版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
前
言本胶片介绍了USG系列产品主要的安全技术和安全特性,以及各安全特性在USG产品上的配置。包括如:
区域,工作模式,ASPF技术,NAT技术以及一些扩展技术。Page1Copyright
©
2012Technologies
Co.,.s.培训目标学完本课程后,您应该能:掌握USG产品的主要安全技术和安全特性掌握各安全特性在USG产品上的配置Page2Copyright
©
2012Technologies
Co.,.s.的基本概念基本功能扩展功能Page3Copyright
©
2012Technologies
Co.,.s.1.的基本概念1.安全区域工作模式会话Page4Copyright
©
2012Technologies
Co.,.s.特征逻辑区域过滤器隐藏内网网络结构自身安全保障主动防御内网流量可防护吗?路由器Copyright
©
2012Technologies
Co.,.s.分类按照形态分为硬件⚫按照保护对象分为⚫单机网络按照
控制方式分为滤⚫状态检测Copyright
©
2012Technologies
Co.,.s.分类
—
滤APP数据链路层TCP层IP层TCP层IP层只检测报头IP
TCP无法关联数据包之间关系无法适应多通道协议3.
通常
查应用层数据数据链路层Copyright
©
2012Technologies
Co.,.s.分类—终端发送连接请求内网Server对请求进行安全检查,不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向发送报文A向向Server发送报文A’发送回应报文B向终端发送回应报文B’处理速度慢升级Copyright
©
2012Technologies
Co.,.s.分类—状态检测Host
Server
安全策略检查记录会话信息状态错误,丢弃处理后续包速度快安全性高
TCP
ACK
TCP
SYN`TCP
ACKCopyright
©
2012Technologies
Co.,.s.Copyright
©
2012Technologies
Co.,
.s.的安全区域Page10Local区域100Trust区域85DMZ区域50UnTrust区域5接口2接口3接口4接口1用户自定义区域Vzone0安全区域与接口关系安全区域与接口关系⚫是否存在两个具有完全相同安全级别的安全区域?是否允许同一物理接口分属于两个不同的安全区域?的不同接口是否可以属于同一个安全区域?Internet⚫⚫G0/0/2→DMZ区域G0/0/3→Untrust区域G0/0/0→Trust区域G0/0/1→Trust区域Copyright
©
2012Technologies
Co.,.s.安全区域的方向Inbound与Outbound定义高安全级别低安全级别企业内网Untrust
区域InternetTrust区域OutboundInboundCopyright
©
2012Technologies
Co.,.s.接口、网络和安全区域关系outboundEth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrustUntrustServerServerDMZ外部网络网络Page13Copyright
©
2012Technologies
Co.,.s.安全区域配置-1创建一个安全区域[USG2100]
firewall
zone
name
userzone设置优先级[USG2100-zone-userzone]
set
priority
60给安全区域添加接口[USG2100-zone-userzone]
add
interface
GigabitEthernet
0/0/1Page14Copyright
©
2012Technologies
Co.,.s.安全区域配置验证查看
安全区域配置[USG2100]display
zone
usernameusernamepriority
is
60interface
of
the
zone
is(1):GigabitEthernet0/0/1Page15Copyright
©
2012Technologies
Co.,.s.安全区域配置-2在域间下发ACL<USG2100>system-view[USG2100]
policy
interzone
trust
untrust
outbound[USG2100-policy-interzone-trust-untrust-outbound]
policy
1[USG2100-policy-interzone-trust-untrust-outbound-1]
action
permitPage16Copyright
©
2012Technologies
Co.,.s.1.的基本概念安全区域工作模式安全策略会话Page17Copyright
©
2012Technologies
Co.,.s.的三种工作模式透明模式路由模式混合模式Page18Copyright
©
2012Technologies
Co.,.s.透明模式服务器PCTrust区服务器USGPCPCUntrust区/24Page19Copyright
©
2012Technologies
Co.,.s.路由模式服务器PC外部网络/24Trust区服务器USGPC54网络/24PCUntrust区Page20Copyright
©
2012Technologies
Co.,.s.混合模式USG(主)网络/24USG(备)VRRPTrust区服务器PC服务器PCPCUntrust区外部网络/24Page21Copyright
©
2012Technologies
Co.,.s.1.的基本概念安全区域工作模式安全策略会话Page22Copyright
©
2012Technologies
Co.,.s.安全策略的匹配原则Trust区域Untrust区域客户端服务器首包流程,做安全策略过滤Rule
0:permit源为……Rule
1:deny源为
…………缺省default策略动作为按安全策略顺序进行匹配未命中会话表
执行首包流程后续包流程,不做安全策略过滤命中会话表
