华为EUDEMON200 防火墙操作手册
Eudemon 200防火墙操作指导
本文网址:https://www.360docs.net/doc/1d13029279.html,/152970 复制
Prepared by
拟制
赵强
Date
日期
2003/09/08
Reviewed by
评审人
Date
日期
Approved by
批准
Date
日期
Authorized by
签发
Date
日期
Huawei Technologies Co., Ltd.
华为技术有限公司
All rights reserved
版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用)
Revision record 修订记录
Date
日期
Revision V ersion
修订
版本
CR ID / Defect ID
CR号
Section Number
修改
章节
Change Description
修改描述
Author
作者
2003-09-10
1.00
initial 初稿完成
赵强
Distribution List 分发记录
Copy No.
Holder's Name & Role
持有者和角色
Issue Date
分发日期
1
yyyy-mm-dd
Catalog 目录
1
Introduction
简介 (7)
1.1
目的 (7)
1.2
范围 (7)
1.3
发布对象 (7)
2
Eudemon200防火墙的特点 (8)
2.1
基于状态的防火墙 (8)
2.2
安全域概念介绍 (8)
2.2.1
防火墙的域 (8)
2.2.2
域间概念 (10)
2.2.3
本地域(Local) (10)
2.3
防火墙的模式 (11)
2.3.1
概述 (11)
2.3.2
路由模式 (11)
2.3.3
透明模式 (11)
2.3.4
混合模式 (12)
2.4
访问控制策略和报文过滤 (12)
2.4.1
访问控制策略的异同 (12)
2.4.2
ACL加速查找 (13)
2.4.3
报文过滤规则的应用 (15)
2.4.4
防火墙缺省动作 (16)
2.5
NA T的相关配置 (16)
2.5.1
NA T配置的异同 (16)
2.5.2
NA T ALG命令 (16)
2.6
统计功能 (17)
2.6.1
统计功能的特殊概念 (17)
2.6.2
统计的注意事项 (17)
2.7
双机热备 (17)
2.7.1
双机简介 (17)
2.7.2
基于纯VRRP的备份 (18)
2.7.3
基于HRP的备份 (18)
2.7.4
双机热备的注意事项 (19)
2.8
防火墙的自动配置 (19)
2.8.1
防火墙同IDS联动 (19)
2.8.2
攻击检测模块同黑名单联动 (20)
2.8.3
登录模块同黑名单联动 (20)
3
典型的网络攻击方式和对策 (20)
3.1
常见攻击方式和对策 (20)
3.1.1
syn-flood. 20
3.1.2
UDP/ICMP Flood攻击 (21)
3.1.3
Ping of death/Tear drop. 21
3.1.4
IP sweep/Port scan. 22
3.1.5
IP-Spoofing攻击 (22)
3.1.6
对于畸形报文的检测功能 (23)
3.1.7
对有潜在危害性的报文的过滤 (23)
4
典型配置 (24)
4.1
防火墙的初始配置 (24)
4.2
透明模式的基本配置 (27)
4.3
路由模式组网实例 (30)
4.4
双机热备组网实例 (31)
4.5
透明模式组网实例 (35)
5
配置的常见问题(FAQ) (36)
5.1
接好防火墙之后,网络不通,无法ping通其他设备,其他设备也无法ping通防火墙 (36)
5.2
ACL和报文过滤功能 (36)
5.2.1
ACL加速编译失败 (37)
5.2.2
配置了黑名单表项,但是Buildrun信息中却没有显示 (37)
5.2.3
使能地址绑定功能之后,原来配置的静态ARP表项消失 (37)
5.2.4
配置了ASPF功能,要进行java/activex block功能,也配置了ACL用来划定范围,但是却不起作用
37
5.3
攻击防范和统计功能 (37)
5.3.1
使能了syn-flood/udp-flood/icmp-flood防御功能,但却没有作用 (37)
5.3.2
使能了地址扫描/端口扫描共能,但却没有作用 (37)
5.4
双机热备功能 (37)
5.4.1
配置了vgmp但却没有作用 (37)
5.4.2
指定用于传输数据的通道是专门通道,其状态切换不影响应用,此时怎么办 (38)
5.4.3
在应用正常的情况下,改动了vrrp的属性发现通讯有问题,表现为能ping通接口,但是不能透过防火墙
38
5.4.4
VRRP配置不一致的时候,屏幕上打印大量告警影响使用 (38)
5.4.5
VRRP状态不稳定切换频繁 (38)
5.5
透明模式问题 (38)
5.5.1
透明模式下ARP表项学习有问题 (38)
Figure List 图目录
图1
安全区示意图 (9)
图2
路由模式应用组网图 (28)
图3
透明模式应用组网图 (30)
安全策略
【转自https://www.360docs.net/doc/1d13029279.html,】
Eudemon 200防火墙操作指导
Eudemon 200防火墙操作指导
Keywords 关键词:
Abstract
摘要:本文对Eudemon 200防火墙的特点、典型应用以及常见的攻击方式及在Eudemon200上的防范方法作了简要的说明。本文的目的是使本文的读者,可以在通读本文之后对E200防火墙有比较清楚的认识,可以有效地应用防火墙进行组网。
List of abbreviations 缩略语清单:
Abbreviations缩略语
Full spelling 英文全名
Chinese explanation 中文解释
1
Introduction
简介1.1
目的本文通过对Eudemon 200防火墙的特点,使用方法作出描述,使读者可以对我司的状态防火墙有一个初步的认识,可以结合实例和攻击的特点对防火墙进行有效的配置,保护网络的安全。最后本文将给出一些典型的配置实例,在不同的情况下应用并修改这些实例,可以适应比较常见的网络应用。
本文不详细介绍用到的命令行格式和配置细节,相关信息请参考用户手册中的说明
1.2
范围本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。
1.3
发布对象本文针对的读者,为华为公司的技术人员,属于内部文档。文中可能涉及到产品内部实现的细节以及目前存在的某些缺陷,因此本文不可以直接提供给外部人员使用。如果有需要,请自行对文章进行裁减,仅将可以公开的内容提供给外部人员。
2
Eudemon200防火墙的特点Eudemon200防火墙,是我司推出的网络安全产品的重要组成部分,开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品,提供了比较丰富的功能。作为一个新形态的产品,在防火墙上我们提出了一些新的概念,这是不同于以前的路由器产品的,在下面的部分中,首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。
2.1
基于状态的防火墙Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像TCP连接的三次握手这种状态属于网络协议的第四层,而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层,需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程:
首先报文到达防火墙,防火墙首先检查是否针对这个报文已经有会话表存在
如果有,根据会话表中的信息,在进行必要的处理之后,防火墙将转发这个报文
如果没有找到表项,防火墙会对这个报文进行一系列检查,在诸多检查都通过之后,防火墙会根据这个报文的特征信息,在防火墙上建立一对会话表项,以便这个会话的后续报文可以直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙,这样用户就不需要既考虑报文的发送也考虑报文的回应消息,可以专心设计安全策略。
