修訂記錄課程編碼適用產品產品版本課程版本ISSUEHC110310002華為防火墻V300R001V2.0開發/優化者時間審核人開發類型（新開發/優化）陳靈光2011.7余雷第一版姚傳哲2013.5余雷第二版本頁不打印第二章

防火墻基礎技術目標學完本課程后，您將能夠:了解防火墻的定義和分類理解防火墻的主要功能和技術掌握防火墻設備管理的方法掌握防火墻的基本配置目錄防火墻概述防火墻功能特性防火墻設備管理防火墻基本配置防火墻特征邏輯區域過濾器隱藏內網網絡結構自身安全保障主動防御攻擊內網防火墻被入侵路由器未經防火墻流量可防護嗎？防火墻分類按照形態分為硬件防火墻軟件防火墻按照保護對象分為單機防火墻網絡防火墻按照訪問控制方式分為包過濾防火墻代理防火墻狀態檢測防火墻防火墻分類—包過濾防火墻APP數據鏈路層TCP層IP層TCP層IP層只檢測報頭IPTCP1.無法關聯數據包之間關系2.無法適應多通道協議3.通常不檢查應用層數據數據鏈路層防火墻分類—代理防火墻發送連接請求外網終端代理防火墻內網Server向Server發送報文A’對請求進行安全檢查，不通過則阻斷連接通過檢查后與Server建立連接通過檢查后與Client建立連接向防火墻發送報文A向防火墻發送回應報文B向終端發送回應報文B’1.處理速度慢2.升級困難防火墻分類—狀態檢測防火墻HostServer安全策略檢查記錄會話信息狀態錯誤，丟棄1.處理后續包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墻分類—狀態檢測防火墻HostServer安全策略檢查記錄會話信息狀態錯誤，丟棄1.處理后續包速度快2.安全性高TCPSYNTCPACKTCPSYN`TCPSYNTCPSYN`防火墻硬件平臺分類IntelX86適用于百兆網絡，受CPU處理能力和PCI總線速度的限制NP網絡處理器是專門為處理數據包而設計的可編程處理器，是X86與ASIC之間的折衷方案防火墻硬件平臺多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機制。ASIC硬件集成電路，它把指令或計算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能防火墻硬件平臺分類IntelX86適用于百兆網絡，受CPU處理能力和PCI總線速度的限制NP網絡處理器是專門為處理數據包而設計的可編程處理器，是X86與ASIC之間的折衷方案防火墻硬件平臺多核新一代的硬件平臺。多核方案，更高的集成度、更高效的核間通信和管理機制。ASIC硬件集成電路，它把指令或計算邏輯固化到硬件中，獲得高處理能力，提升防火墻性能防火墻組網方式——二層以太網接口組網特點對網絡拓撲透明不需要更改組網InternetTrustUntrust/30/30防火墻組網方式——三層以太網接口組網特點支持更多安全特性對網絡拓撲有所影響InternetUntrustTrust/30/3029/3033/30安全區域（SecurityZone），或者簡稱為區域（Zone）。Zone是本地邏輯安全區域的概念。Zone是一個或多個接口所連接的網絡。什么是安全區域？InternetDMZ區域Trust區域Untrust區域防火墻安全區域分類缺省安全區域非受信區域Untrust非軍事化區域DMZ

