常用思科華為H3C及juniper防火墻培訓(xùn)總結(jié)PPT

1、獨(dú)鉤寒江雪原創(chuàng)2013-1-7防火墻培訓(xùn)目錄 一、防火墻概念二、主流品牌防火墻的介紹、基本工作原理三、主流品牌防火墻常見(jiàn)組網(wǎng)方式及配置示例四、防火墻的維護(hù)一、防火墻的概念1、防火墻的概念2、防火墻和路由器的差異3、防火墻的分類1、防火墻的概念 隨著Internet的日益普及，許多LAN（內(nèi)部網(wǎng)絡(luò)）已經(jīng)直接可以接入Internet網(wǎng)絡(luò)，這種開(kāi)放式的網(wǎng)絡(luò)同時(shí)帶來(lái)了許多不安全的隱患。在開(kāi)放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計(jì)算機(jī)（包括在一個(gè)LAN之間），這些計(jì)算機(jī)對(duì)我們私有的一些敏感信息造成了很大的威脅。 在大廈的構(gòu)造，防火墻被設(shè)計(jì)用來(lái)防止火從大廈的一部分傳播到大廈的另外一部分。我們所涉

2、及的防火墻服務(wù)具有類似的目的：“防止Internet的危險(xiǎn)傳播到你的內(nèi)部網(wǎng)絡(luò)”。 現(xiàn)代的防火墻體系不應(yīng)該只是一個(gè)“入口的屏障”，防火墻應(yīng)該是幾個(gè)網(wǎng)絡(luò)的接入控制點(diǎn)，所有經(jīng)過(guò)被防火墻保護(hù)的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過(guò)防火墻，形成一個(gè)信息進(jìn)入的關(guān)口，因此防火墻不但可以保護(hù)內(nèi)部網(wǎng)絡(luò)在Internet中的安全，同時(shí)可以保護(hù)若干主機(jī)在一個(gè)內(nèi)部網(wǎng)絡(luò)中的安全。在每一個(gè)被防火墻分割的網(wǎng)絡(luò)中，所有的計(jì)算機(jī)之間是被認(rèn)為“可信任的”，它們之間的通信可以不受防火墻的干涉。而在各個(gè)被防火墻分割的網(wǎng)絡(luò)之間，必須按照防火墻規(guī)定的“策略”進(jìn)行互相的訪問(wèn)。簡(jiǎn)單的說(shuō)，防火墻是保護(hù)一個(gè)網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時(shí)還必須允許

3、兩個(gè)網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。防火墻應(yīng)該具有如下基本特征：經(jīng)過(guò)防火墻保護(hù)的網(wǎng)絡(luò)之間的通信必須都經(jīng)過(guò)防火墻。只有經(jīng)過(guò)各種配置的策略驗(yàn)證過(guò)的合法數(shù)據(jù)包才可以通過(guò)防火墻。防火墻本身必須具有很強(qiáng)的抗攻擊、滲透能力。防火墻可以保護(hù)內(nèi)部網(wǎng)絡(luò)的安全，可以使受保護(hù)的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個(gè)網(wǎng)絡(luò)接口，這些接口都是LAN接口（如Ethernet、Token Ring、FDDI），這些接口用來(lái)連接幾個(gè)網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進(jìn)行的連接都必須經(jīng)過(guò)硬件防火墻，防火墻來(lái)控制這些連接，對(duì)連接進(jìn)行驗(yàn)證、過(guò)濾。連接不受信連接不受信網(wǎng)絡(luò)區(qū)域網(wǎng)絡(luò)區(qū)域連接受信網(wǎng)連接受信網(wǎng)絡(luò)區(qū)域絡(luò)區(qū)域在連接受信網(wǎng)絡(luò)區(qū)域和非

4、受信網(wǎng)絡(luò)區(qū)域之間的在連接受信網(wǎng)絡(luò)區(qū)域和非受信網(wǎng)絡(luò)區(qū)域之間的區(qū)域，一般稱為區(qū)域，一般稱為DMZ。2、防火墻和路由器的差異A的報(bào)文如何能最快的到的報(bào)文如何能最快的到B？ 網(wǎng)絡(luò)網(wǎng)絡(luò)A如何和網(wǎng)絡(luò)如何和網(wǎng)絡(luò)B互聯(lián)互通？過(guò)來(lái)一個(gè)報(bào)文立刻轉(zhuǎn)發(fā)一個(gè)報(bào)文?；ヂ?lián)互通？過(guò)來(lái)一個(gè)報(bào)文立刻轉(zhuǎn)發(fā)一個(gè)報(bào)文。網(wǎng)絡(luò)A網(wǎng)絡(luò)B交流路由信息交流路由信息這個(gè)訪問(wèn)是否允許到這個(gè)訪問(wèn)是否允許到B？這個(gè)？這個(gè)TCP連接是合法連接嗎？這個(gè)訪問(wèn)是否是一個(gè)攻擊行為？連接是合法連接嗎？這個(gè)訪問(wèn)是否是一個(gè)攻擊行為？路由器的特點(diǎn)：路由器的特點(diǎn)：保證互聯(lián)互通。保證互聯(lián)互通。按照最長(zhǎng)匹配算法逐包轉(zhuǎn)發(fā)。按照最長(zhǎng)匹配算法逐包轉(zhuǎn)發(fā)。路由協(xié)議是核心特性。路由協(xié)議是

5、核心特性。防火墻的特點(diǎn)：防火墻的特點(diǎn)：邏輯子網(wǎng)之間的訪問(wèn)控制，關(guān)注邊界安全邏輯子網(wǎng)之間的訪問(wèn)控制，關(guān)注邊界安全基于連接的轉(zhuǎn)發(fā)特性。基于連接的轉(zhuǎn)發(fā)特性。安全防范是防火墻的核心特性。安全防范是防火墻的核心特性。由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對(duì)業(yè)務(wù)支持具有非常強(qiáng)的優(yōu)勢(shì)。而路由器基于由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對(duì)業(yè)務(wù)支持具有非常強(qiáng)的優(yōu)勢(shì)。而路由器基于逐包轉(zhuǎn)發(fā)的特點(diǎn)，因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)，復(fù)雜的業(yè)務(wù)對(duì)路由器的性能消耗比逐包轉(zhuǎn)發(fā)的特點(diǎn)，因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)，復(fù)雜的業(yè)務(wù)對(duì)路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路

