华为防火墙操作手册-入门

《华为防火墙操作手册-入门》由会员分享，可在线阅读，更多相关《华为防火墙操作手册-入门（56页珍藏版）》请在金锄头文库上搜索。

1、Quidway Eudemon 500/1000 防火墙 操作手册（入门）目录目录第1章防火墙概述1-11.1网络安全概述 1-11.1.1安全威胁1-11.1.2网络安全服务分类 1-11.1.3安全服务的实现方法 1-21.2防火墙概述 1-41.2.1安全防范体系的第一道防线一一防火墙 1-41.2.2防火墙发展历史 1-41.3 Eudemon 产品简介 1-61.3.1 Eudemon 产品系列 1-61.3.2 Eudemo n500/1000防火墙简介 1-61.3.3 Eudemo n500/1000防火墙功能特性列表 1-8第2章Eudemon防火墙配置基础 2-12.1通过

2、Console接口搭建本地配置环境 2-12.1.1 通过 Con sole 接口搭建 2-12.1.2实现设备和 Eudemon 防火墙互相 ping通2-42.1.3实现跨越 Eudemon防火墙的两个设备互相ping通2-52.2通过其他方式搭建配置环境 2-62.2.1通过 AUX接口搭建 2-72.2.2通过 Telnet方式搭建 2-92.2.3通过 SSH方式搭建 2-112.3命令行接口 2-122.3.1命令行级别 2-122.3.2命令行视图 2-132.3.3命令行在线帮助 2-242.3.4命令行错误信息 2-252.3.5历史命令2-262.3.6编辑特性2-262.

3、3.7查看特性2-272.3.8 快捷键2-272.4防火墙的基本配置 2-302.4.1进入和退岀系统视图 2-302.4.2切换语言模式2-302.4.3配置防火墙名称 2-312.4.4配置系统时钟 2-31245配置命令级别 2-31246查看系统状态信息 2-322.5用户管理2-332.5.1用户管理概述 2-332.5.2用户管理的配置 2-342.5.3用户登录相关信息的配置 2-372.5.4典型配置举例 2-382.6 用户界面( User-interface ) 2-392.6.1用户界面简介2-392.6.2进入用户界面视图 2-402.6.3配置异步接口属性 2-41

4、2.6.4配置终端属性 2-422.6.5 配置 Modem 属性2-442.6.6配置重定向功能 2-452.6.7配置VTY类型用户界面的呼入呼岀限制 2-462.6.8用户界面的显示和调试 2-472.7终端服务2-472.7.1 Console 接口终端服务2-472.7.2 AUX 接口终端服务 2-482.7.3 Tel net 终端服务 2-482.7.4 SSH 终端服务2-51第 3 章 Eudemon 防火墙工作模式 3-13.1防火墙工作模式简介 3-13.1.1工作模式介绍3-13.1.2路由模式工作过程 3-33.1.3透明模式工作过程 3-33.1.4混合模式工作过

5、程 3-73.2防火墙路由模式配置 3-83.2.1配置防火墙工作在路由模式 3-83.2.2配置路由模式其它参数 3-83.3防火墙透明模式配置 3-83.3.1配置防火墙工作在透明模式 3-93.3.2配置地址表项 3-93.3.3配置对未知 MAC地址的IP报文的处理方式 3-93.3.4配置 MAC地址转发表的老化时间 3-103.4防火墙混合模式配置 3-103.4.1配置防火墙工作在混合模式 3-103.4.2配置混合模式其它参数 3-113.5防火墙工作模式的切换 3-113.6防火墙工作模式的查看和调试 3-113.7防火墙工作模式典型配置举例 3-123.7.1处理未知 MA

6、C 地址的IP报文 3-123.7.2透明防火墙连接多个局域网 3-12#Quidway Eudemon 500/1000 防火墙 操作手册(入门)第1章防火墙概述第1章防火墙概述1.1网络安全概述随着In ternet的迅速发展，越来越多的企业借助网络服务来加速自身的发展，此时， 如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人 们所关注。网络安全已成为网络建设不可或缺的组成部分。1.1.1安全威胁目前，In ternet网络上常见的安全威胁大致分为以下几类：非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密

7、码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法用户正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。信息盗窃：攻击者并不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排 序及插入虚假消息等操作，而使数据的一致性被破坏。1.1.2网络安全服务分类针对上述的安全威胁而采取的安全防护措施称为安全服务。一般定义下列几种通用 的安全服务：可用性服务：保证信息或服务在需要时能够被访问并正常工作。机密性服务：保证敏感数据或

