企業(yè)培訓_防火墻配置培訓

SecPath防火墻技術介紹 2 學習目標 防火墻的域和模式攻擊防范 包過濾 ASPF NAT 黑名單的使用方法 學習完本課程 您應該能夠了解 3 防火墻的模式 路由模式為防火墻的以太網接口 以GigabitEthernet0 0為例 配置IP地址 SecPath interfaceGigabitEthernet0 0 SecPath GigabitEthernet0 0 ipaddress192 168 0 1255 255 255 0透明模式當防火墻工作在透明模式下時 其所有接口都將工作在第二層 即不能為接口配置IP地址 這樣 用戶若要對防火墻進行Web管理 需在透明模式下為防火墻配置一個系統(tǒng)IP地址 SystemIP 用戶可以通過此地址對防火墻進行Web管理 缺省情況下 防火墻工作在路由模式 1 配置防火墻工作在透明模式 SecPath firewallmode routeRoutemodetransparentTransparentmode SecPath firewallmodetransparentSetsystemipaddresssuccessfully TheGigabitEthernet0 0hasbeeninpromiscuousoperationmode TheGigabitEthernet0 1hasbeeninpromiscuousoperationmode AlltheInterfaces sipshavebeendeleted Themodeissetsuccessfully 從以上顯示的系統(tǒng)提示信息可以看出 防火墻已經工作在透明模式下 且所有接口上的IP地址已經被刪除 2 為防火墻配置系統(tǒng)IP地址 SecPath firewallsystem ip192 168 0 1255 255 255 0Setsystemipaddresssuccessfully 說明 當防火墻切換到透明模式時 系統(tǒng)為防火墻分配了一個缺省系統(tǒng)IP地址169 0 0 1 8 可以使用上述命令更改系統(tǒng)IP地址 4 防火墻的模式 可以把路由模式理解為象路由器那樣工作 防火墻每個接口連接一個網絡 防火墻的接口就是所連接子網的網關 報文在防火墻內首先通過入接口信息找到進入域信息 然后通過查找轉發(fā)表 根據(jù)出接口找到出口域 再根據(jù)這兩個域確定域間關系 然后使用配置在這個域間關系上的安全策略進行各種操作 透明模式的防火墻則可以被看作一臺以太網交換機 防火墻的接口不能配IP地址 整個設備出于現(xiàn)有的子網內部 對于網絡中的其他設備 防火墻是透明的 報文轉發(fā)的出接口 是通過查找橋接的轉發(fā)表得到的 在確定域間之后 安全模塊的內部仍然使用報文的IP地址進行各種安全策略的匹配 相比較而言 路由模式的功能更強大一些 而在用戶的網絡無法變更的情況下 可以考慮采用透明模式 5 防火墻的屬性配置命令 打開或者關閉防火墻firewall enable disable 設置防火墻的缺省過濾模式firewalldefault permit deny 顯示防火墻的狀態(tài)信息displayfirewall 6 在接口上應用訪問控制列表 將訪問控制列表應用到接口上指明在接口上是OUT還是IN方向 Ethernet0 Serial0 訪問控制列表3作用在Serial0接口上在in方向上有效 7 基于時間段的包過濾 特殊時間段內應用特殊的規(guī)則 Internet 上班時間 上午8 00 下午5 00 只能訪問特定的站點 其余時間可以訪問其他站點 8 時間段的配置命令 timerange命令timerange enable disable undo settr命令settrbegin timeend time begin timeend time undosettr顯示isintr命令displayisintr顯示timerange命令displaytimerange 9 訪問控制列表的組合 一條訪問列表可以由多條規(guī)則組成 對于這些規(guī)則 有兩種匹配順序 auto和config 規(guī)則沖突時 若匹配順序為auto 深度優(yōu)先 描述的地址范圍越小的規(guī)則 將會優(yōu)先考慮 深度的判斷要依靠通配比較位和IP地址結合比較access list4deny202 38 0 00 0 255 255access list4permit202 38 160 10 0 0 255兩條規(guī)則結合則表示禁止一個大網段 202 38 0 0 上的主機但允許其中的一小部分主機 202 38 160 0 的訪問 規(guī)則沖突時 若匹配順序為config 先配置的規(guī)則會被優(yōu)先考慮 10 防火墻 在測試環(huán)境中 劃分了最常用的三個安全區(qū)域 Untrust區(qū)域 用于連接外部網絡 DMZ區(qū)域 放置對外服務器 Trust區(qū)域 用于連接內部安全網絡 Lanswitch Trust區(qū)域 PC1 192 168 2 2 24 serverA Internet 11 防火墻基本配置 SecPath InterfaceGigabitEthernet0 0ipaddress192 168 3 1255 255 255 0InterfaceGigabitEthernet0 1ipaddress192 168 1 1255 255 255 0InterfaceEthernet1 0ipaddress192 168 2 1255 255 255 0PC1 配置IP地址為192 168 1 3 24PC2 配置IP地址為192 168 1 2 24 12 防火墻的功能演示 13 防火墻的功能演示 14 防火墻的功能演示 15 防火墻的功能演示 16 ASPF ASPF ApplicationSpecificPacketFilter 是針對應用層的包過濾 即基于狀態(tài)的報文過濾 它和普通的靜態(tài)防火墻協(xié)同工作 以便于實施內部網絡的安全策略 ASPF能夠檢測試圖通過防火墻的應用層協(xié)議會話信息 阻止不符合規(guī)則的數(shù)據(jù)報文穿過 為保護網絡安全 基于ACL規(guī)則的包過濾可以在網絡層和傳輸層檢測數(shù)據(jù)包 防止非法入侵 ASPF能夠檢測應用層協(xié)議的信息 并對應用的流量進行監(jiān)控 17 ASPF