对于FTP/H323等需要协商数据通道的应用协议,用户只需要配置允许该协议最基本的控制通道的连通,在这个控制通道上协商出来的所有数据通道,防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙,必须用繁杂的ACL来保证这些协议数据通道的连通,还不可避免的会留下安全漏洞。
2.2
安全域概念介绍2.2.1
防火墙的域对于路由器设备,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查,以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适,防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害,有着明确的内外之分。当一个数据流通过防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略
【转自https://www.360docs.net/doc/1d13029279.html,】
Eudemon 200防火墙操作指导
的方式已经不适用,可能会造成用户在配置上的混乱。
因此,防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合,具有一个安全级别。在设备内部,这个安全级别通过一个0-100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接
口之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发,不会触发ACL等检查。
在缺省情况下,防火墙设置四个安全区域:本地域(Local)、受信域(trust)、非受信域(untrust)和非军事化区(dmz)。除了本地域,每个区域可以关联一个或多个防火墙接口。本地域具有最高的安全级别100,受信域安全级别为80,非受信域安全级别为5,非军事化区的级别处于二者之间,设定安全级别为50。如果用户需要,还可以添加其他安全域,目前的版本中,最多可以支持16个安全域。
图1 安全区示意图
一般情况下,受信区接口连接用户要保护的内部网络,非受信区连接外部网络,非军事化区连接用户向外部提供服务的部分网络。
在以接口为基础进行安全检查的路由器上,进入接口的报文称为inbound方向,流出接口的报文称为outbound方向,针对每个方向,可以配置一组ACL规则,分别进行检查。可以看出来,这种方向的判定是以路由器自身为参照物,将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的,我们可以将防火墙理解为一个边界,对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说,高安全级别一侧为内,低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候,称之为出方向(Outbound);反之,当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候,称之为入方向(Inbound)。举例来说,当数据从属于DMZ的接口进入防火墙,从属于untrust的接口流出的时候,这个流是出方向的流;而当数据从同样的接口进入防火墙,从属于trust的接口流出的时候,这个流的方向就变成入方向了。在每个方向上,我们都可以设置一组ACL,对报文进行安全检查。
一个域可以有一个或多个接口,一个接口只能属于一个域,二者是一对多的关系。
1.1.1
域间概念任何两个安全域之间存在的关系,我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述,比如,trust-untrust域间。前面描述的数据流的方向性,就是域间关系的一个属性。在Eudemon200防火墙上,绝大多数安全相关的配置都是在域间进行的。
不同于域,域间是不需要显式的创建的,用户每创建一个域,就会自动地同每一个已经存在的域产生域间关系。可见,域间关系实际上是一种全连接的结构。但是,由于我们为每个域间赋予了入和出两个方向的属性,域间AB和域间BA实际上是一样的。因此我们规定,对于全部域间,只使用高安全级别在前,低安全级别在后这样一种描述形式。无论用户输入的顺序如何,在处理的时候,都会对应到这种形式的域间关系下。也就是说,在配置的时候,只存在trust-untrust域间,不存在untrust-trust域间。
1.1.2
本地域(Local)在域的概念中,比较不容易理解的是本地域(Local)。在其他所有预定义域和用户创建的域中,都可以使用添加接口的命令。可以将某个接口(目前只支持以太网接口,以后将会扩展)添加到这个域中,之后,同这个接口相连的网络就被赋予了这个域的属性,我们可以认为这部分网络就是这个域。要理解的是,这个操作真正添加到域中的并不是这个接口本身,而是同这个接口相连接的网络,只是通过添加接口这种形式来表现罢了。Local域所保护的是防火墙自身,如果允许在local域下添加接口,根据前面的说明,这个接
口所连接的网络就会被看作同防火墙本身在同一个安全域中,那么从这个网络发出的针对防火墙的任何访问都是被直接转发的,这大大降低了对设备的防护,同时从概念上也是无法理解的,因此在local域下面不能使用添加接口的命令。
任何访问防火墙自身的报文(包括访问接口IP地址和系统IP地址)都被看作是从入接口所连接的那个域访问本地域的跨域访问,因此会触发相应域间配置的安全策略检查。
举例来说,防火墙接口Eth0的IP地址为192.168.10.1,子网掩码为24位,所连接的网络为192.168.10.0,该接口位于防火墙的trust域。在此情况下,从子网192.168.10.0内任意一台主机向192.168.10.1发起连接,就产生了trust域到local域的入方向数据流,要根据local-trust 域间配置的ACL和其他安全策略进行过滤,只有在安全策略允许情况下,连接才能成功。由于有了本地域,从根本上解决了原来存在的安全控制措施只能针对设备连接的网络,对设备自身却无法保护的情况。在实际网络环境中,曾经发生过针对我们设备进行的telnet攻击,攻击者不停的telnet我们的设备的接口IP,造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问,如果攻击者使用随即变化的IP地址,则根本无法防范。而在我们的设备上,可以通过设置ACL规则,规定只允许特定的IP地址的设备从特定的域访问防火墙,同时还可以启动flood防御等全方位的措施,充分保护了设备自身的安全。
1.2
防火墙的模式1.2.1
概述防火墙引入了称为工作模式的概念,目前防火墙支持路由模式、透明模式以及混合模式三种工作模式,其中混合模式是为了在透明模式下支持双机热备份而增加的,基本上可以理解为透明模式加上一个带IP的接口,我们主推的工作模式是路由模式和透明模式。
相对应的,Netscreen防火墙有类似的概念,他们提出的模式是路由模式、NA T模式和透明模式。我们产品的路由模式就完全包含了NS的路由和NA T两个概念。因为我们理解,路由和NA T是密不可分的,应该说我们提出的模式的概念比起他们的要更贴切一些。
1.2.2
路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。
路由模式下可以使用NA T,双机热备份以及全部的攻击防范功能。同时,由于此模式是VRP 工作的基本形态,各种应用都比较成熟。在可能的情况下,我们推荐使用路由模式进行组网。
1.2.3
透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。
为了解决对防火墙的配置问题,在透明模式下存在一个系统IP,用户需要分配一个当前子网中没有使用的IP地址给防火墙,方便远程管理的使用。同时,系统IP还起到了让防火墙能够分辨
【转自https://www.360docs.net/doc/1d13029279.html,】
Eudemon 200防火墙操作指导
当前所在子网的作用。在路由模式下,防火墙学习ARP表项是各个接口分别学习的,防火墙使用接口下的IP地址配合子网掩码,为属于自己子网的IP地址创建ARP表项。在透明模式下,某些防火墙内部功能还是基于IP地址信息实现的,不能没有ARP表项。但由于没
