Eudemon系列防火墙培训

1、防火墙issue1.0业务与软件技术服务部集成产品部业务与软件技术服务部集成产品部学习目标学习目标l了解防火墙的概念l熟悉eudemon防火墙产品l能够对eudemon防火墙进行规划和配置学习完本课程，您应该能够：内容内容l防火墙概念防火墙概念leudemon防火墙介绍防火墙介绍leudemon防火墙配置步骤防火墙配置步骤leudemon防火墙的维护防火墙的维护l防火墙的常见组网方式防火墙的常见组网方式防火墙的概念防火墙的概念 随着internet的日益普及，许多lan（内部网络）已经直接可以接入internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围

2、存在着许多不能信任的计算机（包括在一个lan之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。 在大厦的构造，防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的：“防止internet的危险传播到你的内部网络”。 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，

3、它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。防火墙的概念防火墙的概念简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是lan接口（如ethernet、token ring、fd

4、di），这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。连接不受信连接不受信网络区域网络区域连接受信网连接受信网络区域络区域在连接受信网络区域和非受信网络区域之间的在连接受信网络区域和非受信网络区域之间的区域，一般称为区域，一般称为dmz。防火墙和路由器的差异防火墙和路由器的差异a的报文如何能最快的到的报文如何能最快的到b？ 网络网络a如何和网络如何和网络b互联互通？过来一个报文立刻转发一个报文。互联互通？过来一个报文立刻转发一个报文。网络a网络b交流路由信息交流路由信息这个访问是否允许到这个访问是否允许到b？这个？这个tcp连

5、接是合法连接吗？这个访问是否是一个攻击行为？连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：路由器的特点：保证互联互通。保证互联互通。按照最长匹配算法逐包转发。按照最长匹配算法逐包转发。路由协议是核心特性。路由协议是核心特性。防火墙的特点：防火墙的特点：逻辑子网之间的访问控制，关注边界安全逻辑子网之间的访问控制，关注边界安全基于连接的转发特性。基于连接的转发特性。安全防范是防火墙的核心特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基

6、于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。富的业务特性。防火墙的分类防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下

7、几类： 包过滤防火墙(packet filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的ip源地址、目的地址、tcp/ udp的源端口、和tcp/udp的目的端口。利用以上的部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则的定义就是按照ip数据包的特点定义的，可以充分利用上述的四个条件定义通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对client来说防火墙是一个se

8、rver，对server来说防火墙是一个client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被aspf维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。状态检测技术状态检测技术用户a初始化一个telnet会话用户a的telnet会话返回报文被允许其它telnet报文被阻塞创建session表项状态防火

9、墙通过检测基于状态防火墙通过检测基于tcp/udp连接的连接状态，来动态的决定报文是否可以连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个通过防火墙。在状态防火墙中，会维护着一个session表项，通过表项，通过session表项就表项就可以决定哪些连接是合法访问，哪些是非法访问。可以决定哪些连接是合法访问，哪些是非法访问。防火墙的硬件发展防火墙的硬件发展防火墙的硬件发展过程：1、一般是直接安装在pc上的一套软件，基于pc提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有checkpoint公司的防火墙产品。2、采用pc硬件结构，基于linux等开

10、发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用独立设计的硬件结构，在cpu、电源、风扇、pci总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能。代表产品有华为公司的eudemon 200产品、netscreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（np）的业务加速模式的防火墙产品开始出现。通过网络处

11、理器的高性能，使得防火墙产品可以达到1g线速的处理能力。代表产品有华为公司的eudemon 1000产品。内容内容l防火墙概念防火墙概念leudemon防火墙介绍防火墙介绍leudemon防火墙配置步骤防火墙配置步骤leudemon防火墙的维护防火墙的维护l防火墙的常见组网方式防火墙的常见组网方式eudemon防火墙介绍防火墙介绍eudemon防火墙介绍防火墙的介绍安全区域工作模式控制列表应用访问策略aspf黑名单nat地址转换双机工作方式 vrrp组hrp攻击防范一夫当关，万夫莫开华为公司华为公司eudemon防火墙防火墙华为公司系列硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓华为公司

