《h3c comware v7 盒式防火墙基本配置与维护》由会员分享,可在线阅读,更多相关《h3c comware v7 盒式防火墙基本配置与维护(89页珍藏版)》请在金锄头文库上搜索。
1、杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播 H3C V7平台盒式防火墙 基本配置 1 掌握Comware7盒式防火墙设备管理方式 掌握Comware7盒式防火墙软件版本升级方法 掌握Comware7盒式防火墙安全特性配置方法 掌握Comware7盒式防火墙高可靠性配置方法 了解Comware7盒式防火墙典型部署场景 了解Comware7盒式防火墙基本维护方法 学习完本课程,您应该能够: 目录 1.设备管理方式 2. 软件版本升级 3. 安全特性配置 4. 设备部署方式 5. 常用模块配置与维护 3 设备管理方式 方式一:通过Console口管理 缺省情况下,登录时认证方式为
2、none,用户角色为 network-admin,可以通过修改认证方式、用户角色以及其 它登录参数,来增加设备的安全性及可管理性。 4 设备管理方式 Console全局属性默认配置 line class console user-role network-admin Console进程属性默认配置 line console X user-role network-admin 5 设备管理方式 方式二:通过Telnet登录 缺省情况下,Telnet服务功能处于关闭状态,认证方式 为密码认证,但未配置缺省的登录密码,在缺省情况下用户 不能通过Telnet登录到设备上,需要通过Console口登
3、录到 设备上,开启Telnet服务功能,放通域间策略,然后对认证 方式、用户角色及公共属性进行相应的配置,才能通过 Telnet方式登录到设备。 6 开启Telnet服务 配置管理地址 system-view System View: return to User View with Ctrl+Z. H3Ctelnet server enable H3Cinterface GigabitEthernet 1/0/0 H3C-GigabitEthernet1/0/0ip address 192.168.0.1 24 设备管理方式 7 将管理口加入到Trust区域 配置ACL,匹配合法的管理用
4、户IP H3Csecurity-zone name trust H3C-security-zone-Trustimport interface GigabitEthernet 1/0/0 H3Cacl number 2000 H3C-acl-basic-2000rule permit source 192.168.0.2 0 设备管理方式 8 配置域间策略,放通Trust到Local的策略 配置认证方式为Scheme H3C zone-pair security source trust destination local H3C-zone-pair-security-Trust-Local
5、packet-filter 2000 H3C line vty 0 63 H3C-line-vty0-63 authentication-mode scheme 设备管理方式 目录 1.设备管理方式 2. 软件版本升级 3. 安全特性配置 4. 设备部署方式 5. 常用模块配置与维护 10 软件版本升级 H3C官网提供的软件版本为IPE格式,升级时直接指定此文件即 可,设备会自动将此文件解压为两个BIN格式文件并设置为设备 加载的版本文件 boot-loader file cfa0:/L5000.ipe slot 1 main Verifying the IPE file and the i
6、magesDone. H3C SecPath F5020 images in IPE: f5000-cmw710-boot-E9305P06.bin f5000-cmw710-system-E9305P06.bin This command will set the main startup software images. Continue? Y/N:y Add images to slot 1. Decompressing file f5000-cmw710-boot-E9305P06.bin to cfa0:/f5000-cmw710-boot- E9305P06.binDone. De
7、compressing file f5000-cmw710-system-E9305P06.bin to cfa0:/f5000-cmw710-sys tem-E9305P06.binDone. The images that have passed all examinations will be used as the main startup software images at the next reboot on slot 1. 11 软件版本升级 可通过命令检查为设备指定的加载版本文件是否 正确 版本文件指定完成后,通过重启完成升级 display boot-loader Sof
8、tware images on slot 1: Current software images: cfa0:/f5000-cmw710-boot-E9305.bin cfa0:/f5000-cmw710-system-E9305.bin Main startup software images: cfa0:/f5000-cmw710-boot-E9305P06.bin cfa0:/f5000-cmw710-system-E9305P06.bin Backup startup software images: None 目录 1.设备管理方式 2. 软件版本升级 3. 安全特性配置 4. 设备部
