【实验目的】了解防火墙基本操作掌握防火墙设备登陆、设备名称修改、证书导入、设备升级等基本操作。【知识点】防火墙设备登录设备参数修改证书导入设备升级。【场景描述】企业近期购买了一台防火墙设备安全运维工程师小王根据原有规划将此防火墙部署到企业网络当中。由于是新到货还未开封的设备在上架之前需要对防火墙的初始化配置做一下调整以便完美发挥防火墙的功能。由于小王也是第一次使用防火墙具体操作还不太了解同学们能想办法帮小王解决一下吗防火墙原有配置防火墙默认登录地址https://10.0.0.1防火墙默认管理员账户 账户admin 密码!1fw2soc#3vpn防火墙默认管理口GE1口【实验原理】1.防火墙登录管理方式1HTTP协议超文本传输协议Hyper Text Transfer Protocol是一个简单的请求-响应协议它通常运行在TCP之上。HTTP 在传输数据的过程中所有的数据都是明文传输自然没有安全性可言特别是一些敏感数据比如用户密码和信用卡信息等一旦被第三方获取后果不堪设想。嗅探攻击作为常见的内网攻击方式之一就是利用HTTP透明传输的缺点获取内网中网站登录凭证相关的敏感信息。2HTTPS协议超文本传输安全协议Hyper Text Transfer Protocol over SecureSocket Layer是以安全为目标的 HTTP 通道用于解决数据传输安全问题。HTTPS 是在HTTP 的基础下加入SSL加密的方式实现的。 SSL所采用的加密方式属于混合加密算法也就是对称加密和非对称加密的混合使用安全性极高。3Telnet协议telnet通过TCP/IP协议簇来访问远程终端,传输的数据和口令是明文形式相对来说安全性不高。4FTP协议文件传输协议英文File Transfer Protocol是用于在网络上进行文件传输的一套标准协议属于网络协议组的应用层。FTP属于明文传输并且近年来FTP相关的漏洞层出不穷其安全性较低。5SSH协议Secure Shell 的缩写它是建立在传输层基础上的安全协议它本身属于应用层同时可以为应用层提供安全传输服务。SSH 可以对所有传输的数据进行加密是目前较可靠专为远程登录会话和其他网络服务提供安全性的协议。SSH协议与HTTPS相比SSH是以终端命令方式进行操作可视化较弱对使用人员的专业要求较高。6Console管理作为一种古老的管理方式Console口管理一直没有被厂商取消。设备在图形化界面无法登录时Console登录是系统应急的最后一道关卡。不需要做任何配置只需要连接计算机串行端口选中匹配的数据速率即可完成登录操作。2.用户角色1奇安信防火墙用户角色奇安信防火墙默认包含8种管理角色超级管理员、审计管理员、配置管理员、账户管理员、虚系统配置管理员、虚系统审计管理员、RESTful API管理员、OpenC2联动管理员可对防火墙中的7个模块系统配置、网络配置、对象配置、策略配置、首页、分析中心、数据中心、处置中心实现指定管理并将可操作权限分为三个等级“无”、“只读”、“读写”可按照不同类型管理员需求为不同管理员角色设置各模块权限等级最后为创建的不同类型管理员赋予相应的管理员角色该类型管理员即可继承管理员角色内的授权。2账户类型防火墙系统之所以会默认内置多种账户类型一是需要遵循最小化原则对不同的岗位人员设置相符合的、最小的管理或审计权限。企业网络安全中其内部威胁占很大比重如信息泄露、误操作甚至员工恶意报复等。企业安全管理根据最小化原则赋予不同岗位人员不同的权利能够有效避免此类情况的产生。其次我国网络安全实行等级保护制度。等级保护要求超级管理员要分为系统管理员和审计员。防火墙系统内置的默认账户也是为了协助企业更符合等级保护要求。【实验设备】安全设备防火墙设备 1台。终端设备windows 10 1台。【实验拓扑】拓扑说明本拓扑所模拟内容为一个完整的企业网网络受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作。DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业网络环境中最核心、最有价值的区域所有核心数据例如研发数据、生成材料、财务数据、企业管理数据等都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用作内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用管理终端和防火墙即可拓扑中蓝色图标设备。【实验思路】防火墙远程登录配置授权导入确认功能和模块与购买时的相匹配web登陆防火墙修改设备名称本实验中将默认的防火墙名称修改为”QAX-FW”规则库升级到最新防火墙账户管理。【实验预期】防火墙可以实现SSH远程登录。授权导入确认功能和模块与购买时的相匹配授权模块图标变为橘红色。web登陆防火墙修改设备名称进入命令行后界面是QAX-FW字样。规则库升级到最新显示最新更新日期。【实验步骤】1.防火墙远程登录1登录管理终端配置管理终端IP地址为10.0.0.44 子网掩码24位网关为10.0.0.1如图所示。