安全业务场景
根据防火墙的部署位置和主要业务确定设备的安全业务场景,可以有针对性地选择需要配置的特性。
FW所支持的功能并非配置得越多越好,配置过多安全功能可能带来的问题有:
- 增加设备负担,降低转发效率
- 各种功能的安全规则相互冲突导致防护效果与预期不一致
- 在进行故障定位和问题排查的过程中,过多过复杂的配置会降低定位的效率
在选择需要配置的功能时,可以结合设备所处的
网络位置
受保护的对象
希望施加的保护手段
三个维度来进行考虑,本节给出了四个典型的安全业务场景,管理员可以参考这几个典型场景的部署方式来进行业务选取。
网络位置 | 保护对象 | 典型场景 | 场景说明 | 安全功能 |
---|---|---|---|---|
网络出口 | 内网个人PC | 大中型企业边界防护 | 将FW作为网关部署在企业网络出口,保护内网员工的个人PC或小型服务器与Internet之间通信的,避免对企业内网的入侵、及其他风险。 | - 将内外网划分至两个安全区域- 基于用户对访问Internet的行为进行控制、配置NAT,进行私网地址与公网地址之间的转换、在两个安全区域间配置安全策略,使用反病毒、URL过滤、文件过滤、内容过滤、应用行为控制功能 |
内网服务器 | 数据中心边界防护 | 将FW作为网关部署在IDC网络出口或者服务器集群网络出口,保护内网服务器,避免针对服务器的入侵、攻击及其他安全风险。 | 将内外网划分至两个安全区域,配置NAT Server,进行公网地址与私网地址之间的转换,配置针对服务器的连接数限制,在外网接口上配置DDoS防范功能。 | |
与远端网络之间通信的流量 | VPN远程接入与移动办公 | 将FW作为VPN网关部署在企业网络出口,与其他VPN网关或者支持VPN的PC、手机、等终端之间建立VPN隧道,保护双方之间通信的流量。本场景经常与“大中型企业边界防护”叠加使用便于管理员理解 | 将内外网划分至两个安全区域,配置VPN功能,对本端网络和远端网络之间的流量进行加密保护,对通过VPN接入的主机进行用户认证,在远端网络和内网所在安全区域的域间配置安全策略,配置用户行为审计 | |
网络内部 | 内网主机 | 内网管控与安全隔离 | 将FW部署在内网不同网络的连接处,避免病毒等风险在内网大规模扩散。对不同网络间的流量管控,避免企业关键信息资产的流失。 | 将不同安全级别的网段划分到不同安全区域,基于区域进行保护,在内网各个安全区域或网段间配置安全策略,在内网与Internet之间配置安全策略 |
HW防火墙初始化web配置
配置背景:
对于CLI命令行不熟悉,可以在WEB层对设备进行配置,WEB方式,配置简单易于管理
配置过程
1、登录Web界面
缺省情况下,设备允许管理员通过HTTPS方式登录FW的Web界面。
(1)将管理员PC网口与设备的MGMT接口(GigabitEthernet 0/0/0)通过网线或者二层交换机相连。
(2)将管理员PC的网络连接的IP地址设置为在192.168.0.2~192.168.0.254范围内的IP地址。
(3)在管理员PC中打开网络浏览器,访问需要登录设备的MGMT接口缺省IP地址“https://192.168.0.1:8443”。
说明:
如果访问使用IP地址“http://192.168.0.1”,设备会自动使用安全性更高的HTTPS协议进入Web界面。
输入IP地址登录后,浏览器会给出证书不安全的提示,此时可以选择继续浏览。然后在录界面上单击“下载根证书”,并导入管理员PC的浏览器,下次登录就不会出现告警提示了。为提高安全性,建议登录设备后配置指定证书,具体请参见CLI举例:通过HTTPS登录Web界面(指定证书)。
在Web登录界面上单击“开源软件声明”,可以查看开源软件声明的相关信息。
(4)在登录界面中输入缺省的系统管理员的用户名“admin”和密码“Admin@123”,单击“登录”。
说明:
缺省的审计管理员“audit-admin/Admin@123”也可以通过此方式登录设备。
通过Web登录时,如果连续3次登录失败,界面会自动锁定(禁止登录)10分钟。
(5)修改缺省管理员账号的密码,单击“确定”,进入Web界面。
说明:
为提高安全性,密码必须满足最小复杂度要求,即包含英文大写字母(A~Z)、英文小写字母(a~z)、数字(0~9)、特殊字符(如!、@、#、$、%等)中的三种。
请牢记输入的新密码避免无法登录。
FAQ:
问:登录web为什么本地配置地址未192.168.0.2?原理是什么?
答:因为MGMT接口的出场配置地址为192.168.0.1,只要是该网段地址均可,同网段之间的互访不需要访问网关,插MGMT接口是与墙直连