26 防火墙产品与维护培训.ppt

防火墙产品与维护 ISSUE1 0 1 学习目标 学习完本课程 您应该能够 了解Eudemon产品工作原理了解Eudemon产品规格和特性掌握Eudemon产品典型组网及配置掌握Eudemon产品维护方法 2 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导 3 防火墙概述 网络安全问题成为近年来网络问题的焦点网络安全包括基础设施安全 边界安全和管理安全等全方位策略防火墙的主要作用是划分边界安全 实现关键系统与外部环境的安全隔离 保护内部网络免受外部攻击与路由器相比 防火墙提供了更丰富的安全防御策略 提高了安全策略下数据报转发速率由于防火墙用于边界安全 因此往往兼备NAT VPN等功能我司防火墙 Eudemon系列 英文含义 守护神 一夫当关 万夫莫开 4 防火墙的分类 一 包过滤防火墙代理防火墙状态防火墙 包过滤防火墙 代理防火墙 状态防火墙 5 防火墙的分类 二 按照防火墙实现的方式 一般把防火墙分为如下几类 包过滤防火墙 PacketFiltering 包过滤利用定义的特定规则过滤数据包 防火墙直接获得数据包的IP源地址 目的地址 TCP UDP的源端口 和TCP UDP的目的端口 包过滤防火墙简单 但是缺乏灵活性 对一些动态协商端口没有办法设置规则 另外包过滤防火墙每包需要都进行策略检查 策略过多会导致性能急剧下降 代理型防火墙 applicationgateway 代理型防火墙使得防火墙做为一个访问的中间节点 对Client来说防火墙是一个Server 对Server来说防火墙是一个Client 代理型防火墙安全性较高 但是开发代价很大 对每一种应用开发一个对应的代理服务是很难做到的 因此代理型防火墙不能支持很丰富的业务 只能针对某些应用提供代理支持 状态检测防火墙状态检测是一种高级通信过滤 它检查应用层协议信息并且监控基于连接的应用层协议状态 对于所有连接 每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃 现在防火墙的主流产品都为状态检测防火墙 高性能和高安全的完美结合 6 防火墙技术发展方向 软件防火墙 一般是直接安装在PC上的一套软件 基于PC提供基本的安全防护 此时防火墙基本上就是一个应用软件 代表产品有CheckPoint公司的防火墙产品 工控机类型防火墙 采用PC硬件结构 基于linux等开发源代码的操作系统内核 开发了安全防护的一些基本特性构成硬件防火墙产品形态 从外观上面看 该种防火墙是一个硬件防火墙产品 但是其软件 硬件和第一种防火墙产品从硬件上面说没有本质区别 国内大多数防火墙是采用这种技术 电信级硬件防火墙 采用独立设计的硬件结构 在CPU 电源 风扇 PCI总线设计 扩展插卡等方面优化结构 保证防火墙产品可以得到最优的处理性能和高可靠性 代表产品有华为公司的Eudemon200产品 NetScreen204等防火墙产品 基于NP电信级防火墙 由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈 基于网络处理器 NP 的业务加速模式的防火墙产品开始出现 通过网络处理器的高性能 使得防火墙产品可以达到1G线速的处理能力 代表产品有华为公司的Eudemon500 1000产品 软件防火墙 工控机类型防火墙 电信级硬件防火墙 基于NP电信级防火墙 7 基于改进的状态检测安全技术 一 改进的状态防火墙 Eudemon系列防火墙即采用的这种技术 这是华为特有的ASPF技术 Applicationspecificpacketfilter 它结合了代理型防火墙安全性高 状态防火墙速度快的优点 因此安全性高 处理能力强 动态创建和删除过滤规则 监视通信过程中的报文 8 基于改进的状态检测安全技术 二 ASPF ApplicationSpecificPacketFilter 增强VRP平台上的防火墙功能 提供针对应用层的报文过滤功能 ASPF是一种高级通信过滤 它检查应用层协议信息并且监控基于连接的应用层协议状态 对于所有连接 每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃 ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测 以对一部分攻击加以检测和防范 9 基于改进的状态检测安全技术 三 状态防火墙通过检测基于TCP UDP连接的连接状态 来动态的决定报文是否可以通过防火墙 在状态防火墙中 会维护着一个Session表项 通过Session表项就可以决定哪些连接是合法访问 哪些是非法访问 10 DoS攻击的防范对所有处于半开 TCPSYNorUDP 状态的连接进行数目统计和速度采样 基于改进的状态检测安全技术 四 FTP是FileTransferProtocol 文件传输协议 要用到两个TCP连接 一个是控制通道 