交行新人培训2012第二天05utm防火墙

H3CSecPathUTM产品培训（交行培训）日期：2012.5杭州华三通信技术有限公司讲师：张淦桦了解UTM的基本特性熟悉UTM的防火墙功能配置掌握UTM的基本故障处理课程目标学习完本课程，您应该能够：目录产品概述基本配置及维护防火墙基本功能配置常见问题分析实际案例组网配置UTM产生的背景—安全威胁纷繁众多黑客产业链的形成威胁到企业的核心机密，信息外泄、信息窃取时有发生；蠕虫、木马、间谍软件泛滥造成信息系统的业务中断；外部网络地址繁多，网络陷阱和威胁无处不在；垃圾邮件众多，严重影响正常工作。网络攻击蠕虫病毒后门木马垃圾邮件非法访问地址匮乏UTM概念UTM—UnitedThreatManagement；最早由Fortinet公司在2002年提出，2004年IDC将集成了防病毒、入侵检测和防火墙的安全设备定义为UTM；目前主流UTM设备具有的功能：防火墙、VPN、防病毒、IPS、带宽管理、行为审计、反垃圾邮件、URL过滤等。漏洞防护防御最新的安全威胁及恶意攻击防火墙提供访问控制和策略加强NAT保证隐蔽内网架构，屏蔽外网攻击VPN提供远程访问数据的防窃取、防窜改的安全保证防病毒提供病毒、蠕虫、木马、恶意代码的查杀功能防垃圾邮件提供垃圾邮件、病毒邮件的过滤URL过滤屏蔽外网有害内容行为审计规范用户上网行为，保障核心业务运行基于多核硬件平台的H3CUTM融合基础网络安全功能和内容安全功能H3CUTM解决之道H3CUTM典型应用SecPathU200系列统一威胁管理设备移动办公合作伙伴WEBPOP3SMTPDMZERPOACRM数据中心内部网络外部用户部署UTM在网络出口安全区域隔离，实现分级分域管理在线病毒防护，实时抵御病毒威胁动态漏洞防御，抵御应用层的攻击细致行为审计，规范网络应用行为精细流量监控，清晰控制数据应用垃圾邮件防御，保证正常邮件收发网页过滤功能，规范用户访问网页应用软件控制，提高带宽的利用率SecPathU200-M固定接口：6个千兆扩展槽位：1个大中型企业小型企业H3CUTM产品全家福SecPathU200-A固定接口：6个千兆扩展槽位：2个SecPathU200-S固定接口：5个千兆扩展槽位：1个H3C全系列UTM产品覆盖中小企业的安全需求，可以实现对安全威胁的抵御H3CUTM多核硬件平台线程1线程2线程3线程4.漏洞防护线程…5.防垃圾邮件、URL过滤1.状态防火墙2.VPN远程安全互联3.病毒防护多核多线程保障多个安全业务的并行处理，解决安全性能瓶颈问题。CPU1CPU2CPU3防火墙VPN/NAT＋防垃圾邮件＋URL过滤＋防病毒＋行为审计＋性能功能漏洞防护＋有效请求H3CUTM允许有效请求通过服务器黑客代理傀儡机傀儡机代理代理代理代理代理应用层攻击抵御：蠕虫、木马、间谍软件的实时防护全球漏洞特征升级：设备自动完成升级，实现实时防护完善的漏洞防护功能—防御应用层攻击网页病毒邮件病毒文件病毒集成卡巴斯基SafeStream专业病毒特征库，实现速度和效率的完美结合专业的防毒引擎支持对HTTP、FTP、SMTP和POP3协议识别，并对协议的负载进行病毒检测。提供允许、阻断、重定向等灵活的防病毒策略，满足各种用户的需要。丰富的病毒日志功能，为审计、设备故障诊断提供了丰富的信息，并提供了日志条件查询，方便日志的分析。H3C设立全球的病毒服务器，允许企业UTM设备通过手动、自动的方式进行病毒升级，保证对新的病毒及时响应。在线实时病毒查杀—解决病毒泛滥问题发件人、收件人的黑白名单源服务器的静态黑白名单邮件标题过滤源服务器反向DNS查询源服务器实时黑名单内容关键字过滤领先的过滤技术—根除垃圾邮件危害Internet关键字黑、白名单过滤ActiveX、JavaApplet过滤相关过滤商业安全法律娱乐带宽占用HTTPGETHTTPRESPONSEURL可以定义的URL分类支持JavaBlocking、ActiveXBlocking过滤支持黑白名单及本地缓存技术，保证关键业务的快速通过全面的URL过滤—拒绝有害网站丰富的应用识别—保障核心业务规范化关键业务应用EmailP2P网络游戏H3CUTMIntranetMedLowPOP3IMAPSMTPP2PEmail总带宽High网络游戏HTTPDBVoIPBTeMule/eD2KCS关键业务应用识别迅雷等P2P流量识别和控制网络游戏，如魔兽世界等识别和控制炒股软件，如大智慧等

