华为防火墙产品与维护培训培训胶片bndn.pptx

《华为防火墙产品与维护培训培训胶片bndn.pptx》由会员分享，可在线阅读，更多相关《华为防火墙产品与维护培训培训胶片bndn.pptx（72页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HUAWEI TECHNOLOGIES CO.,LTDHUAWEI Confidential Security Level:防火墙产品与维护ISSUE 1.0HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential l 学习完本课程，您应该能够：了解Eudemon产品工作原理 了解Eudemon产品规格和特性 掌握Eudemon产品典型组网及配置HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性HUAWEI TECHNOLOGI

2、ES CO.,LTD.HUAWEI Confidential 防火墙概述l 网络安全问题成为近年来网络问题的焦点l 网络安全包括基础设施安全、边界安全和管理安全等全方位策略l 防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击l 与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率l 由于防火墙用于边界安全，因此往往兼备NAT、VPN等功能l 我司防火墙：Eudemon系列（英文含义守护神）一夫当关，万夫莫开HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的分类（一）l 包过

3、滤防火墙l 代理防火墙l 状态防火墙包过滤防火墙 代理防火墙 状态防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的分类(二）按照防火墙实现的方式，一般把防火墙分为如下几类：l 包过滤防火墙(Packet Filtering)包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。l 代理型防火墙（application g

4、ateway）代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。l 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品都为状态检测防火墙：高性能和高安全的完美结合。HUAWEI TECHNOLOGI

5、ES CO.,LTD.HUAWEI Confidential 防火墙技术发展方向l 软件防火墙。一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。l 工控机类型防火墙。采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。l 电信级硬件防火墙。采用独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展

6、插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。l 基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 500/1000产品。软件防火墙=工控机类型防火墙=电信级硬件防火墙=基于NP电信级防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 安全技

7、术（一）l ASPF(Application Specific Packet Filter)是一种高级通信过滤，它检查应用层协议信息并且监控连接的应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃.动态创建和删除过滤规则监视通信过程中的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 与ACL 的比较比较内容ACL ASPF原理 对每个IP数据包按照用户所定义的策略规则（访问控制列表，ACL）进行过滤。包过滤不管会话的状态，也不分析数据对于每一个应用层协议建

8、立会话信息以及状态信息，实时检测数据流的状态信息，并动态的根据状态信息决定数据包的动作配置 较繁琐 简单设计实现 简单 复杂，必须支持尽可能多的应用层协议，以保证用户的正常使用。并且需要实时增加协议的支持对系统性能影响 速度快，但策略过多会导致性能急剧下降需要进行状态检测等复杂处理，效率相对于ACL低，并且消耗部分系统资源对多通道协议的支持不支持 非常适用于需要动态建立连接的应用协议安全性 低，无法检测某些来自于应用层的攻击行为高，能够根据连接的状态及应用层报文内容进行过滤，有效防范攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 基

9、本概念l ASPF三个基本概念 会话表（Session）：5元组完成连接；多通道协议：多通道（控制通道+数据通道）多通道协议主要包括：数据传输协议（FTP、TFTP等）、音视频相关（H.323协议族、SIP、MGCP等）、聊天通讯软件（MSN，QQ，ICQ等）Servermap表项：临时通道（三元组）HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 对单通道协议的支持l 在状态防火墙中会动态维护着一个Session表项，通过Session表项来检测基于连接的状态，动态地判断报文是否可以通过，从而决定哪些连接是合法访问，哪些是非法访问保护网

10、络用户A初始化一个 Telnet 会话外部网络用户A目标服务器防火墙创建 Session表项其他用户用户A 的Telnet 会话返回报文可以通过其他的Telnet 报文被阻塞不能通过防火墙匹配Session表项报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPF 对多通道协议的支持FTP用户192.168.0.1USG5000FTP server19.49.10.10（21/20）三次握手防火墙创建Servermap表项三次握手Port 192.168.0.1:893Port 192.168.0.1:893200 Port Command

11、 OKRETR Sample.txtRETR Sample.txt200 Port Command OK150 Opening ASCII connection150 Opening ASCII connectionSYN检测Servermap表项，创建临时规则，打开数据通道192.168.0.1:22787 192.168.0.1:22787SYNHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介第二章防火墙体系结构 第二章防火墙体系结构第三章防火墙原理与特性HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI

12、 Confidential Eudemon 200Eudemon 100EEudemon 500Eudemon 1000小型企业、远程办公中小型企业华赛电信级硬件防火墙，从桌面式终端设备到高端千兆级别，以卓越的性能和先进的安全体系架构为网络提供强大的安全保障。NP 架构Eudemon 300NP 架构中型企业NP 架构Eudemon 200S/USG2000大中型企业大型企业,运营商大型数据中心USG 3040USG 3030USG 50Eudemon 8080Eudemon 8040城域网流量清洗NP 架构防火墙产品系列HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI C

