《Eudemon200防火墙操作指导书》由会员分享,可在线阅读,更多相关《Eudemon200防火墙操作指导书(42页珍藏版)》请在金锄头文库上搜索。
1、Eudemon 200防火墙操作指导秘密产品名称Product name密级Confidentiality levelEudemon 200产品版本Product versionTotal 41pages 共41页V200R001Eudemon 200防火墙操作指导Prepared by 拟制赵强Date日期2003/09/08Reviewed by 评审人Date日期Approved by批准Date日期Authorized by签发Date日期Huawei Technologies Co., Ltd. 华为技术有限公司(REP01T01 V2.31/ IPD-CMM V2.0 / for
2、internal use only)(REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用)Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2003-09-101.00initial 初稿完成2004-3-101.03更新对应D0132004-3-231.045.5.25.8.2增加了“使用带time-range的acl规则在加速查找之后不正常”和“透明模式下透传组播/广播报文的问题(OSPF/
3、RIP2透传)”两个FAQ问题2004-5-251.05Distribution List 分发记录Copy No.Holders Name & Role 持有者和角色Issue Date 分发日期1yyyy-mm-ddCatalog 目 录1Introduction 简介71.1目的71.2范围71.3发布对象72Eudemon200防火墙的特点82.1基于状态的防火墙82.2安全域概念介绍82.2.1防火墙的域82.2.2域间概念102.2.3本地域(Local)102.3防火墙的模式112.3.1概述112.3.2路由模式112.3.3透明模式112.3.4混合模式122.4访问控制策略
4、和报文过滤122.4.1访问控制策略的异同122.4.2ACL加速查找132.4.3报文过滤规则的应用152.4.4防火墙缺省动作162.5NAT的相关配置162.5.1NAT配置的异同162.5.2NAT ALG命令172.6统计功能172.6.1统计功能的特殊概念172.6.2统计的注意事项172.7双机热备182.7.1双机简介182.7.2基于纯VRRP的备份182.7.3基于HRP的备份182.7.4双机热备的注意事项192.8防火墙的自动配置192.8.1防火墙同IDS联动192.8.2攻击检测模块同黑名单联动202.8.3登录模块同黑名单联动203典型的网络攻击方式和对策203.
5、1常见攻击方式和对策203.1.1syn-flood203.1.2UDP/ICMP Flood攻击213.1.3Ping of death/Tear drop213.1.4IP sweep/Port scan223.1.5IP-Spoofing攻击223.1.6对于畸形报文的检测功能233.1.7对有潜在危害性的报文的过滤234典型配置244.1防火墙的初始配置244.2透明模式的基本配置274.3路由模式组网实例304.4双机热备组网实例314.5透明模式组网实例355配置的常见问题(FAQ)365.1接好防火墙之后,网络不通,无法ping通其他设备,其他设备也无法ping通防火墙365.2
6、使用时感觉防火墙性能很低375.3有的端口打开了快转有的没有,在组合起来应用的时候,某些端口性能很低375.4D007版本的防火墙在使用管理网口上创建子接口,同交换机配合的时候子接口接收不到报文375.5ACL和报文过滤功能375.5.1ACL加速编译失败375.5.2使用带time-range的acl规则在加速查找之后不正常375.5.3配置了黑名单表项,但是Buildrun信息中却没有显示385.5.4使能地址绑定功能之后,原来配置的静态ARP表项消失385.5.5配置了ASPF功能,要进行java/activex block功能,也配置了ACL用来划定范围,但是却不起作用385.5.6设
7、置了到local域的detect ftp选项,但是当禁止从本地域主动发出报文之后,连接防火墙自身的FTP数据通道还是无法连通395.6攻击防范和统计功能395.6.1使能了syn-flood/udp-flood/icmp-flood防御功能,但却没有作用395.6.2使能了地址扫描/端口扫描共能,但却没有作用395.7双机热备功能395.7.1配置了vgmp但却没有作用395.7.2指定用于传输数据的通道是专门通道,其状态切换不影响应用,此时怎么办395.7.3在应用正常的情况下,改动了vrrp的属性发现通讯有问题,表现为能ping通接口,但是不能透过防火墙395.7.4VRRP配置不一致的时
