Eudemon防火墙关键技术与基本功能课件

修订记录课程编码适用产品产品版本课程版本ISSUEDS002002EudemonALL1.00开发/优化者时间审核人开发类型（新开发/优化）刘志根2009-4-3周进军新开发修订记录课程编码适用产品产品版本课程版本ISSUEDS002Eudemon防火墙产品基本

功能特性与配置Eudemon防火墙产品基本

功能特性与配置2前言本胶片介绍了Eudemon系列产品主要的安全技术和安全特性，以及各安全特性在Eudemon产品上的配置。包括如：防火墙区域，防火墙工作模式，ASPF技术，NAT技术以及一些扩展技术。前言本胶片介绍了Eudemon系列产品主要的安全技术和安培训目标学完本课程后，您应该能：掌握Eudemon产品的主要安全技术和安全特性掌握各安全特性在Eudemon上的配置培训目标学完本课程后，您应该能：目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能目录防火墙的基本概念目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话目录1.防火墙的基本概念防火墙的安全区域Local区域100Trust区域85DMZ区域50UnTrust区域5接口2接口3接口4接口1

用户自定义区域Vzone0防火墙的安全区域Local区域Trust区域DMZ区域UnT接口、网络和安全区域关系Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0EudemonLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust内部网络UntrustServerServerDMZ外部网络inboundoutbound............接口、网络和安全区域关系Eth1/0/0Eth2/0/0in安全区域配置－1创建一个安全区域[Eudemon]firewallzonenameuserzone设置优先级[Eudemon-zone-userzone]setpriority60给安全区域添加接口[Eudemon-zone-trust]addinterfaceEthernet0/0/1安全区域配置－1创建一个安全区域安全区域配置验证查看防火墙安全区域配置[Eudemon]displayzoneusernameusernamepriorityis60interfaceofthezoneis(1):Ethernet0/0/1安全区域配置验证查看防火墙安全区域配置安全区域配置－2创建安全ACL[Eudemon]acl3000[Eudemon-acl-adv-3000]rulepermitip在域间下发ACL[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]packet-filter3000inbound安全区域配置－2创建安全ACL目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话目录1.防火墙的基本概念防火墙的三种工作模式路由模式透明模式混合模式防火墙的三种工作模式路由模式路由模式外部网络服务器PCPC/24Trust区服务器EudemonPC/2454内部网络Untrust区路由模式外部网络服务器PCPC/24Tr透明模式服务器PCPCTrust区服务器EudemonPCUntrust区/24透明模式服务器PCPCTrust区服务器EudemonPCU混合模式Eudemon（主）/24内部网络Eudemon（备）VRRP/24Trust区服务器PC服务器PCPCUntrust区外部网络混合模式Eudemon（主）/24内部网工作模式配置命令配置防火墙工作模式[Eudemon]firewallmodecomposite[Eudemon]quit需要重新启动防火墙<Eudemon>reboot查看防火墙的工作模式[Eudemon]displayfirewallmodefirewallmodecomposite工作模式配置命令配置防火墙工作模式查看防火墙的工作模式目录1.防火墙的基本概念1.1安全区域1.2防火墙工作模式1.3会话目录1.防火墙的基本概念会话（Session）

Eudemon防火墙是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：条件操作报文的五元组匹配会话表转发该报文报文的五元组不匹配会话表域间规则允许通过转发该报文，并创建会话表表项域间规则不允许通过丢弃该报文会话会话（Session）条件操作报文的五元组匹配会话表转发该报会话相关命令查看防火墙的Session信息[Eudemon]displayfirewallsessiontableverboseicmp(vpn:public->public)zone:local->intratag:0x3588State:0x0ttl:00:00:20left:00:00:04Id:141c2d38SlvId:16406388Interface:G0/0/1Nexthop:Mac:00-0f-e2-61-05-83:43996-->:43996<Eudemon>resetfirewallsessiontable会话相关命令查看防火墙的Session信息<Eudemon>会话相关命令查看防火墙的Sessionaging-time[Eudemon]displayfirewallsessionaging-timetcpprotocoltimeout:1200udpprotocoltimeout:120icmpprotocoltimeout:20….[Eudemon]firewallsessionaging-timeicmp15会话相关命令查看防火墙的Sessionaging-time防火墙长连接会话配置ACL，用于控制需要长连接会话的数据流[Eudemon]acl3001[Eudemon-acl-adv-3001]rulepermitipsource0设置长连接的老化时间[Eudemon]firewalllong-linkaging-time2在域间应用长连接[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]firewalllong-link3001

