DF100201防火墙产品与维护培训胶片ISSUE30

1、防火墙产品与维护3.01学习目标了解Eudemon产品工作原理了解Eudemon产品规格和特性掌握Eudemon产品典型组网及配置掌握Eudemon产品维护方法学习完本课程，您应该能够：2课程内容第一章 Eudemon防火墙第二章 Eudemon边界会话控制器3第一章 Eudemon防火墙培训1. 防火墙技术简介2. 防火墙体系结构3. 防火墙原理与特性4. 防火墙升级指导5. 防火墙故障处理指导4防火墙概述网络安全问题成为近年来网络问题的焦点网络安全包括基础设施安全、边界安全和管理安全等全方位策略防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击与路由

2、器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开5防火墙的分类（一）包过滤防火墙代理防火墙状态防火墙包过滤防火墙代理防火墙状态防火墙6防火墙的分类(二）按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则

3、。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。 代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火

4、墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。7防火墙技术发展方向1、软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。3、电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PC

5、I总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙= 工控机类型防火墙=电信级硬件防火墙=基于NP电信级防火墙8动态创建和删除过滤规则改进的状态防火墙： Eudemon系列防火墙即采用的这种技术，这是华为

6、特有的ASPF技术（Application specific packet filter），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。监视通信过程中的报文基于改进的状态检测安全技术（一）9ASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对

7、应用层报文的内容加以检测，以对一部分攻击加以检测和防范。基于改进的状态检测安全技术（二）10状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。基于改进的状态检测安全技术（三）11 Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。 检查接口上的外发IP报文，确认为基于TCP的FTP报文。检查端口号确认连接为控制连接， 建立返回报

8、文的临时ACL和状态表。检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。DoS攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术（四）12主要防火墙性能衡量指标1、吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置

9、ACL规则，因此需要考察防火墙支持大量规则下转发性能。2、每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。3、并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。13第一章 防火墙培训1. 防火墙

10、技术简介2. 防火墙体系结构3. 防火墙原理与特性4. 防火墙升级指导5. 防火墙故障处理指导14Eudemon 200Eudemon 100Eudemon系列防火墙外观华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 500Eudemon 100015Eudemon系列防火墙性能项 目 技术参数与性能指标Eudemon 100Eudemon 200Eudemon500Eudemon 1000整机吞吐率100Mbps（实际略低）400Mbps1200M3Gbps并发连接数20万50万50万80万每秒新建连

11、接数5000条/秒20000条/秒100000条/秒100000条/秒Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。16Eudemon 200：高效可靠的体系结构双总线双通道设计总线冲突减少，总带宽提升双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换PCI0PCI1CPU精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能，高速ACL技术保证了配置大量规则下，性能不受影响。17Eudemon 500/1000 ：基于NP逻辑结构Eudemon 500/1000：基于NP的集中式多业务路由器CPUNP高速交换转 发Logic高速接

12、口智能接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线全模块化、基于NP硬件集中式转发、电信级可靠性；TCP、UDP首包都是NP进行处理，保证了每秒新建连接100,000条/秒，充分保证网络安全性。NP转发方式保证了Eudemon 500和1000在64字节报文下分别超过1G和2G；基于硬件ACL保证了配置大量规则情况，性能不受影响。18先进的体系架构Eudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。Eudemon 500/1000防火墙采用网络处理器技术，高性能、可扩展性兼顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性能高，弱点是过于固化

13、，无法升级NPCPUASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）19防火墙的基本工作流程传统包过滤防火墙（路由器）20E200状态防火墙21与工控机类型防火墙技术对比22千兆防火墙技术对比23第一章 防火墙培训1. 防火墙技术简介2. 防火墙体系结构3. 防火墙原理与特性4. 防火墙升级指导5. 防火墙故障处理指导24防火墙原理与特性 1. 安全区域2. 工作模式3. 安全防范4. VRRP & HRP25防火墙的安全区域（一）防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接

14、口3接口426防火墙的安全区域（二）路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域27防火墙的安全区域（三）Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。此外，如认为有必

15、要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。28防火墙的安全区域（四）域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut29防火墙的安全区域（五）本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接口没有加入域之前不能转发包文Local区域Trust区域

