華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt
06.April2006,防火墻基礎(chǔ),Version4.0,Page1,數(shù)據(jù)業(yè)務(wù)局點(diǎn)的網(wǎng)絡(luò)安全��,依賴于防火墻的良好配置��。防火墻也是數(shù)據(jù)業(yè)務(wù)局點(diǎn)不可缺少的組網(wǎng)設(shè)備�����。每一位數(shù)據(jù)業(yè)務(wù)工程師�,必須理解防火墻的運(yùn)行機(jī)理�,掌握防火墻的常用配置方法。,Page2,參考資料,Page3,學(xué)習(xí)目標(biāo),理解防火墻的基本概念熟悉Eudemon防火墻產(chǎn)品能夠?qū)udemon防火墻進(jìn)行規(guī)劃和配置,學(xué)習(xí)完本課程����,您應(yīng)該能夠:,Page4,3G數(shù)據(jù)業(yè)務(wù)典型組網(wǎng),No7/SignalGw,SMSC,MMSC,GMLC,IMPS,mSTREAM,UM,MDSP,WISG,WIN,Internet,CorporateNetwork,Router,Firewall,CoreLANSwitch,EdgeLANSwitch,HALink,WANLink,FW1,S6506,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,PTT,S3528x2,No7/SignalGw,GELink,FC/SCSILink,100m/FELink,E1Link,FW2,AAA,S3528x2,FW3,FW4,3GCoreNetwork,NMS/OSS,S3528x2,GGSN,OAM,S3528,OAMDesktop,Antivirus,Backup,FW5,FW6,Page5,防火墻在MMSC局點(diǎn)中的位置,2Eudemon200,報(bào)表服務(wù)器IBMX235,MMSPortalSUNV440,OMCServerIBMX235,2QuidwayS6506交換機(jī),2F5BIGIP2400負(fù)載均衡器,CMNET,數(shù)據(jù)庫(kù)和計(jì)費(fèi)服務(wù)器SUNV440雙機(jī),MMSCCluster(5SUNV440雙機(jī)),BOSS,BOSS,QuidwayAR28路由器,QuidwayAR28路由器,預(yù)統(tǒng)計(jì)和報(bào)表數(shù)據(jù)庫(kù)服務(wù)器IBMX445,網(wǎng)管接口機(jī)SUNV440,MCAS內(nèi)容適配服務(wù)器4HPDL360G3,Page6,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page7,防火墻的概念,隨著Internet的日益普及,許多LAN(內(nèi)部網(wǎng)絡(luò))已經(jīng)可以直接接入Internet網(wǎng)絡(luò)����,這種開放式的網(wǎng)絡(luò)同時(shí)帶來(lái)了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上���,我們的周圍存在著許多不能信任的計(jì)算機(jī)���,這些計(jì)算機(jī)對(duì)我們私有的一些敏感信息造成了很大的威脅����。在大廈的構(gòu)造中��,防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部分傳播蔓延到大廈的另外一部分�����。我們所涉及的防火墻服務(wù)具有類似的目的:“防止Internet的危險(xiǎn)傳播到你的內(nèi)部網(wǎng)絡(luò)”?,F(xiàn)代的防火墻體系不應(yīng)該只是一個(gè)“入口的屏障”,防火墻應(yīng)該是幾個(gè)網(wǎng)絡(luò)的接入控制點(diǎn)����,所有經(jīng)過(guò)被防火墻保護(hù)的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過(guò)防火墻,形成一個(gè)信息進(jìn)入的關(guān)口�,因此防火墻不但可以保護(hù)內(nèi)部網(wǎng)絡(luò)在Internet中的安全,同時(shí)可以保護(hù)若干主機(jī)在一個(gè)內(nèi)部網(wǎng)絡(luò)中的安全�。在每一個(gè)被防火墻分割的網(wǎng)絡(luò)中,所有的計(jì)算機(jī)之間是被認(rèn)為“可信任的”����,它們之間的通信可以不受防火墻的干涉;而在各個(gè)被防火墻分割的網(wǎng)絡(luò)之間,必須按照防火墻規(guī)定的“策略”進(jìn)行互相的訪問(wèn)�����。,Page8,防火墻的概念,簡(jiǎn)單的說(shuō)���,防火墻是保護(hù)一個(gè)網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊���,但是同時(shí)還必須允許兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻應(yīng)該具有如下基本特征:經(jīng)過(guò)防火墻保護(hù)的網(wǎng)絡(luò)之間的通信必須都經(jīng)過(guò)防火墻��。只有經(jīng)過(guò)各種配置的策略驗(yàn)證過(guò)的合法數(shù)據(jù)包才可以通過(guò)防火墻�。防火墻本身必須具有很強(qiáng)的抗攻擊�����、抗?jié)B透能力���。