补充知识点奇安信智慧防火墙默认只允许10.0.0.44地址进行远程管理。这是因为在设备出厂时10.0.0.44的ip地址默认被添加到防火墙的可信主机策略中除此之外防火墙可以手工配置可信主机、可信mac、管理端口等安全配置。如果不配置这个IP管理终端将无法访问防火墙的Web或SSH管理界面。网关指向防火墙GE1口10.0.0.1是为了让管理终端能与防火墙通信即使不走路由也属于同一网段直连。✅实际意义这是“建立管理通道”的第一步没有正确的IP配置后续所有远程操作都无法进行。2在管理机中打开浏览器推荐chrome浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。如果弹出《奇安信网神防火墙系统用户许可协议》点击确定即可。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙登录界面如图所示。(3) 为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本实验无需修改密码单击【取消】按钮如图所示。(4) 成功登录防火墙设备后进入防火墙【首页】菜单(5) 单击【系统配置】→【设备管理】→【管理账号】菜单进入【管理账号】配置页面如图所示。(6) 单击admin右侧【操作】中的笔形图标编辑管理员信息(7) 在弹出的【编辑管理员】对话框中勾选【登录类型】复选框中的【HTTP】、【HTTPS】、【CONSOLE】、【TELNET】、【SSH】选项单击【确定】按钮(8) 返回到管理账号界面可以看到管理员admin的登录方式目的/原理管理账号页面用于配置管理员账户的登录方式、权限、有效期等。我们要修改的是“admin”账户的登录类型使其支持SSH、HTTPS等。✅实际意义这是“权限与访问方式配置”的核心入口决定哪些协议可以用于远程管理。(9)单击【网络配置】→【接口】菜单进入【接口】列表页面单击【ge1】接口右侧【操作】列的笔形图标(10) 在弹出的【编辑物理接口】对话框中勾选【管理方式】复选框中的【HTTPS】、【SSH】、【Telnet】、【HTTP】、【SNMP】选项允许管理员通过该接口的IP地址使用这四种方式登录管理防火墙单击【确定】按钮目的/原理GE1是防火墙默认管理口IP为10.0.0.1我们需要在接口层面“放行”哪些管理方式如HTTPS、SSH这样从GE1口发出的管理流量才被允许✅实际意义接口管理方式是“底层访问控制”即使账户允许SSH如果接口没开也无法登录补充知识点奇安信智慧防火墙在配置完成后会自动加载到系统内存中立即生效但是并没有保存在防火墙的配置文件中需要手动单击主界面右上端保存按键弹出是否保存当前配置提醒后继续点击确认即可如图所示。后续的所有实验都建议在配置完成时进行手动保存。延伸思考帮你举一反三为什么防火墙默认只允许10.0.0.44管理→ 安全最小权限原则防止未授权设备访问管理口。为什么HTTPS比HTTP安全→ HTTPS HTTP SSL/TLS加密防止中间人窃听密码或数据。为什么SSH比Telnet安全→ SSH加密所有传输数据Telnet明文传输极易被嗅探。为什么需要同时在“账户”和“接口”两个地方配置管理方式→ 账户控制“谁可以登录”接口控制“从哪里登录”双重保险2.证书授权导入注该部分内容仅作演示原实验环境中防火墙设备授权证书已完成导入(1) 首次登录智慧防火墙时在web界面的右上角【请导入正式或试用许可证】提示如图所示。提示信息停留片刻后会消失也可以通过下一步进行具体查看(2) 单击【系统配置】→【许可证】菜单进入【许可证】的具体信息补充知识点奇安信智慧防火墙默授权证书导入分为两种情况:出厂授权导入也就是工程师第一次部署时进行的授权导入。在未导入之前防火墙所有功能仅限于配置操作但策略无法生效。升级授权导入防火墙授权到期后原先所有配置和策略均都可以正常使用但具体的入侵检测、防病毒、URL等规则库不能升级。目的/原理奇安信防火墙是商业安全设备其核心功能如入侵防御、防病毒、URL过滤、应用识别等必须依赖授权证书才能生效。未导入授权前防火墙仅允许基础配置操作如改IP、设密码、建接口但所有安全策略如ACL、IPS、AV不会生效 —— 相当于“空壳防火墙”。授权证书分为出厂授权首次部署时导入激活全部功能。升级授权授权到期后原有策略和配置仍可运行但规则库无法更新如入侵特征库、病毒库导致防护能力逐渐落后。✅实际意义这是企业安全合规的第一道门槛。没有授权防火墙等于没穿盔甲无法提供真正的安全防护。实验环境虽可演示但实际生产环境必须导入有效授权。(3) 单击【导入】按钮在弹出对话框中单击【浏览】选中桌面【证书文件】中的证书单击【确定】即可完成证书的导入如图所示。目的/原理证书文件是厂商颁发的“数字授权凭证”包含设备序列号、授权模块、有效期、虚系统数等信息。导入后系统会校验证书合法性若匹配设备序列号和授权范围则激活对应功能。✅实际意义这是“激活防火墙战斗力”的关键一步。导入后防火墙才能真正执行入侵检测、病毒查杀、URL过滤等高级安全功能。