【文章內(nèi)容簡(jiǎn)介】 ewall defend teardrop enable232。 原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報(bào)文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報(bào)文報(bào)文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報(bào)文分片報(bào)文攻擊原理及防范（二）lPing of death232。 特征：特征： ping報(bào)文全長(zhǎng)超過報(bào)文全長(zhǎng)超過 65535232。 目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)232。 配置：配置： firewall defend pingofdeath enable232。 原理：檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過原理：檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過65535，丟棄該分片，丟棄該分片拒絕服務(wù)攻擊原理及防范（一）lSYN Flood232。 特征：向受害主機(jī)發(fā)送大量特征：向受害主機(jī)發(fā)送大量 TCP連接請(qǐng)求報(bào)文連接請(qǐng)求報(bào)文232。 目的：使被攻擊設(shè)備消耗掉所有處理能力，無(wú)法響應(yīng)正常用戶的目的：使被攻擊設(shè)備消耗掉所有處理能力，無(wú)法響應(yīng)正常用戶的請(qǐng)求請(qǐng)求232。 配置：配置：232。 statistic enable ip inzone232。 firewall defend synflood [ ip | zone zonename] [maxnumber num] [maxrate num] [ tcpproxy auto|on|off]232。 firewall defend synflood enable232。 原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè) IP地址收到的連接請(qǐng)求進(jìn)地址收到的連接請(qǐng)求進(jìn)行代理，代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求，如果收到請(qǐng)求者的行代理，代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求，如果收到請(qǐng)求者的 ACK報(bào)報(bào)文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會(huì)話文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會(huì)話拒絕服務(wù)攻擊原理及防范（二）lUDP/ICMP Flood232。 特征：向受害主機(jī)發(fā)送大量特征：向受害主機(jī)發(fā)送大量 UDP/ICMP報(bào)文報(bào)文232。 目的：使被攻擊設(shè)備消耗掉所有處理能力目的：使被攻擊設(shè)備消耗掉所有處理能力232。 配置：配置：232。 statistic enable ip inzone232。 firewall defend udp/icmpflood [ ip | zone zonename] [maxrate num] 232。 firewall defend udp/icmpflood enable232。 原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè) IP地址收到的報(bào)文速率，地址收到的報(bào)文速率，超過設(shè)定的閾值上限，進(jìn)行超過設(shè)定的閾值上限，進(jìn)行 car掃描攻擊原理和防范（一）lIP sweep232。 特征：地址掃描，向一個(gè)網(wǎng)段內(nèi)的特征：地址掃描，向一個(gè)網(wǎng)段內(nèi)的 IP地址發(fā)送報(bào)文地址發(fā)送報(bào)文 nmap232。 目的：用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息，為后目的：用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備續(xù)攻擊作準(zhǔn)備232。 配置：配置：232。 Statistic enable ip outzone232。 Firewall defend ipsweep [ maxrate num ] [blacklisttimeout num]232。 原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè) IP地址向外連地址向外連接速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)接速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè) IP地址添地址添加到黑名單中進(jìn)行隔離加到黑名單中進(jìn)行隔離232。 注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單掃描攻擊原理和防范（二）lPort scan232。 特征：相同一個(gè)特征：相同一個(gè) IP地址的不同端口發(fā)起連接地址的不同端口發(fā)起連接232。 目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備232。 配置：配置：232。 Statistic enable ip outzone232。 