【正文】 F100ASecPath F1000SSecPath F1000ASecPath F1000E圖21伴隨著企業(yè)和公司的不斷擴(kuò)張和網(wǎng)絡(luò)技術(shù)的深入普及，網(wǎng)絡(luò)攻擊行為出現(xiàn)的越來越頻繁了。各種網(wǎng)絡(luò)病毒的泛濫，也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。 H3C SecPath 系列防火墻設(shè)備（以下簡(jiǎn)稱防火墻）是H3C公司面向企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，既可以作為中小企業(yè)的核心防火墻，也可以作為企業(yè)的匯聚及接入防火墻設(shè)備。H3C SecPath 系列防火墻是指：l SecPath F1000El SecPath F1000Al SecPath F1000Sl SecPath F1000Ml SecPath F100El SecPath F100Al SecPath F100－A－Ｓl SecPath　F100Ｍl SecPath F100Ｓl SecPath F100Cl SecＢlade防火墻插卡等11個(gè)型號(hào)的防火墻產(chǎn)品。請(qǐng)讀者仔細(xì)學(xué)習(xí)以下設(shè)備的主要技術(shù)參數(shù)及其設(shè)備之間的主要差別，以便在具體應(yīng)用中做到選型正確。主要技術(shù)參數(shù)：l 采用業(yè)界主流的多核處理器技術(shù)，提供8核CPU，每核4線程，總共32線程的處理能力；l 安全部分采用高性能網(wǎng)絡(luò)處理器進(jìn)行硬件處理，提供了強(qiáng)大的安全防范、業(yè)務(wù)加速能力。（請(qǐng)注意是不丟幀情況下，這是與轉(zhuǎn)發(fā)率以及最大轉(zhuǎn)發(fā)率最本質(zhì)的區(qū)別。主要技術(shù)參數(shù)：l 采用64位的微處理器技術(shù)，使用主頻800MHZ的MIPS CPU，并使用內(nèi)部集成GMII控制器技術(shù)提高報(bào)文處理速率；l 16M FLASH、512M內(nèi)存（可擴(kuò)到1G）；l 提供2個(gè)固定的100、1000M的自適應(yīng)GE接口，支持光口和電口；l 內(nèi)置Ipsec硬件加密卡；內(nèi)置HT硬件加密卡l 提供一個(gè)MIM擴(kuò)展槽位，目前可選的接口模塊為1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七種（注：HDC軟件功能暫時(shí)不支持）。 SecPath F1000S防火墻H3C SecPath F1000S防火墻設(shè)備是H3C面向企業(yè)用戶開發(fā)的新一代專業(yè)防火墻設(shè)備，可以作為中小型企業(yè)的出口防火墻設(shè)備，也可以作為大中型企業(yè)的內(nèi)部防火墻設(shè)備使用。l 提供雙電源冗余備份解決方案（AC+DC\DC+DC兩種機(jī)型）；l 提供機(jī)箱內(nèi)部環(huán)境溫度檢測(cè)功能；l 支持網(wǎng)管和Web配置管理；l 3DES加密性能可達(dá)300Mbps（1400bytes）；l ；可滿足電信級(jí)產(chǎn)品的高可靠性要求。主要技術(shù)參數(shù)：l 32位的微處理器技術(shù)。配置口備份口以太網(wǎng)口WANLAN接口模塊插槽MIM以太網(wǎng)口圖25 SecPath F100C防火墻H3C SecPath F100C防火墻設(shè)備是H3C面向家庭辦公、小型辦公室開發(fā)的防火墻設(shè)備。l 8M FLASH 64M 內(nèi)存l 4個(gè)固定的100M自適應(yīng)FE口作為局域網(wǎng)口；l 1個(gè)固定的100M自適應(yīng)FE口作為廣域網(wǎng)口；l 20Mbps吞吐量F100A和F100C防火墻的主要差別：F100A防火墻F100C防火墻32位的微處理器技術(shù)。16M FLASH 256M內(nèi)存8M FLASH 64M 內(nèi)存4個(gè)固定10/100自適應(yīng)FE口作為局域網(wǎng)口4個(gè)固定10/100自適應(yīng)FE口作為局域網(wǎng)口3個(gè)固定10/100自適應(yīng)FE口作為廣域網(wǎng)口1個(gè)固定10/100自適應(yīng)FE口作為廣域網(wǎng)口1個(gè)MIM擴(kuò)展槽位；無60Mbps（1400bytes）3DES加密性能(使用硬件加密卡)？