防火墻產品與維護培訓培訓膠片

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: 防火墻產品與維護ISSUE 1.0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 1l學習完本課程，您應該能夠：了解Eudemon產品工作原理了解Eudemon產品規(guī)格和特性掌握Eudemon產品典型組網及配置HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2第二章防火墻體系結構第二章防火墻體系結構第三章防火墻原理與特性第三章防火墻原理與特性HUAW

2、EI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 3防火墻概述l網絡安全問題成為近年來網絡問題的焦點l網絡安全包括基礎設施安全、邊界安全和管理安全等全方位策略l防火墻的主要作用是劃分邊界安全，實現關鍵系統(tǒng)與外部環(huán)境的安全隔離，保護內部網絡免受外部攻擊l與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數據報轉發(fā)速率l由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能l我司防火墻：Eudemon系列（英文含義守護神）一夫當關，萬夫莫開HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidentia

3、l Page 4防火墻的分類（一）l包過濾防火墻l代理防火墻l狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 5防火墻的分類(二）按照防火墻實現的方式，一般把防火墻分為如下幾類：按照防火墻實現的方式，一般把防火墻分為如下幾類：l包過濾防火墻包過濾防火墻(Packet Filtering) 包過濾利用定義的特定規(guī)則過濾數據包，防火墻直接獲得數據包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。 包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協商端口沒有辦法設置規(guī)則。另

4、外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。l代理型防火墻（代理型防火墻（application gateway） 代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。 代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應用開發(fā)一個對應的代理服務是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務，只能針對某些應用提供代理支持。l狀態(tài)檢測防火墻狀態(tài)檢測防火墻 狀態(tài)檢測是一種高級通信過濾。它檢查應用層協議信息并且監(jiān)控基于連接的應用層協議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地

5、決定數據包是否被允許通過防火墻或丟棄?，F在防火墻的主流產品都為狀態(tài)檢測防火墻：高性能和高安全的完美結合。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6防火墻技術發(fā)展方向l軟件防火墻。軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護，此時防火墻基本上就是一個應用軟件。代表產品有CheckPoint公司的防火墻產品。l工控機類型防火墻。工控機類型防火墻。采用PC硬件結構，基于linux等開發(fā)源代碼的操作系統(tǒng)內核，開發(fā)了安全防護的一些基本特性構成硬件防火墻產品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產品，但

6、是其軟件、硬件和第一種防火墻產品從硬件上面說沒有本質區(qū)別。國內大多數防火墻是采用這種技術。l電信級硬件防火墻。電信級硬件防火墻。采用獨立設計的硬件結構，在CPU、電源、風扇、PCI總線設計、擴展插卡等方面優(yōu)化結構，保證防火墻產品可以得到最優(yōu)的處理性能和高可靠性。代表產品有華為公司的Eudemon 200產品、NetScreen 204等防火墻產品。l基于基于NP電信級防火墻。電信級防火墻。由于純軟件設計的防火墻產品在流量很大的地方逐步成為瓶頸，基于網絡處理器（NP）的業(yè)務加速模式的防火墻產品開始出現。通過網絡處理器的高性能，使得防火墻產品可以達到1G線速的處理能力。代表產品有華為公司的Eude

7、mon 500/1000產品。軟件防火墻軟件防火墻= = 工控機類型防火墻工控機類型防火墻=電信級硬件防火墻電信級硬件防火墻=基于基于NPNP電信級防火墻電信級防火墻HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 7ASPF安全技術（一）lASPF ( Application Specific Packet Filter) 是一種高級通信過濾，它檢查應用層協議信息并且監(jiān)控連接的應用層協議狀態(tài)。對于特定應用協議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)的決定數據包是否被允許通過防火墻或丟棄.動態(tài)創(chuàng)建和刪除過濾規(guī)則動態(tài)創(chuàng)建

