Eudemon200防火墙操作指导书.docx
《Eudemon200防火墙操作指导书.docx》由会员分享,可在线阅读,更多相关《Eudemon200防火墙操作指导书.docx(57页珍藏版)》请在冰豆网上搜索。
Eudemon200防火墙操作指导书
产品名称Productname
密级Confidentialitylevel
Eudemon200
产品版本Productversion
Total41pages共41页
V200R001
Eudemon200防火墙操作指导
Preparedby
拟制
赵强
Date
日期
2003/09/08
Reviewedby
评审人
Date
日期
Approvedby
批准
Date
日期
Authorizedby
签发
Date
日期
HuaweiTechnologiesCo.,Ltd.
华为技术有限公司
Allrightsreserved
版权所有XX
(REP01T01V2.31/IPD-CMMV2.0/forinternaluseonly)
(REP01T01V2.31/IPD-CMMV2.0/仅供内部使用)
Revisionrecord修订记录
Date
日期
RevisionVersion
修订
版本
CRID/DefectID
CR号
SectionNumber
修改
章节
ChangeDescription
修改描述
Author
作者
2003-09-10
1.00
initial初稿完成
赵强
2004-3-10
1.03
更新对应D013
赵强
2004-3-23
1.04
5.5.2
5.8.2
增加了“使用带time-range的acl规则在加速查找之后不正常”和“透明模式下透传组播/广播报文的问题(OSPF/RIP2透传)”两个FAQ问题
赵强
2004-5-25
1.05
赵强
DistributionList分发记录
CopyNo.
Holder'sName&Role
持有者和角色
IssueDate
分发日期
1
yyyy-mm-dd
Catalog目录
1Introduction简介7
1.1目的7
1.2范围7
1.3发布对象7
2Eudemon200防火墙的特点8
2.1基于状态的防火墙8
2.2安全域概念介绍8
2.2.1防火墙的域8
2.2.2域间概念10
2.2.3本地域(Local)10
2.3防火墙的模式11
2.3.1概述11
2.3.2路由模式11
2.3.3透明模式11
2.3.4混合模式12
2.4访问控制策略和报文过滤12
2.4.1访问控制策略的异同12
2.4.2ACL加速查找13
2.4.3报文过滤规则的应用15
2.4.4防火墙缺省动作16
2.5NAT的相关配置16
2.5.1NAT配置的异同16
2.5.2NATALG命令17
2.6统计功能17
2.6.1统计功能的特殊概念17
2.6.2统计的注意事项17
2.7双机热备18
2.7.1双机简介18
2.7.2基于纯VRRP的备份18
2.7.3基于HRP的备份18
2.7.4双机热备的注意事项19
2.8防火墙的自动配置19
2.8.1防火墙同IDS联动19
2.8.2攻击检测模块同黑名单联动20
2.8.3登录模块同黑名单联动20
3典型的网络攻击方式和对策20
3.1常见攻击方式和对策20
3.1.1syn-flood20
3.1.2UDP/ICMPFlood攻击21
3.1.3Pingofdeath/Teardrop21
3.1.4IPsweep/Portscan22
3.1.5IP-Spoofing攻击22
3.1.6对于畸形报文的检测功能23
3.1.7对有潜在危害性的报文的过滤23
4典型配置24
4.1防火墙的初始配置24
4.2透明模式的基本配置27
4.3路由模式组网实例30
4.4双机热备组网实例31
4.5透明模式组网实例35
5配置的常见问题(FAQ)36
5.1接好防火墙之后,网络不通,无法ping通其他设备,其他设备也无法ping通防火墙36
5.2使用时感觉防火墙性能很低37
5.3有的端口打开了快转有的没有,在组合起来应用的时候,某些端口性能很低37
5.4D007版本的防火墙在使用管理网口上创建子接口,同交换机配合的时候子接口接收不到报文37
5.5ACL和报文过滤功能37
5.5.1ACL加速编译失败37
5.5.2使用带time-range的acl规则在加速查找之后不正常37
5.5.3配置了黑名单表项,但是Buildrun信息中却没有显示38
5.5.4使能地址绑定功能之后,原来配置的静态ARP表项消失38
