HC120119001 USG防火墙产品基本功能特性与配置

USG防火墙产品基本

功能特性与配置前言

本胶片介绍了USG系列产品主要的安全技术和安全特性，以及各安全特性在USG产品上的配置。包括如：防火墙区域，防火墙工作模式，ASPF技术，NAT技术以及一些扩展技术。Page1培训目标

学完本课程后，您应该能：掌握USG产品的主要安全技术和安全特性掌握各安全特性在USG产品上的配置Page2目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能Page3目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话Page4防火墙的安全区域Page5Local区域100Trust区域85DMZ区域50UnTrust区域5接口2接口3接口4接口1

用户自定义区域Vzone0Page6接口、网络和安全区域关系Page7Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust内部网络UntrustServerServerDMZ外部网络inboundoutboundPage8安全区域配置－1创建一个安全区域[USG2100]firewallzonenameuserzone设置优先级[USG2100-zone-userzone]setpriority60

给安全区域添加接口[USG2100-zone-userzone]addinterfaceGigabitEthernet0/0/1Page9安全区域配置验证

查看防火墙安全区域配置[USG2100]displayzoneusernameusernamepriorityis60interfaceofthezoneis(1):

GigabitEthernet0/0/1Page10安全区域配置－2在域间下发ACL<USG2100>system-view

[USG2100]policyinterzonetrustuntrustoutbound

[USG2100-policy-interzone-trust-untrust-outbound]policy1

[USG2100-policy-interzone-trust-untrust-outbound-1]actionpermitPage11目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话Page12防火墙的三种工作模式

路由模式透明模式混合模式Page13路由模式Page14外部网络服务器PCPC/24Trust区服务器USGPC/2454内部网络Untrust区透明模式Page15服务器PCPCTrust区服务器USGPCUntrust区/24混合模式Page16USG（主）/24内部网络USG（备）VRRP/24Trust区服务器PC服务器PCPCUntrust区外部网络目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话Page17

会话（Session）

USG防火墙是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：条件操作报文的五元组匹配会话表转发该报文报文的五元组不匹配会话表域间规则允许通过转发该报文，并创建会话表表项域间规则不允许通过丢弃该报文Page18会话查看防火墙的Session信息[USG2100]displayfirewall

session

tableverbose

CurrentTotalSessions:1telnetVPN:public-->publicTTL:00:10:00Left:00:10:00Interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:1269bytes:66769-->packets:1081bytes:43715:2855-->00:23Page19会话相关命令重置防火墙的session<USG2100>resetfirewallsessiontable会话相关命令

查看防火墙的Sessionaging-time[USG2100]displayfirewallsessionaging-timeSequencePre-definedVPNTimeout(s)1httpAll6002telnetAll600….Page20[USG2100]firewallsessionaging-timeicmp15防火墙长连接会话

配置ACL，用于控制需要长连接会话的数据流[USG2100]acl3001

[USG2100-acl-adv-3001]rulepermittcpsource0设置长连接的老化时间[USG2100]firewalllong-linkaging-time2在域间应用长连接[USG2100]firewallinterzonetrustuntrust

[USG2100-interzone-trust-untrust]long-link3001inboundPage21[USG2100]displayfirewallsessiontableverboseFTPVPN:public->publicRemoteZone:zone1->outTTL:168:00:00Left:168:00:00Interface:E1.200Nexthop:MAC:00-00-02-00-c8-01<--packets:9bytes:774-->packets:7bytes:602-->:21(LongLink)目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能Page22目录2.防火墙关键技术2.1ASPFPage23ASPFASPF（ApplicationSpecificPacketFilter）是一种改进的高级通信过滤技术，ASPF不但对报文的网络层的信息进行检测，还能对丰富的应用层协议进行深度检测，支持多媒体业务的NAT以及安全防范功能，支持的协议包括：H.323协议族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。

ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。Page24Page25多通道协议

多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道。多通道协议在状态防火墙当中需要特殊处理。单通道协议是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议。根据TCP三次握手机制，状态防火墙能够维护会话的五元组信息。Page26ASPF与多通道协议Page27用户USG防火墙FTPserver0三次握手防火墙创建Servermap表项三次握手Port89,3Port

