啟明星辰P系列防火墻產(chǎn)品安裝調(diào)試講訴

1、P系列防火墻產(chǎn)品安裝調(diào)試系列防火墻產(chǎn)品安裝調(diào)試啟明星辰網(wǎng)關(guān)本部2014.6目錄目錄12345防火墻基礎(chǔ)功能操作防火墻基礎(chǔ)功能操作防火墻接入模式簡介防火墻接入模式簡介防火墻路由功能配置簡介防火墻路由功能配置簡介防火墻高可用性功能原理及配置簡介防火墻高可用性功能原理及配置簡介入侵防護(hù)，病毒防護(hù)，反垃圾郵件配置簡介入侵防護(hù)，病毒防護(hù)，反垃圾郵件配置簡介第一章第一章 防火墻基礎(chǔ)功能操作防火墻基礎(chǔ)功能操作登陸管理登陸管理日志管理日志管理配置導(dǎo)入導(dǎo)出配置導(dǎo)入導(dǎo)出批處理的使用批處理的使用登陸管理u console口管理 設(shè)置CRT或者超級終端屬性： 設(shè)置serial port連接工具 (e.g. 微軟超級終

2、端) Connect RS-232 波特率9600 , 8 bits, No parity,1 stop bit 如圖：登陸管理u SSH管理和Telnet管理 防火墻默認(rèn)關(guān)閉該功能，需要通過WEB管理方式或者命令行方式手動開啟。 一旦開啟以后，該登陸方式適用于防火墻上的適用于防火墻上的所有的三層接口所有的三層接口一、WEB管理方式開啟管理方式開啟系統(tǒng)管理系統(tǒng)管理管理員設(shè)置管理員設(shè)置設(shè)置設(shè)置開啟開啟SSHSSH或者或者TelnetTelnet二、命令行命令行管理方式開啟管理方式開啟登陸管理u 啟用GUI管理 設(shè)備出廠時默認(rèn)只允許IP地址為00/49、00的PC對

3、防火墻過街GUI管理。 出廠時eth0接口的默認(rèn)IP為54。一、一、WEB方式添加管理主機(jī)方式添加管理主機(jī)系統(tǒng)管理系統(tǒng)管理管理員設(shè)置管理員設(shè)置管理主機(jī)管理主機(jī)二、命令行方式添加管理主機(jī)二、命令行方式添加管理主機(jī)登陸管理u GUI管理 P系統(tǒng)防火墻使用HTTPS方式登陸，使用8889端口。同時需要使用證書認(rèn)證。一、安裝管理員證書一、安裝管理員證書二、登陸防火墻二、登陸防火墻URL：https:/IPv4地址：8889user: administratorpass:bane7766三、特殊情況應(yīng)對三、特殊情況應(yīng)對 當(dāng)遇到?jīng)]有安裝證書，但又需要通過GUI方式管理防火墻時，可以通過在后

4、臺輸入命令（命令可以咨詢（命令可以咨詢400或者專家支或者專家支持）持） 然后直接通過8888接口管理防火墻，但這種方式在重啟設(shè)備后會失效 URL：https:/IPv4地址：8888日志管理u 日志查看 防火墻日志包括系統(tǒng)日志及功能模塊日志。系統(tǒng)日志是防火墻自身產(chǎn)生的信息，如管理員管理日志和設(shè)備狀態(tài)日志（如接口up/down）；功能模塊日志是防火墻功能模塊啟用后產(chǎn)生的信息，如HA日志、IPS日志、包過濾日志，這類日志需要防火墻對應(yīng)的功能模塊啟動日志記錄功能。日志日志日志訪問日志訪問日志查看日志查看日志管理u 日志服務(wù)器配置 由于防火墻本身的存儲空間有限，最多只能提供10M的大小空間（10M空

