HC110310002HCNASecurityCBSN第二章防火墙基础技术V10

修订记录课程编码适用产品产品版本课程版本ISSUEHC1103华为防火墙V300R001V1.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版本页不打印第二章防火墙基础技术目标学完本课程后，您将能够:了解防火墙的定义和分类理解防火墙的主要功能和技术理解防火墙的转发数据流和基本配置目录防火墙概述防火墙工作模式防火墙安全区域防火墙功能特性防火墙基本配置防火墙概述内网防火墙被入侵路由器防火墙特征：逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御攻击未经防火墙流量可防护吗？防火墙分类按照形态分为硬件防火墙软件防火墙按照保护对象分为单机防火墙网络防火墙按照访问控制方式分为包过滤防火墙代理防火墙状态检测防火墙防火墙分类—包过滤防火墙APP数据链路层TCP层IP层TCP层IP层只检测报头IPTCP1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据数据链路层防火墙分类—代理防火墙发送连接请求外网终端代理防火墙内网Server向Server发送报文A’对请求进行安全检查，不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B’1.处理速度慢2.升级困难防火墙分类—状态检测防火墙HostServerTCPSYN安全策略检查记录会话信息TCPACKTCPSYN’TCPACKTCPSYN状态错误，丢弃TCPACK’1.处理后续包速度快2.安全性高防火墙硬件平台分类IntelX86适用于百兆网络，受CPU处理能力和PCI总线速度的限制NP网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防火墙硬件平台多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。ASIC硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能目录防火墙概述防火墙工作模式防火墙安全区域防火墙功能特性防火墙基本配置防火墙工作模式防火墙工作模式路由模式透明模式混合模式路由模式：每接口均有IP地址；透明模式：每接口无IP地址；混合模式：部分接口有IP地址；透明模式的接口一定无IP地址吗？防火墙工作模式—路由模式路由模式特点支持更多安全特性对网络拓扑有所影响Internet/30/3029/3033/30UntrustTrust防火墙工作模式—透明模式透明模式特点对网络拓扑透明Internet/30/30TrustUntrust防火墙工作模式—混合模式混合模式特点对网络拓扑透明Internet/30/3029/3030/30/30/30单防火墙是否支持混合模式TrustUntrust目录防火墙概述防火墙工作模式防火墙安全区域防火墙功能特性防火墙基本配置防火墙安全区域定义企业内网财务服务器ERP数据服务器OA服务器用户终端ISPBISPA邮件服务器Web服务器缺省安全区域非受信区域Untrust非军事化区域DMZ

受信区域Trust

本地区域LocalUntrustDMZTrustLocal区域呢？Inbound与Outbound定义企业内网Inbound与Outbound定义什么是Inbound?什么是Outbound？Untrust区域InternetTrust区域高优先级低优先级OutboundInbound防火墙安全区域与接口关系安全区域与接口关系防火墙是否存在两个具有完全相同安全级别的安全区域？防火墙是否允许同一物理接口分属于两个不同的安全区域？防火墙的不同接口是否可以属于同一个安全区域？InternetG0/0/0Trust区域G0/0/1Trust区域G0/0/2DMZ区域G0/0/3Untrust区域目录防火墙概述防火墙工作模式防火墙安全区域防火墙功能特性防火墙基本配置防火墙多业务功能WLAN/WWAN交换统一管理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG静态路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾邮件URL过滤WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墙主要功能—访问控制主机A服务器数据载荷IPTCPMAC识别报头标识，给出执行措施身份标识身份检查主体属性主体操作策略访问控制防火墙基本功能—深度检测技术基于特征字的识别技术基于应用层网关识别技术基于行为模式识别技术Agent：客户端代理SACG：安全接入控制网关(防火墙)SM:管理服务器SC:控制服务器VPN

访问分支机构SRSSPSSACG防病毒服务器域管理服务器安全管理员补丁服务器AgentAgentAgentAgent安全审计员认证前域AgentSACG联动技术认证后域SMSCUCL：帐号ACL可靠性1—双机热备TRUST域UNTRUST域USG（从）PCPCPC服务器服务器USG（主）内部网络/24外部网络/24VRRP：提供冗余备份功能VGMP：统一设备上所有接口的主备状态HRP：同步防火墙之间会话信息即配置信息可靠性2—IPLINK运营商AXIP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括：应用在静态路由中应用在双机热备份中运营商BQoS技术接收报文分类与标记拥塞监管拥塞管理带宽保证端到端的流量控制

提供业务质量保障 提高客户服务满意程度保证资源利用最大化，全面提升服务质量防火墙日志审计企业内网企业内网用户外部网络日志服务器可收集网络中所有通过该设备的日志通过二进志日志格式实现高速日志流传输配合eLog日志软件，可以为用户提供清晰网络访问记录，分析备查。防火墙特性1安全区域会话表与ASPF长连接分片缓存包过滤TrustUntrustDmzLocal会话表：五元组Servermap表：

三元组对应数据流需要长时间不被老化

先于首片分片报文到达的后续分片报文存于分片缓存实现对IP报文的过滤

攻击防范报文统计黑名单MAC与IP地址绑定端口识别攻击防范功能能够检测出多种类型的网络攻击通过对报文统计分析，防火墙实现了对内部网络的保护

用户IP地址匹配黑名单后将被屏蔽

避免IP地址假冒攻击允许用户针对不同的应用在知名端口号之外定义一组新的端口号防火墙特性2访问控制列表网络地址转换认证与授权二层隧道协议GREVPN是包过滤、NAT、IPSec、QoS、策略路由等应用的基础减缓IP地址空间枯竭的速度隐藏内部网络的私有IP地址

