華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt

上傳人:sh****n 文檔編號:14104890 上傳時間:2020-07-03 格式:PPT 頁數(shù):67 大小:4.17MB
收藏 版權(quán)申訴 舉報 下載
華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt_第1頁
第1頁 / 共67頁
華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt_第2頁
第2頁 / 共67頁
華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt_第3頁
第3頁 / 共67頁

下載文檔到電腦,查找使用更方便

14.9 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt》由會員分享,可在線閱讀,更多相關(guān)《華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠片.ppt(67頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、06.April2006,防火墻基礎(chǔ),Version4.0,Page1,數(shù)據(jù)業(yè)務(wù)局點的網(wǎng)絡(luò)安全,依賴于防火墻的良好配置。防火墻也是數(shù)據(jù)業(yè)務(wù)局點不可缺少的組網(wǎng)設(shè)備。每一位數(shù)據(jù)業(yè)務(wù)工程師,必須理解防火墻的運行機(jī)理,掌握防火墻的常用配置方法。,,,,,Page2,參考資料,Page3,,,學(xué)習(xí)目標(biāo),理解防火墻的基本概念熟悉Eudemon防火墻產(chǎn)品能夠?qū)udemon防火墻進(jìn)行規(guī)劃和配置,學(xué)習(xí)完本課程,您應(yīng)該能夠:,Page4,3G數(shù)據(jù)業(yè)務(wù)典型組網(wǎng),,,,,,No7/SignalGw,,,,SMSC,,MMSC,,GMLC,,IMPS,,mSTREAM,,UM,,MDSP,,WISG,WIN,,,,,

2、,,,Internet,,CorporateNetwork,,,Router,Firewall,CoreLANSwitch,EdgeLANSwitch,HALink,WANLink,FW1,S6506,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,,PTT,S3528x2,No7/SignalGw,,GELink,,FC/SCSILink,100m/FELink,,E1Link,FW2,,,AAA,S3528x2,,FW3,FW4,,3GCoreNetwork,,NMS/OSS,S3528x2,,

3、,,,,GGSN,OAM,S3528,,,,OAMDesktop,Antivirus,,,,,,Backup,,,,,FW5,FW6,,,Page5,防火墻在MMSC局點中的位置,,,2Eudemon200,,報表服務(wù)器IBMX235,MMSPortalSUNV440,OMCServerIBMX235,2QuidwayS6506交換機(jī),,2F5BIGIP2400負(fù)載均衡器,,,,CMNET,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,數(shù)據(jù)庫和計費服務(wù)器SUNV440雙機(jī),MMSCCluster(5SUNV440雙機(jī)),,,BOSS,,BOSS,,,,,,,,,Quidway

4、AR28路由器,QuidwayAR28路由器,,,預(yù)統(tǒng)計和報表數(shù)據(jù)庫服務(wù)器IBMX445,,,,,,,,,網(wǎng)管接口機(jī)SUNV440,,,,,,,,,,MCAS內(nèi)容適配服務(wù)器4HPDL360G3,Page6,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page7,防火墻的概念,隨著Internet的日益普及,許多LAN(內(nèi)部網(wǎng)絡(luò))已經(jīng)可以直接接入Internet網(wǎng)絡(luò),這種開放式的網(wǎng)絡(luò)同時帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上,我們的周圍存在著許多不能信任的計算機(jī),這些計算機(jī)對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中,防火墻被設(shè)計用來防止火從大廈的一部

5、分傳播蔓延到大廈的另外一部分。我們所涉及的防火墻服務(wù)具有類似的目的:“防止Internet的危險傳播到你的內(nèi)部網(wǎng)絡(luò)”?,F(xiàn)代的防火墻體系不應(yīng)該只是一個“入口的屏障”,防火墻應(yīng)該是幾個網(wǎng)絡(luò)的接入控制點,所有經(jīng)過被防火墻保護(hù)的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻,形成一個信息進(jìn)入的關(guān)口,因此防火墻不但可以保護(hù)內(nèi)部網(wǎng)絡(luò)在Internet中的安全,同時可以保護(hù)若干主機(jī)在一個內(nèi)部網(wǎng)絡(luò)中的安全。在每一個被防火墻分割的網(wǎng)絡(luò)中,所有的計算機(jī)之間是被認(rèn)為“可信任的”,它們之間的通信可以不受防火墻的干涉;而在各個被防火墻分割的網(wǎng)絡(luò)之間,必須按照防火墻規(guī)定的“策略”進(jìn)行互相的訪問。,Page8,防火墻的概念,簡單的說,防

