防火墙产品与维护讲义.pptx

《防火墙产品与维护讲义.pptx》由会员分享，可在线阅读，更多相关《防火墙产品与维护讲义.pptx（137页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、ISSUEISSUE数通技术支持部数通技术支持部数通技术支持部数通技术支持部防火墙产品与维护防火墙产品与维护防火墙产品与维护防火墙产品与维护3.03.0学习目标学习目标学习目标学习目标l了解了解Eudemon产品工作原理产品工作原理l了解了解Eudemon产品规格和特性产品规格和特性l掌握掌握Eudemon产品典型组网及配置产品典型组网及配置l掌握掌握Eudemon产品维护方法产品维护方法学习完本课程，您应该能够：学习完本课程，您应该能够：课程内容课程内容课程内容课程内容第一章第一章 Eudemon防火墙防火墙第二章第二章 Eudemon边界会话控制器边界会话控制器第一章第一章第一章第一章 E

2、udemon Eudemon防火墙培训防火墙培训防火墙培训防火墙培训1.防火墙技术简介防火墙技术简介2.防火墙体系结构防火墙体系结构3.防火墙原理与特性防火墙原理与特性4.防火墙升级指导防火墙升级指导5.防火墙故障处理指导防火墙故障处理指导华为产品维护资料4防火墙概述防火墙概述防火墙概述防火墙概述l网络安全问题成为近年来网络问题的焦点l网络安全包括基础设施安全、边界安全和管理安全等全方位策略l防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击l与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率l由于防火墙用于边界安全，因此往往

3、兼备NAT、VPN等功能l我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开防火墙的分类（一）防火墙的分类（一）防火墙的分类（一）防火墙的分类（一）l包过滤防火墙l代理防火墙l状态防火墙包过滤防火墙代理防火墙状态防火墙防火墙的分类防火墙的分类防火墙的分类防火墙的分类(二）二）二）二）按照防火墙实现的方式，一般把防火墙分为如下几类：按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙包过滤防火墙(Packet Filtering)(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和T

4、CP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（代理型防火墙（application gatewayapplication gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙状态检测防火墙 状态检测是

5、一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。防火墙技术发展方向防火墙技术发展方向防火墙技术发展方向防火墙技术发展方向1、软件防火墙。软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、工控机类型防火墙。工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特

6、性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。3、电信级硬件防火墙。电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、基于基于NP电信级防火墙。电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的

7、高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙软件防火墙=工控机类型防火墙工控机类型防火墙=电信级硬件防火墙电信级硬件防火墙=基于基于NP电信级防火墙电信级防火墙动态创建和删除过滤规则动态创建和删除过滤规则l改进的状态防火墙：Eudemon系列防火墙即采用的这种技术，这是华为特有的ASPF技术（Application specific packet filter），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。监视通信过程中的报文监视通信过程中的报文基于改进的状态检测安全技术（一）基于改进

8、的状态检测安全技术（一）基于改进的状态检测安全技术（一）基于改进的状态检测安全技术（一）ASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。基于改进的状态检测安全技术（二）基于改进的状态检测安全技术（二）基于改进的状态检测

9、安全技术（二）基于改进的状态检测安全技术（二）状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。基于改进的状态检测安全技术（三）基于改进的状态检测安全技术（三）基于改进的状态检测安全技术（三）基于改进的状态检测安全技术（三）FTP是File Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。检查接口上的外发检查接口上的外发IP报

10、文，确认为基于报文，确认为基于TCP的的FTP报文。报文。检查端口号确认连接为控制连接，检查端口号确认连接为控制连接，建立返回报文的临时建立返回报文的临时ACL和状和状态表态表。检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。DoS攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术（四）基于改进的状态检测安全技术（四）基于改进的

11、状态检测安全技术（四）基于改进的状态检测安全技术（四）主要防火墙性能衡量指标主要防火墙性能衡量指标主要防火墙性能衡量指标主要防火墙性能衡量指标1、吞吐量吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。2、每秒建立连接速度每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接