用来在FTP客户端与服务器之间传递命令 另一个是数据通道 用来上传或下载数据 检查接口上的外发IP报文 确认为基于TCP的FTP报文 检查端口号确认连接为控制连接 建立返回报文的临时ACL和状态表 检查FTP控制连接报文 解析FTP指令 根据指令更新状态表 如果包含数据通道建立指令 则创建另外的数据连接的临时ACL 对于数据连接 不进行状态检测 对返回报文作根据协议类型做相应匹配检查 检查将根据相应协议的状态表和临时ACL决定报文是否允许通过 11 主要防火墙性能衡量指标 吞吐量其中吞吐量业界一般都是使用1K 1 5K的大包衡量防火墙对报文的处理能力的 因网络流量大部分是200字节报文 因此需要考察防火墙小包转发下性能 因防火墙需要配置ACL规则 因此需要考察防火墙支持大量规则下转发性能 每秒建立连接速度指的是每秒钟可以通过防火墙建立起来的完整TCP连接 由于防火墙的连接是动态连接的 是根据当前通信双方状态而动态建立的表项 每个会话在数据交换之前 在防火墙上都必须建立连接 如果防火墙建立连接速率较慢 在客户端反映是每次通信有较大延迟 因此支持的指标越大 转发速率越高 在受到攻击时 这个指标越大 抗攻击能力越强 这个指标越大 状态备份能力越强 并发连接数目由于防火墙是针对连接进行处理报文的 并发连接数目是指的防火墙可以同时容纳的最大的连接数目 一个连接就是一个TCP UDP的访问 12 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导 13 Eudemon系列防火墙外观 华为公司系列电信级硬件防火墙产品 涵盖了从低端数兆到高端千兆级别 卓越的性能和先进的安全体系架构为用户提供了强大的安全保障 Eudemon200 Eudemon100 Eudemon500 Eudemon1000 14 Eudemon系列防火墙性能 Eudemon系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥 15 Eudemon200 高效可靠的体系结构 双总线 双通道设计总线冲突减少 总带宽提升双通道收发互不影响 接口卡1 接口卡2 PCI 0 PCI 1 高速内部交换 PCI0 PCI1 CPU 精心设计的体系架构保证了防火墙即使是在64字节报文下依旧保持优异转发性能 高速ACL技术保证了配置大量规则下 性能不受影响 16 Eudemon500 1000 基于NP的集中式多业务路由器 Eudemon500 1000 基于NP逻辑结构 全模块化 基于NP硬件集中式转发 电信级可靠性 TCP UDP首包都是NP进行处理 保证了每秒新建连接 100 000条 秒 充分保证网络安全性 NP转发方式保证了Eudemon500和1000在64字节报文下分别超过1G和2G 基于硬件ACL保证了配置大量规则情况 性能不受影响 NP 高速交换转发 2GPCI共享数据总线 2GD bus交换总线 17 先进的体系架构 Eudemon防火墙完全自主开发 软件采用专有操作系统 安全 高性能并重 Eudemon500 1000防火墙采用网络处理器技术 高性能 可扩展性兼顾 CPU功能灵活 可不断升级 弱点是性能低 ASIC性能高 弱点是过于固化 无法升级 NP CPU ASIC 基于软件的CPU的灵活性和基于ASIC的高速转发的结合 NP 网络处理器 18 防火墙的基本工作流程 传统包过滤防火墙 路由器 19 E200状态防火墙 20 与工控机类型防火墙技术对比 21 千兆防火墙技术对比 22 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导 23 第三章防火墙原理与特性第1节安全区域第2节工作模式第3节安全防范第4节VRRP HRP 24 防火墙的安全区域 一 防火墙的内部划分为多个区域 所有的转发接口都唯一的属于某个区域 25 防火墙的安全区域 二 路由器的安全规则定义在接口上 而防火墙的安全规则定义在安全区域之间 不允许来自10 0 0 1的数据报从这个接口出去 禁止所有从DMZ区域的数据报转发到UnTrust区域 26 防火墙的安全区域 三 Eudemon防火墙上保留四个安全区域 非受信区 Untrust 低级的安全区域 其安全优先级为5 非军事化区 DMZ 中度级别的安全区域 其安全优先级为50 受信区 Trust 较高级别的安全区域 其安全优先级为85 本地区域 Local 最高级别的安全区域 其安全优先级为100 此外 如认为有必要 用户还可以自行设置新的安全区域并定义其安全优先级别 最多16个安全区域 27 防火墙的安全区域 四 域间的数据流分两个方向 入方向 inbound 数据由低级别的安全区域向高级别的安全区域传输的方向 出方向 outbound 数据由高级别的安全区域向低级别的安全区域传输的方向 In Out In Out out in In Out 28 防火墙的安全区域 五 本域内不同接口间不过滤直接转发进 出接口相同的报文被丢弃 