《26 防火墙产品与维护培训4509.pptx》由会员分享,可在线阅读,更多相关《26 防火墙产品与维护培训4509.pptx(95页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、华为版权所有,未经许可不得扩散华为版权所有,未经许可不得扩散防火墙产品与维护防火墙产品与维护防火墙产品与维护防火墙产品与维护ISSUE 1.0内部资料,注意保密学习目标学习目标学习目标学习目标学习完本课程,您应该能够:学习完本课程,您应该能够:q了解Eudemon产品工作原理q了解Eudemon产品规格和特性q掌握Eudemon产品典型组网及配置q掌握Eudemon产品维护方法1内部资料,注意保密第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四章防火墙升级指导第五章防火墙故障处理指导第五章防火墙
2、故障处理指导2内部资料,注意保密防火墙概述防火墙概述防火墙概述防火墙概述q网络安全问题成为近年来网络问题的焦点q网络安全包括基础设施安全、边界安全和管理安全等全方位策略q防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击q与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率q由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能q我司防火墙:Eudemon系列(英文含义守护神)一夫当关,万夫莫开3内部资料,注意保密防火墙的分类(一)防火墙的分类(一)防火墙的分类(一)防火墙的分类(一)q包过滤防火墙q代理防火墙q状态防火墙包过
3、滤防火墙代理防火墙状态防火墙4内部资料,注意保密防火墙的分类防火墙的分类防火墙的分类防火墙的分类(二)二)二)二)按照防火墙实现的方式,一般把防火墙分为如下几类:按照防火墙实现的方式,一般把防火墙分为如下几类:q包过滤防火墙包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。q代理型防火墙(代理型防火墙(application ga
4、teway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。q状态检测防火墙状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙:高性能和高安全的完美结合。5内部资料,注意保密防火
5、墙技术发展方向防火墙技术发展方向防火墙技术发展方向防火墙技术发展方向q软件防火墙。软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。q工控机类型防火墙工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。q电信级硬件防火墙。电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源
6、、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。q基于基于NP电信级防火墙。电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙软件防火墙=工控机类型防火墙工控机类型防火墙=电信级硬件防火墙电信级硬件防火墙=基于基于NP电信级防火墙电信级防火墙6内部资料
7、,注意保密基于改进的状态检测安全技术(一)基于改进的状态检测安全技术(一)基于改进的状态检测安全技术(一)基于改进的状态检测安全技术(一)q改进的状态防火墙:Eudemon系列防火墙即采用的这种技术,这是华为特有的ASPF技术(Application specific packet filter),它结合了代理型防火墙安全性高、状态防火墙速度快的优点,因此安全性高,处理能力强。动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视通信过程中的报文7内部资料,注意保密基于改进的状态检测安全技术(二)基于改进的状态检测安全技术(二)基于改进的状态检测安全技术(二)基于改进的状态检测安
8、全技术(二)qASPF(Application Specific Packet Filter)增强VRP平台上的防火墙功能,提供针对应用层的报文过滤功能。qASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。qASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,以对一部分攻击加以检测和防范。8内部资料,注意保密基于改进的状态检测安全技术(三)基于改进的状态检测安全技术(三)基于改进的状态检测安全技术(三)基于改进的状态检测安全技术(三)q状
9、态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。9内部资料,注意保密DoS攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术(四)基于改进的状态检测安全技术(四)基于改进的状态检测安全技术(四)基于改进的状态检测安全技术(四)qFTP是File Transfer Protocol(文件传输协议)要用到两个TCP连接,一个是控制通道,用来在FTP客户端与服务器之间传递命令;另一个
