《防火墙产品与维护教材.pptx》由会员分享,可在线阅读,更多相关《防火墙产品与维护教材.pptx(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、HUAWEI TECHNOLOGIES CO.,LTDHUAWEI Confidential Security Level:防火墙产品与维护ISSUE 1.0HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential l学习完本课程,您应该能够:了解Eudemon产品工作原理了解Eudemon产品规格和特性掌握Eudemon产品典型组网及配置HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介第一章防火墙技术简介第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三
2、章防火墙原理与特性第三章防火墙原理与特性HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙概述l网络安全问题成为近年来网络问题的焦点l网络安全包括基础设施安全、边界安全和管理安全等全方位策略l防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击l与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率l由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能l我司防火墙:Eudemon系列(英文含义守护神)一夫当关,万夫莫开HUAWEI TECHNOLOGIES CO.,LTD.HU
3、AWEI Confidential 防火墙的分类(一)l包过滤防火墙l代理防火墙l状态防火墙包过滤防火墙代理防火墙状态防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的分类(二)按照防火墙实现的方式,一般把防火墙分为如下几类:按照防火墙实现的方式,一般把防火墙分为如下几类:l包过滤防火墙包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另
4、外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。l代理型防火墙(代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。l状态检测防火墙状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定
5、数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙:高性能和高安全的完美结合。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙技术发展方向l软件防火墙。软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。l工控机类型防火墙。工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第
6、一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。l电信级硬件防火墙。电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。l基于基于NP电信级防火墙。电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1
7、000产品。软件防火墙软件防火墙=工控机类型防火墙工控机类型防火墙=电信级硬件防火墙电信级硬件防火墙=基于基于NPNP电信级防火墙电信级防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF安全技术(一)lASPF(Application Specific Packet Filter)是一种高级通信过滤,它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接,每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃.动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视通信过
8、程中的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF与ACL的比较比较内容比较内容ACLASPF原理原理对每个IP数据包按照用户所定义的策略规则(访问控制列表,ACL)进行过滤。包过滤不管会话的状态,也不分析数据对于每一个应用层协议建立会话信息以及状态信息,实时检测数据流的状态信息,并动态的根据状态信息决定数据包的动作配置配置较繁琐简单设计实现设计实现简单复杂,必须支持尽可能多的应用层协议,以保证用户的正常使用。并且需要实时增加协议的支持对系统性能影响对系统性能影响速度快,但策略过多会导致性能急剧下降需要进行状态检测等复杂处理,效率
9、相对于ACL低,并且消耗部分系统资源对多通道协议的支对多通道协议的支持持不支持非常适用于需要动态建立连接的应用协议安全性安全性低,无法检测某些来自于应用层的攻击行为高,能够根据连接的状态及应用层报文内容进行过滤,有效防范攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF基本概念lASPF三个基本概念会话表(Session):5元组完成连接;多通道协议:多通道(控制通道+数据通道)多通道协议主要包括:数据传输协议(FTP、TFTP等)、音视频相关(H.323协议族、SIP、MGCP等)、聊天通讯软件(MSN,QQ,ICQ等)Serverm
10、ap表项:临时通道(三元组)HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF对单通道协议的支持l在状态防火墙中会动态维护着一个Session表项,通过Session表项来检测基于连接的状态,动态地判断报文是否可以通过,从而决定哪些连接是合法访问,哪些是非法访问保护网络用户A初始化一个 Telnet 会话外部网络用户A目标服务器防火墙创建 Session表项其他用户用户用户A的的Telnet会话返回报文可以通过会话返回报文可以通过其他的其他的Telnet报文被阻塞不能通过报文被阻塞不能通过防火墙匹配Session表项报文HUAWEI TEC
