一,产品简介:
H3C SecPath F100-C-EI防火墙设备是H3C公司面向家庭办公、小型办公室以及中小企业开发的新一代专业防火墙产品。该产品拥有五个10/100M自适应以太网接口,可灵活配置为不同的安全域,如Trust安全域、DMZ安全域、Untrust安全域和管理安全域等。
产品正面一共有六个接口,从左往右依次是五个以太接口以及一个CONSOLE接口,五个以太接口连接内外网,CONSOLE接口负责初始化和日常参数配置。就自身硬件配置来说H3C SecPath F100-C-EI防火墙使用的内存是SDRAM的,容量为64MB,同时FLASH存储空间为8MB,默认情况下基本被全部占用。(如图1)
为了更好的测试F100的自身性能,笔者将其放置到一所中学进行实地测试,该中学规模中等,学校内部按照部门分为多个区域,包括网络管理区,服务器群,教师办公室计算机区,学生机房计算机区。在区域划分上比较符合防火墙多区域管理的特点。笔者将F100放置到学校网络中心机房,负责连接各个区域以及外网出口。由于该学校网络出口通过光猫连接光纤访问internet,所以笔者选择LAN4这个接口作为外网接口通过RJ45线缆连接光猫;同时其他几个LAN接口依次连接网络管理区,服务器群,教师办公计算机区,学生机房计算机区。由于学校服务器需要对外发布WWW站点以及CMIS管理信息系统,所以在配置时将服务器群连接的接口添加到DMZ区。(如图2)
小提示:
F100有五个LAN接口,他们依次编号为LAN0,LAN1,LAN2,LAN3,LAN4。在实际测试时笔者选择最后一个接口LAN4连接外网。
规划好网络拓扑以及防火墙的位置后我们就要针对F100进行初始化设置了,首先使用随机CONSOLE线连接F100的CONSOLE接口以及计算机的COM口,然后设置超级终端相关连接,完毕后开启F100电源启动防火墙,在超级终端中应该可以看到防火墙的启动界面以及自检信息。出现“press enter to get started”后我们回车即可进入命令行设置界面。(如图3)
进入命令行设置界面后我们执行的操作和H3C其他相关路由器交换机产品是一致的,通过Dis cur我们可以看出各个接口对应的是ethernet0/0到ethernet0/4。同时默认情况下防火墙针对访问权限划分了四个区域,分别是LOCAL,Trust,Untrust以及DMZ区,对应的优先级也各不相同。(如图4)(如图5)
和之前的路由器交换机不同的是H3C在SecPath F100-C-EI防火墙设备中增加了更加人性的WEB方式配置界面,用户可以通过WEB方式来访问防火墙管理界面并通过图形化方式来配置各种网络参数,这点改进大大降低了防火墙设置的门槛,让用户可以更快的上手进行安全操作。下面我们就来看看如何通过WEB方式来配置SecPath F100-C-EI防火墙,当然默认情况下WEB方式是关闭的,我们需要执行以下几条命令开启他。
第一步:进入命令行设置界面将容许访问WEB界面的那个接口IP地址进行设置,例如笔者将Ethernet 0/0的IP地址设置为192.168.0.1 255.255.255.0。(如图6)
第二步:接下来将该接口添加到信任区中,只有信任区的接口才能够通过WEB方式来管理,同时配置防火墙的默认策略为容许数据通过。(如图7)
第三步:在防火墙中建立相应的帐户信息以及密码,同时给予该帐户telnet权限,默认权限设置为最大的级别3。因为在SecPath F100-C-EI防火墙中WEB访问权限是与telnet权限一致的,两者共同存在。当然不同的权限级别会对应不同的设置权限,在我们通过WEB访问管理时也能够看到差别。(如图8)
第四步:接下来我们将计算机的IP地址设置到与Ethernet 0/0在一个网段,然后通过浏览器访问http://192.168.0.1即可看到SecPath F100-C-EI防火墙的WEB管理登录界面。(如图9)
第五步:输入刚刚设置的具备LEVEL 3的帐户信息后顺利近入管理界面,在这里我们可以通过图形化方式来配置SecPath F100-C-EI防火墙的各个网络参数,所配置的信息实时生效。(如图10)
俗话说系统集成设备配置从图形化界面开始,而故障排查深入应用才到命令行下去寻找答案,所以笔者也将从图形化界面入手来为各位介绍F100的各个特色功能。通过“系统管理”->“设备概览”->“文件系统”我们可以看a到默认情况下F100的FLASH中存储有三个文件,其中的HTTP.ZIP是WEB管理平台程序。(如图11)
