防火墙产品与维护培训.ppt

华为版权所有，未经许可不得扩散防火墙产品与维护防火墙产品与维护ISSUE 1.0内部资料，注意保密学习目标学习目标学习完本课程，您应该能够：q 了解Eudemon 产品工作原理q 了解Eudemon 产品规格和特性q 掌握Eudemon 产品典型组网及配置q 掌握Eudemon 产品维护方法1内部资料，注意保密第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导2内部资料，注意保密防火墙概述防火墙概述q 网络安全问题成为近年来网络问题的焦点q 网络安全包括基础设施安全、边界安全和管理安全等全方位策略q 防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击q 与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率q 由于防火墙用于边界安全，因此往往兼备NAT、VPN 等功能q 我司防火墙：Eudemon 系列（英文含义守护神）一夫当关，万夫莫开3内部资料，注意保密防火墙的分类（一）防火墙的分类（一）q 包过滤防火墙q 代理防火墙q 状态防火墙包过滤防火墙 代理防火墙 状态防火墙4内部资料，注意保密防火墙的分类防火墙的分类(二）二）按照防火墙实现的方式，一般把防火墙分为如下几类：q 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP 源地址、目的地址、TCP/UDP 的源端口、和TCP/UDP 的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。q 代理型防火墙（application gateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client 来说防火墙是一个Server，对Server 来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。q 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。5内部资料，注意保密防火墙技术发展方向防火墙技术发展方向q 软件防火墙。一般是直接安装在PC 上的一套软件，基于PC 提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint 公司的防火墙产品。q 工控机类型防火墙。采用PC 硬件结构，基于linux 等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。q 电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI 总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200 产品、NetScreen 204 等防火墙产品。q 基于NP 电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G 线速的处理能力。代表产品有华为公司的Eudemon 500/1000 产品。软件防火墙=工控机类型防火墙=电信级硬件防火墙=基于NP 电信级防火墙6内部资料，注意保密基于改进的状态检测安全技术（一）基于改进的状态检测安全技术（一）q 改进的状态防火墙：Eudemon 系列防火墙即采用的这种技术，这是华为特有的ASPF 技术（Application specific packet filter），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。动态创建和删除过滤规则监视通信过程中的报文7内部资料，注意保密基于改进的状态检测安全技术（二）基于改进的状态检测安全技术（二）q ASPF（Application Specific Packet Filter）增强VRP 平台上的防火墙功能，提供针对应用层的报文过滤功能。q ASPF 是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF 维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。q ASPF 不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。8内部资料，注意保密基于改进的状态检测安全技术（三）基于改进的状态检测安全技术（三）q 状态防火墙通过检测基于TCP/UDP 连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个Session 表项，通过Session 表项就可以决定哪些连接是合法访问，哪些是非法访问。9内部资料，注意保密DoS 攻击的防范对所有处于半开(TCP SYN or UDP)状态的连接进行数目统计和速度采样。基于改进的状态检测安全技术（四）基于改进的状态检测安全技术（四）q FTP 是File Transfer Protocol（文件传输协议）要用到两个TCP连接，一个是控制通道，用来在FTP 客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。检查接口上的外发IP 报文，确认为基于TCP的FTP 报文。q 检查端口号确认连接为控制连接，建立返回报文的临时ACL 和状态表。q 检查FTP 控制连接报文，解析FTP 指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时ACL，对于数据连接，不进行状态检测。