《华为防火墙基础和配置V11.ppt》由会员分享,可在线阅读,更多相关《华为防火墙基础和配置V11.ppt(91页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、HUAWEI TECHNOLOGIES CO.,LTDHUAWEI Confidential Security Level:防火墙基础ISSUE1.0业务与软件技术服务部集成产品部HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 学习目标l 了解防火墙的概念l 熟悉Eudemon 防火墙产品l 能够对Eudemon 防火墙进行规划和配置学习完本课程,您应该能够:Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 内容l 防火墙概念l Eudemon 防火墙介绍l Eudemon 防火墙配置步骤l
2、 Eudemon 防火墙的维护l 防火墙的常见组网方式Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的概念 随着Internet的日益普及,许多LAN(内部网络)已经直接可以接入Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造,防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的:“防止Internet的危险传播到你的内部
3、网络”。现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行互相的访问。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的概念简单的说,防火墙是保护一个网络免
4、受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网
5、络区域和非受信网络区域之间的区域,一般称为DMZ。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙和路由器的差异A的报文如何能最快的到B?网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。网络A 网络B交流路由信息这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点:逻辑子网之间的访问控制,关注边界安全。基于连接的转发特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常
6、强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源
7、端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能
8、支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法
9、访问。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的硬件发展防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采
10、用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 1000产品。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 内容 内容l 防火墙概念l Eudemon 防火墙
11、介绍l Eudemon 防火墙配置步骤l Eudemon 防火墙的维护l 防火墙的常见组网方式Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eudemon 防火墙介绍Eudemon 防火墙介绍 防火墙的介绍 安全区域 工作模式 控制列表 应用访问策略 ASPF 黑名单 Nat 地址转换 双机工作方式 VRRP 组 HRP 攻击防范Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 一夫当关,万夫莫开华为公司 华为公司Eudemon Eudemon 防火墙 防火墙Page HUAWE
12、I TECHNOLOGIES CO.,LTD.HUAWEI Confidential 华为公司系列硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓越的性能和先进的安全体系架构为用户提供了强大的安全保障Eudemon 1000/500Eudemon 200Eudemon 100华为公司Eudemon 系列防火墙Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eudemon 100l 定位于中小规模网络l 吞吐率:100Mbpsl 并发连接数:200,000 条l 新建连接率:5,000 条/秒l 支持4 个FE 接口Page HUAWE
13、I TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eudemon 200l 定位于中等规模网络l 吞吐率:400Mbpsl 并发连接数:500,000 条l 新建连接率:10,000 条/秒Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eudemon 1000/500l 定位于中大规模网络l 吞吐率:3Gbpsl 并发连接数:800,000 条l 新建连接率:100,000 条/秒Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 专用硬件系统
14、专用软件系统 高可靠 高安全 高性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统Eudemon 防火墙主要特点Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E100 E200 E1000接口数量 自带2 个10/100M 以太网口,另有2 个扩展接口插槽自带2 个10/100M 以太网口。2 个扩展接口插槽自带2 个10/100M 以太网口。4 个扩展接口插槽接口类型 10/100M 以太网 10/100M 以太网,E1、ATM接口FE/GE 口,E1、ATM、POS 等接口支持加密标准DES,3DES,AE
15、S,国密办算法DES,3DES,AES,国密办算法DES,3DES,AES,国密办算法加密速度(3DES)80M 100M 300M支持的认证类型RADIUS RADIUS RADIUSEudemon 防火墙基本规格Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E100 E200 E1000静态ACL 支持 支持,支持高速ACL 算法;3K 条支持,支持高速ACL 算法;20K 条支持,支持高速ACL 算法,100K 条提供基于时间的ACL 访问控制 支持 支持 支持传输层PROXY 代理 支持 支持 支持ActiveX、Java a
16、pplet 过滤 支持 支持 支持支持的抗攻击类型 支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、Winnuke、Land、Smurf、Fraggle等数十种攻击支持的应用状态检测 对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP 等进行应用状态检测IP 和MAC 地址绑定 支持 支持 支持Eudemon 防火墙基本规格Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E100 E200 E1000提供对SMTP,FTP 等协议的应用层有害命令检测和防御。支持 支持 支持NAT
17、主要支持ALG FTP、PPTP、DNS、NBT(NetBIOS over TCP)、ILS(Internet Locator Service)、ICMP、H.323、SIP 等协议等支持QoS 和带宽管理 支持 支持 支持支持负载均衡 支持 支持 支持支持工作模式 NAT,路由,透明 NAT,路由,透明 NAT,路由,透明失败恢复特性 双机状态热备;多机均衡,自动倒换;双机状态热备;多机均衡,自动倒换;双机状态热备;多机均衡,自动倒换;Eudemon 防火墙基本规格Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E100 E200 E
18、1000动态路由 支持RIP、OSPF 支持RIP、OSPF 支持RIP、OSPF支持SNMP 监控和配置 支持 支持 支持管理方式GUI,CLI GUI,CLI GUI,CLI集中管理多个防火墙 支持 支持 支持日志 支持二进制和SYSLOG 格式 支持二进制和SYSLOG 格式 支持二进制和SYSLOG 格式日志可设定输出信息 所有发起连接,流量,各种详细统计如分类丢弃报文等所有发起连接,流量,各种统计如分类丢弃报文等所有发起连接,流量,各种统计如分类丢弃报文等Eudemon 防火墙基本规格Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidenti
19、al 防火墙的安全区域l 防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域l 路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域Page HUAWEI TECHNOLOGIES CO.,L