12、速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。3、并发连接数目并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。第一章第一章第一章第一章 防防防防火墙培训火墙培训火墙培训火墙培训1.防火墙技术简介防火墙技术简介2.防火墙体系结构防火墙体系结构3.防火墙原理与特性防火墙原理与特性4.防火墙升级指导防火墙升级指导5.防火墙故障处理指导防火墙故障处理指导华为产品维护资料14Eudemon 200Eude

13、mon 100EudemonEudemon系列防火墙外观系列防火墙外观系列防火墙外观系列防火墙外观华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。全保障。Eudemon 500Eudemon 1000EudemonEudemon系列防火墙性能系列防火墙性能系列防火墙性能系列防火墙性能项项 目目 技术参数与性能指标技术参数与性能指标Eudemon 100Eudemon 200Eudemon500Eudemo

14、n 1000整机吞吐率整机吞吐率100Mbps（实际略低）400Mbps1200M3Gbps并发连接数并发连接数20万50万50万80万每秒新建连接数每秒新建连接数5000条/秒20000条/秒100000条/秒100000条/秒Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。能充分发挥。Eudemon 200Eudemon 200：高效可靠的体系结构：高效可靠的体系结构：高效可靠的体系结构：高效可靠的体系结构双总线双总线双总线双总线双通道设计总线冲突减少，总带宽提升双通道收发互不影响接口卡1接口卡2PCI-0PCI-1

15、高速内部交换高速内部交换PCI0PCI1CPU精心设计的体系架构保证了防火墙即使是在精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能，字节报文下依旧保持优异转发性能，高速高速ACL技术保证了配置大量规则下，性能不受影响。技术保证了配置大量规则下，性能不受影响。Eudemon 500/1000：基于：基于NP逻辑结构逻辑结构Eudemon 500/1000：基于：基于NP的集中式多业务路由器的集中式多业务路由器CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线全模块化、基于全模块化、基于NP硬件集中式转发、电

16、信级可靠性；硬件集中式转发、电信级可靠性；TCP、UDP首包都是首包都是NP进行处理，保证了每秒新建连接进行处理，保证了每秒新建连接100,000条条/秒，充分保证秒，充分保证网络安全性。网络安全性。NP转发方式保证了转发方式保证了Eudemon 500和和1000在在64字节报文下分别超过字节报文下分别超过1G和和2G；基于硬件基于硬件ACL保证了配置大量规则情况，性能不受影响。保证了配置大量规则情况，性能不受影响。先进的体系架构先进的体系架构先进的体系架构先进的体系架构Eudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。Eudemon 500/1000Eudemon

17、500/1000防火墙采用网络防火墙采用网络处理器技术，高性能、可扩展性兼处理器技术，高性能、可扩展性兼顾。顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性能高，弱点是过于固化，无法升级NPCPUASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）防火墙的基本工作流程防火墙的基本工作流程防火墙的基本工作流程防火墙的基本工作流程l传统包过滤防火墙（路由器）E200E200状态防火墙状态防火墙状态防火墙状态防火墙与工控机类型防火墙技术对比与工控机类型防火墙技术对比与工控机类型防火墙技术对比与工控机类型防火墙技术对比大大项项子子项项工控机工控机类类型防火型防火墙墙

18、Eudemon 系列防火系列防火墙墙可靠性可靠性CPU计计算算机机通通用用CPU，功功耗耗大大，CPU需需要要借借用用风风扇扇散散热热。通通常常为为Intel Pentium系列系列CPU通信用通信用Powerpc系列，功耗低系列，功耗低电电源源计计算机算机电电源，有些工程机无源，有些工程机无电电源故障告警指示。源故障告警指示。通通信信专专用用电电源源，适适用用范范围围广广，电电源源支支持持1+1备备份份，可可热热插插拔拔，出出现现故故障障面面板板有有指指示示灯灯告告警警，并并上上送送告告警日志。警日志。器件器件计计算机通用器件，可靠性低算机通用器件，可靠性低高高优质优质器件器件散散热热系系统

