、目的地址路由(策略路由)的配置【配置实例】黑盾防火墙产品支持策略路由技术,一般的路由技术只根据目标地址来做出路由选189黑盾防火墙产品使用手册择,而黑盾防火墙则根据通讯的源地址和目标地址来做出路由选择。这种源目地址路由技术可以很好的支持有多个网络出口的环境,进行网络流量分配。例如对于某些系统的网络可能同时有两条互联网出口,一条是通过科技网的线路连接到Internet,另外一条就是申请电信的线路直接连接到互联网如图所示。我们假设内网为192.168.0.0/24,服务区为192.168.1.0/24,电信线路出口为外网口,IP为218.66.59.62/24,默认路由为218.66.59.254/24,科技网出口为扩展口1,IP为168.160.156.170/24,默认路由为168.160.156.162/24。安全策略如下:\uf0b2内网到互联网走电信出口线路,到科技网走科技网线路;\uf0b2DMZ服务区通过科技网上网,并对外提供Web等服务;\uf0b2内网允许访问DMZ服务区服务;\uf0b2DMZ区禁止访问内网。配置黑盾防火墙以实现以上目的,配置步骤为:各网口配置→路由表配置→路由规则设置→地址转换(NAT)→访问控制规则设置,具体设置如下:1、首先进行网口配置,在“系统设置”->“网口配置”配置页面进行设置。可参考4.3.1网口配置的使用说明。(1)电信宽带口(外网口)的配置,根据要求配置静态IP218.66.59.62/24,如下图所示:190黑盾防火墙产品使用手册(2)内网口的配置,根据要求内网口地址为192.168.0.1/24,内网为192.168.0.0/24,如下图所示:(3)服务器区的配置,根据要求DMZ口IP为192.168.1.1/24,DMZ网为192.168.1.0/24,如下所示:191黑盾防火墙产品使用手册(4)扩展口1(EXT1)的配置,根据要求扩展口为科技网出口,IP地址168.160.156.170/24,如下所示:192黑盾防火墙产品使用手册2、路由配置,在“系统设置”->“路由配置”配置页面进行设置。可参考4.3.2路由配置的使用说明。(1)首先设置路由表,系统默认的路由表为main(254),默认路由规则走main(254)表。在main表中新建默认路由:出口为电信宽带,网关218.66.59.254,如下所示:(2)创建新的路由表,表名为second,如下所示:(3)在second(1)路由表中新建默认路由:168.160.156.162,出口为EXT1,如下所示:193黑盾防火墙产品使用手册(4)接着创建设置路由规则,如下所示:允许内网用户走科技网线路,注意:目标IP为科技网168.160.0.0/16,路由表选为second,如下允许内网用户走电信线路,注意路由表为main,如下194黑盾防火墙产品使用手册DMZ服务器区提供服务,允许科技网访问服务区资源,DMZ服务区通过科技网上网,注意路由表为second,如下路由规则配置结果如下图所示:195黑盾防火墙产品使用手册3、建立访问控制对象,可参考4.8对象定义的使用说明。(1)电信出口线路地址对象,注意区域为电信宽带,如下(2)科技网出口线路地址对象,注意区域为扩展口1(EXT1),如下(3)内部子网对象地址,区域为内网口,根据要求内网段为192.168.0.0/24,如下196黑盾防火墙产品使用手册(4)服务器区子网对象地址,区域为服务器区,根据要求DMZ网段为192.168.1.0/24,如下从上可得,地址池设置结果如下图所示:197黑盾防火墙产品使用手册(5)根据需求,服务器区向科技网提供WEB服务,所以新建WEB服务类型,如下4、对防火墙进行SNAT、DNAT设置,可参考可参考4.4.1源地址转换、4.4.2目标地址转换的使用说明。(1)SNAT设置内部子网(192.168.0.0/24)通过电信出口(218.66.59.62)线路上网的SNAT,如下:198黑盾防火墙产品使用手册内部子网(192.168.0.0/24)通过科技网出口(168.160.156.170)线路上网的SNAT,如下:服务器区子网(192.168.1.0/24)通过科技网出口(168.160.156.170)线路上网的SNAT,如下:源地址转换规则设置结果如下图所示:199黑盾防火墙产品使用手册(2)DNAT设置根据需求服务器区向科技网提供http服务,所以要进行如下DNAT设置5、最后进行访问控制规则的配置,可参考可参考4.5.2IP过滤规则的使用说明。内部子网通过电信出口上网,过滤规则如下图所示:200黑盾防火墙产品使用手册内部子网通过科技网出口上网,过滤规则如下图所示:内部子网访问服务器区子网,过滤规则如下图所示:服务器区子网通过科技网出口上网,过滤规则如下图所示:科技网访问服务器区提供的服务资源,根据需求服务类型为WEB服务,过滤规则如下图所示:201黑盾防火墙产品使用手册IP包过滤规则设置结果如下图所示:总结:通过上面的配置,用黑盾防火墙来布署的网络具备了下面的功能:内网部分终端走电信出口线路,另一部分内网终端走科技网线路,允许科技网访问DMZ服务区,DMZ服务区通过科技网上网,内网允许访问DMZ服务区,DMZ区不能访问内网。黑盾防火墙根据通讯的源地址和目标地址来做出路由选择。这种源目地址路由技术可以很好的支持有多个网络出口的环境,帮助进行网络流量分配。