13、onfidential 主要防火墙性能衡量指标l 吞吐量 其中吞吐量业界一般都是使用1K1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文，因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则，因此需要考察防火墙支持大量规则下转发性能。l 每秒建立连接速度 指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。l 并发连接数目 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防

14、火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙产品参数一览型号参数USG50Eudemon 100EEudemon 200Eudemon 200SUSG3030 USG3040应用 小型企业 小型企业 中小型企业 中小型企业 中型企业 中型企业整机吞吐量(bps)100M 260M 400M 500M 1G 1.5G每秒新建连接数 2000条/秒 13000条/秒 2万条/秒 2万条/秒 2万 3万并发连接数 10万 50万 50万 50万 50/100万 50/100

15、万IPSEC VPN连接数64 2K 2K 2K 2K 2K3DES加密(bps)50M 200M 200M 200M 400M 600M可靠性不支持双电源支持双机热备单电源支持双机热备双电源（热插拔），双风扇（热插拔），双机热备单电源支持双机热备支持双电源支持双机热备多风扇冗余支持双电源支持双机热备多风扇冗余NAT、ASPF 支持 支持 支持 支持 支持 支持虚拟防火墙 不支持 不支持 不支持 不支持 不支持 不支持HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 安全网关产品参数一览(续)型号参数Eudemon300Eudemon 500Eud

16、emon 1000Eudemon8040Eudemon8080应用 中型企业大型，中型企业大型企业 大型企业 大型企业整机吞吐量(bps)1G 2G 4G 6Gbps 12Gbps每秒新建连接数 10万条/秒 10万条/秒 10万条/秒 10万条/秒 20万条/秒IPSEC VPN连接数12K 12K 12K 无 无3DES加密(bps)200M/1G 200M/1G 200M/1G 无 无可靠性双电源（热插拔），双风扇（热插拔），双机热备，接口卡可热插拔，支持BYPASS卡双电源（热插拔），双风扇（热插拔），双机热备，接口卡可热插拔，支持BYPASS卡双电源（热插拔），双风扇（热插拔），双机

17、热备，接口卡可热插拔，支持BYPASS卡双电源（热插拔），双风扇（热插拔），双机热备，接口卡可热插拔，支持BYPASS卡双电源（热插拔），双风扇（热插拔），双机热备，接口卡可热插拔，支持BYPASS卡P2P监控支持跟SIG联动支持SIG联动 支持SIG联动 支持SIG联动 支持SIG联动NAT/ASPF 支持 支持 支持 暂不支持 暂不支持虚拟防火墙支持（=100个）支持（=100个）支持（=100个）暂不支持 暂不支持NP 架构NP 架构NP 架构NP 架构NP 架构HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的基本工作流程l 传统包

18、过滤防火墙（路由器）HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential E200 状态防火墙HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性 第三章防火墙原理与特性HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第 第1 1节 节 安全区域 安全区域第2节 工作模式第3节 安全防范第4节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI

19、Confidential 防火墙的安全区域（一）l 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Vzone区域Local区域Trust区域DMZ区域UnTrust区域接口1 接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域（二）l 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去禁止所有从DMZ区域的数据报转发到UnTrust区域Vzone区域Local区域Trust区域DMZ区域UnTrust区域接口1 接口2接口3接口4HUA

20、WEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域（三）l Eudemon防火墙上保留四个安全区域：虚拟区域（Vzone）：最低级别的安全区域，其安全优先级为0。非受信区（Untrust）：低级的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。l 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。HUAWEI TECHNOLOGI

21、ES CO.,LTD.HUAWEI Confidential 防火墙的安全区域（四）l 域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Vzone区域Local区域Trust区域DMZ区域UnTrust区域接口1 接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域（五）本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃（EU200-VRP3.20-0314.01版本后支持）接

22、口没有加入域之前不能转发包文Vzone区域Local区域Trust区域DMZ区域UnTrust区域接口1 接口2接口3接口4HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全区域（六）HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第1节 安全区域第 第2 2节 节 工作模式 工作模式第3节 安全防范第4节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式（一）l 路由模式l 透明模式

23、l 混合模式HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式（二）l 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。l 报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式（三）l 透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接

24、口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。l Eudemon防火墙与网桥存在不同，Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。l 透明模式可以配置系统IP。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的三种工作模式（四）l 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，

25、主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第1节 安全区域第2节 工作模式第 第3 3节 节 安全防范 安全防范第4节 VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范l ACL（参考ACL原理）l 安全策略l NATl 攻击防范l IDS联动HUAWEI TECHNOLOGIES CO.,LTD

