Eudemon防火墙关键技术与基本功能课件.ppt

修订记录,Eudemon防火墙产品基本功能特性与配置,前 言,本胶片介绍了Eudemon系列产品主要的安全技术和安全特性，以及各安全特性在Eudemon产品上的配置。包括如：防火墙区域，防火墙工作模式，ASPF技术，NAT技术以及一些扩展技术。,培训目标,学完本课程后，您应该能：掌握Eudemon产品的主要安全技术和安全特性掌握各安全特性在Eudemon上的配置,目 录,防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能,目 录,1.防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话,防火墙的安全区域,Local区域100,Trust区域85,DMZ区域50,UnTrust区域5,接口2,接口3,接口4,接口1,用户自定义区域,Vzone0,接口、网络和安全区域关系,安全区域配置 1,创建一个安全区域Eudemon firewall zone name userzone设置优先级Eudemon-zone-userzone set priority 60给安全区域添加接口Eudemon-zone-trust add interface Ethernet 0/0/1,安全区域配置验证,查看防火墙安全区域配置Eudemondisplay zone usernameusername priority is 60 interface of the zone is(1):Ethernet0/0/1,安全区域配置2,创建安全ACLEudemonacl 3000Eudemon-acl-adv-3000 rule permit ip在域间下发ACLEudemon firewall interzone trust untrustEudemon-interzone-trust-untrustpacket-filter 3000 inbound,目 录,1.防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话,防火墙的三种工作模式,路由模式透明模式混合模式,路由模式,外部网络,服务器,PC,PC,202.10.0.0/24,Trust区,服务器,Eudemon,PC,10.110.1.0/24,202.10.0.1,10.110.1.254,内部网络,Untrust区,透明模式,混合模式,工作模式配置命令,配置防火墙工作模式Eudemonfirewall mode composite Eudemonquit需要重新启动防火墙reboot,查看防火墙的工作模式Eudemondisplay firewall mode firewall mode composite,目 录,1.防火墙的基本概念1.1 安全区域1.2 防火墙工作模式1.3 会话,会话（Session）Eudemon防火墙是状态防火墙，采用会话表维持通信状态。会话表包括五个元素：源IP地址、源端口、目的IP地址、目的端口和协议号(如果支持虚拟防火墙的话还有一个VPN-ID)。当防火墙收到报文后，根据上述五个元素查询会话表，并根据具体情况进行如下操作：,会话,会话相关命令,查看防火墙的Session信息Eudemondisplay firewall session table verbose icmp(vpn:public-public)zone:local-intra tag:0 x3588 State:0 x0 ttl:00:00:20 left:00:00:04 Id:141c2d38 SlvId:16406388 Interface:G0/0/1 Nexthop:172.16.12.5 Mac:00-0f-e2-61-05-83172.16.12.1:43996-172.16.12.5:43996,reset firewall session table,会话相关命令,查看防火墙的Session aging-timeEudemon display firewall session aging-timetcp protocol timeout:1200udp protocol timeout:120icmp protocol timeout:20.,Eudemon firewall session aging-time icmp 15,防火墙长连接会话,配置ACL，用于控制需要长连接会话的数据流Eudemon acl 3001Eudemon-acl-adv-3001 rule permit ip source 10.100.10.2 0设置长连接的老化时间Eudemon firewall long-link aging-time 2在域间应用长连接Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust firewall long-link 3001 inbound,Eudemondisplay firewall session table verbose FTP,tag:80000301 ttl:02:00:-left:01:58:-Addr:02000093 10.100.10.3:21-10.100.10.2:1025(LongLink),目 录,防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能,目 录,2.