1、獨鉤寒江雪原創2013-1-7防火墻培訓目錄 一、防火墻概念二、主流品牌防火墻的介紹、基本工作原理三、主流品牌防火墻常見組網方式及配置示例四、防火墻的維護一、防火墻的概念1、防火墻的概念2、防火墻和路由器的差異3、防火墻的分類1、防火墻的概念 隨著Internet的日益普及，許多LAN（內部網絡）已經直接可以接入Internet網絡，這種開放式的網絡同時帶來了許多不安全的隱患。在開放網絡式的網絡上，我們的周圍存在著許多不能信任的計算機（包括在一個LAN之間），這些計算機對我們私有的一些敏感信息造成了很大的威脅。 在大廈的構造，防火墻被設計用來防止火從大廈的一部分傳播到大廈的另外一部分。我們所涉

2、及的防火墻服務具有類似的目的：“防止Internet的危險傳播到你的內部網絡”。 現代的防火墻體系不應該只是一個“入口的屏障”，防火墻應該是幾個網絡的接入控制點，所有經過被防火墻保護的網絡的數據流都應該首先經過防火墻，形成一個信息進入的關口，因此防火墻不但可以保護內部網絡在Internet中的安全，同時可以保護若干主機在一個內部網絡中的安全。在每一個被防火墻分割的網絡中，所有的計算機之間是被認為“可信任的”，它們之間的通信可以不受防火墻的干涉。而在各個被防火墻分割的網絡之間，必須按照防火墻規定的“策略”進行互相的訪問。簡單的說，防火墻是保護一個網絡免受“不信任”的網絡的攻擊，但是同時還必須允許

3、兩個網絡之間可以進行合法的通信。防火墻應該具有如下基本特征：經過防火墻保護的網絡之間的通信必須都經過防火墻。只有經過各種配置的策略驗證過的合法數據包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、滲透能力。防火墻可以保護內部網絡的安全，可以使受保護的網絡避免遭到外部網絡的攻擊。硬件防火墻應該可以支持若干個網絡接口，這些接口都是LAN接口（如Ethernet、Token Ring、FDDI），這些接口用來連接幾個網絡。在這些網絡中進行的連接都必須經過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾。連接不受信連接不受信網絡區域網絡區域連接受信網連接受信網絡區域絡區域在連接受信網絡區域和非

4、受信網絡區域之間的在連接受信網絡區域和非受信網絡區域之間的區域，一般稱為區域，一般稱為DMZ。2、防火墻和路由器的差異A的報文如何能最快的到的報文如何能最快的到B？ 網絡網絡A如何和網絡如何和網絡B互聯互通？過來一個報文立刻轉發一個報文。互聯互通？過來一個報文立刻轉發一個報文。網絡A網絡B交流路由信息交流路由信息這個訪問是否允許到這個訪問是否允許到B？這個？這個TCP連接是合法連接嗎？這個訪問是否是一個攻擊行為？連接是合法連接嗎？這個訪問是否是一個攻擊行為？路由器的特點：路由器的特點：保證互聯互通。保證互聯互通。按照最長匹配算法逐包轉發。按照最長匹配算法逐包轉發。路由協議是核心特性。路由協議是

5、核心特性。防火墻的特點：防火墻的特點：邏輯子網之間的訪問控制，關注邊界安全邏輯子網之間的訪問控制，關注邊界安全基于連接的轉發特性。基于連接的轉發特性。安全防范是防火墻的核心特性。安全防范是防火墻的核心特性。由于防火墻具有基于連接監控的特性，因此防火墻對業務支持具有非常強的優勢。而路由器基于由于防火墻具有基于連接監控的特性，因此防火墻對業務支持具有非常強的優勢。而路由器基于逐包轉發的特點，因此路由器設備不適合做非常復雜的業務，復雜的業務對路由器的性能消耗比逐包轉發的特點，因此路由器設備不適合做非常復雜的業務，復雜的業務對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協議不如路

6、由器豐富，因此防火墻不適合較大。防火墻支持的接口不如路由器豐富，支持的路由協議不如路由器豐富，因此防火墻不適合做為互聯互通的轉發設備。防火墻適合做為企業、內部局域網的出口設備，支持高速、安全、豐做為互聯互通的轉發設備。防火墻適合做為企業、內部局域網的出口設備，支持高速、安全、豐富的業務特性。富的業務特性。3、防火墻的分類按照防火墻實現的方式，一般把防火墻分為如下幾類：包過濾防火墻(Packet Filtering) 包過濾利用定義的特定規則過濾數據包，防火墻直接獲得數據包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照規則進行比較，