6、由器豐富，因此防火墻不適合較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路由器豐富，因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐富的業(yè)務(wù)特性。富的業(yè)務(wù)特性。3、防火墻的分類按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類：包過(guò)濾防火墻(Packet Filtering) 包過(guò)濾利用定義的特定規(guī)則過(guò)濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照規(guī)則進(jìn)行比較，

7、過(guò)濾通過(guò)防火墻的數(shù)據(jù)包。規(guī)則的定義就是按照IP數(shù)據(jù)包的特點(diǎn)定義的，可以充分利用上述的四個(gè)條件定義通過(guò)防火墻數(shù)據(jù)包的條件。 包過(guò)濾防火墻簡(jiǎn)單，但是缺乏靈活性。另外包過(guò)濾防火墻每包需要都進(jìn)行策略檢查，策略過(guò)多會(huì)導(dǎo)致性能急劇下降。代理型防火墻（application gateway） 代理型防火墻使得防火墻做為一個(gè)訪問(wèn)的中間節(jié)點(diǎn)，對(duì)Client來(lái)說(shuō)防火墻是一個(gè)Server，對(duì)Server來(lái)說(shuō)防火墻是一個(gè)Client。代理型防火墻安全性較高，但是開(kāi)發(fā)代價(jià)很大。對(duì)每一種應(yīng)用開(kāi)發(fā)一個(gè)對(duì)應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對(duì)某些應(yīng)用提供代理支持。狀態(tài)檢測(cè)防火墻 狀態(tài)檢測(cè)是一

8、種高級(jí)通信過(guò)濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過(guò)防火墻或丟棄。現(xiàn)在防火墻的主流產(chǎn)品為狀態(tài)檢測(cè)防火墻。包過(guò)濾技術(shù) 包過(guò)濾的防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括IP源地址、IP目標(biāo)地址、傳輸協(xié)議(TCP、UDP、ICMP等等)、TCP/UDP目標(biāo)端口、ICMP消息類型等。以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表 。IP包過(guò)濾技術(shù)介紹對(duì)防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包

9、頭信息，然后和設(shè)定的規(guī)則進(jìn)行比較，根據(jù)比較的結(jié)果對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)或者丟棄。而實(shí)現(xiàn)包過(guò)濾的核心技術(shù)是訪問(wèn)控制列表。RInternet公司總部?jī)?nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處代理型防火墻技術(shù) 應(yīng)用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點(diǎn)，起著監(jiān)視和隔絕應(yīng)用層通信流的作 用。同時(shí)也常結(jié)合入過(guò)濾器的功能。它工作在OSI模型的最高層，掌握著應(yīng)用系統(tǒng)中可用作安全決策的全部信息 。以美國(guó)NAI公司的Gauntlet防火墻為代表 。狀態(tài)檢測(cè)技術(shù)用戶A初始化一個(gè)telnet會(huì)話用戶A的telnet會(huì)話返回報(bào)文被允許其它telnet報(bào)文被阻塞創(chuàng)建Session表項(xiàng)狀態(tài)防火墻通過(guò)檢測(cè)基于狀態(tài)防火墻通過(guò)檢測(cè)基于TCP/UDP連接

10、的連接狀態(tài)，來(lái)動(dòng)態(tài)的決定報(bào)文是連接的連接狀態(tài)，來(lái)動(dòng)態(tài)的決定報(bào)文是否可以通過(guò)防火墻。在狀態(tài)防火墻中，會(huì)維護(hù)著一個(gè)否可以通過(guò)防火墻。在狀態(tài)防火墻中，會(huì)維護(hù)著一個(gè)Session表項(xiàng)，通過(guò)表項(xiàng)，通過(guò)Session表項(xiàng)就可以決定哪些連接是合法訪問(wèn)，哪些是非法訪問(wèn)。表項(xiàng)就可以決定哪些連接是合法訪問(wèn)，哪些是非法訪問(wèn)。目錄 一、防火墻概念二、主流品牌防火墻的介紹、基本工作原理三、主流品牌防火墻常見(jiàn)組網(wǎng)方式及配置示例四、防火墻的維護(hù)二、主流品牌防火墻的介紹、基本工作原理1、華為Eudemon防火墻2、思科ASA防火墻3、Juniper Netscreen防火墻4、H3C F1000防火墻1、華為Eudemon防

11、火墻防火墻的介紹安全區(qū)域工作模式控制列表應(yīng)用訪問(wèn)策略ASPF黑名單Nat地址轉(zhuǎn)換雙機(jī)工作方式 VRRP組HRP攻擊防范Eudemon防火墻介紹Eudemon 1000/500Eudemon 200Eudemon 100Eudemon防火墻基本規(guī)格E100E200E1000接口數(shù)量接口數(shù)量自帶自帶2個(gè)個(gè)10/100M以以太網(wǎng)口，另有太網(wǎng)口，另有2個(gè)擴(kuò)個(gè)擴(kuò)展接口插槽展接口插槽自帶自帶2個(gè)個(gè)10/100M以太以太網(wǎng)口。網(wǎng)口。,2個(gè)擴(kuò)展接口插槽個(gè)擴(kuò)展接口插槽自帶自帶2個(gè)個(gè)10/100M以以太網(wǎng)口。太網(wǎng)口。4個(gè)擴(kuò)展接個(gè)擴(kuò)展接口插槽口插槽接口類型接口類型10/100M以太網(wǎng)以太網(wǎng)10/100M以太網(wǎng)，以太

