【正文】 化、復(fù)雜化，軟交換位于公網(wǎng)，如何發(fā)展企業(yè)/駐地等私網(wǎng)用戶？問題 2運(yùn)營商自建 IP城域網(wǎng)，規(guī)模放號如何解決 IP地址緊缺問題？問題 3NGN采用專網(wǎng)搭建，軟交換設(shè)置私有地址域，終端如何注冊到軟交換？從需求根源中我們會遇到的各種問題l 私網(wǎng)穿越問題l 私網(wǎng)終端管理問題l IP超市 /集團(tuán)用戶業(yè)務(wù)開展問題l QOS問題l 帶寬、業(yè)務(wù)盜用問題l 軟交換安全問題私網(wǎng)穿越問題SoftxNAT FirewallNGN終端NGN專網(wǎng)企業(yè)網(wǎng) 企業(yè)網(wǎng)NGN終端終端側(cè)采用私網(wǎng)地址SoftSwitch側(cè)采用私網(wǎng)地址需要解決私網(wǎng)地址環(huán)境下 基本視頻、語音功能 ：216。有可能出現(xiàn)與遠(yuǎn)程連接斷開但是 console無法操作的情況，處理方法：等待超時 ctrl+k 常見問題（六）Q： NAT轉(zhuǎn)換常見問題Eudmeon200做 NATserver時候是使用訪問列表方式運(yùn)行外網(wǎng)（ untrust區(qū)域）訪問內(nèi)網(wǎng)的 server（ trust區(qū)域），這個時候訪問列表使用的地址是NATSERVER公網(wǎng)地址還是私網(wǎng)地址呢？私網(wǎng)地址。正確的匹配算法是應(yīng)該先匹配remote名和域名都相同的 l2tp Group組，如果不存在則匹配 remote名相同的 l2tp Group組，如果還不存在則看 l2tp Group 1是否配置了 remote名，如果沒有配置則匹配 l2tp Group 1如果配置了則返回匹配失敗，用戶將不能登錄。 Eudemon100去掉 NAT功能，做路由器時使用可視電話正常。常見問題（二）續(xù)Q：關(guān)于主板接口的使用問題。風(fēng)扇、電源的狀態(tài)可以通過 display device命令查看。告警燈對那些進(jìn)行告警：rpu的 alarm燈對溫度、風(fēng)扇、電源異常進(jìn)行告警。 攻防模塊日志較多，沒有必要不要打開，防止 log沒有有效信息故障收集信息（一）l display diagnosticinformationl display arpl display firewall session tablel display fib/display ip routingtable debug ip packet disp acl display firewall session table v disp arp display fib/display ip routingtable debugging nat { alg | event | packet } display diagnosticinformation故障收集信息（二）Q：報文不轉(zhuǎn)發(fā)。 避免開放流日志（日志服務(wù)器未發(fā)布、 D013）232。 目前不支持同一個報文在同一個接口上下，組網(wǎng)需要避免232。 可以使能黑名單，防止非法登錄防火墻使用注意事項(xiàng)（二）l 功能限制232。 盡可能使用路由模式232。 ACL條目較多，使用 ACL加速算法232。 打開快轉(zhuǎn)（ D013之前，之后缺省打開）232。 命令行變化，訪問列表變化第一章 Eudemon防火墻培訓(xùn)1. 防火墻技術(shù)簡介2. 防火墻體系結(jié)構(gòu)3. 防火墻原理與特性4. 防火墻升級指導(dǎo)5. 防火墻故障處理指導(dǎo)華為產(chǎn)品維護(hù)資料 81使用注意事項(xiàng)（一）l 推薦配置 232。 最后下載防火墻新軟件232。 首先要升級小 Bootrom232。 比較簡單，大包中包含大 Bootrom，直接升級大包即解決問題l 老命令行 E100升級方法232。同時， VRRP管理組狀態(tài)也要受 HRP狀態(tài)影響，即 VRRP會根據(jù) HRP狀態(tài)切換的結(jié)果來調(diào)整優(yōu)先級，并進(jìn)行 VRRP狀態(tài)切換。 在負(fù)載分擔(dān)方式下，參與雙機(jī)熱備份的兩臺 Eudemon防火墻都是 Master，此時則按照 VRRP組優(yōu)先級、接口真實(shí) IP地址從大到小的順序選擇配置主設(shè)備。 只有 VRRP管理組中狀態(tài)為 Master的防火墻才有機(jī)會成為配置主設(shè)備。 配置主設(shè)備： 發(fā)送配置備份內(nèi)容的防火墻232。為了避免備份時混亂， Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念。232。同一 VRRP管理組可以包含多個備份組，但是相同備份組不能隸屬多個 VRRP管理組。 l 同一防火墻上接口、備份組、管理組之間的隸屬關(guān)系 l 同一防火墻（例如 EudemonA）上，一個物理接口可以隸屬多個 VRRP備份組。 l 兩個防火墻上各 VRRP管理組之間的隸屬關(guān)系 l 兩個防火墻上的管理組編號、構(gòu)成必須完全一樣。l 兩個防火墻上各 VRRP備份組之間的隸屬關(guān)系 l 兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。