Eudemon防火墙产品与维护胶片V1.0

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,华为产品维护资料,*,防火墙产品培训,声明,2,华为产品维护资料,声明,可选, 声明：,Microsoft,SQL Server 2000,数据库管理系统,是,Microsoft Corporation,的产品。详细的使用说明参见,Microsoft,SQL Server 2000,的相关技术资料。,本资料中涉及的公司名、商标、手册名等属于,Microsoft Corporation,所有。, 声明：,Microsoft,SQL Server 2000,数据库管理系统,是,Microsoft Corporation,的产品。详细的使用说明参见,Microsoft,SQL Server 2000,的相关技术资料。,本资料中涉及的公司名、商标、手册名等属于,Microsoft Corporation,所有。, 声明：,Microsoft,SQL Server 2000,数据库管理系统,是,Microsoft Corporation,的产品。详细的使用说明参见,Microsoft,SQL Server 2000,的相关技术资料。,本资料中涉及的公司名、商标、手册名等属于,Microsoft Corporation,所有。,3,华为产品维护资料,防火墙培训,1.,防火墙技术简介,2.,防火墙体系结构,3.,防火墙原理与特性,4.,防火墙升级指导,5.,防火墙故障处理指导,4,华为产品维护资料,防火墙概述,网络安全问题成为近年来网络问题的焦点,网络安全包括基础设施安全、边界安全和管理安全等全方位策略,防火墙的主要作用是划分边界安全，实现关键系统与外部环境的安全隔离，保护内部网络免受外部攻击,与路由器相比,防火墙提供了更丰富的安全防御策略，提高了安全策略下数据报转发速率,由于防火墙用于边界安全，因此往往兼备,NAT,、,VPN,等功能,我司防火墙：,Eudemon,系列（英文含义守护神）,一夫当关，万夫莫开,5,华为产品维护资料,防火墙的分类,包过滤防火墙,代理防火墙,状态防火墙,包过滤防火墙,代理防火墙,状态防火墙,6,华为产品维护资料,防火墙的分类,按照防火墙实现的方式，一般把防火墙分为如下几类：,包过滤防火墙,(Packet Filtering),包过滤利用定义的特定规则过滤数据包，防火墙直接获得数据包的,IP,源地址、目的地址、,TCP/ UDP,的源端口、和,TCP/UDP,的目的端口。,包过滤防火墙简单，但是缺乏灵活性，对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查，策略过多会导致性能急剧下降。,代理型防火墙（,application gateway,）,代理型防火墙使得防火墙做为一个访问的中间节点，对,Client,来说防火墙是一个,Server,，对,Server,来说防火墙是一个,Client,。,代理型防火墙安全性较高，但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的，因此代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持。,状态检测防火墙,状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。,现在防火墙的主流产品都为状态检测防火墙：高性能,和高安全的完美结合。,7,华为产品维护资料,动态创建和删除过滤规则,改进的状态防火墙：,Eudemon,系列防火墙即采用的这种技术，这是华为特有的,ASPF,技术（,Application specific packet filter,），它结合了代理型防火墙安全性高、状态防火墙速度快的优点，因此安全性高，处理能力强。,监视通信过程中的报文,基于改进的状态检测安全技术,8,华为产品维护资料,防火墙工作原理状态检测技术,ASPF,（,Application Specific Packet Filter,）增强,VRP,平台上的防火墙功能，提供针对应用层的报文过滤功能。,ASPF,是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被,ASPF,维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。,ASPF,不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测，以对一部分攻击加以检测和防范。,9,华为产品维护资料,防火墙工作原理状态检测技术,状态防火墙通过检测基于,TCP/UDP,连接的连接状态，来动态的决定报文是否可以通过防火墙。在状态防火墙中，会维护着一个,Session,表项，通过,Session,表项就可以决定哪些连接是合法访问，哪些是非法访问。,10,华为产品维护资料,防火墙工作原理状态检测技术,FTP,是,File Transfer Protocol,（文件传输协议）要用到两个,TCP,连接，一个是控制通道，用来在,FTP,客户端与服务器之间传递命令；另一个是数据通道，用来上传或下载数据。,检查接口上的外发,IP,报文，确认为基于,TCP,的,FTP,报文。,检查端口号确认连接为控制连接， 建立返回报文的临时,ACL,和状态表。,检查,FTP,控制连接报文，解析,FTP,指令，根据指令更新状态表，如果包含数据通道建立指令，则创建另外的数据连接的临时,ACL,，对于数据连接，不进行状态检测。