19、统计计算算机机风风扇扇，一一般般内内置置。有有些些工工控控机机无无故故障障告告警警指指示示，可可能能由由于于风风扇扇问题导问题导致元器件致元器件损损坏。坏。智智能能散散热热系系统统。分分4组组8个个小小风风扇扇，温温度度智智能能检检测测，温温度度自自动动调调控控，风风扇扇支支持持热热插插拔拔，出出现现故故障障面面板板有有指示灯告警，并上送告警日志。指示灯告警，并上送告警日志。结结构构CPU+主板主板+网卡网卡无无源源背背板板设设计计，主主控控板板、散散热热系系统统、网网络络处处理理器器模模块块、接接口口模模块块、电电源源模模块块全全模模块块化化设设计计，可可独独立立更更换换。接口卡支持。接口卡

20、支持热热插拔。插拔。性能性能小小 包包（64字字节节）处处理理能能力力只有大包（只有大包（1K字字节节）处处理能力理能力1/101/6Eudemon 200小小包包超超过过120M，Eudemon 500/1000分分别别超超过过1G/2G每每秒秒新新增增连连接接百兆防火百兆防火墙墙只有几千，千兆防火只有几千，千兆防火墙墙 2万万Eudemon 500/1000 10万万安安规认证规认证如果只在国内如果只在国内销销售，一般售，一般为为省成本不做省成本不做认证认证CE、UL、FCC-PART15、TUV-GS、VCCI等等硬件成本硬件成本低低高高应应用用场场所所可靠性、性能要求没太高要求企可靠性

21、、性能要求没太高要求企业业可可靠靠性性、性性能能要要求求高高的的大大、中中型型企企业业及及电电信信运运营营网网络络千兆防火墙技术对比千兆防火墙技术对比千兆防火墙技术对比千兆防火墙技术对比大大项项子子项项基于基于ASIC方式千兆防火方式千兆防火墙墙Eudemon 500/1000防火防火墙墙结结构构CPU+ASICCPU+NP性能性能小包小包处处理能力理能力千兆千兆1G/2G每秒新增每秒新增连连接接 2万万10万万业务业务支持能力支持能力TCP连连接接处处理理CPU参与参与全部全部NP处处理理带宽带宽管理管理不不能能对对每每个个IP进进行行连连接接数数和和流流量量限限制制，支支持持QoS能力弱能

22、力弱支支持持对对每每个个IP进进行行连连接接数数和和流流量量限限制制，支支持持QoS防防DOS攻攻击击弱弱（支支 持持 TCP Proxy困困 难难，难难 以以 防防 范范 SYN FLOOD）强强（支支持持TCP Proxy容容易易，难难以以防防范范SYN FLOOD）业务业务支持能力支持能力支支持持通通常常TCP/UDP/ICMP，复复杂杂协协议议状状态态检检测测困困难难，支持，支持NAT ALG少。少。除除了了支支持持通通常常TCP/UDP/ICMP状状态态检检测测以以外外，可可以以支支持持H.323、RTSP、MGCP、SIP等等复复杂杂协议协议状状态检测态检测和和ALG，可支持多网合

23、一。，可支持多网合一。IPV6不能不能软软件升件升级级支持支持能能软软件升件升级级支持支持第一章第一章第一章第一章 防火墙培训防火墙培训防火墙培训防火墙培训1.防火墙技术简介防火墙技术简介2.防火墙体系结构防火墙体系结构3.防火墙原理与特性防火墙原理与特性4.防火墙升级指导防火墙升级指导5.防火墙故障处理指导防火墙故障处理指导华为产品维护资料24防火墙原理与特性防火墙原理与特性防火墙原理与特性防火墙原理与特性 1.安全区域安全区域2.工作模式工作模式3.安全防范安全防范4.VRRP&HRP华为产品维护资料25防火墙的安全区域（一）防火墙的安全区域（一）l防火墙的内部划分为多个区域，所有的转发接

