DF防火墻產(chǎn)品與維護(hù)培訓(xùn)膠片ISSUEXXXX

防火墻產(chǎn)品與維護(hù)3.0學(xué)習(xí)目標(biāo)了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置掌握Eudemon產(chǎn)品維護(hù)方法學(xué)習(xí)完本課程，您應(yīng)該能夠：課程內(nèi)容

第一章Eudemon防火墻第二章Eudemon邊界會(huì)話控制器第一章Eudemon防火墻培訓(xùn)

1.防火墻技術(shù)簡(jiǎn)介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級(jí)指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護(hù)資料4防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點(diǎn)網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實(shí)現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護(hù)神）一夫當(dāng)關(guān)，萬夫莫開防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類(二）按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)

包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡(jiǎn)單，但是缺乏靈活性，對(duì)一些動(dòng)態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進(jìn)行策略檢查，策略過多會(huì)導(dǎo)致性能急劇下降。代理型防火墻（applicationgateway）

代理型防火墻使得防火墻做為一個(gè)訪問的中間節(jié)點(diǎn)，對(duì)Client來說防火墻是一個(gè)Server，對(duì)Server來說防火墻是一個(gè)Client。代理型防火墻安全性較高，但是開發(fā)代價(jià)很大。對(duì)每一種應(yīng)用開發(fā)一個(gè)對(duì)應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對(duì)某些應(yīng)用提供代理支持。狀態(tài)檢測(cè)防火墻

狀態(tài)檢測(cè)是一種高級(jí)通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。現(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測(cè)防火墻：高性能和高安全的完美結(jié)合。防火墻技術(shù)發(fā)展方向1、軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護(hù)，此時(shí)防火墻基本上就是一個(gè)應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。2、工控機(jī)類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護(hù)的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個(gè)硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國(guó)內(nèi)大多數(shù)防火墻是采用這種技術(shù)。3、電信級(jí)硬件防火墻。采用獨(dú)立設(shè)計(jì)的硬件結(jié)構(gòu)，在CPU、電源、風(fēng)扇、PCI總線設(shè)計(jì)、擴(kuò)展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品。4、基于NP電信級(jí)防火墻。由于純軟件設(shè)計(jì)的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達(dá)到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機(jī)類型防火墻=>電信級(jí)硬件防火墻=>基于NP電信級(jí)防火墻動(dòng)態(tài)創(chuàng)建和刪除過濾規(guī)則改進(jìn)的狀態(tài)防火墻：Eudemon系列防火墻即采用的這種技術(shù)，這是華為特有的ASPF技術(shù)（Applicationspecificpacketfilter），它結(jié)合了代理型防火墻安全性高、狀態(tài)防火墻速度快的優(yōu)點(diǎn)，因此安全性高，處理能力強(qiáng)。監(jiān)視通信過程中的報(bào)文基于改進(jìn)的狀態(tài)檢測(cè)安全技術(shù)（一）ASPF（ApplicationSpecificPacketFilter）增強(qiáng)VRP平臺(tái)上的防火墻功能，提供針對(duì)應(yīng)用層的報(bào)文過濾功能。ASPF是一種高級(jí)通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。ASPF不僅能夠根據(jù)連接的狀態(tài)對(duì)報(bào)文進(jìn)行過濾還能夠?qū)?yīng)用層報(bào)文的內(nèi)容加以檢測(cè)，以對(duì)一部分攻擊加以檢測(cè)和防范?；诟倪M(jìn)的狀態(tài)檢測(cè)安全技術(shù)（二）狀態(tài)態(tài)防防火火墻墻通通過過檢檢測(cè)測(cè)基基于于TCP/UDP連連接接的的連連接接狀狀態(tài)態(tài)，，來來動(dòng)動(dòng)態(tài)態(tài)基于于改改進(jìn)進(jìn)的的狀狀態(tài)態(tài)檢檢測(cè)測(cè)安安全全技技術(shù)術(shù)（（三三））FTP是是FileTransferProtocol（（文文件件傳傳輸輸協(xié)協(xié)議議））要要用用到到兩兩個(gè)個(gè)TCP連連接接，，一一個(gè)個(gè)是是控制制通通道道，用用來來在在FTP客客戶戶端端與與服服務(wù)務(wù)器器之之間間傳傳遞遞命命令令；；另另一一個(gè)個(gè)是是數(shù)據(jù)據(jù)通通道道，用用來來上上傳傳或或下下載載數(shù)數(shù)據(jù)據(jù)。。檢查查接接口口上上的的外外發(fā)發(fā)IP報(bào)報(bào)文文，，確確認(rèn)認(rèn)為為基基于于TCP的的FTP報(bào)報(bào)文文。。檢查查端端口口號(hào)號(hào)確確認(rèn)認(rèn)連連接接為為控控制制連連接接，，建建立立返返回回報(bào)報(bào)文文的的臨臨時(shí)時(shí)ACL和和狀狀態(tài)態(tài)表表。檢查查FTP控控制制連連接接報(bào)報(bào)文文，，解解析析FTP指指令令，，根根據(jù)據(jù)指指令令更更新新狀狀態(tài)態(tài)表表，，如果果包包含含數(shù)數(shù)據(jù)據(jù)通通道道建建立立指指令令，，則則創(chuàng)創(chuàng)建建另另外外的的數(shù)數(shù)據(jù)據(jù)連連接接的的臨臨時(shí)時(shí)ACL，，對(duì)對(duì)于于數(shù)數(shù)據(jù)據(jù)連連接接，，不不進(jìn)進(jìn)行行狀狀態(tài)態(tài)檢檢測(cè)測(cè)。。對(duì)返返回回報(bào)報(bào)文文作作根根據(jù)據(jù)協(xié)協(xié)議議類類型型做做相相應(yīng)應(yīng)匹匹配配檢檢查查，，檢檢查查將將根根據(jù)據(jù)相相應(yīng)應(yīng)協(xié)協(xié)議議的的狀狀態(tài)態(tài)表表和和臨臨時(shí)時(shí)ACL決決定定報(bào)報(bào)文文是是否否允允許許通通過過。。DoS攻擊擊的防范對(duì)所有處于于半開(TCPSYNorUDP)狀態(tài)態(tài)的連接進(jìn)進(jìn)行數(shù)目統(tǒng)統(tǒng)計(jì)和速度度采樣?