《華為-數據業(yè)務防火墻基礎培訓膠.ppt》由會員分享，可在線閱讀，更多相關《華為-數據業(yè)務防火墻基礎培訓膠.ppt（67頁珍藏版）》請在裝配圖網上搜索。

06.April2006,防火墻基礎,Version4.0,Page1,數據業(yè)務局點的網絡安全，依賴于防火墻的良好配置。防火墻也是數據業(yè)務局點不可缺少的組網設備。每一位數據業(yè)務工程師，必須理解防火墻的運行機理，掌握防火墻的常用配置方法。,,,,,Page2,參考資料,Page3,,,學習目標,理解防火墻的基本概念熟悉Eudemon防火墻產品能夠對Eudemon防火墻進行規(guī)劃和配置,學習完本課程，您應該能夠：,Page4,3G數據業(yè)務典型組網,,,,,,No7/SignalGw,,,,SMSC,,MMSC,,GMLC,,IMPS,,mSTREAM,,UM,,MDSP,,WISG,WIN,,,,,,,,Internet,,CorporateNetwork,,,Router,Firewall,CoreLANSwitch,EdgeLANSwitch,HALink,WANLink,FW1,S6506,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,,PTT,S3528x2,No7/SignalGw,,GELink,,FC/SCSILink,100m/FELink,,E1Link,FW2,,,AAA,S3528x2,,FW3,FW4,,3GCoreNetwork,,NMS/OSS,S3528x2,,,,,,GGSN,OAM,S3528,,,,OAMDesktop,Antivirus,,,,,,Backup,,,,,FW5,FW6,,,Page5,防火墻在MMSC局點中的位置,,,2Eudemon200,,報表服務器IBMX235,MMSPortalSUNV440,OMCServerIBMX235,2QuidwayS6506交換機,,2F5BIGIP2400負載均衡器,,,,CMNET,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,數據庫和計費服務器SUNV440雙機,MMSCCluster（5SUNV440雙機）,,,BOSS,,BOSS,,,,,,,,,QuidwayAR28路由器,QuidwayAR28路由器,,,預統(tǒng)計和報表數據庫服務器IBMX445,,,,,,,,,網管接口機SUNV440,…,,…,,,,,,,MCAS內容適配服務器4HPDL360G3,Page6,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page7,防火墻的概念,隨著Internet的日益普及，許多LAN（內部網絡）已經可以直接接入Internet網絡，這種開放式的網絡同時帶來了許多不安全的隱患。在開放網絡式的網絡上，我們的周圍存在著許多不能信任的計算機，這些計算機對我們私有的一些敏感信息造成了很大的威脅。在大廈的構造中，防火墻被設計用來防止火從大廈的一部分傳播蔓延到大廈的另外一部分。我們所涉及的防火墻服務具有類似的目的：“防止Internet的危險傳播到你的內部網絡”?，F代的防火墻體系不應該只是一個“入口的屏障”，防火墻應該是幾個網絡的接入控制點，所有經過被防火墻保護的網絡的數據流都應該首先經過防火墻，形成一個信息進入的關口，因此防火墻不但可以保護內部網絡在Internet中的安全，同時可以保護若干主機在一個內部網絡中的安全。在每一個被防火墻分割的網絡中，所有的計算機之間是被認為“可信任的”，它們之間的通信可以不受防火墻的干涉；而在各個被防火墻分割的網絡之間，必須按照防火墻規(guī)定的“策略”進行互相的訪問。,Page8,防火墻的概念,簡單的說，防火墻是保護一個網絡免受“不信任”的網絡的攻擊，但是同時還必須允許兩個網絡之間可以進行合法的通信。防火墻應該具有如下基本特征：經過防火墻保護的網絡之間的通信必須都經過防火墻。只有經過各種配置的策略驗證過的合法數據包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、抗?jié)B透能力。防火墻可以保護內部網絡的安全，可以使受保護的網絡避免遭到外部網絡的攻擊。硬件防火墻應該可以支持若干個網絡接口，這些接口用來連接幾個網絡。在這些網絡中進行的連接都必須經過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾,。,,Page9,防火墻和路由器的差異,路由器的特點：保證互聯互通。按照最長匹配算法逐包轉發(fā)。路由協議是核心特性。