HC120119001 USG防火墻產(chǎn)品基本功能特性與配置_第1頁
HC120119001 USG防火墻產(chǎn)品基本功能特性與配置_第2頁
HC120119001 USG防火墻產(chǎn)品基本功能特性與配置_第3頁
HC120119001 USG防火墻產(chǎn)品基本功能特性與配置_第4頁
HC120119001 USG防火墻產(chǎn)品基本功能特性與配置_第5頁
已閱讀5頁,還剩65頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

USG防火墻產(chǎn)品基本

功能特性與配置前言

本膠片介紹了USG系列產(chǎn)品主要的安全技術(shù)和安全特性,以及各安全特性在USG產(chǎn)品上的配置。包括如:防火墻區(qū)域,防火墻工作模式,ASPF技術(shù),NAT技術(shù)以及一些擴展技術(shù)。Page1培訓(xùn)目標

學(xué)完本課程后,您應(yīng)該能:掌握USG產(chǎn)品的主要安全技術(shù)和安全特性掌握各安全特性在USG產(chǎn)品上的配置Page2目錄防火墻的基本概念防火墻關(guān)鍵技術(shù)防火墻基本功能防火墻擴展功能Page3目錄1.防火墻的基本概念1.1安全區(qū)域1.2防火墻工作模式1.3會話Page4防火墻的安全區(qū)域Page5Local區(qū)域100Trust區(qū)域85DMZ區(qū)域50UnTrust區(qū)域5接口2接口3接口4接口1

用戶自定義區(qū)域Vzone0Page6接口、網(wǎng)絡(luò)和安全區(qū)域關(guān)系Page7Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust內(nèi)部網(wǎng)絡(luò)UntrustServerServerDMZ外部網(wǎng)絡(luò)inboundoutboundPage8安全區(qū)域配置-1創(chuàng)建一個安全區(qū)域[USG2100]firewallzonenameuserzone設(shè)置優(yōu)先級[USG2100-zone-userzone]setpriority60

給安全區(qū)域添加接口[USG2100-zone-userzone]addinterfaceGigabitEthernet0/0/1Page9安全區(qū)域配置驗證

查看防火墻安全區(qū)域配置[USG2100]displayzoneusernameusernamepriorityis60interfaceofthezoneis(1):

GigabitEthernet0/0/1Page10安全區(qū)域配置-2在域間下發(fā)ACL<USG2100>system-view

[USG2100]policyinterzonetrustuntrustoutbound

[USG2100-policy-interzone-trust-untrust-outbound]policy1

[USG2100-policy-interzone-trust-untrust-outbound-1]actionpermitPage11目錄1.防火墻的基本概念1.1安全區(qū)域1.2防火墻工作模式1.3會話Page12防火墻的三種工作模式

路由模式透明模式混合模式Page13路由模式Page14外部網(wǎng)絡(luò)服務(wù)器PCPC/24Trust區(qū)服務(wù)器USGPC/2454內(nèi)部網(wǎng)絡(luò)Untrust區(qū)透明模式Page15服務(wù)器PCPCTrust區(qū)服務(wù)器USGPCUntrust區(qū)/24混合模式Page16USG(主)/24內(nèi)部網(wǎng)絡(luò)USG(備)VRRP/24Trust區(qū)服務(wù)器PC服務(wù)器PCPCUntrust區(qū)外部網(wǎng)絡(luò)目錄1.防火墻的基本概念1.1安全區(qū)域1.2防火墻工作模式1.3會話Page17

會話(Session)

USG防火墻是狀態(tài)防火墻,采用會話表維持通信狀態(tài)。會話表包括五個元素:源IP地址、源端口、目的IP地址、目的端口和協(xié)議號(如果支持虛擬防火墻的話還有一個VPN-ID)。當防火墻收到報文后,根據(jù)上述五個元素查詢會話表,并根據(jù)具體情況進行如下操作:條件操作報文的五元組匹配會話表轉(zhuǎn)發(fā)該報文報文的五元組不匹配會話表域間規(guī)則允許通過轉(zhuǎn)發(fā)該報文,并創(chuàng)建會話表表項域間規(guī)則不允許通過丟棄該報文Page18會話查看防火墻的Session信息[USG2100]displayfirewall

session

tableverbose

CurrentTotalSessions:1telnetVPN:public-->publicTTL:00:10:00Left:00:10:00Interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:1269bytes:66769-->packets:1081bytes:43715:2855-->00:23Page19會話相關(guān)命令重置防火墻的session<USG2100>resetfirewallsessiontable會話相關(guān)命令

