Eudemon系列防火墙培训.ppt

防火墙ISSUE1.0,业务与软件技术服务部集成产品部,学习目标,了解防火墙的概念熟悉Eudemon防火墙产品能够对Eudemon防火墙进行规划和配置,学习完本课程，您应该能够：,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤Eudemon防火墙的维护防火墙的常见组网方式,防火墙的概念,随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造，防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的：“防止Internet的危险传播到你的内部网络”。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。,防火墙的概念,简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。,防火墙和路由器的差异,路由器的特点：保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。,防火墙的特点：逻辑子网之间的访问控制，关注边界安全基于连接的转发特性。安全防范是防火墙的核心特性。,由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。,防火墙的分类,按照防火墙实现的方式，一般把防火墙分为如下几类：包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义通过防火墙数据包的条件。包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。,状态检测技术,状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session表项，通过Session表项就可以决定哪些连接是合法访问，哪些是非法访问。,防火墙的硬件发展,防火墙的硬件发展过程：1、一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 1000产品。,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤Eudemon防火墙的维护防火墙的常见组网方式,Eudemon防火墙介绍,Eudemon防火墙介绍防火墙的介绍安全区域工作模式控制列表应用访问策略ASPF黑名单Nat地址转换双机工作方式 VRRP组HRP攻击防范,一夫当关，万夫莫开,华为公司Eudemon防火墙,华为公司系列硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障,Eudemon 1000/500,Eudemon 200,Eudemon 100,华为公司Eudemon系列防火墙,Eudemon 100,定位于中小规模网络 吞吐率：100Mbps 并发连接数：200,000条 新建连接率：5,000条/秒 支持4个FE接口,Eudemon 200,定位于中等规模网络 吞吐率：400Mbps 并发连接数：500,000条 新建连接率：10,000条/秒,Eudemon 1000/500,定位于中大规模网络 吞吐率：3Gbps 并发连接数：800,000条 新建连接率：100,000条/秒,专用硬件系统 专用软件系统 高可靠 高安全 高性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统,Eudemon 防火墙主要特点,Eudemon防火墙基本规格,Eudemon防火墙基本规格,Eudemon防火墙基本规格,Eudemon防火墙基本规格,防火墙的安全区域,防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域,防火墙的安全区域,路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间,不允许来自10.0.0.1的数据报从这个接口出去,禁止所有从DMZ区域的数据报转发到UnTrust区域,防火墙的安全区域,Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。,防火墙的安全区域,域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。,In,Out,In,Out,In,Out,In,Out,防火墙的安全区域,本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文,In,Out,In,Out,In,Out,In,Out,防火墙的安全区域,防火墙的模式,路由模式透明模式混合模式,防火墙的路由模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。,防火墙的透明模式,透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。,防火墙的混合模式,混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。,状态防火墙处理过程,IP包过滤技术介绍,对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。,Internet,公司总部,内部网络,未授权用户,办事处,访问控制列表是什么？,一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：,如何标识访问控制列表？,利用数字标识访问控制列表利用数字范围标识访问控制列表的种类,700799范围的ACL是基于MAC地址的访问控制列表,标准访问控制列表,标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。,路由器,标准访问控制列表的配置,配置标准访问列表的命令格式如下：acl acl-number match-order config|auto rule normal|special permit|deny source source-addr source-wildcard|any,怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段（202.38.0.0）上的主机但允许其中的一小部分主 机（202.38.160.0）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,扩展访问控制列表,扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。