有了接口IP地址,对于子网的判断就很困难,因此,当防火墙工作在透明模式之下,是依据系统IP和对应的子网掩码来判定是否添加ARP表项的,如果系统IP和掩码配置的不正确,肯定会造成网络某些应用无法正常使用的问题,必须要注意。为了防止针对防火墙的arp flood攻击造成过多的ARP表项,可以通过命令undo firewall arp-learning enable禁止防火墙动态创建ARP表项,此时为了访问系统IP,需要手工创建一个静态的ARP表项,访问才能成功。
由于透明模式的防火墙接口没有IP地址,对外表现为一个二层设备,因此不能支持NA T、IPSEC、路由协议等功能,当防火墙从路由模式切换到透明模式时,可能有些配置不能再起作用,或者有些动态生成的的信息(如路由表)需要删除,建议在切换之前手工删除无用的配置信息,保存当前配置(输入save命令),并且在模式切换之后将系统重启,以保证无用资源的释放。
透明模式的主要优点是可以不改动已有的网络拓扑结构
透明模式下,NA T、双机热备份以及攻击防范中的IP spoofing功能都不可用。
由于处理方法的不同,防火墙在透明模式下的转发能力低于在路由模式下工作的情况。
1.1.1
混合模式顾名思义,混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。
在混和模式下,每个接口的工作模式是由接口上是否配置了IP地址来区分的。如果一个接口不配置IP地址,它就属于透明模式的接口,如果给它配置了IP地址,它就工作于路由模式。工作在路由模式下的接口可以配置VRRP,我们可以通过将真正提供服务的接口设置在透明模式,将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。
理论上我们可以支持报文在属于透明模式和路由模式的接口之间转发,此时,透明模式接口下面的网络,需要将网关地址设置为防火墙的系统IP。这一点在NS的设备上是不能做到的。但是,这种应用并没有考虑成熟,暂时也没有进行细致的测试,因此目前需要避免这种应用。在后期版本中,我们会考虑规划这个功能。
1.2
访问控制策略和报文过滤1.2.1
访问控制策略的异同防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。借助VRP已有的强大的ACL功能,我们很容易做到这一点。Eudemon上在ACL的配置方面基本同原有的路由器一致,但是ACL的类型同路由器稍有不同。在路由器上,ACL由基本ACL、扩展ACL和接口ACL三种组成,基本ACL和扩展ACL又分为数字型和命名型两种。在防火墙上,接口ACL被取消了,主要原因是颗粒度太粗,而且难以适应在安全域这个概念下应用。
防火墙新添加了一个基于MAC地址进行过滤的ACL策略组,这个模块是随着透明模式引入的。在防火墙上,只有这个类型的规则组在接口下应用的,主要是由于MAC地址同防火墙的接口相关的比较紧密。在接口下应用基于MAC的ACL规则时,inbound/outbound的概念同路由器下保持一致,inbound指报文由接口进入防火墙,outbound指报文由接口离开防火墙。这同防火墙域间的inbound/outbound概念是完全不一致的,需要注意。
1.2.2
ACL加速查找路由器上的ACL模块,每个组下面只支持128条规则,全部规则的总数为4000
条,而且每个方向上只能配置一个ACL规则组。这对于专门用作网络安全屏障的防火墙来说是完全不够的。因此,在Eudemon200上,全部规则的总数扩展为20000条,每个规则组下配置规则的上限也是20000条。在应用中,如果使用原有的线性搜索算法,不要说这么多条规则,就是每个规则组下有1、2000条规则,报文匹配的性能也会大大的下降。由此,在防火墙上,我们引入了ACL快速查找算法,将线性搜索变为固定次数匹配。在规则数量大的情况下,极大地提高了规则匹配速度。
ACL快速查找使用了RFC算法,将ACL规则的查找转化为静态数组查找,通过将报文的特征字转换为数组下标,可以达到查找速度同规则数无关的效果。
ACL加速查找对于使用大量ACL规则的情况下,对于防火墙搜索性能的提升是毋庸置疑的。由于我们设备上面所有需要对流进行分类的地方实际上都使用了ACL功能,因此,一旦启动了加速查找功能,NA T、统计、QoS等等多个模块都将受益。但是,ACL加速查找功能也有其局限性,不能适用于所有场合,这一点需要在配置的时候严格注意。
1.
ACL快速查找功能从算法上来讲对内存的消耗是非常大的,尤其是在产生快速查找数据结构的过程中。算法对内存的消耗有如下特性:对IP地址的变化不敏感,对于端口协议以及规则组等变化非常敏感。也就是说,如果将所有规则看成一个整体,IP地址变化频繁或相关性很小,对算法的影响较小,但是如果端口或协议号变化剧烈,那么算法在加速过程中很可能因为内存耗尽而失败。算法之所以会有这样的特性,主要是在实际应用中,ACL规则中经常用到的端口号和协议号的范围是有限的,而IP地址的变化却比较频繁,因此对IP地址的处理使用了定长前缀匹配的方法进行优化,而端口协议等方面只是单纯的使用RFC算法导致的。不过此功能在真正的应用中耗尽内存失败的可能性很小,只有在测试的极端环境下出现,还是可以放心使用的。
所谓相关性是指IP地址以及端口号等是否范围互相重叠,重复性越高,我们称之为相关性越高,反之相关性就越低。可以用下面的例子来说明:
[Eudemon] acl num 100
[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 100
[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 101
[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 102
[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 103
[Eudemon-acl-adv-100] rule deny ip destination 10.10.0.0 0.0.255.255
这个规则组我们就可以认为其协议的相关性、IP地址范围的相关性都很高,而端口号的相关性很低。
[Eudemon] acl num 101
[Eudemon-acl-adv-101] rule deny ip destination 10.10.1.1 0
[Eudemon-acl-adv-101] rule deny ip destination 20.20.2.2 0
[Eudemon-acl-adv-101] rule deny ip destination 30.30.3.3 0
[Eudemon-acl-adv-101] rule deny ip destination 40.40.4.4 0
这个规则组的IP地址相关性就很低,但是端口号,协议等相关性则很高(完全一致)
在测试中,如果端口完全无关,那么可能1000条规则左右就会导致加速的失败,但如果端口相关性很高,IP地址完全无关,插满20000条规则进行编译也没有任何问题。
2.
ACL加速算法需要占用大量内存,而且在编译过程中会将内存碎化,因此我们在处理中使用了特殊的方法,如果规则总数非常多,有10000项以上的话,在第一次编译的时候,编译速度很快,但是如果停止加速查找,然后再次重新编译,后续的编译过程的速度会非常慢,
有时可长达十几分钟。因此,如果规则数量巨大,而且又必须重新编译,建议在再次编译前重新启动防火墙。
3.
ACL加速查找算法不支持规则立即生效,也就是说,如果在启动ACL加速查找之后,再次修改ACL规则,那么这个修改时不能反映在当前已经形成的快速查找库中。因此,我们在实现的时候,做了如下处理:如果在ACL加速查找启动之后再次修改ACL规则,那么对于修改过的ACL规则,我们将不使用加速查找的方式,转而使用传统的线性遍历的搜索方式,对这个规则组的查找速度会变慢。一个规则组是否使用加速查找方式进行查找,可以通过命令行display acl accelerate显示。
下面是此命令的显示信息
ACL accelerate is enabled
NOTE : UTD means Up To Date, OOD means Out Of Date
ACL groups marked with ACCELERA TE UTD will use fast search,
others will use usual method.