12、系列硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障越的性能和先进的安全体系架构为用户提供了强大的安全保障eudemon 1000/500eudemon 200eudemon 100华为公司华为公司eudemon系列防火墙系列防火墙eudemon 100l 定位于中小规模网络l 吞吐率：100mbpsl 并发连接数：200,000条l 新建连接率：5,000条/秒l 支持4个fe接口eudemon 200l 定位于中等规模网络l 吞吐率：400mbpsl 并发连接数：500,000条l 新建连接率：10,000条/秒eudemon 100

13、0/500l 定位于中大规模网络l 吞吐率：3gbpsl 并发连接数：800,000条l 新建连接率：100,000条/秒 专用硬件系统专用硬件系统 专用软件系统专用软件系统 高可靠高可靠 高安全高安全 高性能高性能 完备的防止流量攻击功能完备的防止流量攻击功能 强大的组网和业务支撑能力强大的组网和业务支撑能力 安全方便的管理系统安全方便的管理系统eudemon 防火墙主要特点防火墙主要特点e100e200e1000接口数量接口数量自带自带2个个10/100m以以太网口，另有太网口，另有2个扩个扩展接口插槽展接口插槽自带自带2个个10/100m以太以太网口。网口。,2个扩展接口插槽个扩展接口插

14、槽自带自带2个个10/100m以以太网口。太网口。4个扩展接个扩展接口插槽口插槽接口类型接口类型10/100m以太网以太网10/100m以太网，以太网，e1、atm接口接口fe/ge口，口，e1、atm、pos等接口等接口支持加密标准支持加密标准des,3des, aes,国密办算法国密办算法des,3des, aes,国密办算法国密办算法des,3des, aes,国密办算法国密办算法加密速度加密速度(3des)80m100m300m支持的认证类型支持的认证类型radiusradiusradiuseudemon防火墙基本规格防火墙基本规格e100e200e1000静态静态acl支持支持支 持

15、 ， 支 持 高 速支 持 ， 支 持 高 速acl算法；算法；3k条条支持，支持高速支持，支持高速acl算算法；法；20k条条支持，支持高速支持，支持高速acl算算法，法，100k条条提供基于时间的提供基于时间的acl访问访问控制控制支持支持支持支持支持支持传输层传输层proxy代理代理支持支持支持支持支持支持activex、java applet过过滤滤 支持支持支持支持支持支持支持的抗攻击类型支持的抗攻击类型支持抵抗支持抵抗syn floodsyn flood、icmp floodicmp flood、udp floodudp flood、winnukewinnuke、landland、

16、smurfsmurf、fragglefraggle等数十种攻击等数十种攻击支持的应用状态检测支持的应用状态检测对对tcp、udp、分片报文、分片报文、ftp、smtp、rtsp、h.323、sip、http等进行应用等进行应用状态检测状态检测ip和和mac地址绑定地址绑定支持支持支持支持支持支持eudemon防火墙基本规格防火墙基本规格e100e200e1000提供对提供对smtp,ftp等协议的应用层有等协议的应用层有害命令检测和防御。害命令检测和防御。支持支持支持支持支持支持nat主要支持主要支持algftp、pptp、dns、nbt（netbios over tcp）、）、ils（int

17、ernet locator service）、）、icmp、h.323、sip等协议等等协议等支持支持qos和带宽管理和带宽管理支持支持支持支持支持支持支持负载均衡支持负载均衡支持支持支持支持支持支持支持工作模式支持工作模式nat,路由，透明路由，透明nat,路由，透明路由，透明nat,路由，透明路由，透明失败恢复特性失败恢复特性双机状态热备；多双机状态热备；多机均衡，自动倒换；机均衡，自动倒换；双机状态热备；多双机状态热备；多机均衡，自动倒换；机均衡，自动倒换；双机状态热备；多双机状态热备；多机均衡，自动倒换；机均衡，自动倒换；eudemon防火墙基本规格防火墙基本规格e100e200e10