ASPF能夠監(jiān)測FTP HTTP SMTP RSTP H 323 TCP UDP的流量DoS DenialofService 拒絕服務 的檢測和防范 JavaBlocking Java阻斷 保護網絡不受有害JavaApplets的破壞 ActivexBlocking Activex阻斷 保護網絡不受有害Activex的破壞 支持端口到應用的映射 為基于應用層協(xié)議的服務指定非通用端口 增強的會話日志功能 可以對所有的連接進行記錄 包括連接時間 源地址 目的地址 使用端口和傳輸字節(jié)數(shù)等信息 18 攻擊類型簡介 單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip fragment 19 攻擊類型簡介 分片報文攻擊TearDropPingofdeath拒絕服務類攻擊SYNFloodUDPFlood ICMPFlood掃描IPsweepPortscan 20 單包攻擊原理及防范 1 Fraggle特征 UDP報文 目的端口7 echo 或19 CharacterGenerator 目的 echo服務會將發(fā)送給這個端口的報文再次發(fā)送回去CharacterGenerator服務會回復無效的字符串攻擊者偽冒受害者地址 向目的地址為廣播地址的上述端口 發(fā)送請求 會導致受害者被回應報文泛濫攻擊如果將二者互指 源 目的都是廣播地址 會造成網絡帶寬被占滿配置 firewalldefendfraggleenable原理 過濾UDP類型的目的端口號為7或19的報文 21 單包攻擊原理及防范 2 IPSpoof特征 地址偽冒目的 偽造IP地址發(fā)送報文配置 firewalldefendip spoofingenable原理 對源地址進行路由表查找 如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口 丟棄報文 22 單包攻擊原理及防范 3 Land特征 源目的地址都是受害者的IP地址 或者源地址為127這個網段的地址目的 導致被攻擊設備向自己發(fā)送響應報文 通常用在synflood攻擊中配置 firewalldefendlandenable防范原理 對符合上述特征的報文丟棄 23 單包攻擊原理及防范 4 Smurf特征 偽冒受害者IP地址向廣播地址發(fā)送pingecho目的 使受害者被網絡上主機回復的響應淹沒配置 firewalldefendsmurfenable原理 丟棄目的地址為廣播地址的報文 24 單包攻擊原理及防范 5 TCPflag特征 報文的所有可設置的標志都被標記 明顯有沖突 比如同時設置SYN FIN RST等位目的 使被攻擊主機因處理錯誤死機配置 firewalldefendtcp flagenable原理 丟棄符合特征的報文 25 單包攻擊原理及防范 6 Winnuke特征 設置了分片標志的IGMP報文 或針對139端口的設置了URG標志的報文目的 使被攻擊設備因處理不當而死機配置 firewalldefendwinnukeenable原理 丟棄符合上述特征報文 26 單包攻擊原理及防范 7 Ip frag特征 同時設置了DF和MF標志 或偏移量加報文長度超過65535目的 使被攻擊設備因處理不當而死機配置 firewalldefendip fragmentenable原理 丟棄符合上述特征報文 27 分片報文攻擊原理及防范 1 Teardrop特征 分片報文后片和前片發(fā)生重疊目的 使被攻擊設備因處理不當而死機或使報文通過重組繞過防火墻訪問內部端口配置 firewalldefendteardropenable原理 防火墻為分片報文建立數(shù)據(jù)結構 記錄通過防火墻的分片報文的偏移量 一點發(fā)生重疊 丟棄報文 28 分片報文攻擊原理及防范 2 Pingofdeath特征 ping報文全長超過65535目的 使被攻擊設備因處理不當而死機配置 firewalldefendping of deathenable原理 檢查報文長度如果最后分片的偏移量和本身長度相加超過65535 丟棄該分片 29 拒絕服務攻擊原理及防范 1 SYNFlood特征 向受害主機發(fā)送大量TCP連接請求報文目的 使被攻擊設備消耗掉所有處理能力 無法響應正常用戶的請求配置 statisticenableipinzonefirewalldefendsyn flood ipX X X X zonezonename max numbernum max ratenum tcp proxyauto on off firewalldefendsyn floodenable原理 防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進行代理 代替受保護的主機回復請求 如果收到請求者的ACK報文 認為這是有效連接 在二者之間進行中轉 否則刪掉該會話 30 拒絕服務攻擊原理及防范 2小 UDP ICMPFlood特征 向受害主機發(fā)送大量UDP ICMP報文目的 使被攻擊設備消耗掉所有處理能力配置 statisticenableipinzonefirewalldefendudp icmp flood ipX X X X zonezonename max ratenum firewalldefendudp icmp floodenable原理 防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率 超過設定的閾值上限 進行car 31 掃描攻擊原理和防范 1 IPsweep特征 地址掃描 向一個網段內的IP地址發(fā)送報文nmap目的 用以判斷是否存在活動的主機以及主機類型等信息 為后續(xù)攻擊作準備配置 StatisticenableipoutzoneFirewalldefendip sweep max ratenum blacklist timeoutnum 原理 防火墻根據(jù)報文源地址進行統(tǒng)計 檢查某個IP地址向外連接速率 如果這個速率超過了閾值上限 則可以將這個IP地址添加到黑名單中進行隔離注意 如果要啟用黑名單隔離功能 需要先啟動黑名單 32 掃描攻擊原理和防范 2 Portscan特征 相同一個IP地址的不同端口發(fā)起連接目的 確定被掃描主機開放的服務 為后續(xù)攻擊做準備配置 StatisticenableipoutzoneFirewalldefendport scan ma