08 数据业务 新员工培训 防火墙基础培训胶片V1[1].0

HUAWEITECHNOLOGIESCO.,LTD.数据业务局点的网络安全，依赖于防火墙的良好配置。防火墙也是数据业务局点不可缺少的组网设备。每一位数据业务工程师，必须理解防火墙的运行机理，掌握防火墙的常用配置方法。HUAWEITECHNOLOGIESCO.,LTD.Page2参考资料课件/参考资料名称Support获取路径防火墙基础(V2.0)知识中心－数据业务－数据业务公共－功能与特性－培训课件－基础培训防火墙上机任务书(V2.0)知识中心－数据业务－数据业务公共－功能与特性－培训课件－基础培训HUAWEITECHNOLOGIESCO.,LTD.Page3学习目标理解防火墙的基本概念熟悉Eudemon防火墙产品能够对Eudemon防火墙进行规划和配置学习完本课程，您应该能够：HUAWEITECHNOLOGIESCO.,LTD.Page43G数据业务典型组网No7/SignalGwSMSCMMSCGMLCIMPSmSTREAMUMMDSPWISGWINInternetCorporateNetworkRouterFirewallCoreLANSwitchEdgeLANSwitchHALinkWANLinkFW1S6506S3528x2S3528x2S3528x2S3528x2S3528x2S3528x2S3528x2S3528x2S3528x2PTTS3528x2No7/SignalGwGELinkFC/SCSILink100m/FELinkE1LinkFW2AAAS3528x2FW3FW43GCoreNetworkNMS/OSSS3528x2GGSNOAMS3528OAMDesktopAntivirusBackupFW5FW6HUAWEITECHNOLOGIESCO.,LTD.Page5防火墙在MMSC局点中的位置2×Eudemon200报表服务器IBMX235MMSPortalSUNV440OMCServerIBMX2352×QuidwayS6506交换机2×F5BIGIP2400负载均衡器CMNET数据库和计费服务器SUNV440双机MMSCCluster（5×SUNV440双机）BOSSBOSSQuidwayAR28路由器QuidwayAR28路由器预统计和报表数据库服务器IBMX445网管接口机SUNV440……MCAS内容适配服务器4×HPDL360G3HUAWEITECHNOLOGIESCO.,LTD.Page6防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤HUAWEITECHNOLOGIESCO.,LTD.Page7防火墙的概念随着Internet的日益普及，许多LAN（内部网络）已经可以直接接入Internet网络，这种开放式的网络同时带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机，这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中，防火墙被设计用来防止火从大厦的一部分传播蔓延到大厦的另外一部分。我们所涉及的防火墙服务具有类似的目的：“防止Internet的危险传播到你的内部网络”。现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控制点，所有经过被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进入的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络中，所有的计算机之间是被认为“可信任的”，它们之间的通信可以不受防火墙的干涉；而在各个被防火墙分割的网络之间，必须按照防火墙规定的“策略”进行互相的访问。HUAWEITECHNOLOGIESCO.,LTD.Page8防火墙的概念简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征：经过防火墙保护的网络之间的通信必须都经过防火墙。只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。防火墙本身必须具有很强的抗攻击、抗渗透能力。防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤。连接不受信网络区域连接受信网络区域在连接受信网络区域和非受信网络区域之间的区域，一般称为DMZ。HUAWEITECHNOLOGIESCO.,LTD.Page9防火墙和路由器的差异A的报文如何能最快的到B？网络A如何和网络B互联互通？过来一个报文立刻转发一个报文。网络A网络B交流路由信息这个访问是否允许到B？这个TCP连接是合法连接吗？这个访问是否是一个攻击行为？路由器的特点：保证互联互通。按照最长匹配算法逐包转发。路由协议是核心特性。防火墙的特点：逻辑子网之间的访问控制，关注边界安全。基于连接的转发特性。安全防范是核心特性。由于防火墙具有基于连接监控的特性，因此防火墙对业务支持具有非常强的优势。而路由器基于逐包转发的特点，因此路由器设备不适合做非常复杂的业务，复杂的业务对路由器的性能消耗比较大。防火墙支持的接口不如路由器丰富，支持的路由协议不如路由器丰富，因此防火墙不适合做为互联互通的转发设备。防火墙适合做为企业、内部局域网的出口设备，支持高速、安全、丰富的业务特性。HUAWEITECHNOLOGIESCO.,LTD.Page10防火墙概念Eudemon防火墙介绍Eudemon防火墙配置步骤HUAWEITECHNOLOGIESCO.,LTD.Page11一夫当关，万夫莫开华为公司Eudemon防火墙HUAWEITECHNOLOGIESCO.,LTD.Page12华为公司硬件防火墙系列产品，涵盖了从低端数兆到高端千兆级别，卓越的性能和先进的安全体系架构为用户提供了强大的安全保障。