Quidway防火墙 Eudemon1000E 开局指导书V1101025B1精编版.docx

1、Quidway防火墙 Eudemon1000E 开局指导书V1101025B1精编版资料编码产品名称Quidway自研以太网交换机使用对象华为工程师、合作工程师产品版本编写部门软件服务部-解决方案部资料版本V100R002Quidway防火墙 Eudemon1000E 开局指导书拟 制：孙崧铭日 期：2009-09-20审 核：日 期：审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 XX修订记录日期修订版本描述作者2009-10-25V1.0完成孙崧铭关键词：Quidway，防火墙，Eudemon1000E，开局指导书摘 要：本文结合业务与软件产品线工程师开局需要对华为

2、Quidway局域网交换机数据准备给出指导，并对其常见配置进行描述。满足业务与软件产品常见组网应用开局配置需求。缩略语清单：VRP 通用路由平台，Versatile Routing PlatformFIC 智能接口模块，Flexible Interface CardHIC 高速接口模块，High-speed Interface Card NP 网络处理器，Network ProcessorSFP Small Form-Factor PluggableVRRP Virtual Router Redundancy ProtocolVGMP VRRP组管理协议，VRRP Group Manageme

3、nt ProtocolHRP 华为公司冗余协议，Huawei Redundancy ProtocolACL 访问控制列表，Access Control List参考资料清单：Quidway Eudemon 1000E 防火墙 产品概述(V100R002_03)Quidway Eudemon 1000E 防火墙 命令参考(V100R002_01)Quidway Eudemon 1000E 防火墙 配置指南 基础配置分册(V100R002_01)Quidway Eudemon 1000E 防火墙 配置指南 可靠性分册(V100R002_03)Quidway Eudemon 1000E 防火墙 配置

4、指南 系统管理分册(V100R002_04)第1章 Quidway Eudemon 1000E产品概述Eudemon 1000E 防火墙设备，主要面向大中型企业和电信网，通常作用于被保护区域的入口处，基于访问控制策略提供安全防护。例如：当防火墙位于内部网络和外部网络的连接处时，可以保护组织内的网络和数据免遭来自外部网络的非法访问（未授权或未验证的访问）或恶意攻击。1.1 系统介绍 Eudemon 1000E设备为1U标准机箱，机箱上带有console口4个光电互斥固定的10/100/1000M以太网口，支持双GE、4FE插卡供用户灵活配置，最大支持8GE。Eudemon 1000E提供了2个电

5、源槽位，可以支持交流或直流电源模块，实现单路供电及电源的冗余备份，并不支持电源模块/风扇/多功能接口模块热插拔。作为新一代高速状态防火墙，Eudemon 1000E为大中小型客户提供了高性价比的网络安全保障。1. 高安全性与那些基于通用操作系统的软件防火墙相比较，Eudemon 1000E用专门设计的多核防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开，这种无依赖性大大提高了系统安全性。采用ASPF状态检测技术，Eudemon 1000E可对连接过程和有害命令进行监测，并协同ACL完成包过滤此外，Eudemon 1000E还提供数十种攻击的防范能力。所有这些都有效地保

6、障了网络的安全。2. 高速处理能力Eudemon 1000E采用多核CPU硬件架构以及优化的软件结构，有效保证了系统性能。例如，ACL高速算法实现了查找数万条策略的速度和查找数条速度一样。3. 高可靠性专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E防火墙支持双机状态热备，发生倒换时不会造成业务中断，支持双机分担处理，故障发生时能够自动倒换。4. 强大的业务支撑能力Eudemon 1000E防火墙提供集成的高速以太网接口，以及丰富的可选配的多功能广域网接口模块，不仅支持丰富的协议，如H.323、SIP、FTP

7、（File Transfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，而且还支持对有害命令的检测功能。提供基于算法的高速ACL查找、静态和动态黑名单过滤、基于代理技术和反弹技术的SYN Flood防御的流控等特性。Eudemon 1000E防火墙除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由功能，如静态路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）动态路由，使得防火墙的组网应用更加灵活。Eudemon 1000E防火墙支持多种工作模