(4) 导入后到期时间等相关授权信息也随之改变系统弹出提示【许可证虚系统数改变请重启机器】单击【确认】等待系统完成重启注设备重启后管理员需重新访问防火墙管理地址并输入用户名/密码进入防火墙web管理界面3.防火墙设备名称(1) 单击【系统配置】→【设备管理】→【本机设置】菜单进入【本机设置】配置页面在【设备名称】配置处配置【设备名称】为“QAX-FW”单击【应用】按钮完成【设备名称】的配置(2) 在【时间】配置模块处单击【与本机同步】按钮配置完成后单击【应用】按钮完成时间配置补充知识点防火墙产生的安全防护日志中会记录攻击事件时间其时间来源于防火墙系统时间。在攻击回溯或者日志分析过程中防火墙系统时间记录跟实际时间不匹配会对我们的正常排查工作造成困扰和误判尤其是多设备手动日志联动分析时很容易出现误判或者漏判的可能因此防火墙的系统时间要确保和网络中的NTP时间服务器时间相匹配。当然手动设置时间也是允许的需要根据业务实际情况进行设定。(3) 在【DNS】配置页面处配置【首选DNS服务器 】为192.168.1.100【备选DNS服务器】配置8.8.8.8配置完成后单击【应用】按钮完成【DNS】的配置补充知识点防火墙系统DNS是否要设置需要根据实际业务及应用场景来决定。一般情况下当防火墙需要在线升级都需要配置DNS。这时候防火墙系统相当于一台主机自身对外请求DNS解析。目的/原理防火墙在某些情况下需要对外发起DNS请求例如在线升级规则库时需解析升级服务器的域名如ngfwup.sg.qianxin.comURL过滤功能需解析目标网站域名判断是否违规与云端联动如威胁情报查询需DNS解析配置内部DNS192.168.1.100优先使用企业内网DNS提高解析速度和安全性。配置公共DNS8.8.8.8当内网DNS不可用时作为备用确保升级等功能不中断。✅实际意义DNS是防火墙“对外沟通”的桥梁。没有DNS防火墙可能无法完成在线升级、URL过滤、云端联动等关键功能4.规则库升级管理注该部分内容仅作演示原实验环境中防火墙设备规则库已完成升级(1) 单击【系统配置】→【升级管理】菜单选中【特征库升级】进入升级配置页面在特征库列表中选中其中要升级的特征库点击“手动升级”图标即可弹出升级对话框。本实验以“入侵防御特征库”升级为例进行演示(2) 单击【浏览】按钮在所弹出加载对话框中找到桌面上“升级文件”文件夹。找到对应的“入侵防御特征库”即可点击确定并等待特征库上传完毕此时升级工作完毕界面会显示最新的升级版本和特征数量补充知识点奇安信提供官方的下载渠道https://ngfwup.sg.qianxin.com/offline/download/#进入下载地址找到对应的系统版本号即可显示该版本所有的升级库信息。如实验中的防火墙版本号为6.1.13那么对应的升级信息根据实际升级需求点击下载链接保存本地即可。在下载完成后推荐使用hash工具进行一次哈希验证算出的结果跟官方公布的文件MD5进行匹配如果一致说明下载的升级包完整可以进行正常升级如果计算出来的结果跟官方公布的文件MD5不一致说明下载过程中出现异常文件不完整此时是无法完成升级的不同的厂商或产品官方公布的未见类型是不一样的有的公布MD5值有的公布SHA1值但其作用都一样就是确保所下载文件的有唯一性。针对特征库或升级库的文件格式不同厂商有不同的命名规则奇安信是采用“文件名时间版本说明”的方式命名其中说明部分不是命名必须的。如入侵防御规则库名称“ips_2210011046”表示的IPS规则库22年10月1日发布的1046版本。 命名中不同字母开头表示不同的升级库 app:表示此文件是系统版本升级 area表示此文件是防火墙内置的区域信息升级文件 av表示此文件是防病毒特征库升级文件后面pop表示通用版或者简版也就是策略库只包含常见的攻击方式一般配合防火墙在线云端杀毒使用。后面不带pop的是完整的策略库包含的样本库更全面一般配合防火墙离线杀毒使用 ioc表示此文件是威胁情报特征库升级文件 ips表示此文件是入侵防御特征库升级文件 url表示此文件是恶意网站或url链接特征库升级文件 注所有升级或更新操作在升级前请务必保存并备份防火墙当前配置防止因为升级失败导致配置丢失或者会退时使用。步骤核心目标实际意义证书导入激活防火墙高级安全功能没有授权防火墙等于“摆设”设备命名便于识别与管理标准化运维提升效率时间同步确保日志时间准确避免误判满足合规审计DNS配置支持在线升级与外部解析保障防火墙“对外沟通能力”规则库升级保持防护能力最新防范新型攻击避免防护滞后5.防火墙账户管理这一步主要是为了实现权限分离符合企业网络安全管理中的“最小权限原则”和等级保护要求。核心概念为什么要做账户管理在企业环境中不可能所有人都用最高权限的admin账号。风险管控如果普通运维人员拿到最高权限可能会误操作导致网络瘫痪或者恶意删除日志。职责分离经理只看不碰只读运维人员负责配置读写审计人员负责查日志只读。(1) 单击【系统配置】→【设备管理】→【管理角色】菜单进入【管理角色】配置页面单击【管理角色】配置页面的【添加】按钮如图所示。(2) 在弹出的【添加管理员角色】对话框中填写角色配置信息。