EU200 VRP3 20 0314 01版本后支持 接口没有加入域之前不能转发包文 In Out In Out In Out In Out 29 防火墙的安全区域 六 30 第三章防火墙原理与特性第1节安全区域第2节工作模式第3节安全防范第4节VRRP HRP 31 防火墙的三种工作模式 一 路由模式透明模式混合模式 32 防火墙的三种工作模式 二 可以把路由模式理解为象路由器那样工作 防火墙每个接口连接一个网络 防火墙的接口就是所连接子网的网关 报文在防火墙内首先通过入接口信息找到进入域信息 然后通过查找转发表 根据出接口找到出口域 再根据这两个域确定域间关系 然后使用配置在这个域间关系上的安全策略进行各种操作 33 防火墙的三种工作模式 三 透明模式的防火墙简单理解可以被看作一台以太网交换机 防火墙的接口不能配IP地址 整个设备出于现有的子网内部 对于网络中的其他设备 防火墙是透明的 报文转发的出接口 是通过查找桥接的转发表得到的 在确定域间之后 安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配 Eudemon防火墙与网桥存在不同 Eudemon防火墙中IP报文还需要送到上层进行相关过滤等处理 通过检查会话表或ACL规则以确定是否允许该报文通过 此外 还要完成其它防攻击检查 透明模式的防火墙支持ACL规则检查 ASPF状态过滤 防攻击检查 流量监控等功能 透明模式可以配置系统IP 34 防火墙的三种工作模式 四 混合模式是指防火墙一部份接口工作在透明模式 另一部分接口工作在路由模式 提出混合模式的概念 主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题 双机热备份所依赖的VRRP需要在接口上配置IP地址 而透明模式无法实现这一点 35 第三章防火墙原理与特性第1节安全区域第2节工作模式第3节安全防范第4节VRRP HRP 36 防火墙的安全防范 ACL 参考ACL原理 安全策略NAT攻击防范IDS联动 37 ACL加速 应为每次区域间转发数据报时都要线性检查ACL中的所有规则 当ACL中的规则较多时 将极大的影响转发速度 ACL加速查找功能是一种能大大提高访问控制列表查找性能的技术 ACL加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度 因此使能ACL加速查找功能可以在规则数目很多的时候显著提高防火墙的性能 增加规则要重新下发 系统视图下aclaccelerateenable基于MAC地址的访问控制列表不支持ACL加速查找功能 Rule1 Rule2 Rule3 ACL 规则库 38 防火墙的安全防范 ACL安全策略NAT攻击防范IDS联动 39 ASPF ASPF ApplicationSpecificPacketFilter 是针对应用层的包过滤 即基于状态的报文过滤 它和普通的静态防火墙协同工作 以便于实施内部网络的安全策略 ASPF能够检测试图通过防火墙的应用层协议会话信息 阻止不符合规则的数据报文穿过 为保护网络安全 基于ACL规则的包过滤可以在网络层和传输层检测数据包 防止非法入侵 ASPF对应用层的协议信息进行检测 通过维护会话的状态和检查会话报文的协议和端口号等信息 阻止恶意的入侵 40 黑名单 一 黑名单 指根据报文的源IP地址进行过滤的一种方式 同基于ACL的包过滤功能相比 由于黑名单进行匹配的域非常简单 可以以很高的速度实现报文的过滤 从而有效地将特定IP地址发送来的报文屏蔽 黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除 当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后 通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉 因此 黑名单是防火墙一个重要的安全特性 41 黑名单 二 黑名单的创建 undo firewallblacklistitemsour addr timeoutminutes 黑名单的使能 undo firewallblacklistenable黑名单的报文过滤类型和范围的设置firewallblacklistfilter type icmp tcp udp others range blacklist global 42 黑名单配置举例 一 服务器和客户机分别位于防火墙Trust区域和Untrust区域中 现要在100分钟内过滤掉客户机发送的所有ICMP报文 43 黑名单配置举例 二 Eudemon firewallblacklistitem202 169 168 10timeout100 Eudemon firewallblacklistpacket filtericmprangeglobal Eudemon firewallblacklistenable 44 