ACL group :
ID
ACCELERA TE
STA TUS
【转自https://www.360docs.net/doc/1d13029279.html,】
Eudemon 200防火墙操作指导
1
ACCELERA TE
OOD
10
ACCELERA TE
UTD
100
UNACCELERA TE
UTD
如提示信息所说明,只有标记为Accelerate UTD的第10号规则组才会使用加速查找方式搜索,其他两个规则组都只能使用线性搜索方式查找。
1.1.1
报文过滤规则的应用每条ACL规则虽然跟随了一个permit/deny的动作,但是并不能直接对报文起到控制作用,只有使用packet-filter命令将这个规则组应用到防火墙的域间,才能依据配置的规则对报文进行分类、过滤。
路由器的报文过滤规则是应用在接口下面的,每个接口都可以在一入一出两个方向上各配置
一个ACL规则组,分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组,分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的,但实际上有着本质的不同,路由器是基于单个报文的过滤,并没有状态的概念,在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。而防火墙是基于状态检测的设备,我们关心的方向是流的发起方向,用户要考虑的只是允不允许这个流出去,允不允许另一个流进来,至于这个流出去之后交互返回的报文能否通过防火墙,完全不需要用户考虑。单此一点就极大地简化了用户部署安全策略的麻烦,是用户专注于应用的考虑,减少了网络安全漏洞。
举例来说,用户希望允许受保护的IP地址190.100.10.10访问位于外部网络的FTP服务器200.100.10.10,同时希望内部的WWW服务器190.100.20.10可以为外部的所有用户提供服务,那么在原有的路由器上,用户需要配置这样的ACL规则组:
[Router] acl name out advanced
[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21
——允许内网主机发起FTP连接
[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 source-port gt 1024 destination 200.100.10.10 0 ——允许内网主机的FTP数据通道报文出去
[Router-acl-adv-out] rule permit tcp source 190.100.20.10 0 source-port eq 80 ——允许WWW 服务器的报文出去
[Router-acl-adv-out] rule deny ip ——禁止其他报文的通过
[Router] acl name in advanced
[Router-acl-adv-in] rule permit tcp destination 190.100.20.10 0 destination-port eq 80 ——允许外部主机访问内部www服务器
[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port 21 destination 190.100.10.10 destination-port gt 1024 ——允许外部ftp服务器同内部的控制通道交互报文进入
[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port gt 1024 destination 190.100.10.10 ——允许外部ftp主机的数据通道报文进入
[Router-acl-adv-in] rule deny ip ——禁止其他报文的通过
然后,用户需要选择将这两个规则应用到路由器哪个接口上,同时还要注意在相对应的接口上设置缺省动作为允许,还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况,如果路由器上组网复杂,有多个接口通信,不能简单地在接口上配置允许的缺省动作的话,那么配置一个相对安全的规则组还要考虑更多的东西。
然而,在我们的防火墙上,配置上述安全策略就简单得多,假设用户的内部网络位于防火墙的受信域,外部网络位于非受信域,那么:
[Eudemon] acl name out advanced
[Eudemon-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21
[Eudemon-acl-adv-out] rule deny ip
[Eudemon] acl name in advanced
[Eudemon-acl-adv-in] rule permit tcp destination 200.100.20.10 0 destination-port eq 80 [Eudemon-acl-adv-in] rule deny ip
[Eudemon] firewall interzone trust untrust
[Eudemon-interzone-trust-untrust] detect ftp ——进行ftp协议的应用层解析
[Eudemon-interzone-trust-untrust] packet-filter in inbound
[Eudemon-interzone-trust-untrust] packet-filter out outbound
如上就完成全部所需配置和应用。
1.1.2
防火墙缺省动作当报文通过的域间没有配置ACL规则,或者在所配置的ACL规则组中没有找到符合的规则时,对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器上,防火墙的缺省动作只有一个全局的变量,决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上,每个域间的每个方向都可以分别指定其缺省动作,在系统初始配置时,所有域间所有方向上的缺省动作都是丢弃。
1.2
NA T的相关配置1.2.1
NA T配置的异同NA T功能是防火墙上又一个主推的功能,在目前的网络应用状况下,基本上每个将防火墙作为网关的组网情况下都会涉及到NA T功能的使用,NA T功能的配置同路由器下基本保持了一致,主要的不同有以下几点:
NA T Server命令变为全局配置
NA T outbound命令的引用位置由接口下改变到了域间
在使用easy ip的时候,命令行所指定的出接口必须处于该域间安全级别比较低的一侧。因此如果一个接口处于防火墙安全级别最高的域中,是不能使用这个接口做esay ip功能的1.2.2
NA T ALG命令NA T和ASPF都有ALG命令的设置,二者有些协议是重合的,有些又有不同。原因是这样的,在VRP软件上面,原有的NA T和ASPF分别有自己的解码函数,各自实现了独立的ALG处理,因此产生了两套设置命令。在防火墙上,为了提高处理的性能,NA T和ASPF共用了一套解码函数,但是对于解码后的处理函数是相对独立的(NA T要分配地址/ASPF要判断状态机是否正确)。因此,仍然是保留了两组ALG开关命令。对于两种功能都需要操作的状态机,以部署在域间的ASPF命令为主,ASPF的命令控制了是否对协议进行解码,NA T的ALG命令控制了是否根据解码结果进行NA T处理。如果ASPF的控制命令没有启动,即使设置了NA T的ALG命令也是不能激活相关功能的。缺省状态下,所有ASPF ALG函数的开关命令都是关闭状态的,NA T ALG函数的开关命令都是打开状态的。一般的使用中,可以不用理会NA T的设置命令,单独使用ASPF的命令就可以起到控制的作用。
1.3
统计功能1.3.1
统计功能的特殊概念在统计功能中,在域模式下使能的命令都包含一个inzone/outzone的参数。这个参数的含义指的是从其他域进入这个域以及从这个域流出到其它域。假设接口eth0属于受信域,且是受信域的唯一接口,那么要统计从这个接口接收到的发送给其他接口的信息,需要在受信域配置statistic enable ip outzone,如果要统计其它接口发送来的要从这个接口流出防火墙的信息则需要配置statistic enable ip inzone。这点在初次配置的时候不容易理解,需要注意。
1.3.2
统计的注意事项防火墙的统计信息是整个防火墙进行攻击防范和表项处理所依据的基础,因此某些基础数据是不允许清除的。在使用reset firewall statistic system命令的时候,像当前表项等统计数据并不会被清除,只有在使用reset firewall session table命令清除所有表项的时候,这些统计信息才会清零,需要注意。
统计功能目前分配的用于统计IP的表项数目有限,而这些表项又是攻击防范功能的基础数据的来源,因此一旦这些资源耗尽,相应的攻击防范功能也不会起作用了。在配置statistic enable ip inzone/outzone命令的时候,务必要根据实际需要,结合前面说明的inzone/outzone 的含义指定。不要为了省事,对所有的域都既使能inzone的统计,又使能outzone的统计。这样会将有限的表项无谓的消耗掉,反而无法防范真正的攻击。
1.4
双机热备1.4.1
双机简介在当前的组网应用中,用户对网络可靠性的要求越来越高,在很多组网中都需要提供一台冗余设备进行备份,如下图所示:
目前的防火墙解决方案中提供两种双机热备的方式:1)基于纯VRRP的备份;2)基于HRP (Huawei Redundancy Protocol华为公司冗余协议)的备份,以下简要介绍一下这两种双机备份
1.4.2
基于纯VRRP的备份在这种双机热备的方式,两台防火墙通过VRRP协议来监视彼此的状态,在备用防火墙检测到主防火墙Down的时候,便会把自己变成组,不过由于没有添加额外的协议和处理,这种方式不能备份状态数据。因此发生状态切换的时候已有的会话表项会丢失导致连接中断,这种方式还有存在一个因为由于状态防火墙而导致的问题,因为状态防火墙,会建立会话表并要求后续报文在命中会话表的基础上才能透过防火墙,这就意味着,来去的报文都必须通过同一个防火墙,这就要求在双机热备的环境中防火墙的所有接口(针对同一应用的所有接口)上的VRRP都应该处于同一状态,要么都是主、要么都是备。但是VRRP协议本身不能保证状态的一致性,这样在状态失序的时候便会影响到我们的应用。目前规避的办法是在配置VRRP的时候保证一台上的VRRP的优先级高于另外一台,并使能抢占,这样在可以规避状态不一致的问题。在实际应用中,这种双机备份方式简单,防火墙的系统负载小,可以应用于一些对连接保持要求不高的环境。
1.4.3
基于HRP的备份为了解决纯VRRP的双机备份方案中的不足(不能进行状态备份、不能维护VRRP的状态一致性),推出了基于HRP的解决方案,该方案采用VRRP协议检测接口状态、用VGMP(VRRP Group Management Protocol——VRRP组管理协议)协议来维护VRRP 状态的一致性,并用HRP协议来进行防火墙状态数据的实时备份。其配置步骤如下:
1、
