华为防火墙基础和配置V1.1

1、HUAWEI TECHNOLOGIES CO., LTDHUAWEI Confidential Security Level: 防火墙基础ISSUE1.0业务与软件技术服务部集成产品部业务与软件技术服务部集成产品部HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 2学习目标l了解防火墙的概念了解防火墙的概念l熟悉熟悉Eudemon防火墙产品防火墙产品l能够对能够对Eudemon防火墙进行规划和配置防火墙进行规划和配置学习完本课程，您应该能够：学习完本课程，您应该能够：HUAWEI TECHNOLOGIES CO., LTD.HUAWEI

2、 Confidential Page 3内容l防火墙概念lEudemon防火墙介绍lEudemon防火墙配置步骤lEudemon防火墙的维护l防火墙的常见组网方式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 4防火墙的概念 随着Internet的日益普及，许多LAN（内部网络）已经直接可以接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这些计算机对我们私有的一些敏感信息造成了很大的威胁。 在大厦的构造，防火墙被设计用来防止火从大

3、厦的一部分传播到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的：“防止Internet的危险传播到你的内部网络”。 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。HUAWEI TECHNOLOGI

4、ES CO., LTD.HUAWEI Confidential Page 5防火墙的概念简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口都是LAN接口（如Ethernet、Token Ring、FDDI），这些接口用来连接几个网络。在这些网络中进

5、行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。连接不受信连接不受信网络区域网络区域连接受信连接受信网络区域网络区域在连接受信网络区域和非受信网络区域之间的在连接受信网络区域和非受信网络区域之间的区域，一般称为区域，一般称为DMZ。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 6防火墙和路由器的差异A的报文如何能最快的到的报文如何能最快的到B？ 网络网络A如何和网络如何和网络B互联互通？过来一个报文立刻转发一个报文。互联互通？过来一个报文立刻转发一个报文。网络A网络B交流路由信息交流路由信息这个访问是否允许

6、到这个访问是否允许到B？这个？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：路由器的特点：保证互联互通。保证互联互通。按照最长匹配算法逐包转发。按照最长匹配算法逐包转发。路由协议是核心特性。路由协议是核心特性。防火墙的特点：防火墙的特点：逻辑子网之间的访问控制，关注边界安全。逻辑子网之间的访问控制，关注边界安全。基于连接的转发特性。基于连接的转发特性。安全防范是防火墙的核心特性。安全防范是防火墙的核心特性。由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于由于防火墙具有基于连接监控的特性，因

7、此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。富的业务特性。HUAWEI TEC

8、HNOLOGIES CO., LTD.HUAWEI Confidential Page 7防火墙的分类按照防火墙实现的方式，一般把防火墙分为如下几类： 包过滤防火墙(Packet Filtering) 包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较，过滤通过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的，可以充分利用上述的四个条件定义通过防火墙数据包的条件。 包过滤防火墙简单，但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧

9、下降。 代理型防火墙（application gateway） 代理型防火墙使得防火墙做为一个访问的中间节点，对Client来说防火墙是一个Server，对Server来说防火墙是一个Client。代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。 状态检测防火墙 状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。现在防火墙的主流产品为状态检测防火墙。HUA

10、WEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 8状态检测技术用户A初始化一个telnet会话用户A的telnet会话返回报文被允许其它telnet报文被阻塞创建Session表项状态防火墙通过检测基于状态防火墙通过检测基于TCP/UDP连接的连接状态，来动态的决定报文是否可以连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个通过防火墙。在状态防火墙中，会维护着一个Session表项，通过表项，通过Session表项就表项就可以决定哪些连接是合法访问，哪些是非法访问。可以决定哪些连接是合法访问，哪些是非法访问。

11、HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 9防火墙的硬件发展防火墙的硬件发展过程：1、一般是直接安装在PC上的一套软件，基于PC提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。2、采用PC硬件结构，基于linux等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。国内大部分防火墙产品都是采用这种方式开发。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。代表产品有天融信公司的防火墙产品3、采用

12、独立设计的硬件结构，在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能。代表产品有华为公司的Eudemon 200产品、NetScreen 204等防火墙产品。4、由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（NP）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到1G线速的处理能力。代表产品有华为公司的Eudemon 1000产品。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 10内容l防火墙概念lEudemon防火墙介绍lE

