華為防火墻產(chǎn)品與維護培訓培訓膠片課件

防火墻產(chǎn)品與維護ISSUE1.0防火墻產(chǎn)品與維護ISSUE1.0學習完本課程，您應(yīng)該能夠：了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置學習目標學習完本課程，您應(yīng)該能夠：學習目標內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護神）一夫當關(guān)，萬夫莫開防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點一夫當關(guān)，萬夫防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類（一）包過濾防火墻包過濾防火墻代理防火墻狀態(tài)防火防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。代理型防火墻（applicationgateway）代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應(yīng)用開發(fā)一個對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。狀態(tài)檢測防火墻狀態(tài)檢測是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。現(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能和高安全的完美結(jié)合。防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護，此時防火墻基本上就是一個應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。工控機類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術(shù)。電信級硬件防火墻。采用獨立設(shè)計的硬件結(jié)構(gòu)，在CPU、電源、風扇、PCI總線設(shè)計、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品。基于NP電信級防火墻。由于純軟件設(shè)計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機類型防火墻=>電信級硬件防火墻=>基于NP電信級防火墻防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟ASPF安全技術(shù)（一）ASPF(ApplicationSpecificPacketFilter)是一種高級通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄.動態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報文ASPF安全技術(shù)（一）ASPF(ApplicationASPF與ACL的比較比較內(nèi)容ACLASPF原理對每個IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表，ACL）進行過濾。包過濾不管會話的狀態(tài)，也不分析數(shù)據(jù)對于每一個應(yīng)用層協(xié)議建立會話信息以及狀態(tài)信息，實時檢測數(shù)據(jù)流的狀態(tài)信息，并動態(tài)的根據(jù)狀態(tài)信息決定數(shù)據(jù)包的動作配置較繁瑣簡單設(shè)計實現(xiàn)簡單復雜，必須支持盡可能多的應(yīng)用層協(xié)議，以保證用戶的正常使用。并且需要實時增加協(xié)議的支持對系統(tǒng)性能影響速度快，但策略過多會導致性能急劇下降需要進行狀態(tài)檢測等復雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源對多通道協(xié)議的支持不支持非常適用于需要動態(tài)建立連接的應(yīng)用協(xié)議安全性低，無法檢測某些來自于應(yīng)用層的攻擊行為高，能夠根據(jù)連接的狀態(tài)及應(yīng)用層報文內(nèi)容進行過濾，有效防范攻擊ASPF與ACL的比較比較內(nèi)容ACLASPF原理對每個IP數(shù)ASPF基本概念ASPF三個基本概念會話表（Session）：5元組完成連接；多通道協(xié)議：多通道（控制通道+數(shù)據(jù)通道）多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（FTP、TFTP等）、音視頻相關(guān)（H.323協(xié)議族、SIP、MGCP等）、聊天通訊軟件（MSN，QQ，ICQ等）Servermap表項：臨時通道（三元組）ASPF基本概念ASPF三個基本概念ASPF對單通道協(xié)議的支持在狀態(tài)防火墻中會動態(tài)維護著一個Session表項，通過Session表項來檢測基于連接的狀態(tài)，動態(tài)地判斷報文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問保護網(wǎng)絡(luò)用戶A初始化一個Telnet會話外部網(wǎng)絡(luò)用戶A目標服務(wù)器防火墻創(chuàng)建Session表項其他用戶用戶A的Telnet會話返回報文可以通過其他的Telnet報文被阻塞不能通過防火墻匹配Session表項報文ASPF對單通道協(xié)議的支持保護網(wǎng)絡(luò)用戶A初始化一個TelnASPF對多通道協(xié)議的支持—FTP用戶USG5000FTPserver0（21/20）三次握手防火墻創(chuàng)建Servermap表項三次握手Port:893Port:893200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnectionSYN檢測Servermap表項，創(chuàng)建臨時規(guī)則，打開數(shù)據(jù)通道:22787:22787SYNASPF對多通道協(xié)議的支持—FTP用戶USG5000FTP內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介Eudemon200Eudemon100EEudemon500Eudemon1000小型企業(yè)、遠程辦公中小型企業(yè)華賽電信級硬件防火墻，從桌面式終端設(shè)備到高端千兆級別，以卓越的性能和先進的安全體系架構(gòu)為網(wǎng)絡(luò)提供強大的安全保障。