Eudemon产品原理与版本介绍.ppt

Eudemon产品原理与版本介绍,1,参考资料,31162077-QuidwayEudemon500（3）进行地址扫描的端口窥探攻击防范；（4）对于首包基于目的IP地址进行ICMPFlood，UDPFlood，TCPFlood等攻击防范；（偏重报文的新建连接速率）（5）进行NAT处理，若需要转换报文的源IP地址；（6）创建SESSION会话表；然后进入后续报文处理流程,28,防火墙转发流程过程（2）,针对首包或者后续包的报文处理流程（1）ICMPFlood，UDPFlood等攻击防范（针对报文的速率）；（2）报文解码处理：针对报文的应用层进行解析；（3）ASPF处理：对报文进行基于应用层进行处理，例如动态生成相应的ServerMap表项，完成基于应用层的过滤功能；（4）进行NATALG处理；（5）对报文进行编码处理；防火墙的下行处理结束。,29,防火墙转发处理快速转发,防火墙快转流程只适用于Eudemon200，处理过程和上面类似。为何需要快转？（1）为了提高转发效率，把SOCK任务的控制和转发分离，开发了快转流程，他是由快转任务IPFF调度的。此时底层中断处理函数只完成接收事件向IPFF任务的通告，由IPFF任务完成相应报文的链路层解析和转发处理。（2）为了进一步提高防火墙的转发效率，采用了cache机制。对于首包流程处理的信息：报文出接口和下一跳信息，Qos对应的流分类，缓存在会话表中，后续的报文根据报文的方向直接使用缓存的信息进行路由转发或者QOS处理。减少了每次查路由表和对报文根据Qos的配置进行流分类的操作。（3）实现了会话表的触发更新；对于会话表有效的过程中，有可能路由信息、Qos配置、引用的ACL规则、域间规则等信息会改变。为了这些信息改变后，对应的会话表能够及时更新，引入了会话表的触发更新机制。,30,防火墙工作模式（Mode）,目前，Eudemon防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防火墙工作在混合模式下。下面分别进行介绍：路由模式透明模式混合模式注：有些防火墙分为路由模式，Nat模式，透明模式；对于Eudemon防火墙而言路由模式就包含这些防火墙所说的Nat模式,31,防火墙工作模式路由模式（Mode）,当Eudemon防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别配置成不同网段的IP地址，重新规划原有的网络拓扑，此时相当于一台路由器（如下图所示）。采用路由模式时，可以完成ACL包过滤、ASPF动态过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改,32,防火墙工作模式透明模式（Mode）,如果Eudemon防火墙采用透明模式进行工作，只需在网络中像放置网桥（bridge）一样插入该Eudemon防火墙设备即可，无需修改任何已有的配置；此时防火墙就象一个交换机一样工作如下图所示，该工作模式在现网改造的时候很容易部署，不过目前Eudemon防火墙还不支持STP，因此如果存在网络二层环路的情况下需要慎重部署；另外Eudemon500/1000防火墙在透明模式下还有一个独特功能，可以提供透明模式下的Nat，该功能目前只有我们防火墙能提供；,33,防火墙工作模式混合模式（Mode）,如果Eudemon防火墙既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则防火墙工作在混合模式下，这种工作模式基本上是透明模式和路由模式的混合，目前只用于透明模式下提供双机热备的特殊应用中，别的环境下不建议使用。其工作方式如下图所示：,34,防火墙的基本概念,防火墙的基本概念安全区域概念域间概念会话表项服务表项,35,防火墙基本概念安全区域（Zone）,防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域,域（Zone）域是防火墙上引入的一个重要的逻辑概念；通过将接口加入域并在安全区域之间启动安全检查（称为安全策略），从而对流经不同安全区域的信息流进行安全过滤。常用的安全检查主要包括基于ACL和应用层状态的检查,36,防火墙基本概念安全区域（Zone）续,根据防火墙的内部划分的安全区域关系，确定其所连接网络的安全区域,Eudemon防火墙上预定义了5个安全区域：本地区域Local（指防火墙本身）、受信区域Trust、非军事化区域DMZ（DemilitarizedZone）、非受信区域Untrust和虚区域Vzone，用户可以根据需要自行添加新的安全区域,37,防火墙基本概念安全区域（Zone）配置,#系统预定义的安全区域（例如trust、local、dmz和untrust），这些区域具有确定的安全级别，无需自行配置，可以通过如下命令进入。