《部署安全防火墙系统(新编)H3C篇.doc》由会员分享,可在线阅读,更多相关《部署安全防火墙系统(新编)H3C篇.doc(96页珍藏版)》请在金锄头文库上搜索。
1、目 录第一章 防火墙技术介绍2第二章 SecPath防火墙体系结构9第三章 安全区域21第四章 访问控制列表ACL26第五章 包过滤技术33第六章 地址转换(NAT)44第七章 报文统计与攻击防范50第八章 运行模式68第九章 防火墙典型组网及常见故障诊断79第十章 SecPath防火墙特性测试实验指导85第一章 防火墙技术介绍1.1课程目标:学习完本课程,您应该能够:l 了解网络安全基本概念l 掌握防火墙必备的技术范围1.2 网络安全概述随着网络技术的普及,网络攻击行为出现的越来越频繁。通过各种攻击软件,只要具有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络被攻
2、击的危险。目前,Internet网络上常见的安全威胁分为一下几类。 非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。例如:攻击者通过猜测帐户和密码的组合,从而进入计算机系统以非法使用资源。 拒绝服务:服务器拒绝合法永福正常访问信息或资源的请求。例如,攻击者短时间内使用大量数据包或畸形报文向服务器发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。 信息盗窃:攻击者不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。 因此:l 网络安全
3、是Internet必须面对的一个实际问题l 网络安全是一个综合性的技术l 网络安全具有两层含义: 保证内部局域网的安全(不被非法侵入) 保护和外部进行数据交换的安全l 网络安全技术需要不断地完善和更新1.3网络安全关注的范围1.3.1网络安全关注点作为负责网络安全的管理人员主要关注(并不局限于)以下8个方面:1) 保护网络物理线路不会轻易遭受攻击2) 有效识别合法的和非法的用户(AAA)3) 实现有效的访问控制(ACL)4) 保证内部网络的隐蔽性(NAT)5) 有效的防伪手段,重要的数据重点保护(VPN)6) 对网络设备、网络拓扑的安全管理(防火墙集中管理)7) 病毒防范(蠕虫病毒智能防范)8
4、) 提高安全防范意识1.3.2网络安全设备的分类为了有效地实现网络安全的目的,致力于网络安全的厂家已经生产了如下安全设备:1) 防火墙2) VPN私有安全通道设备3) IPS/IDS入侵防御/检测设备4) 防毒墙5) 防水墙6) UTM统一威胁管理设备(Unified Threat Management7) 应用网管8) 内容过滤9) 垃圾邮件过滤10) 网页过滤11) 网闸等设备。伴随着网络安全技术的飞跃发展,将会相继有新的网络安全设备问世。1.4防火墙的必备技术针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:1) 网络隔离及访问控制:能够有效防止对外公开的服务器被黑客用于控制内网的
5、一个跳板。2) 攻击防范:能够保护网络免受黑客对服务器、内部网络的攻击。3) 地址转换:在解决网络地址不足的前提下实现对外的网络访问,同时能够实现对外隐藏内部网络地址和专用服务器。4) 应用层状态监测:可以实现单向访问。5) 身份认证:可以确保资源不会被未授权的用户(也可以称为非法用户)或以授权方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,进入计算机系统非法使用资源的行为。6) 内容过滤:能够过滤掉内部网络对非法网站/色情网站的访问,以及阻止通过邮件发送机密文件所造成的泄密行为。7) 安全管理:主要指日志审计和防火墙的集中管理。1.4.1网络隔离与访问控制防火墙的主要作用是实现网
6、络隔离和访问控制。防火墙从安全管理的角度出发,一般将设备本身划分为不同的安全区域,通过将端口和网络设备接到不同的区域里,从而达到网络隔离的目的:1) 不受信区域:一般指的是Internet,主要攻击都来自于这个区域。2) 受信区域:一般指的是内网区域,这个区域是可控的。3) DMZ区域:放置公共服务器的区域,一般情况下,这个区域接受外部的访问,但不会主动去访问外部资源。防火墙通常使用ACL访问控制列表、ASPF应用层状态检测包过滤的方法来实现访问控制的目的。图1-1通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接,电子邮件服务器接在DMZ区域接受内外部的访问。图中用语言描述了防火墙
7、所实现的网络隔离和访问控制的功能。防火墙交换机受信区域不受信区域DMZ区* 受信区域DMZ区,可以访问POP3和SMTP服务* DMZ受信区域,不可访问任何服务* 不受信区域DMZ区,可以访问POP3和SMTP服务* DMZ不受信区域,可以访问任何服务不受信区域和受信区域之间不能互访EMAIL服务器图1-11.4.2攻击防范防火墙主要关注边界安全,因此一般防火墙提供比较丰富的安全攻击防范的特性:防火墙受信区域不受信区域DoS攻击黑客正常用户阻止图1-21) DOS拒绝服务攻击防范功能包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片攻击等Dos拒绝服务攻击方式进行检测
