【正文】 絡(luò)接入層發(fā)現(xiàn)有攻擊報(bào)文ABC上報(bào)日志拒絕攻擊報(bào)文SecPath防火墻Email郵件通知圖210圖210中形象地描述了防火墻如何提供將日志給管理員的。支持反向路由檢查功能。同時(shí)，還可以按照時(shí)間段進(jìn)行過濾。防火墻提供基本的路由器能力，支持RIP/OSPF/BGP路由策略及策略路由；支持豐富的Qos特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。 防火墻提供多種智能分析和管理手段，支持郵件警告，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。l 8M FLASH 64M 內(nèi)存l 4個(gè)固定的100M自適應(yīng)FE口作為局域網(wǎng)口；l 1個(gè)固定的100M自適應(yīng)FE口作為廣域網(wǎng)口；l 20Mbps吞吐量F100A和F100C防火墻的主要差別：F100A防火墻F100C防火墻32位的微處理器技術(shù)。主要技術(shù)參數(shù)：l 32位的微處理器技術(shù)。 SecPath F1000S防火墻H3C SecPath F1000S防火墻設(shè)備是H3C面向企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，可以作為中小型企業(yè)的出口防火墻設(shè)備，也可以作為大中型企業(yè)的內(nèi)部防火墻設(shè)備使用。（請注意是不丟幀情況下，這是與轉(zhuǎn)發(fā)率以及最大轉(zhuǎn)發(fā)率最本質(zhì)的區(qū)別。請讀者仔細(xì)學(xué)習(xí)以下設(shè)備的主要技術(shù)參數(shù)及其設(shè)備之間的主要差別，以便在具體應(yīng)用中做到選型正確。 H3C SecPath 系列防火墻設(shè)備（以下簡稱防火墻）是H3C公司面向企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，既可以作為中小企業(yè)的核心防火墻，也可以作為企業(yè)的匯聚及接入防火墻設(shè)備。 本章小結(jié) 習(xí)題第二章 SecPath防火墻體系結(jié)構(gòu)課程目標(biāo)l 了解SecPath系列防火墻體系結(jié)構(gòu)l 熟悉SecPath系列防火墻主要業(yè)務(wù)特性l 掌握SecPath系列防火墻典型應(yīng)用 SecPath防火墻家族成員圖21描述了H3C SecPath防火墻家族產(chǎn)品型號、應(yīng)用范圍和價(jià)值關(guān)系：SPEnterpriseSMBSOHOPriceSecPath F100CSecPath F100ASecPath F1000SSecPath F1000ASecPath F1000E圖21伴隨著企業(yè)和公司的不斷擴(kuò)張和網(wǎng)絡(luò)技術(shù)的深入普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)的越來越頻繁了。 Web內(nèi)容過濾文件的格式為：暴力、*賭博* 。 為了防止網(wǎng)頁中可執(zhí)行代碼對內(nèi)部網(wǎng)絡(luò)造成的潛在威脅，可以指定HTTP檢測策略能夠過濾掉來自外部網(wǎng)絡(luò)服務(wù)器HTTP報(bào)文中的Jave Applets。 正常網(wǎng)站 有害網(wǎng)站有害內(nèi)容健康內(nèi)容* 有害網(wǎng)站過濾* 網(wǎng)頁惡意內(nèi)容摘除圖16 H3C SecPath防火墻提供了針對應(yīng)用協(xié)議的訪問控制能力，通過獨(dú)有的ASPF特性，對應(yīng)用層協(xié)議進(jìn)行分析，實(shí)現(xiàn)對應(yīng)用協(xié)議的內(nèi)容過濾。防火墻用戶上網(wǎng)用戶名、密碼 ？輸入用戶名、密碼 認(rèn)證通過 正常上網(wǎng) 圖15H3C SecPathf序列防火墻支持Radius服務(wù)器認(rèn)證和本地認(rèn)證。然而病毒、黑客、網(wǎng)絡(luò)釣魚以及網(wǎng)頁仿冒詐騙等惡意威脅，給在線交易的安全性帶來了極大的挑戰(zhàn)?！　楸Ｗo(hù)網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。5) 支持多種ALG： 包括H323/MGCP/SIP/H248/RTSP/HWCC，還支持ICMP、FTP、DNS、PPTP、NBT、ILS等協(xié)議。 