Eudemon 200防火墙操作指导(页 1) - 网络技术专版 - 华为技术版 - 中国网管论坛全国网管乃一家 - bbs.bitsCN.com

周工发表于 2008-1-14 10:57

Eudemon 200防火墙操作指导

[align=center][table=98%][tr][td=1,1,25%][font=Arial][size=3][color=#000000]Prepared by [/color][/size][/font]
[font=宋体][size=3][color=#000000]拟制[/color][/size][/font]
[/td][td=1,1,33%][font=宋体][size=3][color=#000000]赵强[/color][/size][/font]
[/td][td=1,1,13%][font=Arial][size=3][color=#000000]Date[/color][/size][/font]
[font=宋体][size=3][color=#000000]日期[/color][/size][/font]
[/td][td=1,1,27%][font=Arial][size=3][color=#000000]2003/09/08[/color][/size][/font]
[/td][/tr][tr][td=1,1,25%][font=Arial][size=3][color=#000000]Reviewed by [/color][/size][/font]
[font=宋体][size=3][color=#000000]评审人[/color][/size][/font]
[/td][td=1,1,33%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,13%][font=Arial][size=3][color=#000000]Date[/color][/size][/font]
[font=宋体][size=3][color=#000000]日期[/color][/size][/font]
[/td][td=1,1,27%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][tr][td=1,1,25%][font=Arial][size=3][color=#000000]Approved by[/color][/size][/font]
[font=宋体][size=3][color=#000000]批准[/color][/size][/font]
[/td][td=1,1,33%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,13%][font=Arial][size=3][color=#000000]Date[/color][/size][/font]
[font=宋体][size=3][color=#000000]日期[/color][/size][/font]
[/td][td=1,1,27%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][tr][td=1,1,25%][font=Arial][size=3][color=#000000]Authorized by[/color][/size][/font]
[font=宋体][size=3][color=#000000]签发[/color][/size][/font]
[/td][td=1,1,33%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,13%][font=Arial][size=3][color=#000000]Date[/color][/size][/font]
[font=宋体][size=3][color=#000000]日期[/color][/size][/font]
[/td][td=1,1,27%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][/table][/align][font=Arial][color=#000000] [/color][/font]
[font=Arial][color=#000000] [/color][/font]
[font=Arial][color=#000000] [/color][/font]
[font=Arial][color=#000000] [/color][/font]
[color=#000000][font=Arial][/font][/color]

[font=Arial][size=5][color=#000000]Huawei Technologies Co., Ltd. [/color][/size][/font]
[font=黑体][size=5][color=#000000]华为技术有限公司[/color][/size][/font]
[font=Arial][color=#000000]All rights reserved[/color][/font]
[color=#000000][font=宋体]版权所有[/font][font=Arial] [/font][font=宋体]侵权必究[/font][/color]
[font=Arial][color=#000000] [/color][/font]
[color=#000000][font=宋体]（[/font][font=Arial]REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only[/font][font=宋体]）[/font][/color]
[color=#000000][font=宋体]（[/font][font=Arial]REP01T01 V2.31/ IPD-CMM V2.0 / [/font][font=宋体]仅供内部使用）[/font][/color]
[font=Arial][color=#000000] [/color][/font]

[size=5][color=#000000][font=Arial]Revision record [/font][font=黑体]修订记录[/font][/color][/size]
[align=center][table][td][tr][td=1,1,13%][font=Arial][size=3][color=#000000][b]Date[/b][/color][/size][/font]
[font=宋体][size=3][color=#000000][b]日期[/b][/color][/size][/font]
[/td][td=1,1,8%][font=Arial][size=3][color=#000000][b]Revision Version[/b][/color][/size][/font]
[font=宋体][size=3][color=#000000][b]修订[/b][/color][/size][/font]
[font=宋体][size=3][color=#000000][b]版本[/b][/color][/size][/font]
[/td][td=1,1,7%][size=3][color=#000000][b][font=Times New Roman]CR ID / Defect ID
CR[/font][font=宋体]号[/font][/b][/color][/size]
[/td][td=1,1,9%][size=3][color=#000000][b][font=Times New Roman]Section Number
[/font][font=宋体]修改[/font][/b][/color][/size]
[font=宋体][size=3][color=#000000][b]章节[/b][/color][/size][/font]
[/td][td=1,1,44%][font=Arial][size=3][color=#000000][b]Change Description[/b][/color][/size][/font]
[font=宋体][size=3][color=#000000][b]修改描述[/b][/color][/size][/font]
[/td][td=1,1,17%][font=Arial][size=3][color=#000000][b]Author[/b][/color][/size][/font]
[font=宋体][b][size=3][color=#000000]作者[/color][/size][/b][/font]
[/td][/tr][tr][td=1,1,13%][font=Arial][size=3][color=#000000]2003-09-10[/color][/size][/font]
[/td][td=1,1,8%][font=Arial][size=3][color=#000000]1.00[/color][/size][/font]
[/td][td=1,1,7%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,9%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,44%][size=3][color=#000000][font=Arial]initial [/font][font=宋体]初稿完成[/font][/color][/size]
[/td][td=1,1,17%][align=center][align=center][font=宋体][size=3][color=#000000]赵强[/color][/size][/font][/align][/align][/td][/tr][/table][/align][size=5][color=#000000][font=Arial]Distribution List [/font][font=黑体]分发记录[/font][/color][/size]
[table=98%][tr][td=1,1,9%][font=Arial][size=3][color=#000000][b]Copy No.[/b][/color][/size][/font]
[/td][td=1,1,63%][font=Arial][size=3][color=#000000][b]Holder's Name & Role [/b][/color][/size][/font]
[font=宋体][size=3][color=#000000][b]持有者和角色[/b][/color][/size][/font]
[/td][td=1,1,26%][font=Arial][size=3][color=#000000][b]Issue Date [/b][/color][/size][/font]
[font=宋体][b][size=3][color=#000000]分发日期[/color][/size][/b][/font]
[/td][/tr][tr][td=1,1,9%][font=Arial][size=3][color=#000000]1[/color][/size][/font]
[/td][td=1,1,63%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,26%][font=Arial][size=3][color=#000000]yyyy-mm-dd[/color][/size][/font]
[/td][/tr][/table][font=Arial][color=#000000] [/color][/font]

[size=5][color=#000000][font=Arial]Catalog [/font][font=黑体]目[/font][font=Arial] [/font][font=黑体]录[/font][/color][/size]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639262][font=Arial][color=#800080]1[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]Introduction
[/font][font=宋体]简介[/font][/color][font=Arial]... 7
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639263][font=Arial][color=#800080]1.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]目的[/color][/font][font=Arial]... 7
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639264][font=Arial][color=#800080]1.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]范围[/color][/font][font=Arial]... 7
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639265][font=Arial][color=#800080]1.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]发布对象[/color][/font][font=Arial]... 7
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639266][font=Arial][color=#800080]2[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]Eudemon200[/font][font=宋体]防火墙的特点[/font][/color][font=Arial]... 8
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639267][font=Arial][color=#800080]2.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]基于状态的防火墙[/color][/font][font=Arial]... 8
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639268][font=Arial][color=#800080]2.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]安全域概念介绍[/color][/font][font=Arial]... 8
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639269][font=Arial][color=#800080]2.2.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]防火墙的域[/color][/font][font=Arial]... 8
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639270][font=Arial][color=#800080]2.2.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]域间概念[/color][/font][font=Arial]... 10
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639271][font=Arial][color=#800080]2.2.3[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]本地域（[/font][font=Arial]Local[/font][font=宋体]）[/font][/color][font=Arial]... 10
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639272][font=Arial][color=#800080]2.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]防火墙的模式[/color][/font][font=Arial]... 11
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639273][font=Arial][color=#800080]2.3.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]概述[/color][/font][font=Arial]... 11
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639274][font=Arial][color=#800080]2.3.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]路由模式[/color][/font][font=Arial]... 11
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639275][font=Arial][color=#800080]2.3.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]透明模式[/color][/font][font=Arial]... 11
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639276][font=Arial][color=#800080]2.3.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]混合模式[/color][/font][font=Arial]... 12
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639277][font=Arial][color=#800080]2.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]访问控制策略和报文过滤[/color][/font][font=Arial]... 12
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639278][font=Arial][color=#800080]2.4.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]访问控制策略的异同[/color][/font][font=Arial]... 12
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639279][font=Arial][color=#800080]2.4.2[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]ACL[/font][font=宋体]加速查找[/font][/color][font=Arial]... 13
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639280][font=Arial][color=#800080]2.4.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]报文过滤规则的应用[/color][/font][font=Arial]... 15
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639281][font=Arial][color=#800080]2.4.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]防火墙缺省动作[/color][/font][font=Arial]... 16
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639282][font=Arial][color=#800080]2.5[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]NAT[/font][font=宋体]的相关配置[/font][/color][font=Arial]... 16
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639283][font=Arial][color=#800080]2.5.1[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]NAT[/font][font=宋体]配置的异同[/font][/color][font=Arial]... 16
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639284][font=Arial][color=#800080]2.5.2[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]NAT ALG[/font][font=宋体]命令[/font][/color][font=Arial]... 16
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639285][font=Arial][color=#800080]2.6[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]统计功能[/color][/font][font=Arial]... 17
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639286][font=Arial][color=#800080]2.6.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]统计功能的特殊概念[/color][/font][font=Arial]... 17
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639287][font=Arial][color=#800080]2.6.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]统计的注意事项[/color][/font][font=Arial]... 17
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639288][font=Arial][color=#800080]2.7[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]双机热备[/color][/font][font=Arial]... 17
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639289][font=Arial][color=#800080]2.7.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]双机简介[/color][/font][font=Arial]... 17
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639290][font=Arial][color=#800080]2.7.2[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]基于纯[/font][font=Arial]VRRP[/font][font=宋体]的备份[/font][/color][font=Arial]... 18
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639291][font=Arial][color=#800080]2.7.3[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]基于[/font][font=Arial]HRP[/font][font=宋体]的备份[/font][/color][font=Arial]... 18
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639292][font=Arial][color=#800080]2.7.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]双机热备的注意事项[/color][/font][font=Arial]... 19
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639293][font=Arial][color=#800080]2.8[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]防火墙的自动配置[/color][/font][font=Arial]... 19
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639294][font=Arial][color=#800080]2.8.1[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]防火墙同[/font][font=Arial]IDS[/font][font=宋体]联动[/font][/color][font=Arial]... 19
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639295][font=Arial][color=#800080]2.8.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]攻击检测模块同黑名单联动[/color][/font][font=Arial]... 20
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639296][font=Arial][color=#800080]2.8.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]登录模块同黑名单联动[/color][/font][font=Arial]... 20
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639297][font=Arial][color=#800080]3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]典型的网络攻击方式和对策[/color][/font][font=Arial]... 20
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639298][font=Arial][color=#800080]3.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]常见攻击方式和对策[/color][/font][font=Arial]... 20
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639299][font=Arial][color=#800080]3.1.1[/color][/font][color=windowtext]
[/color][font=Arial][color=#800080]syn-flood[/color]. 20
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639300][font=Arial][color=#800080]3.1.2[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]UDP/ICMP Flood[/font][font=宋体]攻击[/font][/color][font=Arial]... 21
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639301][font=Arial][color=#800080]3.1.3[/color][/font][color=windowtext]
[/color][font=Arial][color=#800080]Ping of death/Tear drop[/color]. 21
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639302][font=Arial][color=#800080]3.1.4[/color][/font][color=windowtext]
[/color][font=Arial][color=#800080]IP sweep/Port scan[/color]. 22
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639303][font=Arial][color=#800080]3.1.5[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]IP-Spoofing[/font][font=宋体]攻击[/font][/color][font=Arial]... 22
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639304][font=Arial][color=#800080]3.1.6[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]对于畸形报文的检测功能[/color][/font][font=Arial]... 23
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639305][font=Arial][color=#800080]3.1.7[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]对有潜在危害性的报文的过滤[/color][/font][font=Arial]... 23
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639306][font=Arial][color=#800080]4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]典型配置[/color][/font][font=Arial]... 24
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639307][font=Arial][color=#800080]4.1[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]防火墙的初始配置[/color][/font][font=Arial]... 24
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639308][font=Arial][color=#800080]4.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]透明模式的基本配置[/color][/font][font=Arial]... 27
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639309][font=Arial][color=#800080]4.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]路由模式组网实例[/color][/font][font=Arial]... 30
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639310][font=Arial][color=#800080]4.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]双机热备组网实例[/color][/font][font=Arial]... 31
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639311][font=Arial][color=#800080]4.5[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]透明模式组网实例[/color][/font][font=Arial]... 35
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639312][font=Arial][color=#800080]5[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]配置的常见问题（[/font][font=Arial]FAQ[/font][font=宋体]）[/font][/color][font=Arial]... 36
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639313][font=Arial][color=#800080]5.1[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]接好防火墙之后，网络不通，无法[/font][font=Arial]ping[/font][font=宋体]通其他设备，其他设备也无法[/font][font=Arial]ping[/font][font=宋体]通防火墙[/font][/color][font=Arial]... 36
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639314][font=Arial][color=#800080]5.2[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]ACL[/font][font=宋体]和报文过滤功能[/font][/color][font=Arial]... 36
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639315][font=Arial][color=#800080]5.2.1[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]ACL[/font][font=宋体]加速编译失败[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639316][font=Arial][color=#800080]5.2.2[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]配置了黑名单表项，但是[/font][font=Arial]Buildrun[/font][font=宋体]信息中却没有显示[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639317][font=Arial][color=#800080]5.2.3[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]使能地址绑定功能之后，原来配置的静态[/font][font=Arial]ARP[/font][font=宋体]表项消失[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639318][font=Arial][color=#800080]5.2.4[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]配置了[/font][font=Arial]ASPF[/font][font=宋体]功能，要进行[/font][font=Arial]java/activex block[/font][font=宋体]功能，也配置了[/font][font=Arial]ACL[/font][font=宋体]用来划定范围，但是却不起作用[/font][/color][font=Arial]
37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639319][font=Arial][color=#800080]5.3[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]攻击防范和统计功能[/color][/font][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639320][font=Arial][color=#800080]5.3.1[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]使能了[/font][font=Arial]syn-flood/udp-flood/icmp-flood[/font][font=宋体]防御功能，但却没有作用[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639321][font=Arial][color=#800080]5.3.2[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]使能了地址扫描[/font][font=Arial]/[/font][font=宋体]端口扫描共能，但却没有作用[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639322][font=Arial][color=#800080]5.4[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]双机热备功能[/color][/font][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639323][font=Arial][color=#800080]5.4.1[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]配置了[/font][font=Arial]vgmp[/font][font=宋体]但却没有作用[/font][/color][font=Arial]... 37
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639324][font=Arial][color=#800080]5.4.2[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]指定用于传输数据的通道是专门通道，其状态切换不影响应用，此时怎么办[/color][/font][font=Arial]... 38
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639325][font=Arial][color=#800080]5.4.3[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]在应用正常的情况下，改动了[/font][font=Arial]vrrp[/font][font=宋体]的属性发现通讯有问题，表现为能[/font][font=Arial]ping[/font][font=宋体]通接口，但是不能透过防火墙[/font][/color][font=Arial]
38
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639326][font=Arial][color=#800080]5.4.4[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]VRRP[/font][font=宋体]配置不一致的时候，屏幕上打印大量告警影响使用[/font][/color][font=Arial]... 38
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639327][font=Arial][color=#800080]5.4.5[/color][/font][color=windowtext]
[/color][color=#800080][font=Arial]VRRP[/font][font=宋体]状态不稳定切换频繁[/font][/color][font=Arial]... 38
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639328][font=Arial][color=#800080]5.5[/color][/font][color=windowtext]
[/color][font=宋体][color=#800080]透明模式问题[/color][/font][font=Arial]... 38
[/font][/url]
[url=http://bbs.bitscn.com/post.php?action=newthread&fid=143&extra=page%3D1#_Toc51639329][font=Arial][color=#800080]5.5.1[/color][/font][color=windowtext]
[/color][color=#800080][font=宋体]透明模式下[/font][font=Arial]ARP[/font][font=宋体]表项学习有问题[/font][/color][font=Arial]... 38
[/font][/url]
[font=Arial][color=#000000] [/color][/font]

