【正文】 有可能出現(xiàn)與遠(yuǎn)程連接斷開(kāi)但是console無(wú)法操作的情況，處理方法： 等待超時(shí) ctrl+k 內(nèi)部資料，注意保密 90 常見(jiàn)問(wèn)題（七） Q： NAT轉(zhuǎn)換常見(jiàn)問(wèn)題 Eudmeon200做 NATserver時(shí)候是使用訪問(wèn)列表方式運(yùn)行外網(wǎng)（ untrust區(qū)域）訪問(wèn)內(nèi)網(wǎng)的 server（ trust區(qū)域），這個(gè)時(shí)候訪問(wèn)列表使用的地址是NATSERVER公網(wǎng)地址還是私網(wǎng)地址呢？ 私網(wǎng)地址。 Eudemon100去掉 NAT功能，做路由器時(shí)使用可視電話正常。 風(fēng)扇、電源的狀態(tài)可以通過(guò) display device命令查看。 內(nèi)部資料，注意保密 75 第一章 防火墻技術(shù)簡(jiǎn)介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 第四章 防火墻升級(jí)指導(dǎo) 第五章 防火墻故障處理指導(dǎo) 內(nèi)部資料，注意保密 76 升級(jí)方法 ? E200升級(jí)方法 ? 比較簡(jiǎn)單，大包中包含大 Bootrom，直接升級(jí)大包即解決問(wèn)題 ? 老命令行 E100升級(jí)方法 ? 應(yīng)對(duì) E100問(wèn)題，出新命令行升級(jí)版本 0315 ? 首先要升級(jí)小 Bootrom ? 然后升級(jí)為防火墻 Bootrom ? 最后下載防火墻新軟件 ? 可以支持軟件升級(jí)，不用更換硬件 ? 命令行變化，訪問(wèn)列表變化 內(nèi)部資料，注意保密 77 第一章 防火墻技術(shù)簡(jiǎn)介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 第四章 防火墻升級(jí)指導(dǎo) 第五章 防火墻故障處理指導(dǎo) 內(nèi)部資料，注意保密 78 使用注意事項(xiàng)（一） ? 推薦配置 ? 管理網(wǎng)口性能高，推薦作為主要業(yè)務(wù)口 ? 打開(kāi)快轉(zhuǎn)（ D013之前，之后缺省打開(kāi)） ? 接口模式設(shè)置為百兆、全雙工，不要協(xié)商 ? ACL條目較多，使用 ACL加速算法 ? 不使能 ftp服務(wù)器（黑名單現(xiàn)在無(wú)法防范） ? 盡可能使用路由模式 ? TCP相關(guān)會(huì)話老化時(shí)間設(shè)置長(zhǎng)一些默認(rèn) 40： fire sess agingtime ? 可以使能黑名單，防止非法登錄防火墻 內(nèi)部資料，注意保密 79 使用注意事項(xiàng)（二） ? 功能限制 ? 目前版本盡量避免使用動(dòng)態(tài)路由， D10SP1 ? 目前不支持同一個(gè)報(bào)文在同一個(gè)接口上下，組網(wǎng)需要避免 ? 隧道 L2tp、 GRE等，最低版本 D10SP1 ? 避免開(kāi)放流日志（日志服務(wù)器未發(fā)布、 D013） ? 系統(tǒng)統(tǒng)計(jì)不要關(guān)閉 ? 攻防模塊日志較多，沒(méi)有必要不要打開(kāi)，防止 log沒(méi)有有效信息 內(nèi)部資料，注意保密 80 故障收集信息（一） ? display diagnosticinformation ? display arp ? display firewall session table ? display fib/display ip routingtable 內(nèi)部資料，注意保密 81 故障收集信息（二） ? debug ip packet ? disp acl ? display firewall session table v ? disp arp ? display fib/display ip routingtable ? debugging nat { alg | event | packet } ? display diagnosticinformation 內(nèi)部資料，注意保密 82 常見(jiàn)問(wèn)題（一） Q：報(bào)文不轉(zhuǎn)發(fā)。 ? 配置主設(shè)備： 發(fā)送配置備份內(nèi)容的防火墻 ? 配置從設(shè)備： 接收配置備份內(nèi)容的防火墻 ? 只有 VRRP管理組中狀態(tài)為 Master的防火墻才有機(jī)會(huì)成為配置主設(shè)備。同一 VRRP管理組可以包含多個(gè)備份組，但是相同備份組不能隸屬多個(gè) VRRP管理組。 ? 兩個(gè)防火墻上各 VRRP管理組之間的隸屬關(guān)系 ? 兩個(gè)防火墻上的管理組編號(hào)、構(gòu)成必須完全一樣。 內(nèi)部資料，注意保密 66 IDS聯(lián)動(dòng) 1 2 3 4 IDS 服務(wù)器 提供基于應(yīng)用層的過(guò)濾 內(nèi)部資料，注意保密 67 IDS聯(lián)動(dòng)配置舉例 Trust 區(qū)管理服務(wù)器EudemonPC內(nèi)部 LAN 網(wǎng)絡(luò)Untrust 區(qū)RouterIDS 探測(cè)器PCIDS服務(wù)器外部網(wǎng)絡(luò)（ Inter ）內(nèi)部資料，注意保密 68 第三章 防火墻原理與特性 第 1節(jié) 安全區(qū)域 第 2節(jié) 工作模式 第 3節(jié) 安全防范 第 4節(jié) VRRP amp。因此， Eudemon防火墻開(kāi)放了相關(guān)接口，通過(guò)與其它安全軟件進(jìn)行聯(lián)動(dòng)，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。端口識(shí)別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護(hù)一張系統(tǒng)定義（ systemdefined）和用戶定義（ userdefined）的端口識(shí)別表。從而形成有效的保護(hù)，是避免 IP地址假冒攻擊的一種方式。因此，黑名單是防火墻一個(gè)重要的安全特性。 ? ASPF對(duì)應(yīng)用層的協(xié)議信息進(jìn)行檢測(cè)，通過(guò)維護(hù)會(huì)話的狀態(tài)和檢查會(huì)話報(bào)文的協(xié)議和端口號(hào)等信息，阻止惡意的入侵。 ? 增加規(guī)則要重新下發(fā)：系統(tǒng)視圖下 acl accelerate enable ? 基于 MAC地址的訪問(wèn)控制列表不支持 ACL加速查找功能 Rule 1 Rule 2 Rule 3 ACL 規(guī)則庫(kù) 內(nèi)部資料，注意保密 38 防火墻的安全防范 ? ACL ? 安全策略 ? NAT ? 攻擊防范 ? IDS聯(lián)動(dòng) 內(nèi)部資料，注意保密 39 ASPF ? ASPF（ Application Specific Packet Filter）是針對(duì)應(yīng)用層的包過(guò)濾，即基于狀態(tài)的報(bào)文過(guò)濾。 內(nèi)部資料，注意保密 35 第三章 防火墻原理與特性 第 1節(jié) 安全區(qū)域 第 2節(jié) 工作模式 第 3節(jié) 安全防范 第 4節(jié) VRRP amp。 ? 透明模式可以配置系統(tǒng) IP。在確定域間之后，安全模塊的內(nèi)部仍然使用報(bào)文的 IP地址進(jìn)行各種安全策略的匹配。報(bào)文在防火墻內(nèi)首先通過(guò)入接口信息找到進(jìn)入域信息，然后通過(guò)查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個(gè)域確定域間關(guān)系，然后使用配置在這個(gè)域間關(guān)系上的安全策略進(jìn)行各種操作。 內(nèi)部資料，注意保密 27 防火墻的安全區(qū)域（四） ? 域間的數(shù)據(jù)流分兩個(gè)方向： ? 入方向（ inbound）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较颍? ? 出方向（ outbound）：數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颉? ? 受信區(qū)（ Trust）：較高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為 85。 除了支持通常 TCP/UDP/ICMP狀態(tài)檢測(cè)以外，可以支持 、 RTSP、 MGCP、 SIP等復(fù)雜協(xié)議狀態(tài)檢測(cè)和 ALG，可支持多網(wǎng)合一。分 4組 8個(gè)小風(fēng)扇，溫度智能檢測(cè)，溫度自動(dòng)調(diào)控，風(fēng)扇支持熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。 通信專用電源，適用范圍廣，電源支持 1+1備份，可熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。 ? Eudemon 500/1000防火墻采用網(wǎng)絡(luò)處理器技術(shù)，高性能、可擴(kuò)展性兼顧。 內(nèi)部資料，注意保密 16 Eudemon 500/1000：基于 NP的集中式多業(yè)務(wù)路由器 Eudemon 500/1000 ：基于 NP邏輯結(jié)構(gòu) ? 全模塊化、基于 NP硬件集中式轉(zhuǎn)發(fā)、電信級(jí)可靠性； ? TCP、 UDP首包都是 NP進(jìn)行處理，保證了每秒新建連接 100,000條 /秒，充分保證網(wǎng)絡(luò)安全性。這個(gè)指標(biāo)越大，狀態(tài)備份能力越強(qiáng)。每個(gè)會(huì)話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。因網(wǎng)絡(luò)流量大部分是 200字節(jié)報(bào)文，因此需要考察防火墻 小包轉(zhuǎn)發(fā)下性能 。 ? 檢查端口號(hào)確認(rèn)連接為控制連接， 建立返回報(bào)文的臨時(shí) ACL和狀態(tài)表。在狀態(tài)防火墻中，會(huì)維護(hù)著一個(gè) Session表項(xiàng)，通過(guò)Session表項(xiàng)就可以決定哪些連接是合法訪問(wèn)，哪些是非法訪問(wèn)。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。代表產(chǎn)品有華為公司的Eudemon 500/1000產(chǎn)品。代表產(chǎn)品有華為公司的 Eudemon 200產(chǎn)品、 NetScreen 204等防火墻產(chǎn)品。從外觀上面看，該種防火墻是一個(gè)硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說(shuō)沒(méi)有本質(zhì)區(qū)別。 一般是直接安裝在 PC上的一套軟件，基于 PC提供基本的安全防護(hù)，此時(shí)防火墻基本上就是一個(gè)應(yīng)用軟件。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。 ? 代理型防火墻（ application gateway） 代理型防火墻使得防火墻做為一個(gè)訪問(wèn)的中間節(jié)點(diǎn)，對(duì) Client來(lái)說(shuō)防火墻是一個(gè) Server，對(duì) Server來(lái)說(shuō)防火墻是一個(gè) Client。華為版權(quán)所有，未經(jīng)許可不得擴(kuò)散 防火墻產(chǎn)品與維護(hù) ISSUE 內(nèi)部資料，注意保密 1 學(xué)習(xí)目標(biāo) 學(xué)習(xí)完本課程，您應(yīng)該能夠： ? 了解 Eudemon產(chǎn)品工作原理 ? 了解 Eudemon產(chǎn)品規(guī)格和特性 ? 掌握 Eudemon產(chǎn)品典型組網(wǎng)及配置 ? 掌握 Eudemon產(chǎn)品維護(hù)方法 內(nèi)部資料，注意保密 2 第一章 防火墻技術(shù)簡(jiǎn)介 第二章 防火墻體系結(jié)構(gòu) 第三章 防火墻原理與特性 第四章 防