02.neteye firewall 5200_接口和安全域

3Sept.2008©NEUSOFTSECRET接口、安全域网络安全产品营销中心东软集团股份有限公司Copyright2008ByNeusoftGroup.Allrightsreserved3Sept.2008NEUSOFTSECRET接口•NetEyeFW5200防火墙上的接口是用来接收和发送数据包的，数据包可以通过接口在同一安全域内或不同安全域间进行传输。•在NetEyeFW5200中，接口有两种存在形式：–物理接口–虚拟接口3Sept.2008NEUSOFTSECRET接口（续）•根据NetEyeFW5200的数据交换与路由转发原则，NetEyeFW5200上的接口可以工作在不同的网络层次，从而将接口划分为如下两种：–二层接口–三层接口3Sept.2008NEUSOFTSECRET二层接口•二层接口是基于数据链路层的数据转发接口，只完成交换功能，不进行三层路由。•二层接口只识别MAC地址。•在NetEyeFW5200的初始状态下，所有物理接口都是二层接口。3Sept.2008NEUSOFTSECRET二层接口（续）•在NetEyeFW5200上，二层接口有Access和Trunk两种高级设置，缺省为Access设置。•在Access设置下二层接口只能被划分到一个VLAN中。•在Trunk设置下二层接口支持802.1Q协议，可同时被划分到多个VLAN中。•二层接口包括：–二层物理接口–二层以太网通道3Sept.2008NEUSOFTSECRET二层接口配置•以管理员的身份登录防火墙，选择“系统”“配置”“网络配置”“接口”“二层接口”，进入二层接口页面。如下图所示：3Sept.2008NEUSOFTSECRET二层接口配置（续）•编辑二层接口：在“二层接口”页面中点击二层接口的接口名，进入编辑二层接口页面。如下图所示：接口属于的以太网通道接口的工作类型接口的注释信息3Sept.2008NEUSOFTSECRET以太网通道•以太网通道是把两个或多个接口绑定在一起作为一个接口来用，以太网通道的传输速率是通道中所有接口的传输速率总和。•以太网通道的主要作用有两个：–增加带宽：在网络带宽不足的情况下可以把几个端口的带宽聚合起来，形成一个高速通道；–端口冗余：在某一个端口出故障时，网络的流量能转到其它的端口上进行传输，充分地保证了网络传输的可靠性。3Sept.2008NEUSOFTSECRET二层以太网通道配置•创建以太网通道：在“二层接口”页面中的“添加以太网通道”区域中创建以太网通道。如下图所示：3Sept.2008NEUSOFTSECRET二层以太网通道配置（续）•查看以太网通道：在“二层接口”页面中查看创建的结果。如下图所示：新创建的结果删除选项3Sept.2008NEUSOFTSECRET二层以太网通道配置（续）•编辑以太网通道：在“二层接口”页面中点击以太网通道的名称，进入编辑二层Channel页面。如下图所示：3Sept.2008NEUSOFTSECRET三层接口•三层接口是指工作在网络层的接口，接口之间的数据按照三层路由的方式进行传输。3Sept.2008NEUSOFTSECRET三层接口（续）•三层接口包括：–三层物理接口–VLAN接口–三层以太网通道–三层共享接口–HA接口–隧道接口3Sept.2008NEUSOFTSECRET三层物理接口配置•以管理员的身份登录防火墙，选择“系统”“配置”“接口”“二层接口”，进入“二层接口”页面。如下图所示：3Sept.2008NEUSOFTSECRET三层物理接口配置（续）•编辑二层接口：在“二层接口”页面中点击eth3，进入编辑“二层接口”页面。在该页面的“配置”区域中，点击“模式”下的“三层”，将该二层接口设置为三层接口。3Sept.2008NEUSOFTSECRET三层物理接口配置（续）•以管理员的身份登录防火墙，选择“系统”“配置”“接口”“三层接口”，进入“三层接口”页面。如下图所示：3Sept.2008NEUSOFTSECRET三层物理接口配置（续）•编辑三层物理接口：在“三层接口”页面，点击eth3进入编辑“三层接口”页面，如下图所示：3Sept.2008NEUSOFTSECRETVLAN接口•VLAN是逻辑上划分的局域网络，可以将二层接口划分到VLAN中。在NetEyeFW5200中，同一个VLAN内的成员通过二层交换模式直接通信，不同VLAN之间的成员则通过三层路由模式通信，也就是将VLAN本身作为一个三层接口，通过配置IP地址相互访问。