【管理员角色名称】填入“给经理的管理员角色”创建管理员角色【描述】填入“经理”由于经理的账号只具有查看权限所以对所有模块均选择【只读】勾选【模块名称】列表框右侧的【只读】选项可对所有模块批量设置权限。配置完成后单击【确定】按钮关闭【添加管理员角色】对话框如图所示。(3) 再次单击【管理角色】配置页面的【添加】按钮在弹出的【添加管理员角色】对话框中填写角色配置信息。【管理员角色名称】填入“给小黄的管理员角色”【描述】填入“小黄”由于给小黄的账号只具有配置管理权限所以【系统配置】选择【无】【网络配置】选择【只读】【对象配置】和【策略配置】选择【读写】【首页】、【分析中心】和【数据中心】选择【只读】【处置中心】选择【读写】。配置完成后单击【确定】按钮关闭【添加管理员角色】对话框(4) 单击【系统配置】→【设备管理】→【管理账号】菜单进入【账号管理】配置页面单击【添加】按钮创建管理员(5) 在弹出的【添加管理员】对话框中配置管理员信息。【管理员名称】填入“审查管理员”【描述】填入“给经理的审查管理员角色”【角色】选择“给经理的管理员角色”选项【密码】和【确认密码】输入test1#$%,【登录类型】勾选【HTTPS】和【SSH】选项。配置完成后单击【确定】按钮关闭【添加管理员】对话框(6) 再次单击【管理账号】配置页面的【添加】按钮(7) 在弹出的【添加管理员】对话框中配置管理员信息。【管理员名称】填入“配置管理员”【描述】填入“给小黄的配置管理员角色”【角色】选择“给小黄的管理员角色”选项【密码】和【确认密码】输入test1#$%,【登录类型】勾选【HTTPS】和【SSH】选项。配置完成后单击【确定】按钮关闭【添加管理员】对话框(8) 返回【管理账号】配置页面可查看添加的审查管理员和配置管理员(9) 至此完成所有防火墙基本配置操作点击【保存】按钮进行配置保存注后续实验基本参数配置依次递增(10) 在所弹出的确认对话框中点击【确认】按钮进行完成保存(11) 点击【确认】按钮后会提示保存进度步骤操作对象核心动作目的Step 1管理角色创建“经理角色”定义一套只读的权限模板Step 2管理角色创建“小黄角色”定义一套细分读写的权限模板Step 3管理账号创建“审查管理员”生成账号绑定“经理角色”Step 4管理账号创建“配置管理员”生成账号绑定“小黄角色”Step 5全局点击【保存】固化配置使其生效【实验结论】1.防火墙可以实现SSH远程登录(1) 在管理终端桌面双击打开putty。在PuTTY Configuration对话框中的Host Name(or IP address)处输入10.0.0.1Connection type选择SSH选项其他选项保持默认单击【Open】按钮进行连接(2) 在弹出的PuTTY Security Alert界面中单击【是(Y)】按钮若无此步骤请忽略(3) 出现【login as:】后输入登陆用户名admin按回车完成输入(4) 出现【admin10.0.0.1’s password:】后输入用户admin的密码【!1fw2soc#3vpn】输入密码时不会有任何提示按回车键完成输入(5) 至此已经成功登陆出现【QAX-FW】提示符如图所示。同理也可以通过此操作进行telnet方式登录。(6) 综上所述防火墙可以实现SSH远程登录并且所显示提示符为所配置的设备名称QAX-FW满足实验预期1和3。2.授权导入确认功能和模块与购买时的相匹配授权模块图标变为橘红色。(1) 进入Web配置界面入侵防御、入侵防御库升级、云沙箱、反病毒、病毒库升级、威胁情报、威胁情报库升级、应用识别库升级、URL库升级、系统功能、虚拟系统功能等功能当前状态显示为 说明系统功能许可证导入成功。具体操作在防火墙web管理界面选择【系统配置】 【 许可证】(2) 综上所述防火墙授权证书导入成功满足实验预期2。3.修改设备名称进入命令行是QAX-FW字样。(1) 操作步骤同实验结果1通过putty工具登录后命令行提示符内容为“QAX-FW”(2) 综上所述修改设备名称后命令行界面提示符发生改变满足实验预期3。4.规则库升级到最新显示最新更新日期。(1) 单击【系统配置】→【升级管理】菜单选中【特征库升级】进入升级配置页面在特征库列表中查看各个特征库版本和官网公布的最新版本一致表示升级成功(2) 综上所述规则特征库【当前版本】与【最新版本】内容一致满足实验预期4。补充知识点防火墙连接互联网如何实现特征库的定期在线升级只有处于升级服务有效期内的特征库才能升级。查看特征库升级列表中“升级服务有效期”列的时间确认升级服务是否有效。否则请购买新的许可证更新特征库升级服务有效期。特征库升级支持自动升级、手动升级和立即升级。自动升级和立即升级需要使用升级服务器请先进行库升级设置。库升级设置支持用户自定义一台内网服务器作为私有升级服务器或使用默认的升级服务器。其中升级服务器的官方地址是“ngfwup.sg.qianxin.com” 不可随意修改并且防火墙配置DNS保证域名正常解析才能升级成功。如图所示
实验一:防火墙基本配置实验
发布时间:2026/5/20 20:58:17