5、間用完后可以選擇停止存儲日志或者覆蓋日志）空間用完后可以選擇停止存儲日志或者覆蓋日志），當(dāng)需要保存更多的日志信息時，需要將防火墻連接日志服務(wù)器，將日志傳輸給日志服務(wù)器（如syslog服務(wù)器或者安管服務(wù)器）。日志日志日志配置日志配置日志服務(wù)器日志服務(wù)器配置導(dǎo)入導(dǎo)出u 配置導(dǎo)出 在導(dǎo)出配置前，對防火墻的配置進(jìn)行保存，即可以通過WEB頁面保存，也可以通過newconfig savenewconfig save保存，如圖：配置導(dǎo)入導(dǎo)出u 配置導(dǎo)出系統(tǒng)管理系統(tǒng)管理維護(hù)維護(hù)備份與恢復(fù)備份與恢復(fù)導(dǎo)出全部配置導(dǎo)出全部配置配置導(dǎo)入導(dǎo)出u 配置導(dǎo)入 配置導(dǎo)入功能在很多場景下可以為操作提供便捷，比如更換或者升級設(shè)備

6、后，可以很快的使新設(shè)備恢復(fù)配置。系統(tǒng)管理系統(tǒng)管理維護(hù)維護(hù)備份與恢復(fù)備份與恢復(fù)導(dǎo)入全部配置導(dǎo)入全部配置注意：注意：導(dǎo)入配置后需要重啟網(wǎng)關(guān)，配置才可以生效。導(dǎo)入配置后需要重啟網(wǎng)關(guān)，配置才可以生效。版本的配置導(dǎo)入版本的配置導(dǎo)入時，需要為防火墻打時，需要為防火墻打上前上前1414個升級包，否則只能導(dǎo)入關(guān)鍵配置（個升級包，否則只能導(dǎo)入關(guān)鍵配置（NATNAT配置無法導(dǎo)入）配置無法導(dǎo)入）批處理的使用 在好多情況下，我們的配置工作都是重復(fù)操作過程，如果能將這些操作寫在一個文件下執(zhí)行，那么對我們的執(zhí)行效率將大大提高。第一步：獲取命令行格式第一步：獲取命令行

7、格式系統(tǒng)管理系統(tǒng)管理維護(hù)維護(hù)批處理批處理歷史記錄歷史記錄最新操作對應(yīng)的命令行在歷史記最新操作對應(yīng)的命令行在歷史記錄的最底層顯示錄的最底層顯示批處理的使用第二步：提交批處理命令并執(zhí)行第二步：提交批處理命令并執(zhí)行系統(tǒng)管理系統(tǒng)管理維護(hù)維護(hù)批處理批處理命令批處理命令批處理A、獲取相關(guān)命令行以后，可以對命令行進(jìn)行增量修改（使用excel或者批處理工具）B、將新生成的命令行復(fù)制粘貼到命令批處理文本框內(nèi)，點(diǎn)提交；C、提交完成后，點(diǎn)擊執(zhí)行批處理第二章第二章 防火墻接入模式簡介防火墻接入模式簡介接口設(shè)備相關(guān)介紹接口設(shè)備相關(guān)介紹路由路由&NAT方式接入方式接入透明方式接入透明方式接入冗余方式接入冗余方式接

8、入Trunk方式接入方式接入接口設(shè)備相關(guān)介紹u 物理設(shè)備 對應(yīng)防火墻外觀上的接口，通過eth x來表示。物理設(shè)備可以提供路由模式、透明模式、冗余模式、trunk模式注意：注意：以下介紹的設(shè)備都是代表接口以下介紹的設(shè)備都是代表接口的含義，只是各安全廠商叫法的含義，只是各安全廠商叫法不同不同接口設(shè)備相關(guān)介紹u vlan設(shè)備 邏輯接口，與對應(yīng)的物理接口共享MAC，為數(shù)據(jù)提供doltq封裝，可以提供路由模式和透明模式。配置了vlan設(shè)備后，數(shù)據(jù)在離開防火墻時會被封裝對應(yīng)的vlan ID接口設(shè)備相關(guān)介紹u vlan設(shè)備src:00dst:54vlan 100s

9、rc:0000.0000.0001dst:0000.0000.0002src:00dst:54vlan 100src:0000.0000.0001dst:0000.0000.0002接口設(shè)備相關(guān)介紹u 橋設(shè)備 邏輯接口，可以將多個透明模式的設(shè)備劃到同一個區(qū)域內(nèi)，除了透明模式的物理設(shè)備可以被劃到橋設(shè)備以外，透明的vlan設(shè)備也可以被劃到橋設(shè)備內(nèi)。接口設(shè)備相關(guān)介紹u 別名設(shè)備 邏輯接口，與對應(yīng)的物理設(shè)備共享MAC，相當(dāng)于相當(dāng)于cisco的的secondry IP。目的是給三層設(shè)備接口（包括物理接口和邏輯接口）配置多個IP地址。接口設(shè)備相關(guān)介紹u 冗余設(shè)備