NP架構(gòu)Eudemon300NP架構(gòu)中型企業(yè)NP架構(gòu)Eudemon200S/USG2000大中型企業(yè)大型企業(yè),運營商大型數(shù)據(jù)中心USG3040USG3030USG50Eudemon8080Eudemon8040城域網(wǎng)流量清洗NP架構(gòu)防火墻產(chǎn)品系列Eudemon200Eudemon100EEudemon主要防火墻性能衡量指標吞吐量其中吞吐量業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力的。因網(wǎng)絡(luò)流量大部分是200字節(jié)報文，因此需要考察防火墻小包轉(zhuǎn)發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉(zhuǎn)發(fā)性能。每秒建立連接速度指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動態(tài)連接的，是根據(jù)當前通信雙方狀態(tài)而動態(tài)建立的表項。每個會話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。并發(fā)連接數(shù)目由于防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問主要防火墻性能衡量指標吞吐量防火墻產(chǎn)品參數(shù)一覽型號參數(shù)USG50Eudemon100EEudemon200Eudemon200SUSG3030USG3040應(yīng)用小型企業(yè)小型企業(yè)中小型企業(yè)中小型企業(yè)中型企業(yè)中型企業(yè)整機吞吐量(bps)100M260M400M500M1G1.5G每秒新建連接數(shù)2000條/秒13000條/秒2萬條/秒2萬條/秒2萬3萬并發(fā)連接數(shù)10萬50萬50萬50萬50/100萬50/100萬IPSECVPN連接數(shù)642K2K2K2K2K3DES加密(bps)50M200M200M200M400M600M可靠性不支持雙電源支持雙機熱備單電源支持雙機熱備雙電源（熱插拔），雙風扇（熱插拔），雙機熱備單電源支持雙機熱備支持雙電源支持雙機熱備多風扇冗余支持雙電源支持雙機熱備多風扇冗余NAT、ASPF支持支持支持支持支持支持虛擬防火墻不支持不支持不支持不支持不支持不支持防火墻產(chǎn)品參數(shù)一覽型號USG50EudemonEudemo安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號參數(shù)Eudemon300Eudemon500Eudemon1000Eudemon8040Eudemon8080應(yīng)用中型企業(yè)大型，中型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)整機吞吐量(bps)1G2G4G≥6Gbps≥12Gbps每秒新建連接數(shù)10萬條/秒10萬條/秒10萬條/秒10萬條/秒20萬條/秒IPSECVPN連接數(shù)12K12K12K無無3DES加密(bps)200M/1G200M/1G200M/1G無無可靠性雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡P2P監(jiān)控支持跟SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動NAT/ASPF支持支持支持暫不支持暫不支持虛擬防火墻支持（<=100個）支持（<=100個）支持（<=100個）暫不支持暫不支持NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號EudemonEudemonE防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）E200狀態(tài)防火墻E200狀態(tài)防火墻內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來自的數(shù)據(jù)報從這個接口出去禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域：虛擬區(qū)域（Vzone）：最低級別的安全區(qū)域，其安全優(yōu)先級為0。非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)域。防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍怀龇较颍╫utbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：Vzone區(qū)域防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進、出接口相同的報文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)Vzon防火墻的安全區(qū)域（六）防火墻的安全區(qū)域（六）第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的三種工作模式（一）路由模式透明模式混合模式防火墻的三種工作模式（一）路由模式防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。Eudemon防火墻與網(wǎng)橋存在不同，Eudemon防火墻中IP報文還需要送到上層進行相關(guān)過濾等處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。透明模式可以配置系統(tǒng)IP。防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現(xiàn)這一點。防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的安全防范ACL（參考ACL原理）安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL（參考ACL原理）防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACLASPFASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF對應(yīng)用層的協(xié)議信息進行檢測，通過維護會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。