16、DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口430防火墙的安全区域（六）31防火墙原理与特性 1. 安全区域2. 工作模式3. 安全防范4. VRRP & HRP32防火墙的三种工作模式（一）路由模式透明模式混合模式33防火墙的三种工作模式（二）可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配

17、置在这个域间关系上的安全策略进行各种操作。34防火墙的三种工作模式（三）透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。Eudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等

18、功能。透明模式可以配置系统IP。35防火墙的三种工作模式（四）混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。36防火墙原理与特性 1. 安全区域2. 工作模式3. 安全防范4. VRRP & HRP37防火墙的安全防范ACL安全策略NAT攻击防范IDS联动38访问控制列表是什么？一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP

19、来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则39如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IP standard list199,2000-2999IP extended list100199,3000-3999 700799范围的ACL是基于MAC地址的访问控制列表备注：VRP3.20-0315.02（包括）后版本支持根据用户定义ACL规则进行信息检测，添加检测启动命令detect user-define acl-number aging-time，添加打开用户定义ACL规则的检测调试命令debug

20、ging firewall aspf user-define40ACL加速应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。增加规则要重新下发：系统视图下acl accelerate enable 基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3ACL 规则库 41防火墙的安全防范ACL安全策略N

21、AT攻击防范IDS联动42ASPFASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。 43黑名单（一）黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进

22、行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。44黑名单（二）黑名单的创建undo firewall blacklist item sour-addr timeout minutes 黑名单的使能undo firewall blacklist enable黑名单的报文过滤类型和范围的设置 firewall blackli

23、st filter-type icmp | tcp | udp | others range blacklist | global 45黑名单配置举例（一）服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在100分钟内过滤掉客户机发送的所有ICMP报文。46黑名单配置举例（二）Eudemon firewall blacklist item 0 timeout 100Eudemon firewall blacklist packet-filter icmp range globalEudemon firewall blacklist enable47其它MAC和IP地址绑定

24、，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。注意其要点端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-

25、defined）的端口识别表。48防火墙的安全防范ACL安全策略NAT攻击防范IDS联动49防火墙数据报安全匹配的顺序NAT服务器域间的ACL规则域间的ASPF域间的NAT域间的缺省规则数据报50防火墙的安全防范ACL安全策略NAT攻击防范IDS联动51攻击类型简介（一）单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment52攻击类型简介（二）分片报文攻击Tear DropPing of death拒绝服务类攻击SYN FloodUDP Flood & ICMP Flood扫描IP sweepPort scan53单包攻击原理及防范（一

26、）Fraggle特征：UDP报文，目的端口7（echo）或19（Character Generator）目的：echo服务会将发送给这个端口的报文再次发送回去Character Generator服务会回复无效的字符串攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满配置：firewall defend fraggle enable原理：过滤UDP类型的目的端口号为7或19的报文54单包攻击原理及防范（二）IP Spoof特征：地址伪冒目的：伪造IP地址发送报文配置：firewall defe

27、nd ip-spoofing enable原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文55单包攻击原理及防范（三）Land特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被攻击设备向自己发送响应报文，通常用在syn flood攻击中配置：firewall defend land enable防范原理：对符合上述特征的报文丢弃56单包攻击原理及防范（四）Smurf特征：伪冒受害者IP地址向广播地址发送ping echo目的：使受害者被网络上主机回复的响应淹没配置：firewall defend smurf ena

28、ble原理：丢弃目的地址为广播地址的报文57单包攻击原理及防范（五）TCP flag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机配置：firewall defend tcp-flag enable原理：丢弃符合特征的报文58单包攻击原理及防范（六）Winnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机配置：firewall defend winnuke enable原理：丢弃符合上述特征报文59单包攻击原理及防范（七）Ip-frag特征：同时设置了D

29、F和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ip-fragment enable原理：丢弃符合上述特征报文60分片报文攻击原理及防范（一）Tear drop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置：firewall defend teardrop enable原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文61分片报文攻击原理及防范（二）Ping of death特征：ping报文全长超过65535目的：使被攻

30、击设备因处理不当而死机配置：firewall defend ping-of-death enable原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片62拒绝服务攻击原理及防范（一）SYN Flood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求配置：statistic enable ip inzonefirewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp-proxy auto|on|offfire

