【文章內(nèi)容簡介】 N功能，使用SecPath F1000S防火墻，即可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，也可以滿足分支以及移動辦公訪問公司本部資源的需求。 該方案實(shí)現(xiàn)了阻止惡意攻擊，能夠?qū)崿F(xiàn)郵件、網(wǎng)頁過濾。支持流量監(jiān)控。支持詳盡的日志，支持攻擊警告?；谟脩艚尤肟刂?，對用戶流量進(jìn)行過濾。遠(yuǎn)程辦公人員使用動態(tài)密碼認(rèn)證，保證用戶的唯一性，解決移動用戶安全問題。支持DVPN、L2TP、GRE、IPSEC組網(wǎng)應(yīng)用。支持BIMS和VPN Mannger。企業(yè)總部語音設(shè)備應(yīng)用服務(wù)器MCU用戶動態(tài)認(rèn)證服務(wù)器Secpath F1000SIP網(wǎng)絡(luò)動態(tài)密碼鑰匙盤使用VPN客戶端遠(yuǎn)程辦公語音視訊數(shù)據(jù)Secpath F100A企業(yè)分支認(rèn)證隧道VPN隧道圖213 soho防火墻結(jié)合VPN功能應(yīng)用圖214給出了典型soho防火墻結(jié)合VPN功能應(yīng)用，該方案使用H3C SecPath F100C防火墻，具有強(qiáng)大的VPN功能，可以滿足分支以及移動辦公訪問公司本部資源的需求，適應(yīng)SOHO型的家庭或者辦公網(wǎng)絡(luò)。SecPath F100C防火墻還提供強(qiáng)大的過濾功能和優(yōu)秀的管理功能?？梢詫⑵洳渴鹪趦?nèi)部網(wǎng)絡(luò)的出口，防范來自外部網(wǎng)絡(luò)的各種攻擊。 Trust區(qū)域Untrust區(qū)域SOHO內(nèi)部網(wǎng)絡(luò)使用VPN客戶端遠(yuǎn)程辦公圖214該方案實(shí)現(xiàn)了通過報(bào)文檢測并阻止非法入侵。阻止惡意攻擊，能夠?qū)崿F(xiàn)郵件、網(wǎng)頁過濾。支持詳盡的日志，支持攻擊告警。支持流量監(jiān)控。具有地強(qiáng)大的處理能力，能夠充分發(fā)揮帶寬優(yōu)勢。支持NAT，支持多種ALG。基于用戶接入控制，對用戶流量進(jìn)行過濾。支持DVPN/L2TP/IPSec組網(wǎng)應(yīng)用。 分支機(jī)構(gòu)VPN結(jié)合防火墻備份應(yīng)用 企業(yè)總部語音設(shè)備應(yīng)用服務(wù)器MCUSecpath防火墻Secpath防火墻語音視訊數(shù)據(jù)Secpath F100A分支機(jī)構(gòu)語音視訊數(shù)據(jù)Secpath F100A分支機(jī)構(gòu)IPSec隧道IPSec隧道備份IPSec隧道分支機(jī)構(gòu)……圖215圖214給出了典型分支機(jī)構(gòu)VPN結(jié)合防火墻備份應(yīng)用 該方案使用H3C SecPath 防火墻支持VPN應(yīng)用，同時(shí)能夠提供設(shè)備冗余備份和負(fù)載分擔(dān)。通過在企業(yè)總部放置兩臺SecPath 防火墻，分支通過IPSec VPN接入，來保證數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。企業(yè)總部使用兩臺防火墻進(jìn)行負(fù)載分擔(dān)，當(dāng)其中一臺設(shè)備出現(xiàn)問題之后實(shí)現(xiàn)備份。在該方案中，總部采用SecPath防火墻作為IPSec隧道終點(diǎn)，分支分別和總部兩臺SecPath建立VPN隧道實(shí)現(xiàn)分支訪問總部的備份?？偛績膳_防火墻對內(nèi)也支持負(fù)載分擔(dān)和設(shè)備備份，典型的應(yīng)用于對穩(wěn)定性要求較高的企業(yè)，能夠同時(shí)滿足防火墻和VPN的需求。l 防火墻實(shí)現(xiàn)備份，避免單點(diǎn)故障；l 防火墻之間實(shí)現(xiàn)負(fù)載分擔(dān)，使資源得到充分利用；l 支持分支機(jī)構(gòu)動態(tài)IP上網(wǎng)；l 支持NAT穿越；l 數(shù)據(jù)報(bào)文保證私有性、完整性、真實(shí)性；l 了解了H3C SecPath防火墻產(chǎn)品家族l 熟悉了H3C SecPath防火墻的業(yè)務(wù)特性l 了解了H3C SecPath防火墻典型組網(wǎng)第三章 安全區(qū)域 l 了解安全區(qū)域基本概念l 掌握安全區(qū)域配置方法3．