51CTO下载配置安全策略.docx
《51CTO下载配置安全策略.docx》由会员分享,可在线阅读,更多相关《51CTO下载配置安全策略.docx(77页珍藏版)》请在冰豆网上搜索。
![51CTO下载配置安全策略.docx](https://file1.bdocx.com/fileroot1/2023-1/2/64ce0729-3a0d-4af6-8236-7e6fdc3b8f89/64ce0729-3a0d-4af6-8236-7e6fdc3b8f891.gif)
51CTO下载配置安全策略
配置安全策略...2-1
2.1简介...2-2
2.1.1安全区域概述...2-2
2.1.2会话表概述...2-3
2.1.3分片缓存概述...2-4
2.1.4包过滤概述...2-4
2.1.5攻击防范与报文统计概述...2-4
2.1.6ASPF概述...2-5
2.1.7黑名单概述...2-6
2.1.8MAC和IP地址绑定概述...2-7
2.1.9端口识别概述...2-7
2.2配置安全区域...2-7
2.2.1建立配置任务...2-7
2.2.2配置安全区域...2-8
2.2.3检查配置结果...2-9
2.3配置会话表老化时间...2-9
2.3.1建立配置任务...2-9
2.3.2配置会话表老化时间...2-10
2.3.3检查配置结果...2-10
2.4配置分片缓存...2-11
2.4.1建立配置任务...2-11
2.4.2配置分片缓存功能...2-11
2.5配置包过滤...2-12
2.5.1建立配置任务...2-12
2.5.2配置域间缺省包过滤规则...2-13
2.5.3配置域间包过滤规则...2-13
2.5.4检查配置结果...2-13
2.6配置攻击防范...2-13
2.6.1建立配置任务...2-13
2.6.2使能攻击防范功能...2-14
2.6.3配置Flood类攻击防范参数...2-15
2.6.4配置扫描类攻击防范参数...2-17
2.6.5配置超大ICMP报文控制参数...2-18
2.6.6检查配置结果...2-18
2.7配置连接数限制/连接速率限制和带宽限制...2-18
2.7.1建立配置任务...2-18
2.7.2配置全局连接数/比例限制...2-20
2.7.3配置基于IP/区域的连接数限制...2-20
2.7.4配置基于IP/区域的连接速率限制...2-21
2.7.5配置H.323流量带宽保证...2-21
2.7.6配置特定数据流流量带宽保证...2-21
2.7.7配置对其它数据流的流量限制...2-21
2.8配置ASPF.2-22
2.8.1建立配置任务...2-22
2.8.2配置域间应用ASPF.2-22
2.9配置三元组ASPF.2-23
2.9.1建立配置任务...2-23
2.9.2使能三元组ASPF.2-24
2.10配置静态黑名单...2-25
2.10.1建立配置任务...2-25
2.10.2配置静态黑名单功能...2-25
2.10.3检查配置结果...2-26
2.11配置动态插入黑名单...2-26
2.11.1建立配置任务...2-26
2.11.2启动黑名单功能...2-27
2.12配置MAC和IP地址绑定...2-27
2.12.1建立配置任务...2-27
2.12.2配置MAC和IP地址绑定...2-28
2.12.3检查配置结果...2-29
2.13配置端口识别...2-29
2.13.1建立配置任务...2-29
2.13.2配置端口识别...2-30
2.13.3检查配置结果...2-31
2.14维护...2-31
2.14.1查看防火墙的会话信息...2-31
2.14.2清除防火墙的会话表项、分片表...2-32
2.14.3调试防火墙包过滤...2-32
2.14.4调试防火墙攻击防范功能...2-32
2.14.5查看防火墙统计信息...2-33
2.14.6清除防火墙统计信息...2-34
2.14.7调试ASPF.2-34
2.14.8调试防火墙黑名单...2-34
2.14.9调试MAC和IP地址绑定...2-34
2.15配置举例...2-35
