FW&UTM培训胶片

DPtechFW/UTM培训胶片目录第一章DPtechFirewall/UTM产品概述第二章Firewall/UTM组网及部署第三章Firewall/UTM基本配置第四章常见问题定位排查防火墙技术发展介绍•主要分为以下3种类型防火墙：•包过滤防火墙：根据一组规则允许/阻塞一些数据包。•应用代理型防火墙：作为应用层代理服务器，提供安全防护。•状态检测型防火墙：比包过滤防火墙具有更高的智能和安全性，会话成功建立连接以后记录状态信息并时时更新，所有会话数据都要与状态表信息相匹配；否则会话被阻断。DPTECH防火墙属于状态检测型防火墙。状态检测技术防火墙的发展趋势•高性能：容量更大的万兆处理平台，满足更高端万兆需求•深识别：提供深度识别技术，可以实现对应用层（如P2P）深层识别•多功能：支持基于应用的虚拟防火墙，满足不同业务应用的逻辑划分•双协议：支持IPv6，可以为IPV6网络的安全保驾护航，支持使用在IPv4、IPv6双栈环境•真环保：提供可回收、低辐射、无公害、低功耗的平台•国产化：国内自主知识产权，通过国家安全认证，符合中国“等级保护”等国家级安全要求种性能指标：•整机吞吐量：指防火墙在状态检测机制下能够处理一定包长数据的最大转发能力，业界默认一般都采用大包衡量防火墙对报文的处理能力。•最大并发连接数：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。•每秒新建连接数：指每秒钟可以通过防火墙建立起来的完整TCP/UDP连接。该指标主要用来衡量防火墙在处理过程中对报文连接的处理速度，如果该指标低会造成用户明显感觉上网速度慢，在用户量较大的情况下容易造成防火墙处理能力急剧下降，并且会造成防火墙对网络攻击防范能力差。系列防火墙产生背景目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统防火墙上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代防火墙—DPtechFW1000N系列应用防火墙。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。（UTM）统一威胁管理产品杭州迪普科技有限公司产品简介•创新性：新一代网络安全架构，专用定制的Conplat平台•管理性：Web配置所见即所得•集成性：集路由器、VPN、防火墙设备功能于一身•高性能：高吞吐量•高密度接口：丰富了用户的应用，并节约了成本。管理页面•第一，确保主机同FW管理口（默认最后一个接口）通讯正常（主机跟管理口配置同一个网段的IP）。•第二，打开IE浏览器，输入(管理口默认地址），进入WEB页面。串口下修改管理口地址。•如果不想使用192.168.0.1的地址，可以在串口下修改，（web页面不能进入的情况），也可以在WEB页面修改。•串口下修改管理口地址，以eth0_7为例。进入串口密码：DPTECH（大写）。（图一）查看接口信息（showinterface)。（图二）目录第一章DPtechFirewall/UTM产品概述第二章Firewall/UTM组网及部署第三章Firewall/UTM基本配置第四章常见问题定位排查组网模式及其部署——透明模式•基本组网trust域untrust域ETH0/5所属域：untrust，二层接口，接口类型：trunkETH0/6所属域：trust，二层接口，接口类型：trunkETH0/2所属域：trust，二层接口，接口类型：ACCESSETH0/3所属域：untrust，二层接口，接口类型：ACCESStrust域组网模式及其部署——基本配置•安全域的配置–安全域优先级的配置•配置相同优先级，支持域间的隔离•配置高低优先级，支持高优先级到低优先级的直接访问–安全域接口列表的添加•接口的配置–工作模式的配置选项：三层接口、二层接口–二层接口的配置•接口类型的选择：ACCESS口（支持默认VLAN1数据通过）、TRUNK口（支持VLAN透传）•接口VLAN的设置–三层接口的配置•接口类型的先择：LAN、WAN、管理口（管理口不转发流量）•IP地址分配：静态IP、PPPoE、DHCP•VLAN的配置–添加VLAN•包过滤策略的配置组网模式及其部署——透明模式•组网应用场景–需要二层交换机功能做二层转发–在既有的网络中，不改变网络拓扑，而且需要安全业务–防火墙的不同网口所接的局域网都位于同一网段•特点–对用户是透明的，即用户意识不到防火墙的存在–部署简单，不改变现有的网络拓扑，无需更改其他网络设备的配置–支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等•配置要点–接口添加到相应的域–接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK–接口配置VLAN属性–必须配置一个vlan-ifxxx的管理地址，用于设备管理组网模式及其部署——透明模式•接口管理组网配置：修改工作模式为二层接口，类型为access，（trunk）选中所属VLAN.