6、火墻是保護(hù)一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊,但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻應(yīng)該具有如下基本特征:經(jīng)過防火墻保護(hù)的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。只有經(jīng)過各種配置的策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、抗?jié)B透能力。防火墻可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全,可以使受保護(hù)的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個網(wǎng)絡(luò)接口,這些接口用來連接幾個網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進(jìn)行的連接都必須經(jīng)過硬件防火墻,防火墻來控制這些連接,對連接進(jìn)行驗證、過濾,。,,Page9,防火墻和路由器的差異,路由器的特點:保證互聯(lián)互通。按照最長匹配算法逐包轉(zhuǎn)發(fā)。路由協(xié)議

7、是核心特性。,防火墻的特點:邏輯子網(wǎng)之間的訪問控制,關(guān)注邊界安全?;谶B接的轉(zhuǎn)發(fā)特性。安全防范是核心特性。,由于防火墻具有基于連接監(jiān)控的特性,因此防火墻對業(yè)務(wù)支持具有非常強的優(yōu)勢。而路由器基于逐包轉(zhuǎn)發(fā)的特點,因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù),復(fù)雜的業(yè)務(wù)對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富,支持的路由協(xié)議不如路由器豐富,因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備,支持高速、安全、豐富的業(yè)務(wù)特性。,Page10,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page11,,,,一夫當(dāng)關(guān),萬夫莫開,華為公司Eude

8、mon防火墻,Page12,,,,,華為公司硬件防火墻系列產(chǎn)品,涵蓋了從低端數(shù)兆到高端千兆級別,卓越的性能和先進(jìn)的安全體系架構(gòu)為用戶提供了強大的安全保障。,Eudemon1000/500,Eudemon200,Eudemon100,華為公司Eudemon系列防火墻,Page13,,Eudemon防火墻主要特點,專用硬件系統(tǒng)專用軟件系統(tǒng)高可靠高安全高性能完備的防止流量攻擊功能強大的組網(wǎng)和業(yè)務(wù)支撐能力安全方便的管理系統(tǒng),Page14,防火墻的安全區(qū)域,防火墻的內(nèi)部劃分為多個區(qū)域,所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域。,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接

9、口2,接口3,接口4,Page15,防火墻的安全區(qū)域,路由器的安全規(guī)則定義在接口上,而防火墻的安全規(guī)則定義在安全區(qū)域之間。,,不允許來自10.0.0.1的數(shù)據(jù)報從這個接口出去,,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域,Page16,防火墻的安全區(qū)域,Eudemon防火墻上保留四個安全區(qū)域:非受信區(qū)(Untrust):低級別的安全區(qū)域,其安全優(yōu)先級為5。非軍事化區(qū)(DMZ):中度級別的安全區(qū)域,其安全優(yōu)先級為50。受信區(qū)(Trust):較高級別的安全區(qū)域,其安全優(yōu)先級為85。

10、本地區(qū)域(Local):最高級別的安全區(qū)域,其安全優(yōu)先級為100。此外,如認(rèn)為有必要,用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多可有16個安全區(qū)域。,Page17,防火墻的安全區(qū)域,域間的數(shù)據(jù)流分兩個方向:入方向(inbound):數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较?;出方向(outbound):數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page18,防火墻的安全區(qū)域,本域內(nèi)不同接

11、口間不過濾直接轉(zhuǎn)發(fā)進(jìn)、出接口相同的報文被丟棄接口沒有加入域之前不能轉(zhuǎn)發(fā)包文,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page19,防火墻的安全區(qū)域,Page20,,,防火墻的模式,路由模式透明模式混合模式,Page21,防火墻的路由模式,可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò),防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息,然后通過查找轉(zhuǎn)發(fā)表,根據(jù)出接口找到出口域,再根據(jù)這兩個域確定域間關(guān)系,然后使用

