HC110310002HCNASecurityCBSN第二章防火墻基礎(chǔ)技術(shù)V10

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHC1103華為防火墻V300R001V1.0開(kāi)發(fā)/優(yōu)化者時(shí)間審核人開(kāi)發(fā)類型（新開(kāi)發(fā)/優(yōu)化）陳靈光2011.7余雷第一版本頁(yè)不打印第二章防火墻基礎(chǔ)技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:了解防火墻的定義和分類理解防火墻的主要功能和技術(shù)理解防火墻的轉(zhuǎn)發(fā)數(shù)據(jù)流和基本配置目錄防火墻概述防火墻工作模式防火墻安全區(qū)域防火墻功能特性防火墻基本配置防火墻概述內(nèi)網(wǎng)防火墻被入侵路由器防火墻特征：邏輯區(qū)域過(guò)濾器隱藏內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)自身安全保障主動(dòng)防御攻擊未經(jīng)防火墻流量可防護(hù)嗎？防火墻分類按照形態(tài)分為硬件防火墻軟件防火墻按照保護(hù)對(duì)象分為單機(jī)防火墻網(wǎng)絡(luò)防火墻按照訪問(wèn)控制方式分為包過(guò)濾防火墻代理防火墻狀態(tài)檢測(cè)防火墻防火墻分類—包過(guò)濾防火墻APP數(shù)據(jù)鏈路層TCP層IP層TCP層IP層只檢測(cè)報(bào)頭IPTCP1.無(wú)法關(guān)聯(lián)數(shù)據(jù)包之間關(guān)系2.無(wú)法適應(yīng)多通道協(xié)議3.通常不檢查應(yīng)用層數(shù)據(jù)數(shù)據(jù)鏈路層防火墻分類—代理防火墻發(fā)送連接請(qǐng)求外網(wǎng)終端代理防火墻內(nèi)網(wǎng)Server向Server發(fā)送報(bào)文A’對(duì)請(qǐng)求進(jìn)行安全檢查，不通過(guò)則阻斷連接通過(guò)檢查后與Server建立連接通過(guò)檢查后與Client建立連接向防火墻發(fā)送報(bào)文A向防火墻發(fā)送回應(yīng)報(bào)文B向終端發(fā)送回應(yīng)報(bào)文B’1.處理速度慢2.升級(jí)困難防火墻分類—狀態(tài)檢測(cè)防火墻HostServerTCPSYN安全策略檢查記錄會(huì)話信息TCPACKTCPSYN’TCPACKTCPSYN狀態(tài)錯(cuò)誤，丟棄TCPACK’1.處理后續(xù)包速度快2.安全性高防火墻硬件平臺(tái)分類IntelX86適用于百兆網(wǎng)絡(luò)，受CPU處理能力和PCI總線速度的限制NP網(wǎng)絡(luò)處理器是專門為處理數(shù)據(jù)包而設(shè)計(jì)的可編程處理器，是X86與ASIC之間的折衷方案防火墻硬件平臺(tái)多核新一代的硬件平臺(tái)。多核方案，更高的集成度、更高效的核間通信和管理機(jī)制。ASIC硬件集成電路，它把指令或計(jì)算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能目錄防火墻概述防火墻工作模式防火墻安全區(qū)域防火墻功能特性防火墻基本配置防火墻工作模式防火墻工作模式路由模式透明模式混合模式路由模式：每接口均有IP地址；透明模式：每接口無(wú)IP地址；混合模式：部分接口有IP地址；透明模式的接口一定無(wú)IP地址嗎？防火墻工作模式—路由模式路由模式特點(diǎn)支持更多安全特性對(duì)網(wǎng)絡(luò)拓?fù)溆兴绊慖nternet/30/3029/3033/30UntrustTrust防火墻工作模式—透明模式透明模式特點(diǎn)對(duì)網(wǎng)絡(luò)拓?fù)渫该鱅nternet/30/30TrustUntrust防火墻工作模式—混合模式混合模式特點(diǎn)對(duì)網(wǎng)絡(luò)拓?fù)渫该鱅nternet/30/3029/3030/30/30/30單防火墻是否支持混合模式TrustUntrust目錄防火墻概述防火墻工作模式防火墻安全區(qū)域防火墻功能特性防火墻基本配置防火墻安全區(qū)域定義企業(yè)內(nèi)網(wǎng)財(cái)務(wù)服務(wù)器ERP數(shù)據(jù)服務(wù)器OA服務(wù)器用戶終端ISPBISPA郵件服務(wù)器Web服務(wù)器缺省安全區(qū)域非受信區(qū)域Untrust非軍事化區(qū)域DMZ

