【正文】 專業(yè)防火墻設(shè)備，可以作為中小型企業(yè)的出口防火墻設(shè)備，也可以作為大中型企業(yè)的內(nèi)部防火墻設(shè)備使用。l 支持10GE接口/最大支持20個(gè)GE；l 具備交換機(jī)級(jí)別的延時(shí)；l 每秒鐘新建5W的連接；l 1 Gbps的Ddos防護(hù)性能；l 2 Gbpsd的IPSec加密性能；l 10 Gbps 防火墻吞吐率 (見(jiàn)注1) l 100W并發(fā)連接，每秒鐘新建5W連接；注1： 吞吐量（Throughput）——設(shè)備在一定時(shí)間內(nèi)（一般120秒），不丟幀情況下轉(zhuǎn)發(fā)某一幀長(zhǎng)數(shù)據(jù)所能達(dá)到的最大速率。 F1000E防火墻圖22H3C SecPath F1000E防火墻設(shè)備,全方位為大中型企業(yè)網(wǎng)絡(luò)的安全提供了高性價(jià)比的解決方案。產(chǎn)品的劃分主要依據(jù)應(yīng)用場(chǎng)合的不同，價(jià)值也不同。SecPath F1000E/F1000A/F100E/F100A/F100C提供完善的安全防范體系，可以提供安全訪問(wèn)限制/內(nèi)網(wǎng)安全防范措施。對(duì)于內(nèi)網(wǎng)防范，更是當(dāng)今網(wǎng)絡(luò)安全的主流。通過(guò)各種攻擊軟件，只要具有一般計(jì)算機(jī)知識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。Internet日志緩沖監(jiān)控終端控制臺(tái)日志主機(jī)SecPath圖17主要對(duì)以下日志內(nèi)容進(jìn)行審計(jì)：NAT/ASPF 日志、攻擊防范日志、流浪監(jiān)控日志、黑名單日志、地址綁定日志、郵件過(guò)濾日志和網(wǎng)址/內(nèi)容過(guò)濾日志日志格式可以分為： Syslog（系統(tǒng)日志）文本形式日志（可讀性較強(qiáng)）和二進(jìn)制日志。 利用 協(xié)議過(guò)濾功能，可以營(yíng)造企業(yè)、政府機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全、綠色的上網(wǎng)環(huán)境。關(guān)鍵字過(guò)濾支持模糊查找，即允許向過(guò)濾關(guān)鍵字文件中添加帶 “ * “的關(guān)鍵字。另外，利用Web內(nèi)容過(guò)濾功能，通過(guò)指定過(guò)濾網(wǎng)頁(yè)的文本關(guān)鍵字，可以保證用戶指定內(nèi)容的信息不會(huì)進(jìn)入內(nèi)部網(wǎng)絡(luò)。網(wǎng)址過(guò)濾文件中的過(guò)濾列表的格式為： 、 、 可以制定每條網(wǎng)址是禁止訪問(wèn)還是允許訪問(wèn)，并可以指定在網(wǎng)址過(guò)濾列表中沒(méi)有找到的網(wǎng)址采取何種缺省動(dòng)作（允許還是禁止），從而為用戶提供最大的控制靈活性。SecPath防火墻提供的HTTP協(xié)議過(guò)濾功能提供了對(duì)HTTP網(wǎng)址過(guò)濾和網(wǎng)頁(yè)內(nèi)容過(guò)濾，可以有效的管理員工上網(wǎng)的行為，提高工作的效率，節(jié)約出口帶寬，保障正常的數(shù)據(jù)流量，屏蔽各種”垃圾“信息，從而保證內(nèi)部網(wǎng)絡(luò)的”綠色環(huán)境“。但是互聯(lián)網(wǎng)上各種信息泛濫，如何有效的保證員工上網(wǎng)，又可以防止不良信息進(jìn)入內(nèi)部網(wǎng)絡(luò)是管理員必須解決的問(wèn)題。認(rèn)證形式可以為:：l PPPOE認(rèn)證：一般用于內(nèi)網(wǎng)訪問(wèn)外部的控制，需要客戶端，認(rèn)證通過(guò)后則可以訪問(wèn)外網(wǎng)l L2TP認(rèn)證：主要用于VPN應(yīng)用，外部移動(dòng)辦公用戶在接入到內(nèi)部網(wǎng)絡(luò)需要經(jīng)過(guò)認(rèn)證。如何確認(rèn)訪問(wèn)者的真實(shí)身份？如何解決訪問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題？