#原创分享#天融信防火墙系统虚拟线部署
单位网络结构较简单,防火墙本次用的是虚拟线部署。理由:虚拟线模式 设置接口工作在虚拟线模式时,只需在NGFW设定一个物理接口组AB作为一条虚拟线,如数据包从虚拟线接口组AB中的A口进入NGFW后,均强制从虚拟线接口组AB中的B口进行转发,即不经过二层交换以及三层路由的检查过程就将报文直接发送出去。。不影响原有的架构 1、登陆web界面(步骤略) 进入系统后展示的设备信息内容是不是挺全: 2、配置模式为虚拟线,feth10、feth11为一组。具体配置如下图: 配置物理接口feth10模式为虚拟线,其他默认 确定。 feth11接口配置后如下图所示: 3、将网络划分为不同的安全区域。分为两个区域分别为untrust、trust并且将feth10添加为untrust,feth11添加为trust。 untrust添加方法为:资源管理---区域---添加,在弹出的窗口中名称输入为untrust,绑定接口选中feth10,点击向右的箭头,右侧框中就会多个feth10,确定。如下图所示:
trust添加方法为:资源管理---区域---添加, 在弹出的窗口中名称输入为trust,绑定接口选中feth11,点击向右的箭头,右侧框中就会多个feth11,确定。如下图所示: 4、配置访问控制策略,根据现有网络情况,做2个策略分别是untrust到trust和trust到untrust具体操作步骤如下: A、安全策略---访问控制---添加。在窗口中,名称输入fwpolicy4,源中源地址为any,源区域为trust;目的中的目的地址为any,目的区域为untrust;其他中时间全天,动作允许;如下图所示 切换到安全引擎标签下,入侵防御为全部,病毒过滤为杀毒阻断,勾选APT。其他默认 确定。如下图所示
配置完成后效果如下图: 5、A、安全策略---访问控制---添加。在窗口中,名称输入fwpolicy3,源中源地址为any,源区域为untrust;目的中的目的地址为any,目的区域为trust;其他中时间全天,动作允许; 切换到安全引擎标签下,入侵防御为全部,病毒过滤为杀毒阻断,勾选APT。其他默认 确定。如下图所示 效果如下图 注:高效的访问控制。天融信下一代防火墙采用核检测技术,应用深度过滤策略在系统内核实现应用层深度过滤,可对网络流量进行细粒度控制。 上线运行一段时间后发现了攻击。如下图所示:
后期会对发现的攻击行进行详细分析,并分享如何应对
|