收藏
下载资源

《精编》Eudemon防火墙关键技术与基本功能

上传人:tang****xu5 文档编号:133272817 上传时间:2020-05-25 格式:PPT 页数:72 大小:1.81MB
返回 下载 相关 举报
《精编》Eudemon防火墙关键技术与基本功能_第1页
第1页 / 共72页
《精编》Eudemon防火墙关键技术与基本功能_第2页
第2页 / 共72页
《精编》Eudemon防火墙关键技术与基本功能_第3页
第3页 / 共72页
《精编》Eudemon防火墙关键技术与基本功能_第4页
第4页 / 共72页
《精编》Eudemon防火墙关键技术与基本功能_第5页
第5页 / 共72页
点击查看更多>>
资源描述

《《精编》Eudemon防火墙关键技术与基本功能》由会员分享,可在线阅读,更多相关《《精编》Eudemon防火墙关键技术与基本功能(72页珍藏版)》请在金锄头文库上搜索。

1、修订记录 Eudemon防火墙产品基本功能特性与配置 前言 本胶片介绍了Eudemon系列产品主要的安全技术和安全特性 以及各安全特性在Eudemon产品上的配置 包括如 防火墙区域 防火墙工作模式 ASPF技术 NAT技术以及一些扩展技术 培训目标 学完本课程后 您应该能 掌握Eudemon产品的主要安全技术和安全特性掌握各安全特性在Eudemon上的配置 目录 防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能 目录 1 防火墙的基本概念1 1安全区域1 2防火墙工作模式1 3会话 防火墙的安全区域 Local区域100 Trust区域85 DMZ区域50 UnTrust区域5 接

2、口2 接口3 接口4 接口1 用户自定义区域 Vzone0 接口 网络和安全区域关系 安全区域配置 1 创建一个安全区域 Eudemon firewallzonenameuserzone设置优先级 Eudemon zone userzone setpriority60给安全区域添加接口 Eudemon zone trust addinterfaceEthernet0 0 1 安全区域配置验证 查看防火墙安全区域配置 Eudemon displayzoneusernameusernamepriorityis60interfaceofthezoneis 1 Ethernet0 0 1 安全区域配置

3、 2 创建安全ACL Eudemon acl3000 Eudemon acl adv 3000 rulepermitip在域间下发ACL Eudemon firewallinterzonetrustuntrust Eudemon interzone trust untrust packet filter3000inbound 目录 1 防火墙的基本概念1 1安全区域1 2防火墙工作模式1 3会话 防火墙的三种工作模式 路由模式透明模式混合模式 路由模式 外部网络 服务器 PC PC 202 10 0 0 24 Trust区 服务器 Eudemon PC 10 110 1 0 24 202 10

4、 0 1 10 110 1 254 内部网络 Untrust区 透明模式 混合模式 工作模式配置命令 配置防火墙工作模式 Eudemon firewallmodecomposite Eudemon quit需要重新启动防火墙reboot 查看防火墙的工作模式 Eudemon displayfirewallmodefirewallmodecomposite 目录 1 防火墙的基本概念1 1安全区域1 2防火墙工作模式1 3会话 会话 Session Eudemon防火墙是状态防火墙 采用会话表维持通信状态 会话表包括五个元素 源IP地址 源端口 目的IP地址 目的端口和协议号 如果支持虚拟防火墙

5、的话还有一个VPN ID 当防火墙收到报文后 根据上述五个元素查询会话表 并根据具体情况进行如下操作 会话 会话相关命令 查看防火墙的Session信息 Eudemon displayfirewallsessiontableverboseicmp vpn public public zone local intratag 0 x3588State 0 x0ttl 00 00 20left 00 00 04Id 141c2d38SlvId 16406388Interface G0 0 1Nexthop 172 16 12 5Mac 00 0f e2 61 05 83172 16 12 1 439

6、96 172 16 12 5 43996 resetfirewallsessiontable 会话相关命令 查看防火墙的Sessionaging time Eudemon displayfirewallsessionaging timetcpprotocoltimeout 1200udpprotocoltimeout 120icmpprotocoltimeout 20 Eudemon firewallsessionaging timeicmp15 防火墙长连接会话 配置ACL 用于控制需要长连接会话的数据流 Eudemon acl3001 Eudemon acl adv 3001 rulepe

7、rmitipsource10 100 10 20设置长连接的老化时间 Eudemon firewalllong linkaging time2在域间应用长连接 Eudemon firewallinterzonetrustuntrust Eudemon interzone trust untrust firewalllong link3001inbound Eudemon displayfirewallsessiontableverboseFTP tag 80000301ttl 02 00 left 01 58 Addr 0200009310 100 10 3 21 10 100 10 2 10

8、25 LongLink 目录 防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能 目录 2 防火墙关键技术2 1ASPF ASPF ASPF ApplicationSpecificPacketFilter 是一种改进的高级通信过滤技术 ASPF不但对报文的网络层的信息进行检测 还能对丰富的应用层协议进行深度检测 支持多媒体业务的NAT以及安全防范功能 支持的协议包括 H 323协议族 MGCP SIP H248 RTSP HWCC及ICMP FTP DNS PPTP NBT ILS HTTP SMTP等 基于ACL规则的包过滤可以在网络层和传输层检测数据包 防止非法入侵 ASPF对应用

