WatchGuard Firebox 防火墙安装实施文档.docx
- 文档编号:29640207
- 上传时间:2023-07-25
- 格式:DOCX
- 页数:13
- 大小:152.61KB
WatchGuard Firebox 防火墙安装实施文档.docx
《WatchGuard Firebox 防火墙安装实施文档.docx》由会员分享,可在线阅读,更多相关《WatchGuard Firebox 防火墙安装实施文档.docx(13页珍藏版)》请在冰豆网上搜索。
WatchGuardFirebox防火墙安装实施文档
WatchGuardFirebox防火墙安装实施文档
一、实施目的
针对企业网络面临的主要安全威胁,构建安全的防火墙安全体系,保护企业网络安全。
目前企业网络面临的主要安全威胁分为两类:
来自的外部和来自内部的安全威胁。
在企业对外网关处安装防火墙可以有效地抵御来自外部的安全威胁;解决内部安全问题主要通过加强网络管理来解决,也可在重要部门网络前端添加防火墙以保护其数据安全。
这里主要针对企业网关对外安全问题实施防火墙安全策略。
企业网络面临的主要安全威胁:
1.端口和IP空间扫描
2.网络监听
3.IP欺骗
4.缓存区溢出
5.拒绝服务
6.电子邮件攻击
7.病毒攻击
我们将针对这些安全威胁部署企业防火墙,解决网络安全问题。
二、安装规划
客户公司要求保护公司网络安全,阻止外部网络的非法访问,同时需要和电信IDC机房的服务器进行安全的数据通信。
针对这些需求我们在公司网关和IDC机房的服务器前部署两台WatchGuardFireboxIII700防火墙,然后在它们之间建立VPN隧道,保证数据通信安全。
三、安装步骤
检查安装步骤
.选择防火墙配置模式
.收集网络信息
.设置管理工作站
.连接到FireboxX
.运行QuickSetupWizard
.将FireboxX部署到您的网络
.注册LiveSecurity®服务
1、分析企业网络需求,确定实施项目
要完成的项目有配置HTTP,FTP,SMTP,POP3,DataBase,RemoteCortrol,VPN
2、了解网络现状,收集相关网络信息
收集局域网内的IP地址分配,代理服务器IP,网关IP,网段划分,ADSL帐号,IDC机房服务器应用类型和IP地址,IDC分配的可用地址
3、配置防火墙
1)WatchGuardFirebox防火墙网络逻辑结构
ExternalInterface:
外网口(WAN);
TustedInterface:
受信口(LAN);
OptionalInterface:
可选口(DMZ)
对FireboxX系列则是:
2)准备:
◆LicenseKeys(LiveSecurity,MobileUser,HA等);
◆记录外网(Wan)、内外(Lan)、路由器和服务器IP地址;
当使用ADSL拨号时需要帐号信息:
或参照下表收集信息:
◆确定防火墙接入模式(RoutedMode或Drop-inMode);
路由模式
透明模式
准则1
所以防火墙端口处于不同网段
所以防火墙端口处于同一网络,具有相同的IP地址(ProxyARP).
