防火墙怎么配置远程管理,防火墙远程端口开放方

生活常识 2023-03-08 17:15www.188915.com生活常识

如何配置防火墙远程管理(防火墙远程端口打开方式)您好!好了,大家再来更新一下内容。过来搬小板凳敲黑板。

防火墙是内部网和外部网之间的屏障,它根据系统管理员预先定义的规则控制数据包的进出。它是防火墙系统的第一道防线,作用是防止非法用户进入。

本期我们一起来一下防火墙的配置,非常全面。以华为为例。

防火墙是在网络之间实施访问控制策略的一个系统或一组系统。防火墙的实际方式不同,但原则上可以认为防火墙是一对机制一个机制是阻挡传输流,另一个机制是允许传输流通过。一些防火墙侧重于阻止流量,而另一些则侧重于允许流量。也许关于防火墙最重要的概念是它实现了一个访问控制策略。如果你不知道你需要允许或拒绝什么样的访问,你可以让其他人或一些产品根据他们认为应该做的来配置防火墙,然后他们会为你的组织制定一个整体的访问策略。

有些防火墙只允许电子邮件通过,从而保护网络免受除电子邮件服务攻击之外的任何攻击。其他防火墙提供不太严格的保护措施,并阻止一些已知有问题的服务。,防火墙被配置为防止来自“外部”世界的未经授权的交互式登录。这大大有助于防止破坏者登录到您网络中的计算机。一些更精细的防火墙可以阻止来自外部的传输流进入内部,但允许内部用户自由地与外部通信。如果你切断防火墙,它可以保护你免受网络上的任何攻击。防火墙的另一个非常重要的特性是,它可以提供一个单独的“阻塞点”,在这个点上可以设置安全和审计检查。与计算机系统被一些人利用调制解调器拨号攻击的情况不同,防火墙可以发挥有效的“电话窃听”和跟踪工具的作用。防火墙提供了重要的记录和审计功能;它们通常可以为管理员提供情况摘要,提供有关通过防火墙的传输类型和数量以及有多少次尝试闯入防火墙的信息。

没有防火墙,防火墙无法防止攻击。许多连接到互联网的企业非常担心公司特定的数据通过访问路径泄漏。不幸的是,对于这些人来说,磁带可以有效地泄露数据。许多组织的管理层都非常害怕Inter访问,他们对于如何保护通过调制解调器的拨号访问没有一致的政策。当你住在木头房子里,安装六英尺的钢门,会被认为是愚蠢的。,许多组织购买了昂贵的防火墙,却忽略了网络的其他后门。要使防火墙工作,防火墙必须是整个组织的安全架构的一个组成部分。防火墙策略必须切合实际,能够反映整个网络的安全水平。比如,一个有超级机密或机密数据的网站,根本不需要防火墙,它根本不应该连接到互联网,或者说,应该把有真正机密数据的系统与企业网络的其余部分隔离开来。防火墙无法真正保护你的另一个危险是你网络中的叛徒或白痴。虽然工业间谍可以通过防火墙发送信息,但他更可能使用电话、传真机或软盘来发送信息。软盘比防火墙更有可能成为泄露组织秘密的媒介!防火墙也不能保护你免受愚蠢行为的影响。通过电话泄露敏感信息的用户是社会工程的良好目标。如果攻击者能够找到一个“对他有帮助”的内部员工,通过诱骗他进入调制解调器池,攻击者就有可能完全绕过防火墙,闯入你的网络。

防火墙不能有效地阻止像病毒这样的东西的入侵。网络上传输二进制文件的编码方式太多,不同的结构和病毒太多,不可能把所有的病毒都找出来。换句话说,防火墙不可能给用户安全意识。简而言之,防火墙无法阻止数据驱动的攻击即通过向内部主机邮寄或复制某些东西,然后它在内部主机中运行的攻击。在过去,对不同版本的mailer和ghostscript以及免费PostScript阅读器都有过这样的攻击。非常担心病毒的组织应该在整个组织中采取病毒控制措施。不要试图将病毒挡在防火墙之外。相反,确保每个易受攻击的桌面系统都安装了病毒扫描软件,该软件可以在计算机启动后立即扫描病毒。使用病毒扫描软件来保护您的网络将防止通过软盘,调制解调器和互联网传播的病毒的攻击。试图将病毒挡在防火墙之外,只能阻止来自互联网的病毒,但大多数病毒都是通过软盘感染的。,越来越多的防火墙制造商正在提供“病毒检测”防火墙。这种防火墙只对交换Windos-on-Intel执行程序和恶意宏应用程序文档的无经验用户有用。不要指望这个特性能对攻击起到任何防范作用。

