《eudemon系列防火墙培训》由会员分享,可在线阅读,更多相关《eudemon系列防火墙培训(91页珍藏版)》请在金锄头文库上搜索。
1、防火墙 ISSUE1.0业务与软件技术服务部 集成产品部学习目标l了解防火墙的概念l熟悉Eudemon防火墙产品l能够对Eudemon防火墙进行规划和配置学习完本课程,您应该能够:内容l防火墙概念lEudemon防火墙介绍lEudemon防火墙配置步骤lEudemon防火墙的维护l防火墙的常见组网方式防火墙的概念随着Internet的日益普及,许多LAN(内部网络)已经直接可以接入 Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放 网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个 LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的
2、构造,防火墙被设计用来防止火从大厦的一部分传播到 大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的:“防止 Internet的危险传播到你的内部网络”。现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该 是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该 首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内 部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的 安全。在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可 信任的”,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分 割的网络之间,必须按照防火墙规定的“策略”进行
3、互相的访问。防火墙的概念简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允 许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征: 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、渗透能力。 防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。 硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、 Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须 经过硬件防火墙,防火墙来控制这些连
4、接,对连接进行验证、过滤。连接不受信 网络区域连接受信网 络区域在连接受信网络区域和非受信网络区域之间的 区域,一般称为DMZ。防火墙和路由器的差异A的报文如何能最快的到B? 网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。网络A网络B交流路由信息这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为?路由器的特点: 保证互联互通。 按照最长匹配算法逐包转发。 路由协议是核心特性。防火墙的特点: 逻辑子网之间的访问控制,关注边界安全 基于连接的转发特性。 安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器
5、基于逐 包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大 。防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互 联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务 特性。防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类: 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通 过防火墙的数据包。规则的
6、定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定 义通过防火墙数据包的条件。包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过 多会导致性能急剧下降。 代理型防火墙(application gateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对 Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开 发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应 用提供代理支持。 状态检测防火墙状态检测是一种高级通信过滤。它检查
7、应用层协议信息并且监控基于连接的应用层协议状态。 对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火 墙或丢弃。现在防火墙的主流产品为状态检测防火墙。状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以 通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就 可以决定哪些连接是合法访问,哪些是非法访问。防火墙的硬件发展防火墙的硬件发展过程:1、一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火 墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2
8、、采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防 护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采 用这种方式开发。从外观上面看,该种防火墙是一个硬件防火墙产品,但是 其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有 天融信公司的防火墙产品3、采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等 方面优化结构,保证防火墙产品可以得到最优的处理性能。代表产品有华为 公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处 理器(
9、NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性 能,使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的 Eudemon 1000产品。内容l防火墙概念lEudemon防火墙介绍lEudemon防火墙配置步骤lEudemon防火墙的维护l防火墙的常见组网方式Eudemon防火墙介绍Eudemon防火墙介绍防火墙的介绍安全区域工作模式控制列表应用访问策略ASPF黑名单Nat地址转换双机工作方式 VRRP组HRP攻击防范一夫当关,万夫莫开华为公司Eudemon防火墙华为公司系列硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓 越的性能和先进的安全体系架构为用户提供了强大
10、的安全保障Eudemon 1000/500Eudemon 200Eudemon 100华为公司Eudemon系列防火墙Eudemon 100l 定位于中小规模网络l 吞吐率:100Mbpsl 并发连接数:200,000条l 新建连接率:5,000条/秒l 支持4个FE接口Eudemon 200l 定位于中等规模网络l 吞吐率:400Mbpsl 并发连接数:500,000条l 新建连接率:10,000条/秒Eudemon 1000/500l 定位于中大规模网络l 吞吐率:3Gbpsl 并发连接数:800,000条l 新建连接率:100,000条/秒 专用硬件系统 专用软件系统 高可靠 高安全 高
11、性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统Eudemon 防火墙主要特点E100E200E1000接口数量自带2个10/100M以太 网口,另有2个扩展 接口插槽自带2个10/100M以太 网口。, 2个扩展接口插槽自带2个10/100M以 太网口。4个扩展接 口插槽接口类型10/100M以太网10/100M以太网,E1 、ATM接口FE/GE口,E1、 ATM、POS等接口支持加密标准DES,3DES, AES, 国密办算法DES,3DES, AES, 国密办算法DES,3DES, AES, 国密办算法加密速度(3DES)80M100M300M支持的认证类 型
12、RADIUSRADIUSRADIUSEudemon防火墙基本规格E100E200E1000静态ACL支持支持,支持高速 ACL算法;3K条支持,支持高速ACL算 法; 20K条支持,支持高速ACL算 法,100K条提供基于时间 的ACL访问 控制支持支持支持传输层 PROXY代理支持支持支持ActiveX、Java applet过滤 支持支持支持支持的抗攻击类 型支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、Winnuke、Land、 Smurf、Fraggle等数十种攻击支持的应用状态检测对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HT
13、TP等进行应用状 态检测IP和MAC地址绑定支持支持支持Eudemon防火墙基本规格E100E200E1000提供对SMTP,FTP等协议 的应用层有 害命令检测 和防御。支持支持支持NAT主要支持ALGFTP、PPTP、DNS、NBT(NetBIOS over TCP)、ILS(Internet Locator Service)、ICMP、H.323、SIP等协议 等支持QoS和带宽 管理支持支持支持支持负载 均衡支持支持支持支持工作模式NAT,路由,透明NAT,路由,透明NAT,路由,透明失败恢复特性双机状态热备 ;多 机均衡,自动倒换 ;双机状态热备 ; 多机均衡,自动倒 换;双机状态热
14、备 ;多 机均衡,自动倒换 ;Eudemon防火墙基本规格E100E200E1000动态 路由支持RIP、OSPF支持RIP、OSPF支持RIP、OSPF支持SNMP监控和配置支持支持支持管理方式GUI,CLIGUI,CLIGUI,CLI集中管理多个防火墙支持支持支持日志支持二进制和SYSLOG格 式支持二进制和 SYSLOG格式支持二进制和 SYSLOG格式日志可设定输出信息所有发起连接,流量,各 种详细统计 如分类丢 弃 报文等所有发起连接,流量 ,各种统计 如分类丢 弃报文等所有发起连接,流量 ,各种统计 如分类丢 弃报文等Eudemon防火墙基本规格防火墙的安全区域防火墙的内部划分为多
15、个区域,所有的转发接口都唯一的属于 某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4防火墙的安全区域l路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1 的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报 转发到UnTrust区域防火墙的安全区域lEudemon防火墙上保留四个安全区域:非受信区(Untrust):低级的安全区域,其安全优先级为5。非军事化区(DMZ):中度级别的安全区域,其安全优先级为50。受信区(Trust):较高
16、级别的安全区域,其安全优先级为85。本地区域(Local):最高级别的安全区域,其安全优先级为100。l此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。防火墙的安全区域l域间的数据流分两个方向:入方向(inbound):数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙的安全区域本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOut防火墙的安全区域防火墙的模式l路由模式l透明模式l混合模式防火墙的路由模式l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口
