【文章內容簡介】 N功能，使用SecPath F1000S防火墻，即可以保護內部網(wǎng)絡的安全，也可以滿足分支以及移動辦公訪問公司本部資源的需求。 該方案實現(xiàn)了阻止惡意攻擊，能夠實現(xiàn)郵件、網(wǎng)頁過濾。支持流量監(jiān)控。支持詳盡的日志，支持攻擊警告?；谟脩艚尤肟刂?，對用戶流量進行過濾。遠程辦公人員使用動態(tài)密碼認證，保證用戶的唯一性，解決移動用戶安全問題。支持DVPN、L2TP、GRE、IPSEC組網(wǎng)應用。支持BIMS和VPN Mannger。企業(yè)總部語音設備應用服務器MCU用戶動態(tài)認證服務器Secpath F1000SIP網(wǎng)絡動態(tài)密碼鑰匙盤使用VPN客戶端遠程辦公語音視訊數(shù)據(jù)Secpath F100A企業(yè)分支認證隧道VPN隧道圖213 soho防火墻結合VPN功能應用圖214給出了典型soho防火墻結合VPN功能應用，該方案使用H3C SecPath F100C防火墻，具有強大的VPN功能，可以滿足分支以及移動辦公訪問公司本部資源的需求，適應SOHO型的家庭或者辦公網(wǎng)絡。SecPath F100C防火墻還提供強大的過濾功能和優(yōu)秀的管理功能。可以將其部署在內部網(wǎng)絡的出口，防范來自外部網(wǎng)絡的各種攻擊。 Trust區(qū)域Untrust區(qū)域SOHO內部網(wǎng)絡使用VPN客戶端遠程辦公圖214該方案實現(xiàn)了通過報文檢測并阻止非法入侵。阻止惡意攻擊，能夠實現(xiàn)郵件、網(wǎng)頁過濾。支持詳盡的日志，支持攻擊告警。支持流量監(jiān)控。具有地強大的處理能力，能夠充分發(fā)揮帶寬優(yōu)勢。支持NAT，支持多種ALG?；谟脩艚尤肟刂?，對用戶流量進行過濾。支持DVPN/L2TP/IPSec組網(wǎng)應用。 分支機構VPN結合防火墻備份應用 企業(yè)總部語音設備應用服務器MCUSecpath防火墻Secpath防火墻語音視訊數(shù)據(jù)Secpath F100A分支機構語音視訊數(shù)據(jù)Secpath F100A分支機構IPSec隧道IPSec隧道備份IPSec隧道分支機構……圖215圖214給出了典型分支機構VPN結合防火墻備份應用 該方案使用H3C SecPath 防火墻支持VPN應用，同時能夠提供設備冗余備份和負載分擔。通過在企業(yè)總部放置兩臺SecPath 防火墻，分支通過IPSec VPN接入，來保證數(shù)據(jù)在網(wǎng)絡上傳輸時的私有性、完整性、真實性和防重放。企業(yè)總部使用兩臺防火墻進行負載分擔，當其中一臺設備出現(xiàn)問題之后實現(xiàn)備份。在該方案中，總部采用SecPath防火墻作為IPSec隧道終點，分支分別和總部兩臺SecPath建立VPN隧道實現(xiàn)分支訪問總部的備份?？偛績膳_防火墻對內也支持負載分擔和設備備份，典型的應用于對穩(wěn)定性要求較高的企業(yè)，能夠同時滿足防火墻和VPN的需求。l 防火墻實現(xiàn)備份，避免單點故障；l 防火墻之間實現(xiàn)負載分擔，使資源得到充分利用；l 支持分支機構動態(tài)IP上網(wǎng)；l 支持NAT穿越；l 數(shù)據(jù)報文保證私有性、完整性、真實性；l 了解了H3C SecPath防火墻產品家族l 熟悉了H3C SecPath防火墻的業(yè)務特性l 了解了H3C SecPath防火墻典型組網(wǎng)第三章 安全區(qū)域 l 了解安全區(qū)域基本概念l 掌握安全區(qū)域配置方法3．安全區(qū)域（zone）是防火墻產品所引入的一個安全概念，是防火墻產品區(qū)別于路由器的主要特征。 對于路由器，各個接口所連接的網(wǎng)絡在安全上可以視為是平等的，沒有明顯的內外之分，所以即使進行一定程度的安全檢查也是在接口上完成的。