,对返回报文作根据协议类型做相应匹配检查，检查将根据相应协议的状态表和临时,ACL,决定报文是否允许通过。,DoS,攻击的防范,对所有处于半开,(TCP SYN or UDP),状态的连接进行数目统计和速度采样。,11,华为产品维护资料,防火墙技术发展方向,1,、,软件防火墙。,一般是直接安装在,PC,上的一套软件，基于,PC,提供基本的安全防护，此时防火墙基本上就是一个应用软件。代表产品有,CheckPoint,公司的防火墙产品。,2,、,工控机类型防火墙。,采用,PC,硬件结构，基于,linux,等开发源代码的操作系统内核，开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看，该种防火墙是一个硬件防火墙产品，但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。,3,、,电信级硬件防火墙。,采用独立设计的硬件结构，在,CPU,、电源、风扇、,PCI,总线设计、扩展插卡等方面优化结构，保证防火墙产品可以得到最优的处理性能和高可靠性。代表产品有华为公司的,Eudemon 200,产品、,NetScreen,204,等防火墙产品。,4,、,基于,NP,电信级防火墙。,由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈，基于网络处理器（,NP,）的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能，使得防火墙产品可以达到,1G,线速的处理能力。代表产品有华为公司的,Eudemon 500/1000,产品。,软件防火墙,=,工控机类型防火墙,=,电信级硬件防火墙,=,基于,NP,电信级防火墙,12,华为产品维护资料,主要防火墙性能衡量指标,1,、,吞吐量,其中吞吐量业界一般都是使用,1K,1.5K,的大包衡量防火墙对报文的处理能力的。因网络流量大部分是,200,字节报文，因此需要考察防火墙,小包转发下性能,。因防火墙需要配置,ACL,规则，因此需要考察防火墙,支持大量规则下转发性能,。,2,、,每秒建立连接速度,指的是每秒钟可以通过防火墙建立起来的完整,TCP,连接。由于防火墙的连接是动态连接的，是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前，在防火墙上都必须建立连接。,如果防火墙建立连接速率较慢，在客户端反映是每次通信有较大延迟。,因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻击能力越强。这个指标越大，状态备份能力越强。,3,、,并发连接数目,由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个,TCP/UDP,的访问。,13,华为产品维护资料,防火墙培训,1.,防火墙技术简介,2.,防火墙体系结构,3.,防火墙原理与特性,4.,防火墙升级指导,5.,防火墙故障处理指导,14,华为产品维护资料,Eudemon 200,Eudemon 100,Eudemon,系列防火墙外观,华为公司系列电信级硬件防火墙产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。,Eudemon 500,Eudemon 1000,15,华为产品维护资料,Eudemon,系列防火墙性能,项 目,技术参数与性能指标,Eudemon 100,Eudemon 200,Eudemon,500,Eudemon 1000,整机吞吐率,100Mbps,（实际略低）,400Mbps,1200M,3Gbps,并发连接数,20,万,50,万,50,万,80,万,每秒新建连接数,5000,条,/,秒,20000,条,/,秒,100000,条,/,秒,100000,条,/,秒,Eudemon,系列防火墙业界领先每秒新建连接能力保证了防火墙性能充分发挥。,16,华为产品维护资料,Eudemon 200,：高效可靠的体系结构,双总线,双通道设计,总线冲突减少，总带宽提升,双通道收发互不影响,接口卡,1,接口卡,2,PCI-0,PCI-1,高速内部交换,P,C,I,0,P,C,I,1,CPU,精心设计的体系架构保证了防火墙即使是在,64,字节报文下依旧保持优异转发性能，高速,ACL,技术保证了配置大量规则下，性能不受影响。,17,华为产品维护资料,Eudemon 500/1000,：基于,NP,逻辑结构,Eudemon 500/1000,：基于,NP,的集中式多业务路由器,CPU,NP,高速交换转 发,Logic,高速接口,智能,接口,高速接口,高速接口,2G PCI,共享数据总线,2G D_bus,交换总线,全模块化、基于,NP,硬件集中式转发、电信级可靠性；,TCP,、,UDP,首包都是,NP,进行处理，保证了每秒新建连接,100,000,条,/,秒，充分保证网络安全性。,NP,转发方式保证了,Eudemon 500,和,1000,在,64,字节报文下分别超过,1G,和,2G,；,基于硬件,ACL,保证了配置大量规则情况，性能不受影响。,18,华为产品维护资料,先进的体系架构,Eudemon,防火墙完全自主开发。软件采用专有操作系统，安全,/,高性能并重。,Eudemon 500/1000,防火墙采用网络处理器技术，高性能、可扩展性兼顾。,CPU,功能灵活，可不断升级，弱点是性能低。,ASIC,性能高，弱点是过于固化，无法升级,NP,CPU,ASIC,基于软件的,CPU,的灵活性和基于,ASIC,的高速转发的结合,NP,（网络处理器）,19,华为产品维护资料,防火墙的基本工作流程,传统包过滤防火墙（路由器）,20,华为产品维护资料,E200,状态防火墙,21,华为产品维护资料,与工控机类型防火墙技术对比,大项,子项,工控机类型防火墙,Eudemon,系列防火墙,可靠性,CPU,计算机通用,CPU,，功耗大，,CPU,需要借用风扇散热。通常为,Intel Pentium,系列,CPU,通信用,Powerpc,系列，功耗低,电源,计算机电源，有些工程机无电源故障告警指示。,通信专用电源，适用范围广，电源支持,1+1,备份，可热插拔，出现故障面板有指示灯告警，并上送告警日志。,器件,计算机通用器件，可靠性低,高优质器件,散热系统,计算机风扇，一般内置。有些工控机无故障告警指示，可能由于风扇问题导致元器件损坏。,智能散热系统。分,4,组,8,个小风扇，温度智能检测，温度自动调控，风扇支持热插拔，出现故障面板有指示灯告警，并上送告警日志。,结构,CPU+,主板,+,网卡,无源背板设计，主控板、散热系统、网络处理器模块、接口模块、电源模块全模块化设计，可独立更换。接口卡支持热插拔。,性能,小包（,64,字节）处理能力,只有大包（,1K,字节）处理能力,1/101/6,Eudemon 200,小包超过,120M,，,Eudemon 500/1000,分别超过,1G/2G,每秒新增连接,百兆防火墙只有几千，千兆防火墙, 2,万,Eudemon 500/1000 10,万,安规认证,如果只在国内销售，一般为省成本不做认证,CE,、,UL,、,FCC-PART15,、,TUV-GS,、,VCCI,等,硬件成本,低,高,应用场所,可靠性、性能要求没太高要求企业,可靠性、性能要求高的大、中型企业及电信运营网络,22,华为产品维护资料,千兆防火墙技术对比,大项,子项,基于,ASIC,方式千兆防火墙,Eudemon 500/1000,防火墙,结构,CPU+ASIC,CPU+NP,性能,小包处理能力,千兆,1G/2G,每秒新增连接, 120M(,多条规则性能不受影响,),72M,每秒新建连接,20,000,条,/,秒,12,000,条,/,秒,并发连接,50,万,12.8,万,安全性、,NAT,支持多种应用协议状态检测，,NAT ALG,丰富,支持的协议状态检测较少，,NAT ALG,较少,日志,支持二进制，输出日志时性能不受影响,不支持二进制，输出日志性能下降,24,华为产品维护资料,与业界防火墙对比,Eudemon 200,PIX 525,结构,电信级结构，接口、风扇（可自动调速）、电源（,1+1,备份）可热插拔，最多可支持,6FE,或者,2FE+2GE,基于,PC,机架构，可靠性差，不支持电源备份，接口、电源、风扇不支持热插拔,吞吐量,400M,370M,单条,ACL,规则下,64,字节吞吐量, 120M(,多条规则性能不受影响,),60M,每秒新建连接,20,000,条,/,秒,5,，,600,条,/,秒,并发连接,50,万,28,万,防范,DOS,攻击能力,强（由于每秒新增连接高,+TCP proxy,技术保证的高安全性），支持流量监控,弱（由于每秒新建连接低，容易被大量网络攻击所演没），不支持流量监控,日志输出功能,支持二进制方式，性能不受影响,不支持二进制方式，开启后性能下降很多,工作方式,支持路由、透明模式,不支持透明模式,购买方式,支持双机热备功能及多个接口卡不需要单独受费,需要单独支持双机热备,License,费用及多接口卡,License,费用,25,华为产品维护资料,与业界防火墙对比,Eudemon 500,NetScreen,500,结构,模块化结构，接口、风扇（可自动调速）、电源（,1+1,备份）可热插拔，最多可支持,24FE,或者,3GE,模块化接口,吞吐量,1200M,700M,单条,ACL,规则下,64,字节吞吐量, 1G,（多条规则性能不受影响）,300400M,每秒新建连接,100,000,条,/,秒,18,000,条,/,秒,并发连接,50,万,25,万,安全性、,NAT,支持多种应用协议状态检测，,NAT ALG,丰富,支持的协议状态检测较少，,NAT ALG,较少,防范,DOS,攻击能力,强（由于每秒新增连接高,+TCP proxy,技术保证的高安全性）,弱（由于每秒新建连接低，容易被大量网络攻击所演没）,日志,支持二进制，输出日志时性能不受影响,不支持二进制，输出日志性能下降,26,华为产品维护资料,与业界防火墙对比,Eudemon 500,PIX 535,结构,模块化结构，接口、风扇（可自动调速）、电源（,1+1,备份）可热插拔，最多可支持,24FE,或者,3GE,基于,PC,机架构，可靠性差,吞吐量,1200M,1000M,单条,ACL,规则下,64,字节吞吐量, 1G,（多条规则性能不受影响）,140M,每秒新建连接,100,000,条,/,秒,10,000,条,/,秒,并发连接,50,万,50,万,安全性、,NAT,支持多种应用协议状态检测，,NAT ALG,丰富,支持多种应用协议状态检测，,NAT ALG,丰富,防范,DOS,攻击能力,强（由于每秒新增连接高,+TCP proxy,技术保证的高安全性），支持流量监控,弱（由于每秒新建连接低，容易被大量网络攻击所演没），不支持流量监控,日志输出功能,支持二进制方式，性能不受影响,不支持二进制方式，开启后性能下降很多,工作方式,支持路由、透明模式,不支持透明模式,购买方式,支持双机热备功能及多个接口卡不需要单独受费,需要单独支持双机热备,License,费用及多接口卡,License,费用,27,华为产品维护资料,防火墙培训,1.,防火墙技术简介,2.,防火墙体系结构,3.,防火墙原理与特性,4.,防火墙升级指导,5.,防火墙故障处理指导,28,华为产品维护资料,防火墙的安全区域,防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域,Local,区,域,Trust,区域,DMZ,区域,UnTrust,区域,接口,1,接口,2,接口,3,接口,4,29,华为产品维护资料,防火墙的安全区域,路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间,不允许来自,10.0.0.1,的数据报从这个接口出去,Local,区,域,Trust,区域,DMZ,区域,UnTrust,区域,接口,1,接口,2,接口,3,接口,4,禁止所有从,DMZ,区域的数据报,转发到,UnTrust,区域,30,华为产品维护资料,防火墙的安全区域,Eudemon,防火墙上保留四个安全区域：,非受信区（,Untrust,）：低级的安全区域，其安全优先级为,5,。,非军事化区（,DMZ,）：中度级别的安全区域，其安全优先级为,50,。,受信区（,Trust,）：较高级别的安全区域，其安全优先级为,85,。,本地区域（,Local,）：最高级别的安全区域，其安全优先级为,100,。,此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多,16,个安全区域。,31,华为产品维护资料,防火墙的安全区域,域间的数据流分两个方向：,入方向（,inbound,）：数据由低级别的安全区域向高级别的安全区域传输的方向；,出方向（,outbound,）：数据由高级别的安全区域向低级别的安全区域传输的方向。,Local,区,域,Trust,区域,DMZ,区域,UnTrust,区域,接口,1,接口,2,接口,3,接口,4,In,Out,In,Out,out,in,In,Out,32,华为产品维护资料,防火墙的安全区域,本域内不同接口间不过滤直接转发,进、出接口相同的报文被丢弃（,EU200-VRP3.20-0314.01,版本后支持）,接口没有加入域之前不能转发包文,Local,区,域,Trust,区域,DMZ,区域,UnTrust,区域,接口,1,接口,2,接口,3,接口,4,In,Out,In,Out,In,Out,In,Out,Local,区,域,Trust,区域,DMZ,区域,UnTrust,区域,接口,1,接口,2,接口,3,接口,4,33,华为产品维护资料,防火墙的安全区域,34,华为产品维护资料,防火墙的三种工作模式,路由模式,透明模式,混合模式,35,华为产品维护资料,防火墙的三种工作模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。,36,华为产品维护资料,防火墙的三种工作模式,透明模式的防火墙简单理解可以被看作一台以太网交换机。防火墙的接口不能配,IP,地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的,IP,地址进行各种安全策略的匹配。,Eudemon,防火墙与网桥存在不同，,Eudemon,防火墙中,IP,报文还需要送到上层进行相关过滤等处理，通过检查会话表或,ACL,规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持,ACL,规则检查、,ASPF,状态过滤、防攻击检查、流量监控等功能。,透明模式可以配置系统,IP,。,37,华为产品维护资料,防火墙的三种工作模式,混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的,VRRP,需要在接口上配置,IP,地址，而透明模式无法实现这一点。,38,华为产品维护资料,防火墙的安全防范,ACL,安全策略,NAT,攻击防范,IDS,联动,报文统计与日志,AAA,39,华为产品维护资料,访问控制列表是什么？,一个,IP,数据包如下图所示（图中,IP,所承载的上层协议为,TCP,）：,IP,报头,TCP,报头,数据,协议号,源地址,目的地址,源端口,目的端口,对于,TCP,来说，这,5,个元素组成了一个,TCP,相关，访问控制列表就是利用这些元素定义的规则,40,华为产品维护资料,如何标识访问控制列表？,利用数字标识访问控制列表,利用数字范围标识访问控制列表的种类,列表的种类,数字标识的范围,IP standard list,1,99,2000-2999,IP extended list,100,199,3000-3999,700,799,范围的,ACL,是基于,MAC,地址的访问控制列表,备注：,VRP3.20-0315.02,（包括）后版本支持根据用户定义,ACL,规则进行信息检测，添加检测启动命令,detect user-define,acl,-number aging-time,，添加打开用户定义,ACL,规则的检测调试命令,debugging firewall,aspf,user-define,41,华为产品维护资料,ACL,加速,应为每次区域间转发数据报时都要线性检查,ACL,中的所有规则,当,ACL,中的规则较多时,将极大的影响转发速度。,A,CL,加速查找功能是一种能大大提高访问控制列表查找性能的技术。,ACL,加速查找不会因为访问控制列表中规则条目的增加而降低规则的匹配速度，因此使能,ACL,加速查找功能可以在规则数目很多的时候显著提高防火墙的性能。,增加规则要重新下发：系统视图下,acl,accelerate enable,基于,MAC,地址的访问控制列表不支持,ACL,加速查找功能,Rule 1,Rule 2,Rule 3,ACL,规则库,42,华为产品维护资料,防火墙的安全防范,ACL,安全策略,NAT,攻击防范,IDS,联动,报文统计与日志,AAA,43,华为产品维护资料,ASPF,ASPF,（,Application Specific Packet Filter,）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。,ASPF,能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。,为保护网络安全，基于,ACL,规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。,ASPF,对应用层的协议信息进行检测，通过维护会话的状态和检查会话报文的协议和端口号等信息，阻止恶意的入侵。,44,华为产品维护资料,黑名单,黑名单，指根据报文的源,IP,地址进行过滤的一种方式。同基于,ACL,的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的过滤，从而有效地将特定,IP,地址发送来的报文屏蔽。黑名单最主要的一个特色是可以由,Eudemon,防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定,IP,地址的攻击企图之后，通过主动修改黑名单列表从而将该,IP,地址发送的报文过滤掉。因此，黑名单是防火墙一个重要的安全特性。,45,华为产品维护资料,黑名单,黑名单的创建,undo firewall blacklist item,sour-,addr,timeout,minutes,黑名单的使能,undo firewall blacklist enable,黑名单的报文过滤类型和范围的设置,firewall,blacklist,filter-type,icmp,|,tcp,|,udp,|,others, ,range,blacklist,|,global, ,46,华为产品维护资料,黑名单配置举例,服务器和客户机分别位于防火墙,Trust,区域和,Untrust,区域中，现要在,100,分钟内过滤掉客户机发送的所有,ICMP,报文。,47,华为产品维护资料,黑名单配置举例,Eudemon,firewall blacklist item 202.169.168.10 timeout 100,Eudemon,firewall blacklist packet-filter,icmp,range global,Eudemon,firewall blacklist enable,48,华为产品维护资料,其它,MAC,和,IP,地址绑定，指防火墙可以根据用户的配置，在特定的,IP,地址和,MAC,地址之间形成关联关系。对于声称从这个,IP,发送的的报文，如果其,MAC,地址不是指定关系对中的地址，防火墙将予以丢弃，发送给这个,IP,地址的报文，在通过防火墙时将被强制发送给这个,MAC,地址。从而形成有效的保护，是避免,IP,地址假冒攻击的一种方式。注意其要点,端口识别简介应用层协议一般使用通用的端口号（知名端口号）进行通信。端口识别允许用户针对不同的应用在系统定义的端口号之外定义一组新的端口号。端口识别提供了一些机制来维护和使用用户定义的端口配置信息。端口识别能够对不同的应用协议创建和维护一张系统定义（,system-defined,）和用户定义（,user-defined,）的端口识别表。,49,华为产品维护资料,防火墙数据报安全匹配的顺序,NAT,服务器,域间的,ACL,规则,域间的,ASPF,域间的,NAT,域间的缺省规则,数据报,50,华为产品维护资料,IDS,联动,由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，,Eudemon,防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的,IDS,（,Intrusion Detective System,，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定,IDS,系统和配置情况决定。,51,华为产品维护资料,IDS,联动,1,2,3,4,IDS,服务器,提供基于应用层的过滤,52,华为产品维护资料,IDS,联动配置举例,53,华为产品维护资料,攻击类型简介,单报文攻击,Fraggle,Ip,spoof,Land,Smurf,Tcp,flag,Winnuke,ip,-fragment,54,华为产品维护资料,攻击类型简介,分片报文攻击,Tear Drop,Ping of death,拒绝服务类攻击,SYN Flood,UDP Flood & ICMP Flood,扫描,IP sweep,Port scan,55,华为产品维护资料,单包攻击原理及防范,-1,Fraggle,特征：,UDP,报文，目的端口,7,（,echo,）或,19,（,Character Generator,）,目的：,echo,服务会将发送给这个端口的报文再次发送回去,Character Generator,服务会回复无效的字符串,攻击者伪冒受害者地址，向目的地址为广播地址的上述端口，发送请求，会导致受害者被回应报文泛滥攻击,如果将二者互指，源、目的都是广播地址，会造成网络带宽被占满,配置：,firewall