HC110310002-HCNA-Security-CBSN-第二章-防火墙基础技术V2.0

修订记录课程编码适用产品产品版本课程版本ISSUEHC110310002华为防火墙V300R001V2.0开发/优化者时间审核人开发类型（新开发/优化）陈灵光2011.7余雷第一版姚传哲2013.5余雷第二版本页不打印其次章

防火墙根底技术目标学完本课程后，您将能够:了解防火墙的定义和分类理解防火墙的主要功能和技术把握防火墙设备治理的方法把握防火墙的根本配置名目防火墙概述防火墙功能特性防火墙设备治理防火墙根本配置防火墙特征规律区域过滤器隐蔽内网网络构造自身安全保障主动防范攻击内网防火墙被入侵路由器未经防火墙流量可防护吗？防火墙分类依据形态分为硬件防火墙软件防火墙依据疼惜对象分为单机防火墙网络防火墙依据访问把握方式分为包过滤防火墙代理防火墙状态检测防火墙防火墙分类—包过滤防火墙APP数据链路层TCP层IP层TCP层IP层只检测报头IPTCP1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据数据链路层防火墙分类—代理防火墙发送连接恳求外网终端代理防火墙内网Server向Server发送报文A’对恳求进展安全检查，不通过则阻断连接通过检查后与Server建立连接通过检查后与Client建立连接向防火墙发送报文A向防火墙发送回应报文B向终端发送回应报文B’1.处理速度慢2.升级困难防火墙分类—状态检测防火墙安全策略检查记录会话信息状态错误，丢弃1.处理后续包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墙分类—状态检测防火墙安全策略检查记录会话信息状态错误，丢弃1.处理后续包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墙硬件平台分类IntelX86适用于百兆网络，受CPU处理力气和PCI总线速度的限制NP网络处理器是特地为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防火墙硬件平台多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和治理机制。ASIC硬件集成电路，它把指令或计算规律固化到硬件中，获得高处理力气，提升防火墙性能防火墙硬件平台分类IntelX86适用于百兆网络，受CPU处理力气和PCI总线速度的限制NP网络处理器是特地为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案防火墙硬件平台多核新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和治理机制。ASIC硬件集成电路，它把指令或计算规律固化到硬件中，获得高处理力气，提升防火墙性能防火墙组网方式——二层以太网接口组网特点对网络拓扑透亮不需要更改组网InternetTrustUntrust防火墙组网方式——三层以太网接口组网特点支持更多安全特性对网络拓扑有所影响InternetUntrustTrust安全区域〔SecurityZone〕，或者简称为区域〔Zone〕。Zone是本地规律安全区域的概念。Zone是一个或多个接口所连接的网络。什么是安全区域？InternetDMZ区域Trust区域Untrust区域防火墙安全区域分类缺省安全区域非受信区域Untrust非军事化区域DMZ

受信区域Trust

本地区域Local用户自定义安全区域UserZone1UserZone2企业内网财务服务器ERP数据服务器OA服务器用户终端ISPBISPA邮件服务器Web服务器UntrustDMZTrustTrustLocal区域呢？防火墙安全区域与接口关系安全区域与接口关系防火墙是否存在两个具有完全一样安全级别的安全区域？防火墙是否允许同一物理接口分属于两个不同的安全区域？防火墙的不同接口是否可以属于同一个安全区域？InternetG0/0/2

DMZ区域G0/0/3

Untrust区域G0/0/0

Trust区域G0/0/1

Trust区域防火墙安全区域的方向Inbound与Outbound定义什么是Inbound?什么是Outbound？高安全级别低安全级别企业内网Untrust区域InternetTrust区域OutboundInbound名目防火墙概述防火墙功能特性防火墙设备治理防火墙根本配置防火墙多业务功能WLAN/WWAN交换统一治理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG静态路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾邮件URL过滤WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墙主要功能—访问把握主机A效劳器数据载荷IPTCPMAC识别报头标识，给出执行措施访问控制操作策略访问控制防火墙根本功能—深度检测技术基于特征字的识别技术基于应用层网关识别技术基于行为模式识别技术SACG联动技术VPN访问分支机构SRSSPSSACG防病毒效劳器域治理效劳器安全治理员补丁效劳器AgentAgentAgentAgent安全审计员认证前域Agent认证后域SMSCUCL：帐号

ACLAgent：客户端代理SACG：安全接入把握网关SM:治理效劳器SC:把握效劳器双机热备技术供给冗余备份功能统一设备上全部接口的主备状态同步防火墙之间会话信息即配置信息备防火墙TRUST域UNTRUST域PC服务器主防火墙内部网络/24外部网络202.10.0.0/24IPLink技术IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括：应用在静态路由中应用在双机热备份中运营商AX运营商B接收报文分类与标记拥塞监管拥塞治理带宽保证端到端的流量把握