9、层的协议信息进行检测 通过维护会话的状态和检查会话报文的协议和端口号等信息 阻止恶意的入侵 多通道协议 多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话 通道 其中有一个控制通道 其他的通道是根据控制通道中双方协商的信息动态创建的 一般我们称之为数据通道或子通道 多通道协议在状态防火墙当中需要特殊处理 单通道协议是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议 根据TCP三次握手机制 状态防火墙能够维护会话的五元组信息 ASPF与多通道协议 用户192 168 0 1 Eudemon防火墙 FTPserver19 49 10 10 防火墙创建Servermap表

10、项 检测Servermap表项 命中表现 打开通道 三元组ASPF Eudemon相当于一个六元组 支持VPN情况下 有VPNID 的NAT设备 即防火墙上的每个会话的建立都需要六元组 源IP地址 源端口 目的IP地址 目的端口 协议号和VPN ID 只有这些元素都具备了 会话才能建立成功 报文才能通过 而一些实时通讯工具 如QQ MSN等 通过NAT设备 需要按三元组处理 源IP地址 源端口 协议号 Eudemon为了适配类似QQ MSN等通讯机制 支持三元组处理方式 让类似QQ MSN等的通讯方式能够正常的穿越 除QQ MSN穿越NAT设备外 其他仅使用源IP地址 源端口 协议号的会话 如

11、TFTP 同样需要配置防火墙三元组ASPF ASPF配置 进入安全区域域间 Eudemon firewallinterzonetrustuntrust打开ASPF功能 Eudemon interzone trust untrust detectprotocol acl number inbound outbound 目录 防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能 目录 3 防火墙基本功能3 1黑名单3 2MAC绑定3 3端口映射3 4IDS联动3 5日志 黑名单 黑名单特点 根据报文的源IP地址进行过滤简单高效可动态添加删除 静态黑名单配置 Eudemon firewallb

12、lacklistitem202 169 168 2timeout100 Eudemon firewallblacklistenable 动态黑名单配置 Eudemon firewalldefendip sweepenable Eudemon firewalldefendip sweepmax rate1000 Eudemon firewalldefendip sweepblacklist timeout20 Eudemon firewallblacklistenable 黑名单配置验证 Eudemon displayfirewallblacklistitemTotal 1Manual 1IPS

13、weep 0PortScan 0IDS 0LoginFailed 0PreAuthed 0GetFlood 0tcp illeage session 0Unknown 0IPReasonInsertTimeAgeTimeVpn instance 202 169 168 2Manual2009 05 1217 47 35Permanent 目录 3 防火墙基本功能3 1黑名单3 2MAC绑定3 3端口映射3 4IDS联动3 5日志 MAC绑定 问题的提出网络中常有一些假冒IP地址的攻击MAC绑定应用限制条件与二层直接相连的网络 MAC绑定配置 Eudemon firewallmac bindin

14、genable Eudemon firewallmac binding202 169 168 200e0 fc00 0100 MAC绑定配置验证 Eudemon displayfirewallmac bindingitemFirewallMac bindingitems Currentitems 3192 168 2 180087 0326 ea9d202 1 1 800e0 fc08 0589202 1 1 900e0 fc98 5679 目录 3 防火墙基本功能3 1黑名单3 2MAC绑定3 3端口映射3 4IDS联动3 5日志 端口映射 问题的提出内部服务器在非知名端口提供知名服务 例如

15、在1021端口提供FTP服务端口映射防火墙并非要更改数据包的端口信息可以用来保护因为知名端口而带来的针对性攻击 端口映射组网示例 端口映射配置验证 Eudemon displayport mappingSERVICEPORTACLTYPE ftp21systemdefinedsmtp25systemdefinedhttp80systemdefinedrtsp554systemdefinedh3231720systemdefinedftp802010userdefinedhttp56782020userdefined 配置参考 Eudemon aclnumber2010 Eudemon acl

16、basic 2010 rulepermitsource129 38 1 10 0 0 0 Eudemon port mappingftpport80acl2010 Eudemon aclnumber2020 Eudemon acl basic 2020 rulepermitsource129 38 1 00 0 0 255 Eudemon port mappinghttpport5678acl2020 Eudemon firewallinterzonedmzuntrust Eudemon interzone dmz untrust detectftp 将去往主机129 38 1 1的使用端口号80的报文识别为FTP报文 需要在域间detect相应的协议 目录 3 防火墙基本功能3 1黑名单3 2MAC绑定3 3端口映射3 4IDS联动3 5日志 IDS联动 防火墙的局限性防火墙不能防止通向站点的后门 防火墙一般不提供对内部的保护 防火墙无法防范数据驱动型的攻击 防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略等 IDS IntrusionDetectionSystem 入侵检

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号