执行后续包流程Copyright
©
2012Technologies
Co.,.s.安全策略业务流程(1)Copyright
©
2012Technologies
Co.,.s.安全策略业务流程(2)Copyright
©
2012Technologies
Co.,.s.会话(Session)USG是状态
,采用会话表维持通信状态。会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟
的话还有一个
-ID)。当
收到报文后,根据上述五个元素查询会话表,并根据具体情况进行如下操作:条件操作报文的五元组匹配会话表转发该报文报文的五元组不匹配会话表域间规则允许通过转发该报文,并创建会话表表项域间规则不允许通过丢弃该报文会话Page26Copyright
©
2012Technologies
Co.,.s.会话相关命令查看 的Session信息[USG2100]
display
firewall
session
table
verboseCurrent
Total
Sessions
:
1net :public
-->
publicTTL:
00:10:00
Left:
00:10:00
Interface:InLoopBack0
NextHop:
MAC:
00-00-00-00-00-00<--packets:1269
bytes:66769
-->packets:1081
bytes:43715:2855-->00:23重置
的session<USG2100>
reset
firewall
session
tablePage27Copyright
©
2012Technologies
Co.,.s.会话相关命令Timeout(s)查看
的Session
aging-time[USG2100]
display
firewall
session
aging-timeSequence
Pre-defined-1httpAll6002….netAll600[USG2100]
firewall
session
aging-time
icmp
15Page28Copyright
©
2012Technologies
Co.,.s.长连接会话配置ACL,用于控制需要长连接会话的数据流[USG2100]
acl
3001[USG2100-acl-adv-3001]
rule
permit
tcp
source
0设置长连接的老化时间[USG2100]
firewall
long-link
aging-time
2在域间应用长连接[USG2100]
firewall
interzone
trust
untrust[USG2100-interzone-trust-untrust]
long-link
3001
inbound[USG2100]display
firewall
session
table
verboseFTP :
public
->
public
RemoteZone:
zone1
->
out
TTL:
168:00:00
Left:
168:00:00Interface:
E1.200
Nexthop:
MAC:
00-00-02-00-c8-01<--
packets:9
bytes:774
-->
packets:7
bytes:602-->:21(LongLink)Page29Copyright
©
2012Technologies
Co.,.s.的基本概念基本功能扩展功能Page30Copyright
©
2012Technologies
Co.,.s.2.的技术ASPF影响性能的指标Page31Copyright
©
2012Technologies
Co.,.s.ASPFASPF(Application
Specific
Packet
Filter)是一种改进的高级通信过滤技术,ASPF不但对报文的网络层的信息进行检测,还能对丰富的应用层协议进行深度检测,支持多范功能,支持的协议包括:H.323协议族、业务的NAT以及安全防、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。基于ACL规则的
滤可以在网络层和传输层检测数据包,防止非法
。ASPF对应用层的协议信息进行检测,通过
会话的状态和检查会话报文的协议和端
等信息,
的
。Page32Copyright
©
2012Technologies
Co.,.s.多通道协议多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般
称之为数据通道或子通道。多通道协议在状态
当中需要特殊处理。单通道协议是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议。根据TCP三次握
制,状态
能够
会话的五元组信息。Page33Copyright
©
2012Technologies
Co.,.s.ASPF与多通道协议用户USGFTP
server0创建Servermap表项三次握手Port
89,3三次握手Port
89,3200
Port
Command
OKRETR
Sample.txt200
Port
Command
OK150
Opening
ASCII
connectionRETR
Sample.txt150
Opening
ASCII
connection检测Servermap表项,命中表项,打开通道SYN:22787SYN:22787Page34Copyright
©
2012Technologies
Co.,.s.三元组ASPFUSG相当于一个六元组(支持
情况下,有-ID)的NAT设备,即上的每个会话的建立都需要六元组:源IP地址、源端口、目的IP地址、目的端口、协议号和
-ID。只有这些元素都具备了,会话才能建立成功,报文才能通过。而一些实时通讯工具,如、
MSN等,通过NAT设备,需要按三元组处理:源IP地址、源端口、协议号。USG为了适配类似、MSN等通讯机制,支持三元组处理方式,让类似、MSN等的通讯方式能够正常的穿越。除
、MSN穿越NAT设备外,其他仅使用源IP地址、源端口、协议号的会话,如TFTP,同样需要配置
三元组ASPF。Page35Copyright
©
2012Technologies
