企業(yè)培訓(xùn)_防火墻配置培訓(xùn)

SecPath防火墻技術(shù)介紹 2 學(xué)習(xí)目標(biāo) 防火墻的域和模式攻擊防范 包過濾 ASPF NAT 黑名單的使用方法 學(xué)習(xí)完本課程 您應(yīng)該能夠了解 3 防火墻的模式 路由模式為防火墻的以太網(wǎng)接口 以GigabitEthernet0 0為例 配置IP地址 SecPath interfaceGigabitEthernet0 0 SecPath GigabitEthernet0 0 ipaddress192 168 0 1255 255 255 0透明模式當(dāng)防火墻工作在透明模式下時 其所有接口都將工作在第二層 即不能為接口配置IP地址 這樣 用戶若要對防火墻進(jìn)行Web管理 需在透明模式下為防火墻配置一個系統(tǒng)IP地址 SystemIP 用戶可以通過此地址對防火墻進(jìn)行Web管理 缺省情況下 防火墻工作在路由模式 1 配置防火墻工作在透明模式 SecPath firewallmode routeRoutemodetransparentTransparentmode SecPath firewallmodetransparentSetsystemipaddresssuccessfully TheGigabitEthernet0 0hasbeeninpromiscuousoperationmode TheGigabitEthernet0 1hasbeeninpromiscuousoperationmode AlltheInterfaces sipshavebeendeleted Themodeissetsuccessfully 從以上顯示的系統(tǒng)提示信息可以看出 防火墻已經(jīng)工作在透明模式下 且所有接口上的IP地址已經(jīng)被刪除 2 為防火墻配置系統(tǒng)IP地址 SecPath firewallsystem ip192 168 0 1255 255 255 0Setsystemipaddresssuccessfully 說明 當(dāng)防火墻切換到透明模式時 系統(tǒng)為防火墻分配了一個缺省系統(tǒng)IP地址169 0 0 1 8 可以使用上述命令更改系統(tǒng)IP地址 4 防火墻的模式 可以把路由模式理解為象路由器那樣工作 防火墻每個接口連接一個網(wǎng)絡(luò) 防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān) 報文在防火墻內(nèi)首先通過入接口信息找到進(jìn)入域信息 然后通過查找轉(zhuǎn)發(fā)表 根據(jù)出接口找到出口域 再根據(jù)這兩個域確定域間關(guān)系 然后使用配置在這個域間關(guān)系上的安全策略進(jìn)行各種操作 透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機 防火墻的接口不能配IP地址 整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部 對于網(wǎng)絡(luò)中的其他設(shè)備 防火墻是透明的 報文轉(zhuǎn)發(fā)的出接口 是通過查找橋接的轉(zhuǎn)發(fā)表得到的 在確定域間之后 安全模塊的內(nèi)部仍然使用報文的IP地址進(jìn)行各種安全策略的匹配 相比較而言 路由模式的功能更強大一些 而在用戶的網(wǎng)絡(luò)無法變更的情況下 可以考慮采用透明模式 5 防火墻的屬性配置命令 打開或者關(guān)閉防火墻firewall enable disable 設(shè)置防火墻的缺省過濾模式firewalldefault permit deny 顯示防火墻的狀態(tài)信息displayfirewall 6 在接口上應(yīng)用訪問控制列表 將訪問控制列表應(yīng)用到接口上指明在接口上是OUT還是IN方向 Ethernet0 Serial0 訪問控制列表3作用在Serial0接口上在in方向上有效 7 基于時間段的包過濾 特殊時間段內(nèi)應(yīng)用特殊的規(guī)則 Internet 上班時間 上午8 00 下午5 00 只能訪問特定的站點 其余時間可以訪問其他站點 8 時間段的配置命令 timerange命令timerange enable disable undo settr命令settrbegin timeend time begin timeend time undosettr顯示isintr命令displayisintr顯示timerange命令displaytimerange 9 訪問控制列表的組合 一條訪問列表可以由多條規(guī)則組成 對于這些規(guī)則 有兩種匹配順序 auto和config 規(guī)則沖突時 若匹配順序為auto 深度優(yōu)先 描述的地址范圍越小的規(guī)則 將會優(yōu)先考慮 