ASPFASPF（ApplicationSpecific黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽。黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據(jù)報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式黑名單（二）黑名單的創(chuàng)建[firewall]firewallblacklistitemsour-addr[timeoutminutes]黑名單的使能[firewall]firewallblacklistenable黑名單的報文過濾類型和范圍的設(shè)置firewallblacklistfilter-type{icmp|tcp|udp|others}[range{blacklist|global}]黑名單（二）黑名單的創(chuàng)建其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個IP地址的報文，在通過防火墻時將被強制發(fā)送給這個MAC地址。從而形成有效的保護，是避免IP地址假冒攻擊的一種方式。端口識別簡介應(yīng)用層協(xié)議一般使用通用的端口號（知名端口號）進行通信。端口識別允許用戶針對不同的應(yīng)用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機制來維護和使用用戶定義的端口配置信息。端口識別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識別表。其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL攻擊類型簡介單報文攻擊FraggleIpspoofLandSmurf分片報文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan攻擊類型簡介單報文攻擊單包攻擊原理及防范（一）Fraggle原理：UDP端口7（echo）和19（CharacterGenerator）在收到UDP報文后都會產(chǎn)生回應(yīng)UDP端口7收到報文后會象ICMPEchoReply一樣回應(yīng)收到的內(nèi)容；UDP的19號端口在收到報文后，會產(chǎn)生一串字符流；攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導致受害者被回應(yīng)報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號為7或19的報文單包攻擊原理及防范（一）Fraggle單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewalldefendip-spoofingenable原理：對源地址進行路由表查找，如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文單包攻擊原理及防范（二）IPSpoof單包攻擊原理及防范（三）Land原理把TCP的SYN包的源地址和目的地址都設(shè)置為目標計算機的IP地址。這將導致目標計算機向它自己發(fā)送SYN-ACK報文，目標計算機又向自己發(fā)回ACK報文并創(chuàng)建一個空連接配置：firewalldefendlandenable防范原理：對符合上述特征的報文丟棄單包攻擊原理及防范（三）Land攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的IP被利用網(wǎng)絡(luò)Smurf攻擊攻擊者被攻擊者Ping廣播地址被利用網(wǎng)絡(luò)Smurf攻擊單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機回復的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報文單包攻擊原理及防范（四）Smurf分片報文攻擊原理及防范（一）Teardrop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當而死機或使報文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，發(fā)生重疊，丟棄報文分片報文攻擊原理及防范（一）Teardrop分片報文攻擊原理及防范（二）Pingofdeath特征：ping報文全長超過65535目的：使被攻擊設(shè)備因處理不當而死機配置：firewalldefendping-of-deathenable原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片分片報文攻擊原理及防范（二）Pingofdeath拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點，通過占據(jù)大量的共享資源，最后導致合法的用戶請求就無法通過的一種攻擊方式。這是一類危害極大的攻擊方式，嚴重的時候可以使一個網(wǎng)絡(luò)癱瘓，而且容易實施，被稱作黑客的終極武器。什么是拒絕服務(wù)攻擊拒絕服務(wù)攻擊(DOS)分布式拒絕服務(wù)攻擊(DDOS)分布式反彈拒絕服務(wù)(DRDOS)攻擊拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點，通過占拒絕服務(wù)攻擊原理及防范（一）SYNFlood特征：向受害主機發(fā)送大量TCP連接請求報文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進行代理，代替受保護的主機回復請求，如果收到請求者的ACK報文，認為這是有效連接，在二者之間進行中轉(zhuǎn)，否則刪掉該會話拒絕服務(wù)攻擊原理及防范（一）SYNFlood攻擊者受害者攻擊者偽造源地址進行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接其它正常用戶得不到響應(yīng)SYN（我可以和你連接嗎？）ACK|SYN（可以，請確認?。?？？？SYN－Flood攻擊攻擊者受害者攻擊者偽造源地址進行SYN請求為何還沒回應(yīng)就是讓拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機發(fā)送大量UDP/ICMP報文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設(shè)定的閾值上限，進行car拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為后續(xù)攻擊作準備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（一）IPsweep掃描攻擊原理和防范（二）Portscan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（二）Portscan防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACLIDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協(xié)議細節(jié)進行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進行有效的檢查和防范。