华为防火墙操作手册入门.docx
《华为防火墙操作手册入门.docx》由会员分享,可在线阅读,更多相关《华为防火墙操作手册入门.docx(91页珍藏版)》请在冰豆网上搜索。
华为防火墙操作手册入门
第1章防火墙概述
1.1网络安全概述
随着Internet的迅速发展,越来越多的企业借助网络服务来加速自身的发展,此时,如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人们所关注。
网络安全已成为网络建设不可或缺的组成部分。
1.1.1安全威胁
目前,Internet网络上常见的安全威胁大致分为以下几类:
●非法使用:
资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。
例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。
●拒绝服务:
服务器拒绝合法用户正常访问信息或资源的请求。
例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
●信息盗窃:
攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
●数据篡改:
攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
1.1.2网络安全服务分类
针对上述的安全威胁而采取的安全防护措施称为安全服务。
一般定义下列几种通用的安全服务:
●可用性服务:
保证信息或服务在需要时能够被访问并正常工作。
●机密性服务:
保证敏感数据或信息不被泄漏或暴露给未授权的实体。
●完整性服务:
保证数据不以XX的方式被改动或破坏。
●鉴别:
提供某个实体身份合法性的保证。
●授权:
对系统资源的使用实施控制,规定访问者的接入权限等。
1.1.3安全服务的实现方法
1.加密
加密是将可读的消息转化为不可读形式的加密文本的过程。
加密不仅为用户提供通信保密,同时也是其他许多安全机制的基础,如认证过程中口令的设计、安全通信协议的设计及数字签名的设计等均离不开密码机制。
加密方法主要分为三种:
●对称密码体制:
其特征是用于加密和解密的密钥是一样的,每对用户共享同一密钥来交换消息,密钥必须是保密的。
典型代表包括:
数据加密标准DES(DataEncryptionStandard)、三层数据加密标准3DES(TripleDES)等。
●公钥密码体制:
相对于对称密码体制,公钥密码体制有两个不同密钥,可将加密功能和解密功能分开。
一个密钥称为私钥,必须秘密保存;另一个称为公钥,可被公开分发。
典型代表包括DH(Diffie-Hellman)、RSA(Rivest,Shamir,Adleman)。
●散列函数:
用于把一个变长的消息压缩到一个定长的编码字中,成为一个散列或消息摘要。
散列函数包括MD5(MessageDigest5)、安全散列算法SHA(SecureHashAlgorithm)。
2.认证
认证通常用于在访问网络前或网络提供服务前来鉴别用户身份的合法性。
认证可以由网络上的每一台设备在本地提供,也可以通过专用的认证服务器来实施。
相比较而言,后者具有更好的灵活性、可控性和可扩展性。
目前,在异构网络环境中,RADIUS(RemoteAccessDial-InUserService,远程访问拨入用户服务)作为一个开放的标准被广泛用于认证服务。
3.访问控制
访问控制是一种加强授权的方法。
一般分为两种:
●基于操作系统的访问控制:
访问某计算机系统资源时对用户的指定访问行为进行授权,可以基于身份、组、规则等配置访问控制策略。
●基于网络的接入控制:
指对接入网络的权限加以限制。
由于网络的复杂性,其机制远比基于操作系统的访问控制更为复杂。
一般在发起访问请求者和访问目标之间的一些中介点上配置实施访问控制组件(例如防火墙),从而实现基于网络的接入控制。
4.安全协议
网络的安全协议是网络安全的重要内容。
在此,我们从TCP/IP的分层模型角度来介绍目前广泛使用的安全协议。
(1)应用层安全
它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安全性。
应用层安全机制必须根据具体应用而定,其安全协议是应用协议的补充,因此,不存在通用的应用层安全协议。
例如,SSH(SecureShell,安全外壳)协议可以建立安全的远程登录会话和使用通道连接其他TCP应用程序。
(2)传输层安全
它提供基于同一台主机进程之间、或不同主机上进程之间的安全服务。
传输层安全机制建立在传输层IPC(进程间通信)界面和应用程序两端的安全性基础上。
在传输层中提供安全服务的想法便是强化它的IPC界面,如BSD套接(socket)等,具体做法包括双端实体的认证、数据加密密钥的交换等。
按照这个思路,出现了建立在可靠传输服务基础上的安全套接层协议SSL(SecureSocketLayer)。
SSLv3主要包含以下两个协议:
SSL记录协议及SSL握手协议。
(3)网络层安全
假使上层协议没有实现安全性保障,通过对网络层报文进行保护,用户信息也能够自动从网络层提供的安全性中受益,因此,IP安全是整个TCP/IP安全的基础,是Internet安全的核心。
目前,网络层最重要的安全协议是IPSec(IPSecurityProtocol)。
IPSec是一系列网络安全协议的总称,其中包括安全协议、加密协议等,可为通讯双方提供访问控制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务。
(4)数据链路层安全
提供的是点到点的安全性,如在一个点到点链路或帧中继的永久虚链路上提供安全性。
