【文章內(nèi)容簡介】 ntrustDMZether0/0/0ether1/0/0ether2/0/0內(nèi)部網(wǎng)絡HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第三章 防火墻原理與特性 第 1節(jié) 安全區(qū)域 第 2節(jié) 工作模式 第 3節(jié) 安全防范 第 4節(jié) VRRP HRP HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的三種工作模式（一） ? 路由模式 ? 透明模式 ? 混合模式 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的三種工作模式（二） ? 可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關。 ? 報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關系，然后使用配置在這個域間關系上的安全策略進行各種操作。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的三種工作模式（三） ? 透明模式的防火墻簡單理解可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配 IP地址，整個設備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡中的其他設備，防火墻是透明的。 ? Eudemon防火墻與網(wǎng)橋存在不同， Eudemon防火墻中 IP報文還需要送到上層進行相關過濾等處理，通過檢查會話表或 ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持 ACL規(guī)則檢查、 ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。 ? 透明模式可以配置系統(tǒng) IP。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的三種工作模式（四） ? 混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。 提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題 。雙機熱備份所依賴的 VRRP需要在接口上配置 IP地址，而透明模式無法實現(xiàn)這一點。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 第三章 防火墻原理與特性 第 1節(jié) 安全區(qū)域 第 2節(jié) 工作模式 第 3節(jié) 安全防范 第 4節(jié) VRRP HRP HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的安全防范 ? ACL（參考 ACL原理） ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的安全防范 ? ACL ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential ASPF ? ASPF（ Application Specific Packet Filter）是針對應用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡的安全策略。 ASPF能夠檢測試圖通過防火墻的應用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。 ? 為保護網(wǎng)絡安全，基于 ACL規(guī)則的包過濾可以在網(wǎng)絡層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。 ? ASPF對應用層的協(xié)議信息進行檢測，通過維護會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 黑名單（一） ? 黑名單，指根據(jù)報文的源 IP地址進行過濾的一種方式。同基于 ACL的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定 IP地址發(fā)送來的報文屏蔽。 ? 黑名單最主要的一個特色是可以由 Eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據(jù)報文的行為特征察覺到特定 IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該 IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 黑名單（二） ? 黑名單的創(chuàng)建 ?[firewall] firewall blacklist item souraddr [ timeout minutes ] ? 黑名單的使能 ?[firewall] firewall blacklist enable ? 黑名單的報文過濾類型和范圍的設置 ?firewall blacklist filtertype { icmp | tcp | udp | others } [ range { blacklist | global } ] HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 其它 ? MAC和 IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定的 IP地址和 MAC地址之間形成關聯(lián)關系。對于聲稱從這個 IP發(fā)送的的報文，如果其 MAC地址不是指定關系對中的地址，防火墻將予以丟棄，發(fā)送給這個 IP地址的報文，在通過防火墻時將被強制發(fā)送給這個 MAC地址。從而形成有效的保護，是 避免 IP地址假冒攻擊 的一種方式。 ? 端口識別簡介 應用層協(xié)議一般使用通用的端口號（知名端口號）進行通信。端口識別允許用戶針對不同的應用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機制來維護和使用用戶定義的端口配置信息。端口識別能夠對不同的應用協(xié)議創(chuàng)建和維護一張系統(tǒng)定義（ systemdefined）和用戶定義（ userdefined）的端口識別表。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的安全防范 ? ACL ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 防火墻的安全防范 ? ACL ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 攻擊類型簡介 ? 單報文攻擊 ? Fraggle ? Ip spoof ? Land ? Smurf ? 分片報文攻擊 ? Tear Drop ? Ping of death ? 拒絕服務類攻擊 ? SYN Flood ? UDP Flood ICMP Flood ? 掃描 ? IP sweep ? Port scan HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 單包攻擊原理及防范（一） ? Fraggle ?原理： UDP端口 7（ echo）和 19（ Character Generator）在收到 UDP報文后都會產(chǎn)生回應 ? UDP端口 7收到報文后會象 ICMP Echo Reply一樣回應收到的內(nèi)容； ? UDP的 19號端口在收到報文后，會產(chǎn)生一串字符流 ； ?攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導致受害者被回應報文泛濫攻擊 ?如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡帶寬被占滿 ?配置： firewall defend fraggle enable ?原理：過濾 UDP類型的目的端口號為 7或 19的報文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 單包攻擊原理及防范（二） ? IP Spoof ?特征：地址偽冒 ?目的：偽造 IP地址發(fā)送報文 ?配置： firewall defend ipspoofing enable ?原理：對源地址進行路由表查找，如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個 IP地址的出接口，丟棄報文 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 單包攻擊原理及防范（三） ? Land ?原理把 TCP的 SYN包的源地址和目的地址都設置為目標計算機的 IP地址。這將導致目標計算機向它自己發(fā)送 SYNACK報文，目標計算機又向自己發(fā)回 ACK報文并創(chuàng)建一個空連接 ?配置： firewall defend land enable ?防范原理：對符合上