10、 邏輯接口，將多個物理設(shè)備綁定起來，組成一個邏輯接口。冗余的方式有輪循方式、熱備方式及802.3ad（LACP），其中輪循和熱備方式都為靜態(tài)方式，802.3ad為動態(tài)方式。接口設(shè)備相關(guān)介紹u接口引用關(guān)系1、物理設(shè)備可以被所有其它設(shè)備調(diào)用；2、橋接設(shè)備只能被別名設(shè)備調(diào)用；3、冗余設(shè)備可以被橋設(shè)備、別名設(shè)備、撥號設(shè)備、VLAN設(shè)備調(diào)用；4、VLAN設(shè)備可以被別名設(shè)備和橋設(shè)備調(diào)用；5、撥號設(shè)備和別名設(shè)備不能被任何設(shè)備調(diào)用；路由&NAT方式接入C:00eth1：eth2：eth1eth2一、配置防火墻接口模式及一、配置防火

11、墻接口模式及IP路由&NAT方式接入C:00eth1：eth2：eth1eth2二、配置二、配置NAT路由&NAT方式接入C:00eth1：eth2：eth1eth2三、配置安全策略，允許流量通過三、配置安全策略，允許流量通過路由&NAT方式配置完成！透明方式接入C:00brg1： eth1 eth2eth1eth2一、設(shè)置接口工作模式，將一、設(shè)置接口工作模式，將eth1和和eth2劃到劃到b

12、rg1下下透明方式接入C:0000brg1： eth1 eth2eth1eth2二、配置安全策略，放通流量二、配置安全策略，放通流量 透明方式配置完成！冗余方式接入eth1eth2eth1eth2bond1：bond1：一、設(shè)置接口模式一、設(shè)置接口模式冗余方式接入eth1eth2eth1eth2bond1：bond1：二、創(chuàng)建冗余設(shè)備，并為冗余設(shè)備配二、創(chuàng)建冗余設(shè)備，并為冗余設(shè)備配IP冗余方式配置完成！Trunk方式接入vlan 100-200vlan 100-200trunktrunketh1

13、eth2方式一：防火墻的方式一：防火墻的eth1、eth2配置為配置為trunk模式，并將他們劃到同一個透明橋模式，并將他們劃到同一個透明橋內(nèi)內(nèi)Trunk方式接入vlan 100-200vlan 100-200trunktrunketh1eth2方式二：將方式二：將eth1和和eth2劃入透明橋，再放通帶劃入透明橋，再放通帶vlan的流量的流量 防火墻防火墻安全選項(xiàng)安全選項(xiàng)二層協(xié)議包過濾策略二層協(xié)議包過濾策略Trunk方式配置完成！第三章第三章 防火墻路由功能配置簡介防火墻路由功能配置簡介靜態(tài)路由靜態(tài)路由OSPF策略路由策略路由&ISP路由路由靜態(tài)路由u默認(rèn)路由l支持多默認(rèn)路由負(fù)載均衡

14、l支持基于狀態(tài)回包l支持默認(rèn)網(wǎng)關(guān)探測機(jī)制靜態(tài)路由u默認(rèn)路由負(fù)載均衡注釋：這個功能主要適用于內(nèi)網(wǎng)向外網(wǎng)發(fā)起的訪問注釋：這個功能主要適用于內(nèi)網(wǎng)向外網(wǎng)發(fā)起的訪問靜態(tài)路由u默認(rèn)路由基于狀態(tài)回包注釋：這個功能主要適用于外網(wǎng)向內(nèi)網(wǎng)發(fā)起的訪問，原因在于不同運(yùn)營商之間可能存在路由不可達(dá)問題，基于狀態(tài)回包可以將風(fēng)險降到最低。即使回包時能即使回包時能被策略路由匹配，也不會選擇策略路由轉(zhuǎn)發(fā)。被策略路由匹配，也不會選擇策略路由轉(zhuǎn)發(fā)。靜態(tài)路由u默認(rèn)路由網(wǎng)關(guān)探測注釋：默認(rèn)路由網(wǎng)關(guān)探測可以使防火墻以最快的速度感知到故障的鏈路，使對應(yīng)的默認(rèn)路由失效，從而保證多出口網(wǎng)絡(luò)的穩(wěn)定性。探測方式為ICMP和ARP探測。靜態(tài)路由u默認(rèn)路