5.5.5配置了ASPF功能,要进行java/activexblock功能,也配置了ACL用来划定范围,但是却不起作用38
5.5.6设置了到local域的detectftp选项,但是当禁止从本地域主动发出报文之后,连接防火墙自身的FTP数据通道还是无法连通39
5.6攻击防范和统计功能39
5.6.1使能了syn-flood/udp-flood/icmp-flood防御功能,但却没有作用39
5.6.2使能了地址扫描/端口扫描共能,但却没有作用39
5.7双机热备功能39
5.7.1配置了vgmp但却没有作用39
5.7.2指定用于传输数据的通道是专门通道,其状态切换不影响应用,此时怎么办39
5.7.3在应用正常的情况下,改动了vrrp的属性发现通讯有问题,表现为能ping通接口,但是不能透过防火墙39
5.7.4VRRP配置不一致的时候,屏幕上打印大量告警影响使用40
5.7.5VRRP状态不稳定切换频繁40
5.8透明模式问题40
5.8.1透明模式下ARP表项学习有问题40
5.8.2透明模式下透传组播/广播报文的问题(OSPF/RIP2透传)40
5.9NAT问题41
5.9.1配置了NATserver之后,从其他域网络访问这个NATserver对应的私网IP地址也不通了41
5.9.2配置NATServer之后,从这台服务器向外发起访问,是否还需要配置NAT地址池41
5.9.3防火墙割接后,NATServer/Pool中的地址访问不正常,换回原有设备就可以访问41
FigureList图目录
图1安全区示意图9
图2路由模式应用组网图28
图3透明模式应用组网图30
Eudemon200防火墙操作指导
Keywords关键词:
Abstract摘要:
本文对Eudemon200防火墙的特点、典型应用以及常见的攻击方式及在Eudemon200上的防范方法作了简要的说明。
本文的目的是使本文的读者,可以在通读本文之后对E200防火墙有比较清楚的认识,可以有效地应用防火墙进行组网。
Listofabbreviations缩略语清单:
Abbreviations缩略语
Fullspelling英文全名
Chineseexplanation中文解释
1
Introduction简介
1.1目的
本文通过对Eudemon200防火墙的特点,使用方法作出描述,使读者可以对我司的状态防火墙有一个初步的认识,可以结合实例和攻击的特点对防火墙进行有效的配置,保护网络的安全。
最后本文将给出一些典型的配置实例,在不同的情况下应用并修改这些实例,可以适应比较常见的网络应用。
本文不详细介绍用到的命令行格式和配置细节,相关信息请参考用户手册中的说明
1.2范围
本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。
1.3发布对象
本文针对的读者,为华为公司的技术人员,属于内部文档。
文中可能涉及到产品内部实现的细节以及目前存在的某些缺陷,因此本文不可以直接提供给外部人员使用。
如果有需要,请自行对文章进行裁减,仅将可以公开的内容提供给外部人员。
2
Eudemon200防火墙的特点
Eudemon200防火墙,是我司推出的网络安全产品的重要组成部分,开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品,提供了比较丰富的功能。
作为一个新形态的产品,在防火墙上我们提出了一些新的概念,这是不同于以前的路由器产品的,在下面的部分中,首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。
2.1基于状态的防火墙
Eudemon200防火墙是我司推出的状态防火墙。
所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。
像TCP连接的三次握手这种状态属于网络协议的第四层,而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层,需要应用层网关的支持才能处理。
Eudemon200防火墙就是一款支持应用层网关的状态防火墙。
举个最简单的例子来说明报文通过防火墙的过程:
首先报文到达防火墙,防火墙首先检查是否针对这个报文已经有会话表存在
如果有,根据会话表中的信息,在进行必要的处理之后,防火墙将转发这个报文
如果没有找到表项,防火墙会对这个报文进行一系列检查,在诸多检查都通过之后,防火墙会根据这个报文的特征信息,在防火墙上建立一对会话表项,以便这个会话的后续报文可以直接通过防火墙。