EudemonfirewallzonetrustEudemon-zone-trust#创建新的自定义安全区域，需要该区域的安全优先级；EudemonfirewallzonenamenewzoneEudemon-zone-newzonesetpriority30注：如果没有配置安全优先级则该域不能工作，另外两个域的安全优先级不能相同#接口加入到域，EudemonfirewallzonedmzEudemon-zone-dmzaddinterfaceethernet1/0/0注：如果接口没有加入域的话该接口将不能转发不报文，同样对于虚接口、虚模板、子接口也是如此,38,防火墙基本概念域间（InterZone）,域间（InterZone）：防火墙在引入域概念的同时也引入了域间概念；任何不同的安全域之间形成域间关系，Eudemon防火墙上大部分规则都是配置在域间上，为了便于描述同时引入了域间方向的概念：inbound：报文从低优先级区域进入高优先级区域为入方向；outbound：报文从高优先级区域进入低优先级区域为出方向；说明：安全策略只能应用在安全区域之间（即配置在域间），从而对分属不同安全区域的接口之间的信息流根据配置的安全策略进行安全检查。一个安全域间的某个方向上只能配置一条域间包过滤规则。,39,防火墙基本概念域间（InterZone）配置,#在Trust和Untrust区域间出方向（上图中箭头3所示）上应用安全策略（例如ACL3101规则）。EudemonfirewallinterzoneuntrusttrustEudemon-interzone-trust-untrustpacket-filter3101outbound注：在防火墙上包过滤规则，Natoutbound等只能配置在域间，这样,40,防火墙基本概念会话（Session）,会话会话是状态防火墙的基础，每一个通过防火墙的会话都会在防火墙上建立一个会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值；通过建立动态的会话表来可以提供高优先级域更高的安全性，即如下图所示高优先级域可以主动访问低优先级域，反之则不能够；防火墙通过会话表还能提供许多新的功能，如加速转发，基于流的等价路由，应用层流控等。Eudemon200防火墙对于一个流只建立一个Session表，而Eudemon1000会建立2个。,41,防火墙基本概念会话（Session）相关命令,查看会话表项Eudemondisplayfirewallsessiontable删除会话表项resetfirewallsessiontable配置会话表老化时间Eudemonfirewallsessionaging-timesyn20注：有了动态创建的会话表后，会话表就成为了一个资源，为避免资源耗尽防火墙上的会话表都有老化时间，根据应用的不同可以单独设定；在指定的时间内没有报文通过的话会话表就会被老化掉，该机制在一些特殊的应用中会导致问题，请看后面章节中的长连接问题,42,防火墙基本概念服务表项（ServerMap）,ServerMap防火墙设备和Nat设备在进行多通道协议通讯时需要支持的功能，即需要动态建立多通道协议中数据通道的包过滤规则和Nat转换规则ServerMap表项，这样数据通道报文才能正常通过防火墙或者进行正确的Nat转换，这才能保证多通道协议业务的正常。ServerMap的实质ServerMap表项本质上是一个三元组表项，五元组表项过于严格，导致多通道协议不能通过防火墙，因为多通道协议再没有子通道报文通过的时候，并不知道完整的5元组信息，只能预测到3元组信息。ServerMap表项就是用在NATALG、ASPF当中，满足多通道协议通过防火墙设计的一个数据结构。,43,防火墙基本概念服务表项（ServerMap）,相关命令查看ServerMap表项：Eudemondisplayfirewallservermap删除ServerMap表项（注：防火墙上没有单独的删除命令，在执行删除会话表的时候同时删除ServerMap表项）：resetfirewallsessiontable,44,防火墙基本概念多通道协议,多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道；多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理，因为数据通道的端口是不固定的（协商出来的）其报文方向也是不固定的多通道协议的典型应用这种典型应用有很多，最典型的是ftp，其他的一般都如很音频和视频通讯有关如：H.323（包括T.120、RAS、Q.931和H.245等）、SIP、MGCP，此外许多实时聊天通讯软件也是多通道协议的，如MSN，QQ，ICQ等,45,防火墙的关键技术,防火墙的关键技术包过滤技术代理技术状态检测技术应用协议特定的包过滤技术ASPF防攻击技术DPI技术双机热备技术统计,46,防火墙的关键技术包过滤,对路由器需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。