24、口都唯一的属于某个区域Local区区域域Trust区域区域DMZ区域区域UnTrust区域区域接口1接口2接口3接口4防火墙的安全区域（二）防火墙的安全区域（二）防火墙的安全区域（二）防火墙的安全区域（二）l路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域防火墙的安全区域（三）防火墙的安全区域（三）防火墙的安全区域（三）防火墙的安全区域（三）lEudemon防火墙上保留四个安全区域：非受信区（Unt

25、rust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。l此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。防火墙的安全区域（四）防火墙的安全区域（四）防火墙的安全区域（四）防火墙的安全区域（四）l域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向

26、。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut防火墙的安全区域（五）防火墙的安全区域（五）防火墙的安全区域（五）防火墙的安全区域（五）本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域（六）防火墙的安全区域（六）防火

27、墙的安全区域（六）防火墙的安全区域（六）防火墙原理与特性防火墙原理与特性防火墙原理与特性防火墙原理与特性 1.安全区域安全区域2.工作模式工作模式3.安全防范安全防范4.VRRP&HRP华为产品维护资料32防火墙的三种工作模式（一）防火墙的三种工作模式（一）防火墙的三种工作模式（一）防火墙的三种工作模式（一）l路由模式l透明模式l混合模式防火墙的三种工作模式（二）防火墙的三种工作模式（二）防火墙的三种工作模式（二）防火墙的三种工作模式（二）l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通

28、过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙的三种工作模式（三）防火墙的三种工作模式（三）防火墙的三种工作模式（三）防火墙的三种工作模式（三）l透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。lEudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检

29、查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。l透明模式可以配置系统IP。防火墙的三种工作模式（四）防火墙的三种工作模式（四）防火墙的三种工作模式（四）防火墙的三种工作模式（四）l混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。防火墙原理与特性防火墙原理与特性防火墙原理与特性防火墙原理与特性 1.

30、安全区域安全区域2.工作模式工作模式3.安全防范安全防范4.VRRP&HRP华为产品维护资料37防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动访问控制列表是什么？访问控制列表是什么？访问控制列表是什么？访问控制列表是什么？l一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头报头TCP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则如何标识访问控制列表？如何标识访问控制列表？如何标识访问控制

31、列表？如何标识访问控制列表？l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围IP standard list199,2000-2999IP extended list100199,3000-3999 700799范围的ACL是基于MAC地址的访问控制列表备注：VRP3.20-0315.02（包括）后版本支持根据用户定义ACL规则进行信息检测，添加检测启动命令detect user-define acl-number aging-time，添加打开用户定义ACL规则的检测调试命令debugging f

32、irewall aspf user-defineACLACL加速加速加速加速l应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。l增加规则要重新下发：系统视图下acl accelerate enable l基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3ACL 规则库 防火墙的安全防范防火墙的安全

33、防范防火墙的安全防范防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动ASPFASPFlASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。l为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。lASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。黑名单（一）黑名单（一）黑名单（一）黑

34、名单（一）l黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。黑名单（二）黑名单（二）黑名单（二）黑名单（二）l黑名单的创建undo firewall blacklist item sour-addr timeout minutes

35、l黑名单的使能undo firewall blacklist enablel黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global 黑名单配置举例（一）黑名单配置举例（一）黑名单配置举例（一）黑名单配置举例（一）l服服务务器器和和客客户户机机分分别别位位于于防防火火墙墙Trust区区域域和和Untrust区区域域中中，现现要要在在100分钟内过滤掉客户机发送的所有分钟内过滤掉客户机发送的所有ICMP报文。报文。黑名单配置举例（二）黑名单配置举例（二）黑名单配置举例（二）

36、黑名单配置举例（二）lEudemon firewall blacklist item 202.169.168.10 timeout 100lEudemon firewall blacklist packet-filter icmp range globallEudemon firewall blacklist enable其它其它其它其它lMAC和IP地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从