可实现对各种行为的全面审计：

HTTP行为：可以记录网页IP、域名、访问用户、访问时间等信息

Email行为：可以记录收/发件人、邮件标题、附件标题等信息

FTP行为：可以记录传输的用户名、访问记录、通过FTP上传下载的文件细致的行为审计—规范用户行为HTTP访问审计Email行为审计FTP行为审计图形化集中管理平台，可以实现多功能配置、特征库升级和设备管理；率先支持双网管协议（SNMP和TR069），可以实现海量设备管理。优异的管理平台—降低管理成本目录产品概述基本配置及维护防火墙基本功能配置常见问题分析实际案例组网配置UTM产品概述——产品界面示意图业务口U200-MConsole/AUX接口CF卡插槽PWR、SYS、CF卡指示灯注意：如果设备没有CF卡，则无法启用防病毒及防攻击等深度安全检测功能UTMWeb管理登录界面G0/0是默认的管理口，地址是：默认用户名/密码：admin/admin注：验证码不区分大小写UTMWeb设备概览菜单导航区设备型号快速配置向导（1）在设备基本配置中：可以引导您完成设备基本信息、服务管理、接口IP地址和NAT功能的简单配置。配置设备的名称以及修改当前的用户密码可以开启设备的FTP、TELNET、HTTP/HTTPS的服务快速配置向导（2）在设备基本配置中：可以引导您完成设备基本信息、服务管理、接口IP地址和NAT功能的简单配置。可以选择“DHCP”分配IP地址；或者选择“静态地址”后手工配置“IP地址”和“网络掩码”。快速配置向导（3）在设备基本配置中：可以引导您完成设备基本信息、服务管理、接口IP地址和NAT功能的简单配置。配置需要进行地址转换的ACL，并启用在相应接口配置需要映射到外网的内部服务器的地址和端口，并启用在相应接口快速配置向导（4）快速配置向导（5）此时“配置向导”中的“设备基本配置”已经完成：软件版本升级——软件版本获取路径在H3C官方网站上进入下列路径：注：有H3C网站账号才能下载版本。设备升级原理

将设备当前运行的操作系统文件替换成其它操作系统文件并运行称为升级，可以分成2个过程操作系统文件也称为启动文件，文件名为XXX.bin，一般该文件大小一般为25M，存放在32MFlash中，所以必须使用新文件覆盖老文件方式替换，或者是先删除老文件，留出足够的空间后，再上传新版本。可通过在web界面和命令行操作升级。重新启动，即以新文件启动设备可以在WEB中选择重启可以通过在命令行输入“reboot”重启升级过程中切勿断电网络连接和文件准备ConsolePC：192.168.0.X/24G0/0：确保PC能够和G0/0口通讯即可！WEB升级操作注：升级过程中不要进行其他任何操作，升级时间稍长，在读写Flash期间，Console操作响应慢！G0/0ConsoleTFTPServer00/24命令行升级操作1.搭建好一台TFTPServer，将软件版本放入2.将设备中原有的版本删除或覆盖

<H3C>dirDirectoryofflash:/0-rw-29451972Aug24200914:19:21E5114.bin

1-rw-12283Aug20200915:16:52system.xml2-rw-2944Aug13200914:47:55localdemo.pfx

<H3C>delete/unreservedE5114.bin

Thecontentscannotberestored!!!Deleteflash:/e5115.bin?[Y/N]:y

3.上传软件并修改为主启动文件后重启即可

<H3C>tftp00getR5116.bin

<H3C>boot-loaderfileR5116.binmain<H3C>rebootStarttocheckconfigurationwithnextstartupconfigurationfile,pleasewait.........DONE!Thiscommandwillrebootthedevice.Currentconfigurationmaybelostinnextstartupifyoucontinue.Continue?[Y/N]:y升级完成后必须重启设备确保新版本成功上传到设备后才能进行重启，否则设备将无法正常启动重启前先保存配置，避免当前配置丢失必须在WEB中保存配置，“系统管理”>>“配置管理”>>“配置保存”硬重启通过断电、重新上电方式重启软重启WEB中重启，“系统管理”>>“设备重启”配置维护配置保存保存当前配置：将当前的配置信息保存。保存安装配置：将当前的配置信息保存为安装配置，在恢复出厂配置时可以恢复成安装配置。配置备份UTM设备有两个配置文件，这两个文件的后缀分别是.cfg和.xml。.cfg的文件是命令行下的配置，.xml文件是WEB界面的配置。在备份配置的时候，必须将这两个文件一起备份。配置恢复配置恢复是和配置备份是相反的过程，可以将先前备份的配置，导入设备恢复之前配置。恢复出厂设置恢复安装配置：清除当前配置，恢复到此前保存的安装配置信息，并重启设备。恢复出厂配置：删除当前配置文件，把设备恢复到出厂时的配置，并重启设备。目录产品概述基本配置及维护防火墙基本功能配置常见问题分析实际案例组网配置H3CSECPATHU200-M配置管理设置U200s启动模式：防火墙模式；UTM模式；防火墙模式基本配置：UTM模式基本配置：设置U200-M启动模式：<H3C>system-viewSystemView:returntoUserViewwithCtrl+Z.[H3C][H3C]startup?firewallfirewallsystemutmUTMsystem[H3C][H3C]startupfirewall?——启动防火墙模式