8、式，包括路由、透明和混合三种模式，其中透明模式无需用户更改原来的网络配置，直接插入防火墙即可，方便了用户组网。5. 良好的图形化配置和管理能力提供WEB管理界面，能轻松实现管理；提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。1.2 组网介绍 Eudemon 1000E防火墙能够工作在三种模式下：路由模式、透明模式、混合模式。如果防火墙以第三层对外连接（接口具有IP地址），则认为防火墙工作在路由模式下；若防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下；若防火墙同时具有工作在路由模式和透明模式的接口（某些接口具有IP地址，某些接口无IP地址），则防

9、火墙工作在混合模式下。1.3 系统结构介绍 Eudemon 1000E防火墙采用模块化设计，整机高度为1U，机箱上带有console口4个光电互斥固定的10/100/1000M以太网口，支持双GE、4FE插卡供用户灵活配置，最大支持8GE。 Eudemon 1000E防火墙整机的外形图片如下所示：第2章 Quidway Eudemon 1000E的特点在安全防范体系中，防火墙一般作为内部网络和外部网络之间第一道防线，用以抵御来自外部的绝大多数攻击。在实际应用中，单一的安全防护技术并不足以构筑一个安全的网络安全体系，多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言，安全防范体系具

10、体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外部的绝大多数攻击。完成这项任务的网络边防产品就是防火墙。防火墙主要用于以下目的： 限制用户或信息由一个特定的被严格控制的站点进入。 阻止攻击者接近其他安全防御设施。 限制用户或信息由一个特定的被严格控制的站点离开。2.1 产品系列Eudemon 1000E结合华为公司特有的ASPF（Application Specific Packet Filter）技术，兼具有代理防火墙安全性高、状态防火墙速度快的优点。Eudemon 1000E采用专门设计的高可靠性硬件系统和具有自主知识产权的专有操作系统，将高效的包过滤功能、透明的代理服

11、务、基于改进的状态检测安全技术、丰富的统计分析功能、多种安全保障措施集于一身，并提供多类型接口和工作模式。Eudemon 1000E包含4款产品，主要性能参数如下： Eudemon 1000E-U2整机最大吞吐量为2Gbit/s，最大并发连接数为160万条，每秒并发新建连接数为15万条。 Eudemon 1000E-U3整机最大吞吐量为4Gbit/s，最大并发连接数为160万条，每秒并发新建连接数为15万条。 Eudemon 1000E-U5整机最大吞吐量为6Gbit/s，最大并发连接数为200万条，每秒并发新建连接数为15万条。 Eudemon 1000E-U6整机最大吞吐量为6Gbit/s

12、，最大并发连接数为200万条，每秒并发新建连接数为15万条。 U6相对U5在小包处理能力上有所加强。2.2 产品优点作为新一代高速状态防火墙，Eudemon 1000E为中小型客户提供了高性价比的网络安全保障，具有高安全性、高速处理能力等优点。1. 高安全性与基于通用操作系统的软件防火墙相比，Eudemon 1000E采用专门设计的防火墙硬件平台和具有自主知识产权的安全操作系统，报文处理和操作系统完全分开，这种无依赖性提高了系统安全性。Eudemon 1000E采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成包过滤。此外，Eudemon 1000E还提供数十种攻击的防

13、范能力，有效地保障了网络的安全。2. 高速处理能力Eudemon 1000E采用多核技术提供线速的高性能安全防范和报文处理能力。Eudemon 1000E采用高速算法和优化的软件结构，有效保证了系统性能。例如，ACL高速算法实现了查找数千条策略的速度和查找数条速度一样。3. 高可靠性专门设计的防火墙软件，每一环节均考虑到对各种攻击的防御，通过优先级调度和流控等手段使得系统具备很好的强壮性。Eudemon 1000E支持双机状态热备，发生倒换时不会造成业务中断。4. 强大的组网和业务支撑能力Eudemon 1000E提供集成的高速以太网接口，不仅支持丰富的协议，如H.323、FTP（File T