11、HNOLOGIES CO.,LTD.HUAWEI Confidential ASPF对多通道协议的支持FTP用户192.168.0.1USG5000FTP server19.49.10.10(21/20)三次握手防火墙创建Servermap表项三次握手Port 192.168.0.1:893Port 192.168.0.1:893200 Port Command OKRETR Sample.txtRETR Sample.txt200 Port Command OK150 Opening ASCII connection150 Opening ASCII connectionSYN检测Serve
12、rmap表项,创建临时规则,打开数据通道192.168.0.1:22787192.168.0.1:22787SYNHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eudemon 200Eudemon 100EEudemon 500Eudemon 1000小型企业、远程办公中小型企业华赛电信级
13、硬件防火墙,从桌面式终端设备到高端千兆级别,以卓越的性华赛电信级硬件防火墙,从桌面式终端设备到高端千兆级别,以卓越的性能和先进的安全体系架构为网络提供强大的安全保障。能和先进的安全体系架构为网络提供强大的安全保障。NP架构架构Eudemon 300NP架构架构中型企业NP架构架构Eudemon 200S/USG2000大中型企业大型企业,运营商大型数据中心USG 3040USG 3030USG 50Eudemon 8080Eudemon 8040城域网流量清洗NP架构架构防火墙产品系列HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 主要防火墙性能
14、衡量指标l吞吐量吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支持大量规则下转发性能。l每秒建立连接速度每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。l并发连接数目并发连接数目 由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同
15、时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙产品参数一览型号参数USG50Eudemon 100EEudemon 200Eudemon 200SUSG3030USG3040应用应用小型企业小型企业小型企业小型企业中小型企业中小型企业中小型企业中小型企业中型企业中型企业中型企业中型企业整机吞吐量整机吞吐量(bps)(bps)100M100M260M260M400M400M500M500M1G1G1.5G1.5G每秒新建连接数每秒新建连接数20002000条条/秒秒13000130
16、00条条/秒秒2 2万条万条/秒秒2 2万条万条/秒秒2 2万万3 3万万并发连接数并发连接数1010万万5050万万5050万万5050万万50/10050/100万万50/10050/100万万IPSEC VPNIPSEC VPN连接连接数数64642K2K2K2K2K2K2K2K2K2K3DES3DES加密加密(bps)(bps)50M50M200M200M200M200M200M200M400M400M600M600M可靠性可靠性不支持双电不支持双电源源支持双机热支持双机热备备单电源单电源支持双机热支持双机热备备双电源(热双电源(热插拔),双插拔),双风扇(热插风扇(热插拔),双机拔)
17、,双机热备热备单电源单电源支持双机热支持双机热备备支持双电源支持双电源支持双机热支持双机热备备多风扇冗余多风扇冗余支持双电源支持双电源支持双机热支持双机热备备多风扇冗余多风扇冗余NATNAT、ASPFASPF支持支持支持支持支持支持支持支持支持支持支持支持虚拟防火墙虚拟防火墙不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 安全网关产品参数一览(续)型号参数Eudemon300Eudemon 500Eudemon 1000Eudemon8040Eudemon8080应用应用中型
18、企业中型企业大型,中型企大型,中型企业业大型企业大型企业大型企业大型企业大型企业大型企业整机吞吐量整机吞吐量(bps)(bps)1G1G2G2G4G4G6Gbps6Gbps12Gbps12Gbps每秒新建连接数每秒新建连接数1010万条万条/秒秒1010万条万条/秒秒1010万条万条/秒秒1010万条万条/秒秒2020万条万条/秒秒IPSEC VPNIPSEC VPN连接连接数数12K12K12K12K12K12K无无无无3DES3DES加密加密(bps)(bps)200M/1G200M/1G200M/1G200M/1G200M/1G200M/1G无无无无可靠性可靠性双电源(热插双电源(热插拔
19、),双风扇拔),双风扇(热插拔),(热插拔),双机热备,接双机热备,接口卡可热插拔,口卡可热插拔,支持支持BYPASSBYPASS卡卡双电源(热插双电源(热插拔),双风扇拔),双风扇(热插拔),(热插拔),双机热备,接双机热备,接口卡可热插拔,口卡可热插拔,支持支持BYPASSBYPASS卡卡双电源(热插双电源(热插拔),双风扇拔),双风扇(热插拔),(热插拔),双机热备,接双机热备,接口卡可热插拔,口卡可热插拔,支持支持BYPASSBYPASS卡卡双电源(热插双电源(热插拔),双风扇拔),双风扇(热插拔),(热插拔),双机热备,接双机热备,接口卡可热插拔,口卡可热插拔,支持支持BYPASSB
20、YPASS卡卡双电源(热插双电源(热插拔),双风扇拔),双风扇(热插拔),(热插拔),双机热备,接双机热备,接口卡可热插拔,口卡可热插拔,支持支持BYPASSBYPASS卡卡P2PP2P监控监控支持跟支持跟SIGSIG联联动动支持支持SIGSIG联动联动支持支持SIGSIG联动联动支持支持SIGSIG联动联动支持支持SIGSIG联动联动NAT/ASPFNAT/ASPF支持支持支持支持支持支持暂不支持暂不支持暂不支持暂不支持虚拟防火墙虚拟防火墙支持(支持(=100=100个)个)支持(支持(=100=100个)个)支持(支持(=100=100个)个)暂不支持暂不支持暂不支持暂不支持NP架构架构N
21、P架构架构NP架构架构NP架构架构NP架构架构HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的基本工作流程l传统包过滤防火墙(路由器)HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E200状态防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第三章防火墙原理与特性第三章防火墙原理与特性HUAWEI TECHNOLOG