【实验目的】了解防火墙基本操作掌握防火墙设备登陆、设备名称修改、证书导入、设备升级等基本操作。【知识点】防火墙设备登录设备参数修改证书导入设备升级。【场景描述】企业近期购买了一台防火墙设备安全运维工程师小王根据原有规划将此防火墙部署到企业网络当中。由于是新到货还未开封的设备在上架之前需要对防火墙的初始化配置做一下调整以便完美发挥防火墙的功能。由于小王也是第一次使用防火墙具体操作还不太了解同学们能想办法帮小王解决一下吗防火墙原有配置防火墙默认登录地址https://10.0.0.1防火墙默认管理员账户 账户admin 密码!1fw2soc#3vpn防火墙默认管理口GE1口【实验原理】1.防火墙登录管理方式1HTTP协议超文本传输协议Hyper Text Transfer Protocol是一个简单的请求-响应协议它通常运行在TCP之上。HTTP 在传输数据的过程中所有的数据都是明文传输自然没有安全性可言特别是一些敏感数据比如用户密码和信用卡信息等一旦被第三方获取后果不堪设想。嗅探攻击作为常见的内网攻击方式之一就是利用HTTP透明传输的缺点获取内网中网站登录凭证相关的敏感信息。2HTTPS协议超文本传输安全协议Hyper Text Transfer Protocol over SecureSocket Layer是以安全为目标的 HTTP 通道用于解决数据传输安全问题。HTTPS 是在HTTP 的基础下加入SSL加密的方式实现的。 SSL所采用的加密方式属于混合加密算法也就是对称加密和非对称加密的混合使用安全性极高。3Telnet协议telnet通过TCP/IP协议簇来访问远程终端,传输的数据和口令是明文形式相对来说安全性不高。4FTP协议文件传输协议英文File Transfer Protocol是用于在网络上进行文件传输的一套标准协议属于网络协议组的应用层。FTP属于明文传输并且近年来FTP相关的漏洞层出不穷其安全性较低。5SSH协议Secure Shell 的缩写它是建立在传输层基础上的安全协议它本身属于应用层同时可以为应用层提供安全传输服务。SSH 可以对所有传输的数据进行加密是目前较可靠专为远程登录会话和其他网络服务提供安全性的协议。SSH协议与HTTPS相比SSH是以终端命令方式进行操作可视化较弱对使用人员的专业要求较高。6Console管理作为一种古老的管理方式Console口管理一直没有被厂商取消。设备在图形化界面无法登录时Console登录是系统应急的最后一道关卡。不需要做任何配置只需要连接计算机串行端口选中匹配的数据速率即可完成登录操作。2.用户角色1奇安信防火墙用户角色奇安信防火墙默认包含8种管理角色超级管理员、审计管理员、配置管理员、账户管理员、虚系统配置管理员、虚系统审计管理员、RESTful API管理员、OpenC2联动管理员可对防火墙中的7个模块系统配置、网络配置、对象配置、策略配置、首页、分析中心、数据中心、处置中心实现指定管理并将可操作权限分为三个等级“无”、“只读”、“读写”可按照不同类型管理员需求为不同管理员角色设置各模块权限等级最后为创建的不同类型管理员赋予相应的管理员角色该类型管理员即可继承管理员角色内的授权。2账户类型防火墙系统之所以会默认内置多种账户类型一是需要遵循最小化原则对不同的岗位人员设置相符合的、最小的管理或审计权限。企业网络安全中其内部威胁占很大比重如信息泄露、误操作甚至员工恶意报复等。企业安全管理根据最小化原则赋予不同岗位人员不同的权利能够有效避免此类情况的产生。其次我国网络安全实行等级保护制度。等级保护要求超级管理员要分为系统管理员和审计员。防火墙系统内置的默认账户也是为了协助企业更符合等级保护要求。【实验设备】安全设备防火墙设备 1台。终端设备windows 10 1台。【实验拓扑】拓扑说明本拓扑所模拟内容为一个完整的企业网网络受资源限制不能完全仿真仅对关键功能和区域进行模拟。企业网络总共分为9个安全区域互联网电信、互联网联通、运维区、DMZ区域、部门A、部门B、部门C、数据中心、DNS服务器。其中互联网电信、互联网联通属于企业互联网边界拓扑模拟了两条运营商链路一条来自电信一条来自联通。运维区属于运维人员对设备进行管理和运维的区域包括设备巡检、日志分析、设备升级等工作。DMZ区域也叫隔离区或者非军事化管理区。企业中对互联网开放的服务和应用如门户网站、邮件系统都部署在DMZ区域。部门A、部门B、部门C模拟的是企业内部各个部门。由于部门之间的业务不尽相同通常他们的网络也是有区别管理的如销售部、财务部、研发部其权限是不同的。数据中心属于企业网络环境中最核心、最有价值的区域所有核心数据例如研发数据、生成材料、财务数据、企业管理数据等都存于此处仅向有权限的人或部门开放。DNS服务器用于模拟内、外网DNS服务器主要用作内、外网域名服务解析使用。本次实验并不会用到所有资源仅启用管理终端和防火墙即可拓扑中蓝色图标设备。【实验思路】防火墙远程登录配置授权导入确认功能和模块与购买时的相匹配web登陆防火墙修改设备名称本实验中将默认的防火墙名称修改为”QAX-FW”规则库升级到最新防火墙账户管理。【实验预期】防火墙可以实现SSH远程登录。授权导入确认功能和模块与购买时的相匹配授权模块图标变为橘红色。