202黑盾防火墙产品使用手册5.2VLANTrunk配置【配置实例】在跨交换机的VlanTrunk中嵌入防火墙作为访问控制设备,防火墙一端接外网口,另一端接内网口,防火墙工作在透明模式。为了让防火墙识别带有VLAN标记(这里的VLANID号为100)的数据包,首先到“网口配置”→“VLAN”进行VLAN接口设置,然后“网桥”内添加VLAN接口。最后进行“访问控制”→“IP过滤规则”设置。具体设置如下:1、创建VLAN,在“系统设置”->“网口配置”->“VLAN”配置页面进行设置。可参考4.3.1网口配置的使用说明。新建VLAN接口:外网口.100,绑定:外网口,VLANID为100,如下图所示:新建VLAN接口:内网口.100,绑定内网口,VLANID为100,如下图所示:203黑盾防火墙产品使用手册注意:VLANID的范围是0-4095。VLANID必须和与该网口相连接的交换机所划分的VLANID号相符。2、将VLAN接口:内网口.100、外网口.100设置为透明模式。在“系统设置”->“网口配置”->“网桥”配置页面进行设置。可参考4.3.1网口配置的使用说明。3、建立访问对象,可参考4.8.1地址池的使用说明。分别建立本地和远程要设置为同一局域网的对象资源,例如本地VLAN对象为本地内网的资源,区域为内网口;外地VLAN对象为远程内网的资源,区域为外网口。注意:本地VLAN资源和外地VLAN资源必须在同一网段。204黑盾防火墙产品使用手册4、配置访问控制规则。建立本地VLAN和外地VLAN两个对象的访问控制规则,可参考IP过滤规则的使用说明。当然还可以设置所需的服务类型和有效时间。205黑盾防火墙产品使用手册规则配置完成后,如下图所示:206黑盾防火墙产品使用手册总结:通过以上的配置,本地VLAN、外地VLAN就在同一个虚拟的局域网上,可以互相访问资源。5.3支持视频会议视频会议应用是在企业内部网络中,完全基于ITU-TH.323标准和T.120标准,既可以实现个人之间点对点的视频会议,也可以实现多人多点的视频会议。H.323标准的制定使用户在Intranet/Intranet上召开实时的基于分组协议的视频会议成为现实。同时T.120标准为H.323终端增加和扩展了数据会议的功能,实现了诸如多点电子白板(T.126)、多点文件传输(T.127)、多点应用共享(T.128)等数据会议功能,使企业内部网络用户真正实现了面对面的交流和动作。目前黑盾防火墙的视频模块支持更多协议组,其中包括:\uf0d8框架协议:H.323协议族\uf0d8视频协议:H.261,H.263,H.263+等\uf0d8音频协议:G.711,G.722,G.723.1,G.728\uf0d8控制协议:H.243,H.231,H.245,H.225\uf0d8信道协议:H.225.0\uf0d8连接协议:Q.931\uf0d8其他协议:H.332,RFC相关协议通常其主要端口范围:TCP:(端口范围:1700到1750)呼叫建立时呼叫信号用1720,音频呼叫控制用207黑盾防火墙产品使用手册1731,T.120使用1503端口;UDP:音频传输端口范围17000到17050;视频传输端口范围:17100到17150由于H.323视频会议系统中H.225、H.245等协议采用动态端口分配的方式,因此传统的包过滤防火墙无法解析出通讯中动态分配的端口,为了实现视频会议的通讯不得不开放TCP和UDP1024~65535的端口,这是非常不安全的。黑盾防火墙在基于状态包检测框架基础上,智能检测H.323协议的数据信息,自动解析出通讯所需端口,动态开放所需的端口。由于只需要动态开放视频会议所需要的TCP和UDP端口,因此有更好的安全性。因此,要实现支持视频会议,只需要在黑盾防火墙的规则中,只须打开几个H.323的知名的端口(如1718,1719,1720等),其它通信过程中动态分配的端口在需要时防火墙会临时打开,在不需要时马上关闭。这样就不用打开所有大于1024的端口,增加了防火墙的安全性,而且也不受防火墙网络地址转换的影响。但针对各视频软件用到一些它们各自所需开放的端口捕获其相应的端口,而不可随意的打开整个端口范围。【配置实例】您单位的网络中是使用VCON公司的VPoint视频软件来实现视频会议的召开。您希望防火墙可以支持视频会议的通讯。那么,您可以点击“对象设置”和“IP过滤规则”进行配置。具体示例如下:\uf0b2对象设置:208黑盾防火墙产品使用手册\uf0b2规则设置:如果您单位的视频通讯需要用到组播,所以还要进行如下配置:启动多播路由:对象设置:209黑盾防火墙产品使用手册规则设置:210黑盾防火墙产品使用手册6附录1常见网络安全术语1.1OSI参考模型概述ISO/IEC是国际标准化组织和国际电工委员会的英文缩写,它是致力于国际标准的、自愿和非赢利的专门机构。最著名的OSI标准是ISO/IEC7498,亦称为X.200建议。该体系结构标准定义了异质系统互联的七层框架,也称为OSI参考模型。基于此框架,各协议规范可进一步详细地规定每一层的功能,而每一层使用下层提供的服务,并向其上一层提供服务。1.1.1物理层(PhysicalLayer)提供机械、电气、功能和过程特性。如规定使用电缆和接头的类型,传送信号的电压等。