15、由網(wǎng)關(guān)探測注釋：默認(rèn)路由網(wǎng)關(guān)探測可以使防火墻以最快的速度感知到故障的鏈路，使對應(yīng)的默認(rèn)路由失效，從而保證多出口網(wǎng)絡(luò)的穩(wěn)定性。探測方式為ICMP和ARP探測。靜態(tài)路由u默認(rèn)路由配置路由管理路由管理基本路由基本路由默認(rèn)路由默認(rèn)路由監(jiān)測頻率：防火墻向網(wǎng)關(guān)發(fā)送ICMP或者ARP報文的頻率metric ：相同路由之間區(qū)分優(yōu)先級，越小越優(yōu)先權(quán)重值 ：兩條路由相同且metic也相同的情況下，分擔(dān)流量的比重靜態(tài)路由u靜態(tài)路由路由管理路由管理基本路由基本路由靜態(tài)路由表靜態(tài)路由表OSPFuOSPF介紹 OSPF（開放最短路徑優(yōu)先），像所有 鏈路狀態(tài)協(xié)議一樣，OSPF協(xié)議和距離矢量協(xié)議相比，主要的改善在于它的快速收

16、斂，這使得OSPF協(xié)議可以支持更大型的網(wǎng)絡(luò)。OSPF通過各類LSA信息學(xué)習(xí)全網(wǎng)的路由，然后每臺運(yùn)行OSPF的路由器再根據(jù)SPF算法計算自己去往其它節(jié)點(diǎn)的最短路徑。 防火墻目前使用的OSPF是采用zebra軟件實(shí)現(xiàn)，zebra是一種標(biāo)準(zhǔn)的開源軟件。因此我們的OSPF可以滿足一般企業(yè)網(wǎng)的使用需要，保存的路由條目不受限制，只與各型號設(shè)備的內(nèi)存有關(guān)。 除了支持骨干區(qū)域、普通區(qū)域、stub區(qū)域之外，還支持接口認(rèn)證、區(qū)域認(rèn)證和路由重發(fā)布。同時也支持OSPFv3。注意：注意：防火墻廠商對于防火墻廠商對于OSPF的支持度不的支持度不如路由器廠商，在雙機(jī)情況下不如路由器廠商，在雙機(jī)情況下不建議使用建議使用OSP

17、FOSPFuOSPF配置 此時的防火墻被部署在骨干區(qū)域內(nèi)，充當(dāng)骨干router，需要維護(hù)整個Area 0區(qū)域的LSA。 防火墻需要分別在3個接口上啟用OSPF，因此將/24、/24、/24發(fā)布出去OSPFuOSPF后臺配置一、后臺輸入一、后臺輸入advroute terminal ospf二、通過二、通過cisco路由器的命令行方式進(jìn)行調(diào)試路由器的命令行方式進(jìn)行調(diào)試策略路由&ISP路由u策略路由介紹策略路由介紹 和其它路由協(xié)議一樣，策略路由也需要查找路由表，只不過策略路由的優(yōu)先級比其它路由（靜態(tài)路由、動態(tài)路由）更優(yōu)先。 ISP路由是策略路由的