受信區(qū)域Trust

本地區(qū)域LocalUntrustDMZTrustLocal區(qū)域呢？Inbound與Outbound定義企業(yè)內(nèi)網(wǎng)Inbound與Outbound定義什么是Inbound?什么是Outbound？Untrust區(qū)域InternetTrust區(qū)域高優(yōu)先級(jí)低優(yōu)先級(jí)OutboundInbound防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個(gè)具有完全相同安全級(jí)別的安全區(qū)域？防火墻是否允許同一物理接口分屬于兩個(gè)不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個(gè)安全區(qū)域？InternetG0/0/0Trust區(qū)域G0/0/1Trust區(qū)域G0/0/2DMZ區(qū)域G0/0/3Untrust區(qū)域目錄防火墻概述防火墻工作模式防火墻安全區(qū)域防火墻功能特性防火墻基本配置防火墻多業(yè)務(wù)功能WLAN/WWAN交換統(tǒng)一管理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG靜態(tài)路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾郵件URL過(guò)濾WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墻主要功能—訪問(wèn)控制主機(jī)A服務(wù)器數(shù)據(jù)載荷IPTCPMAC識(shí)別報(bào)頭標(biāo)識(shí)，給出執(zhí)行措施身份標(biāo)識(shí)身份檢查主體屬性主體操作策略訪問(wèn)控制防火墻基本功能—深度檢測(cè)技術(shù)基于特征字的識(shí)別技術(shù)基于應(yīng)用層網(wǎng)關(guān)識(shí)別技術(shù)基于行為模式識(shí)別技術(shù)Agent：客戶端代理SACG：安全接入控制網(wǎng)關(guān)(防火墻)SM:管理服務(wù)器SC:控制服務(wù)器VPN

訪問(wèn)分支機(jī)構(gòu)SRSSPSSACG防病毒服務(wù)器域管理服務(wù)器安全管理員補(bǔ)丁服務(wù)器AgentAgentAgentAgent安全審計(jì)員認(rèn)證前域AgentSACG聯(lián)動(dòng)技術(shù)認(rèn)證后域SMSCUCL：帳號(hào)ACL可靠性1—雙機(jī)熱備TRUST域UNTRUST域USG（從）PCPCPC服務(wù)器服務(wù)器USG（主）內(nèi)部網(wǎng)絡(luò)/24外部網(wǎng)絡(luò)/24VRRP：提供冗余備份功能VGMP：統(tǒng)一設(shè)備上所有接口的主備狀態(tài)HRP：同步防火墻之間會(huì)話信息即配置信息可靠性2—IPLINK運(yùn)營(yíng)商AXIP-Link自動(dòng)偵測(cè)的偵測(cè)結(jié)果可以被其他特性所引用，主要應(yīng)用包括：應(yīng)用在靜態(tài)路由中應(yīng)用在雙機(jī)熱備份中運(yùn)營(yíng)商BQoS技術(shù)接收?qǐng)?bào)文分類與標(biāo)記擁塞監(jiān)管擁塞管理帶寬保證端到端的流量控制