Co.,.s.ASPF配置进入安全区域域间[USG2100]
firewall
interzone
trust
untrust打开ASPF功能[USG2100-interzone-trust-untrust]
detect
protocol[USG2100-interzone-trust-untrust]
detect
{
activex-blocking
|
java-blocking
}Page36Copyright
©
2012Technologies
Co.,.s.性能指标—吞吐量吞吐量:
能同时处理的最大数据量有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率Copyright
©
2012Technologies
Co.,.s.性能指标—时延到最后一个比特输出防处理数据的速度理定义:数据包的第一个比特进入火墙的时间间隔指标,是用于测量想的情况时间间隔Smartbits
6000B第一个比特进入最后一个比特输出Copyright
©
2012Technologies
Co.,.s.性能指标—每秒新建连接数定义:指每秒钟可以通过
建立起来的完整TCP连接该指标是用来衡量数据流的实时处理能力Copyright
©
2012Technologies
Co.,.s.性能指标—并发连接数定义:由于是指的是针对连接进行处理报文的,并发连接数目可以同时容纳的最大的连接数目,
接就是一个TCP/UDP的
。该参数是用来衡量主机和服务器间能同时建立的最大连接数Copyright
©
2012Technologies
Co.,.s.的基本概念基本功能扩展功能Page41Copyright
©
2012Technologies
Co.,.s.3.基本功能1.MAC绑定端口IDS联动日志Page42Copyright
©
2012Technologies
Co.,.s.多业务功能交换P2P/IMUTMAVIPS安全•SNMPv2v3RMONTR069•net/SSL/HTTP(s)Copyright
©
2012•TTFeTcPhnologies
Co.,
.••路由静态路由策略路由RIPv2OSPFv2BGPv4管理••FE,
GEVLAN•Trunk,802.1ad•ACLNAT:L2TP/GRE/IPSec/SSLLAN/WANPPPPPPoE•••反
邮件URL过滤UTMs.主要功能—控制主机A服务器MACIPTCP数据载荷识别报头标识,给出执行措施控制操作策略访问控制Copyright
©
2012Technologies
Co.,.s.外部网络企业内网日志服务器企业内网用户配合eLog日志
,可以为用户提供清晰网络日志和
记录。日志审计可收集网络中所有通过该设备的日志通过二进志日志格式实现高速日志流传输Copyright
©
2012Technologies
Co.,.s.防范网络
主要分为四大类:流量型扫描窥探畸形报文特殊报文Packets受害主机AttackerCopyright
©
2012Technologies
Co.,.s.报文统计报文统计对于
来说,不仅要对数据流量进行
,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计、计算与分析。对报文统计结果的分析有如下两个方面:专门的
事后分析日志信息。⚫实时完成一部分分析功能。Copyright
©
2012Technologies
Co.,.s.⚫创建是一个IP地址列表。
将检查报文源地址,如果命中,
丢弃所有报文快速有效地
特定IP地址的用户。表项,有如下两种方式:通过命令行手工创建。通过
防范模块或IDS模块动态创建。来自的报文查找丢弃192
168
1
3Copyright
©
2012Technologies
Co.,.s.特点:根据报文的源IP地址进行过滤简单高效可动态添加删除Page49Copyright
©
2012Technologies
Co.,.s.静态配置[USG2100]
firewall
blacklist
item
timeout
100[USG2100]
firewall
blacklist
enable服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page50Copyright
©
2012Technologies
Co.,.s.动态配置服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]
firewall
defend
ip-sweep
enable[USG2100]
firewall
defend
ip-sweep
max-rate
1000[USG2100]
firewall
defend
ip-sweep
blacklist-timeout
20[USG2100]
firewall
blacklist
enablePage51Copyright
©
2012Technologies
Co.,.s.配置验证[USG2100]
display
firewall
blacklist
itemTotal:1IDS:0Manual:1Login
Failed:0IP
Sweep:0PreAuthed:0Port
Scan:0Get
Flood:0tcp-illeage-session:0IP
ReasoninstanceUnknown:0InsertTimeAgeTime-
Manual2009/05/12
17:47:35
PermanentPage52Copyright
©
2012Technologies
Co.,.s.3.基本功能1.MAC绑定端口IDS联动日志Page53Copyright
©
2012Technologies
Co.,.s.MAC绑定问题的提出网络中常有一些IP地址的MAC绑定应用限制条件与二层直接相连的网络Page54Copyright
©
2012Technologies
Co.,.s.MAC绑定配置[USG2100]
firewall
mac-binding
enable[USG2100]
firewall
mac-binding
00e0-fc00-0100服务器/24PC/24USGEth1/0/1/24Eth1/0/0/24Page55Copyright
