防火墻產(chǎn)品與維護(hù)培訓(xùn)培訓(xùn)膠片

防火墻產(chǎn)品與維護(hù)培訓(xùn)培訓(xùn)膠片學(xué)習(xí)完本課程，您應(yīng)該能夠：了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置學(xué)習(xí)目標(biāo)內(nèi)容介紹第一章防火墻技術(shù)簡(jiǎn)介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點(diǎn)網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實(shí)現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護(hù)神）一夫當(dāng)關(guān)，萬夫莫開防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類(二）按照防火墻實(shí)現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡(jiǎn)單，但是缺乏靈活性，對(duì)一些動(dòng)態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進(jìn)行策略檢查，策略過多會(huì)導(dǎo)致性能急劇下降。代理型防火墻（applicationgateway）代理型防火墻使得防火墻做為一個(gè)訪問的中間節(jié)點(diǎn)，對(duì)Client來說防火墻是一個(gè)Server，對(duì)Server來說防火墻是一個(gè)Client。代理型防火墻安全性較高，但是開發(fā)代價(jià)很大。對(duì)每一種應(yīng)用開發(fā)一個(gè)對(duì)應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對(duì)某些應(yīng)用提供代理支持。狀態(tài)檢測(cè)防火墻狀態(tài)檢測(cè)是一種高級(jí)通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄?，F(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測(cè)防火墻：高性能和高安全的完美結(jié)合。防火墻技術(shù)發(fā)展方向軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護(hù)，此時(shí)防火墻基本上就是一個(gè)應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。工控機(jī)類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護(hù)的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個(gè)硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術(shù)。電信級(jí)硬件防火墻。采用獨(dú)立設(shè)計(jì)的硬件結(jié)構(gòu)，在CPU、電源、風(fēng)扇、PCI總線設(shè)計(jì)、擴(kuò)展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品?；贜P電信級(jí)防火墻。由于純軟件設(shè)計(jì)的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達(dá)到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機(jī)類型防火墻=>電信級(jí)硬件防火墻=>基于NP電信級(jí)防火墻ASPF安全技術(shù)（一）ASPF(ApplicationSpecificPacketFilter)是一種高級(jí)通信過濾，它檢查應(yīng)用層協(xié)議信息并且監(jiān)控連接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于特定應(yīng)用協(xié)議的所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄.動(dòng)態(tài)創(chuàng)建和刪除過濾規(guī)則監(jiān)視通信過程中的報(bào)文ASPF與ACL的比較比較內(nèi)容ACLASPF原理對(duì)每個(gè)IP數(shù)據(jù)包按照用戶所定義的策略規(guī)則（訪問控制列表，ACL）進(jìn)行過濾。包過濾不管會(huì)話的狀態(tài)，也不分析數(shù)據(jù)對(duì)于每一個(gè)應(yīng)用層協(xié)議建立會(huì)話信息以及狀態(tài)信息，實(shí)時(shí)檢測(cè)數(shù)據(jù)流的狀態(tài)信息，并動(dòng)態(tài)的根據(jù)狀態(tài)信息決定數(shù)據(jù)包的動(dòng)作配置較繁瑣簡(jiǎn)單設(shè)計(jì)實(shí)現(xiàn)簡(jiǎn)單復(fù)雜，必須支持盡可能多的應(yīng)用層協(xié)議，以保證用戶的正常使用。