实现包过滤的核心技术是访问控制列表ACL。,Internet,公司总部,内部网络,未授权用户,办事处,ACL规则,从/24来的数据包能通过,从/24来的数据包不能通过,47,防火墙的关键技术包过滤（ACL）,ACL（AccessControlList，访问控制列表）是防火墙实现数据流控制的手段之一，是防火墙安全策略最基本的规则。ACL根据数据包的源地址、目的地址、端口号、上层协议或其他信息定义一组数据流，并决定是否对该数据流进行后续操作。Eudemon100Eudemonfirewallcar-class22000000(2)配置P2P限流策略；Eudemon-acl-2003rulepermitsource55(3)在TRUST域上应用P2P限流策略EudemonfirewallzonetrustEudemon-zone-truststatisticenableipoutzoneEudemon-zone-truststatisticcaripoutbound2acl2003,110,P2P版本的差异（3）IPCAR的区别2,没有配置P2P检测与控制时，IPCAR的使用。ipcar对每个IP的所有流量进行限制。识别是否需要进行统计时使用的是高级ACL（30003999）Ipcar中的ACL只能用基本的ACL（2000-2999）；配置举例：（1）设置IPCAR的限流带宽为2M（Bit/s）;Eudemonfirewallcar-class22000000(2)配置限流策略；Eudemon-acl-2000rulepermitsource55Eudemon-acl-3000rulepermitipsource55(3)在TRUST域上应用P2P限流策略EudemonfirewallzonetrustEudemon-zone-truststatisticenableipoutzoneEudemon-zone-truststatisticcaripoutbound2acl2000Eudemon-zone-truststatisticip-statoutboundacl-number3000,111,E200/100和E1000/500的差异（1）,透明模式：（1）E200/100是在VRP平台上基于子接口进行实现的。（2）E1000/500的实现机制和三层交换机类似。ACL包过滤：（1）Eudemon200/100有个ACL加速的概念，ACL有命中统计计数（2）Eudemon200/100独有ACL组4000-4099(基于以太帧：源MAC、目的MAC，帧类型等信息，只工作在透明模式或混合模式)（3）Eudemon1000/500独有ACL组5000-5499(基于TCP/UDP,到特定的目的port)（4）Eudemon1000/500用NP查找ACL（SMT树）（5）Eudemon1000/500的ACL规则命中顺序问题,112,E200/100和E1000/500的差异（2）,ASPF/NATALG：(1)Eudemon200/100有单独的命令detectxxxx和NatAlg。在域间执行detect,全局执行NATAlg；(2)Eudemon1000/500和NATALG命令统一，只需要在域间执行detectxxxx；(3)支持的协议有些区别，MGCP等（E1000/500不支持）(4)Eudemon1000/500需要上送CPU处理,统计功能和攻击防犯的关系，E200和E500的实现方式不一样E200的攻击防范需要在域上配置统计功能。E1000不需要，只要配置相应的攻击防范命令就可以了。,113,E200/100和E1000/500的差异（3）,攻击防范：（1）对于地址扫描/端口扫描攻击：E200需要在源域的使能基于IP的OutBound方向统计(针对源IP地址)；E1000/500不需要（只需打开全局的统计功能）；（2）对于SYN/UDP/ICMPFlood攻击：E200需要在目的域使能基于IP的Inzone方向统计（针对目的IP地址）；E1000/500不需要（只需打开全局的统计功能）；（3）对于增强的基于接口的SYNFlood攻击防范，不需要相应的统计功能。（E100也能支持）统计功能和攻击防犯的关系，E200和E500的实现方式不一样E200的攻击防范需要在域上配置统计功能。E1000不需要，只要配置相应的攻击防范命令就可以了。