在这一层,数据还没有被组织,仅作为原始的位流或电气电压处理。1.1.2数据链路层(DataLinkLayer)实现数据的无差错传送。它接收物理层的原始数据位流以组成帧(位组),并在网络设备之间传输。帧含有源站点和目的站点的物理地址。1.1.3网络层(NetworkLayer)处理网络间路由,确保数据及时传送。将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有逻辑地址信息——源站点和目的站点地址的网络地址。1.1.4传输层(TransportLayer)提供建立、维护和取消传输连接功能,负责可靠地传输数据。1.1.5会话层(SessionLayer)提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。1.1.6表示层(PresentationLayer)提供格式化的表示和转换数据服务。如数据的压缩和解压缩,加密和解密等工作都211黑盾防火墙产品使用手册由表示层负责。1.1.7应用层(ApplicationLayer)提供网络与用户应用软件之间的接口服务。1.2网络概述(一)按地理位置分类,可以将计算机网络分为局域网、广域网和城域网。1、局域网(LocalAreaNetwork,简称LAN)局域网一般在几十米到几公里范围内,一个局域网可以容纳几台至几千台计算机。按局域网现在的特性看,局域网具有如下特性。(1)局域网分布于比较小的地理范围内。因为采用了不同传输能力的传输媒介,因此局域网的传输距离也不同。(2)局域网往往用于某一群体。比如一个公司、一个单位、某一幢楼、某一学校等。2、广域网(WideAreaNetwork,简称WAN)域网是将分布在各地的局域网络连接起来的网络,是“网间网”(网络之间的网络)。广域网的范围非常大,可以跨越国界、洲界,甚至全球范围。广域网是网络的公共部分,在我国广域网一般为电信部门所有。我们采用ISDN、ADSL接入互联网,实际上就是接入广域网。3、城域网(MetropolisAreaNetwork,简称MAN)城域网是规模局限在一座城市的范围内的区域性网络。城域网的速度比广域网快,符合宽带趋势,因此现在发展很快。与局域网相比,城域网具有分布地理范围广的特点,一般来说,城域网的覆盖范围介于10~100公里之间。(二)按网络拓扑结构分类网络的拓扑(Topology)结构是指网络中通信线路和站点(计算机或设备)的相互连接的几何形式。按照拓扑结构的不同,可以将网络分为星型网络、环型网络、总线型网络三种基本类型。在这三种类型的网络结构基础上,可以组合出树型网、簇星型网、网状网等其他类型拓扑结构的网络。1、星型网络结构在星型网络结构中各个计算机使用各自的线缆连接到网络中,因此如果一个站点出了问题,不会影响整个网络的运行。星型网络结构是现在最常用的网络拓扑结构,如图1所示。图12、环型网络结构212黑盾防火墙产品使用手册环型网络结构的各站点通过通信介质连成一个封闭的环形。环形网络容易安装和监控,但容量有限,网络建成后,难以增加新的站点。因此,现在组建局域网已经基本上不使用环型网络结构了。3、总线型网络结构在总线型网络结构中所有的站点共享一条数据通道。总线型网络安装简单方便,需要铺设的电缆最短,成本低,某个站点的故障一般不会影响整个网络,但介质的故障会导致网络瘫痪。总线网安全性低,监控比较困难,增加新站点也不如星型网容易。所以,总线型网络结构现在基本上已经被淘汰了。1.3广域网通讯技术广域网(wideareanetwork)是在一个广泛范围内建立的计算机通信网,简称WAN(WideAreaNetwork)。在实际应用中,广域网可与局域网(LAN)互连,即局域网可以是广域网的一个终端系统。组织广域网,必须按照一定的网络体系结构和相应的协议进行,以实现不同系统的连和相互协同工作。广域网是一种跨地区的数据通讯网络,使用电信运营商提供的设备作为信息传输平台。对照OSI参考模型,广域网技术主位于底层的3个层次,分别是物理层,数据链路层和网络层。点对点链路:点对点链路提供的是一条预先建立的从客户端经过运营商网络到达远端目标网络的广域网通信路径。一条点对点链路就是一条租用的专线,可以在数据收发双方之间建立起永久性的固定连接。网络运营商负责点对点链路的维护和管理。点对点链路可以提供两种数据传送方式。一种是数据报传送方式,该方式主要是将数据分割成一个个小的数据帧进行传送,其中每一个数据帧都带有自己的地址信息,都需要进行地址校验。另外一种是数据流传送方式,该方式与数据报传送方式不同,用数据流取代一个个的数据帧作为数据发送单位,整个流数据具有一个地址信息,只需要进行一次地址验证即可。下图所显示的就是一个典型的跨越广域网的点对点链路。电路交换:电路交换是广域网所使用的一种交换方式。可以通过运行商网络为每一次会话过程建立,维持和终止一条专用的物理电路。电路交换也可以提供数据报和数据流两种传送方式。电路交换在电信运营商的网络中被广泛使用,其操作过程与普通的电话拨叫过程非常相似。综合业务数字网(ISDN)就是一种采用电路交换技术的广域网技术。包交换:包交换也是一种广域网上经常使用的交换技术,通过包交换,网络设备可以共享一条点对点链路通过运营商网络在设备之间进行数据包的传递。包交换主要采用统计复用技术在多台设备之间实现电路共享。