因此，Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進行聯(lián)動，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個報文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。IDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗IDS聯(lián)動1234IDS服務(wù)器提供基于應(yīng)用層的過濾IDS聯(lián)動1234IDS服務(wù)器第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹Eudemon雙機狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上層模塊上層模塊上層模塊EthernetVRRPVGMPHRP需要備份的模塊………Eudemon雙機狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVVRRP用于防火墻多區(qū)域的備份 當防火墻上多個區(qū)域需要提供雙機備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于Eudemon防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻。為了滿足這個限制條件，就要求在同一臺防火墻上的所有VRRP備份組狀態(tài)保持一致，即要保證在某一臺防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報文都將從此防火墻上通過，而另外一臺防火墻則充當備份設(shè)備。VRRP用于防火墻多區(qū)域的備份 當防火墻上多個區(qū)域需要VGMP的引入與基本原理由于每個傳統(tǒng)的VRRP備份組是相互獨立的，無法保證這種一致性，因此華為公司在VRRP的基礎(chǔ)上進行了擴展，推出了VGMP（VRRPGroupManagementProtocol）來彌補VRRP在狀態(tài)防火墻上使用時存在的局限。VGMP提出VRRP管理組的概念，將同一臺防火墻上的多個VRRP備份組都加入到一個VRRP管理組，由管理組統(tǒng)一管理所有VRRP備份組。通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有VRRP備份組狀態(tài)都是一致的。DMZTrustUntrustEudemonA/24MasterEudemonBBackup/24備份組2備份組3備份組1管理組管理組VGMP的引入與基本原理由于每個傳統(tǒng)的VRRP備份組是相互獨VGMP基本原理介紹VGMP狀態(tài)(Master/Slave) 當防火墻上的VGMP為Master狀態(tài)時，它保證組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Master狀態(tài)，這樣所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上對應(yīng)的VGMP為備狀態(tài)，該防火墻成為備用防火墻。VGMP的報文VGMPHELLO 與VRRP類似，狀態(tài)為Master的VGMP也會定期向?qū)Χ税l(fā)送HELLO報文，通知Slave端本身的運行狀態(tài)（包括優(yōu)先級、VRRP成員狀態(tài)等）。與VRRP不同的是，Slave端收到HELLO報文后，會回應(yīng)一個ACK消息，該消息中也會攜帶本身的優(yōu)先級、VRRP成員狀態(tài)等。兩臺防火墻通過HELLO報文交互各自的狀態(tài)信息。 VGMPHELLO報文發(fā)送周期缺省為1秒。當Slave端三個HELLO報文周期沒有收到對端發(fā)送的HELLO報文時，會認為對端出現(xiàn)故障，從而將自己切換到Master狀態(tài)。VGMP基本原理介紹VGMP狀態(tài)(Master/Slave)VGMP基本原理介紹除了前面介紹的VGMPHELLO報文之外，VGMP還包括狀態(tài)切換請求報文、允許狀態(tài)切換的應(yīng)答報文、拒絕狀態(tài)切換的應(yīng)答報文。狀態(tài)切換請求報文 當主防火墻上一個備份組成員出現(xiàn)故障時（端口down），VGMP能立即感知到這個故障。此時VGMP會調(diào)整自己的優(yōu)先級，并立即發(fā)送一個狀態(tài)切換請求報文到對端。對端收到該報文后，會比較優(yōu)先級。如果本身優(yōu)先級比報文中攜帶的優(yōu)先級高，則會回應(yīng)一個ACK報文，同時立即將自己切換到Master狀態(tài)；發(fā)生故障的設(shè)備收到該應(yīng)答報文后，會立即將自己切換到Slave狀態(tài)。在管理組狀態(tài)切換的同時，也會強制將管理組中的所有VRRP備份組成員的狀態(tài)一起切換。如果對端的優(yōu)先級比報文中的優(yōu)先級低，則會回應(yīng)一個拒絕狀態(tài)切換的應(yīng)答報文（NACK）。這樣兩端都不會進行狀態(tài)切換。VGMP基本原理介紹除了前面介紹的VGMPHEVGMP管理組的功能狀態(tài)一致性管理 VGMP管理組中任何VRRP備份組進行主/備切換，都有VGMP管理組統(tǒng)一裁決。VRRP備份組加入到管理組后，狀態(tài)不能自行單獨切換。搶占管理 VGMP管理組的搶占功能和VRRP備份組類似，當管理組中出現(xiàn)故障的備份組故障恢復時，管理組的優(yōu)先級也將恢復。此時VGMP可以決定是否需要重新?lián)屨挤Q為主設(shè)備。當VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGMP管理組統(tǒng)一決定。通道管理 通道是雙機熱備的防火墻之間用來傳輸VGMP、HRP報文的一對VRRP備份組。VGMP、HRP模塊將自動選用可用的傳輸通道來發(fā)送VGMP、HRP報文。