如何實(shí)現(xiàn)通信過(guò)程中信息的安全傳輸？這是大部分擁有網(wǎng)絡(luò)的企業(yè)一直期望解決的問(wèn)題。層出不窮的網(wǎng)絡(luò)犯罪，引起了人們對(duì)網(wǎng)絡(luò)身份的信任危機(jī)，如何證明“我是誰(shuí)？”及如何防止身份冒用等問(wèn)題成為人們關(guān)注的焦點(diǎn)。還支持對(duì)HTTP中Activex/JavaAppelt進(jìn)行過(guò)濾隨著互聯(lián)網(wǎng)的不斷發(fā)展，越來(lái)越多的人們開(kāi)始嘗試在線交易。aspf能夠檢測(cè)應(yīng)用層協(xié)議的信息，并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。aspf能夠檢測(cè)試圖通過(guò)防火墻的應(yīng)用層協(xié)議會(huì)話信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過(guò)。（ASPF）aspf（application specific packet filter）是針對(duì)應(yīng)用層的包過(guò)濾，即基于狀態(tài)的報(bào)文過(guò)濾。防火墻WEB服務(wù)器 → ← 圖13防火墻同路由器一樣，必須具備NAT地址轉(zhuǎn)換功能，因此在NAT的細(xì)節(jié)上必須具備：1) 支持NAT/PAT，支持地址池；2) 支持策略NAT，根據(jù)不同的策略進(jìn)行不同的NAT；3) 支持NAT server 模式，可以向外映射內(nèi)部服務(wù)器；4) 提供端口級(jí)別的NAT server 模式，可以將服務(wù)器的端口映射為外部的一個(gè)端口，不開(kāi)放服務(wù)器的所有端口，增加服務(wù)器的安全性。(NAT)3) 針對(duì)畸形報(bào)文的防范通過(guò)一些畸形報(bào)文，如果超大的ICMP報(bào)文，非法的分片報(bào)文，TCP標(biāo)志混亂的報(bào)文等，可能會(huì)造成比較驗(yàn)證的危害，防火墻應(yīng)該可以識(shí)別出這些報(bào)文。Tear drop類的攻擊利用UDP包重組時(shí)重疊偏移(假設(shè)數(shù)據(jù)包中第二片IP包的偏移量小于第一片結(jié)束的位移,而且算上第二片IP包的Data,也未超過(guò)第一片的尾部,這就是重疊現(xiàn)象。land 攻擊是一種使用相同的源和目的主機(jī)和端口發(fā)送數(shù)據(jù)包到某臺(tái)機(jī)器的攻擊?！八{(lán)色炸彈”實(shí)際上是一個(gè)帶外傳輸網(wǎng)絡(luò)數(shù)據(jù)包,其中包括操作系統(tǒng)無(wú)法處理的信息。2) 防止常見(jiàn)網(wǎng)絡(luò)層攻擊行為防火墻一般應(yīng)該支持對(duì)IP地址欺騙、WinNuke、Land攻擊、Tear Drop等常見(jiàn)的網(wǎng)絡(luò)攻擊行為，主動(dòng)發(fā)現(xiàn)丟棄報(bào)文。圖中用語(yǔ)言描述了防火墻所實(shí)現(xiàn)的網(wǎng)絡(luò)隔離和訪問(wèn)控制的功能。防火墻通常使用ACL訪問(wèn)控制列表、ASPF應(yīng)用層狀態(tài)檢測(cè)包過(guò)濾的方法來(lái)實(shí)現(xiàn)訪問(wèn)控制的目的。2) 受信區(qū)域：一般指的是內(nèi)網(wǎng)區(qū)域，這個(gè)區(qū)域是可控的。防火墻的主要作用是實(shí)現(xiàn)網(wǎng)絡(luò)隔離和訪問(wèn)控制。6) 內(nèi)容過(guò)濾：能夠過(guò)濾掉內(nèi)部網(wǎng)絡(luò)對(duì)非法網(wǎng)站/色情網(wǎng)站的訪問(wèn)，以及阻止通過(guò)郵件發(fā)送機(jī)密文件所造成的泄密行為。5) 身份認(rèn)證：可以確保資源不會(huì)被未授權(quán)的用戶（也可以稱為非法用戶）或以授權(quán)方式（非法權(quán)限）使用。