链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解密。
1.2防火墙概述
1.2.1安全防范体系的第一道防线——防火墙
在实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。
一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。
类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
防火墙主要服务于以下目的:
●限制用户或信息由一个特定的被严格控制的站点进入;
●阻止攻击者接近其他安全防御设施;
●限制用户或信息由一个特定的被严格控制的站点离开。
防火墙通常作用于被保护区域的入口处,基于访问控制策略提供安全防护。
例如:
当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。
1.2.2防火墙发展历史
防火墙技术的发展历史大致经历了以下几个过程。
1.第一代防火墙——包过滤防火墙
包过滤指在网络层对每一个数据包进行检查,根据配置的安全策略来转发或拒绝数据包。
包过滤防火墙的基本原理是:
通过配置ACL(AccessControlList,访问控制列表)实施数据包的过滤。
实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。
第一代防火墙的设计简单,非常易于实现,而且价格便宜,但其缺点不容忽视,主要表现在:
●随着ACL复杂度和长度的增加,其过滤性能成指数下降趋势;
●静态的ACL规则难以适应动态的安全要求;
●包过滤不检查会话状态也不分析数据,即不能对用户级别进行过滤,这容易让黑客蒙混过关。
例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
2.第二代防火墙——代理防火墙
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。
代理检查来自用户的请求,认证通过后,该防火墙将代表客户与真正的服务器建立连接,转发客户请求,并将真正服务器返回的响应回送给客户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性,但其缺点同样突出,主要表现在:
●软件实现限制了处理速度,易于遭受拒绝服务攻击;
●需要针对每一种协议开发应用层代理,升级很困难。
3.第三代防火墙——状态防火墙
状态分析技术是包过滤技术的扩展(非正式的也可称为“动态包过滤”)。
基于连接状态的包过滤在进行数据包的检查时,将每个数据包看成是独立单元的同时,还要考虑前后报文的历史关联性。
基本原理简述如下:
●状态防火墙使用各种状态表来追踪激活的TCP(TransmissionControlProtocol)会话和UDP(UserDatagramProtocol)伪会话(在处理基于UDP协议包时为UDP建立虚拟连接,以对UDP连接过程进行状态监控的会话过程),由ACL表来决定哪些会话允许建立,只有与被允许会话相关联的数据包才被转发。
●状态防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到动态状态表中,通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。
从外部网络向内看,状态防火墙更像一个代理系统(任何外部服务请求都来自于同一主机),而由内部网络向外看,状态防火墙则像一个包过滤系统(内部用户认为他们直接与外部网交互)。
状态防火墙具有以下优点:
●速度快。
状态防火墙对数据包进行ACL检查的同时,可以将包连接状态记录下来,后续包则无需再通过ACL检查,只需根据状态表对新收到的报文进行连接记录检查即可。
检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的包。
连接状态表里的记录可以随意排列,这点与记录固定排列的ACL不同,于是状态防火墙可采用诸如二叉树或哈希(hash)等算法进行快速搜索,提高了系统的传输效率。
●安全性较高。
连接状态清单是动态管理的,会话完成时防火墙上所创建的临时返回报文入口随即关闭,这保障了内部网络的实时安全。
同时,状态防火墙采用实时连接状态监控技术,通过在状态表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
1.3Eudemon产品简介
1.3.1Eudemon产品系列
华为公司的Eudemon系列硬件防火墙产品是一种改进型的状态防火墙,包括Eudemon100、Eudemon200、Eudemon500、Eudemon1000等多种型号,它结合华为公司特有的ASPF(ApplicationSpecificPacketFilter)技术,兼具有代理防火墙安全性高、状态防火墙速度快的优点。
Eudemon系列防火墙采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。
Eudemon系列防火墙处理能力从低端数十兆到高端数千兆,结合华为公司已有的路由器产品和交换机产品,能够为小型、中小型和大中型客户提供先进的、全方位的网络安全解决方案。
1.3.2Eudemon500/1000防火墙简介
作为新一代高速状态防火墙,Eudemon500/1000为大中型客户提供了高性价比的网络安全保障。
1.高安全性