建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙,这样用户就不需要既考虑报文的发送也考虑报文的回应消息,可以专心设计安全策略。
对于FTP/H323等需要协商数据通道的应用协议,用户只需要配置允许该协议最基本的控制通道的连通,在这个控制通道上协商出来的所有数据通道,防火墙都会预先为其建立好通过防火墙的表项。
而以前的包过滤防火墙,必须用繁杂的ACL来保证这些协议数据通道的连通,还不可避免的会留下安全漏洞。
2.2安全域概念介绍
2.2.1防火墙的域
对于路由器设备,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。
这样,一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查,以便使其符合每个接口上独立的安全定义。
而这种思路对于防火墙设备来说就不是很合适,防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害,有着明确的内外之分。
当一个数据流通过防火墙设备的时候,根据其发起方向的不同,所引起的操作是截然不同的。
由于这种安全级别上的差别,再采用在接口上检查安全策略的方式已经不适用,可能会造成用户在配置上的混乱。
因此,防火墙提出了安全区域的概念。
一个安全区域是一个或多个接口的一个组合,具有一个安全级别。
在设备内部,这个安全级别通过一个0-100的数字来表示,数字越大表示安全级别越高,不存在两个具有相同安全级别的区。
只有当数据在分属于两个不同安全级别的接口之间流动的时候,才会激活防火墙的安全规则检查功能。
数据在属于同一个安全域的不同接口间流动的时候将被直接转发,不会触发ACL等检查。
在缺省情况下,防火墙设置四个安全区域:
本地域(Local)、受信域(trust)、非受信域(untrust)和非军事化区(dmz)。
除了本地域,每个区域可以关联一个或多个防火墙接口。
本地域具有最高的安全级别100,受信域安全级别为80,非受信域安全级别为5,非军事化区的级别处于二者之间,设定安全级别为50。
如果用户需要,还可以添加其他安全域,目前的版本中,最多可以支持16个安全域。
图1安全区示意图
一般情况下,受信区接口连接用户要保护的内部网络,非受信区连接外部网络,非军事化区连接用户向外部提供服务的部分网络。
在以接口为基础进行安全检查的路由器上,进入接口的报文称为inbound方向,流出接口的报文称为outbound方向,针对每个方向,可以配置一组ACL规则,分别进行检查。
可以看出来,这种方向的判定是以路由器自身为参照物,将路由器看作网络上的一个结点。
而防火墙上的检查是发生在属于不同优先级别的两个接口之间的,我们可以将防火墙理解为一个边界,对于方向的判定是由防火墙所连接的不同网络为基准的。
对于防火墙上任意两个域来说,高安全级别一侧为内,低安全级别一侧为外。
当数据从高安全级别的进入而从低安全级别的接口流出的时候,称之为出方向(Outbound);反之,当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候,称之为入方向(Inbound)。
举例来说,当数据从属于DMZ的接口进入防火墙,从属于untrust的接口流出的时候,这个流是出方向的流;而当数据从同样的接口进入防火墙,从属于trust的接口流出的时候,这个流的方向就变成入方向了。
在每个方向上,我们都可以设置一组ACL,对报文进行安全检查。
一个域可以有一个或多个接口,一个接口只能属于一个域,二者是一对多的关系。
2.2.2域间概念
任何两个安全域之间存在的关系,我们称之为域间关系。
说明一个域间的时候可以将两个域的名字放在一起进行描述,比如,trust-untrust域间。
前面描述的数据流的方向性,就是域间关系的一个属性。
在Eudemon200防火墙上,绝大多数安全相关的配置都是在域间进行的。
不同于域,域间是不需要显式的创建的,用户每创建一个域,就会自动地同每一个已经存在的域产生域间关系。
可见,域间关系实际上是一种全连接的结构。
但是,由于我们为每个域间赋予了入和出两个方向的属性,域间AB和域间BA实际上是一样的。
因此我们规定,对于全部域间,只使用高安全级别在前,低安全级别在后这样一种描述形式。
无论用户输入的顺序如何,在处理的时候,都会对应到这种形式的域间关系下。
也就是说,在配置的时候,只存在trust-untrust域间,不存在untrust-trust域间。
2.2.3本地域(Local)
在域的概念中,比较不容易理解的是本地域(Local)。