7、過濾通過防火墻的數據包。規則的定義就是按照IP數據包的特點定義的，可以充分利用上述的四個條件定義通過防火墻數據包的條件。 包過濾防火墻簡單，但是缺乏靈活性。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導致性能急劇下降。代理型防火墻（application gateway） 代理型防火墻使得防火墻做為一個訪問的中間節點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發代價很大。對每一種應用開發一個對應的代理服務是很難做到的，因此代理型防火墻不能支持很豐富的業務，只能針對某些應用提供代理支持。狀態檢測防火墻 狀態檢測是一

8、種高級通信過濾。它檢查應用層協議信息并且監控基于連接的應用層協議狀態。對于所有連接，每一個連接狀態信息都將被ASPF維護并用于動態地決定數據包是否被允許通過防火墻或丟棄。現在防火墻的主流產品為狀態檢測防火墻。包過濾技術 包過濾的防火墻根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表 。IP包過濾技術介紹對防火墻需要轉發的數據包，先獲取包

9、頭信息，然后和設定的規則進行比較，根據比較的結果對數據包進行轉發或者丟棄。而實現包過濾的核心技術是訪問控制列表。RInternet公司總部內部網絡未授權用戶辦事處代理型防火墻技術 應用代理型防火墻是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作 用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息 。以美國NAI公司的Gauntlet防火墻為代表 。狀態檢測技術用戶A初始化一個telnet會話用戶A的telnet會話返回報文被允許其它telnet報文被阻塞創建Session表項狀態防火墻通過檢測基于狀態防火墻通過檢測基于TCP/UDP連接

10、的連接狀態，來動態的決定報文是連接的連接狀態，來動態的決定報文是否可以通過防火墻。在狀態防火墻中，會維護著一個否可以通過防火墻。在狀態防火墻中，會維護著一個Session表項，通過表項，通過Session表項就可以決定哪些連接是合法訪問，哪些是非法訪問。表項就可以決定哪些連接是合法訪問，哪些是非法訪問。目錄 一、防火墻概念二、主流品牌防火墻的介紹、基本工作原理三、主流品牌防火墻常見組網方式及配置示例四、防火墻的維護二、主流品牌防火墻的介紹、基本工作原理1、華為Eudemon防火墻2、思科ASA防火墻3、Juniper Netscreen防火墻4、H3C F1000防火墻1、華為Eudemon防

11、火墻防火墻的介紹安全區域工作模式控制列表應用訪問策略ASPF黑名單Nat地址轉換雙機工作方式 VRRP組HRP攻擊防范Eudemon防火墻介紹Eudemon 1000/500Eudemon 200Eudemon 100Eudemon防火墻基本規格E100E200E1000接口數量接口數量自帶自帶2個個10/100M以以太網口，另有太網口，另有2個擴個擴展接口插槽展接口插槽自帶自帶2個個10/100M以太以太網口。網口。,2個擴展接口插槽個擴展接口插槽自帶自帶2個個10/100M以以太網口。太網口。4個擴展接個擴展接口插槽口插槽接口類型接口類型10/100M以太網以太網10/100M以太網，以太

12、網，E1、ATM接口接口FE/GE口，口，E1、ATM、POS等接口等接口支持加密標準支持加密標準DES,3DES, AES,國密辦算法國密辦算法DES,3DES, AES,國密辦算法國密辦算法DES,3DES, AES,國密辦算法國密辦算法加密速度加密速度(3DES)80M100M300M支持的認證類型支持的認證類型RADIUSRADIUSRADIUSEudemon防火墻基本規格E100E200E1000靜態靜態ACL支持支持支 持 ， 支 持 高 速支 持 ， 支 持 高 速ACL算法；算法；3K條條支持，支持高速支持，支持高速ACL算算法；法；20K條條支持，支持高速支持，支持高速ACL