准则2
受信口和可选口必须分别在不同的网络并使用相应网络内的地址。
受信口和可选口上的机器可以配置公网地址
准则3
使用静态网络地址翻译(NAT)来把任何公网地址映射到受信口或可选口后的私网地址
由于机器有公网地址可访问公网所以不需要静态网络地址翻译(NAT)
路由模式(RoutedMode)
透明模式(Drop-inMode)
3)连接Firebox与控制工作站
Firebox防火墙与控制工作站有两种通信方式:
串行口和TCP/IP。
通常建议使用串行口,但TCP/IP连接可能使用更方便。
使用网线连接方式时是与受信口(TrustedInterface)连接,FireboxIII系列和FireboxX系列默认IP地址是:
192.168.253.1。
4)安装管理程序并运行配置向导
使用随机光盘安装防火墙管理软件FireboxSystemManager。
并启动配置向导QuickSetupWizard。
◆选择配置模式输入WAN口IP地址和网关IP地址(使用英文句号分隔)。
子网掩码参照下表:
Networkmask
Slashequivalent
255.0.0.0
/8
255.255.0.0
/16
255.255.255.0
/24
255.255.255.128
/25
255.255.255.192
/26
255.255.255.224
/27
255.255.255.240
/28
255.255.255.248
/29
255.255.255.252
/30
◆输入受信口(LAN)和可选口(DMZ)地址;
◆输入DMZ区服务器IP地址(可选);
◆输入状态密码短语(用于查看防火墙状态)并再次输入用于审核,
输入配置密码短语(用于配置和写入防火墙)并再次输入用于审核。
密码短语要求至少7位,可包括字母、数字和符号;
◆选择控制工作站与防火墙的连接方式:
串行口或TCP/IP;
◆配置向导与防火墙开始建立通信,当提示输入防火墙密码短语时,保持默认(出厂默认为“wg”)
◆配置向导将准备配置映像文件并写入防火墙中;
◆防火墙将重新启动;
◆修改控制工作站IP地址,打开FireboxSystemManager,输入只读密码,重新连接防火墙;
◆启动PolicyManager进行防火墙配置(见下文)。
可能遇到的问题:
a)通信错误。
有可能防火墙被测试过,配置了非默认IP地址,可恢复出厂默认设置重新配置。
b)恢复防火墙出厂默认设置方法
FireboxIII系列:
关闭Firebox电源,按下后面板的RESET按钮不放,打开电源,待到前面板的SYSB灯亮后可放开按钮,等到Armed灯亮后可联机配置。
SYSA指示当前为用户配置,SYSB指示当前为出厂配置。
出厂时SYSA与SYSB配置相同。
FireboxX系列:
关闭Firebox电源,按住前面板向上键不放,打开电源,待到液晶面板显示SYSB启动后可放开按钮,等到显示SYSBArmed后可联机配置。
4策略配置
打开FireboxSystemManager,输入只读密码,连接防火墙;
启动策略管理器PolicyManager
进行防火墙配置。
添加代理服务
∙SMTP代理用于电子邮件
∙FTP代理用于文件传输
∙HTTP代理用于互联网访问
∙DNS代理用于域名服务
在策略管理器中可以方便地添加存在的预定义的服务。
要添加一个新的服务可以:
1.在工具栏中,点击添加服务图标
还可从菜单栏上选取Edit=>AddService。
添加服务窗口打开。
现在就可以添加,修改和删除你需要的过滤服务和代理服务;
2.点击目录左边的加号(+)展开PacketFilters或Proxies目录,打开预定义的过滤或代理服务列表;
3.点击选择所需服务;
4.点击Add,添加服务窗口出现;
5.点击OK,属性Properties对话框打开;
6.点击OK关闭属性Properties对话框;
还可以再添加别的服务。
7.点击Close.
新服务将出现在PolicyManager的服务区域中。
添加同一服务的多重服务
为了增强网络的安全策略,可能需要多次添加同一服务。
比如你需要限制大多数人的互连网访问,同时允许行政管理人员访问整个网络。
你可以分别创建两个带有不同外出规则的HTTP代理服务:
1.添加第一个HTTP代理服务;
2.将它的名字更改为一个有角色特征的名字,如“受限制web访问”
3.点击OK转到属性Properties对话窗口并定义外出规则。
添加一个叫“全体员工”别名(别名可在Network->Aliase),该别名预先包含一个IP空间或一个认证用户组
4.添加第二个HTTP代理服务,
可取名为“完全web访问”;
5.点击OK转到属性Properties对话窗口并定义外出规则。
添加一个叫“行政管理人员”的别名,该别名预先包含一个IP空间或一个认证用户组。
添加动态包过滤
可使用DefaultPacketHandling对话窗口。
在PolicyManager:
1.在工具栏点击DefaultPacketHandling图标
也可从PolicyManager,选菜单Setup=>IntrusionPrevention=>DefaultPacketHandling。
2.动态包过滤窗口打开。
3.选中BlockSpoofingAttacks阻止IP哄骗;
4.选中BlockPortSpaceProbes阻止端口扫描;
5.选中BlockAddressSpaceProbes阻止IP空间扫描;
6.选中BlockIPOptions阻止IP选择攻击;
7.选中BlockSYNFloodAttacks阻止对内部Email或Web服务器的DoS攻击,可以在这里修改SYN等待时间;
阻塞站点和端口
在PolicyManager:
1.在工具栏点击BlockedSites图标
也可从PolicyManager,选菜单Setup=>IntrusionPrevention=>BlockedSites.阻塞站点窗口打开。
2.点击Add.