10、是数据通道,用来上传或下载数据。检查接口上的外发IP报文,确认为基于TCP的FTP报文。q检查端口号确认连接为控制连接,建立返回报文的临时ACL和状态表。q检查FTP控制连接报文,解析FTP 指令,根据指令更新状态表,如果包含数据通道建立指令,则创建另外的数据连接的临时ACL,对于数据连接,不进行状态检测。q对返回报文作根据协议类型做相应匹配检查,检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。10内部资料,注意保密主要防火墙性能衡量指标主要防火墙性能衡量指标主要防火墙性能衡量指标主要防火墙性能衡量指标q吞吐量吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处
11、理能力的。因网络流量大部分是200字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支持大量规则下转发性能。q每秒建立连接速度每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。q并发连接数目并发连接数目 由于防火墙是针对连接进行处理报文的,并发连接
12、数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问11内部资料,注意保密第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章第三章 防火墙原理与特性防火墙原理与特性第四章第四章 防火墙升级指导防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导12内部资料,注意保密EudemonEudemon系列防火墙外观系列防火墙外观系列防火墙外观系列防火墙外观q华为公司系列电信级硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 200Eudemon 100Eu
13、demon 500Eudemon 100013内部资料,注意保密EudemonEudemon系列防火墙性能系列防火墙性能系列防火墙性能系列防火墙性能项项 目目 技术参数与性能指标技术参数与性能指标Eudemon 100Eudemon 200Eudemon500Eudemon 1000整机吞吐率整机吞吐率100Mbps(实际略低)400Mbps1200M3Gbps并发连接数并发连接数20万50万50万80万每秒新建连接数每秒新建连接数5000条/秒20000条/秒100000条/秒100000条/秒qEudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。14内部资料,注意保密
14、Eudemon 200Eudemon 200:高效可靠的体系结构:高效可靠的体系结构:高效可靠的体系结构:高效可靠的体系结构双总线双总线双总线双总线q双通道设计q总线冲突减少,总带宽提升q双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换高速内部交换PCI0PCI1CPUq精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能,高速ACL技术保证了配置大量规则下,性能不受影响。15内部资料,注意保密Eudemon 500/1000:基于:基于NP的集中式多业务路由器的集中式多业务路由器Eudemon 500/1000 Eudemon 500/1000:基于:基
15、于:基于:基于NPNP逻辑结构逻辑结构逻辑结构逻辑结构q全模块化、基于NP硬件集中式转发、电信级可靠性;qTCP、UDP首包都是NP进行处理,保证了每秒新建连接100,000条/秒,充分保证网络安全性。NP转发方式保证了Eudemon 500和1000在64字节报文下分别超过1G和2G;q基于硬件ACL保证了配置大量规则情况,性能不受影响。CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线16内部资料,注意保密先进的体系架构先进的体系架构先进的体系架构先进的体系架构qEudemon防火墙完全自主开发。软件采用专有操作系统,安全/高
16、性能并重。qEudemon 500/1000防火墙采用网防火墙采用网络处理器技术,高性能、可扩展性络处理器技术,高性能、可扩展性兼顾。兼顾。CPU功能灵活,可不断升级,弱点是性能低。ASIC性能高,弱点是过于固化,无法升级NPCPUASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP(网络处理器)17内部资料,注意保密防火墙的基本工作流程防火墙的基本工作流程防火墙的基本工作流程防火墙的基本工作流程q传统包过滤防火墙(路由器)18内部资料,注意保密E200E200状态防火墙状态防火墙状态防火墙状态防火墙19内部资料,注意保密与工控机类型防火墙技术对比与工控机类型防火墙技术对比与工控
17、机类型防火墙技术对比与工控机类型防火墙技术对比大大项项子子项项工控机工控机类类型防火型防火墙墙Eudemon 系列防火系列防火墙墙可靠性可靠性CPU计计算机通用算机通用CPU,功耗大,功耗大,CPU需要借用需要借用风风扇散扇散热热。通常。通常为为Intel Pentium系列系列CPU通信用通信用Powerpc系列,功耗低系列,功耗低电电源源计计算机算机电电源,有些工程机无源,有些工程机无电电源故障告警指示。源故障告警指示。通信通信专专用用电电源,适用范源,适用范围围广,广,电电源支持源支持1+1备备份,份,可可热热插拔,出插拔,出现现故障面板有指示灯告警,并上送告故障面板有指示灯告警,并上送
