防火墙产品与维护培训

1、华为版权所有，未经许可不得扩散华为版权所有，未经许可不得扩散整理pptISSUE 1.0内部资料，注意保密1学习完本课程，您应该能够：学习完本课程，您应该能够：q了解Eudemon产品工作原理q了解Eudemon产品规格和特性q掌握Eudemon产品典型组网及配置q掌握Eudemon产品维护方法内部资料，注意保密2第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四章防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导内部资料，注意保密3q网络安全问题成为近年来网络问题的焦点q网络安全包括

2、基础设施安全、边界安全和管理安全等全方位策略q防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击q与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率q由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能q我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开内部资料，注意保密4q包过滤防火墙q代理防火墙q状态防火墙包过滤防火墙代理防火墙状态防火墙内部资料，注意保密5按照防火墙实现的方式，一般把防火墙分为如下几类：按照防火墙实现的方式，一般把防火墙分为如下几类：q包过滤防火墙包过滤防火墙(Packet Filte

3、ring) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。q代理型防火墙（代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。 代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙

4、不能支持很丰富的业务，只能针对某些应用提供代理支持。q状态检测防火墙状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。内部资料，注意保密6q软件防火墙。软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。q工控机类型防火墙工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作

5、系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。q电信级硬件防火墙。电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。q基于基于NP电信级防火墙。电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火

6、墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙软件防火墙= 工控机类型防火墙工控机类型防火墙=电信级硬件防火墙电信级硬件防火墙=基于基于NP电信级防火墙电信级防火墙内部资料，注意保密7q改进的状态防火墙： Eudemon系列防火墙即采用的这种技术，这是华为特有的ASPF技术（Application specific packet filter），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。动态创建和删除过滤规则动态创建和删除过滤规则监视通信过程中的报文监视

7、通信过程中的报文内部资料，注意保密8qASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。qASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。qASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。内部资料，注意保密9q状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会

8、维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。用户A初始化一个telnet会话用户A的telnet会话返回报文被允许其它telnet报文被阻塞创建Session表项内部资料，注意保密10DoS攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。qFTP是 Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。 检查接口上的外发IP报文，确认为基于TCP的FTP报文。q检查端口号确认连接为控制连接， 建立返回报文的

9、临时ACL和状态表。q检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。q对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。内部资料，注意保密11q吞吐量吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。q每秒建立连接速度每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完

10、整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。q并发连接数目并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问内部资料，注意保密12第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章第三章 防火墙原理与特性防火墙原

11、理与特性第四章第四章 防火墙升级指导防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导内部资料，注意保密13q华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 200Eudemon 100Eudemon 500Eudemon 1000内部资料，注意保密14项项 目目 技术参数与性能指标技术参数与性能指标Eudemon 100Eudemon 200Eudemon500Eudemon 1000整机吞吐率整机吞吐率100Mbps（实际略低）400Mbps1200M3Gbps并发连接数并发连接数20万

12、50万50万80万每秒新建连接数每秒新建连接数5000条/秒20000条/秒100000条/秒100000条/秒qEudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。内部资料，注意保密15q 双通道设计q 总线冲突减少，总带宽提升q 双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换高速内部交换PCI0PCI1CPUq精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能，高速ACL技术保证了配置大量规则下，性能不受影响。内部资料，注意保密16Eudemon 500/1000：基于：基于NP的集中式多业务路由器的集中式多业务路由器q全模块

13、化、基于NP硬件集中式转发、电信级可靠性；qTCP、UDP首包都是NP进行处理，保证了每秒新建连接100,000条/秒，充分保证网络安全性。NP转发方式保证了Eudemon 500和1000在64字节报文下分别超过1G和2G；q基于硬件ACL保证了配置大量规则情况，性能不受影响。CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线内部资料，注意保密17qEudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。qEudemon 500/1000防火墙采用网防火墙采用网络处理器技术，高性能、可扩展性络处理器技术，高性能

14、、可扩展性兼顾。兼顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性能高，弱点是过于固化，无法升级NPCPUASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）内部资料，注意保密18q传统包过滤防火墙（路由器）内部资料，注意保密19内部资料，注意保密20大项大项子项子项工控机类型防火墙工控机类型防火墙Eudemon 系列防火墙系列防火墙可靠性可靠性CPU计算机通用计算机通用CPU，功耗大，功耗大，CPU需要借用风扇散热。通常为需要借用风扇散热。通常为Intel Pentium系列系列CPU通信用通信用Powerpc系列，功耗低系列，功耗低电源电源计算机电源，有