,防火墻的特點：邏輯子網之間的訪問控制，關注邊界安全?；谶B接的轉發(fā)特性。安全防范是核心特性。,由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對業(yè)務支持具有非常強的優(yōu)勢。而路由器基于逐包轉發(fā)的特點，因此路由器設備不適合做非常復雜的業(yè)務，復雜的業(yè)務對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協議不如路由器豐富，因此防火墻不適合做為互聯互通的轉發(fā)設備。防火墻適合做為企業(yè)、內部局域網的出口設備，支持高速、安全、豐富的業(yè)務特性。,Page10,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page11,,,,一夫當關，萬夫莫開,華為公司Eudemon防火墻,Page12,,,,,華為公司硬件防火墻系列產品，涵蓋了從低端數兆到高端千兆級別，卓越的性能和先進的安全體系架構為用戶提供了強大的安全保障。,Eudemon1000/500,Eudemon200,Eudemon100,華為公司Eudemon系列防火墻,Page13,,Eudemon防火墻主要特點,專用硬件系統(tǒng)專用軟件系統(tǒng)高可靠高安全高性能完備的防止流量攻擊功能強大的組網和業(yè)務支撐能力安全方便的管理系統(tǒng),Page14,防火墻的安全區(qū)域,防火墻的內部劃分為多個區(qū)域，所有的轉發(fā)接口都唯一的屬于某個區(qū)域。,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,Page15,防火墻的安全區(qū)域,路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間。,,不允許來自10.0.0.1的數據報從這個接口出去,,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,禁止所有從DMZ區(qū)域的數據報轉發(fā)到UnTrust區(qū)域,Page16,防火墻的安全區(qū)域,Eudemon防火墻上保留四個安全區(qū)域：非受信區(qū)（Untrust）：低級別的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認為有必要，用戶還可以自行設置新的安全區(qū)域并定義其安全優(yōu)先級別。最多可有16個安全區(qū)域。,Page17,防火墻的安全區(qū)域,域間的數據流分兩個方向：入方向（inbound）：數據由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸的方向；出方向（outbound）：數據由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸的方向。,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page18,防火墻的安全區(qū)域,本域內不同接口間不過濾直接轉發(fā)進、出接口相同的報文被丟棄接口沒有加入域之前不能轉發(fā)包文,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page19,防火墻的安全區(qū)域,Page20,,,防火墻的模式,路由模式透明模式混合模式,Page21,防火墻的路由模式,可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網絡，防火墻的接口就是所連接子網的網關。報文在防火墻內首先通過入接口信息找到進入域信息，然后通過查找轉發(fā)表，根據出接口找到出口域，再根據這兩個域確定域間關系，然后使用配置在這個域間關系上的安全策略進行各種操作。,,,,,Page22,防火墻的透明模式,透明模式的防火墻則可以被看作一臺以太網交換機。防火墻的接口不能配IP地址，整個設備處于現有的子網內部，對于網絡中的其他設備，防火墻是透明的。報文轉發(fā)的出接口，是通過查找橋接的轉發(fā)表得到的。在確定域間之后，安全模塊的內部仍然使用報文的IP地址進行各種安全策略的匹配。,Page23,防火墻的混合模式,混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現這一點。,Page24,狀態(tài)檢測防火墻的處理過程,Page25,,,IP包過濾技術介紹,對防火墻需要轉發(fā)的數據包，先獲取包頭信息，然后和設定的規(guī)則進行比較，根據比較的結果對數據包進行轉發(fā)或者丟棄。