31、wall defend syn-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话63拒绝服务攻击原理及防范（二）UDP/ICMP Flood特征：向受害主机发送大量UDP/ICMP报文目的：使被攻击设备消耗掉所有处理能力配置：statistic enable ip inzonefirewall defend udp/icmp-flood ip X.X.X.X | zone zonename max-rate num firewall defend

32、udp/icmp-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行car64扫描攻击原理和防范（一）IP sweep特征：地址扫描，向一个网段内的IP地址发送报文 nmap目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备配置：Statistic enable ip outzoneFirewall defend ip-sweep max-rate num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名

33、单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单65扫描攻击原理和防范（二）Port scan特征：相同一个IP地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备配置：Statistic enable ip outzoneFirewall defend port-scan max-rate num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向同一个IP地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单66防火墙防范的其他报文

34、Icmp redirectIcmp unreachableLarge icmpRoute recordTime stamptracert67防火墙的安全防范ACL安全策略NAT攻击防范IDS联动68IDS联动由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，Eudemon防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的IDS（Intrusion Detective System，攻击检测系统）系统就像在网络上装备了网络

35、分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。69IDS联动1234IDS 服务器提供基于应用层的过滤70IDS联动配置举例71防火墙原理与特性 1. 安全区域2. 工作模式3. 安全防范4. VRRP & HRP72VRRP和VGMP（一）传统VRRP备份组在防火墙上应用的问题（多个组主备不一致）Vrrp Group Management Protocol状态一致性（组内vrrp同步变换状态）抢占管理（屏蔽vrrp抢占）通道管理（data，trans-only）73两个防

36、火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。两个防火墙上各VRRP备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1，A2接口隶属备份组2，A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。 两个防火墙上各VRRP管理组之间的隶属关系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3

37、。 同一防火墙上接口、备份组、管理组之间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。 VRRP备份组提供的备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而VRRP管理组实现了各VRRP状态的一致性，是相对于Eudemon防火墙而言的，在每个防火墙上都定义至少一个VRRP管理组，负责管理该Eudemon防火墙与各安全区域相关的备份组 VRRP和VGMP（二）74VRRP的配置任务(无符号，表示该配置仅适

38、用于未加入管理组的备份组)配置备份组的虚拟IP地址 配置备份组的优先级配置备份组的抢占方式和延迟时间配置备份组的认证方式和认证字配置备份组的定时器配置监视指定接口 VRRP管理组的配置包括： 创建VRRP管理组使能VRRP管理组功能配置向VRRP管理组添加备份组配置VRRP管理组优先级配置VRRP管理组抢占功能配置VRRP管理组Hello报文的发送间隔配置VRRP管理组的报文群发标志 VRRP和VGMP（三）75VGMP76HRP（Huawei Redundancy Protocol）。HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话

39、表状态信息配置主备当采用负载分担方式时，网络中存在两台Master防火墙。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。配置主设备：发送配置备份内容的防火墙配置从设备：接收配置备份内容的防火墙只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP组优先级、接口真实IP地址从大到小的顺序选择配置主设备。HRP77HRP/VGMP/VRRP关系当VRRP管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和

40、会话状态信息得到及时备份。同时，VRRP管理组状态也要受HRP状态影响，即VRRP会根据HRP状态切换的结果来调整优先级，并进行VRRP状态切换。 78第一章 Eudemon防火墙培训1. 防火墙技术简介2. 防火墙体系结构3. 防火墙原理与特性4. 防火墙升级指导5. 防火墙故障处理指导79升级方法E200升级方法比较简单，大包中包含大Bootrom，直接升级大包即解决问题老命令行E100升级方法应对E100问题，出新命令行升级版本0315首先要升级小Bootrom然后升级为防火墙Bootrom最后下载防火墙新软件可以支持软件升级，不用更换硬件命令行变化，访问列表变化80第一章 Eudemo

41、n防火墙培训1. 防火墙技术简介2. 防火墙体系结构3. 防火墙原理与特性4. 防火墙升级指导5. 防火墙故障处理指导81使用注意事项（一）推荐配置管理网口性能高，推荐作为主要业务口打开快转（D013之前，之后缺省打开）接口模式设置为百兆、全双工，不要协商ACL条目较多，使用ACL加速算法不使能ftp服务器（黑名单现在无法防范）尽可能使用路由模式TCP相关会话老化时间设置长一些默认40：fire sess aging-time 可以使能黑名单，防止非法登录防火墙82使用注意事项（二）功能限制目前版本尽量避免使用动态路由，D10SP1目前不支持同一个报文在同一个接口上下，组网需要避免隧道L2tp

