[信息与通信]Eudemon系列防火墙培训.ppt

防火墙ISSUE1.0 业务与软件技术服务部　集成产品部 学习目标 了解防火墙的概念 熟悉Eudemon防火墙产品 能够对Eudemon防火墙进行规划和配置 内容 防火墙概念 Eudemon防火墙介绍 Eudemon防火墙配置步骤 Eudemon防火墙的维护 防火墙的常见组网方式 防火墙的概念 防火墙的概念 防火墙和路由器的差异 防火墙的分类 状态检测技术 防火墙的硬件发展 内容 防火墙概念 Eudemon防火墙介绍 Eudemon防火墙配置步骤 Eudemon防火墙的维护 防火墙的常见组网方式 Eudemon防火墙介绍 Eudemon防火墙介绍 防火墙的介绍 安全区域 工作模式 控制列表 应用访问策略 ASPF 黑名单 Nat地址转换 双机工作方式 VRRP组 HRP 攻击防范 华为公司Eudemon防火墙 Eudemon防火墙基本规格 Eudemon防火墙基本规格 Eudemon防火墙基本规格 防火墙的安全区域 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙的安全区域 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间 防火墙的安全区域 Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。 防火墙的安全区域 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙的安全区域 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文 防火墙的安全区域 防火墙的模式 路由模式 透明模式 混合模式 防火墙的路由模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙的透明模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 防火墙的混合模式 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 状态防火墙处理过程 IP包过滤技术介绍 对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 访问控制列表的组合 一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config指定匹配该规则时按用户的配置顺序 。 规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 access-list 4 deny 55 access-list 4 permit 55 两条规则结合则表示禁止一个大网段 （）上的主机但允许其中的一小部分主 机（）的访问。 规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑。 扩展访问控制列表 扩展访问控制列表使用除源地址外更多的信息描述数据包，表明是允许还是拒绝