3) 地址轉(zhuǎn)換：在解決網(wǎng)絡(luò)地址不足的前提下實(shí)現(xiàn)對(duì)外的網(wǎng)絡(luò)訪問(wèn)，同時(shí)能夠?qū)崿F(xiàn)對(duì)外隱藏內(nèi)部網(wǎng)絡(luò)地址和專用服務(wù)器。針對(duì)網(wǎng)絡(luò)存在的各種安全隱患，防火墻必須具有如下安全特性：1) 網(wǎng)絡(luò)隔離及訪問(wèn)控制：能夠有效防止對(duì)外公開(kāi)的服務(wù)器被黑客用于控制內(nèi)網(wǎng)的一個(gè)跳板。 保護(hù)和外部進(jìn)行數(shù)據(jù)交換的安全l 網(wǎng)絡(luò)安全技術(shù)需要不斷地完善和更新作為負(fù)責(zé)網(wǎng)絡(luò)安全的管理人員主要關(guān)注（并不局限于）以下8個(gè)方面：1) 保護(hù)網(wǎng)絡(luò)物理線路不會(huì)輕易遭受攻擊2) 有效識(shí)別合法的和非法的用戶（AAA）3) 實(shí)現(xiàn)有效的訪問(wèn)控制（ACL）4) 保證內(nèi)部網(wǎng)絡(luò)的隱蔽性（NAT）5) 有效的防偽手段，重要的數(shù)據(jù)重點(diǎn)保護(hù)（VPN）6) 對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)拓?fù)涞陌踩芾恚ǚ阑饓泄芾恚?) 病毒防范（蠕蟲病毒智能防范）8) 提高安全防范意識(shí)為了有效地實(shí)現(xiàn)網(wǎng)絡(luò)安全的目的，致力于網(wǎng)絡(luò)安全的廠家已經(jīng)生產(chǎn)了如下安全設(shè)備：1) 防火墻2) VPN私有安全通道設(shè)備3) IPS/IDS入侵防御/檢測(cè)設(shè)備4) 防毒墻5) 防水墻6) UTM統(tǒng)一威脅管理設(shè)備(Unified Threat Management7) 應(yīng)用網(wǎng)管8) 內(nèi)容過(guò)濾9) 垃圾郵件過(guò)濾10) 網(wǎng)頁(yè)過(guò)濾11) 網(wǎng)閘等設(shè)備。 因此：l 網(wǎng)絡(luò)安全是Internet必須面對(duì)的一個(gè)實(shí)際問(wèn)題l 網(wǎng)絡(luò)安全是一個(gè)綜合性的技術(shù)l 網(wǎng)絡(luò)安全具有兩層含義：232。 信息盜竊：攻擊者不直接入侵目標(biāo)系統(tǒng)，而是通過(guò)竊聽(tīng)網(wǎng)絡(luò)來(lái)獲取重要數(shù)據(jù)或信息。 拒絕服務(wù)：服務(wù)器拒絕合法永福正常訪問(wèn)信息或資源的請(qǐng)求。 非法使用：資源被未授權(quán)的用戶（也可以稱為非法用戶）或以未授權(quán)方式（非法權(quán)限）使用。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。目 錄第一章 防火墻技術(shù)介紹 2第二章 SecPath防火墻體系結(jié)構(gòu) 9第三章 安全區(qū)域 21第四章 訪問(wèn)控制列表ACL 26第五章 包過(guò)濾技術(shù) 33第六章 地址轉(zhuǎn)換（NAT） 44第七章 報(bào)文統(tǒng)計(jì)與攻擊防范 50第八章 運(yùn)行模式 68第九章 防火墻典型組網(wǎng)及常見(jiàn)故障診斷 79第十章 SecPath防火墻特性測(cè)試實(shí)驗(yàn)指導(dǎo) 85第一章 防火墻技術(shù)介紹：學(xué)習(xí)完本課程，您應(yīng)該能夠：l 了解網(wǎng)絡(luò)安全基本概念l 掌握防火墻必備的技術(shù)范圍 網(wǎng)絡(luò)安全概述隨著網(wǎng)絡(luò)技術(shù)的普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)的越來(lái)越頻繁。通過(guò)各種攻擊軟件，只要具有一般計(jì)算機(jī)知識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。目前，Internet網(wǎng)絡(luò)上常見(jiàn)的安全威脅分為一下幾類。例如：攻擊者通過(guò)猜測(cè)帳戶和密碼的組合，從而進(jìn)入計(jì)算機(jī)系統(tǒng)以非法使用資源。