13、udemon防火墙配置步骤lEudemon防火墙的维护l防火墙的常见组网方式HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 11Eudemon防火墙介绍Eudemon防火墙介绍防火墙介绍防火墙的介绍防火墙的介绍安全区域安全区域工作模式工作模式控制列表控制列表应用访问策略应用访问策略ASPF黑名单黑名单Nat地址转换地址转换双机工作方式双机工作方式 VRRP组组HRP攻击防范攻击防范HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 12一夫当关，万夫莫开华为公司Eudemon防火

14、墙HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 13华为公司系列硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，华为公司系列硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障卓越的性能和先进的安全体系架构为用户提供了强大的安全保障Eudemon 1000/500Eudemon 200Eudemon 100华为公司Eudemon系列防火墙HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 14Eudemon 100l 定位于中

15、小规模网络l 吞吐率：100Mbpsl 并发连接数：200,000条l 新建连接率：5,000条/秒l 支持4个FE接口HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 15Eudemon 200l 定位于中等规模网络l 吞吐率：400Mbpsl 并发连接数：500,000条l 新建连接率：10,000条/秒HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 16Eudemon 1000/500l 定位于中大规模网络l 吞吐率：3Gbpsl 并发连接数：800,000条l 新建连接

16、率：100,000条/秒HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 17 专用硬件系统专用硬件系统 专用软件系统专用软件系统 高可靠高可靠 高安全高安全 高性能高性能 完备的防止流量攻击功能完备的防止流量攻击功能 强大的组网和业务支撑能力强大的组网和业务支撑能力 安全方便的管理系统安全方便的管理系统Eudemon 防火墙主要特点HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 18E100E200E1000接口数量自带2个10/100M以太网口，另有2个扩展接口插槽自带2个

17、10/100M以太网口。2个扩展接口插槽自带2个10/100M以太网口。4个扩展接口插槽接口类型10/100M以太网10/100M以太网，E1、ATM接口FE/GE口，E1、ATM、POS等接口支持加密标准DES,3DES, AES,国密办算法DES,3DES, AES,国密办算法DES,3DES, AES,国密办算法加密速度(3DES)80M100M300M支持的认证类型RADIUSRADIUSRADIUSEudemon防火墙基本规格HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 19E100E200E1000静态ACL支持支持，支

18、持高速ACL算法；3K条支持，支持高速ACL算法；20K条支持，支持高速ACL算法，100K条提供基于时间的ACL访问控制支持支持支持传输层PROXY代理支持支持支持ActiveX、Java applet过滤 支持支持支持支持的抗攻击类型支持抵抗SYN FLOOD、ICMP FLOOD、UDP FLOOD、Winnuke、Land、Smurf、Fraggle等数十种攻击支持的应用状态检测对TCP、UDP、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP等进行应用状态检测IP和MAC地址绑定支持支持支持Eudemon防火墙基本规格HUAWEI TECHNOLOGIES CO.,

19、 LTD.HUAWEI Confidential Page 20E100E200E1000提供对SMTP,FTP等协议的应用层有害命令检测和防御。支持支持支持NAT主要支持ALGFTP、PPTP、DNS、NBT（NetBIOS over TCP）、ILS（Internet Locator Service）、ICMP、H.323、SIP等协议等支持QoS和带宽管理支持支持支持支持负载均衡支持支持支持支持工作模式NAT,路由，透明NAT,路由，透明NAT,路由，透明失败恢复特性双机状态热备；多机均衡，自动倒换；双机状态热备；多机均衡，自动倒换；双机状态热备；多机均衡，自动倒换；Eudemon防火墙

20、基本规格HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 21E100E200E1000动态路由支持RIP、OSPF支持RIP、OSPF支持RIP、OSPF支持SNMP监控和配置支持支持支持管理方式GUI,CLIGUI,CLIGUI,CLI集中管理多个防火墙支持支持支持日志支持二进制和SYSLOG格式支持二进制和SYSLOG格式支持二进制和SYSLOG格式日志可设定输出信息所有发起连接，流量，各种详细统计如分类丢弃报文等所有发起连接，流量，各种统计如分类丢弃报文等所有发起连接，流量，各种统计如分类丢弃报文等Eudemon防火墙基本规格H

21、UAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 22防火墙的安全区域l防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 23防火墙的安全区域l路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间不允许来自的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所

22、有从DMZ区域的数据报转发到UnTrust区域HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 24防火墙的安全区域lEudemon防火墙上保留四个安全区域：防火墙上保留四个安全区域： 非受信区（非受信区（Untrust）：低级的安全区域，其安全优先级为）：低级的安全区域，其安全优先级为5。 非军事化区（非军事化区（DMZ）：中度级别的安全区域，其安全优先级为）：中度级别的安全区域，其安全优先级为50。 受信区（受信区（Trust）：较高级别的安全区域，其安全优先级为）：较高级别的安全区域，其安全优先级为85。 本地区域（本地区域（Lo