Firewall defend portscan [maxrate num] [blacklisttimeout num]232。 原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè) IP地址向同一地址向同一個(gè)個(gè) IP地址發(fā)起連接的速率，如果這個(gè)速率超過了閾值上限，則可地址發(fā)起連接的速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)以將這個(gè) IP地址添加到黑名單中進(jìn)行隔離地址添加到黑名單中進(jìn)行隔離232。 注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單防火墻防范的其他報(bào)文lIcmp redirectlIcmp unreachablelLarge icmplRoute recordlTime stampltracert防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動(dòng)IDS聯(lián)動(dòng)l 由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對(duì)眾多的協(xié)議細(xì)節(jié)進(jìn)行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點(diǎn)，難以對(duì)內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進(jìn)行有效的檢查和防范。因此， Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進(jìn)行聯(lián)動(dòng)，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的 IDS（ Intrusion Detective System，攻擊檢測(cè)系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對(duì)網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個(gè)報(bào)文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定 IDS系統(tǒng)和配置情況決定。IDS聯(lián)動(dòng)1234IDS 服務(wù)器提供基于應(yīng)用層的過濾IDS聯(lián)動(dòng)配置舉例防火墻原理與特性 1. 安全區(qū)域2. 工作模式3. 安全防范4. VRRP HRP華為產(chǎn)品維護(hù)資料 72VRRP和 VGMP（一）1. 傳統(tǒng) VRRP備份組2. 在防火墻上應(yīng)用的問題（多個(gè)組主備不一致）3. Vrrp Group Management Protocol1. 狀態(tài)一致性（組內(nèi) vrrp同步變換狀態(tài)）2. 搶占管理（屏蔽 vrrp搶占）3. 通道管理（ data， transonly）l 兩個(gè)防火墻上各接口之間的隸屬關(guān)系 l 兩個(gè)防火墻上的接口和安全區(qū)域的連接必須嚴(yán)格一一對(duì)應(yīng)，包括接口插槽、類型、編號(hào)、相關(guān)配置等（ IP地址除外）。l 兩個(gè)防火墻上各 VRRP備份組之間的隸屬關(guān)系 l 兩個(gè)防火墻上的備份組編號(hào)、構(gòu)成必須完全一樣。這就是說 EudemonA上的 A1接口隸屬備份組 1， A2接口隸屬備份組 2， A3接口隸屬備份組 3；則 EudemonB上的 B B2和B3接口也必須分別隸屬備份組 2和 3。 l 兩個(gè)防火墻上各 VRRP管理組之間的隸屬關(guān)系 l 兩個(gè)防火墻上的管理組編號(hào)、構(gòu)成必須完全一樣。這就是說 EudemonA上的管理組包括備份組 2和 3，則 EudemonB上的同樣編號(hào)的管理組也必須包含備份組 2和 3。 l 同一防火墻上接口、備份組、管理組之間的隸屬關(guān)系 l 同一防火墻（例如 EudemonA）上，一個(gè)物理接口可以隸屬多個(gè) VRRP備份組。一個(gè)備份組中能包含多個(gè)物理接口，對(duì)應(yīng)多個(gè)虛擬 IP地址。同一 VRRP管理組可以包含多個(gè)備份組，但是相同備份組不能隸屬多個(gè) VRRP管理組。 l VRRP備份組提供的備份功能是相對(duì)于安全區(qū)域而言的，即每個(gè)安全區(qū)域?qū)?yīng)一個(gè)備份組；而 VRRP管理組實(shí)現(xiàn)了各 VRRP狀態(tài)的一致性，是相對(duì)于 Eudemon防火墻而言的，在每個(gè)防火墻上都定義至少一個(gè) VRRP管理組，負(fù)責(zé)管理該 Eudemon防火墻與各安全區(qū)域相關(guān)的備份組 VRRP和 VGMP（二）l VRRP的配置任務(wù)l (無(wú) ◆ 符號(hào)，表示該配置僅適用于未加入管理組的備份組 )l 配置備份組的虛擬 IP地址 ◆l 配置備份組的優(yōu)先級(jí) ◆l 配置備份組的搶占方式和延遲時(shí)間l 配置備份組的認(rèn)證方式和認(rèn)證字 ◆l 配置備份組的定時(shí)器 ◆l 配置監(jiān)視指定接口 l VRRP管理組的配置包括： l 創(chuàng)建 VRRP管理組l 使能 VRRP管理組功能l 配置向 VRRP管理組添加備份組l 配置 VRRP管理組優(yōu)先級(jí)l 配置 VRRP管理組搶占功能l 配置 VRRP管理組 Hello報(bào)文的發(fā)送間隔l 配置 VRRP管理組的報(bào)文群發(fā)標(biāo)志 VRRP和 VGMP（三）VGMPl HRP（ Huawei Redundancy Protocol）。