ATM,帧中继,SMDS以及X.25等都是采用包交换技术的广域网技术。虚拟电路:虚拟电路是一种逻辑电路,可以在两台网络设备之间实现可靠通信。虚拟电路有两种不同形式,分别是交换虚拟电路(SVC)和永久性虚拟电路(PVC)。SVC是一种按照需求动态建立的虚拟电路,当数据传送结束时,电路将会被自动终止。SVC上的通信过程包括3个的阶段,即电路创建,数据传213黑盾防火墙产品使用手册输,和电路终止。电路创建阶段主要是在通信双方设备之间建立起虚拟电路;数据传输阶段通过虚拟电路在设备之间传送数据;电路终止阶段则是撤消在通讯设备之间已经建立起来的虚拟电路。SVC主要适用于非经常性的数据传送网络,这是因为在电路创建和终止阶段SVC需要占用更多的网络带宽。不过相对于永久性虚拟电路来说,SVC的成本较低。PVC是一种永久性建立的虚拟电路,只具有数据传输一种模式。PVC可以应用于数据传送频繁的网络环境,这是因为PVC不需要为创建或终止电路而使用额外的带宽,所以对带宽的利用率更高。不过永久性虚拟电路的成本较高。1.4广域网设备在广域网环境中可以使用多种不同的网络设备,下面,我们就着重介绍一些比较常用的广域网设备。广域网交换机:广域网交换机是在运营商网络中使用的多端口网络互联设备。广域网交换机工作在OSI参考模型的数据链路层,可以对帧中继,X.25以及SMDS等数据流量进行操作。下图是位于广域网两端的两台路由器通过广域网交换机进行连接的示意图。接入服务器:接入服务器是广域网中拨入和拨出连接的会聚点。下图说明了接入服务器如何将多条拨出连接集合在一起接入广域网。调制解调器:调制解调器主要用于数字和模拟信号之间的转换,从而能够通过话音线路传送数据信息。在数据发送方,计算机数字信号被转换成适合通过模拟通信设备传送的形式;而在目标接收方,模式信号被还原为数字形式。CSU/DSU:信道服务单元(CSU)/数据服务单元(DSU)类似数据终端设备到数据通信设备的复用器,可以提供以下几方面的功能:信号再生,线路调节,误码纠正,信号管理,同步和电路测试等。ISDN终端适配器:214黑盾防火墙产品使用手册ISDN终端适配器是用来连接ISDN基本速率接口(BRI)到其它接口,如EIA/TIA-232的设备。从本质上说,ISDN终端适配器就相当于一台ISDN调制解调器。帧中继:帧中继(FRAMERELAY)是一种"先进"的包交换广域网技术,它是从分组交换技术发展起来的,是种快速分组通信方式,它采用虚电路技术,对分组交换技术进行简化,具有吞吐量大、时延小、适合突发性业务等特点,能充分利用网络资源。帧中继为多区域间,全国范围内以及国际间实现通信提供了一个灵活高效的广域网解决方案。帧中继业务目前已广泛在局域网(LAN)互连、计算机辅助设计(CAD)、计算机辅助制造(CAM)、文件传送、图像查询业务和图像监视业务等网络应用中。1.5TCP/IP协议1.5.1TCP/IP的通讯协议这里简要介绍一下TCP/IP的内部结构,TCP/IP协议组之所以流行,部分原因是因为它可以用在各种各样的信道和底层协议(例如T1和X.25、以太网以及RS-232串行接口)之上。确切地说,TCP/IP协议是一组包括TCP协议和IP协议,UDP(UserDatagramProtocol)协议、ICMP(InternetControlMessageProtocol)协议和其他一些协议的协议组。1.5.2TCP/IP整体构架TCP/IP协议并不完全符合OSI的七层参考模型。传统的开放式系统互连参考模型,是一种通信协议的7层抽象的参考模型,其中每一层执行某一特定任务。该模型的目的是使各种硬件在相同的层次上相互通信。这7层是:物理层、数据链路层、网路层、传输层、话路层、表示层和应用层。而TCP/IP通讯协议采用了4层的层级结构,每一层都呼叫它的下一层所提供的网络来完成自己的需求。这4层分别为:应用层:应用程序间沟通的层,如简单电子邮件传输(SMTP)、文件传输协议(FTP)、网络远程访问协议(Telnet)等。传输层:在此层中,它提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中,这一层负责传送数据,并且确定数据已被送达并接收。互连网络层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。网络接口层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、SerialLine等)来传送数据。215黑盾防火墙产品使用手册(数据封装)1.5.3IP网际协议IP是TCP/IP的心脏,也是网络层中最重要的协议。IP是一个无连接的协议,主要就是负责在主机间寻址并为数据包设定路由,在交换数据前它并不建立会话。因为它不保证正确传递,另一方面,数据在被收到时,IP不需要收到确认,所以它是不可靠的。有一些字段,在当数据从传输层传下来时,会被附加在数据包中,具体标识如下:源IP地址:用IP地址确定数据报发送者。目标IP地址:用IP地址确定数据报目标。协议:告知目的机的IP是否将包传给TCP或UDP。检查和:一个简单的数学计算,用来证实收到的包的完整性。TTL生存有效时间:指定一个数据报被丢弃之前,在网络上能停留多少时间(以秒计)。它避免了包在网络中无休止循环。路由器会根据数据在路由器中驻留的时间来递减TTL。