RADIUS协议HWTACACS采用包交换网络技术进行信息交互，从而扩展了PPP模型三层隧道协议，采用Tunnel（隧道）的技术IPSecVPN负载均衡IP-CARP2P限流日志功能私有性完整性真实性防御重放攻击利用各个服务器的处理能力，达到流量分担的目的IP连接数限制IP带宽限制限制P2P流量，保证其他业务的正常进行攻击防范日志流量监控日志黑名单日志各种统计信息防火墙性能指标—吞吐量吞吐量：防火墙能同时处理的最大数据量有效吞吐量：除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率防火墙性能指标—延时定义：数据包的最后一个比特进入防火墙到第一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况时间间隔Smartbits6000B最后一个比特进入第一个比特输出包需要在队列中被检测后才可以转发包到达延迟防火墙性能指标—每秒新建连接数定义：指每秒钟可以通过防火墙建立起来的完整TCP连接该指标是用来衡量防火墙数据流的实时处理能力防火墙性能指标—并发连接数定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数并发连接并发连接目录防火墙概述防火墙工作模式防火墙安全区域防火墙功能特性防火墙基本配置VRP平台1实现统一的用户界面和管理界面。包括统一的实时操作系统内核、IP软转发引擎、路由处理和配置管理平面。2实现控制平面功能，并定义转发平面接口规范，实现各产品转发平面与VRP控制平面之间的交互。3实现网络接口层，屏蔽各产品链路层对于网络层的差异。VRP命令行级别参观级 网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。监控级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用VRP命令视图系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。命令视图的分类：用户视图

<USG>系统视图[USG]接口视图[USG-Ethernet0/0/1]协议视图[USG-rip]……VRP在线帮助键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。 <USG5000>display?键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。 [USG5000]interfaceethernet? <3-3>Slotnumber键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。 <USG5000>d? debuggingdeletedirdisplayVRP在线帮助（续）输入命令的某个关键字的前几个字母，按下<TAB>键，可以显示出完整的关键字暂停显示时键入<Ctrl+C>停止显示和命令执行暂停显示时键入空格键继续显示下一屏信息暂停显示时键入回车键继续显示下一行信息防火墙基本配置思路根据组网需要配置域间包过滤关系配置域间NAT需要NAT不需要NAT二层接口三层接口接口模式接口加入安全区域接口IP地址NAT配置路由报文转发配置接口模式步骤1

执行命令system-view，进入系统视图。步骤2执行命令interfaceinterface-typeinterface-number步骤3.1执行命令ipaddressip-address{mask|mask-length}，配置三层以太网接口。步骤3.2执行命令portswitch，配置二层以太网接口。步骤1

执行命令system-view，进入系统视图。步骤2执行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，创建安全区域，并进入相应安全区域视图。步骤3执行命令setprioritysecurity-priority，配置安全区域的安全级别。配置安全区域安全区域已经存在不必配置关键字name，直接进入安全区域视图安全区域不存在需要配置关键字name，进入安全区域视图将接口加入安全区域步骤1

执行命令system-view，进入系统视图。步骤2

执行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，创建安全区域，并进入相应安全区域视图。步骤3执行命令addinterface

interface-typeinterface-number，配置接口加入安全区域。配置域间缺省包过滤规则步骤1

执行命令system-view，进入系统视图。步骤2

执行命令firewallpacket-filterdefault{permit|deny}{{all|interzone

zone1zone2}[direction{inbound|outbound}]}，配置域间缺省包过滤规则。zone1与zone2有先后顺序吗？？？没有先后顺序。因为Inbound和Outbound的方向只与域的优先级有关配置路由配置静态路由，需要进行如下操作。步骤1

执行命令system-view，进入系统视图。步骤2

执行命令iproute-static

ip-address{mask|mask-length}{interface-typeinterface-number|next-ip-address}[preference

value][reject|blackhole]，增加一条静态路由。配置缺省路由，需要进行如下操作。步骤1

执行命令system-view，进入系统视图。步骤2

执行命令iproute-static

{|0}{interface-typeinterface-number|next-ip-address}[preferencevalue]

[reject|blackhole]，配置缺省路由。AAA配置 防火墙在aaa试图下添加用户的配置方法如下：步骤1

执行命令aaa，进入AAA视图。步骤2

执行命令local-useruser-name

password{simple|cipher}password，创建用户并配置口令。FTP配置 防火墙作为FTP服务器的配置方法如下：步骤1

执行命令system-view，进入系统视图，完成防火墙基础配置。步骤2

执行命令ftpserverenable，启动FTP服务器。步骤3

参考“AAA配置”，创建FTP用户。步骤4

执行命令local-user

user-nameftp-directory

ftp-directory，配置用户访问目录。只有配置用户名、口令以及访问目录，FTP客户端才能登录并访问防火墙上的文件。系统可同时支持多个用户的访问。步骤5

执行命令local-userlever

number{1|2|3}，设置用户访问级别。TELNET配置步骤1

执行命令system-view，进入系统视图。步骤2

执行命令user-interface[user-interface-type]user-interface-number[ending-userinterface-number]，进入用户界面视图。步骤3

执行命令idle-timeoutminutes[seconds]，允许定时断开Telnet连接。为了防止未授权用户的非法侵入，如果在一定时间内没有接收到终端用户的输入，则断开与用户的连接，终端用户缺省的定时断开时间为10分钟。备注：参照“AAA配置”添加telnet用户。TELNET配置（续）步骤4

执行命令authentication-mode{aaa|none|password|localuser

username

password

password}。设置登录用户界面的验证方式。缺省情况下，验证方式为password步骤5

执行命令setauthenticationpassword{simple|cipher}password，设置本地验证的口令。当验证方式为password时需进行该命令的配置（可选）。步骤6

执行命令userprivilegelevellevel，配置从当前用户界面登录系统的用户所能访问的命令级别，默认级别是0（可选，当au