1、網神防火墻產品應用培訓講師：郭辰防火墻的多項功能路由、交換攻擊防護日志記錄冗余設計 訪問控制虛擬專網動態、靜態路由、VLAN、NAT等SYN-FLOOD、PING OF DEATH等結合SGM進行必要的事件、問題記錄VRRP、STP、配置及狀態同步IPSec-VPN、SSL-VPN、PPTP-VPN安全規則、身份認證等你必須要知道防火墻的幾點錯誤的操作或不當的配置，容易引發災難性的網絡后果。（如禁用網口、刪除IP、相關安全規則）對不經過自身的網絡數據無法控制，由其是內部網絡之間。典型典型邊邊界防界防護設備護設備策略配置相策略配置相對復雜對復雜、專業專業1、工作中防火墻更多的是針對傳輸層及以下協

2、議進行控制2、數據包的深層分析嚴重影響性能。L24 過濾設備過濾設備防火墻證書安裝雙擊防火墻證書后點擊下一步防火墻證書安裝不用更改路徑，使用默認路徑即可防火墻證書安裝在密碼一欄中輸入密鑰：123456防火墻證書安裝按照默認選擇即可，不用更改，點擊下一步，最終提示導入成功防火墻網頁登陸初始配置時，瀏覽器中輸入5:8889回車進入證書選擇由于管理主機中可能存在其他的證書，所以在選擇時一定要注意選擇名為SecGateAdmin的證書防火墻網頁登陸此問題忽略，點擊繼續瀏覽此網站。防火墻網頁登陸此處在初始配置時，賬號為admin不用更改，口令為admin123首頁信息-

3、設備信息此處為LICENSE到期提醒此處信息可以代替出廠編號進行許可申請防火墻軟件版本信息首頁信息-接口信息此處為接口的實時流量顯示，單位是Kbit每秒當兩個接口綁定透明橋時，成對的接口收發流量對稱首頁信息-系統資源狀態當網絡中網速變慢，或者斷網，查看該三項參數是否正常。CPU、內存利用率是否過高【超過80%以上】首頁信息-在線管理員該出信息能夠提供給我們當前在線的防火墻管理員。并能夠查看其名稱、登陸方式（WEB或者CONSOLE）、登陸地點（IP地址）、登陸時間。防火墻管理配置-管理方式默認只開啟了前三種管理方式，推薦使用SSH作為遠程管理（CLI方式、加密，所以較為安全）防火墻管理配置-管

4、理主機默認管理地址為4為了方便管理與配置，如果用戶對此安全需求不高的話，可以將此項勾選。這樣只要網絡可達并安裝證書、且網絡接口開啟可以管理，就都可以管理防火墻了防火墻管理配置-管理員賬號為了方便管理，此處同樣可以勾選。默認情況下通一賬號只能1個人登錄在添加賬號時可以按照：配置管理員、策略管理員、日志審計員進行權限分配防火墻管理配置-集中管理注意啟用集中管理服務器IP開啟后防火墻閾值匹配上就會發出蜂鳴聲音報警SNMP參數設定，V2支持V2C防火墻系統配置-導入導出加密后導出是亂碼，可以對配置進行保護導入備份配置后會要求重啟后生效配置恢出廠，許可會保留防火墻系統配置-升級許可此

5、處為軟件版本升級，升級時盡量拔掉防火墻業務線纜，只留下管理線路許可打鉤、授權、終止日期正確才表明該功能可用此處可以軟重啟防火墻系統配置-日志服務器填寫好日志服務器IP、日志級別選擇全部即可防火墻系統配置-系統時間養成良好的配置習慣，將防火墻的時間校正。可以通過與管理PC手動同步或者使用NTP進行自動同步防火墻網絡配置-網口聯動如果兩個接口綁定為一個聯動組，則聯動族中一個口DOWN掉，聯動組中的其他端口也會DOWN掉。防火墻配置-對象定義防火墻可以定義多種類型的對象，如地址、地址組、時間、服務（端口、協議號等），此處只用服務定義為例防火墻典型部署方案-1（邊界網關）防火墻采用路由模式作為網關設備