<H3C>reboot[H3C]startuputm?——启动UTM模式

<H3C>reboot……防火墙基本配置配置任务：

1.配置接口；

2.配置接口所属安全区域；

3.配置访问控制策略；

4.配置地址转换策略；防火墙安全区域UTM设备默认有4个业务安全区域：local、trust、dmz、untrust，其安全级别分别是100、85、50、5。还有一个特殊的管理区域management，安全级别为100。设备出厂g0/0默认属于management区域。其他接口需自行加入安全区域。InternetDMZUTM200-MTrustUnTrustG0/2G0/3G0/1默认trust区域可以访问untrudt区域，untrust区域不能访问trust区域。配置UTM接口配置接口的各种参数，如：IP地址、工作模式等。配置接口所属安全域：配置将g0/1口加入trust区域。访问控制策略（域间策略）

配置思路

将IP地址和域名简化为地址资源和地址组资源；将源端口、目的端口以及协议号简化为服务资源和服务组资源（可选操作）通过引用地址组资源和服务组资源创建域间策略域间访问策略即可实现对网络访问的控制配置地址资源（1）有3种方式来创建地址资源主机地址资源适用于归类散列IP地址第一步配置地址资源配置地址资源（2）范围地址资源适用于连续的IP地址段如果在地址范围中有几个地址是需要排除的，可以在此输入。要排除多个地址时需用半角逗号隔开。配置地址资源（3）子网地址资源适用于整个网段的ip地址资源，用掩码控制范围必须要使用反掩码配置地址资源（4）当要赋予几个不同的地址资源相同的访问权限时，可以将其组合成大的地址资源组配置域间策略（1）第二步配置域间策略正确填写源域和目的域，源域对应源IP地址，目的域对应目的IP地址使用已创建的地址资源使用设备自带或创建的服务资源配置域间策略（2）开启该策略必须保证向上的绿色箭头，如果想禁止使用该策略，可以点击禁止点击向上向下的三角可以移动规则，策略是按顺序匹配的多条域间策略匹配规则：先下发先生效，顺序匹配。地址转换策略地址转换是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。同时地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。配置地址转换策略（1）第一步配置ACL配置地址转换策略（2）注意须填写反掩码设置访问控制列表控制只有该网段的PC可以通过地址转换访问Internet,而其他的不行配置地址转换策略（3）第二步选择外网口并配置地址转换策略EasyIP：接使用接口的IP作为转换后的源地址。除easyip外，还有pat和nopat两种方式来配置地址转换，此时需要结合地址池配置。内部服务器原理

服务器位于客户网络内部，使用私网地址如/24，网关为；服务器要对外部网络即Internet提供服务，使用TCP80端口，即WWW服务；

UTM设备可以开放该端口，结合外网口地址，对Internet用户提供服务访问能力，UTM设备会将来访的访问映射给内部服务器。Internet内部服务器G0/240访问40的TCP80端口把访问转换成访问TCP80端口配置内部服务器黑名单及攻击防范黑客扫描特定端口，并对特定端口发送特殊数据使系统崩溃或获取系统权限来自外网口的扫描、攻击外网口地址为公网地址，互联网黑客都可以访问外网口外网口速率低来自内网口的扫描解决办法（1）静态黑名单（2）动态黑名单（3）配置攻击防范扫描，攻击Internet黑客主机黑客主机静态黑名单启动黑名单功能动态黑名单选择发起攻击的安全区域当每秒扫描的次数达到4000以上，UTM设备会自动将发起攻击的IP地址加入到黑名单中，当时间超过10分钟后，该IP地址又会从黑名单中移除。配置异常报文检测选择发起攻击的安全域当icmp报文超过4000字节时，UTM设备就会检测到，并丢弃该包不将复选框勾上，只检测攻击，不丢包配置多包攻击检测被保护的安全区域目录产品概述基本配置及维护防火墙基本功能配置常见问题分析实际案例组网配置1.升级完软件版本之后带宽管理功能失效从E5114版本开始，UTM带宽管理的功能需要单独的license来控制，如果设备上没有APP的license，则无法使用带宽管理的功能。解决方法：购买APP授权函，并向我