89,3200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnection检测Servermap表项，命中表项，打开通道SYN:22787:22787SYNPage28三元组ASPFUSG相当于一个六元组(支持VPN情况下，有VPN-ID)的NAT设备，即防火墙上的每个会话的建立都需要六元组：源IP地址、源端口、目的IP地址、目的端口、协议号和VPN-ID。只有这些元素都具备了，会话才能建立成功，报文才能通过。而一些实时通讯工具，如QQ、MSN等，通过NAT设备，需要按三元组处理：源IP地址、源端口、协议号。USG为了适配类似QQ、MSN等通讯机制，支持三元组处理方式，让类似QQ、MSN等的通讯方式能够正常的穿越。除QQ、MSN穿越NAT设备外，其他仅使用源IP地址、源端口、协议号的会话，如TFTP，同样需要配置防火墙三元组ASPF。Page29Page30ASPF配置

进入安全区域域间[USG2100]firewallinterzonetrustuntrust

打开ASPF功能[USG2100-interzone-trust-untrust]detectprotocol[USG2100-interzone-trust-untrust]detect{activex-blocking|java-blocking}Page31目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能Page32目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志Page33黑名单黑名单特点：根据报文的源IP地址进行过滤简单高效可动态添加删除Page34静态黑名单配置[USG2100]firewallblacklistitemtimeout100[USG2100]firewallblacklistenablePage35服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24动态黑名单配置Page36服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]firewalldefendip-sweepenable[USG2100]firewalldefendip-sweepmax-rate1000[USG2100]firewalldefendip-sweepblacklist-timeout20[USG2100]firewallblacklistenable黑名单配置验证[USG2100]displayfirewallblacklistitemTotal:1Manual:1IPSweep:0PortScan:0IDS:0LoginFailed:0PreAuthed:0GetFlood:0tcp-illeage-session:0Unknown:0IPReasonInsertTimeAgeTimeVpn-instance

Manual2009/05/1217:47:35PermanentPage37目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志Page38MAC绑定问题的提出网络中常有一些假冒IP地址的攻击MAC绑定应用限制条件与二层直接相连的网络Page39MAC绑定配置[USG2100]firewallmac-bindingenable[USG2100]firewallmac-binding00e0-fc00-0100Page40服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24MAC绑定配置验证[USG2100]displayfirewallmac-bindingitemFirewallMac-bindingitems:Currentitems:380087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page41目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志Page42端口映射问题的提出内部服务器在非知名端口提供知名服务，例如在1021端口提供FTP服务端口映射防火墙并非要更改数据包的端口信息可以用来保护因为知名端口而带来的针对性攻击Page43端口映射组网示例Page44FTPServer/24WWWServer/24Eth1/0/0/24Eth2/0/0/16/24网段网段公司内部以太网USGWAN端口映射配置验证[USG2100]displayport-mappingSERVICEPORTACLTYPE

ftp21systemdefinedsmtp25systemdefinedhttp80systemdefinedrtsp554systemdefinedh3231720systemdefinedftp802010userdefinedhttp56782020userdefinedPage45配置参考[USG2100]aclnumber2010[USG2100-acl-basic-2010]rulepermitsource[USG2100]port-mappingftpport80acl2010[USG2100]aclnumber2020[USG2100-acl-basic-2020]rulepermitsource55[USG2100]port-mappinghttpport5678acl2020[USG2100]firewallinterzonedmzuntrust[USG2100-interzone-dmz-untrust]detectftpPage46将去往主机的使用端口号80的报文识别为FTP报文需要在域间detect相应的协议目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志Page47IDS联动防火墙的局限性防火墙不能防止通向站点的后门；防火墙一般不提供对内部的保护；防火墙无法防范数据驱动型的攻击；防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略等。IDS（IntrusionDetectionSystem，入侵检测系统）的优势实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文，对系统记录的网络事件进行统计分析，发现异常现象，主动切断连接或与防火墙联动，调用其他程序处理。Page48与IDS联动组网示例Page49INTERNET管理端口管理信息日志告警NIPNIDS内部办公网DMZ区响应端口监听端口受保护服务器群联动信息监听数据流USGEth1/0/1Eth1/0/0与IDS联动配置[USG2100]firewallidsserver0[USG2100]firewallidsport3000[USG2100]firewallidsauthenticationtypemd5keyhuawei123[USG2100]firewallidsenablePage50最后一定得使能IDS的功能IDS配置验证[USG2100]displayfirewallidsFirewallIDSinformation:firewallIDS:enabledebugflag:offserverport:3000authenticationtype:md5authenticationstring:huawei123clientaddress0:0Page51目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志Page52防火墙日志Page53Log

