常用思科华为H3C及juniper防火墙培训总结PPT.pptx
- 文档编号:18850294
- 上传时间:2024-01-28
- 格式:PPTX
- 页数:196
- 大小:5.97MB
常用思科华为H3C及juniper防火墙培训总结PPT.pptx
《常用思科华为H3C及juniper防火墙培训总结PPT.pptx》由会员分享,可在线阅读,更多相关《常用思科华为H3C及juniper防火墙培训总结PPT.pptx(196页珍藏版)》请在冰点文库上搜索。
独钩寒江雪原创2013-1-7防火墙培训目录一、防火墙概念二、主流品牌防火墙的介绍、基本工作原理三、主流品牌防火墙常见组网方式及配置示例四、防火墙的维护一、防火墙的概念1、防火墙的概念2、防火墙和路由器的差异3、防火墙的分类1、防火墙的概念随着Internet的日益普及,许多LAN(内部网络)已经直接可以接入Internet网络,这种开放式的网络同时带来了许多不安全的隐患。
在开放网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。
在大厦的构造,防火墙被设计用来防止火从大厦的一部分传播到大厦的另外一部“分。
我们所涉及的防火墙服务具有类似的目的:
防止Internet的危险传播到你的内部”网络。
“”现代的防火墙体系不应该只是一个入口的屏障,防火墙应该是几个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。
在每一个被防火墙分割的网络中,所有的计算机之间“”是被认为可信任的,它们之间的通信可以不受防火墙的干涉。
而在各个被防火墙分割“”的网络之间,必须按照防火墙规定的策略进行互相的访问。
简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
防火墙应该具有如下基本特征:
经过防火墙保护的网络之间的通信必须都经过防火墙。
只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。
防火墙本身必须具有很强的抗攻击、渗透能力。
防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。
硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、TokenRing、FDDI),这些接口用来连接几个网络。
在这些网络中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。
连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域,一般称为DMZ。
2、防火墙和路由器的差异路由器的特点:
路由器的特点:
保证互联互通。
保证互联互通。
按照最长匹配算法逐包转发。
按照最长匹配算法逐包转发。
路由协议是核心特性。
路由协议是核心特性。
防火墙的特点:
防火墙的特点:
逻辑子网之间的访问控制,关注边界安全逻辑子网之间的访问控制,关注边界安全基于连接的转发特性。
基于连接的转发特性。
安全防范是防火墙的核心特性。
安全防范是防火墙的核心特性。
由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。
而路由器基于逐包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。
防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联互通的转发设备。
防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特性。
3、防火墙的分类按照防火墙实现的方式,一般把防火墙分为如下几类:
包过滤防火墙(PacketFiltering)包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。
利用以上的部分或者全部的信息按照规则进行比较,过滤通过防火墙的数据包。
规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定义通过防火墙数据包的条件。
包过滤防火墙简单,但是缺乏灵活性。
另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。
代理型防火墙(applicationgateway)代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。
代理型防火墙安全性较高,但是开发代价很大。
对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
状态检测防火墙状态检测是一种高级通信过滤。
它检查应用层协议信息并且监控基于连接的应用层协议状态。
对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
现在防火墙的主流产品为状态检测防火墙。
包过滤技术包过滤的防火墙根据定义好的过滤规则审查每个数据包,以便确定其是否与某一条包过滤规则匹配。
过滤规则基于数据包的报头信息进行制订。
报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。
以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表。
IP包过滤技术介绍对防火墙需要转发的数据包,先获取包头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
而实现包过滤的核心技术是访问控制列表。
RInternet公司总部内部网络未授权用户办事处代理型防火墙技术应用代理型防火墙是内部网与外部网的隔离点,起着监视和隔绝应用层通信流的作用。
同时也常结合入过滤器的功能。
它工作在OSI模型的最高层,掌握着应用系统中可用作安全决策的全部信息。
以美国NAI公司的Gauntlet防火墙为代表。
状态检测技术状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以通过防火墙。
在状态防火墙中,会维护着一个Session表项,通过Session表项就可以决定哪些连接是合法访问,哪些是非法访问。
AtelnetAtelnettelnetSession目录一、防火墙概念二、主流品牌防火墙的介绍、基本工作原理三、主流品牌防火墙常见组网方式及配置示例四、防火墙的维护二、主流品牌防火墙的介绍、基本工作原理1、华为Eudemon防火墙2、思科ASA防火墙3、JuniperNetscreen防火墙4、H3CF1000防火墙1、华为Eudemon防火墙防火墙的介绍安全区域工作模式控制列表应用访问策略ASPF黑名单Nat地址转换双机工作方式VRRP组HRP攻击防范Eudemon防火墙介绍Eudemon1000/500Eudemon200Eudemon100Eudemon防火墙基本规格E100E200E1000接口数量接口数量自带自带2个个10/100M以太网口,另有以太网口,另有2个个扩展接口插槽扩展接口插槽自带自带2个个10/100M以以太网口。
太网口。
2个扩展接口插槽个扩展接口插槽自带自带2个个10/100M以太网口。
以太网口。
4个扩个扩展接口插槽展接口插槽接口类型接口类型10/100M以太网以太网10/100M以太以太网,网,E1、ATM接口接口FE/GE口,口,E1、ATM、POS等接等接口口支持加密标准支持加密标准DES,3DES,AES,国密办算法国密办算法DES,3DES,AES,国密办算法国密办算法DES,3DES,AES,国密办算法国密办算法加密速度加密速度(3DES)80M100M300M支持的认证类型支持的认证类型RADIUSRADIUSRADIUSEudemon防火墙基本规格E100E200E1000静态静态ACL支持支持支持,支持高速支持,支持高速ACL算法;算法;3K条条支持,支持高速支持,支持高速ACL算法;算法;20K条条支持,支持高速支持,支持高速ACL算算法,法,100K条条提供基于时间的提供基于时间的ACL访问访问控制控制支持支持支持支持支持支持传输层传输层PROXY代理代理支持支持支持支持支持支持ActiveX、Javaapplet过滤过滤支持支持支持支持支持支持支持的抗攻击类型支持的抗攻击类型支持抵抗支持抵抗SYNFLOODSYNFLOOD、ICMPFLOODICMPFLOOD、UDPUDPFLOODFLOOD、WinnukeWinnuke、LandLand、SmurfSmurf、FraggleFraggle等数十种攻击等数十种攻击支持的应用状态检测支持的应用状态检测对对TCP、UDP、分片报文、分片报文、FTP、SMTP、RTSP、H.323、SIP、HTTP等等进行应用状态检测进行应用状态检测IP和和MAC地址绑定地址绑定支持支持支持支持支持支持Eudemon防火墙基本规格E100E200E1000提供对提供对SMTP,FTP等协议的应用层有等协议的应用层有害命令检测和防御。
害命令检测和防御。
支持支持支持支持支持支持NAT主要支持主要支持ALGFTP、PPTP、DNS、NBT(NetBIOSoverTCP)、)、ILS(InternetLocatorService)、)、ICMP、H.323、SIP等协议等等协议等支持支持QoS和带宽管理和带宽管理支持支持支持支持支持支持支持负载均衡支持负载均衡支持支持支持支持支持支持支持工作模式支持工作模式NAT,路由,透明路由,透明NAT,路由,透明路由,透明NAT,路由,透明路由,透明失败恢复特性失败恢复特性双机状态热备;多双机状态热备;多机均衡,自动倒换机均衡,自动倒换;双机状态热备;多双机状态热备;多机均衡,自动倒换机均衡,自动倒换;双机状态热备;多双机状态热备;多机均衡,自动倒换机均衡,自动倒换;Eudemon防火墙基本规格E100E200E1000动态路由动态路由支持支持RIP、OSPF支持支持RIP、OSPF支持支持RIP、OSPF支持支持SNMP监控和配置监控和配置支持支持支持支持支持支持管理方式管理方式GUI,CLIGUI,CLIGUI,CLI集中管理多个防火墙集中管理多个防火墙支持支持支持支持支持支持日志日志支持二进制和支持二进制和SYSLOG格式格式支持二进制和支持二进制和SYSLOG格式格式支持二进制和支持二进制和SYSLOG格式格式日志可设定输出信息日志可设定输出信息所有发起连接,流量,各所有发起连接,流量,各种详细统计如分类丢弃报种详细统计如分类丢弃报文等文等所有发起连接,流量所有发起连接,流量,各种统计如分类丢,各种统计如分类丢弃报文等弃报文等所有发起连接,流量所有发起连接,流量,各种统计如分类丢,各种统计如分类丢弃报文等弃报文等Eudemon防火墙的安全区域防火墙的内部划分为多个区域,所有的转发接口都唯一的属于某个区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4Eudemon防火墙的安全区域路由器的安全规则定义在接口上,而防火墙的安全规则定义在安全区域之间不允许来自10.0.0.1的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域Eudemon防火墙的安全区域Eudemon防火墙上保留四个安全区域:
非受信区(Untrust):
低级的安全区域,其安全优先级为5。
非军事化区(DMZ):
中度级别的安全区域,其安全优先级为50。
受信区(Trust):
较高级别的安全区域,其安全优先级为85。
本地区域(Local):
最高级别的安全区域,其安全优先级为100。
此外,如认为有必要,用户还可以自行设置新的安全区域并定义其安全优先级别。
最多16个安全区域。
Eudemon防火墙的安全区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4域间的数据流分两个方向:
入方向(inbound):
数据由低级别的安全区域向高级别的安全区域传输的方向;出方向(outbound):
数据由高级别的安全区域向低级别的安全区域传输的方向。
Eudemon防火墙的安全区域Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文Eudemon防火墙的安全区域Ethernet外部网络EthernetEudemon(Local)ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0内部网络Eudemon防火墙的工作模式路由模式透明模式混合模式Eudemon防火墙的路由模式可以把路由模式理解为象路由器那样工作。
防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。
报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。
Eudemon防火墙的透明模式透明模式的防火墙则可以被看作一台以太网交换机。
防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。
报文转发的出接口,是通过查找桥接的转发表得到的。
在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。
Eudemon防火墙的混合模式混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。
提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。
双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。
状态防火墙处理过程报文查找会话表未找到命中查找域间ACL规则允许禁止NAT处理/查找路由转发丢弃创建会话表根据路由表找出域进而找到域间Eudemon防火墙的访问控制列表一个IP数据包如下图所示(图中IP所承载的上层协议为TCP):
IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说,这5个元素组成了一个TCP相关,访问控制列表就是利用这些元素定义的规则如何标识访问控制列表?
利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPstandardlist199,2000-2999IPextendedlist100199,3000-3999700799范围的ACL是基于MAC地址的访问控制列表标准访问控制列表标准访问控制列表只使用源地址描述数据,表明是允许还是拒绝。
从202.110.10.0/24来的数据包可以通过!
从192.110.10.0/24来的数据包不能通过!
路由器标准访问控制列表的配置配置标准访问列表的命令格式如下:
aclacl-numbermatch-orderconfig|autorulenormal|specialpermit|denysourcesource-addrsource-wildcard|any怎样利用IP地址和反掩码wildcard-mask来表示一个网段?
访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:
auto和config指定匹配该规则时按用户的配置顺序。
规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。
深度的判断要依靠通配比较位和IP地址结合比较access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.10.0.0.255两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问。
规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。
扩展访问控制列表扩展访问控制列表使用除源地址外更多的信息描述数据包,表明是允许还是拒绝。
从202.110.10.0/24来的,到179.100.17.10的,使用TCP协议,利用HTTP访问的数据包可以通过!
路由器扩展访问控制列表的配置命令配置TCP/UDP协议的扩展访问列表:
rulenormal|specialpermit|denytcp|udpsourcesource-addrsource-wildcard|anysource-portoperatorport1port2destinationdest-addrdest-wildcard|anydestination-portoperatorport1port2logging配置ICMP协议的扩展访问列表:
rulenormal|specialpermit|denyicmpsourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anyicmp-typeicmp-typeicmp-codelogging配置其它协议的扩展访问列表:
rulenormal|specialpermit|denyip|ospf|igmp|gresourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anylogging扩展访问控制列表操作符的含义操作符及语法意义equalportnumber等于端口号portnumbergreater-thanportnumber大于端口号portnumberless-thanportnumber小于端口号portnumbernot-equalportnumber不等于端口号portnumberrangeportnumber1portnumber2介于端口号portnumber1和portnumber2之间在区域间应用访问控制列表例子:
创建编号为101的访问控制列表。
Eudemonaclnumber101#配置ACL规则,允许内部服务器从内部网任意访问外部用户。
Eudemon-acl-adv-101rule1permitip创建编号为102的访问控制列表。
Eudemonaclnumber102#配置ACL规则,允许特定用户从外部网访问内部服务器。
Eudemon-acl-adv-102rule1permittcpsource202.39.2.30destination129.38.1.10Eudemon-acl-adv-102rule2permittcpsource202.39.2.30destination129.38.1.20Eudemon-acl-adv-102rule3permittcpsource202.39.2.30destination129.38.1.30上述配置已经完成了ACL的创建。
下面的配置是在包过滤应用中引用ACL,相关命令的具体解释请见相关章节的描述。
#将ACL规则101作用于Trust区域到Untrust区域间的出方向。
Eudemon-Interzone-trust-untrustpacket-filter101outbound#将ACL规则102作用于unTrust区域到trust区域间的入方向。
Eudemon-Interzone-trust-untrustpacket-filter102inboundASPFASPF(ApplicationSpecificPacketFilter)是针对应用层的包过滤,即基于状态的报文过滤。
它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。
ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。
为保护网络安全,基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。
ASPF能够检测应用层协议的信息,并对应用的流量进行监控。
ASPF能够监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS(DenialofService,拒绝服务)的检测和防范。
JavaBlocking(Java阻断)保护网络不受有害JavaApplets的破坏。
ActivexBlocking(Activex阻断)保护网络不受有害Activex的破坏。
支持端口到应用的映射,为基于应用层协议的服务指定非通用端口。
增强的会话日志功能。
可以对所有的连接进行记录,包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。
ASPF配置举例Ethernet202.101.1.2Ethernet1/0/0202.101.1.1ServerHost2.2.2.11TrustUntrustEthernetEudemonEthernet2/0/02.2.2.1ASPF配置举例Eudemonfirewallsessionaging-timeftp3000Eudemonfirewallsessionaging-timehttp3000Eudemonaclnumber101Eudemon-acl-adv-101ruledenyipEudemonaclnumber10Eudemon-acl-basic-10ruledenysource2.2.2.110.0.0.0Eudemon-acl-basic-10rulepermitsourceanyEudemonfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutboundEudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustpacket-filter101inboundEudemon-interzone-trust-untrustdetectftpEudemon-interzone-trust-untrustdetecthttpEudemon-interzone-trust-untrustdetectjava-blocking10黑名单黑名单,指根据报文的源IP地址进行过滤的一种方式。
同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。
黑名单最主要的一个特色是可以由Eudemon防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。
因此,黑名单是防火墙一个重要的安全特性。
黑名单的创建undofirewallblacklistitemsour-addrtimeoutminutes黑名单的使能undofirewallblacklistenable黑名单的报文过滤类型和范围的设置firewallblacklistfilter-typeicmp|tcp|udp|othersrangeblacklist|global黑名单配置举例Eudemon服务器PC202.169.168.1192.168.10.1服务器和客户机分别位于防火墙Trust区域和Untrust区域中,现要在100分钟内过滤掉客户机发送的所有ICMP报文。
Eudemonfirewallblacklistitem202.169.168.10timeout100Eudemonfirewallblacklistpa
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 常用 思科 华为 H3C juniper 防火墙 培训 总结 PPT