26、.HUAWEI Confidential 防火墙的安全防范l ACLl 安全策略l NATl 攻击防范l IDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential ASPFl ASPF（Application Specific Packet Filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。l 为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。l ASPF对应用层的

27、协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单（一）l 黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定IP地址发送来的报文屏蔽。l 黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此，黑名单是防火墙

28、一个重要的安全特性。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 黑名单（二）l 黑名单的创建 firewall firewall blacklist item sour-addr timeout minutes l 黑名单的使能 firewall firewall blacklist enablel 黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp|tcp|udp|others range blacklist|global HUAWEI TECHNOLOGIES CO.,LTD.HUAW

29、EI Confidential 其它l MAC和IP地址绑定：指防火墙可以根据用户的配置，在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP发送的的报文，如果其MAC地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个IP地址的报文，在通过防火墙时将被强制发送给这个MAC地址。从而形成有效的保护，是避免IP地址假冒攻击的一种方式。l 端口识别简介 应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定

30、义（system-defined）和用户定义（user-defined）的端口识别表。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范l ACLl 安全策略l NATl 攻击防范l IDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范l ACLl 安全策略l NATl 攻击防范l IDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 攻击类型简介l 单报文攻击 Fraggle Ip spoof Land Smu

31、rfl 分片报文攻击 Tear Drop Ping of deathl 拒绝服务类攻击 SYN Flood UDP Flood&ICMP Floodl 扫描 IP sweep Port scanHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范（一）l Fraggle 原理：UDP端口7（echo）和19（Character Generator）在收到UDP报文后都会产生回应 UDP端口7收到报文后会象ICMP Echo Reply一样回应收到的内容；UDP的19号端口在收到报文后，会产生一串字符流；攻击者伪冒受害者地址，向目的地

32、址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击 如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满 配置：firewall defend fraggle enable 原理：过滤UDP类型的目的端口号为7或19的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范（二）l IP Spoof 特征：地址伪冒 目的：伪造IP地址发送报文 配置：firewall defend ip-spoofing enable 原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文

33、HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范（三）l Land 原理把TCP的SYN包的源地址和目的地址都设置为目标计算机的IP地址。这将导致目标计算机向它自己发送SYN-ACK报文，目标计算机又向自己发回ACK报文并创建一个空连接 配置：firewall defend land enable 防范原理：对符合上述特征的报文丢弃HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 攻击者被攻击者Ping广播地址 源地址被设置为被攻击者的IP被利用网络Smurf 攻击HUAWEI TE

34、CHNOLOGIES CO.,LTD.HUAWEI Confidential 单包攻击原理及防范（四）l Smurf 特征：伪冒受害者IP地址向广播地址发送ping echo 目的：使受害者被网络上主机回复的响应淹没 配置：firewall defend smurf enable 原理：丢弃目的地址为广播地址的报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 分片报文攻击原理及防范（一）l Tear drop 特征：分片报文后片和前片发生重叠 目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口 配置：firewall de

35、fend teardrop enable 原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，发生重叠，丢弃报文HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 分片报文攻击原理及防范（二）l Ping of death 特征：ping报文全长超过65535 目的：使被攻击设备因处理不当而死机 配置：firewall defend ping-of-death enable 原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confid

36、ential 拒绝服务攻击利用网络资源瓶颈或者协议、系统本身的弱点，通过占据大量的共享资源，最后导致合法的用户请求就无法通过的一种攻击方式。这是一类危害极大的攻击方式，严重的时候可以使一个网络瘫痪，而且容易实施，被称作黑客的终极武器。什么是拒绝服务攻击什么是拒绝服务攻击l拒绝服务攻击(DOS)l分布式拒绝服务攻击(DDOS)l分布式反弹拒绝服务(DRDOS)攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 拒绝服务攻击原理及防范（一）l SYN Flood 特征：向受害主机发送大量TCP连接请求报文 目的：使被攻击设备消耗掉所有处理能力，无法响

37、应正常用户的请求 配置：statistic enable ip inzone firewall defend syn-flood ip X.X.X.X|zone zonename max-number num max-rate num tcp-proxy auto|on|off firewall defend syn-flood enable 原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confid

38、ential 攻击者受害者攻击者伪造源地址进行SYN请求为何还没回应就是让你白等不能建立正常的连接其它正常用户得不到响应SYN（我可以和你连接吗？）ACK|SYN（可以，请确认！）？SYN Flood 攻击HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 拒绝服务攻击原理及防范（二）l UDP/ICMP Flood 特征：向受害主机发送大量UDP/ICMP报文 目的：使被攻击设备消耗掉所有处理能力 配置：statistic enable ip inzone firewall defend udp/icmp-flood ip X.X.X.X|zone