在其他所有预定义域和用户创建的域中,都可以使用添加接口的命令。
可以将某个接口(目前只支持以太网接口,以后将会扩展)添加到这个域中,之后,同这个接口相连的网络就被赋予了这个域的属性,我们可以认为这部分网络就是这个域。
要理解的是,这个操作真正添加到域中的并不是这个接口本身,而是同这个接口相连接的网络,只是通过添加接口这种形式来表现罢了。
Local域所保护的是防火墙自身,如果允许在local域下添加接口,根据前面的说明,这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中,那么从这个网络发出的针对防火墙的任何访问都是被直接转发的,这大大降低了对设备的防护,同时从概念上也是无法理解的,因此在local域下面不能使用添加接口的命令。
任何访问防火墙自身的报文(包括访问接口IP地址和系统IP地址)都被看作是从入接口所连接的那个域访问本地域的跨域访问,因此会触发相应域间配置的安全策略检查。
举例来说,防火墙接口Eth0的IP地址为192.168.10.1,子网掩码为24位,所连接的网络为192.168.10.0,该接口位于防火墙的trust域。
在此情况下,从子网192.168.10.0内任意一台主机向192.168.10.1发起连接,就产生了trust域到local域的入方向数据流,要根据local-trust域间配置的ACL和其他安全策略进行过滤,只有在安全策略允许情况下,连接才能成功。
由于有了本地域,从根本上解决了原来存在的安全控制措施只能针对设备连接的网络,对设备自身却无法保护的情况。
在实际网络环境中,曾经发生过针对我们设备进行的telnet攻击,攻击者不停的telnet我们的设备的接口IP,造成正常的网管无法登录。
只能在相邻设备上屏蔽攻击IP地址的访问,如果攻击者使用随即变化的IP地址,则根本无法防范。
而在我们的设备上,可以通过设置ACL规则,规定只允许特定的IP地址的设备从特定的域访问防火墙,同时还可以启动flood防御等全方位的措施,充分保护了设备自身的安全。
2.3防火墙的模式
2.3.1概述
防火墙引入了称为工作模式的概念,目前防火墙支持路由模式、透明模式以及混合模式三种工作模式,其中混合模式是为了在透明模式下支持双机热备份而增加的,基本上可以理解为透明模式加上一个带IP的接口,我们主推的工作模式是路由模式和透明模式。
相对应的,Netscreen防火墙有类似的概念,他们提出的模式是路由模式、NAT模式和透明模式。
我们产品的路由模式就完全包含了NS的路由和NAT两个概念。
因为我们理解,路由和NAT是密不可分的,应该说我们提出的模式的概念比起他们的要更贴切一些。
2.3.2路由模式
可以把路由模式理解为象路由器那样工作。
防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。
报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。
路由模式下可以使用NAT,双机热备份以及全部的攻击防范功能。
同时,由于此模式是VRP工作的基本形态,各种应用都比较成熟。
在可能的情况下,我们推荐使用路由模式进行组网。
2.3.3透明模式
透明模式的防火墙则可以被看作一台以太网交换机。
防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。
报文转发的出接口,是通过查找桥接的转发表得到的。
在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。
为了解决对防火墙的配置问题,在透明模式下存在一个系统IP,用户需要分配一个当前子网中没有使用的IP地址给防火墙,方便远程管理的使用。
同时,系统IP还起到了让防火墙能够分辨当前所在子网的作用。
在路由模式下,防火墙学习ARP表项是各个接口分别学习的,防火墙使用接口下的IP地址配合子网掩码,为属于自己子网的IP地址创建ARP表项。
在透明模式下,某些防火墙内部功能还是基于IP地址信息实现的,不能没有ARP表项。
但由于没有了接口IP地址,对于子网的判断就很困难,因此,当防火墙工作在透明模式之下,是依据系统IP和对应的子网掩码来判定是否添加ARP表项的,如果系统IP和掩码配置的不正确,肯定会造成网络某些应用无法正常使用的问题,必须要注意。
为了防止针对防火墙的arpflood攻击造成过多的ARP表项,可以通过命令undofirewallarp-learningenable禁止防火墙动态创建ARP表项,此时为了访问系统IP,需要手工创建一个静态的ARP表项,访问才能成功。