inbound[Eudemon]displayfirewallsessiontableverboseFTP,tag:80000301ttl:02:00:--left:01:58:--Addr:02000093:21<--:1025(LongLink)防火墙长连接会话配置ACL，用于控制需要长连接会话的数据流[目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能目录防火墙的基本概念目录2.防火墙关键技术2.1ASPF目录2.防火墙关键技术ASPFASPF（ApplicationSpecificPacketFilter）是一种改进的高级通信过滤技术，ASPF不但对报文的网络层的信息进行检测，还能对丰富的应用层协议进行深度检测，支持多媒体业务的NAT以及安全防范功能，支持的协议包括：H.323协议族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。

ASPFASPF（ApplicationSpecific多通道协议多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道。多通道协议在状态防火墙当中需要特殊处理。单通道协议是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议。根据TCP三次握手机制，状态防火墙能够维护会话的五元组信息。多通道协议多通道协议ASPF与多通道协议用户Eudemon防火墙FTPserver0三次握手防火墙创建Servermap表项三次握手Port89,3Port

89,3200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnection检测Servermap表项，命中表现，打开通道SYN:22787:22787SYNASPF与多通道协议用户Eudemon防火墙FTPserv三元组ASPFEudemon相当于一个六元组(支持VPN情况下，有VPNID)的NAT设备，即防火墙上的每个会话的建立都需要六元组：源IP地址、源端口、目的IP地址、目的端口、协议号和VPN-ID。只有这些元素都具备了，会话才能建立成功，报文才能通过。而一些实时通讯工具，如QQ、MSN等，通过NAT设备，需要按三元组处理：源IP地址、源端口、协议号。Eudemon为了适配类似QQ、MSN等通讯机制，支持三元组处理方式，让类似QQ、MSN等的通讯方式能够正常的穿越。除QQ、MSN穿越NAT设备外，其他仅使用源IP地址、源端口、协议号的会话，如TFTP，同样需要配置防火墙三元组ASPF。三元组ASPFEudemon相当于一个六元组(支持VPN情况ASPF配置进入安全区域域间[Eudemon]firewallinterzonetrustuntrust打开ASPF功能[Eudemon-interzone-trust-untrust]detectprotocol[acl-number{inbound|outbound}]ASPF配置进入安全区域域间目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能目录防火墙的基本概念目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志目录3.防火墙基本功能黑名单黑名单特点：根据报文的源IP地址进行过滤简单高效可动态添加删除黑名单黑名单特点：静态黑名单配置[Eudemon]firewallblacklistitemtimeout100[Eudemon]firewallblacklistenable服务器/24PC/24EudemonEth1/0/1/24Eth1/0/0/24静态黑名单配置[Eudemon]firewallblac动态黑名单配置服务器/24PC/24EudemonEth1/0/1/24Eth1/0/0/24[Eudemon]firewalldefendip-sweepenable[Eudemon]firewalldefendip-sweepmax-rate1000[Eudemon]firewalldefendip-sweepblacklist-timeout20[Eudemon]firewallblacklistenable动态黑名单配置服务器/24PC202黑名单配置验证[Eudemon]displayfirewallblacklistitemTotal:1Manual:1IPSweep:0PortScan:0IDS:0LoginFailed:0PreAuthed:0GetFlood:0tcp-illeage-session:0Unknown:0IPReasonInsertTimeAgeTimeVpn-instance-----------------------------------------------------------------------------------------------------Manual2009/05/1217:47:35Permanent黑名单配置验证[Eudemon]displayfirew目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志目录3.