深度的判斷要依靠通配比較位和IP地址結(jié)合比較access list4deny202 38 0 00 0 255 255access list4permit202 38 160 10 0 0 255兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段 202 38 0 0 上的主機但允許其中的一小部分主機 202 38 160 0 的訪問 規(guī)則沖突時 若匹配順序為config 先配置的規(guī)則會被優(yōu)先考慮 10 防火墻 在測試環(huán)境中 劃分了最常用的三個安全區(qū)域 Untrust區(qū)域 用于連接外部網(wǎng)絡(luò) DMZ區(qū)域 放置對外服務(wù)器 Trust區(qū)域 用于連接內(nèi)部安全網(wǎng)絡(luò) Lanswitch Trust區(qū)域 PC1 192 168 2 2 24 serverA Internet 11 防火墻基本配置 SecPath InterfaceGigabitEthernet0 0ipaddress192 168 3 1255 255 255 0InterfaceGigabitEthernet0 1ipaddress192 168 1 1255 255 255 0InterfaceEthernet1 0ipaddress192 168 2 1255 255 255 0PC1 配置IP地址為192 168 1 3 24PC2 配置IP地址為192 168 1 2 24 12 防火墻的功能演示 13 防火墻的功能演示 14 防火墻的功能演示 15 防火墻的功能演示 16 ASPF ASPF ApplicationSpecificPacketFilter 是針對應(yīng)用層的包過濾 即基于狀態(tài)的報文過濾 它和普通的靜態(tài)防火墻協(xié)同工作 以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略 ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息 阻止不符合規(guī)則的數(shù)據(jù)報文穿過 為保護(hù)網(wǎng)絡(luò)安全 基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包 防止非法入侵 ASPF能夠檢測應(yīng)用層協(xié)議的信息 并對應(yīng)用的流量進(jìn)行監(jiān)控 17 ASPF ASPF能夠監(jiān)測FTP HTTP SMTP RSTP H 323 TCP UDP的流量DoS DenialofService 拒絕服務(wù) 的檢測和防范 JavaBlocking Java阻斷 保護(hù)網(wǎng)絡(luò)不受有害JavaApplets的破壞 ActivexBlocking Activex阻斷 保護(hù)網(wǎng)絡(luò)不受有害Activex的破壞 支持端口到應(yīng)用的映射 為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口 增強的會話日志功能 可以對所有的連接進(jìn)行記錄 包括連接時間 源地址 目的地址 使用端口和傳輸字節(jié)數(shù)等信息 18 攻擊類型簡介 單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip fragment 19 攻擊類型簡介 分片報文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood ICMPFlood掃描IPsweepPortscan 20 單包攻擊原理及防范 1 Fraggle特征 UDP報文 目的端口7 echo 或19 CharacterGenerator 目的 echo服務(wù)會將發(fā)送給這個端口的報文再次發(fā)送回去CharacterGenerator服務(wù)會回復(fù)無效的字符串攻擊者偽冒受害者地址 向目的地址為廣播地址的上述端口 發(fā)送請求 會導(dǎo)致受害者被回應(yīng)報文泛濫攻擊如果將二者互指 源 目的都是廣播地址 會造成網(wǎng)絡(luò)帶寬被占滿配置 firewalldefendfraggleenable原理 過濾UDP類型的目的端口號為7或19的報文 21 單包攻擊原理及防范 2 IPSpoof特征 地址偽冒目的 偽造IP地址發(fā)送報文配置 firewalldefendip spoofingenable原理 對源地址進(jìn)行路由表查找 如果發(fā)現(xiàn)報文進(jìn)入接口不是本機所認(rèn)為的這個IP地址的出接口 丟棄報文 22 單包攻擊原理及防范 3 Land特征 源目的地址都是受害者的IP地址 或者源地址為127這個網(wǎng)段的地址目的 導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報文 