第五章 包过滤技术

第6章包过滤技术ISSUE1.1日期：杭州华三通信技术有限公司版权所有，未经授权不得使用与传播掌握包过滤技术的原理与配置掌握ASPF的原理与配置掌握黑名单原理与配置课程目标学习完本课程，您应该能够：包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录包过滤防火墙基本配置包过滤防火墙配置包括允许或禁止防火墙设置防火墙缺省过滤方式设置包过滤防火墙分片报文检测开关配置分片报文检测的上、下门限值在接口上应用访问控制列表包过滤基本配置允许或者禁止防火墙操作命令允许防火墙firewallpacket-filterenable禁止防火墙undofirewallpacket-filterenable包过滤基本配置设置包过滤防火墙缺省过滤方式操作命令设置缺省过滤方式为允许通过firewallpacket-filterdefaultpermit设置缺省过滤方式为禁止通过firewallpacket-filterdefaultdeny包过滤基本配置设置包过滤防火墙分片检测操作命令打开分片报文检测firewallpacket-filterfragments-inspect关闭分片报文检测undofirewallpacket-filterfragments-inspect包过滤基本配置配置分片报文检测的上下限域值操作命令指定上、下限分片状态记录数目firewallpacket-filterfragments-inspect{high|low}{default|number}恢复上限分片状态记录数目为缺省值undofirewallpacket-filterfragments-inspect{high|low}包过滤基本配置在接口上应用访问控制列表操作命令指定接口上过滤接收报文的规则firewallpacket-filteracl-number{inbound|outbound}[match-fragments{normally|exactly}]取消接口上过滤接收报文的规则undofirewallpacket-filteracl-number{inbound|outbound}包过滤基本配置包过滤防火墙显示与调试操作命令显示接口的有关防火墙的统计信息displayfirewallpacket-filterstatistics{all|interfacetypenumber|fragments-inspect}显示分片表displayfirewallfragment打开防火墙包过滤调试信息开关debuggingfirewallpacket-filter{all|denied|permitted|icmp|tcp|udp|fragments-inspect|others}[interfacetypenumber]包过滤基本配置包过滤防火墙显示与调试(续)操作命令关闭防火墙包过滤调试信息开关undodebuggingpacket-filterfirewall{all|denied|permitted|icmp|tcp|udp|fragments-inspect|others}[interfacetypenumber]清除包过滤防火墙的统计信息resetfirewallpacket-filterstatistics{all|interfacetypenumber}包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录能够解决所有问题吗？介绍能够检查应用层协议信息能够检测传输层协议信息JavaBlocking（Java阻断）DoS（DenialofService，拒绝服务）的检测和防范ActiveXBlocking（ActiveX阻断）支持端口到应用的映射，为基于应用层协议的服务指定非通用端口增强的会话日志功能基本概念JavaBlocking端口映射单通道协议/多通道协议内部接口和外部接口:1600port:21port:20控制通道连接数据通道连接FTP指令和应答port指令包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录基本配置ASPF配置包括允许防火墙配置访问控制列表定义一个ASPF策略在选定的接口上应用ASPF策略过滤范围基本配置允许防火墙操作命令允许防火墙firewallpacket-filterenable基本配置配置访问控制列表操作命令配置访问控制列表（在ACL视图下）ruledeny将ACL应用到出接口上（在接口视图下）firewallpacket-filteracl-numinbound基本配置定义ASPF策略之创建ASPF策略操作命令创建一个ASPF策略aspf-policyaspf-policy-number删除创建一个ASPF策略undoaspf-policyaspf-policy-number基本配置定义ASPF策略之配置空闲超时值操作命令配置空闲超时值aging-time{syn|fin|tcp|udp}seconds恢复默认的空闲超时值undoaging-time{syn|fin|tcp|udp}基本配置定义ASPF策略之配置应用层检测操作命令配置空闲超时值detectprotocol[aging-timeseconds]删除配置的应用协议检测undodetectprotocol基本配置定义ASPF策略之配置通用TCP和UDP检测操作命令配置通用TCP协议检测detecttcp[aging-timeseconds]配置通用UDP协议检测detectudp[aging-timeseconds]删除通用TCP协议检测undodetecttcp删除通用UDP协议检测undodetectudp基本配置在接口上应用ASPF策略操作命令在接口上应用ASPF策略firewallaspfaspf-policy-number{inbound|outbound}删除该接口上应用的ASPF策略undofirewallaspfaspf-policy-number{inbound|outbound}包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录攻击，后面来的数据包不能通过！防火墙动态创建防火墙包过滤介绍包过滤基本配置ASPF原理介绍ASPF基本配置黑名单原理介绍黑名单基本配置目录黑名单基本配置黑名单基本配置包括启动或禁止黑名单配置黑名单表项黑名单的显示与调试黑名单基本配置启动或禁止黑名单操作命令启动黑名单功能firewallblacklistenable禁止黑名单功能undofirewallblacklistenable黑名单基本配置配置黑名单表项操作命令配置黑名单表项firewallblacklistsour-addr[timeoutminutes]删除黑名单表项undofirewallblacklistitem[sour-addr]黑名单基本配置黑名单的显示与调试操作命令显示当前黑名单表项信息或运行状态displayfirewallblacklist{enable|item[sour-addr]}打开黑名单的调试开关debuggingfirewallblacklist{all|item|packet}包过滤技术的原理与配置ASPF的原理与配置黑名单原理与配置本章小结杭州华三通信技术有限公司