；诟倪M(jìn)的的狀態(tài)檢測(cè)測(cè)安全技術(shù)術(shù)（四）主要防火墻墻性能衡量量指標(biāo)1、吞吐量其中吞吐量量業(yè)界一般般都是使用用1K～1.5K的的大包衡量量防火墻對(duì)對(duì)報(bào)文的處處理能力的的。因網(wǎng)絡(luò)絡(luò)流量大部部分是200字節(jié)報(bào)報(bào)文，因此此需要考察察防火墻小包轉(zhuǎn)發(fā)下下性能。因防火墻墻需要配置置ACL規(guī)規(guī)則，因此此需要考察察防火墻支持大量規(guī)規(guī)則下轉(zhuǎn)發(fā)發(fā)性能。2、每秒建立連連接速度指的是每秒秒鐘可以通通過防火墻墻建立起來來的完整TCP連接接。由于防防火墻的連連接是動(dòng)態(tài)態(tài)連接的，，是根據(jù)當(dāng)當(dāng)前通信雙雙方狀態(tài)而而動(dòng)態(tài)建立立的表項(xiàng)。。每個(gè)會(huì)話話在數(shù)據(jù)交交換之前，，在防火墻墻上都必須須建立連接接。如果防火墻墻建立連接接速率較慢慢，在客戶戶端反映是是每次通信信有較大延延遲。因此支持的的指標(biāo)越大大，轉(zhuǎn)發(fā)速速率越高。。在受到攻攻擊時(shí)，這這個(gè)指標(biāo)越越大，抗攻攻擊能力越越強(qiáng)。這個(gè)個(gè)指標(biāo)越大大，狀態(tài)備備份能力越越強(qiáng)。3、并發(fā)連接數(shù)數(shù)目由于防火墻墻是針對(duì)連連接進(jìn)行處處理報(bào)文的的，并發(fā)連連接數(shù)目是是指的防火火墻可以同同時(shí)容納的的最大的連連接數(shù)目，，一個(gè)連接接就是一個(gè)個(gè)TCP/UDP的的訪問。第一章防防火墻培訓(xùn)1.防火火墻技術(shù)簡(jiǎn)簡(jiǎn)介2.防火火墻體系結(jié)結(jié)構(gòu)3.防火火墻原理與與特性4.防火火墻升級(jí)指指導(dǎo)5.防火火墻故障處處理指導(dǎo)華為產(chǎn)品維維護(hù)資料14Eudemon200Eudemon100Eudemon系列列防火墻外外觀華為公司系系列電信級(jí)級(jí)硬件防火火墻產(chǎn)品，，涵蓋了從從低端數(shù)兆兆到高端千千兆級(jí)別，，卓越的性性能和先進(jìn)進(jìn)的安全體體系架構(gòu)為為用戶提供供了強(qiáng)大的的安全保障障。Eudemon500Eudemon1000Eudemon系列列防火墻性性能項(xiàng)目

技術(shù)參數(shù)與性能指標(biāo)Eudemon100Eudemon200Eudemon500Eudemon1000整機(jī)吞吐率100Mbps（實(shí)際略低）400Mbps1200M3Gbps并發(fā)連接數(shù)20萬50萬50萬80萬每秒新建連接數(shù)5000條/秒20000條/秒100000條/秒100000條/秒Eudemon系列列防火墻業(yè)業(yè)界領(lǐng)先每每秒新建連連接能力保保證了防火火墻性能充充分發(fā)揮。。Eudemon200：高高效可靠的的體系結(jié)構(gòu)構(gòu)——雙總總線雙通道設(shè)計(jì)總線沖突減少，總帶寬提升雙通道收發(fā)互不影響接口卡1接口卡2PCI-0PCI-1高速內(nèi)部交交換PCI0PCI1CPU精心設(shè)計(jì)的的體系架構(gòu)構(gòu)保證了防防火墻即使使是在64字節(jié)報(bào)文文下依舊保保持優(yōu)異轉(zhuǎn)轉(zhuǎn)發(fā)性能，，高速ACL技術(shù)保保證了配置置大量規(guī)則則下，性能能不受影響響。Eudemon500/1000：：基于NP邏輯結(jié)結(jié)構(gòu)Eudemon500/1000：：基于NP的集中式式多業(yè)務(wù)路路由器CPUNP高速交換轉(zhuǎn)轉(zhuǎn)發(fā)Logic高速接口智能接口高速接口高速接口2GPCI共享數(shù)數(shù)據(jù)總線2GD_bus交交換總線全模塊化、、基于NP硬件集中中式轉(zhuǎn)發(fā)、、電信級(jí)可可靠性；TCP、UDP首包包都是NP進(jìn)行處理理，保證了了每秒新建建連接>100,000條/秒，充分分保證網(wǎng)絡(luò)絡(luò)安全性。。NP轉(zhuǎn)發(fā)發(fā)方式保證證了Eudemon500和1000在64字節(jié)報(bào)文文下分別超超過1G和和2G；基于硬件ACL保證證了配置大大量規(guī)則情情況，性能能不受影響響。先進(jìn)的體系系架構(gòu)Eudemon防火火墻完全自自主開發(fā)。。軟件采用用專有操作作系統(tǒng)，安安全/高性性能并重。。Eudemon500/1000防防火墻采用用網(wǎng)絡(luò)處理理器技術(shù)，，高性能、、可擴(kuò)展性性兼顧。CPU功能能靈活，可可不斷升級(jí)級(jí)，弱點(diǎn)是是性能低。。ASIC性性能高，弱弱點(diǎn)是過于于固化，NPCPUASIC基于軟件的的CPU的的靈活性和和基于ASIC的高高速轉(zhuǎn)發(fā)的的結(jié)合———NP（網(wǎng)網(wǎng)絡(luò)處理器器）防火墻的基基本工作流流程傳統(tǒng)包過濾濾防火墻（（路由器））E200狀狀態(tài)防火墻墻與工控機(jī)類類型防火墻墻技術(shù)對(duì)比比大項(xiàng)子項(xiàng)工控機(jī)類型防火墻Eudemon系列防火墻可靠性CPU計(jì)算機(jī)通用CPU，功耗大，CPU需要借用風(fēng)扇散熱。通常為IntelPentium系列CPU通信用Powerpc系列，功耗低電源計(jì)算機(jī)電源，有些工程機(jī)無電源故障告警指示。通信專用電源，適用范圍廣，電源支持1+1備份，可熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。器件計(jì)算機(jī)通用器件，可靠性低高優(yōu)質(zhì)器件散熱系統(tǒng)計(jì)算機(jī)風(fēng)扇，一般內(nèi)置。有些工控機(jī)無故障告警指示，可能由于風(fēng)扇問題導(dǎo)致元器件損壞。智能散熱系統(tǒng)。分4組8個(gè)小風(fēng)扇，溫度智能檢測(cè)，溫度自動(dòng)調(diào)控，風(fēng)扇支持熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。結(jié)構(gòu)CPU+主板+網(wǎng)卡無源背板設(shè)計(jì)，主控板、散熱系統(tǒng)、網(wǎng)絡(luò)處理器模塊、接口模塊、電源模塊全模塊化設(shè)計(jì)，可獨(dú)立更換。接口卡支持熱插拔。性能小包（64字節(jié)）處理能力只有大包（1K字節(jié)）處理能力1/10~1/6Eudemon200小包超過120M，Eudemon500/1000分別超過1G/2G每秒新增連接百兆防火墻只有幾千，千兆防火墻<2萬Eudemon200>2萬Eudemon500/1000>10萬安規(guī)認(rèn)證如果只在國(guó)內(nèi)銷售，一般為省成本不做認(rèn)證CE、UL、FCC-PART15、TUV-GS、VCCI等硬件成本低高應(yīng)用場(chǎng)所可靠性、性能要求沒太高要求企業(yè)可靠性、性能要求高的大、中型企業(yè)及電信運(yùn)營(yíng)網(wǎng)絡(luò)千兆防火墻墻技術(shù)對(duì)比比大項(xiàng)子項(xiàng)基于ASIC方式千兆防火墻Eudemon500/1000防火墻結(jié)構(gòu)CPU+ASICCPU+NP性能小包處理能力千兆1G/2G每秒新增連接<2萬10萬業(yè)務(wù)支持能力TCP連接處理CPU參與全部NP處理帶寬管理不能對(duì)每個(gè)IP進(jìn)行連接數(shù)和流量限制，支持QoS能力弱支持對(duì)每個(gè)IP進(jìn)行連接數(shù)和流量限制，支持QoS防DOS攻擊弱（支持TCPProxy困難，難以防范SYNFLOOD）強(qiáng)（支持TCPProxy容易，難以防范SYNFLOOD）業(yè)務(wù)支持能力支持通常TCP/UDP/ICMP，復(fù)雜協(xié)議狀態(tài)檢測(cè)困難，支持NATALG少。