3DES加密性能(自帶硬件加密卡)300Mbps吞吐量20Mbps吞吐量 SecPath防火墻業(yè)務(wù)特性防火墻支持多種攻擊防范手段、Tcp proxy、內(nèi)網(wǎng)安全、流量監(jiān)控、網(wǎng)址過濾、網(wǎng)頁過濾、郵件過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全。 防火墻提供多種智能分析和管理手段，支持郵件警告，支持多種日志，提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理。 防火墻支持多種VPN業(yè)務(wù)，如L2TP VPN 、IPSec vpn 、SSL VPN、GRE VPN、或動(dòng)態(tài)VPN等，并且支持硬件加密，可以針對(duì)客戶需求通過ADSL撥號(hào)、VLAN或隧道等方式接入遠(yuǎn)端用戶，構(gòu)建Internet 、 Intranet、Remote Access 等多種形式的VPN。防火墻提供基本的路由器能力，支持RIP/OSPF/BGP路由策略及策略路由；支持豐富的Qos特性，提供流量監(jiān)管、流量整形及多種隊(duì)列調(diào)度策略。支持基于接口的訪問控制列表，基于時(shí)間的訪問控制列表。同時(shí)，還可以按照時(shí)間段進(jìn)行過濾。 提供多種攻擊防范技術(shù)，包括針對(duì)Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、Dos/DDOS攻擊防范、ICMP重定向或不可達(dá)報(bào)文控制功能、MAC地址和IP地址綁定功能。支持反向路由檢查功能。 支持網(wǎng)頁過濾，提供HTTP URL過濾、HTTP內(nèi)容過濾。 郵件服務(wù)器 正常網(wǎng)站 有害網(wǎng)站* Internet有害內(nèi)容健康內(nèi)容* 內(nèi)容過濾* 郵件過濾郵件檢測(cè)圖29防火墻提供了強(qiáng)大的監(jiān)控功能，主要通過監(jiān)視防火墻自身提供的各種系統(tǒng)日志，統(tǒng)計(jì)、分析和告警，最終來實(shí)現(xiàn)控制防火墻的目的：企業(yè)網(wǎng)絡(luò)業(yè)務(wù)層日志中心企業(yè)網(wǎng)絡(luò)接入層發(fā)現(xiàn)有攻擊報(bào)文ABC上報(bào)日志拒絕攻擊報(bào)文SecPath防火墻Email郵件通知圖210圖210中形象地描述了防火墻如何提供將日志給管理員的。這些日志能夠有效的記錄網(wǎng)絡(luò)情況，從而為網(wǎng)絡(luò)管理人員分析網(wǎng)絡(luò)狀況，防范網(wǎng)絡(luò)攻擊提供依據(jù)。網(wǎng)絡(luò)管理員可以使用防火墻預(yù)先定義的流量分析模型，也可以自己定義各種協(xié)議流量的比例，連接速率閾值等參數(shù)，形成適合當(dāng)前網(wǎng)絡(luò)的分析模型、3) 各種事件監(jiān)控和統(tǒng)計(jì)功能：包括全局/基于安全域連接速率監(jiān)控、全局/基于安全域協(xié)議報(bào)文比例監(jiān)控和安全事件統(tǒng)計(jì)功能。4) 郵件告警功能：包括Email郵件的實(shí)時(shí)告警、Email郵件定期信息發(fā)布。告警郵件的發(fā)送使用兩種方式：一種是實(shí)時(shí)發(fā)送，一旦檢測(cè)到攻擊行為，立即發(fā)送郵件到指定的郵件地址；另外一種是在指定的時(shí)間定期發(fā)送告警郵件到達(dá)指定的郵件地址。圖211圖211是WEB圖形化的屏幕截圖，配置和管理包括如下功能：l 系統(tǒng)管理：系統(tǒng)資源管理、設(shè)備重啟，系統(tǒng)軟件的升級(jí)，配置信息文件的瀏覽、保存、下載和上傳；l 用戶配置；l 接口管理；l 靜態(tài)路由，域名服務(wù)支持；l IPSec配置；l 支持防火墻：攻擊防范，ACL，黑名單，安全區(qū)域，IP/MAC地址綁定；l 支持郵件過濾：地址過濾，內(nèi)容過濾，郵件過濾，主題過濾；l 日志監(jiān)控：流量統(tǒng)計(jì)，日志管理；l 業(yè)務(wù)管理：NAT管理，DHCP管理，SNMP管理；l 常用工具支持（包括Ping，Tracert等）；l 幫助信息；l 注銷身份。 