q 对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时ACL 决定报文是否允许通过。10内部资料，注意保密主要防火墙性能衡量指标主要防火墙性能衡量指标q 吞吐量 其中吞吐量业界一般都是使用1K 1.5K 的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200 字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL 规则，因此需要考察防火墙支持大量规则下转发性能。q 每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。q 并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP 的访问11内部资料，注意保密第一章防火墙技术简介第二章防火墙体系结构第三章 防火墙原理与特性第四章 防火墙升级指导第五章防火墙故障处理指导12内部资料，注意保密EudemonEudemon系列防火墙外观系列防火墙外观q 华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon 200Eudemon 100Eudemon 500Eudemon 100013内部资料，注意保密EudemonEudemon系列防火墙性能系列防火墙性能项目 技术参数与性能指标Eudemon 100 Eudemon 200 Eudemon500Eudemon 1000整机吞吐率100Mbps（实际略低）400Mbps 1200M 3Gbps并发连接数20万 50万 50万 80万每秒新建连接数5000条/秒 20000条/秒 100000条/秒 100000条/秒q Eudemon 系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。14内部资料，注意保密Eudemon 200Eudemon 200：高效可靠的体系结构：高效可靠的体系结构双总线双总线q 双通道设计q 总线冲突减少，总带宽提升q 双通道收发互不影响接口卡1接口卡2PCI-0PCI-1高速内部交换PCI0PCI1CPUq 精心设计的体系架构保证了防火墙即使是在64 字节报文下依旧保持优异转发性能，高速ACL 技术保证了配置大量规则下，性能不受影响。15内部资料，注意保密Eudemon 500/1000：基于NP 的集中式多业务路由器Eudemon 500/1000 Eudemon 500/1000：基于：基于NPNP逻辑结构逻辑结构q 全模块化、基于NP 硬件集中式转发、电信级可靠性；q TCP、UDP 首包都是NP 进行处理，保证了每秒新建连接100,000 条/秒，充分保证网络安全性。NP 转发方式保证了Eudemon 500 和1000 在64 字节报文下分别超过1G 和2G；q 基于硬件ACL 保证了配置大量规则情况，性能不受影响。CPUNP高速交换转 发Logic高速接口智能接口高速接口高速接口2G PCI 共享数据总线2G D_bus 交换总线16内部资料，注意保密先进的体系架构先进的体系架构q Eudemon 防火墙完全自主开发。软件采用专有操作系统，安全/高性能并重。q Eudemon 500/1000 防火墙采用网络处理器技术，高性能、可扩展性兼顾。CPU功能灵活，可不断升级，弱点是性能低。ASIC性能高，弱点是过于固化，无法升级NPCPU ASIC基于软件的CPU的灵活性和基于ASIC的高速转发的结合NP（网络处理器）17内部资料，注意保密防火墙的基本工作流程防火墙的基本工作流程q 传统包过滤防火墙（路由器）18内部资料，注意保密E200E200状态防火墙状态防火墙19内部资料，注意保密与工控机类型防火墙技术对比与工控机类型防火墙技术对比大项 子项 工控机类型防火墙 Eudemon 系列防火墙可靠性 CPU 计算机通用CPU，功耗大，CPU 需要借用风扇散热。通常为Intel Pentium 系列CPU通信用Powerpc 系列，功耗低电源 计算机电源，有些工程机无电源故障告警指示。通信专用电源，适用范围广，电源支持1+1 备份，可热插拔，出现故障面板有指示灯告警，并上送告警日志。器件 计算机通用器件，可靠性低 高优质器件散热系统 计算机风扇，一般内置。有些工控机无故障告警指示，可能由于风扇问题导致元器件损坏。智能散热系统。分4组8个小风扇，温度智能检测，温度自动调控，风扇支持热插拔，出现故障面板有指示灯告警，并上送告警日志。结构 CPU+主板+网卡 无源背板设计，主控板、散热系统、网络处理器模块、接口模块、电源模块全模块化设计，可独立更换。接口卡支持热插拔。性能 小包（64字节）处理能力只有大包（1K 字节）处理能力1/101/6 Eudemon 200 小包超过120M，Eudemon 500/1000 分别超过1G/2G每秒新增连接百兆防火墙只有几千，千兆防火墙 2 万Eudemon 500/1000 10 万安规认证 如果只在国内销售，一般为省成本不做认证 CE、UL、FCC-PART15、TUV-GS、VCCI 等硬件成本 低 高应用场所 可靠性、性能要求没太高要求企业 可靠性、性能要求高的大、中型企业及电信运营网络20内部资料，注意保密千兆防火墙技术对比千兆防火墙技术对比大项 子项 基于ASIC 方式千兆防火墙 Eudemon 500/1000 防火墙结构 CPU+ASIC CPU+NP性能 小包处理能力 千兆 1G/2G每秒新增连接 2 万 10万业务支持能力 TCP连接处理 CPU 参与 全部NP 处理带宽管理 不能对每个IP进行连接数和流量限制，支持QoS能力弱支持对每个IP进行连接数和流量限制，支持QoS防DOS 攻击 弱（支持TCP Proxy 困难，难以防范SYN FLOOD）强（支持TCP Proxy 容易，难以防范SYN FLOOD）业务支持能力 支持通常TCP/UDP/ICMP，复杂协议状态检测困难，支持NAT ALG 少。