這樣，一個數(shù)據(jù)流單向通過路由器時有可能需要進行兩次安全規(guī)則的檢查（入接口的安全檢查和出接口的安全檢查），以便使其符合每個接口上獨立的安全定義。而這種思路對于防火墻來說是很不合適的，因為防火墻所承擔的責任是保護內部網(wǎng)絡不受外部網(wǎng)絡上非法行為的侵害，因而有著明確的內外之分。 當一個數(shù)據(jù)流通過SecPath防火墻的時候，根據(jù)其發(fā)起方向的不同，所引用的操作是截然不同的。這種安全級別上的差異，再采用在接口上檢查安全策略的方式已經不適用，將造成用戶在配置上的混亂。因此，SecPath防火墻提出了安全區(qū)域的概念。一個安全區(qū)域包括一個或多個接口的組合，具有一個安全級別。在設備內，安全級別通過0~100的數(shù)字來表示，數(shù)字越大表示安全級別越高，不存在兩個具有相同安全級別的區(qū)域。當數(shù)據(jù)在分屬于兩個不同安全級別的區(qū)域（或區(qū)域包含的接口）之間流動的時候，才會激活防火墻的安全規(guī)則檢查功能。數(shù)據(jù)在屬于同一個安全區(qū)域的不同接口間流動時不會引起任何檢查。 SecPath防火墻上缺省保留四個區(qū)域，見圖31：內部網(wǎng)絡服務器服務器DMZtrustuntrust防火墻(local)圖31① 非受信區(qū)域 （Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。② 非軍事化區(qū)域（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級別為50。DMZ（De Militarized Zone，非軍事化區(qū)），這一術語起源于軍方，指得是介于嚴格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域。防火墻引用這一術語，指在一個邏輯上和物理上都與內部網(wǎng)絡和外部網(wǎng)絡分離的區(qū)域。通常部署網(wǎng)絡時，將那些需要被公共訪問的設備，例如WWW 服務器、FTP 服務器等放置于此。如果將這些服務器放置于外部網(wǎng)絡側他們的安全性無法保障；如果放置于內部網(wǎng)絡，則外部惡意用戶有可能利用某些服務器的安全漏洞攻擊內部網(wǎng)絡。因此，DMZ區(qū)域的出現(xiàn)很好的解決了這些服務器的放置問題。 ③ 受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。④ 本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級100。此外，如認為有必要，用戶也可自行設置新的安全區(qū)域并定義其安全優(yōu)先級別。、網(wǎng)絡和安全區(qū)域的關聯(lián)除了Local區(qū)域以外，在使用其他所有安全區(qū)域時，需要將安全區(qū)域分別與防火的特定接口相關聯(lián)，即將接口加入到安全域。值得注意的是，系統(tǒng)不允許兩個安全區(qū)域具有相同的安全級別；而且同一接口又不允許分屬于兩個不同的安全區(qū)域。具體來說，Trust所屬接口用于連接用戶要保護的網(wǎng)絡；Untrust所屬接口連接外部網(wǎng)絡；DMZ區(qū)所屬接口連接用戶向外部提供服務的部分網(wǎng)絡；從防火墻設備本身發(fā)起的連接即是從Local區(qū)域發(fā)起的連接。相應的所有對防火墻本身的訪問都屬于向Local區(qū)域發(fā)起的訪問連接。 另外安全區(qū)域與各網(wǎng)絡的關聯(lián)遵循一些原則： ①內部網(wǎng)絡應安排在安全級別較高的區(qū)域； ②外部網(wǎng)絡應安排在安全級別最低的區(qū)域； ③一些可對外部提供有條件服務的網(wǎng)絡應安排在安全級別中等的DMZ區(qū)域。 