23、cal）：最高级别的安全区域，其安全优先级为）：最高级别的安全区域，其安全优先级为100。l此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多最多16个安全区域个安全区域。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 25防火墙的安全区域l域间的数据流分两个方向：域间的数据流分两个方向： 入方向（入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向

24、（出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutInOutInOutHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 26防火墙的安全区域本域内不同接口间不过滤直接转发本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域Un

25、Trust区域接口1接口2接口3接口4InOutInOutInOutInOutHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 27防火墙的安全区域Ethernet外部网络EthernetEudemon( Local )ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0内部网络HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 28防火墙的模式l路由模式l透明模式l混合模式HUAWEI TECHNOL

26、OGIES CO., LTD.HUAWEI Confidential Page 29防火墙的路由模式l可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 30防火墙的透明模式l透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配透明模式的防火墙则可以被看作一台以

27、太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。地址进行各种安全策略的匹配。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 31防火墙的混合模式l混合模式是指防火墙一部份接口工作在透明模式，另一

28、部分接口工作在路由混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配需要在接口上配置置IP地址，而透明模式无法实现这一点。地址，而透明模式无法实现这一点。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 32状态防火墙处理过程HUAWEI TECHNOLOGIES CO., LT

29、D.HUAWEI Confidential Page 33IP包过滤技术介绍l对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。RInternet公司总部内部网络未授权用户办事处HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 34访问控制列表是什么？l一个IP数据包如下图所示（图中IP所承载的上层

30、协议为TCP）：IP报头报头TCP报头报头数据数据协议号协议号源地址源地址目的地址目的地址源端口源端口目的端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 35如何标识访问控制列表？l利用数字标识访问控制列表利用数字标识访问控制列表l利用数字范围标识访问控制列表的种类利用数字范围标识访问控制列表的种类列表的种类列表的种类数字标识的范围数字标识的范围IP standard list2000-2999IP extended list3000-3

31、999 40004099范围的ACL是基于MAC地址的访问控制列表HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 36标准访问控制列表l标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从/24来的数据包可以通过！从/24来的数据包不能通过！路由器HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 37标准访问控制列表的配置l配置标准访问列表的命令格式如下：配置标准访

32、问列表的命令格式如下：acl acl-number match-order config | auto rule permit | deny source source-addr source-wildcard | any 怎样利用 IP 地址 和 反掩码wildcard-mask 来表示一个网段?HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 38访问控制列表的组合l一条访问列表可以由多条规则组成。对于这些规则，有两种匹配顺序：一条访问列表可以由多条规则组成。对于这些规则，有两种匹配顺序：auto和和config指定匹配该规则时按用

33、户的配置顺序指定匹配该规则时按用户的配置顺序 。l规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为auto（深度优先）（深度优先），描述的地址范围越小的规则，将会，描述的地址范围越小的规则，将会优先考虑。优先考虑。 深度的判断要依靠通配比较位和深度的判断要依靠通配比较位和IP地址结合比较地址结合比较 access-list 4 deny 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段两条规则结合则表示禁止一个大网段 （）上的主机但）上的主机但允许其中的一小

34、部分主允许其中的一小部分主 机（机（）的访问）的访问。l规则冲突时，若匹配顺序为规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。，先配置的规则会被优先考虑。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 39扩展访问控制列表l扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝。拒绝。从/24来的,到0的，使用TCP协议，利用HTTP访问的数据包可以通过！路由器HU

35、AWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 40扩展访问控制列表的配置命令l配置配置TCP/UDP协议的扩展访问列表：协议的扩展访问列表： rule ID of acl rule permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest- wildcard | any destination-port operator port1 port2 l

36、oggingl配置配置ICMP协议的扩展访问列表：协议的扩展访问列表： rule ID of acl rule permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code loggingl配置其它协议的扩展访问列表：配置其它协议的扩展访问列表： rule ID of acl rule permit | deny ip | ospf | igmp | gre source source-add

37、r source-wildcard | any destination dest-addr dest- wildcard | any loggingHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 41扩展访问控制列表操作符的含义操作符及语法操作符及语法意义意义Eq (equal portnumber)等于端口号等于端口号 port numberGt (greater-than portnumber)大于端口号大于端口号port numberLt (less-than portnumber)小于端口号小于端口号port numberNe