Eudemon1000/500Eudemon200Eudemon100华为公司Eudemon系列防火墙HUAWEITECHNOLOGIESCO.,LTD.Page13Eudemon防火墙主要特点专用硬件系统专用软件系统高可靠高安全高性能完备的防止流量攻击功能强大的组网和业务支撑能力安全方便的管理系统HUAWEITECHNOLOGIESCO.,LTD.Page14防火墙的安全区域防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4HUAWEITECHNOLOGIESCO.,LTD.Page15防火墙的安全区域路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间。不允许来自10.0.0.1的数据报从这个接口出去Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4禁止所有从DMZ区域的数据报转发到UnTrust区域HUAWEITECHNOLOGIESCO.,LTD.Page16防火墙的安全区域Eudemon防火墙上保留四个安全区域：非受信区（Untrust）：低级别的安全区域，其安全优先级为5。非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。受信区（Trust）：较高级别的安全区域，其安全优先级为85。本地区域（Local）：最高级别的安全区域，其安全优先级为100。此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多可有16个安全区域。HUAWEITECHNOLOGIESCO.,LTD.Page17防火墙的安全区域域间的数据流分两个方向：入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向；出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutOutInOutInHUAWEITECHNOLOGIESCO.,LTD.Page18防火墙的安全区域本域内不同接口间不过滤直接转发进、出接口相同的报文被丢弃接口没有加入域之前不能转发包文Local区域Trust区域DMZ区域UnTrust区域接口1接口2接口3接口4InOutInOutOutInOutInHUAWEITECHNOLOGIESCO.,LTD.Page19防火墙的安全区域Ethernet外部网络EthernetEudemon(Local)ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0内部网络HUAWEITECHNOLOGIESCO.,LTD.Page20防火墙的模式路由模式透明模式混合模式HUAWEITECHNOLOGIESCO.,LTD.Page21防火墙的路由模式可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。HUAWEITECHNOLOGIESCO.,LTD.Page22防火墙的透明模式透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备处于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。HUAWEITECHNOLOGIESCO.,LTD.Page23防火墙的混合模式混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。HUAWEITECHNOLOGIESCO.,LTD.Page24状态检测防火墙的处理过程报文查找会话表未找到命中查找域间ACL规则允许禁止NAT处理/查找路由转发丢弃创建会话表根据路由表找出域进而找到域间HUAWEITECHNOLOGIESCO.,LTD.Page25IP包过滤技术介绍对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。RInternet公司总部内部网络未授权用户办事处HUAWEITECHNOLOGIESCO.,LTD.Page26访问控制列表是什么？一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）：IP报头TCP报头数据协议号源地址目的地址源端口目的端口对于TCP来说，这5个元素组成了一个TCP相关，访问控制列表就是利用这些元素定义的规则HUAWEITECHNOLOGIESCO.,LTD.Page27如何标识访问控制列表？利用数字标识访问控制列表利用数字范围标识访问控制列表的种类列表的种类数字标识的范围IPbasiclist2000-2999IPadvancedlist3000-3999700～799范围的ACL是基于以太网帧头的访问控制列表HUAWEITECHNOLOGIESCO.,LTD.Page28基本访问控制列表标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。从202.110.10.0/24来的数据包可以通过！从192.110.10.0/24来的数据包不能通过！路由器HUAWEITECHNOLOGIESCO.,LTD.Page29基本访问控制列表的配置配置基本访问列表的命令格式如下：aclacl-number[match-orderconfig|aut