12、配置在這個域間關(guān)系上的安全策略進(jìn)行各種操作。,,,,,Page22,防火墻的透明模式,透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機(jī)。防火墻的接口不能配IP地址,整個設(shè)備處于現(xiàn)有的子網(wǎng)內(nèi)部,對于網(wǎng)絡(luò)中的其他設(shè)備,防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口,是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后,安全模塊的內(nèi)部仍然使用報文的IP地址進(jìn)行各種安全策略的匹配。,Page23,防火墻的混合模式,混合模式是指防火墻一部份接口工作在透明模式,另一部分接口工作在路由模式。提出混合模式的概念,主要是為了解決防火墻在純粹的透明模式下無法使用雙機(jī)熱備份功能的問題。雙機(jī)熱備份所依賴的VRRP需要在接口上配置IP地址,而透

13、明模式無法實現(xiàn)這一點。,Page24,狀態(tài)檢測防火墻的處理過程,Page25,,,IP包過濾技術(shù)介紹,對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包,先獲取包頭信息,然后和設(shè)定的規(guī)則進(jìn)行比較,根據(jù)比較的結(jié)果對數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。,,,,,,Internet,,公司總部,內(nèi)部網(wǎng)絡(luò),未授權(quán)用戶,辦事處,Page26,訪問控制列表是什么?,一個IP數(shù)據(jù)包如下圖所示(圖中IP所承載的上層協(xié)議為TCP):,Page27,如何標(biāo)識訪問控制列表?,利用數(shù)字標(biāo)識訪問控制列表利用數(shù)字范圍標(biāo)識訪問控制列表的種類,700799范圍的ACL是基于以太網(wǎng)幀頭的訪問控制列表,Page28,基本訪問控制

14、列表,標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù),表明是允許還是拒絕。,,,路由器,Page29,基本訪問控制列表的配置,配置基本訪問列表的命令格式如下:aclacl-numbermatch-orderconfig|autorulepermit|denysourcesource-addrsource-wildcard|any,怎樣利用IP地址和反掩碼wildcard-mask來表示一個網(wǎng)段?,Page30,訪問控制列表的組合,一條訪問列表可以由多條規(guī)則組成。對于這些規(guī)則,有兩種匹配順序:auto和config指定匹配該規(guī)則時按用戶的配置順序。規(guī)則沖突時,若匹配順序為auto(深度優(yōu)先),描述的地址范

15、圍越小的規(guī)則,將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.00.0.0.255兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段(202.38.0.0)上的主機(jī)但允許其中的一小部分主機(jī)(202.38.160.0)的訪問。規(guī)則沖突時,若匹配順序為config,先配置的規(guī)則會被優(yōu)先考慮。,Page31,增強訪問控制列表,增強訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包,表明是允許還是拒絕。,,路由器,Page32,增強訪問控制列表的配置命令,配置TCP/UDP協(xié)議的增強

16、訪問列表:ruleIDofaclrulepermit|denytcp|udpsourcesource-addrsource-wildcard|anysource-portoperatorport1port2destinationdest-addrdest-wildcard|anydestination-portoperatorport1port2logging配置ICMP協(xié)議的增強訪問列表:ruleIDofaclrulepermit|denyicmpsourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|any

17、icmp-typeicmp-typeicmp-codelogging配置其它協(xié)議的增強訪問列表:ruleIDofaclrulepermit|denyip|ospf|igmp|gresourcesource-addrsource-wildcard|anydestinationdest-addrdest-wildcard|anylogging,Page33,增強訪問控制列表操作符的含義,Page34,舉例:在區(qū)域間應(yīng)用訪問控制列表,#創(chuàng)建編號為3001的訪問控制列表:Eudemonaclnumber3001#配置ACL規(guī)則,允許特定用戶從外部網(wǎng)訪問內(nèi)部的三臺服務(wù)器:Eudemon-acl-adv-

18、3001rulepermittcpsource202.39.2.30destination129.38.1.10Eudemon-acl-adv-3001rulepermittcpsource202.39.2.30destination129.38.1.20Eudemon-acl-adv-3001rulepermittcpsource202.39.2.30destination129.38.1.30上述配置已經(jīng)完成了ACL的創(chuàng)建。下面的配置是在包過濾應(yīng)用中引用ACL,相關(guān)命令的詳細(xì)解釋請見命令手冊的描述。#將ACL規(guī)則3001作用于Untrust區(qū)域到Trust區(qū)域間的入方向。Eudemon-I

