《华为防火墙基础和配置V1.1》由会员分享,可在线阅读,更多相关《华为防火墙基础和配置V1.1(91页珍藏版)》请在金锄头文库上搜索。
1、防火墙基础,ISSUE1.0,业务与软件技术服务部集成产品部,Page 2,学习目标,了解防火墙的概念熟悉Eudemon防火墙产品能够对Eudemon防火墙进行规划和配置,学习完本课程,您应该能够:,Page 3,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤Eudemon防火墙的维护防火墙的常见组网方式,Page 4,防火墙的概念,随着Internet的日益普及,许多LAN(内部网络)已经直接可以接入Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这些计算机对我们私有的
2、一些敏感信息造成了很大的威胁。 在大厦的构造,防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的:“防止Internet的危险传播到你的内部网络”。 现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任的”,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按
3、照防火墙规定的“策略”进行互相的访问。,Page 5,防火墙的概念,简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬
4、件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。,Page 6,防火墙和路由器的差异,路由器的特点:保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。,防火墙的特点:逻辑子网之间的访问控制,关注边界安全。基于连接的转发特性。安全防范是防火墙的核心特性。,由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安
5、全、丰富的业务特性。,Page 7,防火墙的分类,按照防火墙实现的方式,一般把防火墙分为如下几类:包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义通过防火墙数据包的条件。 包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。代理型防火墙(application gatew
6、ay) 代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。,Page 8,状态检测技术,状态防火墙通过检测基于TCP/UD
7、P连接的连接状态,来动态的决定报文是否可以通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。,Page 9,防火墙的硬件发展,防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一
8、种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 1000产品。,Page 10,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配
9、置步骤Eudemon防火墙的维护防火墙的常见组网方式,Page 11,Eudemon防火墙介绍,Eudemon防火墙介绍防火墙的介绍安全区域工作模式控制列表应用访问策略ASPF黑名单Nat地址转换双机工作方式 VRRP组HRP攻击防范,Page 12,一夫当关,万夫莫开,华为公司Eudemon防火墙,Page 13,华为公司系列硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓越的性能和先进的安全体系架构为用户提供了强大的安全保障,Eudemon 1000/500,Eudemon 200,Eudemon 100,华为公司Eudemon系列防火墙,Page 14,Eudemon 100,定位于中
10、小规模网络 吞吐率:100Mbps 并发连接数:200,000条 新建连接率:5,000条/秒 支持4个FE接口,Page 15,Eudemon 200,定位于中等规模网络 吞吐率:400Mbps 并发连接数:500,000条 新建连接率:10,000条/秒,Page 16,Eudemon 1000/500,定位于中大规模网络 吞吐率:3Gbps 并发连接数:800,000条 新建连接率:100,000条/秒,Page 17,专用硬件系统 专用软件系统 高可靠 高安全 高性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统,Eudemon 防火墙主要特点,Page 18,
11、Eudemon防火墙基本规格,Page 19,Eudemon防火墙基本规格,Page 20,Eudemon防火墙基本规格,Page 21,Eudemon防火墙基本规格,Page 22,防火墙的安全区域,防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域,Page 23,防火墙的安全区域,路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间,不允许来自10.0.0.1的数据报从这个接口出去,禁止所有从DMZ区域的数据报转发到UnTrust区域,Page 24,防火墙的安全区域,Eudemon防火墙上保留四个安全区域:非受信区(Untrust):低级的安全区域,其安全优先
12、级为5。非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。受信区(Trust):较高级别的安全区域,其安全优先级为85。本地区域(Local):最高级别的安全区域,其安全优先级为100。此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。,Page 25,防火墙的安全区域,域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。,In,Out,In,Out,In,Out,In,Out,Page 26,防火墙的安全区域,
13、本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文,In,Out,In,Out,In,Out,In,Out,Page 27,防火墙的安全区域,Page 28,防火墙的模式,路由模式透明模式混合模式,Page 29,防火墙的路由模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。,Page 30,防火墙的透明模式,透明模式的防火墙则可以被看
14、作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。,Page 31,防火墙的混合模式,混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。,Page 32,状态防火墙处理过程,Page 33,IP包过滤技术介绍,对防火墙需要转
15、发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,Page 34,访问控制列表是什么?,一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):,Page 35,如何标识访问控制列表?,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,40004099范围的ACL是基于MAC地址的访问控制列表,Page 36,标准访问控制列表,标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。,路由器,Page 37,标准访问控制列表的配置,配置
16、标准访问列表的命令格式如下:acl acl-number match-order config | auto rule permit | deny source source-addr source-wildcard | any ,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,Page 38,访问控制列表的组合,一条访问列表可以由多条规则组成。对于这些规则,有两种匹配顺序:auto和config指定匹配该规则时按用户的配置顺序 。规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.0 0.0.0.255 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。,
