【正文】 專業(yè)防火墻設(shè)備，可以作為中小型企業(yè)的出口防火墻設(shè)備，也可以作為大中型企業(yè)的內(nèi)部防火墻設(shè)備使用。l 支持10GE接口/最大支持20個GE；l 具備交換機級別的延時；l 每秒鐘新建5W的連接；l 1 Gbps的Ddos防護性能；l 2 Gbpsd的IPSec加密性能；l 10 Gbps 防火墻吞吐率 (見注1) l 100W并發(fā)連接，每秒鐘新建5W連接；注1： 吞吐量（Throughput）——設(shè)備在一定時間內(nèi)（一般120秒），不丟幀情況下轉(zhuǎn)發(fā)某一幀長數(shù)據(jù)所能達到的最大速率。 F1000E防火墻圖22H3C SecPath F1000E防火墻設(shè)備,全方位為大中型企業(yè)網(wǎng)絡(luò)的安全提供了高性價比的解決方案。產(chǎn)品的劃分主要依據(jù)應(yīng)用場合的不同，價值也不同。SecPath F1000E/F1000A/F100E/F100A/F100C提供完善的安全防范體系，可以提供安全訪問限制/內(nèi)網(wǎng)安全防范措施。對于內(nèi)網(wǎng)防范，更是當(dāng)今網(wǎng)絡(luò)安全的主流。通過各種攻擊軟件，只要具有一般計算機知識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。Internet日志緩沖監(jiān)控終端控制臺日志主機SecPath圖17主要對以下日志內(nèi)容進行審計：NAT/ASPF 日志、攻擊防范日志、流浪監(jiān)控日志、黑名單日志、地址綁定日志、郵件過濾日志和網(wǎng)址/內(nèi)容過濾日志日志格式可以分為： Syslog（系統(tǒng)日志）文本形式日志（可讀性較強）和二進制日志。 利用 協(xié)議過濾功能，可以營造企業(yè)、政府機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全、綠色的上網(wǎng)環(huán)境。關(guān)鍵字過濾支持模糊查找，即允許向過濾關(guān)鍵字文件中添加帶 “ * “的關(guān)鍵字。另外，利用Web內(nèi)容過濾功能，通過指定過濾網(wǎng)頁的文本關(guān)鍵字，可以保證用戶指定內(nèi)容的信息不會進入內(nèi)部網(wǎng)絡(luò)。網(wǎng)址過濾文件中的過濾列表的格式為： 、 、 可以制定每條網(wǎng)址是禁止訪問還是允許訪問，并可以指定在網(wǎng)址過濾列表中沒有找到的網(wǎng)址采取何種缺省動作（允許還是禁止），從而為用戶提供最大的控制靈活性。SecPath防火墻提供的HTTP協(xié)議過濾功能提供了對HTTP網(wǎng)址過濾和網(wǎng)頁內(nèi)容過濾，可以有效的管理員工上網(wǎng)的行為，提高工作的效率，節(jié)約出口帶寬，保障正常的數(shù)據(jù)流量，屏蔽各種”垃圾“信息，從而保證內(nèi)部網(wǎng)絡(luò)的”綠色環(huán)境“。但是互聯(lián)網(wǎng)上各種信息泛濫，如何有效的保證員工上網(wǎng)，又可以防止不良信息進入內(nèi)部網(wǎng)絡(luò)是管理員必須解決的問題。認(rèn)證形式可以為:：l PPPOE認(rèn)證：一般用于內(nèi)網(wǎng)訪問外部的控制，需要客戶端，認(rèn)證通過后則可以訪問外網(wǎng)l L2TP認(rèn)證：主要用于VPN應(yīng)用，外部移動辦公用戶在接入到內(nèi)部網(wǎng)絡(luò)需要經(jīng)過認(rèn)證。如何確認(rèn)訪問者的真實身份？如何解決訪問者的物理身份和數(shù)字身份的一致性問題？如何實現(xiàn)通信過程中信息的安全傳輸？這是大部分擁有網(wǎng)絡(luò)的企業(yè)一直期望解決的問題。層出不窮的網(wǎng)絡(luò)犯罪，引起了人們對網(wǎng)絡(luò)身份的信任危機，如何證明“我是誰？”及如何防止身份冒用等問題成為人們關(guān)注的焦點。還支持對HTTP中Activex/JavaAppelt進行過濾隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來越多的人們開始嘗試在線交易。aspf能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進行監(jiān)控。aspf能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。