42、、GRE等，最低版本D10SP1避免开放流日志（日志服务器未发布、D013）系统统计不要关闭攻防模块日志较多，没有必要不要打开，防止log没有有效信息83故障收集信息（一）display diagnostic-informationdisplay arpdisplay firewall session tabledisplay fib/display ip routing-table841、debug ip packet2、disp acl3、display firewall session table v4、disp arp5、 display fib/display ip routing-

43、table6、debugging nat alg | event | packet 7、display diagnostic-information故障收集信息（二）85Q：报文不转发。1、接口是否加入区域2、防火墙是否进行了限制3、是否同一个接口进行数据转发（注意其版本）常见问题（一）86Q：Eudemon200告警灯亮的问题。告警灯对那些进行告警：rpu的alarm灯对温度、风扇、电源异常进行告警。如果fan、pwr1、pwr2的告警灯亮了，rpu的告警灯也会亮就是说电源模块自己的告警可以反映到主控板pwr告警灯上，主控板pwr告警可以反映到rpu告警灯上。风扇、电源的状态可以通过disp

44、lay device命令查看。 常见情况：Eudmeon200有两路电源，如果一开始就只有一路电源折不会产生告警如果一开始有两路电源，但是后来拔掉一路电源，则告警灯会亮如果有两路电源，但是有一路没有开，告警灯会亮告警产生后的查看命令：disp device 看单板状态disp environment 看环境信息disp alarm u 看告警信息disp log 看日志信息例子：本溪铁通接了地线导致电源告警，网上问题常见问题（二）87确认问题后对出现异常的上报信息，可以做以下两个操作：1）在诊断模式下执行以下操作：Quidway-diagnosetinit nv Initialize the

45、NVRAM succeeded! 清除NVRAM中以往错误记录，以免误导；0这个清除将清除disp alarm 中的所有记录都清除2）使用以下命令关闭告警灯quench alarm light rpu Eudemon200 0313（包括）之后才可以使用 备注：如何进入诊断模式：sys模式下输入下划线“_”回车即可。常见问题（二）续88Q：关于主板接口的使用问题。Eudemon200主控板接口转发性能高，建议使用Eudemon1000主控板接口转发性能低，不建议使用常见问题（三）89Q：EU100-VRP3.30-0316.01(07)与软交换配合无法正常实现NAT H.323 ALG功能的问

46、题EU100-VRP3.30-0316.01(07)与软交换配合实现H.323 ALG功能，下接丽台可视电话通信时，出现话路双不通情况。Eudemon100去掉NAT功能，做路由器时使用可视电话正常。常见问题（四）90Q：Eudemon0324/0322版本L2tp问题Eudemon200作为LNS服务器，在配置了多个L2tp Group的情况下目前不支持精确匹配功能，即如果l2tp Group 1没有配置remote信息，则所有的登陆请求将都匹配l2tp Group 1，而不是根据remote名和域名进行精确匹配。正确的匹配算法是应该先匹配remote名和域名都相同的l2tp Group组，

47、如果不存在则匹配remote名相同的l2tp Group组，如果还不存在则看l2tp Group 1是否配置了remote名，如果没有配置则匹配l2tp Group 1如果配置了则返回匹配失败，用户将不能登录。常见问题（五）91Q：使用console登录eudemon出现与远程连接断开但是console无法操作的情况，处理方法： 0313（包括）之前版本，使用console登录eudemon后telent远程主机。有可能出现与远程连接断开但是console无法操作的情况，处理方法：1、等待超时2、ctrl+k 常见问题（六）92Q：NAT转换常见问题Eudmeon200做NATserver时候

48、是使用访问列表方式运行外网（untrust区域）访问内网的server（trust区域），这个时候访问列表使用的地址是NATSERVER公网地址还是私网地址呢？私网地址。常见问题（七）93Q：E1000不支持l2tp计划4月支持常见问题（八）94Q：Eudemon200FTP注意事项使用工具传输程序不成功，使用命令行可以成功。 enable# local-user huawei password simple huawei local-user huawei service-type ftp local-user huawei level 3这点和路由器不同，如果不设置级别3是无法正常上传下载

