《数据业务 新员工培训 防火墙基础培训胶片》由会员分享,可在线阅读,更多相关《数据业务 新员工培训 防火墙基础培训胶片(67页珍藏版)》请在金锄头文库上搜索。
1、06 April2006 防火墙基础 Version4 0 Page1 数据业务局点的网络安全 依赖于防火墙的良好配置 防火墙也是数据业务局点不可缺少的组网设备 每一位数据业务工程师 必须理解防火墙的运行机理 掌握防火墙的常用配置方法 Page2 参考资料 Page3 学习目标 理解防火墙的基本概念熟悉Eudemon防火墙产品能够对Eudemon防火墙进行规划和配置 学习完本课程 您应该能够 Page4 3G数据业务典型组网 No7 SignalGw SMSC MMSC GMLC IMPS mSTREAM UM MDSP WISG WIN Internet CorporateNetwork R
2、outer Firewall CoreLANSwitch EdgeLANSwitch HALink WANLink FW1 S6506 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 S3528x2 PTT S3528x2 No7 SignalGw GELink FC SCSILink 100m FELink E1Link FW2 AAA S3528x2 FW3 FW4 3GCoreNetwork NMS OSS S3528x2 GGSN OAM S3528 OAMDesktop Antivirus Backup
3、FW5 FW6 Page5 防火墙在MMSC局点中的位置 2 Eudemon200 报表服务器IBMX235 MMSPortalSUNV440 OMCServerIBMX235 2 QuidwayS6506交换机 2 F5BIGIP2400负载均衡器 CMNET 数据库和计费服务器SUNV440双机 MMSCCluster 5 SUNV440双机 BOSS BOSS QuidwayAR28路由器 QuidwayAR28路由器 预统计和报表数据库服务器IBMX445 网管接口机SUNV440 MCAS内容适配服务器4 HPDL360G3 Page6 防火墙概念Eudemon防火墙介绍Eudemo
4、n防火墙配置步骤 Page7 防火墙的概念 随着Internet的日益普及 许多LAN 内部网络 已经可以直接接入Internet网络 这种开放式的网络同时带来了许多不安全的隐患 在开放网络式的网络上 我们的周围存在着许多不能信任的计算机 这些计算机对我们私有的一些敏感信息造成了很大的威胁 在大厦的构造中 防火墙被设计用来防止火从大厦的一部分传播蔓延到大厦的另外一部分 我们所涉及的防火墙服务具有类似的目的 防止Internet的危险传播到你的内部网络 现代的防火墙体系不应该只是一个 入口的屏障 防火墙应该是几个网络的接入控制点 所有经过被防火墙保护的网络的数据流都应该首先经过防火墙 形成一个信
5、息进入的关口 因此防火墙不但可以保护内部网络在Internet中的安全 同时可以保护若干主机在一个内部网络中的安全 在每一个被防火墙分割的网络中 所有的计算机之间是被认为 可信任的 它们之间的通信可以不受防火墙的干涉 而在各个被防火墙分割的网络之间 必须按照防火墙规定的 策略 进行互相的访问 Page8 防火墙的概念 简单的说 防火墙是保护一个网络免受 不信任 的网络的攻击 但是同时还必须允许两个网络之间可以进行合法的通信 防火墙应该具有如下基本特征 经过防火墙保护的网络之间的通信必须都经过防火墙 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙 防火墙本身必须具有很强的抗攻击 抗渗透
6、能力 防火墙可以保护内部网络的安全 可以使受保护的网络避免遭到外部网络的攻击 硬件防火墙应该可以支持若干个网络接口 这些接口用来连接几个网络 在这些网络中进行的连接都必须经过硬件防火墙 防火墙来控制这些连接 对连接进行验证 过滤 Page9 防火墙和路由器的差异 路由器的特点 保证互联互通 按照最长匹配算法逐包转发 路由协议是核心特性 防火墙的特点 逻辑子网之间的访问控制 关注边界安全 基于连接的转发特性 安全防范是核心特性 由于防火墙具有基于连接监控的特性 因此防火墙对业务支持具有非常强的优势 而路由器基于逐包转发的特点 因此路由器设备不适合做非常复杂的业务 复杂的业务对路由器的性能消耗比较
7、大 防火墙支持的接口不如路由器丰富 支持的路由协议不如路由器丰富 因此防火墙不适合做为互联互通的转发设备 防火墙适合做为企业 内部局域网的出口设备 支持高速 安全 丰富的业务特性 Page10 防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤 Page11 一夫当关 万夫莫开 华为公司Eudemon防火墙 Page12 华为公司硬件防火墙系列产品 涵盖了从低端数兆到高端千兆级别 卓越的性能和先进的安全体系架构为用户提供了强大的安全保障 Eudemon1000 500 Eudemon200 Eudemon100 华为公司Eudemon系列防火墙 Page13 Eudemon防火墙主
8、要特点 专用硬件系统专用软件系统高可靠高安全高性能完备的防止流量攻击功能强大的组网和业务支撑能力安全方便的管理系统 Page14 防火墙的安全区域 防火墙的内部划分为多个区域 所有的转发接口都唯一的属于某个区域 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 Page15 防火墙的安全区域 路由器的安全规则定义在接口上 而防火墙的安全规则定义在安全区域之间 不允许来自10 0 0 1的数据报从这个接口出去 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 禁止所有从DMZ区域的数据报转发到UnTrus