并且需要實(shí)時(shí)增加協(xié)議的支持對(duì)系統(tǒng)性能影響速度快，但策略過多會(huì)導(dǎo)致性能急劇下降需要進(jìn)行狀態(tài)檢測(cè)等復(fù)雜處理，效率相對(duì)于ACL低，并且消耗部分系統(tǒng)資源對(duì)多通道協(xié)議的支持不支持非常適用于需要?jiǎng)討B(tài)建立連接的應(yīng)用協(xié)議安全性低，無法檢測(cè)某些來自于應(yīng)用層的攻擊行為高，能夠根據(jù)連接的狀態(tài)及應(yīng)用層報(bào)文內(nèi)容進(jìn)行過濾，有效防范攻擊ASPF基本概念A(yù)SPF三個(gè)基本概念會(huì)話表（Session）：5元組完成連接；多通道協(xié)議：多通道（控制通道+數(shù)據(jù)通道）多通道協(xié)議主要包括：數(shù)據(jù)傳輸協(xié)議（FTP、TFTP等）、音視頻相關(guān)（H.323協(xié)議族、SIP、MGCP等）、聊天通訊軟件（MSN，QQ，ICQ等）Servermap表項(xiàng)：臨時(shí)通道（三元組）ASPF對(duì)單通道協(xié)議的支持在狀態(tài)防火墻中會(huì)動(dòng)態(tài)維護(hù)著一個(gè)Session表項(xiàng)，通過Session表項(xiàng)來檢測(cè)基于連接的狀態(tài)，動(dòng)態(tài)地判斷報(bào)文是否可以通過，從而決定哪些連接是合法訪問，哪些是非法訪問保護(hù)網(wǎng)絡(luò)用戶A初始化一個(gè)Telnet會(huì)話外部網(wǎng)絡(luò)用戶A目標(biāo)服務(wù)器防火墻創(chuàng)建Session表項(xiàng)其他用戶用戶A的Telnet會(huì)話返回報(bào)文可以通過其他的Telnet報(bào)文被阻塞不能通過防火墻匹配Session表項(xiàng)報(bào)文ASPF對(duì)多通道協(xié)議的支持—FTP用戶USG5000FTPserver0（21/20）三次握手防火墻創(chuàng)建Servermap表項(xiàng)三次握手Port:893Port:893200PortCommandOKRETRSle.txtRETRSle.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnectionSYN檢測(cè)Servermap表項(xiàng)，創(chuàng)建臨時(shí)規(guī)則，打開數(shù)據(jù)通道:22787:22787SYN內(nèi)容介紹第一章防火墻技術(shù)簡(jiǎn)介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性Eudemon200Eudemon100EEudemon500Eudemon1000小型企業(yè)、遠(yuǎn)程辦公中小型企業(yè)華賽電信級(jí)硬件防火墻，從桌面式終端設(shè)備到高端千兆級(jí)別，以卓越的性能和先進(jìn)的安全體系架構(gòu)為網(wǎng)絡(luò)提供強(qiáng)大的安全保障。NP架構(gòu)Eudemon300NP架構(gòu)中型企業(yè)NP架構(gòu)Eudemon200S/USG2000大中型企業(yè)大型企業(yè),運(yùn)營(yíng)商大型數(shù)據(jù)中心USG3040USG3030USG50Eudemon8080Eudemon8040城域網(wǎng)流量清洗NP架構(gòu)防火墻產(chǎn)品系列主要防火墻性能衡量指標(biāo)吞吐量其中吞吐量業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對(duì)報(bào)文的處理能力的。因網(wǎng)絡(luò)流量大部分是200字節(jié)報(bào)文，因此需要考察防火墻小包轉(zhuǎn)發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉(zhuǎn)發(fā)性能。每秒建立連接速度指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動(dòng)態(tài)連接的，是根據(jù)當(dāng)前通信雙方狀態(tài)而動(dòng)態(tài)建立的表項(xiàng)。每個(gè)會(huì)話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。并發(fā)連接數(shù)目由于防火墻是針對(duì)連接進(jìn)行處理報(bào)文的，并發(fā)連接數(shù)目是指的防火墻可以同時(shí)容納的最大的連接數(shù)目，一個(gè)連接就是一個(gè)TCP/UDP的訪問防火墻產(chǎn)品參數(shù)一覽型號(hào)參數(shù)USG50Eudemon100EEudemon200Eudemon200SUSG3030USG3040應(yīng)用小型企業(yè)小型企業(yè)中小型企業(yè)中小型企業(yè)中型企業(yè)中型企業(yè)整機(jī)吞吐量(bps)100M260M400M500M1G1.5G每秒新建連接數(shù)2000條/秒13000條/秒2萬條/秒2萬條/秒2萬3萬并發(fā)連接數(shù)10萬50萬50萬50萬50/100萬50/100萬IPSECVPN連接數(shù)642K2K2K2K2K3DES加密(bps)50M200M200M200M400M600M可靠性不支持雙電源支持雙機(jī)熱備單電源支持雙機(jī)熱備雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備單電源支持雙機(jī)熱備支持雙電源支持雙機(jī)熱備多風(fēng)扇冗余支持雙電源支持雙機(jī)熱備多風(fēng)扇冗余NAT、ASPF支持支持支持支持支持支持虛擬防火墻不支持不支持不支持不支持不支持不支持安全網(wǎng)關(guān)產(chǎn)品參數(shù)一覽(續(xù))型號(hào)參數(shù)Eudemon300Eudemon500Eudemon1000Eudemon8040Eudemon8080應(yīng)用中型企業(yè)大型，中型企業(yè)大型企業(yè)大型企業(yè)大型企業(yè)整機(jī)吞吐量(bps)1G2G4G≥6Gbps≥12Gbps每秒新建連接數(shù)10萬條/秒10萬條/秒10萬條/秒10萬條/秒20萬條/秒IPSECVPN連接數(shù)12K12K12K無無3DES加密(bps)200M/1G