|
下面主要以方正方御防火墙为例对防火墙的安装和配置进行说明。
|
|
|
|
方御防火墙的软件部分主要由管理监控程序(FireControl)、串口配置程序(FCInit)和日志报警程序(LogService)组成。FireControl是方御防火墙的管理程序,其作用是管理、监控、配置防火墙和设置入侵攻击报警策略,进行设备管理和日常监控;FCInit的主要功能是初始化FG防火墙,它通过配置串口来完成初始化工作;LogService的功能是获取日志、提供日志报警信息,在程序的安装过程中,能够自动装载数据和文件,并在系统程序组中生成方御防火墙的程序组。
|
|
|
方御防火墙的硬件名称为FireGate(FG)。其硬件安装步骤如下。
|
|
|
|
|
|
|
|
|
|
|
|
FireControl安装在控制机上,控制机可以是与FireControl网口相连的任意台机器;在FireControl安装程序完毕后,即可在桌面上找到它的快捷方式。
|
|
|
管理员第一次启动FireControl管理程序时,应使用在FCInit中新建实施域时创建的默认账号admin进行登录。登录成功后,为安全起见,建议即刻修改admin账号的密码,以策略管理员身份登录FireControl。策略管理员可自定义防火墙的各种参数,配置个性化的防火墙。防火墙的基本配置包括以下几个方面。
|
|
|
|
别名配置是指为相关网络地址和端口设置别名。别名的设计是为了方便策略管理员的使用。策略管理员可以使用好记的别名代替多个功能端口及子网,使配置不再烦琐。例如,使用别名www代替端口80或8080,别名office代替IP地址为105.118.0.0、子网掩码为255.255.255.0的网段地址,或者把几个离散的端口值和网段地址统一用一个别名进行管理。
|
|
|
别名是FG防火墙中重要的特性,大部分防火墙规则的配置都是通过别名来实现的,策略管理员在配置安全规则时需要先定义好相关的网络地址和端口的别名。
|
|
|
|
设备配置是防火墙自身的网络设置,包括对接口设备的配置和显示防火墙的基本信息。在FG初始化完成,以策略管理员身份登录后,首先需要进行设备配置,用户可以根据自己实际的网络需求在设备配置模块中通过对网络接口的设置实现多种工作模式。
|
|
|
防火墙可以有3种工作模式,即桥模式、路由模式和混杂模式。
|
|
|
(1)桥模式。如果用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,网络间的访问是透明的,所有网口设备将构成一个网桥。
|
|
|
(2)路由模式。这是防火墙的基本工作模式。在路由模式下,防火墙的各个网口设备的IP地址都位于不同的网段。
|
|
|
(3)混杂模式。它指防火墙部分网口在路由模式下工作,部分网口在桥模式下工作。即某些子网之间以路由方式通信,而某些子网之间可以透明通信。
|
|
|
|
FG支持SNMP(简单网络管理协议)。一方面,网络管理工具可以实时获取FG的状态,为其提供相关的系统状态、网络接口状态、IP状态、ARP表状态和SNMP服务状态等信息;另一方面,FG为网络管理平台定期提供有关FG防火墙的信息,如入侵信息、管理信息和系统信息。
|
|
|
|
(1)防火墙位置标识:对系统本地位置信息进行配置。
|
|
|
(2)共同体(Community):用于简单的权限控制,默认为public。
|
|
|
(3)SNMP管理服务器地址:网络管理服务器地址。
|
|
|
(4)管理服务器Trap服务端口:网络管理服务器Trap接收端口,默认为162。
|
|
|
|
双机热备份是指一台FG为主机,正常情况下处于工作状态,另一台FG作为备用机,平时处于备用状态,并不工作,当工作状态的系统出现故障时,备用状态的防火墙在保证网络正常使用的情况下,可立即自动切换到工作状态,接替主机的角色,承担防火墙的工作。
|
|
|
方御防火墙系统在桥模式下能够在网络中智能地寻找其对等的备份机,并且使备份机自动进入等待状态,而一旦备份机发现主工作机失效,可及时地启动,防止网络中断事故的发生。要保护网络的安全,防火墙本身首先要安全。即使防火墙未被黑客攻击,也会由于元器件老化、异常死机等特殊原因发生故障。一旦发生故障,网络的安全就无法保证。对可靠性要求很高的用户,一定要选用有双机热备份技术的防火墙。FG在路由模式下的双机热备份需要手工设置。
|
|
|
双机热备份连接如下图所示。防火墙的COM 2口需要用串口线连接;两台FG的内部、外部、DMZ区以及控制接口需要分别通过交换机或集线器用网线连接。硬件连接完成后,需要在FG控制端进行设置。只有策略管理员可以设置双机热备功能。双机热备份系统只在桥模式和路由模式下工作,不支持混杂模式及VLAN。
|
|
|
|
|
|
FG防火墙提供基于状态检测技术的包过滤,能够根据数据包的地址、协议和端口进行访问控制。FG防火墙包过滤功能主要是通过制定过滤规则集,对数据包头源地址、目的地址和端口号、协议类型等标志进行检查,以判定是否允许通过。对于满足过滤规则的数据包,可以选择放过或者丢弃,不满足规则的包则被丢弃。包过滤规则采用按顺序匹配的方式,即首先匹配前面的规则,若匹配则不再向下执行,因此一定要注意规则设置的顺序问题。
|
|
|
防火墙的规则配置是面向网口设备的,每个网口上的规则是指:每个接口设备接收到的数据包要经过这些规则的过滤,此处的接口包括物理接口设备和VLAN设备。每条规则详细描述了源/目的地址、目的端口、协议、数据流向、状态检测和策略等信息。
|
|
|
策略包括4种,即禁止(DROP)、允许(ACCEPT)、用户认证(AUTH)和自动封禁(AUTO)。
|
|
|
|
|
.用户认证:对于分配了公网IP的内部用户,如果出于安全性考虑,管理员希望用户必须通过认证才能访问因特网,则需要在用户管理模块中选择一种认证方式(内置账号认证或第三方认证),并且在防火墙模块的相应接口设备上(一般是内部网对应的网口)添加一条用户认证规则。
|
|
|
.自动封禁:FG启动入侵检测功能后,需要在防火墙模块相应接口设备(包括物理网口、VLAN设备)上添加一条"自动封禁"规则,才能自动封禁入侵IP。FG的每个网口都可以自动封禁。一般情况下,要设置入侵检测功能的自动封禁,应选择物理网口进行监听。
|
|
|