1、SecPath防火墙技术介绍,2,学习目标,防火墙的域和模式 攻击防范、包过滤、ASPF、NAT、黑名单的使用方法,学习完本课程,您应该能够了解:,3,防火墙的模式,路由模式 为防火墙的以太网接口(以GigabitEthernet0/0 为例)配置IP 地址。 SecPath interface GigabitEthernet0/0 SecPath-GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 透明模式当防火墙工作在透明模式下时,其所有接口都将工作在第二层,即不能为接口配置IP 地址。这样,用户若要对防火墙进行Web 管理,需在
2、透明模式下为防火墙配置一个系统IP 地址(System IP)。用户可以通过此地址对防火墙进行Web 管理。缺省情况下,防火墙工作在路由模式。 (1) 配置防火墙工作在透明模式。 SecPath firewall mode ?route Route modetransparent Transparent mode SecPath firewall mode transparent Set system ip address successfully. The GigabitEthernet0/0 has been in promiscuous operation mode ! The Giga
3、bitEthernet0/1 has been in promiscuous operation mode ! All the Interfacess ips have been deleted. The mode is set successfully. 从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的IP 地址已经被删除。 (2) 为防火墙配置系统IP 地址。 SecPath firewall system-ip 192.168.0.1 255.255.255.0 Set system ip address successfully. 说明:当防火墙切换到透明模
4、式时, 系统为防火墙分配了一个缺省系统IP地址169.0.0.1/8,可以使用上述命令更改系统IP 地址。,4,防火墙的模式,可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后
5、,安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。 相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。,5,防火墙的属性配置命令,打开或者关闭防火墙 firewall enable | disable 设置防火墙的缺省过滤模式 firewall default permit|deny 显示防火墙的状态信息 display firewall,6,在接口上应用访问控制列表,将访问控制列表应用到接口上 指明在接口上是OUT还是IN方向,Ethernet0,Serial0,访问控制列表3 作用在Serial0接口上 在in方向上有效,7,基于时间段
6、的包过滤,“特殊时间段内应用特殊的规则”,Internet,上班时间 (上午8:00 下午5:00) 只能访问特定的站点;其余 时间可以访问其他站点,8,时间段的配置命令,time range 命令 timerange enable|disable undo settr 命令 settr begin-time end-time begin-time end-time undo settr 显示 isintr 命令 display isintr 显示 timerange 命令 display timerange,9,访问控制列表的组合,一条访问列表可以由多条规则组成,对于这些规则,有两种匹配顺序
7、:auto和config。 规则冲突时,若匹配顺序为auto(深度优先),描述的地址范围越小的规则,将会优先考虑。 深度的判断要依靠通配比较位和IP地址结合比较 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段 (202.38.0.0)上的主机但允许其中的一小部分主 机(202.38.160.0)的访问。 规则冲突时,若匹配顺序为config,先配置的规则会被优先考虑。,10,防火墙,在测试环境中,划分了最常用的三个安全区域: Untrus
8、t区域用于连接外部网络; DMZ区域放置对外服务器; Trust区域用于连接内部安全网络。,Lan switch,Trust区域,PC 1,192.168.2.2/24,server A,Internet,11,防火墙基本配置,SecPath: Interface GigabitEthernet 0/0 ip address 192.168.3.1 255.255.255.0 Interface GigabitEthernet 0/1 ip address 192.168.1.1 255.255.255.0 Interface Ethernet 1/0 ip address 192.168.2
9、.1 255.255.255.0PC1: 配置IP 地址为192.168.1.3/24PC2: 配置IP 地址为192.168.1.2/24,12,防火墙的功能演示,13,防火墙的功能演示,14,防火墙的功能演示,15,防火墙的功能演示,16,ASPF,ASPF(Application Specific Packet Filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。ASPF能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于ACL规则的包过滤可以在网络层和传输层检测数据包,防止非法
10、入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。,17,ASPF,ASPF能够 监测FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量 DoS(Denial of Service,拒绝服务)的检测和防范。 Java Blocking(Java阻断)保护网络不受有害Java Applets的破坏。 Activex Blocking(Activex阻断)保护网络不受有害Activex的破坏。 支持端口到应用的映射,为基于应用层协议的服务指定非通用端口。 增强的会话日志功能。可以对所有的连接进行记录,包括连接时间、源地址、目的地址、使用端口和传输字节数等信息。,1