在这位负责防火墙设计、制定项目方案、实施或监督安装的幸运儿面前,还有很多基础的设计问题等着他去解决。,最重要的问题是,它应该反映出您的公司或组织打算如何运行这个系统的策略安装的防火墙是为了明确拒绝除了连接到网络所必需的服务之外的所有服务,或者安装的防火墙是为了以一种非威胁性的方式为'排队'访问提供一种测量和审计方法。在这些选项中

存在着某种程度的偏执狂;防火墙的最终功能可能将是行政上的结果,而非工程上的决策。 第二个问题是你需要何种程度的监视、冗余度以及控制水平?通过解决第一个问题,确定了可接受的风险水平(例如你的偏执到何种程度)后,你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说,你开始时先列出你的总体目标,然后把需求分析与风险评估结合在一起,挑出与风险始终对立的需求,加入到计划完成的工作的清单中。 第三个问题是财务上的问题。在此,我们只能以模糊的表达方式论述这个问题,,试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如,一个完整的防火墙的高端产品可能价值10万美元,而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱,只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个月,它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好,但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说,在评估防火墙时,重要的是不仅要以防火墙目前的费用来评估它,而且要考虑到像支持服务这类后续费用。 出于实用目的,我们目前谈论的是网络服务提供商提供的路由器与内部网络之间存在的静态传输路由服务,基于这一事实,在技术上,还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现,或通过代理网关和服务在应用层实现。 需要做出的决定是,是否将暴露的简易机放置在外部网络上为Tel、ftp、nes等运行代理服务,或是否设置像过滤器这样的屏蔽路由器,允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点,代理机可以提供更高水平的审计和潜在的安全性,但代价是配置费用的增加,以及可能提供的服务水平的降低(由于代理机需要针对每种需要的服务进行开发)。由来以久的易使性与安全性之间的平衡问题死死地困扰着我们。

目前防火墙主要分为三种,包过滤、应用代理、状态监测

包过滤防火墙现在静态包过滤防护墙市面上已经看不到了,取而代之的是动态包过滤技术的防火墙。

代理防火墙因为一些特殊的报文可以轻松突破包过滤防火墙的保护,比如SYN攻击、ICMP洪水攻击,所以代理服务器作为专门为用户保密或者突破访问权限的数据转发通道应用防火墙出现了。其实是用了一种应用协议分析的新技术。