38、q (not-equal portnumber)不等于端口号不等于端口号port number rangeportnumber1 portnumber2介于端口号介于端口号portnumber1 和和portnumber2之间之间HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 42在区域间应用访问控制列表例子：例子：创建编号为创建编号为3001的访问控制列表。的访问控制列表。Eudemon acl number 3001# 配置配置ACL规则，允许特定用户从外部网访问内部服务器。规则，允许特定用户从外部网访问内部服务器。Eudemon

39、-acl-adv-3001 rule permit tcp source 0 destination 0Eudemon-acl-adv-3001 rule permit tcp source 0 destination 0Eudemon-acl-adv-3001 rule permit tcp source 0 destination 0上述配置已经完成了上述配置已经完成了ACL的创建。下面的配置是在包过滤应用中引用的创建。下面的配置是在包过滤应用中引用ACL，相

40、关命令的具体解释请见相关章节的描述。，相关命令的具体解释请见相关章节的描述。# 将将ACL规则规则3000作用于作用于Trust区域到区域到Untrust区域间的出方向。区域间的出方向。Eudemon-Interzone-trust-untrust packet-filter 3000 outbound# 将将ACL规则规则3001作用于作用于Trust区域到区域到Untrust区域间的入方向。区域间的入方向。Eudemon-Interzone-trust-untrust packet-filter 3001 inbound# 在在Trust区域和区域和Untrust区域之间使能区域之间使能F

41、TP协议的应用协议检测。协议的应用协议检测。Eudemon-Interzone-trust-untrust detect ftpHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 43ASPFl为保护网络安全，基于为保护网络安全，基于ACL规则的包过滤可以在规则的包过滤可以在 网络层网络层 和和 传输层传输层 检测数据包，防检测数据包，防止非法入侵。止非法入侵。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。能够检测应用层协议的信息，并对应用的流量进行监控。lASPF（Application Specific Packet Fi

42、lter）是针对应用层的包过滤，即基于状）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。文穿过。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 44ASPFlASPF能够能够 监测监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量的流量

43、 DoS（Denial of Service，拒绝服务）的检测和防范。，拒绝服务）的检测和防范。 Java Blocking（Java阻断）保护网络不受有害阻断）保护网络不受有害Java Applets的破坏。的破坏。 Activex Blocking（Activex阻断）保护网络不受有害阻断）保护网络不受有害Activex的破坏。的破坏。 支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。支持端口到应用的映射，为基于应用层协议的服务指定非通用端口。 增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址、增强的会话日志功能。可以对所有的连接进行记录，包括连接时间、源地址

44、、目的地址、使用端口和传输字节数等信息。目的地址、使用端口和传输字节数等信息。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 45ASPF配置举例EthernetEthernet1/0/0Server Host 1TrustUntrustEthernetEudemonEthernet2/0/0HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 46ASPF配置举例Eudemon firewall sessio

45、n aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 101Eudemon-acl-adv-101 rule deny ipEudemon acl number 10Eudemon-acl-basic-10 rule deny source 1 Eudemon-acl-basic-10 rule permit source anyEudemon firewall packet-filter default permit interzone trust

46、untrust direction outboundEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 101 inboundEudemon-interzone-trust-untrust detect ftpEudemon-interzone-trust-untrust detect httpEudemon-interzone-trust-untrust detect java-blocking 10HUAWEI TECHNOLOGIES CO., LTD.HUAWEI C

47、onfidential Page 47黑名单l黑名单，指根据报文的源黑名单，指根据报文的源IP地址进行过滤的一种方式。同基于地址进行过滤的一种方式。同基于ACL的包过滤功能相的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定有效地将特定IP地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉

48、到特定特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。过滤掉。因此，黑名单是防火墙一个重要的安全特性。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 48黑名单l黑名单的创建undo firewall blacklist item sour-addr timeout minutes l黑名单的使能undo firewall blacklist enablel黑名单的报文过滤类型和范围的设置 fir

49、ewall blacklist filter-type icmp | tcp | udp | others range blacklist | global HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 49黑名单配置举例l服务器和客户机分别位于防火墙服务器和客户机分别位于防火墙Trust区域和区域和Untrust区域中，现要在区域中，现要在100分钟内过滤分钟内过滤掉客户机发送的所有掉客户机发送的所有ICMP报文。报文。Eudemon服务器PCHUAWEI TECHNOLOGIES

