HC110310002HCNA-Security-CBSN第二章防火墙基础技术V2.0

修订记录课程编码适用产品产品版本课程版本ISSUEHC110310002华为防火墙V300R001V2.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版姚传哲2013.5余雷第二版本页不打印第二章

防火墙基础技术目标学完本课程后，您将能够:了解防火墙的定义和分类理解防火墙的主要功能和技术掌握防火墙设备管理的方法掌握防火墙的基本配置目录防火墙概述防火墙功能特性防火墙设备管理防火墙基本配置防火墙特征逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御攻击内网防火墙被入侵路由器未经防火墙流量可防护吗？防火墙分类按照形态分为硬件防火墙软件防火墙按照保护对象分为单机防火墙网络防火墙按照访问控制方式分为包过滤防火墙代理防火墙状态检测防火墙防火墙分类—包过滤防火墙APP数据链路层TCP层IP层TCP层IP层只检测报头IPTCP1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据数据链路层防火墙分类—代理防火墙发送连接请求外网终端代理防火墙内网Server向Server发送报文A’对请求进行安全检查，不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B’1.处理速度慢2.升级困难防火墙分类—状态检测防火墙HostServer安全策略检查记录会话信息状态错误，丢弃1.处理后续包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墙分类—状态检测防火墙HostServer安全策略检查记录会话信息状态错误，丢弃1.处理后续包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墙硬件平台分类IntelX86适用于百兆网络，受CPU处理能力和PCI总线速度的限制NP网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防火墙硬件平台多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。ASIC硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能防火墙硬件平台分类IntelX86适用于百兆网络，受CPU处理能力和PCI总线速度的限制NP网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防火墙硬件平台多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。ASIC硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能防火墙组网方式——二层以太网接口组网特点对网络拓扑透明不需要更改组网InternetTrustUntrust/30/30防火墙组网方式——三层以太网接口组网特点支持更多安全特性对网络拓扑有所影响InternetUntrustTrust/30/3029/3033/30安全区域（SecurityZone），或者简称为区域（Zone）。Zone是本地逻辑安全区域的概念。Zone是一个或多个接口所连接的网络。什么是安全区域？InternetDMZ区域Trust区域Untrust区域防火墙安全区域分类缺省安全区域非受信区域Untrust非军事化区域DMZ

受信区域Trust

本地区域Local用户自定义安全区域UserZone1UserZone2企业内网财务服务器ERP数据服务器OA服务器用户终端ISPBISPA邮件服务器Web服务器UntrustDMZTrustTrustLocal区域呢？防火墙安全区域与接口关系安全区域与接口关系防火墙是否存在两个具有完全相同安全级别的安全区域？防火墙是否允许同一物理接口分属于两个不同的安全区域？防火墙的不同接口是否可以属于同一个安全区域？InternetG0/0/2DMZ区域G0/0/3Untrust区域G0/0/0Trust区域G0/0/1Trust区域防火墙安全区域的方向Inbound与Outbound定义什么是Inbound?什么是Outbound？高安全级别低安全级别企业内网Untrust区域InternetTrust区域OutboundInbound目录防火墙概述防火墙功能特性防火墙设备管理防火墙基本配置防火墙多业务功能WLAN/WWAN交换统一管理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG静态路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾邮件URL过滤WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墙主要功能—访问控制主机A服务器数据载荷IPTCPMAC识别报头标识，给出执行措施访问控制操作策略访问控制防火墙基本功能—深度检测技术基于特征字的识别技术基于应用层网关识别技术基于行为模式识别技术SACG联动技术VPN访问分支机构SRSSPSSACG防病毒服务器域管理服务器安全管理员补丁服务器AgentAgentAgentAgent安全审计员认证前域Agent认证后域SMSCUCL：帐号ACLAgent：客户端代理SACG：安全接入控制网关SM:管理服务器SC:控制服务器双机热备技术提供冗余备份功能统一设备上所有接口的主备状态同步防火墙之间会话信息即配置信息备防火墙TRUST域UNTRUST域PC服务器主防火墙内部网络/24外部网络/24IPLink技术IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括：应用在静态路由中应用在双机热备份中运营商AX运营商B接收报文分类与标记拥塞监管拥塞管理带宽保证端到端的流量控制