18、一種，是基于運(yùn)營商維護(hù)的地址段進(jìn)行維護(hù)的。防火墻中各種路由協(xié)議的優(yōu)先級排序如下：ISP路由路由 策略路由策略路由 靜態(tài)路由靜態(tài)路由 動態(tài)路由動態(tài)路由 默認(rèn)路由默認(rèn)路由注釋：只有在防火墻運(yùn)行默認(rèn)路由的基于狀態(tài)只有在防火墻運(yùn)行默認(rèn)路由的基于狀態(tài)回包功能后，策略路由才不會被優(yōu)先匹配回包功能后，策略路由才不會被優(yōu)先匹配策略路由&ISP路由u策略路由介紹策略路由介紹防火墻后臺一共維護(hù)著256張路由表： table 254維護(hù)著一些基礎(chǔ)路由（如靜態(tài)路由、默認(rèn)路由、動態(tài)路由等）； table 1200維護(hù)著策略路由； table 201205 維護(hù)著ISP路由（201代表聯(lián)通、202代表電信、203

19、代表教育網(wǎng)、204代表移動、205代表自定義）策略路由&ISP路由u策略路由配置策略路由配置一、新建高級路由表（定義下一跳）一、新建高級路由表（定義下一跳）路由管理路由管理策略路由策略路由高級路由表高級路由表策略路由&ISP路由u策略路由配置策略路由配置二、新建高級路由策略二、新建高級路由策略路由管理路由管理策略路由策略路由高級路由策略高級路由策略策略路由配置完成！策略路由&ISP路由uISP路由配置路由配置一、添加一、添加ISP地址地址路由管理路由管理ISP路由路由ISP地址地址操作操作更新更新 運(yùn)營商地址可以從互聯(lián)網(wǎng)上下載，同時也可以自己編輯。如果是自己編輯的話則可

20、以先創(chuàng)建一個txt文檔，然后在txt文檔內(nèi)編輯上運(yùn)營商網(wǎng)段，格式如下：//。策略路由&ISP路由uISP路由配置路由配置二、配置二、配置ISP路由表路由表路由管理路由管理ISP路由路由ISP路由表路由表新建新建第四章第四章 防火墻高可用性防火墻高可用性雙機(jī)熱備雙機(jī)熱備會話保護(hù)會話保護(hù)端口聯(lián)動端口聯(lián)動VRRP雙機(jī)熱備u雙機(jī)熱備介紹雙機(jī)熱備介紹防火墻雙機(jī)熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡(luò)更加穩(wěn)定。雙機(jī)熱備的原理是讓兩臺防火墻時刻保持配置一致，會話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡(luò)。主墻和備

21、墻之間通過心跳線連接，用于同步配置、同步會話，以及判斷是否實(shí)施搶占。注意：注意：做做HAHA的兩臺設(shè)備必須保證同的兩臺設(shè)備必須保證同型號且同版本型號且同版本雙機(jī)熱備u雙機(jī)熱備介紹雙機(jī)熱備介紹防火墻雙機(jī)熱備功能（HA），可以提高防火墻的可靠性，保證網(wǎng)絡(luò)更加穩(wěn)定。雙機(jī)熱備的原理是讓兩臺防火墻時刻保持配置一致，會話一致，以便于在緊急情況下備墻可以接管網(wǎng)絡(luò)。主墻和備墻之間通過心跳線連接，用于同步配置、同步會話，以及判斷是否實(shí)施搶占。注意：注意：做做HAHA的兩臺設(shè)備必須保證同的兩臺設(shè)備必須保證同型號且同版本型號且同版本雙機(jī)熱備u雙機(jī)熱備示意圖雙機(jī)熱備示意圖心跳線主備雙機(jī)熱備u雙機(jī)熱備配置雙機(jī)熱備配置第

22、一步：配置主備墻的第一步：配置主備墻的HA網(wǎng)口網(wǎng)口網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理高可用性高可用性HA網(wǎng)口網(wǎng)口雙機(jī)熱備u雙機(jī)熱備配置雙機(jī)熱備配置第二步：配置雙機(jī)熱備配置第二步：配置雙機(jī)熱備配置網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理高可用性高可用性雙機(jī)熱備設(shè)置雙機(jī)熱備設(shè)置HA標(biāo)識符：HA集群的標(biāo)識節(jié) 點(diǎn)：區(qū)分集群內(nèi)的防火墻，越小越優(yōu)先開啟搶占： 開啟該功能之后，當(dāng)主墻故障恢復(fù)，會重新?lián)屨迹俅谓庸芫W(wǎng)絡(luò)；如果該功能未開啟，則直到備墻出現(xiàn)故障，才會接管網(wǎng)絡(luò)探測網(wǎng)口：判斷故障的條件 雙機(jī)熱備u雙機(jī)熱備配置雙機(jī)熱備配置第三步：保存并重啟備墻，連接心跳線第三步：保存并重啟備墻，連接心跳線注意： 備墻在配置完后，需要重啟，并在重啟過程中連接心跳

