65华为EUDEMON200 防火墙操作手册

Eudemon200防火墙操作指导本文网址:复制Preparedby拟制赵强Date日期2003/09/08Reviewedby评审人Date日期Approvedby批准Date日期Authorizedby签发Date日期HuaweiTechnologiesCo.,Ltd.华为技术有限公司Allrightsreserved版权所有侵权必究（REP01T01V2.31/IPD-CMMV2.0/forinternaluseonly）（REP01T01V2.31/IPD-CMMV2.0/仅供内部使用）Revisionrecord修订记录Date日期RevisionVersion修订版本CRID/DefectIDCR号SectionNumber修改章节ChangeDescription修改描述Author作者2003-09-101.00initial初稿完成赵强DistributionList分发记录CopyNo.Holder'sName&Role持有者和角色IssueDate分发日期1yyyy-mm-ddCatalog目录1Introduction简介...71.1目的...71.2范围...71.3发布对象...72Eudemon200防火墙的特点...82.1基于状态的防火墙...82.2安全域概念介绍...82.2.1防火墙的域...82.2.2域间概念...102.2.3本地域（Local）...102.3防火墙的模式...112.3.1概述...112.3.2路由模式...112.3.3透明模式...112.3.4混合模式...122.4访问控制策略和报文过滤...122.4.1访问控制策略的异同...122.4.2ACL加速查找...132.4.3报文过滤规则的应用...152.4.4防火墙缺省动作...162.5NAT的相关配置...162.5.1NAT配置的异同...162.5.2NATALG命令...162.6统计功能...172.6.1统计功能的特殊概念...172.6.2统计的注意事项...172.7双机热备...172.7.1双机简介...172.7.2基于纯VRRP的备份...182.7.3基于HRP的备份...182.7.4双机热备的注意事项...192.8防火墙的自动配置...192.8.1防火墙同IDS联动...192.8.2攻击检测模块同黑名单联动...202.8.3登录模块同黑名单联动...203典型的网络攻击方式和对策...203.1常见攻击方式和对策...203.1.1syn-flood.203.1.2UDP/ICMPFlood攻击...213.1.3Pingofdeath/Teardrop.213.1.4IPsweep/Portscan.223.1.5IP-Spoofing攻击...223.1.6对于畸形报文的检测功能...233.1.7对有潜在危害性的报文的过滤...234典型配置...244.1防火墙的初始配置...244.2透明模式的基本配置...274.3路由模式组网实例...304.4双机热备组网实例...314.5透明模式组网实例...355配置的常见问题（FAQ）...365.1接好防火墙之后，网络不通，无法ping通其他设备，其他设备也无法ping通防火墙...365.2ACL和报文过滤功能...365.2.1ACL加速编译失败...375.2.2配置了黑名单表项，但是Buildrun信息中却没有显示...375.2.3使能地址绑定功能之后，原来配置的静态ARP表项消失...375.2.4配置了ASPF功能，要进行java/activexblock功能，也配置了ACL用来划定范围，但是却不起作用375.3攻击防范和统计功能...375.3.1使能了syn-flood/udp-flood/icmp-flood防御功能，但却没有作用...375.3.2使能了地址扫描/端口扫描共能，但却没有作用...375.4双机热备功能...375.4.1配置了vgmp但却没有作用...375.4.2指定用于传输数据的通道是专门通道，其状态切换不影响应用，此时怎么办...385.4.3在应用正常的情况下，改动了vrrp的属性发现通讯有问题，表现为能ping通接口，但是不能透过防火墙385.4.4VRRP配置不一致的时候，屏幕上打印大量告警影响使用...385.4.5VRRP状态不稳定切换频繁...385.5透明模式问题...385.5.1透明模式下ARP表项学习有问题...38FigureList图目录图1安全区示意图......................................................................................................................9图2路由模式应用组网图.........................................................................................................28图3透明模式应用组网图.........................................................................................................30安全策略【转自bbs.bitsCN.com】Eudemon200防火墙操作指导Eudemon200防火墙操作指导Keywords关键词：Abstract摘要：本文对Eudemon200防火墙的特点、典型应用以及常见的攻击方式及在Eudemon200上的防范方法作了简要的说明。本文的目的是使本文的读者，可以在通读本文之后对E200防火墙有比较清楚的认识，可以有效地应用防火墙进行组网。Listofabbreviations缩略语清单：Abbreviations缩略语Fullspelling英文全名Chineseexplanation中文解释1Introduction简介1.1目的本文通过对Eudemon200防火墙的特点，使用方法作出描述，使读者可以对我司的状态防火墙有一个初步的认识，可以结合实例和攻击的特点对防火墙进行有效的配置，保护网络的安全。最后本文将给出一些典型的配置实例，在不同的情况下应用并修改这些实例，可以适应比较常见的网络应用。本文不详细介绍用到的命令行格式和配置细节，相关信息请参考用户手册中的说明1.2范围本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。1.3发布对象本文针对的读者，为华为公司的技术人员，属于内部文档。文中可能涉及到产品内部实现的细节以及目前存在的某些缺陷，因此本文不可以直接提供给外部人员使用。如果有需要，请自行对文章进行裁减，仅将可以公开的内容提供给外部人员。2Eudemon200防火墙的特点Eudemon200防火墙，是我司推出的网络安全产品的重要组成部分，开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品，提供了比较丰富的功能。作为一个新形态的产品，在防火墙上我们提出了一些新的概念，这是不同于以前的路由器产品的，在下面的部分中，首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。2.1基于状态的防火墙Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像TCP连接的三次握手这种状态属于网络协议的第四层，而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层，需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程：首先报文到达防火墙，防火墙首先检查是否针对这个报文已经有会话表存在如果有，根据会话表中的信息，在进行必要的处理之后，防火墙将转发这个报文如果没有找到表项，防火墙会对这个报文进行一系列检查，在诸多检查都通过之后，防火墙会根据这个报文的特征信息，在防火墙上建立一对会话表项，以便这个会话的后续报文可以直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙，这样用户就不需要既考虑报文的发送也考虑报文的回应消息，可以专心设计安全策略。对于FTP/H323等需要协商数据通道的应用协议，用户只需要配置允许该协议最基本的控制通道的连通，在这个控制通道上协商出来的所有数据通道，防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙，必须用繁杂的ACL来保证这些协议数据通道的连通，还不可避免的会留下安全漏洞。2.2安全域概念介绍2.2.1防火墙的域对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略【转自bbs.bitsCN.com】Eudemon200防火墙操作指导的方式已经不适用，可能会造成用户在配置上的混乱。因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。在缺省情况下，防火墙设置四个安全区域：本地域（Local）、受信域（trust）、非受信域（untrust）和非军事化区（dmz）。除了本地域，每个区域可以关联一个或多个防火墙接口。本地域具有最高的安全级别100，受信域安全级别为80，非受信域安全级别为5，非军事化区的级别处于二者之间，设定安全级别为50。如果用户需要，还可以添加其他安全域，目前的版本中，最多可以支持16个安全域。图1安全区示意图一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的时候，称之为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。1.1.1域间概念任何两个安全域之间存在的关系，我们称之为域间关系。说明