8、和刪除過濾規(guī)則監(jiān)視通信過程中的報文監(jiān)視通信過程中的報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8ASPF與ACL的比較比較內容比較內容ACLASPF原理原理對每個IP數據包按照用戶所定義的策略規(guī)則（訪問控制列表，ACL）進行過濾。包過濾不管會話的狀態(tài)，也不分析數據對于每一個應用層協議建立會話信息以及狀態(tài)信息，實時檢測數據流的狀態(tài)信息，并動態(tài)的根據狀態(tài)信息決定數據包的動作配置配置較繁瑣簡單設計實現設計實現簡單復雜，必須支持盡可能多的應用層協議，以保證用戶的正常使用。并且需要實時增加協議的支持對系統(tǒng)性能影響對系統(tǒng)性能影響速度快，但

9、策略過多會導致性能急劇下降需要進行狀態(tài)檢測等復雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源對多通道協議的支對多通道協議的支持持不支持非常適用于需要動態(tài)建立連接的應用協議安全性安全性低，無法檢測某些來自于應用層的攻擊行為高，能夠根據連接的狀態(tài)及應用層報文內容進行過濾，有效防范攻擊HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 9ASPF基本概念lASPF三個基本概念會話表（Session）：5元組完成連接；多通道協議：多通道（控制通道+數據通道） 多通道協議主要包括：數據傳輸協議（FTP、TFTP等）、 音視頻相關（H.323協議族

10、、SIP、MGCP等）、聊天通訊軟件（MSN，QQ，ICQ等）Servermap表項：臨時通道（三元組）HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10ASPF對單通道協議的支持l在狀態(tài)防火墻中會動態(tài)維護著一個Session表項，通過Session表項來檢測基于連接的狀態(tài)，動態(tài)地判斷報文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問保護網絡 用戶A初始化一個 Telnet 會話外部網絡用戶A目標服務器防火墻創(chuàng)建 Session表項其他用戶用戶用戶A的的Telnet會話返回報文可以通過會話返回報文可以通過其他的其他的Tel

11、net報文被阻塞不能通過報文被阻塞不能通過防火墻匹配Session表項報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11ASPF對多通道協議的支持FTP用戶USG5000FTP server0（21/20）三次握手防火墻創(chuàng)建Servermap表項三次握手Port :893Port :893200 Port Command OKRETR Sample.txtRETR Sample.txt200 Port Command OK150 Opening

12、 ASCII connection150 Opening ASCII connectionSYN檢測Servermap表項，創(chuàng)建臨時規(guī)則，打開數據通道:22787:22787SYNHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12第一章防火墻技術簡介第一章防火墻技術簡介第三章防火墻原理與特性第三章防火墻原理與特性HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13Eudemon 200Eudemon 100EEudemon 500

13、Eudemon 1000小型企業(yè)、遠程辦公中小型企業(yè)華賽電信級硬件防火墻，從桌面式終端設備到高端千兆級別，以卓越的性華賽電信級硬件防火墻，從桌面式終端設備到高端千兆級別，以卓越的性能和先進的安全體系架構為網絡提供強大的安全保障。能和先進的安全體系架構為網絡提供強大的安全保障。NP架構架構Eudemon 300NP架構架構中型企業(yè)NP架構架構Eudemon 200S/USG2000大中型企業(yè)大型企業(yè),運營商大型數據中心USG 3040USG 3030USG 50Eudemon 8080Eudemon 8040城域網流量清洗NP架構架構防火墻產品系列HUAWEI TECHNOLOGIES CO.,

14、 LTD.HUAWEI Confidential Page 14主要防火墻性能衡量指標l吞吐量吞吐量 其中吞吐量業(yè)界一般都是使用1K1.5K的大包衡量防火墻對報文的處理能力的。因網絡流量大部分是200字節(jié)報文，因此需要考察防火墻小包轉發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉發(fā)性能。l每秒建立連接速度每秒建立連接速度 指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動態(tài)連接的，是根據當前通信雙方狀態(tài)而動態(tài)建立的表項。每個會話在數據交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。l并發(fā)連接數目并

15、發(fā)連接數目 由于防火墻是針對連接進行處理報文的，并發(fā)連接數目是指的防火墻可以同時容納的最大的連接數目，一個連接就是一個TCP/UDP的訪問HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15防火墻產品參數一覽型號參數USG50Eudemon 100EEudemon 200Eudemon 200SUSG3030USG3040應用應用小型企業(yè)小型企業(yè)小型企業(yè)小型企業(yè)中小型企業(yè)中小型企業(yè)中小型企業(yè)中小型企業(yè)中型企業(yè)中型企業(yè)中型企業(yè)中型企業(yè)整機吞吐量整機吞吐量(bps)(bps)100M100M260M260M400M400M500M500M