（ASPF）aspf（application specific packet filter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。防火墻WEB服務(wù)器 → ← 圖13防火墻同路由器一樣，必須具備NAT地址轉(zhuǎn)換功能，因此在NAT的細(xì)節(jié)上必須具備：1) 支持NAT/PAT，支持地址池；2) 支持策略NAT，根據(jù)不同的策略進行不同的NAT；3) 支持NAT server 模式，可以向外映射內(nèi)部服務(wù)器；4) 提供端口級別的NAT server 模式，可以將服務(wù)器的端口映射為外部的一個端口，不開放服務(wù)器的所有端口，增加服務(wù)器的安全性。(NAT)3) 針對畸形報文的防范通過一些畸形報文，如果超大的ICMP報文，非法的分片報文，TCP標(biāo)志混亂的報文等，可能會造成比較驗證的危害，防火墻應(yīng)該可以識別出這些報文。Tear drop類的攻擊利用UDP包重組時重疊偏移(假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移,而且算上第二片IP包的Data,也未超過第一片的尾部,這就是重疊現(xiàn)象。land 攻擊是一種使用相同的源和目的主機和端口發(fā)送數(shù)據(jù)包到某臺機器的攻擊?！八{(lán)色炸彈”實際上是一個帶外傳輸網(wǎng)絡(luò)數(shù)據(jù)包,其中包括操作系統(tǒng)無法處理的信息。2) 防止常見網(wǎng)絡(luò)層攻擊行為防火墻一般應(yīng)該支持對IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見的網(wǎng)絡(luò)攻擊行為，主動發(fā)現(xiàn)丟棄報文。圖中用語言描述了防火墻所實現(xiàn)的網(wǎng)絡(luò)隔離和訪問控制的功能。防火墻通常使用ACL訪問控制列表、ASPF應(yīng)用層狀態(tài)檢測包過濾的方法來實現(xiàn)訪問控制的目的。2) 受信區(qū)域：一般指的是內(nèi)網(wǎng)區(qū)域，這個區(qū)域是可控的。防火墻的主要作用是實現(xiàn)網(wǎng)絡(luò)隔離和訪問控制。6) 內(nèi)容過濾：能夠過濾掉內(nèi)部網(wǎng)絡(luò)對非法網(wǎng)站/色情網(wǎng)站的訪問，以及阻止通過郵件發(fā)送機密文件所造成的泄密行為。5) 身份認(rèn)證：可以確保資源不會被未授權(quán)的用戶（也可以稱為非法用戶）或以授權(quán)方式（非法權(quán)限）使用。3) 地址轉(zhuǎn)換：在解決網(wǎng)絡(luò)地址不足的前提下實現(xiàn)對外的網(wǎng)絡(luò)訪問，同時能夠?qū)崿F(xiàn)對外隱藏內(nèi)部網(wǎng)絡(luò)地址和專用服務(wù)器。針對網(wǎng)絡(luò)存在的各種安全隱患，防火墻必須具有如下安全特性：1) 網(wǎng)絡(luò)隔離及訪問控制：能夠有效防止對外公開的服務(wù)器被黑客用于控制內(nèi)網(wǎng)的一個跳板。 保護和外部進行數(shù)據(jù)交換的安全l 網(wǎng)絡(luò)安全技術(shù)需要不斷地完善和更新作為負(fù)責(zé)網(wǎng)絡(luò)安全的管理人員主要關(guān)注（并不局限于）以下8個方面：1) 保護網(wǎng)絡(luò)物理線路不會輕易遭受攻擊2) 有效識別合法的和非法的用戶（AAA）3) 實現(xiàn)有效的訪問控制（ACL）4) 保證內(nèi)部網(wǎng)絡(luò)的隱蔽性（NAT）5) 有效的防偽手段，重要的數(shù)據(jù)重點保護（VPN）6) 對網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾恚ǚ阑饓泄芾恚?) 病毒防范（蠕蟲病毒智能防范）8) 提高安全防范意識為了有效地實現(xiàn)網(wǎng)絡(luò)安全的目的，致力于網(wǎng)絡(luò)安全的廠家已經(jīng)生產(chǎn)了如下安全設(shè)備：1) 防火墻2) VPN私有安全通道設(shè)備3) IPS/IDS入侵防御/檢測設(shè)備4) 防毒墻5) 防水墻6) UTM統(tǒng)一威脅管理設(shè)備(Unified Threat Management7) 應(yīng)用網(wǎng)管8) 內(nèi)容過濾9) 垃圾郵件過濾10) 網(wǎng)頁過濾11) 網(wǎng)閘等設(shè)備。 因此：l 網(wǎng)絡(luò)安全是Internet必須面對的一個實際問題l 網(wǎng)絡(luò)安全是一個綜合性的技術(shù)l 網(wǎng)絡(luò)安全具有兩層含義：232。 