华为防火墙配置培训

1、SecPath防火墙技术介绍学习目标防火墙的域和模式攻击防范、包过滤、ASPF、NAT、黑名单的使用方法学习完本课程，您应该能够了解：防火墙的模式路由模式为防火墙的以太网接口（以GigabitEthernet0/0 为例）配置IP 地址。SecPath interface GigabitEthernet0/0SecPath-GigabitEthernet0/0 ip address 透明模式 当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置IP 地址。这样，用户若要对防火墙进行Web 管理，需在透明模式下为防火墙配置一个系统IP 地址（System IP）。用户可以通过

2、此地址对防火墙进行Web 管理。缺省情况下，防火墙工作在路由模式。(1) 配置防火墙工作在透明模式。SecPath firewall mode ? route Route mode transparent Transparent modeSecPath firewall mode transparentSet system ip address successfully.The GigabitEthernet0/0 has been in promiscuous operation mode !The GigabitEthernet0/1 has been in promiscuous ope

3、ration mode !All the Interfacess ips have been deleted.The mode is set successfully.从以上显示的系统提示信息可以看出，防火墙已经工作在透明模式下，且所有接口上的IP 地址已经被删除。(2) 为防火墙配置系统IP 地址。SecPath firewall system-ip Set system ip address successfully.说明：当防火墙切换到透明模式时， 系统为防火墙分配了一个缺省系统IP地址/8，可以使用上述命令更改系统IP 地址。防火墙的模式可以把路由模式理解为象路由器那样工作。防火墙每个

4、接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。相比较而言，路由模式的功能更强大一些；而在用户的网络无法变更的情况下，可以考虑采用透明模式。防火墙的属性配置命令打

5、开或者关闭防火墙firewall enable | disable 设置防火墙的缺省过滤模式firewall default permit|deny 显示防火墙的状态信息display firewall在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间（上午8：00 下午5：00）只能访问特定的站点；其余时间可以访问其他站点时间段的配置命令ti

6、me range 命令timerange enable|disable undo settr 命令settr begin-time end-time begin-time end-time . undo settr显示 isintr 命令display isintr显示 timerange 命令display timerange访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny

7、 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。防火墙在测试环境中，划分了最常用的三个安全区域：Untrust区域用于连接外部网络；DMZ区域放置对外服务器；Trust区域用于连接内部安全网络。DMZ区域Untrust区域SecPathserver BPC 2/24/24/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0/24/24/24Lan switchTrust区域PC 1/24ser

8、ver AInternet防火墙基本配置SecPath:Interface GigabitEthernet 0/0ip address Interface GigabitEthernet 0/1ip address Interface Ethernet 1/0ip address PC1:配置IP 地址为/24PC2:配置IP 地址为/24 防火墙的功能演示演示项目ASPF功能测试演示子项目FTP协议检测测试说明 ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略

9、。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。通常在内部网络和外部网络之间应用ASPF功能，保证内部主机可以访问外部网络，只有由内部发起连接对应的返回报文才可以进入内部网络，而外部网络不能够直接发起对内部网络的访问。除了完成传统状态防火墙的功能之外，对应用层协议进行检测，安全性更高。 本例演示ASPF功能对FTP协议的状态检测。预置条件见演示环境及基本配置Quidway firewall packet-filter enableQuidway acl number 2000Quidway-acl-basic-2000 rule denyQuidway as

10、pf-policy 1Quidway-aspf-policy-1 detect ftp aging-time 120Quidway interface GigabitEthernet0/1Quidway-GigabitEthernet0/1 firewall packet 2000 outboundQuidway-GigabitEthernet0/1 firewall aspf 1 inbound在PC2上运行ftp服务器配置步骤打开SecPath的debug aspf ftp开关pc1上运行程序，登录Server B上的查看SecPath上的debug信息，可以看到结果1执行dis aspf

11、 session查看SecPath上的ASPF 会话信息，可以看到结果2等待ftp超时后，可以看到结果3在Server B上ftp到 PC1上的，可以看到结果4预期结果debug信息显示有aspf调试信息*0.103900850 1000 ASPF/8/FTP: Session 0 x264168C4 - state = 83, token = 32, string USER, value 1331 Password required for a. 查看aspf session存在ftp 会话信息aspf session超时删除，PC1不能浏览或上传下载数据到Server B上不能ftp到内部

12、网络的主机上。防火墙的功能演示演示项目ASPF功能测试演示子项目TCP协议测试演示说明本例演示ASPF功能对TCP协议的状态检测。预置条件见演示环境及基本配置Quidway firewall packet-filter enableQuidway acl number 2000Quidway-acl-basic-2000 rule denyQuidway aspf-policy 1Quidway-aspf-policy-1 detect tcp aging-time 120Quidway interface GigabitEthernet 0/1Quidway-GigabitEthernet0