12、網(wǎng)，E1、ATM接口接口FE/GE口，口，E1、ATM、POS等接口等接口支持加密標(biāo)準(zhǔn)支持加密標(biāo)準(zhǔn)DES,3DES, AES,國(guó)密辦算法國(guó)密辦算法DES,3DES, AES,國(guó)密辦算法國(guó)密辦算法DES,3DES, AES,國(guó)密辦算法國(guó)密辦算法加密速度加密速度(3DES)80M100M300M支持的認(rèn)證類型支持的認(rèn)證類型RADIUSRADIUSRADIUSEudemon防火墻基本規(guī)格E100E200E1000靜態(tài)靜態(tài)ACL支持支持支 持 ， 支 持 高 速支 持 ， 支 持 高 速ACL算法；算法；3K條條支持，支持高速支持，支持高速ACL算算法；法；20K條條支持，支持高速支持，支持高速ACL

13、算算法，法，100K條條提供基于時(shí)間的提供基于時(shí)間的ACL訪問(wèn)訪問(wèn)控制控制支持支持支持支持支持支持傳輸層傳輸層PROXY代理代理支持支持支持支持支持支持ActiveX、Java applet過(guò)過(guò)濾濾 支持支持支持支持支持支持支持的抗攻擊類型支持的抗攻擊類型支持抵抗支持抵抗SYN FLOODSYN FLOOD、ICMP FLOODICMP FLOOD、UDP FLOODUDP FLOOD、WinnukeWinnuke、LandLand、SmurfSmurf、FraggleFraggle等數(shù)十種攻擊等數(shù)十種攻擊支持的應(yīng)用狀態(tài)檢測(cè)支持的應(yīng)用狀態(tài)檢測(cè)對(duì)對(duì)TCP、UDP、分片報(bào)文、分片報(bào)文、FTP、SM

14、TP、RTSP、H.323、SIP、HTTP等進(jìn)行應(yīng)用等進(jìn)行應(yīng)用狀態(tài)檢測(cè)狀態(tài)檢測(cè)IP和和MAC地址綁定地址綁定支持支持支持支持支持支持Eudemon防火墻基本規(guī)格E100E200E1000提供對(duì)提供對(duì)SMTP,FTP等協(xié)議的應(yīng)用層有等協(xié)議的應(yīng)用層有害命令檢測(cè)和防御。害命令檢測(cè)和防御。支持支持支持支持支持支持NAT主要支持主要支持ALGFTP、PPTP、DNS、NBT（NetBIOS over TCP）、）、ILS（Internet Locator Service）、）、ICMP、H.323、SIP等協(xié)議等等協(xié)議等支持支持QoS和帶寬管理和帶寬管理支持支持支持支持支持支持支持負(fù)載均衡支持負(fù)載均衡

15、支持支持支持支持支持支持支持工作模式支持工作模式NAT,路由，透明路由，透明NAT,路由，透明路由，透明NAT,路由，透明路由，透明失敗恢復(fù)特性失敗恢復(fù)特性雙機(jī)狀態(tài)熱備；多雙機(jī)狀態(tài)熱備；多機(jī)均衡，自動(dòng)倒換；機(jī)均衡，自動(dòng)倒換；雙機(jī)狀態(tài)熱備；多雙機(jī)狀態(tài)熱備；多機(jī)均衡，自動(dòng)倒換；機(jī)均衡，自動(dòng)倒換；雙機(jī)狀態(tài)熱備；多雙機(jī)狀態(tài)熱備；多機(jī)均衡，自動(dòng)倒換；機(jī)均衡，自動(dòng)倒換；Eudemon防火墻基本規(guī)格E100E200E1000動(dòng)態(tài)路由動(dòng)態(tài)路由支持支持RIP、OSPF支持支持RIP、OSPF支持支持RIP、OSPF支持支持SNMP監(jiān)控和配置監(jiān)控和配置支持支持支持支持支持支持管理方式管理方式GUI,CLIGUI,

16、CLIGUI,CLI集中管理多個(gè)防火墻集中管理多個(gè)防火墻支持支持支持支持支持支持日志日志支持二進(jìn)制和支持二進(jìn)制和SYSLOG格格式式支 持 二 進(jìn) 制 和支 持 二 進(jìn) 制 和SYSLOG格式格式支 持 二 進(jìn) 制 和支 持 二 進(jìn) 制 和SYSLOG格式格式日志可設(shè)定輸出信息日志可設(shè)定輸出信息所有發(fā)起連接，流量，各所有發(fā)起連接，流量，各種詳細(xì)統(tǒng)計(jì)如分類丟棄報(bào)種詳細(xì)統(tǒng)計(jì)如分類丟棄報(bào)文等文等所有發(fā)起連接，流量，所有發(fā)起連接，流量，各種統(tǒng)計(jì)如分類丟棄各種統(tǒng)計(jì)如分類丟棄報(bào)文等報(bào)文等所有發(fā)起連接，流量，所有發(fā)起連接，流量，各種統(tǒng)計(jì)如分類丟棄各種統(tǒng)計(jì)如分類丟棄報(bào)文等報(bào)文等Eudemon防火墻的安全區(qū)域防

17、火墻的內(nèi)部劃分為多個(gè)區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個(gè)區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4Eudemon防火墻的安全區(qū)域路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來(lái)自的數(shù)據(jù)報(bào)從這個(gè)接口出去Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4禁止所有從DMZ區(qū)域的數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到UnTrust區(qū)域Eudemon防火墻的安全區(qū)域Eudemon防火墻上保留四個(gè)安全區(qū)域：非受信區(qū)（Untrust）：低級(jí)的安全區(qū)域，其安全優(yōu)先級(jí)為5。非軍事化區(qū)（DMZ）：中度級(jí)別的安全區(qū)域，其安全優(yōu)先