其它 MAC和IP地址绑定 指防火墙可以根据用户的配置 在特定的IP地址和MAC地址之间形成关联关系 对于声称从这个IP发送的的报文 如果其MAC地址不是指定关系对中的地址 防火墙将予以丢弃 发送给这个IP地址的报文 在通过防火墙时将被强制发送给这个MAC地址 从而形成有效的保护 是避免IP地址假冒攻击的一种方式 注意其要点端口识别简介应用层协议一般使用通用的端口号 知名端口号 进行通信 端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号 端口识别提供了一些机制来维护和使用用户定义的端口配置信息 端口识别能够对不同的应用协议创建和维护一张系统定义 system defined 和用户定义 user defined 的端口识别表 45 防火墙的安全防范 ACL安全策略NAT攻击防范IDS联动 46 防火墙数据报安全匹配的顺序 NAT服务器 域间的ACL规则 域间的ASPF 域间的NAT 域间的缺省规则 数据报 47 防火墙的安全防范 ACL安全策略NAT攻击防范IDS联动 48 攻击类型简介 一 单报文攻击FraggleIpspoofLandSmurfTcpflagWinnukeip fragment 49 攻击类型简介 二 分片报文攻击TearDropPingofdeath拒绝服务类攻击SYNFloodUDPFlood ICMPFlood扫描IPsweepPortscan 50 单包攻击原理及防范 一 Fraggle特征 UDP报文 目的端口7 echo 或19 CharacterGenerator 目的 echo服务会将发送给这个端口的报文再次发送回去CharacterGenerator服务会回复无效的字符串攻击者伪冒受害者地址 向目的地址为广播地址的上述端口 发送请求 会导致受害者被回应报文泛滥攻击如果将二者互指 源 目的都是广播地址 会造成网络带宽被占满配置 firewalldefendfraggleenable原理 过滤UDP类型的目的端口号为7或19的报文 51 单包攻击原理及防范 二 IPSpoof特征 地址伪冒目的 伪造IP地址发送报文配置 firewalldefendip spoofingenable原理 对源地址进行路由表查找 如果发现报文进入接口不是本机所认为的这个IP地址的出接口 丢弃报文 52 单包攻击原理及防范 三 Land特征 源目的地址都是受害者的IP地址 或者源地址为127这个网段的地址目的 导致被攻击设备向自己发送响应报文 通常用在synflood攻击中配置 firewalldefendlandenable防范原理 对符合上述特征的报文丢弃 53 单包攻击原理及防范 四 Smurf特征 伪冒受害者IP地址向广播地址发送pingecho目的 使受害者被网络上主机回复的响应淹没配置 firewalldefendsmurfenable原理 丢弃目的地址为广播地址的报文 54 单包攻击原理及防范 五 TCPflag特征 报文的所有可设置的标志都被标记 明显有冲突 比如同时设置SYN FIN RST等位目的 使被攻击主机因处理错误死机配置 firewalldefendtcp flagenable原理 丢弃符合特征的报文 55 单包攻击原理及防范 六 Winnuke特征 设置了分片标志的IGMP报文 或针对139端口的设置了URG标志的报文目的 使被攻击设备因处理不当而死机配置 firewalldefendwinnukeenable原理 丢弃符合上述特征报文 56 单包攻击原理及防范 七 Ip frag特征 同时设置了DF和MF标志 或偏移量加报文长度超过65535目的 使被攻击设备因处理不当而死机配置 firewalldefendip fragmentenable原理 丢弃符合上述特征报文 57 分片报文攻击原理及防范 一 Teardrop特征 分片报文后片和前片发生重叠目的 使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置 firewalldefendteardropenable原理 防火墙为分片报文建立数据结构 记录通过防火墙的分片报文的偏移量 一点发生重叠 丢弃报文 58 分片报文攻击原理及防范 二 Pingofdeath特征 ping报文全长超过65535目的 使被攻击设备因处理不当而死机配置 firewalldefendping of deathenable原理 检查报文长度如果最后分片的偏移量和本身长度相加超过65535 丢弃该分片 59 拒绝服务攻击原理及防范 一 SYNFlood特征 向受害主机发送大量TCP连接请求报文目的 使被攻击设备消耗掉所有处理能力 无法响应正常用户的请求配置 statisticenableipinzonefirewalldefendsyn flood ipX X X X zonezonename max numbernum max ratenum tcp proxyauto on off