除了支持通常TCP/UDP/ICMP 状态检测以外，可以支持H.323、RTSP、MGCP、SIP 等复杂协议状态检测和ALG，可支持多网合一。IPV6 不能软件升级支持 能软件升级支持21内部资料，注意保密第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导22内部资料，注意保密第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP&HRP23内部资料，注意保密防火墙的安全区域（一）防火墙的安全区域（一）q 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Local 区域Trust 区域DMZ 区域UnTrust 区域接口1接口2接口3接口424内部资料，注意保密Local 区域Trust 区域DMZ 区域UnTrust 区域接口1接口2接口3接口4防火墙的安全区域（二）防火墙的安全区域（二）q 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去禁止所有从DMZ 区域的数据报转发到UnTrust 区域25内部资料，注意保密防火墙的安全区域（三）防火墙的安全区域（三）q Eudemon 防火墙上保留四个安全区域：非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。q 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16 个安全区域。26内部资料，注意保密防火墙的安全区域（四）防火墙的安全区域（四）q 域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local 区域Trust 区域DMZ 区域UnTrust 区域接口1接口2接口3接口4InOutInOutoutinIn Out27内部资料，注意保密防火墙的安全区域（五）防火墙的安全区域（五）本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃（版本后支持）接口没有加入域之前不能转发包文Local 区域Trust 区域DMZ 区域UnTrust 区域接口1接口2接口3接口4InOutInOutInOutInOutLocal 区域Trust 区域DMZ 区域UnTrust 区域接口1接口2接口3接口428内部资料，注意保密防火墙的安全区域（六）防火墙的安全区域（六）29内部资料，注意保密第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP&HRP30内部资料，注意保密防火墙的三种工作模式（一）防火墙的三种工作模式（一）q 路由模式q 透明模式q 混合模式31内部资料，注意保密防火墙的三种工作模式（二）防火墙的三种工作模式（二）q 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。32内部资料，注意保密防火墙的三种工作模式（三）防火墙的三种工作模式（三）q 透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配IP 地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP 地址进行各种安全策略的匹配。q Eudemon 防火墙与网桥存在不同，Eudemon 防火墙中IP 报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。q 透明模式可以配置系统IP。33内部资料，注意保密防火墙的三种工作模式（四）防火墙的三种工作模式（四）q 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP 需要在接口上配置IP 地址，而透明模式无法实现这一点。34内部资料，注意保密第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP&HRP35内部资料，注意保密防火墙的安全防范防火墙的安全防范q ACL（参考ACL 原理）q 安全策略q NATq 攻击防范q IDS 联动36内部资料，注意保密ACLACL加速加速q 应为每次区域间转发数据报时都要线性检查ACL 中的所有规则,当ACL 中的规则较多时,将极大的影响转发速度。ACL 加速查找功能是一种能大大提高访问控制列表查找性能的技术。ACL 加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能ACL 加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。q 增加规则要重新下发：系统视图下acl accelerate enable q 基于MAC 地址的访问控制列表不支持ACL 加速查找功能 Rule 1Rule 2Rule 3ACL 规则库 37内部资料，注意保密防火墙的安全防范防火墙的安全防范q ACLq 安全策略q NATq 攻击防范q IDS 联动38内部资料，注意保密ASPFASPFq ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF 能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。