18、級(jí)為50。受信區(qū)（Trust）：較高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為85。本地區(qū)域（Local）：最高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為100。此外，如認(rèn)為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級(jí)別。最多16個(gè)安全區(qū)域。Eudemon防火墻的安全區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4域間的數(shù)據(jù)流分兩個(gè)方向：入方向（inbound）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）：數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较颉udemon防火墻的安全區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTru

19、st區(qū)域接口1接口2接口3接口4本域內(nèi)不同接口間不過(guò)濾直接轉(zhuǎn)發(fā)進(jìn)、出接口相同的報(bào)文被丟棄接口沒(méi)有加入域之前不能轉(zhuǎn)發(fā)包文Eudemon防火墻的安全區(qū)域Ethernet外部網(wǎng)絡(luò)EthernetEudemon( Local )ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0內(nèi)部網(wǎng)絡(luò)Eudemon防火墻的工作模式路由模式透明模式混合模式Eudemon防火墻的路由模式可以把路由模式理解為象路由器那樣工作。防火墻每個(gè)接口連接一個(gè)網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報(bào)文在防火墻內(nèi)首先通過(guò)入接口信息找到進(jìn)入域信息，然后通過(guò)

20、查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個(gè)域確定域間關(guān)系，然后使用配置在這個(gè)域間關(guān)系上的安全策略進(jìn)行各種操作。Eudemon防火墻的透明模式透明模式的防火墻則可以被看作一臺(tái)以太網(wǎng)交換機(jī)。防火墻的接口不能配IP地址，整個(gè)設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對(duì)于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報(bào)文轉(zhuǎn)發(fā)的出接口，是通過(guò)查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報(bào)文的IP地址進(jìn)行各種安全策略的匹配。Eudemon防火墻的混合模式混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無(wú)法使用雙機(jī)熱備份功能的問(wèn)題。雙

21、機(jī)熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無(wú)法實(shí)現(xiàn)這一點(diǎn)。狀態(tài)防火墻處理過(guò)程Eudemon防火墻的訪問(wèn)控制列表一個(gè)IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：IP報(bào)頭報(bào)頭TCP報(bào)頭報(bào)頭數(shù)據(jù)數(shù)據(jù)協(xié)議號(hào)協(xié)議號(hào)源地址源地址目的地址目的地址源端口源端口目的端口目的端口對(duì)于TCP來(lái)說(shuō)，這5個(gè)元素組成了一個(gè)TCP相關(guān)，訪問(wèn)控制列表就是利用這些元素定義的規(guī)則如何標(biāo)識(shí)訪問(wèn)控制列表？利用數(shù)字標(biāo)識(shí)訪問(wèn)控制列表利用數(shù)字范圍標(biāo)識(shí)訪問(wèn)控制列表的種類列表的種類列表的種類數(shù)字標(biāo)識(shí)的范圍數(shù)字標(biāo)識(shí)的范圍IP standard list199,2000-2999IP extended list10

22、0199,3000-3999 700799范圍的ACL是基于MAC地址的訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表標(biāo)準(zhǔn)訪問(wèn)控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。從/24來(lái)的數(shù)據(jù)包可以通過(guò)！從/24來(lái)的數(shù)據(jù)包不能通過(guò)！路由器標(biāo)準(zhǔn)訪問(wèn)控制列表的配置配置標(biāo)準(zhǔn)訪問(wèn)列表的命令格式如下：acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any 怎樣利用 IP 地址 和 反掩碼wildc

23、ard-mask 來(lái)表示一個(gè)網(wǎng)段?訪問(wèn)控制列表的組合一條訪問(wèn)列表可以由多條規(guī)則組成,對(duì)于這些規(guī)則，有兩種匹配順序：auto和config指定匹配該規(guī)則時(shí)按用戶的配置順序 。規(guī)則沖突時(shí)，若匹配順序?yàn)閍uto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會(huì)優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較access-list 4 deny 55 access-list 4 permit 55 兩條規(guī)則結(jié)合則表示禁止一個(gè)大網(wǎng)段 （）上的主機(jī)但允許其中的一小部分主 機(jī)（）的訪問(wèn)

24、。規(guī)則沖突時(shí)，若匹配順序?yàn)閏onfig，先配置的規(guī)則會(huì)被優(yōu)先考慮。擴(kuò)展訪問(wèn)控制列表擴(kuò)展訪問(wèn)控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。從/24來(lái)的,到0的，使用TCP協(xié)議，利用HTTP訪問(wèn)的數(shù)據(jù)包可以通過(guò)！路由器擴(kuò)展訪問(wèn)控制列表的配置命令配置TCP/UDP協(xié)議的擴(kuò)展訪問(wèn)列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destinat

25、ion dest-addr dest- wildcard | any destination-port operator port1 port2 logging配置ICMP協(xié)議的擴(kuò)展訪問(wèn)列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging配置其它協(xié)議的擴(kuò)展訪問(wèn)列表：rule normal | special permit

26、 | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging擴(kuò)展訪問(wèn)控制列表操作符的含義操作符及語(yǔ)法意義equal portnumber等于端口號(hào) portnumbergreater-than portnumber大于端口號(hào)portnumberless-than portnumber小于端口號(hào)portnumbernot-equal portnumber不等于端口號(hào)portnumber rangeportnumbe

27、r1 portnumber2介于端口號(hào)portnumber1 和portnumber2之間在區(qū)域間應(yīng)用訪問(wèn)控制列表例子：創(chuàng)建編號(hào)為101的訪問(wèn)控制列表。Eudemon acl number 101# 配置ACL規(guī)則，允許內(nèi)部服務(wù)器從內(nèi)部網(wǎng)任意訪問(wèn)外部用戶。Eudemon-acl-adv-101 rule 1 permit ip 創(chuàng)建編號(hào)為102的訪問(wèn)控制列表。Eudemon acl number 102# 配置ACL規(guī)則，允許特定用戶從外部網(wǎng)訪問(wèn)內(nèi)部服務(wù)器。Eudemon-acl-adv-102 rule 1 permit tcp source 0 destination