2.15.1配置安全区域示例...2-35
2.15.2配置会话老化时间示例...2-38
2.15.3配置Land攻击防范示例...2-40
2.15.4配置基于IP地址的SYNFlood攻击防范功能示例...2-43
2.15.5配置地址扫描攻击防范功能示例...2-45
2.15.6配置超大ICMP报文控制功能示例...2-47
2.15.7配置基于安全区域的连接数量监控示例...2-49
2.15.8配置基于安全区域的H323流量带宽保证示例...2-52
2.15.9配置ASPF示例...2-54
2.15.10配置三元组ASPF示例...2-58
2.15.11配置静态黑名单示例...2-60
2.15.12配置动态黑名单示例...2-61
2.15.13配置MAC和IP地址绑定示例...2-61
2.15.14配置端口识别示例...2-64
插图目录
图2-1防火墙拒绝外部网络向服务器发起过多的连接...2-5
图2-2安全区域典型配置举例组网图...2-36
图2-3会话老化时间配置举例组网图...2-38
图2-4防火墙攻击防范功能配置组网图...2-41
图2-5基于安全区域的连接数量监控组网图...2-50
图2-6ASPF配置案例组网图...2-55
图2-7三元组ASPF典型配置举例...2-58
图2-8黑名单过滤的组网图...2-60
图2-9地址绑定配置组网图...2-62
图2-10端口识别配置案例组网图...2-64
表格目录
表2-1Eudemon防火墙的报文转发流程...2-3
表2-2报文过滤规则...2-4
表2-3地址绑定与静态ARP的创建原则...2-29
2配置安全策略
关于本章
本章描述内容如下表所示。
标题
内容
2.1简介
介绍安全区域、会话表、长连接、分片缓存、包过滤、攻击防范与报文统计、ASPF、黑名单、MAC和IP地址绑定和端口识别的基本概念。
2.2配置安全区域
介绍安全区域的配置方法。
配置举例:
配置安全区域示例
2.3配置会话表老化时间
介绍会话表老化时间的配置方法。
配置举例:
配置会话老化时间示例
2.4配置分片缓存
介绍分片缓存的配置方法。
2.5配置包过滤
介绍包过滤的配置方法。
2.6配置攻击防范
介绍攻击防范的配置方法。
配置举例:
配置Land攻击防范示例
配置举例:
配置基于IP地址的SYNFlood攻击防范功能示例
配置举例:
配置地址扫描攻击防范功能示例
配置举例:
配置超大ICMP报文控制功能示例
2.7配置连接数限制/连接速率限制和带宽限制
介绍连接数限制和带宽限制的配置方法。
2.8配置ASPF
介绍ASPF的配置方法。
2.8配置三元组ASPF
介绍三元组ASPF的配置方法。
配置举例:
配置三元组ASPF示例
2.9配置静态黑名单
介绍静态黑名单的配置方法。
配置举例:
配置静态黑名单示例
2.10配置动态插入黑名单
介绍动态黑名单功能的配置方法。
配置举例:
配置动态黑名单示例
2.11配置MAC和IP地址绑定
介绍MAC和IP地质绑定的配置方法。
配置举例:
配置MAC和IP地址绑定示例
2.12配置端口识别
介绍端口识别的配置方法。
配置举例:
配置端口识别示例
2.13配置端口识别
介绍安全策略的维护方法。
2.14维护
介绍安全策略的组网举例。
2.1简介
安全策略是防火墙保护内部网络安全的一系列措施。
本节介绍配置安全策略所需要理解的知识,具体包括:
● 安全区域概述
● 会话表概述
● 分片缓存概述
● 包过滤概述
● 攻击防范与报文统计概述
● ASPF概述
● 黑名单概述
● MAC和IP地址绑定概述
● 端口识别概述
2.1.1安全区域概述
防火墙放置于内部网络和外部网络之间,可以保护内部网络不受外部网络上恶意用户的侵害,有着明确的内外之分。
由此防火墙提出安全区域的概念,为属于不同安全区域的用户提供不同级别的安全保障。
安全区域有如下特点:
● 安全级别通过0~100的数字表示,数字越大表示安全级别越高;
● 不存在两个具有相同安全级别的安全区域。
Eudemon防火墙缺省保留四个安全区域:
● 非受信区域Untrust
低安全级别的安全区域,安全级别为5。
