H3C防火墙产品培训(ComwreV5)

H3C 防火墙产品培训（防火墙产品培训（Comware V5）ISSUE 1.0日期：2011.08杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播nH3C Comware V5平台防火墙采用平台防火墙采用H3C公司最新的公司最新的硬件平台和体系架构，是硬件平台和体系架构，是H3C公司面向大中型企业和公司面向大中型企业和运营商用户开发的新一代防火墙设备。运营商用户开发的新一代防火墙设备。引入引入n了解了解V5防火墙软硬件特性防火墙软硬件特性n掌握掌握V5防火墙常见组网方式防火墙常见组网方式n熟悉熟悉V5防火墙基本功能防火墙基本功能n了解了解V5防火墙的维护方法防火墙的维护方法课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：nV5 防火墙产品介绍防火墙产品介绍nV5 防火墙基本配置管理防火墙基本配置管理nV5 防火墙转发方式介绍防火墙转发方式介绍nV5 防火墙安全特性简介防火墙安全特性简介nV5 防火墙基本维护防火墙基本维护目录目录4F1000E接口1个Console接口、1个AUX接口1个CF卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个HIM扩展槽位2个千兆Combo（光电复合）接口电源接口Console/AUX系统指示灯4GE Combo口（背面）CF卡2*HIM5F1000S-AI/F1000A-EI/F1000E-SI接口1个Console接口12个千兆Combo（光电复合）接口1个USB接口（预留）1个HIM扩展槽位2个电源模块插槽电源模块槽位Console系统指示灯12GE Combo口1*HIM6F5000-A5接口1个Console接口，1个AUX接口，1个管理口，1个HA热备口业务板一：8个千兆电接口+4个Combo（光电复合）接口业务板二：2个万兆光接口1个风扇框1个CF卡接口，支持容量为256M、512M、1G的CF卡2个电源模块插槽散热风扇框主控板电源模块业务板7SecBlade II接口1个Console接口1个CF卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口(内部互联)CF卡Console口2GE电口2GE Combo口8FW Module ChassisH3C S9500H3C S7500EH3C S9500EH3C S12500SecBlade FW ModuleH3C S5800SecBlade II与路由交换主机的配合与路由交换主机的配合H3C SR6600H3C SR8800SecBlade For S5800SecBlade For S7500E/S9500/S9500E/S12500 SecBlade For SR6600/SR88009SecBlade II FW型号标识型号标识型号型号描述描述LSTM1FW2A1H3C S12500防火墙业务板模块LSRM1FW2A1H3C S9500E 防火墙业务板LSB1FW2A0H3C S9500 防火墙业务板LSQM1FWBSC0H3C S7500E 防火墙业务板模块LSWM1FW10H3C S5800 系列-防火墙模块SPE-FWMH3C SR6600 千兆防火墙业务板模块SPE-FWM-200IM-FWH3C SR8800防火墙业务处理板IM-FW-II10丰富的NAT特性：NAT、ALG领先的虚拟化技术：虚拟防火墙高可靠性：VRRP、双机热备集中统一管理：Log、SNMP、FWM全面的安全防护：L2-L7安全防护完善的VPN功能：GRE、L2TP、IPSec良好的易用性：CLI、Web先进的硬件架构：多核多线程Comware V5 FW功能特点功能特点nV5 防火墙产品介绍防火墙产品介绍nV5 防火墙基本配置管理防火墙基本配置管理nV5 防火墙转发方式介绍防火墙转发方式介绍nV5 防火墙安全特性简介防火墙安全特性简介nV5 防火墙基本维护防火墙基本维护目录目录12CLI与与Web管理方式的选择管理方式的选择lComware V5防火墙集成强大的防火墙集成强大的WEB管理功管理功能，大部分配置都能通过能，大部分配置都能通过WEB完成，推荐使完成，推荐使用用WEB方式进行配置方式进行配置lComware V5防火墙同时也支持命令行管理，防火墙同时也支持命令行管理，但很多安全特性不支持在命令行方式下配置。但很多安全特性不支持在命令行方式下配置。命令行界面主要提供简单的配置管理、信息命令行界面主要提供简单的配置管理、信息查看、故障诊断等功能查看、故障诊断等功能13Web管理方式管理方式l缺省情况下防火墙的第一个接口已经加入管理缺省情况下防火墙的第一个接口已经加入管理区域，默认区域，默认IP地址是地址是192.168.0.1/24，默认用，默认用户名和密码是户名和密码是h3c/h3c14CLI管理方式管理方式l方式一：通过方式一：通过Console口登录，进行除安全特性外的配置。口登录，进行除安全特性外的配置。l方式二：通过方式二：通过Telnet或者或者SSH登录，缺省情况下登录，缺省情况下Telnet和和SSH服服务是关闭的。务是关闭的。l方式三：插卡类方式三：插卡类FW还可以通过还可以通过OAP方式登录，需要先在插卡上方式登录，需要先在插卡上配置配置aux口登录相关参数，然后通过口登录相关参数，然后通过oap connect slot x（IRF下：下：oap connect chassis 1 slot x）登录插卡，按）登录插卡，按 CTRL+K 退出插卡。退出插卡。