华为防火墙操作手册入门.docx
《华为防火墙操作手册入门.docx》由会员分享,可在线阅读,更多相关《华为防火墙操作手册入门.docx(80页珍藏版)》请在冰豆网上搜索。
华为防火墙操作手册入门
华为防火墙操作手册-入门(总83页)
第1章防火墙概述
1.1网络安全概述
随着Internet的迅速发展,越来越多的企业借助网络服务来加速自身的发展,此时,如何在一个开放的网络应用环境中守卫自身的机密数据、资源及声誉已越来越为人们所关注。
网络安全已成为网络建设不可或缺的组成部分。
1.1.1安全威胁
目前,Internet网络上常见的安全威胁大致分为以下几类:
●非法使用:
资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使用。
例如,攻击者通过猜测帐号和密码的组合,从而进入计算机系统以非法使用资源。
●拒绝服务:
服务器拒绝合法用户正常访问信息或资源的请求。
例如,攻击者短时间内使用大量数据包或畸形报文向服务器不断发起连接或请求回应,致使服务器负荷过重而不能处理合法任务。
●信息盗窃:
攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
●数据篡改:
攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,而使数据的一致性被破坏。
1.1.2网络安全服务分类
针对上述的安全威胁而采取的安全防护措施称为安全服务。
一般定义下列几种通用的安全服务:
●可用性服务:
保证信息或服务在需要时能够被访问并正常工作。
●机密性服务:
保证敏感数据或信息不被泄漏或暴露给未授权的实体。
●完整性服务:
保证数据不以XX的方式被改动或破坏。
●鉴别:
提供某个实体身份合法性的保证。
●授权:
对系统资源的使用实施控制,规定访问者的接入权限等。
1.1.3安全服务的实现方法
1.加密
加密是将可读的消息转化为不可读形式的加密文本的过程。
加密不仅为用户提供通信保密,同时也是其他许多安全机制的基础,如认证过程中口令的设计、安全通信协议的设计及数字签名的设计等均离不开密码机制。
加密方法主要分为三种:
●对称密码体制:
其特征是用于加密和解密的密钥是一样的,每对用户共享同一密钥来交换消息,密钥必须是保密的。
典型代表包括:
数据加密标准DES(DataEncryptionStandard)、三层数据加密标准3DES(TripleDES)等。
●公钥密码体制:
相对于对称密码体制,公钥密码体制有两个不同密钥,可将加密功能和解密功能分开。
一个密钥称为私钥,必须秘密保存;另一个称为公钥,可被公开分发。
典型代表包括DH(Diffie-Hellman)、RSA(Rivest,Shamir,Adleman)。
●散列函数:
用于把一个变长的消息压缩到一个定长的编码字中,成为一个散列或消息摘要。
散列函数包括MD5(MessageDigest5)、安全散列算法SHA(SecureHashAlgorithm)。
2.认证
认证通常用于在访问网络前或网络提供服务前来鉴别用户身份的合法性。
认证可以由网络上的每一台设备在本地提供,也可以通过专用的认证服务器来实施。
相比较而言,后者具有更好的灵活性、可控性和可扩展性。
目前,在异构网络环境中,RADIUS(RemoteAccessDial-InUserService,远程访问拨入用户服务)作为一个开放的标准被广泛用于认证服务。
3.访问控制
访问控制是一种加强授权的方法。
一般分为两种:
●基于操作系统的访问控制:
访问某计算机系统资源时对用户的指定访问行为进行授权,可以基于身份、组、规则等配置访问控制策略。
●基于网络的接入控制:
指对接入网络的权限加以限制。
由于网络的复杂性,其机制远比基于操作系统的访问控制更为复杂。
一般在发起访问请求者和访问目标之间的一些中介点上配置实施访问控制组件(例如防火墙),从而实现基于网络的接入控制。
4.安全协议
网络的安全协议是网络安全的重要内容。
在此,我们从TCP/IP的分层模型角度来介绍目前广泛使用的安全协议。
(1)应用层安全
它提供从一台主机上的应用程序通过网络到另一台主机上的应用程序的端到端的安全性。
应用层安全机制必须根据具体应用而定,其安全协议是应用协议的补充,因此,不存在通用的应用层安全协议。
例如,SSH(SecureShell,安全外壳)协议可以建立安全的远程登录会话和使用通道连接其他TCP应用程序。
(2)传输层安全
它提供基于同一台主机进程之间、或不同主机上进程之间的安全服务。
传输层安全机制建立在传输层IPC(进程间通信)界面和应用程序两端的安全性基础上。
在传输层中提供安全服务的想法便是强化它的IPC界面,如BSD套接(socket)等,具体做法包括双端实体的认证、数据加密密钥的交换等。
按照这个思路,出现了建立在可靠传输服务基础上的安全套接层协议SSL(SecureSocketLayer)。
SSLv3主要包含以下两个协议:
SSL记录协议及SSL握手协议。
(3)网络层安全
假使上层协议没有实现安全性保障,通过对网络层报文进行保护,用户信息也能够自动从网络层提供的安全性中受益,因此,IP安全是整个TCP/IP安全的基础,是Internet安全的核心。
目前,网络层最重要的安全协议是IPSec(IPSecurityProtocol)。
IPSec是一系列网络安全协议的总称,其中包括安全协议、加密协议等,可为通讯双方提供访问控制、无连接的完整性、数据源认证、反重放、加密以及对数据流分类加密等服务。
(4)数据链路层安全
提供的是点到点的安全性,如在一个点到点链路或帧中继的永久虚链路上提供安全性。
链路层安全的主要实现方法是在连接链路的每一端使用专用设备完成加密和解密。
1.2防火墙概述
1.2.1安全防范体系的第一道防线——防火墙
在实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。
一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数攻击,完成这项任务的网络边防产品我们称其为防火墙。