18、告警日志。警日志。器件器件计计算机通用器件,可靠性低算机通用器件,可靠性低高高优质优质器件器件散散热热系系统统计计算机算机风风扇,一般内置。有些工控机无故障告警指示,可能由扇,一般内置。有些工控机无故障告警指示,可能由于于风风扇扇问题导问题导致元器件致元器件损损坏。坏。智能散智能散热热系系统统。分。分4组组8个小个小风风扇,温度智能扇,温度智能检测检测,温度自温度自动调动调控,控,风风扇支持扇支持热热插拔,出插拔,出现现故障面板有故障面板有指示灯告警,并上送告警日志。指示灯告警,并上送告警日志。结结构构CPU+主板主板+网卡网卡无源背板无源背板设计设计,主控板、散,主控板、散热热系系统统、网、
19、网络处络处理器模理器模块块、接口模、接口模块块、电电源模源模块块全模全模块块化化设计设计,可独立更,可独立更换换。接口卡支持。接口卡支持热热插拔。插拔。性能性能小包(小包(64字字节节)处处理能理能力力只有大包(只有大包(1K字字节节)处处理能力理能力1/101/6Eudemon 200小包超小包超过过120M,Eudemon 500/1000分分别别超超过过1G/2G每秒新增每秒新增连连接接百兆防火百兆防火墙墙只有几千,千兆防火只有几千,千兆防火墙墙 2万万Eudemon 500/1000 10万万安安规认证规认证如果只在国内如果只在国内销销售,一般售,一般为为省成本不做省成本不做认证认证C
20、E、UL、FCC-PART15、TUV-GS、VCCI等等硬件成本硬件成本低低高高应应用用场场所所可靠性、性能要求没太高要求企可靠性、性能要求没太高要求企业业可靠性、性能要求高的大、中型企可靠性、性能要求高的大、中型企业业及及电电信运信运营营网网络络20内部资料,注意保密千兆防火墙技术对比千兆防火墙技术对比千兆防火墙技术对比千兆防火墙技术对比大大项项子子项项基于基于ASIC方式千兆防火方式千兆防火墙墙Eudemon 500/1000防火防火墙墙结结构构CPU+ASICCPU+NP性能性能小包小包处处理能力理能力千兆千兆1G/2G每秒新增每秒新增连连接接 2万万10万万业务业务支持能力支持能力T
21、CP连连接接处处理理CPU参与参与全部全部NP处处理理带宽带宽管理管理不能不能对对每个每个IP进进行行连连接数和流量限制,支持接数和流量限制,支持QoS能力弱能力弱支持支持对对每个每个IP进进行行连连接数和流量限制,支持接数和流量限制,支持QoS防防DOS攻攻击击弱(支持弱(支持TCP Proxy困困难难,难难以防范以防范SYN FLOOD)强强(支持(支持TCP Proxy容易,容易,难难以防范以防范SYN FLOOD)业务业务支持能力支持能力支持通常支持通常TCP/UDP/ICMP,复,复杂协议杂协议状状态检测态检测困困难难,支持,支持NAT ALG少。少。除了支持通常除了支持通常TCP/
22、UDP/ICMP状状态检测态检测以外,以外,可以支持可以支持H.323、RTSP、MGCP、SIP等复等复杂杂协议协议状状态检测态检测和和ALG,可支持多网合一。,可支持多网合一。IPV6不能不能软软件升件升级级支持支持能能软软件升件升级级支持支持21内部资料,注意保密第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四章防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导22内部资料,注意保密第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作
23、模式第第3节节 安全防范安全防范第第4节节 VRRP&HRP23内部资料,注意保密防火墙的安全区域(一)防火墙的安全区域(一)防火墙的安全区域(一)防火墙的安全区域(一)q防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口424内部资料,注意保密Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域(二)防火墙的安全区域(二)防火墙的安全区域(二)防火墙的安全区域(二)q路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的
24、数据报从这个接口出去禁止所有从DMZ区域的数据报转发到UnTrust区域25内部资料,注意保密防火墙的安全区域(三)防火墙的安全区域(三)防火墙的安全区域(三)防火墙的安全区域(三)qEudemon防火墙上保留四个安全区域:非受信区(Untrust):低级的安全区域,其安全优先级为5。非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。受信区(Trust):较高级别的安全区域,其安全优先级为85。本地区域(Local):最高级别的安全区域,其安全优先级为100。q此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。26内部资料,注意保密防火墙的
25、安全区域(四)防火墙的安全区域(四)防火墙的安全区域(四)防火墙的安全区域(四)q域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut27内部资料,注意保密防火墙的安全区域(五)防火墙的安全区域(五)防火墙的安全区域(五)防火墙的安全区域(五)本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃(EU200-VRP3.20-0314.01版本后