而實現包過濾的核心技術是訪問控制列表。,,,,,,Internet,,公司總部,內部網絡,未授權用戶,辦事處,Page26,訪問控制列表是什么？,一個IP數據包如下圖所示（圖中IP所承載的上層協議為TCP）：,Page27,如何標識訪問控制列表？,利用數字標識訪問控制列表利用數字范圍標識訪問控制列表的種類,700～799范圍的ACL是基于以太網幀頭的訪問控制列表,Page28,基本訪問控制列表,標準訪問控制列表只使用源地址描述數據，表明是允許還是拒絕。,,,路由器,Page29,基本訪問控制列表的配置,配置基本訪問列表的命令格式如下：aclacl-number[match-orderconfig|auto]rule{permit|deny}[sourcesource-addrsource-wildcard|any],怎樣利用IP地址和反掩碼wildcard-mask來表示一個網段?,Page30,訪問控制列表的組合,一條訪問列表可以由多條規(guī)則組成。對于這些規(guī)則，有兩種匹配順序：auto和config指定匹配該規(guī)則時按用戶的配置順序。規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結合比較access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.00.0.0.255兩條規(guī)則結合則表示禁止一個大網段（202.38.0.0）上的主機但允許其中的一小部分主機（202.38.160.0）的訪問。規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。,Page31,增強訪問控制列表,增強訪問控制列表使用除源地址外更多的信息描述數據包，表明是允許還是拒絕。,,路由器,Page32,增強訪問控制列表的配置命令,配置TCP/UDP協議的增強訪問列表：rule{IDofaclrule}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP協議的增強訪問列表：rule{IDofaclrule}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它協議的增強訪問列表：rule{IDofaclrule}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging],Page33,增強訪問控制列表操作符的含義,Page34,舉例：在區(qū)域間應用訪問控制列表,#創(chuàng)建編號為3001的訪問控制列表：[Eudemon]aclnumber3001#配置ACL規(guī)則，允許特定用戶從外部網訪問內部的三臺服務器：[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.10[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.20[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.30上述配置已經完成了ACL的創(chuàng)建。下面的配置是在包過濾應用中引用ACL，相關命令的詳細解釋請見命令手冊的描述。#將ACL規(guī)則3001作用于Untrust區(qū)域到Trust區(qū)域間的入方向。[Eudemon-Interzone-trust-untrust]packet-filter3001inbound,Page35,ASPF,為保護網絡安全，基于ACL規(guī)則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。ASPF能夠檢測應用層協議的信息，并對應用的流量進行監(jiān)控。ASPF（ApplicationSpecificPacketFilter）是針對應用層的包過濾，也是基于狀態(tài)的報文過濾。ASPF能夠檢測試圖通過防火墻的應用層協議會話信息，阻止不符合規(guī)則的數據報文通過。,Page36,ASPF,ASPF能夠監(jiān)測FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（DenialofService，拒絕服務）的檢測和防范。JavaBlocking（Java阻斷）保護網絡不受有害JavaApplets的破壞。ActivexBlocking（Activex阻斷）保護網絡不受有害Activex的破壞。