提供業(yè)務(wù)質(zhì)量保障 提高客戶服務(wù)滿意程度保證資源利用最大化，全面提升服務(wù)質(zhì)量防火墻日志審計(jì)企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)用戶外部網(wǎng)絡(luò)日志服務(wù)器可收集網(wǎng)絡(luò)中所有通過(guò)該設(shè)備的日志通過(guò)二進(jìn)志日志格式實(shí)現(xiàn)高速日志流傳輸配合eLog日志軟件，可以為用戶提供清晰網(wǎng)絡(luò)訪問(wèn)記錄，分析備查。防火墻特性1安全區(qū)域會(huì)話表與ASPF長(zhǎng)連接分片緩存包過(guò)濾TrustUntrustDmzLocal會(huì)話表：五元組Servermap表：

三元組對(duì)應(yīng)數(shù)據(jù)流需要長(zhǎng)時(shí)間不被老化

先于首片分片報(bào)文到達(dá)的后續(xù)分片報(bào)文存于分片緩存實(shí)現(xiàn)對(duì)IP報(bào)文的過(guò)濾

攻擊防范報(bào)文統(tǒng)計(jì)黑名單MAC與IP地址綁定端口識(shí)別攻擊防范功能能夠檢測(cè)出多種類型的網(wǎng)絡(luò)攻擊通過(guò)對(duì)報(bào)文統(tǒng)計(jì)分析，防火墻實(shí)現(xiàn)了對(duì)內(nèi)部網(wǎng)絡(luò)的保護(hù)

用戶IP地址匹配黑名單后將被屏蔽

避免IP地址假冒攻擊允許用戶針對(duì)不同的應(yīng)用在知名端口號(hào)之外定義一組新的端口號(hào)防火墻特性2訪問(wèn)控制列表網(wǎng)絡(luò)地址轉(zhuǎn)換認(rèn)證與授權(quán)二層隧道協(xié)議GREVPN是包過(guò)濾、NAT、IPSec、QoS、策略路由等應(yīng)用的基礎(chǔ)減緩IP地址空間枯竭的速度隱藏內(nèi)部網(wǎng)絡(luò)的私有IP地址

RADIUS協(xié)議HWTACACS采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型三層隧道協(xié)議，采用Tunnel（隧道）的技術(shù)IPSecVPN負(fù)載均衡IP-CARP2P限流日志功能私有性完整性真實(shí)性防御重放攻擊利用各個(gè)服務(wù)器的處理能力，達(dá)到流量分擔(dān)的目的IP連接數(shù)限制IP帶寬限制限制P2P流量，保證其他業(yè)務(wù)的正常進(jìn)行攻擊防范日志流量監(jiān)控日志黑名單日志各種統(tǒng)計(jì)信息防火墻性能指標(biāo)—吞吐量吞吐量：防火墻能同時(shí)處理的最大數(shù)據(jù)量有效吞吐量：除掉TCP因?yàn)閬G包和超時(shí)重發(fā)的數(shù)據(jù),實(shí)際的每秒傳輸有效速率防火墻性能指標(biāo)—延時(shí)定義：數(shù)據(jù)包的最后一個(gè)比特進(jìn)入防火墻到第一個(gè)比特輸出防火墻的時(shí)間間隔指標(biāo)，是用于測(cè)量防火墻處理數(shù)據(jù)的速度理想的情況時(shí)間間隔Smartbits6000B最后一個(gè)比特進(jìn)入第一個(gè)比特輸出包需要在隊(duì)列中被檢測(cè)后才可以轉(zhuǎn)發(fā)包到達(dá)延遲防火墻性能指標(biāo)—每秒新建連接數(shù)定義：指每秒鐘可以通過(guò)防火墻建立起來(lái)的完整TCP連接該指標(biāo)是用來(lái)衡量防火墻數(shù)據(jù)流的實(shí)時(shí)處理能力防火墻性能指標(biāo)—并發(fā)連接數(shù)定義：由于防火墻是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問(wèn)。該參數(shù)是用來(lái)衡量主機(jī)和服務(wù)器間能同時(shí)建立的最大連接數(shù)并發(fā)連接并發(fā)連接目錄防火墻概述防火墻工作模式防火墻安全區(qū)域防火墻功能特性防火墻基本配置VRP平臺(tái)1實(shí)現(xiàn)統(tǒng)一的用戶界面和管理界面。包括統(tǒng)一的實(shí)時(shí)操作系統(tǒng)內(nèi)核、IP軟轉(zhuǎn)發(fā)引擎、路由處理和配置管理平面。2實(shí)現(xiàn)控制平面功能，并定義轉(zhuǎn)發(fā)平面接口規(guī)范，實(shí)現(xiàn)各產(chǎn)品轉(zhuǎn)發(fā)平面與VRP控制平面之間的交互。3實(shí)現(xiàn)網(wǎng)絡(luò)接口層，屏蔽各產(chǎn)品鏈路層對(duì)于網(wǎng)絡(luò)層的差異。VRP命令行級(jí)別參觀級(jí) 網(wǎng)絡(luò)診斷工具命令（ping、tracert）、從本設(shè)備出發(fā)訪問(wèn)外部設(shè)備的命令（包括：Telnet客戶端、SSH、Rlogin）等，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。監(jiān)控級(jí) 用于系統(tǒng)維護(hù)、業(yè)務(wù)故障診斷等，包括display、debugging命令，該級(jí)別命令不允許進(jìn)行配置文件保存的操作。配置級(jí) 業(yè)務(wù)配置命令，包括路由、各個(gè)網(wǎng)絡(luò)層次的命令，這些用于向用戶提供直接網(wǎng)絡(luò)服務(wù)。管理級(jí) 關(guān)系到系統(tǒng)基本運(yùn)行，系統(tǒng)支撐模塊的命令，這些命令對(duì)業(yè)務(wù)提供支撐作用VRP命令視圖系統(tǒng)將命令行接口劃分為若干個(gè)命令視圖，系統(tǒng)的所有命令都注冊(cè)在某個(gè)（或某些）命令視圖下，只有在相應(yīng)的視圖下才能執(zhí)行該視圖下的命令。命令視圖的分類：用戶視圖