VGMP管理組的功能狀態(tài)一致性管理VGMP數(shù)據(jù)通道數(shù)據(jù)通道和心跳線 兩臺防火墻的VGMP管理組之間通信的VGMP報文、數(shù)據(jù)備份的HRP報文，都是通過VGMP管理組中的數(shù)據(jù)通道進行傳輸?shù)?。如下圖中共有四個數(shù)據(jù)通道。 兩臺防火墻之間的直連的鏈路（如下圖中的A4-B4），一般也稱為HRP心跳線，可以將其配置成transfer-only類型的數(shù)據(jù)通道。防火墻會優(yōu)先選擇transfer-only類型的數(shù)據(jù)通道來承載VGMP和HRP報文。使用專用的鏈路來承載VGMP和HRP報文可以提高雙機熱備的可靠性。VGMP數(shù)據(jù)通道數(shù)據(jù)通道和心跳線VGMP管理組優(yōu)先級計算VGMP管理組的優(yōu)先級兩種方式：直接配置優(yōu)先級 直接配置優(yōu)先級數(shù)值時，管理組運行時優(yōu)先級＝優(yōu)先級配置值－所有故障組成員優(yōu)先級數(shù)值之和/16。由于組成員的優(yōu)先級我們一般都采用默認值100，所以當一個組成員出現(xiàn)故障時管理組優(yōu)先級數(shù)值下降6(100/16=6)。為了在主設(shè)備的一個組成員出現(xiàn)故障時就能觸發(fā)主備切換，這就要求主備防火墻上管理組優(yōu)先級之差在1～5（假設(shè)組成員優(yōu)先級都采用默認值100）之間。管理組的默認配置優(yōu)先級為100。根據(jù)組成員狀態(tài)計算優(yōu)先級 具體的計算方法是：管理組運行時優(yōu)先級＝所有狀態(tài)正常的組成員的優(yōu)先級之和/管理組中組成員總數(shù)。這樣當用于監(jiān)視的VRRP備份組成員優(yōu)先級變化時，能直接影響管理組的運行優(yōu)先級，從而觸發(fā)主備切換。在配置管理組優(yōu)先級時，使用using-vrrppriority關(guān)鍵字即采用這種優(yōu)先級計算方法。VGMP管理組優(yōu)先級計算VGMP管理組的優(yōu)先級兩種方式：VGMP管理組與負載分擔負載分擔的基本原理：每臺防火墻的每個接口上配置兩個VRRP備份組(假設(shè)分別為VRRP1、VRRP2)，分配兩個不同的虛擬IP地址。在每臺防火墻上創(chuàng)建兩個VGMP管理組(假設(shè)為VGMP1、VGMP2)，將接口下的兩個VRRP備份組分別加入到不同的管理組中。在兩臺防火墻上的兩對VGMP管理組上配置合適的優(yōu)先級，使得一臺防火墻上VGMP1是主，VGMP2是備；而在另一臺防火墻上VGMP1是備，VGMP2是主通過給內(nèi)網(wǎng)設(shè)備分配不同的網(wǎng)關(guān)地址(某些設(shè)備網(wǎng)關(guān)地址為VRRP1的虛擬IP，某些設(shè)備網(wǎng)關(guān)地址為VRRP2的虛擬IP)，流量就可以分擔到兩臺防火墻上。VGMP管理組與負載分擔負載分擔的基本原理：負載分擔組網(wǎng)示意圖負載分擔組網(wǎng)示意圖雙機熱備份－HRP產(chǎn)生背景：VGMP可以保證報文來回路徑通過同一臺防火墻。當主防火墻出現(xiàn)故障時，所有流量都將切換到備防火墻。但Eudemon防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上的連接狀態(tài)數(shù)據(jù)，則切換到備防火墻的很多流量將無法通過防火墻，造成現(xiàn)有的連接中斷，此時用戶必須重新發(fā)起連接。 要解決這個問題，只有使主防火墻上的連接狀態(tài)數(shù)據(jù)及時同步到備防火墻，這就是開發(fā)HRP（HuaweiRedundancyProtocol）協(xié)議的目的，它用來從主防火墻向備防火墻上同步關(guān)鍵配置數(shù)據(jù)和連接狀態(tài)數(shù)據(jù)等。雙機熱備份－HRP產(chǎn)生背景：華為防火墻產(chǎn)品與維護培訓培訓膠片課件演講完畢，謝謝觀看！演講完畢，謝謝觀看！防火墻產(chǎn)品與維護ISSUE1.0防火墻產(chǎn)品與維護ISSUE1.0學習完本課程，您應(yīng)該能夠：了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置學習目標學習完本課程，您應(yīng)該能夠：學習目標內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護神）一夫當關(guān)，萬夫莫開防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點一夫當關(guān)，萬夫防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類（一）包過濾防火墻包過濾防火墻代理防火墻狀態(tài)防火防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。代理型防火墻（applicationgateway）代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應(yīng)用開發(fā)一個對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。狀態(tài)檢測防火墻狀態(tài)檢測是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。現(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能和高安全的完美結(jié)合。防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護，此時防火墻基本上就是一個應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。工控機類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術(shù)。電信級硬件防火墻。采用獨立設(shè)計的硬件結(jié)構(gòu)，在CPU、電源、風扇、PCI總線設(shè)計、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品?；贜P電信級防火墻。由于純軟件設(shè)計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機類型防火墻=>電信級硬件防火墻=>基于NP電信級防火墻防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟ASPF安全技術(shù)（一）ASPF(ApplicationSpecificPacketFilter)是一種高級通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對于特定應(yīng)用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄.動態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報文ASPF安全技術(shù)（一）ASPF(ApplicationASPF與ACL的比較比較內(nèi)容ACLASPF原理對每個IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表，ACL）進行過濾。包過濾不管會話的狀態(tài)，也不分析數(shù)據(jù)對于每一個應(yīng)用層協(xié)議建立會話信息以及狀態(tài)信息，實時檢測數(shù)據(jù)流的狀態(tài)信息，并動態(tài)的根據(jù)狀態(tài)信息決定數(shù)據(jù)包的動作配置較繁瑣簡單設(shè)計實現(xiàn)簡單復雜，必須支持盡可能多的應(yīng)用層協(xié)議，以保證用戶的正常使用。并且需要實時增加協(xié)議的支持對系統(tǒng)性能影響速度快，但策略過多會導致性能急劇下降需要進行狀態(tài)檢測等復雜處理，效率相對于ACL低，并且消耗部分系統(tǒng)資源對多通道協(xié)議的支持不支持非常適用于需要動態(tài)建立連接的應(yīng)用協(xié)議安全性低，無法檢測某些來自于應(yīng)用層的攻擊行為高，能夠根據(jù)連接的狀態(tài)及應(yīng)用層報文內(nèi)容進行過濾，有效防范攻擊ASPF與ACL的比較比較內(nèi)容ACLASPF原理對每個IP數(shù)ASPF基本概念ASPF三個基本概念會話表（Session）：5元組完成連接；多通道協(xié)議：多通道（控制通道+數(shù)據(jù)通道）多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（FTP、TFTP等）、音視頻相關(guān)（H.323協(xié)議族、SIP、MGCP等）、聊天通訊軟件（MSN，QQ，ICQ等）Servermap表項：臨時通道（三元組）ASPF基本概念ASPF三個基本概念ASPF對單通道協(xié)議的支持在狀態(tài)防火墻中會動態(tài)維護著一個Session表項，通過Session表項來檢測基于連接的狀態(tài)，動態(tài)地判斷報文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問保護網(wǎng)絡(luò)用戶A初始化一個Telnet會話外部網(wǎng)絡(luò)用戶A目標服務(wù)器防火墻創(chuàng)建Session表項其他用戶用戶A的Telnet會話返回報文可以通過其他的Telnet報文被阻塞不能通過防火墻匹配Session表項報文ASPF對單通道協(xié)議的支持保護網(wǎng)絡(luò)用戶A初始化一個TelnASPF對多通道協(xié)議的支持—FTP用戶USG5000FTPserver0（21/20）三次握手防火墻創(chuàng)建Servermap表項三次握手Port:893Port:893200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnectionSYN檢測Servermap表項，創(chuàng)建臨時規(guī)則，打開數(shù)據(jù)通道:22787:22787SYNASPF對多通道協(xié)議的支持—FTP用戶USG5000FTP內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介Eudemon200Eudemon100EEudemon500Eudemon1000小型企業(yè)、遠程辦公中小型企業(yè)華賽電信級硬件防火墻，從桌面式終端設(shè)備到高端千兆級別，以卓越的性能和先進的安全體系架構(gòu)為網(wǎng)絡(luò)提供強大的安全保障。NP架構(gòu)Eudemon300NP架構(gòu)中型企業(yè)NP架構(gòu)Eudemon200S/USG2000大中型企業(yè)大型企業(yè),運營商大型數(shù)據(jù)中心USG3040USG3030USG50Eudemon8080Eudemon8040城域網(wǎng)流量清洗NP架構(gòu)防火墻產(chǎn)品系列Eudemon200Eudemon100EEudemon主要防火墻性能衡量指標吞吐量其中吞吐量業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力的。因網(wǎng)絡(luò)流量大部分是200字節(jié)報文，因此需要考察防火墻小包轉(zhuǎn)發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉(zhuǎn)發(fā)性能。每秒建立連接速度指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動態(tài)連接的，是根據(jù)當前通信雙方狀態(tài)而動態(tài)建立的表項。每個會話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。并發(fā)連接數(shù)目由于防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問主要防火墻性能衡量指標吞吐量防火墻產(chǎn)品參數(shù)一覽型號參數(shù)USG50Eudemon100EEudemon200Eudemon200SUSG3030USG3040應(yīng)用小型企業(yè)小型企業(yè)中小型企業(yè)中小型企業(yè)中型企業(yè)中型企業(yè)整機吞吐量(bps)100M260M400M500M1G1.5G每秒新建連接數(shù)2000條/秒13000條/秒2萬條/秒2萬條/秒2萬3萬并發(fā)連接數(shù)10萬50萬50萬50萬50/100萬50/100萬IPSECVPN連接數(shù)642K2K2K2K2K3DES加密(bps)50M200M200M200M400M600M可靠性不支持雙電源支持雙機熱備單電源支持雙機熱備雙電源（熱插拔），雙風扇（熱插拔），雙機熱備單電源支持雙機熱備支持雙電源支持雙機熱備多風扇冗余支持雙電源支持雙機熱備多風扇冗余NAT、ASPF支持支持支持支持支持支持虛擬防火墻不支持不支持不支持不支持不支持不支持防火墻產(chǎn)品參數(shù)一覽型號USG50EudemonEudemo安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號參數(shù)Eudemon300Eudemon500Eudemon1000Eudemon8040Eudemon8080應(yīng)用中型企業(yè)大型，中型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)整機吞吐量(bps)1G2G4G≥6Gbps≥12Gbps每秒新建連接數(shù)10萬條/秒10萬條/秒10萬條/秒10萬條/秒20萬條/秒IPSECVPN連接數(shù)12K12K12K無無3DES加密(bps)200M/1G200M/1G200M/1G無無可靠性雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風扇（熱插拔），雙機熱備，接口卡可熱插拔，支持BYPASS卡P2P監(jiān)控支持跟SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動支持SIG聯(lián)動NAT/ASPF支持支持支持暫不支持暫不支持虛擬防火墻支持（<=100個）支持（<=100個）支持（<=100個）暫不支持暫不支持NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號EudemonEudemonE防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）E200狀態(tài)防火墻E200狀態(tài)防火墻內(nèi)容介紹第一章防火墻技術(shù)簡介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性內(nèi)容介紹第一章防火墻技術(shù)簡介第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來自的數(shù)據(jù)報從這個接口出去禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域：虛擬區(qū)域（Vzone）：最低級別的安全區(qū)域，其安全優(yōu)先級為0。非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)域。防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉zone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：Vzone區(qū)域防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進、出接口相同的報文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)Vzon防火墻的安全區(qū)域（六）防火墻的安全區(qū)域（六）第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的三種工作模式（一）路由模式透明模式混合模式防火墻的三種工作模式（一）路由模式防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。Eudemon防火墻與網(wǎng)橋存在不同，Eudemon防火墻中IP報文還需要送到上層進行相關(guān)過濾等處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。透明模式可以配置系統(tǒng)IP。防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現(xiàn)這一點。防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹防火墻的安全防范ACL（參考ACL原理）安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL（參考ACL原理）防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACLASPFASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF對應(yīng)用層的協(xié)議信息進行檢測，通過維護會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。ASPFASPF（ApplicationSpecific黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽。黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據(jù)報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式黑名單（二）黑名單的創(chuàng)建[firewall]firewallblacklistitemsour-addr[timeoutminutes]黑名單的使能[firewall]firewallblacklistenable黑名單的報文過濾類型和范圍的設(shè)置firewallblacklistfilter-type{icmp|tcp|udp|others}[range{blacklist|global}]黑名單（二）黑名單的創(chuàng)建其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個IP地址的報文，在通過防火墻時將被強制發(fā)送給這個MAC地址。從而形成有效的保護，是避免IP地址假冒攻擊的一種方式。端口識別簡介應(yīng)用層協(xié)議一般使用通用的端口號（知名端口號）進行通信。端口識別允許用戶針對不同的應(yīng)用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機制來維護和使用用戶定義的端口配置信息。端口識別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識別表。其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL攻擊類型簡介單報文攻擊FraggleIpspoofLandSmurf分片報文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan攻擊類型簡介單報文攻擊單包攻擊原理及防范（一）Fraggle原理：UDP端口7（echo）和19（CharacterGenerator）在收到UDP報文后都會產(chǎn)生回應(yīng)UDP端口7收到報文后會象ICMPEchoReply一樣回應(yīng)收到的內(nèi)容；UDP的19號端口在收到報文后，會產(chǎn)生一串字符流；攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導致受害者被回應(yīng)報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號為7或19的報文單包攻擊原理及防范（一）Fraggle單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewalldefendip-spoofingenable原理：對源地址進行路由表查找，如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文單包攻擊原理及防范（二）IPSpoof單包攻擊原理及防范（三）Land原理把TCP的SYN包的源地址和目的地址都設(shè)置為目標計算機的IP地址。