28、 0Eudemon-acl-adv-102 rule 2 permit tcp source 0 destination 0Eudemon-acl-adv-102 rule 3 permit tcp source 0 destination 0上述配置已經(jīng)完成了ACL的創(chuàng)建。下面的配置是在包過(guò)濾應(yīng)用中引用ACL，相關(guān)命令的具體解釋請(qǐng)見(jiàn)相關(guān)章節(jié)的描述。# 將ACL規(guī)則101作用于Trust區(qū)域到Untrust區(qū)域間的出方向。Eudemon-Interzone-trust-untrust

29、packet-filter 101 outbound# 將ACL規(guī)則102作用于unTrust區(qū)域到trust區(qū)域間的入方向。Eudemon-Interzone-trust-untrust packet-filter 102 inboundASPFASPF（Application Specific Packet Filter）是針對(duì)應(yīng)用層的包過(guò)濾，即基于狀態(tài)的報(bào)文過(guò)濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測(cè)試圖通過(guò)防火墻的應(yīng)用層協(xié)議會(huì)話信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過(guò)。為保護(hù)網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過(guò)濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法入侵。A

30、SPF能夠檢測(cè)應(yīng)用層協(xié)議的信息，并對(duì)應(yīng)用的流量進(jìn)行監(jiān)控。ASPF能夠監(jiān)測(cè)FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒絕服務(wù)）的檢測(cè)和防范。Java Blocking（Java阻斷）保護(hù)網(wǎng)絡(luò)不受有害Java Applets的破壞。Activex Blocking（Activex阻斷）保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞。支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口。增強(qiáng)的會(huì)話日志功能?？梢詫?duì)所有的連接進(jìn)行記錄，包括連接時(shí)間、源地址、目的地址、使用端口和傳輸字節(jié)數(shù)等信息。ASPF配置舉例Ethernet202.1

31、01.1.2Ethernet1/0/0Server Host 1TrustUntrustEthernetEudemonEthernet2/0/0ASPF配置舉例Eudemon firewall session aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 101Eudemon-acl-adv-101 rule deny ipEudemon acl number 10Eudemon-acl-basic-10 rule deny

32、source 1 Eudemon-acl-basic-10 rule permit source anyEudemon firewall packet-filter default permit interzone trust untrust direction outboundEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 101 inboundEudemon-interzone-trust-untrust detect ftpEudemon

33、-interzone-trust-untrust detect httpEudemon-interzone-trust-untrust detect java-blocking 10黑名單黑名單，指根據(jù)報(bào)文的源IP地址進(jìn)行過(guò)濾的一種方式。同基于ACL的包過(guò)濾功能相比，由于黑名單進(jìn)行匹配的域非常簡(jiǎn)單，可以以很高的速度實(shí)現(xiàn)報(bào)文的過(guò)濾，從而有效地將特定IP地址發(fā)送來(lái)的報(bào)文屏蔽。黑名單最主要的一個(gè)特色是可以由Eudemon防火墻動(dòng)態(tài)地進(jìn)行添加或刪除，當(dāng)防火墻中根據(jù)報(bào)文的行為特征察覺(jué)到特定IP地址的攻擊企圖之后，通過(guò)主動(dòng)修改黑名單列表從而將該IP地址發(fā)送的報(bào)文過(guò)濾掉。因此，黑名單是防火墻一個(gè)重要的安全特

34、性。黑名單的創(chuàng)建undo firewall blacklist item sour-addr timeout minutes 黑名單的使能undo firewall blacklist enable黑名單的報(bào)文過(guò)濾類型和范圍的設(shè)置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 黑名單配置舉例Eudemon服務(wù)器PC服務(wù)器和客戶機(jī)分別位于防火墻Trust區(qū)域和Untrust區(qū)域中，現(xiàn)要在100分鐘內(nèi)過(guò)濾掉客戶機(jī)發(fā)送的所有ICMP報(bào)

35、文。Eudemon firewall blacklist item 0 timeout 100Eudemon firewall blacklist packet-filter icmp range globalEudemon firewall blacklist enable地址轉(zhuǎn)換NAT（Network Address Translation，地址轉(zhuǎn)換）是將IP數(shù)據(jù)報(bào)報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程。在實(shí)際應(yīng)用中，NAT主要用于實(shí)現(xiàn)私有網(wǎng)絡(luò)訪問(wèn)外部網(wǎng)絡(luò)的功能。私有網(wǎng)絡(luò)一般使用私有地址，RFC1918為私有、內(nèi)部的使用留出了三個(gè)IP地址塊，如下：A類：10.

36、0.0.055（/8）B類：55（/12）C類：55（/16）上述三個(gè)范圍內(nèi)的地址不會(huì)在因特網(wǎng)上被分配，因而可以不必向ISP或注冊(cè)中心申請(qǐng)而在公司或企業(yè)內(nèi)部自由使用。路由器可以在接口上配置地址轉(zhuǎn)換，Eudemon防火墻是在區(qū)域之間實(shí)現(xiàn)地轉(zhuǎn)換 多對(duì)多地址轉(zhuǎn)換Eudemon防火墻是通過(guò)定義地址池來(lái)實(shí)現(xiàn)多對(duì)多地址轉(zhuǎn)換，同時(shí)利用訪問(wèn)控制列表來(lái)對(duì)地址轉(zhuǎn)換進(jìn)行控制的。地址池：用于地址轉(zhuǎn)換的一些公有IP地址的集合。用戶應(yīng)根據(jù)自己擁有的合