除了支持通常TCP/UDP/ICMP狀態(tài)檢測(cè)以外，可以支持H.323、RTSP、MGCP、SIP等復(fù)雜協(xié)議狀態(tài)檢測(cè)和ALG，可支持多網(wǎng)合一。IPV6不能軟件升級(jí)支持能軟件升級(jí)支持第一章防防火墻培訓(xùn)訓(xùn)1.防火火墻技術(shù)簡(jiǎn)簡(jiǎn)介2.防火火墻體系結(jié)結(jié)構(gòu)3.防火火墻原理與與特性4.防火火墻升級(jí)指指導(dǎo)5.防火火墻故障處處理指導(dǎo)華為產(chǎn)品維維護(hù)資料24防火墻原理理與特性1.安全全區(qū)域2.工作作模式3.安全全防范4.VRRP&HRP華為產(chǎn)品維維護(hù)資料25防火墻的安安全區(qū)域（（一）防火墻的內(nèi)內(nèi)部劃分為為多個(gè)區(qū)域域，所有的的轉(zhuǎn)發(fā)接口口都唯一的的屬于某個(gè)個(gè)區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安安全區(qū)域（（二）路由器的安安全規(guī)則定定義在接口口上，而防火墻的安安全規(guī)則定定義在安全全區(qū)域之間間不允許來自自的數(shù)據(jù)報(bào)從從這個(gè)接口口出去Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4禁止所有從從DMZ區(qū)區(qū)域的數(shù)據(jù)據(jù)報(bào)轉(zhuǎn)發(fā)到UnTrust區(qū)域防火墻的安安全區(qū)域（（三）Eudemon防火火墻上保留留四個(gè)安全全區(qū)域：非受信區(qū)（Untrust）：低級(jí)級(jí)的安全區(qū)域域，其安全優(yōu)優(yōu)先級(jí)為5。。非軍事化區(qū)（（DMZ）：：中度級(jí)別的的安全區(qū)域，，其安全優(yōu)先先級(jí)為50。。受信區(qū)（Trust）：：較高級(jí)別的的安全區(qū)域，，其安全優(yōu)先先級(jí)為85。。本地區(qū)域（Local））：最高級(jí)別別的安全區(qū)域域，其安全優(yōu)優(yōu)先級(jí)為100。此外，如認(rèn)為為有必要，用用戶還可以自自行設(shè)置新的的安全區(qū)域并并定義其安全全優(yōu)先級(jí)別。。最多16個(gè)個(gè)安全區(qū)域。。防火墻的安全全區(qū)域（四））域間的數(shù)據(jù)流流分兩個(gè)方向向：入方向（inbound）：數(shù)據(jù)由由低級(jí)別的安安全區(qū)域向高高級(jí)別的安全全區(qū)域傳輸?shù)牡姆较?；出方向（outbound）：數(shù)據(jù)據(jù)由高級(jí)別的的安全區(qū)域向向低級(jí)別的安安全區(qū)域傳輸輸?shù)姆较?。Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4InOutInOutoutinInOut防火墻的安全全區(qū)域（五））本域內(nèi)不同接接口間不過濾濾直接轉(zhuǎn)發(fā)進(jìn)、出接口相相同的報(bào)文被被丟棄（EU200-VRP3.20-0314.01版版本后支持））接口沒有加入入域之前不能能轉(zhuǎn)發(fā)包文Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4InOutInOutInOutInOutLocal區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全全區(qū)域（六））防火墻原理與與特性1.安全區(qū)區(qū)域2.工作模模式3.安全防防范4.VRRP&HRP華為產(chǎn)品維護(hù)護(hù)資料32防火墻的三種種工作模式（（一）路由模式透明模式混合模式防火墻的三種種工作模式（（二）可以把路由模模式理解為象象路由器那樣樣工作。防火火墻每個(gè)接口口連接一個(gè)網(wǎng)網(wǎng)絡(luò)，防火墻墻的接口就是是所連接子網(wǎng)網(wǎng)的網(wǎng)關(guān)。報(bào)文在防火火墻內(nèi)首先通通過入接口信信息找到進(jìn)入入域信息，然然后通過查找找轉(zhuǎn)發(fā)表，根根據(jù)出接口找找到出口域，，再根據(jù)這兩兩個(gè)域確定域域間關(guān)系，然然后使用配置置在這個(gè)域間間關(guān)系上的安安全策略進(jìn)行行各種操作。。防火墻的三種種工作模式（（三）透明模式的防防火墻簡(jiǎn)單理理解可以被看看作一臺(tái)以太太網(wǎng)交換機(jī)。。防火墻的接接口不能配IP地址，整個(gè)設(shè)備出出于現(xiàn)有的子子網(wǎng)內(nèi)部，對(duì)對(duì)于網(wǎng)絡(luò)中的的其他設(shè)備，，防火墻是透透明的。報(bào)文文轉(zhuǎn)發(fā)的出接接口，是通過過查找橋接的的轉(zhuǎn)發(fā)表得到到的。在確定定域間之后，，安全模塊的的內(nèi)部仍然使使用報(bào)文的IP地址進(jìn)行行各種安全策策略的匹配。。Eudemon防火墻與與網(wǎng)橋存在不不同，Eudemon防火墻中中IP報(bào)文還還需要送到上上層進(jìn)行相關(guān)關(guān)過濾等處理理，通過檢查查會(huì)話表或ACL規(guī)則以以確定是否允允許該報(bào)文通通過。此外，還要要完成其它防防攻擊檢查。。透明模式的的防火墻支持持ACL規(guī)則則檢查、ASPF狀態(tài)過過濾、防攻擊擊檢查、流量量監(jiān)控等功能能。透明模式可以以配置系統(tǒng)IP。防火墻的三種種工作模式（（四）混合模式是指指防火墻一部部份接口工作作在透明模式式，另一部分分接口工作在在路由模式。。提出混合模模式的概念，，主要是為了了解決防火墻墻在純粹的透透明模式下無無法使用雙機(jī)機(jī)熱備份功能能的問題。雙雙機(jī)熱備份所所依賴的VRRP需要在在接口上配置置IP地址，，而透明模式式無法實(shí)現(xiàn)這這一點(diǎn)。防火墻原理與與特性1.安全區(qū)區(qū)域2.工作模模式3.安全防防范4.VRRP&HRP華為產(chǎn)品維護(hù)護(hù)資料37防火墻的安全全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)訪問控制列表表是什么？一個(gè)IP數(shù)據(jù)據(jù)包如下圖所所示（圖中IP所承載的的上層協(xié)議為為TCP）：：IP報(bào)頭TCP報(bào)頭數(shù)據(jù)協(xié)議號(hào)源地址目的地址源端口目的端口對(duì)于TCP來說，這5個(gè)元素組成了一個(gè)TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則如何標(biāo)識(shí)訪問問控制列表？？利用數(shù)字標(biāo)識(shí)識(shí)訪問控制列列表利用數(shù)字范圍圍標(biāo)識(shí)訪問控控制列表的種種類列表的種類數(shù)字標(biāo)識(shí)的范圍IPstandardlist1－99,2000-2999IPextendedlist100－199,3000-3999700～799范圍的ACL是基于于MAC地址址的訪問控制制列表備注：VRP3.20-0315.02（包括括）后版本支支持根據(jù)用戶戶定義ACL規(guī)則進(jìn)行信信息檢測(cè)，添添加檢測(cè)啟動(dòng)動(dòng)命令detectuser-defineacl-numberaging-time，添加打開用用戶定義ACL規(guī)則的檢檢測(cè)調(diào)試命令令debuggingfirewallaspfuser-defineACL加速應(yīng)為每次區(qū)域域間轉(zhuǎn)發(fā)數(shù)據(jù)據(jù)報(bào)時(shí)都要線線性檢查ACL中的所有有規(guī)則,當(dāng)ACL中的規(guī)規(guī)則較多時(shí),將極大的影影響轉(zhuǎn)發(fā)速度度。ACL加速查找找功能是一種種能大大提高高訪問控制列列表查找性能能的技術(shù)。ACL加速查查找不會(huì)因?yàn)闉樵L問控制列列表中規(guī)則條條目的增加而而降低規(guī)則的的匹配速度，，因此使能ACL加速查查找功能可以以在規(guī)則數(shù)目目很多的時(shí)候候顯著提高防防火墻的性能能。