23、線，否則會出現(xiàn)數(shù)據(jù)庫與linux后臺配置不一致的現(xiàn)象。 因此當(dāng)出現(xiàn)數(shù)據(jù)庫與linux后臺不一置時，應(yīng)當(dāng)考慮是否這一步?jīng)]有進(jìn)行。 成為備墻后，防火墻不能通過WEB進(jìn)行管理，為了保存同步過來的配置，建議從console口通過newconfig save 保存?zhèn)鋲ε渲谩ｋp機(jī)熱備u雙機(jī)熱備配置雙機(jī)熱備配置第四步：同步配置第四步：同步配置 目前，當(dāng)主墻修改配置后，備墻不能自動同步配置，需要通過HA界面手動同步。網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理高可用性高可用性雙機(jī)熱備狀態(tài)雙機(jī)熱備狀態(tài)節(jié)點(diǎn)配置同步節(jié)點(diǎn)配置同步雙機(jī)熱備u雙機(jī)熱備配置雙機(jī)熱備配置第五步：后臺調(diào)試第五步：后臺調(diào)試后臺通過ha show status命令可以查看H

24、A狀態(tài)id ：節(jié)點(diǎn)id號，雙機(jī)熱備配置中的節(jié)點(diǎn)號prio：代表優(yōu)先級，小的代表主墻sync：表示是否同步配置，0代表未同步，1代表已同步會話保護(hù)u會話保護(hù)介紹會話保護(hù)介紹 透明模式部署下，理論上防火墻就相當(dāng)于網(wǎng)線的作用，不需要對數(shù)據(jù)包進(jìn)行路由查找，只需要對數(shù)據(jù)包進(jìn)行二層轉(zhuǎn)發(fā)。但防火墻會對數(shù)據(jù)包做相應(yīng)的檢查工作，比如包過濾、AV檢測、IPS檢測、應(yīng)用檢測等?；谏鲜鲞@些功能，兩臺防火墻必須保持狀態(tài)一致（也就是會話同步），因此通過心跳線來同步會話。會話保護(hù)u會話保護(hù)應(yīng)用場景會話保護(hù)應(yīng)用場景心跳線VRRPVRRP會話保護(hù)u會話保護(hù)配置會話保護(hù)配

25、置 會話保護(hù)的配置很簡單，只需要配置HA網(wǎng)口，注意要勾選“啟用同步”，如圖:端口聯(lián)動u端口聯(lián)動介紹端口聯(lián)動介紹 端口聯(lián)動的意思是指，當(dāng)防火墻某個接口出現(xiàn)故障，它會主動將防火墻上對應(yīng)的接口也關(guān)閉，從而保證數(shù)據(jù)轉(zhuǎn)發(fā)可以順利的切換到備鏈路上，從而保證可靠性。 端口聯(lián)動對應(yīng)的是防火墻后臺一個進(jìn)程，是通過軟件來實(shí)現(xiàn)的。與硬件Bypass有所區(qū)別。 端口聯(lián)動的配置只能通過后臺進(jìn)行。端口聯(lián)動u端口聯(lián)動場景端口聯(lián)動場景心跳線心跳線主主備備主主備備端口聯(lián)動u端口聯(lián)動配置端口聯(lián)動配置eth1eth2將防火墻的eth1和eth2進(jìn)行端口聯(lián)動 Psyn set group 1 port eth1 action on

26、decision on Psyn set group 2 port eth2 action on decision on Psyn set rungroup 1 group 1,2 active on startup on中的中的startup onstartup on是指開機(jī)時自動啟動該功能是指開機(jī)時自動啟動該功能。如果配置順利的話，在敲完第3條命令后會感覺有明顯的停頓感，表明配置成功；如果沒有停頓感，則可能配置上出現(xiàn)了問題。VRRPuVRRP介紹介紹 虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個虛擬路由器的責(zé)任動態(tài)分配到局域網(wǎng)上的 VRRP 路由器中的一臺。控制虛擬路由器 I