[size=5][color=#000000][font=Arial]
Figure List [/font][font=黑体]图目录[/font][/color][/size]
[color=#000000][font=黑体]图[/font][font=Arial][font=黑体]1[/font]
[/font][font=宋体]安全区示意图[/font][font=Arial]...................................................................................................................... [/font][font=Arial]9[/font][/color]
[color=#000000][font=黑体]图[/font][font=Arial][font=黑体]2[/font]
[/font][font=宋体]路由模式应用组网图[/font][font=Arial]......................................................................................................... 28[/font][/color]
[color=#000000][font=黑体]图[/font][font=Arial][font=黑体]3[/font]
[/font][font=宋体]透明模式应用组网图[/font][font=Arial]......................................................................................................... 30[/font][/color]
[font=宋体][size=10pt][color=#000000]安全策略[/color][/size][/font]

周工发表于 2008-1-14 10:57

Eudemon 200防火墙操作指导

[size=5][color=#000000][font=Arial]Eudemon 200[/font][font=黑体]防火墙操作指导[/font][/color][/size]
[color=#000000][b][font=Arial]Keywords [/font][font=宋体]关键词：[/font][/b][/color]
[color=#000000][b][font=Arial]Abstract
[/font][font=宋体]摘[/font][font=Arial] [/font][font=宋体]要：[/font][/b][font=宋体]本文对[/font][font=Arial]Eudemon 200[/font][font=宋体]防火墙的特点、典型应用以及常见的攻击方式及在[/font][font=Arial]Eudemon200[/font][font=宋体]上的防范方法作了简要的说明。本文的目的是使本文的读者，可以在通读本文之后对[/font][font=Arial]E200[/font][font=宋体]防火墙有比较清楚的认识，可以有效地应用防火墙进行组网。[/font][/color]
[color=#000000][b][font=Arial]List of abbreviations [/font][font=宋体]缩略语清单：[/font][font=Arial] [/font][/b][/color]
[align=center][table=98%][td][tr][td=1,1,26%][size=3][color=#000000][b][font=Arial]Abbreviations[/font][font=宋体]缩略语[/font][/b][/color][/size]
[/td][td=1,1,32%][size=3][color=#000000][b][font=Arial]Full spelling [/font][font=宋体]英文全名[/font][/b][/color][/size]
[/td][td=1,1,40%][b][size=3][color=#000000][font=Arial]Chinese explanation [/font][font=宋体]中文解释[/font][/color][/size][/b]
[/td][/tr][tr][td=1,1,26%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,32%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,40%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][tr][td=1,1,26%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,32%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,40%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][tr][td=1,1,26%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,32%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,40%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][tr][td=1,1,26%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,32%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][td=1,1,40%][font=Arial][size=3][color=#000000] [/color][/size][/font]
[/td][/tr][/table][/align][b]
[/b][color=#000000][font=Arial][font=Arial][size=5]1[/size][/font]
[/font][font=Arial][size=5]Introduction
[/size][/font][/color][font=黑体][size=5][color=#000000]简介[/color][/size][/font][color=#000000][font=Arial][font=Arial][size=3]1.1[/size][/font]
[/font][font=黑体][size=3]目的[/size][/font][/color][color=#000000][font=宋体]本文通过对[/font][font=Arial]Eudemon 200[/font][font=宋体]防火墙的特点，使用方法作出描述，使读者可以对我司的状态防火墙有一个初步的认识，可以结合实例和攻击的特点对防火墙进行有效的配置，保护网络的安全。最后本文将给出一些典型的配置实例，在不同的情况下应用并修改这些实例，可以适应比较常见的网络应用。[/font][/color]
[font=宋体][color=#000000]本文不详细介绍用到的命令行格式和配置细节，相关信息请参考用户手册中的说明[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=Arial][size=3] [/size][/font][/color][font=黑体][size=3][color=#000000]范围[/color][/size][/font][color=#000000][font=宋体]本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉[/font][font=Arial]Eudemon200[/font][font=宋体]防火墙的使用。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.3[/size][/font]
[/font][font=Arial][size=3] [/size][/font][/color][font=黑体][size=3][color=#000000]发布对象[/color][/size][/font][font=宋体][color=#000000]本文针对的读者，为华为公司的技术人员，属于内部文档。文中可能涉及到产品内部实现的细节以及目前存在的某些缺陷，因此[b]本文不可以直接提供给外部人员使用[/b]。如果有需要，请自行对文章进行裁减，仅将可以公开的内容提供给外部人员。[/color][/font]
[b]
[/b][color=#000000][font=Arial][font=Arial][size=5]2[/size][/font]
[/font][font=Arial][size=5]Eudemon200[/size][/font][/color][font=黑体][size=5][color=#000000]防火墙的特点[/color][/size][/font][color=#000000][font=Arial]Eudemon200[/font][font=宋体]防火墙，是我司推出的网络安全产品的重要组成部分，开发的时候就比对着[/font][font=Arial]Netscreen/PIX[/font][font=宋体]等在市场上领先的网络安全产品，提供了比较丰富的功能。作为一个新形态的产品，在防火墙上我们提出了一些新的概念，这是不同于以前的路由器产品的，在下面的部分中，首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]2.1[/size][/font]
[/font][font=黑体][size=3]基于状态的防火墙[/size][/font][/color][color=#000000][font=Arial]Eudemon200[/font][font=宋体]防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像[/font][font=Arial]TCP[/font][font=宋体]连接的三次握手这种状态属于网络协议的第四层，而[/font][font=Arial]FTP[/font][font=宋体]控制命令中有没有传递[/font][font=Arial]PASS[/font][font=宋体]命令这种状态属于网络的第七层，需要应用层网关的支持才能处理。[/font][font=Arial]Eudemon200[/font][font=宋体]防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程：[/font][/color]
[font=宋体][color=#000000]首先报文到达防火墙，防火墙首先检查是否针对这个报文已经有会话表存在[/color][/font]
[font=宋体][color=#000000]如果有，根据会话表中的信息，在进行必要的处理之后，防火墙将转发这个报文[/color][/font]
[font=宋体][color=#000000]如果没有找到表项，防火墙会对这个报文进行一系列检查，在诸多检查都通过之后，防火墙会根据这个报文的特征信息，在防火墙上建立一对会话表项，以便这个会话的后续报文可以直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙，这样用户就不需要既考虑报文的发送也考虑报文的回应消息，可以专心设计安全策略。[/color][/font]
[color=#000000][font=宋体]对于[/font][font=Arial]FTP/H323[/font][font=宋体]等需要协商数据通道的应用协议，用户只需要配置允许该协议最基本的控制通道的连通，在这个控制通道上协商出来的所有数据通道，防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙，必须用繁杂的[/font][font=Arial]ACL[/font][font=宋体]来保证这些协议数据通道的连通，还不可避免的会留下安全漏洞。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]2.2[/size][/font]
[/font][font=黑体][size=3]安全域概念介绍[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]2.2.1[/size][/font]
[/font][font=黑体][size=3]防火墙的域[/size][/font][/color][font=宋体][size=10pt][color=#000000]对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略[/color][/size][/font]

