H3C-SecPath-防火墙培训课件.ppt

1、H3C F5000-A5H3C F5000-A5防火墙培训防火墙培训ISSUE 1.0日期：2010/03/01杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播nH3C SecPath F5000-A5是目前处理性能最高的分布式防火墙，旨在是目前处理性能最高的分布式防火墙，旨在满足大型企业、运营商和数据中心网络高性能的安全防护。满足大型企业、运营商和数据中心网络高性能的安全防护。SecPath F5000-A5采用多核多线程、采用多核多线程、ASIC等先进处理器构建分布式架构，将等先进处理器构建分布式架构，将系统管理和业务处理相分离，实现整机吞吐量达到系统管理和业务处理相分离，实现整

2、机吞吐量达到40Gbps，使其具，使其具有全球最高性能的分布式安全处理能力。有全球最高性能的分布式安全处理能力。引入引入n 了解了解H3C防火墙产品的主要特性防火墙产品的主要特性n 熟悉熟悉H3C防火墙的常见组网方式防火墙的常见组网方式n 掌握掌握H3C防火墙产品的典型配置防火墙产品的典型配置n 掌握掌握H3C防火墙的常见故障及其处理方法防火墙的常见故障及其处理方法课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n H3C F5000-A5产品介绍产品介绍n H3C F5000-A5基本功能配置基本功能配置n H3C F5000-A5典型组网典型组网n 常见故障及其维护方法

3、常见故障及其维护方法目录目录4产品简介产品简介n Scathe F5000-A5Scathe F5000-A5是是SecPathSecPath防火墙防火墙/VPN/VPN网关的旗舰产品网关的旗舰产品n 定位在大型园区出口、定位在大型园区出口、ICP/ISPICP/ISP、数据中心以及、数据中心以及MSSPMSSP运营商组网运营商组网环境环境n 综合了多项业界领先的技术于一身：多核综合了多项业界领先的技术于一身：多核CPUCPU，无阻塞交换网，无阻塞交换网，业务处理业务处理FPGAFPGA化化n 具有业务高性能，系统高可靠性以及端口高密度等特点具有业务高性能，系统高可靠性以及端口高密度等特点5F

4、5000-A5F5000-A5产品规格产品规格产品规格产品规格整机规格整机规格l尺寸尺寸 标准标准7U7Ul插槽插槽 1 1主控板主控板+4+4业务板业务板l业务接口业务接口 48GE/848GE/8*10GE10GEl管理口管理口 1GE+1CON+1AUX1GE+1CON+1AUXl热备口热备口 1GE1GE整机性能规格整机性能规格l吞吐量吞吐量 40Gbps40Gbpsl并发连接并发连接 400400万万l每秒新建连接每秒新建连接 1010万万l加密性能加密性能 2Gbps2GbpslVPNVPN隧道数隧道数 2000020000主控板业务板电源风扇6板卡介绍板卡介绍l主控板：主控板：N

5、SQ1MPUA0 l业务版：业务版：NSQ1GT8C40 NSQM1GT8P40 NSQ1XP20 型号型号描述描述NSQ1GT8C40 8个电口和个电口和4个个Combo口口 NSQM1GT8P40 8个个SFP口和口和4个个Combo口口 NSQ1XP20 2个个XFP 接口接口7Comware软件平台架构软件平台架构产品驱动操作系统交换芯片CPUAPI接口封装系统服务配置管理以太网交换技术链路层协议QoS高速转发引擎IPV4协议栈IPV6协议栈OSI协议栈流量工程路由技术组播技术语音技术安全技术业务应用MPLSVPN技术8DHCP/DNSDHCP/DNS路由协议路由协议VOIPVOIPM

6、PLS VPNsMPLS VPNs多播多播VRRPVRRPQoSQoSGREGRE、L2TPL2TPIPIP服务层面服务层面操作安全层面操作安全层面单播反向地址检查单播反向地址检查（反欺骗）（反欺骗）AAAAAA认证认证命令行授权命令行授权16 16 优先级优先级终端日志终端日志SNMP v3SNMP v3ARPARPACLACLAAAAAANATNATIPsecIPsecFirewall Firewall 入侵检测入侵检测SSHSSHSSLSSLPKIPKI、网络集成解决方案网络集成解决方案动态动态VPNVPNSecure ARPSecure ARP状态地址转换状态地址转换Comwarein