地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時(shí)是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。 地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。)的漏洞對系統(tǒng)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊,最終導(dǎo)致主機(jī)菪掉。這樣便會導(dǎo)致操作系統(tǒng)提前崩潰或終止。防火墻交換機(jī)受信區(qū)域不受信區(qū)域DMZ區(qū)* 受信區(qū)域－DMZ區(qū)，可以訪問POP3和SMTP服務(wù)* DMZ－受信區(qū)域，不可訪問任何服務(wù)* 不受信區(qū)域－DMZ區(qū)，可以訪問POP3和SMTP服務(wù)* DMZ－不受信區(qū)域，可以訪問任何服務(wù)不受信區(qū)域和受信區(qū)域之間不能互訪EMAIL服務(wù)器圖11防火墻主要關(guān)注邊界安全，因此一般防火墻提供比較豐富的安全攻擊防范的特性：防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止圖121) DOS拒絕服務(wù)攻擊防范功能包括對諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務(wù)攻擊方式進(jìn)行檢測，丟棄攻擊報(bào)文，保護(hù)網(wǎng)絡(luò)內(nèi)部的主機(jī)不受侵害。3) DMZ區(qū)域：放置公共服務(wù)器的區(qū)域，一般情況下，這個(gè)區(qū)域接受外部的訪問，但不會主動(dòng)去訪問外部資源。7) 安全管理：主要指日志審計(jì)和防火墻的集中管理。4) 應(yīng)用層狀態(tài)監(jiān)測：可以實(shí)現(xiàn)單向訪問。伴隨著網(wǎng)絡(luò)安全技術(shù)的飛躍發(fā)展，將會相繼有新的網(wǎng)絡(luò)安全設(shè)備問世。數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。例如：攻擊者通過猜測帳戶和密碼的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以非法使用資源。通過各種攻擊軟件，只要具有一般計(jì)算機(jī)知識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。 拒絕服務(wù)：服務(wù)器拒絕合法永福正常訪問信息或資源的請求。 因此：l 網(wǎng)絡(luò)安全是Internet必須面對的一個(gè)實(shí)際問題l 網(wǎng)絡(luò)安全是一個(gè)綜合性的技術(shù)l 網(wǎng)絡(luò)安全具有兩層含義：232。針對網(wǎng)絡(luò)存在的各種安全隱患，防火墻必須具有如下安全特性：1) 網(wǎng)絡(luò)隔離及訪問控制：能夠有效防止對外公開的服務(wù)器被黑客用于控制內(nèi)網(wǎng)的一個(gè)跳板。5) 身份認(rèn)證：可以確保資源不會被未授權(quán)的用戶（也可以稱為非法用戶）或以授權(quán)方式（非法權(quán)限）使用。防火墻的主要作用是實(shí)現(xiàn)網(wǎng)絡(luò)隔離和訪問控制。防火墻通常使用ACL訪問控制列表、ASPF應(yīng)用層狀態(tài)檢測包過濾的方法來實(shí)現(xiàn)訪問控制的目的。2) 防止常見網(wǎng)絡(luò)層攻擊行為防火墻一般應(yīng)該支持對IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見的網(wǎng)絡(luò)攻擊行為，主動(dòng)發(fā)現(xiàn)丟棄報(bào)文。land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺機(jī)器的攻擊。3) 針對畸形報(bào)文的防范通過一些畸形報(bào)文，如果超大的ICMP報(bào)文，非法的分片報(bào)文，TCP標(biāo)志混亂的報(bào)文等，可能會造成比較驗(yàn)證的危害，防火墻應(yīng)該可以識別出這些報(bào)文。（ASPF）aspf（application specific packet filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報(bào)文過濾。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進(jìn)行監(jiān)控。層出不窮的網(wǎng)絡(luò)犯罪，引起了人們對網(wǎng)絡(luò)身份的信任危機(jī)，如何證明“我是誰？”