18、00动态路由动态路由支持支持rip、ospf支持支持rip、ospf支持支持rip、ospf支持支持snmp监控和配置监控和配置支持支持支持支持支持支持管理方式管理方式gui,cligui,cligui,cli集中管理多个防火墙集中管理多个防火墙支持支持支持支持支持支持日志日志支持二进制和支持二进制和syslog格格式式支 持 二 进 制 和支 持 二 进 制 和syslog格式格式支 持 二 进 制 和支 持 二 进 制 和syslog格式格式日志可设定输出信息日志可设定输出信息所有发起连接，流量，各所有发起连接，流量，各种详细统计如分类丢弃报种详细统计如分类丢弃报文等文等所有发起连接，流量

19、，所有发起连接，流量，各种统计如分类丢弃各种统计如分类丢弃报文等报文等所有发起连接，流量，所有发起连接，流量，各种统计如分类丢弃各种统计如分类丢弃报文等报文等eudemon防火墙基本规格防火墙基本规格防火墙的安全区域防火墙的安全区域l防火墙的内部划分为多个区域，所有的转发接口都唯一的属于防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域某个区域local区域trust区域dmz区域untrust区域接口1接口2接口3接口4防火墙的安全区域防火墙的安全区域l路由器的安全规则定义在接口上，而防火墙的安全路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间规则定义在安全区域

20、之间不允许来自的数据报从这个接口出去local区域trust区域dmz区域untrust区域接口1接口2接口3接口4禁止所有从dmz区域的数据报转发到untrust区域防火墙的安全区域防火墙的安全区域leudemon防火墙上保留四个安全区域：非受信区（untrust）：低级的安全区域，其安全优先级为5。非军事化区（dmz）：中度级别的安全区域，其安全优先级为50。受信区（trust）：较高级别的安全区域，其安全优先级为85。本地区域（local）：最高级别的安全区域，其安全优先级为100。l此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区

21、域。防火墙的安全区域防火墙的安全区域l域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。local区域trust区域dmz区域untrust区域接口1接口2接口3接口4inoutinoutinoutinout防火墙的安全区域防火墙的安全区域本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文local区域trust区域dmz区域untrust区域接口1接口2接口3接口4inoutinoutinoutinout防火墙的安全区域防火墙

22、的安全区域ethernet外部网络etherneteudemon( local )serverservertrustuntrustdmzethernet0/0/0ethernet1/0/0ethernet2/0/0内部网络防火墙的模式防火墙的模式l路由模式路由模式l透明模式透明模式l混合模式混合模式防火墙的路由模式防火墙的路由模式l可以把路由模式理解为象路由器那样工作。防火墙每个接口连可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查

23、找转火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。然后使用配置在这个域间关系上的安全策略进行各种操作。防火墙的透明模式防火墙的透明模式l透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配ip地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的ip地址进行各种安全策略的匹配。防火墙的混合模式防火墙的混合

24、模式l混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的vrrp需要在接口上配置ip地址，而透明模式无法实现这一点。状态防火墙处理过程状态防火墙处理过程ipip包过滤技术介绍包过滤技术介绍l对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。rinternet公司总部内部网络未授权用户办事处访问控制列表是什么？访问控制列表是什么？l一个一个ip数据包如下图所示（图中数据包如下

25、图所示（图中ip所承载的上层协议所承载的上层协议为为tcp）：）：ip报头报头tcp报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于tcp来说，这5个元素组成了一个tcp相关，访问控制列表就是利用这些元素定义的规则如何标识访问控制列表？如何标识访问控制列表？l利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围ip standard list199,2000-2999ip extended list100199,3000-3999 700799范围的acl是基于mac地址的访问控制列表标准访问控制列

26、表标准访问控制列表l标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器标准访问控制列表的配置标准访问控制列表的配置l配置标准访问列表的命令格式如下：acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any 怎样利用 ip 地址 和 反掩码wildcard-mask 来表示一个网段?访问控制列表的组合访问

27、控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序 。l规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。深度的判断要依靠通配比较位和ip地址结合比较 access-list 4 deny 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。l规则冲突时，若匹配顺序为co