提供业务质量保障 提高客户服务满意程度保证资源利用最大化，全面提升服务质量QoS技术企业内网企业内网用户外部网络日志服务器防火墙日志审计配合eLog日志软件，可以为用户提供清晰网络日志和访问记录。可收集网络中所有通过该设备的日志通过二进志日志格式实现高速日志流传输攻击防范网络攻击主要分为四大类：流量型攻击扫描窥探攻击畸形报文攻击特殊报文攻击Packets受害主机Attacker防火墙报文统计报文统计对于防火墙来说，不仅要对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计、计算与分析。防火墙对报文统计结果的分析有如下两个方面：专门的分析软件事后分析日志信息。防火墙实时完成一部分分析功能。防火墙黑名单黑名单黑名单是一个IP地址列表。防火墙将检查报文源地址，如果命中,丢弃所有报文快速有效地屏蔽特定IP地址的用户。创建黑名单表项，有如下两种方式：通过命令行手工创建。通过防火墙攻击防范模块或IDS模块动态创建。来自的报文查找黑名单丢弃负载均衡负载均衡。将访问同一个IP地址的用户流量分配到不同的服务器上。负载均衡采用以下技术，将用户流量分配到多台服务器：虚服务技术服务器健康性检测基于流的转发即通过指定算法，将数据流发送到各个真实服务器进行处理。应用控制DPI（DeepPacketInspection），即深度报文检测技术。使用DPI知识库中的规则，对P2P、VoIP、Video等多种应用数据，可以对识别的网络流量进行允许通过、阻断、限制连接数和限速等控制动作。带宽管理P2PUploadP2PDownloadVoIPWebTVVideoConferencingftpemail

Visiblepipe防火墙性能指标—吞吐量吞吐量：防火墙能同时处理的最大数据量有效吞吐量：除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率防火墙性能指标—时延定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况时间间隔Smartbits6000B第一个比特进入最后一个比特输出防火墙性能指标—每秒新建连接数定义：指每秒钟可以通过防火墙建立起来的完整TCP连接该指标是用来衡量防火墙数据流的实时处理能力防火墙性能指标—并发连接数定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和服务器间能同时建立的最大连接数并发连接并发连接目录防火墙概述防火墙功能特性防火墙设备管理防火墙基本配置防火墙设备管理概述设备登录管理Console登录Web登录telnet登录SSH登录设备文件管理配置文件管理系统文件管理（软件升级）License管理设备登录管理设备登录管理组网-Console设备登录管理组网-Web/SSH/Telnet直接相连（通过局域网）远程连接（通过广域网）通过Console口登录设备USG配置口登录的缺省用户名为admin，缺省用户密码为Admin@123。其中，用户名不区分大小写，密码要区分大小写。通过Web方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。在PC的浏览器中访问，进入Web界面的登录页面。缺省用户名为admin，密码为Admin@123Web登录配置管理配置USG的IP地址。(略）配置USG接口Web设备管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managehttppermit启动Web管理功能。[USG]web-managersecurityenableport2000配置Web用户。[USG]aaa[USG-aaa]local-userwebuserpasswordcipherAdmin@123[USG-aaa]local-userwebuserservice-typeweb[USG-aaa]local-userwebuserlevel3Web登录配置管理配置Web管理员，并启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。