例如，攻擊者短時(shí)間內(nèi)使用大量數(shù)據(jù)包或畸形報(bào)文向服務(wù)器發(fā)起連接或請(qǐng)求回應(yīng)，致使服務(wù)器負(fù)荷過(guò)重而不能處理合法任務(wù)。數(shù)據(jù)篡改：攻擊者對(duì)系統(tǒng)數(shù)據(jù)或消息流進(jìn)行有選擇的修改、刪除、延誤、重排序及插入虛假消息等操作，而使數(shù)據(jù)的一致性被破壞。 保證內(nèi)部局域網(wǎng)的安全（不被非法侵入）232。伴隨著網(wǎng)絡(luò)安全技術(shù)的飛躍發(fā)展，將會(huì)相繼有新的網(wǎng)絡(luò)安全設(shè)備問(wèn)世。2) 攻擊防范：能夠保護(hù)網(wǎng)絡(luò)免受黑客對(duì)服務(wù)器、內(nèi)部網(wǎng)絡(luò)的攻擊。4) 應(yīng)用層狀態(tài)監(jiān)測(cè)：可以實(shí)現(xiàn)單向訪問(wèn)。例如，攻擊者通過(guò)猜測(cè)帳號(hào)和密碼的組合，進(jìn)入計(jì)算機(jī)系統(tǒng)非法使用資源的行為。7) 安全管理：主要指日志審計(jì)和防火墻的集中管理。防火墻從安全管理的角度出發(fā)，一般將設(shè)備本身劃分為不同的安全區(qū)域，通過(guò)將端口和網(wǎng)絡(luò)設(shè)備接到不同的區(qū)域里，從而達(dá)到網(wǎng)絡(luò)隔離的目的：1) 不受信區(qū)域：一般指的是Internet，主要攻擊都來(lái)自于這個(gè)區(qū)域。3) DMZ區(qū)域：放置公共服務(wù)器的區(qū)域，一般情況下，這個(gè)區(qū)域接受外部的訪問(wèn)，但不會(huì)主動(dòng)去訪問(wèn)外部資源。圖11通過(guò)一個(gè)實(shí)際網(wǎng)絡(luò)典型案例表示了局域網(wǎng)通過(guò)防火墻與互聯(lián)網(wǎng)的連接，電子郵件服務(wù)器接在DMZ區(qū)域接受內(nèi)外部的訪問(wèn)。防火墻交換機(jī)受信區(qū)域不受信區(qū)域DMZ區(qū)* 受信區(qū)域－DMZ區(qū)，可以訪問(wèn)POP3和SMTP服務(wù)* DMZ－受信區(qū)域，不可訪問(wèn)任何服務(wù)* 不受信區(qū)域－DMZ區(qū)，可以訪問(wèn)POP3和SMTP服務(wù)* DMZ－不受信區(qū)域，可以訪問(wèn)任何服務(wù)不受信區(qū)域和受信區(qū)域之間不能互訪EMAIL服務(wù)器圖11防火墻主要關(guān)注邊界安全，因此一般防火墻提供比較豐富的安全攻擊防范的特性：防火墻受信區(qū)域不受信區(qū)域DoS攻擊黑客正常用戶阻止圖121) DOS拒絕服務(wù)攻擊防范功能包括對(duì)諸如ICMP Flood、UDP Flood、SYS Flood、分片攻擊等Dos拒絕服務(wù)攻擊方式進(jìn)行檢測(cè)，丟棄攻擊報(bào)文，保護(hù)網(wǎng)絡(luò)內(nèi)部的主機(jī)不受侵害。WinNuke也稱為“藍(lán)色炸彈”,它是導(dǎo)致你所與之交流用戶的 Windows 操作系統(tǒng)突然的崩潰或終止。這樣便會(huì)導(dǎo)致操作系統(tǒng)提前崩潰或終止。結(jié)果通常使存在漏洞的機(jī)器崩潰。)的漏洞對(duì)系統(tǒng)主機(jī)發(fā)動(dòng)拒絕服務(wù)攻擊,最終導(dǎo)致主機(jī)菪掉。4) 針對(duì)ICMP重定向、不可達(dá)等具有安全隱患的報(bào)文應(yīng)該具有過(guò)濾、關(guān)閉的能力。 地址轉(zhuǎn)換是在IP地址日益短缺的情況下提出的。 一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，可是不能保證每臺(tái)主機(jī)都擁有合法的IP地址，為了到達(dá)所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。 地址轉(zhuǎn)換技術(shù)可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此同時(shí)是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。 