8、候,屏幕上打印大量告警影响使用405.7.5VRRP状态不稳定切换频繁405.8透明模式问题405.8.1透明模式下ARP表项学习有问题405.8.2透明模式下透传组播/广播报文的问题(OSPF/RIP2透传)405.9NAT问题415.9.1配置了NAT server之后,从其他域网络访问这个NAT server对应的私网IP地址也不通了415.9.2配置NAT Server之后,从这台服务器向外发起访问,是否还需要配置NAT地址池415.9.3防火墙割接后,NAT Server/Pool中的地址访问不正常,换回原有设备就可以访问41 Figure List 图目录图1 安全区示意图9图2
9、路由模式应用组网图28图3 透明模式应用组网图30Eudemon 200防火墙操作指导Keywords 关键词:Abstract 摘 要:本文对Eudemon 200防火墙的特点、典型应用以及常见的攻击方式及在Eudemon200上的防范方法作了简要的说明。本文的目的是使本文的读者,可以在通读本文之后对E200防火墙有比较清楚的认识,可以有效地应用防火墙进行组网。List of abbreviations 缩略语清单: Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释1 Introduction 简介1.1 目的本文通过对Eu
10、demon 200防火墙的特点,使用方法作出描述,使读者可以对我司的状态防火墙有一个初步的认识,可以结合实例和攻击的特点对防火墙进行有效的配置,保护网络的安全。最后本文将给出一些典型的配置实例,在不同的情况下应用并修改这些实例,可以适应比较常见的网络应用。本文不详细介绍用到的命令行格式和配置细节,相关信息请参考用户手册中的说明1.2 范围本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。1.3 发布对象本文针对的读者,为华为公司的技术人员,属于内部文档。文中可能涉及到产品内部实现的细节以及目前存在的某些缺
11、陷,因此本文不可以直接提供给外部人员使用。如果有需要,请自行对文章进行裁减,仅将可以公开的内容提供给外部人员。2 Eudemon200防火墙的特点Eudemon200防火墙,是我司推出的网络安全产品的重要组成部分,开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品,提供了比较丰富的功能。作为一个新形态的产品,在防火墙上我们提出了一些新的概念,这是不同于以前的路由器产品的,在下面的部分中,首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。2.1 基于状态的防火墙Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态
12、动态的作出决定是否允许报文通过。像TCP连接的三次握手这种状态属于网络协议的第四层,而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层,需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程:首先报文到达防火墙,防火墙首先检查是否针对这个报文已经有会话表存在如果有,根据会话表中的信息,在进行必要的处理之后,防火墙将转发这个报文如果没有找到表项,防火墙会对这个报文进行一系列检查,在诸多检查都通过之后,防火墙会根据这个报文的特征信息,在防火墙上建立一对会话表项,以便这个会话的后续报文可以直接通过防火墙。建
13、立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙,这样用户就不需要既考虑报文的发送也考虑报文的回应消息,可以专心设计安全策略。对于FTP/H323等需要协商数据通道的应用协议,用户只需要配置允许该协议最基本的控制通道的连通,在这个控制通道上协商出来的所有数据通道,防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙,必须用繁杂的ACL来保证这些协议数据通道的连通,还不可避免的会留下安全漏洞。2.2 安全域概念介绍2.2.1 防火墙的域对于路由器设备,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上
14、完成的。这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查,以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适,防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害,有着明确的内外之分。当一个数据流通过防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,可能会造成用户在配置上的混乱。因此,防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合,具有一个安全级别。在设备内部,这个安全级别通过一个0-100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候,才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发,不会触发ACL等检查。在缺省情况下,防火墙设置四个安全区域:本地域(Local)、受信域(trust)、非受信域(untrust)和非军事化区(dmz)。除了本地域