7、sideinside防火墙软件架构防火墙软件架构9高速、丰富的高速、丰富的NATNAT转换转换n支持多种常用转换（一对多、多对一、支持多种常用转换（一对多、多对一、NAPTNAPT、Easy IPEasy IP等）等）n支持多种地址转换应用层网关支持多种地址转换应用层网关(解决特殊协议穿越解决特殊协议穿越NATNAT问题问题)nNAT NAT 限制最大限制最大TCP TCP 连接数（解决内网病毒主机发起大量连接数（解决内网病毒主机发起大量NATNAT会话）会话）n支持支持NATNAT多实例（解决多实例（解决VPNVPN私网地址重叠问题）私网地址重叠问题）n静态网段地址转换静态网段地址转换n双向

8、地址转换双向地址转换n支持支持DNSDNS映射映射NAT规格规格整机性能规格整机性能规格lNAT吞吐量 40GbpslNAT并发会话 400万l每秒新建连接 28万10VPNVPN相关协议及技术相关协议及技术支持的协议支持的协议nL2TP VPNnGRE VPNnIPSec VPNnMPLS VPNnSSL VPN加密加密/认证算法认证算法nDES/3DESnAESnMD5nSHA-1身份认证方式身份认证方式n本地认证nRADIUS/TACACS认证nPKI/CA认证PKI/CA共享密钥共享密钥共享密钥共享密钥数字证书数字证书IKE 2IKE 1ProposalsProposalsPropos

9、alsProposals数字证书数字证书IKE SAIPsec SA1.2.3.IPsecIPsec 隧道隧道11网络深度融合能力网络深度融合能力接收报文接收报文报文分类报文分类/标记标记Queue0Queue1Queue2QueueNREDWREDSARED拥塞检测拥塞检测/避免避免队列调度队列调度FIFOPQCQWFQCBWFQ令牌令牌流量整形流量整形丢弃丢弃丢弃丢弃继续发送继续发送入入队队出出队队令牌筒令牌筒出接口出接口入接口入接口GTS 源地址源地址 目的地址目的地址 源端口源端口 目的端口目的端口 协议类型协议类型 TOSACLCAR流流量量监监管管拥塞管理拥塞管理专业网络厂商的丰富

10、路由及专业网络厂商的丰富路由及QoSQoS特性：特性：静态/RIPv1/2/OSPF/BGP策略路由及路由策略流量监管/拥塞检测及避免/流量整形MPLS/多播/虚拟防火墙 C12虚拟防火墙虚拟防火墙IDCIDC 虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、域间、虚拟防火墙实例提供相互隔离的安全服务，具备私有的区域、域间、ACL规则组和规则组和NAT地址池，并且能够将绑定接口加入私有区域地址池，并且能够将绑定接口加入私有区域 虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、统计、攻击防范、ASPF和和N

11、AT ALG等私有的安全服务等私有的安全服务 虚拟防火墙为用户提供相互隔离的配置管理平面虚拟防火墙为用户提供相互隔离的配置管理平面 虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由和安全策略和安全策略13骨干网骨干网虚拟防火墙虚拟防火墙虚拟防火墙虚拟防火墙用户C用户A用户B用户D14高可靠性：保障您的业务不间断性高可靠性：保障您的业务不间断性 n支持支持VRRPVRRP组网，多台防火墙可组成高可靠性的网络组网，多台防火墙可组成高可靠性的网络n双机热备：支持主双机热备：支持主/主、主主、主/备模式备模式n双机状态热备：保证设备切

12、换连接不中断双机状态热备：保证设备切换连接不中断n实现非对称路径转发。实现非对称路径转发。n链路负载均衡：通过探测链路，分析最优路径（时延小），自动选择最链路负载均衡：通过探测链路，分析最优路径（时延小），自动选择最优路径转发优路径转发电信电信电信电信15高可用性高可用性电信级硬件平台电信级硬件平台关键部件均冗余设计关键部件均冗余设计高达高达3535万小时的万小时的 (MTBF)(MTBF)支持接口模块热插拔支持接口模块热插拔支持温度自动检测及告警支持温度自动检测及告警双电源冗余备份双电源冗余备份设备可靠设备可靠网络可靠网络可靠业务可靠业务可靠端端到到端端可可靠靠网网络络16日志管理及告警日志

