HCSecBladeII防火墙板卡开局指导.docx
《HCSecBladeII防火墙板卡开局指导.docx》由会员分享,可在线阅读,更多相关《HCSecBladeII防火墙板卡开局指导.docx(35页珍藏版)》请在冰豆网上搜索。
HCSecBladeII防火墙板卡开局指导
H3CSecBladeII开局指导书
DeploymentInstructionsforH3CSecBladeIIBetaTest
杭州华三通信技术有限公司
HangzhouH3CTechnologiesCo.,Ltd.
(仅供内部使用)(Forinternaluse)
拟制:
Draftedby:
8042-test,ts-secpath
Date
日期
2009-3-23
审核:
Reviewedby:
Date
日期
审核:
Reviewedby:
Date
日期
批准:
Approvedby:
Date
日期
修订记录RevisionRecords
日期
Date
修订版本
Revision
描述
Description
作者
Author
2009-3-23
V1.10
增加了对SR88系列路由器的支持;修改部分内容
巫继雨
2.4.2命令行方式管理5
开局指导书
CustomersitesDeploymentInstructions
关键词:
Keywords:
摘要:
Abstract:
缩略语清单:
Listofabbreviations:
缩略语
Abbreviations
英文全名
Fullspelling
中文解释
Chineseexplanation
&注意:
本文中的配置均以SecBladeII和S9500为例,SecBlade与S7500E系列交换机以及SR88细类路由器配合的配置类似,不单独介绍。
1产品简介与基本工作原理
1.1产品简介
H3CSecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构,是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。
SecBlade防火墙插卡采用了专用多核高性能处理器和高速存储器,在高速处理安全业务的同时,交换机的原有业务处理不会受到任何影响。
1.2基本工作原理
SecBladeII插卡与交换机(路由器)通过内部10GE总线进行通信。
其工作原理如下:
图1SecBladeII与交换机的报文转发
如上图,S9500第2号槽位上接入SecBladeII,3号槽位为普通业务口,g3/0/1和g3/0/2接口运行业务,SecBladeII和S9500内部数据交互口在S9500系统上表现为intTen-GigabitEthernet2/1/1,在SecBladeII上表现为Ten-GigabitEthernet0/0。
数据包的转发过程如下:
(2)数据包通过业务板g3/0/1送给S9500;
(3)S9500通过与SecBladeII的内部总线intTen-GigabitEthernet2/1/1(trunk)送给SecBladeII的Ten-GigabitEthernet0/0(或者子接口)。
(4)SecBladeII进行相关防火墙功能处理后,通过Ten-GigabitEthernet0/0(或者子接口)送回S9500;
(5)S9500做相关处理后通过业务口g3/0/2正常转发。
2版本配套与硬件安装
2.1版本配套
H3CSecBladeII插卡目前包括的单板类型为LSB1FW2A0(用于H3CS9500系列以太网交换机)、LSQ1FWBSC0(用于H3CS7500E系列以太网交换机)和IM-FW(用于H3CSR8800系列路由器),其对应的软硬件配套关系如下:
SecBladeII
S7500E
S9500
SR88
SECBLADEII-CMW520-R3102P10及以上
S7500E-CMW5.20-E6200及以上
S9500-CMW520-F2130及以上
SR8800-CMW520-R3229-SI及以上
2.2硬件安装
SecBladeII的硬件安装与S7500E/S9500/SR8800其它单板相同,支持热插拔。
安装完成后,S7500E/S9500/SR8800能识别单板(如果不能识别,请仔细对照2.1版本配套):
[S9500]disdevice
SlotNo.BrdTypeBrdStatusSubslotNumSftVer
0LSB1SRP1N6Master0S9500-CMW520-F2129P01
1NONEAbsent0None
2LSB1GT12C0Normal3S9500-CMW520-F2129P01
3NONEAbsent0None
4LSB1FW2A0Normal0S9500-CMW520-F2129P01
5LSB1XP2B0Normal0S9500-CMW520-F2129P01
6LSB1F32GB0Normal2S9500-CMW520-F2129P01.