13、算算法，法，100K條條提供基于時間的提供基于時間的ACL訪問訪問控制控制支持支持支持支持支持支持傳輸層傳輸層PROXY代理代理支持支持支持支持支持支持ActiveX、Java applet過過濾濾 支持支持支持支持支持支持支持的抗攻擊類型支持的抗攻擊類型支持抵抗支持抵抗SYN FLOODSYN FLOOD、ICMP FLOODICMP FLOOD、UDP FLOODUDP FLOOD、WinnukeWinnuke、LandLand、SmurfSmurf、FraggleFraggle等數十種攻擊等數十種攻擊支持的應用狀態檢測支持的應用狀態檢測對對TCP、UDP、分片報文、分片報文、FTP、SM

14、TP、RTSP、H.323、SIP、HTTP等進行應用等進行應用狀態檢測狀態檢測IP和和MAC地址綁定地址綁定支持支持支持支持支持支持Eudemon防火墻基本規格E100E200E1000提供對提供對SMTP,FTP等協議的應用層有等協議的應用層有害命令檢測和防御。害命令檢測和防御。支持支持支持支持支持支持NAT主要支持主要支持ALGFTP、PPTP、DNS、NBT（NetBIOS over TCP）、）、ILS（Internet Locator Service）、）、ICMP、H.323、SIP等協議等等協議等支持支持QoS和帶寬管理和帶寬管理支持支持支持支持支持支持支持負載均衡支持負載均衡

15、支持支持支持支持支持支持支持工作模式支持工作模式NAT,路由，透明路由，透明NAT,路由，透明路由，透明NAT,路由，透明路由，透明失敗恢復特性失敗恢復特性雙機狀態熱備；多雙機狀態熱備；多機均衡，自動倒換；機均衡，自動倒換；雙機狀態熱備；多雙機狀態熱備；多機均衡，自動倒換；機均衡，自動倒換；雙機狀態熱備；多雙機狀態熱備；多機均衡，自動倒換；機均衡，自動倒換；Eudemon防火墻基本規格E100E200E1000動態路由動態路由支持支持RIP、OSPF支持支持RIP、OSPF支持支持RIP、OSPF支持支持SNMP監控和配置監控和配置支持支持支持支持支持支持管理方式管理方式GUI,CLIGUI,

16、CLIGUI,CLI集中管理多個防火墻集中管理多個防火墻支持支持支持支持支持支持日志日志支持二進制和支持二進制和SYSLOG格格式式支 持 二 進 制 和支 持 二 進 制 和SYSLOG格式格式支 持 二 進 制 和支 持 二 進 制 和SYSLOG格式格式日志可設定輸出信息日志可設定輸出信息所有發起連接，流量，各所有發起連接，流量，各種詳細統計如分類丟棄報種詳細統計如分類丟棄報文等文等所有發起連接，流量，所有發起連接，流量，各種統計如分類丟棄各種統計如分類丟棄報文等報文等所有發起連接，流量，所有發起連接，流量，各種統計如分類丟棄各種統計如分類丟棄報文等報文等Eudemon防火墻的安全區域防

17、火墻的內部劃分為多個區域，所有的轉發接口都唯一的屬于某個區域Local區域Trust區域DMZ區域UnTrust區域接口1接口2接口3接口4Eudemon防火墻的安全區域路由器的安全規則定義在接口上，而防火墻的安全規則定義在安全區域之間不允許來自的數據報從這個接口出去Local區域Trust區域DMZ區域UnTrust區域接口1接口2接口3接口4禁止所有從DMZ區域的數據報轉發到UnTrust區域Eudemon防火墻的安全區域Eudemon防火墻上保留四個安全區域：非受信區（Untrust）：低級的安全區域，其安全優先級為5。非軍事化區（DMZ）：中度級別的安全區域，其安全優先

18、級為50。受信區（Trust）：較高級別的安全區域，其安全優先級為85。本地區域（Local）：最高級別的安全區域，其安全優先級為100。此外，如認為有必要，用戶還可以自行設置新的安全區域并定義其安全優先級別。最多16個安全區域。Eudemon防火墻的安全區域Local區域Trust區域DMZ區域UnTrust區域接口1接口2接口3接口4域間的數據流分兩個方向：入方向（inbound）：數據由低級別的安全區域向高級別的安全區域傳輸的方向；出方向（outbound）：數據由高級別的安全區域向低級別的安全區域傳輸的方向。Eudemon防火墻的安全區域Local區域Trust區域DMZ區域UnTru