22、IES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第三章防火墙原理与特性第第第第1 1节节节节 安全区域安全区域安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域(一)l防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Vzone区域区域Local区区域域Trust区域区域DMZ区域区域UnTrust区域区域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.
23、HUAWEI Confidential 防火墙的安全区域(二)l路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去禁止所有从DMZ区域的数据报转发到UnTrust区域Vzone区域区域Local区区域域Trust区域区域DMZ区域区域UnTrust区域区域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域(三)lEudemon防火墙上保留四个安全区域:虚拟区域(Vzone):最低级别的安全区域,其安全优先级为0。非受信区(Untrust):低级的
24、安全区域,其安全优先级为5。非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。受信区(Trust):较高级别的安全区域,其安全优先级为85。本地区域(Local):最高级别的安全区域,其安全优先级为100。l此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域(四)l域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区
25、域传输的方向。Vzone区域区域Local区区域域Trust区域区域DMZ区域区域UnTrust区域区域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域(五)本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃(EU200-VRP3.20-0314.01版本后支持)接口没有加入域之前不能转发包文Vzone区域区域Local区区域域Trust区域区域DMZ区域区域UnTrust区域区域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防
26、火墙的安全区域(六)HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第第第2 2节节节节 工作模式工作模式工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式(一)l路由模式l透明模式l混合模式HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式(二)l可以把路由模式理解为象路
27、由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。l报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式(三)l透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。lEudemon防火墙与网桥存在不同,Eudemon防火墙中IP报文还需要送到上层
28、进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。l透明模式可以配置系统IP。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式(四)l混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。HUAWEI TECHNO
29、LOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第第第3 3节节节节 安全防范安全防范安全防范安全防范第第4节节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范lACL(参考ACL原理)l安全策略lNATl攻击防范lIDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动HUAW
30、EI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPFlASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。l为保护网络安全,基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。lASPF对应用层的协议信息进行检测,通过维护会话的状态和检查会话报文的协议和端口号等信息,阻止恶意的入侵。HUAWEI TECHNOLOGIES C
31、O.,LTD.HUAWEI Confidential 黑名单(一)l黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。l黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单(二)l黑名
32、单的创建firewall firewall blacklist item sour-addr timeout minutes l黑名单的使能firewall firewall blacklist enablel黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 其它lMAC和IP地址绑定:指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从
33、这个IP发送的的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃,发送给这个IP地址的报文,在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护,是避免避免IP地址地址假冒攻击假冒攻击的一种方式。l端口识别简介 应用层协议一般使用通用的端口号(知名端口号)进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义(system-defined)和用户定义(user-defined)的端口识别表。HUAWEI TECHNOLOGIES CO.
