【正文】 黑名單列表表項(xiàng)的來源防火墻圖55① 手動添加：Firewall blacklist i。，后面來的數(shù)據(jù)包不能通過！防火墻圖54黑名單最主要的一個特色是可以由防火墻動態(tài)地進(jìn)行添加和刪除，當(dāng)防火墻中根據(jù)報(bào)文的行為特征察覺到特定的IP地址攻擊企圖后，主動修改黑名單列表，從而將該IP地址發(fā)送的報(bào)文過濾掉。 黑名單原理 黑名單原理介紹 黑名單指根據(jù)報(bào)文的源地址進(jìn)行過濾的一種方式。操作命令配置通用TCP協(xié)議檢測 detect tcp [ agingtime seconds ] 配置通用UDP協(xié)議檢測 detect udp [ agingtime seconds ] 刪除通用TCP協(xié)議檢測 undo detect tcp 刪除通用UDP協(xié)議檢測 undo detect udp 在接口上應(yīng)用ASPF策略操作命令在接口上應(yīng)用ASPF策略 firewall aspf aspfpolicynumber { inbound | outbound } 刪除該接口上應(yīng)用的ASPF策略 undo firewall aspf aspfpolicynumber { inbound | outbound } 由于ASPF對于應(yīng)用層協(xié)議狀態(tài)的保存和維護(hù)都是基于接口的。 定義ASPF策略之配置應(yīng)用層檢測操作命令配置應(yīng)用協(xié)議檢測 detect protocol [ agingtime seconds ] 刪除配置的應(yīng)用協(xié)議檢測 undo detect protocol 定義ASPF策略之配置通用TCP和UDP檢測在不配置應(yīng)用層檢測，直接配置TCP或UDP檢測的情況下，可能會產(chǎn)生部分報(bào)文無法返回的情況，建議應(yīng)用層檢測和TCP UDP檢測配合使用。 定義ASPF策略之創(chuàng)建ASPF策略操作命令創(chuàng)建一個ASPF策略 aspfpolicy aspfpolicynumber 刪除創(chuàng)建一個ASPF策略 undo aspfpolicy aspfpolicynumberaspfpolicynumber 為ASPF策略號，范圍為199 定義ASPF策略之配置空閑超時(shí)值操作命令配置空閑超時(shí)值 agingtime { syn | fin | tcp | udp } seconds 恢復(fù)默認(rèn)的空閑超時(shí)值 undo agingtime { syn | fin | tcp | udp } TCP的SYN狀態(tài)等待超時(shí)值、FIN狀態(tài)等待超時(shí)值，TCP和UDP會話表項(xiàng)空閑狀態(tài)超時(shí)值。單通道協(xié)議檢測比較簡單，當(dāng)發(fā)起連接時(shí)建立TACL，刪除時(shí)隨之刪除TACL即可。l 對于返回報(bào)文，根據(jù)協(xié)議類型做相應(yīng)匹配檢查，檢查將根據(jù)相應(yīng)協(xié)議的狀態(tài)表和TACL決定報(bào)文是否允許通過。 ASPF檢測多通道應(yīng)用層協(xié)議基本原理FTP屬于多通道協(xié)議，F(xiàn)TP連接的建立過程描述如下，參見圖53：假設(shè)FTP clients 以1333端口向FTP Server 的21端口發(fā)起FTP控制通道的連接，通過協(xié)商決定由Server端的20端口向client 端的1600端口發(fā)起數(shù)據(jù)通道的連接，數(shù)據(jù)傳輸超時(shí)或結(jié)束后連接刪除。臨時(shí)訪問控制列表TACL的表項(xiàng)在創(chuàng)建狀態(tài)表項(xiàng)的時(shí)候一并創(chuàng)建，會話結(jié)束后刪除，它相當(dāng)于一個擴(kuò)展的ACL的permit項(xiàng)。當(dāng)在安全網(wǎng)關(guān)上配置了應(yīng)用層協(xié)議檢測后，ASPF可以檢測每一個應(yīng)用層的會話，并創(chuàng)建一個狀態(tài)表和一個臨時(shí)的訪問控制表TACL。 ASPF檢測應(yīng)用層協(xié)議基本原理Client AServer被保護(hù)的網(wǎng)絡(luò)用戶A初始化一個會話用戶A的會話返回報(bào)文被允許通過其他會話的報(bào)文被阻斷圖52為了保護(hù)內(nèi)部網(wǎng)絡(luò),一般情況下需要在防火墻上配置靜態(tài)訪問控制列表，以便允許內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)，同時(shí)拒絕外部網(wǎng)絡(luò)的主機(jī)訪問內(nèi)部網(wǎng)絡(luò)。l 內(nèi)部接口和外部接口 如果防火墻連接了內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)，防火墻通過ASPF部署來保護(hù)內(nèi)部網(wǎng)絡(luò)的服務(wù)器，則安全網(wǎng)關(guān)上于內(nèi)部鏈接的接口就是內(nèi)部接口，與互聯(lián)網(wǎng)連接的接口就是外部接口。