其中数据报通过一次路由器,TTL至少减少一秒。(IP数据包头)1.5.4TCPTCP是一种可靠的面向连接的传送服务。它在传送数据时是分段进行的,主机交换数据必须建立一个会话。它用比特流通信,即数据被作为无结构的字节流。通过每个TCP传输的字段指定顺序号,以获得可靠性。如果一个分段被分解成几个小段,接收主机会知道是否所有小段都已收到。通过发送应答,用以确认别的主机收到了数据。对于发送的每一个小段,接收主机必须在一个指定的时间返回一个确认。如果发送者未收到确认,数据会被重新发送;如果收到的数据包损坏,接收主机会舍216黑盾防火墙产品使用手册弃它,因为确认未被发送,发送者会重新发送分段。(TCP数据包头)端口SOCKETS实用程序使用一个协议端口号来标明自己应用的唯一性。端口可以使用0到65536之间的任何数字。在服务请求时,操作系统动态地为客户端的应用程序分配端口号。套接字套接字在要领上与文件句柄类似,因为其功能是作为网络通信的终结点。一个应用程序通过定义三部分来产生一个套接字:主机IP地址、服务类型(面向连接的服务是TCP,无连接服务是UDP)、应用程序所用的端口。TCP端口TCP端口为信息的传送提供定地点,端口号小于256的定义为常用端口。TCP的三次握手TCP对话通过三次握手来初始化。三次握手的目的是使数据段的发送和接收同步;告诉其它主机其一次可接收的数据量,并建立虚连接。三次握手的简单过程:(1)初始化主机通过一个同步标志置位的数据段发出会话请求。(2)接收主机通过发回具有以下项目的数据段表示回复:同步标志置位、即将发送的数据段的起始字节的顺序号、应答并带有将收到的下一个数据段的字节顺序号。(3)请求主机再回送一个数据段,并带有确认顺序号和确认号。217黑盾防火墙产品使用手册TCP滑动窗口TCP滑动窗口用来暂存两台主机间要传送的数据,有点类似CACHE。每个TCP/IP主机有两个滑动窗口:一个用于接收数据,另一个用于发送数据。1.5.5UDP用户数据报协议UDP提供了无连接的数据报服务。它适用于无须应答并且通常一次只传送少量数据的应用软件。UDP与TCP位于同一层,但对于数据包的顺序错误或重发。因此,UDP不被应用于那些使用虚电路的面向连接的服务,UDP主要用于那些面向查询---应答的服务,例如NFS。相对于FTP或Telnet,这些服务需要交换的信息量较小。使用UDP的服务包括NTP(网落时间协议)和DNS(DNS也使用TCP)。欺骗UDP包比欺骗TCP包更容易,因为UDP没有建立初始化连接(也可以称为握手)(因为在两个系统间没有虚电路)。端口作为多路复用的消息队列使用。常用UDP端口15NETSTAT网络状态53DOMAIN域名服务器69TFTP平凡文件传送协议137NETBIOS-NSNETBIOS命令服务138NETBIOS-DGMNETBIOS数据报服务161SNMPSNMP网络监视器。1.5.6ICMPICMP与IP位于同一层,它被用来传送IP的的控制信息。它主要是用来提供有关通向目的地址的路径信息。ICMP的‘Redirect’信息通知主机通向其他系统的更准确的路径,而‘Unreachable’信息则指出路径有问题。另外,如果路径不可用了,ICMP可以使TCP连接‘体面地’终止。PING是最常用的基于ICMP的服务。ICMP源抑制消息:当TCP/IP主机发送数据到另一主机时,如果速度达到路由器或者链路的饱和状态,路由器发出一个ICMP源抑制消息。ICMP数据包结构类型:一个8位类型字段,表示ICMP数据包类型。代码:一个8位代码域,表示指定类型中的一个功能。如果一个类型中只有一种功能,代码域置为0。检验和:数据包中ICMP部分上的一个16位检验和。指定类型的数据随每个ICMP类型变化的一个附加数据。1.5.7TCP和UDP的端口结构TCP和UDP服务通常有一个客户/服务器的关系,例如,一个Telnet服务进程开始在系统上处于空闲状态,等待着连接。用户使用Telnet客户程序与服务进程建立一个连接。客户程序向服务进程写入信息,服务进程读出信息并发出响应,客户程序读出响应并向用户报告。因而,这个连接是双工的,可以用来进行读写。两个系统间的多重Telnet连接是如何相互确认并协调一致呢?TCP或UDP连接唯一地使用每个信息中的如下四项进行确认:源IP地址---发送包的IP地址。218黑盾防火墙产品使用手册目的IP地址---接收包的IP地址。源端口---源系统上的连接的端口。目的端口---目的系统上的连接的端口。注:端口是一个软件结构,被客户程序或服务进程用来发送和接收信息。一个端口对应一个16比特的数。服务进程通常使用一个固定的端口,例如,SMTP使用25、Xwindows使用6000。这些端口号是‘广为人知’的,因为在建立与特定的主机或服务的连接时,需要这些地址和目的地址进行通讯。1.5.8ARP地址解析就是将主机IP地址映射为硬件地址的过程,它用于获得在同一物理网络中的主机的硬件地址。主机IP地址解析为硬件地址:(1)当一台主机要与别的主机通信时,初始化ARP请求。当该IP断定IP地址是本地时,源主机在ARP缓存中查找目标主机的硬件地址。(2)要是找不到映射的话,ARP建立一个请求,源主机IP地址和硬件地址会被包括在请求中,该请求通过广播,使所有本地主机均能接收并处理。(3)本地网上的每个主机都收到广播并寻找相符的IP地址。