37、法IP地址數(shù)目、內(nèi)部網(wǎng)絡(luò)主機(jī)數(shù)目以及實(shí)際應(yīng)用情況，配置恰當(dāng)?shù)牡刂烦?。地址轉(zhuǎn)換的過(guò)程中，將會(huì)從地址池中挑選一個(gè)地址做為轉(zhuǎn)換后的源地址。利用訪問(wèn)控制列表限制地址轉(zhuǎn)換：只有滿足訪問(wèn)控制列表?xiàng)l件的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換。這可以有效地控制地址轉(zhuǎn)換的使用范圍，使特定主機(jī)能夠有權(quán)訪問(wèn)Internet。多對(duì)多地址轉(zhuǎn)換Eudemon防火墻上配置多對(duì)多地址轉(zhuǎn)換的步驟如下在系統(tǒng)視圖下定義一個(gè)可以根據(jù)需要進(jìn)行分配的NAT地址池nat address-group group-number start-addr end-addr其中，group-number是標(biāo)識(shí)這個(gè)地址池的編號(hào)，start-addr end-add

38、r是地址池的起始和結(jié)束IP地址。 在系統(tǒng)視圖和ACL視圖下定義一個(gè)訪問(wèn)控制列表在系統(tǒng)視圖下定義訪問(wèn)控制列表acl number acl-number match-order config | auto 在ACL視圖下定義訪問(wèn)控制規(guī)則rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging 在域間視圖下將訪問(wèn)控制列表和NAT地址池關(guān)聯(lián)nat outbound acl-number address-group group-number Nat Server配置 在實(shí)際應(yīng)用

39、中，可能需要提供給外部一個(gè)訪問(wèn)內(nèi)部主機(jī)的機(jī)會(huì)，如提供給外部一個(gè)WWW的服務(wù)器，或是一臺(tái)FTP服務(wù)器。使用NAT可以靈活地添加內(nèi)部服務(wù)器，通過(guò)配置內(nèi)部服務(wù)器，可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上，提供了外部網(wǎng)絡(luò)可訪問(wèn)內(nèi)部服務(wù)器的功能。 nat server protocol pro-type global global-addr global-port1 global-port2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr Easy IP配置Easy IP的概念

40、很簡(jiǎn)單，當(dāng)進(jìn)行地址轉(zhuǎn)換時(shí)，直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。同樣它也利用訪問(wèn)控制列表控制哪些內(nèi)部地址可以進(jìn)行地址轉(zhuǎn)換。 nat outbound acl-number interface interface-name 應(yīng)用級(jí)網(wǎng)關(guān)ALGNAT只能對(duì)IP報(bào)文的頭部地址和TCP/UDP頭部的端口信息進(jìn)行轉(zhuǎn)換。對(duì)于一些特殊協(xié)議，例如ICMP、FTP等，它們報(bào)文的數(shù)據(jù)部分可能包含IP地址或端口信息，這些內(nèi)容不能被NAT有效的轉(zhuǎn)換，這就可能導(dǎo)致問(wèn)題。 例如，一個(gè)使用內(nèi)部IP地址的FTP服務(wù)器可能在和外部網(wǎng)絡(luò)主機(jī)建立會(huì)話的過(guò)程中需要將自己的IP地址發(fā)送給對(duì)方。而這個(gè)地址信息是放到IP報(bào)文的數(shù)據(jù)部

41、分，NAT無(wú)法對(duì)它進(jìn)行轉(zhuǎn)換。當(dāng)外部網(wǎng)絡(luò)主機(jī)接收了這個(gè)私有地址并使用它，這時(shí)FTP服務(wù)器將表現(xiàn)為不可達(dá)。 解決這些特殊協(xié)議的NAT轉(zhuǎn)換問(wèn)題的方法就是在NAT實(shí)現(xiàn)中使用ALG（Application Level Gateway，應(yīng)用級(jí)網(wǎng)關(guān)）功能。ALG是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，它和NAT交互以建立狀態(tài)，使用NAT的狀態(tài)信息來(lái)改變封裝在IP報(bào)文數(shù)據(jù)部分中的特定數(shù)據(jù)，并完成其他必需的工作以使應(yīng)用協(xié)議可以跨越不同范圍運(yùn)行。 在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應(yīng)協(xié)議的ALG功能nat alg enable ftp | h323 | icmp | ras 在域間視圖下為應(yīng)用層協(xié)議配置ASPF檢測(cè)detec

42、t protocolEudemon雙機(jī)熱備什么是雙機(jī)熱備？所謂雙機(jī)熱備其實(shí)是雙機(jī)狀態(tài)備份，當(dāng)兩臺(tái)防火墻，在確定主從防火墻后，由主防火墻進(jìn)行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時(shí)主防火墻會(huì)定時(shí)向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當(dāng)主防火墻出現(xiàn)故障后，從防火墻會(huì)及時(shí)接替主防火墻上的業(yè)務(wù)運(yùn)行。EudemonAMasterEudemonBBackupTrust區(qū)域DMZ區(qū)域Untrust區(qū)域PCPC(1)(2)(3)(4)(7)會(huì)話表項(xiàng)Server(5)(6)(8)實(shí)際連線報(bào)文流徑雙機(jī)熱備的實(shí)現(xiàn)和原理實(shí)現(xiàn)雙機(jī)熱備的基本步驟：1.在接口上配置VRRP（虛擬路由器冗余協(xié)議）備份組，來(lái)發(fā)現(xiàn)防火墻的故障

43、情況；2.將VRRP備份組加入到VGMP（ VRRP組管理協(xié)議）中，以實(shí)現(xiàn)對(duì)VRRP管理組的統(tǒng)一管理；3.使能HRP（華為冗余協(xié)議），實(shí)現(xiàn)雙機(jī)情況下的信息備份。雙機(jī)熱備的基本原理：兩臺(tái)防火墻形成雙機(jī)熱備，兩臺(tái)防火墻之間通過(guò)VRRP的hello報(bào)文協(xié)商主備關(guān)系，根據(jù)VGMP的優(yōu)先級(jí)和接口的IP從而確定防火墻的master和slave關(guān)系，并且master防火墻會(huì)通過(guò)HRP協(xié)議定時(shí)向slave傳送備份信息（命令行備份信息和動(dòng)態(tài)備份信息），當(dāng)master防火墻出現(xiàn)故障時(shí)，主備關(guān)系發(fā)生轉(zhuǎn)換，業(yè)務(wù)會(huì)平滑切換，不會(huì)影響這個(gè)業(yè)務(wù)的進(jìn)行。注意：對(duì)于雙機(jī)熱備目前只支持兩臺(tái)設(shè)置進(jìn)行備份，不支持多臺(tái)設(shè)備進(jìn)行備份。但