防火墻可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全���,可以使受保護(hù)的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個(gè)網(wǎng)絡(luò)接口��,這些接口用來(lái)連接幾個(gè)網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進(jìn)行的連接都必須經(jīng)過(guò)硬件防火墻����,防火墻來(lái)控制這些連接,對(duì)連接進(jìn)行驗(yàn)證����、過(guò)濾,。,Page9,防火墻和路由器的差異,路由器的特點(diǎn):保證互聯(lián)互通��。按照最長(zhǎng)匹配算法逐包轉(zhuǎn)發(fā)��。路由協(xié)議是核心特性��。,防火墻的特點(diǎn):邏輯子網(wǎng)之間的訪問(wèn)控制�����,關(guān)注邊界安全����。基于連接的轉(zhuǎn)發(fā)特性��。安全防范是核心特性�。,由于防火墻具有基于連接監(jiān)控的特性,因此防火墻對(duì)業(yè)務(wù)支持具有非常強(qiáng)的優(yōu)勢(shì)。而路由器基于逐包轉(zhuǎn)發(fā)的特點(diǎn)�����,因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)��,復(fù)雜的業(yè)務(wù)對(duì)路由器的性能消耗比較大�。防火墻支持的接口不如路由器豐富,支持的路由協(xié)議不如路由器豐富���,因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備����。防火墻適合做為企業(yè)����、內(nèi)部局域網(wǎng)的出口設(shè)備���,支持高速�����、安全��、豐富的業(yè)務(wù)特性��。,Page10,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page11,一夫當(dāng)關(guān)�,萬(wàn)夫莫開,華為公司Eudemon防火墻,Page12,華為公司硬件防火墻系列產(chǎn)品,涵蓋了從低端數(shù)兆到高端千兆級(jí)別���,卓越的性能和先進(jìn)的安全體系架構(gòu)為用戶提供了強(qiáng)大的安全保障��。,Eudemon1000/500,Eudemon200,Eudemon100,華為公司Eudemon系列防火墻,Page13,Eudemon防火墻主要特點(diǎn),專用硬件系統(tǒng)專用軟件系統(tǒng)高可靠高安全高性能完備的防止流量攻擊功能強(qiáng)大的組網(wǎng)和業(yè)務(wù)支撐能力安全方便的管理系統(tǒng),Page14,防火墻的安全區(qū)域,防火墻的內(nèi)部劃分為多個(gè)區(qū)域�,所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個(gè)區(qū)域�����。,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,Page15,防火墻的安全區(qū)域,路由器的安全規(guī)則定義在接口上����,而防火墻的安全規(guī)則定義在安全區(qū)域之間。,不允許來(lái)自10.0.0.1的數(shù)據(jù)報(bào)從這個(gè)接口出去,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,禁止所有從DMZ區(qū)域的數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到UnTrust區(qū)域,Page16,防火墻的安全區(qū)域,Eudemon防火墻上保留四個(gè)安全區(qū)域:非受信區(qū)(Untrust):低級(jí)別的安全區(qū)域��,其安全優(yōu)先級(jí)為5�。非軍事化區(qū)(DMZ):中度級(jí)別的安全區(qū)域,其安全優(yōu)先級(jí)為50�。受信區(qū)(Trust):較高級(jí)別的安全區(qū)域,其安全優(yōu)先級(jí)為85�����。本地區(qū)域(Local):最高級(jí)別的安全區(qū)域,其安全優(yōu)先級(jí)為100��。此外��,如認(rèn)為有必要�,用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級(jí)別。最多可有16個(gè)安全區(qū)域���。,Page17,防火墻的安全區(qū)域,域間的數(shù)據(jù)流分兩個(gè)方向:入方向(inbound):數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较?���;出方向(outbound):數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颉?Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,In,Out,In,Out,Out,In,Out,In,Page18,防火墻的安全區(qū)域,本域內(nèi)不同接口間不過(guò)濾直接轉(zhuǎn)發(fā)進(jìn)����、出接口相同的報(bào)文被丟棄接口沒有加入域之前不能轉(zhuǎn)發(fā)包文,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,In,Out,In,Out,Out,In,Out,In,Page19,防火墻的安全區(qū)域,Page20,防火墻的模式,路由模式透明模式混合模式,Page21,防火墻的路由模式,可以把路由模式理解為象路由器那樣工作。