通常用在synflood攻擊中配置 firewalldefendlandenable防范原理 對符合上述特征的報文丟棄 23 單包攻擊原理及防范 4 Smurf特征 偽冒受害者IP地址向廣播地址發(fā)送pingecho目的 使受害者被網(wǎng)絡(luò)上主機回復(fù)的響應(yīng)淹沒配置 firewalldefendsmurfenable原理 丟棄目的地址為廣播地址的報文 24 單包攻擊原理及防范 5 TCPflag特征 報文的所有可設(shè)置的標(biāo)志都被標(biāo)記 明顯有沖突 比如同時設(shè)置SYN FIN RST等位目的 使被攻擊主機因處理錯誤死機配置 firewalldefendtcp flagenable原理 丟棄符合特征的報文 25 單包攻擊原理及防范 6 Winnuke特征 設(shè)置了分片標(biāo)志的IGMP報文 或針對139端口的設(shè)置了URG標(biāo)志的報文目的 使被攻擊設(shè)備因處理不當(dāng)而死機配置 firewalldefendwinnukeenable原理 丟棄符合上述特征報文 26 單包攻擊原理及防范 7 Ip frag特征 同時設(shè)置了DF和MF標(biāo)志 或偏移量加報文長度超過65535目的 使被攻擊設(shè)備因處理不當(dāng)而死機配置 firewalldefendip fragmentenable原理 丟棄符合上述特征報文 27 分片報文攻擊原理及防范 1 Teardrop特征 分片報文后片和前片發(fā)生重疊目的 使被攻擊設(shè)備因處理不當(dāng)而死機或使報文通過重組繞過防火墻訪問內(nèi)部端口配置 firewalldefendteardropenable原理 防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu) 記錄通過防火墻的分片報文的偏移量 一點發(fā)生重疊 丟棄報文 28 分片報文攻擊原理及防范 2 Pingofdeath特征 ping報文全長超過65535目的 使被攻擊設(shè)備因處理不當(dāng)而死機配置 firewalldefendping of deathenable原理 檢查報文長度如果最后分片的偏移量和本身長度相加超過65535 丟棄該分片 29 拒絕服務(wù)攻擊原理及防范 1 SYNFlood特征 向受害主機發(fā)送大量TCP連接請求報文目的 使被攻擊設(shè)備消耗掉所有處理能力 無法響應(yīng)正常用戶的請求配置 statisticenableipinzonefirewalldefendsyn flood ipX X X X zonezonename max numbernum max ratenum tcp proxyauto on off firewalldefendsyn floodenable原理 防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進(jìn)行代理 代替受保護(hù)的主機回復(fù)請求 如果收到請求者的ACK報文 認(rèn)為這是有效連接 在二者之間進(jìn)行中轉(zhuǎn) 否則刪掉該會話 30 拒絕服務(wù)攻擊原理及防范 2小 UDP ICMPFlood特征 向受害主機發(fā)送大量UDP ICMP報文目的 使被攻擊設(shè)備消耗掉所有處理能力配置 statisticenableipinzonefirewalldefendudp icmp flood ipX X X X zonezonename max ratenum firewalldefendudp icmp floodenable原理 防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率 超過設(shè)定的閾值上限 進(jìn)行car 31 掃描攻擊原理和防范 1 IPsweep特征 地址掃描 向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文nmap目的 用以判斷是否存在活動的主機以及主機類型等信息 為后續(xù)攻擊作準(zhǔn)備配置 StatisticenableipoutzoneFirewalldefendip sweep max ratenum blacklist timeoutnum 原理 防火墻根據(jù)報文源地址進(jìn)行統(tǒng)計 檢查某個IP地址向外連接速率 如果這個速率超過了閾值上限 則可以將這個IP地址添加到黑名單中進(jìn)行隔離注意 如果要啟用黑名單隔離功能 需要先啟動黑名單 32 掃描攻擊原理和防范 2 Portscan特征 相同一個IP地址的不同端口發(fā)起連接目的 確定被掃描主機開放的服務(wù) 為后續(xù)攻擊做準(zhǔn)備配置 StatisticenableipoutzoneFirewalldefendport scan ma