19、nterzone-trust-untrustpacket-filter3001inbound,Page35,ASPF,為保護(hù)網(wǎng)絡(luò)安全,基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包,防止非法入侵。ASPF能夠檢測應(yīng)用層協(xié)議的信息,并對應(yīng)用的流量進(jìn)行監(jiān)控。ASPF(ApplicationSpecificPacketFilter)是針對應(yīng)用層的包過濾,也是基于狀態(tài)的報文過濾。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息,阻止不符合規(guī)則的數(shù)據(jù)報文通過。,Page36,ASPF,ASPF能夠監(jiān)測FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS(DenialofS

20、ervice,拒絕服務(wù))的檢測和防范。JavaBlocking(Java阻斷)保護(hù)網(wǎng)絡(luò)不受有害JavaApplets的破壞。ActivexBlocking(Activex阻斷)保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞。支持端口到應(yīng)用的映射,為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口。增強的會話日志功能??梢詫λ械倪B接進(jìn)行記錄,包括連接時間、源地址、目的地址、使用端口和傳輸字節(jié)數(shù)等信息。,Page37,ASPF配置舉例,,要求:如果該報文是從Trust區(qū)域向Untrust區(qū)域發(fā)起FTP和HTTP連接的返回報文,則允許其通過防火墻再進(jìn)入Trust區(qū)域,其他報文被禁止;并且,此ASPF檢測策略能夠過濾掉來自

21、外部網(wǎng)絡(luò)服務(wù)器2.2.2.11的HTTP報文中的JavaApplets。本例可以應(yīng)用在本地用戶需要訪問遠(yuǎn)程網(wǎng)絡(luò)服務(wù)的情況下。,Page38,ASPF配置舉例,Eudemonfirewallsessionaging-timeftp3000Eudemonfirewallsessionaging-timehttp3000Eudemonaclnumber3001Eudemon-acl-adv-3001ruledenyipEudemonaclnumber2001Eudemon-acl-basic-2001ruledenysource2.2.2.110.0.0.0Eudemon-acl-basic-200

22、1rulepermitsourceanyEudemonfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound(配置Trust和Untrust區(qū)域間出方向包過濾缺省動作為允許)EudemonfirewallinterzonetrustuntrustEudemon-interzone-trust-untrustpacket-filter3001inboundEudemon-interzone-trust-untrustdetectftpEudemon-interzone-trust-untrustdetect

23、httpEudemon-interzone-trust-untrustdetectjava-blocking2001,Page39,地址轉(zhuǎn)換,NAT(NetworkAddressTranslation,地址轉(zhuǎn)換)是將IP數(shù)據(jù)報報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實際應(yīng)用中,NAT主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的功能。私有網(wǎng)絡(luò)一般使用私有地址,RFC1918為私有、內(nèi)部的應(yīng)用留出了三個IP地址池,如下:A類:10.0.0.010.255.255.255(10.0.0.0/8)B類:172.16.0.0172.31.255.255(172.16.0.0/12)C類:192.168.0.

24、0192.168.255.255(192.168.0.0/16)上述三個范圍內(nèi)的地址不會在Internet上被分配,因而可以不必向ISP或注冊中心申請而在公司或企業(yè)內(nèi)部自由使用。路由器可以在接口上配置地址轉(zhuǎn)換,Eudemon防火墻是在區(qū)域之間實現(xiàn)地址轉(zhuǎn)換。,Page40,多對多地址轉(zhuǎn)換,Eudemon防火墻是通過定義地址池來實現(xiàn)多對多地址轉(zhuǎn)換,同時利用訪問控制列表來對地址轉(zhuǎn)換進(jìn)行控制的。地址池:用于地址轉(zhuǎn)換的一些公有IP地址的集合。用戶應(yīng)根據(jù)自己擁有的合法IP地址數(shù)目、內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)目以及實際應(yīng)用情況,配置恰當(dāng)?shù)牡刂烦?。地址轉(zhuǎn)換的過程中,將會從地址池中挑選一個地址做為轉(zhuǎn)換后的源地址。利用訪問控