防火墻每個(gè)接口連接一個(gè)網(wǎng)絡(luò)����,防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)�。報(bào)文在防火墻內(nèi)首先通過(guò)入接口信息找到進(jìn)入域信息,然后通過(guò)查找轉(zhuǎn)發(fā)表����,根據(jù)出接口找到出口域��,再根據(jù)這兩個(gè)域確定域間關(guān)系���,然后使用配置在這個(gè)域間關(guān)系上的安全策略進(jìn)行各種操作。,Page22,防火墻的透明模式,透明模式的防火墻則可以被看作一臺(tái)以太網(wǎng)交換機(jī)���。防火墻的接口不能配IP地址�,整個(gè)設(shè)備處于現(xiàn)有的子網(wǎng)內(nèi)部�,對(duì)于網(wǎng)絡(luò)中的其他設(shè)備,防火墻是透明的�。報(bào)文轉(zhuǎn)發(fā)的出接口,是通過(guò)查找橋接的轉(zhuǎn)發(fā)表得到的���。在確定域間之后���,安全模塊的內(nèi)部仍然使用報(bào)文的IP地址進(jìn)行各種安全策略的匹配。,Page23,防火墻的混合模式,混合模式是指防火墻一部份接口工作在透明模式��,另一部分接口工作在路由模式�。提出混合模式的概念,主要是為了解決防火墻在純粹的透明模式下無(wú)法使用雙機(jī)熱備份功能的問(wèn)題�����。雙機(jī)熱備份所依賴的VRRP需要在接口上配置IP地址,而透明模式無(wú)法實(shí)現(xiàn)這一點(diǎn)����。,Page24,狀態(tài)檢測(cè)防火墻的處理過(guò)程,Page25,IP包過(guò)濾技術(shù)介紹,對(duì)防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息�����,然后和設(shè)定的規(guī)則進(jìn)行比較���,根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄�。而實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表�。,Internet,公司總部,內(nèi)部網(wǎng)絡(luò),未授權(quán)用戶,辦事處,Page26,訪問(wèn)控制列表是什么?,一個(gè)IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP):,Page27,如何標(biāo)識(shí)訪問(wèn)控制列表�����?,利用數(shù)字標(biāo)識(shí)訪問(wèn)控制列表利用數(shù)字范圍標(biāo)識(shí)訪問(wèn)控制列表的種類,700799范圍的ACL是基于以太網(wǎng)幀頭的訪問(wèn)控制列表,Page28,基本訪問(wèn)控制列表,標(biāo)準(zhǔn)訪問(wèn)控制列表只使用源地址描述數(shù)據(jù)����,表明是允許還是拒絕。,路由器,Page29,基本訪問(wèn)控制列表的配置,配置基本訪問(wèn)列表的命令格式如下:aclacl-numbermatch-orderconfig|autorulepermit|denysourcesource-addrsource-wildcard|any,怎樣利用IP地址和反掩碼wildcard-mask來(lái)表示一個(gè)網(wǎng)段?,Page30,訪問(wèn)控制列表的組合,一條訪問(wèn)列表可以由多條規(guī)則組成����。對(duì)于這些規(guī)則,有兩種匹配順序:auto和config指定匹配該規(guī)則時(shí)按用戶的配置順序����。規(guī)則沖突時(shí),若匹配順序?yàn)閍uto(深度優(yōu)先)���,描述的地址范圍越小的規(guī)則����,將會(huì)優(yōu)先考慮��。深度的判斷要依靠通配比較位和IP地址結(jié)合比較access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.00.0.0.255兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段(202.38.0.0)上的主機(jī)但允許其中的一小部分主機(jī)(202.38.160.0)的訪問(wèn)���。規(guī)則沖突時(shí)��,若匹配順序?yàn)閏onfig����,先配置的規(guī)則會(huì)被優(yōu)先考慮�����。,Page31,增強(qiáng)訪問(wèn)控制列表,增強(qiáng)訪問(wèn)控制列表使用除源地址外更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕�。,路由器,Page32,增強(qiáng)訪問(wèn)控制列表的配置命令,配置TCP/UDP協(xié)議的增強(qiáng)訪問(wèn)列表:ruleIDofaclrulepermit|denytcp|udpsourcesource-addrsource-wildcard|anysource-portoperatorport1port2destinationdest-addrdest-wildcard|anydestination-portoperatorport1port2logging配置ICMP協(xié)議的增強(qiáng)訪問(wèn)列表:ruleIDofaclrulepermit|denyicmpsourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anyicmp-typeicmp-typeicmp-codelogging配置其它協(xié)