defend,fraggle,enable,原理：过滤,UDP,类型的目的端口号为,7,或,19,的报文,56,华为产品维护资料,单包攻击原理及防范,-2,IP Spoof,特征：地址伪冒,目的：伪造,IP,地址发送报文,配置：,firewall defend,ip,-spoofing enable,原理：对源地址进行路由表查找，如果发现报文进入接口不是本机所认为的这个,IP,地址的出接口，丢弃报文,57,华为产品维护资料,单包攻击原理及防范,-3,Land,特征：源目的地址都是受害者的,IP,地址，或者源地址为,127,这个网段的地址,目的：导致被攻击设备向自己发送响应报文，通常用在,syn,flood,攻击中,配置：,firewall defend land enable,防范原理：对符合上述特征的报文丢弃,58,华为产品维护资料,单包攻击原理及防范,-4,Smurf,特征：伪冒受害者,IP,地址向广播地址发送,ping echo,目的：使受害者被网络上主机回复的响应淹没,配置：,firewall defend,smurf,enable,原理：丢弃目的地址为广播地址的报文,59,华为产品维护资料,单包攻击原理及防范,-5,TCP flag,特征：报文的所有可设置的标志都被标记，明显有冲突。比如同时设置,SYN,、,FIN,、,RST,等位,目的：使被攻击主机因处理错误死机,配置：,firewall defend,tcp,-flag enable,原理：丢弃符合特征的报文,60,华为产品维护资料,单包攻击原理及防范,-6,Winnuke,特征：设置了分片标志的,IGMP,报文，或针对,139,端口的设置了,URG,标志的报文,目的：使被攻击设备因处理不当而死机,配置：,firewall defend,winnuke,enable,原理：丢弃符合上述特征报文,61,华为产品维护资料,单包攻击原理及防范,-7,Ip-frag,特征：同时设置了,DF,和,MF,标志，或偏移量加报文长度超过,65535,目的：使被攻击设备因处理不当而死机,配置：,firewall defend,ip,-fragment enable,原理：丢弃符合上述特征报文,62,华为产品维护资料,分片报文攻击原理及防范,-1,Tear drop,特征：分片报文后片和前片发生重叠,目的：使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口,配置：firewall defend teardrop enable,原理：防火墙为分片报文建立数据结构，记录通过防火墙的分片报文的偏移量，一点发生重叠，丢弃报文,63,华为产品维护资料,分片报文攻击原理及防范,-2,Ping of death,特征：,ping,报文全长超过,65535,目的：使被攻击设备因处理不当而死机,配置：,firewall defend ping-of-death enable,原理：检查报文长度如果最后分片的偏移量和本身长度相加超过,65535,，丢弃该分片,64,华为产品维护资料,拒绝服务攻击原理及防范,-1,SYN Flood,特征：向受害主机发送大量TCP连接请求报文,目的：使被攻击设备消耗掉所有处理能力，无法响应正常用户的请求,配置：,statistic enable ip inzone,firewall defend syn-flood ip,X.X.X.X,| zone,zonename, max-number,num, max-rate,num, tcp-proxy,auto|on|off,firewall defend syn-flood enable,原理：防火墙基于目的地址统计对每个IP地址收到的连接请求进行代理，代替受保护的主机回复请求，如果收到请求者的ACK报文，认为这是有效连接，在二者之间进行中转，否则删掉该会话,65,华为产品维护资料,拒绝服务攻击原理及防范,-2,小,UDP/ICMP Flood,特征：向受害主机发送大量,UDP/ICMP,报文,目的：使被攻击设备消耗掉所有处理能力,配置：,statistic enable,ip,inzone,firewall defend,udp/icmp,-flood ,ip,X.X.X.X,| zone,zonename, max-rate,num,firewall defend,udp/icmp,-flood enable,原理：防火墙基于目的地址统计对每个,IP,地址收到的报文速率，超过设定的阈值上限，进行,car,66,华为产品维护资料,扫描攻击原理和防范,-1,IP sweep,特征：地址扫描，向一个网段内的,IP,地址发送报文,nmap,目的：用以判断是否存在活动的主机以及主机类型等信息，为后续攻击作准备,配置：,Statistic enable,ip,outzone,Firewall defend,ip,-sweep max-rate,num, blacklist-timeout,num,原理：防火墙根据报文源地址进行统计，检查某个,IP,地址向外连接速率，如果这个速率超过了阈值上限，则可以将这个,IP,地址添加到黑名单中进行隔离,注意：如果要启用黑名单隔离功能，需要先启动黑名单,67,华为产品维护资料,扫描攻击原理和防范,-2,Port scan,特征：相同一个,IP,地址的不同端口发起连接,目的：确定被扫描主机开放的服务，为后续攻击做准备,配置：,Statistic