安全區(qū)域（zone）是防火墻產(chǎn)品所引入的一個(gè)安全概念，是防火墻產(chǎn)品區(qū)別于路由器的主要特征。 對于路由器，各個(gè)接口所連接的網(wǎng)絡(luò)在安全上可以視為是平等的，沒有明顯的內(nèi)外之分，所以即使進(jìn)行一定程度的安全檢查也是在接口上完成的。這樣，一個(gè)數(shù)據(jù)流單向通過路由器時(shí)有可能需要進(jìn)行兩次安全規(guī)則的檢查（入接口的安全檢查和出接口的安全檢查），以便使其符合每個(gè)接口上獨(dú)立的安全定義。而這種思路對于防火墻來說是很不合適的，因?yàn)榉阑饓λ袚?dān)的責(zé)任是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)上非法行為的侵害，因而有著明確的內(nèi)外之分。 當(dāng)一個(gè)數(shù)據(jù)流通過SecPath防火墻的時(shí)候，根據(jù)其發(fā)起方向的不同，所引用的操作是截然不同的。這種安全級別上的差異，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶在配置上的混亂。因此，SecPath防火墻提出了安全區(qū)域的概念。一個(gè)安全區(qū)域包括一個(gè)或多個(gè)接口的組合，具有一個(gè)安全級別。在設(shè)備內(nèi)，安全級別通過0~100的數(shù)字來表示，數(shù)字越大表示安全級別越高，不存在兩個(gè)具有相同安全級別的區(qū)域。當(dāng)數(shù)據(jù)在分屬于兩個(gè)不同安全級別的區(qū)域（或區(qū)域包含的接口）之間流動的時(shí)候，才會激活防火墻的安全規(guī)則檢查功能。數(shù)據(jù)在屬于同一個(gè)安全區(qū)域的不同接口間流動時(shí)不會引起任何檢查。 SecPath防火墻上缺省保留四個(gè)區(qū)域，見圖31：內(nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local)圖31① 非受信區(qū)域 （Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。② 非軍事化區(qū)域（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級別為50。DMZ（De Militarized Zone，非軍事化區(qū)），這一術(shù)語起源于軍方，指得是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域。防火墻引用這一術(shù)語，指在一個(gè)邏輯上和物理上都與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分離的區(qū)域。通常部署網(wǎng)絡(luò)時(shí)，將那些需要被公共訪問的設(shè)備，例如WWW 服務(wù)器、FTP 服務(wù)器等放置于此。如果將這些服務(wù)器放置于外部網(wǎng)絡(luò)側(cè)他們的安全性無法保障；如果放置于內(nèi)部網(wǎng)絡(luò)，則外部惡意用戶有可能利用某些服務(wù)器的安全漏洞攻擊內(nèi)部網(wǎng)絡(luò)。因此，DMZ區(qū)域的出現(xiàn)很好的解決了這些服務(wù)器的放置問題。 ③ 受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。④ 本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級100。此外，如認(rèn)為有必要，用戶也可自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。、網(wǎng)絡(luò)和安全區(qū)域的關(guān)聯(lián)除了Local區(qū)域以外，在使用其他所有安全區(qū)域時(shí)，需要將安全區(qū)域分別與防火的特定接口相關(guān)聯(lián)，即將接口加入到安全域。值得注意的是，系統(tǒng)不允許兩個(gè)安全區(qū)域具有相同的安全級別；而且同一接口又不允許分屬于兩個(gè)不同的安全區(qū)域。具體來說，Trust所屬接口用于連接用戶要保護(hù)的網(wǎng)絡(luò)；Untrust所屬接口連接外部網(wǎng)絡(luò)；DMZ區(qū)所屬接口連接用戶向外部提供服務(wù)的部分網(wǎng)絡(luò)；從防火墻設(shè)備本身發(fā)起的連接即是從Local區(qū)域發(fā)起的連接。相應(yīng)的所有對防火墻本身的訪問都屬于向Local區(qū)域發(fā)起的訪問連接。 