27、P 地址的 VRRP 路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。 VRRP控制報文只有一種：VRRP通告(advertisement) 它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為8，發(fā)布范圍只限于同一局域網(wǎng)內(nèi) 備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉 我們防火墻使用的VRRP是標(biāo)準(zhǔn)協(xié)議。但由于但由于VRRP只是實(shí)現(xiàn)網(wǎng)關(guān)冗余，只是實(shí)現(xiàn)網(wǎng)關(guān)冗余，因此有的部署場景并不十分適合。因此有的部署場景并不十分適合。VRRPuVRRP應(yīng)用場景應(yīng)用場景主備eth1:eth1:eth2:e

28、th2:Vir IP：Vir IP：配置思路：保證上下游網(wǎng)關(guān)配置思路：保證上下游網(wǎng)關(guān)的的Vir IPVir IP都在同一臺墻上，都在同一臺墻上，否則會出現(xiàn)孤島現(xiàn)象否則會出現(xiàn)孤島現(xiàn)象VRRPuVRRP配置配置第一步：新建第一步：新建VRRP組組網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理高可用性高可用性VRRP新建新建VRRP組ID：相同集群下使用相同ID優(yōu)先級：區(qū)分由誰來承擔(dān)虛IP，默認(rèn)為100，越大越優(yōu)先通行報文間隔：VRRP協(xié)議探測報文頻率VRRPuVRRP配置配置第二步：創(chuàng)建別名設(shè)備，對應(yīng)虛第二步：創(chuàng)建別名設(shè)備，對應(yīng)虛IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理網(wǎng)絡(luò)接口網(wǎng)絡(luò)接口別名設(shè)備別名設(shè)備新建

29、新建這里創(chuàng)建的別名設(shè)備即對應(yīng)虛IPVRRPuVRRP配置配置第三步：啟動第三步：啟動VRRP功能功能網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理高可用性高可用性VRRP啟動啟動VRRP查看VRRP運(yùn)行狀態(tài)2022-6-15第五章第五章 應(yīng)用管控簡介及配置應(yīng)用管控簡介及配置入侵防護(hù)入侵防護(hù)病毒防護(hù)病毒防護(hù)反垃圾郵件反垃圾郵件入侵防護(hù)u入侵防護(hù)介紹入侵防護(hù)介紹 入侵防護(hù)是計算機(jī)網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件（Antivirus Programs）和防火墻的補(bǔ)充。 入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。 應(yīng)用入侵防護(hù)功

30、能，首先需要定義入侵防護(hù)策略，然后將此策略在包過濾中引用并生效。入侵防護(hù)u入侵防護(hù)應(yīng)用場景入侵防護(hù)應(yīng)用場景攻擊機(jī):00被攻擊服務(wù)器:00Brg：54eth1eth2 攻擊流量從防火墻經(jīng)過，防火對該流量進(jìn)行攔截、或者發(fā)出警告入侵防護(hù)u入侵防護(hù)配置入侵防護(hù)配置第一步：定義入侵防護(hù)模板第一步：定義入侵防護(hù)模板應(yīng)用防護(hù)應(yīng)用防護(hù)入侵防護(hù)入侵防護(hù)入侵防護(hù)策略入侵防護(hù)策略新建新建不同的模板對應(yīng)不同的處理級別，有的對入侵事件做阻斷，有的只是對入侵事件發(fā)出日志告警入侵防護(hù)u入侵防護(hù)配置入侵防護(hù)配置第二步：在安全策略中調(diào)用模板第二步：在安全策略中調(diào)