該方案實(shí)現(xiàn)了通過報(bào)文檢測(cè)并阻止非法入侵。支持黑名單過濾。幀過濾。支持通明防火墻，ASPF狀態(tài)防火墻。支持流量監(jiān)控。具有強(qiáng)大的處理能力，能夠充分發(fā)揮帶寬優(yōu)勢(shì)。對(duì)外服務(wù)器Untrust區(qū)域Trust區(qū)域?qū)＞€分支內(nèi)部網(wǎng)絡(luò)DMZ區(qū)域 應(yīng)用2中小企業(yè)防火墻結(jié)合VPN功能應(yīng)用圖213給出了典型中小企業(yè)防火墻結(jié)合VPN的應(yīng)用，該方案使用H3C SecPath F1000S防火墻。 該方案實(shí)現(xiàn)了阻止惡意攻擊，能夠?qū)崿F(xiàn)郵件、網(wǎng)頁過濾。支持詳盡的日志，支持攻擊警告。遠(yuǎn)程辦公人員使用動(dòng)態(tài)密碼認(rèn)證，保證用戶的唯一性，解決移動(dòng)用戶安全問題。支持BIMS和VPN Mannger。SecPath F100C防火墻還提供強(qiáng)大的過濾功能和優(yōu)秀的管理功能。 Trust區(qū)域Untrust區(qū)域SOHO內(nèi)部網(wǎng)絡(luò)使用VPN客戶端遠(yuǎn)程辦公圖214該方案實(shí)現(xiàn)了通過報(bào)文檢測(cè)并阻止非法入侵。支持詳盡的日志，支持攻擊告警。具有地強(qiáng)大的處理能力，能夠充分發(fā)揮帶寬優(yōu)勢(shì)。基于用戶接入控制，對(duì)用戶流量進(jìn)行過濾。 分支機(jī)構(gòu)VPN結(jié)合防火墻備份應(yīng)用 企業(yè)總部語音設(shè)備應(yīng)用服務(wù)器MCUSecpath防火墻Secpath防火墻語音視訊數(shù)據(jù)Secpath F100A分支機(jī)構(gòu)語音視訊數(shù)據(jù)Secpath F100A分支機(jī)構(gòu)IPSec隧道IPSec隧道備份IPSec隧道分支機(jī)構(gòu)……圖215圖214給出了典型分支機(jī)構(gòu)VPN結(jié)合防火墻備份應(yīng)用 該方案使用H3C SecPath 防火墻支持VPN應(yīng)用，同時(shí)能夠提供設(shè)備冗余備份和負(fù)載分擔(dān)。企業(yè)總部使用兩臺(tái)防火墻進(jìn)行負(fù)載分擔(dān)，當(dāng)其中一臺(tái)設(shè)備出現(xiàn)問題之后實(shí)現(xiàn)備份。總部?jī)膳_(tái)防火墻對(duì)內(nèi)也支持負(fù)載分擔(dān)和設(shè)備備份，典型的應(yīng)用于對(duì)穩(wěn)定性要求較高的企業(yè)，能夠同時(shí)滿足防火墻和VPN的需求。 對(duì)于路由器，各個(gè)接口所連接的網(wǎng)絡(luò)在安全上可以視為是平等的，沒有明顯的內(nèi)外之分，所以即使進(jìn)行一定程度的安全檢查也是在接口上完成的。而這種思路對(duì)于防火墻來說是很不合適的，因?yàn)榉阑饓λ袚?dān)的責(zé)任是保護(hù)內(nèi)部網(wǎng)絡(luò)不受外部網(wǎng)絡(luò)上非法行為的侵害，因而有著明確的內(nèi)外之分。這種安全級(jí)別上的差異，再采用在接口上檢查安全策略的方式已經(jīng)不適用，將造成用戶在配置上的混亂。一個(gè)安全區(qū)域包括一個(gè)或多個(gè)接口的組合，具有一個(gè)安全級(jí)別。當(dāng)數(shù)據(jù)在分屬于兩個(gè)不同安全級(jí)別的區(qū)域（或區(qū)域包含的接口）之間流動(dòng)的時(shí)候，才會(huì)激活防火墻的安全規(guī)則檢查功能。 SecPath防火墻上缺省保留四個(gè)區(qū)域，見圖31：內(nèi)部網(wǎng)絡(luò)服務(wù)器服務(wù)器DMZtrustuntrust防火墻(local)圖31① 非受信區(qū)域 （Untrust）：低級(jí)的安全區(qū)域，其安全優(yōu)先級(jí)為5。DMZ（De Militarized Zone，非軍事化區(qū)），這一術(shù)語起源于軍方，指得是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域。