具體采取的措施由用戶使用的特定 IDS系統(tǒng)和配置情況決定。網(wǎng)絡(luò)中的 IDS（ Intrusion Detective System，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視。 注意：如果要啟用黑名單隔離功能，需要先啟動黑名單注意：如果要啟用黑名單隔離功能，需要先啟動黑名單防火墻防范的其他報文lIcmp redirectlIcmp unreachablelLarge icmplRoute recordlTime stampltracert防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動IDS聯(lián)動l 由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協(xié)議細(xì)節(jié)進(jìn)行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點(diǎn)，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進(jìn)行有效的檢查和防范。 Firewall defend portscan [maxrate num] [blacklisttimeout num]232。 配置：配置：232。 特征：相同一個特征：相同一個 IP地址的不同端口發(fā)起連接地址的不同端口發(fā)起連接232。 原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個原理：防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計，檢查某個 IP地址向外連地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個接速率，如果這個速率超過了閾值上限，則可以將這個 IP地址添地址添加到黑名單中進(jìn)行隔離加到黑名單中進(jìn)行隔離232。 Statistic enable ip outzone232。 目的：用以判斷是否存在活動的主機(jī)以及主機(jī)類型等信息，為后目的：用以判斷是否存在活動的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備續(xù)攻擊作準(zhǔn)備232。 原理：防火墻基于目的地址統(tǒng)計對每個原理：防火墻基于目的地址統(tǒng)計對每個 IP地址收到的報文速率，地址收到的報文速率，超過設(shè)定的閾值上限，進(jìn)行超過設(shè)定的閾值上限，進(jìn)行 car掃描攻擊原理和防范（一）lIP sweep232。 firewall defend udp/icmpflood [ ip | zone zonename] [maxrate num] 232。 配置：配置：232。 特征：向受害主機(jī)發(fā)送大量特征：向受害主機(jī)發(fā)送大量 UDP/ICMP報文報文232。 firewall defend synflood enable232。 statistic enable ip inzone232。 目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求請求232。 原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片，丟棄該分片拒絕服務(wù)攻擊原理及防范（一）lSYN Flood232。 目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)232。 原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報文報文的偏移量，一點(diǎn)發(fā)生重疊，丟棄報文分片報文攻擊原理及防范（二）lPing of death232。 目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報文通過重組繞過防目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報文通過重組繞過防火墻訪問內(nèi)部端口火墻訪問內(nèi)部端口232。 原理：丟棄符合上述特征報文原理：丟棄符合上述特征報文分片報文攻擊原理及防范（一）lTear drop232。 目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)232。 原理：丟棄符合上述特征報文原理：丟棄符合上述特征報文單包攻擊原理及防范（七）lIpfrag232。 目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)232。 原理：丟棄符合特征的報文原理：丟棄符合特征的報文單包攻擊原理及防范（六）lWinnuke232。 目的：使被攻擊主機(jī)因處理錯誤死機(jī)目的：使被攻擊主機(jī)因處理錯誤死機(jī)232。比如同特征：報文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。 原理：丟棄目的地址為廣播地址的報文原理：丟棄目的地址為廣播地址的報文單包攻擊原理及防范（五）lTCP flag232。 目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒232。 