q 为保护网络安全，基于ACL 规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。q ASPF 对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。39内部资料，注意保密黑名单（一）黑名单（一）q 黑名单，指根据报文的源IP 地址进行过滤的一种方式。同基于ACL 的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP 地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon 防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP 地址的攻击企图之后，通过主动修改黑名单列表从而将该IP 地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。40内部资料，注意保密黑名单（二）黑名单（二）q 黑名单的创建 undo firewall blacklist item sour-addr timeout minutes q 黑名单的使能 undo firewall blacklist enableq 黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global 41内部资料，注意保密黑名单配置举例（一）黑名单配置举例（一）q 服务器和客户机分别位于防火墙Trust 区域和Untrust 区域中，现要在100 分钟内过滤掉客户机发送的所有ICMP报文。42内部资料，注意保密黑名单配置举例（二）黑名单配置举例（二）q Eudemon firewall blacklist item 202.169.168.10 timeout 100q Eudemon firewall blacklist packet-filter icmp range globalq Eudemon firewall blacklist enable43内部资料，注意保密其它其它q MAC 和IP 地址绑定，指防火墙可以根据用户的配置，在特定的IP地址和MAC 地址之间形成关联关系。对于声称从这个IP 发送的的报文，如果其MAC 地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP 地址的报文，在通过防火墙时将被强制发送给这个MAC 地址。从而形成有效的保护，是避免IP 地址假冒攻击的一种方式。注意其要点q 端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（system-defined）和用户定义（user-defined）的端口识别表。44内部资料，注意保密防火墙的安全防范防火墙的安全防范q ACLq 安全策略q NATq 攻击防范q IDS 联动45内部资料，注意保密防火墙数据报安全匹配的顺序防火墙数据报安全匹配的顺序数据报46内部资料，注意保密防火墙的安全防范防火墙的安全防范q ACLq 安全策略q NATq 攻击防范q IDS 联动47内部资料，注意保密攻击类型简介（一）攻击类型简介（一）q 单报文攻击 Fraggle Ip spoof Land Smurf Tcp flag Winnuke ip-fragment48内部资料，注意保密攻击类型简介（二）攻击类型简介（二）q 分片报文攻击 Tear Drop Tear Drop Ping of death Ping of deathq 拒绝服务类攻击 SYN Flood SYN Flood UDP Flood&ICMP Flood UDP Flood&ICMP Floodq 扫描 IP sweep IP sweep Port scan Port scan49内部资料，注意保密单包攻击原理及防范（一）单包攻击原理及防范（一）q Fraggle 特征：UDP 报文，目的端口7（echo）或19（Character Generator）目的：echo 服务会将发送给这个端口的报文再次发送回去 Character Generator 服务会回复无效的字符串 攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击 如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满 配置：firewall defend fraggle enable 原理：过滤UDP 类型的目的端口号为7 或19 的报文50内部资料，注意保密单包攻击原理及防范（二）单包攻击原理及防范（二）q IP Spoof 特征：地址伪冒 目的：伪造IP 地址发送报文 配置：firewall defend ip-spoofing enable 原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP 地址的出接口，丢弃报文51内部资料，注意保密单包攻击原理及防范（三）单包攻击原理及防范（三）q Land 特征：源目的地址都是受害者的IP 地址，或者源地址为127 这个网段的地址 目的：导致被攻击设备向自己发送响应报文，通常用在syn flood 攻击中 配置：firewall defend land enable 防范原理：对符合上述特征的报文丢弃52内部资料，注意保密单包攻击原理及防范（四）单包攻击原理及防范（四）q Smurf 