● 非军事化区域DMZ(DemilitarizedZone)
中等安全级别的安全区域,安全级别为50。
● 受信区域Trust
较高安全级别的安全区域,安全级别为85。
● 本地区域Local
最高安全级别的安全区域,安全级别为100。
这四个区域无需创建,也不能删除,同时各安全级别也不能重新设置。
可以根据实际组网需要,自行创建安全区域并定义其安全级别。
对于DMZ区域的解释如下:
DMZ这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。
该区域可以放置需要对外提供网络服务的设备,如WWWServer、FTPServer等。
DMZ区域很好地解决了服务器的放置问题。
上述服务器如果放置于外部网络,则防火墙无法保障它们的安全;如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。
2.1.2会话表概述
Eudemon防火墙是状态防火墙,采用会话表维持通信状态。
会话表由五个元素组成:
源IP地址、源端口、目的IP地址、目的端口和协议号。
当防火墙收到报文后,匹配报文头内相关信息和会话表,并根据匹配结果进行后续操作。
如表2-1所示。
表2-1Eudemon防火墙的报文转发流程
条件
操作
报文相关信息匹配会话表
转发该报文
报文相关信息不匹配会话表
域间包过滤规则配置为允许该数据流通过
转发该报文,并创建会话表表项
域间包过滤规则配置为拒绝该数据流通过
丢弃该报文
未匹配到域间包过滤规则
根据缺省域间包过滤规则处理该报文
2.1.3分片缓存概述
网络设备传输报文时,如果设备上配置的MTU小于报文长度,则会将报文分片后继续发送。
理想情况下,各分片报文将按照固定的先后顺序在网络中传输。
实际传输过程中,可能存在首片分片报文不是第一个到达Eudemon防火墙的现象。
此时,防火墙将丢弃该系列分片报文。
为保证会话的正常进行,防火墙增加分片缓存功能。
将先于首片分片报文到达的后续分片报文存于分片缓存,等首片分片报文到达后再进行转发,保证会话的正常进行。
如果首片分片报文无法到达防火墙,存于分片缓存的后续分片报文将被丢弃。
2.1.4包过滤概述
只有当数据在两个安全区域之间流动时,才会激活防火墙的安全规则检查功能。
包过滤即是防火墙安全规则检查的重要组成部分。
包过滤功能实现对IP报文的过滤。
对于需要转发的报文,防火墙先获取报文头信息,包括IP层所承载的上层协议的协议号、报文的源地址、目的地址、源端口号和目的端口号等,然后和设定的ACL规则进行匹配,并根据ACL的设定动作允许或拒绝对报文的转发。
当拒绝转发时,防火墙会丢弃相应报文。
如表2-2所示。
表2-2报文过滤规则
条件1
条件2
结果
域间包过滤规则允许报文通过
-
防火墙转发该报文
域间包过滤规则拒绝报文通过
-
防火墙丢弃该报文
未匹配到域间包过滤规则
缺省域间包过滤规则允许报文通过
防火墙转发该报文
缺省域间包过滤规则拒绝报文通过
防火墙丢弃该报文
2.1.5攻击防范与报文统计概述
攻击防范概述
通常的网络攻击,是侵入或破坏网上的服务器(主机),盗取服务器的敏感数据或干扰破坏服务器对外提供的服务。
也有直接破坏网络设备的网络攻击,这种破坏影响较大,会导致网络服务异常,甚至中断。
防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。
报文统计概述
对于防火墙来说,不仅要对数据流量进行监控,还要对内外部网络之间的连接发起情况进行检测,因此要进行大量的统计计算与分析。
防火墙的统计分析有如下两个方面:
● 专门的分析软件事后分析日志信息。
● 防火墙实时完成一部分分析功能。
例如,通过分析外部网络向内部网络发起的TCP或UDP连接总数是否超过设定的阈值,可以确定是否需要限制该方向的新连接发起,或者限制向内部网络某一IP地址发起新连接。
又如,通过分析发现系统的总连接数超过阈值,则可以加快系统的连接老化速度,以保证新连接能够正常建立,防止因系统太忙而导致拒绝服务情况的发生。
图2-1是防火墙的一个典型应用,当启动了外部网络到DMZ区域的基于IP地址的统计分析功能时,如果外部网络对Web服务器129.9.0.1发起的TCP连接数超过了设定的阈值,将限制外部网络向该服务器发起新连接,直到连接数降到正常的范围。