FW上配置：#user-interface aux 0 authentication-mode none user privilege level 3交换机上登录：#oap connect slot 5Press CTRL+K to quit.Connected to OAP!lS5800交换机上的防火墙插卡没有交换机上的防火墙插卡没有Console口，只能通过口，只能通过OAP方式登录命令行，方式登录命令行，AUX口不需要配置。口不需要配置。15防火墙时钟同步（防火墙时钟同步（1）l盒式防火墙集成有硬件时钟模块，可以配置盒式防火墙集成有硬件时钟模块，可以配置和保存设备本地时钟。和保存设备本地时钟。l插卡式防火墙没有时钟模块，除手工配置外插卡式防火墙没有时钟模块，除手工配置外需从其它设备同步时间，同步方法可以采用需从其它设备同步时间，同步方法可以采用NTP或或OAA ACSEI。lNTP时间同步配置举例：时间同步配置举例：FW上配置：#FWntp unicast-server 10.0.0.1 FWntp source-interface GigabitEthernet 0/0交换机上配置：#S7506Entp refclock-master 3 16防火墙时间同步（防火墙时间同步（2）lACSEI方式时间同步方式时间同步:交换机需要使能ACSEI Server如果防火墙10GE接口是二层接口，须permit接口所在PVID，并在10GE接口下使能acsei-client如果防火墙10GE接口是三层接口，只需在10GE接口使能acsei-client即可lACSEI协议同步时间举例：协议同步时间举例：FW上配置：#interface Ten-GigabitEthernet0/0 port link-mode route acsei-client enable 交换机上配置：#acsei server enable#acsei server acsei timer clock-sync 1 acsei timer monitor 117安全区域安全区域l安全区域是防火墙区别于普通网络设备的基本特征之一安全区域是防火墙区别于普通网络设备的基本特征之一l以接口为边界，按安全级别将业务分成若干区域，防火以接口为边界，按安全级别将业务分成若干区域，防火墙策略（如域间策略、攻击防范等）在区域或域间下发墙策略（如域间策略、攻击防范等）在区域或域间下发l接口只有加入了业务安全区域后才会转发数据接口只有加入了业务安全区域后才会转发数据TrustDMZUntrustManagementLocal18为什么需要安全区域？为什么需要安全区域？l传统防火墙通常都基于接口进行策略配置，网络管理员需要传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略为每一个接口配置安全策略l防火墙的端口朝高密度方向发展，基于接口的策略配置方式防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率倍增加，从而也增加了因为配置引入安全风险的概率教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼 Internet配置维护配置维护太复杂了太复杂了！19安全区域与优先级安全区域与优先级l默认的安全区域访问控制策略默认的安全区域访问控制策略高优先级安全区域可以访问低优先级区域低优先级安全区域不允许访问高优先级区域相同优先级安全区域可以相互访问相同安全区域内可以相互访问默认情况下，其它所有安全区域都可以访问Local域20流与会话流与会话l流（流（Flow），是一个单方向的概念，根据报文所携），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。带的三元组或者五元组唯一标识。l根据根据IP层协议的不同，流分为四大类：层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMP type+ICMP code唯一标识RAW IP流：不属于上述协议的，通过三元组标识l会话（会话（Session），是一个双向的概念，一个会话），是一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特）。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向。征都可以唯一确定该会话以及方向。21会话的创建会话的创建防火墙防火墙TrustUntrustRequestSNY ACKACKTCP SessionSessionl对于对于TCP流，发起方和响应方三次握手后建立稳流，发起方和响应方三次握手后建立稳定会话。定会话。l对于对于UDP/ICMP/Raw IP流，发起方和响应方完整流，发起方和响应方完整交互一次报文后建立稳定会话。交互一次报文后建立稳定会话。ReplyUDP/ICMP/Raw IP SessionSessionSYN22会话举例会话举例display session table verboseInitiator:Source IP/Port:192.168.2.2/36628 Dest IP/Port :192.168.1.2/21 VPN-Instance/VLAN ID/VLL ID:Responder:Source IP/Port:192.168.1.2/21 Dest IP/Port :192.168.2.2/36628 VPN-Instance/VLAN ID/VLL ID:Pro:TCP(6)App:FTP State:TCP-ESTStart time:2010-02-28 15:59:09 TTL:3598sRoot Zone(in):Trust Zone(out):Trust Received packet(s)(Init):11 packet(s)502 byte(s)Received packet(s)(Reply):7 packet(s)521 byte(s)l查看会话相关相关信息：查看