<USG>系統(tǒng)視圖[USG]接口視圖[USG-Ethernet0/0/1]協(xié)議視圖[USG-rip]……VRP在線幫助鍵入一命令，后接以空格分隔的“?”，如果該位置為關(guān)鍵字，則列出全部關(guān)鍵字及其簡(jiǎn)單描述。 <USG5000>display?鍵入一命令，后接以空格分隔的“?”，如果該位置為參數(shù)，則列出有關(guān)的參數(shù)描述。 [USG5000]interfaceethernet? <3-3>Slotnumber鍵入一字符串，其后緊接“?”，列出以該字符串開(kāi)頭的所有命令。 <USG5000>d? debuggingdeletedirdisplayVRP在線幫助（續(xù)）輸入命令的某個(gè)關(guān)鍵字的前幾個(gè)字母，按下<TAB>鍵，可以顯示出完整的關(guān)鍵字暫停顯示時(shí)鍵入<Ctrl+C>停止顯示和命令執(zhí)行暫停顯示時(shí)鍵入空格鍵繼續(xù)顯示下一屏信息暫停顯示時(shí)鍵入回車鍵繼續(xù)顯示下一行信息防火墻基本配置思路根據(jù)組網(wǎng)需要配置域間包過(guò)濾關(guān)系配置域間NAT需要NAT不需要NAT二層接口三層接口接口模式接口加入安全區(qū)域接口IP地址NAT配置路由報(bào)文轉(zhuǎn)發(fā)配置接口模式步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令interfaceinterface-typeinterface-number步驟3.1執(zhí)行命令ipaddressip-address{mask|mask-length}，配置三層以太網(wǎng)接口。步驟3.2執(zhí)行命令portswitch，配置二層以太網(wǎng)接口。步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2執(zhí)行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創(chuàng)建安全區(qū)域，并進(jìn)入相應(yīng)安全區(qū)域視圖。步驟3執(zhí)行命令setprioritysecurity-priority，配置安全區(qū)域的安全級(jí)別。配置安全區(qū)域安全區(qū)域已經(jīng)存在不必配置關(guān)鍵字name，直接進(jìn)入安全區(qū)域視圖安全區(qū)域不存在需要配置關(guān)鍵字name，進(jìn)入安全區(qū)域視圖將接口加入安全區(qū)域步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創(chuàng)建安全區(qū)域，并進(jìn)入相應(yīng)安全區(qū)域視圖。步驟3執(zhí)行命令addinterface

