1、Eudemon防火墙产品培训,培训提纲,防火墙概述Eudemon产品介绍Eudemon防火墙配置典型组网及故障排除,为什么需要防火墙,、网络互连越来越庞大,越来越复杂,不法分子也越来越多,对一个企业的网络安全隐患日渐增多。 、企业网络需要一个“隔离设备”来保护自已。,提供防火墙的供应商,Huawei - Eudemon Cisco - PIX NetScreen Lenovo Hisense、 CheckPoint、 Nortel。,防火墙的基本原理,几个概念的解释,LAN: 内部网,例如企业内部局域网,是被保护的安全区,它不对外开放,也不对外提供任何服务,所以外部用户检测不到它的地址也难以对
2、它进行攻击。如果要从外面接入,要经过严格认证,或通过VPN通道接入。例如IPSEC VPN 就是一种常用方式。 DMZ: 又称非军事化区,它对外提供服务,如WEB,EMAIL等服务器,IDC数据中心主要就是应用在DMZ区。由于它的开放性,就使它成为黑客们攻击的对象,但由于它与内部网是隔离开的,所以即使受到了攻击,也不会危及内部网。因为要对外开放服务,安全性主要由服务器的操作系统和应用软件决定。确切的说,防火墙此时对其安全性保障作用不大。 Control: 是专为配置防火墙的用户而设定的一个接口,对防火墙的所有设置都在该区进行,它只对防火墙进行设置和操作,一般不接受其它任何服务也不对外提供服务,
3、这就为防火墙的安全提供了双重保证。,防火墙的种类,包过滤防火墙:只支持静态ACL,基本已退出IT舞台。 应用层PROXY代理防火墙:业界比较少,它的特点是安全性较好,但速度很慢,而且需要针对每一种协议开发应用层代理。 自适应代理防火墙:速度比代理快,安全性也较好。 状态防火墙:通过监视每一个连接从发起到结束的全过程,从而达到根据策略允许,或禁止访问的目的。这类防火墙速度快,安全性较好。如Eudemon、CISCO、NETSCREEN、CHECKPOINT等都是这类防火墙。,按原理来分,防火墙的种类,按结构来分,硬件防火墙 数据包的处理和转发由硬件实现,可以大大的提高报文处理能力和转发速率,典型
4、的如华为的Eudemon系列防火墙,软件防火墙 数据包的处理和转发由软件实现,性能较低,典型的如:PIX、CheckPoint及国内其它厂家的防火墙(联想、海信等),培训提纲,防火墙概述Eudemon产品介绍Eudemon防火墙配置典型组网及故障排除,华为公司系列硬件防火墙产品,华为公司系列硬件防火墙产品,涵盖了从低端数兆到高端千兆级别,卓越的性能和先进的安全体系架构为用户提供了强大的安全保障,Eudemon 1000,Eudemon 200,Eudemon 100,Eudemon产品基本情况,8060,Eudemon1000,Eudemon2000,新旧Eudemon防火墙的区别,现在Eud
5、emon2200的版本已正式发布(V200R001B01D007),最终旧的Eudemon100要节换到新的Eudemon. 障碍:R36平台上的性能,Eudemon防火墙主要特色,高安全性: 专门设计的防火墙平台,具有自主的安全操作系统;报文处理和操作系统完全分开,这种无依赖性大大提高了系统安全性。提供数十种攻击的防范能力;提供特色ASPF状态检测技术,可对连接过程和有害命令进行监测;并支持IPSEC VPN 加密等特性,提供包括DES, 3DES等多种加密算法,并支持CA,为用户提供了极高的安全性。 高速处理能力: 采用了高速算法和优化的软件结构,ACL提供业界领先的高速算法,查找数千条策
6、略的速度和查找数条速度一样;高端防火墙采用了网络处理器,轻松达到1G线速。 高可靠性: 专门设计的防火墙平台,软件每一环节均考虑到攻击的各种可能性,使得系统即使在最恶劣的攻击下,也不会崩溃;高端防火墙提供了电源11备份;支持双机状态热备,即使发生倒换,也不会造成业务中断;支持多机分担处理,故障时自动倒换。,Eudemon防火墙主要特色,强大的组网和业务支撑能力: 提供高速NAT。支持对丰富的ALG支持,包括H.323 、 ftp、RTP等等,满足用户广泛的应用需求。 提供广泛的广域网口支持。这充分利用了我司在数据通信产品上的优势,可以支持数十种广域网口的需求,使得没有太网接口的用户不用在防火墙
7、前再增加一台路由器,节省了大量资金。 对多种VPN的支持;包括L2TP, GRE, IPSEC等,满足用户多样化的组网需求。其中加密算法可根据用户需要更换特定加密卡即可,可以满足政府,公安,军队等有特殊要求的用户。 防火墙支持多种工作模式,包括路由、透明和混合三种模式,其中透明模式可以使得用户不用更改原来的网络,方便了用户组网。,Eudemon防火墙基本规格,Eudemon防火墙基本规格,Eudemon防火墙基本规格,Eudemon防火墙基本规格,Eudemon防火墙基本规格,动态创建和删除过滤规则,改进的状态防火墙: Eudemon系列防火墙即采用的这种技术,这是华为特有的ASPF技术(Ap