200M/1G200M/1G無無可靠性雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡雙電源（熱插拔），雙風(fēng)扇（熱插拔），雙機(jī)熱備，接口卡可熱插拔，支持BYPASS卡P2P監(jiān)控支持跟SIG聯(lián)動(dòng)支持SIG聯(lián)動(dòng)支持SIG聯(lián)動(dòng)支持SIG聯(lián)動(dòng)支持SIG聯(lián)動(dòng)NAT/ASPF支持支持支持暫不支持暫不支持虛擬防火墻支持（<=100個(gè)）支持（<=100個(gè)）支持（<=100個(gè)）暫不支持暫不支持NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)NP架構(gòu)防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）E200狀態(tài)防火墻內(nèi)容介紹第一章防火墻技術(shù)簡(jiǎn)介第二章防火墻體系結(jié)構(gòu)第三章防火墻原理與特性第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個(gè)區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個(gè)區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間的數(shù)據(jù)報(bào)從這個(gè)接口出去禁止所有從DMZ區(qū)域的數(shù)據(jù)報(bào)轉(zhuǎn)發(fā)到UnTrust區(qū)域Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個(gè)安全區(qū)域：虛擬區(qū)域（Vzone）：最低級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為0。非受信區(qū)（Untrust）：低級(jí)的安全區(qū)域，其安全優(yōu)先級(jí)為5。非軍事化區(qū)（DMZ）：中度級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為50。受信區(qū)（Trust）：較高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為85。本地區(qū)域（Local）：最高級(jí)別的安全區(qū)域，其安全優(yōu)先級(jí)為100。此外，如認(rèn)為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級(jí)別。最多16個(gè)安全區(qū)域。防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個(gè)方向：入方向（inbound）：數(shù)據(jù)由低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）：數(shù)據(jù)由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域傳輸?shù)姆较?。Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進(jìn)、出接口相同的報(bào)文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Vzone區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（六）第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的三種工作模式（一）路由模式透明模式混合模式防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工作。防火墻每個(gè)接口連接一個(gè)網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報(bào)文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個(gè)域確定域間關(guān)系，然后使用配置在這個(gè)域間關(guān)系上的安全策略進(jìn)行各種操作。防火墻的三種工作模式（三）透明模式的防火墻簡(jiǎn)單理解可以被看作一臺(tái)以太網(wǎng)交換機(jī)。防火墻的接口不能配IP地址，整個(gè)設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對(duì)于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。Eudemon防火墻與網(wǎng)橋存在不同，Eudemon防火墻中IP報(bào)文還需要送到上層進(jìn)行相關(guān)過濾等處理，通過檢查會(huì)話表或ACL規(guī)則以確定是否允許該報(bào)文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。透明模式可以配置系統(tǒng)IP。防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機(jī)熱備份功能的問題。雙機(jī)熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實(shí)現(xiàn)這一點(diǎn)。