新建管理员和管理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。通过Telnet方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。通过Puttytelnet，进入登录页面。缺省用户名为admin，密码为Admin@123Telnet登录配置管理配置USG接口telnet设备管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置vty

interface。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundtelnet配置Telnet用户信息。[USG]aaa[USG-aaa]local-useruser1passwordcipherpassword@123[USG-aaa]local-useruser1service-typetelnet[USG-aaa]local-useruser1level3Telnet登录配置管理配置Telnet管理员新建管理员和管理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。配置USG的接口IP地址。(略）配置USG接口telnet设备管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置RSA本地密钥对。<USG>system-view[USG]rsalocal-key-paircreateItwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:512Generatingkeys.....++++++++++++...............................配置VTY用户界面。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundssh通过SSH方式登录设备(1)通过SSH方式登录设备(2)新建用户名为Client001的SSH用户，且认证方式为password。[USG]sshuserclient001[USG]sshuserclient001authentication-typepassword为SSH用户Client001配置密码为Admin@123。[USG]aaa[USG-aaa]local-userclient001passwordcipherAdmin@123[USG-aaa]local-userclient001service-typessh配置SSH用户Client001的服务方式为STelnet，并启用STelnet服务。[USG]sshuserclient001service-typestelnet[USG]stelnetserverenable以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。配置文件管理配置文件类型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢复出厂配置）配置下次启动时的系统软件和配置文件重启设备配置文件管理配置文件类型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢复出厂配置）配置下次启动时的系统软件和配置文件重启设备版本升级(命令行)使用TFTP下载文件执行命令tftptftp-server-addressorhostnamegetsource-filename[destination-filename]使用FTP下载文件执行命令ftpip-address[port-number][vpn-instancevpn-instance-name]，与FTP服务器建立控制连接，并进入FTP客户端视图。注：以上两种下载文件的方式二选一即可配置系统下次启动时使用的系统软件执行startupsystem-softwaresys-filename。版本升级（Web）说明：如果在升级过程中空然断电，那么系统将无法启动一键式升级License配置License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，License可以动态控制产品的某些特性是否可用。激活License执行命令system-view，进入系统视图。执行命令licensefile

license-file，激活指定的License文件。可以通过命令displaylicense，查看License的信息。点击此处，上传将要激活的License文件目录防火墙概述防火墙功能特性防火墙设备管理防火墙基本配置VRP命令行级别参观级 网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。监控级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用VRP命令视图系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。命令视图的分类：用户视图

<USG>系统视图[USG]接口视图[USG-Ethernet0/0/1]协议视图[USG-rip]……VRP在线帮助键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。 <USG5000>display?键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。 [USG5000]interfaceethernet? <3-3>Slotnumber键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。 <USG5000>d? debuggingdeletedirdisplayVRP在线帮助（续）输入命令的某个关键字的前几个字母，按下<TAB>键，可以显示出完整的关键字暂停显示时键入<Ctrl+C>停止显示和命令执行暂停显示时键入空格键继续显示下一屏信息暂停显示时键入回车键继续显示下一行信息防火墙基本配置流程开始以太网接口模式接口IP地址接口加入域自定义安全区域默认安全区域配置默认包过滤规则配置路由（三层接口）配置设备管理数据包转发二层接口模式三层接口模式配置接口模式步骤1进入系统视图。<USG>system-view步骤2进入接口视图[USG]interfaceinterface-typeinterface-number步骤3配置三层以太网接口或者二层以太网接口配置三层以太网接口ipaddressip-address{mask|mask-length}，。或配置二层以太网接口portswitch步骤1

执行命令system-view，进入系统视图。步骤2执行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，创建安全区域，并进入相应安全区域视图。步骤3执行命令setprioritysecurity-priority，配置安全区域的安全级别。配置安全区域安全区域已经存在不必配置关键字name，直接进入安全区域视图安全区域不存在需要配置关键字name，进入安全区域视图将接口加入安全区域步骤1

执行命令system-view，进入系统视图。步骤2

执行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，创建安全区域，并进入相应安全区域视图。步骤3执行命令addinterface

interface-typeinterface-number，配置接口加入安全区域。配置域间缺省包过滤规则步骤1执行命令system-view，进入系统视图。步骤2执行命令firewallpacket-filterdefault{permit|deny}{{all|interzonezone1zone2}[direction{inbound|outbound}]}，配置域间缺省包过滤规则。zone1与zone2有先后顺序吗？？？没有先后顺序。因为Inbound和Outbound的方向只与域的优先级有关配置路由配置静态路由，需要进行如下操作。步骤1

执行命令s