31、用模板防火墻防火墻策略策略安全策略安全策略新建新建入侵防護(hù)u入侵防護(hù)入侵防護(hù)自定義特征庫自定義特征庫應(yīng)用防護(hù)應(yīng)用防護(hù)入侵防護(hù)入侵防護(hù)自定義特征庫自定義特征庫新建新建 針對特殊情況，用戶也可以自定義攻擊特征，應(yīng)用之后該特征會自動加載在所有的策略模板中入侵防護(hù)u入侵防護(hù)入侵防護(hù)入侵場景保留入侵場景保留應(yīng)用防護(hù)應(yīng)用防護(hù)入侵防護(hù)入侵防護(hù)場景和模式設(shè)置場景和模式設(shè)置 從發(fā)現(xiàn)攻擊的一瞬間開始，記錄一定長度的數(shù)據(jù)包，以便于事后審計，在插入U盤的時才可配置啟用，F(xiàn)TP只用于U盤存儲滿后才開始上傳。入侵防護(hù)u入侵防護(hù)入侵防護(hù)IPS防護(hù)云防護(hù)云應(yīng)用防護(hù)應(yīng)用防護(hù)入侵防護(hù)入侵防護(hù)IPS云防護(hù)代理云防護(hù)代理 將設(shè)備產(chǎn)生

32、的攻擊信息上傳至啟明星辰集團(tuán)云防護(hù)中心，供安全人員分析補(bǔ)充。入侵防護(hù)u入侵防護(hù)入侵防護(hù)規(guī)避亂序檢測規(guī)避亂序檢測應(yīng)用防護(hù)應(yīng)用防護(hù)入侵防護(hù)入侵防護(hù)規(guī)避亂序檢測規(guī)避亂序檢測 逃避IPS檢測的手段有：數(shù)據(jù)包分片、數(shù)據(jù)流分隔、RPC分片、URL混淆，以及攻擊負(fù)載的多態(tài)和混淆等 規(guī)避亂序檢測功能，可以防止這些特別調(diào)整的攻擊包漏過掃描入侵防護(hù)u入侵防護(hù)入侵防護(hù)維護(hù)維護(hù) 入侵防護(hù)（IPS）模塊是通過匹配特征庫來實(shí)現(xiàn)的，為了保證該模塊的有效性，及時的更新特征庫很有必要。前提是購買了在線升級服務(wù)。系統(tǒng)管理系統(tǒng)管理維護(hù)維護(hù)系統(tǒng)升級系統(tǒng)升級自動升級自動升級病毒防護(hù)u病毒防護(hù)介紹病毒防護(hù)介紹 病毒防護(hù)，英文即Anti-

33、virus（簡稱AV），是UTM系統(tǒng)的重要功能之一； 病毒防護(hù)策略用于組織各種協(xié)議進(jìn)行病毒防護(hù)，其中包括：HTTP、FTP、SMTP、POP、IMAP以及兩種典型應(yīng)用MSN和Webmail； 病毒檢查分為內(nèi)核掃毒(快速模式)、代理掃毒(全面掃毒)病毒防護(hù)u病毒防護(hù)應(yīng)用場景病毒防護(hù)應(yīng)用場景病毒機(jī):00被攻擊服務(wù)器:00Brg：54eth1eth2 攜帶病毒的流量從防火墻經(jīng)過，防火對該流量進(jìn)行攔截、或者發(fā)出警告病毒防護(hù)u病毒防護(hù)配置病毒防護(hù)配置第一步：定義病毒防護(hù)模板第一步：定義病毒防護(hù)模板應(yīng)用防護(hù)應(yīng)用防護(hù)病毒防護(hù)病毒防護(hù)病毒防護(hù)策略病毒防護(hù)策略新建新建不同的模板對應(yīng)不同的處理級別，有的對病毒事件做阻斷，有的只是對病毒事件發(fā)出日志告警病毒防護(hù)u病毒防護(hù)配置病毒防護(hù)配置第二步：在安全策略中調(diào)用模板第二步：在安全策略中調(diào)用模板防火墻防火墻策略策略安全策略安全策略新建新建病毒防護(hù)u病毒防護(hù)病毒防護(hù)文件過濾器文件過濾器應(yīng)用防護(hù)應(yīng)用防護(hù)病毒防護(hù)病毒防護(hù)文件過濾器文件過濾器 啟用壓縮文件掃毒只針對內(nèi)核掃毒功能生效； 緩存大小、病毒文件白名單后綴、病毒文件黑名單后綴針對代理掃毒功能設(shè)置；說明：1、緩存文件大小上限：表示代理掃毒處理數(shù)據(jù)包的大小(小于此大小的文件可以正常處理,如果大于此大小，則會進(jìn)行文件末尾破壞)；2