6、部署在用戶的公網出口，此種部署方案的注意點：1.如果是替代原有路由設備，一定要了解防火墻是否能夠擁有功能替代性2.如果是替代原有路由設備，原配置無法直接導入，所以可能導致大量的規則配置防火墻典型部署方案-1（邊界網關）1.配置外網口及內網口IP地址如果用于管理，則要注意開啟防火墻典型部署方案-1（邊界網關）2.配置到公網的默認路由，及到內網的靜態路由防火墻典型部署方案-1（邊界網關）3.配置NAT規則防火墻典型部署方案-2（透明模式）防火墻采用透明模式串行部署在用戶的公網出口與核心交換之間，此種部署方案的優勢：1.不更改用戶的網絡拓撲，只需要在物理線纜上做一些改動，整個防火墻在鏈路當中是透明的

7、，就像一根網線。2.配置較為簡單此種部署方案的劣勢：1.增加了一個故障點2.部分安全功能不支持透明模式在這種工作模式下，防火墻不對數據包做任何三層（路由）轉發工作。但是會做二層（交換）轉發工作。防火墻典型部署方案-2（透明模式）1.設置防火墻接口狀態防火墻典型部署方案-2（透明模式）2.設置橋接口如果是透明網橋的話，只支持2個接口綁定一個透明橋防火墻典型部署方案-2（透明模式）3.設置相應的包過濾規則防火墻典型部署方案-3（多出口）多出口，是為了區分內網不同的用戶到達公網選擇不同的ISP的一種部署方案，一般都是為了增加出口帶寬的利用率和優化平衡出口流量。以此圖為例，內網2.0網段的用戶走116

8、的ISP,內網3.0網段的服務器走201的ISP。此種情況無法優選路由（例如選擇最佳路徑）防火墻典型部署方案-3（多出口）1.接口IP設置防火墻典型部署方案-3（多出口）2.配置策略路由，按照指定的源地址進行相應的下一跳路由轉發。單擊“網絡配置”“靜態路由”“策略路由”“添加”。備注：到內網的路由在此就不再演示容易出現的錯誤：如果添加兩條默認目的路由，只有1條生效，因為有metric值防火墻典型部署方案-3（多出口）3.配置NAT安全規則這里兩條規則把不同源地址的數據包轉換成不同的公網IP防火墻典型部署方案-4（鏈路聚合）網絡拓撲描述：核心交換機將3個口配置為Channel，允許所有帶有VLA

9、NTAG的數據通過。防火墻將：ge2和ge3和ge4，3個接口工作模式設置為Channel；ge5和ge6和ge7，3個接口工作模式設置為Channel防火墻典型部署方案-4（鏈路聚合）1.接口模式設置注意：物理接口開啟Channel工作模式后，無法開啟trunk功能，如果需要匯聚組透傳VLAN需要在channel組中配置。防火墻典型部署方案-4（鏈路聚合）2.配置端口聚合組ch0，將接口工作模式為channel接口，添加到ch0組中。單擊“網絡配置”“網絡接口”“channel”“添加”。工作模式：工作模式有兩種，路由模式和混合模式，路由模式表示Channel工作在三層，混合模式表示chan

10、nel工作在二層模式。防火墻典型部署方案-4（鏈路聚合）3.配置Channel組的工作模式IPSec-VPN網關到網關配置網絡說明：防火墻-1：假設為北京節點的防火墻，防火墻-2為上海節點的防火墻。內網用戶-1為北京節點的內網用戶；內網用戶-2為上海節點的內網用戶。IP規劃：北京節點的用戶網段為/24，網關為00上海節點的用戶網段為/24，網關為防火墻-1的GE1口IP：/24;GE2口IP：00/24防火墻-2的GE1口IP：/24;GE2口IP：1

