26 防火墙产品与维护培训

1、防火墙产品与维护ISSUE 1.0学习目标学习完本课程，您应该能够：了解Eudemon产品工作原理了解Eudemon产品规格和特性掌握Eudemon产品典型组网及配置掌握Eudemon产品维护方法1第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导2防火墙概述网络安全问题成为近年来网络问题的焦点网络安全包括基础设施安全、边界安全和管理安全等全方位策略防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率由于防火墙用于边界安全，

2、因此往往兼备NAT、VPN等功能我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开3防火墙的分类（一）包过滤防火墙代理防火墙状态防火墙包过滤防火墙代理防火墙状态防火墙4防火墙的分类(二）按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（applic

3、ation gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。 代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。5防火墙技术发展方向

4、软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eu

5、demon 200产品、NetScreen 204等防火墙产品。基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙= 工控机类型防火墙=电信级硬件防火墙=基于NP电信级防火墙6基于改进的状态检测安全技术（一）改进的状态防火墙： Eudemon系列防火墙即采用的这种技术，这是华为特有的ASPF技术（Application specific packet filter），它结合了代

6、理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。动态创建和删除过滤规则监视通信过程中的报文7基于改进的状态检测安全技术（二）ASPF（Application Specific Packet Filter）增强VRP平台上的防火墙功能，提供针对应用层的报文过滤功能。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。8基于改进的状态检测安全

7、技术（三）状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。9DoS攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术（四） Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。 检查接口上的外发IP报文，确认为基于TCP的FTP报文。检查端口号确认连接为控制连接，

8、 建立返回报文的临时ACL和状态表。检查FTP控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。10主要防火墙性能衡量指标吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连

9、接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问11第一章防火墙技术简介第二章防火墙体系结构第三章 防火墙原理与特性第四章 防火墙升级指导第五章防火墙故障处理指导12Eudemon系列防火墙外观华为公司系列电信级

10、硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 200Eudemon 100Eudemon 500Eudemon 100013Eudemon系列防火墙性能项 目 技术参数与性能指标Eudemon 100Eudemon 200Eudemon500Eudemon 1000整机吞吐率100Mbps（实际略低）400Mbps1200M3Gbps并发连接数20万50万50万80万每秒新建连接数5000条/秒20000条/秒100000条/秒100000条/秒Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。

11、14Eudemon 200：高效可靠的体系结构双总线双通道设计总线冲突减少，总带宽提升双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换PCI0PCI1CPU精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能，高速ACL技术保证了配置大量规则下，性能不受影响。15Eudemon 500/1000：基于NP的集中式多业务路由器Eudemon 500/1000 ：基于NP逻辑结构全模块化、基于NP硬件集中式转发、电信级可靠性；TCP、UDP首包都是NP进行处理，保证了每秒新建连接100,000条/秒，充分保证网络安全性。NP转发方式保证了Eudemon 500

12、和1000在64字节报文下分别超过1G和2G；基于硬件ACL保证了配置大量规则情况，性能不受影响。CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI共享数据总线2G D_bus交换总线16先进的体系架构Eudemon防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。Eudemon 500/1000防火墙采用网络处理器技术，高性能、可扩展性兼顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性能高，弱点是过于固化，无法升级NPCPUASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）17防火墙的基本工作流程传统包过滤防火墙（路

13、由器）18E200状态防火墙19与工控机类型防火墙技术对比20千兆防火墙技术对比21第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导22第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP & HRP23防火墙的安全区域（一）防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口424Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域（二）路由器的安全规则定义在接口上，而防

14、火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去禁止所有从DMZ区域的数据报转发到UnTrust区域25防火墙的安全区域（三）Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。26防火墙的安全区域（四）域间的数据流分两个方向：入方向（inbound）

15、：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutoutinInOut27防火墙的安全区域（五）本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutLocal区域Trust区域DMZ区域UnTrust区域接

16、口1接口2接口3接口428防火墙的安全区域（六）29第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP & HRP30防火墙的三种工作模式（一）路由模式透明模式混合模式31防火墙的三种工作模式（二）可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。32防火墙的三种工作模式（三）透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不

17、能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。Eudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。透明模式可以配置系统IP。33防火墙的三种工作模式（四）混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出

18、混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。34第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP & HRP35防火墙的安全防范ACL（参考ACL原理）安全策略NAT攻击防范IDS联动36ACL加速应为每次区域间转发数据报时都要线性检查ACL中的所有规则,当ACL中的规则较多时,将极大的影响转发速度。ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能