防火墙基本功能MAC绑定问题的提出网络中常有一些假冒IP地址的攻击MAC绑定应用限制条件与二层直接相连的网络MAC绑定问题的提出MAC绑定配置[Eudemon]firewallmac-bindingenable[Eudemon]firewallmac-binding00e0-fc00-0100服务器/24PC/24EudemonEth1/0/1/24Eth1/0/0/24MAC绑定配置[Eudemon]firewallmac-MAC绑定配置验证[Eudemon]displayfirewallmac-bindingitemFirewallMac-bindingitems:Currentitems:380087-0326-ea9d00e0-fc08-058900e0-fc98-5679MAC绑定配置验证[Eudemon]displayfir目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志目录3.防火墙基本功能端口映射问题的提出内部服务器在非知名端口提供知名服务，例如在1021端口提供FTP服务端口映射防火墙并非要更改数据包的端口信息可以用来保护因为知名端口而带来的针对性攻击端口映射问题的提出端口映射组网示例FTPServer/24WWWServer/24Eth1/0/0/24Eth2/0/0/16/24网段网段公司内部以太网EudemonWAN端口映射组网示例FTPServer/2端口映射配置验证[Eudemon]displayport-mappingSERVICEPORTACLTYPE----------------------------------------------------------------ftp21systemdefinedsmtp25systemdefinedhttp80systemdefinedrtsp554systemdefinedh3231720systemdefinedftp802010userdefinedhttp56782020userdefined端口映射配置验证[Eudemon]displayport配置参考[Eudemon]aclnumber2010[Eudemon-acl-basic-2010]rulepermitsource[Eudemon]port-mappingftpport80acl2010[Eudemon]aclnumber2020[Eudemon-acl-basic-2020]rulepermitsource55[Eudemon]port-mappinghttpport5678acl2020[Eudemon]firewallinterzonedmzuntrust[Eudemon-interzone-dmz-untrust]detectftp将去往主机的使用端口号80的报文识别为FTP报文需要在域间detect相应的协议配置参考[Eudemon]aclnumber2010将目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志目录3.防火墙基本功能IDS联动防火墙的局限性防火墙不能防止通向站点的后门；防火墙一般不提供对内部的保护；防火墙无法防范数据驱动型的攻击；防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略等。IDS（IntrusionDetectionSystem，入侵检测系统）的优势实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文，对系统记录的网络事件进行统计分析，发现异常现象，主动切断连接或与防火墙联动，调用其他程序处理。IDS联动防火墙的局限性与IDS联动组网示例INTERNET管理端口管理信息日志告警NIPNIDS内部办公网DMZ区响应端口监听端口受保护服务器群联动信息监听数据流EudemonEth1/0/1Eth1/0/0与IDS联动组网示例INTERNET管理端口管理信息NIP与IDS联动配置[Eudemon]firewallidsserver0[Eudemon]firewallidsport3000[Eudemon]firewallidsauthenticationtypemd5keyhuawei123[Eudemon]firewallidsenable最后一定得使能IDS的功能与IDS联动配置[Eudemon]firewallidsIDS配置验证[Eudemon]displayfirewallidsFirewallIDSinformation:firewallIDS:enabledebugflag:offserverport:3000authenticationtype:md5authenticationstring:huawei123clientaddress0:0IDS配置验证[Eudemon]displayfirew目录3.防火墙基本功能3.1黑名单3.2MAC绑定3.3端口映射3.4IDS联动3.5日志目录3.防火墙基本功能防火墙日志Log

Server信息中心攻击防范黑名单地址绑定二进制流日志

Syslog日志监视终端控制台缓冲区……重定向NAT/ASPF

日志信息

日志信息

日志信息流量统计

日志信息

日志信息

日志信息防火墙日志LogServer信息中心攻击防范黑名单地址绑定日志输出配置组网示例Ethernet2/0/1/24服务器日志服务器PCEthernet2/0/0/24Ethernet1/0/0/24EudemonPC/24日志输出配置组网示例Ethernet2/0/1192.168日志输出配置[Eudemon]info-centerenable[Eudemon]info-centerloghostlanguageenglish[Eudemon]firewall

