【正文】 導(dǎo)5. 防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料 24防火墻原理與特性 1. 安全區(qū)域2. 工作模式3. 安全防范4. VRRP HRP華為產(chǎn)品維護資料 25防火墻的安全區(qū)域（一）l 防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域Local區(qū) 域 Trust區(qū)域DMZ區(qū)域 UnTrust區(qū)域接口 1 接口 2接口 3接口 4防火墻的安全區(qū)域（二）l 路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來自 的數(shù)據(jù)報從這個接口出去Local區(qū) 域 Trust區(qū)域DMZ區(qū)域 UnTrust區(qū)域接口 1 接口 2接口 3接口 4禁止所有從 DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到 UnTrust區(qū)域防火墻的安全區(qū)域（三）lEudemon防火墻上保留四個安全區(qū)域：232。232。232。232。l 此外，如認(rèn)為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。防火墻的安全區(qū)域（四）l 域間的數(shù)據(jù)流分兩個方向：232。 出方向（ outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)232。 接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Local區(qū) 域 Trust區(qū)域DMZ區(qū)域 UnTrust區(qū)域接口 1 接口 2接口 3接口 4InOutInOutIn Out InOut區(qū) 域 區(qū)域區(qū)域 區(qū)域接口 接口接口接口防火墻的安全區(qū)域（六）防火墻原理與特性 1. 安全區(qū)域2. 工作模式3. 安全防范4. VRRP HRP華為產(chǎn)品維護資料 32防火墻的三種工作模式（一）l 路由模式l 透明模式l 混合模式防火墻的三種工作模式（二）l 可以把路由模式理解為象路由器那樣工作。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。防火墻的接口不能配 IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的 IP地址進行各種安全策略的匹配。此外，還要完成其它防攻擊檢查。l 透明模式可以配置系統(tǒng) IP。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。防火墻原理與特性 1. 安全區(qū)域2. 工作模式3. 安全防范4. VRRP HRP華為產(chǎn)品維護資料 37防火墻的安全防范lACLl 安全策略lNATl 攻擊防范lIDS聯(lián)動訪問控制列表是什么？l一個 IP數(shù)據(jù)包如下圖所示（圖中 IP所承載的上層協(xié)議為 TCP）：IP報頭 TCP報頭 數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于 TCP來說，這 5個元素組成了一個 TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則如何標(biāo)識訪問控制列表？l 利用數(shù)字標(biāo)識訪問控制列表l 利用數(shù)字范圍標(biāo)識訪問控制列表的種類列表的種類 數(shù)字標(biāo)識的范圍IP standard list 1－ 99,20232999IP extended list 100－ 199,30003999 700～ 799范圍的 ACL是基于 MAC地址的訪問控制列表備注： （包括）后版本支持根據(jù)用戶定義 ACL規(guī)則進行信息檢測，添加檢測啟動命令 detect userdefine aclnumber agingtime，添加打開用戶定義 ACL規(guī)則的檢測調(diào)試命令 debugging firewall aspf userdefineACL加速l 應(yīng)為每次區(qū)域間轉(zhuǎn)發(fā)數(shù)據(jù)報時都要線性檢查 ACL中的所有規(guī)則 ,當(dāng) ACL中的規(guī)則較多時 ,將極大的影響轉(zhuǎn)發(fā)速度。 ACL加速查找不會因為訪問控制列表中規(guī)則條目的增加而降低規(guī)則的匹配速度，因此使能 ACL加速查找功能可以在規(guī)則數(shù)目很多的時候顯著提高防火墻的性能。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。l 為保護網(wǎng)絡(luò)安全，基于 ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。 