web登陆防火墙修改设备名称进入命令行后界面是QAX-FW字样。规则库升级到最新显示最新更新日期。【实验步骤】1.防火墙远程登录1登录管理终端配置管理终端IP地址为10.0.0.44 子网掩码24位网关为10.0.0.1如图所示。补充知识点奇安信智慧防火墙默认只允许10.0.0.44地址进行远程管理。这是因为在设备出厂时10.0.0.44的ip地址默认被添加到防火墙的可信主机策略中除此之外防火墙可以手工配置可信主机、可信mac、管理端口等安全配置。如果不配置这个IP管理终端将无法访问防火墙的Web或SSH管理界面。网关指向防火墙GE1口10.0.0.1是为了让管理终端能与防火墙通信即使不走路由也属于同一网段直连。✅实际意义这是“建立管理通道”的第一步没有正确的IP配置后续所有远程操作都无法进行。2在管理机中打开浏览器推荐chrome浏览器在地址栏中输入防火墙设备IP地址https://10.0.0.1进入防火墙的登录界面。如果弹出《奇安信网神防火墙系统用户许可协议》点击确定即可。输入管理员用户名admin和密码!1fw2soc#3vpn登录防火墙登录界面如图所示。(3) 为提高防火墙系统的安全性如果用户用默认密码登录防火墙防火墙会提示用户修改初始密码本实验无需修改密码单击【取消】按钮如图所示。(4) 成功登录防火墙设备后进入防火墙【首页】菜单(5) 单击【系统配置】→【设备管理】→【管理账号】菜单进入【管理账号】配置页面如图所示。(6) 单击admin右侧【操作】中的笔形图标编辑管理员信息(7) 在弹出的【编辑管理员】对话框中勾选【登录类型】复选框中的【HTTP】、【HTTPS】、【CONSOLE】、【TELNET】、【SSH】选项单击【确定】按钮(8) 返回到管理账号界面可以看到管理员admin的登录方式目的/原理管理账号页面用于配置管理员账户的登录方式、权限、有效期等。我们要修改的是“admin”账户的登录类型使其支持SSH、HTTPS等。✅实际意义这是“权限与访问方式配置”的核心入口决定哪些协议可以用于远程管理。(9)单击【网络配置】→【接口】菜单进入【接口】列表页面单击【ge1】接口右侧【操作】列的笔形图标(10) 在弹出的【编辑物理接口】对话框中勾选【管理方式】复选框中的【HTTPS】、【SSH】、【Telnet】、【HTTP】、【SNMP】选项允许管理员通过该接口的IP地址使用这四种方式登录管理防火墙单击【确定】按钮目的/原理GE1是防火墙默认管理口IP为10.0.0.1我们需要在接口层面“放行”哪些管理方式如HTTPS、SSH这样从GE1口发出的管理流量才被允许✅实际意义接口管理方式是“底层访问控制”即使账户允许SSH如果接口没开也无法登录补充知识点奇安信智慧防火墙在配置完成后会自动加载到系统内存中立即生效但是并没有保存在防火墙的配置文件中需要手动单击主界面右上端保存按键弹出是否保存当前配置提醒后继续点击确认即可如图所示。后续的所有实验都建议在配置完成时进行手动保存。延伸思考帮你举一反三为什么防火墙默认只允许10.0.0.44管理→ 安全最小权限原则防止未授权设备访问管理口。为什么HTTPS比HTTP安全→ HTTPS HTTP SSL/TLS加密防止中间人窃听密码或数据。为什么SSH比Telnet安全→ SSH加密所有传输数据Telnet明文传输极易被嗅探。为什么需要同时在“账户”和“接口”两个地方配置管理方式→ 账户控制“谁可以登录”接口控制“从哪里登录”双重保险2.证书授权导入注该部分内容仅作演示原实验环境中防火墙设备授权证书已完成导入(1) 首次登录智慧防火墙时在web界面的右上角【请导入正式或试用许可证】提示如图所示。提示信息停留片刻后会消失也可以通过下一步进行具体查看(2) 单击【系统配置】→【许可证】菜单进入【许可证】的具体信息补充知识点奇安信智慧防火墙默授权证书导入分为两种情况:出厂授权导入也就是工程师第一次部署时进行的授权导入。在未导入之前防火墙所有功能仅限于配置操作但策略无法生效。升级授权导入防火墙授权到期后原先所有配置和策略均都可以正常使用但具体的入侵检测、防病毒、URL等规则库不能升级。目的/原理奇安信防火墙是商业安全设备其核心功能如入侵防御、防病毒、URL过滤、应用识别等必须依赖授权证书才能生效。未导入授权前防火墙仅允许基础配置操作如改IP、设密码、建接口但所有安全策略如ACL、IPS、AV不会生效 —— 相当于“空壳防火墙”。授权证书分为出厂授权首次部署时导入激活全部功能。升级授权授权到期后原有策略和配置仍可运行但规则库无法更新如入侵特征库、病毒库导致防护能力逐渐落后。✅实际意义这是企业安全合规的第一道门槛。没有授权防火墙等于没穿盔甲无法提供真正的安全防护。实验环境虽可演示但实际生产环境必须导入有效授权。(3) 单击【导入】按钮在弹出对话框中单击【浏览】选中桌面【证书文件】中的证书单击【确定】即可完成证书的导入如图所示。目的/原理证书文件是厂商颁发的“数字授权凭证”包含设备序列号、授权模块、有效期、虚系统数等信息。导入后系统会校验证书合法性若匹配设备序列号和授权范围则激活对应功能。✅实际意义这是“激活防火墙战斗力”的关键一步。