华为防火墙配置培训

SecPath防火墙技术介绍,2,学习目标,防火墙的域和模式攻击防范、包过滤、ASPF、NAT、黑名单的使用方法,学习完本课程，您应该能够了解：,3,防火墙的模式,路由模式为防火墙的以太网接口（以GigabitEthernet0/0为例）配置IP地址。SecPathinterfaceGigabitEthernet0/0SecPath-GigabitEthernet0/0ipaddress透明模式当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置IP地址。这样，用户若要对防火墙进行Web管理，需在透明模式下为防火墙配置一个系统IP地址（SystemIP）。用户可以通过此地址对防火墙进行Web管理。缺省情况下，防火墙工作在路由模式。(1)配置防火墙工作在透明模式。SecPathfirewallmode?routeRoutemodetransparentTransparentmodeSecPathfirewallmodetransparentSetsystemipaddresssuccessfully.TheGigabitEthernet0/0hasbeeninpromiscuousoperationmode!TheGigabitEthernet0/1hasbeeninpromiscuousoperationmode!AlltheInterfacessipshavebeendeleted.Themodeissetsuccessfully.从以上显示的系统提示信息可以看出，防火墙已经工作在透明模式下，且所有接口上的IP地址已经被删除。(2)为防火墙配置系统IP地址。SecPathfirewallsystem-ipSetsystemipaddresssuccessfully.说明：当防火墙切换到透明模式时，系统为防火墙分配了一个缺省系统IP地址/8，可以使用上述命令更改系统IP地址。,4,防火墙的模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。相比较而言，路由模式的功能更强大一些；而在用户的网络无法变更的情况下，可以考虑采用透明模式。,5,防火墙的属性配置命令,打开或者关闭防火墙firewallenable|disable设置防火墙的缺省过滤模式firewalldefaultpermit|deny显示防火墙的状态信息displayfirewall,6,在接口上应用访问控制列表,将访问控制列表应用到接口上指明在接口上是OUT还是IN方向,Ethernet0,Serial0,访问控制列表3作用在Serial0接口上在in方向上有效,7,基于时间段的包过滤,“特殊时间段内应用特殊的规则”,Internet,上班时间（上午8：00下午5：00）只能访问特定的站点；其余时间可以访问其他站点,8,时间段的配置命令,timerange命令timerangeenable|disableundosettr命令settrbegin-timeend-timebegin-timeend-time.undosettr显示isintr命令displayisintr显示timerange命令displaytimerange,9,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list4deny55access-list4permit55两条规则结合则表示禁止一个大网段（）上的主机但允许其中的一小部分主机（）的访问。规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。,10,防火墙,在测试环境中，划分了最常用的三个安全区域：Untrust区域用于连接外部网络；DMZ区域放置对外服务器；Trust区域用于连接内部安全网络。,Lanswitch,Trust区域,PC1,/24,serverA,Internet,11,防火墙基本配置,SecPath:InterfaceGigabitEthernet0/0ipaddressInterfaceGigabitEthernet0/1ipaddressInterfaceEthernet1/0ipaddressPC1:配置IP地址为/24PC2:配置IP地址为/24,12,防火墙的功能演示,13,防火墙的功能演示,14,防火墙的功能演示,15,防火墙的功能演示,16,ASPF,ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。为保护网络安全，基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。,17,ASPF,ASPF能够监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（DenialofService，拒绝服务）的检测和防范。JavaBlocking（Java阻断）保护网络不受有害JavaApplets的破坏。ActivexBlocking（Activex阻断）保护网络不受有害Activex的破坏。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。,18,攻击类型简介,单报文攻击FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment,19,攻击类型简介,分片报文攻击TearDropPingofdeath拒绝服务类攻击SYNFloodUDPFlood&ICMPFlood扫描IPsweepPortscan,20,单包攻击原理及防范-1,Fraggle特征：UDP报文，目的端口7（echo）或19（CharacterGenerator）目的：echo服务会将发送给这个端口的报文再次发送回去CharacterGenerator服务会回复无效的字符串攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满配置：firewalldefendfraggleenable原理：过滤UDP类型的目的端口号为7或19的报文,21,单包攻击原理及防范-2,IPSpoof特征：地址伪冒目的：伪造IP地址发送报文配置：firewalldefendip-spoofingenable原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个IP地址的出接口，丢弃报文,22,单包攻击原理及防范-3,Land特征：源目的地址都是受害者的IP地址，或者源地址为127这个网段的地址目的：导致被攻击设备向自己发送响应报文，通常用在synflood攻击中配置：firewalldefendlandenable防范原理：对符合上述特征的报文丢弃,23,单包攻击原理及防范-4,Smurf特征：伪冒受害者IP地址向广播地址发送pingecho目的：使受害者被网络上主机回复的响应淹没配置：firewalldefendsmurfenable原理：丢弃目的地址为广播地址的报文,24,单包攻击原理及防范-5,TCPflag特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置SYN、FIN、RST等位目的：使被攻击主机因处理错误死机配置：firewalldefendtcp-flagenable原理：丢弃符合特征的报文,25,单包攻击原理及防范-6,Winnuke特征：设置了分片标志的IGMP报文，或针对139端口的设置了URG标志的报文目的：使被攻击设备因处理不当而死机配置：firewalldefendwinnukeenable原理：丢弃符合上述特征报文,26,单包攻击原理及防范-7,Ip-frag特征：同时设置了DF和MF标志，或偏移量加报文长度超过65535目的：使被攻击设备因处理不当而死机配置：firewalldefendip-fragmentenable原理：丢弃符合上述特征报文,27,分片报文攻击原理及防范-1,Teardrop特征：分片报文后片和前片发生重叠目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口配置：firewalldefendteardropenable原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文,28,分片报文攻击原理及防范-2,Pingofdeath特征：ping报文全长超过65535目的：使被攻击设备因处理不当而死机配置：firewalldefendping-of-deathenable原理：检查报文长度如果最后分片的偏移量和本身长度相加超过65535，丢弃该分片,29,拒绝服务攻击原理及防范-1,SYNFlood特征：向受害主机发送大量TCP连接请求报文目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求配置：statisticenableipinzonefirewalldefendsyn-floodipX.X.X.X|zonezonenamemax-numbernummax-ratenumtcp-proxyauto|on|offfirewalldefendsyn-floodenable原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话,30,拒绝服务攻击原理及防范-2小,UDP/ICMPFlood特征：向受害主机发送大量UDP/ICMP报文目的：使被攻击设备消耗掉所有处理能力配置：statisticenableipinzonefirewalldefendudp/icmp-floodipX.X.X.X|zonezonenamemax-ratenumfirewalldefendudp/icmp-floodenable原理：防火墙基于目的地址统计对每个IP地址收到的报文速率，超过设定的阈值上限，进行car,31,扫描攻击原理和防范-1,IPsweep特征：地址扫描，向一个网段内的IP地址发送报文nmap目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备配置：StatisticenableipoutzoneFirewalldefendip-sweepmax-ratenumblacklist-timeoutnum原理：防火墙根据报文源地址进行统计，检查某个IP地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个IP地址添加到黑名单中进行隔离注意：如果要启用黑名单隔离功能，需要先启动黑名单,32,扫描攻击原理和防范-2,Portscan特征：相同一个IP地址的不同端口发起连接目的：确定被扫描主机开放的服务，为后续攻击做准备配置：StatisticenableipoutzoneFirewalldefendport-scanma