14、ransfer Protocol）、SMTP（Simple Mail Transfer Protocol）等，还支持对有害命令的检测功能。提供NAT（Network Address Translation）应用、静态和动态黑名单过滤、基于代理技术的SYN Flood防御的流控等特性。Eudemon 1000E除了具备各种安全防范功能，提供高效的安全保障能力外，还集成了部分路由能力，如静态路由、RIP（Routing Information Protocol）和OSPF（Open Shortest Path First）动态路由，使得Eudemon 1000E的组网应用更加灵活。Eudemon

15、1000E支持多种工作模式，包括路由、透明和混合三种模式。其中透明模式无需用户更改原来的网络配置，此时的Eudemon 1000E相当于网桥，方便了用户组网。5. 强大的日志和统计分析功能提供强大的日志和统计分析功能，在安全分析和事后追踪等方面提供了有力的帮助。2.3 安全域概念介绍2.3.1 防火墙的域对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担

16、的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，可能会造成用户在配置上的混乱。因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接

17、转发，不会触发ACL等检查。Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。除了本地域，每个区域可以关联一个或多个防火墙接口。如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。在以接口为基础进行安全

18、检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之

19、为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于Untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于Trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。2.3.2 域间概念任何两个安全域之间存在的关系，我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述，比如，Trust-Untrust域间。前面描述的数据流的方向性，就是域间关系的一个属性。在Eudemon系列防火墙上，

20、绝大多数安全相关的配置都是在域间进行的。不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动地同每一个已经存在的域产生域间关系。可见，域间关系实际上是一种全连接的结构。但是，由于我们为每个域间赋予了入和出两个方向的属性，域间AB和域间BA实际上是一样的。因此我们规定，对于全部域间，只使用高安全级别在前，低安全级别在后这样一种描述形式。无论用户输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。也就是说，在配置的时候，只存在Trust-Untrust域间，不存在Untrust-Trust域间。2.3.3 本地域在域的概念中，比较不容易理解的是本地域（Local）。在其他所有预

21、定义域和用户创建的域中，都可以使用添加接口的命令。可以将某个接口添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属性，我们可以认为这部分网络就是这个域。要理解的是，这个操作真正添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只是通过添加接口这种形式来表现罢了。Local域所保护的是防火墙自身，如果允许在Local域下添加接口，根据前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因此在local域下面不能使用添加接口的命令。任何访问防火墙

22、自身的报文（包括访问接口IP地址和系统IP地址）都被看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相应域间配置的安全策略检查。举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24位，所连接的网络为192.168.10.0，该接口位于防火墙的Trust域。在此情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，就产生了Trust域到Local域的入方向数据流，要根据Local-Trust域间配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连接才能成功。由于有了本地域，从根本上解决了原来存在的安全控制措施只

23、能针对设备连接的网络，对设备自身却无法保护的情况。在实际网络环境中，曾经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设备的接口IP，造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。而在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，充分保护了设备自身的安全。2.4 防火墙工作模式2.4.1 防火墙工作模式概述防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模式以及混合模式三种工作模式。混合模式是为了在透明

24、模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口。业软主推的工作模式是路由模式。2.4.2 路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。路由模式下可以使用NAT，双机热备份以及全部的攻击防范功能。同时，由于此模式是VRP工作的基本形态，各种应用都比较成熟。在可能的情况下，我们推荐使用路由模式进行组网。2.4.3 透明模式透明模式的防火墙则

25、可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。为了解决对防火墙的配置问题，在透明模式下存在一个系统IP，用户需要分配一个当前子网中没有使用的IP地址给防火墙，方便远程管理的使用。同时，系统IP还起到了让防火墙能够分辨当前所在子网的作用。在路由模式下，防火墙学习ARP表项是各个接口分别学习的，防火墙使用接口下的IP地址配合子网掩码，为属于自己子网的IP地址创建ARP表项。在透明模式下，某些防火墙内部