(1)系统资源占用浏览更直观:
以往笔者在配置路由交换设备当网络通讯速度缓慢时一般都要首先查看设备的CPU及内存占用情况,在命令行下通过dis cpu等命令监控,不过F100的图形化界面为我们简化了此步骤,在“系统管理”->“设备概览”->“系统资源”下我们可以直接看到设备自身的CPU占用率以及内存占用情况,必要时可以通过“详细信息”按钮查看每个进程每个连接对CPU与内存的占用。(如图12)
(2)域名服务节约DNS server:
在企业和学校内部都会有专门的DNS服务器来完成域名解析工作,特别是当自己网络中存在域时更需要建立域名到IP地址的映射关系,以往都是通过专门的DNS服务器来完成,不过在F100中的“系统管理”->“域名服务”中我们可以手工添加这种映射,简化了操作节约了DNS服务器的配置。(如图13)
(3)路由管理不含糊:
在WEB管理界面下的“网络配置”->“路由管理”中我们可以根据网络实际情况添加静态路由和缺省路由信息,从而更加灵活的转发数据包。不过遗憾的是虽然SecPath F100-C-EI防火墙支持RIP和OSPF动态路由协议,但是我们无法在WEB管理界面中进行配置,如果要开启动态路由协议的话只能到命令行界面中却配置。同时SecPath F100-C-EI防火墙还支持PPPOE拨号以及SNMP网络管理协议,如果企业有RADIUS验证服务器的话也可以通过F100的AAA实现远程验证的功能。(如图14)
(4)对象管理更灵活:
以往在设置网络设备时都要反复设置时间规则,地址规则,服务规则等信息,而在F100中我们可以通过图形化界面轻松设置这些信息。在“对象管理”下有包括“地址,服务,时间段对象以及流对象”等多个信息供我们选择。这里设置的对象在后面的策略管理,防火墙策略等应用中可以直接调用,避免的反复输入的麻烦也为批量更改提供了便利条件。(如图15)
小提示:
流对象实际上就是我们平时说的访问控制列表,通过流对象可以定义一条数据包丢弃和转发规则。不过在这里设置不能随意,所有信息都通过下拉菜单选择,下拉菜单中的信息恰恰是之前设置的地址对象,服务对象以及时间对象等信息(如图16)
(5)策略管理让数据管理事半功倍:
在策略管理中我们可以针对流过滤策略的应用接口进行设置,这点类似于命令行下的packet-filter inbound|outbound,我们只需要选择要应用的接口,流过滤策略名称以及策略应用方向即可。当然在策略管理下我们还可以针对NAT地址转换策略进行设置。F100支持EASY IP这种多对一的NAT转换形式。(如图17)
(6)中规中矩的区域安全设置:
区域安全设置是防火墙区别于路由交换以及VPN产品的最大特色之一,F100中也特别添加了区域安全设置功能,我们可以针对不同区域设置其自身安全优先级,同时可以设置不同接口属于不同安全区域。(如图18)
(7)强大的攻击防范功能:
最后笔者再说说F100强大的防火墙管理功能,在“防火墙管理”下有多个特色功能,包括攻击防范,邮件过滤,网页过滤,黑名单,IP-MAC地址绑定,防火墙会话,ASPF,TCP代理等等,每个选项都对应非常不错的功能。特别是“攻击防范”,在这里F100为我们提供了预防各个扫描攻击,定向攻击的功能,一共23种之多,建议用户在实施时将他们全部选中。同时为了避免被Ddos攻击,F100提供了三种防范策略,分别是预防syn flood攻击,预防udp flood攻击以及预防ICMP flood攻击。要知道这些预防配置在命令行下根本无从下手,而图形化界面却为我们大大简化了此操作。(如图19)
(8)页面过滤以及SQL注入防范功能:
在F100中我们可以针对访问目的地址,内容等方面进行过滤,我们只需要在“防火墙管理”->“网页过滤”中进行添加即可,学校通过关键字对黄赌毒等不良信息进行封锁。而在该功能下的SQL注入攻击则更有特色,要知道由于SQL语句的原因很多使用PHP或ASP制作的站点都容易被SQL注入攻击而篡改网页。而通过F100的SQL注入攻击过滤参数配置功能可以提前将SQL查询语句以及对应的关键字信息进行过滤,从而阻止非法入侵者针对SQL语句和表名字段信息的查询,彻底避免外网的SQL注入攻击。(如图20)
(9)VPN设置与安全连接:
在F100中也提供了VPN的接入,我们可以设置L2TP,IPSEC,GRE,PKI等多种方式的VPN接入服务。(如图21)
(10)日子后查询提供更完善:
H3C设备内部都有一个信息中心,所有日志记录都储存在信息中心中,不过在命令
↓下一篇:
