华为防火墙配置培训.ppt

华为3Com技术有限公司华为3Com公司版权所有 ，未经授权不得使用与 传播SecPath防火墙技术介绍学习目标l防火墙的域和模式l攻击防范、包过滤、ASPF、NAT、黑名单的使用方法学习完本课程，您应该能够了解：1防火墙的模式l路由模式为防火墙的以太网接口（以GigabitEthernet0/0 为例）配置IP 地址[SecPath] interface GigabitEthernet0/0 [SecPath-GigabitEthernet0/0] ip address 192.168.0.1 255.255.255.0l透明模式当防火墙工作在透明模式下时，其所有接口都将工作在第二层，即不能为接口配置IP 地址这样，用户若要对防火 墙进行Web 管理，需在透明模式下为防火墙配置一个系统IP 地址（System IP）用户可以通过此地址对防火墙进行Web 管理缺省情况下，防火墙工作在路由模式1) 配置防火墙工作在透明模式[SecPath] firewall mode ?route Route modetransparent Transparent mode [SecPath] firewall mode transparent Set system ip address successfully. The GigabitEthernet0/0 has been in promiscuous operation mode ! The GigabitEthernet0/1 has been in promiscuous operation mode ! All the Interfaces's ips have been deleted. The mode is set successfully.从以上显示的系统提示信息可以看出，防火墙已经工作在透明模式下，且所有接口上的IP 地址已经被删除。

2) 为防火墙配置系统IP 地址[SecPath] firewall system-ip 192.168.0.1 255.255.255.0 Set system ip address successfully. 说明：当防火墙切换到透明模式时， 系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8，可以使用上述命令更改系统IP 地址1防火墙的模式l可以把路由模式理解为象路由器那样工作防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作l透明模式的防火墙则可以被看作一台以太网交换机防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的报文转发的出接口，是通过查找桥接的转发表得到的在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配l相比较而言，路由模式的功能更强大一些；而在用户的网络无法变更的情况下，可以考虑采用透明模式1防火墙的属性配置命令l打开或者关闭防火墙èfirewall { enable | disable }l设置防火墙的缺省过滤模式èfirewall default { permit|deny }l显示防火墙的状态信息èdisplay firewall1在接口上应用访问控制列表l将访问控制列表应用到接口上l指明在接口上是OUT还是IN方向Ethernet0访问控制列表101 作用在Ethernet0接口 在out方向有效Serial0访问控制列表3 作用在Serial0接口上 在in方向上有效1基于时间段的包过滤l“特殊时间段内应用特殊的规则”Internet上班时间 （上午8：00 － 下午5：00） 只能访问特定的站点；其余 时间可以访问其他站点1时间段的配置命令ltime range 命令ètimerange { enable|disable }l[undo] settr 命令èsettr begin-time end-time [ begin-time end-time ...... ]èundo settrl显示 isintr 命令èdisplay isintrl显示 timerange 命令èdisplay timerange1访问控制列表的组合l一条访问列表可以由多条规则组成,对于这些规则，有两种匹配顺序：auto和config。

l规则冲突时，若匹配顺序为auto（深度优先），描述的地址范围越小的规则，将会优先考虑è深度的判断要依靠通配比较位和IP地址结合比较Ø access-list 4 deny 202.38.0.0 0.0.255.255 Ø access-list 4 permit 202.38.160.1 0.0.0.255 Ø 两条规则结合则表示禁止一个大网段 （202.38.0.0）上的主机但允许其中的一小部分主 机（202.38.160.0）的访问l规则冲突时，若匹配顺序为config，先配置的规则会被优先考虑1防火墙在测试环境中，划分了最常用的三个安全区域：lUntrust区域——用于连接外部网络；lDMZ区域——放置对外服务器；lTrust区域——用于连接内部安全网络DMZ区域Untrust区域SecPathserver BPC 2192.168.1.3/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3.2/24 Lan switchTrust区域PC 1192.168.2.2/24server AInternet1防火墙基本配置SecPath:Interface GigabitEthernet 0/0ip address 192.168.3.1 255.255.255.0Interface GigabitEthernet 0/1ip address 192.168.1.1 255.255.255.0Interface Ethernet 1/0ip address 192.168.2.1 255.255.255.0PC1:配置IP 地址为192.168.1.3/24PC2:配置IP 地址为192.168.1.2/24 1防火墙的功能演示演示项项目ASPF功能测试测试 演示子项项目FTP协议检测协议检测 测试说测试说 明 ASPF（Application Specific Packet Filter）是针对应 用层的包过滤 ，即基于状态的报文过滤 。

