华为-数据业务防火墙基础培训胶片.ppt

防火墙基础 Version 4.0 参考资料 学习目标 理解防火墙的基本概念 熟悉Eudemon防火墙产品 能够对Eudemon防火墙进行规划和配置 3G数据业务典型组网 防火墙在MMSC局点中的位置 防火墙的概念 防火墙的概念 简单的说，防火墙是保护一个网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征： 经过防火墙保护的网络之间的通信必须都经过防火墙。 只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。 防火墙本身必须具有很强的抗攻击、抗渗透能力。 防火墙可以保护内部网络的安全，可以使受保护的网络避免遭到外部网络的攻击。 硬件防火墙应该可以支持若干个网络接口，这些接口用来连接几个网络。在这些网络中进行的连接都必须经过硬件防火墙，防火墙来控制这些连接，对连接进行验证、过滤 防火墙和路由器的差异 华为公司Eudemon防火墙 华为公司Eudemon系列防火墙 Eudemon 防火墙主要特点 专用硬件系统 专用软件系统 高可靠 高安全 高性能 完备的防止流量攻击功能 强大的组网和业务支撑能力 安全方便的管理系统 防火墙的安全区域 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域。 防火墙的安全区域 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间。 防火墙的安全区域 Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级别的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多可有16个安全区域。 防火墙的安全区域 域间的数据流分两个方向： 入方向（inbound）： 数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙的安全区域 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文 防火墙的安全区域 防火墙的模式 路由模式 透明模式 混合模式 防火墙的路由模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙的透明模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备处于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 防火墙的混合模式 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 状态检测防火墙的处理过程 IP包过滤技术介绍 对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 基本访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 基本访问控制列表的配置 配置基本访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { permit | deny } [source source-addr source-wildcard | any ] 访问控制列表的组合 一条访问列表可以由多条规则组成。对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序 。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 access-list 4 deny 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主