28、nfig，先配置的规则会被优先考虑。扩展访问控制列表扩展访问控制列表l扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。从/24来的,到0的，使用tcp协议，利用http访问的数据包可以通过！路由器扩展访问控制列表的配置命令扩展访问控制列表的配置命令l配置tcp/udp协议的扩展访问列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2

29、destination dest-addr dest- wildcard | any destination-port operator port1 port2 loggingl配置icmp协议的扩展访问列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl配置其它协议的扩展访问列表：rule normal | spec

30、ial permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging扩展访问控制列表操作符的含义扩展访问控制列表操作符的含义操作符及语法意义equal portnumber等于端口号 portnumbergreater-than portnumber大于端口号portnumberless-than portnumber小于端口号portnumbernot-equal portnumber不等于端口号p

31、ortnumber rangeportnumber1 portnumber2介于端口号portnumber1 和portnumber2之间在区域间应用访问控制列表在区域间应用访问控制列表例子：创建编号为102的访问控制列表。eudemon acl number 102# 配置acl规则，允许特定用户从外部网访问内部服务器。eudemon-acl-adv-102 rule permit tcp source 0 destination 0eudemon-acl-adv-102 rule permit tcp source 0 de

32、stination 0eudemon-acl-adv-102 rule permit tcp source 0 destination 0上述配置已经完成了acl的创建。下面的配置是在包过滤应用中引用acl，相关命令的具体解释请见相关章节的描述。# 将acl规则101作用于trust区域到untrust区域间的出方向。eudemon-interzone-trust-untrust packet-filter 101 outbound# 将acl规则102作用于untrust区域到trust区域间的入方向。eudemon-inte

33、rzone-trust-untrust packet-filter 102 inbound# 在trust区域和untrust区域之间使能ftp协议的应用协议检测。eudemon-interzone-trust-untrust detect ftpaspflaspf（application specific packet filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。l为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止

34、非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。aspflaspf能够监测ftp、http、smtp、rstp、h.323、tcp、udp的流量dos（denial of service，拒绝服务）的检测和防范。java blocking（java阻断）保护网络不受有害java applets的破坏。activex blocking（activex阻断）保护网络不受有害activex的破坏。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。aspf配置举例配置

35、举例ethernetethernet1/0/0server host 1trustuntrustetherneteudemonethernet2/0/0aspf配置举例配置举例eudemon firewall session aging-time ftp 3000eudemon firewall session aging-time http 3000eudemon acl number 101eudemon-acl-adv-101 rule deny ipeudemon acl number 10eudemon-acl-

36、basic-10 rule deny source 1 eudemon-acl-basic-10 rule permit source anyeudemon firewall packet-filter default permit interzone trust untrust direction outboundeudemon firewall interzone trust untrusteudemon-interzone-trust-untrust packet-filter 101 inboundeudemon-interzone-trust-untrus

37、t detect ftpeudemon-interzone-trust-untrust detect httpeudemon-interzone-trust-untrust detect java-blocking 10黑名单黑名单l黑名单，指根据报文的源ip地址进行过滤的一种方式。同基于acl的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定ip地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定ip地址的攻击企图之后，通过主动修改黑名单列表从而将该ip地址发送的报

38、文过滤掉。因此，黑名单是防火墙一个重要的安全特性。黑名单黑名单l黑名单的创建黑名单的创建undo firewall blacklist item sour-addr timeout minutes l黑名单的使能黑名单的使能undo firewall blacklist enablel黑名单的报文过滤类型和范围的设置黑名单的报文过滤类型和范围的设置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 黑名单配置举例黑名单配置举例l服务器和客户机分别位于防火墙trust区域和untru

39、st区域中，现要在100分钟内过滤掉客户机发送的所有icmp报文。eudemon服务器pc黑名单配置举例黑名单配置举例leudemon firewall blacklist item 0 timeout 100leudemon firewall blacklist packet-filter icmp range globalleudemon firewall blacklist enable地址转换地址转换lnat（network address translation，地址转换）是将ip数据报报头中的ip地址转换为