在接口上配置好VRRP用于监视接口状态,接口模式下输入命令:vrrp vrid id virtual-ip ipaddr; 并配置好相关属性
2、
把需要管理的vrrp加入到vgmp中,在系统视图下输入vrrp group id 则进入vgmp的配置模式,在vgmp的配置模式下输入命令:add interface Ethernet 0/0/0 vrid id,则将该vrrp加入到了vgmp中,配置好其他属性并使能该vgmp
3、
使能hrp功能,在系统视图下输入命令:hrp enable
这样一个基于hrp的双机热备便配置完成了。
双机热备的注意事项1、
纯vrrp备份的应用中,如果出现了状态不一致的情况需要手工调整,以保证vrrp的状态一致性;
2、
在配置vgmp的时候,配置好了vgmp时还需要单独使能该vgmp才可以应用,这是和vrrp 配置不一致的地方,一定要注意;
3、
在纯vrrp备份的应用中,也可以配置vgmp管理来维护vrrp的一致性,不必使能hrp,不过需要注意的是无论是hrp还是vgmp协议都是华为的私有协议,其中vgmp协议对vrrp进行了扩展,hrp协议数据目前只能承载在vgmp协议上;
4、
为保证数据安全性以及系统得稳定性、在配置vgmp的时候需要指定vgmp用来通讯的vrrp (在添加vrrp的时候可以指定为数据通道属性);
5、
为保证双机热备的稳定工作,防止出现震荡,推荐在配置VGMP的时候,主备的优先级要配的不一致,主防火墙的优先级要高;
6、
由于采用vrrp协议监视接口,因此在双机热备的应用中只能采用以太网口的组网方式,目前双机热备不支持wan口的备份;
7、
由于vrrp协议是工作在以太网上的,如果网络繁忙则会影响到vrrp的通讯、进而影响到状态和应用的稳定性,因此在网络流量大的组网应用中推荐使用专门的通道来传输双机热备数据
【转自https://www.360docs.net/doc/1d13029279.html,】
Eudemon 200防火墙操作指导
1.1
防火墙的自动配置1.1.1
防火墙同IDS联动Eudemon200防火墙可以通IDS设备联动,IDS设备发现了攻击行为可以向防火墙发送控制报文,改变防火墙上设置的过滤规则,阻拦发起攻击的报文。目前防火墙能够接受联动驱动的模块为黑名单,IDS可以将一个IP地址插入黑名单,如果黑名单过滤功能使能没,那么在设定的时间内,从这个IP发出的经过防火墙的报文就会被丢弃。
防火墙目前支持“启明星辰”的入侵检测系统,二者通信可以使用他们公司的一套机制(vip)传递控制信息。同时我们防火墙还实现了一个MD5加密的控制通道,但目前还没有外部设备遵循我们这个标准进行接口实现,相信随着我们产品的大量发售,会有别的厂商主动来遵循我们的标准的。
1.1.2
攻击检测模块同黑名单联动攻击检测模块可以驱动黑名单的功能主要是在地址扫描和端口扫描这两部分,因为我们认为在这种情况下其源地址最有可能是真实的,因此采用了将这个IP地址加入黑名单的动作。至于其他的攻击形式,因为其源IP地址基本都是伪冒的,因此没有必要将其加入黑名单。当然,我们不能排除有人故意伪冒受害者的IP地址进行扫描,就是为了让这个地址被防火墙拦截的可能性。但能够采取这种攻击方法的人必定要对我们防火墙的处理及只有比较清楚的了解。而且要清楚防火墙上的配置(要配置相应功能才可以),因此,如果发生问题,排查的范围不会很大。
登录模块同黑名单联动防火墙上telnet登录模块也可以和黑名单模块进行联动,如果登录过程中连续三次输错密码,防火墙除了会关闭当前连接之外,还会将这个IP地址加入黑名单10分钟。如果此时黑名单功能启动,那么在表项老化的时间之内,无法从这个IP发起连接登录防火墙。进一步减小了攻击者对密码猜测的可能性。
2
典型的网络攻击方式和对策无论防火墙报过滤规则配置的多么严密,总需要划定一个范围,在这个范围内,连接是被允许的。如果攻击用户网络的连接混杂在这个许可的范围之内,就要靠攻击防范的相关功能将其识别出来并处理。
2.1
常见攻击方式和对策2.1.1
syn-floodsyn-flood攻击是一种常见的DoS攻击方式,主要被用来攻击开放了TCP端口的网络设备。要了解syn-flood攻击的原理,需要先解释一下TCP的连接的建立过程。TCP连接的建立过程称为三次握手,首先,客户端向服务器发起连接请求(SYN报文),服务器端在收到这个连接请求之后,会回应一个应答报文(SYN ACK),客户端收到这个SYN ACK报文之后,再发送第三个ACK报文,这个交互过程完成之后,服务器和客户机两端就认为这个TCP会话已经正常建立,可以开始使用这个会话上传送数据了。服务器端在回应SYN ACK 报文的时候实际上已经为这个连接的建立分配了足够的资源,如果没有接收到客户端返回的ACK报文,这部分资源会在一定时间之后释放,以便提供给其他连接请求使用。
syn-flood攻击就是利用了这个原理,攻击者伪造TCP的连接请求,向被攻击的设备正在监听的端口发送大量的连接请求(SYN)报文,被攻击的设备按照正常的处理过程,回应这个请求报文,同时为它分配了相应的资源。但是攻击者本意并不需要连接建立成功,因此服务器根本不会接收到第三个ACK报文,现有分配的资源只能等待超时释放。如果攻击者能够在超时时间到达之前发出足够的攻击报文,使被攻击的系统所预留所有资源(TCP缓存)都被耗尽。那么被攻击的设备将无法再向正常的用户提供服务,攻击者也就达到了攻击的目的(拒绝服务)。
从被攻击设备的角度讲,没有很好的方法能够阻止这种攻击的发生。在我们防火墙上可以通过配置Syn-flood防御功能来对服务器进行保护。防火墙上进行syn-flood防御所采用的是TCP Proxy技术,启动这个功能之后,对于每个针对受保护设备的TCP连接请求,防火墙会屏蔽这个报文并代替服务器返回一个SYN ACK,如果发起连接请求的是真正的客户端,那么在接收到第三个ACK报文之后,防火墙会向受保护的服务器发起真正的连接请求,并在连接成功建立之后,作为中转,在两个会话间转换数据,使客户端可以正常访问服务器。而如果连接的发起者是一个假冒的IP地址,防火墙会很快的将没有收到ACK报文的表项进行回收,此时,由于被攻击的服务器并没有真正收到这个攻击请求,因此,服务器还是可以正常的响应连接的。这个功能利用了防火墙强大的处理能力,代替受保护的设备承受攻击。syn-flood防御功能可以保护单个的IP地址或者整个域下面所有设备,在两个参数都配置的情况下,IP地址关联的参数的优先级更高。假设要保护位于受信域的IP地址为10.110.10.10的设备免受syn-flood的攻击,需在命令行进行如下配置:
[Eudemon] firewall defend syn-flood ip 10.110.10.10 max-rate 100 max-number 1000 [Eudemon] firewall defend syn-flood enable
[Eudemon] firewall zone trust
[Eudemon-zone-trust] statistic enable ip inzone
要注意的是,一定要配置相应的统计功能,因为攻击防范很多功能的实现都要依赖统计数据,如果不使能对应的统计功能,攻击防范模块将无法获得必要的数据,也就无法真正的发挥作
2.1.2
UDP/ICMP Flood攻击UDP/ICMP Flood是比较单纯的流量攻击,攻击者通过向一些基于UDP/ICMP的基本服务发送大量的报文,使被攻击的设备忙于处理这些无用的请求,最终耗尽处理能力,达到拒绝服务的目的。防火墙上针对这两个攻击有相应的命令行设定firewall defend udp-flood/icmp-flood,可以设定的参数同SYN Flood攻击的参数基本相同。要注意的是,使能这个功能同样要同时使能受保护域的基于IP的入方向统计功能。
防火墙会对相应的流量进行CAR操作,如果攻击流量超过了阈值许可的范围,超过部分将被丢弃,在设定阈值之下的部分流量仍然可以通过防火墙。
2.1.3
Ping of death/Tear dropPing of death/tear drop两种攻击,都是利用不正常的分片报文,试图利用被攻击的设备在处理这些报文时的缺陷造成设备死机。防火墙上对应的命令行很简单,firewall defend ping-of-death firewall defend teardrop,只要使能就可以。
防火墙在处理的时候会对记录每个分片的偏移量,对于出现重叠分片或者报文实际长度同声明的长度不符的情况,将丢弃这些分片报文。
Teard[Eudemon-interzone-trust-untrust]rop防御功能还有额外的作用,目前有的攻击工具(Fakeping.exe)在发起分片的攻击时会循环发送相同的几个分片,在使能Teardrop防御的情况下,这种攻击就无能为力了。
2.1.4
IP sweep/Port scan地址扫描和端口扫描,通常是做为其他攻击的前奏而进行的。IP sweep的目的是定位目标网络内活动的主机,攻击者通过遍历IP地址范围发送报文的方式,判定那些IP地址对应的主机是活动的,以便为后续攻击作准备。扫描报文的类型多种多样,TCP/UDP/ICMP都有可能,因此在防火墙上进行检测的时候,防火墙只关心IP地址的变化。如果一秒钟内从同一个IP地址发出的针对不同目的地址的报文的数量超过了设定的阈值,防火墙可以选择告警,同时还可以将这个源地址添加到防火墙的黑名单表中,在一定时间内对这个IP地址发出的报文进行丢弃处理。
端口扫描的识别同此类似,判定的依据是一秒钟内,一个IP地址向另一个IP地址的不同端口发起的连结的数量是否超过了阈值。发现端口扫描之后,防火墙同样可以根据设定,选择告警或同时将该IP地址加入黑名单中。
要让端口扫描/地址扫描功能生效,需要在可能发起攻击的阈上启动基于IP的出方向的统计功能
举例来说,如果从同一个IP地址每秒钟发起10个针对不同IP地址的连结的话就认为它是在进行扫描,对源地址要加入黑名单10分钟,攻击可能发起的域在非受信域,那么我们需要进行如下的配置:
[Eudemon] firewall defend ip-sweep max-rate 10 blacklist-timeout 10
[Eudemon] firewall zone untrust
[Eudemon-zone-untrust] statistic enable ip outzone
比如最近发作频繁的“冲击波”病毒,在发起攻击之前,被病毒感染的计算机就会大范围的扫描网络,寻找可以攻击的目标。网上现在已经出现多处因为这种扫描导致网络阻塞的问题了,在定为扫描的发起者时遇到了很多麻烦。如果这种情况发生在防火墙上面,在恰当的配置下,感染者的计算机很快就会被发现,如果设置了黑名单联动工能,那么这个IP还可以被完全阻塞住,防止该病毒的进一步扩散。
2.1.5
IP-Spoofing攻击IP-spoofing攻击是通过伪冒源地址,希望这个伪冒报文可以通过防火墙到
防火墙操作手册-推荐下载
防火墙操作手册 ----USG6550(V100R001)