图2-1防火墙拒绝外部网络向服务器发起过多的连接
2.1.6ASPF概述
ASPF介绍
只有当数据在两个安全区域之间流动时,才会激活防火墙的安全规则检查功能。
ASPF(ApplicationSpecificPacketFilter)即是防火墙安全规则检查的重要组成部分。
ASPF是针对应用层的包过滤,即基于状态的报文过滤。
它和普通的静态防火墙协同工作,以便实施内部网络的安全策略。
ASPF能够检测试图通过防火墙的应用层协议会话信息,通过维护会话的状态和检查会话报文的协议和端口号等信息,阻止不符合规则的数据报文通过。
ASPF能对如下协议的流量进行监测:
● FTP(FileTransferProtocol)
● H.323
● HTTP(HyperTextTransportProtocol)
● HWCC(HuaWeiConferenceControlprotocol)
● ILS(InternetLocationService)
● MSN
● PPTP(PointtoPointTunnelProtocol)
● QQ
● RTSP(Real-TimeStreamingProtocol)
● SMTP(SimpleMailTransferProtocol)
● SIP(SessioninitiationProtocol)
ASPF还提供以下功能:
● JavaBlocking(Java阻断)
保护网络不受有害JavaApplets的破坏
● ActiveXBlocking(ActiveX阻断)
保护网络不受有害ActiveX的破坏
QQ/MSN聊天的检测
目前,为了节省有限的IP地址资源,绝大部分网络均部署了NAT设备提供地址转换。
对于纯文本聊天,由于在QQ/MSN服务器中保存了聊天用户的地址映射信息,信息交互可以顺利地通过QQ/MSN服务器中转。
聊天用户可能传送文件或进行音频/视频聊天,如果QQ/MSN服务器中转此类报文将消耗过大资源,无法保证对纯文本聊天报文的正常中转。
QQ/MSN服务器希望两个用户通过网络设备直接交互大流量的文件/音频/视频信息,但是由于一般NAT设备需要转换聊天用户的地址信息,无法实现该需求。
配置Eudemon防火墙NAT功能时,可以在相关域间启动QQ/MSN检测功能,防火墙在QQ/MSN聊天启动时则会创建地址映射关系,从而使两个私网用户直接传送文件和进行音频/视频聊天。
三元组ASPF
Eudemon防火墙相当于一个五元组的NAT设备,即防火墙上的每个会话的建立都需要五元组:
源IP地址、源端口、目的IP地址、目的端口和协议号。
只有这些元素都具备了,会话才能建立成功,报文才能通过。
而一些实时通讯工具,如QQ、MSN等,通过NAT设备,需要按三元组处理:
源IP地址、源端口、协议号。
Eudemon防火墙为了适配类似QQ、MSN等通讯机制,支持三元组处理方式,让类似QQ、MSN等的通讯方式能够正常的穿越。
除QQ、MSN穿越NAT设备外,其他仅使用源IP地址、源端口、协议号的会话,如TFTP,同样需要配置防火墙三元组ASPF。
2.1.7黑名单概述
黑名单是防火墙一个重要的安全特性,其特点为可以由Eudemon防火墙动态地进行添加或删除。
同基于ACL的包过滤功能相比,由于黑名单仅对IP地址进行匹配,可以以很高的速度实现黑名单表项匹配,从而快速有效地屏蔽特定IP地址的用户。
黑名单表项有如下两种创建方式:
● 通过命令行手工创建;
● 通过防火墙攻击防范模块或IDS模块动态创建。
当防火墙根据报文的行为特征察觉到特定IP地址的用户的攻击企图后,主动将其插入黑名单表项,过滤从该IP地址发送的报文,从而保障网络安全。
2.1.8MAC和IP地址绑定概述
MAC和IP地址绑定,指防火墙可以根据用户的配置,在IP地址和MAC地址之间形成关联关系。
对于声称源地址为这个IP地址的报文,如果其MAC地址不是指定关系对中的MAC地址,防火墙将予以丢弃。
目的地址为这个IP地址的报文,在通过防火墙时将被强制发送到MAC-IP地址关联关系中,该IP地址对应的MAC地址,从而对用户形成有效的保护。