232。 HRP協(xié)議是承載在 VGMP報(bào)文上進(jìn)行傳輸?shù)模?Master和 Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息l 配置主備l 當(dāng)采用負(fù)載分擔(dān)方式時(shí)，網(wǎng)絡(luò)中存在兩臺(tái) Master防火墻。為了避免備份時(shí)混亂， Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念。232。 配置主設(shè)備： 發(fā)送配置備份內(nèi)容的防火墻232。 配置從設(shè)備： 接收配置備份內(nèi)容的防火墻232。 只有 VRRP管理組中狀態(tài)為 Master的防火墻才有機(jī)會(huì)成為配置主設(shè)備。232。 在負(fù)載分擔(dān)方式下，參與雙機(jī)熱備份的兩臺(tái) Eudemon防火墻都是 Master，此時(shí)則按照 VRRP組優(yōu)先級(jí)、接口真實(shí) IP地址從大到小的順序選擇配置主設(shè)備。HRPHRP/VGMP/VRRP關(guān)系當(dāng) VRRP管理組狀態(tài)變化時(shí)，系統(tǒng)將通知 HRP狀態(tài)和配置主 /從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺(tái)防火墻之間配置命令和會(huì)話狀態(tài)信息得到及時(shí)備份。同時(shí)， VRRP管理組狀態(tài)也要受 HRP狀態(tài)影響，即 VRRP會(huì)根據(jù) HRP狀態(tài)切換的結(jié)果來(lái)調(diào)整優(yōu)先級(jí)，并進(jìn)行 VRRP狀態(tài)切換。 第一章 Eudemon防火墻培訓(xùn)1. 防火墻技術(shù)簡(jiǎn)介2. 防火墻體系結(jié)構(gòu)3. 防火墻原理與特性4. 防火墻升級(jí)指導(dǎo)5. 防火墻故障處理指導(dǎo)華為產(chǎn)品維護(hù)資料 79升級(jí)方法l E200升級(jí)方法232。 比較簡(jiǎn)單，大包中包含大 Bootrom，直接升級(jí)大包即解決問題l 老命令行 E100升級(jí)方法232。 應(yīng)對(duì) E100問題，出新命令行升級(jí)版本 0315232。 首先要升級(jí)小 Bootrom232。 然后升級(jí)為防火墻 Bootrom232。 最后下載防火墻新軟件232。 可以支持軟件升級(jí)，不用更換硬件232。 命令行變化，訪問列表變化第一章 Eudemon防火墻培訓(xùn)1. 防火墻技術(shù)簡(jiǎn)介2. 防火墻體系結(jié)構(gòu)3. 防火墻原理與特性4. 防火墻升級(jí)指導(dǎo)5. 防火墻故障處理指導(dǎo)華為產(chǎn)品維護(hù)資料 81使用注意事項(xiàng)（一）l 推薦配置 232。 管理網(wǎng)口性能高，推薦作為主要業(yè)務(wù)口232。 打開快轉(zhuǎn)（ D013之前，之后缺省打開）232。 接口模式設(shè)置為百兆、全雙工，不要協(xié)商232。 ACL條目較多，使用 ACL加速算法232。 不使能 ftp服務(wù)器（黑名單現(xiàn)在無(wú)法防范）232。 盡可能使用路由模式232。 TCP相關(guān)會(huì)話老化時(shí)間設(shè)置長(zhǎng)一些默認(rèn) 40： fire sess agingtime 232。 可以使能黑名單，防止非法登錄防火墻使用注意事項(xiàng)（二）l 功能限制232。 目前版本盡量避免使用動(dòng)態(tài)路由， D10SP1232。 目前不支持同一個(gè)報(bào)文在同一個(gè)接口上下，組網(wǎng)需要避免232。 隧道 L2tp、 GRE等，最低版本 D10SP1232。 避免開放流日志（日志服務(wù)器未發(fā)布、 D013）232。 系統(tǒng)統(tǒng)計(jì)不要關(guān)閉232。 攻防模塊日志較多，沒有必要不要打開，防止 log沒有有效信息故障收集信息（一）l display diagnosticinformationl display arpl display firewall session tablel display fib/display ip routingtable debug ip packet disp acl display firewall session table v disp arp display fib/display ip routingtable debugging nat { alg | event | packet } display diagnosticinformation故障收集信息（二）Q：報(bào)文不轉(zhuǎn)發(fā)。接口是否加入?yún)^(qū)域防火墻是否進(jìn)行了限制是否同一個(gè)接口進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)（注意其版本）常見問題（一）Q： Eudemon200告警燈亮的問題。告警燈對(duì)那些進(jìn)行告警：rpu的 alarm燈對(duì)溫度、風(fēng)扇、電源異常進(jìn)行告警。如果 fan、 pwr pwr2的告警燈亮了， rpu的告警燈也會(huì)亮就是說電源模塊自己的告警可以反映到主控板 pwr告警燈上，主控板 pwr告警可以反映到 rpu告警燈上。風(fēng)扇、電源的狀態(tài)可以通過 display device命令查看。 常見情況：Eudmeon200有兩路電源，如果一開始就只有一路電源折不會(huì)產(chǎn)生告警如果一開始有兩路電源，但是后來(lái)拔掉一路電源，則告警燈會(huì)亮如果有兩路電源，但是有一路沒有開，告警燈會(huì)亮告警產(chǎn)生后的查看命令：bxtt_E200di