40、另一个ip地址的过程。在实际应用中，nat主要用于实现私有网络访问外部网络的功能。l私有网络一般使用私有地址，rfc1918为私有、内部的使用留出了三个ip地址块，如下：a类：55（/8）b类：55（/12）c类：55（/16）l上述三个范围内的地址不会在因特网上被分配，因而可以不必向isp或注册中心申请而在公司或企业内部自由使用。l路由器可以在接口上配置地址转换，eudemon防火墙是在区域之间实现地转换

41、 多对多地址转换多对多地址转换eudemon防火墙是通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。地址池：用于地址转换的一些公有ip地址的集合。用户应根据自己拥有的合法ip地址数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换后的源地址。利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权访问internet。多对多地址转换多对多地址转换eudemon防火墙上配置多对多地址转换的步骤如下在系统视图下定义一个可以根据需

42、要进行分配的nat地址池nat address-group group-number start-addr end-addr其中，group-number是标识这个地址池的编号，start-addr end-addr是地址池的起始和结束ip地址。 在系统视图和acl视图下定义一个访问控制列表在系统视图下定义访问控制列表acl number acl-number match-order config | auto 在acl视图下定义访问控制规则rule rule-id permit | deny source sour-addr sour-wildcard | any time-range ti

43、me-name logging 在域间视图下将访问控制列表和nat地址池关联nat outbound acl-number address-group group-number nat server配置配置 在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个www的服务器，或是一台ftp服务器。使用nat可以灵活地添加内部服务器，通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。 nat server protocol pro-type global global-addr global-port1 global-p

44、ort2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr easy ip配置配置easy ip的概念很简单，当进行地址转换时，直接使用接口的公有ip地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。 nat outbound acl-number interface interface-name 应用级网关应用级网关algnat只能对ip报文的头部地址和tcp/udp头部的端口信息进行转换。对于一些特殊协议，例如icmp、ftp等，它们报文的

45、数据部分可能包含ip地址或端口信息，这些内容不能被nat有效的转换，这就可能导致问题。 例如，一个使用内部ip地址的ftp服务器可能在和外部网络主机建立会话的过程中需要将自己的ip地址发送给对方。而这个地址信息是放到ip报文的数据部分，nat无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时ftp服务器将表现为不可达。 解决这些特殊协议的nat转换问题的方法就是在nat实现中使用alg（application level gateway，应用级网关）功能。alg是特定的应用协议的转换代理，它和nat交互以建立状态，使用nat的状态信息来改变封装在ip报文数据部分中的特定数据，并完

46、成其他必需的工作以使应用协议可以跨越不同范围运行。 在系统视图下执行下列命令则使能了相应协议的alg功能nat alg enable ftp | h323 | icmp | ras 在域间视图下为应用层协议配置aspf检测detect protocoleudemon双机热备双机热备什么是双机热备？所谓双机热备其实是双机状态备份，当两台防火墙，在确定主从防火墙后，由主防火墙进行业务的转发，而从防火墙处于监控状态，同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息，当主防火墙出现故障后，从防火墙会及时接替主防火墙上的业务运行。eudemonamastereudemonbbackuptrust

47、区域dmz区域untrust区域pcpc(1)(2)(3)(4)(7)会话表项server(5)(6)(8)实际连线报文流径双机热备的实现和原理双机热备的实现和原理实现双机热备的基本步骤：1.在接口上配置vrrp（虚拟路由器冗余协议）备份组，来发现防火墙的故障情况；2.将vrrp备份组加入到vgmp（ vrrp组管理协议）中，以实现对vrrp管理组的统一管理；3.使能hrp（华为冗余协议），实现双机情况下的信息备份。双机热备的基本原理：两台防火墙形成双机热备，两台防火墙之间通过vrrp的hello报文协商主备关系，根据vgmp的优先级和接口的ip从而确定防火墙的master和slave关系，并

