address-pool out hash-mapping on • ip route-static 0.0.0.0 0 gateway 211.10.0.2 • ip route-static 1.2.0.0 16 gateway 6.0.0.2
配置说明： 1：定义服务 object service ftp protocol tcp sport port-range 1 65535 dport port-range 21 21
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例 问题处理及日常维护
典型部署方式
39
部署网络防火墙策略十四条守则
1. 计算机没有大脑。所以，当防火墙的行为和你的要求不一致时， 请检查你的防火墙配置。
2. 只允许你想要允许的客户、源地址、目的地和协议。仔细的检 查你的每一条规则，看规则的元素是否和你所需要的一致。
37
防火墙策略注意事项
• 不管防火墙采用什么样的工作模式，必须 进行规则的设定。
• 注意策略的方向性，谁去访问谁。 • 策略是从上到下顺序匹配执行。 • 掩码的设置
– IP/255.255.255.255代表的是唯一的一台主机 – IP/255.255.255.0代表的是一个子网内的主机
• 源目的IP和服务中的any代表的是 all workstation 和all protocol
10.防火墙的每条访问规则都是独立的，执行每条访问规则时不会受 到其他访问规则的影响。
部署网络防火墙策略十四条守则
11.永远也不要允许任何网络访问防火墙本机的所有协议。内部网 络也是不可信的。
12.无论作为访问规则中的目的还是源，最好使用IP地址。 13.请不要忘了，防火墙策略的最后还有一条DENY 4 ALL。 14.最后，请记住，防火墙策略的测试是必需的。
3. 拒绝的规则一定要放在允许的规则前面。 4. 当需要使用拒绝时，显式拒绝是首要考虑的方式。 5. 在不影响防火墙策略执行效果的情况下，请将匹配度更高的规
则放在前面。 6. 在不影响防火墙策略执行效果的情况下，请将针对所有用户的
规则放在前面。
部署网络防火墙策略十四条守则
7. 尽量简化你的规则，执行一条规则的效率永远比执行两条规则的 效率高。
什么是防火墙？
防火墙能做什么
保障授权合法用户的通信与访问 禁止未经授权的非法通信与访问 记录经过防火墙的通信活动
防火墙不能做什么
不能控制不经防火墙的通信与访问 不能防范来自网络内部的攻击 不能主动防范新的安全威胁
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
9
数据包
协议
数据包连接状态
• 通过netstat –na命令来查看本机的连接
工作模式-透明模式
internet
防火墙透明接入，相当于交换 机，防火墙接口不需要配置ip 地址，同时不用更改周边设备 的路由等信息
工作模式-路由模式
internet
防火墙做内部网络的网关
部署位置－网络边界防护
internet
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
典型应用方案二 详细配置
• 设备一： • object service ftp protocol tcp sport port-
range 1 65535 dport port-range 21 21 • interface Ge0/1/0 • ip address 6.0.0.1 24 • interface Ge0/1/1 • ip address 211.10.0.1 24 • pcp net_1 source-ip net 1.2.0.0 255.255.0.0 • pcp net_2 source-ip net 2.2.0.0 255.255.0.0 • pcp dnat-jl-ftp destination-ip net 211.10.0.1
8. 永远不要在网络中使用Allow 4 ALL规则(Allow all users use all protocols from all networks to all networks)，这样只是让你的防 火墙形同虚设。
9. 如果可以通过配置系统策略来实现，就没有必要再建立自定义规 则（或特征）。
资产
资产
风险
威胁
漏洞
基本的风险
RRIISKSK
风R险ISK
威胁 漏洞
采取措施后剩余的风险
什么是防火墙？
➢ 定义：防火墙（Firewall）是一种用来加强网络之间访问 控制的特殊网络互连设备，是一种非常有效的网络安全模 型。