周工发表于 2008-1-14 10:58

Eudemon 200防火墙操作指导

[font=宋体][color=#000000]的方式已经不适用，可能会造成用户在配置上的混乱。[/color][/font]
[color=#000000][font=宋体]因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个[/font][font=Arial]0-100[/font][font=宋体]的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发[/font][font=Arial]ACL[/font][font=宋体]等检查。[/font][/color]
[color=#000000][font=宋体]在缺省情况下，防火墙设置四个安全区域：本地域（[/font][font=Arial]Local[/font][font=宋体]）、受信域（[/font][font=Arial]trust[/font][font=宋体]）、非受信域（[/font][font=Arial]untrust[/font][font=宋体]）和非军事化区（[/font][font=Arial]dmz[/font][font=宋体]）。除了本地域，每个区域可以关联一个或多个防火墙接口。本地域具有最高的安全级别[/font][font=Arial]100[/font][font=宋体]，受信域安全级别为[/font][font=Arial]80[/font][font=宋体]，非受信域安全级别为[/font][font=Arial]5[/font][font=宋体]，非军事化区的级别处于二者之间，设定安全级别为[/font][font=Arial]50[/font][font=宋体]。如果用户需要，还可以添加其他安全域，目前的版本中，最多可以支持[/font][font=Arial]16[/font][font=宋体]个安全域。[/font][/color]
[font=Arial][color=#000000] [/color][/font]
[font=Arial][color=#000000][/color][/font]
[color=#000000][font=黑体]
[font=Arial][size=2]图1 [/size][/font][/font][font=宋体][size=2]安全区示意图[/size][/font][/color]
[font=宋体][color=#000000] [/color][/font]
[font=宋体][color=#000000]一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。[/color][/font]
[font=宋体][color=#000000]在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。[/color][/font]
[font=宋体][color=#000000]一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.1.1[/size][/font]
[/font][font=黑体][size=3]域间概念[/size][/font][/color][font=宋体][color=#000000]任何两个安全域之间存在的关系，我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述，比如，trust-untrust域间。前面描述的数据流的方向性，就是域间关系的一个属性。在Eudemon200防火墙上，绝大多数安全相关的配置都是在域间进行的。[/color][/font]
[font=宋体][color=#000000]不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动地同每一个已经存在的域产生域间关系。可见，域间关系实际上是一种全连接的结构。但是，由于我们为每个域间赋予了入和出两个方向的属性，域间AB和域间BA实际上是一样的。因此我们规定，对于全部域间，只使用高安全级别在前，低安全级别在后这样一种描述形式。无论用户输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。也就是说，在配置的时候，只存在trust-untrust域间，不存在untrust-trust域间。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.1.2[/size][/font]
[/font][font=黑体][size=3]本地域（[/size][/font][font=Arial][size=3]Local[/size][/font][/color][font=黑体][size=3][color=#000000]）[/color][/size][/font][font=宋体][color=#000000]在域的概念中，比较不容易理解的是本地域（Local）。在其他所有预定义域和用户创建的域中，都可以使用添加接口的命令。可以将某个接口（目前只支持以太网接口，以后将会扩展）添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属性，我们可以认为这部分网络就是这个域。要理解的是，这个操作真正添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只是通过添加接口这种形式来表现罢了。[/color][/font]
[color=#000000][font=宋体]Local[/font][font=宋体]域所保护的是防火墙自身，如果允许在local域下添加接口，根据前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因此在local域下面不能使用添加接口的命令。[/font][/color]
[font=宋体][color=#000000]任何访问防火墙自身的报文（包括访问接口IP地址和系统IP地址）都被看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相应域间配置的安全策略检查。[/color][/font]
[font=宋体][color=#000000]举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24位，所连接的网络为192.168.10.0，该接口位于防火墙的trust域。在此情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，就产生了trust域到local域的入方向数据流，要根据local-trust域间配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连接才能成功。[/color][/font]
[font=宋体][color=#000000]由于有了本地域，从根本上解决了原来存在的安全控制措施只能针对设备连接的网络，对设备自身却无法保护的情况。在实际网络环境中，曾经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设备的接口IP，造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。而在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，充分保护了设备自身的安全。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=黑体][size=3]防火墙的模式[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.2.1[/size][/font]
[/font][font=黑体][size=3]概述[/size][/font][/color][color=#000000][font=宋体]防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模式以及混合模式三种工作模式，其中混合模式是为了在透明模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带[/font][font=Arial]IP[/font][font=宋体]的接口，我们主推的工作模式是路由模式和透明模式。[/font][/color]
[color=#000000][font=宋体]相对应的，[/font][font=Arial]Netscreen[/font][font=宋体]防火墙有类似的概念，他们提出的模式是路由模式、[/font][font=Arial]NAT[/font][font=宋体]模式和透明模式。我们产品的路由模式就完全包含了[/font][font=Arial]NS[/font][font=宋体]的路由和[/font][font=Arial]NAT[/font][font=宋体]两个概念。因为我们理解，路由和[/font][font=Arial]NAT[/font][font=宋体]是密不可分的，应该说我们提出的模式的概念比起他们的要更贴切一些。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2.2[/size][/font]
[/font][font=黑体][size=3]路由模式[/size][/font][/color][font=宋体][color=#000000]可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。[/color][/font]
[color=#000000][font=宋体]路由模式下可以使用[/font][font=Arial]NAT[/font][font=宋体]，双机热备份以及全部的攻击防范功能。同时，由于此模式是[/font][font=Arial]VRP[/font][font=宋体]工作的基本形态，各种应用都比较成熟。在可能的情况下，我们推荐使用路由模式进行组网。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2.3[/size][/font]
[/font][font=黑体][size=3]透明模式[/size][/font][/color][color=#000000][font=宋体]透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配[/font][font=Arial]IP[/font][font=宋体]地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的[/font][font=Arial]IP[/font][font=宋体]地址进行各种安全策略的匹配。[/font][/color]
[color=#000000][font=宋体][size=10pt]为了解决对防火墙的配置问题，在透明模式下存在一个系统[/size][/font][size=10pt]IP[/size][font=宋体][size=10pt]，用户需要分配一个当前子网中没有使用的[/size][/font][size=10pt]IP[/size][font=宋体][size=10pt]地址给防火墙，方便远程管理的使用。同时，系统[/size][/font][size=10pt]IP[/size][font=宋体][size=10pt]还起到了让防火墙能够分辨[/size][/font][/color]

周工发表于 2008-1-14 10:59

Eudemon 200防火墙操作指导

[color=#000000][font=宋体]当前所在子网的作用。在路由模式下，防火墙学习[/font][font=Arial]ARP[/font][font=宋体]表项是各个接口分别学习的，防火墙使用接口下的[/font][font=Arial]IP[/font][font=宋体]地址配合子网掩码，为属于自己子网的[/font][font=Arial]IP[/font][font=宋体]地址创建[/font][font=Arial]ARP[/font][font=宋体]表项。在透明模式下，某些防火墙内部功能还是基于[/font][font=Arial]IP[/font][font=宋体]地址信息实现的，不能没有[/font][font=Arial]ARP[/font][font=宋体]表项。但由于没有了接口[/font][font=Arial]IP[/font][font=宋体]地址，对于子网的判断就很困难，因此，当防火墙工作在透明模式之下，是依据系统[/font][font=Arial]IP[/font][font=宋体]和对应的子网掩码来判定是否添加[/font][font=Arial]ARP[/font][font=宋体]表项的，如果系统[/font][font=Arial]IP[/font][font=宋体]和掩码配置的不正确，肯定会造成网络某些应用无法正常使用的问题，必须要注意。为了防止针对防火墙的[/font][font=Arial]arp flood[/font][font=宋体]攻击造成过多的[/font][font=Arial]ARP[/font][font=宋体]表项，可以通过命令[/font][font=Arial]undo firewall arp-learning enable[/font][font=宋体]禁止防火墙动态创建[/font][font=Arial]ARP[/font][font=宋体]表项，此时为了访问系统[/font][font=Arial]IP[/font][font=宋体]，需要手工创建一个静态的[/font][font=Arial]ARP[/font][font=宋体]表项，访问才能成功。[/font][/color]
[color=#000000][font=宋体]由于透明模式的防火墙接口没有[/font][font=Arial]IP[/font][font=宋体]地址，对外表现为一个二层设备，因此不能支持[/font][font=Arial]NAT[/font][font=宋体]、[/font][font=Arial]IPSEC[/font][font=宋体]、路由协议等功能，当防火墙从路由模式切换到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，保存当前配置（输入[/font][font=Arial]save[/font][font=宋体]命令），并且在模式切换之后将系统重启，以保证无用资源的释放。[/font][color=red][/color][/color]
[font=宋体][color=#000000]透明模式的主要优点是可以不改动已有的网络拓扑结构[/color][/font]
[color=#000000][font=宋体]透明模式下，[/font][font=Arial]NAT[/font][font=宋体]、双机热备份以及攻击防范中的[/font][font=Arial]IP spoofing[/font][font=宋体]功能都不可用。[/font][/color]
[font=宋体][color=#000000]由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式下工作的情况。[/color][/font]
[font=Arial][color=#000000] [/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.1.1[/size][/font]
[/font][font=黑体][size=3]混合模式[/size][/font][/color][color=#000000][font=宋体]顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的[/font][font=Arial]VRRP[/font][font=宋体]需要在接口上配置[/font][font=Arial]IP[/font][font=宋体]地址，而透明模式无法实现这一点。[/font][/color]
[color=#000000][font=宋体]在混和模式下，每个接口的工作模式是由接口上是否配置了[/font][font=Arial]IP[/font][font=宋体]地址来区分的。如果一个接口不配置[/font][font=Arial]IP[/font][font=宋体]地址，它就属于透明模式的接口，如果给它配置了[/font][font=Arial]IP[/font][font=宋体]地址，它就工作于路由模式。工作在路由模式下的接口可以配置[/font][font=Arial]VRRP[/font][font=宋体]，我们可以通过将真正提供服务的接口设置在透明模式，将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。[/font][/color]
[color=#000000][font=宋体]理论上我们可以支持报文在属于透明模式和路由模式的接口之间转发，此时，透明模式接口下面的网络，需要将网关地址设置为防火墙的系统[/font][font=Arial]IP[/font][font=宋体]。这一点在[/font][font=Arial]NS[/font][font=宋体]的设备上是不能做到的。但是，这种应用并没有考虑成熟，暂时也没有进行细致的测试，因此目前需要避免这种应用。在后期版本中，我们会考虑规划这个功能。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=黑体][size=3]访问控制策略和报文过滤[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.2.1[/size][/font]
[/font][font=黑体][size=3]访问控制策略的异同[/size][/font][/color][color=#000000][font=宋体]防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。借助[/font][font=Arial]VRP[/font][font=宋体]已有的强大的[/font][font=Arial]ACL[/font][font=宋体]功能，我们很容易做到这一点。[/font][font=Arial]Eudemon[/font][font=宋体]上在[/font][font=Arial]ACL[/font][font=宋体]的配置方面基本同原有的路由器一致，但是[/font][font=Arial]ACL[/font][font=宋体]的类型同路由器稍有不同。在路由器上，[/font][font=Arial]ACL[/font][font=宋体]由基本[/font][font=Arial]ACL[/font][font=宋体]、扩展[/font][font=Arial]ACL[/font][font=宋体]和接口[/font][font=Arial]ACL[/font][font=宋体]三种组成，基本[/font][font=Arial]ACL[/font][font=宋体]和扩展[/font][font=Arial]ACL[/font][font=宋体]又分为数字型和命名型两种。在防火墙上，接口[/font][font=Arial]ACL[/font][font=宋体]被取消了，主要原因是颗粒度太粗，而且难以适应在安全域这个概念下应用。[/font][/color]
[color=#000000][font=宋体]防火墙新添加了一个基于[/font][font=Arial]MAC[/font][font=宋体]地址进行过滤的[/font][font=Arial]ACL[/font][font=宋体]策略组，这个模块是随着透明模式引入的。在防火墙上，只有这个类型的规则组在接口下应用的，主要是由于[/font][font=Arial]MAC[/font][font=宋体]地址同防火墙的接口相关的比较紧密。在接口下应用基于[/font][font=Arial]MAC[/font][font=宋体]的[/font][font=Arial]ACL[/font][font=宋体]规则时，[/font][font=Arial]inbound/outbound[/font][font=宋体]的概念同路由器下保持一致，[/font][font=Arial]inbound[/font][font=宋体]指报文由接口进入防火墙，[/font][font=Arial]outbound[/font][font=宋体]指报文由接口离开防火墙。这同防火墙域间的[/font][font=Arial]inbound/outbound[/font][font=宋体]概念是完全不一致的，需要注意。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2.2[/size][/font]
[/font][font=Arial][size=3]ACL[/size][/font][/color][font=黑体][size=3][color=#000000]加速查找[/color][/size][/font][color=#000000][font=宋体]路由器上的[/font][font=Arial]ACL[/font][font=宋体]模块，每个组下面只支持[/font][font=Arial]128[/font][font=宋体]条规则，全部规则的总数为[/font][font=Arial]4000[/font][font=宋体]条，而且每个方向上只能配置一个[/font][font=Arial]ACL[/font][font=宋体]规则组。这对于专门用作网络安全屏障的防火墙来说是完全不够的。因此，在[/font][font=Arial]Eudemon200[/font][font=宋体]上，全部规则的总数扩展为[/font][font=Arial]20000[/font][font=宋体]条，每个规则组下配置规则的上限也是[/font][font=Arial]20000[/font][font=宋体]条。在应用中，如果使用原有的线性搜索算法，不要说这么多条规则，就是每个规则组下有[/font][font=Arial]1[/font][font=宋体]、[/font][font=Arial]2000[/font][font=宋体]条规则，报文匹配的性能也会大大的下降。由此，在防火墙上，我们引入了[/font][font=Arial]ACL[/font][font=宋体]快速查找算法，将线性搜索变为固定次数匹配。在规则数量大的情况下，极大地提高了规则匹配速度。[/font][/color]
[color=#000000][font=Arial]ACL[/font][font=宋体]快速查找使用了[/font][font=Arial]RFC[/font][font=宋体]算法，将[/font][font=Arial]ACL[/font][font=宋体]规则的查找转化为静态数组查找，通过将报文的特征字转换为数组下标，可以达到查找速度同规则数无关的效果。[/font][/color]
[color=#000000][font=Arial]ACL[/font][font=宋体]加速查找对于使用大量[/font][font=Arial]ACL[/font][font=宋体]规则的情况下，对于防火墙搜索性能的提升是毋庸置疑的。由于我们设备上面所有需要对流进行分类的地方实际上都使用了[/font][font=Arial]ACL[/font][font=宋体]功能，因此，一旦启动了加速查找功能，[/font][font=Arial]NAT[/font][font=宋体]、统计、[/font][font=Arial]QoS[/font][font=宋体]等等多个模块都将受益。但是，[/font][font=Arial]ACL[/font][font=宋体]加速查找功能也有其局限性，不能适用于所有场合，这一点需要在配置的时候严格注意。[/font][/color]
[color=#000000][font=Arial][font=Arial]1．[/font]
[/font][font=Arial]ACL[/font][font=宋体]快速查找功能从算法上来讲对内存的消耗是非常大的，尤其是在产生快速查找数据结构的过程中。算法对内存的消耗有如下特性：对[/font][font=Arial]IP[/font][font=宋体]地址的变化不敏感，对于端口协议以及规则组等变化非常敏感。也就是说，如果将所有规则看成一个整体，[/font][font=Arial]IP[/font][font=宋体]地址变化频繁或相关性很小，对算法的影响较小，但是如果端口或协议号变化剧烈，那么算法在加速过程中很可能因为内存耗尽而失败。算法之所以会有这样的特性，主要是在实际应用中，[/font][font=Arial]ACL[/font][font=宋体]规则中经常用到的端口号和协议号的范围是有限的，而[/font][font=Arial]IP[/font][font=宋体]地址的变化却比较频繁，因此对[/font][font=Arial]IP[/font][font=宋体]地址的处理使用了定长前缀匹配的方法进行优化，而端口协议等方面只是单纯的使用[/font][font=Arial]RFC[/font][font=宋体]算法导致的。不过此功能在真正的应用中耗尽内存失败的可能性很小，只有在测试的极端环境下出现，还是可以放心使用的。[/font][/color]
[color=#000000][font=宋体]所谓相关性是指[/font][font=Arial]IP[/font][font=宋体]地址以及端口号等是否范围互相重叠，重复性越高，我们称之为相关性越高，反之相关性就越低。可以用下面的例子来说明：[/font][/color]
[font=Arial][color=#000000][Eudemon] acl num 100[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 100[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 101[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 102[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 103[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-100] rule deny ip destination 10.10.0.0 0.0.255.255[/color][/font]
[color=#000000][font=宋体]这个规则组我们就可以认为其协议的相关性、[/font][font=Arial]IP[/font][font=宋体]地址范围的相关性都很高，而端口号的相关性很低。[/font][/color]
[font=Arial][color=#000000][Eudemon] acl num 101[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-101] rule deny ip destination 10.10.1.1 0[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-101] rule deny ip destination 20.20.2.2 0[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-101] rule deny ip destination 30.30.3.3 0[/color][/font]
[font=Arial][color=#000000][Eudemon-acl-adv-101] rule deny ip destination 40.40.4.4 0[/color][/font]
[color=#000000][font=宋体]这个规则组的[/font][font=Arial]IP[/font][font=宋体]地址相关性就很低，但是端口号，协议等相关性则很高（完全一致）[/font][/color]
[color=#000000][font=宋体]在测试中，如果端口完全无关，那么可能[/font][font=Arial]1000[/font][font=宋体]条规则左右就会导致加速的失败，但如果端口相关性很高，[/font][font=Arial]IP[/font][font=宋体]地址完全无关，插满[/font][font=Arial]20000[/font][font=宋体]条规则进行编译也没有任何问题。[/font][/color]
[color=#000000][font=Arial][font=Arial]2．[/font]
[/font][font=Arial]ACL[/font][font=宋体]加速算法需要占用大量内存，而且在编译过程中会将内存碎化，因此我们在处理中使用了特殊的方法，如果规则总数非常多，有[/font][font=Arial]10000[/font][font=宋体]项以上的话，在第一次编译的时候，编译速度很快，但是如果停止加速查找，然后再次重新编译，后续的编译过程的速度会非常慢，有时可长达十几分钟。因此，如果规则数量巨大，而且又必须重新编译，建议在再次编译前重新启动防火墙。[/font][/color]
[color=#000000][font=Arial][font=Arial]3．[/font]
[/font][font=Arial]ACL[/font][font=宋体]加速查找算法不支持规则立即生效，也就是说，如果在启动[/font][font=Arial]ACL[/font][font=宋体]加速查找之后，再次修改[/font][font=Arial]ACL[/font][font=宋体]规则，那么这个修改时不能反映在当前已经形成的快速查找库中。因此，我们在实现的时候，做了如下处理：如果在[/font][font=Arial]ACL[/font][font=宋体]加速查找启动之后再次修改[/font][font=Arial]ACL[/font][font=宋体]规则，那么对于修改过的[/font][font=Arial]ACL[/font][font=宋体]规则，我们将不使用加速查找的方式，转而使用传统的线性遍历的搜索方式，对这个规则组的查找速度会变慢。一个规则组是否使用加速查找方式进行查找，可以通过命令行[/font][font=Arial]display acl accelerate[/font][font=宋体]显示。[/font][/color]
[font=宋体][color=#000000]下面是此命令的显示信息[/color][/font]
[font=Courier New][size=2][color=#000000]ACL accelerate is enabled[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
NOTE : UTD means Up To Date, OOD means Out Of Date[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
ACL groups marked with ACCELERATE UTD will use fast search,[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
others will use usual method.[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
ACL group :[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
ID
ACCELERATE
STATUS[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
----------------------------------------[/font][/color][/size]