1.安装前的准备工作 在安装USG前,请充分了解需要注意的事项和遵循的要求,并准备好安装过程中所需要的工具。 安装注意事项 在安装USG时,不当的操作可能会引起人身伤害或导致USG损坏,请在安装USG前详细阅读本安全注意事项。 检查安装环境 安装USG前,请检查安装环境是否符合要求,以保证USG正常工作并延长使用寿命。 安装工具准备 安装USG过程中需要使用到如下工具,请提前准备好。 2.安装注意事项 1)所有安全注意事项 为保障人身和设备安全,在安装、操作和维护设备时,请遵循设备上标识及手册中说明的所有安全注意事项。 手册中的“注意”、“小心”、“警告”和“危险”事项,并不代表所应遵守的所有安全事项,只作为所有安全注意事项的补充。 2)当地法规和规范
操作设备时,应遵守当地法规和规范。手册中的安全注意事项仅作为当地安全规范的补充。 3)基本安装要求 负责安装维护华为设备的人员,必须先经严格培训,了解各种安全注意事项,掌握正确的操作方法之后,方可安装、操作和维护设备。 只允许有资格和培训过的人员安装、操作和维护设备。 只允许有资格的专业人员拆除安全设施和检修设备。 替换和变更设备或部件(包括软件)必须由华为认证或授权的人员完成。 操作人员应及时向负责人汇报可能导致安全问题的故障或错误。 4)人身安全 禁止在雷雨天气下操作设备和电缆。 为避免电击危险,禁止将安全特低电压(SELV)电路端子连接到通讯网络电压(TNV)电路端子上。 禁止裸眼直视光纤出口,以防止激光束灼伤眼睛。 操作设备前,应穿防静电工作服,佩戴防静电手套和手腕,并去除首饰和手表等易导电物体,以免被电击或灼伤。 如果发生火灾,应撤离建筑物或设备区域并按下火警警铃,或者拨打火警电话。任何情况下,严禁再次进入燃烧的建筑物。
22-1用户手册(华为USG防火墙)
华为防火墙配置用户手册 防火墙默认的管理接口为g0/0/0,默认的ip地址为192.168.0.1/24,默认g0/0/0接口开启了dhcp server,默认用户名为admin,默认密码为Admin@123 一、配置案例 1.1 拓扑图 GE 0/0/1:10.10.10.1/24 GE 0/0/2:220.10.10.16/24 GE 0/0/3:10.10.11.1/24 WWW服务器:10.10.11.2/24(DMZ区域) FTP服务器:10.10.11.3/24(DMZ区域) 1.2 Telnet配置 配置VTY 的优先级为3,基于密码验证。 # 进入系统视图。
[USG5300-ui-vty0-4] authentication-mode password # 配置验证密码为lantian [USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123 配置空闲断开连接时间 # 设置超时为30分钟 [USG5300-ui-vty0-4] idle-timeout 30 [USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。 基于用户名和密码验证 user-interface vty 0 4 authentication-mode aaa aaa local-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!! local-user admin service-type telnet local-user admin level 3 firewall packet-filter default permit interzone untrust local direction inbound 如果不开放trust域到local域的缺省包过滤,那么从内网也不能telnet的防火墙,但是默认情况下已经开放了trust域到local域的缺省包过滤。 1.3 地址配置 内网: 进入GigabitEthernet 0/0/1视图 [USG5300] interface GigabitEthernet 0/0/1 配置GigabitEthernet 0/0/1的IP地址 [USG5300-GigabitEthernet0/0/1] ip address 10.10.10.1 255.255.255.0 配置GigabitEthernet 0/0/1加入Trust区域 [USG5300] firewall zone trust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/1 [USG5300-zone-untrust] quit 外网: 进入GigabitEthernet 0/0/2视图 [USG5300] interface GigabitEthernet 0/0/2 配置GigabitEthernet 0/0/2的IP地址 [USG5300-GigabitEthernet0/0/2] ip address 220.10.10.16 255.255.255.0 配置GigabitEthernet 0/0/2加入Untrust区域 [USG5300] firewall zone untrust [USG5300-zone-untrust] add interface GigabitEthernet 0/0/2 [USG5300-zone-untrust] quit
华为EUDEMON200 防火墙操作手册
Eudemon 200防火墙操作指导 本文网址:https://www.360docs.net/doc/1d13029279.html,/152970 复制 Prepared by 拟制 赵强 Date 日期 2003/09/08 Reviewed by 评审人 Date 日期 Approved by 批准 Date 日期 Authorized by 签发 Date 日期 Huawei Technologies Co., Ltd. 华为技术有限公司 All rights reserved 版权所有侵权必究
(REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用) Revision record 修订记录 Date 日期 Revision V ersion 修订 版本 CR ID / Defect ID CR号 Section Number 修改 章节 Change Description 修改描述 Author 作者 2003-09-10 1.00 initial 初稿完成 赵强 Distribution List 分发记录 Copy No. Holder's Name & Role 持有者和角色 Issue Date 分发日期 1 yyyy-mm-dd
Catalog 目录 1 Introduction 简介 (7) 1.1 目的 (7) 1.2 范围 (7) 1.3 发布对象 (7) 2 Eudemon200防火墙的特点 (8) 2.1 基于状态的防火墙 (8) 2.2 安全域概念介绍 (8) 2.2.1 防火墙的域 (8) 2.2.2 域间概念 (10) 2.2.3 本地域(Local) (10) 2.3 防火墙的模式 (11) 2.3.1 概述 (11) 2.3.2 路由模式 (11) 2.3.3
华为USG防火墙配置完整版
华为U S G防火墙配置 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
华为USG2000防火墙配置 USG2000防火墙基本设置: 外观 1个调试口(CONSOLE); 2个以太网口(GE0/0/0和GE0/0/1,电口或者SFP光口任取一); 1个reset按钮(操作不当访问不到防火墙时初始化出厂配置)。 初始配置 GE0/0/0配置为路由接口,IP地址为 防火墙访问IP为,登录用户名admin,密码Admin@123 USG2000防火墙配置过程中注意事项: 接口配置时,不要操作当前连接的端口,否则可能导致防火墙无法连接的情况。 这种情况下需要按‘reset’按钮初始化出厂配置。
USG2000防火墙配置步骤 一、配置防火墙的网络接口 1.连接GE0/0/0端口,访问登录防火墙。 登录过程中出现证书错误,点击‘继续浏览此网站’继续。 输入用户名admin密码Admin@123登录防火墙。 登录后,弹出修改用户的初始密码的提示及快速向导。初始密码尽量不要修改。快速向导适于配置路由器模式,不适合I区和II区之间,直接点取消。 以上为USG2000基本配置界面。 现场配置所需要用到的只有网络和防火墙两个主菜单。 2.配置GE0/0/1端口 选择菜单网络/接口,在GE0/0/1行最后点配置。 别名设置‘安全II区端口’,选择模式‘交换’,连接类型选择为 ‘access’,点击应用。 3.添加Vlan接口 在接口页面中,点击新加,接口名称设置为‘配置接口’,类型设置为‘VLAN’,VALN ID设置为‘1’,接口成员选择‘GE0/0/1’,连接类型设置为‘静态IP’,IP地址设置为‘’,子网掩码设置为‘’,最后点击应用。如下图所示 4.按照配置GE0/0/1的方法,配置GE0/0/0,将别名设为‘安全I 区端口’。 注意:配置完成后,点击应用后,由于GE0/0/0的IP地址已变更,将无法访问到。 5.关闭所有浏览器页面,然后重新开启浏览器,连接GE0/0/0,访 问。 修改刚添加的‘配置接口’的Vlan端口,将GE0/0/0添加到接口
华为防火墙路由双机备份手册
配置路由模式下主备备份方式的双机热备份举例 组网需求 Eudemon 1000E作为安全设备被部署在业务节点上。其中上下行设备均是交换机,Eudemon 1000E A、Eudemon 1000E B分别充当主用设备和备用设备,且均工作在路由模式下。 网络规划如下: ?需要保护的网段地址为10.100.10.0/24,与Eudemon 1000E的GigabitEthernet 0/0/1接口相连,部署在Trust区域。 ?外部网络与Eudemon 1000E的GigabitEthernet 0/0/3接口相连,部署在Untrust区域。 ?两台Eudemon 1000E的HRP备份通道接口GigabitEthernet 0/0/2部署在DMZ区域。 其中,各安全区域对应的VRRP组虚拟IP地址如下: ?Trust区域对应的VRRP组虚拟IP地址为10.100.10.1/24。 ?Untrust区域对应的VRRP组虚拟IP地址为202.38.10.1/24。 ?DMZ区域对应的VRRP组虚拟IP地址为10.100.20.1/24。 组网图如图1所示。 图1 路由模式下主备备份方式的双机热备份配置举例组网图 数据规划
操作步骤 1.在Eudemon 1000E A上完成以下基本配置。 # 配置GigabitEthernet 0/0/1的IP地址。
华为防火墙命令