MAC和IP地址绑定是避免IP地址假冒攻击的一种有效手段。
2.1.9端口识别概述
应用层协议一般使用知名端口号进行通信。
端口识别允许用户针对不同的应用在知名端口号之外定义一组新的端口号。
端口识别提供了一些机制来维护和使用用户定义的端口配置信息。
端口识别能够对不同的应用协议创建和维护一张系统定义(system-defined)和用户定义(user-defined)的端口识别表。
Eudemon防火墙支持基于基本ACL的主机端口识别。
这种主机端口识别是对去往某些特定主机的报文建立自定义端口号和应用协议的识别。
例如:
将去往10.110.0.0网段的主机使用8080端口的TCP报文识别为HTTP报文。
主机的范围可由基本ACL指定。
2.2配置安全区域
2.2.1建立配置任务
应用环境
配置防火墙业务功能前,需要首先配置防火墙的安全区域。
前置任务
在配置安全区域前,需要完成以下任务:
● 配置防火墙工作模式(可选)
● 配置接口IP地址(可选)
不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置安全区域前,需要准备以下数据:
序号
数据
1
安全区域的名称
2
安全区域的优先级别
3
接口类型和接口编号
配置过程
序号
过程
1
配置安全区域
2
检查配置结果
2.2.2配置安全区域
步骤1 执行命令system-view,进入系统视图。
步骤2 执行命令firewallzone[name]zone-name,创建安全区域,并进入相应安全区域视图。
执行firewallzone命令时,存在如下两种情况:
● 安全区域已经存在
不必配置关键字name,直接进入安全区域视图。
● 安全区域不存在
需要配置关键字name,进入安全区域视图。
创建安全区域时,需要遵循如下原则:
● 系统预定义了Local、Trust、DMZ和Untrust四个安全区域。
此四个区域无需创建,也不能删除;
● 最多支持16个安全区域(包括上述四个区域);
步骤3 执行命令setprioritysecurity-priority,配置安全区域的安全级别。
配置安全区域的安全级别时,需要遵循如下原则:
● 只能为自定义的安全区域设定安全级别;
● 安全级别一旦设定,不允许更改;
● 同一系统中,两个安全区域不允许配置相同的安全级别。
新建的安全区域,未设定其安全级别前,系统规定其安全级别为0。
步骤4 执行命令addinterfaceinterface-typeinterface-number,配置接口加入安全区域。
配置接口加入安全区域时,需要遵循如下原则:
● 除Local安全区域外,使用其他所有安全区域前,均需手工配置接口加入安全区域;
● 加入安全区域的接口可以是物理接口,也可以是逻辑接口;
● 加入一个安全区域的接口数不大于1024。
当数据在安全域间流动时,才会激发Eudemon防火墙进行安全策略的检查。
进入安全域间视图后,即可配置Eudemon防火墙的不同安全策略,例如包过滤策略、状态过滤策略等。
步骤5 执行命令descriptiontext,设置该域的描述信息,便于用户识别。
----结束
2.2.3检查配置结果
步骤
操作
命令
1
查看安全区域的配置信息
displayzone[zone-name][interface|priority]
2
查看安全域间的配置信息
displayinterzone[zone-name1zone-name2]
2.3配置会话表老化时间
2.3.1建立配置任务
应用环境
当防火墙缺省的会话表老化时间不能满足现有网络的需求时,即可重新设置,或使能防火墙会话表的加速老化功能。
前置任务
在配置会话表老化时间前,需要完成以下任务:
● 配置防火墙的工作模式(可选)
● 配置接口IP地址(可选)
● 配置接口加入安全区域
● 配置相关应用协议的ASPF
不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置会话表老化时间前,需要准备以下数据:
序号
数据
1
协议名
2
老化时间
配置过程
序号
过程
1
配置会话表老化时间