另外安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循一些原則： ①內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級別較高的區(qū)域； ②外部網(wǎng)絡(luò)應(yīng)安排在安全級別最低的區(qū)域； ③一些可對外部提供有條件服務(wù)的網(wǎng)絡(luò)應(yīng)安排在安全級別中等的DMZ區(qū)域。 域間的數(shù)據(jù)流方向不同級別的安全區(qū)域間的數(shù)據(jù)流動都將激發(fā)防火墻進(jìn)行按安全策略的檢測，管理員可以為不同流動方向設(shè)置不同的安全策略。域間的數(shù)據(jù)流分兩個(gè)方向： l 入方向（inboud）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍籰 出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。?nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local)outboundinboundinboundoutboundinboundoutbound圖32在H3C SecPath防火墻上，判斷數(shù)據(jù)傳輸是出方向還是入方向，總是相對高級別的一側(cè)而言，即由高級別區(qū)域向低級別區(qū)域的數(shù)據(jù)流動為出方向，由低級別區(qū)域向高級別區(qū)域數(shù)據(jù)流動為入方向。根據(jù)圖32所示，可以得到如下結(jié)論： 從DMZ區(qū)到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向； 從Trust區(qū)域到DMZ區(qū)的數(shù)據(jù)流為出方向，反之為入方向；從Trust區(qū)域到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向。注意：路由器數(shù)據(jù)流動方向的判定是以接口為主：由接口發(fā)出的數(shù)據(jù)方向稱為出方向；由接口接收數(shù)據(jù)的方向?yàn)槿敕较?。這也是路由器有別于防火墻的重要特征。說明：在防火墻中，當(dāng)報(bào)文從高優(yōu)先級別區(qū)域向低優(yōu)先級別區(qū)域發(fā)起連接時(shí)，即從Trust區(qū)域向Untrust區(qū)域和DMZ區(qū)域發(fā)起數(shù)據(jù)連接，或DMZ區(qū)域向Untrust區(qū)域發(fā)起連接時(shí)，必須明確配置缺省過濾規(guī)則。 由防火墻本地（Local區(qū)域）發(fā)起或終止的報(bào)文不進(jìn)行狀態(tài)檢測，這類報(bào)文的過濾由包過濾機(jī)制來完成。3．3安全區(qū)域的基本配置安全區(qū)域基本配置包括1) 創(chuàng)建安全區(qū)域2) 進(jìn)入安全區(qū)域視圖3) 進(jìn)入?yún)^(qū)域間視圖4) 為安全區(qū)域添加接口5) 設(shè)置安全區(qū)域的優(yōu)先級 6)缺省情況下，系統(tǒng)預(yù)先定義了四個(gè)安全區(qū)域：Local、Trust、Untrust和DMZ。這些系統(tǒng)定義的安全區(qū)域是不能被刪除的。操作命令創(chuàng)建安全區(qū)域firewall zone name zonename 刪除安全區(qū)域 undo firewall zone name zonename 操作命令進(jìn)入安全區(qū)域視圖 firewall zone zonename進(jìn)入某安全區(qū)域視圖的目的：主要是進(jìn)行添加/刪除接口和設(shè)置區(qū)域優(yōu)先級別的操作。操作命令進(jìn)入?yún)^(qū)域間視圖 firewall interzone zone1 zone2 進(jìn)入?yún)^(qū)域間視圖的目的：是為了配置區(qū)域間的策略以及作用訪問控制列表？？？？3，3，4為安全區(qū)域添加接口操作命令將接口添加到安全區(qū)域 add interface interfacetype interfacenumber 將接口從安全區(qū)域中刪除 undo add interface interfacetype interfacenumber 缺省情況系，所有接口不屬于任何安全區(qū)域。 一個(gè)接口只能屬于一個(gè)安全區(qū)域。