(4)当目标主机断定请求中的IP地址与自己的相符时,直接发送一个ARP答复,将自己的硬件地址传给源主机。以源主机的IP地址和硬件地址更新它的ARP缓存。源主机收到回答后便建立起了通信。解析远程IP地址不同网络中的主机互相通信,ARP广播的是源主机的缺省网关。目标IP地址是一个远程网络主机的话,ARP将广播一个路由器的地址。(1)通信请求初始化时,得知目标IP地址为远程地址。源主机在本地路由表中查找,若无,源主机认为是缺省网关的IP地址。在ARP缓存中查找符合该网关记录的IP地址(硬件地址)。(2)若没找到该网关的记录,ARP将广播请求网关地址而不是目标主机的地址。路由器用自己的硬件地址响应源主机的ARP请求。源主机则将数据包送到路由器以传送到目标主机的网络,最终达到目标主机。(3)在路由器上,由IP决定目标IP地址是本地还是远程。如果是本地,路由器用ARP(缓存或广播)获得硬件地址。如果是远程,路由器在其路由表中查找该网关,然后运用ARP获得此网关的硬件地址。数据包被直接发送到下一个目标主机。(4)目标主机收到请求后,形成ICMP响应。因源主机在远程网上,将在本地路由表中查找源主机网的网关。找到网关后,ARP即获取它的硬件地址。(5)如果此网关的硬件地址不在ARP缓存中,通过ARP广播获得。一旦它获得硬件地址,ICMP响应就送到路由器上,然后传到源主机。1.6IP地址和子网屏蔽TCP/IP上的每台主机都需要用一个子网屏蔽号。它是一个4字节的地址,用来封装或“屏蔽”IP地址的一部分,以区分网络号和主机号。当网络还没有划分为子网时,可以使用缺省的子网屏蔽;当网络被划分为若干个子网时,就要使用自定义的子网屏蔽了。219黑盾防火墙产品使用手册缺省值我们来看看缺省的子网屏蔽值,它用于一个还没有划分子网的网络。即使是在一个单段网络上,每台主机也都需要这样的缺省值。它的形式依赖于网络的地址类型。在它的4个字节里,所有对应网络号的位都被置为1,于是每个八位体的十进制值都是255;所有对就主机号的位都置为0。例如:C类网地址192.168.0.1和相应的缺省屏蔽值255.255.255.0。1.7IP路由路由就是选择一条数据包传输路径的过程。当TCP/IP主机发送IP数据包时,便出现了路由,且当到达IP路由器还会再次出现。路由器是从一个物理网向另一个物理网发送数据包的装置,路由器通常被称为网关。对于发送的主机和路由器而言,必须决定向哪里转发数据包。在决定路由时,IP层查询位于内存中的路由表。(1)当一个主机试图与另一个主机通信时,IP首先决定目的主机是一个本地网还是远程网。(2)如果目的主机是远程网,IP将查询路由表来为远程主机或远程网选择一个路由。(3)若未找到明确的路由,IP用缺省的网关地址将一个数据传送给另一个路由器。(4)在该路由器中,路由表再次为远程主机或网络查询路由,若还未找到路由,该数据包将发送到该路由器的缺省网关地址。每发现一条路由,数据包被转送下一级路由器,称为一次“跳步”,并最终发送至目的主机。若未发现任何一个路由,源主机将收到一个出错信息。1.8基于TCP/IP协议的常用服务基于TCP/IP协议的服务很多,人们比较熟悉的有WWW服务,FTP服务,电子邮件服务,不太熟悉的有TFTP服务,NFS服务,Finger服务等等。这些服务都存在不同程度上的安全缺陷,当用户用防火墙保护站点时,就需要考虑,该提供哪些服务,要禁止哪些服务。(1)WWW服务WWW服务相对于其它服务出现比较晚,是基于超文本传输协议(HTTP),它是由瑞士日内瓦欧洲粒子物理实验室发明的,并在短时间内得到迅猛发展,是人们最常使用的因特网服务。随着Netscape公司推出安全套接口层(SSL),WWW服务器和浏览器的安全性得到大大的提高,现在人们已经把这种技术应用于电子商务(E-business),例如在美国,人们可以在因特网上买卖股票和使用信用卡购物。220黑盾防火墙产品使用手册最初WWW服务只提供静态的HTML页面,这种页面显得很呆板,用户看到主页没有变化,于是人们引入了CGI程序,CGI程序让人们的主页活起来。CGI程序可以接收用户的输入信息,一般用户是通过表格把输入信息传给CGI程序的,然后CGI程序可以根据用户的要求进行一些处理,一般情况下会生成一个HTML文件,并传回给用户。CGI程序很多都存在安全漏洞,很容易被黑客利用做一些非法的事情,如把/etc/passwd文件传给黑客,删除服务器上的文件等等。还有,现在很多人在编CGI程序时,可能对CGI软件包中的安全漏洞并不了解,而且大多数情况下不会重新编写程序的所有部分,只是对其加以适当的修改,这样很多CGI程序就不可避免的具有相同的安全漏洞,所以用户若要编写一个安全的CGI程序,就应先去了解这些软件包中的安全漏洞,这些在网上可以得到。CGI程序程序很多是用Perl来编写的,Perl的功能很强大,但也很不安全,其中有很多UNIX的特殊字符可用来执行UNIX的系统命令,一般入侵者就是利用这些特殊字符实施攻击的。(2)电子邮件服务电子邮件服务给人们提供了一种便宜,方便和快捷的服务。Unix环境下的电子邮件服务器一般是Sendmail,它是一个复杂的功能强大的应用软件,正因为这样它就具有更多的安全漏洞。程序越庞大,越复杂,就越有可能出现多的安全漏洞,这是一个公认的原理。