收藏
下载资源

eudemon防火墙关键技术与基本功能

上传人:F****n 文档编号:94209329 上传时间:2019-08-04 格式:PPT 页数:73 大小:3.13MB
返回 下载 相关 举报
eudemon防火墙关键技术与基本功能_第1页
第1页 / 共73页
eudemon防火墙关键技术与基本功能_第2页
第2页 / 共73页
eudemon防火墙关键技术与基本功能_第3页
第3页 / 共73页
eudemon防火墙关键技术与基本功能_第4页
第4页 / 共73页
eudemon防火墙关键技术与基本功能_第5页
第5页 / 共73页
点击查看更多>>
资源描述

《eudemon防火墙关键技术与基本功能》由会员分享,可在线阅读,更多相关《eudemon防火墙关键技术与基本功能(73页珍藏版)》请在金锄头文库上搜索。

1、修订记录,Eudemon防火墙产品基本 功能特性与配置,前 言,本胶片介绍了Eudemon系列产品主要的安全技术和安全特性,以及各安全特性在Eudemon产品上的配置。包括如:防火墙区域,防火墙工作模式,ASPF技术,NAT技术以及一些扩展技术。,培训目标,学完本课程后,您应该能: 掌握Eudemon产品的主要安全技术和安全特性 掌握各安全特性在Eudemon上的配置,目 录,防火墙的基本概念 防火墙关键技术 防火墙基本功能 防火墙扩展功能,目 录,1. 防火墙的基本概念 1.1 安全区域 1.2 防火墙工作模式 1.3 会话,防火墙的安全区域,Local区域 100,Trust区域 85,D

2、MZ区域 50,UnTrust区域 5,接口2,接口3,接口4,接口1,用户自定义区域,Vzone 0,接口、网络和安全区域关系,安全区域配置 1,创建一个安全区域 Eudemon firewall zone name userzone 设置优先级 Eudemon-zone-userzone set priority 60 给安全区域添加接口 Eudemon-zone-trust add interface Ethernet 0/0/1,安全区域配置验证,查看防火墙安全区域配置 Eudemondisplay zone username username priority is 60 inter

3、face of the zone is (1): Ethernet0/0/1,安全区域配置2,创建安全ACL Eudemonacl 3000 Eudemon-acl-adv-3000 rule permit ip 在域间下发ACL Eudemon firewall interzone trust untrust Eudemon-interzone-trust-untrustpacket-filter 3000 inbound,目 录,1. 防火墙的基本概念 1.1 安全区域 1.2 防火墙工作模式 1.3 会话,防火墙的三种工作模式,路由模式 透明模式 混合模式,路由模式,外部网络,服务器,P

4、C,PC,202.10.0.0/24,Trust区,服务器,Eudemon,PC,10.110.1.0/24,202.10.0.1,10.110.1.254,内部网络,Untrust区,透明模式,混合模式,工作模式配置命令,配置防火墙工作模式 Eudemonfirewall mode composite Eudemonquit 需要重新启动防火墙 reboot,查看防火墙的工作模式 Eudemondisplay firewall mode firewall mode composite,目 录,1. 防火墙的基本概念 1.1 安全区域 1.2 防火墙工作模式 1.3 会话,会话(Session

5、) Eudemon防火墙是状态防火墙,采用会话表维持通信状态。会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后,根据上述五个元素查询会话表,并根据具体情况进行如下操作:,会话,会话相关命令,查看防火墙的Session信息 Eudemondisplay firewall session table verbose icmp (vpn: public - public) zone: local - intra tag: 0x3588 State: 0x0 ttl: 00:00:20 left: 00:00:04

6、 Id: 141c2d38 SlvId: 16406388 Interface: G0/0/1 Nexthop: 172.16.12.5 Mac: 00-0f-e2-61-05-83 172.16.12.1:43996172.16.12.5:43996, reset firewall session table,会话相关命令,查看防火墙的Session aging-time Eudemon display firewall session aging-time tcp protocol timeout: 1200 udp protocol timeout: 120 icmp protocol

7、timeout: 20 .,Eudemon firewall session aging-time icmp 15,防火墙长连接会话,配置ACL,用于控制需要长连接会话的数据流 Eudemon acl 3001 Eudemon-acl-adv-3001 rule permit ip source 10.100.10.2 0 设置长连接的老化时间 Eudemon firewall long-link aging-time 2 在域间应用长连接 Eudemon firewall interzone trust untrust Eudemon-interzone-trust-untrust fire