➢ 核心思想：在不安全的网络环境中构造一个相对安全的子 网环境。
➢ 目的：都是为了在被保护的内部网与不安全的非信任网络 之间设立唯一的通道，以按照事先制定的策略控制信息的 流入和流出，监督和控制使用者的操作。
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------服务对象组
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
网御防火墙配置顺序
配置步骤
• 配置接口 • 配置路由或默认路由 • 定义资源-基于对象的概念，遵循先定义后
引用的原则。 • 配置策略-从上到下依次执行，第一优先匹
配的原则。
案例 防火墙路由模式接入网络
案例二：路由模式
路由模式—概述
• 路由模式的防火墙多部署于网络边界 • 连接多个不同网络
NAT基本配置
255.255.255.255 service-obj ftp • filter default accept • nat pcp net_1 snat interface g0/1/1 address-
pool out hash-mapping on • nat pcp dnat-jl-ftp dnat interface g0/1/1
✓ 一级菜单 ✓ PCP ✓ 基本服务对象 ✓ 服务对象组 ✓ 时间对象 ✓ 静态路由 ✓ 系统监控
主要功能 ------基本服务对象
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
•标记为不可达路由和黑洞路由的流量都 会被丢弃，对不可达的流量将返回ICMP •对于多出口不路可由达后差，错将消根息据所配置的权
值决定流量的分担
主要功能 ------PCP
FlowOpt产品的主要功能
➢ 透明模式和路由模式 ➢ 流量可视 ➢ 基于管道的带宽管理 ➢ 应用识别 ➢ 抗DDOS攻击功能 ➢ 内容过滤功能 ➢ 其他基础网络功能
• 打开IE浏览器输入https://10.1.5.254:8888 • 按照提示选择证书，登录完成。 • 输入用户名和密码。
配置前的信息收集工作
配置前的信息收集工作
• 查看网络环境（防火墙及周边路由器、交 换机和服务器的IP、路由状况等）
• 搞清楚应用需求（协议、服务和端口） • 制定合适的安全策略
2：定义PCP pcp dnat-jl-ftp destination-ip net 211.10.0.1 255.255.255.255 service-obj ftp pcp net_1 source-ip net 1.2.0.0 255.255.0.0 pcp net_2 source-ip net 2.2.0.0 255.255.0.0
B：外网用户通过DNAT访问
内网的服务器
NAT池： IP add 211.10.0.2/24 211.10.0.3/24-211.10.0.254/24
电信
GE 0/1/1 IP add 211.10.0.1/24
GE 0/1/0 IP add 6.0.0.1/24 IP add 6.0.0.2/24
联想网御Power V防火墙 技术培训
1
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
2
什么是防火墙？
安全域的概念
什么是防火墙？
什么是防火墙？
访问控制，过滤未经许可的通信流量
未经许可的流量
合法的流量
风险管理：---就是为了把网络的安全风险降到可接受的程度
部署位置－网络内部区域防护
网络内部区域防护，即多安全域防护。
internet
POWER V防火墙培训大纲
什么是防火墙 防火墙技术原理 防火墙配置案例
问题处理及日常维护
16
防火墙配置案例
• 准备工作-登录防火墙 • 配置前的信息收集 • 网御防火墙的配置顺序 • 防火墙路由模式接入案例 • 防火墙策略注意事项
NAT配置步骤：
定义被 添加报 配置 引用的 文待匹 pcp对
地址资 配的包 应的 源（可 分类 NAT策 选） （PCP） 略
查看是 否生效
（会话 表）
SUPER V 典型应用方案
• SUPER V网络出口应用
1：SNAT+DNAT典型应用: A：内网用户通过SNAT+地址池
访问Internet
准备工作 登录防火墙
准备工作
• 配置管理主机的ip地址 • 连接连接主机和防火墙 • 登录防火墙
准备工作-本机配置
• 主要是配置主机的IP地址为 10.1.5.200/255.255.255.0
准备工作-连接防火墙
FE1IP地址：10.1.5.254 网卡IP地址：10.1.5.200