19、ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。增加规则要重新下发：系统视图下acl accelerate enable 基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule 1Rule 2Rule 3ACL 规则库 37防火墙的安全防范ACL安全策略NAT攻击防范IDS联动38ASPFASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于

20、ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。 39黑名单（一）黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特

21、性。40黑名单（二）黑名单的创建undo firewall blacklist item sour-addr timeout minutes 黑名单的使能undo firewall blacklist enable黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 41黑名单配置举例（一）服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在100分钟内过滤掉客户机发送的所有ICMP报文。42黑名单配置举例（二）Eudemon fi

22、rewall blacklist item 0 timeout 100Eudemon firewall blacklist packet-filter icmp range globalEudemon firewall blacklist enable43其它MAC和IP地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。注意其要点端口识别简介应用层协

23、议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defined）的端口识别表。44防火墙的安全防范ACL安全策略NAT攻击防范IDS联动45防火墙数据报安全匹配的顺序NAT服务器域间的ACL规则域间的ASPF域间的NAT域间的缺省规则数据报46防火墙的安全防范ACL安全策略NAT攻击防范IDS联动47攻击类型简介（一）单报文攻击FraggleIp spoofLand

24、SmurfTcp flagWinnukeip-fragment48攻击类型简介（二）分片报文攻击Tear DropPing of death拒绝服务类攻击SYN FloodUDP Flood & ICMP Flood扫描IP sweepPort scan49单包攻击原理及防范（一）Fraggle特征：UDP报文，目的端口7（echo）或19（Character Generator）目的：echo服务会将发送给这个端口的报文再次发送回去Character Generator服务会回复无效的字符串攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二

25、者互指，源、目的都是广播地址，会造成网络带宽被占满配置：firewall defend fraggle enable原理：过滤UDP类型的目的端口号为7或19的报文50单包攻击原理及防范（二）IP Spoof特征：地址伪冒目的：伪造IP地址发送报文配置：firewall defend ip-spoofing enable原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文51单包攻击原理及防范（三）Land特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被攻击设备向自己发送响应报文，通常用在syn flood攻击中配置

26、：firewall defend land enable防范原理：对符合上述特征的报文丢弃52单包攻击原理及防范（四）Smurf特征：伪冒受害者IP地址向广播地址发送ping echo目的：使受害者被网络上主机回复的响应淹没配置：firewall defend smurf enable原理：丢弃目的地址为广播地址的报文53单包攻击原理及防范（五）TCP flag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机配置：firewall defend tcp-flag enable原理：丢弃符合特征的报文54单包攻击原理及防范（

27、六）Winnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机配置：firewall defend winnuke enable原理：丢弃符合上述特征报文55单包攻击原理及防范（七）Ip-frag特征：同时设置了DF和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ip-fragment enable原理：丢弃符合上述特征报文56分片报文攻击原理及防范（一）Tear drop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火

28、墙访问内部端口配置：firewall defend teardrop enable原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文57分片报文攻击原理及防范（二）Ping of death特征：ping报文全长超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ping-of-death enable原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片58拒绝服务攻击原理及防范（一）SYN Flood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有处理能力，无法响应正常

29、用户的请求配置：statistic enable ip inzonefirewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp-proxy auto|on|offfirewall defend syn-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话59拒绝服务攻击原理及防范（二）UDP/ICMP Flood特征：向受害主机发送大量UDP/

30、ICMP报文目的：使被攻击设备消耗掉所有处理能力配置：statistic enable ip inzonefirewall defend udp/icmp-flood ip X.X.X.X | zone zonename max-rate num firewall defend udp/icmp-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行car60扫描攻击原理和防范（一）IP sweep特征：地址扫描，向一个网段内的IP地址发送报文 nmap目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备配置：Statisti

31、c enable ip outzoneFirewall defend ip-sweep max-rate num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单61扫描攻击原理和防范（二）Port scan特征：相同一个IP地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备配置：Statistic enable ip outzoneFirewall defend port-scan max-rat

32、e num blacklist-timeout num原理：防火墙根据报文源地址进行统计，检查某个IP地址向同一个IP地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单62防火墙防范的其他报文Icmp redirectIcmp unreachableLarge icmpRoute recordTime stamptracert63防火墙的安全防范ACL安全策略NAT攻击防范IDS联动64IDS联动由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外

33、不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，Eudemon防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的IDS（Intrusion Detective System，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。65IDS联动1234IDS 服务器提供基于应用层的过滤66IDS联动配置举例67第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范