19、st區域接口1接口2接口3接口4本域內不同接口間不過濾直接轉發進、出接口相同的報文被丟棄接口沒有加入域之前不能轉發包文Eudemon防火墻的安全區域Ethernet外部網絡EthernetEudemon( Local )ServerServerTrustUntrustDMZethernet0/0/0ethernet1/0/0ethernet2/0/0內部網絡Eudemon防火墻的工作模式路由模式透明模式混合模式Eudemon防火墻的路由模式可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網絡，防火墻的接口就是所連接子網的網關。報文在防火墻內首先通過入接口信息找到進入域信息，然后通過

20、查找轉發表，根據出接口找到出口域，再根據這兩個域確定域間關系，然后使用配置在這個域間關系上的安全策略進行各種操作。Eudemon防火墻的透明模式透明模式的防火墻則可以被看作一臺以太網交換機。防火墻的接口不能配IP地址，整個設備出于現有的子網內部，對于網絡中的其他設備，防火墻是透明的。報文轉發的出接口，是通過查找橋接的轉發表得到的。在確定域間之后，安全模塊的內部仍然使用報文的IP地址進行各種安全策略的匹配。Eudemon防火墻的混合模式混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙

21、機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現這一點。狀態防火墻處理過程Eudemon防火墻的訪問控制列表一個IP數據包如下圖所示（圖中IP所承載的上層協議為TCP）：IP報頭報頭TCP報頭報頭數據數據協議號協議號源地址源地址目的地址目的地址源端口源端口目的端口目的端口對于TCP來說，這5個元素組成了一個TCP相關，訪問控制列表就是利用這些元素定義的規則如何標識訪問控制列表？利用數字標識訪問控制列表利用數字范圍標識訪問控制列表的種類列表的種類列表的種類數字標識的范圍數字標識的范圍IP standard list199,2000-2999IP extended list10

22、0199,3000-3999 700799范圍的ACL是基于MAC地址的訪問控制列表標準訪問控制列表標準訪問控制列表只使用源地址描述數據，表明是允許還是拒絕。從/24來的數據包可以通過！從/24來的數據包不能通過！路由器標準訪問控制列表的配置配置標準訪問列表的命令格式如下：acl acl-number match-order config | auto rule normal | special permit | deny source source-addr source-wildcard | any 怎樣利用 IP 地址 和 反掩碼wildc

23、ard-mask 來表示一個網段?訪問控制列表的組合一條訪問列表可以由多條規則組成,對于這些規則，有兩種匹配順序：auto和config指定匹配該規則時按用戶的配置順序 。規則沖突時，若匹配順序為auto（深度優先），描述的地址范圍越小的規則，將會優先考慮。深度的判斷要依靠通配比較位和IP地址結合比較access-list 4 deny 55 access-list 4 permit 55 兩條規則結合則表示禁止一個大網段 （）上的主機但允許其中的一小部分主 機（）的訪問

24、。規則沖突時，若匹配順序為config，先配置的規則會被優先考慮。擴展訪問控制列表擴展訪問控制列表使用除源地址外更多的信息描述數據包，表明是允許還是拒絕。從/24來的,到0的，使用TCP協議，利用HTTP訪問的數據包可以通過！路由器擴展訪問控制列表的配置命令配置TCP/UDP協議的擴展訪問列表：rule normal | special permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destinat

25、ion dest-addr dest- wildcard | any destination-port operator port1 port2 logging配置ICMP協議的擴展訪問列表：rule normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code logging配置其它協議的擴展訪問列表：rule normal | special permit

26、 | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest- wildcard | any logging擴展訪問控制列表操作符的含義操作符及語法意義equal portnumber等于端口號 portnumbergreater-than portnumber大于端口號portnumberless-than portnumber小于端口號portnumbernot-equal portnumber不等于端口號portnumber rangeportnumbe

27、r1 portnumber2介于端口號portnumber1 和portnumber2之間在區域間應用訪問控制列表例子：創建編號為101的訪問控制列表。Eudemon acl number 101# 配置ACL規則，允許內部服務器從內部網任意訪問外部用戶。Eudemon-acl-adv-101 rule 1 permit ip 創建編號為102的訪問控制列表。Eudemon acl number 102# 配置ACL規則，允許特定用戶從外部網訪問內部服務器。Eudemon-acl-adv-102 rule 1 permit tcp source 0 destination