48、且master防火墙会通过hrp协议定时向slave传送备份信息（命令行备份信息和动态备份信息），当master防火墙出现故障时，主备关系发生转换，业务会平滑切换，不会影响这个业务的进行。注意：对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备份。但对于只使用vrrp的组网可以支持多台设备进行冗余备份双机热备注意事项双机热备注意事项在双机热备组网中，需要注意的几个问题：1. 对于双机热备目前只支持两台设置进行备份，不支持多台设备进行备 份。但对于只使用vrrp的组网可以支持多台设备进行冗余备份；2. 由于双机热备中具有备份机制可以备份动态信息和命令，因此要求进行双机热备的两台设备板卡

49、的位置，以及接口卡的类型都要求相同，否则会出现主防火墙备份过去的信息，与从防火墙根本就无法进行搭配使用，如出现主备状态切换就会导致业务出问题。3. 进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同，以免由于先前的配置而导致业务问题。双机热备应用协议双机热备应用协议1vrrp（virtual router redundancy protocol）虚拟路由器冗余协议vrrp（virtual router redundancy protocol）作为一种容错协议，适用于支持组播或广播的局域网（如以太网等），通过一组路由设备共用一个虚拟的ip来达到提供一个虚拟网关的目的 。 v

50、rrp在防火墙应用的缺陷在防火墙应用的缺陷每个备份组的每个备份组的vrrpvrrp是单独工作的，并且每个是单独工作的，并且每个vrrpvrrp状态相对独立，因此无状态相对独立，因此无法保证同一防火墙上各接口的法保证同一防火墙上各接口的vrrpvrrp状态都为主用或都为备用，可能会导状态都为主用或都为备用，可能会导致业务中断。致业务中断。由于由于eudemoneudemon是状态防火墙，对于各安全区域之间的每个动态生成的五是状态防火墙，对于各安全区域之间的每个动态生成的五元组的会话连接，元组的会话连接，eudemoneudemon都有一个会话表项与之对应，只有命中该会话都有一个会话表项与之对应，

51、只有命中该会话表项的后续报文（包括返回报文）才能够通过表项的后续报文（包括返回报文）才能够通过eudemoneudemon防火墙，这就要求防火墙，这就要求某会话的进路径、出路径必须一致，因此某会话的进路径、出路径必须一致，因此vrrpvrrp无法保证主从防火墙的这无法保证主从防火墙的这种会话连接一致，当出现切换后会出现业务中断。种会话连接一致，当出现切换后会出现业务中断。双机热备应用协议双机热备应用协议双机热备应用的协议二二. vgmp（ vrrp group management protocol ）vrrp组管理协议 为了确保各vrrp备份组之间通路状态一致性，需要配置vrrp管理组，由管

52、理组统一管理各独立运行的vrrp备份组，从而实现各备份组之间的互通。以防止可能导致的vrrp状态不一致现象的发生。从而实现对多个vrrp备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理。也许会问vrrp下有接口监视命令不是可以实现设备的状态统一吗？lvrrp下的track接口监视命令，的确可以达到实现设备的状态统一，但是如果接口较多的情况下，配置就会很繁琐，同时很容易出错。l接口监视命令只能实现对其他接口状态的监控已达到vrrp的状态统一，但是vrrp是独立工作的，当由于抢占设备中一个vrrp状态发生变化后，监控命令是无法使所有的vrrp状态都进行变化的。eudemonamastere

53、udemonbbackuptrust区域dmz区域untrust区域a1a2a4a3b2b1b4b3a1-s-b1a2-s-b2a4-b4a3-s-b3实际连线数据通道a1、a2、a3分别为eudemona的接口b1、b2、b3分别为eudemonb的接口s代表lan switch双机热备应用协议双机热备应用协议状态一致性管理状态一致性管理各备份组的主各备份组的主/备状态变化都需要通知其所属的备状态变化都需要通知其所属的vrrp管理组，由管理组，由vrrp管理组决定是否允许管理组决定是否允许vrrp备份组进行主备份组进行主/备状态切换。备状态切换。 抢占管理抢占管理 无论各无论各vrrp备份组