50、 CO., LTD.HUAWEI Confidential Page 50黑名单配置举例lEudemon firewall blacklist item 0 timeout 100lEudemon firewall blacklist packet-filter icmp range globallEudemon firewall blacklist enableHUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 51地址转换lNAT（Network Address Translation，地址转换）是将，地址转

51、换）是将IP数据报报头中的数据报报头中的IP地址转换为另一个地址转换为另一个IP地址的过程。在实际应用中，地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。主要用于实现私有网络访问外部网络的功能。l私有网络一般使用私有地址，私有网络一般使用私有地址，RFC1918为私有、内部的使用留出了三个为私有、内部的使用留出了三个IP地址块，如下：地址块，如下：A类：类：55（/8）B类：类：55（/12）C类：类：5

52、5（/16）l上述三个范围内的地址不会在因特网上被分配，因而可以不必向上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP或注册中心申请而在公司或或注册中心申请而在公司或企业内部自由使用。企业内部自由使用。l路由器可以在接口上配置地址转换，路由器可以在接口上配置地址转换，Eudemon防火墙是在区域之间实现地转换防火墙是在区域之间实现地转换。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 52多对多地址转换Eudemon防火墙是通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进防火墙

53、是通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。行控制的。地址池：用于地址转换的一些公有地址池：用于地址转换的一些公有IP地址的集合。用户应根据自己拥有的合法地址的集合。用户应根据自己拥有的合法IP地址数目、内部地址数目、内部网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑网络主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换后的源地址。选一个地址做为转换后的源地址。利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。利用访问控制列表限制地址转换：只

54、有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权访问这可以有效地控制地址转换的使用范围，使特定主机能够有权访问Internet。HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 53多对多地址转换Eudemon防火墙上配置多对多地址转换的步骤如下：防火墙上配置多对多地址转换的步骤如下：在系统视图下定义一个可以根据需要进行分配的在系统视图下定义一个可以根据需要进行分配的NAT地址池地址池nat address-group group-number start-addr end-ad

55、dr其中，其中，group-number是标识这个地址池的编号，是标识这个地址池的编号，start-addr end-addr是地址池的起始和结束是地址池的起始和结束IP地址。地址。 在系统视图和在系统视图和ACL视图下定义一个访问控制列表视图下定义一个访问控制列表在系统视图下定义访问控制列表在系统视图下定义访问控制列表acl number acl-number match-order config | auto 在在ACL视图下定义访问控制规则视图下定义访问控制规则rule rule-id permit | deny source sour-addr sour-wildcard | any

56、time-range time-name logging 在域间视图下将访问控制列表和在域间视图下将访问控制列表和NAT地址池关联地址池关联nat outbound acl-number address-group group-number HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 54Nat Server配置 在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，的服务器，或是一台或是一台FTP服务器。使用服务器。使用NA

57、T可以灵活地添加内部服务器，通过配置内部服务器，可将相应的可以灵活地添加内部服务器，通过配置内部服务器，可将相应的外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。 nat server protocol pro-type global global-addr global-port1 global-port2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr HUAWEI

58、TECHNOLOGIES CO., LTD.HUAWEI Confidential Page 55Easy IP配置Easy IP的概念很简单，当进行地址转换时，直接使用接口的公有的概念很简单，当进行地址转换时，直接使用接口的公有IP地址作为转换后的源地址。同样地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。它也利用访问控制列表控制哪些内部地址可以进行地址转换。 在域间视图下执行：nat outbound acl-number interface interface-name HUAWEI TECHNOLOGIES CO., LTD.HUAWEI Confid

59、ential Page 56应用级网关ALGNAT只能对只能对IP报文的头部地址和报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们等，它们报文的数据部分可能包含报文的数据部分可能包含IP地址或端口信息，这些内容不能被地址或端口信息，这些内容不能被NAT有效的转换，这就可能导致问题。有效的转换，这就可能导致问题。 例如，一个使用内部例如，一个使用内部IP地址的地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。地

60、址发送给对方。而这个地址信息是放到而这个地址信息是放到IP报文的数据部分，报文的数据部分，NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用无法对它进行转换。当外部网络主机接收了这个私有地址并使用它，这时它，这时FTP服务器将表现为不可达。服务器将表现为不可达。 解决这些特殊协议的解决这些特殊协议的NAT转换问题的方法就是在转换问题的方法就是在NAT实现中使用实现中使用ALG（Application Level Gateway，应用级网关），应用级网关）功能。功能。ALG是特定的应用协议的转换代理，它和是特定的应用协议的转换代理，它和NAT交互以建立状态，使用交互以建立状态，使用N