H3C部署安全防火墙系统.docx

资源描述

目录第一章防火墙技术介绍 2 第二章 SecPath防火墙体系结构 9 第三章安全区域 21 第四章访问控制列表ACL 26 第五章包过滤技术 33 第六章地址转换（NAT） 44 第七章报文统计与攻击防范 50 第八章运行模式 68 第九章防火墙典型组网及常见故障诊断 79 第十章 SecPath防火墙特性测试实验指导 85 第一章防火墙技术介绍 1.1课程目标：学习完本课程，您应该能够： l 了解网络安全基本概念 l 掌握防火墙必备的技术范围 1.2 网络安全概述随着网络技术的普及，网络攻击行为出现的越来越频繁。通过各种攻击软件，只要具有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。目前，Internet网络上常见的安全威胁分为一下几类。非法使用：资源被未授权的用户（也可以称为非法用户）或以未授权方式（非法权限）使用。例如：攻击者通过猜测帐户和密码的组合，从而进入计算机系统以非法使用资源。拒绝服务：服务器拒绝合法永福正常访问信息或资源的请求。例如，攻击者短时间内使用大量数据包或畸形报文向服务器发起连接或请求回应，致使服务器负荷过重而不能处理合法任务。信息盗窃：攻击者不直接入侵目标系统，而是通过窃听网络来获取重要数据或信息。数据篡改：攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作，而使数据的一致性被破坏。因此： l 网络安全是Internet必须面对的一个实际问题 l 网络安全是一个综合性的技术 l 网络安全具有两层含义： è 保证内部局域网的安全（不被非法侵入） è 保护和外部进行数据交换的安全 l 网络安全技术需要不断地完善和更新 1.3网络安全关注的范围 1.3.1网络安全关注点作为负责网络安全的管理人员主要关注（并不局限于）以下8个方面： 1) 保护网络物理线路不会轻易遭受攻击 2) 有效识别合法的和非法的用户（AAA） 3) 实现有效的访问控制（ACL） 4) 保证内部网络的隐蔽性（NAT） 5) 有效的防伪手段，重要的数据重点保护（VPN） 6) 对网络设备、网络拓扑的安全管理（防火墙集中管理） 7) 病毒防范（蠕虫病毒智能防范） 8) 提高安全防范意识 1.3.2网络安全设备的分类为了有效地实现网络安全的目的，致力于网络安全的厂家已经生产了如下安全设备： 1) 防火墙 2) VPN私有安全通道设备 3) IPS/IDS入侵防御/检测设备 4) 防毒墙 5) 防水墙 6) UTM统一威胁管理设备(Unified Threat Management 7) 应用网管 8) 内容过滤 9) 垃圾邮件过滤 10) 网页过滤 11) 网闸等设备。伴随着网络安全技术的飞跃发展，将会相继有新的网络安全设备问世。 1.4防火墙的必备技术针对网络存在的各种安全隐患，防火墙必须具有如下安全特性： 1) 网络隔离及访问控制：能够有效防止对外公开的服务器被黑客用于控制内网的一个跳板。 2) 攻击防范：能够保护网络免受黑客对服务器、内部网络的攻击。 3) 地址转换：在解决网络地址不足的前提下实现对外的网络访问，同时能够实现对外隐藏内部网络地址和专用服务器。 4) 应用层状态监测：可以实现单向访问。 5) 身份认证：可以确保资源不会被未授权的用户（也可以称为非法用户）或以授权方式（非法权限）使用。例如，攻击者通过猜测帐号和密码的组合，进入计算机系统非法使用资源的行为。 6) 内容过滤：能够过滤掉内部网络对非法网站/色情网站的访问，以及阻止通过邮件发送机密文件所造成的泄密行为。 7) 安全管理：主要指日志审计和防火墙的集中管理。 1.4.1网络隔离与访问控制防火墙的主要作用是实现网络隔离和访问控制。防火墙从安全管理的角度出发，一般将设备本身划分为不同的安全区域，通过将端口和网络设备接到不同的区域里，从而达到网络隔离的目的： 1) 不受信区域：一般指的是Internet，主要攻击都来自于这个区域。 2) 受信区域：一般指的是内网区域，这个区域是可控的。 3) DMZ区域：放置公共服务器的区域，一般情况下，这个区域接受外部的访问，但不会主动去访问外部资源。防火墙通常使用ACL访问控制列表、ASPF应用层状态检测包过滤的方法来实现访问控制的目的。图1-1通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接，电子邮件服务器接在DMZ区域接受内外部的访问。图中用语言描述了防火墙所实现的网络隔离和访问控制的功能。