域間的數(shù)據(jù)流方向不同級別的安全區(qū)域間的數(shù)據(jù)流動都將激發(fā)防火墻進行按安全策略的檢測，管理員可以為不同流動方向設置不同的安全策略。域間的數(shù)據(jù)流分兩個方向： l 入方向（inboud）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍籰 出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。內部網(wǎng)絡服務器服務器DMZtrustuntrust防火墻(local)outboundinboundinboundoutboundinboundoutbound圖32在H3C SecPath防火墻上，判斷數(shù)據(jù)傳輸是出方向還是入方向，總是相對高級別的一側而言，即由高級別區(qū)域向低級別區(qū)域的數(shù)據(jù)流動為出方向，由低級別區(qū)域向高級別區(qū)域數(shù)據(jù)流動為入方向。根據(jù)圖32所示，可以得到如下結論： 從DMZ區(qū)到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向； 從Trust區(qū)域到DMZ區(qū)的數(shù)據(jù)流為出方向，反之為入方向；從Trust區(qū)域到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向。注意：路由器數(shù)據(jù)流動方向的判定是以接口為主：由接口發(fā)出的數(shù)據(jù)方向稱為出方向；由接口接收數(shù)據(jù)的方向為入方向。這也是路由器有別于防火墻的重要特征。說明：在防火墻中，當報文從高優(yōu)先級別區(qū)域向低優(yōu)先級別區(qū)域發(fā)起連接時，即從Trust區(qū)域向Untrust區(qū)域和DMZ區(qū)域發(fā)起數(shù)據(jù)連接，或DMZ區(qū)域向Untrust區(qū)域發(fā)起連接時，必須明確配置缺省過濾規(guī)則。 由防火墻本地（Local區(qū)域）發(fā)起或終止的報文不進行狀態(tài)檢測，這類報文的過濾由包過濾機制來完成。3．3安全區(qū)域的基本配置安全區(qū)域基本配置包括1) 創(chuàng)建安全區(qū)域2) 進入安全區(qū)域視圖3) 進入?yún)^(qū)域間視圖4) 為安全區(qū)域添加接口5) 設置安全區(qū)域的優(yōu)先級 6)缺省情況下，系統(tǒng)預先定義了四個安全區(qū)域：Local、Trust、Untrust和DMZ。這些系統(tǒng)定義的安全區(qū)域是不能被刪除的。操作命令創(chuàng)建安全區(qū)域firewall zone name zonename 刪除安全區(qū)域 undo firewall zone name zonename 操作命令進入安全區(qū)域視圖 firewall zone zonename進入某安全區(qū)域視圖的目的：主要是進行添加/刪除接口和設置區(qū)域優(yōu)先級別的操作。操作命令進入?yún)^(qū)域間視圖 firewall interzone zone1 zone2 進入?yún)^(qū)域間視圖的目的：是為了配置區(qū)域間的策略以及作用訪問控制列表？？？？3，3，4為安全區(qū)域添加接口操作命令將接口添加到安全區(qū)域 add interface interfacetype interfacenumber 將接口從安全區(qū)域中刪除 undo add interface interfacetype interfacenumber 缺省情況系，所有接口不屬于任何安全區(qū)域。 一個接口只能屬于一個安全區(qū)域。將接口加入到一個安全區(qū)域中前，這個接口不能已經屬于其他的安全區(qū)域，否則需要先將此接口從其他區(qū)域中刪除。 