25、制列表限制地址轉(zhuǎn)換:只有滿足訪問控制列表條件的數(shù)據(jù)報文才可以進(jìn)行地址轉(zhuǎn)換。這可以有效地控制地址轉(zhuǎn)換的使用范圍,使特定主機(jī)才有權(quán)限訪問Internet。,Page41,多對多地址轉(zhuǎn)換,Eudemon防火墻上配置多對多地址轉(zhuǎn)換的步驟如下:在系統(tǒng)視圖下定義一個可以根據(jù)需要進(jìn)行分配的NAT地址池nataddress-groupgroup-numberstart-addrend-addr其中,group-number是標(biāo)識這個地址池的編號,start-addr和end-addr是地址池的起始和結(jié)束IP地址。在系統(tǒng)視圖和ACL視圖下定義一個訪問控制列表在系統(tǒng)視圖下定義訪問控制列表:aclnumberacl

26、-numbermatch-orderconfig|auto在ACL視圖下定義訪問控制規(guī)則:rulerule-idpermit|denysourcesour-addrsour-wildcard|anytime-rangetime-namelogging在域間視圖下將訪問控制列表和NAT地址池關(guān)聯(lián):natoutboundacl-numberaddress-groupgroup-number,Page42,NatServer配置,在實際應(yīng)用中,可能需要提供給外部一個訪問內(nèi)部主機(jī)的機(jī)會,如提供給外部一個WWW的服務(wù)器,或是一臺FTP服務(wù)器。使用NAT可以靈活地添加內(nèi)部服務(wù)器,通過配置內(nèi)部服務(wù)器,可將相

27、應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上,提供了外部網(wǎng)絡(luò)可訪問內(nèi)部服務(wù)器的功能。natserverprotocolprotocol-typeglobalglobal-addrglobal-portinsidehost-addrhost-portnatserverglobalglobal-addrinsidehost-addr,Page43,EasyIP配置,EasyIP的概念很簡單,當(dāng)進(jìn)行地址轉(zhuǎn)換時,直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。同樣它也利用訪問控制列表控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換。在域間視圖下執(zhí)行:natoutboundacl-numberinterfaceinterfa

28、ce-name,Page44,應(yīng)用級網(wǎng)關(guān)ALG,NAT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉(zhuǎn)換。對于一些特殊協(xié)議,例如ICMP、FTP等,它們報文的數(shù)據(jù)部分可能包含IP地址或端口信息,這些內(nèi)容不能被NAT有效的轉(zhuǎn)換,這就可能導(dǎo)致問題。例如,一個使用內(nèi)部IP地址的FTP服務(wù)器可能在和外部網(wǎng)絡(luò)主機(jī)建立會話的過程中需要將自己的IP地址發(fā)送給對方。而這個地址信息是放到IP報文的數(shù)據(jù)部分,NAT無法對它進(jìn)行轉(zhuǎn)換。當(dāng)外部網(wǎng)絡(luò)主機(jī)接收了這個私有地址并使用它,這時FTP服務(wù)器將表現(xiàn)為不可達(dá)。解決這些特殊協(xié)議的NAT轉(zhuǎn)換問題的方法就是在NAT實現(xiàn)中使用ALG(ApplicationLeve

29、lGateway,應(yīng)用級網(wǎng)關(guān))功能。ALG是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理,它和NAT交互以建立狀態(tài)信息,使用NAT的狀態(tài)信息來改變封裝在IP報文數(shù)據(jù)部分中的特定數(shù)據(jù),并完成其他必需的工作以使應(yīng)用協(xié)議可以跨越不同范圍運行。在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應(yīng)協(xié)議的ALG功能natalgenabledns|ftp|h323|icmp|qq|msn在域間視圖下為應(yīng)用層協(xié)議配置ASPF檢測detectprotocol,Page45,Eudemon雙機(jī)熱備,什么是雙機(jī)熱備?所謂雙機(jī)熱備其實是雙機(jī)狀態(tài)備份。當(dāng)兩臺防火墻,在確定主從防火墻后,由主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā),而從防火墻處于監(jiān)控狀態(tài),同時主防火墻會定時向