議的增強(qiáng)訪問(wèn)列表:ruleIDofaclrulepermit|denyip|ospf|igmp|gresourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anylogging,Page33,增強(qiáng)訪問(wèn)控制列表操作符的含義,Page34,舉例:在區(qū)域間應(yīng)用訪問(wèn)控制列表,#創(chuàng)建編號(hào)為3001的訪問(wèn)控制列表:Eudemonaclnumber3001#配置ACL規(guī)則,允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部的三臺(tái)服務(wù)器:Eudemon-acl-adv-3001rulepermittcpsource202.39.2.30destination129.38.1.10Eudemon-acl-adv-3001rulepermittcpsource202.39.2.30destination129.38.1.20Eudemon-acl-adv-3001rulepermittcpsource202.39.2.30destination129.38.1.30上述配置已經(jīng)完成了ACL的創(chuàng)建�。下面的配置是在包過(guò)濾應(yīng)用中引用ACL,相關(guān)命令的詳細(xì)解釋請(qǐng)見命令手冊(cè)的描述���。#將ACL規(guī)則3001作用于Untrust區(qū)域到Trust區(qū)域間的入方向�����。Eudemon-Interzone-trust-untrustpacket-filter3001inbound,Page35,ASPF,為保護(hù)網(wǎng)絡(luò)安全�����,基于ACL規(guī)則的包過(guò)濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包���,防止非法入侵。ASPF能夠檢測(cè)應(yīng)用層協(xié)議的信息���,并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控����。ASPF(ApplicationSpecificPacketFilter)是針對(duì)應(yīng)用層的包過(guò)濾,也是基于狀態(tài)的報(bào)文過(guò)濾�����。ASPF能夠檢測(cè)試圖通過(guò)防火墻的應(yīng)用層協(xié)議會(huì)話信息��,阻止不符合規(guī)則的數(shù)據(jù)報(bào)文通過(guò)�����。,Page36,ASPF,ASPF能夠監(jiān)測(cè)FTP�����、HTTP����、SMTP�����、RSTP����、H.323、TCP、UDP的流量DoS(DenialofService����,拒絕服務(wù))的檢測(cè)和防范。JavaBlocking(Java阻斷)保護(hù)網(wǎng)絡(luò)不受有害JavaApplets的破壞�。ActivexBlocking(Activex阻斷)保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞。支持端口到應(yīng)用的映射�����,為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口��。增強(qiáng)的會(huì)話日志功能�。可以對(duì)所有的連接進(jìn)行記錄��,包括連接時(shí)間����、源地址、目的地址����、使用端口和傳輸字節(jié)數(shù)等信息。,Page37,ASPF配置舉例,要求:如果該報(bào)文是從Trust區(qū)域向Untrust區(qū)域發(fā)起FTP和HTTP連接的返回報(bào)文���,則允許其通過(guò)防火墻再進(jìn)入Trust區(qū)域��,其他報(bào)文被禁止���;并且�,此ASPF檢測(cè)策略能夠過(guò)濾掉來(lái)自外部網(wǎng)絡(luò)服務(wù)器2.2.2.11的HTTP報(bào)文中的JavaApplets�����。本例可以應(yīng)用在本地用戶需要訪問(wèn)遠(yuǎn)程網(wǎng)絡(luò)服務(wù)的情況下��。,Page38,ASPF配置舉例,Eudemonfirewallsessionaging-timeftp3000Eudemonfirewallsessionaging-timehttp3000Eudemonaclnumber3001Eudemon-acl-adv-3001ruledenyipEudemonaclnumber2001Eudemon-acl-basic-2001ruledenysource2.2.2.110.0.0.0Eudemon-acl-basic-2001rulepermitsourceanyEudemonfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound(配置Trust和Untrust區(qū)域間出方向包過(guò)濾缺省動(dòng)作為允許)EudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustpacket-filter3001inboundEudemon-interzone-trust-untrustdetectftpEudemon-interzone-trust-untrustdetecthttpEudemon-interzone-trust-untrustdetectjava-blocking2001,Page39,地址轉(zhuǎn)換,NAT(NetworkAddressTranslation����,地址轉(zhuǎn)換)是將IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程����。