支持端口到應用的映射，為基于應用層協議的服務指定非通用端口。增強的會話日志功能?？梢詫λ械倪B接進行記錄，包括連接時間、源地址、目的地址、使用端口和傳輸字節(jié)數等信息。,Page37,ASPF配置舉例,,要求：如果該報文是從Trust區(qū)域向Untrust區(qū)域發(fā)起FTP和HTTP連接的返回報文，則允許其通過防火墻再進入Trust區(qū)域，其他報文被禁止；并且，此ASPF檢測策略能夠過濾掉來自外部網絡服務器2.2.2.11的HTTP報文中的JavaApplets。本例可以應用在本地用戶需要訪問遠程網絡服務的情況下。,Page38,ASPF配置舉例,[Eudemon]firewallsessionaging-timeftp3000[Eudemon]firewallsessionaging-timehttp3000[Eudemon]aclnumber3001[Eudemon-acl-adv-3001]ruledenyip[Eudemon]aclnumber2001[Eudemon-acl-basic-2001]ruledenysource2.2.2.110.0.0.0[Eudemon-acl-basic-2001]rulepermitsourceany[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound（配置Trust和Untrust區(qū)域間出方向包過濾缺省動作為允許）[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]packet-filter3001inbound[Eudemon-interzone-trust-untrust]detectftp[Eudemon-interzone-trust-untrust]detecthttp[Eudemon-interzone-trust-untrust]detectjava-blocking2001,Page39,地址轉換,NAT（NetworkAddressTranslation，地址轉換）是將IP數據報報頭中的IP地址轉換為另一個IP地址的過程。在實際應用中，NAT主要用于實現私有網絡訪問外部網絡的功能。私有網絡一般使用私有地址，RFC1918為私有、內部的應用留出了三個IP地址池，如下：A類：10.0.0.0～10.255.255.255（10.0.0.0/8）B類：172.16.0.0～172.31.255.255（172.16.0.0/12）C類：192.168.0.0～192.168.255.255（192.168.0.0/16）上述三個范圍內的地址不會在Internet上被分配，因而可以不必向ISP或注冊中心申請而在公司或企業(yè)內部自由使用。路由器可以在接口上配置地址轉換，Eudemon防火墻是在區(qū)域之間實現地址轉換。,Page40,多對多地址轉換,Eudemon防火墻是通過定義地址池來實現多對多地址轉換，同時利用訪問控制列表來對地址轉換進行控制的。地址池：用于地址轉換的一些公有IP地址的集合。用戶應根據自己擁有的合法IP地址數目、內部網絡主機數目以及實際應用情況，配置恰當的地址池。地址轉換的過程中，將會從地址池中挑選一個地址做為轉換后的源地址。利用訪問控制列表限制地址轉換：只有滿足訪問控制列表條件的數據報文才可以進行地址轉換。這可以有效地控制地址轉換的使用范圍，使特定主機才有權限訪問Internet。,Page41,多對多地址轉換,Eudemon防火墻上配置多對多地址轉換的步驟如下：在系統(tǒng)視圖下定義一個可以根據需要進行分配的NAT地址池nataddress-groupgroup-numberstart-addrend-addr其中，group-number是標識這個地址池的編號，start-addr和end-addr是地址池的起始和結束IP地址。在系統(tǒng)視圖和ACL視圖下定義一個訪問控制列表在系統(tǒng)視圖下定義訪問控制列表：aclnumberacl-number[match-order{config|auto}]在ACL視圖下定義訪問控制規(guī)則：rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging]在域間視圖下將訪問控制列表和NAT地址池關聯：natoutboundacl-numberaddress-groupgroup-number,Page42,NatServer配置,在實際應用中，可能需要提供給外部一個訪問內部主機的機會，如提供給外部一個WWW的服務器，或是一臺FTP服務器。