©
2012Technologies
Co.,.s.MAC绑定配置验证[USG2100]
display
firewall
mac-binding
itemFirewall
Mac-binding
items
:Current
items
:
38
0087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page56Copyright
©
2012Technologies
Co.,.s.3.基本功能1.MAC绑定端口IDS联动日志Page57Copyright
©
2012Technologies
Co.,.s.端口问题的提出⚫服务器在非知名端口提供知名服务,例如在1021端口提供FTP服务端口⚫并非要更改数据包的端口信息可以用来保护因为知名端口而带来的针对性Page58Copyright
©
2012Technologies
Co.,.s.端口组网示例FTP
Server/24WWW
Server/24Eth1/0/0/24/24公司
以太网Eth2/0/0/16网段网段USGWANPage59Copyright
©
2012Technologies
Co.,.s.端口
配置验证[USG2100]
display
port-mapSERVICE
PORT
ACLTYPEftp21system
definedsmtp25system
definedhttp80system
definedrtsp554system
definedh3231720system
definedftp802010user
definedhttp56782020user
definedPage60Copyright
©
2012Technologies
Co.,.s.配置参考[USG2100]
acl
number
2010[USG2100
-acl-basic-2010]
rule
permit
source
[USG2100]port-map ftp
port
80
acl
2010[USG2100]
acl
number
2020[USG2100-acl-basic-2020]
rule
permit
source
55[USG2100]
port-map http
port
5678
acl
2020[USG2100]
firewall
interzone
dmz
untrust[USG2100-interzone-dmz-untrust]
detect
ftp将去往主机的使用端80的报文识别为FTP报文需要在域间detect相应的协议Page61Copyright
©
2012Technologies
Co.,.s.3.基本功能1.MAC绑定端口IDS联动日志Page62Copyright
©
2012Technologies
Co.,.s.IDS联动的局限性⚫不能防止通向站点的后门;一般不提供对
的保护;无法防范数据驱动型的
;不能根据网络被
使用和⚫⚫⚫的情况动态调整自己的策略等。检测系统)的优势IDS(Intrusion
Detection
System,实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文,对系统记录的网络事件进行统计分析,发现异常现象,主动切断连接或与
联动,调用其他程序处理。Page63Copyright
©
2012Technologies
Co.,.s.与IDS联动组网示例INTERNET管理信息日志告警NIP
NIDS办公网DMZ区管理端口
响应端口端口受保护服务器群USGEth1/0/1Eth1/0/0Page64Copyright
©
2012Technologies
Co.,.s.与IDS联动配置123[USG2100]
firewall
ids
server
0[USG2100]
firewall
ids
port
3000[USG2100]
firewall
ids
authentication
type
md5
key[USG2100]
firewall
ids
enable最后一定得使能IDS的功能Page65Copyright
©
2012Technologies
Co.,.s.IDS配置验证[USG2100]
display
firewall
idsFirewall
IDS
information:firewall
IDS:
enabledebug
flag:
offserver
port:
3000authentication
type:
md5authentication
string:123client
address
0:
0Page66Copyright
©
2012Technologies
Co.,.s.3.基本功能1.MAC绑定端口IDS联动日志Page67Copyright
©
2012Technologies
Co.,.s.日志LogServer防范地址绑定二进制流日志监视终端控制台缓冲区……信息中心重定向NAT/ASPF流量统计日志信息日志信息Page68Copyright
©
2012Technologies
Co.,.s.日志输出配置组网示例Ethernet2/0/1/24服务器日志服务器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24Page69Copyright
©
2012Technologies
Co.,.s.日志输出配置[USG2100]
info-center
enable[USG2100]
info-center
loghost
language
english[USG2100]
firewall
session
log-type
binary
host
1
9002Page70Copyright
©
2012Technologies
Co.,.s.日志配置验证[USG2100]
display
info-centerInformation
Center:
enabledLog
host:,
channel
number
2,
channel
name
loghost,language
english
,
host
facility
local7Console:channel
number
:
0,
channel
name
:
consoleMonitor:channel
number
:
1,
channel
name
:
monitor……Page71Copyright
©
2012Technologies
Co.,.s.的基本概念基本功能扩展功能Page72Copyright
©
2012Technologies
Co.,.s.4.扩展功能负载均衡虚拟Page73Copyright
©
2012Technologies
Co.,.s.负载均衡当前的网络应用中,单台服务器的处理能力已经成为网络中的瓶颈,尤其是在IDC、等应用场合。USG
的负载均衡即是将用户流量分配到多个服务器上,从而达到流量分担的目的,进而保障服务器的可用性。防火墙按照配置的算法,将用户流量分配到不同的服务器上,充分利用各个服务器的处理能力,达到最佳的可扩展性。Page74Copyright
©
2012Technologies
Co.,.s.负载均衡组网示例Eth1/0/0/24Eth1/0/1/24服务器1/24服务器2/24服务器3/24USGvip
交换机PC/24Page75Copyright
©
2012Technologies
Co.,.s.负载均衡配置[USG2100]
slb
enable[USG2100]
slb[USG2100
-slb]
rserver
1
rip
[USG2100
-slb]
rserver
2
rip
[USG2100
-slb]
rserver
3
rip
[USG2100]
firewall
packet-filter
default
permit
interzone
local
dmzdirection
outbound由于
对实服务器缺省进行健康行检查,此时需要配置允许健康检查报文在
Local和DMZ域间出方向流动使能SLB和自动健康检查功能。Page76Copyright
©
2012Technologies
Co.,.s.负载均衡配置(续)[USG2100
-slb]
group
group1[USG2100
-slb-group-
group1]
metric
roundrobin[USG2100
-slb-group-
group1]
addrserver
1[USG2100
-slb-group-
group1]
addrserver
2[USG2100
-slb-group-
group1]
addrserver
3[USG2100
-slb]
vserver vip
group
group1Page77Copyright
©
2012Technologies
Co.,.s.负载均衡配置验证[USG2100
-slb]
display
thisslbrserver
1
rip
weight
32
healthchkrserver
2
rip
weight
32
healthchkrserver
3
rip
weight
32
healthchkgroup
group1metric
roundrobinaddrserver
1addrserver
2addrserver
3vservervip
group
group1Page78Copyright
©
2012Technologies
Co.,.s.负载均衡效果[USG2100]
display
firewall
session
tableicmp,
(icmp,
(icmp,
(:
public
->
public)
:2048-->:43:
public
->
public)
:2048-->:43:
public
->
public)
:2048-->:43FTP,
(FTP,
(FTP,
(FTP,
(FTP,
(:
public
->
public)
:21[:21]<-+:1227:
public
->
public)
:21[:21]<-+:1229:
public
->
public)
:21[:21]<-+:1231:
public
->
public)
:21[:21]<-+:1233:
public
->
public)
:21[:21]<-+:1235Current
Total
Sessions
:
8Page79Copyright
©
2012Technologies
Co.,.s.4.扩展功能负载均衡虚拟Page80Copyright
©
2012Technologies
Co.,.s.虚拟Vfw3Vfw2Vfw1Rfw在USG上创建逻辑上的虚拟防火墙(Virtual-firewall,Vfw),能够每个虚拟 都是提供
的出租业务,实现子网
和解决地址
的问题。实例(
-Instance)、安全实例和配置实例的综合体,能够为虚拟用户提供私有的路由转发平面、安全服务和配置管理平面。Page81Copyright
©
2012Technologies
Co.,.s.虚拟支持虚拟防火USG墙特性每个虚拟均可以独立支持Local、TRUST、UNTRUST、DMZ、VZONE
5个安全区域,接口灵活划分和分配。系统资源独立分配,提供独立的安全业务、NAT多实例、
多实例特性。...Root根FW一台Eudemon物理虚拟Virtual
FWVZONETrust-
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年新高一英语人教新版尖子生专题复习《短文填空》
- 2025年金融科技在金融行业数字化转型中的社交金融技术应用研究报告
- 家居行业2025年线上线下融合模式创新策略深度解析报告
- 人员发展管理办法试行
- 口才社团课件
- 企业激励沟通管理办法
- 2025年即时配送行业配送路径优化与成本控制商业模式报告
- 伟人肖像管理办法规定
- 企业资金审批管理办法
- 伊川农村殡葬管理办法
- 2025郑州市中牟县辅警考试试卷真题
- 商场日常保洁服务方案投标文件(技术方案)
- 医院防汛救灾管理制度
- 锅炉试题及答案
- 2025年小学美术教师招聘考试必考美术学科专业知识汇编(160题)
- 《体重管理年行动》科普指南课件
- uom无人机考试试题及答案
- 误差检测优化策略-全面剖析
- 生态环保培训课件
- 2025年理财师资格考试参考题目试题及答案
- 柔性引进团队协议书
评论
0/150
提交评论