28、 0Eudemon-acl-adv-102 rule 2 permit tcp source 0 destination 0Eudemon-acl-adv-102 rule 3 permit tcp source 0 destination 0上述配置已經完成了ACL的創建。下面的配置是在包過濾應用中引用ACL，相關命令的具體解釋請見相關章節的描述。# 將ACL規則101作用于Trust區域到Untrust區域間的出方向。Eudemon-Interzone-trust-untrust

29、packet-filter 101 outbound# 將ACL規則102作用于unTrust區域到trust區域間的入方向。Eudemon-Interzone-trust-untrust packet-filter 102 inboundASPFASPF（Application Specific Packet Filter）是針對應用層的包過濾，即基于狀態的報文過濾。它和普通的靜態防火墻協同工作，以便于實施內部網絡的安全策略。ASPF能夠檢測試圖通過防火墻的應用層協議會話信息，阻止不符合規則的數據報文穿過。為保護網絡安全，基于ACL規則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。A

30、SPF能夠檢測應用層協議的信息，并對應用的流量進行監控。ASPF能夠監測FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（Denial of Service，拒絕服務）的檢測和防范。Java Blocking（Java阻斷）保護網絡不受有害Java Applets的破壞。Activex Blocking（Activex阻斷）保護網絡不受有害Activex的破壞。支持端口到應用的映射，為基于應用層協議的服務指定非通用端口。增強的會話日志功能。可以對所有的連接進行記錄，包括連接時間、源地址、目的地址、使用端口和傳輸字節數等信息。ASPF配置舉例Ethernet202.1

31、01.1.2Ethernet1/0/0Server Host 1TrustUntrustEthernetEudemonEthernet2/0/0ASPF配置舉例Eudemon firewall session aging-time ftp 3000Eudemon firewall session aging-time http 3000Eudemon acl number 101Eudemon-acl-adv-101 rule deny ipEudemon acl number 10Eudemon-acl-basic-10 rule deny

32、source 1 Eudemon-acl-basic-10 rule permit source anyEudemon firewall packet-filter default permit interzone trust untrust direction outboundEudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 101 inboundEudemon-interzone-trust-untrust detect ftpEudemon

33、-interzone-trust-untrust detect httpEudemon-interzone-trust-untrust detect java-blocking 10黑名單黑名單，指根據報文的源IP地址進行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現報文的過濾，從而有效地將特定IP地址發送來的報文屏蔽。黑名單最主要的一個特色是可以由Eudemon防火墻動態地進行添加或刪除，當防火墻中根據報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特

34、性。黑名單的創建undo firewall blacklist item sour-addr timeout minutes 黑名單的使能undo firewall blacklist enable黑名單的報文過濾類型和范圍的設置 firewall blacklist filter-type icmp | tcp | udp | others range blacklist | global 黑名單配置舉例Eudemon服務器PC服務器和客戶機分別位于防火墻Trust區域和Untrust區域中，現要在100分鐘內過濾掉客戶機發送的所有ICMP報

35、文。Eudemon firewall blacklist item 0 timeout 100Eudemon firewall blacklist packet-filter icmp range globalEudemon firewall blacklist enable地址轉換NAT（Network Address Translation，地址轉換）是將IP數據報報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問外部網絡的功能。私有網絡一般使用私有地址，RFC1918為私有、內部的使用留出了三個IP地址塊，如下：A類：10.

36、0.0.055（/8）B類：55（/12）C類：55（/16）上述三個范圍內的地址不會在因特網上被分配，因而可以不必向ISP或注冊中心申請而在公司或企業內部自由使用。路由器可以在接口上配置地址轉換，Eudemon防火墻是在區域之間實現地轉換 多對多地址轉換Eudemon防火墻是通過定義地址池來實現多對多地址轉換，同時利用訪問控制列表來對地址轉換進行控制的。地址池：用于地址轉換的一些公有IP地址的集合。用戶應根據自己擁有的合

37、法IP地址數目、內部網絡主機數目以及實際應用情況，配置恰當的地址池。地址轉換的過程中，將會從地址池中挑選一個地址做為轉換后的源地址。利用訪問控制列表限制地址轉換：只有滿足訪問控制列表條件的數據報文才可以進行地址轉換。這可以有效地控制地址轉換的使用范圍，使特定主機能夠有權訪問Internet。多對多地址轉換Eudemon防火墻上配置多對多地址轉換的步驟如下在系統視圖下定義一個可以根據需要進行分配的NAT地址池nat address-group group-number start-addr end-addr其中，group-number是標識這個地址池的編號，start-addr end-add