防火墙交换机受信区域不受信区域 DMZ区 * 受信区域－>DMZ区，可以访问POP3和SMTP服务 * DMZ－>受信区域，不可访问任何服务 * 不受信区域－>DMZ区，可以访问POP3和SMTP服务 * DMZ－>不受信区域，可以访问任何服务不受信区域和受信区域之间不能互访 EMAIL服务器图1-1 1.4.2攻击防范防火墙主要关注边界安全，因此一般防火墙提供比较丰富的安全攻击防范的特性：防火墙受信区域不受信区域 DoS攻击黑客正常用户阻止图1-2 1) DOS拒绝服务攻击防范功能包括对诸如ICMP Flood、UDP Flood、SYS Flood、分片攻击等Dos拒绝服务攻击方式进行检测，丢弃攻击报文，保护网络内部的主机不受侵害。 2) 防止常见网络层攻击行为防火墙一般应该支持对IP地址欺骗、WinNuke、Land攻击、Tear Drop等常见的网络攻击行为，主动发现丢弃报文。 WinNuke也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中包括操作系统无法处理的信息;这样便会导致操作系统提前崩溃或终止。 land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。结果通常使存在漏洞的机器崩溃。 Tear drop类的攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉。 3) 针对畸形报文的防范通过一些畸形报文，如果超大的ICMP报文，非法的分片报文，TCP标志混乱的报文等，可能会造成比较验证的危害，防火墙应该可以识别出这些报文。 4) 针对ICMP重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。 1.4.3地址转换(NAT) · 地址转换是在IP地址日益短缺的情况下提出的。 · 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 · 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 · 地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。防火墙 WEB服务器 10.1.1.0/24 10.1.1.1 210.190.100.23 10.1.1.100 → 210.190.100.23 10.1.1.100 ← 210.190.100.23 图1-3 防火墙同路由器一样，必须具备NAT地址转换功能，因此在NAT的细节上必须具备： 1) 支持NAT/PAT，支持地址池； 2) 支持策略NAT，根据不同的策略进行不同的NAT； 3) 支持NAT server 模式，可以向外映射内部服务器； 4) 提供端口级别的NAT server 模式，可以将服务器的端口映射为外部的一个端口，不开放服务器的所有端口，增加服务器的安全性。 5) 支持多种ALG：包括H323/MGCP/SIP/H248/RTSP/HWCC，还支持ICMP、FTP、DNS、PPTP、NBT、ILS等协议。 1.4.4应用层状态检测包过滤（ASPF） aspf（application specific packet filter）是针对应用层的包过滤，即基于状态的报文过滤。它和普通的静态防火墙协同工作，以便于实施内部网络的安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。　　为保护网络安全，基于acl规则的包过滤可以在网络层和传输层检测数据包，防止非法入侵。aspf能够检测应用层协议的信息，并对应用的流量进行监控。动态创建和删除过滤规则监视通信过程中的报文图1-4 H3C的SecPath防火墙的ASPF作为改进的状态检测安全技术，支持对多种应用协议进行检测：包括H323/MGCP/SIP/H248/RTSP/HWCC，以及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。还支持对HTTP中Activex/JavaAppelt进行过滤 1.4.5身份验证随着互联网的不断发展，越来越多的人们开始尝试在线交易。然而病毒、黑客、网络钓鱼以及网页仿冒诈骗等恶意威胁，给在线交易的安全性带来了极大的挑战。层出不穷的网络犯罪，引起了人们对网络身份的信任危机，如何证明“我是谁？”及如何防止身份冒用等问题成为人们关注的焦点。计算机和互联网络世界里，身份认证是一个最基本的要素，也是整个信息安全体系的基础。如何确认访问者的真实身份？如何解决访问者的物理身份和数字身份的一致性问题？如何实现通信过程中信息的安全传输？这是大部分拥有网络的企业一直期望解决的问题。防火墙用户上网用户名、密码？