,路由器,扩展访问控制列表的配置命令,配置TCP/UDP协议的扩展访问列表：rule normal|special permit|deny tcp|udp source source-addr source-wildcard|any source-port operator port1 port2 destination dest-addr dest-wildcard|any destination-port operator port1 port2 logging配置ICMP协议的扩展访问列表：rule normal|special permit|deny icmp source source-addr source-wildcard|any destination dest-addr dest-wildcard|any icmp-type icmp-type icmp-code logging配置其它协议的扩展访问列表：rule normal|special permit|deny ip|ospf|igmp|gre source source-addr source-wildcard|any destination dest-addr dest-wildcard|any logging,扩展访问控制列表操作符的含义,在区域间应用访问控制列表,例子：创建编号为102的访问控制列表。Eudemon acl number 102#配置ACL规则，允许特定用户从外部网访问内部服务器。Eudemon-acl-adv-102 rule permit tcp source 202.39.2.3 0 destination 129.38.1.1 0Eudemon-acl-adv-102 rule permit tcp source 202.39.2.3 0 destination 129.38.1.2 0Eudemon-acl-adv-102 rule permit tcp source 202.39.2.3 0 destination 129.38.1.3 0上述配置已经完成了ACL的创建。下面的配置是在包过滤应用中引用ACL，相关命令的具体解释请见相关章节的描述。#将ACL规则101作用于Trust区域到Untrust区域间的出方向。Eudemon-Interzone-trust-untrust packet-filter 101 outbound#将ACL规则102作用于unTrust区域到trust区域间的入方向。Eudemon-Interzone-trust-untrust packet-filter 102 inbound#在Trust区域和Untrust区域之间使能FTP协议的应用协议检测。Eudemon-Interzone-trust-untrust detect ftp,ASPF,ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。,ASPF,ASPF能够监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒绝服务）的检测和防范。Java Blocking（Java阻断）保护网络不受有害Java Applets的破坏。Activex Blocking（Activex阻断）保护网络不受有害Activex的破坏。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。,ASPF配置举例,ASPF配置举例,Eudemon firewall session aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 101Eudemon-acl-adv-101 rule deny ipEudemon acl number 10Eudemon-acl-basic-10 rule deny source 2.2.2.11 0.0.0.0Eudemon-acl-basic-10 rule permit source anyEudemon firewall packet-filter default permit interzone trust untrust direction outboundEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 101 inboundEudemon-interzone-trust-untrust detect ftpEudemon-interzone-trust-untrust detect httpEudemon-interzone-trust-untrust detect java-blocking 10,黑名单,黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。,黑名单,黑名单的创建undo firewall blacklist item sour-addr timeout minutes 黑名单的使能undo firewall blacklist enable黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global,黑名单配置举例,服务器和客户机分别位于防火墙Trust区域和Untrust区域中，现要在100分钟内过滤掉客户机发送的所有ICMP报文。,黑名单配置举例,Eudemon firewall blacklist item 202.169.168.10 timeout 100Eudemon firewall blacklist packet-filter icmp range globalEudemon firewall blacklist enable,地址转换,NAT（Network Address Translation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。私有网络一般使用私有地址，RFC1918为私有、内部的使用留出了三个IP地址块，如下：A类：10.0.0.010.255.255.255（10.0.0.0/8）B类：172.16.0.0172.31.255.255（172.16.0.0/12）C类：192.168.0.0192.168.255.255（192.168.0.0/16）上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP或注册中心申请而在公司或企业内部自由使用。路由器可以在接口上配置地址转换，Eudemon防火墙是在区域之间实现地转换,多对多地址转换,Eudemon防火墙是通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。地址池：用于地址转换的一些公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换后的源地址。利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权访问Internet。,多对多地址转换,Eudemon防火墙上配置多对多地址转换的步骤如下在系统视图下定义一个可以根据需要进行分配的NAT地址池nat address-group group-number start-addr end-addr其中，group-number是标识这个地址池的编号，start-addr end-addr是地址池的起始和结束IP地址。在系统视图和ACL视图下定义一个访问控制列表在系统视图下定义访问控制列表acl number acl-number match-order config|auto 在ACL视图下定义访问控制规则rule rule-id permit|deny source sour-addr sour-wildcard|any time-range time-name logging 在域间视图下将访问控制列表和NAT地址池关联nat outbound acl-number address-group group-number,Nat Server配置,在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT可以灵活地添加内部服务器，通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。