Server信息中心攻击防范黑名单地址绑定二进制流日志

Syslog日志监视终端控制台缓冲区……重定向NAT/ASPF

日志信息

日志信息

日志信息流量统计

日志信息

日志信息

日志信息Page54日志输出配置组网示例Page55Ethernet2/0/1/24服务器日志服务器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24日志输出配置[USG2100]info-centerenable[USG2100]info-centerloghostlanguageenglishPage56[USG2100]firewall

sessionlog-typebinaryhost19002日志配置验证[USG2100]displayinfo-centerInformationCenter:enabledLoghost: ,channelnumber2,channelnameloghost, languageenglish,hostfacilitylocal7Console: channelnumber:0,channelname:consoleMonitor: channelnumber:1,channelname:monitor……Page57目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能Page58目录4.防火墙扩展功能4.1负载均衡4.2虚拟防火墙Page59负载均衡当前的网络应用中，单台服务器的处理能力已经成为网络中的瓶颈，尤其是在IDC、网站等应用场合。USG防火墙的负载均衡即是将用户流量分配到多个服务器上，从而达到流量分担的目的，进而保障服务器的可用性。防火墙按照配置的算法，将用户流量分配到不同的服务器上，充分利用各个服务器的处理能力，达到最佳的可扩展性。Page60负载均衡组网示例Page61Eth1/0/0/24Eth1/0/1/24服务器1/24服务器2/24服务器3/24vipUSG交换机PC/24负载均衡配置[USG2100]slbenable[USG2100]slb[USG2100-slb]rserver1rip[USG2100-slb]rserver2rip[USG2100-slb]rserver3rip[USG2100]firewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutboundPage62由于防火墙对实服务器缺省进行健康行检查，此时需要配置允许健康检查报文在防火墙Local和DMZ域间出方向流动使能SLB和自动健康检查功能。Page63负载均衡配置(续)[USG2100-slb]groupgroup1[USG2100-slb-group-group1]metricroundrobin[USG2100-slb-group-group1]addrserver1[USG2100-slb-group-group1]addrserver2[USG2100-slb-group-group1]addrserver3[USG2100-slb]vserverhuaweivipgroupgroup1Page64Page65负载均衡配置验证[USG2100-slb]displaythisslbrserver1ripweight32healthchkrserver2ripweight32healthchkrserver3ripweight32healthchkgroupgroup1metricroundrobinaddrserver1addrserver2addrserver3vserverhuaweivipgroupgroup1Page66负载均衡效果[USG2100]displayfirewallsessiontableicmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43FTP,(vpn:public->public):21[:21]<-+:1227FTP,(vpn:public->public):21[:21]<-+:1229FTP,(vpn:public->public):21[:21]<-+:1231FTP,(vpn:public->public):21[:21]<-+:1233FTP,(vpn:public->public):21[:21]<-+:1235CurrentTotalSessions:8Page67目录4.防火墙扩展功能4.1负载均衡4.2虚拟防火墙Page68虚拟防火墙Page69Vfw3Vfw2Vfw1Rfw在USG上创建逻辑上的虚拟防火墙（Virtual-firewall,Vfw），能够提供防火墙的出租业务，实现子网隔离和解决地址重叠的问题。每个虚拟防火墙都是VPN实例（VPN-Instance）、安全实例和配置实例的综合体，能够为虚拟防火墙用户提供私有的路由转发平面、安全服务和配置管理平面。Page70Page71虚拟防火墙USG防火墙支持虚拟防火墙特性每个虚拟防火墙均可以独立支持Local、TRUST、UNTRUST、DMZ、VZONE5个安全区域，接口灵活划分和分配。系统资源独立分配，提供独立的安全业务、NAT多实例、VPN多实例特性。根防火墙RootFW一台Eudemon物理防火墙虚拟防火墙VirtualFWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrustUSGPage72虚拟防火墙区域Page73ServerServerTrustUntrustDMZEth1/0/0内部网络Eth0/0/0inboundoutboundin