l 單通道協(xié)議/多通道協(xié)議① 單通道協(xié)議：從會話建立到刪除的全過程中，只有一個通道參與數(shù)據(jù)交互：SMTP HTTP。例如。例如將8080端口映射為HTTP協(xié)議，這樣所有目標(biāo)端口是8080的TCP報(bào)文被認(rèn)為是HTTP報(bào)文。端口映射提供了一些機(jī)制來維護(hù)和使用用戶定義的端口配置信息。[Quidwayaspfpolicy1]detect javablocking ? (在HTTP的檢測視圖下實(shí)現(xiàn)） INTEGER20002999 基本訪問控制列表號碼 activexblocking 應(yīng)用ActiveX阻斷 agingtime 設(shè)定非活動狀態(tài)的超時(shí)值 crl 端口映射PAM應(yīng)用層協(xié)議使用通用的端口號進(jìn)行通信。當(dāng)配置了Java Blocking時(shí)，用戶對視圖在web頁面中獲取包含Java applet的程序而發(fā)送的請求指令將會被ASPF阻斷過濾。因此對于FTP，在不配置應(yīng)用層檢測而直接配置TCP檢測的情況下會導(dǎo)致數(shù)據(jù)通道無法建立. ASPF 部署功能的基本概念l Java Blocking由于惡意applet會對用戶的計(jì)算機(jī)系統(tǒng)資源的造成破壞，因而需要限制未經(jīng)用戶允許的Java applet下載至用戶的網(wǎng)絡(luò)中。需要注意的是，應(yīng)用層協(xié)議檢測優(yōu)先于傳輸層協(xié)議檢測。 傳輸層協(xié)議檢測基本原理：傳輸層協(xié)議檢測是指通用TCP/UDP檢測。它獨(dú)立于訪問控制列表，在創(chuàng)建會話狀態(tài)表項(xiàng)的時(shí)候同時(shí)創(chuàng)建，會話結(jié)束后刪除。因此，與傳統(tǒng)包過濾防火墻的靜態(tài)過濾相比，ASPF考慮到會話的上下文信息，具有更好的靈活性和安全性。會話狀態(tài)表在檢測到第一個外發(fā)報(bào)文時(shí)創(chuàng)建，即通過第一個SYN包建立。 會話狀態(tài)表的概念：一個會話可以被認(rèn)為是一個TCP連接。通過會話狀態(tài)表與臨時(shí)訪問控制表的共同配合，對流經(jīng)路由器特定接口的報(bào)文的各個連接狀態(tài)因素加以識別判定。ASPF主要提供如下功能：l 能夠檢查應(yīng)用層協(xié)議信息l 能夠檢測傳輸層協(xié)議信息l Java Blocking（Java阻斷）l DoS（Denial of Service，拒絕服務(wù)）的檢測和防范 l ActiveX Blocking（ActiveX阻斷） l 支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口 l 增強(qiáng)的會話日志功能 ASPF能夠支持一個控制連接上存在多個數(shù)據(jù)連接，監(jiān)聽每一個應(yīng)用的每一個連接所使用的端口，打開合適的通道讓會話中的數(shù)據(jù)出入防火墻，在會話結(jié)束時(shí)則關(guān)閉該通道，從而對使用動態(tài)端口的應(yīng)用實(shí)現(xiàn)有效的訪問控制。 ASPF介紹ASPF (Application Specific Packet Filter)是針對應(yīng)用層及傳輸層的包過濾，既基于狀態(tài)的報(bào)文過濾。為避免內(nèi)部網(wǎng)絡(luò)遭受外部的攻擊，包過濾防火墻只能阻止固定端口的應(yīng)用，因而存在安全隱患。操作命令顯示接口的有關(guān)防火墻的統(tǒng)計(jì)信息 display firewall packetfilter statistics { all | interface type number | fragmentsinspect } 顯示分片表 display firewall fragment 打開防火墻包過濾調(diào)試信息開關(guān) debugging firewall packetfilter { all | denied | permitted | icmp | tcp | udp | fragmentsinspect | others } [ interface type number ] 關(guān)閉防火墻包過濾調(diào)試信息開關(guān) undo debugging packetfilter firewall { all | denied | permitted | icmp | tcp | udp | fragmentsinspect | others } [ interface type number ] 清除包過濾防火墻的統(tǒng)計(jì)信息 reset firewall packetfilter statistics { all | interface type number } ASPF原理介紹ACL能夠解決所有問題嗎？許多應(yīng)用層協(xié)議，如Telnet、SMTP等都是使用標(biāo)準(zhǔn)的知名端口地址進(jìn)行通信，但是大部分多媒體應(yīng)用協(xié)議（）及FTP等協(xié)議先使用約定的端口來初始化一個控制連接，然后再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。 