第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹防火墻的安全防范ACL（參考ACL原理）安全策略NAT攻擊防范IDS聯(lián)動(dòng)防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)ASPFASPF（ApplicationSpecificPacketFilter）是針對(duì)應(yīng)用層的包過濾，即基于狀態(tài)的報(bào)文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實(shí)施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測(cè)試圖通過防火墻的應(yīng)用層協(xié)議會(huì)話信息，阻止不符合規(guī)則的數(shù)據(jù)報(bào)文穿過。為保護(hù)網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測(cè)數(shù)據(jù)包，防止非法入侵。ASPF對(duì)應(yīng)用層的協(xié)議信息進(jìn)行檢測(cè)，通過維護(hù)會(huì)話的狀態(tài)和檢查會(huì)話報(bào)文的協(xié)議和端口號(hào)等信息，阻止惡意的入侵。黑名單（一）黑名單，指根據(jù)報(bào)文的源IP地址進(jìn)行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進(jìn)行匹配的域非常簡(jiǎn)單，可以以很高的速度實(shí)現(xiàn)報(bào)文的過濾，從而有效地將特定IP地址發(fā)送來的報(bào)文屏蔽。黑名單最主要的一個(gè)特色是可以由Eudemon防火墻動(dòng)態(tài)地進(jìn)行添加或刪除，當(dāng)防火墻中根據(jù)報(bào)文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動(dòng)修改黑名單列表從而將該IP地址發(fā)送的報(bào)文過濾掉。因此，黑名單是防火墻一個(gè)重要的安全特性。黑名單（二）黑名單的創(chuàng)建[firewall]firewallblacklistitemsour-addr[timeoutminutes]黑名單的使能[firewall]firewallblacklistenable黑名單的報(bào)文過濾類型和范圍的設(shè)置firewallblacklistfilter-type{icmp|tcp|udp|others}[range{blacklist|global}]其它MAC和IP地址綁定：指防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對(duì)于聲稱從這個(gè)IP發(fā)送的的報(bào)文，如果其MAC地址不是指定關(guān)系對(duì)中的地址，防火墻將予以丟棄，發(fā)送給這個(gè)IP地址的報(bào)文，在通過防火墻時(shí)將被強(qiáng)制發(fā)送給這個(gè)MAC地址。從而形成有效的保護(hù)，是避免IP地址假冒攻擊的一種方式。端口識(shí)別簡(jiǎn)介應(yīng)用層協(xié)議一般使用通用的端口號(hào)（知名端口號(hào)）進(jìn)行通信。端口識(shí)別允許用戶針對(duì)不同的應(yīng)用在系統(tǒng)定義的端口號(hào)之外定義一組新的端口號(hào)。端口識(shí)別提供了一些機(jī)制來維護(hù)和使用用戶定義的端口配置信息。端口識(shí)別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護(hù)一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識(shí)別表。防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)攻擊類型簡(jiǎn)介單報(bào)文攻擊FraggleIpspoofLandSmurf分片報(bào)文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan單包攻擊原理及防范（一）Fraggle原理：UDP端口7（echo）和19（CharacterGenerator）在收到UDP報(bào)文后都會(huì)產(chǎn)生回應(yīng)UDP端口7收到報(bào)文后會(huì)象ICMPEchoReply一樣回應(yīng)收到的內(nèi)容；UDP的19號(hào)端口在收到報(bào)文后，會(huì)產(chǎn)生一串字符流；攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請(qǐng)求，會(huì)導(dǎo)致受害者被回應(yīng)報(bào)文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會(huì)造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號(hào)為7或19的報(bào)文單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報(bào)文配置：firewalldefendip-spoofingenable原理：對(duì)源地址進(jìn)行路由表查找，如果發(fā)現(xiàn)報(bào)文進(jìn)入接口不是本機(jī)所認(rèn)為的這個(gè)IP地址的出接口，丟棄報(bào)文單包攻擊原理及防范（三）Land原理把TCP的SYN包的源地址和目的地址都設(shè)置為目標(biāo)計(jì)算機(jī)的IP地址。