26、支持)接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口428内部资料,注意保密防火墙的安全区域(六)防火墙的安全区域(六)防火墙的安全区域(六)防火墙的安全区域(六)29内部资料,注意保密第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP&HRP30内部资料,注意保密防火墙的三种工作模式(一)防火墙的三种工作模式(一)防
27、火墙的三种工作模式(一)防火墙的三种工作模式(一)q路由模式q透明模式q混合模式31内部资料,注意保密防火墙的三种工作模式(二)防火墙的三种工作模式(二)防火墙的三种工作模式(二)防火墙的三种工作模式(二)q可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。32内部资料,注意保密防火墙的三种工作模式(三)防火墙的三种工作模式(三)防火墙的三种工作模式(三)防火墙的三种工作模式(
28、三)q透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。qEudemon防火墙与网桥存在不同,Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。q透明模式可以配置系统IP。33内部资料,注意保密防火墙的
29、三种工作模式(四)防火墙的三种工作模式(四)防火墙的三种工作模式(四)防火墙的三种工作模式(四)q混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。34内部资料,注意保密第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP&HRP35内部资料,注意保密防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范
30、qACL(参考ACL原理)q安全策略qNATq攻击防范qIDS联动36内部资料,注意保密ACLACL加速加速加速加速q应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度,因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。q增加规则要重新下发:系统视图下acl accelerate enable q基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3AC
31、L 规则库 37内部资料,注意保密防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范qACLq安全策略qNATq攻击防范qIDS联动38内部资料,注意保密ASPFASPFqASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。q为保护网络安全,基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。qASPF对应用层的协议信息进行检测,通过维护会话的状态和检查
32、会话报文的协议和端口号等信息,阻止恶意的入侵。39内部资料,注意保密黑名单(一)黑名单(一)黑名单(一)黑名单(一)q黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。40内部资料,注意保密黑名单(二)黑名单(二)黑名单(二)黑名单(
33、二)q黑名单的创建undo firewall blacklist item sour-addr timeout minutes q黑名单的使能undo firewall blacklist enableq黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global 41内部资料,注意保密黑名单配置举例(一)黑名单配置举例(一)黑名单配置举例(一)黑名单配置举例(一)q服务器和客户机分别位于防火墙Trust区域和Untrust区域中,现要在100分钟内过滤掉客户机发送的所有IC
34、MP报文。42内部资料,注意保密黑名单配置举例(二)黑名单配置举例(二)黑名单配置举例(二)黑名单配置举例(二)qEudemon firewall blacklist item 202.169.168.10 timeout 100qEudemon firewall blacklist packet-filter icmp range globalqEudemon firewall blacklist enable43内部资料,注意保密其它其它其它其它qMAC和IP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文,如果其MAC地址
35、不是指定关系对中的地址,防火墙将予以丢弃,发送给这个IP地址的报文,在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护,是避免IP地址假冒攻击的一种方式。注意其要点q端口识别简介应用层协议一般使用通用的端口号(知名端口号)进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义(system-defined)和用户定义(user-defined)的端口识别表。44内部资料,注意保密防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范qAC