sessionlog-typebinaryhost9002日志输出配置[Eudemon]info-centeren日志配置验证[Eudemon]displayinfo-centerInformationCenter:enabledLoghost: ,channelnumber2,channelnameloghost, languageenglish,hostfacilitylocal7Console: channelnumber:0,channelname:consoleMonitor: channelnumber:1,channelname:monitor……日志配置验证[Eudemon]displayinfo-c目录防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能目录防火墙的基本概念目录4.防火墙扩展功能4.1负载均衡4.2虚拟防火墙目录4.防火墙扩展功能负载均衡当前的网络应用中，单台服务器的处理能力已经成为网络中的瓶颈，尤其是在IDC、网站等应用场合。Eudemon防火墙的负载均衡即是将用户流量分配到多个服务器上，从而达到流量分担的目的，进而保障服务器的可用性。防火墙按照配置的算法，将用户流量分配到不同的服务器上，充分利用各个服务器的处理能力，达到最佳的可扩展性。负载均衡当前的网络应用中，单台服务器的处理能力已经成为网络中负载均衡组网示例Eth1/0/0/24Eth1/0/1/24服务器1/24服务器2/24服务器3/24vipEudemon交换机PC/24负载均衡组网示例Eth1/0/0/24Et负载均衡配置[Eudemon]slbenable[Eudemon]slb[Eudemon-slb]rserver1rip[Eudemon-slb]rserver2rip[Eudemon-slb]rserver3rip[Eudemon]firewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutbound由于防火墙对实服务器缺省进行健康行检查，此时需要配置允许健康检查报文在防火墙Local和DMZ域间出方向流动使能SLB的服务器自动健康检查功能。负载均衡配置[Eudemon]slbenable由于防火负载均衡配置(续)[Eudemon-slb]groupgroup1[Eudemon-slb-group-group1]metricroundrobin[Eudemon-slb-group-group1]addrserver1[Eudemon-slb-group-group1]addrserver2[Eudemon-slb-group-group1]addrserver3[Eudemon-slb]vserverhuaweivipgroupgroup1负载均衡配置(续)[Eudemon-slb]group负载均衡配置验证[Eudemon-slb]displaythisslbrserver1ripweight32healthchkrserver2ripweight32healthchkrserver3ripweight32healthchkgroupgroup1metricroundrobinaddrserver1addrserver2addrserver3vserverhuaweivipgroupgroup1负载均衡配置验证[Eudemon-slb]display负载均衡效果[Eudemon]displayfirewallsessiontableicmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43FTP,(vpn:public->public):21[:21]<-+:1227FTP,(vpn:public->public):21[:21]<-+:1229FTP,(vpn:public->public):21[:21]<-+:1231FTP,(vpn:public->public):21[:21]<-+:1233FTP,(vpn:public->public):21[:21]<-+:1235CurrentTotalSessions:8负载均衡效果[Eudemon]displayfirewa目录4.防火墙扩展功能4.1负载均衡4.2虚拟防火墙目录4.防火墙扩展功能虚拟防火墙Vfw3Vfw2Vfw1Rfw在Eudemon上创建逻辑上的虚拟防火墙（Virtual-firewall,Vfw），能够提供防火墙的出租业务，实现子网隔离和解决地址重叠的问题。每个虚拟防火墙都是VPN实例（VPN-Instance）、安全实例和配置实例的综合体，能够为虚拟防火墙用户提供私有的路由转发平面、安全服务和配置管理平面。虚拟防火墙Vfw3Vfw2Vfw1Rfw在Eudemon上创虚拟防火墙Eudemon防火墙支持虚拟防火墙特性每个虚拟防火墙均可以独立支持Local、TRUST、UNTRUST、DMZ、VZONE5个安全区域，接口灵活划分和分配。系统资源独立分配，提供独立的安全业务、NAT多实例、VPN多实例特性。......根防火墙RootFW一台Eudemon物理防火墙虚拟防火墙VirtualFWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrust......Eudemon虚拟防火墙Eudemon防火墙支持虚拟防火墙特性......虚拟防火墙区域ServerServerTrustUntrustDMZEth1/0/0内部网络Eth0/0/0inboundoutboundinboundoutboundout