提供业务质量保障 提高客户服务满意程度保证资源利用最大化，全面提升效劳质量QoS技术企业内网企业内网用户外部网络日志服务器防火墙日志审计协作eLog日志软件，可以为用户供给清晰网络日志和访问记录。可收集网络中全部通过该设备的日志通过二进志日志格式实现高速日志流传输攻击防范网络攻击主要分为四大类：流量型攻击扫描窥探攻击畸形报文攻击特殊报文攻击Packets受害主机Attacker防火墙报文统计报文统计对于防火墙来说，不仅要对数据流量进展监控，还要对内外部网络之间的连接发起状况进展检测，因此要进展大量的统计、计算与分析。防火墙对报文统计结果的分析有如下两个方面：特地的分析软件事后分析日志信息。防火墙实时完成一局局部析功能。防火墙黑名单黑名单黑名单是一个IP地址列表。防火墙将检查报文源地址，假设命中,丢弃全部报文快速有效地屏蔽特定IP地址的用户。创立黑名单表项，有如下两种方式：通过命令行手工创立。通过防火墙攻击防范模块或IDS模块动态创立。来自的报文查找黑名单丢弃负载均衡负载均衡。将访问同一个IP地址的用户流量安排到不同的效劳器上。负载均衡承受以下技术，将用户流量安排到多台效劳器：虚效劳技术效劳器安康性检测基于流的转发即通过指定算法，将数据流发送到各个真实效劳器进展处理。应用把握DPI〔DeepPacketInspection〕，即深度报文检测技术。使用DPI学问库中的规章，对P2P、VoIP、Video等多种应用数据，可以对识别的网络流量进展允许通过、阻断、限制连接数和限速等把握动作。带宽治理P2PUploadP2PDownloadVoIPWebTVVideoConferencingftpemail