受信區域Trust

本地區域Local用戶自定義安全區域UserZone1UserZone2企業內網財務服務器ERP數據服務器OA服務器用戶終端ISPBISPA郵件服務器Web服務器UntrustDMZTrustTrustLocal區域呢？防火墻安全區域與接口關系安全區域與接口關系防火墻是否存在兩個具有完全相同安全級別的安全區域？防火墻是否允許同一物理接口分屬于兩個不同的安全區域？防火墻的不同接口是否可以屬于同一個安全區域？InternetG0/0/2DMZ區域G0/0/3Untrust區域G0/0/0Trust區域G0/0/1Trust區域防火墻安全區域的方向Inbound與Outbound定義什么是Inbound?什么是Outbound？高安全級別低安全級別企業內網Untrust區域InternetTrust區域OutboundInbound目錄防火墻概述防火墻功能特性防火墻設備管理防火墻基本配置防火墻多業務功能WLAN/WWAN交換統一管理UTM安全路由SNMPv2v3RMONTR069Telnet/SSL/HTTP(s)FTP/TFTPSYSLOG靜態路由策略路由RIPv2OSPFv2BGPv4FE,GEVLANTrunk,802.1adACLNATVPN:L2TP/GRE/IPSec/SSL/MPLSP2P/IMAVIPS反垃圾郵件URL過濾WiFi802.11bgPPPPPPoEADSL2+HDLC3GUTM防火墻主要功能—訪問控制主機A服務器數據載荷IPTCPMAC識別報頭標識，給出執行措施訪問控制操作策略訪問控制防火墻基本功能—深度檢測技術基于特征字的識別技術基于應用層網關識別技術基于行為模式識別技術SACG聯動技術VPN訪問分支機構SRSSPSSACG防病毒服務器域管理服務器安全管理員補丁服務器AgentAgentAgentAgent安全審計員認證前域Agent認證后域SMSCUCL：帳號ACLAgent：客戶端代理SACG：安全接入控制網關SM:管理服務器SC:控制服務器雙機熱備技術提供冗余備份功能統一設備上所有接口的主備狀態同步防火墻之間會話信息即配置信息備防火墻TRUST域UNTRUST域PC服務器主防火墻內部網絡/24外部網絡/24IPLink技術IP-Link自動偵測的偵測結果可以被其他特性所引用，主要應用包括：應用在靜態路由中應用在雙機熱備份中運營商AX運營商B接收報文分類與標記擁塞監管擁塞管理帶寬保證端到端的流量控制

提供業務質量保障 提高客戶服務滿意程度保證資源利用最大化，全面提升服務質量QoS技術企業內網企業內網用戶外部網絡日志服務器防火墻日志審計配合eLog日志軟件，可以為用戶提供清晰網絡日志和訪問記錄。可收集網絡中所有通過該設備的日志通過二進志日志格式實現高速日志流傳輸攻擊防范網絡攻擊主要分為四大類：流量型攻擊掃描窺探攻擊畸形報文攻擊特殊報文攻擊Packets受害主機Attacker防火墻報文統計報文統計對于防火墻來說，不僅要對數據流量進行監控，還要對內外部網絡之間的連接發起情況進行檢測，因此要進行大量的統計、計算與分析。防火墻對報文統計結果的分析有如下兩個方面：專門的分析軟件事后分析日志信息。防火墻實時完成一部分分析功能。防火墻黑名單黑名單黑名單是一個IP地址列表。防火墻將檢查報文源地址，如果命中,丟棄所有報文快速有效地屏蔽特定IP地址的用戶。創建黑名單表項，有如下兩種方式：通過命令行手工創建。通過防火墻攻擊防范模塊或IDS模塊動態創建。來自的報文查找黑名單丟棄負載均衡負載均衡。將訪問同一個IP地址的用戶流量分配到不同的服務器上。負載均衡采用以下技術，將用戶流量分配到多臺服務器：虛服務技術服務器健康性檢測基于流的轉發即通過指定算法，將數據流發送到各個真實服務器進行處理。應用控制DPI（DeepPacketInspection），即深度報文檢測技術。使用DPI知識庫中的規則，對P2P、VoIP、Video等多種應用數據，可以對識別的網絡流量進行允許通過、阻斷、限制連接數和限速等控制動作。帶寬管理P2PUploadP2PDownloadVoIPWebTVVideoConferencingftpemail