30、從防火墻發(fā)送狀態(tài)信息和需要備份的信息;當(dāng)主防火墻出現(xiàn)故障后,從防火墻會及時接替主防火墻上的業(yè)務(wù)運行。,,,Page46,雙機(jī)熱備的實現(xiàn)和原理,實現(xiàn)雙機(jī)熱備的基本步驟:在接口上配置VRRP(虛擬路由器冗余協(xié)議)備份組,來發(fā)現(xiàn)防火墻的故障情況;將VRRP備份組加入到VGMP(VRRP組管理協(xié)議)中,以實現(xiàn)對VRRP管理組的統(tǒng)一管理;使能HRP(華為冗余協(xié)議),實現(xiàn)雙機(jī)情況下的信息備份。雙機(jī)熱備的基本原理:兩臺防火墻形成雙機(jī)熱備,兩臺防火墻之間通過VRRP的hello報文協(xié)商主備關(guān)系,根據(jù)VGMP的優(yōu)先級和接口的IP確定防火墻的master和slave關(guān)系,并且master防火墻會通過HRP協(xié)議定時

31、向slave傳送備份信息(命令行備份信息和動態(tài)備份信息);當(dāng)master防火墻出現(xiàn)故障時,主備關(guān)系發(fā)生轉(zhuǎn)換,業(yè)務(wù)會平滑切換,不會影響這個業(yè)務(wù)的進(jìn)行。,Page47,雙機(jī)熱備注意事項,在雙機(jī)熱備組網(wǎng)中,需要注意的幾個問題:1.對于雙機(jī)熱備目前只支持兩臺設(shè)備進(jìn)行備份,不支持多臺設(shè)備進(jìn)行備份。但對于只使用VRRP(即沒有使用HRP同步協(xié)議)的組網(wǎng)可以支持多臺設(shè)備進(jìn)行冗余備份;2.由于雙機(jī)熱備中具有備份機(jī)制可以備份動態(tài)信息和命令,因此要求進(jìn)行雙機(jī)熱備的兩臺設(shè)備板卡的位置和類型都要求相同,否則會出現(xiàn)主防火墻備份過去的信息,與從防火墻根本就無法進(jìn)行搭配使用,如出現(xiàn)主備狀態(tài)切換就會導(dǎo)致業(yè)務(wù)出問題。3.進(jìn)行雙

32、機(jī)熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設(shè)備配置相同,以免由于先前的配置而導(dǎo)致業(yè)務(wù)問題。,,Page48,雙機(jī)熱備應(yīng)用協(xié)議,VRRP(VirtualRouterRedundancyProtocol)虛擬路由器冗余協(xié)議VRRP(VirtualRouterRedundancyProtocol)作為一種容錯協(xié)議,適用于支持組播或廣播的局域網(wǎng)(如以太網(wǎng)等),通過一組路由設(shè)備共用一個虛擬的IP來達(dá)到提供一個虛擬網(wǎng)關(guān)的目的。,Page49,,雙機(jī)熱備應(yīng)用協(xié)議,VRRP在防火墻應(yīng)用的缺陷每個備份組的VRRP是單獨工作的,并且每個VRRP狀態(tài)相對獨立,因此無法保證同一防火墻上各接口的VRRP狀態(tài)

33、都為主用或都為備用,可能會導(dǎo)致業(yè)務(wù)中斷。由于Eudemon是狀態(tài)防火墻,對于各安全區(qū)域之間的每個動態(tài)生成的五元組的會話連接,Eudemon都有一個會話表項與之對應(yīng),只有命中該會話表項的后續(xù)報文(包括返回報文)才能夠通過Eudemon防火墻,這就要求某會話的進(jìn)路徑、出路徑必須一致,因此VRRP無法保證主從防火墻的這種會話連接一致,當(dāng)出現(xiàn)切換后會出現(xiàn)業(yè)務(wù)中斷。,Page50,雙機(jī)熱備應(yīng)用的協(xié)議,VGMP(VRRPGroupManagementProtocol)VRRP組管理協(xié)議為了確保各VRRP備份組之間通路狀態(tài)一致性,需要配置VRRP管理組,由管理組統(tǒng)一管理各獨立運行的VRRP備份組,從而實現(xiàn)各