内网用户可以使用VLAN-IF接口对FW设备进行管理。组网模式及其部署——路由模式•基本组网Internettrust域服务器ＤＭＺ域untrust域ETH0/3所属域：untrust，三层接口，接口类型：WANETH0/7所属域：trust，三层接口，接口类型：LANETH0/6所属域：trust，三层接口，接口类型：LAN。。。ETH0/4所属域：DMZ，三层接口，接口类型：LANETH0/2所属域：untrust，三层接口，接口类型：WAN组网模式及其部署——路由模式•组网应用场景–需要路由功能做三层转发–需要共享Internet接入–需要对外提供应用服务–需要使用虚拟专用网•特点–提供丰富的路由功能，静态路由、RIP、OSPF等–提供源NAT支持共享Internet接入–提供目的NAT支持对外提供各种服务–支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等–需要使用WEB认证功能•配置要点–接口添加到相应的域–接口工作于三层接口，并配置接口类型–配置地址分配形式静态IP、DHCP、PPPoE组网模式及其部署——路由模式•LAN口接内网接口，WAN口接外网接口。组网模式及其部署——混合模式•组网应用场景–需结合透明模式及路由模式•特点–在VLAN内做二层转发–在VLAN间做三层转发–支持各类安全特性：攻击防护、包过滤、应用识别及应用访问控制等•配置要点–接口添加到相应的域–接口为二层接口，根据需要，配置接口类型为ACCESS或TRUNK–接口配置VLAN属性–添加三层接口，用于三层转发–配置一个vlan-ifxxx的地址，用于三层转发目录第一章产品概述第二章组网模式及部署第三章FW基本配置第四章常见问题定位排查升级版本•进入系统管理软件版本页面。•第一步，点击“浏览”，选择版本存放的正确路径。•第二步，选择“下载软件版本”，红色边框标识处。这时要等几分钟，直到出现两个版本。红色边框标识处。升级版本•第三,如果需要导出配置可以如下操作，等设备启动后，再倒入配置.(可选步骤），图一所示。•第四，清除数据库，重启。图二所示。策略路由虚拟防火墙攻击防范和远程安全接入一体化深度状态识别，提供基于状态的安全过滤集成地址转换、流量控制等网络应用功能特点•采用先进的多核硬件架构–多核多线程的硬件设计–集成硬件网络加速和安全加速引擎–网络处理性能高–功耗低，更加环保–成本低，市场竞争力强•完善的安全策略管理机制–支持面向对象的策略管理–支持业务策略的定制功能特点•支持无用户限制NAT–解除单IP受限于端口的限制–单IP可支持百万级别以上会话–节约公网IP地址•多WAN口备份–增加出口带宽–线路备份–负载均衡策略：支持会话方式、流量方式功能特点•应用识别及基于网络应用的访问控制–支持各类应用的识别，包括P2P、电子邮件、股票、网络游戏等–支持特征库升级，支持后续应用识别的扩展–支持各类网络应用的访问控制–支持网络应用带宽限速•丰富的URL访问控制–支持基于内容分类的URL访问控制–支持URL库的管理，包括URL数据库在线、离线更新–URL数据库容量大，分类数多–基于URL正则表达式的URL过滤–支持Web访问的黑、白名单设置–HTTPURL关键字过滤–HTTPPOST命令关键字过滤功能特点•强大的审计功能–支持对各种网络应用的审计–支持按时间、用户行为、源IP、目的IP的审计–支持当前在线用户的上网行为的审计–支持业务流量的分析–支持单用户业务流量的分析•丰富的日志功能–支持系统日志、操作日志、业务日志–支持黑名单、地址绑定、攻击日志、策略日志等–支持各类日志导出、查询、删除–支持日志耗尽策略功能特点•接口密度高•支持虚拟防火墙•支持IP／MAC地址对自动探测和唯一性检查•支持3G接入不可信区域提供灵活的安全区域隔离功能，按区域进行重点安全防护。所有逻辑接口都可以自由的划分在不同的安全区域中，包括子接口、隧道接口、物理接口等。支持安全区域自定义，满足更复杂的组网要求。安全域配置•安全域分为trust、untrust、DMZ,trust域优先级最高，DMZ其次，untrust优先级最低默认情况下，优先级高的能访问优先级低的。•如果优先级相同或者优先级低的域访问高的域，需要配置包过滤策略，允许通过。安全域优先级的配置•必须将相应接口加入安全域，（当接口属于某个VLAN时，应加入VLAN接口）•将内网接口加入trust信任域，将外网口加入untrust非信任域，将内网映射到外网的服务器加入DMZ区域。基本配置---包过滤策略•配置包过滤策略，禁止Internet访问内网。