13、管理及告警InternetInternet日志缓冲日志缓冲监控终端监控终端控制台控制台日志主机日志主机SecPathSecPathSyslogSyslog文本日志文本日志二进制日志二进制日志丰富日志信息：丰富日志信息：n流日志nNAT/ASPF日志n攻击防范日志n黑名单/地址绑定日志n邮件/网址/内容过滤日志多种告警收集方式多种告警收集方式告警邮件告警邮件手机短信手机短信17统一设备网管能力统一设备网管能力WEBWEB、SNMPSNMP、TR069TR069等管理方式等管理方式支持支持iMCiMC统一网管统一网管支持支持VPN ManagerVPN Manager进行进行VPNVPN部署部署支

14、持支持BIMSBIMS集中管理集中管理n H3C F5000-A5产品介绍产品介绍n H3C F5000-A5基本功能配置基本功能配置n H3C F5000-A5典型组网典型组网n 常见故障及其维护方法常见故障及其维护方法目录目录19防火墙管理配置方式防火墙管理配置方式F5000-A5支持多种方式管理，有Web、Telnet、SSH，其中大部分配置都能通过WEB完成，同时，支持命令行，命令行主要提供简单的配置、信息查看、故障诊断等，推荐使用推荐使用WEBWEB方式进行配置方式进行配置。PCF5000-A20管理方式一：管理方式一：console方式方式F5000-A5自带console口，可以

15、用串口线对F5000-A5进行管理，其串口参数设置如图所示，默认情况下console口没有密码。图1 Windows 超级终端图2 SecureCRT21管理方式二：管理方式二：Web方式方式默认管理IP地址：192.168.0.1默认用户名：h3c默认密码：22管理方式三：管理方式三：Telnet/SSH方式方式1.开启Telnet和SSH服务2.创建管理用户登陆防火墙WEB页面后单击“设备管理 服务管理”登陆防火墙WEB页面后单击“用户管理 本地用户”，然后点击或用户 23通过指定通过指定IP通过指定端口管理防火墙通过指定端口管理防火墙H3Cip http port 8080 /修改管理端

16、口号H3Cip http acl?INTEGER Basic acl /限制登录用户IP24SNMP配置配置l SNMP（Simple Network Management Protocol）是使用是使用TCP/IP协议族对互联网上的设备进行管理的协议族对互联网上的设备进行管理的一个框架，它提供一组基本的操作来监视和维护互一个框架，它提供一组基本的操作来监视和维护互联网。联网。H3Csnmp-agent /启用启用SNMP功能功能H3Csnmp-agent local-engineid 800063A203000000000202H3C snmp-agent community read pu

17、blic /设置设置SNMP Community及其操作限；及其操作限；H3Csnmp-agent community write privateH3Csnmp-agent sys-info version all /设置设置SNMP版本；版本；H3Csnmp-agent trap source GigabitEthernet2/0 /设置设置SNMP trap源地址；源地址；H3Csnmp-agent target-host trap address udp-domain 192.168.0.2 params securityname h3c/设置设置SNMP target-host tra

18、p address；25设置设备名称及设置设备名称及WEB管理超时时间管理超时时间26设置日期和时间设置日期和时间NTP服务器端配置NTP客户端端配置通过命令行和WEB页面都可以设置系统的日期和时间27网络管理网络管理l 防火墙的网络管理包括端口参数设置、防火墙的网络管理包括端口参数设置、VLAN配配置、路由协议配置及路由表的维护、置、路由协议配置及路由表的维护、DHCP、DNS以及流量统计等内容。以及流量统计等内容。28以太网接口管理以太网接口管理l 常用端口参数设置命令：常用端口参数设置命令：H3Cint GigabitEthernet 2/8H3C-GigabitEthernet2/8s

