1、如何規划防火牆,將內部業務服務器和部分PC機與Internet隔離?
將防火牆配置為路由模式,
將內部業務服務器和部分PC機設為一個VLAN,
設置訪問控制策略,防火牆拒絕此VLAN與Internet的連接。
2、防火牆物理接口有哪些工作模式?
路由
交換
虛擬線
BOND
Listening
3、簡要概述防火牆的配置步驟
以串口、WEBUI、ssh等方式登錄防火牆配置頁面
配置接口屬性
配置路由
配置VLAN
配置區域屬性
配置服務
配置路由
配置主機對象
配置訪問對象
配置訪問策略
配置雙機熱備
保存配置
4、描述天融信防火牆的訪問控制規則的匹配順序?
(1)訪問控制策略匹配時,按照策略的排列順序從上到下依次進行匹配,連接匹配訪問控制策略的所有條件,則執行相應的策略動作,不再繼續進行匹配,否則繼續匹配下一條訪問控制策略。
(2)訪問控制策略匹配時會按照從上之下的順序依次匹配不同策略組內的訪問控制策略,直至成功匹配某一條訪問控制策略或者匹配完所有策略組中的訪問控制策略。
(3)首次匹配,如果報文匹配一條訪問控制策略,防火牆執行相應的策略動作,不再繼續匹配剩余的訪問控制策略。
5、防火牆有哪幾種管理方式?
WEBUI
SSH
telent
串口
6、防火牆的地址轉換包括哪些類型的轉換?
轉換方式:
源地址轉換 (SNAT)
轉換內容:源IP地址
特點: 1)通過配置 SNAT 地址池,實現特定數據報文經過 NGFW 后,數據報文的源 IP 地址轉換為 SNAT 地址 池中某個 IP 地址。 2)該地址轉換方式為一對一轉換。用戶共享 SNAT 地址池中 IP 地址,SNAT 地址池中的 IP 地址全部被 使用情況下,后續用戶將不能通過 NGFW 的 SNAT技術進行地址轉換,即 SNAT 地址池中地址個數為 允許同時通過防火牆通信的最大用戶數。
轉換內容:源 IP 地址+源端口
1)通過配置 SNAT 地址池,實現特定數據報文經過 NGFW 后,數據報文的源 IP 地址轉換為 SNAT 地址 池中某個 IP 地址,並轉換源端口號。 2)該轉換方式為多對一轉換。多個用戶可同時使用 同一個 IP 地址訪問網絡資源,NGFW 根據端口號區 分不同的用戶。
轉換方式:目的地址轉換 (DNAT)
轉換內容:目的 IP 地址
特點:通過配置 DNAT 地址池,實現特定數據報文經過 NGFW 后,數據報文的目的 IP 地址轉換為 DNAT 地 址池中某個 IP 地址。
轉換內容:目的 IP 地址+ 目的端口
特點:通過配置 DNAT 地址池和轉換后的目的端口號,實 現特定數據報文經過 NGFW 后,數據報文的目的 IP 地址轉換為 DNAT 地址池中某個 IP 地址,目的端口 號轉換為特定的端口號
轉換方式:雙向地址轉換 (雙向 NAT)
轉換內容:源 IP 地址+目 的 IP 地址(+ 源/目的端口)
特點:通過配置 SNAT 和 DNAT 地址池,實現特定數據報 文經過 NGFW 后,將數據報文的源 IP 地址轉換為 SNAT 地址池中某個 IP 地址,目的 IP 地址轉換為 DNAT 地址池中某個 IP 地址。 說明: 雙向 NAT 為 SNAT 和 DNAT 的結合,其功能特性也 為 SNAT 和 DNAT 的結合。
轉換方式:不作轉換 (NoNAT)
內容:不轉換
特點:不轉換數據包的 IP 地址和端口。主要在已定義的 SNAT、DNAT、雙向 NAT 基礎上,定義無需執行地 址轉換的特例。 說明: 數據報文匹配 NAT 規則時,首先匹配 NoNAT 規 則,如果滿足 NoNAT 規則的條件,則不進行地址轉 換。
7、天融信VPN設備支持建立哪些VPN通道?
SSLVPN
IPsecVPN
PPTP
L2TP
8、簡述WEB應用防火牆的主要功能?
Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用(俗稱網站)提供保護的產品。
-
異常檢測協議
Web應用防火牆會對HTTP的請求進行異常檢測,拒絕不符合HTTP標准的請求。
並且,它也可以只允許HTTP協議的部分選項通過,從而減少攻擊的影響范圍。 -
增強的輸入驗證
增強輸入驗證,可以有效防止網頁篡改、信息泄露、木馬植入等惡意網絡入侵行為。
從而減少Web服務器被攻擊的可能性。 -
基於規則的保護和基於異常的保護
基於規則的保護可以提供各種Web應用的安全規則,WAF生產商會維護這個規則庫,
並時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。
還有的產品可以基於合法應用數據建立模型,並以此為依據判斷應用數據的異常。 -
狀態管理
AF能夠判斷用戶是否是第一次訪問並且將請求重定向到默認登錄頁面並且記錄事件。
通過檢測用戶的整個操作行為我們可以更容易識別攻擊。
狀態管理模式還能檢測出異常事件(比如登錄失敗),並且在達到極限值時進行處理。 -
對訪問請求進行控制,
可以主動識別、阻斷攻擊流量,就如現在智能化的AI,可以發覺安全威脅對其主動進行防御。
不限制於被動狀態下的規則和策略去防護。 -
防范CC攻擊
此攻擊是很難發現以及防的,WAF需要識別出來,把惡意軟件的請求過濾清洗掉,
反射正常流量進入源站。最常見的高級高級便是DDOS攻擊,CC攻擊,
在防御它們的時候也都是通過域名解析后,替換隱藏源IP,利用WAF指紋識別架構,
將所有訪問的請求過濾清洗,正常的訪問需求返回客戶端。 -
其他防護技術:
WAF還有一些安全增強的功能,可以用來解決WEB程序員過分信任輸入數據帶來的問題。
比如敏感詞語過濾、抗入侵規避技術、響應監視和信息泄露保護。
9、某企業的網絡結構示意圖如下圖所示:
用戶基本需求如下:
內網 area_eth2 區域的文檔組(10.10.10.0/24)可以上網;允許項目組領導 (10.10.11.2 和 10.10.11.3)上網,禁止項目組普通員工上網。
外網和 area_eth0 區域的機器不能訪問研發部門內網;
僅允許外網用戶訪問 area_eth0 區域的 WEB 服務器:真實 IP 為172.16.1.3,虛擬 IP 為 192.168.100.143。內網用戶不允許訪問 WEB 服務器。
請根據上述需求,闡述防火牆的配置步驟或要點。
原題:
網絡衛士防火牆系統配置案例
http://www.techcan.com.cn/Uploads/Soft/20178516410391460.pdf
10 、請根據需求,簡述設備的配置步驟或要點。
背景:網絡衛士防火牆作為網關接入網絡,設備的 eth2 口(接口 IP:202.99.65.100/24, 網關 IP:202.99.65.1)與外網相連,設備的 eth1 口(接口 IP:192.168.1.1/24)與內網 (192.168.1.0/24)相連,內網用戶通過 Eth1 口訪問外網,如圖所示。
需求:實現入侵防御系統對訪問控制規則允許的流量進行攻擊防御。
請根據需求,簡述設備的配置步驟或要點。