企業(yè)培訓(xùn)_防火墻配置培訓(xùn)

SecPath防火墻技術(shù)介紹 2 學(xué)習(xí)目標(biāo) 防火墻的域和模式攻擊防范 包過濾 ASPF NAT 黑名單的使用方法 學(xué)習(xí)完本課程 您應(yīng)該能夠了解 3 防火墻的模式 路由模式為防火墻的以太網(wǎng)接口 以GigabitEthernet0 0為例 配置IP地址 SecPath interfaceGigabitEthernet0 0 SecPath GigabitEthernet0 0 ipaddress192 168 0 1255 255 255 0透明模式當(dāng)防火墻工作在透明模式下時(shí) 其所有接口都將工作在第二層 即不能為接口配置IP地址 這樣 用戶若要對(duì)防火墻進(jìn)行Web管理 需在透明模式下為防火墻配置一個(gè)系統(tǒng)IP地址 SystemIP 用戶可以通過此地址對(duì)防火墻進(jìn)行Web管理 缺省情況下 防火墻工作在路由模式 1 配置防火墻工作在透明模式 SecPath firewallmode routeRoutemodetransparentTransparentmode SecPath firewallmodetransparentSetsystemipaddresssuccessfully TheGigabitEthernet0 0hasbeeninpromiscuousoperationmode TheGigabitEthernet0 1hasbeeninpromiscuousoperationmode AlltheInterfaces sipshavebeendeleted Themodeissetsuccessfully 從以上顯示的系統(tǒng)提示信息可以看出 防火墻已經(jīng)工作在透明模式下 且所有接口上的IP地址已經(jīng)被刪除 2 為防火墻配置系統(tǒng)IP地址 SecPath firewallsystem ip192 168 0 1255 255 255 0Setsystemipaddresssuccessfully 說明 當(dāng)防火墻切換到透明模式時(shí) 系統(tǒng)為防火墻分配了一個(gè)缺省系統(tǒng)IP地址169 0 0 1 8 可以使用上述命令更改系統(tǒng)IP地址 4 防火墻的模式 可以把路由模式理解為象路由器那樣工作 防火墻每個(gè)接口連接一個(gè)網(wǎng)絡(luò) 防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān) 報(bào)文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息 然后通過查找轉(zhuǎn)發(fā)表 根據(jù)出接口找到出口域 再根據(jù)這兩個(gè)域確定域間關(guān)系 然后使用配置在這個(gè)域間關(guān)系上的安全策略進(jìn)行各種操作 透明模式的防火墻則可以被看作一臺(tái)以太網(wǎng)交換機(jī) 防火墻的接口不能配IP地址 整個(gè)設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部 對(duì)于網(wǎng)絡(luò)中的其他設(shè)備 防火墻是透明的 報(bào)文轉(zhuǎn)發(fā)的出接口 是通過查找橋接的轉(zhuǎn)發(fā)表得到的 在確定域間之后 安全模塊的內(nèi)部仍然使用報(bào)文的IP地址進(jìn)行各種安全策略的匹配 相比較而言 路由模式的功能更強(qiáng)大一些 而在用戶的網(wǎng)絡(luò)無法變更的情況下 可以考慮采用透明模式 5 防火墻的屬性配置命令 打開或者關(guān)閉防火墻firewall enable disable 設(shè)置防火墻的缺省過濾模式firewalldefault permit deny 顯示防火墻的狀態(tài)信息displayfirewall 6 在接口上應(yīng)用訪問控制列表 將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向 Ethernet0 Serial0 訪問控制列表3作用在Serial0接口上在in方向上有效 7 基于時(shí)間段的包過濾 特殊時(shí)間段內(nèi)應(yīng)用特殊的規(guī)則 Internet 上班時(shí)間 上午8 00 下午5 00 只能訪問特定的站點(diǎn) 其余時(shí)間可以訪問其他站點(diǎn) 8 時(shí)間段的配置命令 timerange命令timerange enable disable undo settr命令settrbegin timeend time begin timeend time undosettr顯示isintr命令displayisintr顯示timerange命令displaytimerange 9 訪問控制列表的組合 一條訪問列表可以由多條規(guī)則組成 對(duì)于這些規(guī)則 有兩種匹配順序 auto和config 規(guī)則沖突時(shí) 若匹配順序?yàn)閍uto 深度優(yōu)先 描述的地址范圍越小的規(guī)則 將會(huì)優(yōu)先考慮 深度的判斷要依靠通配比較位和IP地址結(jié)合比較access list4deny202 38 0 00 0 255 255access list4permit202 38 160 10 0 0 255兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段 