在實(shí)際應(yīng)用中,NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的功能���。私有網(wǎng)絡(luò)一般使用私有地址��,RFC1918為私有�、內(nèi)部的應(yīng)用留出了三個(gè)IP地址池,如下:A類:10.0.0.010.255.255.255(10.0.0.0/8)B類:172.16.0.0172.31.255.255(172.16.0.0/12)C類:192.168.0.0192.168.255.255(192.168.0.0/16)上述三個(gè)范圍內(nèi)的地址不會(huì)在Internet上被分配��,因而可以不必向ISP或注冊(cè)中心申請(qǐng)而在公司或企業(yè)內(nèi)部自由使用�。路由器可以在接口上配置地址轉(zhuǎn)換,Eudemon防火墻是在區(qū)域之間實(shí)現(xiàn)地址轉(zhuǎn)換����。,Page40,多對(duì)多地址轉(zhuǎn)換,Eudemon防火墻是通過(guò)定義地址池來(lái)實(shí)現(xiàn)多對(duì)多地址轉(zhuǎn)換,同時(shí)利用訪問(wèn)控制列表來(lái)對(duì)地址轉(zhuǎn)換進(jìn)行控制的���。地址池:用于地址轉(zhuǎn)換的一些公有IP地址的集合�。用戶應(yīng)根據(jù)自己擁有的合法IP地址數(shù)目�����、內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)目以及實(shí)際應(yīng)用情況��,配置恰當(dāng)?shù)牡刂烦?����。地址轉(zhuǎn)換的過(guò)程中��,將會(huì)從地址池中挑選一個(gè)地址做為轉(zhuǎn)換后的源地址����。利用訪問(wèn)控制列表限制地址轉(zhuǎn)換:只有滿足訪問(wèn)控制列表?xiàng)l件的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換�。這可以有效地控制地址轉(zhuǎn)換的使用范圍�����,使特定主機(jī)才有權(quán)限訪問(wèn)Internet��。,Page41,多對(duì)多地址轉(zhuǎn)換,Eudemon防火墻上配置多對(duì)多地址轉(zhuǎn)換的步驟如下:在系統(tǒng)視圖下定義一個(gè)可以根據(jù)需要進(jìn)行分配的NAT地址池nataddress-groupgroup-numberstart-addrend-addr其中��,group-number是標(biāo)識(shí)這個(gè)地址池的編號(hào)���,start-addr和end-addr是地址池的起始和結(jié)束IP地址。在系統(tǒng)視圖和ACL視圖下定義一個(gè)訪問(wèn)控制列表在系統(tǒng)視圖下定義訪問(wèn)控制列表:aclnumberacl-numbermatch-orderconfig|auto在ACL視圖下定義訪問(wèn)控制規(guī)則:rulerule-idpermit|denysourcesour-addrsour-wildcard|anytime-rangetime-namelogging在域間視圖下將訪問(wèn)控制列表和NAT地址池關(guān)聯(lián):natoutboundacl-numberaddress-groupgroup-number,Page42,NatServer配置,在實(shí)際應(yīng)用中�,可能需要提供給外部一個(gè)訪問(wèn)內(nèi)部主機(jī)的機(jī)會(huì),如提供給外部一個(gè)WWW的服務(wù)器��,或是一臺(tái)FTP服務(wù)器���。使用NAT可以靈活地添加內(nèi)部服務(wù)器�����,通過(guò)配置內(nèi)部服務(wù)器���,可將相應(yīng)的外部地址�、端口等映射到內(nèi)部的服務(wù)器上��,提供了外部網(wǎng)絡(luò)可訪問(wèn)內(nèi)部服務(wù)器的功能�����。natserverprotocolprotocol-typeglobalglobal-addrglobal-portinsidehost-addrhost-portnatserverglobalglobal-addrinsidehost-addr,Page43,EasyIP配置,EasyIP的概念很簡(jiǎn)單���,當(dāng)進(jìn)行地址轉(zhuǎn)換時(shí)�����,直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址�����。同樣它也利用訪問(wèn)控制列表控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換���。在域間視圖下執(zhí)行:natoutboundacl-numberinterfaceinterface-name,Page44,應(yīng)用級(jí)網(wǎng)關(guān)ALG,NAT只能對(duì)IP報(bào)文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉(zhuǎn)換。對(duì)于一些特殊協(xié)議�,例如ICMP、FTP等�����,它們報(bào)文的數(shù)據(jù)部分可能包含IP地址或端口信息,這些內(nèi)容不能被NAT有效的轉(zhuǎn)換�����,這就可能導(dǎo)致問(wèn)題���。