华为路由器和防火墙配置命令总结 一、access-list 用于创建访问规则。 (1)创建标准访问列表 access-list [ normal | special ] listnumber1 { permit | deny } source-addr [ source-mask ] (2)创建扩展访问列表 access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [ operator port1 [ port2 ] ] dest-addr dest-mask [ operator port1 [ port2 ] | icmp-type [ icmp-code ] ] [ log ] (3)删除访问列表 no access-list { normal | special } { all | listnumber [ subitem ] } 【参数说明】 normal 指定规则加入普通时间段。 special 指定规则加入特殊时间段。 listnumber1 是1到99之间的一个数值,表示规则是标准访问列表规则。 listnumber2 是100到199之间的一个数值,表示规则是扩展访问列表规则。 permit 表明允许满足条件的报文通过。 deny 表明禁止满足条件的报文通过。 protocol 为协议类型,支持ICMP、TCP、UDP等,其它的协议也支持,此时没有端口比较的概念;为IP时有特殊含义,代表所有的IP协议。 source-addr 为源地址。 source-mask 为源地址通配位,在标准访问列表中是可选项,不输入则代表通配位为0.0.0.0。 dest-addr 为目的地址。 dest-mask 为目的地址通配位。 operator[可选] 端口操作符,在协议类型为TCP或UDP时支持端口比较,支持的比较操作有:等于(eq)、大于(gt)、小于(lt)、不等于(neq)或介于(range);如果操作符为range,则后面需要跟两个端口。 port1 在协议类型为TCP或UDP时出现,可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 port2 在协议类型为TCP或UDP且操作类型为range时出现;可以为关键字所设定的预设值(如telnet)或0~65535之间的一个数值。 icmp-type[可选] 在协议为ICMP时出现,代表ICMP报文类型;可以是关键字所设定的预设值(如echo-reply)或者是0~255之间的一个数值。 icmp-code在协议为ICMP且没有选择所设定的预设值时出现;代表ICMP码,是0~255之间的一个数值。 log [可选] 表示如果报文符合条件,需要做日志。
华为USG防火墙运维命令大全
华为USG防火墙运维命令大全 1查会话 使用场合 针对可以建会话的报文,可以通过查看会话是否创建以及会话详细信息来确定报文是否正常通过防火墙。 命令介绍(命令类) display firewall session table [ verbose ] { source { inside X.X.X.X | global X.X.X.X } | destination { inside X.X.X.X | global X.X.X.X } } [ source-vpn-instance { STRING<1-19> | public } | dest-vpn-instance { STRING<1-19> | public } ] [ application { gtp | ftp | h323 | http | hwcc | ras | mgcp | dns | pptp | qq | rtsp | ils | smtp | sip | nbt | stun | rpc | sqlnet | mms } ] [ nat ] [ destination-port INTEGER<1-65535> ] [ long-link ] 使用方法(工具类) 首先确定该五元组是否建会话,对于TCP/UDP/ICMP(ICMP只有echo request和echo reply建会话)/GRE/ESP/AH的报文防火墙会建会话,其它比如SCTP/OSPF/VRRP等报文防火墙不建会话。如果会话已经建立,并且一直有后续报文命中刷新,基本可以排除防火墙的问题,除非碰到来回路径不一致情况,需要关闭状态检测。如果没有对应的五元组会话或者对于不建会话的报文,继续后续排查方法。 Global:表示在做NAT时转换后的IP。 Inside:表示在做NAT时转换前的IP。 使用示例
华为防火墙操作手册-入门
目录 第1章防火墙概述 ..................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介............................................................................................................. 1-6 1.3.1 Eudemon产品系列 .................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介................................................................................ 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................. 1-8第2章 Eudemon防火墙配置基础 .............................................................................................. 2-1 2.1 通过Console接口搭建本地配置环境 .................................................................................. 2-1 2.1.1 通过Console接口搭建 ............................................................................................. 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通 .................................................................. 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通.................................................... 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建 ................................................................................................... 2-7 2.2.2 通过Telnet方式搭建................................................................................................. 2-9 2.2.3 通过SSH方式搭建 ................................................................................................. 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31
华为 USG 系列云管理防火墙详版彩
华为USG6300系列云管理防火墙 移动化、大数据、ICT融合造成企业网络规模越来越庞大,组网越来越复杂,网络管理和维护投入的成本越来越高。在此背景下,华为推出了云管理网络解决方案,它以SDN技术为支撑,包括云管理平台和全系列云化网络设备两部分,具备云化网络管理、网络设备即插即用、业务配置自动化、运维自动化可视化和网络大数据分析等优势,能够显著解决传统网络面临的难题。 云管理平台由华为企业公有云运营,或者由MSP、运营商自行建设和运营,租户只需支付防火墙硬件和云管理License费用即可使用云管理平台提供的各种业务,网络建设和维护都由云管理平台运营方提供,大大节省了企业资金和人力投入。 华为USG6300系列是配套华为云管理解决方案的防火墙产品,它支持传统防火墙管理和云管理“双栈”模式,适合为小型企业、企业分支、连锁机构等提供基于云管理的安全上网服务。 产品图 USG6305USG6305-W USG6310S USG6310S-W USG6310S-WL USG6320 USG6370/6380/6390USG6306/6308/6330/6350/6360
应用场景 ? 云管理平台部署于华为公有云或MSP 公有云,为用户提供防火墙维护管理界面。防火墙位于 SMB 、分支、园区出口,为用户提供有线无线上网服务。用户仅需购买防火墙及云管理License 即可通过云管理平台实现全网设备的规划和维护管理。对于用户并发接入数不高、站点分布较分散,不具备网络专业技术能力的中小企业,云管理网络解决方案具有明显的优势。 支持双栈管理模式,网络平滑演进 ? USG6300系列防火墙支持传统模式和云模式两种管理模式切换,缩短网络改造升级周期,将网络 改造升级对用户业务的影响降到最低,保障用户体验。 云管理平台MSP 维护人员 Internet USG6300 USG6300 USG6300
防火墙基础知识与配置
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的来说,最主流的划分方法是按照处理方式进行分类。 防火墙按照处理方式可以分为以下三类: 包过滤防火墙 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。 包过滤防火墙的缺点主要表现以下几点: 1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。
华为防火墙实验文档
第一部分华为防火墙基本初始化 LAB1 子接口初始化一、实验拓扑
二、基本配置 SW: [SW]vlan 2 [SW-vlan2]description Untrust [SW-vlan2]vlan 3 [SW-vlan3]description Trust [SW-vlan3]vlan 4 [SW-vlan4]description DMZ [SW]int g0/0/9 [SW-GigabitEthernet0/0/8]port link-type access [SW-GigabitEthernet0/0/8]port default vlan 3 [SW-GigabitEthernet0/0/8]int g0/0/3 [SW-GigabitEthernet0/0/3]port link-type access [SW-GigabitEthernet0/0/3]port default vlan 3 [SW]int g0/0/9 [SW-GigabitEthernet0/0/9]port link-type trunk [SW-GigabitEthernet0/0/9]port trunk allow-pass vlan 1 2 4 [SW]int g0/0/1 [SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 2 [SW-GigabitEthernet0/0/1]int g0/0/2