nat server protocol pro-type global global-addr global-port1 global-port2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr,Easy IP配置,Easy IP的概念很简单，当进行地址转换时，直接使用接口的公有IP地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。nat outbound acl-number interface interface-name,应用级网关ALG,NAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们报文的数据部分可能包含IP地址或端口信息，这些内容不能被NAT有效的转换，这就可能导致问题。例如，一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时FTP服务器将表现为不可达。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用ALG（Application Level Gateway，应用级网关）功能。ALG是特定的应用协议的转换代理，它和NAT交互以建立状态，使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据，并完成其他必需的工作以使应用协议可以跨越不同范围运行。在系统视图下执行下列命令则使能了相应协议的ALG功能nat alg enable ftp|h323|icmp|ras 在域间视图下为应用层协议配置ASPF检测detect protocol,Eudemon双机热备,什么是双机热备？所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。,双机热备的实现和原理,实现双机热备的基本步骤：在接口上配置VRRP（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；将VRRP备份组加入到VGMP（VRRP组管理协议）中，以实现对VRRP管理组的统一管理；使能HRP（华为冗余协议），实现双机情况下的信息备份。双机热备的基本原理：两台防火墙形成双机热备，两台防火墙之间通过VRRP的hello报文协商主备关系，根据VGMP的优先级和接口的IP从而确定防火墙的master和slave关系，并且master防火墙会通过HRP协议定时向slave传送备份信息（命令行备份信息和动态备份信息），当master防火墙出现故障时，主备关系发生转换，业务会平滑切换，不会影响这个业务的进行。注意：对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份,双机热备注意事项,在双机热备组网中，需要注意的几个问题：1.对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备 份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份；2.由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。3.进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。,双机热备应用协议,VRRP（Virtual Router Redundancy Protocol）虚拟路由器冗余协议VRRP（Virtual Router Redundancy Protocol）作为一种容错协议，适用于支持组播或广播的局域网（如以太网等），通过一组路由设备共用一个虚拟的IP来达到提供一个虚拟网关的目的。,VRRP在防火墙应用的缺陷每个备份组的VRRP是单独工作的，并且每个VRRP状态相对独立，因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用，可能会导致业务中断。由于Eudemon是状态防火墙，对于各安全区域之间的每个动态生成的五元组的会话连接，Eudemon都有一个会话表项与之对应，只有命中该会话表项的后续报文（包括返回报文）才能够通过Eudemon防火墙，这就要求某会话的进路径、出路径必须一致，因此VRRP无法保证主从防火墙的这种会话连接一致，当出现切换后会出现业务中断。,双机热备应用协议,双机热备应用的协议,二.VGMP（VRRP Group Management Protocol）VRRP组管理协议 为了确保各VRRP备份组之间通路状态一致性，需要配置VRRP管理组，由管理组统一管理各独立运行的VRRP备份组，从而实现各备份组之间的互通。以防止可能导致的VRRP状态不一致现象的发生。从而实现对多个VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理。也许会问VRRP下有接口监视命令不是可以实现设备的状态统一吗？VRRP下的track接口监视命令，的确可以达到实现设备的状态统一，但是如果接口较多的情况下，配置就会很繁琐，同时很容易出错。接口监视命令只能实现对其他接口状态的监控已达到VRRP的状态统一，但是VRRP是独立工作的，当由于抢占设备中一个VRRP状态发生变化后，监控命令是无法使所有的VRRP状态都进行变化的。,双机热备应用协议,状态一致性管理各备份组的主/备状态变化都需要通知其所属的VRRP管理组，由VRRP管理组决定是否允许VRRP备份组进行主/备状态切换。,抢占管理 无论各VRRP备份组内Eudemon防火墙设备是否使能了抢占功能，抢占行为发生与否必须由VRRP管理组统一决定。,通道管理 所谓通道管理，是为了提供传输VGMP报文、VGMP相关承载报文、VRRP状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。,2.VGMP提供的功能,双机热备应用协议,三.HRP（Huawei Redundancy Protocol）华为冗余协议HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息，特别是会话表项。,双机热备应用协议,防火墙应用状态的可靠性备份：动态生成的黑名单防火墙生成的会话表表项SERVERMAP表项NO-PAT表项,双机热备应用协议,防火墙配置命令的备份：ACL包过滤命令的配置攻击防范命令的配置地址绑定命令的配置黑名单命令的启用以及手工添加黑名单用户和对黑名单命令的删除操作日志命令NAT命令的配置统计命令的配置域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置ASPF（应用层包过滤防火墙）的命令配置清除会话表项命令（reset firewall session table)和清除配置的命令（undo XXX）注意：1.在批处理手工备份时，对于undo和reset命令是无法进行备份的。