16、1G1G1.5G1.5G每秒新建連接數每秒新建連接數20002000條條/ /秒秒1300013000條條/ /秒秒2 2萬條萬條/ /秒秒2 2萬條萬條/ /秒秒2 2萬萬3 3萬萬并發(fā)連接數并發(fā)連接數1010萬萬5050萬萬5050萬萬5050萬萬50/10050/100萬萬50/10050/100萬萬IPSEC VPNIPSEC VPN連接連接數數64642K2K2K2K2K2K2K2K2K2K3DES3DES加密加密(bps)(bps)50M50M200M200M200M200M200M200M400M400M600M600M可靠性可靠性不支持雙電不支持雙電源源支持雙機熱支持雙機熱備備

17、單電源單電源支持雙機熱支持雙機熱備備雙電源（熱雙電源（熱插拔），雙插拔），雙風扇（熱插風扇（熱插拔），雙機拔），雙機熱備熱備單電源單電源支持雙機熱支持雙機熱備備支持雙電源支持雙電源支持雙機熱支持雙機熱備備多風扇冗余多風扇冗余支持雙電源支持雙電源支持雙機熱支持雙機熱備備多風扇冗余多風扇冗余NATNAT、ASPFASPF支持支持支持支持支持支持支持支持支持支持支持支持虛擬防火墻虛擬防火墻不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持不支持HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 16安全網關產品參數一覽(續(xù))型號

18、參數Eudemon300Eudemon 500Eudemon 1000Eudemon8040Eudemon8080應用應用中型企業(yè)中型企業(yè)大型，中型企大型，中型企業(yè)業(yè)大型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)整機吞吐量整機吞吐量(bps)(bps)1G1G2G2G4G4G6Gbps6Gbps12Gbps12Gbps每秒新建連接數每秒新建連接數1010萬條萬條/ /秒秒1010萬條萬條/ /秒秒1010萬條萬條/ /秒秒1010萬條萬條/ /秒秒2020萬條萬條/ /秒秒IPSEC VPNIPSEC VPN連接連接數數12K12K12K12K12K12K無無無無3DES3DES加密加密(b

19、ps)(bps)200M/1G200M/1G200M/1G200M/1G200M/1G200M/1G無無無無可靠性可靠性雙電源（熱插雙電源（熱插拔），雙風扇拔），雙風扇（熱插拔），（熱插拔），雙機熱備，接雙機熱備，接口卡可熱插拔，口卡可熱插拔，支持支持BYPASSBYPASS卡卡雙電源（熱插雙電源（熱插拔），雙風扇拔），雙風扇（熱插拔），（熱插拔），雙機熱備，接雙機熱備，接口卡可熱插拔，口卡可熱插拔，支持支持BYPASSBYPASS卡卡雙電源（熱插雙電源（熱插拔），雙風扇拔），雙風扇（熱插拔），（熱插拔），雙機熱備，接雙機熱備，接口卡可熱插拔，口卡可熱插拔，支持支持BYPASSBYPASS卡卡

20、雙電源（熱插雙電源（熱插拔），雙風扇拔），雙風扇（熱插拔），（熱插拔），雙機熱備，接雙機熱備，接口卡可熱插拔，口卡可熱插拔，支持支持BYPASSBYPASS卡卡雙電源（熱插雙電源（熱插拔），雙風扇拔），雙風扇（熱插拔），（熱插拔），雙機熱備，接雙機熱備，接口卡可熱插拔，口卡可熱插拔，支持支持BYPASSBYPASS卡卡P2PP2P監(jiān)控監(jiān)控支持跟支持跟SIGSIG聯聯動動支持支持SIGSIG聯動聯動支持支持SIGSIG聯動聯動支持支持SIGSIG聯動聯動支持支持SIGSIG聯動聯動NAT/ASPFNAT/ASPF支持支持支持支持支持支持暫不支持暫不支持暫不支持暫不支持虛擬防火墻虛擬防火墻支持（支