19、peed 100/1000 /设置端口速率H3C-GigabitEthernet2/8duplex full/half/auto /设置双工模式H3C-GigabitEthernet2/8combo enable copper/fiber /设置combo口类型H3C-GigabitEthernet2/8 port link-mode bridge/route/设置端口工作模式H3C-GigabitEthernet2/8shutdown /关闭端口H3C-GigabitEthernet2/8no shutdown /开启端口 H3C-GigabitEthernet2/8 tcp mss？/修改

20、端口MSS值 INTEGER TCP-MSS value H3C-GigabitEthernet2/8 mtu？/修改端口MTU值 INTEGER MTU value 29链路聚合功能链路聚合功能l 链路聚合是将多个物理以太网接口聚合在一起形链路聚合是将多个物理以太网接口聚合在一起形成一个逻辑上的聚合组，使用链路聚合服务的上成一个逻辑上的聚合组，使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条层实体把同一聚合组内的多条物理链路视为一条逻辑链路。逻辑链路。l 链路聚合可以实现数据流量在聚合组中各个成员链路聚合可以实现数据流量在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合

21、组端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接的各个成员端口之间彼此动态备份，提高了连接可靠性。可靠性。l H3C防火墙支持三层、二层以及静态、动态链路防火墙支持三层、二层以及静态、动态链路聚合功能。聚合功能。30三层链路聚合三层链路聚合l 组网需求：组网需求：F5000A的GE1/6和GE1/7采用三层链路聚合到group 1，与交换机进行对接，基于源地址实现链路负载分担和动态备份。l 配置方法：配置方法：创建聚合组，并将接口加入聚合组配置负载分担方式将实际接口和聚合口加入安全区域F5000-A5SwitchGE1/6GE1/7GE4/1/1GE4/1

22、/31三层链路聚合（续）三层链路聚合（续）l 配置方法：配置方法：#interface Route-Aggregation 1 /创建链路聚合口，并设置其IP地址 ip address 10.1.1.1 255.255.255.0#interface GigabitEthernet1/6 port link-mode route port link-aggregation group 1 /将接口加入聚合组#interface GigabitEthernet1/7 port link-mode route port link-aggregation group 1#link-aggregati

23、on load-sharing mode source-ip /设置聚合口负载分担方式32二层链路聚合二层链路聚合l 配置要点：配置要点：先将接口工作模式设置成桥接模式创建聚合口并加入VLAN添加接口到聚合组将实际接口和聚合口加入相应安全区域l 配置方法配置方法#interface Bridge-Aggregation 1 /创建链路聚合口，并加入VLAN port access vlan 10#interface GigabitEthernet1/6 port link-mode bridge port access vlan 10 port link-aggregation group 1

24、 /将二层接口加入聚合组33二层链路聚合二层链路聚合l 配置方法配置方法#interface GigabitEthernet1/7 port link-mode bridge port access vlan 10 port link-aggregation group 1#int vlan-interface 10ip address 10.1.1.1 24#link-aggregation load-sharing mode source-ip /设置负载分担方式然后登陆WEB，添加GE1/6和GE1/7，聚合组 1 到相应安全区域34防火墙基本概念防火墙基本概念安全区域安全区域安全区域是

25、防火墙区别于普通网络设备的基本特征之一。所安全区域是防火墙区别于普通网络设备的基本特征之一。所有接口必须加入区域，以接口为边界，按照安全级别不同将有接口必须加入区域，以接口为边界，按照安全级别不同将业务分成若干区域，防火墙的策略（如域间策略、攻击防范业务分成若干区域，防火墙的策略（如域间策略、攻击防范等）在区域或者区域之间下发。等）在区域或者区域之间下发。注：接口只有加入了业务安全区域后才会转发数据注：接口只有加入了业务安全区域后才会转发数据35安全区域（续）安全区域（续）n默认的安全区域及优先级：默认的安全区域及优先级：ManagementManagement（100100）、）、Local