输入用户名、密码认证通过正常上网图1-5 H3C SecPathf序列防火墙支持Radius服务器认证和本地认证。认证形式可以为:： l PPPOE认证：一般用于内网访问外部的控制，需要客户端，认证通过后则可以访问外网 l L2TP认证：主要用于VPN应用，外部移动办公用户在接入到内部网络需要经过认证。 1.4.6内容过滤互联网的发展促进了信息的共享和交流，为了提高员工的工作效率和信息查询，企业等机构会向员工提供外部http访问的权限。但是互联网上各种信息泛滥，如何有效的保证员工上网，又可以防止不良信息进入内部网络是管理员必须解决的问题。正常网站有害网站有害内容健康内容 * 有害网站过滤 * 网页恶意内容摘除图1-6 H3C SecPath防火墙提供了针对应用协议的访问控制能力，通过独有的ASPF特性，对应用层协议进行分析，实现对应用协议的内容过滤。SecPath防火墙提供的HTTP协议过滤功能提供了对HTTP网址过滤和网页内容过滤，可以有效的管理员工上网的行为，提高工作的效率，节约出口带宽，保障正常的数据流量，屏蔽各种”垃圾“信息，从而保证内部网络的”绿色环境“。用户可以设置网址过滤需要过滤的网址列表，网址过滤列表可以保存在flash中的网址过滤文件中。网址过滤文件中的过滤列表的格式为：、、可以制定每条网址是禁止访问还是允许访问，并可以指定在网址过滤列表中没有找到的网址采取何种缺省动作（允许还是禁止），从而为用户提供最大的控制灵活性。为了防止网页中可执行代码对内部网络造成的潜在威胁，可以指定HTTP检测策略能够过滤掉来自外部网络服务器HTTP报文中的Jave Applets。另外，利用Web内容过滤功能，通过指定过滤网页的文本关键字，可以保证用户指定内容的信息不会进入内部网络。Web内容过滤文件存放在flash中，用户可以对过滤词汇文件进行管理，包括添加、删除、清楚过滤关键字。关键字过滤支持模糊查找，即允许向过滤关键字文件中添加带 “ * “的关键字。 Web内容过滤文件的格式为：暴力、*赌博* 。利用http 协议过滤功能，可以营造企业、政府机构内部网络的安全、绿色的上网环境。 1.4.7安全管理这里讲述的安全管理指的是安全过程中的日志管理与审计，借助日志发现和跟踪不安全的行为，根据日志的痕迹对不安全的行为进行更正。 Internet 日志缓冲监控终端控制台日志主机 SecPath 图1-7 主要对以下日志内容进行审计： NAT/ASPF 日志、攻击防范日志、流浪监控日志、黑名单日志、地址绑定日志、邮件过滤日志和网址/内容过滤日志日志格式可以分为： Syslog（系统日志）文本形式日志（可读性较强）和二进制日志。 1.5 本章小结 1.6 习题第二章 SecPath防火墙体系结构课程目标 l 了解SecPath系列防火墙体系结构 l 熟悉SecPath系列防火墙主要业务特性 l 掌握SecPath系列防火墙典型应用 2.1 SecPath防火墙家族成员图2-1描述了H3C SecPath防火墙家族产品型号、应用范围和价值关系： SP Enterprise SMB SOHO Price SecPath F100-C SecPath F100-A SecPath F1000-S SecPath F1000-A SecPath F1000-E 图2-1 伴随着企业和公司的不断扩张和网络技术的深入普及，网络攻击行为出现的越来越频繁了。通过各种攻击软件，只要具有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。对于内网防范，更是当今网络安全的主流。 H3C SecPath 系列防火墙设备（以下简称防火墙）是H3C公司面向企业用户开发的新一代专业防火墙设备，既可以作为中小企业的核心防火墙，也可以作为企业的汇聚及接入防火墙设备。SecPath F1000-E/F1000-A/F100-E/F100-A/F100-C提供完善的安全防范体系，可以提供安全访问限制/内网安全防范措施。 H3C SecPath 系列防火墙是指： l SecPath F1000-E l SecPath F1000-A l SecPath F1000-S l SecPath F1000-M l SecPath F100-E l SecPath F100-A l SecPath F100－A－Ｓ l SecPath　F100-Ｍ l SecPath F100-Ｓ l SecPath F100-C l SecＢlade防火墙插卡等11个型号的防火墙产品。产品的划分主要依据应用场合的不同，价值也不同。请读者仔细学习以下设备的主要技术参数及其设备之间的主要差别，以便在具体应用中做到选型正确。 