44、對(duì)于只使用VRRP的組網(wǎng)可以支持多臺(tái)設(shè)備進(jìn)行冗余備份雙機(jī)熱備注意事項(xiàng)在雙機(jī)熱備組網(wǎng)中，需要注意的幾個(gè)問(wèn)題：1. 對(duì)于雙機(jī)熱備目前只支持兩臺(tái)設(shè)置進(jìn)行備份，不支持多臺(tái)設(shè)備進(jìn)行備 份。但對(duì)于只使用VRRP的組網(wǎng)可以支持多臺(tái)設(shè)備進(jìn)行冗余備份；2. 由于雙機(jī)熱備中具有備份機(jī)制可以備份動(dòng)態(tài)信息和命令，因此要求進(jìn)行雙機(jī)熱備的兩臺(tái)設(shè)備板卡的位置，以及接口卡的類型都要求相同，否則會(huì)出現(xiàn)主防火墻備份過(guò)去的信息，與從防火墻根本就無(wú)法進(jìn)行搭配使用，如出現(xiàn)主備狀態(tài)切換就會(huì)導(dǎo)致業(yè)務(wù)出問(wèn)題。3. 進(jìn)行雙機(jī)熱備的兩臺(tái)防火墻中的配置文件最好為初始配置或保證兩臺(tái)設(shè)備配置相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問(wèn)題。雙機(jī)熱備應(yīng)用協(xié)議一.

45、VRRP（Virtual Router Redundancy Protocol）虛擬路由器冗余協(xié)議VRRP（Virtual Router Redundancy Protocol）作為一種容錯(cuò)協(xié)議，適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等），通過(guò)一組路由設(shè)備共用一個(gè)虛擬的IP來(lái)達(dá)到提供一個(gè)虛擬網(wǎng)關(guān)的目的 。 雙機(jī)熱備應(yīng)用協(xié)議VRRP在防火墻應(yīng)用的缺陷每個(gè)備份組的VRRP是單獨(dú)工作的，并且每個(gè)VRRP狀態(tài)相對(duì)獨(dú)立，因此無(wú)法保證同一防火墻上各接口的VRRP狀態(tài)都為主用或都為備用，可能會(huì)導(dǎo)致業(yè)務(wù)中斷。由于Eudemon是狀態(tài)防火墻，對(duì)于各安全區(qū)域之間的每個(gè)動(dòng)態(tài)生成的五元組的會(huì)話連接，Eudemon都有

46、一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng)，只有命中該會(huì)話表項(xiàng)的后續(xù)報(bào)文（包括返回報(bào)文）才能夠通過(guò)Eudemon防火墻，這就要求某會(huì)話的進(jìn)路徑、出路徑必須一致，因此VRRP無(wú)法保證主從防火墻的這種會(huì)話連接一致，當(dāng)出現(xiàn)切換后會(huì)出現(xiàn)業(yè)務(wù)中斷。雙機(jī)熱備應(yīng)用協(xié)議二. VGMP（ VRRP Group Management Protocol ）VRRP組管理協(xié)議 為了確保各VRRP備份組之間通路狀態(tài)一致性，需要配置VRRP管理組，由管理組統(tǒng)一管理各獨(dú)立運(yùn)行的VRRP備份組，從而實(shí)現(xiàn)各備份組之間的互通。以防止可能導(dǎo)致的VRRP狀態(tài)不一致現(xiàn)象的發(fā)生。從而實(shí)現(xiàn)對(duì)多個(gè)VRRP備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理。

47、也許會(huì)問(wèn)VRRP下有接口監(jiān)視命令不是可以實(shí)現(xiàn)設(shè)備的狀態(tài)統(tǒng)一嗎？VRRP下的track接口監(jiān)視命令，的確可以達(dá)到實(shí)現(xiàn)設(shè)備的狀態(tài)統(tǒng)一，但是如果接口較多的情況下，配置就會(huì)很繁瑣，同時(shí)很容易出錯(cuò)。接口監(jiān)視命令只能實(shí)現(xiàn)對(duì)其他接口狀態(tài)的監(jiān)控已達(dá)到VRRP的狀態(tài)統(tǒng)一，但是VRRP是獨(dú)立工作的，當(dāng)由于搶占設(shè)備中一個(gè)VRRP狀態(tài)發(fā)生變化后，監(jiān)控命令是無(wú)法使所有的VRRP狀態(tài)都進(jìn)行變化的。雙機(jī)熱備應(yīng)用協(xié)議EudemonAMasterEudemonBBackupTrust區(qū)域DMZ區(qū)域Untrust區(qū)域A1A2A4A3B2B1B4B3A1-S-B1A2-S-B2A4-B4A3-S-B3實(shí)際連線數(shù)據(jù)通道A1、A2、A

48、3分別為EudemonA的接口B1、B2、B3分別為EudemonB的接口S代表LAN Switch雙機(jī)熱備應(yīng)用協(xié)議2. VGMP提供的功能狀態(tài)一致性管理各備份組的主/備狀態(tài)變化都需要通知其所屬的VRRP管理組，由VRRP管理組決定是否允許VRRP備份組進(jìn)行主/備狀態(tài)切換。 搶占管理 無(wú)論各VRRP備份組內(nèi)Eudemon防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由VRRP管理組統(tǒng)一決定。 通道管理 所謂通道管理，是為了提供傳輸VGMP報(bào)文、VGMP相關(guān)承載報(bào)文、VRRP狀態(tài)報(bào)文的可靠通路而提出的，這是相對(duì)正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。 雙機(jī)熱備應(yīng)用協(xié)議三. HRP（Huawei Redu