20、TD.HUAWEI Confidential 防火墙的安全区域l Eudemon 防火墙上保留四个安全区域:非受信区(Untrust):低级的安全区域,其安全优先级为5。非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。受信区(Trust):较高级别的安全区域,其安全优先级为85。本地区域(Local):最高级别的安全区域,其安全优先级为100。l 此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16 个安全区域。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域l 域间的数据流分两
21、个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutPage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOut
22、InOutInOutPage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的模式l 路由模式l 透明模式l 混合模式Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的路由模式l 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口
23、找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的透明模式l 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP 地址进行各种安全策略的匹配。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的混
24、合模式l 混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP 需要在接口上配置IP 地址,而透明模式无法实现这一点。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 状态防火墙处理过程Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential IP包过滤技术介绍l 对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转
25、发或者丢弃。而实现包过滤的核心技术是访问控制列表。Internet公司总部内部网络未授权用户办事处Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 访问控制列表是什么?l 一个IP 数据包如下图所示(图中IP 所承载的上层协议为TCP):IP报头 TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 如何标识访问控制列表?l 利用数字标识访问控制列表l 利
26、用数字范围标识访问控制列表的种类列表的种类 数字标识的范围IP standard list 2000-2999IP extended list 3000-3999 40004099范围的ACL是基于MAC地址的访问控制列表Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 标准访问控制列表l 标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过!从192.110.10.0/24来的数据包不能通过!路由器Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Co
27、nfidential 标准访问控制列表的配置l 配置标准访问列表的命令格式如下:acl acl-number match-order config|auto rule permit|deny source source-addr source-wildcard|any 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 访问控制列表的组合l 一条访问列表可以由多条规则组成。对于这些规则,有两种匹配顺序:auto 和config 指定匹配该规则时按用户的配置顺序。l
28、规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP 地址结合比较 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。l 规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidenti
29、al 扩展访问控制列表l 扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!路由器Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扩展访问控制列表的配置命令l 配置TCP/UDP 协议的扩展访问列表:rule ID of acl rule permit|deny tcp|udp source source-addr source-wildcard|any source-port operator
30、port1 port2 destination dest-addr dest-wildcard|any destination-port operator port1 port2 loggingl 配置ICMP协议的扩展访问列表:rule ID of acl rule permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code loggingl 配置其它协议的扩展访问列表:rule ID of acl r
31、ule permit|deny ip|ospf|igmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any loggingPage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扩展访问控制列表操作符的含义操作符及语法意义Eq(equal portnumber)等于端口号 port numberGt(greater-than portnumber)大于端口号port numberLt(less-than portnumber)小于
32、端口号port numberNeq(not-equal portnumber)不等于端口号port number rangeportnumber1 portnumber2介于端口号portnumber1 和portnumber2 之间Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 在区域间应用访问控制列表 在区域间应用访问控制列表例子:创建编号为3001 的访问控制列表。Eudemon acl number 3001#配置ACL 规则,允许特定用户从外部网访问内部服务器。Eudemon-acl-adv-3001 rule permit
33、tcp source 202.39.2.3 0 destination 129.38.1.1 0Eudemon-acl-adv-3001 rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0Eudemon-acl-adv-3001 rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0上述配置已经完成了ACL 的创建。下面的配置是在包过滤应用中引用ACL,相关命令的具体解释请见相关章节的描述。#将ACL 规则3000 作用于Trust 区域到Untrust 区域
34、间的出方向。Eudemon-Interzone-trust-untrust packet-filter 3000 outbound#将ACL 规则3001 作用于Trust 区域到Untrust 区域间的入方向。Eudemon-Interzone-trust-untrust packet-filter 3001 inbound#在Trust 区域和Untrust 区域之间使能FTP 协议的应用协议检测。Eudemon-Interzone-trust-untrust detect ftpPage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential AS
35、PFl 为保护网络安全,基于ACL 规则的包过滤可以在 网络层 和 传输层 检测数据包,防止非法入侵。ASPF 能够检测应用层协议的信息,并对应用的流量进行监控。l ASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF 能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPFl ASPF 能够 监测FTP、HTTP、SMTP、
36、RSTP、H.323、TCP、UDP 的流量 DoS(Denial of Service,拒绝服务)的检测和防范。Java Blocking(Java 阻断)保护网络不受有害Java Applets 的破坏。Activex Blocking(Activex 阻断)保护网络不受有害Activex 的破坏。支持端口到应用的映射,为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录,包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 配置举例Pag