9、署方式 5. 常用模块配置与维护 13 安全区域 安全区域是防火墙区别于普通网络 设备的基本特征之一。以接口为边 界,按照安全级别不同将业务分成 若干区域,防火墙的策略(如域间 策略、攻击防范等)在区域或者区 域之间下发 接口只有加入了业务安全区域后才 会转发数据 Untrust zone Trust zone 14 为什么需要安全区域 传统防火墙通常基于接口进行策略配置,网络管理员需为每一个接口配置安全策略 防火墙的端口朝更高密度、更虚拟化方向发展,基于接口的策略配置方式使安全策略 的维护工作量成倍增加,从而也增加了因为配置引入部署错误或安全风险的概率 安全区域可以用于管理防火墙设备上安
10、全需求相同的多个接口,管理员将安全需求相 同的接口进行分类,并划分到不同的安全域,实现安全策略的简化管理 教学楼 #1 教学楼 #2 教学楼 #3 服务器群 办公楼 #1 办公楼 #2 实验楼 #1 实验楼 #2 宿舍楼 Internet 配置维护 太复杂了! 15 Comware V7 防火墙安全区域 默认安全区域有:Local、Trust、 DMZ、Untrust、Management (带外管理) Comware V7平台取消了安全域优先级的概念 各安全区域间及安全区域内默认域间策略为禁止任何流量通过 必须配置其它安全区域与Local区域之间的允许策略,才能访问防火墙 特别注意,诸如
11、IPSec和L2TP等VPN业务都涉及到上送防火墙本地进 行加解封装的操作,故一定要配置VPN流量所在域到Local域和相应反 向的域间策略,确保VPN流量不被默认域间策略所拒绝 16 流与会话 流(Flow),是一个单方向的概念,根据报文所携带的三元组或者 五元组唯一标识 根据IP层协议的不同,流分为四大类 TCP流:通过五元组唯一标识 UDP流:通过五元组唯一标识 ICMP流:通过三元组 + ICMP type + ICMP code唯一标识 RAW IP流:不属于上述协议的,通过三元组标识 会话(Session),是一个双向的概念,一个会话通常关联两个方向 的流,一个为会话发起方(In
12、itiator),另外一个为会话响应方 (Responder)。通过会话所属的任一方向的流特征都可以唯一确 定该会话以及方向 17 会话的创建 对于TCP流,发起方和响应方三次握手后建立稳定会话 对于UDP/ICMP/Raw IP流,发起方和响应方完整交互 一次报文后建立稳定会话 防火墙 Trust Untrust Request SYN ACK ACK TCP Session Session Reply UDP/ICMP/Raw IP Session Session SYN 18 会话表项示例 Initiator: Source IP/port: 10.142.0.2/21 Destin
13、ation IP/port: 10.234.245.178/2048 DS-Lite tunnel peer: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: 10.234.245.178/21 Destination IP/port: 10.142.0.2/0 DS-Lite tunnel peer: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: OTHER S
14、tart time: 2014-04-11 16:16:08 TTL: 29s Interface(in) : GigabitEthernet0/0/17 Interface(out): GigabitEthernet0/0/19 Zone(in) : Trust Zone(out): Untrust Initiator-Responder: 1 packets 84 bytes Responder-Initiator: 0 packets 0 bytes 19 高级状态包过滤(ASPF) 传统的包过滤防火墙存在哪些劣势 对于传输层协议,管理员无法精确预知反向回应报文信息,若管 理员配置了比
15、较宽松的放行策略,则会增加内网被攻击的风险 对于多通道的应用层协议(如FTP等),部分策略配置无法预知 无法跟踪传输层和应用层的协议状态,无法检测某些来自传输层 和应用层的攻击行为 20 ASPF ASPF(Advanced Stateful Packet Filter,高级状态包过滤) 在网络边界,ASPF和包过滤防火墙协同工作,包过滤防火墙负责按照规则进 行报文过滤(阻断或放行),ASPF负责对已放行报文进行信息记录,使已放 行的报文的回应报文可以正常通过配置了包过滤的接口或域间实例 ASPF将应用层协议划分为 单通道协议:完成一次应用的全过程中,只有一个连接参与数据交互,如 SMTP、HTTP 多通道协议:完成一次应用的全过程中,需要多个连接配合,即控制信息的 交互和数据的传送需要通过不同的连接完成的,如FTP 21 ASPF部署 防火墙连接了内部网络和外部网络,并且要通过部署ASPF来保护内 部网络中的主机和服务器 用户A创建一个会话 用户A的会话返回 报文被允许通过 Client A Client B 其它会话的报文将被阻断 Firewa