周工发表于 2008-1-14 10:59

Eudemon 200防火墙操作指导

[font=Courier New][size=2][color=#000000]1
ACCELERATE
OOD[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
10
ACCELERATE
UTD[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
100
UNACCELERATE
UTD[/font][/color][/size]
[color=#000000][font=宋体]如提示信息所说明，只有标记为[/font][font=Arial]Accelerate UTD[/font][font=宋体]的第[/font][font=Arial]10[/font][font=宋体]号规则组才会使用加速查找方式搜索，其他两个规则组都只能使用线性搜索方式查找。[/font][/color]
[font=Arial][color=#000000] [/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.1.1[/size][/font]
[/font][font=黑体][size=3]报文过滤规则的应用[/size][/font][/color][color=#000000][font=宋体]每条[/font][font=Arial]ACL[/font][font=宋体]规则虽然跟随了一个[/font][font=Arial]permit/deny[/font][font=宋体]的动作，但是并不能直接对报文起到控制作用，只有使用[/font][font=Arial]packet-filter[/font][font=宋体]命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。[/font][/color]
[color=#000000][font=宋体]路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个[/font][font=Arial]ACL[/font][font=宋体]规则组，分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个[/font][font=Arial]ACL[/font][font=宋体]规则组的时候必须通盘考虑才能使一个应用正常通过。而防火墙是基于状态检测的设备，我们关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来，至于这个流出去之后交互返回的报文能否通过防火墙，完全不需要用户考虑。单此一点就极大地简化了用户部署安全策略的麻烦，是用户专注于应用的考虑，减少了网络安全漏洞。[/font][/color]
[color=#000000][font=宋体]举例来说，用户希望允许受保护的[/font][font=Arial]IP[/font][font=宋体]地址[/font][font=Arial]190.100.10.10[/font][font=宋体]访问位于外部网络的[/font][font=Arial]FTP[/font][font=宋体]服务器[/font][font=Arial]200.100.10.10[/font][font=宋体]，同时希望内部的[/font][font=Arial]WWW[/font][font=宋体]服务器[/font][font=Arial]190.100.20.10[/font][font=宋体]可以为外部的所有用户提供服务，那么在原有的路由器上，用户需要配置这样的[/font][font=Arial]ACL[/font][font=宋体]规则组：[/font][/color]

[font=Courier New][size=2][color=#000000][Router] acl name out advanced[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21
[/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许内网主机发起[/font][font=Courier New]FTP[/font][font=宋体]连接[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 source-port gt 1024 destination 200.100.10.10 0 [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许内网主机的[/font][font=Courier New]FTP[/font][font=宋体]数据通道报文出去[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-out] rule permit tcp source 190.100.20.10 0 source-port eq 80 [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许[/font][font=Courier New]WWW[/font][font=宋体]服务器的报文出去[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-out] rule deny ip [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]禁止其他报文的通过[/font][/color][/size]

[font=Courier New][size=2][color=#000000][Router] acl name in advanced[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Router-acl-adv-in] rule permit tcp destination 190.100.20.10 0 destination-port eq 80 [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许外部主机访问内部[/font][font=Courier New]www[/font][font=宋体]服务器[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port 21 destination 190.100.10.10 destination-port gt 1024 [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许外部[/font][font=Courier New]ftp[/font][font=宋体]服务器同内部的控制通道交互报文进入[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port gt 1024 destination 190.100.10.10 [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]允许外部[/font][font=Courier New]ftp[/font][font=宋体]主机的数据通道报文进入[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Router-acl-adv-in] rule deny ip [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]禁止其他报文的通过[/font][/color][/size]
[font=宋体][color=#000000]然后，用户需要选择将这两个规则应用到路由器哪个接口上，同时还要注意在相对应的接口上设置缺省动作为允许，还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况，如果路由器上组网复杂，有多个接口通信，不能简单地在接口上配置允许的缺省动作的话，那么配置一个相对安全的规则组还要考虑更多的东西。[/color][/font]
[font=宋体][color=#000000]然而，在我们的防火墙上，配置上述安全策略就简单得多，假设用户的内部网络位于防火墙的受信域，外部网络位于非受信域，那么：[/color][/font]

[font=Courier New][size=2][color=#000000][Eudemon] acl name out advanced[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-acl-adv-out] rule deny ip[/color][/size][/font]

[font=Courier New][size=2][color=#000000][Eudemon] acl name in advanced[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-acl-adv-in] rule permit tcp destination 200.100.20.10 0 destination-port eq 80[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-acl-adv-in] rule deny ip[/color][/size][/font]