特征：伪冒受害者IP 地址向广播地址发送ping echo 目的：使受害者被网络上主机回复的响应淹没 配置：firewall defend smurf enable 原理：丢弃目的地址为广播地址的报文53内部资料，注意保密单包攻击原理及防范（五）单包攻击原理及防范（五）q TCP flag 特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST 等位 目的：使被攻击主机因处理错误死机 配置：firewall defend tcp-flag enable 原理：丢弃符合特征的报文54内部资料，注意保密单包攻击原理及防范（六）单包攻击原理及防范（六）q Winnuke 特征：设置了分片标志的IGMP 报文，或针对139 端口的设置了URG 标志的报文 目的：使被攻击设备因处理不当而死机 配置：firewall defend winnuke enable 原理：丢弃符合上述特征报文55内部资料，注意保密单包攻击原理及防范（七）单包攻击原理及防范（七）q Ip-frag 特征：同时设置了DF 和MF 标志，或偏移量加报文长度超过65535 目的：使被攻击设备因处理不当而死机 配置：firewall defend ip-fragment enable 原理：丢弃符合上述特征报文56内部资料，注意保密分片报文攻击原理及防范（一）分片报文攻击原理及防范（一）q Tear drop 特征：分片报文后片和前片发生重叠 目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口 配置：firewall defend teardrop enable 原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文57内部资料，注意保密分片报文攻击原理及防范（二）分片报文攻击原理及防范（二）q Ping of death 特征：ping 报文全长超过65535 目的：使被攻击设备因处理不当而死机 配置：firewall defend ping-of-death enable 原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片58内部资料，注意保密拒绝服务攻击原理及防范（一）拒绝服务攻击原理及防范（一）q SYN Flood 特征：向受害主机发送大量TCP 连接请求报文 目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求 配置：statistic enable ip inzone firewall defend syn-flood ip X.X.X.X|zone zonename max-number num max-rate num tcp-proxy auto|on|off firewall defend syn-flood enable 原理：防火墙基于目的地址统计对每个IP 地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK 报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话59内部资料，注意保密拒绝服务攻击原理及防范（二）拒绝服务攻击原理及防范（二）q UDP/ICMP Flood 特征：向受害主机发送大量UDP/ICMP 报文 目的：使被攻击设备消耗掉所有处理能力 配置：statistic enable ip inzone firewall defend udp/icmp-flood ip X.X.X.X|zone zonename max-rate num firewall defend udp/icmp-flood enable 原理：防火墙基于目的地址统计对每个IP 地址收到的报文速率，超过设定的阈值上限，进行car60内部资料，注意保密扫描攻击原理和防范（一）扫描攻击原理和防范（一）q IP sweep 特征：地址扫描，向一个网段内的IP 地址发送报文 nmap 目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备 配置：Statistic enable ip outzone Firewall defend ip-sweep max-rate num blacklist-timeout num 原理：防火墙根据报文源地址进行统计，检查某个IP 地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP 地址添加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单61内部资料，注意保密扫描攻击原理和防范（二）扫描攻击原理和防范（二）q Port scan 特征：相同一个IP 地址的不同端口发起连接 目的：确定被扫描主机开放的服务，为后续攻击做准备 配置：Statistic enable ip outzone Firewall defend port-scan max-rate num blacklist-timeout num 原理：防火墙根据报文源地址进行统计，检查某个IP 地址向同一个IP 地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP 地址添加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单62内部资料，注意保密防火墙防范的其他报文防火墙防范的其他报文q Icmp redirectq Icmp unreachableq Large icmpq Route recordq Time stampq tracert63内部资料，注意保密防火墙的安全防范防火墙的安全防范q ACLq 安全策略q NATq 攻击防范q IDS 联动64内部资料，注意保密IDSIDS联动联动q 由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，Eudemon 防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的IDS（Intrusion Detective System，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS 系统和配置情况决定。