由于透明模式的防火墙接口没有IP地址,对外表现为一个二层设备,因此不能支持NAT、IPSEC、路由协议等功能,当防火墙从路由模式切换到透明模式时,可能有些配置不能再起作用,或者有些动态生成的的信息(如路由表)需要删除,建议在切换之前手工删除无用的配置信息,保存当前配置(输入save命令),并且在模式切换之后将系统重启,以保证无用资源的释放。
透明模式的主要优点是可以不改动已有的网络拓扑结构
透明模式下,NAT、双机热备份以及攻击防范中的IPspoofing功能都不可用。
由于处理方法的不同,防火墙在透明模式下的转发能力低于在路由模式下工作的情况。
2.3.4混合模式
顾名思义,混合模式是指防火墙一部份接口工作在透明模式,另一部分接口工作在路由模式。
提出混合模式的概念,主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。
双机热备份所依赖的VRRP需要在接口上配置IP地址,而透明模式无法实现这一点。
在混和模式下,每个接口的工作模式是由接口上是否配置了IP地址来区分的。
如果一个接口不配置IP地址,它就属于透明模式的接口,如果给它配置了IP地址,它就工作于路由模式。
工作在路由模式下的接口可以配置VRRP,我们可以通过将真正提供服务的接口设置在透明模式,将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。
理论上我们可以支持报文在属于透明模式和路由模式的接口之间转发,此时,透明模式接口下面的网络,需要将网关地址设置为防火墙的系统IP。
这一点在NS的设备上是不能做到的。
但是,这种应用并没有考虑成熟,暂时也没有进行细致的测试,因此目前需要避免这种应用。
在后期版本中,我们会考虑规划这个功能。
需要注意的一点,现在混合模式由于没能够实现STP协议,在进行双机热备份的时候有严重问题,因此双机热备功能不可使用。
也就是说透明模式(混合模式)不能支持双机热备份,只有路由模式下有此功能。
2.4访问控制策略和报文过滤
2.4.1访问控制策略的异同
防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。
借助VRP已有的强大的ACL功能,我们很容易做到这一点。
Eudemon上在ACL的配置方面基本同原有的路由器一致,但是ACL的类型同路由器稍有不同。
在路由器上,ACL由基本ACL、扩展ACL和接口ACL三种组成,基本ACL和扩展ACL又分为数字型和命名型两种。
在防火墙上,接口ACL被取消了,主要原因是颗粒度太粗,而且难以适应在安全域这个概念下应用。
防火墙新添加了一个基于MAC地址进行过滤的ACL策略组,这个模块是随着透明模式引入的。
在防火墙上,只有这个类型的规则组在接口下应用的,主要是由于MAC地址同防火墙的接口相关的比较紧密。
在接口下应用基于MAC的ACL规则时,inbound/outbound的概念同路由器下保持一致,inbound指报文由接口进入防火墙,outbound指报文由接口离开防火墙。
这同防火墙域间的inbound/outbound概念是完全不一致的,需要注意。
2.4.2ACL加速查找
路由器上的ACL模块,每个组下面只支持128条规则,全部规则的总数为4000条,而且每个方向上只能配置一个ACL规则组。
这对于专门用作网络安全屏障的防火墙来说是完全不够的。
因此,在Eudemon200上,全部规则的总数扩展为20000条,每个规则组下配置规则的上限也是20000条。
在应用中,如果使用原有的线性搜索算法,不要说这么多条规则,就是每个规则组下有1、2000条规则,报文匹配的性能也会大大的下降。
由此,在防火墙上,我们引入了ACL快速查找算法,将线性搜索变为固定次数匹配。
在规则数量大的情况下,极大地提高了规则匹配速度。
ACL快速查找使用了RFC算法,将ACL规则的查找转化为静态数组查找,通过将报文的特征字转换为数组下标,可以达到查找速度同规则数无关的效果。
ACL加速查找对于使用大量ACL规则的情况下,对于防火墙搜索性能的提升是毋庸置疑的。
由于我们设备上面所有需要对流进行分类的地方实际上都使用了ACL功能,因此,一旦启动了加速查找功能,NAT、统计、QoS等等多个模块都将受益。
但是,ACL加速查找功能也有其局限性,不能适用于所有场合,这一点需要在配置的时候严格注意。
1.ACL快速查找功能从算法上来讲对内存的消耗是非常大的,尤其是在产生快速查找数据结构的过程中。
算法对内存的消耗有如下特性:
对IP地址的变化不敏感,对于端口协议以及规则组等变化非常敏感。
也就是说,如果将所有规则看成一