例如���,一個(gè)使用內(nèi)部IP地址的FTP服務(wù)器可能在和外部網(wǎng)絡(luò)主機(jī)建立會(huì)話的過(guò)程中需要將自己的IP地址發(fā)送給對(duì)方。而這個(gè)地址信息是放到IP報(bào)文的數(shù)據(jù)部分�����,NAT無(wú)法對(duì)它進(jìn)行轉(zhuǎn)換��。當(dāng)外部網(wǎng)絡(luò)主機(jī)接收了這個(gè)私有地址并使用它����,這時(shí)FTP服務(wù)器將表現(xiàn)為不可達(dá)����。解決這些特殊協(xié)議的NAT轉(zhuǎn)換問(wèn)題的方法就是在NAT實(shí)現(xiàn)中使用ALG(ApplicationLevelGateway����,應(yīng)用級(jí)網(wǎng)關(guān))功能�。ALG是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理,它和NAT交互以建立狀態(tài)信息�����,使用NAT的狀態(tài)信息來(lái)改變封裝在IP報(bào)文數(shù)據(jù)部分中的特定數(shù)據(jù)�,并完成其他必需的工作以使應(yīng)用協(xié)議可以跨越不同范圍運(yùn)行。在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應(yīng)協(xié)議的ALG功能natalgenabledns|ftp|h323|icmp|qq|msn在域間視圖下為應(yīng)用層協(xié)議配置ASPF檢測(cè)detectprotocol,Page45,Eudemon雙機(jī)熱備,什么是雙機(jī)熱備��?所謂雙機(jī)熱備其實(shí)是雙機(jī)狀態(tài)備份�����。當(dāng)兩臺(tái)防火墻���,在確定主從防火墻后�,由主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā)����,而從防火墻處于監(jiān)控狀態(tài),同時(shí)主防火墻會(huì)定時(shí)向從防火墻發(fā)送狀態(tài)信息和需要備份的信息�����;當(dāng)主防火墻出現(xiàn)故障后,從防火墻會(huì)及時(shí)接替主防火墻上的業(yè)務(wù)運(yùn)行�。,Page46,雙機(jī)熱備的實(shí)現(xiàn)和原理,實(shí)現(xiàn)雙機(jī)熱備的基本步驟:在接口上配置VRRP(虛擬路由器冗余協(xié)議)備份組,來(lái)發(fā)現(xiàn)防火墻的故障情況��;將VRRP備份組加入到VGMP(VRRP組管理協(xié)議)中�����,以實(shí)現(xiàn)對(duì)VRRP管理組的統(tǒng)一管理����;使能HRP(華為冗余協(xié)議),實(shí)現(xiàn)雙機(jī)情況下的信息備份�。雙機(jī)熱備的基本原理:兩臺(tái)防火墻形成雙機(jī)熱備,兩臺(tái)防火墻之間通過(guò)VRRP的hello報(bào)文協(xié)商主備關(guān)系��,根據(jù)VGMP的優(yōu)先級(jí)和接口的IP確定防火墻的master和slave關(guān)系�����,并且master防火墻會(huì)通過(guò)HRP協(xié)議定時(shí)向slave傳送備份信息(命令行備份信息和動(dòng)態(tài)備份信息)���;當(dāng)master防火墻出現(xiàn)故障時(shí)���,主備關(guān)系發(fā)生轉(zhuǎn)換,業(yè)務(wù)會(huì)平滑切換��,不會(huì)影響這個(gè)業(yè)務(wù)的進(jìn)行���。,Page47,雙機(jī)熱備注意事項(xiàng),在雙機(jī)熱備組網(wǎng)中�����,需要注意的幾個(gè)問(wèn)題:1.對(duì)于雙機(jī)熱備目前只支持兩臺(tái)設(shè)備進(jìn)行備份����,不支持多臺(tái)設(shè)備進(jìn)行備份�。但對(duì)于只使用VRRP(即沒有使用HRP同步協(xié)議)的組網(wǎng)可以支持多臺(tái)設(shè)備進(jìn)行冗余備份;2.由于雙機(jī)熱備中具有備份機(jī)制可以備份動(dòng)態(tài)信息和命令�����,因此要求進(jìn)行雙機(jī)熱備的兩臺(tái)設(shè)備板卡的位置和類型都要求相同�����,否則會(huì)出現(xiàn)主防火墻備份過(guò)去的信息,與從防火墻根本就無(wú)法進(jìn)行搭配使用�,如出現(xiàn)主備狀態(tài)切換就會(huì)導(dǎo)致業(yè)務(wù)出問(wèn)題。3.進(jìn)行雙機(jī)熱備的兩臺(tái)防火墻中的配置文件最好為初始配置或保證兩臺(tái)設(shè)備配置相同�,以免由于先前的配置而導(dǎo)致業(yè)務(wù)問(wèn)題。,Page48,雙機(jī)熱備應(yīng)用協(xié)議,VRRP(VirtualRouterRedundancyProtocol)虛擬路由器冗余協(xié)議VRRP(VirtualRouterRedundancyProtocol)作為一種容錯(cuò)協(xié)議����,適用于支持組播或廣播的局域網(wǎng)(如以太網(wǎng)等),通過(guò)一組路由設(shè)備共用一個(gè)虛擬的IP來(lái)達(dá)到提供一個(gè)虛擬網(wǎng)關(guān)的目的���。,Page49,雙機(jī)熱備應(yīng)用協(xié)議,VRRP在防火墻應(yīng)用的缺陷每個(gè)備份組的VRRP是單獨(dú)工作的�,并且每個(gè)VRRP狀態(tài)相對(duì)獨(dú)立��,因此無(wú)法保證同一防火墻上各接口的VRRP狀態(tài)都為主用或都為備用���,可能會(huì)導(dǎo)致業(yè)務(wù)中斷�����。