Sendmail在Unix环境下以root帐户运行,所以如果该程序被黑客利用,用户的主机的损失将会是十分巨大的。因特网蠕虫病毒曾经震惊世界,它使大批的服务器陷于瘫痪之中,这种病毒就是利用了Sendmail的安全缺陷。如果要把这些功能以更安全的方式实现,需要对Sendmail进行重新设计和重新实现,但人们又会担心新的版本会出现更多的人们不知道的安全漏洞。Sendmail的问题被人们修修补补,但总是有新的问题出现。除此之外,电子邮件的附着的WORD文件或其他文件中有可能会带有病毒,电子邮件炸弹也是一个令人头疼的问题。试想,一下子收到了一大堆垃圾邮件,直到邮件箱被塞满,用户会有什么感想。(3)FTP服务和TFTP服务这两个服务都是用于传输文件的,但用的场合不同,安全程度也不同。TFTP服务用于局域网,在无盘工作站启动时用于传输系统文件,安全性极差,常被人用来窃取密码文件/etc/passwd,因为它不带有任何安全认证。FTP服务对于局域网和广域网都可以,可以用来下载任何类型的文件。网上有许多匿名FTP服务站点,上面有许多免费软件,图片、游戏,匿名FTP是人们常使用的一种服务方式。FTP服务的安全性要好一些,起码它需要用户输入用户名和口令,当然匿名FTP服务就象匿名WWW服务是不需要口令的,但用户权力会受到严格的限制。匿名FTP存在一定的安全隐患,因为有些匿名FTP站点提供可写区给用户,这样用户可以上载一些软件到站点上。但这些可写区常被一些人用作地下仓库,存放一些盗版软件和黄色图片,这会浪费用户的磁盘空间、网络带宽等系统资源,可能会造成“拒绝服务”攻击。匿名FTP服务的安全很大程度上决定于一个系统管理员的水平,一个低水平的系统管理员很可能会错误配置权限,从而被黑客利用破坏整个系统。(4)Finger服务Finger服务于查询用户的信息,包括网上成员的真实姓名、用户名、最近的登录时间、地点等,也可以用来显示当前登录在机器上的所有用户名,这对于入侵者来说是无价之宝,因为它能告诉他在本机上的有效的登录名,然后入侵就可以注意其活动。(5)其它的安全性极差的服务除了上面提到的Finger和TFTP,还有X-Window服务,基于RPC的NFS服务,BSDUnix的以221黑盾防火墙产品使用手册“r”开头的服务,如Rlogin,rsh,rexec。这些服务在设计上安全性很差,一般只在内部网使用。应该使用防火墙,把这些服务限制在内网中。2.1防火墙专业术语2.1防火墙一种确保网络安全的方法,防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中,发挥更大的网络安全保护作用。防火墙通常是包括设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。2.2包过滤根据IP包头部信息如源地址和目的地址进行过滤,如果IP头中的协议字段表明封装协议为ICMP、TCP或UDP,那么再根据ICMP头信息(类型和代码值)、TCP头信息(源端口和目的端口)或UDP头信息(源端口和目的端口)执行过滤,其他的还有MAC地址过滤。应用层协议过滤要求主要包括FTP过滤、基于RPC的应用服务过滤、基于UDP的应用服务过滤要求以及动态包过滤技术等。2.3非军事化区(DMZ)为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,internet和DMZ。2.4性能管理(PerformanceManagement)性能管理,评定通信网及各种网络元素的性能测度,如吞吐量(throughput)、服务质量(QoS,QualityofService)或服务等级(DOS,DegreeofService)、时延特性等。测量一般是连续进行的,并在异常或性能恶化情况下及时通知有关用户。测量工具从简单的计数器到复杂的统计工具以及有时变趋向的分析设备。2.5网络地址转换(NAT)网络地址转换的缩略语,指将一个IP地址域映射到另一个IP地址域,从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部结构,在一定程度上提高了网络的安全性。2.6安全套接层(SSL)SSL(SecureSocketsLayer)是由Netscape公司开发的一套Internet数据安全协议,当前版本为3.0。它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSLRecordProtocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSLHandshakeProtocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。222黑盾防火墙产品使用手册2.7吞吐量网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。2.8状态检测又称动态包过滤,是在传统包过滤上的功能扩展,最早由checkpoint提出。状态检测通过检查应用程序信息(如ftp的PORT和PASS命令),来判断此端口是否允许需要临时打开,而当传输结束时,端口又马上恢复为关闭状态。2.9DoS和DdoSDoS和DDoS分别代表的是"拒绝服务"和"分布式拒绝服务"。