21、持（=100=100個）個）支持（支持（=100=100個）個）支持（支持（=100=100個）個）暫不支持暫不支持暫不支持暫不支持NP架構架構NP架構架構NP架構架構NP架構架構NP架構架構HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17防火墻的基本工作流程l傳統(tǒng)包過濾防火墻（路由器）HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 18E200狀態(tài)防火墻HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19第一章

22、防火墻技術簡介第一章防火墻技術簡介第二章防火墻體系結構第二章防火墻體系結構HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 20第三章防火墻原理與特性第三章防火墻原理與特性第第2節(jié)節(jié) 工作模式工作模式第第3節(jié)節(jié) 安全防范安全防范第第4節(jié)節(jié) VRRP & HRPHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21防火墻的安全區(qū)域（一）l防火墻的內部劃分為多個區(qū)域，所有的轉發(fā)接口都唯一的屬于某個區(qū)域Vzone區(qū)域區(qū)域Local區(qū)域區(qū)域Trust區(qū)域區(qū)域DMZ區(qū)域區(qū)域UnTr

23、ust區(qū)域區(qū)域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22防火墻的安全區(qū)域（二）l路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來自的數據報從這個接口出去禁止所有從DMZ區(qū)域的數據報轉發(fā)到UnTrust區(qū)域Vzone區(qū)域區(qū)域Local區(qū)域區(qū)域Trust區(qū)域區(qū)域DMZ區(qū)域區(qū)域UnTrust區(qū)域區(qū)域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23防火墻的安全區(qū)域（三）lEudem

24、on防火墻上保留四個安全區(qū)域：虛擬區(qū)域（Vzone）：最低級別的安全區(qū)域，其安全優(yōu)先級為0。非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。l此外，如認為有必要，用戶還可以自行設置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)域。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24防火墻的安全區(qū)域（四）l域間的數據流分兩個方向：入

25、方向（inbound）：數據由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸的方向；出方向（outbound）：數據由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸的方向。Vzone區(qū)域區(qū)域Local區(qū)域區(qū)域Trust區(qū)域區(qū)域DMZ區(qū)域區(qū)域UnTrust區(qū)域區(qū)域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 25防火墻的安全區(qū)域（五）本域內不同接口間不過濾直接轉發(fā)進、出接口相同的報文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉發(fā)包文Vzone區(qū)域區(qū)域Local區(qū)域區(qū)域Trust區(qū)域區(qū)域

26、DMZ區(qū)域區(qū)域UnTrust區(qū)域區(qū)域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26防火墻的安全區(qū)域（六）Ethernet外部網絡EthernetEudemon( Local )ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0內部網絡HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27第三章防火墻原理與特性第三章防火墻原理與特性第第1節(jié)節(jié) 安全區(qū)域安全區(qū)域第第3節(jié)節(jié)

27、 安全防范安全防范第第4節(jié)節(jié) VRRP & HRPHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28防火墻的三種工作模式（一）l路由模式l透明模式l混合模式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 29防火墻的三種工作模式（二）l可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網絡，防火墻的接口就是所連接子網的網關。l報文在防火墻內首先通過入接口信息找到進入域信息，然后通過查找轉發(fā)表，根據出接口找到出口域，再根據這兩個域確定域間關系，然后使用配置在

28、這個域間關系上的安全策略進行各種操作。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30防火墻的三種工作模式（三）l透明模式的防火墻簡單理解可以被看作一臺以太網交換機。防火墻的接口不能配IP地址，整個設備出于現有的子網內部，對于網絡中的其他設備，防火墻是透明的。lEudemon防火墻與網橋存在不同，Eudemon防火墻中IP報文還需要送到上層進行相關過濾等處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。l透明模式

29、可以配置系統(tǒng)IP。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31防火墻的三種工作模式（四）l混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現這一點。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32第三章防火墻原理與特性第三章防火墻原理與特性第第1節(jié)節(jié) 安全區(qū)域安全區(qū)域第第2節(jié)節(jié) 工作模式