由于Eudemon是狀態(tài)防火墻�����,對(duì)于各安全區(qū)域之間的每個(gè)動(dòng)態(tài)生成的五元組的會(huì)話連接�,Eudemon都有一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng),只有命中該會(huì)話表項(xiàng)的后續(xù)報(bào)文(包括返回報(bào)文)才能夠通過(guò)Eudemon防火墻����,這就要求某會(huì)話的進(jìn)路徑����、出路徑必須一致,因此VRRP無(wú)法保證主從防火墻的這種會(huì)話連接一致�����,當(dāng)出現(xiàn)切換后會(huì)出現(xiàn)業(yè)務(wù)中斷�����。,Page50,雙機(jī)熱備應(yīng)用的協(xié)議,VGMP(VRRPGroupManagementProtocol)VRRP組管理協(xié)議為了確保各VRRP備份組之間通路狀態(tài)一致性���,需要配置VRRP管理組����,由管理組統(tǒng)一管理各獨(dú)立運(yùn)行的VRRP備份組�,從而實(shí)現(xiàn)各備份組之間的互通,以防止可能導(dǎo)致的VRRP狀態(tài)不一致現(xiàn)象的發(fā)生��,從而實(shí)現(xiàn)對(duì)多個(gè)VRRP備份組(虛擬路由器)的狀態(tài)一致性管理、搶占管理和通道管理��。也許會(huì)問(wèn)VRRP下有接口監(jiān)視命令不是可以實(shí)現(xiàn)設(shè)備的狀態(tài)統(tǒng)一嗎�?VRRP下的track接口監(jiān)視命令,的確可以達(dá)到實(shí)現(xiàn)設(shè)備的狀態(tài)統(tǒng)一�;但是,如果接口較多的情況下����,配置就會(huì)很繁瑣,同時(shí)很容易出錯(cuò)��。接口監(jiān)視命令只能實(shí)現(xiàn)對(duì)其他接口狀態(tài)的監(jiān)控以達(dá)到VRRP的狀態(tài)統(tǒng)一�����,但是VRRP是獨(dú)立工作的���,當(dāng)由于搶占設(shè)備中一個(gè)VRRP狀態(tài)發(fā)生變化后��,監(jiān)控命令是無(wú)法使所有的VRRP狀態(tài)都進(jìn)行變化的�。,Page51,雙機(jī)熱備應(yīng)用協(xié)議,Page52,雙機(jī)熱備應(yīng)用協(xié)議,VGMP提供的功能狀態(tài)一致性管理各備份組的主/備狀態(tài)變化都需要通知其所屬的VRRP管理組�����,由VRRP管理組決定是否允許VRRP備份組進(jìn)行主/備狀態(tài)切換。搶占管理無(wú)論各VRRP備份組內(nèi)Eudemon防火墻設(shè)備是否使能了搶占功能����,搶占行為發(fā)生與否必須由VRRP管理組統(tǒng)一決定。通道管理所謂通道管理�,是為了提供傳輸VGMP報(bào)文���、VGMP相關(guān)承載報(bào)文�����、VRRP狀態(tài)報(bào)文的可靠通路而提出的����,這是相對(duì)正常業(yè)務(wù)流的業(yè)務(wù)通道而言的����。,Page53,雙機(jī)熱備應(yīng)用協(xié)議,HRP(HuaweiRedundancyProtocol)華為冗余協(xié)議HRP協(xié)議是承載在VGMP報(bào)文上進(jìn)行傳輸?shù)模贛aster和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息�,特別是會(huì)話表項(xiàng)。,Page54,雙機(jī)熱備應(yīng)用協(xié)議,防火墻應(yīng)用狀態(tài)的可靠性備份:動(dòng)態(tài)生成的黑名單防火墻生成的會(huì)話表表項(xiàng)SERVERMAP表項(xiàng)NO-PAT表項(xiàng),Page55,雙機(jī)熱備應(yīng)用協(xié)議,防火墻配置命令的備份:ACL包過(guò)濾命令的配置攻擊防范命令的配置地址綁定命令的配置黑名單命令的啟用以及手工添加黑名單用戶和對(duì)黑名單命令的刪除操作日志命令NAT命令的配置統(tǒng)計(jì)命令的配置域的命令的配置�����,包括新域的設(shè)定,域內(nèi)添加的接口和優(yōu)先級(jí)的設(shè)置ASPF(應(yīng)用層包過(guò)濾防火墻)的命令配置清除會(huì)話表項(xiàng)命令(resetfirewallsessiontable)和清除配置的命令(undoXXX)注意:1.在批處理手工備份時(shí)���,對(duì)于undo和reset命令是無(wú)法進(jìn)行備份的����。2.除以上命令行可以備份外��,其他命令無(wú)法備份�。如路由命令等,需要主從防火墻同時(shí)配置�。,Page56,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page57,Eudemon防火墻配置步驟,防火墻組網(wǎng)規(guī)劃配置接口IP地址配置域把接口劃分到域雙機(jī)情況下,配置VRRP雙機(jī)情況下�����,配置VGMP雙機(jī)情況下��,配置HRP雙機(jī)情況下�,驗(yàn)證雙機(jī)配置配置地址轉(zhuǎn)換配置ACL在域間應(yīng)用ACL校驗(yàn)業(yè)務(wù)配置,Page58,防火墻組網(wǎng)規(guī)劃,防火墻組網(wǎng)規(guī)劃組網(wǎng)拓樸圖(具體到網(wǎng)絡(luò)設(shè)備物理端口的分配和連接)IP地址的分配(具體到網(wǎng)絡(luò)設(shè)備所有IP地址的分配)防火墻上的區(qū)域劃分防火墻的地址映射關(guān)系防火墻需要開放的策略,Page59,配置接口IP地址,#配置防火墻接口Ethernet0/0/0的IP地址:Eudemoninterfaceethernet0/0/0Eudemon-Ethernet0/0/0ipaddress192.168.1.1255.255.255.0Eudemon-Ethernet0/0/0quit#如為雙機(jī),需要在接口下配置vrrp�。