54、内备份组内eudemon防火墙设备是否使能了抢占功能，抢防火墙设备是否使能了抢占功能，抢占行为发生与否必须由占行为发生与否必须由vrrp管理组统一决定管理组统一决定。 通道管理通道管理 所谓通道管理，是为了提供传输所谓通道管理，是为了提供传输vgmp报文、报文、vgmp相关承载报文、相关承载报文、vrrp状态报文的可靠通路而提出的，这是相对正常业务流的业务通道状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。而言的。 2. vgmp提供的功能提供的功能双机热备应用协议双机热备应用协议三三. hrp（huawei redundancy protocol ）华为冗余协议）华为冗余协议

55、hrp协议是承载在协议是承载在vgmp报文上进行传输的，在报文上进行传输的，在master和和backup防火墙设防火墙设备之间备份关键配置命令和会话表状态信息，特别是会话表项。备之间备份关键配置命令和会话表状态信息，特别是会话表项。eudemonamastereudemonbbackuptrust区域dmz区域untrust区域pcpc(1)(2)(3)(4)(7)会话表项server(5)(6)(8)双机热备应用协议双机热备应用协议防火墙应用状态的可靠性备份：l动态生成的黑名单l防火墙生成的会话表表项lservermap表项lno-pat表项双机热备应用协议双机热备应用协议防火墙配置命令的

56、备份：lacl包过滤命令的配置l攻击防范命令的配置l地址绑定命令的配置l黑名单命令的启用以及手工添加黑名单用户和对黑名单命令的删除操作l日志命令lnat命令的配置l统计命令的配置l域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置laspf（应用层包过滤防火墙）的命令配置l清除会话表项命令（reset firewall session table)和清除配置的命令（undo xxx）注意：1.在批处理手工备份时，对于undo和reset命令是无法进行备份的。2. 除以上命令行可以备份外，其他命令无法备份。如路由命令等，需要主从防火墙同时配置。双机热备应用协议双机热备应用协议攻击类型简

57、介攻击类型简介l单报文攻击攻击类型简介攻击类型简介l分片报文攻击分片报文攻击l拒绝服务类攻击拒绝服务类攻击l扫描扫描内容内容l防火墙概念防火墙概念leudemon防火墙介绍防火墙介绍leudemon防火墙配置步骤防火墙配置步骤leudemon防火墙的维护防火墙的维护l防火墙的常见组网方式防火墙的常见组网方式eudemon防火墙配置步骤防火墙配置步骤leudemon防火墙配置步骤防火墙组网规划配置接口ip地址配置域把接口划分到域配置vrrp（双机）配置vrrp组配置hrp验证双机配置配置地址转换配置acl在域间应用acl校验业务配置防火墙组网规划防火墙组网规划l防火墙组网规划组网拓朴图（具体到网

58、络设备物理端口的分配和连接）ip地址的分配（具体到网络设备所有ip地址的分配）防火墙上的区域划分防火墙的地址映射关系防火墙需要开放的策略配置配置ip地址地址l配置ip地址，把各接口的ip地址配置好# 配置防火墙接口ethernet 0/0/0。eudemon interface ethernet 0/0/0eudemon-ethernet0/0/0 ip address eudemon-ethernet0/0/0 quitl如为双机，需要在接口下配置vrrp eudemonint eth 0/0/0 eudemon-ethernet0/0/0

59、ip address # 在接口eth0/0/0下配置vrrp备份组1，注意虚拟ip需要和接口地址同一网段 eudemon-ethernet0/0/0vrrp vrid 1 virtual-ip eudemon-ethernet0/0/0interface ethernet 0/0/1 eudemon-ethernet0/0/1ip address # 在接口eth0/0/1下配置vrrp备份组2注意：在接口下配置注意：在接口下配置vrrp时，不要配置时，不要配置

60、vrrp优先级优先级配置区域配置区域l配置区域，并把区域优先级配置好（采用缺省区域则不用）#配置区域dmz。eudemon firewall zone name dmz1eudemon-zone-dmz1 set priority 70把接口加入到区域中把接口加入到区域中l把相应的接口加入到相应的区域中去# 配置接口ethernet 1/0/0加入防火墙dmz域。eudemon firewall zone dmzeudemon-zone-dmz add interface ethernet 1/0/0eudemon-zone-dmz quit 配置配置vrrp组组l # 创建vrrp管理组1，