15、些工程机无电源故障告警指示。计算机电源，有些工程机无电源故障告警指示。通信专用电源，适用范围广，电源支持通信专用电源，适用范围广，电源支持1+1备份，备份，可热插拔，出现故障面板有指示灯告警，并上送告可热插拔，出现故障面板有指示灯告警，并上送告警日志。警日志。器件器件计算机通用器件，可靠性低计算机通用器件，可靠性低高优质器件高优质器件散热系统散热系统计算机风扇，一般内置。有些工控机无故障告警指示，可能由计算机风扇，一般内置。有些工控机无故障告警指示，可能由于风扇问题导致元器件损坏。于风扇问题导致元器件损坏。智能散热系统。分智能散热系统。分4组组8个小风扇，温度智能检测，个小风扇，温度智能检测，

16、温度自动调控，风扇支持热插拔，出现故障面板有温度自动调控，风扇支持热插拔，出现故障面板有指示灯告警，并上送告警日志。指示灯告警，并上送告警日志。结构结构CPU+主板主板+网卡网卡无源背板设计，主控板、散热系统、网络处理器模无源背板设计，主控板、散热系统、网络处理器模块、接口模块、电源模块全模块化设计，可独立更块、接口模块、电源模块全模块化设计，可独立更换。接口卡支持热插拔。换。接口卡支持热插拔。性能性能小包（小包（64字字节）处理能节）处理能力力只有大包（只有大包（1K字节）处理能力字节）处理能力1/101/6Eudemon 200小包超过小包超过120M，Eudemon 500/1000分分

17、别超过别超过1G/2G每秒新增连每秒新增连接接百兆防火墙只有几千，千兆防火墙百兆防火墙只有几千，千兆防火墙 2万万Eudemon 500/1000 10万万安规认证安规认证如果只在国内销售，一般为省成本不做认证如果只在国内销售，一般为省成本不做认证CE、UL、FCC-PART15、TUV-GS、VCCI等等硬件成本硬件成本低低高高应用场所应用场所可靠性、性能要求没太高要求企业可靠性、性能要求没太高要求企业可靠性、性能要求高的大、中型企业及电信运营网可靠性、性能要求高的大、中型企业及电信运营网络络内部资料，注意保密21大项大项子项子项基于基于ASIC方式千兆防火墙方式千兆防火墙Eudemon 5

18、00/1000防火墙防火墙结构结构CPU+ASICCPU+NP性能性能小包处理能力小包处理能力千兆千兆1G/2G每秒新增连接每秒新增连接 2万万10万万业务支持能力业务支持能力TCP连接处理连接处理CPU参与参与全部全部NP处理处理带宽管理带宽管理不能对每个不能对每个IP进行连接数和流量限制，支持进行连接数和流量限制，支持QoS能力弱能力弱支持对每个支持对每个IP进行连接数和流量限制，支持进行连接数和流量限制，支持QoS防防DOS攻击攻击弱（支持弱（支持TCP Proxy困难，难以防范困难，难以防范SYN FLOOD） 强（支持强（支持TCP Proxy容易，难以防范容易，难以防范SYN FL

19、OOD）业务支持能力业务支持能力支持通常支持通常TCP/UDP/ICMP，复杂协议状态检测困，复杂协议状态检测困难，支持难，支持NAT ALG少。少。除了支持通常除了支持通常TCP/UDP/ICMP状态检测以外，状态检测以外，可以支持可以支持H.323、RTSP、MGCP、SIP等复杂等复杂协议状态检测和协议状态检测和ALG，可支持多网合一。，可支持多网合一。IPV6不能软件升级支持不能软件升级支持能软件升级支持能软件升级支持内部资料，注意保密22第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四

20、章防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导内部资料，注意保密23第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP & HRP内部资料，注意保密24q防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4内部资料，注意保密25Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4q路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自

21、的数据报从这个接口出去禁止所有从DMZ区域的数据报转发到UnTrust区域内部资料，注意保密26qEudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。q此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。内部资料，注意保密27q域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高

22、级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut内部资料，注意保密28本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4内部资料，

23、注意保密29Ethernet外部网络EthernetEudemon( Local )ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0内部网络内部资料，注意保密30第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP & HRP内部资料，注意保密31q路由模式q透明模式q混合模式内部资料，注意保密32q可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火

24、墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。内部资料，注意保密33q透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。qEudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报

25、文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。q透明模式可以配置系统IP。内部资料，注意保密34q混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。内部资料，注意保密35第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范安全防范第第4节节 VRRP & HRP

26、内部资料，注意保密36qACL（参考ACL原理）q安全策略qNATq攻击防范qIDS联动内部资料，注意保密37q应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。q增加规则要重新下发：系统视图下acl accelerate enable q基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3ACL 规

27、则库 内部资料，注意保密38qACLq安全策略qNATq攻击防范qIDS联动内部资料，注意保密39qASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。q为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。qASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。 内部资料，注意保密40q黑名单，指根据