使用NAT可以靈活地添加內部服務器，通過配置內部服務器，可將相應的外部地址、端口等映射到內部的服務器上，提供了外部網絡可訪問內部服務器的功能。natserverprotocolprotocol-typeglobalglobal-addr[global-port]insidehost-addr[host-port]natserverglobalglobal-addrinsidehost-addr,Page43,EasyIP配置,EasyIP的概念很簡單，當進行地址轉換時，直接使用接口的公有IP地址作為轉換后的源地址。同樣它也利用訪問控制列表控制哪些內部地址可以進行地址轉換。在域間視圖下執(zhí)行：natoutboundacl-numberinterfaceinterface-name,Page44,應用級網關ALG,NAT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進行轉換。對于一些特殊協議，例如ICMP、FTP等，它們報文的數據部分可能包含IP地址或端口信息，這些內容不能被NAT有效的轉換，這就可能導致問題。例如，一個使用內部IP地址的FTP服務器可能在和外部網絡主機建立會話的過程中需要將自己的IP地址發(fā)送給對方。而這個地址信息是放到IP報文的數據部分，NAT無法對它進行轉換。當外部網絡主機接收了這個私有地址并使用它，這時FTP服務器將表現為不可達。解決這些特殊協議的NAT轉換問題的方法就是在NAT實現中使用ALG（ApplicationLevelGateway，應用級網關）功能。ALG是特定的應用協議的轉換代理，它和NAT交互以建立狀態(tài)信息，使用NAT的狀態(tài)信息來改變封裝在IP報文數據部分中的特定數據，并完成其他必需的工作以使應用協議可以跨越不同范圍運行。在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應協議的ALG功能natalgenable{dns|ftp|h323|icmp|qq|msn}在域間視圖下為應用層協議配置ASPF檢測detectprotocol,Page45,Eudemon雙機熱備,什么是雙機熱備？所謂雙機熱備其實是雙機狀態(tài)備份。當兩臺防火墻，在確定主從防火墻后，由主防火墻進行業(yè)務的轉發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防火墻會定時向從防火墻發(fā)送狀態(tài)信息和需要備份的信息；當主防火墻出現故障后，從防火墻會及時接替主防火墻上的業(yè)務運行。,,,Page46,雙機熱備的實現和原理,實現雙機熱備的基本步驟：在接口上配置VRRP（虛擬路由器冗余協議）備份組，來發(fā)現防火墻的故障情況；將VRRP備份組加入到VGMP（VRRP組管理協議）中，以實現對VRRP管理組的統(tǒng)一管理；使能HRP（華為冗余協議），實現雙機情況下的信息備份。雙機熱備的基本原理：兩臺防火墻形成雙機熱備，兩臺防火墻之間通過VRRP的hello報文協商主備關系，根據VGMP的優(yōu)先級和接口的IP確定防火墻的master和slave關系，并且master防火墻會通過HRP協議定時向slave傳送備份信息（命令行備份信息和動態(tài)備份信息）；當master防火墻出現故障時，主備關系發(fā)生轉換，業(yè)務會平滑切換，不會影響這個業(yè)務的進行。,Page47,雙機熱備注意事項,在雙機熱備組網中，需要注意的幾個問題：1.對于雙機熱備目前只支持兩臺設備進行備份，不支持多臺設備進行備份。但對于只使用VRRP（即沒有使用HRP同步協議）的組網可以支持多臺設備進行冗余備份；2.由于雙機熱備中具有備份機制可以備份動態(tài)信息和命令，因此要求進行雙機熱備的兩臺設備板卡的位置和類型都要求相同，否則會出現主防火墻備份過去的信息，與從防火墻根本就無法進行搭配使用，如出現主備狀態(tài)切換就會導致業(yè)務出問題。3.進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設備配置相同，以免由于先前的配置而導致業(yè)務問題。,,Page48,雙機熱備應用協議,VRRP（VirtualRouterRedundancyProtocol）虛擬路由器冗余協議VRRP（VirtualRouterRedundancyProtocol）作為一種容錯協議，適用于支持組播或廣播的局域網（如以太網等），通過一組路由設備共用一個虛擬的IP來達到提供一個虛擬網關的目的。,Page49,,雙機熱備應用協議,VRRP在防火墻應用的缺陷每個備份組的VRRP是單獨工作的，并且每個VRRP狀態(tài)相對獨立，因此無法保證同一防火墻上各接口的VRRP狀態(tài)都為主用或都為備用，可能會導致業(yè)務中斷。