firewalldefendsyn floodenable原理 防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理 代替受保护的主机回复请求 如果收到请求者的ACK报文 认为这是有效连接 在二者之间进行中转 否则删掉该会话 60 拒绝服务攻击原理及防范 二 UDP ICMPFlood特征 向受害主机发送大量UDP ICMP报文目的 使被攻击设备消耗掉所有处理能力配置 statisticenableipinzonefirewalldefendudp icmp flood ipX X X X zonezonename max ratenum firewalldefendudp icmp floodenable原理 防火墙基于目的地址统计对每个IP地址收到的报文速率 超过设定的阈值上限 进行car 61 扫描攻击原理和防范 一 IPsweep特征 地址扫描 向一个网段内的IP地址发送报文nmap目的 用以判断是否存在活动的主机以及主机类型等信息 为后续攻击作准备配置 StatisticenableipoutzoneFirewalldefendip sweep max ratenum blacklist timeoutnum 原理 防火墙根据报文源地址进行统计 检查某个IP地址向外连接速率 如果这个速率超过了阈值上限 则可以将这个IP地址添加到黑名单中进行隔离注意 如果要启用黑名单隔离功能 需要先启动黑名单 62 扫描攻击原理和防范 二 Portscan特征 相同一个IP地址的不同端口发起连接目的 确定被扫描主机开放的服务 为后续攻击做准备配置 StatisticenableipoutzoneFirewalldefendport scan max ratenum blacklist timeoutnum 原理 防火墙根据报文源地址进行统计 检查某个IP地址向同一个IP地址发起连接的速率 如果这个速率超过了阈值上限 则可以将这个IP地址添加到黑名单中进行隔离注意 如果要启用黑名单隔离功能 需要先启动黑名单 63 防火墙防范的其他报文 IcmpredirectIcmpunreachableLargeicmpRouterecordTimestamptracert 64 防火墙的安全防范 ACL安全策略NAT攻击防范IDS联动 65 IDS联动 由于防火墙自身具有一定的局限性 如检查的颗粒度较粗 难以对众多的协议细节进行深入的分析与检查 并且防火墙具有防外不防内的特点 难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范 因此 Eudemon防火墙开放了相关接口 通过与其它安全软件进行联动 从而构建统一的安全网络 网络中的IDS IntrusionDetectiveSystem 攻击检测系统 系统就像在网络上装备了网络分析器 对网络传输进行监视 该系统熟悉最新的攻击手段 而且尽力在检查通过的每个报文 从而尽早处理可疑的网络传输 具体采取的措施由用户使用的特定IDS系统和配置情况决定 66 IDS联动 1 2 3 4 IDS服务器提供基于应用层的过滤 67 IDS联动配置举例 68 第三章防火墙原理与特性第1节安全区域第2节工作模式第3节安全防范第4节VRRP HRP 69 VRRP和VGMP 一 传统VRRP备份组在防火墙上应用的问题 多个组主备不一致 VrrpGroupManagementProtocol状态一致性 组内vrrp同步变换状态 抢占管理 屏蔽vrrp抢占 通道管理 data trans only 70 VRRP和VGMP 二 两个防火墙上各接口之间的隶属关系两个防火墙上的接口和安全区域的连接必须严格一一对应 包括接口插槽 类型 编号 相关配置等 IP地址除外 两个防火墙上各VRRP备份组之间的隶属关系两个防火墙上的备份组编号 构成必须完全一样 这就是说EudemonA上的A1接口隶属备份组1 A2接口隶属备份组2 A3接口隶属备份组3 则EudemonB上的B1 B2和B3接口也必须分别隶属备份组1 2和3 两个防火墙上各VRRP管理组之间的隶属关系两个防火墙上的管理组编号 构成必须完全一样 这就是说EudemonA上的管理组包括备份组1 2和3 则EudemonB上的同样编号的管理组也必须包含备份组1 2和3 同一防火墙上接口 备份组 管理组之间的隶属关系同一防火墙 例如EudemonA 上 一个物理接口可以隶属多个VRRP备份组 一个备份组中能包含多个物理接口 对应多个虚拟IP地址 同一VRRP管理组可以包含多个备份组 但是相同备份组不能隶属多个VRRP管理组 VRRP备份组提供的备份功能是相对于安全区域而言的 即每个安全区域对应一个备份组 而VRRP管理组实现了各VRRP状态的一致性 是相对于Eudemon防火墙而言的 在每个防火墙上都定义至少一个VRRP管理组 负责管理该Eudemon防火墙与各安全区域相关的备份组 71 VRRP和VGMP 三 VRRP的配置任务 