【文章內(nèi)容簡介】 就是說，如果在啟動 ACL加速查找之后，再次修改 ACL規(guī)則，那么這個修改時不能反映在當(dāng)前已經(jīng)形成的快速查找?guī)熘?。因此，我們在實現(xiàn)的時候，做了如下處理：如果在 ACL加速查找啟動之后再次修改 ACL規(guī)則，那么對于修改過的 ACL規(guī)則，我們將不使用加速查找的方式，轉(zhuǎn)而使用傳統(tǒng)的線性遍歷的搜索方式，對這個規(guī)則組的查找速度會變慢。一個規(guī)則組是否使用加速查找方式進行查找，可以通過命令行 display acl accelerate顯示。 下面是此命令的顯示信息 ACL accelerate is enabled NOTE : UTD means Up To Date, OOD means Out Of Date ACL groups marked with ACCELERATE UTD will use fast search, others will use usual method. ACL group : ID ACCELERATE STATUS 【轉(zhuǎn)自 】 Eudemon 200防火墻操作指導(dǎo) 1 ACCELERATE OOD 10 ACCELERATE UTD 100 UNACCELERATE UTD 如提示信息所說明，只 有標(biāo)記為 Accelerate UTD的第 10號規(guī)則組才會使用加速查找方式搜索，其他兩個規(guī)則組都只能使用線性搜索方式查找。 報文過濾規(guī)則的應(yīng)用每條 ACL規(guī)則雖然跟隨了一個 permit/deny的動作，但是并不能直接對報文起到控制作用，只有使用 packetfilter 命令將這個規(guī)則組應(yīng)用到防火墻的域間，才能依據(jù)配置的規(guī)則對報文進行分類、過濾。 路由器的報文過濾規(guī)則是應(yīng)用在接口下面的，每個接口都可以在一入一出兩個方向上各配置一個 ACL規(guī)則組，分別對進入接口和離開接口的報文進行過濾。防火墻在域間的每 個方向上也可以配置一個規(guī)則組，分別針對從防火墻內(nèi)部發(fā)起的連接和外部發(fā)起的連接。這兩者看起來好像是一樣的，但實際上有著本質(zhì)的不同，路由器是基于單個報文的過濾，并沒有狀態(tài)的概念，在設(shè)計正反兩個 ACL 規(guī)則組的時候必須通盤考慮才能使一個應(yīng)用正常通過。而防火墻是基于狀態(tài)檢測的設(shè)備，我們關(guān)心的方向是流的發(fā)起方向，用戶要考慮的只是允不允許這個流出去，允不允許另一個流進來，至于這個流出去之后交互返回的報文能否通過防火墻，完全不需要用戶考慮。單此一點就極大地簡化了用戶部署安全策略的麻煩，是用戶專注于應(yīng)用的考慮，減少了網(wǎng)絡(luò)安全 漏洞。 舉例來說，用戶希望允許受保護的 IP 地址 訪問位于外部網(wǎng)絡(luò)的 FTP 服務(wù)器，同時希望內(nèi)部的 WWW服務(wù)器 可以為外部的所有用戶提供服務(wù)，那么在原有的路由器上，用戶需要配置這樣的 ACL規(guī)則組： [Router] acl name out advanced [Routeracladvout] rule permit tcp source 0 destination 0 destinationport eq 21 —— 允許內(nèi)網(wǎng)主機發(fā)起 FTP 連接 [Routeracladvout] rule permit tcp source 0 sourceport gt 1024 destination 0 —— 允許內(nèi)網(wǎng)主機的 FTP 數(shù)據(jù)通道報文出去 [Routeracladvout] rule permit tcp source 0 sourceport eq 80 —— 允許 WWW服務(wù) 器的報文出去 [Routeracladvout] rule deny ip —— 禁止其他報文的通過 [Router] acl name in advanced [Routeracladvin] rule permit tcp destination 0 destinationport eq 80 —— 允許外部主機訪問內(nèi)部 服務(wù)器 [Routeracladvin] rule permit tcp source 0 sourceport 21 destination destinationport gt 1024 —— 允許外部 ftp服務(wù)器同內(nèi)部的控制通道交互報文進入 [Routeracladvin] rule permit tcp source 0 sourceport gt 1024 destination —— 允許外部 ftp主機的數(shù)據(jù)通道報文進入 [Routeracladvin] rule deny ip —— 禁止其他 報文的通過 然后，用戶需要選擇將這兩個規(guī)則應(yīng)用到路由器哪個接口上，同時還要注意在相對應(yīng)的接口上設(shè)置缺省動作為允許，還要使能防火墻功能。