11、/24IPSec-VPN網關到網關配置1.配置接口IPIPSec-VPN網關到網關配置2. VPN的基本配置，單擊“VPN配置”“IPsecVPN”“基本配置”。注意：修改完的預共享密鑰一定要和VPN端點的預共享密鑰保持一致，否則隧道無法正常建立。IPSec-VPN網關到網關配置3.配置VPN端點，該部分實現的主要作用為VPN第一階段的協商過程，單擊“VPN配置”“IPsecVPN”“VPN端點”“添加”。注意：IKE算法組件，預共享密鑰，IP地址或域名三處一定要配置正確，保證IKE算法組件和預共享密鑰兩臺防火墻保持一致，ip地址或域名兩臺防火墻分別配置對端設備的外連接口地址

12、。IPSec-VPN網關到網關配置4.配置VPN隧道，該部分為VPN隧道第二階段建立過程，單擊“VPN配置”“IPsecVPN”“VPN隧道”“添加”。本地網關IP地址：選擇防火墻接口地址（例如：本案例中配置防火墻-1 的ge1口地址）VPN端點：選擇創建好的第一階段VPN端點名稱“beijing”。數據包封裝協議：ESP和AH兩種模式，AH模式下不支持NAT穿越；默認為ESP模式。啟用完美向前保護：勾選后選擇相應的DH組。IPsec算法組件：主要保證數據傳輸安全，數據傳輸的完整性。本地子網：該處填寫本地內網地址（防火墻-1例如：/24）遠程子網：該處填寫對端設備的內網地址

13、（防火墻-2例如：/24）是否添加VPN策略：勾選該功能按鈕時，配置的本地子網和遠程子網會自動添加到VPN策略中與其他廠商設備進行IPSecVPN互連時，PROXY-ID一定要按需求填寫。IPSec-VPN網關到網關配置5.配置VPN策略，單擊“VPN配置”“IPsecVPN”“VPN策略”“添加”。IPSec-VPN網關到網關配置6.配置安全規則，單擊“防火墻”“安全規則”“添加”。注意策略的雙向性IPSec-VPN網關到網關配置第二臺防火墻就不再演示了，配置步驟同上。只需要注意相應的生存時間、算法組件、預共享密鑰要一致在端點、隧道、VPN策略、安全規則配置時 、注意IP

14、地址的更替即可IPSec-VPN名詞解釋IKE密鑰生存期:IKESA的生存時間，一旦超時將刪除一階段SA關聯信息。IPSec密鑰生存期:IPSECSA的生存時間，一旦超時將刪除二階段SA關聯信息。DPD死亡對等體檢:可用于檢測失效IPSEC對等體。DPD周期性的(periodic) 對等體周期性的發送keepalive來確保遠端的對等體設備還是存活的。DPD需要在兩臺對等體上都啟用,否則設備之間不能協商.那么DPD將不會被使用。（不啟用不會主動發現對端失效）NAT穿越: (NAT Traversal),它將一個ESP的數據包封裝在一個UDP的有效載荷中,可以很容易的穿過一臺執行地址轉換設備【不

15、會影響校驗和加密】完美向前保護(PFS):在使用PFS之前，IPSEC第二階段的密鑰是從第一階段的密鑰導出的，使用PFS，使IPSEC的兩個階段的密鑰是獨立的。所以采用PFS來提高安全性。NAT Keepalive:如果數據SA空閑了一段時間的話,地址轉換設備中的轉換表項可能會過期,導致通過SA的后續數據包失敗,為了解決這個問題, 增加NATkeepalives特性,該特性讓路由器周期性的給遠程對等體設備發送一個未加密的UDP數據包,這將導致轉換設備復位它的地址轉換表中的某個條目的空閑計時器IPSec-VPN快速排錯1.檢查網絡通斷性，是否能夠PING對端地址。2.是否在網路鏈路之間有阻止IK

16、E（UDP500）NAT-T(UDP-4500)的安全策略，在NAT-T轉換的設備上是否設置了地址映射3.兩端的端點和隧道是否是生效狀態。4.DPD設置不會影響隧道的建立5.兩端加密、生存期、PSK等參數是否一致6.和其他廠商設備互聯時，隧道一定按照要求設置本段和對端proxy-id7.隧道起來了，但是業務不通，檢查防火墻VPN策略及相應安全規則是否設定，檢查終端防火墻是否開啟阻擋了ICMP入站數據包防火墻HA配置-VRRP-主備網絡描述：主墻（master）ge1：21/24 ge2：/24 ge3：/24備墻（backup）ge1：1