enable,ip,outzone,Firewall defend port-scan max-rate,num, blacklist-timeout,num,原理：防火墙根据报文源地址进行统计，检查某个,IP,地址向同一个,IP,地址发起连接的速率，如果这个速率超过了阈值上限，则可以将这个,IP,地址添加到黑名单中进行隔离,注意：如果要启用黑名单隔离功能，需要先启动黑名单,68,华为产品维护资料,防火墙防范的其他报文,Icmp,redirect,Icmp,unreachable,Large,icmp,Route record,Time stamp,tracert,69,华为产品维护资料,VRRP,和,VGMP,传统,VRRP,备份组,在防火墙上应用的问题（多个组主备不一致）,Vrrp,Group Management Protocol,状态一致性（组内,vrrp,同步变换状态）,抢占管理（屏蔽,vrrp,抢占）,通道管理（,data,，,trans-only,）,70,华为产品维护资料,两个防火墙上各接口之间的隶属关系,两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（,IP,地址除外）。,两个防火墙上各,VRRP,备份组之间的隶属关系,两个防火墙上的备份组编号、构成必须完全一样。这就是说,EudemonA,上的,A1,接口隶属备份组,1,，,A2,接口隶属备份组,2,，,A3,接口隶属备份组,3,；则,EudemonB,上的,B1,、,B2,和,B3,接口也必须分别隶属备份组,1,、,2,和,3,。,两个防火墙上各,VRRP,管理组之间的隶属关系,两个防火墙上的管理组编号、构成必须完全一样。这就是说,EudemonA,上的管理组包括备份组,1,、,2,和,3,，则,EudemonB,上的同样编号的管理组也必须包含备份组,1,、,2,和,3,。,同一防火墙上接口、备份组、管理组之间的隶属关系,同一防火墙（例如,EudemonA,）上，一个物理接口可以隶属多个,VRRP,备份组。一个备份组中能包含多个物理接口，对应多个虚拟,IP,地址。同一,VRRP,管理组可以包含多个备份组，但是相同备份组不能隶属多个,VRRP,管理组。,VRRP,备份组提供的备份功能是相对于安全区域而言的，即每个安全区域对应一个备份组；而,VRRP,管理组实现了各,VRRP,状态的一致性，是相对于,Eudemon,防火墙而言的，在每个防火墙上都定义至少一个,VRRP,管理组，负责管理该,Eudemon,防火墙与各安全区域相关的备份组,71,华为产品维护资料,VRRP,的配置任务,(,无,符号，表示该配置仅适用于未加入管理组的备份组,),配置备份组的虚拟,IP,地址,配置备份组的优先级,配置备份组的抢占方式和延迟时间,配置备份组的认证方式和认证字,配置备份组的定时器,配置监视指定接口,VRRP,管理组的配置包括：,创建,VRRP,管理组,使能,VRRP,管理组功能,配置向,VRRP,管理组添加备份组,配置,VRRP,管理组优先级,配置,VRRP,管理组抢占功能,配置,VRRP,管理组,Hello,报文的发送间隔,配置,VRRP,管理组的报文群发标志,72,华为产品维护资料,VGMP,73,华为产品维护资料,HRP,HRP,（,Huawei Redundancy Protocol,）。,HRP,协议是承载在,VGMP,报文上进行传输的，在,Master,和,Backup,防火墙设备之间备份关键配置命令和会话表状态信息,配置主备,当采用负载分担方式时，网络中存在两台,Master,防火墙。为了避免备份时混乱，,Eudemon,防火墙中引入了配置主设备、配置从设备概念。,配置主设备：,发送配置备份内容的防火墙,配置从设备：,接收配置备份内容的防火墙,只有,VRRP,管理组中状态为,Master,的防火墙才有机会成为配置主设备。,在负载分担方式下，参与双机热备份的两台,Eudemon,防火墙都是,Master,，此时则按照,VRRP,组优先级、接口真实,IP,地址从大到小的顺序选择配置主设备。,74,华为产品维护资料,HRP/VGMP/VRRP,关系,当,VRRP,管理组状态变化时，系统将通知,HRP,状态和配置主,/,从设备的状态发生相应的变化，从而确保两台防火墙之间配置命令和会话状态信息得到及时备份。,同时，,VRRP,管理组状态也要受,HRP,状态影响，即,VRRP,会根据,HRP,状态切换的结果来调整优先级，并进行,VRRP,状态切换。,75,华为产品维护资料,IDS,联动,由于防火墙自身具有一定的局限性，如检查的颗粒度较粗，难以对众多的协议细节进行深入的分析与检查，并且防火墙具有防外不防内的特点，难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。因此，,Eudemon,防火墙开放了相关接口，通过与其它安全软件进行联动，从而构建统一的安全网络。网络中的,IDS,（,Intrusion Detective System,，攻击检测系统）系统就像在网络上装备了网络分析器，对网络传输进行监视。该系统熟悉最新的攻击手段，而且尽力在检查通过的每个报文，从而尽早处理可疑的网络传输。具体采取的措施由用户使用的特定,IDS,系统和配置情况决定。