[font=Courier New][size=2][color=#000000][Eudemon] firewall interzone trust untrust[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Eudemon-interzone-trust-untrust] detect ftp [/font][font=宋体]——[/font][font=Courier New] [/font][font=宋体]进行[/font][font=Courier New]ftp[/font][font=宋体]协议的应用层解析[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-trust-untrust] packet-filter in inbound[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-trust-untrust] packet-filter out outbound[/color][/size][/font]
[font=宋体][color=#000000]如上就完成全部所需配置和应用。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.1.2[/size][/font]
[/font][font=黑体][size=3]防火墙缺省动作[/size][/font][/color][color=#000000][font=宋体]当报文通过的域间没有配置[/font][font=Arial]ACL[/font][font=宋体]规则，或者在所配置的[/font][font=Arial]ACL[/font][font=宋体]规则组中没有找到符合的规则时，对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器上，防火墙的缺省动作只有一个全局的变量，决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上，每个域间的每个方向都可以分别指定其缺省动作，在系统初始配置时，所有域间所有方向上的缺省动作都是丢弃。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=Arial][size=3]NAT[/size][/font][/color][font=黑体][size=3][color=#000000]的相关配置[/color][/size][/font][color=#000000][font=Arial][font=Arial][size=3]1.2.1[/size][/font]
[/font][font=Arial][size=3]NAT[/size][/font][/color][font=黑体][size=3][color=#000000]配置的异同[/color][/size][/font][color=#000000][font=Arial]NAT[/font][font=宋体]功能是防火墙上又一个主推的功能，在目前的网络应用状况下，基本上每个将防火墙作为网关的组网情况下都会涉及到[/font][font=Arial]NAT[/font][font=宋体]功能的使用，[/font][font=Arial]NAT[/font][font=宋体]功能的配置同路由器下基本保持了一致，主要的不同有以下几点：[/font][/color]
[color=#000000][font=Arial]NAT Server[/font][font=宋体]命令变为全局配置[/font][/color]
[color=#000000][font=Arial]NAT outbound[/font][font=宋体]命令的引用位置由接口下改变到了域间[/font][/color]
[color=#000000][font=宋体]在使用[/font][font=Arial]easy ip[/font][font=宋体]的时候，命令行所指定的出接口必须处于该域间安全级别比较低的一侧。因此如果一个接口处于防火墙安全级别最高的域中，是不能使用这个接口做[/font][font=Arial]esay ip[/font][font=宋体]功能的[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2.2[/size][/font]
[/font][font=Arial][size=3]NAT ALG[/size][/font][/color][font=黑体][size=3][color=#000000]命令[/color][/size][/font][color=#000000][font=Arial]NAT[/font][font=宋体]和[/font][font=Arial]ASPF[/font][font=宋体]都有[/font][font=Arial]ALG[/font][font=宋体]命令的设置，二者有些协议是重合的，有些又有不同。原因是这样的，在[/font][font=Arial]VRP[/font][font=宋体]软件上面，原有的[/font][font=Arial]NAT[/font][font=宋体]和[/font][font=Arial]ASPF[/font][font=宋体]分别有自己的解码函数，各自实现了独立的[/font][font=Arial]ALG[/font][font=宋体]处理，因此产生了两套设置命令。在防火墙上，为了提高处理的性能，[/font][font=Arial]NAT[/font][font=宋体]和[/font][font=Arial]ASPF[/font][font=宋体]共用了一套解码函数，但是对于解码后的处理函数是相对独立的（[/font][font=Arial]NAT[/font][font=宋体]要分配地址[/font][font=Arial]/ASPF[/font][font=宋体]要判断状态机是否正确）。因此，仍然是保留了两组[/font][font=Arial]ALG[/font][font=宋体]开关命令。对于两种功能都需要操作的状态机，以部署在域间的[/font][font=Arial]ASPF[/font][font=宋体]命令为主，[/font][font=Arial]ASPF[/font][font=宋体]的命令控制了是否对协议进行解码，[/font][font=Arial]NAT[/font][font=宋体]的[/font][font=Arial]ALG[/font][font=宋体]命令控制了是否根据解码结果进行[/font][font=Arial]NAT[/font][font=宋体]处理。如果[/font][font=Arial]ASPF[/font][font=宋体]的控制命令没有启动，即使设置了[/font][font=Arial]NAT[/font][font=宋体]的[/font][font=Arial]ALG[/font][font=宋体]命令也是不能激活相关功能的。缺省状态下，所有[/font][font=Arial]ASPF ALG[/font][font=宋体]函数的开关命令都是关闭状态的，[/font][font=Arial]NAT ALG[/font][font=宋体]函数的开关命令都是打开状态的。一般的使用中，可以不用理会[/font][font=Arial]NAT[/font][font=宋体]的设置命令，单独使用[/font][font=Arial]ASPF[/font][font=宋体]的命令就可以起到控制的作用。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.3[/size][/font]
[/font][font=黑体][size=3]统计功能[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.3.1[/size][/font]
[/font][font=黑体][size=3]统计功能的特殊概念[/size][/font][/color][color=#000000][font=宋体]在统计功能中，在域模式下使能的命令都包含一个[/font][font=Arial]inzone/outzone[/font][font=宋体]的参数。这个参数的含义指的是从其他域进入这个域以及从这个域流出到其它域。假设接口[/font][font=Arial]eth0[/font][font=宋体]属于受信域，且是受信域的唯一接口，那么要统计从这个接口接收到的发送给其他接口的信息，需要在受信域配置[/font][font=Arial]statistic enable ip outzone[/font][font=宋体]，如果要统计其它接口发送来的要从这个接口流出防火墙的信息则需要配置[/font][font=Arial]statistic enable ip inzone[/font][font=宋体]。这点在初次配置的时候不容易理解，需要注意。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.3.2[/size][/font]
[/font][font=黑体][size=3]统计的注意事项[/size][/font][/color][color=#000000][font=宋体]防火墙的统计信息是整个防火墙进行攻击防范和表项处理所依据的基础，因此某些基础数据是不允许清除的。在使用[/font][font=Arial]reset firewall statistic system[/font][font=宋体]命令的时候，像当前表项等统计数据并不会被清除，只有在使用[/font][font=Arial]reset firewall session table[/font][font=宋体]命令清除所有表项的时候，这些统计信息才会清零，需要注意。[/font][/color]
[color=#000000][font=宋体]统计功能目前分配的用于统计[/font][font=Arial]IP[/font][font=宋体]的表项数目有限，而这些表项又是攻击防范功能的基础数据的来源，因此一旦这些资源耗尽，相应的攻击防范功能也不会起作用了。在配置[/font][font=Arial]statistic enable ip inzone/outzone[/font][font=宋体]命令的时候，务必要根据实际需要，结合前面说明的[/font][font=Arial]inzone/outzone[/font][font=宋体]的含义指定。不要为了省事，对所有的域都既使能[/font][font=Arial]inzone[/font][font=宋体]的统计，又使能[/font][font=Arial]outzone[/font][font=宋体]的统计。这样会将有限的表项无谓的消耗掉，反而无法防范真正的攻击。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.4[/size][/font]
[/font][font=黑体][size=3]双机热备[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.4.1[/size][/font]
[/font][font=黑体][size=3]双机简介[/size][/font][/color][font=宋体][color=#000000]在当前的组网应用中，用户对网络可靠性的要求越来越高，在很多组网中都需要提供一台冗余设备进行备份，如下图所示：[/color][/font]
[color=#000000][/color][font=宋体][/font]
[color=#000000][font=宋体]目前的防火墙解决方案中提供两种双机热备的方式：[/font][font=Arial]1[/font][font=宋体]）基于纯[/font][font=Arial]VRRP[/font][font=宋体]的备份；[/font][font=Arial]2[/font][font=宋体]）基于[/font][font=Arial]HRP[/font][font=宋体]（[/font][font=Arial]Huawei Redundancy Protocol[/font][font=宋体]华为公司冗余协议[/font][font=宋体]）的备份，以下简要介绍一下这两种双机备份[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.4.2[/size][/font]
[/font][font=黑体][size=3]基于纯[/size][/font][font=Arial][size=3]VRRP[/size][/font][/color][font=黑体][size=3][color=#000000]的备份[/color][/size][/font][color=#000000][font=宋体]在这种双机热备的方式，两台防火墙通过[/font][font=Arial]VRRP[/font][font=宋体]协议来监视彼此的状态，在备用防火墙检测到主防火墙[/font][font=Arial]Down[/font][font=宋体]的时候，便会把自己变成组，不过由于没有添加额外的协议和处理，这种方式不能备份状态数据。因此发生状态切换的时候已有的会话表项会丢失导致连接中断，这种方式还有存在一个因为由于状态防火墙而导致的问题，因为状态防火墙，会建立会话表并要求后续报文在命中会话表的基础上才能透过防火墙，这就意味着，来去的报文都必须通过同一个防火墙，这就要求在双机热备的环境中防火墙的所有接口（针对同一应用的所有接口）上的[/font][font=Arial]VRRP[/font][font=宋体]都应该处于同一状态，要么都是主、要么都是备。但是[/font][font=Arial]VRRP[/font][font=宋体]协议本身不能保证状态的一致性，这样在状态失序的时候便会影响到我们的应用。目前规避的办法是在配置[/font][font=Arial]VRRP[/font][font=宋体]的时候保证一台上的[/font][font=Arial]VRRP[/font][font=宋体]的优先级高于另外一台，并使能抢占，这样在可以规避状态不一致的问题。在实际应用中，这种双机备份方式简单，防火墙的系统负载小，可以应用于一些对连接保持要求不高的环境。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.4.3[/size][/font]
[/font][font=黑体][size=3]基于[/size][/font][font=Arial][size=3]HRP[/size][/font][/color][font=黑体][size=3][color=#000000]的备份[/color][/size][/font][color=#000000][font=宋体]为了解决纯[/font][font=Arial]VRRP[/font][font=宋体]的双机备份方案中的不足（不能进行状态备份、不能维护[/font][font=Arial]VRRP[/font][font=宋体]的状态一致性），推出了基于[/font][font=Arial]HRP[/font][font=宋体]的解决方案，该方案采用[/font][font=Arial]VRRP[/font][font=宋体]协议检测接口状态、用[/font][font=Arial]VGMP[/font][font=宋体]（[/font][font=Arial]VRRP Group Management Protocol[/font][font=宋体]——[/font][font=Arial]VRRP[/font][font=宋体]组管理协议）协议来维护[/font][font=Arial]VRRP[/font][font=宋体]状态的一致性，并用[/font][font=Arial]HRP[/font][font=宋体]协议来进行防火墙状态数据的实时备份。其配置步骤如下：[/font][/color]
[color=#000000][font=Arial][font=Arial]1、[/font]
[/font][font=宋体]在接口上配置好[/font][font=Arial]VRRP[/font][font=宋体]用于监视接口状态，接口模式下输入命令：[/font][font=Arial]vrrp vrid [i]id[/i] virtual-ip [i]ipaddr[/i]; [/font][font=宋体]并配置好相关属性[/font][/color]
[color=#000000][font=Arial][font=Arial]2、[/font]
[/font][font=宋体]把需要管理的[/font][font=Arial]vrrp[/font][font=宋体]加入到[/font][font=Arial]vgmp[/font][font=宋体]中，在系统视图下输入[/font][font=Arial] vrrp group[i] id[/i] [/font][font=宋体]则进入[/font][font=Arial]vgmp[/font][font=宋体]的配置模式，在[/font][font=Arial]vgmp[/font][font=宋体]的配置模式下输入命令：[/font][font=Arial]add interface Ethernet 0/0/0 vrid [i]id,[/i][/font][font=宋体]则将该[/font][font=Arial]vrrp[/font][font=宋体]加入到了[/font][font=Arial]vgmp[/font][font=宋体]中，配置好其他属性并使能该[/font][font=Arial]vgmp[/font][/color]
[color=#000000][font=Arial][font=Arial]3、[/font]
[/font][font=宋体]使能[/font][font=Arial]hrp[/font][font=宋体]功能，在系统视图下输入命令：[/font][font=Arial]hrp enable[/font][/color]
[color=#000000][font=宋体]这样一个基于[/font][font=Arial]hrp[/font][font=宋体]的双机热备便配置完成了。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.4.4[/size][/font]
[/font][font=黑体][size=3]双机热备的注意事项[/size][/font][/color][color=#000000][font=Arial][font=Arial]1、[/font]
[/font][font=宋体]纯[/font][font=Arial]vrrp[/font][font=宋体]备份的应用中，如果出现了状态不一致的情况需要手工调整，以保证[/font][font=Arial]vrrp[/font][font=宋体]的状态一致性；[/font][/color]
[color=#000000][font=Arial][font=Arial]2、[/font]
[/font][font=宋体]在配置[/font][font=Arial]vgmp[/font][font=宋体]的时候，配置好了[/font][font=Arial]vgmp[/font][font=宋体]时还需要单独使能该[/font][font=Arial]vgmp[/font][font=宋体]才可以应用，这是和[/font][font=Arial]vrrp[/font][font=宋体]配置不一致的地方，一定要注意；[/font][/color]
[color=#000000][font=Arial][font=Arial]3、[/font]
[/font][font=宋体]在纯[/font][font=Arial]vrrp[/font][font=宋体]备份的应用中，也可以配置[/font][font=Arial]vgmp[/font][font=宋体]管理来维护[/font][font=Arial]vrrp[/font][font=宋体]的一致性，不必使能[/font][font=Arial]hrp[/font][font=宋体]，不过需要注意的是无论是[/font][font=Arial]hrp[/font][font=宋体]还是[/font][font=Arial]vgmp[/font][font=宋体]协议都是华为的私有协议，其中[/font][font=Arial]vgmp[/font][font=宋体]协议对[/font][font=Arial]vrrp[/font][font=宋体]进行了扩展，[/font][font=Arial]hrp[/font][font=宋体]协议数据目前只能承载在[/font][font=Arial]vgmp[/font][font=宋体]协议上；[/font][/color]
[color=#000000][font=Arial][font=Arial]4、[/font]
[/font][font=宋体]为保证数据安全性以及系统得稳定性、在配置[/font][font=Arial]vgmp[/font][font=宋体]的时候需要指定[/font][font=Arial]vgmp[/font][font=宋体]用来通讯的[/font][font=Arial]vrrp[/font][font=宋体]（在添加[/font][font=Arial]vrrp[/font][font=宋体]的时候可以指定为数据通道属性）；[/font][/color]
[color=#000000][font=Arial][font=Arial]5、[/font]
[/font][font=宋体]为保证双机热备的稳定工作，防止出现震荡，推荐在配置[/font][font=Arial]VGMP[/font][font=宋体]的时候，[/font][font=Arial] [/font][font=宋体]主备的优先级要配的不一致，主防火墙的优先级要高；[/font][/color]
[color=#000000][font=Arial][font=Arial]6、[/font]
[/font][font=宋体]由于采用[/font][font=Arial]vrrp[/font][font=宋体]协议监视接口，因此在双机热备的应用中只能采用以太网口的组网方式，目前双机热备不支持[/font][font=Arial]wan[/font][font=宋体]口的备份；[/font][/color]
[color=#000000][font=Arial][font=Arial]7、[/font]
[/font][font=宋体]由于[/font][font=Arial]vrrp[/font][font=宋体]协议是工作在以太网上的，如果网络繁忙则会影响到[/font][font=Arial]vrrp[/font][font=宋体]的通讯、进而影响到状态和应用的稳定性，因此在网络流量大的组网应用中推荐使用专门的通道来传输双机热备数据[/font][/color]