將接口加入到一個(gè)安全區(qū)域中前，這個(gè)接口不能已經(jīng)屬于其他的安全區(qū)域，否則需要先將此接口從其他區(qū)域中刪除。 可以為安全區(qū)域設(shè)置一個(gè)優(yōu)先級別，優(yōu)先級別值越高，表示此區(qū)域的安全性越高。 此命令在區(qū)域視圖下進(jìn)行下列配置：操作命令設(shè)置安全的優(yōu)先級 set priority number 缺省情況下，Local區(qū)域的優(yōu)先級別為100，Trust區(qū)域的優(yōu)先級別為85，Untrust區(qū)域的優(yōu)先級別為5，DMZ區(qū)域的優(yōu)先級別為50。系統(tǒng)定義的這些區(qū)域的優(yōu)先級別是不能被更改的。3，4 本章小結(jié)l 介紹了安全區(qū)域基本概念l 如何完成安全區(qū)域的基本配置 習(xí)題① 進(jìn)入?yún)^(qū)域間視圖主要可進(jìn)行什么操作？可實(shí)現(xiàn)什么功能？第四章 訪問控制列表ACL 課程目標(biāo)l 了解訪問控制列表基本概念l 掌握ACL的配置方法 ACL原理 ACL是什么為了過濾數(shù)據(jù)包，需要配置一些規(guī)則，規(guī)定什么樣的數(shù)據(jù)包可以通過，什么樣的數(shù)據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（Access Control List）體現(xiàn)的。訪問控制列表根據(jù)IP報(bào)文的協(xié)議號、源地址、目標(biāo)地址、源端口和目的端口的信息起到過濾數(shù)據(jù)報(bào)文的作用。IP報(bào)頭TCP/UDP報(bào)頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說，這5個(gè)元素組成了一個(gè)TCP/UDP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則圖41用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應(yīng)用到整機(jī)或指定接口上，安全網(wǎng)關(guān)就會根據(jù)訪問控制列表來檢查所有接口或指定接口上的所有數(shù)據(jù)包，對于符合規(guī)則的報(bào)文作正常轉(zhuǎn)發(fā)或丟棄處理的動作，從而起到防火墻的作用。訪問控制列表除了用于過濾數(shù)據(jù)報(bào)文之外，還可以應(yīng)用于：l Qos（Quality of Service），對數(shù)據(jù)流量進(jìn)行控制；l 在DCC中，訪問控制列表還可以規(guī)定觸發(fā)撥號的條件；l 地址轉(zhuǎn)換；l 在配置路由策略時(shí)，可以利用訪問控制列表來作路由信息的過濾。 ACL種類ACL數(shù)字的范圍標(biāo)明了用途：列表種類數(shù)字標(biāo)識范圍基本的訪問控制列表 2000～2999高級的訪問控制列表 3000～3999基于接口的訪問控制列表 1000～1999基于MAC的訪問控制列表 4000～4999分類方法是按照訪問控制列表的用途來劃分的。 基本訪問控制列表基本訪問控制列表僅僅是根據(jù)數(shù)據(jù)包的源地址對數(shù)據(jù)包進(jìn)行區(qū)分。使用源地址信息，做為定義訪問控制列表規(guī)則的元素。?。》阑饓D42 高級訪問控制列表高級訪問控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類型、針對協(xié)議的特性，例如TCP的源端口，ICMP協(xié)議的類型、代碼等內(nèi)容定義規(guī)則。,，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！防火墻圖43 利用高級訪問控制列表可以定義比基本訪問控制列表更準(zhǔn)確、更豐富、更靈活的規(guī)則。 基于接口的訪問控制列表基于接口的訪問控制列表，是一種特殊的訪問控制列表，可以根據(jù)接收或者發(fā)送報(bào)文的接口指定規(guī)則。防火墻在8:30 AM~6:00 PM時(shí)間段內(nèi)經(jīng)過g0/0接口的數(shù)據(jù)包可以通過！圖44 基于MAC的訪問控制列表基于以太網(wǎng)的MAC地址的訪問控制列表，也是一種特殊的訪問控制列表，指定發(fā)送報(bào)文的源設(shè)備和目標(biāo)設(shè)備建立接口綁定規(guī)則，可以起到防止欺騙的作用。防火墻源MAC為11