状态监测防火墙基于动态包过滤发展而来,加入了一种状态监测的模块,近一点发展会话过来功能,会话状态的保留是有时间限制的。

1.防火墙的工作模式

路由模式如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下。

透明模式如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。

混合模式如果华为防火墙既存在工作在路由模式的接口(接口具有IP地址) 又存在工作在透明模式的接口(接口无P地址) 则防火墙工作在混合模式下。

2.华为防火墙的安全区域划分

在学习防护墙之前先要了解关于安全区域的概念,安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查。

华为防火墙默认情况下提供了三个安全区域,分别是Trust、DMZ和Untrust,光从名字看就知道这三个安全区域很有内涵。

Trust区域主要用于连接公司内部网络,优先级为85,安全等级较高。

DMZ区域在防火墙中通常定义为需要对外提供服务的网络,其安全性介于Trust区域和Untrust区域之 间优先级为50,安全等级为中等

Untrust区域通常定义外部网络,优先级功5,安全级别很低,Untrust区域表示不受信任的区域。

Local区域通常定义防火墙本身,优先级为100。防火墙除了转发区域之间的报文之外还需要自身接收或发送流量。

其他区域用户自定义区域,默认最多自定义16个区域,自定义区域没有默认优先级,所以需要手工指定。

防火墙有多种部署模式,每个部署模式适用于不同的应用场景。主要的应用场景分为以下几种

1、部署透明模式

适用于用户不希望改变现有网络规划和配置的场景。透明模式中,防火墙是“不可见的”,不需配置新的IP地址,只利用防火墙做安全控制。

2、部署路由模式

适用于需要防火墙提供路由和NAT功能的场景。路由模式中,防火墙连接不同网段的网络,通常为内部网络和互联网,且防火墙的每一个接口都分配IP地址。

3、部署混合模式

如果防火墙在网络中既有二层接口,又有三层接口,那么防火墙就处于混合模式。

4、部署旁路(Tap)模式

用户希望使用防火墙的监控、统计、入侵防御功能,暂时不将防火墙直连在网络里,可以选用旁路模式。

3.防火墙Inbound和Outbound

入方向(Inbound)数据由低级别的安全区域向高级别的安全区域传输的方向 。出方向(Outbound)数据由高级别的安全区域向低级别的安全区域传输的方向。

1.Tel管理方式及配置

(1)配置初始管理密码

(2)配置防火墙的接口IP地址

(3)打开防火墙的Tel功能

(4)配置防火墙允许远程管理

(5)将防火墙接口GigabitEther0/0/0加入安全区域

(6)将接口加入安全区域

(7)将防火墙配置于间包过滤,以保证网络基本通信正常

(8)配置认证模式及本地用户信息

(9)测试从tel登录防火墙,登录需要修改密码,然后再重新用新密码连接

由于华为防护墙管理口默认地址是192.168.0.1。由于我这里使用的模拟器,我需要把地址改成和我物理机地址同一个网段才行。

通过上图可以看到GE0/0/0是防火墙的管理口。执行如下命令修改IP地址。

[USG6000V1]interface GigabitEther 0/0/0[USG6000V1-GigabitEther0/0/0]ip address 192.168.56.12 24[USG6000V1-GigabitEther0/0/0]然后通过浏览器访问https://192.168.56.12:8443。

(1)让内部的pc1可以ping通外部的主机

查看会话

(2)让外部的主机可以访问dmz中的ftp,http以及ping

1.NAT分类

(1)、NAT No- PAT类似于Cisco的动态转换,只转换源IP地址不转换端口,属于多对多转换。(2)、NAPT(网络地址和端口转换) 类似于Cisco 的PAT转换,NAPT既转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,属于多对多或多对一转换。(3)、出接口地址(Easy-IP)和NAPT— 样,既转换源IP地址又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址,属于多对—转换。(4)、Smart NAT (智能转换)通过预留一个公网地址进行NAPT转换而其他的公网地址用来进行NAT No-PAT转换。(5)、三元组NAT与源IP地址源端口和协议类型有关的—种转换,将源IP地址和源端口转换为固定公网IP地址和端口。

2.NAT配置

(1)NAT No- PAT方式的地址转换

配置网络参数及路由

配置安全策略

配置NAT地址组

配置NAT策略

针对转换后的全局地址(NAT地址组中的地址)配置黑洞路由

(2)出接口地址(easy-ip)方式的地址转换,之前同上,配置NAT策略

3.NAT Server

配置网络参数及路由

配置安全策略

配詈FTP应用层检测(默认已开启)

配置 NAT Server

配置黑洞路由

查看名称为natpolicy的NAT策略

1双机热备配置

模式

(1)热备模式同一时间只有一台防火场转发数据包,其他防火墙不转发数据包,会同步会话表及Server-map表。(2)负载均衡模式同一时间,多台防火墙转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。

接口加入安全区域并配置安全策略

配置VRRP备份组

查看双机设备的状态信息

查看心跳接口状态

防火墙远程管理

防火墙怎么配置远程管理,防火墙远程端口开放方法,转载请注明出处。

Copyright © 2016-2025 www.188915.com 奇秘网 版权所有 Power by