2.1.1SecPath F1000-E防火墙图2-2 H3C SecPath F1000-E防火墙设备,全方位为大中型企业网络的安全提供了高性价比的解决方案。主要技术参数： l 采用业界主流的多核处理器技术，提供8核CPU，每核4线程，总共32线程的处理能力； l 安全部分采用高性能网络处理器进行硬件处理，提供了强大的安全防范、业务加速能力。 l 支持10GE接口/最大支持20个GE； l 具备交换机级别的延时； l 每秒钟新建5W的连接； l 1 Gbps的Ddos防护性能； l 2 Gbpsd的IPSec加密性能； l 10 Gbps 防火墙吞吐率 (见注1) l 100W并发连接，每秒钟新建5W连接；注1：吞吐量（Throughput）——设备在一定时间内（一般120秒），不丢帧情况下转发某一帧长数据所能达到的最大速率。（请注意是不丢帧情况下，这是与转发率以及最大转发率最本质的区别。） 2.1.2 SecPath F1000-A防火墙接口模块插槽 MIM 配置口备份口千兆以太网电接口1 千兆以太网光接口1 千兆以太网电接口0 千兆以太网光接口0 图2-3 H3C SecPath F1000-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，可以作为中小型企业的出口防火墙设备，也可以作为大中型企业的内部防火墙设备使用。主要技术参数： l 采用64位的微处理器技术，使用主频800MHZ的MIPS CPU，并使用内部集成GMII控制器技术提高报文处理速率； l 16M FLASH、512M内存（可扩到1G）； l 提供2个固定的10、100、1000M的自适应GE接口，支持光口和电口； l 内置Ipsec硬件加密卡；内置HT硬件加密卡 l 提供一个MIM扩展槽位，目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种（注：HDC软件功能暂时不支持）。 l 提供双电源冗余备份解决方案（AC+DC\DC+DC两种机型）； l 提供机箱内部环境温度检测功能； l 支持网管和Web配置管理； l 3DES加密性能可达400Mbps（1400bytes）； l 吞吐量2Gbps ；可满足电信级产品的高可靠性要求。 2.1.3 SecPath F1000-S防火墙 H3C SecPath F1000-S防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，可以作为中小型企业的出口防火墙设备，也可以作为大中型企业的内部防火墙设备使用。主要技术参数： l 采用64位的微处理器技术，使用主频800MHZ的MIPS CPU，并使用内部集成GMII控制器技术提高报文处理速率； l 16M FLASH、512M内存（可扩到1G）； l 提供4个固定的10、100、1000M的自适应GE接口，2个即支持光口又支持电口，其余2个仅支持电口；比 l 内置Ipsec硬件加密卡；内置HT硬件加密卡 l 提供2个MIM扩展槽位，目前可选的接口模块为1FE/2FE/4FE/1GBE/1GEF/2GBE/2GEF 七种（注：HDC软件功能暂时不支持）。 l 提供双电源冗余备份解决方案（AC+DC\DC+DC两种机型）； l 提供机箱内部环境温度检测功能； l 支持网管和Web配置管理； l 3DES加密性能可达300Mbps（1400bytes）； l 吞吐量1.5Gbps ；可满足电信级产品的高可靠性要求。接口模块插槽 MIM 配置口备份口千兆以太网接口千兆以太网接口千兆以太网接口千兆以太网接口 1/0 1/1 0/0 0/1 图2-4 F1000-A和F1000-S防火墙的主要差别： F1000-A防火墙 F1000-S防火墙 2个固定10、100、1000M的自适应GE接口 4个固定10、100、1000M的自适应GE接口 1个MIM扩展槽位 2个MIM扩展槽位 400Mbps（1400bytes）3DES加密性能 300Mbps（1400bytes）3DES加密性能 2Gbps吞吐量 1.5Gbps吞吐量 2.1.4 SecPath F100-A防火墙 H3C SecPath F100-A防火墙设备是H3C面向企业用户开发的新一代专业防火墙设备，可以作为中小型企业的出口防火墙设备，也可以作为中型企业的内部防火墙设备使用。主要技术参数： l 32位的微处理器技术; l 16M FLASH 256M内存 l 4个固定的10、100M自适应FE口作为局域网口； l 3个固定的10、100M自适应FE口作为广域网口； l 1个MIM扩展槽位；可选接口模块1FE/2FE/4FE/NDECII(加密卡)/HDC（软件功能不支持）； l 60Mbps（1400bytes）3DES加密性能(使用硬件加密卡) l 300Mbps吞吐量; 配置口备份口以太网口 WAN LAN 接口模块插槽 MIM 以太网口图2-5 2.1.5 SecPath F100-C防火墙 H3C SecPath F100-C防火墙设备是H3C面向家庭办公、小型办公室开发的防火墙设备。