這將導(dǎo)致目標(biāo)計(jì)算機(jī)向它自己發(fā)送SYN-ACK報(bào)文，目標(biāo)計(jì)算機(jī)又向自己發(fā)回ACK報(bào)文并創(chuàng)建一個(gè)空連接配置：firewalldefendlandenable防范原理：對(duì)符合上述特征的報(bào)文丟棄攻擊者被攻擊者Ping廣播地址源地址被設(shè)置為被攻擊者的IP被利用網(wǎng)絡(luò)Smurf攻擊單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機(jī)回復(fù)的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報(bào)文分片報(bào)文攻擊原理及防范（一）Teardrop特征：分片報(bào)文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)或使報(bào)文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報(bào)文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報(bào)文的偏移量，發(fā)生重疊，丟棄報(bào)文分片報(bào)文攻擊原理及防范（二）Pingofdeath特征：ping報(bào)文全長(zhǎng)超過65535目的：使被攻擊設(shè)備因處理不當(dāng)而死機(jī)配置：firewalldefendping-of-deathenable原理：檢查報(bào)文長(zhǎng)度如果最后分片的偏移量和本身長(zhǎng)度相加超過65535，丟棄該分片拒絕服務(wù)攻擊利用網(wǎng)絡(luò)資源瓶頸或者協(xié)議、系統(tǒng)本身的弱點(diǎn)，通過占據(jù)大量的共享資源，最后導(dǎo)致合法的用戶請(qǐng)求就無法通過的一種攻擊方式。這是一類危害極大的攻擊方式，嚴(yán)重的時(shí)候可以使一個(gè)網(wǎng)絡(luò)癱瘓，而且容易實(shí)施，被稱作黑客的終極武器。什么是拒絕服務(wù)攻擊拒絕服務(wù)攻擊(DOS)分布式拒絕服務(wù)攻擊(DDOS)分布式反彈拒絕服務(wù)(DRDOS)攻擊拒絕服務(wù)攻擊原理及防范（一）SYNFlood特征：向受害主機(jī)發(fā)送大量TCP連接請(qǐng)求報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請(qǐng)求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的連接請(qǐng)求進(jìn)行代理，代替受保護(hù)的主機(jī)回復(fù)請(qǐng)求，如果收到請(qǐng)求者的ACK報(bào)文，認(rèn)為這是有效連接，在二者之間進(jìn)行中轉(zhuǎn)，否則刪掉該會(huì)話攻擊者受害者攻擊者偽造源地址進(jìn)行SYN請(qǐng)求為何還沒回應(yīng)就是讓你白等不能建立正常的連接其它正常用戶得不到響應(yīng)SYN（我可以和你連接嗎？）ACK|SYN（可以，請(qǐng)確認(rèn)！）？？？SYN－Flood攻擊拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機(jī)發(fā)送大量UDP/ICMP報(bào)文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計(jì)對(duì)每個(gè)IP地址收到的報(bào)文速率，超過設(shè)定的閾值上限，進(jìn)行car掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個(gè)網(wǎng)段內(nèi)的IP地址發(fā)送報(bào)文nmap目的：用以判斷是否存在活動(dòng)的主機(jī)以及主機(jī)類型等信息，為后續(xù)攻擊作準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)IP地址向外連接速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單掃描攻擊原理和防范（二）Portscan特征：相同一個(gè)IP地址的不同端口發(fā)起連接目的：確定被掃描主機(jī)開放的服務(wù)，為后續(xù)攻擊做準(zhǔn)備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報(bào)文源地址進(jìn)行統(tǒng)計(jì)，檢查某個(gè)IP地址向同一個(gè)IP地址發(fā)起連接的速率，如果這個(gè)速率超過了閾值上限，則可以將這個(gè)IP地址添加到黑名單中進(jìn)行隔離注意：如果要啟用黑名單隔離功能，需要先啟動(dòng)黑名單防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動(dòng)IDS聯(lián)動(dòng)由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對(duì)眾多的協(xié)議細(xì)節(jié)進(jìn)行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點(diǎn)，難以對(duì)內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進(jìn)行有效的檢查和防范。因此，Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進(jìn)行聯(lián)動(dòng)，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，攻擊檢測(cè)系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對(duì)網(wǎng)絡(luò)傳輸進(jìn)行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個(gè)報(bào)文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。