26、Local（100100）、）、TrustTrust（8585）、）、UntrustUntrust（5 5）、）、DMZDMZ（5050）l高优先级安全区域可以访问低优先级区域；l低优先级安全区域不允许访问高优先级区域；l相同优先级安全区域可以相互访问；l相同安全区域内可以相互访问；l默认情况下，其它所有安全区域都可以访问Local域；n默认的安全区域访问控制策略：默认的安全区域访问控制策略：36创建安全区域并将接口加入区域创建安全区域并将接口加入区域创建一个安全区域将接口加入区域37域间策略域间策略默认情况下，高级别区域默认情况下，高级别区域能访问低级别区域，低级能访问低级别区域，低级别区域

27、的不能访问高级别别区域的不能访问高级别区域，如果需要低级别区区域，如果需要低级别区域访问高级别区域，怎么域访问高级别区域，怎么办？办？38域间策略域间策略l 域间策略基于域间策略基于ACL（Access Control List，访问控制列表），在安，访问控制列表），在安全域之间实现流识别控制功能。全域之间实现流识别控制功能。l 基于五元组（源基于五元组（源IP地址、目的地址、目的IP地址、源地址、源MAC地址、目的地址、目的MAC地址、地址、IP承载的协议类型和协议的特性（例如承载的协议类型和协议的特性（例如TCP或或UDP的源端口的源端口/目的端目的端口、口、ICMP协议的消息类型协议的消

28、息类型/消息码消息码）指定匹配规则。）指定匹配规则。l 根据策略执行相应动作（允许、阻断、记录日志）。根据策略执行相应动作（允许、阻断、记录日志）。l 基于时间段下发域间策略、策略加速、策略匹配统计等多种功能。基于时间段下发域间策略、策略加速、策略匹配统计等多种功能。39域间策略域间策略l 将IP地址和域名简化为地址资源和地址组资源l 将源端口、目的端口以及协议号简化为服务资源和服务组资源l 通过引用地址组资源和服务组资源创建域间策略l 启用域间访问策略后即可实现对网络访问的控制40创建域间策略创建域间策略l第一步：创建地址资源第一步：创建地址资源主机地址资源适用于归类散列IP地址，可以是IP

29、地址也可以是域名41创建域间策略创建域间策略范围地址资源适用于连续的IP地址段42创建域间策略创建域间策略子网地址资源适用于整个网段的IP地址资源，用反掩码控制范围43创建域间策略创建域间策略地址资源除了IP地址外还可以引用MAC地址44创建域间策略创建域间策略可以将创建的地址对象添加到一个地址组里面进行统一管理45创建域间策略创建域间策略将MAC地址对象加入MAC地址组46创建域间策略创建域间策略l 第二步：创建服务资源第二步：创建服务资源用户可以根据需要配置相应的服务47创建域间策略创建域间策略将多个服务对象添加到一个服务组进行统一管理48创建域间策略创建域间策略l 第三步：引用地址资源和

30、服务资源创建域间策略第三步：引用地址资源和服务资源创建域间策略49会话管理会话管理在在WEBWEB管理页面单击管理页面单击“防火墙防火墙 会话管理会话管理”可以查看当前会话列可以查看当前会话列表、配置会话老化时间、查看会话统计等信息表、配置会话老化时间、查看会话统计等信息50基本转发流程基本转发流程报文入接口是否匹配已有会话创建会话，查路由表送到相应区域是否匹配域间策略直接转发按照策略动作处理按照缺省动作处理是否是否51防火墙转发模式：透明转发防火墙转发模式：透明转发l组网需求组网需求：PC1和PC2分别连在防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为10.0.0.1/24和10.0

31、.0.2/24，需要通过防火墙实现互通。G0/1G0/2PC1:10.0.0.1PC2:52透明转发透明转发l 配置方法：配置方法：将g0/1和g0/2设置成bridge模式将g0/1和g0/2配置成access端口（缺省即是），将两access端口的pvid设置相同（缺省为1）将g0/1和g0/2加入不同的安全区域（如trust、untrust），在区域或区域间配置相关安全策略（ACL、攻击防范等）interface GigabitEthernet0/1 port link-mode bridge port access vlan 100#interface GigabitEthernet0