导入后防火墙才能真正执行入侵检测、病毒查杀、URL过滤等高级安全功能。(4) 导入后到期时间等相关授权信息也随之改变系统弹出提示【许可证虚系统数改变请重启机器】单击【确认】等待系统完成重启注设备重启后管理员需重新访问防火墙管理地址并输入用户名/密码进入防火墙web管理界面3.防火墙设备名称(1) 单击【系统配置】→【设备管理】→【本机设置】菜单进入【本机设置】配置页面在【设备名称】配置处配置【设备名称】为“QAX-FW”单击【应用】按钮完成【设备名称】的配置(2) 在【时间】配置模块处单击【与本机同步】按钮配置完成后单击【应用】按钮完成时间配置补充知识点防火墙产生的安全防护日志中会记录攻击事件时间其时间来源于防火墙系统时间。在攻击回溯或者日志分析过程中防火墙系统时间记录跟实际时间不匹配会对我们的正常排查工作造成困扰和误判尤其是多设备手动日志联动分析时很容易出现误判或者漏判的可能因此防火墙的系统时间要确保和网络中的NTP时间服务器时间相匹配。当然手动设置时间也是允许的需要根据业务实际情况进行设定。(3) 在【DNS】配置页面处配置【首选DNS服务器 】为192.168.1.100【备选DNS服务器】配置8.8.8.8配置完成后单击【应用】按钮完成【DNS】的配置补充知识点防火墙系统DNS是否要设置需要根据实际业务及应用场景来决定。一般情况下当防火墙需要在线升级都需要配置DNS。这时候防火墙系统相当于一台主机自身对外请求DNS解析。目的/原理防火墙在某些情况下需要对外发起DNS请求例如在线升级规则库时需解析升级服务器的域名如ngfwup.sg.qianxin.comURL过滤功能需解析目标网站域名判断是否违规与云端联动如威胁情报查询需DNS解析配置内部DNS192.168.1.100优先使用企业内网DNS提高解析速度和安全性。配置公共DNS8.8.8.8当内网DNS不可用时作为备用确保升级等功能不中断。✅实际意义DNS是防火墙“对外沟通”的桥梁。没有DNS防火墙可能无法完成在线升级、URL过滤、云端联动等关键功能4.规则库升级管理注该部分内容仅作演示原实验环境中防火墙设备规则库已完成升级(1) 单击【系统配置】→【升级管理】菜单选中【特征库升级】进入升级配置页面在特征库列表中选中其中要升级的特征库点击“手动升级”图标即可弹出升级对话框。本实验以“入侵防御特征库”升级为例进行演示(2) 单击【浏览】按钮在所弹出加载对话框中找到桌面上“升级文件”文件夹。找到对应的“入侵防御特征库”即可点击确定并等待特征库上传完毕此时升级工作完毕界面会显示最新的升级版本和特征数量补充知识点奇安信提供官方的下载渠道https://ngfwup.sg.qianxin.com/offline/download/#进入下载地址找到对应的系统版本号即可显示该版本所有的升级库信息。如实验中的防火墙版本号为6.1.13那么对应的升级信息根据实际升级需求点击下载链接保存本地即可。在下载完成后推荐使用hash工具进行一次哈希验证算出的结果跟官方公布的文件MD5进行匹配如果一致说明下载的升级包完整可以进行正常升级如果计算出来的结果跟官方公布的文件MD5不一致说明下载过程中出现异常文件不完整此时是无法完成升级的不同的厂商或产品官方公布的未见类型是不一样的有的公布MD5值有的公布SHA1值但其作用都一样就是确保所下载文件的有唯一性。针对特征库或升级库的文件格式不同厂商有不同的命名规则奇安信是采用“文件名时间版本说明”的方式命名其中说明部分不是命名必须的。如入侵防御规则库名称“ips_2210011046”表示的IPS规则库22年10月1日发布的1046版本。 命名中不同字母开头表示不同的升级库 app:表示此文件是系统版本升级 area表示此文件是防火墙内置的区域信息升级文件 av表示此文件是防病毒特征库升级文件后面pop表示通用版或者简版也就是策略库只包含常见的攻击方式一般配合防火墙在线云端杀毒使用。后面不带pop的是完整的策略库包含的样本库更全面一般配合防火墙离线杀毒使用 ioc表示此文件是威胁情报特征库升级文件 ips表示此文件是入侵防御特征库升级文件 url表示此文件是恶意网站或url链接特征库升级文件 注所有升级或更新操作在升级前请务必保存并备份防火墙当前配置防止因为升级失败导致配置丢失或者会退时使用。步骤核心目标实际意义证书导入激活防火墙高级安全功能没有授权防火墙等于“摆设”设备命名便于识别与管理标准化运维提升效率时间同步确保日志时间准确避免误判满足合规审计DNS配置支持在线升级与外部解析保障防火墙“对外沟通能力”规则库升级保持防护能力最新防范新型攻击避免防护滞后5.防火墙账户管理这一步主要是为了实现权限分离符合企业网络安全管理中的“最小权限原则”和等级保护要求。核心概念为什么要做账户管理在企业环境中不可能所有人都用最高权限的admin账号。风险管控如果普通运维人员拿到最高权限可能会误操作导致网络瘫痪或者恶意删除日志。职责分离经理只看不碰只读运维人员负责配置读写审计人员负责查日志只读。(1) 单击【系统配置】→【设备管理】→【管理角色】菜单进入【管理角色】配置页面单击【管理角色】配置页面的【添加】按钮如图所示。