它和普通的静态防火墙协 同 工作，以便于实施内部网络的安全策略ASPF能够检测试图 通过防火墙的应用层协议 会话信息，阻止不符合规则 的数据 报文穿过通常在内部网络和外部网络之间应 用ASPF功能，保证内部主机可以访问 外部网络，只有由内部发起连接对应 的返回报文才可以进入内部网络，而外部网络不能够直接发起对内部网络的访问 除了完成传统 状态防火墙的功能之外， 对应 用层协议进 行检测 ，安全性更高本例演示ASPF功能对FTP协议 的状态检测 预预置条件见演示环境及基本配置 [Quidway] firewall packet-filter enable [Quidway] acl number 2000 [Quidway-acl-basic-2000] rule deny [Quidway] aspf-policy 1 [Quidway-aspf-policy-1] detect ftp aging-time 120 [Quidway] interface GigabitEthernet0/1 [Quidway-GigabitEthernet0/1] firewall packet 2000 outbound [Quidway-GigabitEthernet0/1] firewall aspf 1 inbound 在PC2上运行ftp服务器 配置步骤骤1.打开SecPath的debug aspf ftp开关 2.pc1上运行ftp client程序，登录Server B上的ftp server 3.查看SecPath上的debug信息，可以看到结果1 4.执行dis aspf session查看SecPath上的ASPF 会话信息，可以看到结果2 5.等待ftp超时后，可以看到结果3 6.在Server B上ftp到 PC1上的ftp server，可以看到结果4 预预期结结果1.debug信息显示有aspf调试 信息 *0.103900850 1000 ASPF/8/FTP: Session 0x264168C4 - state = 83, token = 32, string 'USER', value 1331 Password required for a. 2.查看aspf session存在ftp 会话信息 3.aspf session超时删 除，PC1不能浏览 或上传下载数据到ftp server 4.Server B上不能ftp到内部网络的主机上。

1防火墙的功能演示演示项项目ASPF功能测试 演示子项项目TCP协议测试 演示说说明本例演示ASPF功能对TCP协议 的状态检测 预预置条件见演示环境及基本配置 [Quidway] firewall packet-filter enable [Quidway] acl number 2000 [Quidway-acl-basic-2000] rule deny [Quidway] aspf-policy 1 [Quidway-aspf-policy-1] detect tcp aging-time 120 [Quidway] interface GigabitEthernet 0/1 [Quidway-GigabitEthernet0/1] firewall packet 2000 outbound [Quidway-GigabitEthernet0/1] firewall aspf 1 inbound 在PC2上运行telnet服务器 测试测试 步骤骤1.打开SecPath的debug aspf tcp开关 2.pc1 telnet登录到Server B 3.查看SecPath上的debug信息，可以看到结果1 4.执行dis aspf session查看SecPath上的ASPF 会话信息，可以看到结果2 5.等待tcp超时后，可以看到结果3 6.在PC1上启动telnet服务，从Server B上telnetPC1,可以看到结果4 预预期结结果1.debug信息显示有aspf调试 信息 2.查看aspf session存在tcp 会话信息 3.aspf session超时删 除，telnet连接断开 4.telnet不成功1防火墙的功能演示演示项项目攻击防范测试 演示子项项目UDP FLOOD攻击防范测试 ／ICMP FLOOD攻击防范测试 演示说说明 攻击者短时间 内用大量的ICMP消息（如ping）和UDP报文向特定目标不断请求回应 ，致使目标系统负 担过重而不能处理合法的传输 任务。

本测试验证 防火墙对 UDP FLOOD攻击的阻断，配置中保护DMZ中的主机不会受到 UDP FLOOD攻击的影响 预预置条件见演示环境及基本配置 [Quidway]firewall defend udp-flood enable [Quidway]firewall defend udp-flood zone DMZ max-rate 1000 [Quidway]firewal。