查看防火墻的Sessionaging-time[USG2100]displayfirewallsessionaging-timeSequencePre-definedVPNTimeout(s)1httpAll6002telnetAll600….Page20[USG2100]firewallsessionaging-timeicmp15防火墻長連接會話

配置ACL,用于控制需要長連接會話的數(shù)據(jù)流[USG2100]acl3001

[USG2100-acl-adv-3001]rulepermittcpsource0設(shè)置長連接的老化時間[USG2100]firewalllong-linkaging-time2在域間應(yīng)用長連接[USG2100]firewallinterzonetrustuntrust

[USG2100-interzone-trust-untrust]long-link3001inboundPage21[USG2100]displayfirewallsessiontableverboseFTPVPN:public->publicRemoteZone:zone1->outTTL:168:00:00Left:168:00:00Interface:E1.200Nexthop:MAC:00-00-02-00-c8-01<--packets:9bytes:774-->packets:7bytes:602-->:21(LongLink)目錄防火墻的基本概念防火墻關(guān)鍵技術(shù)防火墻基本功能防火墻擴展功能Page22目錄2.防火墻關(guān)鍵技術(shù)2.1ASPFPage23ASPFASPF(ApplicationSpecificPacketFilter)是一種改進的高級通信過濾技術(shù),ASPF不但對報文的網(wǎng)絡(luò)層的信息進行檢測,還能對豐富的應(yīng)用層協(xié)議進行深度檢測,支持多媒體業(yè)務(wù)的NAT以及安全防范功能,支持的協(xié)議包括:H.323協(xié)議族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等?;贏CL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包,防止非法入侵。

ASPF對應(yīng)用層的協(xié)議信息進行檢測,通過維護會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息,阻止惡意的入侵。Page24Page25多通道協(xié)議

多通道協(xié)議是指某個應(yīng)用在進行通訊或提供服務(wù)時需要建立兩個以上的會話(通道),其中有一個控制通道,其他的通道是根據(jù)控制通道中雙方協(xié)商的信息動態(tài)創(chuàng)建的,一般我們稱之為數(shù)據(jù)通道或子通道。多通道協(xié)議在狀態(tài)防火墻當中需要特殊處理。單通道協(xié)議是指某個應(yīng)用在進行通訊或提供服務(wù)時只需要建立一個會話的應(yīng)用協(xié)議。根據(jù)TCP三次握手機制,狀態(tài)防火墻能夠維護會話的五元組信息。Page26ASPF與多通道協(xié)議Page27用戶USG防火墻FTPserver0三次握手防火墻創(chuàng)建Servermap表項三次握手Port89,3Port

89,3200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnection檢測Servermap表項,命中表項,打開通道SYN:22787:22787SYNPage28三元組ASPFUSG相當于一個六元組(支持VPN情況下,有VPN-ID)的NAT設(shè)備,即防火墻上的每個會話的建立都需要六元組:源IP地址、源端口、目的IP地址、目的端口、協(xié)議號和VPN-ID。只有這些元素都具備了,會話才能建立成功,報文才能通過。而一些實時通訊工具,如QQ、MSN等,通過NAT設(shè)備,需要按三元組處理:源IP地址、源端口、協(xié)議號。USG為了適配類似QQ、MSN等通訊機制,支持三元組處理方式,讓類似QQ、MSN等的通訊方式能夠正常的穿越。除QQ、MSN穿越NAT設(shè)備外,其他僅使用源IP地址、源端口、協(xié)議號的會話,如TFTP,同樣需要配置防火墻三元組ASPF。Page29Page30ASPF配置