周工发表于 2008-1-14 11:00

Eudemon 200防火墙操作指导

[color=#000000][font=Arial][font=Arial][size=3]1.1[/size][/font]
[/font][font=黑体][size=3]防火墙的自动配置[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.1.1[/size][/font]
[/font][font=黑体][size=3]防火墙同[/size][/font][font=Arial][size=3]IDS[/size][/font][/color][font=黑体][size=3][color=#000000]联动[/color][/size][/font][color=#000000][font=Arial]Eudemon200[/font][font=宋体]防火墙可以通[/font][font=Arial]IDS[/font][font=宋体]设备联动，[/font][font=Arial]IDS[/font][font=宋体]设备发现了攻击行为可以向防火墙发送控制报文，改变防火墙上设置的过滤规则，阻拦发起攻击的报文。目前防火墙能够接受联动驱动的模块为黑名单，[/font][font=Arial]IDS[/font][font=宋体]可以将一个[/font][font=Arial]IP[/font][font=宋体]地址插入黑名单，如果黑名单过滤功能使能没，那么在设定的时间内，从这个[/font][font=Arial]IP[/font][font=宋体]发出的经过防火墙的报文就会被丢弃。[/font][/color]
[color=#000000][font=宋体]防火墙目前支持“启明星辰”的入侵检测系统，二者通信可以使用他们公司的一套机制（[/font][font=Arial]vip[/font][font=宋体]）传递控制信息。同时我们防火墙还实现了一个[/font][font=Arial]MD5[/font][font=宋体]加密的控制通道，但目前还没有外部设备遵循我们这个标准进行接口实现，相信随着我们产品的大量发售，会有别的厂商主动来遵循我们的标准的。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.1.2[/size][/font]
[/font][font=黑体][size=3]攻击检测模块同黑名单联动[/size][/font][/color][color=#000000][font=宋体]攻击检测模块可以驱动黑名单的功能主要是在地址扫描和端口扫描这两部分，因为我们认为在这种情况下其源地址最有可能是真实的，因此采用了将这个[/font][font=Arial]IP[/font][font=宋体]地址加入黑名单的动作。至于其他的攻击形式，因为其源[/font][font=Arial]IP[/font][font=宋体]地址基本都是伪冒的，因此没有必要将其加入黑名单。当然，我们不能排除有人故意伪冒受害者的[/font][font=Arial]IP[/font][font=宋体]地址进行扫描，就是为了让这个地址被防火墙拦截的可能性。但能够采取这种攻击方法的人必定要对我们防火墙的处理及只有比较清楚的了解。而且要清楚防火墙上的配置（要配置相应功能才可以），因此，如果发生问题，排查的范围不会很大。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.1.3[/size][/font]
[/font][font=黑体][size=3]登录模块同黑名单联动[/size][/font][/color][color=#000000][font=宋体]防火墙上[/font][font=Arial]telnet[/font][font=宋体]登录模块也可以和黑名单模块进行联动，如果登录过程中连续三次输错密码，防火墙除了会关闭当前连接之外，还会将这个[/font][font=Arial]IP[/font][font=宋体]地址加入黑名单[/font][font=Arial]10[/font][font=宋体]分钟。如果此时黑名单功能启动，那么在表项老化的时间之内，无法从这个[/font][font=Arial]IP[/font][font=宋体]发起连接登录防火墙。进一步减小了攻击者对密码猜测的可能性。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=5]2[/size][/font]
[/font][font=黑体][size=5]典型的网络攻击方式和对策[/size][/font][/color][font=宋体][color=#000000]无论防火墙报过滤规则配置的多么严密，总需要划定一个范围，在这个范围内，连接是被允许的。如果攻击用户网络的连接混杂在这个许可的范围之内，就要靠攻击防范的相关功能将其识别出来并处理。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]2.1[/size][/font]
[/font][font=黑体][size=3]常见攻击方式和对策[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]2.1.1[/size][/font]
[/font][font=Arial][size=3]syn-flood[/size][/font][/color][color=#000000][font=Arial]syn-flood[/font][font=宋体]攻击是一种常见的[/font][font=Arial]DoS[/font][font=宋体]攻击方式，主要被用来攻击开放了[/font][font=Arial]TCP[/font][font=宋体]端口的网络设备。要了解[/font][font=Arial]syn-flood[/font][font=宋体]攻击的原理，需要先解释一下[/font][font=Arial]TCP[/font][font=宋体]的连接的建立过程。[/font][font=Arial]TCP[/font][font=宋体]连接的建立过程称为三次握手，首先，客户端向服务器发起连接请求（[/font][font=Arial]SYN[/font][font=宋体]报文），服务器端在收到这个连接请求之后，会回应一个应答报文（[/font][font=Arial]SYN ACK[/font][font=宋体]），客户端收到这个[/font][font=Arial]SYN ACK[/font][font=宋体]报文之后，再发送第三个[/font][font=Arial]ACK[/font][font=宋体]报文，这个交互过程完成之后，服务器和客户机两端就认为这个[/font][font=Arial]TCP[/font][font=宋体]会话已经正常建立，可以开始使用这个会话上传送数据了。服务器端在回应[/font][font=Arial]SYN ACK[/font][font=宋体]报文的时候实际上已经为这个连接的建立分配了足够的资源，如果没有接收到客户端返回的[/font][font=Arial]ACK[/font][font=宋体]报文，这部分资源会在一定时间之后释放，以便提供给其他连接请求使用。[/font][/color]
[color=#000000][font=Arial]syn-flood[/font][font=宋体]攻击就是利用了这个原理，攻击者伪造[/font][font=Arial]TCP[/font][font=宋体]的连接请求，向被攻击的设备正在监听的端口发送大量的连接请求（[/font][font=Arial]SYN[/font][font=宋体]）报文，被攻击的设备按照正常的处理过程，回应这个请求报文，同时为它分配了相应的资源。但是攻击者本意并不需要连接建立成功，因此服务器根本不会接收到第三个[/font][font=Arial]ACK[/font][font=宋体]报文，现有分配的资源只能等待超时释放。如果攻击者能够在超时时间到达之前发出足够的攻击报文，使被攻击的系统所预留所有资源（[/font][font=Arial]TCP[/font][font=宋体]缓存）都被耗尽。那么被攻击的设备将无法再向正常的用户提供服务，攻击者也就达到了攻击的目的（拒绝服务）。[/font][/color]
[color=#000000][font=宋体]从被攻击设备的角度讲，没有很好的方法能够阻止这种攻击的发生。在我们防火墙上可以通过配置[/font][font=Arial]Syn-flood[/font][font=宋体]防御功能来对服务器进行保护。防火墙上进行[/font][font=Arial]syn-flood[/font][font=宋体]防御所采用的是[/font][font=Arial]TCP Proxy[/font][font=宋体]技术，启动这个功能之后，对于每个针对受保护设备的[/font][font=Arial]TCP[/font][font=宋体]连接请求，防火墙会屏蔽这个报文并代替服务器返回一个[/font][font=Arial]SYN ACK[/font][font=宋体]，如果发起连接请求的是真正的客户端，那么在接收到第三个[/font][font=Arial]ACK[/font][font=宋体]报文之后，防火墙会向受保护的服务器发起真正的连接请求，并在连接成功建立之后，作为中转，在两个会话间转换数据，使客户端可以正常访问服务器。而如果连接的发起者是一个假冒的[/font][font=Arial]IP[/font][font=宋体]地址，防火墙会很快的将没有收到[/font][font=Arial]ACK[/font][font=宋体]报文的表项进行回收，此时，由于被攻击的服务器并没有真正收到这个攻击请求，因此，服务器还是可以正常的响应连接的。这个功能利用了防火墙强大的处理能力，代替受保护的设备承受攻击。[/font][font=Arial]syn-flood[/font][font=宋体]防御功能可以保护单个的[/font][font=Arial]IP[/font][font=宋体]地址或者整个域下面所有设备，在两个参数都配置的情况下，[/font][font=Arial]IP[/font][font=宋体]地址关联的参数的优先级更高。假设要保护位于受信域的[/font][font=Arial]IP[/font][font=宋体]地址为[/font][font=Arial]10.110.10.10[/font][font=宋体]的设备免受[/font][font=Arial]syn-flood[/font][font=宋体]的攻击，需在命令行进行如下配置：[/font][/color]
[font=Courier New][size=2][color=#000000][Eudemon] firewall defend syn-flood ip 10.110.10.10 max-rate 100 max-number 1000[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall defend syn-flood enable[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-trust] statistic enable ip inzone[/color][/size][/font]
[font=宋体][color=#000000]要注意的是，一定要配置相应的统计功能，因为攻击防范很多功能的实现都要依赖统计数据，如果不使能对应的统计功能，攻击防范模块将无法获得必要的数据，也就无法真正的发挥作用。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]2.1.2[/size][/font]
[/font][font=Arial][size=3]UDP/ICMP Flood[/size][/font][/color][font=黑体][size=3][color=#000000]攻击[/color][/size][/font][color=#000000][font=Arial]UDP/ICMP Flood[/font][font=宋体]是比较单纯的流量攻击，攻击者通过向一些基于[/font][font=Arial]UDP/ICMP[/font][font=宋体]的基本服务发送大量的报文，使被攻击的设备忙于处理这些无用的请求，最终耗尽处理能力，达到拒绝服务的目的。防火墙上针对这两个攻击有相应的命令行设定[/font][font=Arial]firewall defend udp-flood/icmp-flood[/font][font=宋体]，可以设定的参数同[/font][font=Arial]SYN Flood[/font][font=宋体]攻击的参数基本相同。要注意的是，使能这个功能同样要同时使能受保护域的基于[/font][font=Arial]IP[/font][font=宋体]的入方向统计功能。[/font][/color]
[color=#000000][font=宋体]防火墙会对相应的流量进行[/font][font=Arial]CAR[/font][font=宋体]操作，如果攻击流量超过了阈值许可的范围，超过部分将被丢弃，在设定阈值之下的部分流量仍然可以通过防火墙。[/font][/color]
[font=Arial][color=#000000][font=Arial][size=3]2.1.3[/size][/font]
