华为技术培训资料-防火墙操作维护内部.ppt

防火墙的操作维护 1.0 引入 了解防火墙的使用维护 学习目标 防火墙的域和模式 攻击防范、包过滤、ASPF、NAT、黑名单的使用方法 日志功能 NAT 课程内容 防火墙 类似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（相当于内部网络）和不可信任网络（相当于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。 防火墙加强了安全性 通路由器相比,防火墙: 1.提供了更丰富的安全防御策略 2.提高了安全策略下数据报转发速率 3.提供了更加丰富的安全日志功能 防火墙的安全区域 防火墙的内部划分为多个区域，所有的转发接口都唯一的属于某个区域 防火墙的安全区域 路由器的安全规则定义在接口上，而防火墙的安全规则定义在安全区域之间 防火墙的安全区域 Eudemon防火墙上保留四个安全区域： 非受信区（Untrust）：低级的安全区域，其安全优先级为5。 非军事化区（DMZ）：中度级别的安全区域，其安全优先级为50。 受信区（Trust）：较高级别的安全区域，其安全优先级为85。 本地区域（Local）：最高级别的安全区域，其安全优先级为100。 此外，如认为有必要，用户还可以自行设置新的安全区域并定义其安全优先级别。最多16个安全区域。 防火墙的安全区域 域间的数据流分两个方向： 入方向（inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向； 出方向（outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。 防火墙的安全区域 本域内不同接口间不过滤直接转发 进、出接口相同的报文被丢弃 接口没有加入域之前不能转发包文 防火墙的安全区域 防火墙的安全区域配置 [Eudemon] firewall zone trust [Eudemon-zone-trust] add interface ethernet 0/0/0 [Eudemon-zone-trust] quit [Eudemon] firewall zone dmz [Eudemon-zone-dmz] add interface ethernet 1/0/0 [Eudemon-zone-dmz] quit [Eudemon] firewall zone untrust [Eudemon-zone-untrust] add interface ethernet 2/0/0 [Eudemon-zone-untrust] quit 防火墙的模式 路由模式 透明模式 混合模式 防火墙的模式 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。 防火墙的模式 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 防火墙的模式 混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。 课程内容 防火墙定义的安全策略 包过滤防火墙 代理防火墙 状态防火墙 防火墙的基本工作流程 传统包过滤防火墙（路由器） E200状态防火墙 IP包过滤技术介绍 对防火墙需要转发的数据包，先获取包头信息，然后和设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。而实现包过滤的核心技术是访问控制列表。 访问控制列表是什么？ 一个IP数据包如下图所示（图中IP所承载的上层协议为TCP）： 如何标识访问控制列表？ 利用数字标识访问控制列表 利用数字范围标识访问控制列表的种类 标准访问控制列表 标准访问控制列表只使用源地址描述数据，表明是允许还是拒绝。 标准访问控制列表的配置 配置标准访问列表的命令格式如下： acl acl-number [ match-order config | auto ] rule { normal | special }{ permit | deny } [source source-addr source-wildcard | any ] 如何使用反掩码 反掩码和子网掩码相似，但写法不同： 0表示需要比较 1表示忽略比较 反掩码和IP地址结合使用，可以描述一个地址范围。 扩展