8、wall long-link 3001 inbound,Eudemondisplay firewall session table verbose FTP, tag: 80000301 ttl: 02:00:- left: 01:58:- Addr: 02000093 10.100.10.3:21-10.100.10.2:1025 (LongLink),目 录,防火墙的基本概念 防火墙关键技术 防火墙基本功能 防火墙扩展功能,目 录,2. 防火墙关键技术 2.1 ASPF,ASPF,ASPF(Application Specific Packet Filter)是一种改进的高级通信过滤技术,A

9、SPF不但对报文的网络层的信息进行检测,还能对丰富的应用层协议进行深度检测,支持多媒体业务的NAT以及安全防范功能,支持的协议包括:H.323协议族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。 基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。 ASPF对应用层的协议信息进行检测,通过维护会话的状态和检查会话报文的协议和端口号等信息,阻止恶意的入侵。,多通道协议,多通道协议 是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信

10、息动态创建的,一般我们称之为数据通道或子通道。多通道协议在状态防火墙当中需要特殊处理。 单通道协议 是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议。根据TCP三次握手机制,状态防火墙能够维护会话的五元组信息。,ASPF与多通道协议,用户 192.168.0.1,Eudemon防火墙,FTP server 19.49.10.10,防火墙创建Servermap表项,检测Servermap表项,命中表现,打开通道,三元组ASPF,Eudemon相当于一个六元组(支持VPN情况下,有VPNID)的NAT设备,即防火墙上的每个会话的建立都需要六元组:源IP地址、源端口、目的IP地址、目的

11、端口、协议号和VPN-ID。只有这些元素都具备了,会话才能建立成功,报文才能通过。而一些实时通讯工具,如QQ、MSN等,通过NAT设备,需要按三元组处理:源IP地址、源端口、协议号。Eudemon为了适配类似QQ、MSN等通讯机制,支持三元组处理方式,让类似QQ、MSN等的通讯方式能够正常的穿越。 除QQ、MSN穿越NAT设备外,其他仅使用源IP地址、源端口、协议号的会话,如TFTP,同样需要配置防火墙三元组ASPF。,ASPF配置,进入安全区域域间 Eudemon firewall interzone trust untrust 打开ASPF功能 Eudemon-interzone-trus

12、t-untrust detect protocol acl-number inbound | outbound ,目 录,防火墙的基本概念 防火墙关键技术 防火墙基本功能 防火墙扩展功能,目 录,3. 防火墙基本功能 3.1 黑名单 3.2 MAC绑定 3.3 端口映射 3.4 IDS联动 3.5 日志,黑名单,黑名单特点: 根据报文的源IP地址进行过滤 简单高效 可动态添加删除,静态黑名单配置,Eudemon firewall blacklist item 202.169.168.2 timeout 100 Eudemon firewall blacklist enable,动态黑名单配置,

13、Eudemon firewall defend ip-sweep enable Eudemon firewall defend ip-sweep max-rate 1000 Eudemon firewall defend ip-sweep blacklist-timeout 20 Eudemon firewall blacklist enable,黑名单配置验证,Eudemon display firewall blacklist item Total:1 Manual:1 IP Sweep:0 Port Scan:0 IDS:0 Login Failed:0 PreAuthed:0 Get

14、Flood:0 tcp-illeage-session:0 Unknown:0 IP Reason InsertTime AgeTime Vpn-instance - 202.169.168.2 Manual 2009/05/12 17:47:35 Permanent,目 录,3. 防火墙基本功能 3.1 黑名单 3.2 MAC绑定 3.3 端口映射 3.4 IDS联动 3.5 日志,MAC绑定,问题的提出 网络中常有一些假冒IP地址的攻击 MAC绑定应用限制条件 与二层直接相连的网络,MAC绑定配置,Eudemon firewall mac-binding enable Eudemon fi

15、rewall mac-binding 202.169.168.2 00e0-fc00-0100,MAC绑定配置验证,Eudemon display firewall mac-binding item Firewall Mac-binding items : Current items : 3 192.168.2.18 0087-0326-ea9d 202.1.1.8 00e0-fc08-0589 202.1.1.9 00e0-fc98-5679,目 录,3. 防火墙基本功能 3.1 黑名单 3.2 MAC绑定 3.3 端口映射 3.4 IDS联动 3.5 日志,端口映射,问题的提出 内部服务器在非知名端口提供知名服务,例如在1021端口提供FTP服务 端口映射 防火墙并非要更改数据包的端口信息 可以用来保护因为知名端口而带来的针对性攻击,端口映射组网示例,端口映射配置验证,Eudemon display port-mapping SERVICE PORT ACL TYPE - f

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > PPT素材/模板

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号