无 符号 表示该配置仅适用于未加入管理组的备份组 配置备份组的虚拟IP地址 配置备份组的优先级 配置备份组的抢占方式和延迟时间配置备份组的认证方式和认证字 配置备份组的定时器 配置监视指定接口 VRRP管理组的配置包括 创建VRRP管理组使能VRRP管理组功能配置向VRRP管理组添加备份组配置VRRP管理组优先级配置VRRP管理组抢占功能配置VRRP管理组Hello报文的发送间隔配置VRRP管理组的报文群发标志 72 VGMP 73 HRP HRP HuaweiRedundancyProtocol HRP协议是承载在VGMP报文上进行传输的 在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息配置主备当采用负载分担方式时 网络中存在两台Master防火墙 为了避免备份时混乱 Eudemon防火墙中引入了配置主设备 配置从设备概念 配置主设备 发送配置备份内容的防火墙配置从设备 接收配置备份内容的防火墙只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备 在负载分担方式下 参与双机热备份的两台Eudemon防火墙都是Master 此时则按照VRRP组优先级 接口真实IP地址从大到小的顺序选择配置主设备 74 HRP VGMP VRRP关系 当VRRP管理组状态变化时 系统将通知HRP状态和配置主 从设备的状态发生相应的变化 从而确保两台防火墙之间配置命令和会话状态信息得到及时备份 同时 VRRP管理组状态也要受HRP状态影响 即VRRP会根据HRP状态切换的结果来调整优先级 并进行VRRP状态切换 75 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导 76 升级方法 E200升级方法比较简单 大包中包含大Bootrom 直接升级大包即解决问题老命令行E100升级方法应对E100问题 出新命令行升级版本0315首先要升级小Bootrom然后升级为防火墙Bootrom最后下载防火墙新软件可以支持软件升级 不用更换硬件命令行变化 访问列表变化 77 第一章防火墙技术简介第二章防火墙体系结构第三章防火墙原理与特性第四章防火墙升级指导第五章防火墙故障处理指导 78 使用注意事项 一 推荐配置管理网口性能高 推荐作为主要业务口打开快转 D013之前 之后缺省打开 接口模式设置为百兆 全双工 不要协商ACL条目较多 使用ACL加速算法不使能ftp服务器 黑名单现在无法防范 尽可能使用路由模式TCP相关会话老化时间设置长一些默认40 firesessaging time可以使能黑名单 防止非法登录防火墙 79 使用注意事项 二 功能限制目前版本尽量避免使用动态路由 D10SP1目前不支持同一个报文在同一个接口上下 组网需要避免隧道L2tp GRE等 最低版本D10SP1避免开放流日志 日志服务器未发布 D013 系统统计不要关闭攻防模块日志较多 没有必要不要打开 防止log没有有效信息 80 故障收集信息 一 displaydiagnostic informationdisplayarpdisplayfirewallsessiontabledisplayfib displayiprouting table 81 故障收集信息 二 debugippacketdispacldisplayfirewallsessiontablevdisparpdisplayfib displayiprouting tabledebuggingnat alg event packet displaydiagnostic information 82 常见问题 一 Q 报文不转发 1 接口是否加入区域2 防火墙是否进行了限制3 是否同一个接口进行数据转发 注意其版本 83 常见问题 二 Q Eudemon200告警灯亮的问题 告警灯对那些进行告警 rpu的alarm灯对温度 风扇 电源异常进行告警 如果fan pwr1 pwr2的告警灯亮了 rpu的告警灯也会亮就是说电源模块自己的告警可以反映到主控板pwr告警灯上 主控板pwr告警可以反映到rpu告警灯上 风扇 电源的状态可以通过displaydevice命令查看 常见情况 Eudmeon200有两路电源 如果一开始就只有一路电源折不会产生告警如果一开始有两路电源 但是后来拔掉一路电源 则告警灯会亮如果有两路电源 但是有一路没有开 告警灯会亮 84 常见问题 二 续 告警产生后的查看命令 dispdevice看单板状态dispenvironment看环境信息dispalarmu看告警信息displog看日志信息例子 本溪铁通接了地线导致电源告警 网上问题 85 常见问题 二 续 确认问题后对出现异常的上报信息 可以做以下两个操作 1 在诊断模式下执行以下操作 Quidway diagnose tinitnvInitializetheNVRAMsucceeded 清除NVRAM中以往错误