防范原理：對符合上述特征的報文丟棄防范原理：對符合上述特征的報文丟棄單包攻擊原理及防范（四）lSmurf232。 目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報文，通常用在目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報文，通常用在 syn flood攻擊中攻擊中232。 原理：對源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報文進(jìn)入接口不是本原理：對源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報文進(jìn)入接口不是本機(jī)所認(rèn)為的這個機(jī)所認(rèn)為的這個 IP地址的出接口，丟棄報文地址的出接口，丟棄報文單包攻擊原理及防范（三）lLand232。 目的：偽造目的：偽造 IP地址發(fā)送報文地址發(fā)送報文232。 原理：過濾原理：過濾 UDP類型的目的端口號為類型的目的端口號為 7或或 19的報文的報文單包攻擊原理及防范（二）lIP Spoof232。 如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占滿滿232。 Character Generator服務(wù)會回復(fù)無效的字符串服務(wù)會回復(fù)無效的字符串232。 特征：特征： UDP報文，目的端口報文，目的端口 7（（ echo）或）或 19（（ Character Generator））232。 IP sweep232。 SYN Flood232。 Tear Drop232。 Winnuke232。 Smurf232。 Ip spoof232。防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動防火墻數(shù)據(jù)報安全匹配的順序NAT服務(wù)器域間的 ACL規(guī)則域間的 ASPF域間的 NAT域間的缺省規(guī)則數(shù)據(jù)報防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動攻擊類型簡介（一）l單報文攻擊232。端口識別提供了一些機(jī)制來維護(hù)和使用用戶定義的端口配置信息。注意其要點(diǎn)l 端口識別簡介應(yīng)用層協(xié)議一般使用通用的端口號（知名端口號）進(jìn)行通信。對于聲稱從這個 IP發(fā)送的的報文，如果其 MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個 IP地址的報文，在通過防火墻時將被強(qiáng)制發(fā)送給這個 MAC地址。 firewall blacklist filtertype { icmp | tcp | udp | others } [ range { blacklist | global } ]黑名單配置舉例（一）l 服務(wù)器和客戶機(jī)分別位于防火墻 Trust區(qū)域和 Untrust區(qū)域中，現(xiàn)要在100分鐘內(nèi)過濾掉客戶機(jī)發(fā)送的所有 ICMP報文。 [undo] firewall blacklist item souraddr [ timeout minutes ]l 黑名單的使能232。因此，黑名單是防火墻一個重要的安全特性。同基于ACL的包過濾功能相比，由于黑名單進(jìn)行匹配的域非常簡單，可以以很高的速度實(shí)現(xiàn)報文的過濾，從而有效地將特定 IP地址發(fā)送來的報文屏蔽。lASPF對應(yīng)用層的協(xié)議信息進(jìn)行檢測，通過維護(hù)會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。 ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。l 增加規(guī)則要重新下發(fā)：系統(tǒng)視圖下 acl accelerate enable l 基于 MAC地址的訪問控制列表不支持 ACL加速查找功能 Rule 1Rule 2Rule 3ACL 規(guī)則庫 防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動ASPFlASPF（ Application Specific Packet Filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。 ACL加速查找功能是一種能大大提高訪問控制列表查找性能的技術(shù)。雙機(jī)熱備份所依賴的 VRRP需要在接口上配置 IP地址，而透明模式無法實(shí)現(xiàn)這一點(diǎn)。防火墻的三種工作模式（四）l 混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。透明模式的防火墻支持 ACL規(guī)則檢查、 ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。lEudemon防火墻與網(wǎng)橋存在不同， Eudemon防火墻中 IP報文還需要送到上層進(jìn)行相關(guān)過濾等處理，通過檢查會話表或 ACL規(guī)則以確定是否允許該報文通過。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。防火墻的三種工作模