黑名單（一）l 黑名單，指根據(jù)報文的源 IP地址進行過濾的一種方式。黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進行添加或刪除，當(dāng)防火墻中根據(jù)報文的行為特征察覺到特定 IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該 IP地址發(fā)送的報文過濾掉。黑名單（二）l 黑名單的創(chuàng)建232。 [undo] firewall blacklist enablel 黑名單的報文過濾類型和范圍的設(shè)置 232。黑名單配置舉例（二）l[Eudemon] firewall blacklist item timeout 100l[Eudemon] firewall blacklist packetfilter icmp range globall[Eudemon] firewall blacklist enable其它lMAC和 IP地址綁定，指防火墻可以根據(jù)用戶的配置，在特定的IP地址和 MAC地址之間形成關(guān)聯(lián)關(guān)系。從而形成有效的保護，是避免 IP地址假冒攻擊的一種方式。端口識別允許用戶針對不同的應(yīng)用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護一張系統(tǒng)定義（ systemdefined）和用戶定義（ userdefined）的端口識別表。 Fraggle232。 Land232。 Tcp flag232。 ipfragment攻擊類型簡介（二）l 分片報文攻擊232。 Ping of deathl 拒絕服務(wù)類攻擊232。 UDP Flood ICMP Floodl 掃描232。 Port scan單包攻擊原理及防范（一）lFraggle232。 目的：目的： echo服務(wù)會將發(fā)送給這個端口的報文再次發(fā)送回去服務(wù)會將發(fā)送給這個端口的報文再次發(fā)送回去232。 攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導(dǎo)致受害者被回應(yīng)報文泛濫攻擊送請求，會導(dǎo)致受害者被回應(yīng)報文泛濫攻擊232。 配置：配置： firewall defend fraggle enable232。 特征：地址偽冒特征：地址偽冒232。 配置：配置： firewall defend ipspoofing enable232。 特征：源目的地址都是受害者的特征：源目的地址都是受害者的 IP地址，或者源地址為地址，或者源地址為 127這個這個網(wǎng)段的地址網(wǎng)段的地址232。 配置：配置： firewall defend land enable232。 特征：偽冒受害者特征：偽冒受害者 IP地址向廣播地址發(fā)送地址向廣播地址發(fā)送 ping echo232。 配置：配置： firewall defend smurf enable232。 特征：報文的所有可設(shè)置的標(biāo)志都被標(biāo)記，明顯有沖突。比如同時設(shè)置時設(shè)置 SYN、 FIN、 RST等位等位232。 配置：配置： firewall defend tcpflag enable232。 特征：設(shè)置了分片標(biāo)志的特征：設(shè)置了分片標(biāo)志的 IGMP報文，或針對報文，或針對 139端口的設(shè)置了端口的設(shè)置了URG標(biāo)志的報文標(biāo)志的報文232。 配置：配置： firewall defend winnuke enable232。 特征：同時設(shè)置了特征：同時設(shè)置了 DF和和 MF標(biāo)志，或偏移量加報文長度超過標(biāo)志，或偏移量加報文長度超過 65535232。 配置：配置： firewall defend ipfragment enable232。 特征：分片報文后片和前片發(fā)生重疊特征：分片報文后片和前片發(fā)生重疊232。 配置：配置： firewall defend teardrop enable232。 特征：特征： ping報文全長超過報文全長超過 65535232。 配置：配置： firewall defend pingofdeath enable232。 特征：向受害主機發(fā)送大量特征：向受害主機發(fā)送大量 TCP連接請求報文連接請求報文232。 配置：配置：232。 firewall defend synflood [ ip | zone zonename] [maxnumber num] [maxrate num] [ tcpproxy auto|on|off]232。 原理：防火墻基于目的地址統(tǒng)計對每個原理：防火墻基于目的地址統(tǒng)計對每個 IP地址收到的連接請求進地址收到的連接請求進行代理，代替受保護的主機回復(fù)請求，如果收到請求者的行代理，代替受保護的主機回復(fù)請求，如果收到請求者的 ACK報報文，認(rèn)為這是有效連接，在二者之間進行中轉(zhuǎn)，否則刪掉該會話文，認(rèn)為這是有效連接，在二者之間進行中轉(zhuǎn)，否則刪掉該會話拒絕服務(wù)攻擊原理及防范（二）lUDP/ICMP Flood232。 