防火墙关键技术2.1 ASPF,ASPF,ASPF（Application Specific Packet Filter）是一种改进的高级通信过滤技术，ASPF不但对报文的网络层的信息进行检测，还能对丰富的应用层协议进行深度检测，支持多媒体业务的NAT以及安全防范功能，支持的协议包括：H.323协议族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。基于ACL规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。ASPF对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。,多通道协议,多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话（通道），其中有一个控制通道，其他的通道是根据控制通道中双方协商的信息动态创建的，一般我们称之为数据通道或子通道。多通道协议在状态防火墙当中需要特殊处理。单通道协议是指某个应用在进行通讯或提供服务时只需要建立一个会话的应用协议。根据TCP三次握手机制，状态防火墙能够维护会话的五元组信息。,ASPF与多通道协议,用户192.168.0.1,Eudemon防火墙,FTP server19.49.10.10,防火墙创建Servermap表项,检测Servermap表项，命中表现，打开通道,三元组ASPF,Eudemon相当于一个六元组(支持VPN情况下，有VPNID)的NAT设备，即防火墙上的每个会话的建立都需要六元组：源IP地址、源端口、目的IP地址、目的端口、协议号和VPN-ID。只有这些元素都具备了，会话才能建立成功，报文才能通过。而一些实时通讯工具，如QQ、MSN等，通过NAT设备，需要按三元组处理：源IP地址、源端口、协议号。Eudemon为了适配类似QQ、MSN等通讯机制，支持三元组处理方式，让类似QQ、MSN等的通讯方式能够正常的穿越。除QQ、MSN穿越NAT设备外，其他仅使用源IP地址、源端口、协议号的会话，如TFTP，同样需要配置防火墙三元组ASPF。,ASPF配置,进入安全区域域间Eudemon firewall interzone trust untrust打开ASPF功能Eudemon-interzone-trust-untrust detect protocol acl-number inbound|outbound,目 录,防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能,目 录,3.防火墙基本功能3.1 黑名单3.2 MAC绑定3.3 端口映射3.4 IDS联动3.5 日志,黑名单,黑名单特点：根据报文的源IP地址进行过滤简单高效可动态添加删除,静态黑名单配置,Eudemon firewall blacklist item 202.169.168.2 timeout 100Eudemon firewall blacklist enable,动态黑名单配置,Eudemon firewall defend ip-sweep enableEudemon firewall defend ip-sweep max-rate 1000Eudemon firewall defend ip-sweep blacklist-timeout 20Eudemon firewall blacklist enable,黑名单配置验证,Eudemon display firewall blacklist itemTotal:1 Manual:1 IP Sweep:0 Port Scan:0 IDS:0 Login Failed:0 PreAuthed:0 Get Flood:0 tcp-illeage-session:0 Unknown:0 IP Reason InsertTime AgeTime Vpn-instance-202.169.168.2 Manual 2009/05/12 17:47:35 Permanent,目 录,3.防火墙基本功能3.1 黑名单3.2 MAC绑定3.3 端口映射3.4 IDS联动3.5 日志,MAC绑定,问题的提出网络中常有一些假冒IP地址的攻击MAC绑定应用限制条件与二层直接相连的网络,MAC绑定配置,Eudemon firewall mac-binding enableEudemon firewall mac-binding 202.169.168.2 00e0-fc00-0100,MAC绑定配置验证,Eudemon display firewall mac-binding item Firewall Mac-binding items:Current items:3 192.168.2.18 0087-0326-ea9d 202.1.1.8 00e0-fc08-0589 202.1.1.9 00e0-fc98-5679,目 录,3.防火墙基本功能3.1 黑名单3.2 MAC绑定3.3 端口映射3.4 IDS联动3.5 日志,端口映射,问题的提出内部服务器在非知名端口提供知名服务，例如在1021端口提供FTP服务端口映射防火墙并非要更改数据包的端口信息可以用来保护因为知名端口而带来的针对性攻击,端口映射组网示例,端口映射配置验证,Eudemon display port-mapping SERVICE PORT ACL TYPE-ftp 21 system defined smtp 25 system defined http 80 system defined rtsp 554 system defined h323 1720 system defined ftp 80 2010 user defined http 5678 2020 user