38、r是地址池的起始和結束IP地址。 在系統視圖和ACL視圖下定義一個訪問控制列表在系統視圖下定義訪問控制列表acl number acl-number match-order config | auto 在ACL視圖下定義訪問控制規則rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name logging 在域間視圖下將訪問控制列表和NAT地址池關聯nat outbound acl-number address-group group-number Nat Server配置 在實際應用

39、中，可能需要提供給外部一個訪問內部主機的機會，如提供給外部一個WWW的服務器，或是一臺FTP服務器。使用NAT可以靈活地添加內部服務器，通過配置內部服務器，可將相應的外部地址、端口等映射到內部的服務器上，提供了外部網絡可訪問內部服務器的功能。 nat server protocol pro-type global global-addr global-port1 global-port2 inside host-addr host-addr2 host-port nat server global global-addr inside host-addr Easy IP配置Easy IP的概念

40、很簡單，當進行地址轉換時，直接使用接口的公有IP地址作為轉換后的源地址。同樣它也利用訪問控制列表控制哪些內部地址可以進行地址轉換。 nat outbound acl-number interface interface-name 應用級網關ALGNAT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進行轉換。對于一些特殊協議，例如ICMP、FTP等，它們報文的數據部分可能包含IP地址或端口信息，這些內容不能被NAT有效的轉換，這就可能導致問題。 例如，一個使用內部IP地址的FTP服務器可能在和外部網絡主機建立會話的過程中需要將自己的IP地址發送給對方。而這個地址信息是放到IP報文的數據部

41、分，NAT無法對它進行轉換。當外部網絡主機接收了這個私有地址并使用它，這時FTP服務器將表現為不可達。 解決這些特殊協議的NAT轉換問題的方法就是在NAT實現中使用ALG（Application Level Gateway，應用級網關）功能。ALG是特定的應用協議的轉換代理，它和NAT交互以建立狀態，使用NAT的狀態信息來改變封裝在IP報文數據部分中的特定數據，并完成其他必需的工作以使應用協議可以跨越不同范圍運行。 在系統視圖下執行下列命令則使能了相應協議的ALG功能nat alg enable ftp | h323 | icmp | ras 在域間視圖下為應用層協議配置ASPF檢測detec

42、t protocolEudemon雙機熱備什么是雙機熱備？所謂雙機熱備其實是雙機狀態備份，當兩臺防火墻，在確定主從防火墻后，由主防火墻進行業務的轉發，而從防火墻處于監控狀態，同時主防火墻會定時向從防火墻發送狀態信息和需要備份的信息，當主防火墻出現故障后，從防火墻會及時接替主防火墻上的業務運行。EudemonAMasterEudemonBBackupTrust區域DMZ區域Untrust區域PCPC(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑雙機熱備的實現和原理實現雙機熱備的基本步驟：1.在接口上配置VRRP（虛擬路由器冗余協議）備份組，來發現防火墻的故障

43、情況；2.將VRRP備份組加入到VGMP（ VRRP組管理協議）中，以實現對VRRP管理組的統一管理；3.使能HRP（華為冗余協議），實現雙機情況下的信息備份。雙機熱備的基本原理：兩臺防火墻形成雙機熱備，兩臺防火墻之間通過VRRP的hello報文協商主備關系，根據VGMP的優先級和接口的IP從而確定防火墻的master和slave關系，并且master防火墻會通過HRP協議定時向slave傳送備份信息（命令行備份信息和動態備份信息），當master防火墻出現故障時，主備關系發生轉換，業務會平滑切換，不會影響這個業務的進行。注意：對于雙機熱備目前只支持兩臺設置進行備份，不支持多臺設備進行備份。但

44、對于只使用VRRP的組網可以支持多臺設備進行冗余備份雙機熱備注意事項在雙機熱備組網中，需要注意的幾個問題：1. 對于雙機熱備目前只支持兩臺設置進行備份，不支持多臺設備進行備 份。但對于只使用VRRP的組網可以支持多臺設備進行冗余備份；2. 由于雙機熱備中具有備份機制可以備份動態信息和命令，因此要求進行雙機熱備的兩臺設備板卡的位置，以及接口卡的類型都要求相同，否則會出現主防火墻備份過去的信息，與從防火墻根本就無法進行搭配使用，如出現主備狀態切換就會導致業務出問題。3. 進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設備配置相同，以免由于先前的配置而導致業務問題。雙機熱備應用協議一.

