华为防火墙基础和配置V1.1讲解
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络A
交流路由信息
网络B
这个访问是否允许到B?这个TCP连接是合法连接吗?这个访问是否是一个攻击行为?
路由器的特点: 保证互联互通。 按照最长匹配算法逐包转发。 路由协议是核心特性。
防火墙的特点: 逻辑子网之间的访问控制,关注边界安全。 基于连接的转发特性。 安全防范是防火墙的核心特性。
在大厦的构造,防火墙被设计用来防止火从大厦的一部分传播到大厦 的另外一部分。我们所涉及的防火墙服务具有类似的目的:“防止 Internet的危险传播到你的内部网络”。
现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几 个网络的接入控制点,所有经过被防火墙保护的网络的数据流都应该首先 经过防火墙,形成一个信息进入的关口,因此防火墙不但可以保护内部网 络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。 在每一个被防火墙分割的网络中,所有的计算机之间是被认为“可信任 的”,它们之间的通信可以不受防火墙的干涉。而在各个被防火墙分割的 网络之间,必须按照防火墙规定的“策略”进行互相的访问。
只有经过各种配置的策略验证过的合法数据包才可以通过防火墙。
防火墙本身必须具有很强的抗攻击、渗透能力。
防火墙可以保护内部网络的安全,可以使受保护的网络避免遭到外部网络的攻击。 硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如Ethernet、 Token Ring、FDDI),这些接口用来连接几个网络。在这些网络中进行的连接都必须 经过硬件防火墙,防火墙来控制这些连接,对连接进行验证、过滤。
状态检测防火墙
状态测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。 对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火 墙或丢弃。
现在防火墙的主流产品为状态检测防火墙。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI TECHNOLOGIES CO., LTD.
Security Level:
防火墙基础
ISSUE1.0
业务与软件技术服务部 集成产品部
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
学习目标
学习完本课程,您应该能够:
了解防火墙的概念 熟悉Eudemon防火墙产品 能够对Eudemon防火墙进行规划和配置
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 2
内容
防火墙概念 Eudemon防火墙介绍 Eudemon防火墙配置步骤 Eudemon防火墙的维护 防火墙的常见组网方式
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 3
防火墙的概念
随着Internet的日益普及,许多LAN(内部网络)已经直接可以接入 Internet网络,这种开放式的网络同时带来了许多不安全的隐患。在开放 网络式的网络上,我们的周围存在着许多不能信任的计算机(包括在一个 LAN之间),这些计算机对我们私有的一些敏感信息造成了很大的威胁。
由于防火墙具有基于连接监控的特性,因此防火墙对业务支持具有非常强的优势。而路由器基于逐 包转发的特点,因此路由器设备不适合做非常复杂的业务,复杂的业务对路由器的性能消耗比较大。 防火墙支持的接口不如路由器丰富,支持的路由协议不如路由器丰富,因此防火墙不适合做为互联 互通的转发设备。防火墙适合做为企业、内部局域网的出口设备,支持高速、安全、丰富的业务特 性。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 6
防火墙的分类
按照防火墙实现的方式,一般把防火墙分为如下几类:
包过滤防火墙(Packet Filtering)
包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。利用以上的部分或者全部的信息按照规则进行比较,过滤通 过防火墙的数据包。规则的定义就是按照IP数据包的特点定义的,可以充分利用上述的四个条件定 义通过防火墙数据包的条件。
HUAWEI Confidential
Page 7
状态检测技术
用户A初始化一个telnet会话
创建Session表项 用户A的telnet会话返回报文被允许
其它telnet报文被阻塞
状态防火墙通过检测基于TCP/UDP连接的连接状态,来动态的决定报文是否可以 通过防火墙。在状态防火墙中,会维护着一个Session表项,通过Session表项就 可以决定哪些连接是合法访问,哪些是非法访问。
包过滤防火墙简单,但是缺乏灵活性。另外包过滤防火墙每包需要都进行策略检查,策略过 多会导致性能急剧下降。
代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对 Server来说防火墙是一个Client。代理型防火墙安全性较高,但是开发代价很大。对每一种应用开 发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应 用提供代理支持。
连接受信 网络区域
在连接受信网络区域和非受信网络区域之间的 区域,一般称为DMZ。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 5
连接不受信 网络区域
防火墙和路由器的差异
A的报文如何能最快的到B? 网络A如何和网络B互联互通?过来一个报文立刻转发一个报文。
HUAWEI TECHNOLOGIES CO., LTD.
HUAWEI Confidential
Page 4
防火墙的概念
简单的说,防火墙是保护一个网络免受“不信任”的网络的攻击,但是同时还必须允 许两个网络之间可以进行合法的通信。防火墙应该具有如下基本特征:
经过防火墙保护的网络之间的通信必须都经过防火墙。