增加規(guī)則要重重新下發(fā)：系系統(tǒng)視圖下aclaccelerateenable基于MAC地地址的訪問控控制列表不支支持ACL加加速查找功能能Rule1Rule2Rule3ACL規(guī)則庫防火墻的安全全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)ASPFASPF（ApplicationSpecificPacketFilter）是是針對(duì)應(yīng)用層層的包過濾，，即基于狀態(tài)態(tài)的報(bào)文過濾濾。它和普通通的靜態(tài)防火火墻協(xié)同工作作，以便于實(shí)實(shí)施內(nèi)部網(wǎng)絡(luò)絡(luò)的安全策略略。ASPF能夠檢測(cè)試試圖通過防火火墻的應(yīng)用層層協(xié)議會(huì)話信信息，阻止不不符合規(guī)則的的數(shù)據(jù)報(bào)文穿穿過。為保護(hù)網(wǎng)絡(luò)安安全，基于ACL規(guī)則的的包過濾可以以在網(wǎng)絡(luò)層和和傳輸層檢測(cè)測(cè)數(shù)據(jù)包，防防止非法入侵侵。ASPF對(duì)應(yīng)應(yīng)用層的協(xié)議議信息進(jìn)行檢檢測(cè)，通過維維護(hù)會(huì)話的狀狀態(tài)和檢查會(huì)會(huì)話報(bào)文的協(xié)協(xié)議和端口號(hào)號(hào)等信息，阻阻止惡意的入入侵。黑名單（一））黑名單，指根根據(jù)報(bào)文的源源IP地址進(jìn)進(jìn)行過濾的一一種方式。同同基于ACL的包過濾功功能相比，由由于黑名單進(jìn)進(jìn)行匹配的域域非常簡(jiǎn)單，，可以以很高高的速度實(shí)現(xiàn)現(xiàn)報(bào)文的過濾濾，從而有效效地將特定IP地址發(fā)送送來的報(bào)文屏屏蔽。黑名單最主要要的一個(gè)特色色是可以由Eudemon防火墻動(dòng)動(dòng)態(tài)地進(jìn)行添添加或刪除，，當(dāng)防火墻中中根據(jù)報(bào)文的的行為特征察察覺到特定IP地址的攻攻擊企圖之后后，通過主動(dòng)動(dòng)修改黑名單單列表從而將將該IP地址址發(fā)送的報(bào)文文過濾掉。因因此，黑名單單是防火墻一一個(gè)重要的安安全特性。黑名名單單（（二二））黑名名單單的的創(chuàng)創(chuàng)建建[undo]firewallblacklistitemsour-addr[timeoutminutes]黑名名單單的的使使能能[undo]firewallblacklistenable黑名名單單的的報(bào)報(bào)文文過過濾濾類類型型和和范范圍圍的的設(shè)設(shè)置置firewallblacklistfilter-type{icmp|tcp|udp|others}[range{blacklist|global}]黑名名單單配配置置舉舉例例（（一一））服務(wù)務(wù)器器和和客客戶戶機(jī)機(jī)分分別別位位于于防防火火墻墻Trust區(qū)區(qū)域域和和Untrust區(qū)區(qū)域域中中，，現(xiàn)現(xiàn)要要在在100分分鐘鐘內(nèi)內(nèi)過過濾濾掉掉客客戶戶機(jī)機(jī)發(fā)發(fā)送送的的所所有有ICMP報(bào)報(bào)文文。。黑名名單單配配置置舉舉例例（（二二））[Eudemon]firewallblacklistitem0timeout100[Eudemon]firewallblacklistpacket-filtericmprangeglobal[Eudemon]firewallblacklistenable其它它MAC和和IP地地址址綁綁定定，，指指防防火火墻墻可可以以根根據(jù)據(jù)用用戶戶的的配配置置，，在在特特定定的的IP地地址址和和MAC地地址址之之間間形形成成關(guān)關(guān)聯(lián)聯(lián)關(guān)關(guān)系系。。對(duì)對(duì)于于聲聲稱稱從從這這個(gè)個(gè)IP發(fā)發(fā)送送的的的的報(bào)報(bào)文文，，如如果果其其MAC地地址址不不是是指指定定關(guān)關(guān)系系對(duì)對(duì)中中的的地地址址，，防防火火墻墻將將予予以以丟丟棄棄，，發(fā)發(fā)送送給給這這個(gè)個(gè)IP地地址址的的報(bào)報(bào)文文，，在在通通過過防防火火墻墻時(shí)時(shí)將將被被強(qiáng)強(qiáng)制制發(fā)發(fā)送送給給這這個(gè)個(gè)MAC地地址址。。從從而而形形成成有有效效的的保保護(hù)護(hù)，，是是避避免免IP地地址址假假冒冒攻攻擊擊的的一一種種方方式式。注意其要要點(diǎn)端口識(shí)別簡(jiǎn)簡(jiǎn)介應(yīng)用層層協(xié)議一般般使用通用用的端口號(hào)號(hào)（知名端端口號(hào)）進(jìn)進(jìn)行通信。。端口識(shí)別別允許用戶戶針對(duì)不同同的應(yīng)用在在系統(tǒng)定義義的端口號(hào)號(hào)之外定義義一組新的的端口號(hào)。。端口識(shí)別別提供了一一些機(jī)制來來維護(hù)和使使用用戶定定義的端口口配置信息息。端口識(shí)識(shí)別能夠?qū)?duì)不同的應(yīng)應(yīng)用協(xié)議創(chuàng)創(chuàng)建和維護(hù)護(hù)一張系統(tǒng)統(tǒng)定義（system-defined）和用用戶定義（（user-defined）的端口口識(shí)別表。。防火墻的安安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)動(dòng)防火墻數(shù)據(jù)據(jù)報(bào)安全匹匹配的順序序NAT服務(wù)務(wù)器域間的ACL規(guī)則域間的ASPF域間的NAT域間的缺省省規(guī)則數(shù)據(jù)報(bào)防火墻的安安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)動(dòng)攻擊類型簡(jiǎn)簡(jiǎn)介（一））單報(bào)文攻擊擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment攻擊類型簡(jiǎn)簡(jiǎn)介（二））分片報(bào)文攻攻擊TearDropPingofdeath拒絕服務(wù)類類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan單包攻擊原原理及防范范（一）Fraggle特征：UDP報(bào)文，，目的端口口7（echo）或或19（CharacterGenerator）目的：echo服務(wù)務(wù)會(huì)將發(fā)送送給這個(gè)端端口的報(bào)文文再次發(fā)送送回去CharacterGenerator服務(wù)務(wù)會(huì)回復(fù)無無效的字符符串攻擊者偽冒冒受害者地地址，向目目的地址為為廣播地址址的上述端端口，發(fā)送送請(qǐng)求，會(huì)會(huì)導(dǎo)致受害害者被回應(yīng)應(yīng)報(bào)文泛濫濫攻擊如果將二者者互指，源源、目的都都是廣播地地址，會(huì)造造成網(wǎng)絡(luò)帶帶寬被占滿滿配置：firewalldefendfraggleenable原理：過濾濾UDP類類型的目的的端口號(hào)為為7或19的報(bào)文單包攻擊原原理及防范范（二）IPSpoof特征：地址址偽冒目的：偽造造IP地址址發(fā)送報(bào)文文配置：firewalldefendip-spoofingenable原理：對(duì)源源地址進(jìn)行行路由表查查找，如果果發(fā)現(xiàn)報(bào)文文進(jìn)入接口口不是本機(jī)機(jī)所認(rèn)為的的這個(gè)IP地址的出出接口，丟丟棄報(bào)文單包攻擊原原理及防范范（三）Land特征：源目目的地址都都是受害者者的IP地地址，或者者源地址為為127這這個(gè)網(wǎng)段的的地址目的：導(dǎo)致致被攻擊設(shè)設(shè)備向自己己發(fā)送響應(yīng)應(yīng)報(bào)文，通通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：：對(duì)符合上上述特征的的報(bào)文丟棄棄單包攻擊原原理及防范范（四）Smurf特征：偽冒冒受害者IP地址向向廣播地址址發(fā)送pingecho目的：使受受害者被網(wǎng)網(wǎng)絡(luò)上主機(jī)機(jī)回復(fù)的響響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄棄目的地址址為廣播地地址的報(bào)文文單包攻擊原原理及防范范（五）TCPflag特征：報(bào)文文的所有可可設(shè)置的標(biāo)標(biāo)志都被標(biāo)標(biāo)記，明顯顯有沖突。。