45、VRRP（Virtual Router Redundancy Protocol）虛擬路由器冗余協議VRRP（Virtual Router Redundancy Protocol）作為一種容錯協議，適用于支持組播或廣播的局域網（如以太網等），通過一組路由設備共用一個虛擬的IP來達到提供一個虛擬網關的目的 。 雙機熱備應用協議VRRP在防火墻應用的缺陷每個備份組的VRRP是單獨工作的，并且每個VRRP狀態相對獨立，因此無法保證同一防火墻上各接口的VRRP狀態都為主用或都為備用，可能會導致業務中斷。由于Eudemon是狀態防火墻，對于各安全區域之間的每個動態生成的五元組的會話連接，Eudemon都有

46、一個會話表項與之對應，只有命中該會話表項的后續報文（包括返回報文）才能夠通過Eudemon防火墻，這就要求某會話的進路徑、出路徑必須一致，因此VRRP無法保證主從防火墻的這種會話連接一致，當出現切換后會出現業務中斷。雙機熱備應用協議二. VGMP（ VRRP Group Management Protocol ）VRRP組管理協議 為了確保各VRRP備份組之間通路狀態一致性，需要配置VRRP管理組，由管理組統一管理各獨立運行的VRRP備份組，從而實現各備份組之間的互通。以防止可能導致的VRRP狀態不一致現象的發生。從而實現對多個VRRP備份組（虛擬路由器）的狀態一致性管理、搶占管理和通道管理。

47、也許會問VRRP下有接口監視命令不是可以實現設備的狀態統一嗎？VRRP下的track接口監視命令，的確可以達到實現設備的狀態統一，但是如果接口較多的情況下，配置就會很繁瑣，同時很容易出錯。接口監視命令只能實現對其他接口狀態的監控已達到VRRP的狀態統一，但是VRRP是獨立工作的，當由于搶占設備中一個VRRP狀態發生變化后，監控命令是無法使所有的VRRP狀態都進行變化的。雙機熱備應用協議EudemonAMasterEudemonBBackupTrust區域DMZ區域Untrust區域A1A2A4A3B2B1B4B3A1-S-B1A2-S-B2A4-B4A3-S-B3實際連線數據通道A1、A2、A

48、3分別為EudemonA的接口B1、B2、B3分別為EudemonB的接口S代表LAN Switch雙機熱備應用協議2. VGMP提供的功能狀態一致性管理各備份組的主/備狀態變化都需要通知其所屬的VRRP管理組，由VRRP管理組決定是否允許VRRP備份組進行主/備狀態切換。 搶占管理 無論各VRRP備份組內Eudemon防火墻設備是否使能了搶占功能，搶占行為發生與否必須由VRRP管理組統一決定。 通道管理 所謂通道管理，是為了提供傳輸VGMP報文、VGMP相關承載報文、VRRP狀態報文的可靠通路而提出的，這是相對正常業務流的業務通道而言的。 雙機熱備應用協議三. HRP（Huawei Redu

49、ndancy Protocol ）華為冗余協議HRP協議是承載在VGMP報文上進行傳輸的，在Master和Backup防火墻設備之間備份關鍵配置命令和會話表狀態信息，特別是會話表項。EudemonAMasterEudemonBBackupTrust區域DMZ區域Untrust區域PCPC(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)雙機熱備應用協議防火墻應用狀態的可靠性備份：防火墻應用狀態的可靠性備份：動態生成的黑名單防火墻生成的會話表表項SERVERMAP表項NO-PAT表項防火墻配置命令的備份：防火墻配置命令的備份：ACL包過濾命令的配置攻擊防范命令的配置地址綁定命令