13、/1 firewall packet 2000 outboundQuidway-GigabitEthernet0/1 firewall aspf 1 inbound在PC2上运行telnet服务器测试步骤打开SecPath的debug aspf tcp开关pc1 telnet登录到Server B查看SecPath上的debug信息，可以看到结果1执行dis aspf session查看SecPath上的ASPF 会话信息，可以看到结果2等待tcp超时后，可以看到结果3在PC1上启动telnet服务，从Server B上telnetPC1,可以看到结果4预期结果debug信息显示有aspf调试

14、信息查看aspf session存在tcp 会话信息aspf session超时删除，telnet连接断开telnet不成功防火墙的功能演示演示项目攻击防范测试演示子项目UDP FLOOD攻击防范测试ICMP FLOOD攻击防范测试演示说明 攻击者短时间内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应，致使目标系统负担过重而不能处理合法的传输任务。 本测试验证防火墙对UDP FLOOD攻击的阻断，配置中保护DMZ中的主机不会受到UDP FLOOD攻击的影响。预置条件见演示环境及基本配置Quidwayfirewall defend udp-flood enable Quid

15、wayfirewall defend udp-flood zone DMZ max-rate 1000Quidwayfirewall zone DMZQuidway-zone-DMZstatistic enable ip inzone或Quidwayfirewall defend icmp-flood enable Quidwayfirewall defend icmp-flood zone DMZ max-rate 100Quidwayfirewall zone DMZQuidway-zone-DMZstatistic enable ip inzone演示步骤1在Server B 上(Lin

16、ux环境下可以使用hping2程序)发送大量的UDP报文到Server A上。2在Server A上使用抓包工具抓包，可以看到结果13在SecPath上取消UDP FLOOD攻击防范功能：Quidwayundo firewall defend udp-flood enable在ServerB上发送大量的UDP报文，同时在ServerA上抓包，可以看到结果2预期结果ServerA上接收到少量的UDP报文. 同时在SecPath上会看到UDP FLOOD攻击ICMP FLOOD攻击报警 ServerA上接收到大量的UDP攻击报文防火墙的功能演示演示项目地址绑定测试演示子项目地址绑定功能测试演示说明

17、MAC和IP地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。本演示验证防火墙地址绑定的功能。预置条件见测试环境及基本配置（假设PC2的MAC地址为0000-1000-10000）Quidwayfirewall mac-binding 0000-1000-1000 Quidwayfirewall mac-binding enable演示步骤1在PC

18、2 上ping Server A 或者 ServerB，可以看到结果12关闭PC2的网口，把PC1的地址修改为PC2的IP地址：，然后从PC1上ping ServerA或者ServerB，可以看到结果2预期结果1. PC2能够和ServerA或者ServerB通讯 2. PC1不可以和ServerA或者ServerB通讯ASPFASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保

19、护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。ASPFASPF能够监测、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒绝服务）的检测和防范。Java Blocking（Java阻断）保护网络不受有害Java Applets的破坏。Activex Blocking（Activex阻断）保护网络不受有害Activex的破坏。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地

20、址、使用端口和传输字节数等信息。攻击类型简介单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment攻击类型简介分片报文攻击Tear DropPing of death拒绝服务类攻击SYN FloodUDP Flood & ICMP Flood扫描IP sweepPort scan单包攻击原理及防范-1Fraggle特征：UDP报文，目的端口7（echo）或19（Character Generator）目的：echo服务会将发送给这个端口的报文再次发送回去Character Generator服务会回复无效的字符串攻击者伪冒受害者地址，向目

21、的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满配置：firewall defend fraggle enable原理：过滤UDP类型的目的端口号为7或19的报文单包攻击原理及防范-2IP Spoof特征：地址伪冒目的：伪造IP地址发送报文配置：firewall defend ip-spoofing enable原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文单包攻击原理及防范-3Land特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被

22、攻击设备向自己发送响应报文，通常用在syn flood攻击中配置：firewall defend land enable防范原理：对符合上述特征的报文丢弃单包攻击原理及防范-4Smurf特征：伪冒受害者IP地址向广播地址发送ping echo目的：使受害者被网络上主机回复的响应淹没配置：firewall defend smurf enable原理：丢弃目的地址为广播地址的报文单包攻击原理及防范-5TCP flag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机配置：firewall defend tcp-flag enab

23、le原理：丢弃符合特征的报文单包攻击原理及防范-6Winnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机配置：firewall defend winnuke enable原理：丢弃符合上述特征报文单包攻击原理及防范-7Ip-frag特征：同时设置了DF和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ip-fragment enable原理：丢弃符合上述特征报文分片报文攻击原理及防范-1Tear drop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理

24、不当而死机或使报文通过重组绕过防火墙访问内部端口配置：firewall defend teardrop enable原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文分片报文攻击原理及防范-2Ping of death特征：ping报文全长超过65535目的：使被攻击设备因处理不当而死机配置：firewall defend ping-of-death enable原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片拒绝服务攻击原理及防范-1SYN Flood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有

25、处理能力，无法响应正常用户的请求配置：statistic enable ip inzonefirewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp-proxy auto|on|offfirewall defend syn-flood enable原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话拒绝服务攻击原理及防范-2小UDP/ICMP Flood特征：向受害主机发送大量UDP/ICM