类似于建筑大厦中用于防止火灾蔓延的隔断墙,Internet防火墙是一个或一组实施访问控制策略的系统,它监控可信任网络(相当于内部网络)和不可信任网络(相当于外部网络)之间的访问通道,以防止外部网络的危险蔓延到内部网络上。
防火墙主要服务于以下目的:
●限制用户或信息由一个特定的被严格控制的站点进入;
●阻止攻击者接近其他安全防御设施;
●限制用户或信息由一个特定的被严格控制的站点离开。
防火墙通常作用于被保护区域的入口处,基于访问控制策略提供安全防护。
例如:
当防火墙位于内部网络和外部网络的连接处时,可以保护组织内的网络和数据免遭来自外部网络的非法访问(未授权或未验证的访问)或恶意攻击;当防火墙位于组织内部相对开放的网段或比较敏感的网段(如保存敏感或专有数据的网络部分)的连接处时,可以根据需要过滤对敏感数据的访问(即使该访问是来自组织内部)。
1.2.2防火墙发展历史
防火墙技术的发展历史大致经历了以下几个过程。
1.第一代防火墙——包过滤防火墙
包过滤指在网络层对每一个数据包进行检查,根据配置的安全策略来转发或拒绝数据包。
包过滤防火墙的基本原理是:
通过配置ACL(AccessControlList,访问控制列表)实施数据包的过滤。
实施过滤主要是基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。
第一代防火墙的设计简单,非常易于实现,而且价格便宜,但其缺点不容忽视,主要表现在:
●随着ACL复杂度和长度的增加,其过滤性能成指数下降趋势;
●静态的ACL规则难以适应动态的安全要求;
●包过滤不检查会话状态也不分析数据,即不能对用户级别进行过滤,这容易让黑客蒙混过关。
例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
2.第二代防火墙——代理防火墙
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。
代理检查来自用户的请求,认证通过后,该防火墙将代表客户与真正的服务器建立连接,转发客户请求,并将真正服务器返回的响应回送给客户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性,但其缺点同样突出,主要表现在:
●软件实现限制了处理速度,易于遭受拒绝服务攻击;
●需要针对每一种协议开发应用层代理,升级很困难。
3.第三代防火墙——状态防火墙
状态分析技术是包过滤技术的扩展(非正式的也可称为“动态包过滤”)。
基于连接状态的包过滤在进行数据包的检查时,将每个数据包看成是独立单元的同时,还要考虑前后报文的历史关联性。
基本原理简述如下:
●状态防火墙使用各种状态表来追踪激活的TCP(TransmissionControlProtocol)会话和UDP(UserDatagramProtocol)伪会话(在处理基于UDP协议包时为UDP建立虚拟连接,以对UDP连接过程进行状态监控的会话过程),由ACL表来决定哪些会话允许建立,只有与被允许会话相关联的数据包才被转发。
●状态防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到动态状态表中,通过分析这些状态表和与该数据包有关的后续连接请求来做出恰当决定。
从外部网络向内看,状态防火墙更像一个代理系统(任何外部服务请求都来自于同一主机),而由内部网络向外看,状态防火墙则像一个包过滤系统(内部用户认为他们直接与外部网交互)。
状态防火墙具有以下优点:
●速度快。
状态防火墙对数据包进行ACL检查的同时,可以将包连接状态记录下来,后续包则无需再通过ACL检查,只需根据状态表对新收到的报文进行连接记录检查即可。
检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的包。
连接状态表里的记录可以随意排列,这点与记录固定排列的ACL不同,于是状态防火墙可采用诸如二叉树或哈希(hash)等算法进行快速搜索,提高了系统的传输效率。
●安全性较高。
连接状态清单是动态管理的,会话完成时防火墙上所创建的临时返回报文入口随即关闭,这保障了内部网络的实时安全。
同时,状态防火墙采用实时连接状态监控技术,通过在状态表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
1.3Eudemon产品简介
1.3.1Eudemon产品系列
华为公司的Eudemon系列硬件防火墙产品是一种改进型的状态防火墙,包括Eudemon100、Eudemon200、Eudemon500、Eudemon1000等多种型号,它结合华为公司特有的ASPF(ApplicationSpecificPacketFilter)技术,兼具有代理防火墙安全性高、状态防火墙速度快的优点。
Eudemon系列防火墙采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统,将高效的包过滤功能、透明的代理服务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身,提供多类型接口和工作模式。
Eudemon系列防火墙处理能力从低端数十兆到高端数千兆,结合华为公司已有的路由器产品和交换机产品,能够为小型、中小型和大中型客户提供先进的、全方位的网络安全解决方案。
1.3.2Eudemon500/1000防火墙简介
作为新一代高速状态防火墙,Eudemon500/1000为大中型客户提供了高性价比的网络安全保障。
1.高安全性
与那些基于通用操作系统的软件防火墙相比较,Eudemon500/1000采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统,报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。
采用ASPF状态检测技术,Eudemon500/1000可对连接过程和有害命令进行监测,并协同ACL完成包过滤。
此外,Eudemon500/1000还提供数十种攻击的防范能力。
升级会员 