defined,配置参考,Eudemon acl number 2010Eudemon-acl-basic-2010 rule permit source 129.38.1.1 0.0.0.0Eudemon port-mapping ftp port 80 acl 2010Eudemon acl number 2020Eudemon-acl-basic-2020 rule permit source 129.38.1.0 0.0.0.255Eudemon port-mapping http port 5678 acl 2020Eudemon firewall interzone dmz untrustEudemon-interzone-dmz-untrust detect ftp,将去往主机129.38.1.1的使用端口号80的报文识别为FTP报文,需要在域间detect相应的协议,目 录,3.防火墙基本功能3.1 黑名单3.2 MAC绑定3.3 端口映射3.4 IDS联动3.5 日志,IDS联动,防火墙的局限性防火墙不能防止通向站点的后门；防火墙一般不提供对内部的保护；防火墙无法防范数据驱动型的攻击；防火墙不能根据网络被恶意使用和攻击的情况动态调整自己的策略等。IDS（Intrusion Detection System，入侵检测系统）的优势实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文，对系统记录的网络事件进行统计分析，发现异常现象，主动切断连接或与防火墙联动，调用其他程序处理。,与IDS联动组网示例,与IDS联动配置,Eudemon firewall ids server 192.168.10.10Eudemon firewall ids port 3000Eudemon firewall ids authentication type md5 key huawei123Eudemon firewall ids enable,最后一定得使能IDS的功能,IDS配置验证,Eudemon display firewall idsFirewall IDS information:firewall IDS:enable debug flag:off server port:3000 authentication type:md5 authentication string:huawei123 client address 0:192.168.10.10,目 录,3.防火墙基本功能3.1 黑名单3.2 MAC绑定3.3 端口映射3.4 IDS联动3.5 日志,防火墙日志,Log Server,信息中心,攻击防范,黑名单,地址绑定,二进制流日志,Syslog,日志,监视终端,控制台,缓冲区,重定向,NAT/ASPF,日志信息,日志信息,日志信息,流量统计,日志信息,日志信息,日志信息,日志输出配置组网示例,日志输出配置,Eudemon info-center enableEudemon info-center loghost 192.168.10.2 language english,Eudemon firewall session log-type binary host 192.168.10.2 9002,日志配置验证,Eudemon display info-center Information Center:enabledLog host:192.168.10.2,channel number 2,channel name loghost,language english,host facility local7Console:channel number:0,channel name:console Monitor:channel number:1,channel name:monitor,目 录,防火墙的基本概念防火墙关键技术防火墙基本功能防火墙扩展功能,目 录,4.防火墙扩展功能4.1 负载均衡4.2 虚拟防火墙,负载均衡,当前的网络应用中，单台服务器的处理能力已经成为网络中的瓶颈，尤其是在IDC、网站等应用场合。Eudemon防火墙的负载均衡即是将用户流量分配到多个服务器上，从而达到流量分担的目的，进而保障服务器的可用性。防火墙按照配置的算法，将用户流量分配到不同的服务器上，充分利用各个服务器的处理能力，达到最佳的可扩展性。,负载均衡组网示例,负载均衡配置,Eudemon slb enableEudemon slbEudemon-slb rserver 1 rip 10.1.1.3Eudemon-slb rserver 2 rip 10.1.1.4Eudemon-slb rserver 3 rip 10.1.1.5Eudemon firewall packet-filter default permit interzone local dmz direction outbound,由于防火墙对实服务器缺省进行健康行检查，此时需要配置允许健康检查报文在防火墙Local和DMZ域间出方向流动,使能SLB的服务器自动健康检查功能。