39、 zonename max-rate num firewall defend udp/icmp-flood enable 原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行carHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扫描攻击原理和防范（一）l IP sweep 特征：地址扫描，向一个网段内的IP地址发送报文 nmap 目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备 配置：Statistic enable ip outzone Firewall defend ip-sweep max-

40、rate num blacklist-timeout num 原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 扫描攻击原理和防范（二）l Port scan 特征：相同一个IP地址的不同端口发起连接 目的：确定被扫描主机开放的服务，为后续攻击做准备 配置：Statistic enable ip outzone Firewall defend port-scan m

41、ax-rate num blacklist-timeout num 原理：防火墙根据报文源地址进行统计，检查某个IP地址向同一个IP地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离 注意：如果要启用黑名单隔离功能，需要先启动黑名单HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 防火墙的安全防范l ACLl 安全策略l NATl 攻击防范l IDS联动HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential IDS 联动l 由于防火墙自身具有一定的局限性，如检查的颗粒度

42、较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。l 因此，Eudemon防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的IDS（Intrusion Detective System，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定IDS系统和配置情况决定。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confid

43、ential IDS 联动1234IDS 服务器提供基于应用层的过滤HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential 第三章防火墙原理与特性第1节 安全区域第2节 工作模式第3节 安全防范第 第4 4节 节 VRRP&HRP VRRP&HRPHUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential EudemonEudemon双机状态协议体系结构双机状态协议体系结构EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上层模块 上层模块 上层模块EthernetVRRPVGMPH

44、RP需要备份的模块HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VRRP 用于防火墙多区域的备份 当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备份组。由于Eudemon防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即要保证在某一台防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而另外一台防火墙则充当备份设备。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential

45、 VGMP 的引入与基本原理n 由于每个传统的VRRP备份组是相互独立的，无法保证这种一致性，因此华为公司在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补VRRP在状态防火墙上使用时存在的局限。n VGMP提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。DMZTrustUntrustEudemonA10.100.20.0/24MasterEudemonBBacku

46、p10.100.10.0/24备份组 2备份组 3备份组 1 管理组管理组HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VGMP 基本原理介绍n VGMP状态(Master/Slave)当防火墙上的VGMP为Master状态时，它保证组内所有VRRP备份组的状态统一为Master状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。n VGMP的报文n VGMP HELLO 与VRRP类似，状态为Master的VGMP也会定期向对端发送HELLO报文，通知Slave端

47、本身的运行状态（包括优先级、VRRP成员状态等）。与VRRP不同的是，Slave端收到HELLO报文后，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等。两台防火墙通过HELLO报文交互各自的状态信息。VGMP HELLO报文发送周期缺省为1秒。当Slave端三个HELLO报文周期没有收到对端发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Master状态。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VGMP 基本原理介绍 除了前面介绍的VGMP HELLO报文之外，VGMP还包括状态切换请求报文、允许状态切

48、换的应答报文、拒绝状态切换的应答报文。n 状态切换请求报文1.当主防火墙上一个备份组成员出现故障时（端口down），VGMP能立即感知到这个故障。此时VGMP会调整自己的优先级，并立即发送一个状态切换请求报文到对端。2.对端收到该报文后，会比较优先级。如果本身优先级比报文中携带的优先级高，则会回应一个ACK报文，同时立即将自己切换到Master状态；3.发生故障的设备收到该应答报文后，会立即将自己切换到Slave状态。在管理组状态切换的同时，也会强制将管理组中的所有VRRP备份组成员的状态一起切换。4.如果对端的优先级比报文中的优先级低，则会回应一个拒绝状态切换的应答报文（NACK）。这样两端

49、都不会进行状态切换。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VGMP 管理组的功能n 状态一致性管理VGMP管理组中任何VRRP备份组进行主/备切换，都有VGMP管理组统一裁决。VRRP备份组加入到管理组后，状态不能自行单独切换。n 抢占管理VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障恢复时，管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为主设备。当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行为发生与否必须由VGMP管理组统一决定。n 通道管理 通道是双机热备的

50、防火墙之间用来传输VGMP、HRP报文的一对VRRP备份组。VGMP、HRP模块将自动选用可用的传输通道来发送VGMP、HRP报文。HUAWEI TECHNOLOGIES CO.,LTD.HUAWEI Confidential VGMP 数据通道n 数据通道和心跳线 两台防火墙的VGMP管理组之间通信的VGMP报文、数据备份的HRP报文，都是通过VGMP管理组中的数据通道进行传输的。如下图中共有四个数据通道。两台防火墙之间的直连的链路（如下图中的A4-B4），一般也称为HRP心跳线，可以将其配置成transfer-only类型的数据通道。防火墙会优先选择transfer-only类型的数据通道