比如同時(shí)時(shí)設(shè)置SYN、FIN、RST等位目的：使被被攻擊主機(jī)機(jī)因處理錯(cuò)錯(cuò)誤死機(jī)配置：firewalldefendtcp-flagenable原理：丟棄棄符合特征征的報(bào)文單包攻擊原原理及防范范（六）Winnuke特征：設(shè)置置了分片標(biāo)標(biāo)志的IGMP報(bào)文文，或針對(duì)對(duì)139端端口的設(shè)置置了URG標(biāo)志的報(bào)報(bào)文目的：使被被攻擊設(shè)備備因處理不不當(dāng)而死機(jī)機(jī)配置：firewalldefendwinnukeenable原理：丟棄棄符合上述述特征報(bào)文文單包攻擊原原理及防范范（七）Ip-frag特征：同時(shí)時(shí)設(shè)置了DF和MF標(biāo)志，或或偏移量加加報(bào)文長(zhǎng)度度超過65535目的：使被被攻擊設(shè)備備因處理不不當(dāng)而死機(jī)機(jī)配置：firewalldefendip-fragmentenable原理：丟棄棄符合上述述特征報(bào)文文分片報(bào)文攻攻擊原理及及防范（一一）Teardrop特征：分片片報(bào)文后片片和前片發(fā)發(fā)生重疊目的：使被被攻擊設(shè)備備因處理不不當(dāng)而死機(jī)機(jī)或使報(bào)文文通過重組組繞過防火火墻訪問內(nèi)內(nèi)部端口配置：firewalldefendteardropenable原理：防火火墻為分片片報(bào)文建立立數(shù)據(jù)結(jié)構(gòu)構(gòu)，記錄通通過防火墻墻的分片報(bào)報(bào)文的偏移移量，一點(diǎn)點(diǎn)發(fā)生重疊疊，丟棄報(bào)報(bào)文分片報(bào)文攻攻擊原理及及防范（二二）Pingofdeath特征：ping報(bào)文文全長(zhǎng)超過過65535目的：使被被攻擊設(shè)備備因處理不不當(dāng)而死機(jī)機(jī)配置：firewalldefendping-of-deathenable原理：檢查查報(bào)文長(zhǎng)度度如果最后后分片的偏偏移量和本本身長(zhǎng)度相相加超過65535，丟棄該該分片拒絕服務(wù)攻擊擊原理及防范范（一）SYNFlood特征：向受害害主機(jī)發(fā)送大大量TCP連連接請(qǐng)求報(bào)文文目的：使被攻攻擊設(shè)備消耗耗掉所有處理理能力，無法法響應(yīng)正常用用戶的請(qǐng)求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻墻基于目的地地址統(tǒng)計(jì)對(duì)每每個(gè)IP地址址收到的連接接請(qǐng)求進(jìn)行代代理，代替受受保護(hù)的主機(jī)機(jī)回復(fù)請(qǐng)求，，如果收到請(qǐng)請(qǐng)求者的ACK報(bào)文，認(rèn)認(rèn)為這是有效效連接，在二二者之間進(jìn)行行中轉(zhuǎn)，否則則刪掉該會(huì)話話拒絕服務(wù)攻擊擊原理及防范范（二）UDP/ICMPFlood特征：向受害害主機(jī)發(fā)送大大量UDP/ICMP報(bào)報(bào)文目的：使被攻攻擊設(shè)備消耗耗掉所有處理理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻墻基于目的地地址統(tǒng)計(jì)對(duì)每每個(gè)IP地址址收到的報(bào)文文速率，超過過設(shè)定的閾值值上限，進(jìn)行行car掃描攻擊原理理和防范（一一）IPsweep特征：地址掃掃描，向一個(gè)個(gè)網(wǎng)段內(nèi)的IP地址發(fā)送送報(bào)文nmap目的：用以判判斷是否存在在活動(dòng)的主機(jī)機(jī)以及主機(jī)類類型等信息，，為后續(xù)攻擊擊作準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻墻根據(jù)報(bào)文源源地址進(jìn)行統(tǒng)統(tǒng)計(jì)，檢查某某個(gè)IP地址址向外連接速速率，如果這這個(gè)速率超過過了閾值上限限，則可以將將這個(gè)IP地地址添加到黑黑名單中進(jìn)行行隔離注意：如果要要啟用黑名單單隔離功能，，需要先啟動(dòng)動(dòng)黑名單掃描攻擊原理理和防范（二二）Portscan特征：相同一一個(gè)IP地址址的不同端口口發(fā)起連接目的：確定被被掃描主機(jī)開開放的服務(wù)，，為后續(xù)攻擊擊做準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻墻根據(jù)報(bào)文源源地址進(jìn)行統(tǒng)統(tǒng)計(jì)，檢查某某個(gè)IP地址址向同一個(gè)IP地址發(fā)起起連接的速率率，如果這個(gè)個(gè)速率超過了了閾值上限，，則可以將這這個(gè)IP地址址添加到黑名名單中進(jìn)行隔隔離注意：如果要要啟用黑名單單隔離功能，，需要先啟動(dòng)動(dòng)黑名單防火墻防范的的其他報(bào)文IcmpredirectIcmpunreachableLargeicmpRouterecordTimestamptracert防火墻的安全全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)IDS聯(lián)動(dòng)由于防火墻自自身具有一定定的局限性，，如檢查的顆顆粒度較粗，，難以對(duì)眾多多的協(xié)議細(xì)節(jié)節(jié)進(jìn)行深入的的分析與檢查查，并且防火火墻具有防外外不防內(nèi)的特特點(diǎn)，難以對(duì)對(duì)內(nèi)部用戶的的非法行為和和已經(jīng)滲透的的攻擊進(jìn)行有有效的檢查和和防范。因此此，Eudemon防火火墻開放了相相關(guān)接口，通通過與其它安安全軟件進(jìn)行行聯(lián)動(dòng)，從而而構(gòu)建統(tǒng)一的的安全網(wǎng)絡(luò)。。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，，攻擊檢測(cè)系系統(tǒng)）系統(tǒng)就就像在網(wǎng)絡(luò)上上裝備了網(wǎng)絡(luò)絡(luò)分析器，對(duì)對(duì)網(wǎng)絡(luò)傳輸進(jìn)進(jìn)行監(jiān)視。該該系統(tǒng)熟悉最最新的攻擊手手段，而且盡盡力在檢查通通過的每個(gè)報(bào)報(bào)文，從而盡盡早處理可疑疑的網(wǎng)絡(luò)傳輸輸。具體采取取的措施由用用戶使用的特特定IDS系系統(tǒng)和配置情情況決定。IDS聯(lián)動(dòng)1234IDS服務(wù)務(wù)器提供基于應(yīng)用用層的過濾IDS聯(lián)動(dòng)配配置舉例防火墻原理與與特性1.安全區(qū)區(qū)域2.工作模模式3.安全防防范4.VRRP&HRP華為產(chǎn)品維護(hù)護(hù)資料72VRRP和VGMP（一一）傳統(tǒng)VRRP備份組在防火墻上應(yīng)應(yīng)用的問題（（多個(gè)組主備備不一致）VrrpGroupManagementProtocol狀態(tài)一致性（（組內(nèi)vrrp同步變換換狀態(tài)）搶占管理（屏屏蔽vrrp搶占）通道管理（data，trans-only））兩個(gè)防火墻上上各接口之間間的隸屬關(guān)系系兩個(gè)防火墻上上的接口和安安全區(qū)域的連連接必須嚴(yán)格格一一對(duì)應(yīng)，，包括接口插插槽、類型、、編號(hào)、相關(guān)關(guān)配置等（IP地址除外外）。