34、備份組之間的互通,以防止可能導(dǎo)致的VRRP狀態(tài)不一致現(xiàn)象的發(fā)生,從而實現(xiàn)對多個VRRP備份組(虛擬路由器)的狀態(tài)一致性管理、搶占管理和通道管理。也許會問VRRP下有接口監(jiān)視命令不是可以實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一嗎?VRRP下的track接口監(jiān)視命令,的確可以達(dá)到實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一;但是,如果接口較多的情況下,配置就會很繁瑣,同時很容易出錯。接口監(jiān)視命令只能實現(xiàn)對其他接口狀態(tài)的監(jiān)控以達(dá)到VRRP的狀態(tài)統(tǒng)一,但是VRRP是獨立工作的,當(dāng)由于搶占設(shè)備中一個VRRP狀態(tài)發(fā)生變化后,監(jiān)控命令是無法使所有的VRRP狀態(tài)都進(jìn)行變化的。,,Page51,雙機(jī)熱備應(yīng)用協(xié)議,Page52,,,雙機(jī)熱備應(yīng)用協(xié)議,VGMP提

35、供的功能狀態(tài)一致性管理各備份組的主/備狀態(tài)變化都需要通知其所屬的VRRP管理組,由VRRP管理組決定是否允許VRRP備份組進(jìn)行主/備狀態(tài)切換。搶占管理無論各VRRP備份組內(nèi)Eudemon防火墻設(shè)備是否使能了搶占功能,搶占行為發(fā)生與否必須由VRRP管理組統(tǒng)一決定。通道管理所謂通道管理,是為了提供傳輸VGMP報文、VGMP相關(guān)承載報文、VRRP狀態(tài)報文的可靠通路而提出的,這是相對正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。,Page53,,,雙機(jī)熱備應(yīng)用協(xié)議,HRP(HuaweiRedundancyProtocol)華為冗余協(xié)議HRP協(xié)議是承載在VGMP報文上進(jìn)行傳輸?shù)?,在Master和Backup防火墻設(shè)備之間

36、備份關(guān)鍵配置命令和會話表狀態(tài)信息,特別是會話表項。,Page54,,雙機(jī)熱備應(yīng)用協(xié)議,,防火墻應(yīng)用狀態(tài)的可靠性備份:動態(tài)生成的黑名單防火墻生成的會話表表項SERVERMAP表項NO-PAT表項,Page55,雙機(jī)熱備應(yīng)用協(xié)議,防火墻配置命令的備份:ACL包過濾命令的配置攻擊防范命令的配置地址綁定命令的配置黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作日志命令NAT命令的配置統(tǒng)計命令的配置域的命令的配置,包括新域的設(shè)定,域內(nèi)添加的接口和優(yōu)先級的設(shè)置ASPF(應(yīng)用層包過濾防火墻)的命令配置清除會話表項命令(resetfirewallsessiontable)和清除配置的命令(und

37、oXXX)注意:1.在批處理手工備份時,對于undo和reset命令是無法進(jìn)行備份的。2.除以上命令行可以備份外,其他命令無法備份。如路由命令等,需要主從防火墻同時配置。,Page56,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page57,Eudemon防火墻配置步驟,防火墻組網(wǎng)規(guī)劃配置接口IP地址配置域把接口劃分到域雙機(jī)情況下,配置VRRP雙機(jī)情況下,配置VGMP雙機(jī)情況下,配置HRP雙機(jī)情況下,驗證雙機(jī)配置配置地址轉(zhuǎn)換配置ACL在域間應(yīng)用ACL校驗業(yè)務(wù)配置,Page58,防火墻組網(wǎng)規(guī)劃,防火墻組網(wǎng)規(guī)劃組網(wǎng)拓樸圖(具體到網(wǎng)絡(luò)設(shè)備物理端口的分配和連接)IP地址的分

38、配(具體到網(wǎng)絡(luò)設(shè)備所有IP地址的分配)防火墻上的區(qū)域劃分防火墻的地址映射關(guān)系防火墻需要開放的策略,Page59,配置接口IP地址,#配置防火墻接口Ethernet0/0/0的IP地址:Eudemoninterfaceethernet0/0/0Eudemon-Ethernet0/0/0ipaddress192.168.1.1255.255.255.0Eudemon-Ethernet0/0/0quit#如為雙機(jī),需要在接口下配置vrrp。如在接口eth0/0/0下配置VRRP備份組1,注意虛擬IP需要和接口地址同一網(wǎng)段:Eudemon-ethernet0/0/0vrrpvrid1virtual-i