配置口电源输入以太网口以太网口 WAN LAN 电源开关图2-6 其主要技术参数： l 采用MPC的微处理技术，并且自带硬件加密卡。 l 8M FLASH 64M 内存 l 4个固定的10、100M自适应FE口作为局域网口； l 1个固定的10、100M自适应FE口作为广域网口； l 20Mbps吞吐量 F100-A和F100-C防火墙的主要差别： F100-A防火墙 F100-C防火墙 32位的微处理器技术; MPC的微处理技术，并且自带硬件加密卡。 16M FLASH 256M内存 8M FLASH 64M 内存 4个固定10/100自适应FE口作为局域网口 4个固定10/100自适应FE口作为局域网口 3个固定10/100自适应FE口作为广域网口 1个固定10/100自适应FE口作为广域网口 1个MIM扩展槽位；无 60Mbps（1400bytes）3DES加密性能(使用硬件加密卡) ？3DES加密性能(自带硬件加密卡) 300Mbps吞吐量 20Mbps吞吐量 2.2 SecPath防火墙业务特性 2.2.1防火墙主要业务特性防火墙支持多种攻击防范手段、Tcp proxy、内网安全、流量监控、网址过滤、网页过滤、邮件过滤等功能，能够有效的保证网络的安全。防火墙采用ASPF状态检测技术，可对连接过程和有害命令进行监测，并协同ACL完成动态包过滤。防火墙提供多种智能分析和管理手段，支持邮件警告，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理。防火墙支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络。防火墙支持多种VPN业务，如L2TP VPN 、IPSec vpn 、SSL VPN、GRE VPN、或动态VPN等，并且支持硬件加密，可以针对客户需求通过ADSL拨号、VLAN或隧道等方式接入远端用户，构建Internet 、 Intranet、Remote Access 等多种形式的VPN。防火墙支持通过BIMS功能自动更新设备的配置文件及应用程序，支持通过VPN Manager功能来完成VPN的部署和配置。防火墙提供基本的路由器能力，支持RIP/OSPF/BGP路由策略及策略路由；支持丰富的Qos特性，提供流量监管、流量整形及多种队列调度策略。 * 网络隔离及访问控制 * 安全认证 * 应用层状态检测 * 多种攻击防范手段 * 丰富的VPN业务 * 智能分析和管理手段 * 内容过滤及邮件过滤 * 网络协议积累 * 地址转换 F100-C F100-A F100-S F1000-A F1000-S F100-E F1000-E 图2-7 2.2.2防火墙主要功能支持包过滤技术。支持基于接口的访问控制列表，基于时间的访问控制列表。借助报文优先级、TOS、UDP、或TCP端口等信息作为过滤参数，通过在接口输入或输出方向上使用标准或扩展访问控制规则，可以实现对数据包的过滤。同时，还可以按照时间段进行过滤。支持应用层报文过滤ASPF（Application Specific Packet Filter），也称为状态防火墙，它检测应用层协议（如FTP、HTTP、SMTP、H.323、RTSP等协议及其它基于TCP/UDP协议的应用层协议）并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，支持ActiveX的过滤功能，并动态地决定数据包是否被允许通过防火墙或者被丢弃。提供多种攻击防范技术，包括针对Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood 、ICMP Flood、ARP Flood、ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、Dos/DDOS攻击防范、ICMP重定向或不可达报文控制功能、MAC地址和IP地址绑定功能。支持透明防火墙。支持反向路由检查功能。 * 包过滤 * 应用层状态检测 * 多种攻击防范手段 * 地址转换防火墙受信区域不受信区域 DoS攻击黑客正常用户阻止图2-8 2.2.3内容和邮件过滤支持业务邮件过滤，提供SMTP邮件过滤、SMTP邮件标题过滤、SMTP邮件内容过滤和SMTP邮件附件过滤，支持SQL/Java Applet/ActiveX过滤。支持网页过滤，提供HTTP URL过滤、HTTP内容过滤。