進入安全區(qū)域域間[USG2100]firewallinterzonetrustuntrust

打開ASPF功能[USG2100-interzone-trust-untrust]detectprotocol[USG2100-interzone-trust-untrust]detect{activex-blocking|java-blocking}Page31目錄防火墻的基本概念防火墻關(guān)鍵技術(shù)防火墻基本功能防火墻擴展功能Page32目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯(lián)動3.5日志Page33黑名單黑名單特點:根據(jù)報文的源IP地址進行過濾簡單高效可動態(tài)添加刪除Page34靜態(tài)黑名單配置[USG2100]firewallblacklistitemtimeout100[USG2100]firewallblacklistenablePage35服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24動態(tài)黑名單配置Page36服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]firewalldefendip-sweepenable[USG2100]firewalldefendip-sweepmax-rate1000[USG2100]firewalldefendip-sweepblacklist-timeout20[USG2100]firewallblacklistenable黑名單配置驗證[USG2100]displayfirewallblacklistitemTotal:1Manual:1IPSweep:0PortScan:0IDS:0LoginFailed:0PreAuthed:0GetFlood:0tcp-illeage-session:0Unknown:0IPReasonInsertTimeAgeTimeVpn-instance

Manual2009/05/1217:47:35PermanentPage37目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯(lián)動3.5日志Page38MAC綁定問題的提出網(wǎng)絡(luò)中常有一些假冒IP地址的攻擊MAC綁定應(yīng)用限制條件與二層直接相連的網(wǎng)絡(luò)Page39MAC綁定配置[USG2100]firewallmac-bindingenable[USG2100]firewallmac-binding00e0-fc00-0100Page40服務(wù)器/24PC/24USGEth1/0/1/24Eth1/0/0/24MAC綁定配置驗證[USG2100]displayfirewallmac-bindingitemFirewallMac-bindingitems:Currentitems:380087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page41目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯(lián)動3.5日志Page42端口映射問題的提出內(nèi)部服務(wù)器在非知名端口提供知名服務(wù),例如在1021端口提供FTP服務(wù)端口映射防火墻并非要更改數(shù)據(jù)包的端口信息可以用來保護因為知名端口而帶來的針對性攻擊Page43端口映射組網(wǎng)示例Page44FTPServer/24WWWServer/24Eth1/0/0/24Eth2/0/0/16/24網(wǎng)段網(wǎng)段公司內(nèi)部以太網(wǎng)USGWAN端口映射配置驗證[USG2100]displayport-mappingSERVICEPORTACLTYPE

ftp21systemdefinedsmtp25systemdefinedhttp80systemdefinedrtsp554systemdefinedh3231720systemdefinedftp802010userdefinedhttp56782020userdefinedPage45配置參考[USG2100]aclnumber2010[USG2100-acl-basic-2010]rulepermitsource[USG2100]port-mappingftpport80acl2010[USG2100]aclnumber2020[USG2100-acl-basic-2020]rulepermitsource55[USG2100]port-mappinghttpport5678acl2020[USG2100]firewallinterzonedmzuntrust[USG2100-interzone-dmz-untrust]detectftpPage46將去往主機的使用端口號80的報文識別為FTP報文需要在域間detect相應(yīng)的協(xié)議目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯(lián)動3.5日志Page47IDS聯(lián)動防火墻的局限性防火墻不能防止通向站點的后門;防火墻一般不提供對內(nèi)部的保護;防火墻無法防范數(shù)據(jù)驅(qū)動型的攻擊;防火墻不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略等。IDS(IntrusionDetectionSystem,入侵檢測系統(tǒng))的優(yōu)勢實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文,發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文,對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析,發(fā)現(xiàn)異?,F(xiàn)象,主動切斷連接或與防火墻聯(lián)動,調(diào)用其他程序處理。Page48與IDS聯(lián)動組網(wǎng)示例Page49INTERNET管理端口管理信息日志告警NIPNIDS內(nèi)部辦公網(wǎng)DMZ區(qū)響應(yīng)端口監(jiān)聽端口受保護服務(wù)器群聯(lián)動信息監(jiān)聽數(shù)據(jù)流USGEth1/0/1Eth1/0/0與IDS聯(lián)動配置[USG2100]firewallidsserver0[USG2100]firewallidsport3000[USG2100]firewallidsauthenticationtypemd5keyhuawei123[USG2100]firewallidsenablePage50最后一定得使能IDS的功能IDS配置驗證[USG2100]displayfirewallidsFirewallIDSinformation:firewallIDS:enabledebugflag:offserverport:3000authenticationtype:md5authenticationstring:huawei123clientaddress0:0Page51目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯(lián)動3.5日志Page52防火墻日志Page53Log