32、/2 port link-mode bridge port access vlan 100 53防火墙转发模式：防火墙转发模式：inline转发转发l Inline 转发：转发：实现对同一网段主机间的报文进行安全过滤，就是由数据链路层来完成不同主机间的通信。l 组网需求组网需求在已存在的两个互通的网络之间实现安全过滤，而又不改原有网络的结构及配置的情况下，可以考虑用 inline 转发。G0/3G0/4PC1PC2完全不改变现有组网结构完全不改变现有组网结构54透明模式透明模式InlineInline转发（续）转发（续）l 配置方法配置方法 用户通过配置直接指定从某接口入的报文从特定接口出，将

33、两个二层的端口划为同一 inline 转发组即可实现报文透传。INLINE转发只支持二层接口，不支持逻辑接口，包括子接口；l 工作流程工作流程 报文转发不再根据MAC表进行，而是根据用户已经配置好的一组配对接口进行转发，发送到设备的报文从其中一个接口进入后从另一个接口转发出去。55防火墙转发模式：二层防火墙转发模式：二层VLANVLAN透传透传l组网需求：组网需求：Switch-A和Switch-B和防火墙连接的接口工作在trunk模式下，出交换机时带相同的VLAN TAG。防火墙Ge0/2和Ge0/3接口都工作在二层，实现vlan透传。PC1的地址是100.0.0.1/8，PC2的地址是10

34、0.0.0.2/8。PC1Ge1/0/1Ge1/0/2 Ge0/2Ge0/3 Ge1/0/1Ge1/0/2PC1Switch-ASwitch-B56二层二层VLANVLAN透传转发（续）透传转发（续）l 配置方法：配置方法：将g0/2和g0/3设置成bridge模式将g0/2和g0/3配置成trunk端口，允许业务vlan通过将g0/2和g0/3加入不同的安全区域（如trust、untrust），在区域或区域间配置相关安全策略（ACL、攻击防范等）interface GigabitEthernet0/2 port link-mode bridge port link-type trunk po

35、rt trunk permit vlan all#interface GigabitEthernet0/3 port link-mode bridge port link-type trunk port trunk permit vlan 57防火墙转发模式：路由转发防火墙转发模式：路由转发l组网需求：组网需求：PC1和PC2分别连在防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为100.0.0.2/24和200.0.0.2/24，需要通过防火墙实现互通。防火墙的Ge0/1和Ge0/2的接口IP分别为100.0.0.1/24和200.0.0.1/24。G0/1G0/2PC1PC2100.

36、0.0.1/24200.0.0.1/58路由转发（续）路由转发（续）l 配置方法：配置方法：将g0/1和g0/2设置成route模式（缺省即是）在g0/1和g0/2配置相应的IP地址将g0/1和g0/2加入不同的安全区域（如trust、untrust），在区域或区域间配置相关安全策略（ACL、攻击防范等）interface GigabitEthernet0/1 port link-mode routeip address 100.0.0.1 255.255.255.0#interface GigabitEthernet0/2 port link-mode routeip address 200

37、.0.0.1 255.255.255.0#59NAT功能功能l F5000-A5防火墙基于多核防火墙基于多核CPU处理器，具有丰富的业务处理能力和处理器，具有丰富的业务处理能力和 很高的性能，可作为大型企业网络的安全网关，提供一对多、一对一、很高的性能，可作为大型企业网络的安全网关，提供一对多、一对一、内部服务器等地址转换功能，同时支持内部服务器等地址转换功能，同时支持VPN多实例和多实例和VLAN接口的地接口的地 址转换。址转换。Easy IP方式NAT PAT方式NAT no-PAT 方式NAT NAT Static NAT Serverl NAT Static和和NAT Server支持

38、支持ACL对访问的地址进行控制。对访问的地址进行控制。60NAT配置配置l 第一步：配置第一步：配置ACL，定义需要转换的内网地址，定义需要转换的内网地址61NAT配置配置l 第二步：创建地址池（可选）第二步：创建地址池（可选）62NAT配置配置l 第三步：在接口上运用第三步：在接口上运用NAT转换策转换策选择NAT转换的方式，共有No-PAT、PAT、Easy IP三种方式63地址转换方式比较地址转换方式比较l No-PAT No-PAT 方式方式地址转换时，利用访问控制列表控制哪些内部地址可以进行地址转换，使用地址池IP地址对数据报文进行地址转换，源端口不变，一对一转化。l PATPAT方