拒绝服务攻击专门设计用来阻止授权用户对系统以及系统数据进行访问,通常采用的攻击方式是让系统服务器超载或者让系统死机。DoS攻击可能涉及到通过国际互联网发送大量的错误网络信息包。如果DoS攻击来源于单点进攻,那么可以采用简单的交通控制系统来探测到电脑黑客。较为复杂的DoS攻击可以包含多种结构和大量的攻击点。电脑黑客经常操纵其它计算机和网络服务器并且使用它们的地址进行DoS攻击,这样就可以掩盖他们自己的真实身份。2.10包过滤防火墙的一类。传统的包过滤功能在路由器上常可看到,而专门的防火墙系统一般在此之上加了功能的扩展,如状态检测等。它通过检查单个包的地址,协议,端口等信息来决定是否允许此数据包通过。2.11后门(BackDoor)绕过安全性控制而获取对程序或系统访问权的方法。在软件的开发阶段,程序员常会在软件内创建后门以便可以修改程序中的缺陷。如果后门被其他人知道,或是在发布软件之前没有删除后门,那么它就成了安全风险。2.12网际协议安全IPSec作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署IPSec。IPSec对使用L2TP协议的VPN连接提供机器级身份验证和数据加密。在保护密码和数据的L2TP连接建立之前,IPSec在计算机及其远程隧道服务器之间进行协商。2.13最大连接数和吞吐量一样,数字越大越好。但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。2.14代理(proxy)防火墙的一类。工作在应用层,特点是两次连接(browser与proxy之间,proxy与webserver之间)。2.15代理服务器代理服务器,即Proxy服务器,在互联网上的完成跑腿服务。当你在浏览器中设置了某个Proxy服务器之后,由你的浏览器所发出的任何要求,都会被送到Proxy服务器上去,由这台Proxy服务器223黑盾防火墙产品使用手册代为处理。设置Proxy服务器的最大好处是可以加速网络的浏览速度。这是因为当许多人都把Proxy服务器指向同一台时,所有的需求都会经由这台Proxy服务器来代为处理,当有人在网址上看过某一个Web页面时,这些内容都会被记录在Proxy服务器的硬盘缓冲区(Cache)中。等到下一次你要浏览相同的网页时,这些文件直接由Proxy服务器送到你的电脑。设置Proxy服务器的另一个好处是:若你没有指定DNS(域名服务器)时,它也能解决IP地址的对应问题。2.16数据包转发率指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。2.17集中管理集中管理是指防火墙的一种管理手段,通常利用一个界面来管理网络中的多个防火墙。其效果和用一个遥控器管理家中所有电器一样简单,可大大简化管理员的管理工作。2.18应用层代理指防火墙支持应用层代理,如HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接,代为向服务器发出连接请求,代理服务器应根据服务器的应答,决定如何响应客户端请求,代理服务进程应当连接两个连接(客户端与代理服务进程间的连接、代理服务进程与服务器端的连接)。为确认连接的唯一性与时效性,代理进程应当维护代理连接表或相关数据库(最小字段集合),为提供认证和授权,代理进程应当维护一个扩展字段集合。2.19虚拟专用网(VirtualPrivateNetwork)虚拟专用网络,是指在公用网络上建立专用网络的技术,由客户机、传输介质和服务器三部分组成,使用隧道连接作为传输通道。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台(如Internet,ATM,FrameRelay等)之上的逻辑网络,用户数据在逻辑链路中传输。2.20负载均衡负载均衡可以看成动态的端口映射,它将一个外部地址的某一TCP或UDP端口映射到一组内部地址的某一端口,负载均衡主要用于将某项服务(如HTTP)分摊到一组内部服务器上以平衡负载。2.21带宽管理防火墙能够根据当前的流量动态调整某些客户端占用的带宽。2.22远程管理指管理员通过以太网或防火墙提供的广域网接口对防火墙进行管理,管理的通信协议可以基于FTP、TELNET、HTTP等。2.23双机热备双机热备系统是由两台防火墙及双机热备份软件模块组成。双机热备份系统通常采用"心跳"方法保持主系统与备用系统的联系。所谓"心跳",指的是主系统和备用系统之间,相互按照一定的间隔发送通讯信号,表明系统目前的运行状态。一旦"心跳"信号表明主机系统发生故障,或者备用系统无法收到主机系统的"心跳"信号,则系统的高可用性管理软件认为主机系统发生故障,主机停止工作,并将系统资源转移到备用系统上,随时备用系统替代主机发挥作用,以保证网络正常运行。2.24IP/MAC绑定将某台主机的IP地址与其相对应的MAC地址进行捆绑,限定具有权限的IP地址只能匹配一台224黑盾防火墙产品使用手册指定的网络站点,从而限制网络内部用户的越权操作,管理员可以依据情况指定1对1的MAC地址绑定和N对N的MAC地址绑定。2.25网络安全网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。225',)