Visiblepipe防火墙性能指标—吞吐量吞吐量：防火墙能同时处理的最大数据量有效吞吐量：除掉TCP由于丢包和超时重发的数据,实际的每秒传输有效速率防火墙性能指标—时延定义：数据包的第一个比特进入防火墙到最终一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度抱负的状况时间间隔Smartbits6000B第一个比特进入最终一个比特输出防火墙性能指标—每秒新建连接数定义：指每秒钟可以通过防火墙建立起来的完整TCP连接该指标是用来衡量防火墙数据流的实时处理能力防火墙性能指标—并发连接数定义：由于防火墙是针对连接进展处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。该参数是用来衡量主机和效劳器间能同时建立的最大连接数并发连接并发连接名目防火墙概述防火墙功能特性防火墙设备治理防火墙根本配置防火墙设备治理概述设备登录治理Console登录Web登录telnet登录SSH登录设备文件治理配置文件治理系统文件治理〔软件升级〕License治理设备登录治理设备登录治理组网-Console设备登录治理组网-Web/SSH/Telnet直接相连〔通过局域网〕远程连接〔通过广域网〕通过Console口登录设备USG配置口登录的缺省用户名为admin，缺省用户密码为Admin@123。其中，用户名不区分大小写，密码要区分大小写。通过Web方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。将治理员PC的网络连接的IP地址猎取方式设置为“自动猎取IP地址”。将PC的以太网口与设备的缺省治理接口直接相连，或者通过交换机中转相连。在PC的扫瞄器中访问，进入Web界面的登录页面。缺省用户名为admin，密码为Admin@123Web登录配置治理配置USG的IP地址。(略〕配置USG接口Web设备治理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managepermit启动Web治理功能。[USG]web-managersecurityenableport2023配置Web用户。[USG]aaa[USG-aaa]local-userwebuserpasswordcipherAdmin@123[USG-aaa]local-userwebuserservice-typeweb[USG-aaa]local-userwebuserlevel3Web登录配置治理配置Web治理员，并启动Web治理功能，依据客户需求启动HTTP或者HTTPS治理，以及设置端口号。新建治理员和治理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持全部用户类别。通过Telnet方式登录设备设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。将治理员PC的网络连接的IP地址猎取方式设置为“自动猎取IP地址”。通过，进入登录页面。缺省用户名为admin，密码为Admin@123Telnet登录配置治理配置USG接口telnet设备治理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置vtyinterface。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundtelnet配置Telnet用户信息。[USG]aaa[USG-aaa]local-useruser1passwordcipherpassword@123[USG-aaa]local-useruser1service-typetelnet[USG-aaa]local-useruser1level3Telnet登录配置治理配置Telnet治理员新建治理员和治理员级别。Note：不需要设置Web，FTP，Telnet等类别。默认支持全部用户类别。配置USG的接口IP地址。(略〕配置USG接口telnet设备治理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置RSA本地密钥对。<USG>system-view[USG]rsalocal-key-paircreateItwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:512Generatingkeys.....++++++++++++...............................配置VTY用户界面。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundssh通过SSH方式登录设备(1)通过SSH方式登录设备(2)新建用户名为Client001的SSH用户，且认证方式为password。[USG]sshuserclient001[USG]sshuserclient001authentication-typepassword为SSH用户Client001配置密码为Admin@123。[USG]aaa[USG-aaa]local-userclient001passwordcipherAdmin@123[USG-aaa]local-userclient001service-typessh配置SSH用户Client001的效劳方式为STelnet，并启用STelnet效劳。[USG]sshuserclient001service-typestelnet[USG]stelnetserverenable以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。配置文件治理配置文件类型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件〔恢复出厂配置〕配置下次启动时的系统软件和配置文件重启设备配置文件治理配置文件类型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件〔恢复出厂配置〕配置下次启动时的系统软件和配置文件重启设备版本升级(命令行)使用TFTP下载文件执行命令tftptftp-server-addressorhostnamegetsource-filename[destination-filename]使用FTP下载文件执行命令ftpip-address[port-number][vpn-instancevpn-instance-name]，与FTP效劳器建立把握连接，并进入FTP客户端视图。注：以上两种下载文件的方式二选一即可配置系统下次启动时使用的系统软件执行startupsystem-softwaresys-filename。版本升级〔Web〕说明：假设在升级过程中空然断电，那么系统将无法启动一键式升级License配置License是设备供给商对产品特性的使用范围、期限等进展授权的一种合约形式，License可以动态把握产品的某些特性是否可用。激活License执行命令system-view，进入系统视图。执行命令licensefilelicense-file，激活指定的License文件。可以通过命令displaylicense，查看License的信息。点击此处，上传将要激活的License文件名目防火墙概述防火墙功能特性防火墙设备治理防火墙根本配置VRP命令行级别参观级 网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。监控级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。配置级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。管理级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用VRP命令视图系统将命令行接口划分为假设干个命令视图，系统的全部命令都注册在某个〔或某些〕命令视图下，只有在相应的视图下才能执行该视图下的命令。命令视图的分类：用户视图<USG>系统视图[USG]接口视图[USG-Ethernet0/0/1]协议视图[USG-rip]……VRP在线帮助键入一命令，后接以空格分隔的“?”，假设该位置为关键字，则列出全部关键字及其简洁描述。 <USG5000>display?键入一命令，后接以空格分隔的“?”，假设该位置为参数，则列出有关的参数描述。 [USG5000]interfaceethernet? <3-3>Slotnumber键入一字符串，其后紧接“?”，列出以该字符串开头的全部命令。 <USG5000>d? debuggingdeletedirdisplayVRP在线帮助〔续〕输入命令的某个关键字的前几个字母，按下<TAB>键，可以显示出完整的关键字暂停显示时键入<Ctrl+C>停顿显示和命令执行暂停显示时键入空格键连续显示下一屏信息暂停显示时键入回车键连续显示下一行信息防火墙根本配置流程开头以太网接口模式接口IP地址接口参与域自定义安全区域默认安全区域配置默认包过滤规章配置路由〔三层接口〕配置设备治理数据包转发二层接口模式三层接口模式配置接口模式步骤1进入系统视图。<USG>system-view步骤2进入接口视图[USG]interfaceinterface-typeinterface-number步骤3配置三层以太网接口或者二层以太网接口配置三层以太网接口ipaddressip-address{mask|mask-length}，。或配置二层以太网接口portswitch步骤1执行命令system-view，进入系统视图。步骤2执行命令firewallzone[vpn-instancevpn-instance-name][name]zone-name，创立安全区域，并进入相应安全区域视图。步骤3执行命令setprioritysecurity-priority，配置安全区域的安全级别。配置安全区域安全区域已经存在不必配置关键字name，直接进入安全区域视图安全区域不存在需要配置关键字name，进入安全区域视图将接口参与安全区域步骤1执行命令system-view，进入系统视图。步骤2执行命令firewallzone[vpn-instancevpn-instance-name][name]zone-name，创立安全区域，并进入相应安全区域视图。步骤3执行命令addinterfaceinterface-typeinterface-number，配置接口参与安全区域。配置域间缺省包过滤规章步骤1执行命令system-view，进入系统视图。步骤2执行命令firewallpacket-filterdefault{permit|deny}{{all|interzonezone1zone2}[direction{inbound|outbound}]}，配置域间缺省包过滤规章。zone1与zone2有先后挨次吗？？？没有先后挨次。由于Inbound和Outbound的方向只与域的优先级有关配置路由配