如在接口eth0/0/0下配置VRRP備份組1,注意虛擬IP需要和接口地址同一網(wǎng)段:Eudemon-ethernet0/0/0vrrpvrid1virtual-ip192.168.1.4Eudemon-ethernet0/0/0interfaceethernet0/0/1Eudemon-ethernet0/0/1ipaddress192.168.3.1255.255.255.0此下繼續(xù)在接口eth0/0/1下配置VRRP備份組2�,并配置虛擬IP,Page60,配置區(qū)域,配置區(qū)域,并把區(qū)域優(yōu)先級(jí)配置好(采用缺省區(qū)域則不用)#配置區(qū)域dmz����。Eudemonfirewallzonenamedmz1Eudemon-zone-dmz1setpriority70,Page61,把接口加入到區(qū)域中,把相應(yīng)的接口加入到相應(yīng)的區(qū)域中去#配置接口Ethernet1/0/0加入防火墻DMZ域�����。EudemonfirewallzonedmzEudemon-zone-dmzaddinterfaceethernet1/0/0Eudemon-zone-dmzquit,Page62,配置VRRP組管理,#創(chuàng)建VRRP管理組1��,將所有的VRRP備份組添加到管理組中進(jìn)行統(tǒng)一管理Eudemonvrrp-group1使能VRRP管理組����,只有使能了VGMP����,才能對(duì)VRRP進(jìn)行統(tǒng)一管理Eudemon-vrrpgroup-1vrrpenable#將備份組1����、2加入VRRP管理組1中,并指定兩條數(shù)據(jù)通道�,分別以ethernet0/0/0和ethernet0/0/1作為兩條通道的端點(diǎn)Eudemon-vrrpgroup-1addinterfaceethernet0/0/0vrrpvrid1dataEudemon-vrrpgroup-1addinterfaceethernet0/0/1vrrpvrid2data配置transfer-only參數(shù)的通道的狀態(tài)變化不會(huì)影響VGMP的優(yōu)先級(jí)從而導(dǎo)致狀態(tài)切換Eudemon-vrrpgroup-1addinterfaceethernet2/0/0vrrpvrid3datatransfer-only#啟用VRRP管理組的自動(dòng)搶占功能,搶占延時(shí)采用默認(rèn)時(shí)間為0秒Eudemon-vrrpgroup-1vrrp-grouppreedom,Page63,配置HRP,當(dāng)防火墻不配置VGMP的優(yōu)先級(jí)時(shí)����,默認(rèn)優(yōu)先級(jí)為100。當(dāng)配置優(yōu)先級(jí)時(shí)應(yīng)注意VGMP優(yōu)先級(jí)的遞減算法:遞減后的優(yōu)先級(jí)優(yōu)先級(jí)優(yōu)先級(jí)/16��,當(dāng)主防火墻出故障時(shí),遞減后的優(yōu)先級(jí)應(yīng)比slave防火墻的優(yōu)先級(jí)低�����,才可進(jìn)行主備狀態(tài)切換�,否則出故障的防火墻仍然為主狀態(tài),從而導(dǎo)致業(yè)務(wù)會(huì)中斷�。例如,以下配置遞減后的優(yōu)先級(jí)為105105/1698�,因此slave防火墻比該優(yōu)先級(jí)大。Eudemon-vrrpgroup-1vrrp-grouppriority105Eudemon-vrrpgroup-1quit#使能HRP功能��,當(dāng)使能HRP功能后會(huì)在Eudemon前顯示HRP_M��,從防火墻上會(huì)顯示HRP_S��,默認(rèn)是自動(dòng)實(shí)時(shí)備份�。Eudemonhrpenable以上為主防火墻的配置,從防火墻的配置基本上與主防火墻的配置相同�����,只需要改變接口的IP地址即可�。,Page64,配置NAT和ACL,應(yīng)用ACL,配置地址轉(zhuǎn)換Eudemonnatserverprotocoltcpglobal202.169.10.10wwwinside192.168.20.10www配置ACLEudemonaclnametodadvancedEudemon-acl-adv-todrulepermittcpdestination192.168.20.100應(yīng)用ACLEudemonfirewallinterzonedmzuntrustEudemon-interzone-dmz-untrustpacket-filtertodinbound,Page65,校驗(yàn)防火墻配置,校驗(yàn)雙機(jī)狀態(tài)檢查雙機(jī)切換對(duì)于業(yè)務(wù)是否有影響校驗(yàn)配置同步情況檢查主備機(jī)的配置是否可自動(dòng)同步,可以通過(guò)比較配置來(lái)實(shí)現(xiàn)校驗(yàn)業(yè)務(wù)是否正常測(cè)試業(yè)務(wù)是否正常,Version2.0,
個(gè)人主頁(yè)