IDS聯(lián)動(dòng)1234IDS服務(wù)器提供基于應(yīng)用層的過濾第三章防火墻原理與特性第1節(jié)安全區(qū)域第2節(jié)工作模式第3節(jié)安全防范第4節(jié)VRRP&HRP內(nèi)容介紹Eudemon雙機(jī)狀態(tài)協(xié)議體系結(jié)構(gòu)EthernetVRRPVGMPEthernetVRRPEthernetVRRPHRP上層模塊上層模塊上層模塊EthernetVRRPVGMPHRP需要備份的模塊………VRRP用于防火墻多區(qū)域的備份 當(dāng)防火墻上多個(gè)區(qū)域需要提供雙機(jī)備份功能時(shí)，需要在一臺(tái)防火墻上配置多個(gè)VRRP備份組。由于Eudemon防火墻是狀態(tài)防火墻，它要求報(bào)文的來回路徑通過同一臺(tái)防火墻。為了滿足這個(gè)限制條件，就要求在同一臺(tái)防火墻上的所有VRRP備份組狀態(tài)保持一致，即要保證在某一臺(tái)防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報(bào)文都將從此防火墻上通過，而另外一臺(tái)防火墻則充當(dāng)備份設(shè)備。VGMP的引入與基本原理由于每個(gè)傳統(tǒng)的VRRP備份組是相互獨(dú)立的，無法保證這種一致性，因此華為公司在VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了VGMP（VRRPGroupManagementProtocol）來彌補(bǔ)VRRP在狀態(tài)防火墻上使用時(shí)存在的局限。VGMP提出VRRP管理組的概念，將同一臺(tái)防火墻上的多個(gè)VRRP備份組都加入到一個(gè)VRRP管理組，由管理組統(tǒng)一管理所有VRRP備份組。通過統(tǒng)一控制各VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有VRRP備份組狀態(tài)都是一致的。DMZTrustUntrustEudemonA/24MasterEudemonBBackup/24備份組2備份組3備份組1管理組管理組VGMP基本原理介紹VGMP狀態(tài)(Master/Slave) 當(dāng)防火墻上的VGMP為Master狀態(tài)時(shí)，它保證組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Master狀態(tài)，這樣所有報(bào)文都將從該防火墻上通過，該防火墻成為主用防火墻。此時(shí)另外一臺(tái)防火墻上對(duì)應(yīng)的VGMP為備狀態(tài)，該防火墻成為備用防火墻。VGMP的報(bào)文VGMPHELLO 與VRRP類似，狀態(tài)為Master的VGMP也會(huì)定期向?qū)Χ税l(fā)送HELLO報(bào)文，通知Slave端本身的運(yùn)行狀態(tài)（包括優(yōu)先級(jí)、VRRP成員狀態(tài)等）。與VRRP不同的是，Slave端收到HELLO報(bào)文后，會(huì)回應(yīng)一個(gè)ACK消息，該消息中也會(huì)攜帶本身的優(yōu)先級(jí)、VRRP成員狀態(tài)等。兩臺(tái)防火墻通過HELLO報(bào)文交互各自的狀態(tài)信息。 VGMPHELLO報(bào)文發(fā)送周期缺省為1秒。當(dāng)Slave端三個(gè)HELLO報(bào)文周期沒有收到對(duì)端發(fā)送的HELLO報(bào)文時(shí)，會(huì)認(rèn)為對(duì)端出現(xiàn)故障，從而將自己切換到Master狀態(tài)。VGMP基本原理介紹除了前面介紹的VGMPHELLO報(bào)文之外，VGMP還包括狀態(tài)切換請(qǐng)求報(bào)文、允許狀態(tài)切換的應(yīng)答報(bào)文、拒絕狀態(tài)切換的應(yīng)答報(bào)文。狀態(tài)切換請(qǐng)求報(bào)文 當(dāng)主防火墻上一個(gè)備份組成員出現(xiàn)故障時(shí)（端口down），VGMP能立即感知到這個(gè)故障。此時(shí)VGMP會(huì)調(diào)整自己的優(yōu)先級(jí)，并立即發(fā)送一個(gè)狀態(tài)切換請(qǐng)求報(bào)文到對(duì)端。對(duì)端收到該報(bào)文后，會(huì)比較優(yōu)先級(jí)。如果本身優(yōu)先級(jí)比報(bào)文中攜帶的優(yōu)先級(jí)高，則會(huì)回應(yīng)一個(gè)ACK報(bào)文，同時(shí)立即將自己切換到Master狀態(tài)；發(fā)生故障的設(shè)備收到該應(yīng)答報(bào)文后，會(huì)立即將自己切換到Slave狀態(tài)。在管理組狀態(tài)切換的同時(shí)，也會(huì)強(qiáng)制將管理組中的所有VRRP備份組成員的狀態(tài)一起切換。如果對(duì)端的優(yōu)先級(jí)比報(bào)文中的優(yōu)先級(jí)低，則會(huì)回應(yīng)一個(gè)拒絕狀態(tài)切換的應(yīng)答報(bào)文（NACK）。這樣兩端都不會(huì)進(jìn)行狀態(tài)切換。VGMP管理組的功能狀態(tài)一致性管理 VGMP管理組中任何VRRP備份組進(jìn)行主/備切換，都有VGMP管理組統(tǒng)一裁決。VRRP備份組加入到管理組后，狀態(tài)不能自行單獨(dú)切換。搶占管理 VGMP管理組的搶占功能和VRRP備份組類似，當(dāng)管理組中出現(xiàn)故障的備份組故障恢復(fù)時(shí)，管理組的優(yōu)先級(jí)也將恢復(fù)。此時(shí)VGMP可以決定是否需要重新?lián)屨挤Q為主設(shè)備。當(dāng)VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由VGMP管理組統(tǒng)一決定。通道管理 通道是雙機(jī)熱備的防火墻之間用來傳輸VGMP、