202 38 0 0 上的主機(jī)但允許其中的一小部分主機(jī) 202 38 160 0 的訪問 規(guī)則沖突時(shí) 若匹配順序?yàn)閏onfig 先配置的規(guī)則會(huì)被優(yōu)先考慮 10 防火墻 在測(cè)試環(huán)境中 劃分了最常用的三個(gè)安全區(qū)域 Untrust區(qū)域 用于連接外部網(wǎng)絡(luò) DMZ區(qū)域 放置對(duì)外服務(wù)器 Trust區(qū)域 用于連接內(nèi)部安全網(wǎng)絡(luò) Lanswitch Trust區(qū)域 PC1 192 168 2 2 24 serverA Internet 11 防火墻基本配置 SecPath InterfaceGigabitEthernet0 0ipaddress192 168 3 1255 255 255 0InterfaceGigabitEthernet0 1ipaddress192 168 1 1255 255 255 0InterfaceEthernet1 0ipaddress192 168 2 1255 255 255 0PC1 配置IP地址為192 168 1 3 24PC2 配置IP地址為192 168 1 2 24 12 防火墻的功能演示 13 防火墻的功能演示 14 防火墻的功能演示 15 防火墻的功能演示 16 ASPF ASPF ApplicationSpecificPacketFilter 是針對(duì)應(yīng)用層的包過濾 即基于狀態(tài)的報(bào)文過濾 它和普通的靜態(tài)防火墻協(xié)同工作 以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略 ASPF能夠檢測(cè)試圖通過防火墻的應(yīng)用層協(xié)議會(huì)話信息 阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過 為保護(hù)網(wǎng)絡(luò)安全 基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包 防止非法入侵 ASPF能夠檢測(cè)應(yīng)用層協(xié)議的信息 并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控 17 ASPF ASPF能夠監(jiān)測(cè)FTP HTTP SMTP RSTP H 323 TCP UDP的流量DoS DenialofService 拒絕服務(wù) 的檢測(cè)和防范 JavaBlocking Java阻斷 保護(hù)網(wǎng)絡(luò)不受有害JavaApplets的破壞 ActivexBlocking Activex阻斷 保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞 支持端口到應(yīng)用的映射 為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口 增強(qiáng)的會(huì)話日志功能 可以對(duì)所有的連接進(jìn)行記錄 包括連接時(shí)間 源地址 目的地址 使用端口和傳輸字節(jié)數(shù)等信息 18 攻擊類型簡(jiǎn)介 單報(bào)文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip fragment 19 攻擊類型簡(jiǎn)介 分片報(bào)文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood ICMPFlood掃描IPsweepPortscan 20 單包攻擊原理及防范 1 Fraggle特征 UDP報(bào)文 目的端口7 echo 或19 CharacterGenerator 目的 echo服務(wù)會(huì)將發(fā)送給這個(gè)端口的報(bào)文再次發(fā)送回去CharacterGenerator服務(wù)會(huì)回復(fù)無效的字符串攻擊者偽冒受害者地址 向目的地址為廣播地址的上述端口 發(fā)送請(qǐng)求 會(huì)導(dǎo)致受害者被回應(yīng)報(bào)文泛濫攻擊如果將二者互指 源 目的都是廣播地址 會(huì)造成網(wǎng)絡(luò)帶寬被占滿配置 firewalldefendfraggleenable原理 過濾UDP類型的目的端口號(hào)為7或19的報(bào)文 21 單包攻擊原理及防范 2 IPSpoof特征 地址偽冒目的 偽造IP地址發(fā)送報(bào)文配置 firewalldefendip spoofingenable原理 對(duì)源地址進(jìn)行路由表查找 如果發(fā)現(xiàn)報(bào)文進(jìn)入接口不是本機(jī)所認(rèn)為的這個(gè)IP地址的出接口 丟棄報(bào)文 22 單包攻擊原理及防范 3 Land特征 源目的地址都是受害者的IP地址 或者源地址為127這個(gè)網(wǎng)段的地址目的 導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報(bào)文 通常用在synflood攻擊中配置 firewalldefendlandenable防范原理 對(duì)符合上述特征的報(bào)文丟棄 23 單包攻擊原理及防范 4 Smurf特征 偽冒受害者IP地址向廣播地址發(fā)送pingecho目的 使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒配置 