由于Eudemon是狀態(tài)防火墻，對于各安全區(qū)域之間的每個動態(tài)生成的五元組的會話連接，Eudemon都有一個會話表項與之對應，只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過Eudemon防火墻，這就要求某會話的進路徑、出路徑必須一致，因此VRRP無法保證主從防火墻的這種會話連接一致，當出現切換后會出現業(yè)務中斷。,Page50,雙機熱備應用的協議,VGMP（VRRPGroupManagementProtocol）VRRP組管理協議為了確保各VRRP備份組之間通路狀態(tài)一致性，需要配置VRRP管理組，由管理組統(tǒng)一管理各獨立運行的VRRP備份組，從而實現各備份組之間的互通，以防止可能導致的VRRP狀態(tài)不一致現象的發(fā)生，從而實現對多個VRRP備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理。也許會問VRRP下有接口監(jiān)視命令不是可以實現設備的狀態(tài)統(tǒng)一嗎？VRRP下的track接口監(jiān)視命令，的確可以達到實現設備的狀態(tài)統(tǒng)一；但是，如果接口較多的情況下，配置就會很繁瑣，同時很容易出錯。接口監(jiān)視命令只能實現對其他接口狀態(tài)的監(jiān)控以達到VRRP的狀態(tài)統(tǒng)一，但是VRRP是獨立工作的，當由于搶占設備中一個VRRP狀態(tài)發(fā)生變化后，監(jiān)控命令是無法使所有的VRRP狀態(tài)都進行變化的。,,Page51,雙機熱備應用協議,Page52,,,雙機熱備應用協議,VGMP提供的功能狀態(tài)一致性管理各備份組的主/備狀態(tài)變化都需要通知其所屬的VRRP管理組，由VRRP管理組決定是否允許VRRP備份組進行主/備狀態(tài)切換。搶占管理無論各VRRP備份組內Eudemon防火墻設備是否使能了搶占功能，搶占行為發(fā)生與否必須由VRRP管理組統(tǒng)一決定。通道管理所謂通道管理，是為了提供傳輸VGMP報文、VGMP相關承載報文、VRRP狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務流的業(yè)務通道而言的。,Page53,,,雙機熱備應用協議,HRP（HuaweiRedundancyProtocol）華為冗余協議HRP協議是承載在VGMP報文上進行傳輸的，在Master和Backup防火墻設備之間備份關鍵配置命令和會話表狀態(tài)信息，特別是會話表項。,Page54,,雙機熱備應用協議,,防火墻應用狀態(tài)的可靠性備份：動態(tài)生成的黑名單防火墻生成的會話表表項SERVERMAP表項NO-PAT表項,Page55,雙機熱備應用協議,防火墻配置命令的備份：ACL包過濾命令的配置攻擊防范命令的配置地址綁定命令的配置黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作日志命令NAT命令的配置統(tǒng)計命令的配置域的命令的配置，包括新域的設定，域內添加的接口和優(yōu)先級的設置ASPF（應用層包過濾防火墻）的命令配置清除會話表項命令（resetfirewallsessiontable)和清除配置的命令（undoXXX）注意：1.在批處理手工備份時，對于undo和reset命令是無法進行備份的。2.除以上命令行可以備份外，其他命令無法備份。如路由命令等，需要主從防火墻同時配置。,Page56,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page57,Eudemon防火墻配置步驟,防火墻組網規(guī)劃配置接口IP地址配置域把接口劃分到域雙機情況下，配置VRRP雙機情況下，配置VGMP雙機情況下，配置HRP雙機情況下，驗證雙機配置配置地址轉換配置ACL在域間應用ACL校驗業(yè)務配置,Page58,防火墻組網規(guī)劃,防火墻組網規(guī)劃組網拓樸圖（具體到網絡設備物理端口的分配和連接）IP地址的分配（具體到網絡設備所有IP地址的分配）防火墻上的區(qū)域劃分防火墻的地址映射關系防火墻需要開放的策略,Page59,配置接口IP地址,#配置防火墻接口Ethernet0/0/0的IP地址：[Eudemon]interfaceethernet0/0/0[Eudemon-Ethernet0/0/0]ipaddress192.168.1.1255.255.255.0[Eudemon-Ethernet0/0/0]quit#如為雙機，需要在接口下配置vrrp。