65内部资料，注意保密IDSIDS联动联动1234IDS 服务器提供基于应用层的过滤66内部资料，注意保密IDSIDS联动配置举例联动配置举例67内部资料，注意保密第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第4节 VRRP&HRP68内部资料，注意保密VRRPVRRP和和VGMPVGMP（一）（一）q 传统VRRP 备份组q 在防火墙上应用的问题（多个组主备不一致）q Vrrp Group Management Protocol 状态一致性（组内vrrp 同步变换状态）抢占管理（屏蔽vrrp 抢占）通道管理（data，trans-only）69内部资料，注意保密VRRPVRRP和和VGMPVGMP（二）（二）q 两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP 地址除外）。q 两个防火墙上各VRRP 备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA 上的A1接口隶属备份组1，A2 接口隶属备份组2，A3 接口隶属备份组3；则EudemonB上的B1、B2 和B3 接口也必须分别隶属备份组1、2 和3。q 两个防火墙上各VRRP 管理组之间的隶属关系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA 上的管理组包括备份组1、2 和3，则EudemonB 上的同样编号的管理组也必须包含备份组1、2 和3。q 同一防火墙上接口、备份组、管理组之间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP 地址。同一VRRP 管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP 管理组。VRRP 备份组提供的备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而VRRP 管理组实现了各VRRP 状态的一致性，是相对于Eudemon 防火墙而言的，在每个防火墙上都定义至少一个VRRP 管理组，负责管理该Eudemon 防火墙与各安全区域相关的备份组 70内部资料，注意保密VRRPVRRP和和VGMPVGMP（三）（三）q VRRP 的配置任务(无符号，表示该配置仅适用于未加入管理组的备份组)配置备份组的虚拟IP 地址 配置备份组的优先级 配置备份组的抢占方式和延迟时间 配置备份组的认证方式和认证字 配置备份组的定时器 配置监视指定接口 q VRRP 管理组的配置包括：创建VRRP 管理组 使能VRRP 管理组功能 配置向VRRP 管理组添加备份组 配置VRRP 管理组优先级 配置VRRP 管理组抢占功能 配置VRRP 管理组Hello 报文的发送间隔 配置VRRP 管理组的报文群发标志 71内部资料，注意保密VGMPVGMP72内部资料，注意保密HRPHRPq HRP（Huawei Redundancy Protocol）。HRP 协议是承载在VGMP 报文上进行传输的，在Master 和Backup防火墙设备之间备份关键配置命令和会话表状态信息q 配置主备当采用负载分担方式时，网络中存在两台Master 防火墙。为了避免备份时混乱，Eudemon 防火墙中引入了配置主设备、配置从设备概念。配置主设备：发送配置备份内容的防火墙 配置从设备：接收配置备份内容的防火墙 只有VRRP 管理组中状态为Master 的防火墙才有机会成为配置主设备。在负载分担方式下，参与双机热备份的两台Eudemon 防火墙都是Master，此时则按照VRRP 组优先级、接口真实IP 地址从大到小的顺序选择配置主设备。73内部资料，注意保密HRP/VGMP/VRRPHRP/VGMP/VRRP关系关系当VRRP 管理组状态变化时，系统将通知HRP状态和配置主/从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。同时，VRRP 管理组状态也要受HRP 状态影响，即VRRP 会根据HRP 状态切换的结果来调整优先级，并进行VRRP 状态切换。74内部资料，注意保密第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导75内部资料，注意保密升级方法升级方法q E200 升级方法 比较简单，大包中包含大Bootrom，直接升级大包即解决问题q 老命令行E100 升级方法 应对E100 问题，出新命令行升级版本0315 首先要升级小Bootrom 然后升级为防火墙Bootrom 最后下载防火墙新软件 可以支持软件升级，不用更换硬件 命令行变化，访问列表变化76内部资料，注意保密第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导77