8、信息不被泄漏或暴露给未授权的实体。完整性服务：保证数据不以未经授权的方式被改动或破坏。鉴别：提供某个实体身份合法性的保证。授权：对系统资源的使用实施控制，规定访问者的接入权限等。1.1.3安全服务的实现方法1. 加密加密是将可读的消息转化为不可读形式的加密文本的过程。加密不仅为用户提供通 信保密，同时也是其他许多安全机制的基础，如认证过程中口令的设计、安全通信 协议的设计及数字签名的设计等均离不开密码机制。加密方法主要分为三种：对称密码体制：其特征是用于加密和解密的密钥是一样的，每对用户共享同一密钥来交换消息，密钥必须是保密的。典型代表包括：数据加密标准 DES(Data Encryption

9、 Standard )、三层数据加密标准 3DES ( Triple DES )等。公钥密码体制：相对于对称密码体制，公钥密码体制有两个不同密钥，可将加 密功能和解密功能分开。一个密钥称为私钥，必须秘密保存；另一个称为公钥，可被公开分发。典型代表包括 DH( Diffie-Hellman )、RSA( Rivest，Shamir， Adleman )。散列函数：用于把一个变长的消息压缩到一个定长的编码字中，成为一个散列或消息摘要。散列函数包括 MD5( Message Digest 5 )、安全散列算法 SHA(Secure Hash Algorithm )。2. 认证认证通常用于在访问网络前

10、或网络提供服务前来鉴别用户身份的合法性。认证可以由网络上的每一台设备在本地提供，也可以通过专用的认证服务器来实施。相比较而言，后者具有更好的灵活性、可控性和可扩展性。目前，在异构网络环境中，RADIUS ( Remote Access Dial-In User Service，远程访问拨入用户服务)作为一个开放的标准被广泛用于认证服务。3. 访问控制访问控制是一种加强授权的方法。一般分为两种：基于操作系统的访问控制：访问某计算机系统资源时对用户的指定访问行为进行授权，可以基于身份、组、规则等配置访问控制策略。基于网络的接入控制：指对接入网络的权限加以限制。由于网络的复杂性，其机制远比基于操作系

11、统的访问控制更为复杂。一般在发起访问请求者和访问目标之间的一些中介点上配置实施访问控制组件(例如防火墙)，从而实现基于 网络的接入控制。4.安全协议网络的安全协议是网络安全的重要内容。在此，我们从TCP/IP的分层模型角度来介绍目前广泛使用的安全协议。(1) 应用层安全它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安 全性。应用层安全机制必须根据具体应用而定，其安全协议是应用协议的补充，因 此，不存在通用的应用层安全协议。例如，SSH ( Secure Shell，安全外壳)协议可以建立安全的远程登录会话和使用 通道连接其他TCP应用程序。(2) 传输层安全它提供基于同

12、一台主机进程之间、或不同主机上进程之间的安全服务。传输层安全 机制建立在传输层IPC (进程间通信)界面和应用程序两端的安全性基础上。在传输层中提供安全服务的想法便是强化它的IPC界面，如BSD套接(socket)等,具体做法包括双端实体的认证、数据加密密钥的交换等。按照这个思路，出现了建立在可靠传输服务基础上的安全套接层协议SSL( Secure Socket Layer )。SSL v3主要包含以下两个协议：SSL记录协议及SSL握手协议。网络层安全假使上层协议没有实现安全性保障，通过对网络层报文进行保护，用户信息也能够自动从网络层提供的安全性中受益，因此，IP安全是整个 TCP/IP安全

13、的基础，是In ternet安全的核心。目前，网络层最重要的安全协议是IPSec(IP Security Protocol )。IPSec是一系列网络安全协议的总称，其中包括安全协议、加密协议等，可为通讯双方提供访问控 制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务。(4) 数据链路层安全提供的是点到点的安全性，如在一个点到点链路或帧中继的永久虚链路上提供安全 性。链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解 密。1-#Quidway Eudemon 500/1000 防火墙 操作手册（入门）第1章防火墙概述1.2防火墙概述1.2.1安全防范体系

14、的第一道防线一一防火墙在实际应用中，单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种 技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言，安全防范体 系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外 部的绝大多数攻击，完成这项任务的网络边防产品我们称其为防火墙。类似于建筑大厦中用于防止火灾蔓延的隔断墙，In ternet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当 于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙 主要服务于以下目的：限制用户或信息由一个特定的被严格控制的站点

15、进入；阻止攻击者接近其他安全防御设施；限制用户或信息由一个特定的被严格控制的站点离开。防火墙通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如： 当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭 来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击；当防火墙位于组 织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的 连接处时，可以根据需要过滤对敏感数据的访问（即使该访问是来自组织内部）。1.2.2防火墙发展历史防火墙技术的发展历史大致经历了以下几个过程。1. 第一代防火墙一一包过滤防火墙包过滤指在网络层对每一个数据包进行检查，根据配置的安全策略来转发或拒绝数 据包。包过滤防火墙的基本原理是：通过配置 ACL （ Access Control