這將導致目標計算機向它自己發(fā)送SYN-ACK報文，目標計算機又向自己發(fā)回ACK報文并創(chuàng)建一個空連接配置：firewalldefendlandenable防范原理：對符合上述特征的報文丟棄單包攻擊原理及防范（三）Land攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的IP被利用網(wǎng)絡(luò)Smurf攻擊攻擊者被攻擊者Ping廣播地址被利用網(wǎng)絡(luò)Smurf攻擊單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機回復的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報文單包攻擊原理及防范（四）Smurf分片報文攻擊原理及防范（一）Teardrop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當而死機或使報文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，發(fā)生重疊，丟棄報文分片報文攻擊原理及防范（一）Teardrop分片報文攻擊原理及防范（二）Pingofdeath特征：ping報文全長超過65535目的：使被攻擊設(shè)備因處理不當而死機配置：firewalldefendping-of-deathenable原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片分片報文攻擊原理及防范（二）Pingofdeath拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點，通過占據(jù)大量的共享資源，最后導致合法的用戶請求就無法通過的一種攻擊方式。這是一類危害極大的攻擊方式，嚴重的時候可以使一個網(wǎng)絡(luò)癱瘓，而且容易實施，被稱作黑客的終極武器。什么是拒絕服務(wù)攻擊拒絕服務(wù)攻擊(DOS)分布式拒絕服務(wù)攻擊(DDOS)分布式反彈拒絕服務(wù)(DRDOS)攻擊拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點，通過占拒絕服務(wù)攻擊原理及防范（一）SYNFlood特征：向受害主機發(fā)送大量TCP連接請求報文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進行代理，代替受保護的主機回復請求，如果收到請求者的ACK報文，認為這是有效連接，在二者之間進行中轉(zhuǎn)，否則刪掉該會話拒絕服務(wù)攻擊原理及防范（一）SYNFlood攻擊者受害者攻擊者偽造源地址進行SYN請求為何還沒回應(yīng)就是讓你白等不能建立正常的連接其它正常用戶得不到響應(yīng)SYN（我可以和你連接嗎？）ACK|SYN（可以，請確認?。?？？？SYN－Flood攻擊攻擊者受害者攻擊者偽造源地址進行SYN請求為何還沒回應(yīng)就是讓拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機發(fā)送大量UDP/ICMP報文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設(shè)定的閾值上限，進行car拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為后續(xù)攻擊作準備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（一）IPsweep掃描攻擊原理和防范（二）Portscan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（二）Portscan防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACLIDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協(xié)議細節(jié)進行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進行有效的檢查和防范。因此，Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進行聯(lián)動，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個報文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。IDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗IDS聯(lián)動1234IDS服務(wù)器提供基于應(yīng)用層的過濾IDS聯(lián)動1234IDS服務(wù)器第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹第三章防火墻原理與特性內(nèi)容介紹Eudemon雙機狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上層模塊上層模塊上層模塊EthernetVRRPVGMPHRP需要備份的模塊………Eudemon雙機狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVVRRP用于防火墻多區(qū)域的備份 當防火墻上多個區(qū)域需要提供雙機備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于Eudemon防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻。為了滿足這個限制條件，就要求在同一臺防火墻上的所有VRRP備份組狀態(tài)保持一致，即要保證在某一臺防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報文都將從此防火墻上通過，而另外