30、工作模式第第4節(jié)節(jié) VRRP & HRPHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 33防火墻的安全防范lACL（參考ACL原理）l安全策略lNATl攻擊防范lIDS聯動HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34防火墻的安全防范lACLl安全策略lNATl攻擊防范lIDS聯動HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35ASPFlASPF（Application Specific Pack

31、et Filter）是針對應用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協同工作，以便于實施內部網絡的安全策略。ASPF能夠檢測試圖通過防火墻的應用層協議會話信息，阻止不符合規(guī)則的數據報文穿過。l為保護網絡安全，基于ACL規(guī)則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。lASPF對應用層的協議信息進行檢測，通過維護會話的狀態(tài)和檢查會話報文的協議和端口號等信息，阻止惡意的入侵。 HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36黑名單（一）l黑名單，指根據報文的源IP地址進行過濾的一種方式。同基于ACL的包過濾功

32、能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現報文的過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽。l黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 37黑名單（二）l黑名單的創(chuàng)建firewall firewall blacklist item sour-addr timeout minutes

33、 l黑名單的使能firewall firewall blacklist enablel黑名單的報文過濾類型和范圍的設置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 38其它lMAC和IP地址綁定：指防火墻可以根據用戶的配置，在特定的IP地址和MAC地址之間形成關聯關系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關系對中的地址，防火墻將予以丟棄，發(fā)送給這個I

34、P地址的報文，在通過防火墻時將被強制發(fā)送給這個MAC地址。從而形成有效的保護，是避免避免IP地址地址假冒攻擊假冒攻擊的一種方式。l端口識別簡介 應用層協議一般使用通用的端口號（知名端口號）進行通信。端口識別允許用戶針對不同的應用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機制來維護和使用用戶定義的端口配置信息。端口識別能夠對不同的應用協議創(chuàng)建和維護一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識別表。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 39防火墻的安全防范lACLl

35、安全策略lNATl攻擊防范lIDS聯動HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 40防火墻的安全防范lACLl安全策略lNATl攻擊防范lIDS聯動HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 41攻擊類型簡介l單報文攻擊 Fraggle Ip spoof Land Smurfl分片報文攻擊 Tear Drop Ping of deathl拒絕服務類攻擊 SYN Flood UDP Flood & ICMP Floodl掃描 IP sweep Port sca

36、nHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 42單包攻擊原理及防范（一）lFraggle原理：UDP端口7（echo）和19（Character Generator）在收到UDP報文后都會產生回應 UDP端口7收到報文后會象ICMP Echo Reply一樣回應收到的內容； UDP的19號端口在收到報文后，會產生一串字符流 ；攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導致受害者被回應報文泛濫攻擊會導致受害者被回應報文泛濫攻擊如果將二者互指，源

37、、目的都是廣播地址，會造成網絡帶寬被占滿配置：firewall defend fraggle enable原理：過濾UDP類型的目的端口號為7或19的報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 43單包攻擊原理及防范（二）lIP Spoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewall defend ip-spoofing enable原理：對源地址進行路由表查找，如果發(fā)現報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confi

38、dential Page 44單包攻擊原理及防范（三）lLand原理把TCP的SYN包的源地址和目的地址都設置為目標計算機的IP地址。這將導致目標計算機向它自己發(fā)送SYN-ACK報文，目標計算機又向自己發(fā)回ACK報文并創(chuàng)建一個空連接配置：firewall defend land enable防范原理：對符合上述特征的報文丟棄HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 45攻擊者攻擊者被攻擊者被攻擊者Ping廣播地址 源地址被設置為被攻擊者的IP被利用網絡Smurf攻擊HUAWEI TECHNOLOGIES CO., LTD.HUA

39、WEI Confidential Page 46單包攻擊原理及防范（四）lSmurf特征：偽冒受害者IP地址向廣播地址發(fā)送ping echo目的：使受害者被網絡上主機回復的響應淹沒配置：firewall defend smurf enable原理：丟棄目的地址為廣播地址的報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 47分片報文攻擊原理及防范（一）lTear drop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設備因處理不當而死機或使報文通過重組繞過防火墻訪問內部端口配置：firewall defend teardrop en