37、e HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 配置举例Eudemon firewall session aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 101Eudemon-acl-adv-101 rule deny ipEudemon acl number 10Eudemon-acl-basic-10 rule deny source 2.2.2.11 0.0.0.0Eudemon-acl-basic-10 ru
38、le permit source anyEudemon firewall packet-filter default permit interzone trust untrust direction outboundEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 101 inboundEudemon-interzone-trust-untrust detect ftpEudemon-interzone-trust-untrust detect httpEudemon-in
39、terzone-trust-untrust detect java-blocking 10Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单l 黑名单,指根据报文的源IP 地址进行过滤的一种方式。同基于ACL 的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP 地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon 防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP 地址的攻击企图之后,通过主动修改黑名单列表从而将该IP 地址发送的报文过滤掉。因此,
40、黑名单是防火墙一个重要的安全特性。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单l 黑名单的创建 undo firewall blacklist item sour-addr timeout minutes l 黑名单的使能 undo firewall blacklist enablel 黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global Page HUAWEI TECHNOLOGIES CO.,LT
41、D.HUAWEI Confidential 黑名单配置举例l 服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中,现要在100 分钟内过滤掉客户机发送的所有ICMP报文。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单配置举例l Eudemon firewall blacklist item 202.169.168.10 timeout 100l Eudemon firewall blacklist packet-filter icmp range globall Eudemon firewall blackli
42、st enablePage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 地址转换l NAT(Network Address Translation,地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问外部网络的功能。l 私有网络一般使用私有地址,RFC1918 为私有、内部的使用留出了三个IP 地址块,如下:A 类:10.0.0.0 10.255.255.255(10.0.0.0/8)B 类:172.16.0.0 172.31.255.255(172.16.0.0/12)C
43、类:192.168.0.0 192.168.255.255(192.168.0.0/16)l 上述三个范围内的地址不会在因特网上被分配,因而可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。l 路由器可以在接口上配置地址转换,Eudemon 防火墙是在区域之间实现地转换。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 多对多地址转换Eudemon 防火墙是通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制的。地址池:用于地址转换的一些公有IP 地址的集合。用户应根据自己拥有的合法IP 地址数目、内部网
44、络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个地址做为转换后的源地址。利用访问控制列表限制地址转换:只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围,使特定主机能够有权访问Internet。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 多对多地址转换Eudemon 防火墙上配置多对多地址转换的步骤如下:在系统视图下定义一个可以根据需要进行分配的NAT 地址池nat address-group group-number start-addr end-addr
45、其中,group-number 是标识这个地址池的编号,start-addr end-addr 是地址池的起始和结束IP 地址。在系统视图和ACL 视图下定义一个访问控制列表在系统视图下定义访问控制列表acl number acl-number match-order config|auto 在ACL 视图下定义访问控制规则rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging 在域间视图下将访问控制列表和NAT 地址池关联nat outbound acl-number a
46、ddress-group group-number Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Nat Server 配置 在实际应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW 的服务器,或是一台FTP 服务器。使用NAT 可以灵活地添加内部服务器,通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络可访问内部服务器的功能。nat server protocol pro-type global global-addr global-port1 global-port2 insi
47、de host-addr host-addr2 host-port nat server global global-addr inside host-addr Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Easy IP 配置Easy IP 的概念很简单,当进行地址转换时,直接使用接口的公有IP 地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。在域间视图下执行:nat outbound acl-number interface interface-name Page HUAWEI TECHNOLOG
48、IES CO.,LTD.HUAWEI Confidential 应用级网关ALGNAT 只能对IP 报文的头部地址和TCP/UDP 头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP 等,它们报文的数据部分可能包含IP 地址或端口信息,这些内容不能被NAT 有效的转换,这就可能导致问题。例如,一个使用内部IP 地址的FTP 服务器可能在和外部网络主机建立会话的过程中需要将自己的IP 地址发送给对方。而这个地址信息是放到IP 报文的数据部分,NAT 无法对它进行转换。当外部网络主机接收了这个私有地址并使用它,这时FTP 服务器将表现为不可达。解决这些特殊协议的NAT 转换问题的方法就
49、是在NAT 实现中使用ALG(Application Level Gateway,应用级网关)功能。ALG 是特定的应用协议的转换代理,它和NAT 交互以建立状态,使用NAT 的状态信息来改变封装在IP 报文数据部分中的特定数据,并完成其他必需的工作以使应用协议可以跨越不同范围运行。在系统视图下执行下列命令则使能了相应协议的ALG 功能nat alg enable ftp|h323|icmp|ras|qq|msn 在域间视图下为应用层协议配置ASPF 检测detect protocolPage HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential Eu
50、demon 双机热备什么是双机热备?所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。Page HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 双机热备的实现和原理实现双机热备的基本步骤:1.在接口上配置VRRP(虚拟路由器冗余协议)备份组,来发现防火墙的故障情况;2.将VRRP 备份组加入到VGMP(VRRP 组管理协议)中,以实现对VRRP 管理组的统一管理;