11、8,攻击类型简介,单报文攻击 Fraggle Ip spoof Land Smurf Tcp flag Winnuke ip-fragment,19,攻击类型简介,分片报文攻击 Tear Drop Ping of death 拒绝服务类攻击 SYN Flood UDP Flood & ICMP Flood 扫描 IP sweep Port scan,20,单包攻击原理及防范-1,Fraggle 特征:UDP报文,目的端口7(echo)或19(Character Generator) 目的:echo服务会将发送给这个端口的报文再次发送回去 Character Generator服务会回复无效的字
12、符串 攻击者伪冒受害者地址,向目的地址为广播地址的上述端口,发送请求,会导致受害者被回应报文泛滥攻击 如果将二者互指,源、目的都是广播地址,会造成网络带宽被占满 配置:firewall defend fraggle enable 原理:过滤UDP类型的目的端口号为7或19的报文,21,单包攻击原理及防范-2,IP Spoof 特征:地址伪冒 目的:伪造IP地址发送报文 配置:firewall defend ip-spoofing enable 原理:对源地址进行路由表查找,如果发现报文进入接口不是本机所认为的这个IP地址的出接口,丢弃报文,22,单包攻击原理及防范-3,Land 特征:源目的地
13、址都是受害者的IP地址,或者源地址为127这个网段的地址 目的:导致被攻击设备向自己发送响应报文,通常用在syn flood攻击中 配置:firewall defend land enable 防范原理:对符合上述特征的报文丢弃,23,单包攻击原理及防范-4,Smurf 特征:伪冒受害者IP地址向广播地址发送ping echo 目的:使受害者被网络上主机回复的响应淹没 配置:firewall defend smurf enable 原理:丢弃目的地址为广播地址的报文,24,单包攻击原理及防范-5,TCP flag 特征:报文的所有可设置的标志都被标记,明显有冲突。比如同时设置SYN、FIN、R
14、ST等位 目的:使被攻击主机因处理错误死机 配置:firewall defend tcp-flag enable 原理:丢弃符合特征的报文,25,单包攻击原理及防范-6,Winnuke 特征:设置了分片标志的IGMP报文,或针对139端口的设置了URG标志的报文 目的:使被攻击设备因处理不当而死机 配置:firewall defend winnuke enable 原理:丢弃符合上述特征报文,26,单包攻击原理及防范-7,Ip-frag 特征:同时设置了DF和MF标志,或偏移量加报文长度超过65535 目的:使被攻击设备因处理不当而死机 配置:firewall defend ip-fragme
15、nt enable 原理:丢弃符合上述特征报文,27,分片报文攻击原理及防范-1,Tear drop 特征:分片报文后片和前片发生重叠 目的:使被攻击设备因处理不当而死机或使报文通过重组绕过防火墙访问内部端口 配置:firewall defend teardrop enable 原理:防火墙为分片报文建立数据结构,记录通过防火墙的分片报文的偏移量,一点发生重叠,丢弃报文,28,分片报文攻击原理及防范-2,Ping of death 特征:ping报文全长超过65535 目的:使被攻击设备因处理不当而死机 配置:firewall defend ping-of-death enable 原理:检查
16、报文长度如果最后分片的偏移量和本身长度相加超过65535,丢弃该分片,29,拒绝服务攻击原理及防范-1,SYN Flood 特征:向受害主机发送大量TCP连接请求报文 目的:使被攻击设备消耗掉所有处理能力,无法响应正常用户的请求 配置: statistic enable ip inzone firewall defend syn-flood ip X.X.X.X | zone zonename max-number num max-rate num tcp-proxy auto|on|off firewall defend syn-flood enable 原理:防火墙基于目的地址统计对每个I
17、P地址收到的连接请求进行代理,代替受保护的主机回复请求,如果收到请求者的ACK报文,认为这是有效连接,在二者之间进行中转,否则删掉该会话,30,拒绝服务攻击原理及防范-2小,UDP/ICMP Flood 特征:向受害主机发送大量UDP/ICMP报文 目的:使被攻击设备消耗掉所有处理能力 配置: statistic enable ip inzone firewall defend udp/icmp-flood ip X.X.X.X | zone zonename max-rate num firewall defend udp/icmp-flood enable 原理:防火墙基于目的地址统计对每
18、个IP地址收到的报文速率,超过设定的阈值上限,进行car,31,扫描攻击原理和防范-1,IP sweep 特征:地址扫描,向一个网段内的IP地址发送报文 nmap 目的:用以判断是否存在活动的主机以及主机类型等信息,为后续攻击作准备 配置: Statistic enable ip outzone Firewall defend ip-sweep max-rate num blacklist-timeout num 原理:防火墙根据报文源地址进行统计,检查某个IP地址向外连接速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离 注意:如果要启用黑名单隔离功能,需要先启动黑
19、名单,32,扫描攻击原理和防范-2,Port scan 特征:相同一个IP地址的不同端口发起连接 目的:确定被扫描主机开放的服务,为后续攻击做准备 配置: Statistic enable ip outzone Firewall defend port-scan max-rate num blacklist-timeout num 原理:防火墙根据报文源地址进行统计,检查某个IP地址向同一个IP地址发起连接的速率,如果这个速率超过了阈值上限,则可以将这个IP地址添加到黑名单中进行隔离 注意:如果要启用黑名单隔离功能,需要先启动黑名单,33,防火墙防范的其他报文,Icmp redirect Icmp unreachable Large icmp Route record Time stamp tracert,华为3Com技术有限公司,华为3Com公司网址: www.huawei- 华为3Com技术论坛网址: forum.huawei-,