49、ndancy Protocol ）華為冗余協(xié)議HRP協(xié)議是承載在VGMP報(bào)文上進(jìn)行傳輸?shù)?，在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息，特別是會(huì)話表項(xiàng)。EudemonAMasterEudemonBBackupTrust區(qū)域DMZ區(qū)域Untrust區(qū)域PCPC(1)(2)(3)(4)(7)會(huì)話表項(xiàng)Server(5)(6)(8)雙機(jī)熱備應(yīng)用協(xié)議防火墻應(yīng)用狀態(tài)的可靠性備份：防火墻應(yīng)用狀態(tài)的可靠性備份：動(dòng)態(tài)生成的黑名單防火墻生成的會(huì)話表表項(xiàng)SERVERMAP表項(xiàng)NO-PAT表項(xiàng)防火墻配置命令的備份：防火墻配置命令的備份：ACL包過(guò)濾命令的配置攻擊防范命令的配置地址綁定命令

50、的配置黑名單命令的啟用以及手工添加黑名單用戶和對(duì)黑名單命令的刪除操作日志命令NAT命令的配置統(tǒng)計(jì)命令的配置域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級(jí)的設(shè)置ASPF（應(yīng)用層包過(guò)濾防火墻）的命令配置清除會(huì)話表項(xiàng)命令（reset firewall session table)和清除配置的命令（undo XXX）注意：1.在批處理手工備份時(shí)，對(duì)于undo和reset命令是無(wú)法進(jìn)行備份的。2. 除以上命令行可以備份外，其他命令無(wú)法備份。如路由命令等，需要主從防火墻同時(shí)配置。攻擊類型簡(jiǎn)介單報(bào)文攻擊攻擊類型簡(jiǎn)介分片報(bào)文攻擊拒絕服務(wù)類攻擊掃描基本攻擊防范配置1、將防火墻的默認(rèn)放通策略禁止undo

51、firewall packet-filter default all 2、防火墻默認(rèn)禁止以下攻擊防范firewall defend ip-spoofing enable firewall defend arp-spoofing enable firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend icmp-redirect enable firewall defend icmp-un

52、reachable enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable firewall defend teardrop enable firewall defend tcp-flag enable firewall defend ip-fragment enable firewall defend large-icmp enable firewal

53、l defend ip-sweep enable firewall defend port-scan enable firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable、思科ASA防火墻ASA是Cisco系列中全新（05年推出）的防火墻和反惡意軟件安全用具，均是5500系列。企業(yè)版包括4種：Firewall，IPS，Anti-X，以及VPN。 和PIX類似，ASA也提供諸如入侵防護(hù)系統(tǒng)（IPS，intrusion prevention system）

54、，以及VPN集中器。ASA可以取代三種獨(dú)立設(shè)備PIX防火墻，Cisco VPN 3000系列集中器與Cisco IPS 4000系列傳感器。ASA可加裝CSC-SSM模塊（CSC-SSM，內(nèi)容安全以及控制安全服務(wù)，Content Security and Control Security Service）提供anti-X功能。 ASA 5500 Series: 前面板POWERSTATUSACTIVEFLASHVPN思科ASA產(chǎn)品介紹1、CISCO ASA 特性介紹：（特性介紹：（ 一一 ）（1）state-of-art stateful packet inspection firewall

55、(狀態(tài)監(jiān)控包過(guò)濾)（2）user-based authentication of inbound and outbound connections (cut-through)（3）intergrated protocol and application inspection engines that examine packet streams at layers 4 through 7 (運(yùn)用層過(guò)濾)思科ASA產(chǎn)品介紹1、CISCO ASA 特性介紹：特性介紹： （二）（二）（1）highly flexble and extensible modular security policy fr

56、amework (MPF) （2）robust VPN services for secure stie-to-site and remote-access connections(IPSEC VPN)（3）clientless and client-based secure sockets layer (SSL) VPN ( SSL VPN)思科ASA產(chǎn)品介紹1、CISCO ASA 特性介紹特性介紹：（：（ 三）三）（1）multiple security contexts (vitual firewalls) within a single appliance( 多模式防火墻)（2）sta

57、teful active/active or active/standby failover capabilities that ensure resilient network protection (FO)（3）transparent deployment of security appliances into existing network environment without requiring re-addressing of the network (透明防火墻)思科ASA產(chǎn)品介紹1、CISCO ASA 特性介紹：（特性介紹：（ 四）四）（1）Intuitive single-

58、device management and monitoring services with the cisco Adaptive Security Device Manger (ASDM) and enterprise-class multidevice management services through CISCO Security Manager (圖形化界面網(wǎng)管)思科ASA服務(wù)模塊（1）ASA 可以使用Security Services Module (SSM) 擴(kuò)展功能和特性。SSM能夠安裝在5510 / 5520/ 5540（2）ASA 支持下列三種模塊： Advanced i

59、nspection and prevention security services module (AIP SSM) (IPS模塊) content security and control security services module (CSC SSM) ( 防病毒、URL過(guò)濾、防垃圾郵件) 4-Port Gigabit Ethernet SSM （3） PIX 與 ASA區(qū)別： SSL VPN SSM VPN clustering and load balancing 思科ASA服務(wù)模塊（4） VPN加密授權(quán)： DES license - provides 56-bit DES 3D

60、ES /AES license - provides 168-bit 3DES - provides up to 256bit AES（5） 清空配置： 清空Startup configuration ASA# write erase 清空 Running configuration ASA(config)# clear config all 重啟 ASA ASA # reload 思科ASA安全級(jí)別1、特點(diǎn)：、特點(diǎn)：（1）從高安全級(jí)別接口到低安全級(jí)別接口的流量叫outside 流量，這種流量默認(rèn)是允許的（2）從低安全級(jí)別接口到高安全級(jí)別接口的流量叫inbound流量，這種流量默認(rèn)是不允許的，