8、,丢弃攻击报文,保护网络内部的主机不受侵害。2) 防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为,主动发现丢弃报文。WinNuke也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中包括操作系统无法处理的信息;这样便会导致操作系统提前崩溃或终止。land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。Tear drop类的攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移
9、量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉。3) 针对畸形报文的防范通过一些畸形报文,如果超大的ICMP报文,非法的分片报文,TCP标志混乱的报文等,可能会造成比较验证的危害,防火墙应该可以识别出这些报文。4) 针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。1.4.3地址转换(NAT) 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了到达所有的内部主机都可以连接Internet网络的目的,可以使
10、用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。 地址转换可以按照用户的需要,在内部局域网内部提供给外部FTP、WWW、Telnet服务。防火墙WEB服务器10.1.1.0/2410.1.1.1210.190.100.2310.1.1.100 210.190.100.2310.1.1.100 210.190.100.23图1-3防火墙同路由器一样,必须具备NAT地址转换功能,因此在NAT的细节上必须具备:1) 支持NAT/PAT,支持地址池;2) 支持策略NAT,根据不同的策略进行不同的NAT;3) 支持NAT server 模式,可以向外映射
11、内部服务器;4) 提供端口级别的NAT server 模式,可以将服务器的端口映射为外部的一个端口,不开放服务器的所有端口,增加服务器的安全性。5) 支持多种ALG: 包括H323/MGCP/SIP/H248/RTSP/HWCC,还支持ICMP、FTP、DNS、PPTP、NBT、ILS等协议。1.4.4应用层状态检测包过滤(ASPF)aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过
12、。为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流量进行监控。动态创建和删除过滤规则监视通信过程中的报文图1-4 H3C的SecPath防火墙的ASPF作为改进的状态检测安全技术,支持对多种应用协议进行检测:包括H323/MGCP/SIP/H248/RTSP/HWCC,以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。还支持对HTTP中Activex/JavaAppelt进行过滤1.4.5身份验证随着互联网的不断发展,越来越多的人们开始尝试在线交易。然而病毒、黑客、网络钓鱼以及网页仿冒
13、诈骗等恶意威胁,给在线交易的安全性带来了极大的挑战。层出不穷的网络犯罪,引起了人们对网络身份的信任危机,如何证明“我是谁?”及如何防止身份冒用等问题成为人们关注的焦点。计算机和互联网络世界里,身份认证是一个最基本的要素,也是整个信息安全体系的基础。如何确认访问者的真实身份?如何解决访问者的物理身份和数字身份的一致性问题?如何实现通信过程中信息的安全传输?这是大部分拥有网络的企业一直期望解决的问题。防火墙用户上网用户名、密码 ?输入用户名、密码 认证通过 正常上网 图1-5H3C SecPathf序列防火墙支持Radius服务器认证和本地认证。认证形式可以为::l PPPOE认证:一般用于内网访
14、问外部的控制,需要客户端,认证通过后则可以访问外网l L2TP认证:主要用于VPN应用,外部移动办公用户在接入到内部网络需要经过认证。1.4.6内容过滤互联网的发展促进了信息的共享和交流,为了提高员工的工作效率和信息查询,企业等机构会向员工提供外部http访问的权限。但是互联网上各种信息泛滥,如何有效的保证员工上网,又可以防止不良信息进入内部网络是管理员必须解决的问题。 正常网站 有害网站有害内容健康内容* 有害网站过滤* 网页恶意内容摘除图1-6 H3C SecPath防火墙提供了针对应用协议的访问控制能力,通过独有的ASPF特性,对应用层协议进行分析,实现对应用协议的内容过滤。SecPath防火墙提供的HTTP协议过滤功能提供了对HTTP网址过滤和网页内容过滤,可以有效的管理员工上网的行为,提高工作的效率,节约出口带宽,保障正常的数据流量,屏蔽各种”垃圾“信息,从而保证内部网络的”绿色环境“。 用户可以设置网址过滤需要过滤的网址列表,网址过滤列表可以保存在flash中的网址过滤文件中。网址过滤文件中的过滤列表的格式为: 、 、 可以制定每条网址是禁止访问还是允许访问,并可以指定在网址过滤列表中没有找到的网址采取何种缺省动作(允许还是禁止),从而为用户提供最大的控制灵活性。 为了防止网页中可执行代码对内部网络造成的潜在威胁,可以指定HTTP