与那些基于通用操作系统的软件防火墙相比较,Eudemon500/1000采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统,报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。
采用ASPF状态检测技术,Eudemon500/1000可对连接过程和有害命令进行监测,并协同ACL完成包过滤。
此外,Eudemon500/1000还提供数十种攻击的防范能力。
所有这些都有效地保障了网络的安全。
2.高速处理能力
Eudemon500/1000防火墙定位于大中型企业和行业用户,通过采用NP(NetworkProcessor)技术提供线速的高性能安全防范和报文处理能力。
3.高可靠性
专门设计的防火墙软件,每一环节均考虑到对各种攻击的防御,通过优先级调度和流控等手段使得系统具备很好的强壮性。
Eudemon500/1000防火墙支持双机状态热备,发生倒换时不会造成业务中断,支持多机分担处理,故障发生时能够自动倒换。
4.强大的组网和业务支撑能力
Eudemon500/1000防火墙提供集成的高速以太网接口,不仅支持丰富的协议,如H.323、FTP(FileTransferProtocol)、SMTP(SimpleMailTransferProtocol)等,而且还支持对有害命令的检测功能。
提供NAT(NetworkAddressTranslation)应用、静态和动态黑名单过滤、基于代理技术的SYNFlood防御的流控等特性。
Eudemon500/1000防火墙除了具备各种安全防范功能,提供高效的安全保障能力外,还集成了部分路由能力,如静态路由、RIP(RoutingInformationProtocol)和OSPF(OpenShortestPathFirst)动态路由,使得防火墙的组网应用更加灵活。
5.强大的日志和统计分析功能
提供强大的日志和统计分析功能,在安全分析和事后追踪等方面提供了有力的帮助。
1.3.3Eudemon500/1000防火墙功能特性列表
表1-1Eudemon500/1000防火墙功能特性列表
属性
说明
安全防范
工作模式
●支持路由模式
●支持透明模式
●支持混合模式
包过滤
●支持基本ACL、高级ACL、防火墙ACL
●支持时间段ACL
●支持黑名单、MAC和IP地址绑定
●支持应用层包过滤ASPF、提供状态检测
●提供端口映射机制
NAT
●地址转换(NAT和NAPT)
●提供内部服务器
●支持多种NATALG,包括FTP、NBT、RAS、ICMP、H.323等
防范攻击
●防范多种DoS攻击:
SYSFlood、ICMPFlood、UDPFlood、WinNuke、ICMP重定向和不可达报文、Land、Smurf和Fraggle等
●防范扫描窥探:
包括地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、ICMP探测报文
●防范其它攻击:
IPSpoofing
IDS联动
●IDS联动
流量监控
●支持基于IP的连接速率和连接数目限制
●支持承诺访问速率
●支持实时流量统计分析、攻击报文统计
网络互连
链路层协议
●支持Ethernet
●支持VLAN
●支持PPP、PPPoE
IP服务
●支持ARP
●支持静态域名解析
●支持DHCP中继
路由
●支持静态路由
●支持RIP、OSPF、BGP动态路由
●支持策略路由
●支持路由策略和路由迭代
业务应用
AAA
●支持AAA、RADIUS、HWTACACS协议
●支持AAA域
●支持本地用户管理
QoS
●支持拥塞管理
配置与管理
命令行接口
●英文和中文的提示和帮助信息
●命令行分级保护,未授权用户无法侵入防火墙
●详尽的调试信息,帮助诊断网络故障
●提供网络测试工具,如tracert、ping命令等,迅速诊断网络是否正常
系统管理
●支持通过FTP方式上载、下载程序/配置文件
●支持通过TFTP方式上载、下载程序/配置文件
●支持通过XModem方式上载程序文件
终端服务
●支持Console、AUX接口终端服务
●支持Telnet、SSH终端服务
●支持Send功能,终端用户之间进行信息互通
维护和可靠性
可靠性
●支持VRRP
●支持VGMP
●支持HRP热备份
系统管理
●支持标准网管协议SNMPv1/v2c/v3
系统日志
●配合日志服务器进行日志浏览和查询
●统计输入和输出的IP报文、NAT日志、ASPF日志、攻击防范日志、黑名单日志
第2章Eudemon防火墙配置基础
2.1通过Console接口搭建本地配置环境
2.1.1通过Console接口搭建
用户能够通过Console接口对Eudemon防火墙进行本地配置。
这是一种可靠的配置维护方式。
当防火墙初次上电、与外部网络连接中断或出现其他异常情况时,则可以采用这种方式配置防火墙。
第一步:
建立本地配置环境。
将微机(PC机或终端)的串口通过标准RS-232电缆与Eudemon防火墙的Console接口连接,如下图所示。
图2-1通过Console口搭建本地配置环境
第二步:
在微机上运行终端仿真程序(如Windows9X的Hyperterm超级终端等),建立新连接,如下图所示:
图2-2新建连接
图2-3选择实际连接使用的微机串口
第三步:
选择实际连接时使用的微机上的RS-232串口,配置终端通信参数为9600波特、8位数据位、1位停止位、无校验、无流控,并选择终端仿真类型为VT100,如下图所示:
图2-4端口通信参数配置
图2-5选择终端仿真类型
第四步:
Eudemon防火墙上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符(如)。
第五步:
键入命令,配置Eudemon防火墙或查看Eudemon防火墙运行状态,需要联机帮助时可以随时键入“?