28、报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。内部资料，注意保密41q黑名单的创建undo firewall blacklist item sour-addr timeout minutes q黑名单的使能undo firewall black

29、list enableq黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 内部资料，注意保密42q服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在100分钟内过滤掉客户机发送的所有ICMP报文。Eudemon服务器PC内部资料，注意保密43qEudemon firewall blacklist item 0 timeout 100qEudemon f

30、irewall blacklist packet-filter icmp range globalqEudemon firewall blacklist enable内部资料，注意保密44qMAC和IP地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。注意其要点q端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不

31、同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defined）的端口识别表。内部资料，注意保密45qACLq安全策略qNATq攻击防范qIDS联动内部资料，注意保密46NAT服务器域间的ACL规则域间的ASPF域间的NAT域间的缺省规则数据报内部资料，注意保密47qACLq安全策略qNATq攻击防范qIDS联动内部资料，注意保密48q单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fr

32、agment内部资料，注意保密49q分片报文攻击q拒绝服务类攻击q扫描内部资料，注意保密50qFraggle特征：UDP报文，目的端口7（echo）或19（Character Generator）目的：echo服务会将发送给这个端口的报文再次发送回去Character Generator服务会回复无效的字符串攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满配置：firewall defend fraggle enable原理：过滤UDP类型的目的端口号为7或19的报文内部资料，注意保密51q

33、IP Spoof特征：地址伪冒目的：伪造IP地址发送报文配置：firewall defend ip-spoofing enable原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文内部资料，注意保密52qLand特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被攻击设备向自己发送响应报文，通常用在syn flood攻击中配置：firewall defend land enable防范原理：对符合上述特征的报文丢弃内部资料，注意保密53qSmurf特征：伪冒受害者IP地址向广播地址发送ping echo目的：使受害者被

34、网络上主机回复的响应淹没配置：firewall defend smurf enable原理：丢弃目的地址为广播地址的报文内部资料，注意保密54qTCP flag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机配置：firewall defend tcp-flag enable原理：丢弃符合特征的报文内部资料，注意保密55qWinnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机配置：firewall defend winnuke enable原理：丢弃符合

35、上述特征报文内部资料，注意保密56qIp-frag特征：同时设置了DF和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ip-fragment enable原理：丢弃符合上述特征报文内部资料，注意保密57qTear drop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置：firewall defend teardrop enable原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文内部资料，注意保密58qPing of dea

36、th特征：ping报文全长超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ping-of-death enable原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片内部资料，注意保密59qSYN Flood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求配置：statistic enable ip inzonefirewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp

37、-proxy auto|on|offfirewall defend syn-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话内部资料，注意保密60qUDP/ICMP Flood特征：向受害主机发送大量UDP/ICMP报文目的：使被攻击设备消耗掉所有处理能力配置：statistic enable ip inzonefirewall defend udp/icmp-flood ip X.X.X.X | zone zonename max-rate nu

38、m firewall defend udp/icmp-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行car内部资料，注意保密61qIP sweep特征：地址扫描，向一个网段内的IP地址发送报文 nmap目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备配置：Statistic enable ip outzoneFirewall defend ip-sweep max-rate num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限

39、，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单内部资料，注意保密62qPort scan特征：相同一个IP地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备配置：Statistic enable ip outzoneFirewall defend port-scan max-rate num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向同一个IP地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑

40、名单内部资料，注意保密63qIcmp redirectqIcmp unreachableqLarge icmpqRoute recordqTime stampqtracert内部资料，注意保密64qACLq安全策略qNATq攻击防范qIDS联动内部资料，注意保密65q由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，Eudemon防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的IDS（Intrusion Detecti

41、ve System，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。内部资料，注意保密661234IDS 服务器服务器提供基于应用层的过滤内部资料，注意保密67Trust区管理服务器EudemonPC内部LAN网络Untrust区RouterIDS探测器PCIDS服务器外部网络（Internet）内部资料，注意保密68第三章防火墙原理与特性第三章防火墙原理与特性第第1节节 安全区域安全区域第第2节节 工作模式工作模式第第3节节 安全防范

42、安全防范第第4节节 VRRP & HRP内部资料，注意保密69q传统VRRP备份组q在防火墙上应用的问题（多个组主备不一致）qVrrp Group Management Protocol状态一致性（组内vrrp同步变换状态）抢占管理（屏蔽vrrp抢占）通道管理（data，trans-only）内部资料，注意保密70q两个防火墙上各接口之间的隶属关系两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。q两个防火墙上各两个防火墙上各VRRP备份组之间的隶属关备份组之间的隶属关系系 两个防火墙上的备份组编