Visiblepipe防火墻性能指標—吞吐量吞吐量：防火墻能同時處理的最大數據量有效吞吐量：除掉TCP因為丟包和超時重發的數據,實際的每秒傳輸有效速率防火墻性能指標—時延定義：數據包的第一個比特進入防火墻到最后一個比特輸出防火墻的時間間隔指標，是用于測量防火墻處理數據的速度理想的情況時間間隔Smartbits6000B第一個比特進入最后一個比特輸出防火墻性能指標—每秒新建連接數定義：指每秒鐘可以通過防火墻建立起來的完整TCP連接該指標是用來衡量防火墻數據流的實時處理能力防火墻性能指標—并發連接數定義：由于防火墻是針對連接進行處理報文的，并發連接數目是指的防火墻可以同時容納的最大的連接數目，一個連接就是一個TCP/UDP的訪問。該參數是用來衡量主機和服務器間能同時建立的最大連接數并發連接并發連接目錄防火墻概述防火墻功能特性防火墻設備管理防火墻基本配置防火墻設備管理概述設備登錄管理Console登錄Web登錄telnet登錄SSH登錄設備文件管理配置文件管理系統文件管理（軟件升級）License管理設備登錄管理設備登錄管理組網-Console設備登錄管理組網-Web/SSH/Telnet直接相連（通過局域網）遠程連接（通過廣域網）通過Console口登錄設備USG配置口登錄的缺省用戶名為admin，缺省用戶密碼為Admin@123。其中，用戶名不區分大小寫，密碼要區分大小寫。通過Web方式登錄設備設備缺省可以通過GigabitEthernet0/0/0接口來登錄Web界面。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。將PC的以太網口與設備的缺省管理接口直接相連，或者通過交換機中轉相連。在PC的瀏覽器中訪問，進入Web界面的登錄頁面。缺省用戶名為admin，密碼為Admin@123Web登錄配置管理配置USG的IP地址。(略）配置USG接口Web設備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managehttppermit啟動Web管理功能。[USG]web-managersecurityenableport2000配置Web用戶。[USG]aaa[USG-aaa]local-userwebuserpasswordcipherAdmin@123[USG-aaa]local-userwebuserservice-typeweb[USG-aaa]local-userwebuserlevel3Web登錄配置管理配置Web管理員，并啟動Web管理功能，根據客戶需求啟動HTTP或者HTTPS管理，以及設置端口號。

新建管理員和管理員級別。Note：不需要設置Web，FTP，Telnet等類別。默認支持所有用戶類別。通過Telnet方式登錄設備設備缺省可以通過GigabitEthernet0/0/0接口來實現Telnet登錄。將管理員PC的網絡連接的IP地址獲取方式設置為“自動獲取IP地址”。通過Puttytelnet，進入登錄頁面。缺省用戶名為admin，密碼為Admin@123Telnet登錄配置管理配置USG接口telnet設備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置vty

interface。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundtelnet配置Telnet用戶信息。[USG]aaa[USG-aaa]local-useruser1passwordcipherpassword@123[USG-aaa]local-useruser1service-typetelnet[USG-aaa]local-useruser1level3Telnet登錄配置管理配置Telnet管理員新建管理員和管理員級別。Note：不需要設置Web，FTP，Telnet等類別。默認支持所有用戶類別。配置USG的接口IP地址。(略）配置USG接口telnet設備管理。[USG-GigabitEthernet0/0/1]service-manageenable[USG-GigabitEthernet0/0/1]service-managetelnetpermit配置RSA本地密鑰對。<USG>system-view[USG]rsalocal-key-paircreateItwilltakeafewminutes.Inputthebitsinthemodulus[default=512]:512Generatingkeys.....++++++++++++...............................配置VTY用戶界面。[USG]user-interfacevty04[USG-ui-vty0-4]authentication-modeaaa[USG-ui-vty0-4]protocolinboundssh通過SSH方式登錄設備(1)通過SSH方式登錄設備(2)新建用戶名為Client001的SSH用戶，且認證方式為password。[USG]sshuserclient001[USG]sshuserclient001authentication-typepassword為SSH用戶Client001配置密碼為Admin@123。[USG]aaa[USG-aaa]local-userclient001passwordcipherAdmin@123[USG-aaa]local-userclient001service-typessh配置SSH用戶Client001的服務方式為STelnet，并啟用STelnet服務。[USG]sshuserclient001service-typestelnet[USG]stelnetserverenable以上配置完成后，運行支持SSH的客戶端軟件，建立SSH連接。配置文件管理配置文件類型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢復出廠配置）配置下次啟動時的系統軟件和配置文件重啟設備配置文件管理配置文件類型saved-configurationcurrent-configuration配置文件操作保存配置文件擦除配置文件（恢復出廠配置）配置下次啟動時的系統軟件和配置文件重啟設備版本升級(命令行)使用TFTP下載文件執行命令tftptftp-server-addressorhostnamegetsource-filename[destination-filename]使用FTP下載文件執行命令ftpip-address[port-number][vpn-instancevpn-instance-name]，與FTP服務器建立控制連接，并進入FTP客戶端視圖。注：以上兩種下載文件的方式二選一即可配置系統下次啟動時使用的系統軟件執行startupsystem-softwaresys-filename。版本升級（Web）說明：如果在升級過程中空然斷電，那么系統將無法啟動一鍵式升級License配置License是設備供應商對產品特性的使用范圍、期限等進行授權的一種合約形式，License可以動態控制產品的某些特性是否可用。激活License執行命令system-view，進入系統視圖。執行命令licensefile