[/color][/font][size=3][color=#000000][font=Arial]Ping of death/Tear drop[/font][/color][/size][color=#000000][font=Arial]Ping of death/tear drop[/font][font=宋体]两种攻击，都是利用不正常的分片报文，试图利用被攻击的设备在处理这些报文时的缺陷造成设备死机。防火墙上对应的命令行很简单，[/font][font=Arial]firewall defend ping-of-death firewall defend teardrop[/font][font=宋体]，只要使能就可以。[/font][/color]
[font=宋体][color=#000000]防火墙在处理的时候会对记录每个分片的偏移量，对于出现重叠分片或者报文实际长度同声明的长度不符的情况，将丢弃这些分片报文。[/color][/font]
[color=#000000][font=Arial]Teard[Eudemon-interzone-trust-untrust]rop[/font][font=宋体]防御功能还有额外的作用，目前有的攻击工具（[/font][font=Arial]Fakeping.exe[/font][font=宋体]）在发起分片的攻击时会循环发送相同的几个分片，在使能[/font][font=Arial]Teardrop[/font][font=宋体]防御的情况下，这种攻击就无能为力了。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]2.1.4[/size][/font]
[/font][font=Arial][size=3]IP sweep/Port scan[/size][/font][/color][color=#000000][font=宋体]地址扫描和端口扫描，通常是做为其他攻击的前奏而进行的。[/font][font=Arial]IP sweep[/font][font=宋体]的目的是定位目标网络内活动的主机，攻击者通过遍历[/font][font=Arial]IP[/font][font=宋体]地址范围发送报文的方式，判定那些[/font][font=Arial]IP[/font][font=宋体]地址对应的主机是活动的，以便为后续攻击作准备。扫描报文的类型多种多样，[/font][font=Arial]TCP/UDP/ICMP[/font][font=宋体]都有可能，因此在防火墙上进行检测的时候，防火墙只关心[/font][font=Arial]IP[/font][font=宋体]地址的变化。如果一秒钟内从同一个[/font][font=Arial]IP[/font][font=宋体]地址发出的针对不同目的地址的报文的数量超过了设定的阈值，防火墙可以选择告警，同时还可以将这个源地址添加到防火墙的黑名单表中，在一定时间内对这个[/font][font=Arial]IP[/font][font=宋体]地址发出的报文进行丢弃处理。[/font][/color]
[color=#000000][font=宋体]端口扫描的识别同此类似，判定的依据是一秒钟内，一个[/font][font=Arial]IP[/font][font=宋体]地址向另一个[/font][font=Arial]IP[/font][font=宋体]地址的不同端口发起的连结的数量是否超过了阈值。发现端口扫描之后，防火墙同样可以根据设定，选择告警或同时将该[/font][font=Arial]IP[/font][font=宋体]地址加入黑名单中。[/font][/color]
[color=#000000][font=宋体]要让端口扫描[/font][font=Arial]/[/font][font=宋体]地址扫描功能生效，需要在可能发起攻击的阈上启动基于[/font][font=Arial]IP[/font][font=宋体]的出方向的统计功能[/font][/color]
[color=#000000][font=宋体]举例来说，如果从同一个[/font][font=Arial]IP[/font][font=宋体]地址每秒钟发起[/font][font=Arial]10[/font][font=宋体]个针对不同[/font][font=Arial]IP[/font][font=宋体]地址的连结的话就认为它是在进行扫描，对源地址要加入黑名单[/font][font=Arial]10[/font][font=宋体]分钟，攻击可能发起的域在非受信域，那么我们需要进行如下的配置：[/font][/color]
[font=Courier New][size=2][color=#000000][Eudemon] firewall defend ip-sweep max-rate 10 blacklist-timeout 10[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-untrust] statistic enable ip outzone[/color][/size][/font]
[color=#000000][font=宋体]比如最近发作频繁的“冲击波”病毒，在发起攻击之前，被病毒感染的计算机就会大范围的扫描网络，寻找可以攻击的目标。网上现在已经出现多处因为这种扫描导致网络阻塞的问题了，在定为扫描的发起者时遇到了很多麻烦。如果这种情况发生在防火墙上面，在恰当的配置下，感染者的计算机很快就会被发现，如果设置了黑名单联动工能，那么这个[/font][font=Arial]IP[/font][font=宋体]还可以被完全阻塞住，防止该病毒的进一步扩散。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]2.1.5[/size][/font]
[/font][font=Arial][size=3]IP-Spoofing[/size][/font][/color][font=黑体][size=3][color=#000000]攻击[/color][/size][/font][color=#000000][font=Arial]IP-spoofing[/font][font=宋体]攻击是通过伪冒源地址，希望这个伪冒报文可以通过防火墙到达被攻击的设备。防火墙对于这种攻击的防范措施是根据报文的源地址查找一次路由表，如果查找出来的出接口不是这个报文所到达的接口，那么就认为发生了[/font][font=Arial]IP-Spoofing[/font][font=宋体]攻击，防火墙将丢弃这个报文。[/font][/color]
[color=#000000][font=宋体]需要配置的命令为[/font][font=Arial]firewall ip-spoofing[/font][font=宋体]，没有其他参数需要配置。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]2.1.6[/size][/font]
[/font][font=黑体][size=3]对于畸形报文的检测功能[/size][/font][/color][color=#000000][font=Arial]Eudemon200[/font][font=宋体]上支持的畸形报文的检测对应于如下攻击方式：[/font][/color]
[font=Arial][color=#000000]smurf[/color][/font]
[color=#000000][font=宋体]发送的[/font][font=Arial]ping[/font][font=宋体]报文的目的地址为受害网络的广播地址，由于相应子网上所有报文都会相应这个请求，会产生大量的回应报文，造成网络阻塞。更进一步的，攻击者可以把受害主机的[/font][font=Arial]IP[/font][font=宋体]地址作为[/font][font=Arial]ICMP[/font][font=宋体]请求报文的源地址，使所有回应报文都发向受害主机，导致该主机无法响应。[/font][/color]
[font=Arial][color=#000000]Fraggle[/color][/font]
[color=#000000][font=宋体]同[/font][font=Arial]smurf[/font][font=宋体]攻击类似，但利用的是基于[/font][font=Arial]UDP[/font][font=宋体]报文的[/font][font=Arial]echo[/font][font=宋体]（端口[/font][font=Arial]7[/font][font=宋体]）或[/font][font=Arial]chargen[/font][font=宋体]（端口[/font][font=Arial]19[/font][font=宋体]）服务，攻击者利用这两个服务在收到请求报文之后会产生回应的特性，向受害网络的广播地址发送这两种报文，还可以将受害者地址作为请求报文的源地址。[/font][/color]
[font=Arial][color=#000000]Land[/color][/font]
[color=#000000][font=宋体]攻击报文的源地址和目的地址都是受害主机的[/font][font=Arial]IP[/font][font=宋体]地址，被攻击的设备在回应这个报文的时候会向自身发出[/font][font=Arial]SYN ACK[/font][font=宋体]连接，由于的不到回应，该连接将一直等待到超时释放。如果收到大量的[/font][font=Arial]Land[/font][font=宋体]报文，将导致被攻击设备处理能力被消耗掉，出现拒绝服务的现象。[/font][/color]
[font=Arial][color=#000000]Winnuke[/color][/font]
[color=#000000][font=宋体]针对[/font][font=Arial]139[/font][font=宋体]端口设置了紧急指针的[/font][font=Arial]NetBIOS[/font][font=宋体]报文，[/font][font=宋体]引起一个[/font][font=Arial]NetBIOS[/font][font=宋体]片断重叠，使目标主机崩溃。还有一种同名攻击是通过分片的IGMP报文，利用主机在处理IGMP分片报文时的错误，导致目标主机崩溃。[/font][/color]
[font=Arial][color=#000000]tcp-flag[/color][/font]
[color=#000000][font=宋体]同时设置了互斥的[/font][font=Arial]TCP[/font][font=宋体]状态字标志，比如既设置了[/font][font=Arial]SYN[/font][font=宋体]标志，又设置了[/font][font=Arial]FIN[/font][font=宋体]标志，利用目标主机在处理这种报文时的错误，使其崩溃。[/font][/color]
[font=Arial][color=#000000]ip-fragment[/color][/font]
[color=#000000][font=宋体]对[/font][font=Arial]IP[/font][font=宋体]报文中同分片相关的标志位进行错误的设置，比如既设定[/font][font=Arial]DF[/font][font=宋体]（不允许分片）标志，又设定[/font][font=Arial]MF[/font][font=宋体]（后续分片）标志。利用目标主机在处理这种报文时的错误，使其崩溃。[/font][/color]
[font=宋体][color=#000000]对于上述这些攻击方式，防火墙通过单一报文的特征就能够做出判定，对于符合这些特征的报文，如果使能了相应的防御功能，防火墙将丢弃这个报文。[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]2.1.7[/size][/font]
[/font][font=黑体][size=3]对有潜在危害性的报文的过滤[/size][/font][/color][color=#000000][font=宋体]对于[/font][font=Arial]icmp-redirect[/font][font=宋体]、[/font][font=Arial]icmp-unreachable[/font][font=宋体]两种报文以及[/font][font=Arial]IP[/font][font=宋体]选项[/font][font=Arial]route-record[/font][font=宋体]、[/font][font=Arial]source-route[/font][font=宋体]、[/font][font=Arial]tracert[/font][font=宋体]本身并不一定对受保护的网络有危害，但是由于这些报文可能会泄露受保护网络的拓扑结构等信息，防火墙也可以对符合这些特征的报文进行过滤[/font][/color]
[color=#000000][font=宋体]防火墙还可以对超过一定大小限制的[/font][font=Arial]ICMP[/font][font=宋体]报文进行过滤，任何超过这个长度限制的[/font][font=Arial]ICMP[/font][font=宋体]报文将被防火墙丢弃[/font][/color]
[font=宋体][color=#000000]要注意一点，这些有潜在危害性的报文经常在检查网络状态的时候被用到，如果在这种情况下，防火墙需要关闭这些安全特性，否则将造成网络检测无法成功。[/color][/font]