9、t区域 Page16 防火墙的安全区域 Eudemon防火墙上保留四个安全区域 非受信区 Untrust 低级别的安全区域 其安全优先级为5 非军事化区 DMZ 中度级别的安全区域 其安全优先级为50 受信区 Trust 较高级别的安全区域 其安全优先级为85 本地区域 Local 最高级别的安全区域 其安全优先级为100 此外 如认为有必要 用户还可以自行设置新的安全区域并定义其安全优先级别 最多可有16个安全区域 Page17 防火墙的安全区域 域间的数据流分两个方向 入方向 inbound 数据由低级别的安全区域向高级别的安全区域传输的方向 出方向 outbound 数据由高级别的安全区
10、域向低级别的安全区域传输的方向 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 In Out In Out Out In Out In Page18 防火墙的安全区域 本域内不同接口间不过滤直接转发进 出接口相同的报文被丢弃接口没有加入域之前不能转发包文 Local区域 Trust区域 DMZ区域 UnTrust区域 接口1 接口2 接口3 接口4 In Out In Out Out In Out In Page19 防火墙的安全区域 Page20 防火墙的模式 路由模式透明模式混合模式 Page21 防火墙的路由模式 可以把路由模式理解为象路由
11、器那样工作 防火墙每个接口连接一个网络 防火墙的接口就是所连接子网的网关 报文在防火墙内首先通过入接口信息找到进入域信息 然后通过查找转发表 根据出接口找到出口域 再根据这两个域确定域间关系 然后使用配置在这个域间关系上的安全策略进行各种操作 Page22 防火墙的透明模式 透明模式的防火墙则可以被看作一台以太网交换机 防火墙的接口不能配IP地址 整个设备处于现有的子网内部 对于网络中的其他设备 防火墙是透明的 报文转发的出接口 是通过查找桥接的转发表得到的 在确定域间之后 安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配 Page23 防火墙的混合模式 混合模式是指防火墙一部份接口
12、工作在透明模式 另一部分接口工作在路由模式 提出混合模式的概念 主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题 双机热备份所依赖的VRRP需要在接口上配置IP地址 而透明模式无法实现这一点 Page24 状态检测防火墙的处理过程 Page25 IP包过滤技术介绍 对防火墙需要转发的数据包 先获取包头信息 然后和设定的规则进行比较 根据比较的结果对数据包进行转发或者丢弃 而实现包过滤的核心技术是访问控制列表 Internet 公司总部 内部网络 未授权用户 办事处 Page26 访问控制列表是什么 一个IP数据包如下图所示 图中IP所承载的上层协议为TCP Page27 如何
13、标识访问控制列表 利用数字标识访问控制列表利用数字范围标识访问控制列表的种类 700 799范围的ACL是基于以太网帧头的访问控制列表 Page28 基本访问控制列表 标准访问控制列表只使用源地址描述数据 表明是允许还是拒绝 路由器 Page29 基本访问控制列表的配置 配置基本访问列表的命令格式如下 aclacl number match orderconfig auto rule permit deny sourcesource addrsource wildcard any 怎样利用IP地址和反掩码wildcard mask来表示一个网段 Page30 访问控制列表的组合 一条访问列表可
14、以由多条规则组成 对于这些规则 有两种匹配顺序 auto和config指定匹配该规则时按用户的配置顺序 规则冲突时 若匹配顺序为auto 深度优先 描述的地址范围越小的规则 将会优先考虑 深度的判断要依靠通配比较位和IP地址结合比较access list4deny202 38 0 00 0 255 255access list4permit202 38 160 00 0 0 255两条规则结合则表示禁止一个大网段 202 38 0 0 上的主机但允许其中的一小部分主机 202 38 160 0 的访问 规则冲突时 若匹配顺序为config 先配置的规则会被优先考虑 Page31 增强访问控制列
15、表 增强访问控制列表使用除源地址外更多的信息描述数据包 表明是允许还是拒绝 路由器 Page32 增强访问控制列表的配置命令 配置TCP UDP协议的增强访问列表 rule IDofaclrule permit deny tcp udp sourcesource addrsource wildcard any source portoperatorport1 port2 destinationdest addrdest wildcard any destination portoperatorport1 port2 logging 配置ICMP协议的增强访问列表 rule IDofaclrul
16、e permit deny icmp sourcesource addrsource wildcard any destinationdest addrdest wildcard any icmp typeicmp typeicmp code logging 配置其它协议的增强访问列表 rule IDofaclrule permit deny ip ospf igmp gre sourcesource addrsource wildcard any destinationdest addrdest wildcard any logging Page33 增强访问控制列表操作符的含义 Page34 举例 在区域间应用访问控制列表 创建编号为3001的访问控制列表 Eudemon aclnumber3001 配置ACL规则 允许特定用户从外部网访问内部的三台服务器 Eudemon acl adv 3001 rulepermittcpsource202 39 2 30destination129 38 1 10 Eudemon acl adv 3001 rulepermittcpsource