26、功能还是基于IP地址信息实现的，不能没有ARP表项。但由于没有了接口IP地址，对于子网的判断就很困难，因此，当防火墙工作在透明模式之下，是依据系统IP和对应的子网掩码来判定是否添加ARP表项的，如果系统IP和掩码配置的不正确，肯定会造成网络某些应用无法正常使用的问题，必须要注意。为了防止针对防火墙的arp flood攻击造成过多的ARP表项，可以通过命令undo firewall arp-learning enable禁止防火墙动态创建ARP表项，此时为了访问系统IP，需要手工创建一个静态的ARP表项，访问才能成功。由于透明模式的防火墙接口没有IP地址，对外表现为一个二层设备，因此不能支持NA

27、T、IPSEC、路由协议等功能，当防火墙从路由模式切换到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，保存当前配置（输入save命令），并且在模式切换之后将系统重启，以保证无用资源的释放。透明模式的主要优点是可以不改动已有的网络拓扑结构透明模式下，NAT、双机热备份以及攻击防范中的IP spoofing功能都不可用。由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式下工作的情况。2.4.4 混合模式顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为

28、了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。在混和模式下，每个接口的工作模式是由接口上是否配置了IP地址来区分的。如果一个接口不配置IP地址，它就属于透明模式的接口，如果给它配置了IP地址，它就工作于路由模式。工作在路由模式下的接口可以配置VRRP，我们可以通过将真正提供服务的接口设置在透明模式，将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。2.5 访问控制策略和报文过滤2.5.1 访问控制策略的异同防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。Eu

29、demon上在ACL的配置方面基本同原有的路由器一致，但是ACL的类型同路由器稍有不同。在路由器上，ACL由基本ACL、扩展ACL和接口ACL三种组成，基本ACL和扩展ACL又分为数字型和命名型两种。在防火墙上，接口ACL被取消了，主要原因是颗粒度太粗，而且难以适应在安全域这个概念下应用。防火墙也不支持命名型ACL。防火墙新添加了一个基于MAC地址进行过滤的ACL策略组，这个模块是随着透明模式引入的。在防火墙上，只有这个类型的规则组在接口下应用的，主要是由于MAC地址同防火墙的接口相关的比较紧密。在接口下应用基于MAC的ACL规则时，inbound/outbound的概念同路由器下保持一致，i

30、nbound指报文由接口进入防火墙，outbound指报文由接口离开防火墙。这同防火墙域间的inbound/outbound概念是完全不一致的，需要注意。2.5.2 ACL加速查找路由器上的ACL规则总数有数量限制。专门用作网络安全屏障的防火墙来说规则总数要求远远大于路由器。在应用中，如果使用路由器线性搜索算法，在大量规则条件下，报文匹配的性能也会大大的下降。防火墙上引入了ACL快速查找算法，将线性搜索变为固定次数匹配。在规则数量大的情况下，极大地提高了规则匹配速度。ACL加速查找对于使用大量ACL规则的情况下，对于防火墙搜索性能的提升是毋庸置疑的。防火墙一旦启动了加速查找功能，NAT、统计、

31、QoS等等多个功能处理效率都将受益。但是，ACL快速查找功能对内存的消耗是非常大的。业务与软件产品使用防火墙对ACL规则数量要求不是很高，不建议启动ACL加速查找功能。缺省情况下，防火墙未启动ACL加速查找功能。2.5.3 报文过滤规则的应用每条ACL规则虽然跟随了一个permit/deny的动作，但是并不能直接对报文起到控制作用，只有使用packet-filter命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个ACL规则组，分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。防火墙是基于状态检测的设备，防火墙关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来。允许的数据流出去之后，防火墙会建立起会话表，交互返回的报文不再匹配报文过滤规则，直接通过匹配会话表通过防