這還僅僅是配置兩個接口下互通的情況，如果路由器上組網(wǎng)復(fù)雜，有多個接口通信，不能簡單地在接口上配置允許的缺省動作的話，那么配置一個相對安全的規(guī)則組還要考慮更多的東西。 然而，在我們的防火墻上，配置上述安全策略就簡單得多，假設(shè)用戶的內(nèi)部網(wǎng)絡(luò)位于防火墻的受信域，外部網(wǎng)絡(luò)位于非受信域，那么： [Eudemon] acl name out advanced [Eudemonacladvout] rule permit tcp source 0 destination 0 destinationport eq 21 [Eudemonacladvout] rule deny ip [Eudemon] acl name in advanced [Eudemonacladvin] rule permit tcp destination 0 destinationport eq 80 [Eudemonacladvin] rule deny ip [Eudemon] firewall interzone trust untrust [Eudemoninterzonetrustuntrust] detect ftp —— 進行 ftp協(xié)議的應(yīng)用層解析 [Eudemoninterzonetrustuntrust] packetfilter in inbound [Eudemoninterzonetrustuntrust] packetfilter out outbound 如上就完成全部所需配置和應(yīng)用。 防火墻缺省動作當(dāng)報文通過的域間沒有配置 ACL規(guī)則，或者在所配置的 ACL規(guī)則組中沒有找到符合的規(guī)則時，對于報文的處理就要靠防火墻設(shè)定在這個域間的缺省動作來決定了。在路由器上，防火墻的缺省動作只有一個全局 的變量，決定了對沒有規(guī)則的報文是允許通過還是丟棄。但是在防火墻上，每個域間的每個方向都可以分別指定其缺省動作，在系統(tǒng)初始配置時，所有域間所有方向上的缺省動作都是丟棄。 NAT 的相關(guān)配置 NAT 配置的異同 NAT功能是防火墻上又一個主推的功能，在目前的網(wǎng)絡(luò)應(yīng)用狀況下，基本上每個將防火墻作為網(wǎng)關(guān)的組網(wǎng)情況下都會涉及到 NAT功能的使用， NAT 功能的配置同路由器下基本保持了一致，主要的不同有以下幾點： NAT Server命令變?yōu)槿峙渲? NAT outbound命令的引用位置由接口下改變到了域間 在使用 easy ip的時候，命令行所指定的出接口必須處于該域間安全級別比較低的一側(cè)。因此如果一個接口處于防火墻安全級別最高的域中，是不能使用這個接口做 esay ip功能的 NAT ALG命令 NAT 和 ASPF都有 ALG命令的設(shè)置，二者有些協(xié)議是重合的，有些又有不同。原因是這樣的，在 VRP軟件上面，原有的 NAT 和 ASPF分別有自己的解碼函數(shù)，各自實現(xiàn)了獨立的 ALG處理，因此產(chǎn)生了兩套設(shè)置命令。在防火墻上，為了提高處理的性能，NAT 和 ASPF 共用了一套解碼函數(shù)，但是對于解碼后的處理函數(shù)是相對獨立的（ NAT 要分配地址 /ASPF要判斷狀態(tài)機是否正確）。因此，仍然是保留了兩組 ALG開關(guān)命令。對于兩種功能都需要操作的狀態(tài)機，以部署在域間的 ASPF命令為主， ASPF的命令控制了是否對協(xié)議進行解碼， NAT 的 ALG 命令控制了是否根據(jù)解碼結(jié)果進行 NAT 處理。如果 ASPF 的控制命令沒有啟動，即使設(shè)置了 NAT的 ALG命令也是不能激活相關(guān)功能的。缺省狀態(tài)下，所有 ASPF ALG函數(shù)的開關(guān)命令都是關(guān)閉狀態(tài)的， NAT ALG函數(shù)的開關(guān)命令都是打開狀態(tài)的。一般的使用中，可以不用理會 NAT 的設(shè)置命令，單獨使用 ASPF 的命令就可以起到 控制的作用。 統(tǒng)計功能 統(tǒng)計功能的特殊概念在統(tǒng)計功能中，在域模式下使能的命令都包含一個 inzone/outzone的參數(shù)。這個參數(shù)的含義指的是從其他域進入這個域以及從這個域流出到其它域。假設(shè)接口 eth0屬于受信域，且是受信域的唯一接口，那么要統(tǒng)計從這個接口接收到的發(fā)送給其他接口的信息，需要在受信域配置 statistic enable ip outzone，如果要統(tǒng)計其它接口發(fā)送來的要從這個接口流出防火墻的信息則需要配置 statistic enable ip inzone。