34、第4节 VRRP & HRP68VRRP和VGMP（一）传统VRRP备份组在防火墙上应用的问题（多个组主备不一致）Vrrp Group Management Protocol状态一致性（组内vrrp同步变换状态）抢占管理（屏蔽vrrp抢占）通道管理（data，trans-only）69VRRP和VGMP（二）两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。两个防火墙上各VRRP备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1，A2接口隶属

35、备份组2，A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。 两个防火墙上各VRRP管理组之间的隶属关系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。同一防火墙上接口、备份组、管理组之间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。 VRRP备份组提供的

36、备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而VRRP管理组实现了各VRRP状态的一致性，是相对于Eudemon防火墙而言的，在每个防火墙上都定义至少一个VRRP管理组，负责管理该Eudemon防火墙与各安全区域相关的备份组 70VRRP和VGMP（三）VRRP的配置任务(无符号，表示该配置仅适用于未加入管理组的备份组)配置备份组的虚拟IP地址 配置备份组的优先级配置备份组的抢占方式和延迟时间配置备份组的认证方式和认证字配置备份组的定时器配置监视指定接口 VRRP管理组的配置包括： 创建VRRP管理组使能VRRP管理组功能配置向VRRP管理组添加备份组配置VRRP管理组优先级

37、配置VRRP管理组抢占功能配置VRRP管理组Hello报文的发送间隔配置VRRP管理组的报文群发标志 71VGMP72HRPHRP（Huawei Redundancy Protocol）。HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息配置主备当采用负载分担方式时，网络中存在两台Master防火墙。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。配置主设备：发送配置备份内容的防火墙配置从设备：接收配置备份内容的防火墙只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。在负载分担方

38、式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP组优先级、接口真实IP地址从大到小的顺序选择配置主设备。73HRP/VGMP/VRRP关系当VRRP管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。同时，VRRP管理组状态也要受HRP状态影响，即VRRP会根据HRP状态切换的结果来调整优先级，并进行VRRP状态切换。 74第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导75升级方法E200升级方法比较简单，大包中包含大B

39、ootrom，直接升级大包即解决问题老命令行E100升级方法应对E100问题，出新命令行升级版本0315首先要升级小Bootrom然后升级为防火墙Bootrom最后下载防火墙新软件可以支持软件升级，不用更换硬件命令行变化，访问列表变化76第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导77使用注意事项（一）推荐配置管理网口性能高，推荐作为主要业务口打开快转（D013之前，之后缺省打开）接口模式设置为百兆、全双工，不要协商ACL条目较多，使用ACL加速算法不使能ftp服务器（黑名单现在无法防范）尽可能使用路由模式TCP相关会话老化时间设置

40、长一些默认40：fire sess aging-time 可以使能黑名单，防止非法登录防火墙78使用注意事项（二）功能限制目前版本尽量避免使用动态路由，D10SP1目前不支持同一个报文在同一个接口上下，组网需要避免隧道L2tp、GRE等，最低版本D10SP1避免开放流日志（日志服务器未发布、D013）系统统计不要关闭攻防模块日志较多，没有必要不要打开，防止log没有有效信息79故障收集信息（一）display diagnostic-informationdisplay arpdisplay firewall session tabledisplay fib/display ip routing

41、-table80故障收集信息（二）debug ip packetdisp acldisplay firewall session table vdisp arp display fib/display ip routing-tabledebugging nat alg | event | packet display diagnostic-information81常见问题（一）Q：报文不转发。1、接口是否加入区域2、防火墙是否进行了限制3、是否同一个接口进行数据转发（注意其版本）82常见问题（二）Q：Eudemon200告警灯亮的问题。告警灯对那些进行告警：rpu的alarm灯对温度、风扇、

42、电源异常进行告警。如果fan、pwr1、pwr2的告警灯亮了，rpu的告警灯也会亮就是说电源模块自己的告警可以反映到主控板pwr告警灯上，主控板pwr告警可以反映到rpu告警灯上。风扇、电源的状态可以通过display device命令查看。 常见情况：Eudmeon200有两路电源，如果一开始就只有一路电源折不会产生告警如果一开始有两路电源，但是后来拔掉一路电源，则告警灯会亮如果有两路电源，但是有一路没有开，告警灯会亮83常见问题（二）续告警产生后的查看命令：disp device 看单板状态disp environment 看环境信息disp alarm u 看告警信息disp log 看日志信息例子：本溪铁通接了地线导致电源告警，网上问题84常见问题（二）续确认问题后对出现异常的上报信息，可以做以下两个操作：1）在诊断模式下执行以下操作：Quidway-diagnosetinit nv Initialize the