[SW-GigabitEthernet0/0/2]port link-type access [SW-GigabitEthernet0/0/2]port default vlan 4 三、防火墙配置 system-view Enter system view, return user view with Ctrl+Z. [SRG] [SRG]sysname HWFW [HWFW]int g0/0/0 [HWFW-GigabitEthernet0/0/0]alias Trust ===配置接口描述[HWFW-GigabitEthernet0/0/0]ip add 192.168.1.10 24 [HWFW]int g0/0/1.2 [HWFW-GigabitEthernet0/0/1.2]vlan-type dot1q 2 ====封装VLAN [HWFW-GigabitEthernet0/0/1.2]alias Untrust [HWFW-GigabitEthernet0/0/1.2]ip add 202.100.1.10 24 [HWFW-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.4 [HWFW-GigabitEthernet0/0/1.4]alias DMZ [HWFW-GigabitEthernet0/0/1.4]vlan-type dot1q 4 [HWFW-GigabitEthernet0/0/1.4]ip add 172.16.1.10 24 测试: [HWFW]ping -c 2 192.168.1.1 19:26:33 2014/05/26
华为防火墙操作手册-入门
目录 第1章防火墙概述.................................................................................................................... 1-1 1.1 网络安全概述 ..................................................................................................................... 1-1 1.1.1 安全威胁.................................................................................................................. 1-1 1.1.2 网络安全服务分类 ................................................................................................... 1-1 1.1.3 安全服务的实现方法................................................................................................ 1-2 1.2 防火墙概述......................................................................................................................... 1-4 1.2.1 安全防范体系的第一道防线——防火墙................................................................... 1-4 1.2.2 防火墙发展历史....................................................................................................... 1-4 1.3 Eudemon产品简介 ............................................................................................................ 1-6 1.3.1 Eudemon产品系列.................................................................................................. 1-6 1.3.2 Eudemon500/1000防火墙简介............................................................................... 1-6 1.3.3 Eudemon500/1000防火墙功能特性列表 ................................................................ 1-8第2章 Eudemon防火墙配置基础............................................................................................ 2-1 2.1 通过Console接口搭建本地配置环境................................................................................. 2-1 2.1.1 通过Console接口搭建............................................................................................ 2-1 2.1.2 实现设备和Eudemon防火墙互相ping通............................................................... 2-4 2.1.3 实现跨越Eudemon防火墙的两个设备互相ping通 ................................................ 2-5 2.2 通过其他方式搭建配置环境................................................................................................ 2-6 2.2.1 通过AUX接口搭建.................................................................................................. 2-7 2.2.2 通过Telnet方式搭建............................................................................................... 2-9 2.2.3 通过SSH方式搭建................................................................................................ 2-11 2.3 命令行接口....................................................................................................................... 2-12 2.3.1 命令行级别 ............................................................................................................ 2-12 2.3.2 命令行视图 ............................................................................................................ 2-13 2.3.3 命令行在线帮助..................................................................................................... 2-24 2.3.4 命令行错误信息..................................................................................................... 2-25 2.3.5 历史命令................................................................................................................ 2-26 2.3.6 编辑特性................................................................................................................ 2-26 2.3.7 查看特性................................................................................................................ 2-27 2.3.8 快捷键.................................................................................................................... 2-27 2.4 防火墙的基本配置............................................................................................................ 2-30 2.4.1 进入和退出系统视图.............................................................................................. 2-30 2.4.2 切换语言模式......................................................................................................... 2-30 2.4.3 配置防火墙名称..................................................................................................... 2-31 2.4.4 配置系统时钟......................................................................................................... 2-31