及如何防止身份冒用等問題成為人們關(guān)注的焦點(diǎn)。認(rèn)證形式可以為:：l PPPOE認(rèn)證：一般用于內(nèi)網(wǎng)訪問外部的控制，需要客戶端，認(rèn)證通過后則可以訪問外網(wǎng)l L2TP認(rèn)證：主要用于VPN應(yīng)用，外部移動(dòng)辦公用戶在接入到內(nèi)部網(wǎng)絡(luò)需要經(jīng)過認(rèn)證。SecPath防火墻提供的HTTP協(xié)議過濾功能提供了對HTTP網(wǎng)址過濾和網(wǎng)頁內(nèi)容過濾，可以有效的管理員工上網(wǎng)的行為，提高工作的效率，節(jié)約出口帶寬，保障正常的數(shù)據(jù)流量，屏蔽各種”垃圾“信息，從而保證內(nèi)部網(wǎng)絡(luò)的”綠色環(huán)境“。另外，利用Web內(nèi)容過濾功能，通過指定過濾網(wǎng)頁的文本關(guān)鍵字，可以保證用戶指定內(nèi)容的信息不會進(jìn)入內(nèi)部網(wǎng)絡(luò)。 利用 協(xié)議過濾功能，可以營造企業(yè)、政府機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全、綠色的上網(wǎng)環(huán)境。通過各種攻擊軟件，只要具有一般計(jì)算機(jī)知識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。SecPath F1000E/F1000A/F100E/F100A/F100C提供完善的安全防范體系，可以提供安全訪問限制/內(nèi)網(wǎng)安全防范措施。 F1000E防火墻圖22H3C SecPath F1000E防火墻設(shè)備,全方位為大中型企業(yè)網(wǎng)絡(luò)的安全提供了高性價(jià)比的解決方案。） SecPath F1000A防火墻接口模塊插槽MIM配置口備份口千兆以太網(wǎng)電接口1千兆以太網(wǎng)光接口1千兆以太網(wǎng)電接口0千兆以太網(wǎng)光接口0圖23H3C SecPath F1000A防火墻設(shè)備是H3C面向企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，可以作為中小型企業(yè)的出口防火墻設(shè)備，也可以作為大中型企業(yè)的內(nèi)部防火墻設(shè)備使用。主要技術(shù)參數(shù)：l 采用64位的微處理器技術(shù)，使用主頻800MHZ的MIPS CPU，并使用內(nèi)部集成GMII控制器技術(shù)提高報(bào)文處理速率；l 16M FLASH、512M內(nèi)存（可擴(kuò)到1G）；l 提供4個(gè)固定的100、1000M的自適應(yīng)GE接口，2個(gè)即支持光口又支持電口，其余2個(gè)僅支持電口；比l 內(nèi)置Ipsec硬件加密卡；內(nèi)置HT硬件加密卡l 提供2個(gè)MIM擴(kuò)展槽位，目前可選的接口模塊為1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七種（注：HDC軟件功能暫時(shí)不支持）。l 16M FLASH 256M內(nèi)存l 4個(gè)固定的100M自適應(yīng)FE口作為局域網(wǎng)口；l 3個(gè)固定的100M自適應(yīng)FE口作為廣域網(wǎng)口；l 1個(gè)MIM擴(kuò)展槽位；可選接口模塊1FE/2FE/4FE/NDECII(加密卡)/HDC（軟件功能不支持）；l 60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)l 300Mbps吞吐量。MPC的微處理技術(shù)，并且自帶硬件加密卡。 防火墻支持AAA、NAT等技術(shù)，可以確保在開放的Internet上實(shí)現(xiàn)安全的、滿足可靠質(zhì)量要求的網(wǎng)絡(luò)。* 網(wǎng)絡(luò)隔離及訪問控制* 安全認(rèn)證* 應(yīng)用層狀態(tài)檢測* 多種攻擊防范手段* 豐富的VPN業(yè)務(wù)* 智能分析和管理手段* 內(nèi)容過濾及郵件過濾* 網(wǎng)絡(luò)協(xié)議積累* 地址轉(zhuǎn)換F100CF100AF100SF1000AF1000SF100EF1000E圖27 支持包過濾技術(shù)。 