40、able原理：防火墻為分片報文建立數據結構，記錄通過防火墻的分片報文的偏移量，發(fā)生重疊，丟棄報文HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 48分片報文攻擊原理及防范（二）lPing of death特征：ping報文全長超過65535目的：使被攻擊設備因處理不當而死機配置：firewall defend ping-of-death enable原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 4

41、9拒絕服務攻擊利用網絡資源瓶頸或者協議、系統(tǒng)本身的弱點，通過占據大量的共享資源，最后導致合法的用戶請求就無法通過的一種攻擊方式。這是一類危害極大的攻擊方式，嚴重的時候可以使一個網絡癱瘓，而且容易實施，被稱作黑客的終極武器。l拒絕服務攻擊(DOS)l分布式拒絕服務攻擊(DDOS)l分布式反彈拒絕服務(DRDOS)攻擊HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 50拒絕服務攻擊原理及防范（一）lSYN Flood特征：向受害主機發(fā)送大量TCP連接請求報文目的：使被攻擊設備消耗掉所有處理能力，無法響應正常用戶的請求配置：statisti

42、c enable ip inzonefirewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp-proxy auto|on|offfirewall defend syn-flood enable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進行代理，代替受保護的主機回復請求，如果收到請求者的ACK報文，認為這是有效連接，在二者之間進行中轉，否則刪掉該會話HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 51攻擊者攻擊者

43、受害者受害者攻擊者偽造源地址進行攻擊者偽造源地址進行SYN請求請求為何還為何還沒回應沒回應就是讓就是讓你白等你白等不能建立正常的連接不能建立正常的連接其它正常用戶得不到響應其它正常用戶得不到響應SYN （我可以和你連接嗎？）（我可以和你連接嗎？） ACK | SYN（可以，請確認?。梢?，請確認！）？SYNFlood攻擊HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 52拒絕服務攻擊原理及防范（二）lUDP/ICMP Flood特征：向受害主機發(fā)送大量UDP/ICMP報文目的：使被攻擊設備消耗掉所有處理能力配置：statistic

44、enable ip inzonefirewall defend udp/icmp-flood ip X.X.X.X | zone zonename max-rate num firewall defend udp/icmp-flood enable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設定的閾值上限，進行carHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 53掃描攻擊原理和防范（一）lIP sweep特征：地址掃描，向一個網段內的IP地址發(fā)送報文 nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為

45、后續(xù)攻擊作準備配置：Statistic enable ip outzoneFirewall defend ip-sweep max-rate num blacklist-timeout num原理：防火墻根據報文源地址進行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 54掃描攻擊原理和防范（二）lPort scan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機開放的服

46、務，為后續(xù)攻擊做準備配置：Statistic enable ip outzoneFirewall defend port-scan max-rate num blacklist-timeout num原理：防火墻根據報文源地址進行統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 55防火墻的安全防范lACLl安全策略lNATl攻擊防范lIDS聯動HUAWEI TECH

47、NOLOGIES CO., LTD.HUAWEI Confidential Page 56IDS聯動l由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協議細節(jié)進行深入的分析與檢查協議細節(jié)進行深入的分析與檢查，并且防火墻具有防外不防防火墻具有防外不防內內的特點，難以對內部用戶的非法行為和已經滲透的攻擊進行有效的檢查和防范。l因此，Eudemon防火墻開放了相關接口，通過與其它安全軟件進行聯動，從而構建統(tǒng)一的安全網絡。網絡中的IDS（Intrusion Detective System，攻擊檢測系統(tǒng)）系統(tǒng)就像在網絡上裝備了網絡分析器，對網絡傳輸進行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而

48、且盡力在檢查通過的每個報文，從而盡早處理可疑的網絡傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 57IDS聯動1234IDS 服務器服務器提供基于應用層的過濾HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 58第三章防火墻原理與特性第三章防火墻原理與特性第第1節(jié)節(jié) 安全區(qū)域安全區(qū)域第第2節(jié)節(jié) 工作模式工作模式第第3節(jié)節(jié) 安全防范安全防范HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Con