這點在初次配置的時 候不容易理解，需要注意。 統(tǒng)計的注意事項防火墻的統(tǒng)計信息是整個防火墻進行攻擊防范和表項處理所依據(jù)的基礎(chǔ)，因此某些基礎(chǔ)數(shù)據(jù)是不允許清除的。在使用 reset firewall statistic system命令的時候，像當(dāng)前表項等統(tǒng)計數(shù)據(jù)并不會被清除，只有在使用 reset firewall session table命令清除所有表項的時候，這些統(tǒng)計信息才會清零，需要注意。 統(tǒng)計功能目前分配的用于統(tǒng)計 IP 的表項數(shù)目有限，而這些表項又是攻擊防范功能的基礎(chǔ)數(shù)據(jù)的來源，因此一旦這些資源耗盡，相應(yīng)的攻擊防范 功能也不會起作用了。在配置 statistic enable ip inzone/outzone命令的時候，務(wù)必要根據(jù)實際需要，結(jié)合前面說明的 inzone/outzone的含義指定。不要為了省事，對所有的域都既使能 inzone的統(tǒng)計，又使能 outzone的統(tǒng)計。這樣會將有限的表項無謂的消耗掉，反而無法防范真正的攻擊。 雙機熱備 雙機簡介在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對網(wǎng)絡(luò)可靠性的要求越來越高，在很多組網(wǎng)中都需要提供一臺冗余設(shè)備進行備份，如下圖所示： 目前的防火墻解決方案中提供兩種雙機熱備的方式： 1）基于純 VRRP的備份； 2）基于 HRP（ Huawei Redundancy Protocol華為公司冗余協(xié)議）的備份，以下簡要介紹一下這兩種雙機備份 基于純 VRRP 的備份在這種雙機熱備的方式，兩臺防火墻通過 VRRP 協(xié)議來監(jiān)視彼此的狀態(tài)，在備用防火墻檢測到主防火墻 Down的時候，便會把自己變成組，不過由于沒有添加額外的協(xié)議和處理，這種方式不能備份狀態(tài)數(shù)據(jù)。因此發(fā)生狀態(tài)切換的時候已有的會話表項會丟失導(dǎo)致連接中斷，這種方式還有存在一個因為由于狀態(tài)防火墻而導(dǎo)致的問題，因為狀態(tài)防火墻，會建立會話表并要求 后續(xù)報文在命中會話表的基礎(chǔ)上才能透過防火墻，這就意味著，來去的報文都必須通過同一個防火墻，這就要求在雙機熱備的環(huán)境中防火墻的所有接口（針對同一應(yīng)用的所有接口）上的 VRRP 都應(yīng)該處于同一狀態(tài)，要么都是主、要么都是備。但是 VRRP協(xié)議本身不能保證狀態(tài)的一致性，這樣在狀態(tài)失序的時候便會影響到我們的應(yīng)用。目前規(guī)避的辦法是在配置 VRRP 的時候保證一臺上的 VRRP 的優(yōu)先級高于另外一臺，并使能搶占，這樣在可以規(guī)避狀態(tài)不一致的問題。在實際應(yīng)用中，這種雙機備份方式簡單，防火墻的系統(tǒng)負載小，可以應(yīng)用于一些對連接保持要求不高的環(huán) 境。 基于 HRP的備份為了解決純 VRRP 的雙機備份方案中的不足（不能進行狀態(tài)備份、不能維護 VRRP 的狀態(tài)一致性），推出了基于 HRP 的解決方案，該方案采用 VRRP 協(xié)議檢測接口狀態(tài)、用 VGMP（ VRRP Group Management Protocol—— VRRP組管理協(xié)議）協(xié)議來維護 VRRP狀態(tài)的一致性，并用 HRP協(xié)議來進行防火墻狀態(tài)數(shù)據(jù)的實時備份。其配置步驟如下： 在接口上配置好 VRRP用于監(jiān)視接口狀態(tài)，接口模式下輸入命令： vrrp vrid id virtualip ipaddr。 并配置好相關(guān)屬性 把需要管理的 vrrp加入到 vgmp中，在系統(tǒng)視圖下輸入 vrrp group id 則進入 vgmp的配置模式，在 vgmp的配置模式下輸入命令： add interface Ether 0/0/0 vrid id,則將該 vrrp加入到了 vgmp中，配置好其他屬性并使能該 vgmp 使能 hrp功能，在系統(tǒng)視圖下輸入命令： hrp enable 這樣一個基于 hrp的雙機熱備便配置完成了。 雙機熱備的注意事項 純 vrrp 備份的應(yīng)用中，如果出現(xiàn)了狀態(tài)不一致的情況需要手工調(diào) 整，以保證 vrrp的狀態(tài)一致性； 在配置 vgmp 的時候，配置好了 vgmp 時還需要單獨使能該 vgmp 才可以應(yīng)用，這是和 vrrp配置不一致的地方，一定要注意； 在純 vrrp備份的應(yīng)用中，也可以配置 vgmp管理來維護 vrrp的一致性，不必使能 hrp，不過需要注意的是無論是 hrp還是 vgmp協(xié)議都是華為的私有協(xié)議，其中