37、而形成有效的保护，是避免IP地址假冒攻击的一种方式。注意其要点l端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defined）的端口识别表。防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序防火墙数据报安全

38、匹配的顺序数据报防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范lACLl安全策略lNATl攻击防范lIDS联动攻击类型简介（一）攻击类型简介（一）攻击类型简介（一）攻击类型简介（一）l单报文攻击单报文攻击FraggleFraggleIp spoofIp spoofLandLandSmurfSmurfTcp flagTcp flagWinnukeWinnukeip-fragmentip-fragment攻击类型简介（二）攻击类型简介（二）攻击类型简介（二）攻击类型简介（二）l分片报文攻击Tear DropTear DropPing of deathPing of deathl拒

39、绝服务类攻击SYN FloodSYN FloodUDP Flood&ICMP FloodUDP Flood&ICMP Floodl扫描IP sweepIP sweepPort scanPort scan单包攻击原理及防范（一）单包攻击原理及防范（一）单包攻击原理及防范（一）单包攻击原理及防范（一）l lFraggleFraggle特特特特 征征征征：UDPUDP报报报报 文文文文，目目目目 的的的的 端端端端 口口口口 7 7（echoecho）或或或或 1919（Character Character GeneratorGenerator）目的：目的：目的：目的：echoecho服务会将发送

40、给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去服务会将发送给这个端口的报文再次发送回去Character GeneratorCharacter Generator服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串服务会回复无效的字符串攻攻攻攻击击击击者者者者伪伪伪伪冒冒冒冒受受受受害害害害者者者者地地地地址址址址，向向向向目目目目的的的的地地地地址址址址为为为为广广广广播播播播地地地地址址址址的的的的上上上上述述述述端端端端口口口口，发发发发送请求，会导致受害者被回应报文泛滥攻击送请求，会导致受害者被回应报文泛滥攻击

41、送请求，会导致受害者被回应报文泛滥攻击送请求，会导致受害者被回应报文泛滥攻击如如如如果果果果将将将将二二二二者者者者互互互互指指指指，源源源源、目目目目的的的的都都都都是是是是广广广广播播播播地地地地址址址址，会会会会造造造造成成成成网网网网络络络络带带带带宽宽宽宽被被被被占占占占满满满满配置：配置：配置：配置：firewall defend fraggle enablefirewall defend fraggle enable原理：过滤原理：过滤原理：过滤原理：过滤UDPUDP类型的目的端口号为类型的目的端口号为类型的目的端口号为类型的目的端口号为7 7或或或或1919的报文的报文的报文的

42、报文单包攻击原理及防范（二）单包攻击原理及防范（二）单包攻击原理及防范（二）单包攻击原理及防范（二）l lIP SpoofIP Spoof特征：地址伪冒特征：地址伪冒特征：地址伪冒特征：地址伪冒目的：伪造目的：伪造目的：伪造目的：伪造IPIP地址发送报文地址发送报文地址发送报文地址发送报文配置：配置：配置：配置：firewall defend ip-spoofing enablefirewall defend ip-spoofing enable原原原原理理理理：对对对对源源源源地地地地址址址址进进进进行行行行路路路路由由由由表表表表查查查查找找找找，如如如如果果果果发发发发现现现现报报报报文

43、文文文进进进进入入入入接接接接口口口口不不不不是是是是本本本本机所认为的这个机所认为的这个机所认为的这个机所认为的这个IPIP地址的出接口，丢弃报文地址的出接口，丢弃报文地址的出接口，丢弃报文地址的出接口，丢弃报文单包攻击原理及防范（三）单包攻击原理及防范（三）单包攻击原理及防范（三）单包攻击原理及防范（三）l lLandLand特特特特征征征征：源源源源目目目目的的的的地地地地址址址址都都都都是是是是受受受受害害害害者者者者的的的的IPIP地地地地址址址址，或或或或者者者者源源源源地地地地址址址址为为为为127127这这这这个个个个网网网网段的地址段的地址段的地址段的地址目目目目的的的的：导