支持反向路由检测等功能。邮件服务器正常网站有害网站 * Internet 有害内容健康内容 * 内容过滤 * 邮件过滤邮件检测图2-9 2.2.4监控功能防火墙提供了强大的监控功能，主要通过监视防火墙自身提供的各种系统日志，统计、分析和告警，最终来实现控制防火墙的目的：企业网络业务层日志中心企业网络接入层发现有攻击报文 A B C 上报日志拒绝攻击报文 SecPath防火墙 Email邮件通知图2-10 图2-10中形象地描述了防火墙如何提供将日志给管理员的。防火墙提供的日志信息和功能如下： 1) 各种日志：攻击实时日志、黑名单日志、地址绑定日志、流量警告日志、会话日志、二进制格式日志和NAT等日志。这些日志能够有效的记录网络情况，从而为网络管理人员分析网络状况，防范网络攻击提供依据。 2) 流量统计和分析功能：通过流量统计和分析可以及时发现攻击和网络蠕虫病毒产生的异常流量。网络管理员可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阈值等参数，形成适合当前网络的分析模型、 3) 各种事件监控和统计功能：包括全局/基于安全域连接速率监控、全局/基于安全域协议报文比例监控和安全事件统计功能。这些监控统计功能可以有效的提供针对各种攻击情况、异常情况提供有效的分析数据。 4) 邮件告警功能：包括E-mail邮件的实时告警、E-mail邮件定期信息发布。告警邮件中包含有攻击日志和详细的网络流量分析结果，可以供管理员进行网络优化。告警邮件的发送使用两种方式：一种是实时发送，一旦检测到攻击行为，立即发送邮件到指定的邮件地址；另外一种是在指定的时间定期发送告警邮件到达指定的邮件地址。 2.2.5多种配置方式 H3C SecPath 防火墙还支持web配置接口，以区别于命令行接口，方便图像化配置和管理。图2-11 图2-11是WEB图形化的屏幕截图，配置和管理包括如下功能： l 系统管理：系统资源管理、设备重启，系统软件的升级，配置信息文件的浏览、保存、下载和上传； l 用户配置； l 接口管理； l 静态路由，域名服务支持； l IPSec配置； l 支持防火墙：攻击防范，ACL，黑名单，安全区域，IP/MAC地址绑定； l 支持邮件过滤：地址过滤，内容过滤，邮件过滤，主题过滤； l 日志监控：流量统计，日志管理； l 业务管理：NAT管理，DHCP管理，SNMP管理； l 常用工具支持（包括Ping，Tracert等）； l 帮助信息； l 注销身份。 2.3 SecPath系列防火墙的典型应用 2.3.1 应用1---企业出口防火墙应用图2-12给出了典型企业防火墙的应用方案，该方案使用H3C SecPath 系列防火墙提供强大的过滤功能，提供优秀的管理功能，部署在内部网络的出口，防范来自外部网络的各种攻击。该方案实现了通过报文检测并阻止非法入侵。提供多种攻击防范技术。支持黑名单过滤。MAC地址过滤。帧过滤。支持TCP代理。支持通明防火墙，ASPF状态防火墙。阻止恶意攻击，能够实现邮件、网页过滤。支持流量监控。支持详尽的日志，支持攻击告警。具有强大的处理能力，能够充分发挥带宽优势。支持NAT，支持多种ALG。对外服务器 Untrust区域 Trust区域专线分支内部网络 DMZ区域图2.12 2.3.2 应用2---中小企业防火墙结合VPN功能应用图2-13给出了典型中小企业防火墙结合VPN的应用，该方案使用H3C SecPath F1000-S防火墙。不但提供强大的过滤功能，并且具有强大的VPN功能，使用SecPath F1000-S防火墙，即可以保护内部网络的安全，也可以满足分支以及移动办公访问公司本部资源的需求。该方案实现了阻止恶意攻击，能够实现邮件、网页过滤。支持流量监控。支持详尽的日志，支持攻击警告。基于用户接入控制，对用户流量进行过滤。远程办公人员使用动态密码认证，保证用户的唯一性，解决移动用户安全问题。支持DVPN、L2TP、GRE、IPSEC组网应用。支持BIMS和VPN Mannger。企业总部语音设备应用服务器 MCU 用户动态认证服务器 Secpath F1000-S IP网络动态密码钥匙盘使用VPN客户端远程办公语音视讯数据 Secpath F100-A 企业分支认证隧道 VPN隧道图2-13 2.3.3应用3--- soho防火墙结合VPN功能应用图2-14给出了典型soho防火墙结合VPN功能应用，该方案使用H3C SecPath F100-C防火墙，具有强大的VPN功能，可以满足分支以及移动办公访问公司本部资源的需求，适应SOHO型的家庭或者办公网络。SecPath F100-C防火墙还提供强大的过滤功能和优秀的管理功能。