,114,E200/100和E1000/500的差异（4）,统计功能：连接数（1）Eudemon100只支持全局的连接数限制；（2）Eudemon200支持基于全局、基于域、基于IP的连接数限制；（3）E1000/500支持基于全局、基于IP的连接数限制；（4）可以限定每个IP地址发起的连接数，Eudemon200不能指定ACL连接速率（从新发起SESSION连接速率和流量两个方面）（5）Eudemon100不支持；（6）Eudemon200支持基于域、基于IP的新建会话连接速率统计，通过Qos进行带宽保证；（7）Eudemon1000/500不支持新建会话连接速率，但是可以基于报文的源地址或者目的地址进行流量限制；（8）可以限定每个IP地址发起的连接速率（从流量的角度），,115,内部网络/24,Internet,防火墙,对外FTP服务器,DMZ区,多实例NAT典型的组网,Eth0/0/0/24,Eth2/0/0/24,内部网络/24,对外邮件服务器,对外WEB服务器,DMZ区,VZONE,Eth1/0/0/24,通过虚拟防火墙的功能，一台防火墙同时为两个企业服务。每个企业具有自己的trust域和DMZ域。他们共用一个公网出口。这两个企业的私网地址是重叠的，但是每个企业具有独立的地址池（NATPOOL）。通过NATServer为每个企业的DMZ域服务器指定一个公网地址。供公网用户或者其他企业用户访问。,企业1,企业2,Eth0/0/1/24,Eth1/0/1/24,00/24,0/24,1/24,（1）为企业1提供NAT服务NatPool1-0（2）为FTP服务器提供NATServer服务Natserverglobal00inside00vpn-instancev1,（1）为企业2提供NAT服务NatPool1-0（2）为邮件服务器和WEB服务器提供NATServer服务01inside0vpn-instancev202:801:8080V2,116,多实例NAT应用限制（1）,对于虚拟用户，NAT地址池应用到入接口所属域和VZONE域的outbound方向。配置NAT地址池时可以指定VPN实例,也可以指定。在每个虚拟防火墙上配置NAT地址池时只能使用属于自己的地址池或者公共地址池。如果一个VPN内部用户要想访问另外一个VPN的用户，必须通过NATServer方式。使用ACL包过滤规则时对于跨VPN的报文需要进行两次过滤,117,多实例NAT应用限制（2）,在配置ASPF时，对于跨VPN的访问，只要在两个域间的任一个域间配置即可。跨VPN访问会话表方向问题：若同一个VPN用户，从高域到低域为OUTBOUND方向。若一个VPN用户，一个公网用户，则从VPN到公网的方向为outbound;若是两个私网VPN用户，则首包发起方向为outbound;,118,双机热备应用的限制,通过OSPF路由协议或者VRRP功能保证报文的来回路径一致性；双机热备时必须存在三个接口网段以上才能使用负载分担的方式。混合模式有时需要使能防火墙的备转发功能。E1000/500的HRPinterface命令限制：（1）该接口必须是主接口；（2）该接口下面必须配置VRRP，并且VRRP已经应用到对应的VRRPGROUP下面。,119,双机热备应用的限制（1运行OSPF）,120,几个特殊命令的作用,分片报文的缓存：用于后续分片先于首片到达的情况Eudemonfirewallfragment-cacheenable备防火墙转发报文(应用混合模式下的双机热备,需要备防火墙透传两端设备需要交互的报文：如OSPF协议报文)Eudemonhrppermit-backupforward去掉防火墙会话状态检查：用于来回路径不一致的情况E1000undofirewallsessionlink-statecheck允许访问NATServer的LOCALIP地址（E200、100）Eudemon-interzone-trust-untrustfirewallpermitlocalip允许SUBIP。用于报文的出接口和入接口相同的情况；（E200/100支持，E1000不支持）Eudemonfirewallpermitsub_ip防火墙的长连接命令（最多支持5000个，会话表可能长时间不老化）Eudemon-interzone-trust-untrustfirewalllong-link3000inbound|outbound若使用IPSEC功能（软加密或者通过加密卡加密）：E200/100必须关掉快转功能，Eudemon1000/500没有快转流程interface-ethernet-X/X/Xundoipfastqff,121,分片报文的处理,对于分片报文，只有首片建立SESSION表，并且判断是否需要进行长连接处理。若首片先到达，会话表使能相应的长连接，后续分片根据首片建立的会话表进行转发。若后续分片先到达，若使能分片缓存功能，对该分片进行缓存。等到首片来时创建会话表，打上长连接标识。会发送缓存的后续分片报文。若没有使能分片缓存功能，直接丢弃先到达的后续分片。不管是一个报文只有一个分片，或者是一个报文多个分片。这个报文只会创建一个SESSION表。对于后续分片报文来说，防火墙采用分片表进行转发。这种转发不支持长连接处理。但是首分片报文和其他ip报文一样会建立SESSION表，支持长连接处理。,122,ServMap表的几个问题,防火墙命令配置的NATSERVER也会产生SERVERMAP表,这