华为防火墙配置培训

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

1学习目标防火墙的域和模式攻击防范、包过滤、ASPF、NAT、黑名单的使用方法学习完本课程,您应该能够了解:2防火墙的模式路由模式为防火墙的以太网接口(以GigabitEthernet0/0为例)配置IP地址。[SecPath]interfaceGigabitEthernet0/0[SecPath-GigabitEthernet0/0]ipaddress192.168.0.1255.255.255.0透明模式当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP地址。这样,用户若要对防火墙进行Web管理,需在透明模式下为防火墙配置一个系统IP地址(SystemIP)。用户可以通过此地址对防火墙进行Web管理。缺省情况下,防火墙工作在路由模式。(1)配置防火墙工作在透明模式。[SecPath]firewallmode?routeRoutemodetransparentTransparentmode[SecPath]firewallmodetransparentSetsystemipaddresssuccessfully.TheGigabitEthernet0/0hasbeeninpromiscuousoperationmode!TheGigabitEthernet0/1hasbeeninpromiscuousoperationmode!AlltheInterfaces'sipshavebeendeleted.Themodeissetsuccessfully.从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP地址已经被删除。(2)为防火墙配置系统IP地址。[SecPath]firewallsystem-ip192.168.0.1255.255.255.0Setsystemipaddresssuccessfully.说明:当防火墙切换到透明模式时,系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8,可以使用上述命令更改系统IP地址。3防火墙的模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。4防火墙的属性配置命令打开或者关闭防火墙firewall{enable|disable}设置防火墙的缺省过滤模式firewalldefault{permit|deny}显示防火墙的状态信息displayfirewall5在接口上应用访问控制列表将访问控制列表应用到接口上指明在接口上是OUT还是IN方向Ethernet0访问控制列表101作用在Ethernet0接口在out方向有效Serial0访问控制列表3作用在Serial0接口上在in方向上有效6基于时间段的包过滤“特殊时间段内应用特殊的规则”Internet上班时间(上午8:00-下午5:00)只能访问特定的站点;其余时间可以访问其他站点7时间段的配置命令timerange命令timerange{enable|disable}[undo]settr命令settrbegin-timeend-time[begin-timeend-time......]undosettr显示isintr命令displayisintr显示timerange命令displaytimerange8访问控制列表的组合一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序:auto和config。规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。深度的判断要依靠通配比较位和IP地址结合比较access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.10.0.0.255两条规则结合则表示禁止一个大网段(202.38.0.0)上的主机但允许其中的一小部分主机(202.38.160.0)的访问。规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。9防火墙在测试环境中,划分了最常用的三个安全区域:Untrust区域——用于连接外部网络;DMZ区域——放置对外服务器;Trust区域——用于连接内部安全网络。DMZ区域Untrust区域SecPathserverBPC2192.168.1.3/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3.2/24LanswitchTrust区域PC1192.168.2.2/24serverAInternet10防火墙基本配置SecPath:InterfaceGigabitEthernet0/0ipaddress192.168.3.1255.255.255.0InterfaceGigabitEthernet0/1ipaddress192.168.1.1255.255.255.0InterfaceEthernet1/0ipaddress192.168.2.1255.255.255.0PC1:配置IP地址为192.168.1.3/24PC2:配置IP地址为192.168.1.2/2411防火墙的功能演示演示项目ASPF功能测试演示子项目FTP协议检测测试说明ASPF(ApplicationSpecificPacketFilter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。通常在内部网络和外部网络之间应用ASPF功能,保证内部主机可以访问外部网络,只有由内部发起连接对应的返回报文才可以进入内部网络,而外部网络不能够直接发起对内部网络的访问。除了完成传统状态防火墙的功能之外,对应用层协议进行检测,安全性更高。本例演示ASPF功能对FTP协议的状态检测。预置条件见演示环境及基本配置[Quidway]firewallpacket-filterenable[Quidway]aclnumber2000[Quidway-acl-basic-2000]ruledeny[Quidway]aspf-policy1[Quidway-aspf-policy-1]detectftpaging-time120[Quidway]interfaceGigabitEthernet0/1[Quidway-GigabitEthernet0/1]firewallpacket2000outbound[Quidway-GigabitEthernet0/1]firewallaspf1inbound在PC2上运行ftp服务器配置步骤1.打开SecPath的debugaspfftp开关2.pc1上运行ftpclient程序,登录ServerB上的ftpserver3.查看SecPath上的debug信息,可以看到结果14.执行disaspfsession查看SecPath上的ASPF会话信息,可以看到结果25.等待ftp超时后,可以看到结果36.在ServerB上ftp到PC1上的ftpserver,可以看到结果4预期结果1.debug信息显示有aspf调试信息*0.1039008501000ASPF/8/FTP:Session0x264168C4-state=83,token=32,string'USER',value1331Passwordrequiredfora.2.查看aspfsession存在ftp会话信息3.aspfsession超时删除,PC1不能浏览或上传下载数据到ftpserver4.ServerB上不能ftp到内部网络的主机上。12防火墙的功能演示演示项目ASPF功能测试演示子项目TCP协议测试演示说明本例演示ASPF功能对TCP协议的状态检测。预置条件见演示环境及基本配置[Quidway]firewallpacket-filterenable[Quidway]aclnumber2000[Quidway-acl-basic-2000]ruledeny[Quidway]aspf-policy1[Quidway-aspf-policy-1]detecttcpaging-time120[Quidway]interfaceGigabitEthernet0/1[Quidway-GigabitEthernet0/1]firewallpacket2000outbound[Quidway-GigabitEthernet0/1]firewallaspf1inbound在PC2上运行telnet服务器测试步骤1.打开SecPath的debugaspftcp开关2.pc1telnet登录到ServerB3.查看SecPath上的debug信息,可以看到结果14.执行disaspfsession查看SecPath上的ASPF会话信息,可以看到结果25.等待tcp超时后,可以看到结果36.在PC1上启动telnet服务,从ServerB上telnetPC1,可以看到结果4预期结果1.debug信息显示有aspf调试信息2.查看aspfsession存在tcp会话信息3.aspfsession超时删除,telnet连接断开4.telnet不成功13防火墙的功能演示演示项目攻击防范测试演示子项目UDPFLOOD攻击防范测试/ICMPFLOOD攻击防范测试演示说明攻击者短时间内用大量的ICMP消息(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。本测试验证防火墙对UDPFLOOD攻击的阻断,配置中保护DMZ中的主机不会受到UDPFLOOD攻击的影响。预置条件见演示环境及基本配置[Quidway]firewalldefendudp-floodenable[Quidway]firewalldefendudp-floodzoneDMZmax-rate1000[Quidway]firewallzoneDMZ[Quidway-zone-DMZ]statisticenableipinzone或[Quidway]firewalldefendicmp-floodenable[Quidway]firewalldefendicmp-floodzoneDMZmax-rate100[Quidway]firewallzoneDMZ[Quidway-zone-DMZ]statisticenableipinzone演示步骤1.在ServerB上(Linux环境下可以使用hping2程序)发送大量的UDP报文到ServerA上。2.在ServerA上使用抓包工具抓包,可以看到结果13.在SecPath上取消UDPFLOOD攻击防范功能:[Quidway]undofirewalldefendudp-floodenable在ServerB上发送大量的UDP报文,同时在ServerA上抓包,可以看到结果2预期结果1.ServerA上接收到少量的UDP报文.同时在SecPath上会看到UDPFLOOD攻击/ICMPFLOOD攻击报警2.ServerA上接收到大量的UDP攻击报文14防火墙的功能演示演示

1 / 33
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功