可以将其部署在内部网络的出口，防范来自外部网络的各种攻击。 Trust区域 Untrust区域 SOHO内部网络使用VPN客户端远程办公图2-14 该方案实现了通过报文检测并阻止非法入侵。阻止恶意攻击，能够实现邮件、网页过滤。支持详尽的日志，支持攻击告警。支持流量监控。具有地强大的处理能力，能够充分发挥带宽优势。支持NAT，支持多种ALG。基于用户接入控制，对用户流量进行过滤。支持DVPN/L2TP/IPSec组网应用。 2.3.4应用4--- 分支机构VPN结合防火墙备份应用企业总部语音设备应用服务器 MCU Secpath防火墙 Secpath防火墙语音视讯数据 Secpath F100-A 分支机构语音视讯数据 Secpath F100-A 分支机构 IPSec隧道 IPSec隧道备份IPSec隧道分支机构…… 图2-15 图2-14给出了典型分支机构VPN结合防火墙备份应用该方案使用H3C SecPath 防火墙支持VPN应用，同时能够提供设备冗余备份和负载分担。通过在企业总部放置两台SecPath 防火墙，分支通过IPSec VPN接入，来保证数据在网络上传输时的私有性、完整性、真实性和防重放。企业总部使用两台防火墙进行负载分担，当其中一台设备出现问题之后实现备份。在该方案中，总部采用SecPath防火墙作为IPSec隧道终点，分支分别和总部两台SecPath建立VPN隧道实现分支访问总部的备份。总部两台防火墙对内也支持负载分担和设备备份，典型的应用于对稳定性要求较高的企业，能够同时满足防火墙和VPN的需求。 l 防火墙实现备份，避免单点故障； l 防火墙之间实现负载分担，使资源得到充分利用； l 支持分支机构动态IP上网； l 支持NAT穿越； l 数据报文保证私有性、完整性、真实性； 2.4本章小结 l 了解了H3C SecPath防火墙产品家族 l 熟悉了H3C SecPath防火墙的业务特性 l 了解了H3C SecPath防火墙典型组网 2.5习题第三章安全区域 3.1课程目标 l 了解安全区域基本概念 l 掌握安全区域配置方法 3.2安全区域介绍 3．2.1安全区域概念安全区域（zone）是防火墙产品所引入的一个安全概念，是防火墙产品区别于路由器的主要特征。对于路由器，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查也是在接口上完成的。这样，一个数据流单向通过路由器时有可能需要进行两次安全规则的检查（入接口的安全检查和出接口的安全检查），以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙来说是很不合适的，因为防火墙所承担的责任是保护内部网络不受外部网络上非法行为的侵害，因而有着明确的内外之分。当一个数据流通过SecPath防火墙的时候，根据其发起方向的不同，所引用的操作是截然不同的。这种安全级别上的差异，再采用在接口上检查安全策略的方式已经不适用，将造成用户在配置上的混乱。因此，SecPath防火墙提出了安全区域的概念。一个安全区域包括一个或多个接口的组合，具有一个安全级别。在设备内，安全级别通过0~100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区域。当数据在分属于两个不同安全级别的区域（或区域包含的接口）之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。 3.2.2安全区域划分 SecPath防火墙上缺省保留四个区域，见图3-1：内部网络服务器服务器 DMZ trust untrust 防火墙 (local) 图3-1 ① 非受信区域（Untrust）：低级的安全区域，其安全优先级为5。 ② 非军事化区域（DMZ）：中度级别的安全区域，其安全优先级别为50。 DMZ（De Militarized Zone，非军事化区），这一术语起源于军方，指得是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。防火墙引用这一术语，指在一个逻辑上和物理上都与内部网络和外部网络分离的区域。通常部署网络时，将那些需要被公共访问的设备，例如WWW 服务器、FTP 服务器等放置于此。如果将这些服务器放置于外部网络侧他们的安全性无法保障；如果放置于内部网络，则外部恶意用户有可能利用某些服务器的安全漏洞攻击内部网络。因此，DMZ区域的出现很好的解决了这些服务器的放置问题。 ③ 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 ④ 本地区域（Local）：最高级别的安全区域，其安全优先级100。此外，如认

展开阅读全文