兩個(gè)防火墻上上各VRRP備份組之間間的隸屬關(guān)系系兩個(gè)防火墻上上的備份組編編號(hào)、構(gòu)成必必須完全一樣樣。這就是說說EudemonA上的的A1接口隸隸屬備份組1，A2接口口隸屬備份組組2，A3接接口隸屬備份份組3；則EudemonB上的B1、B2和和B3接口也也必須分別隸隸屬備份組1、2和3。。兩個(gè)防防火墻墻上各各VRRP管理理組之之間的的隸屬屬關(guān)系系兩個(gè)防防火墻墻上的的管理理組編編號(hào)、、構(gòu)成成必須須完全全一樣樣。這這就是是說EudemonA上上的管管理組組包括括備份份組1、2和3，則則EudemonB上的的同樣樣編號(hào)號(hào)的管管理組組也必必須包包含備備份組組1、、2和和3。。同一防防火墻墻上接接口、、備份份組、、管理理組之之間的的隸屬屬關(guān)系系同一防防火墻墻（例例如EudemonA））上，，一個(gè)物物理接接口可可以隸隸屬多多個(gè)VRRP備備份組組。一一個(gè)備備份組組中能能包含含多個(gè)個(gè)物理理接口口，對(duì)對(duì)應(yīng)多多個(gè)虛虛擬IP地地址。同一一VRRP管理理組可可以包包含多多個(gè)備備份組組，但但是相相同備備份組組不能能隸屬屬多個(gè)個(gè)VRRP管理理組。。VRRP備備份組組提供供的備備份功功能是是相對(duì)對(duì)于安安全區(qū)區(qū)域而而言的的，即即每個(gè)個(gè)安全全區(qū)域域?qū)?yīng)應(yīng)一個(gè)個(gè)備份份組；；而VRRP管管理組組實(shí)現(xiàn)現(xiàn)了各各VRRP狀態(tài)態(tài)的一一致性性，是是相對(duì)對(duì)于Eudemon防火火墻而而言的的，在在每個(gè)個(gè)防火火墻上上都定定義至至少一一個(gè)VRRP管管理組組，負(fù)負(fù)責(zé)管管理該該Eudemon防防火墻墻與各各安全全區(qū)域域相關(guān)關(guān)的備備份組組VRRP和和VGMP（二二）VRRP的的配置置任務(wù)務(wù)(無◆◆符號(hào)號(hào)，表表示該該配置置僅適適用于于未加加入管管理組組的備備份組組)配置備備份組組的虛虛擬IP地地址◆配置備備份組組的優(yōu)優(yōu)先級(jí)級(jí)◆配置備備份組組的搶搶占方方式和和延遲遲時(shí)間間配置備備份組組的認(rèn)認(rèn)證方方式和和認(rèn)證證字◆配置備備份組組的定定時(shí)器器◆配置監(jiān)監(jiān)視指指定接接口VRRP管管理組組的配配置包包括：：創(chuàng)建VRRP管管理組組使能VRRP管管理組組功能能配置向向VRRP管理理組添添加備備份組組配置VRRP管管理組組優(yōu)先先級(jí)配置VRRP管管理組組搶占占功能能配置VRRP管管理組組Hello報(bào)報(bào)文的的發(fā)送送間隔隔配置VRRP管管理組組的報(bào)報(bào)文群群發(fā)標(biāo)標(biāo)志VRRP和和VGMP（三三）VGMPHRP（HuaweiRedundancyProtocol））。HRP協(xié)議議是承承載在在VGMP報(bào)文文上進(jìn)進(jìn)行傳傳輸?shù)牡模谠贛aster和Backup防防火墻墻設(shè)備備之間間備份份關(guān)鍵鍵配置置命令令和會(huì)會(huì)話表表狀態(tài)態(tài)信息息配置主主備當(dāng)采用用負(fù)載載分擔(dān)擔(dān)方式式時(shí)，，網(wǎng)絡(luò)絡(luò)中存存在兩兩臺(tái)Master防防火墻墻。為為了避避免備備份時(shí)時(shí)混亂亂，Eudemon防火火墻中中引入入了配配置主主設(shè)備備、配配置從從設(shè)備備概念念。配置置主主設(shè)設(shè)備備：：發(fā)發(fā)送送配配置置備備份份內(nèi)內(nèi)容容的的防防火火墻墻配置置從從設(shè)設(shè)備備：：接接收收配配置置備備份份內(nèi)內(nèi)容容的的防防火火墻墻只有有VRRP管管理理組組中中狀狀態(tài)態(tài)為為Master的的防防火火墻墻才才有有機(jī)機(jī)會(huì)會(huì)成成為為配配置置主主設(shè)設(shè)備備。。在負(fù)負(fù)載載分分擔(dān)擔(dān)方方式式下下，，參參與與雙雙機(jī)機(jī)熱熱備備份份的的兩兩臺(tái)臺(tái)Eudemon防防火火墻墻都都是是Master，，此此時(shí)時(shí)則則按按照照VRRP組組優(yōu)優(yōu)先先級(jí)級(jí)、、接接口口真真實(shí)實(shí)IP地地址址從從大大到到小小的的順順序序選選擇擇配配置置主主設(shè)設(shè)備備。。HRPHRP/VGMP/VRRP關(guān)關(guān)系系當(dāng)VRRP管管理理組組狀狀態(tài)態(tài)變變化化時(shí)時(shí)，，系系統(tǒng)統(tǒng)將將通通知知HRP狀狀態(tài)態(tài)和和配配置置主主/從從設(shè)設(shè)備備的的狀狀態(tài)態(tài)發(fā)發(fā)生生相相應(yīng)應(yīng)的的變變化化，，從從而而確確保保兩兩臺(tái)臺(tái)防防火火墻墻之之間間配配置置命命令令和和會(huì)會(huì)話話狀狀態(tài)態(tài)信信息息得得到到及及時(shí)時(shí)備備份份。。同時(shí)時(shí)，，VRRP管管理理組組狀狀態(tài)態(tài)也也要要受受HRP狀狀態(tài)態(tài)影影響響，，即即VRRP會(huì)會(huì)根根據(jù)據(jù)HRP狀狀態(tài)態(tài)切切換換的的結(jié)結(jié)果果來來調(diào)調(diào)整整優(yōu)優(yōu)先先級(jí)級(jí)，，并并進(jìn)進(jìn)行行VRRP狀狀態(tài)態(tài)切切換換。。第一一章章Eudemon防防火火墻墻培培訓(xùn)訓(xùn)1.防防火墻技技術(shù)簡(jiǎn)介介2.防防火墻體體系結(jié)構(gòu)構(gòu)3.防防火墻原原理與特特性4.防防火墻升升級(jí)指導(dǎo)導(dǎo)5.防防火墻故故障處理理指導(dǎo)華為產(chǎn)品品維護(hù)資資料79升級(jí)方法法E200升級(jí)方方法比較簡(jiǎn)單單，大包包中包含含大Bootrom，，直接升升級(jí)大包包即解決決問題老命令行行E100升級(jí)級(jí)方法應(yīng)對(duì)E100問問題，出出新命令令行升級(jí)級(jí)版本0315首先要升升級(jí)小Bootrom然后升級(jí)級(jí)為防火火墻Bootrom最后下載載防火墻墻新軟件件可以支持持軟件升升級(jí)，不不用更換換硬件命令行變變化，訪訪問列表表變化第一章Eudemon防火墻墻培訓(xùn)1.防防火墻技技術(shù)簡(jiǎn)介介2.防防火墻體體系結(jié)構(gòu)構(gòu)3.防防火墻原原理與特特性4.防防火墻升升級(jí)指導(dǎo)導(dǎo)5.防防火墻故故障處理理指導(dǎo)華為產(chǎn)品品維護(hù)資資料81使用注意意事項(xiàng)（（一）推薦配置置管理網(wǎng)口口性能高高，推薦薦作為主主要業(yè)務(wù)務(wù)口打開快轉(zhuǎn)轉(zhuǎn)（D013之之前，之之后缺省省打開））接口模式式設(shè)置為為百兆、、全雙工工，不要要協(xié)商ACL條條目較多多，使用用ACL加速算算法不使能ftp服服務(wù)器（（黑名單單現(xiàn)在無無法防范范）盡可能使使用路由由模式TCP相相關(guān)會(huì)話話老化時(shí)時(shí)間設(shè)置置長(zhǎng)一些些默認(rèn)40：firesessaging-time可以使能能黑名單單，防止止非法登登錄防火火墻使用注意意事項(xiàng)（（二）功能限制制目前版本本盡量避避免使用用動(dòng)態(tài)路路由，D10SP1目前不支支持同一一個(gè)報(bào)文文在同一一個(gè)接口口上下，，組網(wǎng)需需要避免免隧道L2tp、、GRE等，最最低版本本D10SP1避免開放放流日志志（日志志服務(wù)器器未發(fā)布布、D013））系統(tǒng)統(tǒng)計(jì)計(jì)不要關(guān)關(guān)閉攻防模塊塊日志較較多，沒沒有必要要不要打打開，防防止log沒有有有效信信息故障收集集信息（（一）displaydiagnostic-informationdisplayarpdisplayfirewallsessiontabledisplayfib/displayiprouting-table1、debugippacket2、dispacl3、displayfirewallsessiontablev4、disparp5、displayfib/displayiprouting-table6、debuggingnat{alg|event|packet}7、displaydiagnostic-information故障收集集信息（（二）Q：報(bào)文文不轉(zhuǎn)發(fā)發(fā)。