8、plication specific packet filter),它结合了代理型防火墙安全性高、状态防火墙速度快的优点,因此安全性高,处理能力强。,Eudemon所采用的状态检测安全技术,监视通信过程中的报文,FTP,路由器是基于单个报文的过滤,并没有状态的概念,在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。防火墙是基于状态检测的设备,只关心的方向是流的发起方向,允不允许这个流出去,允不允许另一个流进来,至于这个流出去之后交互返回的报文能否通过防火墙,完全不需要考虑。,Eudemon和路由器不同的报文过滤,举例来说,用户希望允许受保护的IP地址190.100.10.10
9、访问位于外部网络的FTP服务器200.100.10.10,同时希望内部的WWW服务器190.100.20.10可以为外部的所有用户提供服务.,支持多种工作模式,路由模式:防火墙此时象路由器一样,需要配置接口IP,路由表。除了支持静态路由,还可以支持各种路由协议,如RIP,OSPF(暂不支持)等。 透明模式:此时防火墙不需要配置接口IP,路由表等,此时它就象一台二级交换机。这使得在网络中插入防火墙,而不用更换网络当前配置。(不支持) 混合模式:透明和路由模式同时存在,在双机状态热备时需要。,总体组,财务部,测试部,文档服务器,以透明模式组网,可以直接插入原来的网络,非常方便!,高速NAT,支持N
10、AT和PAT模式(PAT模式可实现连续端口分配,一些特殊应用有此需求) 支持多地址池和EASY IP (转换成出接口IP) 支持静态NAT,可实现支持内部服务器。 支持策略NAT,可以选择只对特定网段做NAT。 支持广泛的ALG:FTP,NBT,ILS,PPTP,DNS,H323 ,会议控制协议,ICMP 。,高效的算法和网络处理器保证了NAT的高速度,internet,可为城域网、 小区、 学校、企业等出口提供高速NAT功能。,支持多种配置管理方式,支持图形配置界面,使得繁杂的配置变得简单明了。 支持传统的命令行配置方式,可通过串口,TELNET等方式。防火墙也可以通过MODEM进行远程配置
11、。 支持对多台防火墙进行同时管理。,防火墙集中管理,通过internet 远程管理,PSDN,通过MODEM远程管理,INTERNET,通过串口管理,系统管理员,MODEM,Eudemon防火墙,部门1,部门2,电信级的高可靠性,全部采用专门设计的硬件系统,不同于通用PC平台。温度监控,风扇自动调节转速,可适应恶劣环境应用。 Eudemon 200和 1000支持电源 11备份。 接口板支持热拔插,满足快速维护需求。 支持双机状态热备份,一台故障时,自动切换到另一台业务不中断。 支持VRRP协议。支持多机负载分担处理,支持多机备份。,支持VRRP协议,接口板热拔插,支持双机状态热备,支持多机负
12、载分担,电源11备份,培训提纲,防火墙概述Eudemon产品介绍Eudemon防火墙配置典型组网及故障排除,基本概念,接口:配置接口、业务接口 域:一个安全区域是一个或多个接口的一个组合,具有一个安全级别,根据安全级别有 Trust域、untrust域、DMZ域、local域、其它自定义域。 数据流向:从高信任域向低信任域转发为outbound,从低信任域向高信任域转发为inbound。,基本概念,工作模式:路由模式、透明模式、混合模式。,路由模式,透明模式,混合模式,报文分析到层,强烈推荐,转发性能低,没测试,基本概念,ACL:基本、扩展、( ) ACL加速:无论ACL条数多少,查询速度几乎
13、没有分别。,ACL:128条规则 总规则:4000,ACL:20000 总数:20000,启动ACL加速后修改ACL不会立即生效!,路由模式下的NAT配置,、工作模式选择 Firewall mode route Firewall mode transparent Firewall mode composit 2、基本参数配置 IP地址、主机名、域的分配 3、业务配置 ACL定义、ACL应用、NAT动作定义, 可以实现、双机热备、及全部的攻击防范功能。,以NAT业务例:NAT Server命令变为全局配置 NAT outbound命令的引用位置由接口下改变到了域间 在使用easy ip的时候,命
14、令行所指定的出接口必须处于该域间安全级别比较低的一侧。,透明模式下的配置,、工作模式选择 Firewall mode route Firewall mode transparent Firewall mode composit 2、基本参数配置 IP地址、主机名、域的分配 3、业务配置 ACL定义、ACL应用、动作定义。,混合模式下的状态热备配置,、工作模式选择 Firewall mode route Firewall mode transparent Firewall mode composit 2、基本参数配置 IP地址、主机名、域的分配 3、业务配置 ACL定义、ACL应用、动作定义。,VRRP,HRP,邢台广电的组网配置及问题,