信息盜竊：攻擊者不直接入侵目標(biāo)系統(tǒng)，而是通過竊聽網(wǎng)絡(luò)來獲取重要數(shù)據(jù)或信息。 拒絕服務(wù)：服務(wù)器拒絕合法永福正常訪問信息或資源的請求。 非法使用：資源被未授權(quán)的用戶（也可以稱為非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險。目 錄第一章 防火墻技術(shù)介紹 2第二章 SecPath防火墻體系結(jié)構(gòu) 9第三章 安全區(qū)域 21第四章 訪問控制列表ACL 26第五章 包過濾技術(shù) 33第六章 地址轉(zhuǎn)換（NAT） 44第七章 報文統(tǒng)計與攻擊防范 50第八章 運行模式 68第九章 防火墻典型組網(wǎng)及常見故障診斷 79第十章 SecPath防火墻特性測試實驗指導(dǎo) 85第一章 防火墻技術(shù)介紹：學(xué)習(xí)完本課程，您應(yīng)該能夠：l 了解網(wǎng)絡(luò)安全基本概念l 掌握防火墻必備的技術(shù)范圍 網(wǎng)絡(luò)安全概述隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)的越來越頻繁。通過各種攻擊軟件，只要具有一般計算機知識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。目前，Internet網(wǎng)絡(luò)上常見的安全威脅分為一下幾類。例如：攻擊者通過猜測帳戶和密碼的組合，從而進入計算機系統(tǒng)以非法使用資源。例如，攻擊者短時間內(nèi)使用大量數(shù)據(jù)包或畸形報文向服務(wù)器發(fā)起連接或請求回應(yīng)，致使服務(wù)器負(fù)荷過重而不能處理合法任務(wù)。數(shù)據(jù)篡改：攻擊者對系統(tǒng)數(shù)據(jù)或消息流進行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。 保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）232。伴隨著網(wǎng)絡(luò)安全技術(shù)的飛躍發(fā)展，將會相繼有新的網(wǎng)絡(luò)安全設(shè)備問世。2) 攻擊防范：能夠保護網(wǎng)絡(luò)免受黑客對服務(wù)器、內(nèi)部網(wǎng)絡(luò)的攻擊。4) 應(yīng)用層狀態(tài)監(jiān)測：可以實現(xiàn)單向訪問。例如，攻擊者通過猜測帳號和密碼的組合，進入計算機系統(tǒng)非法使用資源的行為。7) 安全管理：主要指日志審計和防火墻的集中管理。防火墻從安全管理的角度出發(fā)，一般將設(shè)備本身劃分為不同的安全區(qū)域，通過將端口和網(wǎng)絡(luò)設(shè)備接到不同的區(qū)域里，從而達到網(wǎng)絡(luò)隔離的目的：1) 不受信區(qū)域：一般指的是Internet，主要攻擊都來自于這個區(qū)域。3) DMZ區(qū)域：放置公共服務(wù)器的區(qū)域，一般情況下，這個區(qū)域接受外部的訪問，但不會主動去訪問外部資源。圖11通過一個實際網(wǎng)絡(luò)典型案例表示了局域網(wǎng)通過防火墻與互聯(lián)網(wǎng)的連接，電子郵件服務(wù)器接在DMZ區(qū)域接受內(nèi)外部的訪問。防火墻交換機受信區(qū)域不受信區(qū)域DMZ區(qū)* 受信區(qū)域－DMZ區(qū)，可以訪問POP3和SMTP服務(wù)* DMZ－受信區(qū)域，不可訪問任何服務(wù)* 不受信區(qū)域－DMZ區(qū)，可以訪問POP3和SMTP服務(wù)* DMZ－不受信區(qū)域，可以訪問任何服務(wù)不受信區(qū)域和受信區(qū)域之間不能互訪EMAIL服務(wù)器圖11防火墻主要關(guān)注邊界安全，因此一般防火墻提供比較豐富的安全攻擊防范的特性：防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止圖121) DOS拒絕服務(wù)攻擊防范功能包括對諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務(wù)攻擊方式進行檢測，丟棄攻擊報文，保護網(wǎng)絡(luò)內(nèi)部的主機不受侵害。WinNuke也稱為“藍(lán)色炸彈”,它是導(dǎo)致你所與之交流用戶的 Windows 操作系統(tǒng)突然的崩潰或終止。