3.使用ChooseType下拉菜单选择成员类型,可选项为HostIPAddress,NetworkIPAddress,或HostRange。
4.输入相应值
5.点击OK。
相应的网络区域即被添加到阻塞列表中。
.
阻塞端口
在PolicyManager:
1.在工具栏上,点击BlockedPorts图标
还可以选择菜单Setup=>IntrusionPrevention=>BlockedPorts。
端口阻塞窗口打开。
2.点击左边的Add按钮,输入端口号,点击Add。
新端口就出现在BlockedPorts列表中。
要删除点击Remove.
5部署防火墙
部署防火墙到企业网络以检验可用性,同时建立日志记录,分析网络使用情况,根据分析结果,调整策略设置,以提高网络使用有效性和员工工作效率。
日志的建立与分析
1、添加一个日志主机
打开PolicyManager:
1)选择Setup=>Logging.打开建立日志窗口;
2)点击Add.打开添加IP窗口;
3)输入用作日志主机的IP地址,输入Firebox与日志主机间加密的密码,默认的密码是在设置向导中设置的状态密码短语,日志密码短语必须保证Firebox上设置的与WatchGuardSecurityEventProcessor上的相同;
4)点击OK.重复操作直到所以的主日志主机和备份日志主机都出现在WSEP列表中。
2、安装并激活WSEP应用程序(WatchGuardSecurityEventProcessor:
Watchguard安全事件处理器)
当安装了SystemManager,WSEP也一同安装完成。
要使它生效,需要开WSEP服务:
在FireboxManagerSystem中,选择Tools=>Logging=>EventProcessorInterface,如果要在系统登录时启动WSEP,需要把WSEP快捷方式添加到启动组中。
在WSEP运行中,Firebox-and-traffic图标将出现在桌面工具栏中,要查看WSEP
程序,右击工具栏图标,然后选择WSEPStatus/Configuration,即可打开日志事件状态和配置信息窗口。
要连接防火墙并接收日志事件,需要在日志事件状态和配置信息窗口,选择菜单File=>SetLogEncryptionKey,输入日志密码后,点击OK,WSEP将会连接到Firebox上,并接收日志信息。
3、建立日志和查看日志
查看日志可使用SystemMananger中的日志查看器
来实时检查和保存日志,要分析日志可用历史记录报表工具
来分析日志。
注意:
在建立报表是使用的是防火墙的名字而不是IP地址,名字是PolicyManager中Setup=>Fireboxname…中显示的名字。
四、安全性能验收
1、正常网络应用测试。
包括Web访问、Email、网络应用程序访问如自动升级程序、MSNmessenger等;
2、Internet对内部服务器的正常访问测试。
如WEB服务器、Email服务器、FTP服务器等;
3、安全性测试,通过端口扫描软件,对WAN口进行扫描,探测企业内外对外开放的端口的合法性及安全性。
其次,通过Watchguard网站的扫描服务测试,也可探测网络的弱点,通过全面的测试,可以发现安全弱点并提供安全解决方案。
五、验收报告与结论
通过网络正常使用的测试和安全性测试,可以得出在网络正常使用的情况下网络的使用状况和安全状况。
同时提供安全解决方案并得到完善的安全保障和完整的处理结论。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- WatchGuard Firebox 防火墙安装实施文档 防火墙 安装 实施 文档