disdevice
SlotNo.BrdTypeBrdStatusSubCardNumSftVer
0SR02SRP1E3Master0SR8800-CMW520-R3229
1NONEAbsentAbsentNone
2SPE-1010Normal1SR8800-CMW520-R3229
3NONEAbsentAbsentNone
4NONEAbsentAbsentNone
5NONEAbsentAbsentNone
6IM-FWNormal1SR8800-CMW520-R3229
2.3网络连接
2.3.1SecBladeII接口介绍
图1SecBladeII接口介绍
SecBladeII自带1个console口、4个千兆外部接口(intG0/1~intG0/4,其中G0/3和G0/4为光电复用接口)和1个10GE的内部接口(interfaceTen-GigabitEthernet0/0)。
4个外部千兆口主要用于管理,不推荐运行业务。
10GE的内部接口用于与交换机(路由器)交互数据,运行业务,其基本的报文转发流程见图1。
&说明:
S7500E/S9500系列交换机上的SecBladeII防火墙的前面板颜色为黑色,而SR8800系列路由器上的防火墙板卡前面板为白色。
除此外,外部接口和位置完全相同。
2.3.2SecBladeII与S7500E/S9500/SR8800业务线缆连接
在插入SecBladeII后,一般情况下,S7500E/S9500/SR8800使用其他业务单板提供对外业务,S7500E/S9500/SR8800和防火墙的交互通过内部的10GE接口来完成。
不推荐使用SecBladeII自带GE口处理业务,自带外部四个GE口只用来进行管理。
2.4SecBladeII的管理
SecBladeII集成强大的WEB管理功能,大部分配置都能通过WEB完成,同时,支持命令行,命令行主要提供简单的配置、信息查看、故障诊断。
推荐使用WEB方式进行配置。
2.4.1WEB方式管理
SecBlade防火墙出厂时已经设置默认的Web登录信息,用户可以直接使用该默认信息登录防火墙的Web界面。
默认的Web登录信息包括:
●用户名:
h3c
●密码:
h3c
●验证码:
按照提示输入
●SecBladeII的G0/1口默认IP地址:
192.168.0.1/24
采用Web方式登录防火墙的步骤如下:
(1)连接设备和PC
用以太网线将PC和设备的以太网口G0/1相连。
(2)为PC配置IP地址,保证能与设备互通
修改IP地址为192.168.0.0/24,例如192.168.0.2。
(3)启动浏览器,输入登录信息
在PC上启动浏览器(建议使用IE5.0及以上版本),在地址栏中输入“http:
//192.168.0.1”后回车,即可进入设备的Web登录页面,如图3所示。
输入用户名“h3c”、密码“h3c”和验证码后,单击<登录>按钮即可登录。
图1Web登录界面
2.4.2命令行方式管理
如图2,SecBladeII自带console口,可以用串口线对SecBladeII进行管理,其串口参数与管理H3C主网络设备设置相同。
3防火墙基础配置
3.1防火墙的几个基本概念
3.1.1虚拟设备
虚拟设备是一个逻辑概念,一台防火墙设备可以逻辑上划分为多个部分,每一个部分可以作为一台单独的防火墙(虚拟设备)。
每个虚拟设备之间相互独立,业务单独控制,一般情况下不允许相互通信,这就是所谓的“虚拟防火墙”。
3.1.2安全区域
防火墙作为网络安全设备,按照业务的重要性高低,将网络分为若干个安全区域,安全区域以防火墙接口为边界。
引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类(划分到不同的区域),能够实现策略的分层管理。
图1防火墙安全区域
缺省情况下,一个防火墙(或者虚拟)有4个业务安全区域:
Local、Trust、DMZ、Untrust,其安全级别分别是100、85、50、5。
还有一个特殊的管理区域Management,安全级别为100。
如图4,把G0/1~G0/3分别加入Trust、Untrust、DMZ区域,其含义是:
以防火墙为边界,G0/1~G0/3接口外的区域分别属于Trust、Untrust、DMZ区域,注意不包括防火墙接口本身,防火墙本身所有接口G0/1~G0/3(加入Management域的接口除外),都属于Local区域。
默认Local区域可以被任何区域访问,也即防火墙的自身接口是对所有区域开放的。
3.1.3会话
所谓流(Flow),是一个单方向的概念,根据报文所携带的三元组或者五元组唯一标识。
根据IP层协议的不同,流分为四大类:
●TCP流:
通过五元组唯一标识
●UDP流:
通过五元组唯一标识
●ICMP流:
通过三元组+ICMPtype+ICMPcode唯一标识
●RAWIP流:
不属于上述协议的,通过三元组标识
所谓会话(Session),以一个双向的概念,一个会话通常关联两个方向的流,一个为会话发起方(Initiator),另外一个为会话响应方(Responder)。
通过会话所属的任一方向的流特征都可以唯一确定该会话,以及方向。
对于TCP/UDP/ICMP/RAWIP流,首包进入防火墙时开始创建会话,后续相同的流或者返回报文可以匹配该会话。
以TCP三次握手为例:
图1会话建立
如图5trust区域的192.168.0.2:
1564访问untrust区域的202.0.0.2的23端口,首包syn报文开始创建一个双向会话(192.168.0.2:
1564<---->202.0.0.2:
23),后续SYN_ACK和ACK报文都匹配到此会话后,完整的会话创建完成。
后续数据流如果匹配到此会话则放行通过。
3.2防火墙的基本工作流程
图1防火墙的基本工作流程
&注意:
防火墙缺省下,高级别区域能访问低级别区域,低级别区域不能访问高级别区域。
此缺省规则不能更改。
3.3防火墙的基本配置
图1SecBladeII基本图
如图7,创建两个子接
升级会员 