,负载均衡配置(续),Eudemon-slb group group1Eudemon-slb-group-group1 metric roundrobinEudemon-slb-group-group1 addrserver 1Eudemon-slb-group-group1 addrserver 2Eudemon-slb-group-group1 addrserver 3Eudemon-slb vserver huawei vip 202.2.2.2 group group1,负载均衡配置验证,Eudemon-slb display thisslb rserver 1 rip 10.1.1.3 weight 32 healthchk rserver 2 rip 10.1.1.4 weight 32 healthchk rserver 3 rip 10.1.1.5 weight 32 healthchk group group1 metric roundrobin addrserver 1 addrserver 2 addrserver 3 vserver huawei vip 202.2.2.2 group group1,负载均衡效果,Eudemon display firewall session table icmp,(vpn:public-public)10.1.1.1:2048-10.1.1.3:43 icmp,(vpn:public-public)10.1.1.1:2048-10.1.1.4:43 icmp,(vpn:public-public)10.1.1.1:2048-10.1.1.5:43 FTP,(vpn:public-public)202.2.2.2:2110.1.1.3:21 public)202.2.2.2:2110.1.1.4:21 public)202.2.2.2:2110.1.1.5:21 public)202.2.2.2:2110.1.1.3:21 public)202.2.2.2:2110.1.1.4:21-+202.2.2.3:1235Current Total Sessions:8,目 录,4.防火墙扩展功能4.1 负载均衡4.2 虚拟防火墙,虚拟防火墙,Vfw3,Vfw2,Vfw1,Rfw,在Eudemon上创建逻辑上的虚拟防火墙（Virtual-firewall,Vfw），能够提供防火墙的出租业务，实现子网隔离和解决地址重叠的问题。每个虚拟防火墙都是VPN实例（VPN-Instance）、安全实例和配置实例的综合体，能够为虚拟防火墙用户提供私有的路由转发平面、安全服务和配置管理平面。,虚拟防火墙,Eudemon防火墙支持虚拟防火墙特性每个虚拟防火墙均可以独立支持Local、TRUST、UNTRUST、DMZ、VZONE 5个安全区域，接口灵活划分和分配。系统资源独立分配，提供独立的安全业务、NAT多实例、VPN多实例特性。,.,根防火墙 Root FW,一台Eudemon物理防火墙,虚拟防火墙 Virtual FW,VZONE,Trust,VPN-1,DMZ,UnTrust,Trust,VPN-100,DMZ,UnTrust,.,Eudemon,虚拟防火墙区域,Server,Server,Trust,Untrust,DMZ,Eth1/0/0,内部网络,Eth0/0/0,inbound,outbound,inbound,outbound,outbound,inbound,Eudemon,Local,Vzone,Internet,Eth2/0/0,虚拟防火墙组网实例,Ethernet1/0/1,192.168.2.1/24,PC2,PC1,Ethernet2/0/0,202.1.1.1/24,Ethernet1/0/0,192.168.1.1/24,Eudemon,PC3,202.1.1.2/24,VPN:vpna,虚拟防火墙配置接口,Eudemonip vpn-instance vpna vpn-id 1Eudemon-vpn-vpnaroute-distinguisher 100:1Eudemonint Ethernet 1/0/0Eudemon-Ethernet1/0/0ip binding vpn-instance vpnaEudemon-Ethernet1/0/0 ip address 192.168.1.1 255.255.255.0Eudemonint Ethernet 1/0/1Eudemon-Ethernet1/0/1ip binding vpn-instance vpnaEudemon-Ethernet1/0/1 ip address 192.168.2.1 255.255.255.0,虚拟防火墙配置安全策略,Eudemon acl number 2000 vpn-instance vpnaEudemon-acl-basic-2000rule permitEudemonfirewall interzone vpn-instance vpna trust untrustEudemon-interzone-trust-untrust-vpnapacket-filter 2000 inboundEudemon-interzone-trust-untrust-vpnapacket-filter 2000 outbound,跨VPN实例访问配置,Eudemon nat address-group 1 202.1.1.3 202.1.1.8 vpn-instance vpnaEudemon firewall interzone vpn-instance vpna trust vzoneEudemon-interzone-trust-vzone-vpna packet-filter 2000 outboundEudemon-interzone-trust-vzone-vpna nat outbound 2000 address-group 1Eudemonip route-static vpn-instance vpna 0.0.0.0 0 202.1.1.2 public,问 题,防火墙和路由器的主要区别有哪些？,总 结,安全域会话工作模式ASPFNAT黑名单端口映射负载均衡虚拟防火墙,