34、,LTD.HUAWEI Confidential 防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 攻击类型简介l单报文攻击FraggleIp spoofLandSmurfl分片报文攻击Tear DropPing of deathl拒绝服务类攻击SYN FloodUDP Flood&ICMP Floodl扫描IP sweepPo
35、rt scanHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范(一)lFraggle原理:UDP端口7(echo)和19(Character Generator)在收到UDP报文后都会产生回应UDP端口7收到报文后会象ICMP Echo Reply一样回应收到的内容;UDP的19号端口在收到报文后,会产生一串字符流;攻击者伪冒受害者地址,向目的地址为广播地址的上述端口,发送请求,攻击者伪冒受害者地址,向目的地址为广播地址的上述端口,发送请求,会导致受害者被回应报文泛滥攻击会导致受害者被回应报文泛滥攻击如果将二者互指,源、目的都是
36、广播地址,会造成网络带宽被占满配置:firewall defend fraggle enable原理:过滤UDP类型的目的端口号为7或19的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范(二)lIP Spoof特征:地址伪冒目的:伪造IP地址发送报文配置:firewall defend ip-spoofing enable原理:对源地址进行路由表查找,如果发现报文进入接口不是本机所认为的这个IP地址的出接口,丢弃报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理
37、及防范(三)lLand原理把TCP的SYN包的源地址和目的地址都设置为目标计算机的IP地址。这将导致目标计算机向它自己发送SYN-ACK报文,目标计算机又向自己发回ACK报文并创建一个空连接配置:firewall defend land enable防范原理:对符合上述特征的报文丢弃HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 攻击者攻击者被攻击者被攻击者Ping广播地址 源地址被设置为被攻击者的IP被利用网络Smurf攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范(四)l
38、Smurf特征:伪冒受害者IP地址向广播地址发送ping echo目的:使受害者被网络上主机回复的响应淹没配置:firewall defend smurf enable原理:丢弃目的地址为广播地址的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 分片报文攻击原理及防范(一)lTear drop特征:分片报文后片和前片发生重叠目的:使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置:firewall defend teardrop enable原理:防火墙为分片报文建立数据结构,记录通过防火墙的分片报文的偏移量,发生重叠,丢
39、弃报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 分片报文攻击原理及防范(二)lPing of death特征:ping报文全长超过65535目的:使被攻击设备因处理不当而死机配置:firewall defend ping-of-death enable原理:检查报文长度如果最后分片的偏移量和本身长度相加超过65535,丢弃该分片HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 拒绝服务攻击利用网络资源瓶颈或者协议、系统本身的弱点,通过占据大量的共享资源,最后导致合法的用户请求就无法通过的一种攻击
40、方式。这是一类危害极大的攻击方式,严重的时候可以使一个网络瘫痪,而且容易实施,被称作黑客的终极武器。什么是拒绝服务攻击什么是拒绝服务攻击l拒绝服务攻击(DOS)l分布式拒绝服务攻击(DDOS)l分布式反弹拒绝服务(DRDOS)攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 拒绝服务攻击原理及防范(一)lSYN Flood特征:向受害主机发送大量TCP连接请求报文目的:使被攻击设备消耗掉所有处理能力,无法响应正常用户的请求配置:statistic enable ip inzonefirewall defend syn-flood ip X.X.