1、接口口是否加加入?yún)^(qū)域域2、防火火墻是否否進(jìn)行了了限制3、是否否同一個(gè)個(gè)接口進(jìn)進(jìn)行數(shù)據(jù)據(jù)轉(zhuǎn)發(fā)（（注意其其版本））常見問題題（一））Q：Eudemon200告告警燈亮亮的問題題。告警燈對(duì)對(duì)那些進(jìn)進(jìn)行告警警：rpu的的alarm燈燈對(duì)溫度度、風(fēng)扇扇、電源源異常進(jìn)進(jìn)行告警警。如果fan、pwr1、pwr2的的告警燈燈亮了，，rpu的告警警燈也會(huì)會(huì)亮就是說電電源模塊塊自己的的告警可可以反映映到主控控板pwr告警警燈上，，主控板pwr告告警可以以反映到到rpu告警燈燈上。風(fēng)扇、電電源的狀狀態(tài)可以以通過displaydevice命令令查看。。常見情況況：Eudmeon200有兩路路電源，，如果一一開始就就只有一一路電源源折不會(huì)會(huì)產(chǎn)生告告警如果一開開始有兩兩路電源源，但是是后來拔拔掉一路路電源，，則告警警燈會(huì)亮亮如果有兩路路電源，但但是有一路路沒有開，，告警燈會(huì)會(huì)亮告警產(chǎn)生后后的查看命命令：<bxtt_E200>dispdevice看看單單板狀態(tài)<bxtt_E200>dispenvironment看看環(huán)境境信息<bxtt_E200>dispalarmu看看告警信息息<bxtt_E200>displog看看日志信信息例子：本溪溪鐵通接了了地線導(dǎo)致致電源告警警，網(wǎng)上問問題常見問題（（二）確認(rèn)問題后后對(duì)出現(xiàn)異異常的上報(bào)報(bào)信息，可可以做以下下兩個(gè)操作作：1）在診斷斷模式下執(zhí)執(zhí)行以下操操作：[Quidway-diagnose]tinitnvInitializetheNVRAMsucceeded!清除NVRAM中以以往錯(cuò)誤記記錄，以免免誤導(dǎo)；0－－－－－這個(gè)清除除將清除dispalarm中的的所有記錄錄都清除2）使用以以下命令關(guān)關(guān)閉告警燈燈<Quidway>quenchalarmlightrpu－－－－－Eudemon2000313（包包括）之后后才可以使使用備注：如何何進(jìn)入診斷斷模式：sys模式式下輸入下下劃線“_”回車即即可。常見問題（（二）續(xù)Q：關(guān)于主板板接口的使使用問題。。Eudemon200主控板接口口轉(zhuǎn)發(fā)性能能高，建議議使用Eudemon1000主控板接口口轉(zhuǎn)發(fā)性能能低，不建建議使用常見問題（（三）Q：EU100-VRP3.30-0316.01(07)與軟軟交換配合合無法正常常實(shí)現(xiàn)NATH.323ALG功功能的問題題EU100-VRP3.30-0316.01(07)與軟交換換配合實(shí)現(xiàn)現(xiàn)H.323ALG功能，，下接麗臺(tái)臺(tái)可視電話話通信時(shí)，，出現(xiàn)話路路雙不通情情況。Eudemon100去掉NAT功能，，做路由器器時(shí)使用可可視電話正正常。常見問題（（四）Q：Eudemon0324/0322版本L2tp問題Eudemon200作為L(zhǎng)NS服務(wù)務(wù)器，在配配置了多個(gè)個(gè)L2tpGroup的情情況下目前前不支持精精確匹配功功能，即如如果l2tpGroup1沒有配配置remote信信息，則所所有的登陸陸請(qǐng)求將都都匹配l2tpGroup1，而而不是根據(jù)據(jù)remote名和和域名進(jìn)行行精確匹配配。正確的的匹配算法法是應(yīng)該先先匹配remote名和域名名都相同的的l2tpGroup組，，如果不存存在則匹配配remote名相相同的l2tpGroup組，如果果還不存在在則看l2tpGroup1是否否配置了remote名，如如果沒有配配置則匹配配l2tpGroup1如果配置置了則返回回匹配失敗敗，用戶將將不能登錄錄。常見問題（（五）Q：使用console登錄錄eudemon出出現(xiàn)與遠(yuǎn)程程連接斷開開但是console無法操操作的情況況，處理方方法：0313（（包括）之之前版本，，使用console登錄eudemon后telent遠(yuǎn)程主主機(jī)。有可可能出現(xiàn)與與遠(yuǎn)程連接接斷開但是是console無無法操作的的情況，處處理方法：：1、等待超超時(shí)2、ctrl+k常見問題（（六）Q：NAT轉(zhuǎn)換常見問問題Eudmeon200做NATserver時(shí)時(shí)候是使用用訪問列表表方式運(yùn)行行外網(wǎng)（untrust區(qū)域域）訪問內(nèi)內(nèi)網(wǎng)的server（trust區(qū)域域），這個(gè)個(gè)時(shí)候訪問問列表使用用的地址是是NATSERVER公網(wǎng)地地址還是私私網(wǎng)地址呢呢？私網(wǎng)地址。。常見問題（（七）Q：E1000不支持l2tp計(jì)劃4月支支持常見問題（（八）Q：Eudemon200FTP注意意事項(xiàng)使用工具Filezille傳輸程序序不成功，，使用命令令行可以成成功。FTPserverenable#local-userhuaweipasswordsimplehuaweilocal-userhuaweiservice-typeftplocal-userhuaweilevel3－－－這這點(diǎn)和路由由器不同，，如果不設(shè)設(shè)置級(jí)別3是無法正常上上傳下載數(shù)數(shù)據(jù)local-userhuaweiftp-directoryflash:例如在trustftp登登錄到Eudmeon，必須須設(shè)置允許許用戶訪問問local區(qū)域，，方法：1、firewallinterzonelocaltrust――――配置命令允允許用戶雙雙向訪問2、或者允允許單向訪訪問配置detectftp命命令，允許許反相數(shù)據(jù)據(jù)通過3、最簡(jiǎn)單單就是使用用firepacketdefaultpermitall，使使用該命令令后注意根根據(jù)客戶需需求進(jìn)行相相應(yīng)的訪問問控制常見問題（（九）第二章Eudemon邊界界會(huì)話控制制器1.NGN承載網(wǎng)網(wǎng)改造需求求分析2.ALG/PROXY工作原理理介紹3.Eudemon2000系列列規(guī)格介紹紹4.Eudemon2000系列列典型配置置案例華為產(chǎn)品維維護(hù)資料96NGN網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)3G業(yè)務(wù)管理網(wǎng)絡(luò)控制核心交換邊緣接入固定SoftX30003GAccessAMG5000IAD系列列BroadbandAccessPSTNTMG8010SG7000PLMNUniphoneSIP/H.323PhoneSoftX3000分組核心網(wǎng)網(wǎng)U-NICAAppServerPolicyServeriOSSVideoGWU-PathPOTSUMG89003G終端UMG8900MRS60002G終端IN需求根源企業(yè)網(wǎng)駐地網(wǎng)私網(wǎng)軟交換公網(wǎng)軟交換公網(wǎng)？？VPN專網(wǎng)網(wǎng)公網(wǎng)軟交換NGN專網(wǎng)網(wǎng)問題1用戶接入方方式日趨多多樣化、復(fù)復(fù)雜化，軟軟交換位于于公網(wǎng)，如如何發(fā)展企企業(yè)/駐地地等私網(wǎng)用用戶？問題2運(yùn)營(yíng)商自建建IP城域域網(wǎng)，規(guī)模模放號(hào)如何何解決IP地址緊缺缺問題？