49、数据 local-user huawei flash:例如在trust ftp登录到Eudmeon，必须设置允许用户访问local区域，方法：1、firewall interzone local trust配置命令允许用户双向访问2、或者允许单向访问配置detect ftp命令，允许反相数据通过3、最简单就是使用fire packet default permit all，使用该命令后注意根据客户需求进行相应的访问控制常见问题（九）95第二章 Eudemon边界会话控制器1. NGN承载网改造需求分析2. ALG/PROXY工作原理介绍3. Eudemon 2000系列规格介绍4. Eudem

50、on 2000系列典型配置案例96NGN网络结构3G业务管理网络控制核心交换边缘接入固定SoftX30003G AccessAMG5000IAD系列Broadband AccessPSTNTMG8010SG7000PLMNUniphoneSIP/H.323 PhoneSoftX3000分组核心网U-NICAApp ServerPolicy ServeriOSSVideo GWU-PathPOTSUMG89003G终端UMG8900MRS60002G终端IN97需求根源企业网驻地网私 网软交换公 网软交换公 网？VPN专网公 网软交换NGN专网问题1用户接入方式日趋多样化、复杂化，软交换位于公网

51、，如何发展企业/驻地等私网用户？问题2运营商自建IP城域网，规模放号如何解决IP地址紧缺问题？问题3NGN采用专网搭建，软交换设置私有地址域，终端如何注册到软交换？98从需求根源中我们会遇到的各种问题私网穿越问题私网终端管理问题IP超市/集团用户业务开展问题QOS问题带宽、业务盗用问题软交换安全问题991、私网穿越问题SoftxNATFirewallNGN终端NGN专网企业网企业网NGN终端终端侧采用私网地址SoftSwitch侧采用私网地址需要解决私网地址环境下基本视频、语音功能：不同企业地址域重复NGN专网地址域与企业地址域重复IAD终端如何注册到SoftSwitchIAD终端主动呼叫外网

52、用户在NAT后的IAD终端接受来自外网的呼叫1002、私网终端管理问题SoftxNATFirewallNGN终端NGN专网企业网企业网NGN终端需要解决私网地址环境下对终端的可管理性：解决IAD终端与IADMS之间的注册问题需要支持IADMS对IAD终端的状态查询需要支持IADMS对IAD终端进行配置需要支持统一升级IAD终端软件终端侧采用私网地址IADMS采用私网地址IADMS1013、IP超市/集团用户业务开展问题SoftxNATFirewallNGN终端NGN专网话吧企业网NGN终端需要解决私网地址环境下IP超市等业务的可运营性：通过话务台进行话单管理，计费结算等功能话务台的呼叫控制、总

53、机服务功能，如电话转接、免打扰等功能U-Path话务台对IP Centrex用户进行集中管理UPath采用私网地址SoftX采用私网地址IP话务台1024、QOS问题汇接POP用户驻地网IAD骨干POP语音视讯数据流PEPEMPLS VPN语音VPN视频VPN数据VPN目前网络缺乏对语音、视频、数据等业务进行划分的能力承载网的QOS问题：1035、带宽、业务盗用问题业务盗用：NGN终端用户之间可直接互通。终端用户间可能不经过SoftSwitch 直接进行互通：比如先通过SoftSwitch得到对方号码对应的IP地 址，然后直接呼叫该地址。带宽盗用：用户建立连接协商的带宽是64K，但实际可能使用

54、超过这个带宽。城域网Internet用户Internet用户IADIADSoftx带宽盗用：没有带宽限制，可以多使用点带宽。业务盗用：NGN终端始终是连通的，没有呼叫，也能够通信。1046.1、软交换安全问题SoftSwitch直接对终端可见，终端可以直接访问到SoftSwitch。需要解决对SoftSwitch的流量攻击问题。大量语音业务无关报文：在接入PC Phone用户的时候，PC可能发出大量语音无关报文，如ICMP相关报文，NetBios over TCP/IP的相关报文；影响SoftSwitch对正常报文的处理。大量语音相关报文：在无意中将测试设备接入NGN网络，导致SoftSwit