interface-typeinterface-number，配置接口加入安全區(qū)域。配置域間缺省包過(guò)濾規(guī)則步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令firewallpacket-filterdefault{permit|deny}{{all|interzone

zone1zone2}[direction{inbound|outbound}]}，配置域間缺省包過(guò)濾規(guī)則。zone1與zone2有先后順序嗎？？？沒(méi)有先后順序。因?yàn)镮nbound和Outbound的方向只與域的優(yōu)先級(jí)有關(guān)配置路由配置靜態(tài)路由，需要進(jìn)行如下操作。步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令iproute-static

ip-address{mask|mask-length}{interface-typeinterface-number|next-ip-address}[preference

value][reject|blackhole]，增加一條靜態(tài)路由。配置缺省路由，需要進(jìn)行如下操作。步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令iproute-static

{|0}{interface-typeinterface-number|next-ip-address}[preferencevalue]

[reject|blackhole]，配置缺省路由。AAA配置 防火墻在aaa試圖下添加用戶的配置方法如下：步驟1

執(zhí)行命令aaa，進(jìn)入AAA視圖。步驟2

執(zhí)行命令local-useruser-name

password{simple|cipher}password，創(chuàng)建用戶并配置口令。FTP配置 防火墻作為FTP服務(wù)器的配置方法如下：步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖，完成防火墻基礎(chǔ)配置。步驟2

執(zhí)行命令ftpserverenable，啟動(dòng)FTP服務(wù)器。步驟3

參考“AAA配置”，創(chuàng)建FTP用戶。步驟4

執(zhí)行命令local-user

user-nameftp-directory

ftp-directory，配置用戶訪問(wèn)目錄。只有配置用戶名、口令以及訪問(wèn)目錄，F(xiàn)TP客戶端才能登錄并訪問(wèn)防火墻上的文件。系統(tǒng)可同時(shí)支持多個(gè)用戶的訪問(wèn)。步驟5

執(zhí)行命令local-userlever

number{1|2|3}，設(shè)置用戶訪問(wèn)級(jí)別。TELNET配置步驟1

執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。步驟2

執(zhí)行命令user-interface[user-interface-type]user-interface-number[ending-userinterface-number]，進(jìn)入用戶界面視圖。步驟3

執(zhí)行命令idle-timeoutminutes[seconds]，允許定時(shí)斷開(kāi)Telnet連接。為了防止未授權(quán)用戶的非法侵入，如果在一定時(shí)間內(nèi)沒(méi)有接收到終端用戶的輸入，則斷開(kāi)與用戶的連接，終端用戶缺省的定時(shí)斷開(kāi)時(shí)間為10分鐘。備注：參照“AAA配置”添加telnet用戶。TELNET配置（續(xù)）步驟4

執(zhí)行命令authentication-mode{aaa|none|password|localuser

username

password

password}。設(shè)置登錄用戶界面的驗(yàn)證方式。缺省情況下，驗(yàn)證方式為password步驟5

執(zhí)行命令setauthenticationpassword{simple|cipher}password，設(shè)置本地驗(yàn)證的口令。當(dāng)驗(yàn)證方式為password時(shí)需進(jìn)行該命令的配置（可選）。步驟6

執(zhí)行命令userprivilegelevellevel，配置從當(dāng)前用戶界面登錄系統(tǒng)的用戶所能訪問(wèn)的命令級(jí)別，默認(rèn)級(jí)別是0（可選，當(dāng)au