39、式方式地址转换时，使用地址池IP地址对数据报文进行地址转换，源端口改变。l Easy IPEasy IP方式方式地址转换时，并直接使用接口的公有IP地址作为转换后的源地址，源端口改变。64NAT Server配置配置注：NAT Server配置是要添加从外网到内部服务器的域间策略，否则无法访问内部服务器65NAT Server配置配置配置域间策略，保证外网能够访问内部服务器的80端口。允许外网访问内部服务器66ARP防攻击防攻击l 通过固化正确的通过固化正确的ARP表项可以防止表项可以防止ARP欺骗欺骗l PC通过通过arp-s ip-address mac-address方式绑方式绑定定C:

40、arp-s 192.168.1.1 00-24-e8-ae-16-67攻击防范攻击防范l 攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和攻击防范是防火墙的重要特性之一，它分析经过防火墙报文的内容和行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：行为，判断报文是否具有攻击特性，如果有则执行一定的防范措施：如加入黑名单、输出告警日志、丢弃报文等。如加入黑名单、输出告警日志、丢弃报文等。l 攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检攻击防范具体功能包括黑名单过滤、报文攻击特征识别、流量异常检测、入侵检测统计。测、入侵检测统计。68攻击防范：报文异常检测攻击

41、防范：报文异常检测安全区域是指发起攻击的区域防火墙对经过的报文进行分析，查看报文的特征，若报文防火墙对经过的报文进行分析，查看报文的特征，若报文具有攻击性，则输出告警日志并且阻断报文通过具有攻击性，则输出告警日志并且阻断报文通过 。69常见攻击报文介绍常见攻击报文介绍序号攻击名称说明1Tracert攻击者连续发送TTL从1开始递增的目的端口号为大端口号的UDP 报文，报文每经过一个路由器，其TTL都会减1，当报文的TTL为0时，则给报文的源IP设备发送一个TTL超时的ICMP报文，攻击者借此来探测网络的拓扑结构。2Large ICMP某些主机或设备收到超大的报文，会导致内存分配错误而导致协议栈

42、崩溃。攻击者通过发送超大ICMP报文，让目标主机崩溃，达到攻击目的。3Smurf攻击者发送ICMP应答请求，该请求包的目标地址设置为受害网络的广播地址，这样该网络的所有主机都对此ICMP应答请求作出答复，导致网络阻塞，达到令攻击主机拒绝服务的攻击目的。4ICMP Redirect攻击者向用户发送ICMP重定向报文，更改用户的路由表，导致用户不能正常地访问目的服务器，甚至盗取用户的信息。5ICMP Unreachable某些系统在收到不可达的ICMP报文后，对于后续发往此目的地的报文判断为不可达并切断网络连接。攻击者发送ICMP不可达报文，达到切断目的主机网络连接的攻击目的。6Fraggle攻击

43、者通过发送UDP端口为7的ECHO报文或者UDP端口为19的Chargen报文，令网络产生大量无用的应答报文，占满网络带宽，达到攻击目的。7WinNuke攻击者向装有Windows系统的特定目标的NetBIOS端口（139）发送OOB（out-of-band）数据包，引起一个NetBIOS片断重叠，致使已与其他主机建立连接的目标主机崩溃。8TCP Flag不同操作系统对于非常规的TCP标志位有不同的处理。攻击者通过发送TCP报文探测攻击主机的操作系统类型；若操作系统对这类带有非常规的TCP标志的报文处理不当的话，攻击者可达到使攻击目标崩溃的目的。9Land攻击者发送了大量源IP地址和目的IP地

44、址都是目标自身的TCP SYN报文，耗尽目标计算机的半连接资源，使攻击目标最终不能正常服务。10Route Record攻击者利用IP报文中的Route Record路由选项对网络结构进行探测。11Source Route攻击者利用IP报文中的Source Route路由选项对网络结构进行探测。70攻击防范：流量异常检测攻击防范：流量异常检测l 防火墙通过检测网络流量，分析异常流量的特征，防火墙通过检测网络流量，分析异常流量的特征，能成功检测出各种泛洪攻击和网络扫描攻击。能成功检测出各种泛洪攻击和网络扫描攻击。l 具体功能包括：具体功能包括：ICMP Flood攻击检测、攻击检测、UDP Fl