地址轉(zhuǎn)換可以按照用戶的需要，在內(nèi)部局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)。5) 支持多種ALG： 包括H323/MGCP/SIP/H248/RTSP/HWCC，還支持ICMP、FTP、DNS、PPTP、NBT、ILS等協(xié)議。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略?！　楸Ｗo(hù)網(wǎng)絡(luò)安全，基于acl規(guī)則的包過(guò)濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法入侵。動(dòng)態(tài)創(chuàng)建和刪除過(guò)濾規(guī)則監(jiān)視通信過(guò)程中的報(bào)文圖14 H3C的SecPath防火墻的ASPF作為改進(jìn)的狀態(tài)檢測(cè)安全技術(shù)，支持對(duì)多種應(yīng)用協(xié)議進(jìn)行檢測(cè)：包括H323/MGCP/SIP/H248/RTSP/HWCC，以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。然而病毒、黑客、網(wǎng)絡(luò)釣魚以及網(wǎng)頁(yè)仿冒詐騙等惡意威脅，給在線交易的安全性帶來(lái)了極大的挑戰(zhàn)。計(jì)算機(jī)和互聯(lián)網(wǎng)絡(luò)世界里，身份認(rèn)證是一個(gè)最基本的要素，也是整個(gè)信息安全體系的基礎(chǔ)。防火墻用戶上網(wǎng)用戶名、密碼 ？輸入用戶名、密碼 認(rèn)證通過(guò) 正常上網(wǎng) 圖15H3C SecPathf序列防火墻支持Radius服務(wù)器認(rèn)證和本地認(rèn)證?；ヂ?lián)網(wǎng)的發(fā)展促進(jìn)了信息的共享和交流，為了提高員工的工作效率和信息查詢，企業(yè)等機(jī)構(gòu)會(huì)向員工提供外部訪問(wèn)的權(quán)限。 正常網(wǎng)站 有害網(wǎng)站有害內(nèi)容健康內(nèi)容* 有害網(wǎng)站過(guò)濾* 網(wǎng)頁(yè)惡意內(nèi)容摘除圖16 H3C SecPath防火墻提供了針對(duì)應(yīng)用協(xié)議的訪問(wèn)控制能力，通過(guò)獨(dú)有的ASPF特性，對(duì)應(yīng)用層協(xié)議進(jìn)行分析，實(shí)現(xiàn)對(duì)應(yīng)用協(xié)議的內(nèi)容過(guò)濾。 用戶可以設(shè)置網(wǎng)址過(guò)濾需要過(guò)濾的網(wǎng)址列表，網(wǎng)址過(guò)濾列表可以保存在flash中的網(wǎng)址過(guò)濾文件中。 為了防止網(wǎng)頁(yè)中可執(zhí)行代碼對(duì)內(nèi)部網(wǎng)絡(luò)造成的潛在威脅，可以指定HTTP檢測(cè)策略能夠過(guò)濾掉來(lái)自外部網(wǎng)絡(luò)服務(wù)器HTTP報(bào)文中的Jave Applets。Web內(nèi)容過(guò)濾文件存放在flash中，用戶可以對(duì)過(guò)濾詞匯文件進(jìn)行管理，包括添加、刪除、清楚過(guò)濾關(guān)鍵字。 Web內(nèi)容過(guò)濾文件的格式為：暴力、*賭博* 。 這里講述的安全管理指的是安全過(guò)程中的日志管理與審計(jì)，借助日志發(fā)現(xiàn)和跟蹤不安全的行為，根據(jù)日志的痕跡對(duì)不安全的行為進(jìn)行更正。 本章小結(jié) 習(xí)題第二章 SecPath防火墻體系結(jié)構(gòu)課程目標(biāo)l 了解SecPath系列防火墻體系結(jié)構(gòu)l 熟悉SecPath系列防火墻主要業(yè)務(wù)特性l 掌握SecPath系列防火墻典型應(yīng)用 SecPath防火墻家族成員圖21描述了H3C SecPath防火墻家族產(chǎn)品型號(hào)、應(yīng)用范圍和價(jià)值關(guān)系：SPEnterpriseSMBSOHOPriceSecPath F100CSecPath