”,关于具体命令的使用请参考后续章节。
说明:
通过Console接口配置Eudemon防火墙,通常无需配置认证。
如果配置了本地认证,请一定配置对应的本地用户名和口令,否则会导致无法从Console接口进入配置界面的情况发生。
2.1.2实现设备和Eudemon防火墙互相ping通
配置思路:
首先实现从某设备ping通Eudemon防火墙,再实现从Eudemon防火墙ping通该设备,操作步骤如下:
第一步:
微机(PC机或终端)通过RS-232串口连接Eudemon防火墙Console接口,Eudemon防火墙Ethernet1/0/0接口通过LAN与Router设备连接。
组网如下图所示:
图2-1实现ping通Eudemon防火墙的组网
第二步:
配置Ethernet1/0/0的IP地址,并将该接口加入到Untrust区域。
[Eudemon]interfaceethernet1/0/0
[Eudemon-Ethernet1/0/0]ipaddress10.1.1.124
[Eudemon-Ethernet1/0/0]quit
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceethernet1/0/0
第三步:
配置ACL规则,允许从Router到Eudemon方向的ICMP报文通过。
system-view
[Eudemon]aclnumber3101
[Eudemon-acl-adv-3101]rulepermiticmpsource10.1.1.2540destination10.1.1.10
第四步:
在Untrust和Local区域间的入方向上配置包过滤规则。
[Eudemon]firewallinterzoneuntrustlocal
[Eudemon-interzone-local-untrust]packet-filter3101inbound
注意:
防火墙缺省禁止任何报文通过。
用户需要允许防火墙的某安全域间缺省允许报文通过,或配置域间包过滤规则。
否则防火墙将不可用。
第五步:
从Router向Eudemon防火墙Ethernet1/0/0接口发起ping操作,可以通达。
但是,反向ping操作不通。
第六步:
配置ACL规则允许从Eudemon到Router的ICMP报文通过,并配置Local和Untrust区域间出方向上的包过滤规则。
[Eudemon]acl3101
[Eudemon-acl-adv-3101]rulepermiticmpsource10.1.1.10destination10.1.1.2540
[Eudemon-acl-adv-3101]quit
[Eudemon]firewallinterzonelocaluntrust
[Eudemon-interzone-local-untrust]packet-filter3101outbound
&说明:
防火墙的安全域间的一个方向上仅能配置一条包过滤规则。
第七步:
从Eudemon防火墙向Router发起ping操作,可以通达。
2.1.3实现跨越Eudemon防火墙的两个设备互相ping通
配置思路:
首先实现从其他设备分别和Eudemon防火墙之间能互相ping通,然后再实现这两个设备之间能跨越Eudemon而互相ping通,操作步骤如下:
第一步:
微机(PC机或终端)通过RS-232串口连接Eudemon防火墙Console接口,Eudemon防火墙Ethernet1/0/0通过LAN与Router设备连接,Eudemon的Ethernet2/0/0接口通过LAN与某服务器连接。
组网如下图所示:
图2-1实现跨越Eudemon防火墙的两个设备互相ping通的组网
第二步:
首先参考“2.1.2实现设备和Eudemon防火墙互相ping通”中的操作步骤,分别实现Router和Eudemon之间互相ping通,及Server与Eudemon之间互相ping通(Router隶属Untrust区域,Server隶属DMZ区域)。
第三步:
通过Console接口配置新ACL规则,允许从Router与Server之间的ICMP报文及返回报文通过。
system-view
[Eudemon]aclnumber3105
[Eudemon-acl-adv-3105]rulepermiticmpsource10.1.1.2540destination10.2.2.2540
[Eudemon-acl-adv-3105]rulepermiticmpsource10.2.2.2540destination10.1.1.2540
第四步:
在Untrust和DMZ区域之间的出/入方向上分别应用该ACL规则。
[Eudemon]firewallinterzoneuntrustdmz
[Eudemon-interzone-dmz-untrust]packet-filter3105inbound
[Eudemon-interzone-dmz-untrust]packet-filter3105outbound
第五步:
从Router向Server发起ping操作可以通达。
反向从Server向Router发起ping操作也能通达。
2.2通过其他方式搭建配置环境
为了更方便的配置Eudemon防火墙,系统支持用户进行本地与远程配置。
搭建配置环境可通过以下几种方法实现,针对每种配置环境有对应的终端服务特性,具体内容请参见本章中的“终端服务”部分。
●通过AUX接口搭建本地或远程配置环境
●通过Telnet方式搭建本地或远程配置环境
●通过SSH方式搭建本地或远程配置环境
2.2.1通
升级会员 