49、fidential Page 59Eudemon雙機狀態(tài)協議體系結構EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上層模塊上層模塊上層模塊EthernetVRRPVGMPHRP需要備份的模塊HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 60VRRP用于防火墻多區(qū)域的備份 當防火墻上多個區(qū)域需要提供雙機備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于Eudemon防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻要求報文的來回路徑通過同一臺防火墻。為了滿足這個限制條件，就要求在同

50、一臺防火墻上的所有VRRP備份組狀態(tài)保持一致，即要保證在某一臺防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報文都將從此防火墻上通過，而另外一臺防火墻則充當備份設備。DMZTrustUntrustEudemonA/24MasterEudemonBBackup/24備份組1Virtual IP Address備份組2Virtual IP Address備份組3Virtual IP AddressHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidentia

51、l Page 61VGMP的引入與基本原理n由于每個傳統(tǒng)的VRRP備份組是相互獨立的，無法保證這種一致性，因此華為公司在VRRP的基礎上進行了擴展，推出了VGMP（VRRP Group Management Protocol）來彌補VRRP在狀態(tài)防火墻上使用時存在的局限。nVGMP提出VRRP管理組的概念，將同一臺防火墻上的多個VRRP備份組都加入到一個VRRP管理組，由管理組統(tǒng)一管理所有VRRP備份組。通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來保證管理組內的所有VRRP備份組狀態(tài)都是一致的。DMZTrustUntrustEudemonA/24MasterEudemonB

52、Backup/24備份組 2備份組 3備份組 1管理組管理組HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 62VGMP基本原理介紹nVGMP狀態(tài)(Master/Slave)當防火墻上的VGMP為Master狀態(tài)時，它保證組內所有VRRP備份組的狀態(tài)統(tǒng)一為Master狀態(tài)，這樣所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上對應的VGMP為備狀態(tài)，該防火墻成為備用防火墻。nVGMP的報文n VGMP HELLO 與VRRP類似，狀態(tài)為Master的VGMP也會定期向對端發(fā)送HELLO報文

53、，通知Slave端本身的運行狀態(tài)（包括優(yōu)先級、VRRP成員狀態(tài)等）。與VRRP不同的是，Slave端收到HELLO報文后，會回應一個ACK消息，該消息中也會攜帶本身的優(yōu)先級、VRRP成員狀態(tài)等。兩臺防火墻通過HELLO報文交互各自的狀態(tài)信息。 VGMP HELLO報文發(fā)送周期缺省為1秒。當Slave端三個HELLO報文周期沒有收到對端發(fā)送的HELLO報文時，會認為對端出現故障，從而將自己切換到Master狀態(tài)。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 63VGMP基本原理介紹 除了前面介紹的VGMP HELLO報文之外，VGMP

54、還包括狀態(tài)切換請求報文、允許狀態(tài)切換的應答報文、拒絕狀態(tài)切換的應答報文。n狀態(tài)切換請求報文n當主防火墻上一個備份組成員出現故障時（端口down），VGMP能立即感知到這個故障。此時VGMP會調整自己的優(yōu)先級，并立即發(fā)送一個狀態(tài)切換請求報文到對端。n對端收到該報文后，會比較優(yōu)先級。如果本身優(yōu)先級比報文中攜帶的優(yōu)先級高，則會回應一個ACK報文，同時立即將自己切換到Master狀態(tài)；n發(fā)生故障的設備收到該應答報文后，會立即將自己切換到Slave狀態(tài)。在管理組狀態(tài)切換的同時，也會強制將管理組中的所有VRRP備份組成員的狀態(tài)一起切換。n如果對端的優(yōu)先級比報文中的優(yōu)先級低，則會回應一個拒絕狀態(tài)切換的應答報文（NACK）。這樣兩端都不會進行狀態(tài)切換。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 64VGMP管理組的功能n 狀態(tài)一致性管理VGMP管理組中任何VRRP備份組進行主/備切換，都有VGMP管理組統(tǒng)一裁決。VRRP備份組加入到管理組后，狀態(tài)不能自行單獨切換。n 搶占管理VGMP管理組的搶占功能和VRRP備份組類似，當管理組中出現故障的備份組故障恢復時，管理組的優(yōu)先級也將恢復。此時VGMP