45、ood攻击检测、攻击检测、SYN Flood攻击检测、扫描攻攻击检测、扫描攻击检测和连接数限制等。击检测和连接数限制等。l 防火墙通过限制连接数和代理的方式进行泛洪攻防火墙通过限制连接数和代理的方式进行泛洪攻击的防范击的防范71流量异常检测：流量异常检测：ICMP Flood安全区域是指需要被保护的区域UDP Flood 和ICMP Flood的配置方法一样，都是基于数据报文的阈值统计来判断的，一旦ICMP或UDP报文的统计值超过设定的阈值，就进行相应的处理。72流量异常检测：流量异常检测：SYN Flood1.在需要被保护的区域上开启SYN Flood防范2.设置SYN Flood参数3.攻

46、击发起域上开启TCP P73ASPF ASPF（Application Specific Packet Filter：基于应用层的包过滤），可以实现动态通道检测和应用状态检测两大功能，是比传统包过滤技术更高级的一种防火墙技术，主要用来实现单向访问，在这里ASPF只是用于在域间“丢弃ICMP差错报文或非SYN的TCP首包报文”。74防火墙防火墙QoS功能功能l 通常所说的通常所说的QoS，是对分组转发过程中为延迟、，是对分组转发过程中为延迟、抖动、丢包率等核心需求提供支持的服务能力的抖动、丢包率等核心需求提供支持的服务能力的评估评估 l 防火墙的防火墙的QoS策略包括三个要素：策略包括三个要素：

47、类：用于标识数据流流行为：定义针对报文所做的QoS动作 策略：将指定的类和指定的流行为绑定起来 75防火墙防火墙QoS配置配置#traffic classifier class_up operator and /创建流分类 if-match acl 3000#traffic behavior behavior_up /创建流行为 car cir 8000 cbs 500000 ebs 0 green pass red discard#qos policy policy_up /创建QoS策略 classifier class_up behavior behavior_up#interface

48、GigabitEthernet0/0 port link-mode route nat outbound static ip address 60.191.99.140 255.255.255.0 qos apply policy policy_up outbound /在接口上运用QoS策略#76网站地址过滤网站地址过滤l 使用网站地址过滤可以阻止内部用户访问非法和不健康的使用网站地址过滤可以阻止内部用户访问非法和不健康的网站，或者只允许用户访问某些特定的网站。网站，或者只允许用户访问某些特定的网站。l 规则的创建主要是靠关键字来实现，关键字书写的注意事规则的创建主要是靠关键字来实现，关键字

49、书写的注意事项如下：项如下：过滤关键字的开头有过滤关键字的开头有“”或结尾有或结尾有“$”，表示精确匹配，精确匹，表示精确匹配，精确匹配以域名两点之间的段为单位，如配以域名两点之间的段为单位，如webfilter”表示以表示以“webfilter”开头的网址（如开头的网址（如）或类似于）或类似于cmm.webfilter-的网址将被过滤掉。关键字的网址将被过滤掉。关键字“webfilter$”表示过滤包表示过滤包含独立词语含独立词语“webfilter”的网址，比如的网址，比如，但是，但是类似于类似于的网址将不会被过滤；的网址将不会被过滤；“*”代表多个字符。但是代表多个字符。但是“*”位于过

50、滤关键字的开头时，必须以位于过滤关键字的开头时，必须以“*.其它关键字其它关键字”的形式出现，例如的形式出现，例如“*.com”或者或者“*”，“*”也不能单独放在结尾；也不能单独放在结尾；如果过滤关键字的开头和结尾都没有通配符，表示模糊匹配。对如果过滤关键字的开头和结尾都没有通配符，表示模糊匹配。对于模糊匹配，只要网址中包含了该关键字就会被过滤于模糊匹配，只要网址中包含了该关键字就会被过滤77网站地址过滤网站地址过滤开启网站地址过滤功能，默认禁止所有用户访问外网允许用户访问新浪、百度78网站地址过滤网站地址过滤允许所有用户通过IP地址访问网站用ACL规定用户可以访问部分网站IP地址79网站地