50、的配置黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作日志命令NAT命令的配置統計命令的配置域的命令的配置，包括新域的設定，域內添加的接口和優先級的設置ASPF（應用層包過濾防火墻）的命令配置清除會話表項命令（reset firewall session table)和清除配置的命令（undo XXX）注意：1.在批處理手工備份時，對于undo和reset命令是無法進行備份的。2. 除以上命令行可以備份外，其他命令無法備份。如路由命令等，需要主從防火墻同時配置。攻擊類型簡介單報文攻擊攻擊類型簡介分片報文攻擊拒絕服務類攻擊掃描基本攻擊防范配置1、將防火墻的默認放通策略禁止undo

51、firewall packet-filter default all 2、防火墻默認禁止以下攻擊防范firewall defend ip-spoofing enable firewall defend arp-spoofing enable firewall defend land enable firewall defend smurf enable firewall defend fraggle enable firewall defend winnuke enable firewall defend icmp-redirect enable firewall defend icmp-un

52、reachable enable firewall defend source-route enable firewall defend route-record enable firewall defend time-stamp enable firewall defend ping-of-death enable firewall defend teardrop enable firewall defend tcp-flag enable firewall defend ip-fragment enable firewall defend large-icmp enable firewal

53、l defend ip-sweep enable firewall defend port-scan enable firewall defend syn-flood enable firewall defend udp-flood enable firewall defend icmp-flood enable、思科ASA防火墻ASA是Cisco系列中全新（05年推出）的防火墻和反惡意軟件安全用具，均是5500系列。企業版包括4種：Firewall，IPS，Anti-X，以及VPN。 和PIX類似，ASA也提供諸如入侵防護系統（IPS，intrusion prevention system）

54、，以及VPN集中器。ASA可以取代三種獨立設備PIX防火墻，Cisco VPN 3000系列集中器與Cisco IPS 4000系列傳感器。ASA可加裝CSC-SSM模塊（CSC-SSM，內容安全以及控制安全服務，Content Security and Control Security Service）提供anti-X功能。 ASA 5500 Series: 前面板POWERSTATUSACTIVEFLASHVPN思科ASA產品介紹1、CISCO ASA 特性介紹：（特性介紹：（ 一一 ）（1）state-of-art stateful packet inspection firewall

55、(狀態監控包過濾)（2）user-based authentication of inbound and outbound connections (cut-through)（3）intergrated protocol and application inspection engines that examine packet streams at layers 4 through 7 (運用層過濾)思科ASA產品介紹1、CISCO ASA 特性介紹：特性介紹： （二）（二）（1）highly flexble and extensible modular security policy fr

56、amework (MPF) （2）robust VPN services for secure stie-to-site and remote-access connections(IPSEC VPN)（3）clientless and client-based secure sockets layer (SSL) VPN ( SSL VPN)思科ASA產品介紹1、CISCO ASA 特性介紹特性介紹：（：（ 三）三）（1）multiple security contexts (vitual firewalls) within a single appliance( 多模式防火墻)（2）sta

57、teful active/active or active/standby failover capabilities that ensure resilient network protection (FO)（3）transparent deployment of security appliances into existing network environment without requiring re-addressing of the network (透明防火墻)思科ASA產品介紹1、CISCO ASA 特性介紹：（特性介紹：（ 四）四）（1）Intuitive single-

58、device management and monitoring services with the cisco Adaptive Security Device Manger (ASDM) and enterprise-class multidevice management services through CISCO Security Manager (圖形化界面網管)思科ASA服務模塊（1）ASA 可以使用Security Services Module (SSM) 擴展功能和特性。SSM能夠安裝在5510 / 5520/ 5540（2）ASA 支持下列三種模塊： Advanced i

59、nspection and prevention security services module (AIP SSM) (IPS模塊) content security and control security services module (CSC SSM) ( 防病毒、URL過濾、防垃圾郵件) 4-Port Gigabit Ethernet SSM （3） PIX 與 ASA區別： SSL VPN SSM VPN clustering and load balancing 思科ASA服務模塊（4） VPN加密授權： DES license - provides 56-bit DES 3D

60、ES /AES license - provides 168-bit 3DES - provides up to 256bit AES（5） 清空配置： 清空Startup configuration ASA# write erase 清空 Running configuration ASA(config)# clear config all 重啟 ASA ASA # reload 思科ASA安全級別1、特點：、特點：（1）從高安全級別接口到低安全級別接口的流量叫outside 流量，這種流量默認是允許的（2）從低安全級別接口到高安全級別接口的流量叫inbound流量，這種流量默認是不允許的，