license-file，激活指定的License文件。可以通過命令displaylicense，查看License的信息。點擊此處，上傳將要激活的License文件目錄防火墻概述防火墻功能特性防火墻設備管理防火墻基本配置VRP命令行級別參觀級 網絡診斷工具命令（ping、tracert）、從本設備出發訪問外部設備的命令（包括：Telnet客戶端、SSH、Rlogin）等，該級別命令不允許進行配置文件保存的操作。監控級 用于系統維護、業務故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。配置級 業務配置命令，包括路由、各個網絡層次的命令，這些用于向用戶提供直接網絡服務。管理級 關系到系統基本運行，系統支撐模塊的命令，這些命令對業務提供支撐作用VRP命令視圖系統將命令行接口劃分為若干個命令視圖，系統的所有命令都注冊在某個（或某些）命令視圖下，只有在相應的視圖下才能執行該視圖下的命令。命令視圖的分類：用戶視圖

<USG>系統視圖[USG]接口視圖[USG-Ethernet0/0/1]協議視圖[USG-rip]……VRP在線幫助鍵入一命令，后接以空格分隔的“?”，如果該位置為關鍵字，則列出全部關鍵字及其簡單描述。 <USG5000>display?鍵入一命令，后接以空格分隔的“?”，如果該位置為參數，則列出有關的參數描述。 [USG5000]interfaceethernet? <3-3>Slotnumber鍵入一字符串，其后緊接“?”，列出以該字符串開頭的所有命令。 <USG5000>d? debuggingdeletedirdisplayVRP在線幫助（續）輸入命令的某個關鍵字的前幾個字母，按下<TAB>鍵，可以顯示出完整的關鍵字暫停顯示時鍵入<Ctrl+C>停止顯示和命令執行暫停顯示時鍵入空格鍵繼續顯示下一屏信息暫停顯示時鍵入回車鍵繼續顯示下一行信息防火墻基本配置流程開始以太網接口模式接口IP地址接口加入域自定義安全區域默認安全區域配置默認包過濾規則配置路由（三層接口）配置設備管理數據包轉發二層接口模式三層接口模式配置接口模式步驟1進入系統視圖。<USG>system-view步驟2進入接口視圖[USG]interfaceinterface-typeinterface-number步驟3配置三層以太網接口或者二層以太網接口配置三層以太網接口ipaddressip-address{mask|mask-length}，。或配置二層以太網接口portswitch步驟1

執行命令system-view，進入系統視圖。步驟2執行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創建安全區域，并進入相應安全區域視圖。步驟3執行命令setprioritysecurity-priority，配置安全區域的安全級別。配置安全區域安全區域已經存在不必配置關鍵字name，直接進入安全區域視圖安全區域不存在需要配置關鍵字name，進入安全區域視圖將接口加入安全區域步驟1

執行命令system-view，進入系統視圖。步驟2

執行命令firewallzone[vpn-instance

vpn-instance-name][name]zone-name，創建安全區域，并進入相應安全區域視圖。步驟3執行命令addinterface

interface-typeinterface-number，配置接口加入安全區域。配置域間缺省包過濾規則步驟1執行命令system-view，進入系統視圖。步驟2執行命令firewallpacket-filterdefault{permit|deny}{{all|interzonezone1zone2}[direction{inbound|outbound}]}，配置域間缺省包過濾規則。zone1與zone2有先后順序嗎？？？沒有先后順序。因為Inbound和Outbound的方向只與域的優先級有關配置路由配置靜態路由，需要進行如下操作。步驟1

執行命令s