支持應(yīng)用層報(bào)文過濾ASPF（Application Specific Packet Filter），也稱為狀態(tài)防火墻，它檢測應(yīng)用層協(xié)議（如FTP、HTTP、SMTP、RTSP等協(xié)議及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議）并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，維護(hù)每一個(gè)連接的狀態(tài)信息，支持ActiveX的過濾功能，并動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或者被丟棄。* 包過濾* 應(yīng)用層狀態(tài)檢測* 多種攻擊防范手段* 地址轉(zhuǎn)換防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止圖28支持業(yè)務(wù)郵件過濾，提供SMTP郵件過濾、SMTP郵件標(biāo)題過濾、SMTP郵件內(nèi)容過濾和SMTP郵件附件過濾，支持SQL/Java Applet/ActiveX過濾。防火墻提供的日志信息和功能如下：1) 各種日志：攻擊實(shí)時(shí)日志、黑名單日志、地址綁定日志、流量警告日志、會話日志、二進(jìn)制格式日志和NAT等日志。這些監(jiān)控統(tǒng)計(jì)功能可以有效的提供針對各種攻擊情況、異常情況提供有效的分析數(shù)據(jù)。H3C SecPath 防火墻還支持web配置接口，以區(qū)別于命令行接口，方便圖像化配置和管理。提供多種攻擊防范技術(shù)。支持TCP代理。支持詳盡的日志，支持攻擊告警。不但提供強(qiáng)大的過濾功能，并且具有強(qiáng)大的VPN功能，使用SecPath F1000S防火墻，即可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，也可以滿足分支以及移動(dòng)辦公訪問公司本部資源的需求?；谟脩艚尤肟刂?，對用戶流量進(jìn)行過濾。企業(yè)總部語音設(shè)備應(yīng)用服務(wù)器MCU用戶動(dòng)態(tài)認(rèn)證服務(wù)器Secpath F1000SIP網(wǎng)絡(luò)動(dòng)態(tài)密碼鑰匙盤使用VPN客戶端遠(yuǎn)程辦公語音視訊數(shù)據(jù)Secpath F100A企業(yè)分支認(rèn)證隧道VPN隧道圖213 soho防火墻結(jié)合VPN功能應(yīng)用圖214給出了典型soho防火墻結(jié)合VPN功能應(yīng)用，該方案使用H3C SecPath F100C防火墻，具有強(qiáng)大的VPN功能，可以滿足分支以及移動(dòng)辦公訪問公司本部資源的需求，適應(yīng)SOHO型的家庭或者辦公網(wǎng)絡(luò)。阻止惡意攻擊，能夠?qū)崿F(xiàn)郵件、網(wǎng)頁過濾。支持NAT，支持多種ALG。通過在企業(yè)總部放置兩臺SecPath 防火墻，分支通過IPSec VPN接入，來保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。l 防火墻實(shí)現(xiàn)備份，避免單點(diǎn)故障；l 防火墻之間實(shí)現(xiàn)負(fù)載分擔(dān)，使資源得到充分利用；l 支持分支機(jī)構(gòu)動(dòng)態(tài)IP上網(wǎng)；l 支持NAT穿越；l 數(shù)據(jù)報(bào)文保證私有性、完整性、真實(shí)性；l 了解了H3C SecPath防火墻產(chǎn)品家族l 熟悉了H3C SecPath防火墻的業(yè)務(wù)特性l 了解了H3C SecPath防火墻典型組網(wǎng)第三章 安全區(qū)域 l 了解安全區(qū)域基本概念l 掌握安全區(qū)域配置方法3．安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個(gè)安全概念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。 當(dāng)一個(gè)數(shù)據(jù)流通過SecPath防火墻的時(shí)候，根據(jù)其發(fā)起方向的不同，所引用的操作是截然不同的。在設(shè)備內(nèi)，安全級別通過0~100的數(shù)字來表示，數(shù)字越大表示安全級別越高，不存在兩個(gè)具有相同安全級別的區(qū)域。② 非軍事化區(qū)域（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級別為50。如果將這些服務(wù)器放置于外部網(wǎng)絡(luò)側(cè)他們的安全性無法保障；如果放置于內(nèi)部網(wǎng)絡(luò)，則外部惡意用戶有可能利用某些服務(wù)器的安全漏洞攻擊內(nèi)部網(wǎng)絡(luò)。此外，如認(rèn)為有必要，用戶也可自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級