36、Lq安全策略qNATq攻击防范qIDS联动45内部资料,注意保密防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序数据报46内部资料,注意保密防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范qACLq安全策略qNATq攻击防范qIDS联动47内部资料,注意保密攻击类型简介(一)攻击类型简介(一)攻击类型简介(一)攻击类型简介(一)q单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment48内部资料,注意保密攻击类型简介(二)攻击类型简介(二)攻击类型简介(二)攻击类型简
37、介(二)q分片报文攻击Tear DropTear DropPing of deathPing of deathq拒绝服务类攻击SYN FloodSYN FloodUDP Flood&ICMP FloodUDP Flood&ICMP Floodq扫描IP sweepIP sweepPort scanPort scan49内部资料,注意保密单包攻击原理及防范(一)单包攻击原理及防范(一)单包攻击原理及防范(一)单包攻击原理及防范(一)qFraggle特征:UDP报文,目的端口7(echo)或19(Character Generator)目的:echo服务会将发送给这个端口的报文再次发送回去Char
38、acter Generator服务会回复无效的字符串攻击者伪冒受害者地址,向目的地址为广播地址的上述端口,发送请求,会导致受害者被回应报文泛滥攻击如果将二者互指,源、目的都是广播地址,会造成网络带宽被占满配置:firewall defend fraggle enable原理:过滤UDP类型的目的端口号为7或19的报文50内部资料,注意保密单包攻击原理及防范(二)单包攻击原理及防范(二)单包攻击原理及防范(二)单包攻击原理及防范(二)qIP Spoof特征:地址伪冒目的:伪造IP地址发送报文配置:firewall defend ip-spoofing enable原理:对源地址进行路由表查找,如
39、果发现报文进入接口不是本机所认为的这个IP地址的出接口,丢弃报文51内部资料,注意保密单包攻击原理及防范(三)单包攻击原理及防范(三)单包攻击原理及防范(三)单包攻击原理及防范(三)qLand特征:源目的地址都是受害者的IP地址,或者源地址为127这个网段的地址目的:导致被攻击设备向自己发送响应报文,通常用在syn flood攻击中配置:firewall defend land enable防范原理:对符合上述特征的报文丢弃52内部资料,注意保密单包攻击原理及防范(四)单包攻击原理及防范(四)单包攻击原理及防范(四)单包攻击原理及防范(四)qSmurf特征:伪冒受害者IP地址向广播地址发送pi
40、ng echo目的:使受害者被网络上主机回复的响应淹没配置:firewall defend smurf enable原理:丢弃目的地址为广播地址的报文53内部资料,注意保密单包攻击原理及防范(五)单包攻击原理及防范(五)单包攻击原理及防范(五)单包攻击原理及防范(五)qTCP flag特征:报文的所有可设置的标志都被标记,明显有冲突。比如同时设置SYN、FIN、RST等位目的:使被攻击主机因处理错误死机配置:firewall defend tcp-flag enable原理:丢弃符合特征的报文54内部资料,注意保密单包攻击原理及防范(六)单包攻击原理及防范(六)单包攻击原理及防范(六)单包攻击
41、原理及防范(六)qWinnuke特征:设置了分片标志的IGMP报文,或针对139端口的设置了URG标志的报文目的:使被攻击设备因处理不当而死机配置:firewall defend winnuke enable原理:丢弃符合上述特征报文55内部资料,注意保密单包攻击原理及防范(七)单包攻击原理及防范(七)单包攻击原理及防范(七)单包攻击原理及防范(七)qIp-frag特征:同时设置了DF和MF标志,或偏移量加报文长度超过65535目的:使被攻击设备因处理不当而死机配置:firewall defend ip-fragment enable原理:丢弃符合上述特征报文56内部资料,注意保密分片报文攻击
42、原理及防范(一)分片报文攻击原理及防范(一)分片报文攻击原理及防范(一)分片报文攻击原理及防范(一)qTear drop特征:分片报文后片和前片发生重叠目的:使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置:firewall defend teardrop enable原理:防火墙为分片报文建立数据结构,记录通过防火墙的分片报文的偏移量,一点发生重叠,丢弃报文57内部资料,注意保密分片报文攻击原理及防范(二)分片报文攻击原理及防范(二)分片报文攻击原理及防范(二)分片报文攻击原理及防范(二)qPing of death特征:ping报文全长超过65535目的:使被攻击设备