,76,华为产品维护资料,升级方法,E200,升级方法,比较简单，大包中包含大,Bootrom,，直接升级大包即解决问题,老命令行,E100,升级方法,应对,E100,问题，出新命令行升级版本,0315,首先要升级小,Bootrom,然后升级为防火墙,Bootrom,最后下载防火墙新软件,可以支持软件升级，不用更换硬件,命令行变化，访问列表变化,77,华为产品维护资料,使用注意事项,推荐配置,管理网口性能高，推荐作为主要业务口,打开快转（,D013,之前，之后缺省打开）,接口模式设置为百兆、全双工，不要协商,ACL,条目较多，使用,ACL,加速算法,不使能,ftp,服务器（黑名单现在无法防范）,尽可能使用路由模式,TCP,相关会话老化时间设置长一些默认,40,：,fire,sess,aging-time,可以使能黑名单，防止非法登录防火墙,78,华为产品维护资料,使用注意事项（,2,）,功能限制,目前版本尽量避免使用动态路由，,D10SP1,目前不支持同一个报文在同一个接口上下，组网需要避免,隧道,L2tp,、,GRE,等，最低版本,D10SP1,避免开放流日志（日志服务器未发布、,D013,）,系统统计不要关闭,攻防模块日志较多，没有必要不要打开，防止,log,没有有效信息,79,华为产品维护资料,故障收集信息,display diagnostic-information,display,arp,display firewall session table,display fib/display,ip,routing-table,80,华为产品维护资料,Eudemon200,接口不转发,1,、接口是否加入区域,2,、防火墙是否进行了限制,3,、是否同一个接口进行数据转发（注意其版本）,81,华为产品维护资料,Eudemon200,告警灯亮的问题,告警灯对那些进行告警：,rpu,的,alarm,灯对温度、风扇、电源异常进行告警。,如果,fan,、,pwr1,、,pwr2,的告警灯亮了，,rpu,的告警灯也会亮,就是说电源模块自己的告警可以反映到主控板,pwr,告警灯上，,主控板,pwr,告警可以反映到,rpu,告警灯上。,风扇、电源的状态可以通过,display device,命令查看。,常见情况：,Eudmeon200,有两路电源，如果一开始就只有一路电源折不会产生告警,如果一开始有两路电源，但是后来拔掉一路电源，则告警灯会亮,如果有两路电源，但是有一路没有开，告警灯会亮,告警产生后的查看命令：,disp,device,看单板状态,disp,environment,看环境信息,disp,alarm u,看告警信息,disp,log,看日志信息,例子：本溪铁通接了地线导致电源告警，网上问题,82,华为产品维护资料,Eudemon200,告警灯亮的问题,确认问题后对出现异常的上报信息，可以做以下两个操作：,1,）在诊断模式下执行以下操作：,Quidway-diagnosetinit,nv,Initialize the NVRAM succeeded!,清除,NVRAM,中以往错误记录，以免误导；,0,这个清除将清除,disp,alarm,中的所有记录都清除,2,）使用以下命令关闭告警灯,quench alarm light,rpu,Eudemon200 0313,（包括）之后才可以使用,备注：如何进入诊断模式：,sys,模式下输入下划线“,_”,回车即可。,83,华为产品维护资料,关于主控板接口的使用,Eudemon200,主控板接口转发性能高，建议使用,Eudemon1000,主控板接口转发性能低，不建议使用,84,华为产品维护资料,EU100-VRP3.30-0316.01(07),与软交换配合无法正常实现,NAT H.323 ALG,功能的问题,EU100-VRP3.30-0316.01(07),与软交换配合实现,H.323 ALG,功能，下接丽台可视电话通信时，出现话路双不通情况。,Eudemon100,去掉,NAT,功能，做路由器时使用可视电话正常。,85,华为产品维护资料,Eudemon0324/0322,版本,L2tp,问题,Eudemon200,作为,LNS,服务器，在配置了多个,L2tp Group,的情况下目前不支持精确匹配功能，即如果,l2tp Group 1,没有配置,remote,信息，则所有的登陆请求将都匹配,l2tp Group 1,，而不是根据,remote,名和域名进行精确匹配。正确的匹配算法是应该先匹配,remote,名和域名都相同的,l2tp Group,组，如果不存在则匹配,remote,名相同的,l2tp Group,组，如果还不存在则看,l2tp Group 1,是否配置了,remote,名，如果没有配置则匹配,l2tp Group 1,如果配置了则返回匹配失败，用户将不能登录。,86,华为产品维护资料,使用,console,登录,eudemon,出现与远程连接断开但是,console,无法操作的情况，处理方法：,0313,（包括）之前版本，使用,console,登录,eudemon,后,telent,远程主机。有可能出现与远程连接断开但是,console,无法操作的情况，处理方法：,1,、等待超时,2,、,ctrl+k,87,华为产品维护资料,NAT,转换常见问题,0313,版本：,NETMEETING,使用,H323,，,Eudmeon200,支持,MSN,使用,SIP,，暂时不支持,QQ,使用私用协议，要它开发后我们才支持，,0314,版本支持,对于,MGCP,协议不支持,PPTP,不支持,88,华为产品维护资料,NAT,转换常见问题,Eudmeon200,做,NATserver,时候是使用访问列表方式运行外网（,untrust,区域）访问内网的,server,（,trust,区域），这个时候访问列表使用的地址是,NATSERVER,公网地址还是私网地址呢？,私网地址。,89,华为产品维护资料,E1000,