防火墙是现在园区网络部署量做多的安全设备,可以说没有之一。部署方式有串行和旁挂,可以工作在透明(虚拟网线)和路由模式,也可以分为单机运行和双机热备。本文就以最简单的单机透明部署模式介绍,从开箱到上机架运行,只需要几个简单的涉及即可。不仅仅是深信服防火墙,奇安信、安恒、绿盟、启明星辰等防火墙配置步骤类似。
一、接入防火墙管理口
深信服防火墙有独立的一个MANAGE管理口,默认IP是10.251.251.251/24,默认账号密码是admin/admin。电脑配置到相同网段即可访问,这个IP不要去更改,忘记IP的时候可以通过这个IP进入WEB界面。我这边是用模拟器运行的,所以管理地址改过了。
二、导入授权
硬件没有授权就是废铁,值钱的是软件,例如华为USG6000某些系列防火墙,你不导入授权,连基础的数据转发都不给你,排查半天故障才发现是授权问题,你说气人不气人。
找到系统-授权管理,导出设备信息,按提示进入https://license.sangfor.com.cn。注册后按提示申请授权。
三、区域
学过华为数通防火墙的课程的同学应该都不陌生,华为防火墙默认由四个区域,分别是LOCAL-TRUST-DMZ-UNTRUST,接口不放进区域里是不会转发数据的。所以,我们首先要创建区域,区域名字可以是自定义,也可以用自带的,一般我都是自己创建。ETH1属于WAN,ETH2属于LAN。区域也分二层区域和三层区域,和接口的类型一样。需要对应上。
四、接口配置
透明部署有两种方式,一种是透明桥,一种是虚拟网线。透明桥你就简单把防火墙当做带ACL功能的交换机,是通过MAC地址寻址的。而虚拟网线更简单方便,就是两个网口逻辑虚拟成一对口,相当于直通头,数据只会由这个虚拟口进出,没其他通道,不涉及VLAN和MAC寻址。需要根据你当前网络拓扑去选择接口类型。并将接口放进区域
五、路由
本文采用的透明模式部署,数据都是经过桥口或者虚拟网线转发,不涉及数据的路由,所以,不配置路由也没关系,但是如果是三层模式部署,就必须要配置了。
六、应用控制策略
防火墙是安全设备,干的就是安全的活,默认的策略就是拒绝所有数据通过防火墙,有需要你再添加策略,有目的性去放行IP,达到访问控制的效果。在策列-应用控制策略里添加,默认有一台策略是ANY-ANY,DENY,代表任意区域任意IP任意协议都拒绝。添加一条全通策略,暂时让防火墙放通,等调试完再细化策略。
记得勾选日志记录,故障的时候方便排查。
经过上述几个步骤,防火墙已经可以正常使用的了。
七、安全策略
现在的防火墙叫NGAF,中文名是下一代防火墙,和以前的包过滤,状态检测,UTM防火墙不同的地方在于,除了检测数据包的五元组之外,还能检测到应用层数据包里携带的危险数据,使得防火墙带病毒查杀和IPS的部分功能,实现一墙多用。在策略-安全防护策略里添加
配置后就可以实现安全功能的检测。
八、日志查询
当设备发生故障或者被策略拦截,数据异常时可以在此查日志是被哪个功能拦截了。根据条件去查需要的日志。并可以导出CSV表格方便筛查。
以上就是透明部署的防火墙上线了,其实挺简单的,就是策略和安全配置功能需要根据需要慢慢调优。路由模式会稍微麻烦点,也不难,路由模式有防火墙的全部功能,可以做NAT IPSec等配置。
微信扫一扫,打赏作者吧~本文链接:https://www.jingber.cn/post/3897.html 转载需授权!