目的：使被攻擊設(shè)備消耗掉所有處理能力目的：使被攻擊設(shè)備消耗掉所有處理能力232。 statistic enable ip inzone232。 firewall defend udp/icmpflood enable232。 特征：地址掃描，向一個網(wǎng)段內(nèi)的特征：地址掃描，向一個網(wǎng)段內(nèi)的 IP地址發(fā)送報文地址發(fā)送報文 nmap232。 配置：配置：232。 Firewall defend ipsweep [ maxrate num ] [blacklisttimeout num]232。 注意：如果要啟用黑名單隔離功能，需要先啟動黑名單注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（二）lPort scan232。 目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備232。 Statistic enable ip outzone232。 原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個 IP地址向同一地址向同一個個 IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個以將這個 IP地址添加到黑名單中進行隔離地址添加到黑名單中進行隔離232。因此， Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進行聯(lián)動，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個報文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。IDS聯(lián)動1234IDS 服務(wù)器提供基于應(yīng)用層的過濾IDS聯(lián)動配置舉例防火墻原理與特性 1. 安全區(qū)域2. 工作模式3. 安全防范4. VRRP HRP華為產(chǎn)品維護資料 72VRRP和 VGMP（一）1. 傳統(tǒng) VRRP備份組2. 在防火墻上應(yīng)用的問題（多個組主備不一致）3. Vrrp Group Management Protocol1. 狀態(tài)一致性（組內(nèi) vrrp同步變換狀態(tài)）2. 搶占管理（屏蔽 vrrp搶占）3. 通道管理（ data， transonly）l 兩個防火墻上各接口之間的隸屬關(guān)系 l 兩個防火墻上的接口和安全區(qū)域的連接必須嚴(yán)格一一對應(yīng)，包括接口插槽、類型、編號、相關(guān)配置等（ IP地址除外）。這就是說 EudemonA上的 A1接口隸屬備份組 1， A2接口隸屬備份組 2， A3接口隸屬備份組 3；則 EudemonB上的 B B2和B3接口也必須分別隸屬備份組 2和 3。這就是說 EudemonA上的管理組包括備份組 2和 3，則 EudemonB上的同樣編號的管理組也必須包含備份組 2和 3。一個備份組中能包含多個物理接口，對應(yīng)多個虛擬 IP地址。 l VRRP備份組提供的備份功能是相對于安全區(qū)域而言的，即每個安全區(qū)域?qū)?yīng)一個備份組；而 VRRP管理組實現(xiàn)了各 VRRP狀態(tài)的一致性，是相對于 Eudemon防火墻而言的，在每個防火墻上都定義至少一個 VRRP管理組，負(fù)責(zé)管理該 Eudemon防火墻與各安全區(qū)域相關(guān)的備份組 VRRP和 VGMP（二）l VRRP的配置任務(wù)l (無 ◆ 符號，表示該配置僅適用于未加入管理組的備份組 )l 配置備份組的虛擬 IP地址 ◆l 配置備份組的優(yōu)先級 ◆l 配置備份組的搶占方式和延遲時間l 配置備份組的認(rèn)證方式和認(rèn)證字 ◆l 配置備份組的定時器 ◆l 配置監(jiān)視指定接口 l VRRP管理組的配置包括： l 創(chuàng)建 VRRP管理組l 使能 VRRP管理組功能l 配置向 VRRP管理組添加備份組l 配置 VRRP管理組優(yōu)先級l 配置 VRRP管理組搶占功能l 配置 VRRP管理組 Hello報文的發(fā)送間隔l 配置 VRRP管理組的報文群發(fā)標(biāo)志 VRRP和 VGMP（三）VGMPl HRP（ Huawei Redundancy Protocol）。 HRP協(xié)議是承載在 VGMP報文上進行傳輸?shù)?，?Master和 Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息l 配置主備l 當(dāng)采用負(fù)載分擔(dān)方式時，網(wǎng)絡(luò)中存在兩臺 Master防火墻。232。 配置從設(shè)備： 接收配置備份內(nèi)容的防火墻232。232。HRPHRP/VGMP/VRRP關(guān)系當(dāng) VRRP管理組狀態(tài)變化時，系統(tǒng)將通知 HRP狀態(tài)和配置主 /