44、导导导致致致致被被被被攻攻攻攻击击击击设设设设备备备备向向向向自自自自己己己己发发发发送送送送响响响响应应应应报报报报文文文文，通通通通常常常常用用用用在在在在syn syn floodflood攻击中攻击中攻击中攻击中配置：配置：配置：配置：firewall defend land enablefirewall defend land enable防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃防范原理：对符合上述特征的报文丢弃单包攻击原理及防范（四）单包攻击原理及防范（四）单包攻击原理及防范（四）单包攻击原理及防范（四）l lSmurf

45、Smurf特征：伪冒受害者特征：伪冒受害者特征：伪冒受害者特征：伪冒受害者IPIP地址向广播地址发送地址向广播地址发送地址向广播地址发送地址向广播地址发送ping echoping echo目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没目的：使受害者被网络上主机回复的响应淹没配置：配置：配置：配置：firewall defend smurf enablefirewall defend smurf enable原理：丢弃目的地址为广播地址的报文原理：丢弃目的地址为广播地址的报文原理：丢弃目的地址为广播地址的报文原理：丢弃目

46、的地址为广播地址的报文单包攻击原理及防范（五）单包攻击原理及防范（五）单包攻击原理及防范（五）单包攻击原理及防范（五）l lTCP flagTCP flag特特特特征征征征：报报报报文文文文的的的的所所所所有有有有可可可可设设设设置置置置的的的的标标标标志志志志都都都都被被被被标标标标记记记记，明明明明显显显显有有有有冲冲冲冲突突突突。比比比比如如如如同同同同时设置时设置时设置时设置SYNSYN、FINFIN、RSTRST等位等位等位等位目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机目的：使被攻击主机因处理错误死机配置：配置：配置：配置：fir

47、ewall defend tcp-flag enablefirewall defend tcp-flag enable原理：丢弃符合特征的报文原理：丢弃符合特征的报文原理：丢弃符合特征的报文原理：丢弃符合特征的报文单包攻击原理及防范（六）单包攻击原理及防范（六）单包攻击原理及防范（六）单包攻击原理及防范（六）l lWinnukeWinnuke特特特特征征征征：设设设设置置置置了了了了分分分分片片片片标标标标志志志志的的的的IGMPIGMP报报报报文文文文，或或或或针针针针对对对对139139端端端端口口口口的的的的设设设设置置置置了了了了URGURG标志的报文标志的报文标志的报文标志的报文目的

48、：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机配置：配置：配置：配置：firewall defend winnuke enablefirewall defend winnuke enable原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文单包攻击原理及防范（七）单包攻击原理及防范（七）单包攻击原理及防范（七）单包攻击原理及防范（七）l lIp-fragIp-frag特征：同时设置了特征：同时设置了特征：同时设置了特征：同时设置了DFDF和和和和MFMF标

49、志，或偏移量加报文长度超过标志，或偏移量加报文长度超过标志，或偏移量加报文长度超过标志，或偏移量加报文长度超过6553565535目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机目的：使被攻击设备因处理不当而死机配置：配置：配置：配置：firewall defend ip-fragment enablefirewall defend ip-fragment enable原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文原理：丢弃符合上述特征报文分片报文攻击原理及防范（一）分片报文攻击原理及防范（一）分片报文攻击原

50、理及防范（一）分片报文攻击原理及防范（一）l lTear dropTear drop特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠特征：分片报文后片和前片发生重叠目目目目的的的的：使使使使被被被被攻攻攻攻击击击击设设设设备备备备因因因因处处处处理理理理不不不不当当当当而而而而死死死死机机机机或或或或使使使使报报报报文文文文通通通通过过过过重重重重组组组组绕绕绕绕过过过过防防防防火墙访问内部端口火墙访问内部端口火墙访问内部端口火墙访问内部端口配置：配置：配置：配置：firewall defend teardrop enablefirewall d