這樣便會導(dǎo)致操作系統(tǒng)提前崩潰或終止。結(jié)果通常使存在漏洞的機器崩潰。)的漏洞對系統(tǒng)主機發(fā)動拒絕服務(wù)攻擊,最終導(dǎo)致主機菪掉。4) 針對ICMP重定向、不可達等具有安全隱患的報文應(yīng)該具有過濾、關(guān)閉的能力。 地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。 一個局域網(wǎng)內(nèi)部有很多臺主機，可是不能保證每臺主機都擁有合法的IP地址，為了到達所有的內(nèi)部主機都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。 地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機，因此同時是一種有效的網(wǎng)絡(luò)安全保護技術(shù)。 地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。5) 支持多種ALG： 包括H323/MGCP/SIP/H248/RTSP/HWCC，還支持ICMP、FTP、DNS、PPTP、NBT、ILS等協(xié)議。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。　　為保護網(wǎng)絡(luò)安全，基于acl規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。動態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報文圖14 H3C的SecPath防火墻的ASPF作為改進的狀態(tài)檢測安全技術(shù)，支持對多種應(yīng)用協(xié)議進行檢測：包括H323/MGCP/SIP/H248/RTSP/HWCC，以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。然而病毒、黑客、網(wǎng)絡(luò)釣魚以及網(wǎng)頁仿冒詐騙等惡意威脅，給在線交易的安全性帶來了極大的挑戰(zhàn)。計算機和互聯(lián)網(wǎng)絡(luò)世界里，身份認(rèn)證是一個最基本的要素，也是整個信息安全體系的基礎(chǔ)。防火墻用戶上網(wǎng)用戶名、密碼 ？輸入用戶名、密碼 認(rèn)證通過 正常上網(wǎng) 圖15H3C SecPathf序列防火墻支持Radius服務(wù)器認(rèn)證和本地認(rèn)證?；ヂ?lián)網(wǎng)的發(fā)展促進了信息的共享和交流，為了提高員工的工作效率和信息查詢，企業(yè)等機構(gòu)會向員工提供外部訪問的權(quán)限。 正常網(wǎng)站 有害網(wǎng)站有害內(nèi)容健康內(nèi)容* 有害網(wǎng)站過濾* 網(wǎng)頁惡意內(nèi)容摘除圖16 H3C SecPath防火墻提供了針對應(yīng)用協(xié)議的訪問控制能力，通過獨有的ASPF特性，對應(yīng)用層協(xié)議進行分析，實現(xiàn)對應(yīng)用協(xié)議的內(nèi)容過濾。 用戶可以設(shè)置網(wǎng)址過濾需要過濾的網(wǎng)址列表，網(wǎng)址過濾列表可以保存在flash中的網(wǎng)址過濾文件中。 為了防止網(wǎng)頁中可執(zhí)行代碼對內(nèi)部網(wǎng)絡(luò)造成的潛在威脅，可以指定HTTP檢測策略能夠過濾掉來自外部網(wǎng)絡(luò)服務(wù)器HTTP報文中的Jave Applets。Web內(nèi)容過濾文件存放在flash中，用戶可以對過濾詞匯文件進行管理，包括添加、刪除、清楚過濾關(guān)鍵字。 Web內(nèi)容過濾文件的格式為：暴力、*賭博* 。 這里講述的安全管理指的是安全過程中的日志管理與審計，借助日志發(fā)現(xiàn)和跟蹤不安全的行為，根據(jù)日志的痕跡對不安全的行為進行更正。 本章小結(jié) 習(xí)題第二章 SecPath防火墻體系結(jié)構(gòu)課程目標(biāo)l 了解SecPath系列防火墻體系結(jié)構(gòu)l 熟悉SecPath系列防火墻主要業(yè)務(wù)特性l 掌握SecPath系列防火墻典型應(yīng)用 SecPath防火墻家族成員圖21描述了H3C SecPath防火墻家族產(chǎn)品型號、應(yīng)用范圍和價值關(guān)系：SPEnterpriseSMBSOHOPriceSecPath F100CSecPath