通常部署網(wǎng)絡(luò)時(shí)，將那些需要被公共訪問的設(shè)備，例如WWW 服務(wù)器、FTP 服務(wù)器等放置于此。因此，DMZ區(qū)域的出現(xiàn)很好的解決了這些服務(wù)器的放置問題。④ 本地區(qū)域（Local）：最高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)100。、網(wǎng)絡(luò)和安全區(qū)域的關(guān)聯(lián)除了Local區(qū)域以外，在使用其他所有安全區(qū)域時(shí)，需要將安全區(qū)域分別與防火的特定接口相關(guān)聯(lián)，即將接口加入到安全域。具體來說，Trust所屬接口用于連接用戶要保護(hù)的網(wǎng)絡(luò)；Untrust所屬接口連接外部網(wǎng)絡(luò)；DMZ區(qū)所屬接口連接用戶向外部提供服務(wù)的部分網(wǎng)絡(luò)；從防火墻設(shè)備本身發(fā)起的連接即是從Local區(qū)域發(fā)起的連接。 另外安全區(qū)域與各網(wǎng)絡(luò)的關(guān)聯(lián)遵循一些原則： ①內(nèi)部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別較高的區(qū)域； ②外部網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別最低的區(qū)域； ③一些可對(duì)外部提供有條件服務(wù)的網(wǎng)絡(luò)應(yīng)安排在安全級(jí)別中等的DMZ區(qū)域。域間的數(shù)據(jù)流分兩個(gè)方向： l 入方向（inboud）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较?；l 出方向（outbound）：數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较?。根?jù)圖32所示，可以得到如下結(jié)論： 從DMZ區(qū)到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向； 從Trust區(qū)域到DMZ區(qū)的數(shù)據(jù)流為出方向，反之為入方向；從Trust區(qū)域到Untrust區(qū)域的數(shù)據(jù)流為出方向，反之為入方向。這也是路由器有別于防火墻的重要特征。 由防火墻本地（Local區(qū)域）發(fā)起或終止的報(bào)文不進(jìn)行狀態(tài)檢測(cè)，這類報(bào)文的過濾由包過濾機(jī)制來完成。這些系統(tǒng)定義的安全區(qū)域是不能被刪除的。操作命令進(jìn)入?yún)^(qū)域間視圖 firewall interzone zone1 zone2 進(jìn)入?yún)^(qū)域間視圖的目的：是為了配置區(qū)域間的策略以及作用訪問控制列表？？？？3，3，4為安全區(qū)域添加接口操作命令將接口添加到安全區(qū)域 add interface interfacetype interfacenumber 將接口從安全區(qū)域中刪除 undo add interface interfacetype interfacenumber 缺省情況系，所有接口不屬于任何安全區(qū)域。將接口加入到一個(gè)安全區(qū)域中前，這個(gè)接口不能已經(jīng)屬于其他的安全區(qū)域，否則需要先將此接口從其他區(qū)域中刪除。 此命令在區(qū)域視圖下進(jìn)行下列配置：操作命令設(shè)置安全的優(yōu)先級(jí) set priority number 缺省情況下，Local區(qū)域的優(yōu)先級(jí)別為100，Trust區(qū)域的優(yōu)先級(jí)別為85，Untrust區(qū)域的優(yōu)先級(jí)別為5，DMZ區(qū)域的優(yōu)先級(jí)別為50。3，4 本章小結(jié)l 介紹了安全區(qū)域基本概念l 如何完成安全區(qū)域的基本配置 習(xí)題① 進(jìn)入?yún)^(qū)域間視圖主要可進(jìn)行什么操作？可實(shí)現(xiàn)什么功能？第四章 訪問控制列表ACL 課程目標(biāo)l 了解訪問控制列表基本概念l 掌握ACL的配置方法 ACL原理 ACL是什么為了過濾數(shù)據(jù)包，需要配置一些規(guī)則，規(guī)定什么樣的數(shù)據(jù)