17、22/24 ge2：/24 ge3：/24配置注意事項：1：兩臺做雙機的防火墻硬件版本和軟件版本保持一致。2：兩臺防火墻使用的接口必須保持一致。3：主墻和備墻的ge1口VRID必須保持一致；ge2口VRID必須保持一致。4：主墻的優先級要高于備墻的優先級。5：主墻和備墻基本配置完成后，先保存配置，然后再連接HA接口同步配置。6：主墻的優先級一定要設置:高于備墻的優先級。7：（主-備）模式中只能是主墻配置主控節點，備墻無需勾選主控節點。8：無需添加安全規則即可完成HA協商。防火墻HA配置-VRRP-主備配置思路第一步：定義主防火墻的名稱，將名

18、稱定義為：Secgate3600-A。第二步：配置防火墻使用的接口IP地址。第三步：配置HA基礎配置，勾選主控節點，同步配置，同步狀態。第四步：配置VRRP實例，定義主墻兩個接口的VRID。第五步：配置VRRP虛擬地址。第六步：配置VRRP關聯，將兩個實例添加到一個關聯中。第七步：定義從墻防火墻名稱，將名稱定義為：Secgate3600-B.第九步：配置備墻接口IP。第十步：配置備墻的HA基礎配置。防火墻HA配置-VRRP-主備配置名稱、方便日后區分設備設置IP地址防火墻HA配置-VRRP-主備配置A墻的HA模塊是否為控制節點：勾選為控制節點的設備（主墻）會主動向HA另外一個設備（備墻）同步配

19、置和狀態。是否啟用透明模式備份網口：該功能和HA沒有關聯。是否為非搶占模式：勾選搶占模式的防火墻（主墻），當發生系統故障后會變為備墻，恢復正常后會繼續為主墻，如果不勾選默認為搶占模式。同時我們要注意的是，并不是所有防火墻配置都會被同步防火墻HA配置-VRRP-主備配置A墻VRRP實例配置VRRP實例的目的是對VRID號相同的實例會定時同步接口狀態，當主墻發生鏈路故障時，VRID號相同的備墻會接替主墻繼續工作。注意：定義主墻和備墻的實例名稱可以不一致，但是必須保證定義的兩個VRR實例的VRID主墻和備墻要保持一致。防火墻HA配置-VRRP-主備配置A墻虛地址配置A墻關聯要注意優先級、狀態、成員三

20、項參數防火墻HA配置-VRRP-主備配置B墻相關功能注意:虛擬IP可以通過HA同步過來,實地址需要自己手工配置防火墻HA配置-VRRP-主備注意:此處B墻為非主控節點。配置B墻相關功能配置B墻的關聯注意:把50改大一些，改到100。B墻的優先級越高，實際權重越低防火墻HA配置-VRRP-主備驗證配置，驗證方法：通過拔掉主墻的網線來模擬網絡故障進行相應的切換，網線斷掉后原來的主墻狀態由master切換為backup;原有的備墻backup狀態變成master。防火墻HA配置-透明雙活配置注意事項：1：兩臺做雙機的防火墻硬件版本和軟件版本保持一致。2：兩臺防火墻使用的接口必須保持一致。3：主墻和備墻基本配置完成后，先保存配置，然后再連接HA接口同步配置。4：（主-備）模式中只能是主墻配置主控節點，備墻無需勾選主控節點。5：無需添加安全規則即可完成HA協商。防火墻HA配置-透明雙活配置思路、步驟主墻-A第一步：定義防火墻名稱，方便區分設備。第二步：配置接口模式，將業務接口的工作模式修改為混合模式，HA接口修改為路由模式。第三步：配置透明橋，將GE5口和GE6口綁定為透明橋。第四步：配置HA接口，配置HA接口的IP地址。第五步：配置HA基本信息，同步配置，同步狀態，是否為主控節點。備墻-B第一步：定義防火墻名稱，方便