包過濾防火墻的顯示與調(diào)試在所有視圖下執(zhí)行display命令可以顯示包過濾防火墻的運(yùn)行情況，查看顯示的信息可以驗(yàn)證配置的效果。l matchfragments參數(shù)僅能應(yīng)用于高級訪問控制列表。標(biāo)準(zhǔn)匹配即三層信息的匹配，匹配將忽略三層以外的信息；精確匹配規(guī)則對所有的高級ACL的過濾規(guī)則進(jìn)行匹配，這就要求防火墻必須記錄首片分片報(bào)文的狀態(tài)已獲得完整的后續(xù)分片的匹配信息。l 基于接口的訪問控制列表（即序號為1000到1999的ACL）只能用參數(shù)outbound。 在接口上應(yīng)用訪問控制列表此命令在接口視圖下進(jìn)行配置：操作命令指定接口上過濾接收報(bào)文的規(guī)則 firewall packetfilter aclnumber { inbound | outbound } [ matchfragments { normally | exactly } ] 取消接口上過濾接收報(bào)文的規(guī)則 undo firewall packetfilter aclnumber { inbound | outbound } 注意事項(xiàng)：l 將訪問規(guī)則應(yīng)用到接口上時(shí)，同時(shí)會遵循時(shí)間段過濾規(guī)則。當(dāng)記錄狀態(tài)數(shù)達(dá)到上限時(shí)，將刪除最先保存的狀態(tài)項(xiàng)直至下限值。 缺省的上限（high）分片狀態(tài)記錄數(shù)目為2000；下限（low）分片狀態(tài)記錄數(shù)目為1500.操作命令指定上、下限分片狀態(tài)記錄數(shù)目 firewall packetfilter fragmentsinspect { high | low } { default | number } 恢復(fù)上限分片狀態(tài)記錄數(shù)目為缺省值 undo firewall packetfilter fragmentsinspect { high | low } 如果打開分片檢測開關(guān)，應(yīng)用精確匹配過濾后，包過濾的執(zhí)行效率會略微降低，配置的匹配項(xiàng)目越多，效率降低越多。此命令在系統(tǒng)視圖下進(jìn)行配置：操作命令打開分片報(bào)文檢測firewall packetfilter fragmentsinspect 關(guān)閉分片報(bào)文檢測 undo firewall packetfilter fragmentsinspect 只有打開了分片報(bào)文檢測開關(guān)，精確匹配模式才能真正有效。公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處防火墻圖51包過濾防火墻配置包括1) 允許或禁止防火墻2) 設(shè)置防火墻缺省過濾方式3) 設(shè)置包過濾防火墻分片報(bào)文檢測開關(guān)4) 配置分片報(bào)文檢測的上、下門限值5) 在接口上應(yīng)用訪問控制列表 操作命令允許防火墻firewall packetfilter enable (缺省)禁止防火墻 undo firewall packetfilter enable 此命令在系統(tǒng)視圖下進(jìn)行下配置，系統(tǒng)缺省防火墻為允許。實(shí)現(xiàn)包過濾的核心技術(shù)就是使用訪問控制列表（ACL）。第三條命令在用戶視圖下執(zhí)行。在同一個名字下可以配置多個時(shí)間段，這些時(shí)間段是“或”邏輯關(guān)系。怎樣利用 IP 地址 和 反掩碼wildcardmask 來表示一個網(wǎng)段?反掩碼和IP地址結(jié)合使用，可以描述一個地址范圍。IP 地址與反掩碼的關(guān)系語法規(guī)定如下：在反掩碼中相應(yīng)位為1 的地址中的位在比較中被忽略，為0 的必須被檢查。l matchorder auto 指定按照深度優(yōu)先的規(guī)則匹配規(guī)則； 如何使用反掩碼反掩碼的作用和子網(wǎng)掩碼很相似。l matchorder confug 指定按照用戶的配置順序匹配規(guī)則（為缺省規(guī)則），用戶一旦指定某一條訪問規(guī)則列表的匹配順序就不能更改該順序了。對于不同的ACL，規(guī)則是不一樣的。安全網(wǎng)關(guān)的提示符為：[ＳecPathacladvanced3000]。l Acl number aclnumber [matchorder ｛confug | auto｝命令可以創(chuàng)建一個訪問控制列表；創(chuàng)建了一個訪問控制列表之后，將進(jìn)入ACL視圖，ACL視圖是按照訪問控制列表的用途來分類的。[SecPath] acl number 2000 matchorder config[SecPathaclbasic2000] ? 使用問號顯示如下ACL列表的操作命令： Aclbasic view mands: display Display current system information ping Ping function