55、ch根本无法处理正常报文，引起全网瘫痪；或者是接入了发大量信令报文的黑客程序，也将导致全网瘫痪；NGN核心网PC PhonePC Phone特殊设备IADSoftx通过设备过滤规则，防火墙设备可以阻断语音无关的报文，但无法阻断语音相关的报文PC用户发出大量语音无关报文特殊设备发出大量的信令报文SoftSwitch的处理能力是有限制的1056.2、软交换安全问题需要解决对SoftSwitch的非法信令报文的攻击。畸形信令报文攻击：恶意程序伪造信令报文，报文各个区段内容随意填写，无法正常解码；浪费SoftSwitch的处理资源，还有可能导致SoftSwitch内存泄漏等问题。状态错误的信令报文：存

56、在IAD等设备设计不完善，发出错误信令报文的情况，浪费SoftSwitch的处理资源；NGN核心网PC PhonePC Phone特殊设备IADSoftx防火墙设备无法阻断语音相关的报文恶意程序伪造信令报文SoftSwitch的处理能力是有限制的1066.3、软交换安全问题需要防止NGN核心网被黑客入侵其他设备如果采用公网地址，将导致NGN核心网安全性进一步降低其他如TG等设备同样存在被流量攻击等风险；采用通用操作系统的设备存在被入侵的可能。在一个设备被入侵后，该设备将成为继续入侵的跳板，会对NGN网运营造成重大影响。NGN核心网PC PhonePC PhoneIADIADSoftx黑客可能来

57、自世界各地网管U-NICAApp ServerPolicy ServeriOSSMRSIN黑客107第二章 Eudemon边界会话控制器1. NGN承载网改造需求分析2. ALG/PROXY工作原理介绍3. Eudemon 2000系列规格介绍4. Eudemon 2000系列典型配置案例108NAT ALG原理 NAT：网络地址转换， ALG：Application Layer Gateway，应用层网关。部分应用协议在报文内部携带了IP地址地址信息。一般的NAT设备只处理IP层的信息，不处理报文内部的内容，ALG设备需要对H323/SIP/MGCP等协议的数据区的私网IP地址信息进行特殊处

58、理。IP HeaderTCP/UDP HeaderTCP/UDP 数据区而软交换使用的SIP/H.323/MGCP/H.248等协议，在数据区携带了私网IP地址信息，需要防火墙/NAT设备做特殊处理普通NAT设备只处理IP头以及TCP/UDP头，不处理携带的数据109PROXY机制信令流信令PROXY终端：终端只能看到PROXY，注册的地址填的是PROXY的地址；PROXY将IP地址等信息修改后转给SoftSwitch进行处理。SoftSwitch：PROXY就是用户。用户作为被叫时的呼叫请求都会先发给E2000， E2000经过信令处理后再转发给被叫用户 Eudemon通过对信令的处理和分析

59、，得到本次会话的地址变换情况，带宽需求等QoS信息以及通过会话状态信息来控制媒体流的通过与关闭，起到网络保护，防带宽盗用等Eudemon2000IAD配置的SoftSwitch为E2000的地址SoftSwitch上看到的用户来自于Eudemon2000对IAD及SoftSwitch的信息分别作修改并转发110PROXY机制媒体流媒体RELAY所有的媒体流都经过PROXY进行转发。因此PROXY可以提供QOS重标记、CAC等功能。Eudemon2000分配自己的IP地址和端口分别作为内网用户和外网用户RTP的接收地址和端口，通过这种方式媒体流都能得到正确转发、QoS保证与安全控制IP Cent

60、rex业务的媒体流可以不经过Relay，直接互通Eudemon2000在私网IAD上看到对端地址为E2000的入接口地址在公网IAD上看到的私网IAD地址为E2000的出接口地址对私网IAD及公网IAD的报文分别作修改并转发私网IAD公网IAD入方向出方向111实 现 过 程 1、信令代理过程: 参见文档 2、媒体流转发过程 分配媒体端口 建立rtp session表项指导转发，例如： 上行：6:13309 0:14550- 00:14550 56:50000 下行：56:50000 00:14550- 0:14550 6:13309 媒体流nat穿越机制：通过首包学习112首 包 学 习（一