3Sept.2008NEUSOFTSECRETVLAN接口配置•创建VLAN：在“三层接口”页面中的“添加VLAN”区域中创建VLAN。如下图所示：3Sept.2008NEUSOFTSECRETVLAN接口配置（续）•查看VLAN：在“三层接口”页面中查看创建的结果。如下图所示：新建的三层接口删除选项3Sept.2008NEUSOFTSECRETVLAN接口配置（续）•编辑VLAN：在“三层接口”页面中点击三层接口的名称，进入编辑VLAN页面。如下图所示：3Sept.2008NEUSOFTSECRET三层以太网通道•可以将二层以太网通道设置成三层模式，使其成为三层以太网通道，三层以太网通道具备了三层接口的功能。3Sept.2008NEUSOFTSECRET三层以太网通道配置•设置三层以太网通道：在“二层接口”页面中点击以太网通道的名称，进入编辑二层Channel页面。在该页面“工作状态”区域内的“模式”下点击“三层”。如下图所示：3Sept.2008NEUSOFTSECRET三层以太网通道的配置（续）•编辑三层以太网通道：在“三层接口”页面中的“三层接口”区域，如下图所示：3Sept.2008NEUSOFTSECRET三层以太网通道的配置（续）•点击以太网通道名称，进入编辑“三层接口”页面。如下图所示：3Sept.2008NEUSOFTSECRETHA接口•工作在HA模式下的物理接口称为HA接口。HA模式是指NetEyeFW5200启用VFRP协议时，物理接口所设置的一种工作模式。•HA接口是一个专用的物理接口，某一物理接口一旦被设置为HA接口后，只能用作两台启用了VFRP协议的NetEyeFW5200之间进行通信。3Sept.2008NEUSOFTSECRETTunnel接口•VPN是一种隧道封装技术，利用统一的路由和安全控制体系，对通过VPN的数据进行转发和安全控制。•Tunnel接口是指将VPN隧道接口化，虚拟为一种三层接口。可以将Tunnel接口划分到某个安全域中，为其配置IP地址和掩码长度。3Sept.2008NEUSOFTSECRET安全域•在NetEyeFW5200上可以配置多个安全域，在同一个安全域内或不同安全域之间配置不同的安全策略，有目的的进行网络间的访问控制，从而能够提高网络安全等级，避免重复创建相同的安全策略。安全域一般可根据网络业务、安全特性、物理拓扑等元素进行划分。不同安全域之间是相互独立的，只有通过配置安全策略才能相互访问。•NetEyeFW5200中的安全域是由用户创建的，未经创建，系统内是不存在安全域的。3Sept.2008NEUSOFTSECRET安全域（续）•如果某个安全域没有被用户配置的策略所引用，用户可以删除此安全域；如果安全域被用户配置的策略所引用，系统提示不能删除此安全域。3Sept.2008NEUSOFTSECRET安全域（续）•用户配置的策略包括：–IP包过滤策略；–非IP包过滤策略；–地址绑定策略；–多播策略；–攻击防御策略；–VPN策略。3Sept.2008NEUSOFTSECRET安全域（续）•为了便于安全策略的实施，NetEyeFW5200包括两种类型的安全域：–基于二层接口的安全域：即安全域内包含的接口为二层接口；–基于三层接口的安全域：即安全域内包含的接口为三层接口。3Sept.2008NEUSOFTSECRET基于二层接口安全域配置•以管理员的身份登录防火墙，选择“系统”“配置”“安全策略”“安全域”，进入“安全域”页面。如下图所示:3Sept.2008NEUSOFTSECRET基于二层接口安全域配置（续）•创建安全域：在“安全域”页面中的“添加安全域”区域中创建安全域。如下图所示：3Sept.2008NEUSOFTSECRET基于二层接口安全域配置（续）•查看创建结果：在“安全域”页面中查看创建的结果。如下图所示：新创建的安全域删除选项3Sept.2008NEUSOFTSECRET基于二层接口安全域配置（续）•编辑基于二层接口的安全域：在“安全域”页面中点击安全域的名称，进入编辑页面。如下图所示：3Sept.2008NEUSOFTSECRET基于三层接口安全域配置•编辑基于三层接口的安全域：在“安全域”页面中点击安全域的名称，进入编辑页面。如下图所示：回顾•在NetEyeFW5200中，接口有两种存在形式：物理接口和虚拟接口。•NetEyeFW5200上的接口按工作的网络层次不同，被划分为二层接口和三层接口。•在NetEyeFW5200上可以配置多个安全域，在安全域内或者安全域间可以配置不同的安全策略。