41、X.X|zone zonename max-number num max-rate num tcp-proxy auto|on|offfirewall defend syn-flood enable原理:防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理,代替受保护的主机回复请求,如果收到请求者的ACK报文,认为这是有效连接,在二者之间进行中转,否则删掉该会话HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 攻击者攻击者受害者受害者攻击者伪造源地址进行攻击者伪造源地址进行SYN请求请求为何还为何还没回应没回应就是让就是让你白等你白等不能建立
42、正常的连接不能建立正常的连接其它正常用户得不到响应其它正常用户得不到响应SYN(我可以和你连接吗?)(我可以和你连接吗?)ACK|SYN(可以,请确认!)(可以,请确认!)?SYNFlood攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 拒绝服务攻击原理及防范(二)lUDP/ICMP Flood特征:向受害主机发送大量UDP/ICMP报文目的:使被攻击设备消耗掉所有处理能力配置:statistic enable ip inzonefirewall defend udp/icmp-flood ip X.X.X.X|zone zonename m
43、ax-rate num firewall defend udp/icmp-flood enable原理:防火墙基于目的地址统计对每个IP地址收到的报文速率,超过设定的阈值上限,进行carHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扫描攻击原理和防范(一)lIP sweep特征:地址扫描,向一个网段内的IP地址发送报文 nmap目的:用以判断是否存在活动的主机以及主机类型等信息,为后续攻击作准备配置:Statistic enable ip outzoneFirewall defend ip-sweep max-rate num blacklis
44、t-timeout num原理:防火墙根据报文源地址进行统计,检查某个IP地址向外连接速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扫描攻击原理和防范(二)lPort scan特征:相同一个IP地址的不同端口发起连接目的:确定被扫描主机开放的服务,为后续攻击做准备配置:Statistic enable ip outzoneFirewall defend port-scan max-rate num blacklist-ti
45、meout num原理:防火墙根据报文源地址进行统计,检查某个IP地址向同一个IP地址发起连接的速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential IDS联动l由于防火墙自身具有一定的局限性,如检查的颗粒度较粗,难以对众多的协议细节进行深入的分析与检查协议细节进行深入的分
46、析与检查,并且防火墙具有防外不防防火墙具有防外不防内内的特点,难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。l因此,Eudemon防火墙开放了相关接口,通过与其它安全软件进行联动,从而构建统一的安全网络。网络中的IDS(Intrusion Detective System,攻击检测系统)系统就像在网络上装备了网络分析器,对网络传输进行监视。该系统熟悉最新的攻击手段,而且尽力在检查通过的每个报文,从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential IDS
47、联动1234IDS 服务器服务器提供基于应用层的过滤HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第第第4 4节节节节 VRRP&HRP VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential EudemonEudemon双机状态协议体系结构双机状态协议体系结构EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上层模块上层模块
48、上层模块EthernetVRRPVGMPHRP需要备份的模块HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VRRP用于防火墙多区域的备份 当防火墙上多个区域需要提供双机备份功能时,需要在一台防火墙上配置多个VRRP备份组。由于Eudemon防火墙是状态防火墙,它要求报文的来回路径通过同一台防火墙要求报文的来回路径通过同一台防火墙。为了满足这个限制条件,就要求在同一台防火墙上的所有VRRP备份组状态保持一致,即要保证在某一台防火墙上所有VRRP备份组都是主状态,这样所有报文都将从此防火墙上通过,而另外一台防火墙则充当备份设备。HUAWEI TEC
49、HNOLOGIES CO.,LTD.HUAWEI Confidential VGMP的引入与基本原理n由于每个传统的VRRP备份组是相互独立的,无法保证这种一致性,因此华为公司在VRRP的基础上进行了扩展,推出了VGMP(VRRP Group Management Protocol)来弥补VRRP在状态防火墙上使用时存在的局限。nVGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。DMZTrustUntrustEudemon
50、A10.100.20.0/24MasterEudemonBBackup10.100.10.0/24备份组 2备份组 3备份组 1管理组管理组HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VGMP基本原理介绍nVGMP状态(Master/Slave)当防火墙上的VGMP为Master状态时,它保证组内所有VRRP备份组的状态统一为Master状态,这样所有报文都将从该防火墙上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。nVGMP的报文nVGMP HELLO 与VRRP类似,状态为Master的