43、号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1，A2接口隶属备份组2，A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。 q两个防火墙上各两个防火墙上各VRRP管理组之间的隶属关管理组之间的隶属关系系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。q同一防火墙上接口、备份组、管理组之同一防火墙上接口、备份组、管理组之间的隶属关系间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VR

44、RP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。 VRRP备份组提供的备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而VRRP管理组实现了各VRRP状态的一致性，是相对于Eudemon防火墙而言的，在每个防火墙上都定义至少一个VRRP管理组，负责管理该Eudemon防火墙与各安全区域相关的备份组 内部资料，注意保密71qVRRP的配置任务(无符号，表示该配置仅适用于未加入管理组的备份组)配置备份组的虚拟IP地址 配置备份组的优先级配置备份组的抢占方式和延迟时间配置备份组的认证方式和

45、认证字配置备份组的定时器配置监视指定接口 qVRRP管理组的配置包括： 创建VRRP管理组使能VRRP管理组功能配置向VRRP管理组添加备份组配置VRRP管理组优先级配置VRRP管理组抢占功能配置VRRP管理组Hello报文的发送间隔配置VRRP管理组的报文群发标志 内部资料，注意保密72VRRP备份组VRRP管理组接口传统VRRP报文VGMP报文内部资料，注意保密73qHRP（Huawei Redundancy Protocol）。HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息q配置主备当采用负载分担方式时，网络中存在两

46、台Master防火墙。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。配置主设备：配置主设备：发送配置备份内容的防火墙配置从设备：配置从设备：接收配置备份内容的防火墙只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP组优先级、接口真实IP地址从大到小的顺序选择配置主设备。内部资料，注意保密74VRRP备份组VRRP管理组VGMP报文HRP模块HRP报文当VRRP管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙

47、之间配置命令和会话状态信息得到及时备份。同时，VRRP管理组状态也要受HRP状态影响，即VRRP会根据HRP状态切换的结果来调整优先级，并进行VRRP状态切换。 内部资料，注意保密75第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四章防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导内部资料，注意保密76qE200升级方法比较简单，大包中包含大Bootrom，直接升级大包即解决问题q老命令行E100升级方法应对E100问题，出新命令行升级版本0315首先要升级小Bootrom然后升级

48、为防火墙Bootrom最后下载防火墙新软件可以支持软件升级，不用更换硬件命令行变化，访问列表变化内部资料，注意保密77第一章防火墙技术简介第一章防火墙技术简介第二章防火墙体系结构第二章防火墙体系结构第三章防火墙原理与特性第三章防火墙原理与特性第四章防火墙升级指导第四章防火墙升级指导第五章防火墙故障处理指导第五章防火墙故障处理指导内部资料，注意保密78q推荐配置管理网口性能高，推荐作为主要业务口打开快转（D013之前，之后缺省打开）接口模式设置为百兆、全双工，不要协商ACL条目较多，使用ACL加速算法不使能ftp服务器（黑名单现在无法防范）尽可能使用路由模式TCP相关会话老化时间设置长一些默认4

49、0：fire sess aging-time 可以使能黑名单，防止非法登录防火墙内部资料，注意保密79q功能限制目前版本尽量避免使用动态路由，D10SP1目前不支持同一个报文在同一个接口上下，组网需要避免隧道L2tp、GRE等，最低版本D10SP1避免开放流日志（日志服务器未发布、D013）系统统计不要关闭攻防模块日志较多，没有必要不要打开，防止log没有有效信息内部资料，注意保密80qdisplay diagnostic-informationqdisplay arpqdisplay firewall session tableqdisplay fib/display ip routing-

50、table内部资料，注意保密81qdebug ip packetqdisp aclqdisplay firewall session table vqdisp arpq display fib/display ip routing-tableqdebugging nat alg | event | packet qdisplay diagnostic-information内部资料，注意保密82Q：报文不转发。：报文不转发。1、接口是否加入区域2、防火墙是否进行了限制3、是否同一个接口进行数据转发（注意其版本）内部资料，注意保密83Q：Eudemon200告警灯亮的问题。告警灯亮的问题。告警灯

51、对那些进行告警：rpu的alarm灯对温度、风扇、电源异常进行告警。如果fan、pwr1、pwr2的告警灯亮了，rpu的告警灯也会亮就是说电源模块自己的告警可以反映到主控板pwr告警灯上，主控板pwr告警可以反映到rpu告警灯上。风扇、电源的状态可以通过display device命令查看。 常见情况：Eudmeon200有两路电源，如果一开始就只有一路电源折不会产生告警如果一开始有两路电源，但是后来拔掉一路电源，则告警灯会亮如果有两路电源，但是有一路没有开，告警灯会亮内部资料，注意保密84告警产生后的查看命令：disp device 看单板状态disp environment 看环境信息disp alar