周工发表于 2008-1-14 11:00

Eudemon 200防火墙操作指导

[color=#000000][font=Arial][font=Arial][size=5]1[/size][/font]
[/font][font=黑体][size=5]典型配置[/size][/font][/color][color=#000000][font=Arial][font=Arial][size=3]1.1[/size][/font]
[/font][font=黑体][size=3]防火墙的初始配置[/size][/font][/color][font=宋体][color=#000000]第一次启动，设备的配置为空，基本配置情况如下：[/color][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
sysname Eudemon[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
tcp window 8[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall statistic system enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
undo multicast igmp-all-enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Aux0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
async mode flow[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
link-protocol ppp[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface NULL0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone local[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 100[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone trust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 85[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone untrust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 5[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone DMZ[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 50[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone DMZ untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface con 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface aux 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface vty 0 4[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]return[/color][/size][/font]
[color=#000000][font=宋体]可见，基本的防火墙有[/font][font=Arial]4[/font][font=宋体]个预定义域，[/font][font=Arial]Local/trust/untrust/dmz[/font][font=宋体]。[/font][/color]
[font=宋体][color=#000000]第一件要做的事就是将接口加到相应的域中[/color][/font]
[font=Arial][color=#000000][Eudemon] firewall zone trust[/color][/font]
[font=Arial][color=#000000][Eudemon-zone-trust] add interface ethernet 0/0/0[/color][/font]
[font=宋体][color=#000000]如此往复，将所有需要用到的接口分别加到不同的域中，要遵循的是，只要希望数据在这两个接口之间流动的时候要经过防火墙检查，就需要将这两个接口分别加到不同的域里。没有加入到域中的接口是无法在防火墙上转发报文的。[/color][/font]
[color=#000000][font=宋体]其次，检查域间的包过滤配置。在组网开始的时候，为了测试网络的联通性，可以通过设置防火墙缺省规则将所有域间下包过滤的缺省规则都设置为允许。在网络测试通畅之后再关闭这些许可，转而使用详细的[/font][font=Arial]ACL[/font][font=宋体]规则作为报文过滤的依据。[/font][/color]
[font=宋体][color=#000000]一个保证网络通畅的配置如下：[/color][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
sysname Eudemon[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
tcp window 8[/font][/color][/size]
[font=Courier New][size=2][color=#000000]# [/color][/size][/font]
[size=2][color=#000000][font=宋体]
[/font][font=Courier New]firewall packet-filter default permit interzone local trust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local trust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local untrust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local DMZ direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local DMZ direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust untrust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust DMZ direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust DMZ direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone DMZ untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone DMZ untrust direction outbound [/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall statistic system enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
undo multicast igmp-all-enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Aux0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
async mode flow[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
link-protocol ppp[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
ip address 192.168.10.1 255.255.255.0[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/1[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
ip address 192.168.20.1 255.255.255.0[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
ip address 172.16.10.1 255.255.0.0[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/1[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
ip address 10.10.10.1 255.0.0.0 [/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface NULL0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone local[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 100[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone trust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 0/0/0[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 0/0/1[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 85[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone untrust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 1/0/0[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 5[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone DMZ[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 1/0/1[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 50[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone DMZ untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface con 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface aux 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface vty 0 4[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]return[/color][/size][/font]
[color=#000000][font=宋体]上述配置假设各接口[/font][font=Arial]IP[/font][font=宋体]地址符合实际网络的设置，且防火墙工作在路由模式。如果符合上述条件，而防火墙都无法[/font][font=Arial]ping[/font][font=宋体]通其他设备、或其他设备无法[/font][font=Arial]ping[/font][font=宋体]通防火墙、或报文无法通过防火墙，请检查网络其他设备的配置情况。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=黑体][size=3]透明模式的基本配置[/size][/font][/color][font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
sysname Eudemon[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
tcp window 8[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall mode transparent[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall statistic system enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Aux0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
async mode flow[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
link-protocol ppp[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface NULL0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface LoopBack0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone local[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 100[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone trust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 85[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone untrust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 5[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone DMZ[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 50[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone DMZ untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface con 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface aux 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface vty 0 4[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]return
[/font][/color][/size]
[color=#000000][font=宋体]如上，是一个防护墙在透明模式下的最基本配置，除了[/font][font=Arial]firewall mode transparent[/font][font=宋体]命令之外，同在路由模式下的基本配置是基本一样的。[/font][/color]
[font=宋体][color=#000000]如果在透明模式下检测防火墙的联通性，最通用的配置如下[/color][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
sysname Eudemon[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
tcp window 8[/font][/color][/size]
[font=Courier New][size=2][color=#000000]# [/color][/size][/font]
[size=2][color=#000000][font=宋体]
[/font][font=Courier New]firewall packet-filter default permit interzone local trust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local trust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local untrust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local DMZ direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone local DMZ direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust untrust direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust DMZ direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone trust DMZ direction outbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone DMZ untrust direction inbound[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
firewall packet-filter default permit interzone DMZ untrust direction outbound [/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall mode transparent[/font][/color][/size]
[size=2][color=#000000][font=宋体]
[/font][font=Courier New]firewall system-ip 192.168.10.1 255.255.255.0
[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
firewall statistic system enable[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Aux0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
async mode flow[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
link-protocol ppp[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet0/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface Ethernet1/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface NULL0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]interface LoopBack0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone local[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
set priority 100[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone trust[/color][/size][/font]
[size=2][color=#000000][font=宋体]
[/font][font=Courier New]add interface Ethernet 0/0/0[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 0/0/1[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 85[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone untrust[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 1/0/0[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 5[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall zone DMZ[/color][/size][/font]
[size=2][color=#000000][font=Courier New]
add interface Ethernet 1/0/1[/font][/color][/size]
[size=2][color=#000000][font=Courier New]
set priority 50[/font][/color][/size]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone local DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone trust DMZ[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]firewall interzone DMZ untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface con 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface aux 0[/color][/size][/font]
[font=Courier New][size=2][color=#000000]user-interface vty 0 4[/color][/size][/font]
[font=Courier New][size=2][color=#000000]#[/color][/size][/font]
[size=2][color=#000000][font=Courier New]return
[/font][/color][/size]
[color=#000000][font=宋体]上述配置假设防火墙处于[/font][font=Arial]192.168.10.0[/font][font=宋体]，子网掩码为[/font][font=Arial]255.255.255.0[/font][font=宋体]的子网中，防火墙的系统[/font][font=Arial]IP[/font][font=宋体]设置为[/font][font=Arial]192.168.10.1[/font][font=宋体]。如果在这个配置下从其他设备仍无法[/font][font=Arial]ping[/font][font=宋体]通系统[/font][font=Arial]IP[/font][font=宋体]、或跨越防火墙不同域的设备无法互相[/font][font=Arial]ping[/font][font=宋体]通，请检查网络连接情况。[/font][/color]

周工发表于 2008-1-14 11:01

Eudemon 200防火墙操作指导

[color=#000000][font=宋体]的设备无法互相[/font][font=Arial]ping[/font][font=宋体]通，请检查网络连接情况。[/font][/color]
[color=#000000][font=Arial][font=Arial][size=3]1.1[/size][/font]
[/font][font=黑体][size=3]路由模式组网实例[/size][/font][/color][size=3][color=#000000][/color][/size]
[color=#000000][font=黑体]
[font=Arial][size=2]图1 [/size][/font][/font][font=宋体][size=2]路由模式应用组网图[/size][/font][/color]
[font=宋体][color=#000000]组网需求如下：[/color][/font]
[color=#000000][font=Arial][font=Arial]1．[/font]
[/font][font=宋体]防火墙三个接口[/font][font=Arial]eth0/0/0[/font][font=宋体]属于[/font][font=Arial]trust[/font][font=宋体]域，[/font][font=Arial]eth0/0/1[/font][font=宋体]属于[/font][font=Arial]DMZ[/font][font=宋体]域，[/font][font=Arial]eth1/0/0[/font][font=宋体]属于[/font][font=Arial]untrust[/font][font=宋体]域[/font][/color]
[color=#000000][font=Arial][font=Arial]2．[/font]
[/font][font=宋体]允许[/font][font=Arial]trust[/font][font=宋体]域主机经过[/font][font=Arial]easy ip[/font][font=宋体]模式的[/font][font=Arial]nat[/font][font=宋体]转换，通过[/font][font=Arial]eth1/0/0[/font][font=宋体]接口访问[/font][font=Arial]ftp[/font][font=宋体]服务器[/font][/color]
[color=#000000][font=Arial][font=Arial]3．[/font]
[/font][font=宋体]允许[/font][font=Arial]trust[/font][font=宋体]域主机[/font][font=Arial]192.168.10.20[/font][font=宋体]远程管理防火墙[/font][/color]
[color=#000000][font=Arial][font=Arial]4．[/font]
[/font][font=宋体]允许外部主机访问位于[/font][font=Arial]dmz[/font][font=宋体]域的[/font][font=Arial]www[/font][font=宋体]服务器[/font][/color]
[color=#000000][font=Arial][font=Arial]5．[/font]
[/font][font=宋体]防止对[/font][font=Arial]www[/font][font=宋体]服务器的[/font][font=Arial]syn-flood[/font][font=宋体]攻击[/font][/color]
[color=#000000][font=Arial][font=Arial]6．[/font]
[/font][font=宋体]防止[/font][font=Arial]untrust[/font][font=宋体]域发起的端口扫描[/font][/color]
[color=#000000][font=Arial][font=Arial]7．[/font]
[/font][font=宋体]防止地址欺骗[/font][/color]
[color=#000000][font=Arial][font=Arial]8．[/font]
[/font][font=宋体]启动[/font][font=Arial]ACL[/font][font=宋体]加速查找功能[/font][/color]
[color=#000000][font=宋体]以[/font][font=Arial]4.1[/font][font=宋体]节描述的路由模式裸机配置为基础，要达到上述目的，需要进行如下配置：[/font][/color]
[font=Courier New][size=2][color=#000000]<Eudemon> system[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]1[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone trust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-trust] add interface ethernet 0/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone dmz[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-dmz] add interface ethernet 0/0/1[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-untrust] add interface ethernet 1/0/0[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]2[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] acl num 1
// nat pool[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] rule permit source 192.168.10.0 0.255.255.255[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] acl name out advanced[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Eudemon-acl-adv-out] rule permit tcp destination 202.169.10.150 0 destination-port eq 21
//[/font][font=宋体]允许访问[/font][font=Courier New]untrust[/font][font=宋体]域[/font][font=Courier New]ftp[/font][font=宋体]服务器[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall interzone trust untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-trust-untrust] packet-filter out outbound[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-trust-untrust] nat outbound 1 interface ethernet 1/0/0[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-trust-untrust] detect ftp[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]3[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] acl name manage advanced[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Eudemon-acl-adv-manage] rule permit ip source 192.168.10.20 0
//[/font][font=宋体]允许管理[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall interzone trust local[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-local-trust] packet-filter manage inbound[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]4[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] acl name tod advanced[/color][/size][/font]
[size=2][color=#000000][font=Courier New][Eudemon-acl-adv-tod] rule permit tcp destination 192.168.20.10 0 //acl[/font][font=宋体]使用内网地址[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] nat server protocol tcp global 202.169.10.10 www inside 192.168.20.10 www[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall interzone dmz untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-interzone-dmz-untrust] packet-filter tod inbound[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]5[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall defend syn-flood zone dmz max-rate 100[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone dmz[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-dmz] statistic enable ip inzone[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]6[/font][/color][/size]
[size=2][color=#000000][font=Courier New][Eudemon] firewall defend port-scan max-rate 10 blacklist-timeout 100 //[/font][font=宋体]发现扫描加入黑名单[/font][font=Courier New]100[/font][font=宋体]分钟[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall zone untrust[/color][/size][/font]
[font=Courier New][size=2][color=#000000][Eudemon-zone-untrust] statistic enable ip outzone[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]7[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] firewall defend ip-spoofing[/color][/size][/font]
[size=2][color=#000000][font=Courier New]//[/font][font=宋体]需求[/font][font=Courier New]8[/font][/color][/size]
[font=Courier New][size=2][color=#000000][Eudemon] acl accelerate enable[/color][/size][/font]
[font=宋体][color=#000000]如上，防火墙就可以按照用户要求工作了[/color][/font]
[color=#000000][font=Arial][font=Arial][size=3]1.2[/size][/font]
[/font][font=黑体][size=3]双机热备组网实例[/size][/font][/color][size=3][color=#000000][/color][/size]
[color=#000000][font=黑体]
[font=Arial][size=2]图2 [/size][/font][/font][font=宋体][size=2]双机热备应用组网图[/size][/font][/color]
[font=宋体][color=#000000]组网需求如下：[/color][/font]
[color=#000000][font=Arial]1[/font][font=宋体]、两台防火墙组成双机热备的组网环境[/font][/color]
[color=#000000][font=Arial]2[/font][font=宋体]、所有接口的接交换机[/font][/color]
[color=#000000][font=Arial]3[/font][font=宋体]、采用[/font][font=Arial]hrp[/font][font=宋体]方式进行双机备份[/font][/color]
[font=宋体][color=#000000]两台防火墙的配置如下：[/color][/font]
[color=black][font=宋体]防火墙[/font][/color][color=black][font=Times New Roman]1(Master)[/font][/color]
[color=black][font=Times New Roman] [/font][/color]
[color=black][font=Times New Roman]return [/font][/color]
[color=black][font=Times New Roman]sys[/font][/color]
[color=black][font=Times New Roman] [/font][/color]
[color=black][font=Times New Roman]sysname firewall1[/font][/color]
[color=black][font=Times New Roman] [/font][/color]
[color=black][font=Times New Roman]firewall packet-filter default permit all[/font][/color]
[color=black][font=Times New Roman] [/font][/color]
[color=black][font=Times New Roman]interface Ethernet0/0[/font][/color]
[color=black][font=Times New Roman]
ip address 192.168.10.1 255.255.255.0[/font][/color]
[color=black][font=Times New Roman]
vrrp vrid 1 virtual-ip 192.168.10.10[/font][/color]
[color=black][font=Times New Roman]
vrrp vrid 1 preempt-mode timer delay 3[/font][/color]
[color=black][font=Times New Roman]interface Ethernet0/1[/font][/color]
[color=black][font=Times New Roman]
ip address 202.169.10.1 255.255.255.0[/font][/color]
[color=black][font=Times New Roman]
vrrp vrid 2 virtual-ip 202.169.10.10[/font][/color]
[color=black][font=Times New Roman]
vrrp vrid 3 preempt-mode timer delay 3[/font][/color]
[color=black][font=Times New Roman]interface Ethernet1/0[/font][/color]
[color=black][font=Times New Roman]
ip address 192.168.1.1 255.255.255.0[/font][/color]
[color=black][font=Times New Roman]
vrrp vrid 3 virtual-ip 192.168.1.10[/font][/color]
[colo

中国网管论坛's Archiver

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导

Eudemon 200防火墙操作指导