Server信息中心攻擊防范黑名單地址綁定二進制流日志

Syslog日志監(jiān)視終端控制臺緩沖區(qū)……重定向NAT/ASPF

日志信息

日志信息

日志信息流量統(tǒng)計

日志信息

日志信息

日志信息Page54日志輸出配置組網(wǎng)示例Page55Ethernet2/0/1/24服務(wù)器日志服務(wù)器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24日志輸出配置[USG2100]info-centerenable[USG2100]info-centerloghostlanguageenglishPage56[USG2100]firewall

sessionlog-typebinaryhost19002日志配置驗證[USG2100]displayinfo-centerInformationCenter:enabledLoghost: ,channelnumber2,channelnameloghost, languageenglish,hostfacilitylocal7Console: channelnumber:0,channelname:consoleMonitor: channelnumber:1,channelname:monitor……Page57目錄防火墻的基本概念防火墻關(guān)鍵技術(shù)防火墻基本功能防火墻擴展功能Page58目錄4.防火墻擴展功能4.1負載均衡4.2虛擬防火墻Page59負載均衡當前的網(wǎng)絡(luò)應(yīng)用中,單臺服務(wù)器的處理能力已經(jīng)成為網(wǎng)絡(luò)中的瓶頸,尤其是在IDC、網(wǎng)站等應(yīng)用場合。USG防火墻的負載均衡即是將用戶流量分配到多個服務(wù)器上,從而達到流量分擔的目的,進而保障服務(wù)器的可用性。防火墻按照配置的算法,將用戶流量分配到不同的服務(wù)器上,充分利用各個服務(wù)器的處理能力,達到最佳的可擴展性。Page60負載均衡組網(wǎng)示例Page61Eth1/0/0/24Eth1/0/1/24服務(wù)器1/24服務(wù)器2/24服務(wù)器3/24vipUSG交換機PC/24負載均衡配置[USG2100]slbenable[USG2100]slb[USG2100-slb]rserver1rip[USG2100-slb]rserver2rip[USG2100-slb]rserver3rip[USG2100]firewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutboundPage62由于防火墻對實服務(wù)器缺省進行健康行檢查,此時需要配置允許健康檢查報文在防火墻Local和DMZ域間出方向流動使能SLB和自動健康檢查功能。Page63負載均衡配置(續(xù))[USG2100-slb]groupgroup1[USG2100-slb-group-group1]metricroundrobin[USG2100-slb-group-group1]addrserver1[USG2100-slb-group-group1]addrserver2[USG2100-slb-group-group1]addrserver3[USG2100-slb]vserverhuaweivipgroupgroup1Page64Page65負載均衡配置驗證[USG2100-slb]displaythisslbrserver1ripweight32healthchkrserver2ripweight32healthchkrserver3ripweight32healthchkgroupgroup1metricroundrobinaddrserver1addrserver2addrserver3vserverhuaweivipgroupgroup1Page66負載均衡效果[USG2100]displayfirewallsessiontableicmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43FTP,(vpn:public->public):21[:21]<-+:1227FTP,(vpn:public->public):21[:21]<-+:1229FTP,(vpn:public->public):21[:21]<-+:1231FTP,(vpn:public->public):21[:21]<-+:1233FTP,(vpn:public->public):21[:21]<-+:1235CurrentTotalSessions:8Page67目錄4.防火墻擴展功能4.1負載均衡4.2虛擬防火墻Page68虛擬防火墻Page69Vfw3Vfw2Vfw1Rfw在USG上創(chuàng)建邏輯上的虛擬防火墻(Virtual-firewall,Vfw),能夠提供防火墻的出租業(yè)務(wù),實現(xiàn)子網(wǎng)隔離和解決地址重疊的問題。每個虛擬防火墻都是VPN實例(VPN-Instance)、安全實例和配置實例的綜合體,能夠為虛擬防火墻用戶提供私有的路由轉(zhuǎn)發(fā)平面、安全服務(wù)和配置管理平面。Page70Page71虛擬防火墻USG防火墻支持虛擬防火墻特性每個虛擬防火墻均可以獨立支持Local、TRUST、UNTRUST、DMZ、VZONE5個安全區(qū)域,接口靈活劃分和分配。系統(tǒng)資源獨立分配,提供獨立的安全業(yè)務(wù)、NAT多實例、VPN多實例特性。根防火墻RootFW一臺Eudemon物理防火墻虛擬防火墻VirtualFWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrustUSGPage72虛擬防火墻區(qū)域Page73ServerServerTrustUntrustDMZEth1/0/0內(nèi)部網(wǎng)絡(luò)Eth0/0/0inboundoutboundin

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論