39、p192.168.1.4Eudemon-ethernet0/0/0interfaceethernet0/0/1Eudemon-ethernet0/0/1ipaddress192.168.3.1255.255.255.0此下繼續(xù)在接口eth0/0/1下配置VRRP備份組2,并配置虛擬IP,Page60,配置區(qū)域,配置區(qū)域,并把區(qū)域優(yōu)先級配置好(采用缺省區(qū)域則不用)#配置區(qū)域dmz。Eudemonfirewallzonenamedmz1Eudemon-zone-dmz1setpriority70,Page61,把接口加入到區(qū)域中,把相應(yīng)的接口加入到相應(yīng)的區(qū)域中去#配置接口Ethernet1/0/0

40、加入防火墻DMZ域。EudemonfirewallzonedmzEudemon-zone-dmzaddinterfaceethernet1/0/0Eudemon-zone-dmzquit,,,,,Page62,配置VRRP組管理,#創(chuàng)建VRRP管理組1,將所有的VRRP備份組添加到管理組中進(jìn)行統(tǒng)一管理Eudemonvrrp-group1使能VRRP管理組,只有使能了VGMP,才能對VRRP進(jìn)行統(tǒng)一管理Eudemon-vrrpgroup-1vrrpenable#將備份組1、2加入VRRP管理組1中,并指定兩條數(shù)據(jù)通道,分別以ethernet0/0/0和ethernet0/0/1作為兩條通道的端點

41、Eudemon-vrrpgroup-1addinterfaceethernet0/0/0vrrpvrid1dataEudemon-vrrpgroup-1addinterfaceethernet0/0/1vrrpvrid2data配置transfer-only參數(shù)的通道的狀態(tài)變化不會影響VGMP的優(yōu)先級從而導(dǎo)致狀態(tài)切換Eudemon-vrrpgroup-1addinterfaceethernet2/0/0vrrpvrid3datatransfer-only#啟用VRRP管理組的自動搶占功能,搶占延時采用默認(rèn)時間為0秒Eudemon-vrrpgroup-1vrrp-grouppreedom,Pag

42、e63,配置HRP,當(dāng)防火墻不配置VGMP的優(yōu)先級時,默認(rèn)優(yōu)先級為100。當(dāng)配置優(yōu)先級時應(yīng)注意VGMP優(yōu)先級的遞減算法:遞減后的優(yōu)先級優(yōu)先級優(yōu)先級/16,當(dāng)主防火墻出故障時,遞減后的優(yōu)先級應(yīng)比slave防火墻的優(yōu)先級低,才可進(jìn)行主備狀態(tài)切換,否則出故障的防火墻仍然為主狀態(tài),從而導(dǎo)致業(yè)務(wù)會中斷。例如,以下配置遞減后的優(yōu)先級為105105/1698,因此slave防火墻比該優(yōu)先級大。Eudemon-vrrpgroup-1vrrp-grouppriority105Eudemon-vrrpgroup-1quit#使能HRP功能,當(dāng)使能HRP功能后會在Eudemon前顯示HRP_M,從防火墻上會顯示HR

43、P_S,默認(rèn)是自動實時備份。Eudemonhrpenable以上為主防火墻的配置,從防火墻的配置基本上與主防火墻的配置相同,只需要改變接口的IP地址即可。,Page64,配置NAT和ACL,應(yīng)用ACL,配置地址轉(zhuǎn)換Eudemonnatserverprotocoltcpglobal202.169.10.10wwwinside192.168.20.10www配置ACLEudemonaclnametodadvancedEudemon-acl-adv-todrulepermittcpdestination192.168.20.100應(yīng)用ACLEudemonfirewallinterzonedmzuntrustEudemon-interzone-dmz-untrustpacket-filtertodinbound,Page65,校驗防火墻配置,校驗雙機(jī)狀態(tài)檢查雙機(jī)切換對于業(yè)務(wù)是否有影響校驗配置同步情況檢查主備機(jī)的配置是否可自動同步,可以通過比較配置來實現(xiàn)校驗業(yè)務(wù)是否正常測試業(yè)務(wù)是否正常,Version2.0,

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!