問題3NGN采用用專網(wǎng)搭建建，軟交換換設(shè)置私有有地址域，，終端如何何注冊(cè)到軟軟交換？從需求根源源中我們會(huì)會(huì)遇到的各各種問題私網(wǎng)穿越問問題私網(wǎng)終端管管理問題IP超市/集團(tuán)用戶戶業(yè)務(wù)開展展問題QOS問題題帶寬、業(yè)務(wù)務(wù)盜用問題題軟交換安全全問題1、私網(wǎng)穿穿越問題SoftxNATFirewallNGN終端端NGN專網(wǎng)網(wǎng)企業(yè)網(wǎng)企業(yè)網(wǎng)NGN終端端終端側(cè)采用用私網(wǎng)地址址SoftSwitch側(cè)采用用私網(wǎng)地址址需要解決私私網(wǎng)地址環(huán)環(huán)境下基本視頻、、語音功能能：不同企業(yè)地地址域重復(fù)復(fù)NGN專網(wǎng)網(wǎng)地址域與與企業(yè)地址址域重復(fù)IAD終端端如何注冊(cè)冊(cè)到SoftSwitchIAD終端端主動(dòng)呼叫叫外網(wǎng)用戶戶在NAT后后的IAD終端接受受來自外網(wǎng)網(wǎng)的呼叫2、私網(wǎng)終終端管理問問題SoftxNATFirewallNGN終端端NGN專網(wǎng)網(wǎng)企業(yè)網(wǎng)企業(yè)網(wǎng)NGN終端端需要解決私私網(wǎng)地址環(huán)環(huán)境下對(duì)終端的可可管理性：解決IAD終端與IADMS之間的注注冊(cè)問題需要支持IADMS對(duì)IAD終端的狀狀態(tài)查詢需要支持IADMS對(duì)IAD終端進(jìn)行行配置需要支持統(tǒng)統(tǒng)一升級(jí)IAD終端端軟件終端側(cè)采用用私網(wǎng)地址址IADMS采用私網(wǎng)網(wǎng)地址IADMS3、IP超超市/集團(tuán)團(tuán)用戶業(yè)務(wù)務(wù)開展問題題SoftxNATFirewallNGN終端端NGN專網(wǎng)網(wǎng)話吧企業(yè)網(wǎng)NGN終端端需要解決私私網(wǎng)地址環(huán)環(huán)境下IP超市等業(yè)務(wù)的可運(yùn)運(yùn)營(yíng)性：通過話務(wù)臺(tái)臺(tái)進(jìn)行話單單管理，計(jì)計(jì)費(fèi)結(jié)算等等功能話務(wù)臺(tái)的呼呼叫控制、、總機(jī)服務(wù)務(wù)功能，如如電話轉(zhuǎn)接接、免打擾擾等功能U-Path話務(wù)臺(tái)臺(tái)對(duì)IPCentrex用用戶進(jìn)行集集中管理UPath采用私網(wǎng)網(wǎng)地址SoftX采用私網(wǎng)網(wǎng)地址IP話務(wù)臺(tái)4、QOS問題匯接POP用戶駐地網(wǎng)網(wǎng)IAD骨干POP語音視訊數(shù)據(jù)流PEPEMPLSVPN語音VPN視頻VPN數(shù)據(jù)VPN目前網(wǎng)絡(luò)缺缺乏對(duì)語音音、視頻、、數(shù)據(jù)等業(yè)業(yè)務(wù)進(jìn)行劃劃分的能力力承載網(wǎng)的QOS問題題：5、帶寬、、業(yè)務(wù)盜用用問題業(yè)務(wù)盜用：NGN終端端用戶之間間可直接互互通。終端端用戶間可可能不經(jīng)過過SoftSwitch直接進(jìn)行互互通：比如如先通過SoftSwitch得到對(duì)對(duì)方號(hào)碼對(duì)對(duì)應(yīng)的IP地址，然后直直接呼叫該該地址。帶寬盜用：用戶建立連連接協(xié)商的的帶寬是64K，但但實(shí)際可能能使用超過過這個(gè)帶寬寬。城域網(wǎng)Internet用用戶Internet用用戶IADIADSoftx帶寬盜用用：沒有有帶寬限限制，可可以多使使用點(diǎn)帶帶寬。業(yè)務(wù)盜用用：NGN終端端始終是是連通的的，沒有有呼叫，，也能夠夠通信。。6.1、、軟交換換安全問問題SoftSwitch直接對(duì)終終端可見見，終端端可以直直接訪問問到SoftSwitch。。需要解決決對(duì)SoftSwitch的流流量攻擊擊問題。大量語音音業(yè)務(wù)無無關(guān)報(bào)文文：在接接入PCPhone用戶的的時(shí)候，，PC可可能發(fā)出出大量語語音無關(guān)關(guān)報(bào)文，，如ICMP相相關(guān)報(bào)文文，NetBiosoverTCP/IP的的相關(guān)報(bào)報(bào)文；影影響SoftSwitch對(duì)對(duì)正常報(bào)報(bào)文的處處理。大量語音音相關(guān)報(bào)報(bào)文：在在無意中中將測(cè)試試設(shè)備接接入NGN網(wǎng)絡(luò)絡(luò)，導(dǎo)致致SoftSwitch根本本無法處處理正常常報(bào)文，，引起全全網(wǎng)癱瘓瘓；或者者是接入入了發(fā)大大量信令令報(bào)文的的黑客程程序，也也將導(dǎo)致致全網(wǎng)癱癱瘓；NGN核核心網(wǎng)PCPhonePCPhone特殊設(shè)備備IADSoftx通過設(shè)備備過濾規(guī)規(guī)則，防防火墻設(shè)設(shè)備可以以阻斷語語音無關(guān)關(guān)的報(bào)文文，但無無法阻斷斷語音相相關(guān)的報(bào)報(bào)文PC用戶戶發(fā)出大大量語音音無關(guān)報(bào)報(bào)文特殊設(shè)備備發(fā)出大大量的信信令報(bào)文文SoftSwitch的處理理能力是是有限制制的6.2、、軟交換換安全問問題需要解決決對(duì)SoftSwitch的非非法信令令報(bào)文的的攻擊?；涡帕盍顖?bào)文攻攻擊：惡惡意程序序偽造信信令報(bào)文文，報(bào)文文各個(gè)區(qū)區(qū)段內(nèi)容容隨意填填寫，無無法正常常解碼；；浪費(fèi)SoftSwitch的處理理資源，，還有可可能導(dǎo)致致SoftSwitch內(nèi)存存泄漏等等問題。。狀態(tài)錯(cuò)誤誤的信令令報(bào)文：：存在IAD等等設(shè)備設(shè)設(shè)計(jì)不完完善，發(fā)發(fā)出錯(cuò)誤誤信令報(bào)報(bào)文的情情況，浪浪費(fèi)SoftSwitch的的處理資資源；NGN核核心網(wǎng)PCPhonePCPhone特殊設(shè)備備IADSoftx防火墻設(shè)設(shè)備無法法阻斷語語音相關(guān)關(guān)的報(bào)文文惡意程序序偽造信信令報(bào)文文SoftSwitch的處理理能力是是有限制制的6.3、、軟交換換安全問問題需要防止止NGN核核心網(wǎng)被被黑客入入侵其他設(shè)備備如果采采用公網(wǎng)網(wǎng)地址，，將導(dǎo)致致NGN核心網(wǎng)網(wǎng)安全性性進(jìn)一步步降低其他如TG等設(shè)設(shè)備同樣樣存在被被流量攻攻擊等風(fēng)風(fēng)險(xiǎn)；采用通用用操作系系統(tǒng)的設(shè)設(shè)備存在在被入侵侵的可能能。在一一個(gè)設(shè)備備被入侵侵后，該該設(shè)備將將成為繼繼續(xù)入侵侵的跳板板，會(huì)對(duì)對(duì)NGN網(wǎng)運(yùn)營(yíng)營(yíng)造成重重大影響響。NGN核核心網(wǎng)PCPhonePCPhoneIADIADSoftx黑客可能能來自世世界各地地網(wǎng)管U-NICAAppServerPolicyServeriOSSMRSIN黑客第二章Eudemon邊界界會(huì)話控控制器1.NGN承承載網(wǎng)改改造需求求分析2.ALG/PROXY工工作原理理介紹3.Eudemon2000系系列規(guī)格格介紹4.Eudemon2000系系列典型型配置案案例華為產(chǎn)品品維護(hù)資資料108NATALG原理NAT：：網(wǎng)絡(luò)地地址轉(zhuǎn)換換，<私有地地址＋端端口><公有有地址＋＋端口>ALG：：ApplicationLayerGateway，應(yīng)應(yīng)用層網(wǎng)網(wǎng)關(guān)。部部分應(yīng)用用協(xié)議在在報(bào)文內(nèi)內(nèi)部攜帶帶了IP地址地地址信息息。一般般的NAT設(shè)備備只處理理IP層層的信息息，不處處理報(bào)文文內(nèi)部的的內(nèi)容，，ALG設(shè)備需需要對(duì)H323/SIP/