43、因处理不当而死机配置:firewall defend ping-of-death enable原理:检查报文长度如果最后分片的偏移量和本身长度相加超过65535,丢弃该分片58内部资料,注意保密拒绝服务攻击原理及防范(一)拒绝服务攻击原理及防范(一)拒绝服务攻击原理及防范(一)拒绝服务攻击原理及防范(一)qSYN Flood特征:向受害主机发送大量TCP连接请求报文目的:使被攻击设备消耗掉所有处理能力,无法响应正常用户的请求配置:statistic enable ip inzonefirewall defend syn-flood ip X.X.X.X|zone zonename max-nu
44、mber num max-rate num tcp-proxy auto|on|offfirewall defend syn-flood enable原理:防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理,代替受保护的主机回复请求,如果收到请求者的ACK报文,认为这是有效连接,在二者之间进行中转,否则删掉该会话59内部资料,注意保密拒绝服务攻击原理及防范(二)拒绝服务攻击原理及防范(二)拒绝服务攻击原理及防范(二)拒绝服务攻击原理及防范(二)qUDP/ICMP Flood特征:向受害主机发送大量UDP/ICMP报文目的:使被攻击设备消耗掉所有处理能力配置:statistic enab
45、le ip inzonefirewall defend udp/icmp-flood ip X.X.X.X|zone zonename max-rate num firewall defend udp/icmp-flood enable原理:防火墙基于目的地址统计对每个IP地址收到的报文速率,超过设定的阈值上限,进行car60内部资料,注意保密扫描攻击原理和防范(一)扫描攻击原理和防范(一)扫描攻击原理和防范(一)扫描攻击原理和防范(一)qIP sweep特征:地址扫描,向一个网段内的IP地址发送报文 nmap目的:用以判断是否存在活动的主机以及主机类型等信息,为后续攻击作准备配置:Stati
46、stic enable ip outzoneFirewall defend ip-sweep max-rate num blacklist-timeout num原理:防火墙根据报文源地址进行统计,检查某个IP地址向外连接速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单61内部资料,注意保密扫描攻击原理和防范(二)扫描攻击原理和防范(二)扫描攻击原理和防范(二)扫描攻击原理和防范(二)qPort scan特征:相同一个IP地址的不同端口发起连接目的:确定被扫描主机开放的服务,为后续攻击做准备配置:Statistic e
47、nable ip outzoneFirewall defend port-scan max-rate num blacklist-timeout num原理:防火墙根据报文源地址进行统计,检查某个IP地址向同一个IP地址发起连接的速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离注意:如果要启用黑名单隔离功能,需要先启动黑名单62内部资料,注意保密防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文防火墙防范的其他报文qIcmp redirectqIcmp unreachableqLarge icmpqRoute recordqTime stampqtrace
48、rt63内部资料,注意保密防火墙的安全防范防火墙的安全防范防火墙的安全防范防火墙的安全防范qACLq安全策略qNATq攻击防范qIDS联动64内部资料,注意保密IDSIDS联动联动联动联动q由于防火墙自身具有一定的局限性,如检查的颗粒度较粗,难以对众多的协议细节进行深入的分析与检查,并且防火墙具有防外不防内的特点,难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此,Eudemon防火墙开放了相关接口,通过与其它安全软件进行联动,从而构建统一的安全网络。网络中的IDS(Intrusion Detective System,攻击检测系统)系统就像在网络上装备了网络分析器,对网络传输
49、进行监视。该系统熟悉最新的攻击手段,而且尽力在检查通过的每个报文,从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。65内部资料,注意保密IDSIDS联动联动联动联动1234IDS 服务器服务器提供基于应用层的过滤66内部资料,注意保密IDSIDS联动配置举例联动配置举例联动配置举例联动配置举例67内部资料,注意保密第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP&HRP68内部资料,注意保密VRRPVRRP和和和和VGMPVGMP(一)(一)(一)(一)q传统
50、VRRP备份组q在防火墙上应用的问题(多个组主备不一致)qVrrp Group Management Protocol状态一致性(组内vrrp同步变换状态)抢占管理(屏蔽vrrp抢占)通道管理(data,trans-only)69内部资料,注意保密VRRPVRRP和和和和VGMPVGMP(二)(二)(二)(二)q两个防火墙上各接口之间的隶属关系两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应,包括接口插槽、类型、编号、相关配置等(IP地址除外)。q两个防火墙上各两个防火墙上各VRRP备份组之间的隶属关系备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须