可以為安全區(qū)域設置一個優(yōu)先級別，優(yōu)先級別值越高，表示此區(qū)域的安全性越高。 此命令在區(qū)域視圖下進行下列配置：操作命令設置安全的優(yōu)先級 set priority number 缺省情況下，Local區(qū)域的優(yōu)先級別為100，Trust區(qū)域的優(yōu)先級別為85，Untrust區(qū)域的優(yōu)先級別為5，DMZ區(qū)域的優(yōu)先級別為50。系統(tǒng)定義的這些區(qū)域的優(yōu)先級別是不能被更改的。3，4 本章小結l 介紹了安全區(qū)域基本概念l 如何完成安全區(qū)域的基本配置 習題① 進入?yún)^(qū)域間視圖主要可進行什么操作？可實現(xiàn)什么功能？第四章 訪問控制列表ACL 課程目標l 了解訪問控制列表基本概念l 掌握ACL的配置方法 ACL原理 ACL是什么為了過濾數(shù)據(jù)包，需要配置一些規(guī)則，規(guī)定什么樣的數(shù)據(jù)包可以通過，什么樣的數(shù)據(jù)包不能通過。這些規(guī)則就是通過訪問控制列表（Access Control List）體現(xiàn)的。訪問控制列表根據(jù)IP報文的協(xié)議號、源地址、目標地址、源端口和目的端口的信息起到過濾數(shù)據(jù)報文的作用。IP報頭TCP/UDP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP/UDP來說，這5個元素組成了一個TCP/UDP相關，訪問控制列表就是利用這些元素定義的規(guī)則圖41用戶需要根據(jù)自己的安全策略來確定訪問控制列表，并將其應用到整機或指定接口上，安全網(wǎng)關就會根據(jù)訪問控制列表來檢查所有接口或指定接口上的所有數(shù)據(jù)包，對于符合規(guī)則的報文作正常轉發(fā)或丟棄處理的動作，從而起到防火墻的作用。訪問控制列表除了用于過濾數(shù)據(jù)報文之外，還可以應用于：l Qos（Quality of Service），對數(shù)據(jù)流量進行控制；l 在DCC中，訪問控制列表還可以規(guī)定觸發(fā)撥號的條件；l 地址轉換；l 在配置路由策略時，可以利用訪問控制列表來作路由信息的過濾。 ACL種類ACL數(shù)字的范圍標明了用途：列表種類數(shù)字標識范圍基本的訪問控制列表 2000～2999高級的訪問控制列表 3000～3999基于接口的訪問控制列表 1000～1999基于MAC的訪問控制列表 4000～4999分類方法是按照訪問控制列表的用途來劃分的。 基本訪問控制列表基本訪問控制列表僅僅是根據(jù)數(shù)據(jù)包的源地址對數(shù)據(jù)包進行區(qū)分。使用源地址信息，做為定義訪問控制列表規(guī)則的元素。?。》阑饓D42 高級訪問控制列表高級訪問控制列表可以使用數(shù)據(jù)包的源地址信息、目的地址信息、IP承載的協(xié)議類型、針對協(xié)議的特性，例如TCP的源端口，ICMP協(xié)議的類型、代碼等內容定義規(guī)則。,，使用TCP協(xié)議，利用HTTP訪問的數(shù)據(jù)包可以通過！防火墻圖43 利用高級訪問控制列表可以定義比基本訪問控制列表更準確、更豐富、更靈活的規(guī)則。 基于接口的訪問控制列表基于接口的訪問控制列表，是一種特殊的訪問控制列表，可以根據(jù)接收或者發(fā)送報文的接口指定規(guī)則。防火墻在8:30 AM~6:00 PM時間段內經過g0/0接口的數(shù)據(jù)包可以通過！圖44 基于MAC的訪問控制列表基于以太網(wǎng)的MAC地址的訪問控制列表，也是一種特殊的訪問控制列表，指定發(fā)送報文的源設備和目標設備建立接口綁定規(guī)則，可以起到防止欺騙的作用。防火墻源MAC為11