firewalldefendsmurfenable原理 丟棄目的地址為廣播地址的報(bào)文 24 單包攻擊原理及防范 5 TCPflag特征 報(bào)文的所有可設(shè)置的標(biāo)志都被標(biāo)記 明顯有沖突 比如同時(shí)設(shè)置SYN FIN RST等位目的 使被攻擊主機(jī)因處理錯(cuò)誤死機(jī)配置 firewalldefendtcp flagenable原理 丟棄符合特征的報(bào)文 25 單包攻擊原理及防范 6 Winnuke特征 設(shè)置了分片標(biāo)志的IGMP報(bào)文 或針對(duì)139端口的設(shè)置了URG標(biāo)志的報(bào)文目的 使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置 firewalldefendwinnukeenable原理 丟棄符合上述特征報(bào)文 26 單包攻擊原理及防范 7 Ip frag特征 同時(shí)設(shè)置了DF和MF標(biāo)志 或偏移量加報(bào)文長(zhǎng)度超過65535目的 使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置 firewalldefendip fragmentenable原理 丟棄符合上述特征報(bào)文 27 分片報(bào)文攻擊原理及防范 1 Teardrop特征 分片報(bào)文后片和前片發(fā)生重疊目的 使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報(bào)文通過重組繞過防火墻訪問內(nèi)部端口配置 firewalldefendteardropenable原理 防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu) 記錄通過防火墻的分片報(bào)文的偏移量 一點(diǎn)發(fā)生重疊 丟棄報(bào)文 28 分片報(bào)文攻擊原理及防范 2 Pingofdeath特征 ping報(bào)文全長(zhǎng)超過65535目的 使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置 firewalldefendping of deathenable原理 檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過65535 丟棄該分片 29 拒絕服務(wù)攻擊原理及防范 1 SYNFlood特征 向受害主機(jī)發(fā)送大量TCP連接請(qǐng)求報(bào)文目的 使被攻擊設(shè)備消耗掉所有處理能力 無法響應(yīng)正常用戶的請(qǐng)求配置 statisticenableipinzonefirewalldefendsyn flood ipX X X X zonezonename max numbernum max ratenum tcp proxyauto on off firewalldefendsyn floodenable原理 防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的連接請(qǐng)求進(jìn)行代理 代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求 如果收到請(qǐng)求者的ACK報(bào)文 認(rèn)為這是有效連接 在二者之間進(jìn)行中轉(zhuǎn) 否則刪掉該會(huì)話 30 拒絕服務(wù)攻擊原理及防范 2小 UDP ICMPFlood特征 向受害主機(jī)發(fā)送大量UDP ICMP報(bào)文目的 使被攻擊設(shè)備消耗掉所有處理能力配置 statisticenableipinzonefirewalldefendudp icmp flood ipX X X X zonezonename max ratenum firewalldefendudp icmp floodenable原理 防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的報(bào)文速率 超過設(shè)定的閾值上限 進(jìn)行car 31 掃描攻擊原理和防范 1 IPsweep特征 地址掃描 向一個(gè)網(wǎng)段內(nèi)的IP地址發(fā)送報(bào)文nmap目的 用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息 為后續(xù)攻擊作準(zhǔn)備配置 StatisticenableipoutzoneFirewalldefendip sweep max ratenum blacklist timeoutnum 原理 防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì) 檢查某個(gè)IP地址向外連接速率 如果這個(gè)速率超過了閾值上限 則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意 如果要啟用黑名單隔離功能 需要先啟動(dòng)黑名單 32 掃描攻擊原理和防范 2 Portscan特征 相同一個(gè)IP地址的不同端口發(fā)起連接目的 確定被掃描主機(jī)開放的服務(wù) 為后續(xù)攻擊做準(zhǔn)備配置 StatisticenableipoutzoneFirewalldefendport scan ma