(2) 在弹出的【添加管理员角色】对话框中填写角色配置信息。【管理员角色名称】填入“给经理的管理员角色”创建管理员角色【描述】填入“经理”由于经理的账号只具有查看权限所以对所有模块均选择【只读】勾选【模块名称】列表框右侧的【只读】选项可对所有模块批量设置权限。配置完成后单击【确定】按钮关闭【添加管理员角色】对话框如图所示。(3) 再次单击【管理角色】配置页面的【添加】按钮在弹出的【添加管理员角色】对话框中填写角色配置信息。【管理员角色名称】填入“给小黄的管理员角色”【描述】填入“小黄”由于给小黄的账号只具有配置管理权限所以【系统配置】选择【无】【网络配置】选择【只读】【对象配置】和【策略配置】选择【读写】【首页】、【分析中心】和【数据中心】选择【只读】【处置中心】选择【读写】。配置完成后单击【确定】按钮关闭【添加管理员角色】对话框(4) 单击【系统配置】→【设备管理】→【管理账号】菜单进入【账号管理】配置页面单击【添加】按钮创建管理员(5) 在弹出的【添加管理员】对话框中配置管理员信息。【管理员名称】填入“审查管理员”【描述】填入“给经理的审查管理员角色”【角色】选择“给经理的管理员角色”选项【密码】和【确认密码】输入test1#$%,【登录类型】勾选【HTTPS】和【SSH】选项。配置完成后单击【确定】按钮关闭【添加管理员】对话框(6) 再次单击【管理账号】配置页面的【添加】按钮(7) 在弹出的【添加管理员】对话框中配置管理员信息。【管理员名称】填入“配置管理员”【描述】填入“给小黄的配置管理员角色”【角色】选择“给小黄的管理员角色”选项【密码】和【确认密码】输入test1#$%,【登录类型】勾选【HTTPS】和【SSH】选项。配置完成后单击【确定】按钮关闭【添加管理员】对话框(8) 返回【管理账号】配置页面可查看添加的审查管理员和配置管理员(9) 至此完成所有防火墙基本配置操作点击【保存】按钮进行配置保存注后续实验基本参数配置依次递增(10) 在所弹出的确认对话框中点击【确认】按钮进行完成保存(11) 点击【确认】按钮后会提示保存进度步骤操作对象核心动作目的Step 1管理角色创建“经理角色”定义一套只读的权限模板Step 2管理角色创建“小黄角色”定义一套细分读写的权限模板Step 3管理账号创建“审查管理员”生成账号绑定“经理角色”Step 4管理账号创建“配置管理员”生成账号绑定“小黄角色”Step 5全局点击【保存】固化配置使其生效【实验结论】1.防火墙可以实现SSH远程登录(1) 在管理终端桌面双击打开putty。在PuTTY Configuration对话框中的Host Name(or IP address)处输入10.0.0.1Connection type选择SSH选项其他选项保持默认单击【Open】按钮进行连接(2) 在弹出的PuTTY Security Alert界面中单击【是(Y)】按钮若无此步骤请忽略(3) 出现【login as:】后输入登陆用户名admin按回车完成输入(4) 出现【admin10.0.0.1’s password:】后输入用户admin的密码【!1fw2soc#3vpn】输入密码时不会有任何提示按回车键完成输入(5) 至此已经成功登陆出现【QAX-FW】提示符如图所示。同理也可以通过此操作进行telnet方式登录。(6) 综上所述防火墙可以实现SSH远程登录并且所显示提示符为所配置的设备名称QAX-FW满足实验预期1和3。2.授权导入确认功能和模块与购买时的相匹配授权模块图标变为橘红色。(1) 进入Web配置界面入侵防御、入侵防御库升级、云沙箱、反病毒、病毒库升级、威胁情报、威胁情报库升级、应用识别库升级、URL库升级、系统功能、虚拟系统功能等功能当前状态显示为 说明系统功能许可证导入成功。具体操作在防火墙web管理界面选择【系统配置】 【 许可证】(2) 综上所述防火墙授权证书导入成功满足实验预期2。3.修改设备名称进入命令行是QAX-FW字样。(1) 操作步骤同实验结果1通过putty工具登录后命令行提示符内容为“QAX-FW”(2) 综上所述修改设备名称后命令行界面提示符发生改变满足实验预期3。4.规则库升级到最新显示最新更新日期。(1) 单击【系统配置】→【升级管理】菜单选中【特征库升级】进入升级配置页面在特征库列表中查看各个特征库版本和官网公布的最新版本一致表示升级成功(2) 综上所述规则特征库【当前版本】与【最新版本】内容一致满足实验预期4。补充知识点防火墙连接互联网如何实现特征库的定期在线升级只有处于升级服务有效期内的特征库才能升级。查看特征库升级列表中“升级服务有效期”列的时间确认升级服务是否有效。否则请购买新的许可证更新特征库升级服务有效期。特征库升级支持自动升级、手动升级和立即升级。自动升级和立即升级需要使用升级服务器请先进行库升级设置。库升级设置支持用户自定义一台内网服务器作为私有升级服务器或使用默认的升级服务器。其中升级服务器的官方地址是“ngfwup.sg.qianxin.com” 不可随意修改并且防火墙配置DNS保证域名正常解析才能升级成功。如图所示
)
)
)
)