2.除以上命令行可以备份外，其他命令无法备份。如路由命令等，需要主从防火墙同时配置。,双机热备应用协议,攻击类型简介,单报文攻击FraggleIp spoofLandSmurfTcp flagWinnukeip-fragment,攻击类型简介,分片报文攻击Tear DropPing of death拒绝服务类攻击SYN FloodUDP Flood&ICMP Flood扫描IP sweepPort scan,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤Eudemon防火墙的维护防火墙的常见组网方式,Eudemon防火墙配置步骤,Eudemon防火墙配置步骤防火墙组网规划配置接口IP地址配置域把接口划分到域配置VRRP（双机）配置VRRP组配置HRP验证双机配置配置地址转换配置ACL在域间应用ACL校验业务配置,防火墙组网规划,防火墙组网规划组网拓朴图（具体到网络设备物理端口的分配和连接）IP地址的分配（具体到网络设备所有IP地址的分配）防火墙上的区域划分防火墙的地址映射关系防火墙需要开放的策略,配置IP地址,配置IP地址，把各接口的IP地址配置好#配置防火墙接口Ethernet 0/0/0。Eudemon interface ethernet 0/0/0Eudemon-Ethernet0/0/0 ip address 192.168.1.1 255.255.255.0 Eudemon-Ethernet0/0/0 quit如为双机，需要在接口下配置vrrp Eudemonint eth 0/0/0 Eudemon-ethernet0/0/0ip address 192.168.10.1 255.255.255.0#在接口eth0/0/0下配置VRRP备份组1，注意虚拟IP需要和接口地址同一网段 Eudemon-ethernet0/0/0vrrp vrid 1 virtual-ip 192.168.10.4 Eudemon-ethernet0/0/0interface ethernet 0/0/1 Eudemon-ethernet0/0/1ip address 192.168.3.1 255.255.255.0#在接口eth0/0/1下配置VRRP备份组2注意：在接口下配置vrrp时，不要配置vrrp优先级,配置区域,配置区域，并把区域优先级配置好（采用缺省区域则不用）#配置区域dmz。Eudemon firewall zone name dmz1Eudemon-zone-dmz1 set priority 70,把接口加入到区域中,把相应的接口加入到相应的区域中去#配置接口Ethernet 1/0/0加入防火墙DMZ域。Eudemon firewall zone dmzEudemon-zone-dmz add interface ethernet 1/0/0Eudemon-zone-dmz quit,配置VRRP组,#创建VRRP管理组1，将所有的VRRP备份组添加到管理组中进行统一管理 Eudemonvrrp-group 1#在VGMP组中将虚拟路由加入，并且VGMP会按照配置的范围进行自动排序，如下面的配置当执行display current可以看到 add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only 为第一条，vrrp1和vrrp2分别为1、2条。Eudemon-vrrpgroup-1add interface ethernet 0/0/0 vrrp vrid 1 data Eudemon-vrrpgroup-1add interface ethernet 0/0/1 vrrp vrid 2 data 配置transfer-only参数的通道会作为首选通道，并且该通道不会状态的变化 不会影响VGMP优先级的变化而引起状态切换 Eudemon-vrrpgroup-1add interface ethernet 2/0/0 vrrp vrid 3 data transfer-only 使能VRRP管理组，只有使能了VGMP，才能对VRRP进行统一管理 Eudemon-vrrpgroup-1vrrp enable#启用VRRP管理组的自动抢占功能，抢占延时采用默认时间为0秒 Eudemon-vrrpgroup-1vrrp preedom,配置VRRP组和HRP,当防火墙不配置VGMP的优先级时，默认优先级为100。当配置优先级应注意VGMP优先级的递减算法：递减后的优先级优先级优先级/16，当主防火墙出故障时，递减后的优先级应比slave防火墙的优先级低，才可进行主备状态切换，否则出故障的防火墙仍然为主状态，从而导致业务会中断。例如以下配置递减后的优先级为105105/1698，因此slave防火墙应比该优先级大。Eudemon-vrrpgroup-1vrrp priority 105 Eudemon-vrrpgroup-1quit#使能HRP功能，当使能HRP功能后会在Eudemon前显示HRP_M，从防火墙上会显示HRP_S，默认是自动实时备份。Eudemonhrp enable以上为主防火墙的配置，从防火墙的配置基本上与主防火墙的配置相同，只需要改变接口的IP地址即可。,配置NAT和ACL,配置地址转换Eudemon nat server protocol tcp global 202.169.10.10 www inside 192.168.20.10 www配置ACLEudemon acl name tod advancedEudemon-acl-adv-tod rule permit tcp destination 192.168.20.10 0/acl使用内网地址应用ACLEudemon firewall interzone dmz untrustEudemon-interzone-dmz-untrust packet-filter tod inbound,校验防火墙配置,校验双机状态检查双机切换对于业务是否有影响校验配置同步情况 检查主备机的配置是否同步的，可以通过比较配置来实现校验业务是否正常测试业务是否正常,内容,防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤Eudemon防火墙的维护防火墙的常见组网方式,防火墙维护命令,display diagnostic-information此命令收集防火墙的所有信息，用于提交支持人员分析所用。,防火墙维护命令,display firewall session table v 此命令用于查看防火墙连接信息表 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38893 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38899 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38906 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38913 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38921 tcp,192.168.53.172:45000192.168.0.241:45000-192.168.53.143:38927,防火墙维