如在接口eth0/0/0下配置VRRP備份組1，注意虛擬IP需要和接口地址同一網段：[Eudemon-ethernet0/0/0]vrrpvrid1virtual-ip192.168.1.4[Eudemon-ethernet0/0/0]interfaceethernet0/0/1[Eudemon-ethernet0/0/1]ipaddress192.168.3.1255.255.255.0此下繼續(xù)在接口eth0/0/1下配置VRRP備份組2，并配置虛擬IP,Page60,配置區(qū)域,配置區(qū)域，并把區(qū)域優(yōu)先級配置好（采用缺省區(qū)域則不用）#配置區(qū)域dmz。[Eudemon]firewallzonenamedmz1[Eudemon-zone-dmz1]setpriority70,Page61,把接口加入到區(qū)域中,把相應的接口加入到相應的區(qū)域中去#配置接口Ethernet1/0/0加入防火墻DMZ域。[Eudemon]firewallzonedmz[Eudemon-zone-dmz]addinterfaceethernet1/0/0[Eudemon-zone-dmz]quit,,,,,Page62,配置VRRP組管理,#創(chuàng)建VRRP管理組1，將所有的VRRP備份組添加到管理組中進行統(tǒng)一管理[Eudemon]vrrp-group1＃使能VRRP管理組，只有使能了VGMP，才能對VRRP進行統(tǒng)一管理[Eudemon-vrrpgroup-1]vrrpenable#將備份組1、2加入VRRP管理組1中，并指定兩條數據通道，分別以ethernet0/0/0和ethernet0/0/1作為兩條通道的端點[Eudemon-vrrpgroup-1]addinterfaceethernet0/0/0vrrpvrid1data[Eudemon-vrrpgroup-1]addinterfaceethernet0/0/1vrrpvrid2data＃配置transfer-only參數的通道的狀態(tài)變化不會影響VGMP的優(yōu)先級從而導致狀態(tài)切換[Eudemon-vrrpgroup-1]addinterfaceethernet2/0/0vrrpvrid3datatransfer-only#啟用VRRP管理組的自動搶占功能，搶占延時采用默認時間為0秒[Eudemon-vrrpgroup-1]vrrp-grouppreedom,Page63,配置HRP,＃當防火墻不配置VGMP的優(yōu)先級時，默認優(yōu)先級為100。當配置優(yōu)先級時應注意VGMP優(yōu)先級的遞減算法：遞減后的優(yōu)先級＝優(yōu)先級－優(yōu)先級/16，當主防火墻出故障時，遞減后的優(yōu)先級應比slave防火墻的優(yōu)先級低，才可進行主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導致業(yè)務會中斷。例如，以下配置遞減后的優(yōu)先級為105－105/16＝98，因此slave防火墻比該優(yōu)先級大。[Eudemon-vrrpgroup-1]vrrp-grouppriority105[Eudemon-vrrpgroup-1]quit#使能HRP功能，當使能HRP功能后會在[Eudemon]前顯示HRP_M，從防火墻上會顯示HRP_S，默認是自動實時備份。[Eudemon]hrpenable以上為主防火墻的配置，從防火墻的配置基本上與主防火墻的配置相同，只需要改變接口的IP地址即可。,Page64,配置NAT和ACL，應用ACL,配置地址轉換[Eudemon]natserverprotocoltcpglobal202.169.10.10wwwinside192.168.20.10www配置ACLEudemon]aclnametodadvanced[Eudemon-acl-adv-tod]rulepermittcpdestination192.168.20.100應用ACL[Eudemon]firewallinterzonedmzuntrust[Eudemon-interzone-dmz-untrust]packet-filtertodinbound,Page65,校驗防火墻配置,校驗雙機狀態(tài)檢查雙機切換對于業(yè)務是否有影響校驗配置同步情況檢查主備機的配置是否可自動同步，可以通過比較配置來實現校驗業(yè)務是否正常測試業(yè)務是否正常,Version2.0,