《華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠.ppt》由會員分享，可在線閱讀，更多相關(guān)《華為-數(shù)據(jù)業(yè)務(wù)防火墻基礎(chǔ)培訓(xùn)膠.ppt（67頁珍藏版）》請在裝配圖網(wǎng)上搜索。

06.April2006,防火墻基礎(chǔ),Version4.0,Page1,數(shù)據(jù)業(yè)務(wù)局點的網(wǎng)絡(luò)安全，依賴于防火墻的良好配置。防火墻也是數(shù)據(jù)業(yè)務(wù)局點不可缺少的組網(wǎng)設(shè)備。每一位數(shù)據(jù)業(yè)務(wù)工程師，必須理解防火墻的運行機理，掌握防火墻的常用配置方法。,,,,,Page2,參考資料,Page3,,,學(xué)習(xí)目標(biāo),理解防火墻的基本概念熟悉Eudemon防火墻產(chǎn)品能夠?qū)udemon防火墻進行規(guī)劃和配置,學(xué)習(xí)完本課程，您應(yīng)該能夠：,Page4,3G數(shù)據(jù)業(yè)務(wù)典型組網(wǎng),,,,,,No7/SignalGw,,,,SMSC,,MMSC,,GMLC,,IMPS,,mSTREAM,,UM,,MDSP,,WISG,WIN,,,,,,,,Internet,,CorporateNetwork,,,Router,Firewall,CoreLANSwitch,EdgeLANSwitch,HALink,WANLink,FW1,S6506,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,S3528x2,,PTT,S3528x2,No7/SignalGw,,GELink,,FC/SCSILink,100m/FELink,,E1Link,FW2,,,AAA,S3528x2,,FW3,FW4,,3GCoreNetwork,,NMS/OSS,S3528x2,,,,,,GGSN,OAM,S3528,,,,OAMDesktop,Antivirus,,,,,,Backup,,,,,FW5,FW6,,,Page5,防火墻在MMSC局點中的位置,,,2Eudemon200,,報表服務(wù)器IBMX235,MMSPortalSUNV440,OMCServerIBMX235,2QuidwayS6506交換機,,2F5BIGIP2400負載均衡器,,,,CMNET,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,數(shù)據(jù)庫和計費服務(wù)器SUNV440雙機,MMSCCluster（5SUNV440雙機）,,,BOSS,,BOSS,,,,,,,,,QuidwayAR28路由器,QuidwayAR28路由器,,,預(yù)統(tǒng)計和報表數(shù)據(jù)庫服務(wù)器IBMX445,,,,,,,,,網(wǎng)管接口機SUNV440,…,,…,,,,,,,MCAS內(nèi)容適配服務(wù)器4HPDL360G3,Page6,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page7,防火墻的概念,隨著Internet的日益普及，許多LAN（內(nèi)部網(wǎng)絡(luò)）已經(jīng)可以直接接入Internet網(wǎng)絡(luò)，這種開放式的網(wǎng)絡(luò)同時帶來了許多不安全的隱患。在開放網(wǎng)絡(luò)式的網(wǎng)絡(luò)上，我們的周圍存在著許多不能信任的計算機，這些計算機對我們私有的一些敏感信息造成了很大的威脅。在大廈的構(gòu)造中，防火墻被設(shè)計用來防止火從大廈的一部分傳播蔓延到大廈的另外一部分。我們所涉及的防火墻服務(wù)具有類似的目的：“防止Internet的危險傳播到你的內(nèi)部網(wǎng)絡(luò)”。現(xiàn)代的防火墻體系不應(yīng)該只是一個“入口的屏障”，防火墻應(yīng)該是幾個網(wǎng)絡(luò)的接入控制點，所有經(jīng)過被防火墻保護的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該首先經(jīng)過防火墻，形成一個信息進入的關(guān)口，因此防火墻不但可以保護內(nèi)部網(wǎng)絡(luò)在Internet中的安全，同時可以保護若干主機在一個內(nèi)部網(wǎng)絡(luò)中的安全。在每一個被防火墻分割的網(wǎng)絡(luò)中，所有的計算機之間是被認為“可信任的”，它們之間的通信可以不受防火墻的干涉；而在各個被防火墻分割的網(wǎng)絡(luò)之間，必須按照防火墻規(guī)定的“策略”進行互相的訪問。,Page8,防火墻的概念,簡單的說，防火墻是保護一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊，但是同時還必須允許兩個網(wǎng)絡(luò)之間可以進行合法的通信。防火墻應(yīng)該具有如下基本特征：經(jīng)過防火墻保護的網(wǎng)絡(luò)之間的通信必須都經(jīng)過防火墻。只有經(jīng)過各種配置的策略驗證過的合法數(shù)據(jù)包才可以通過防火墻。防火墻本身必須具有很強的抗攻擊、抗?jié)B透能力。防火墻可以保護內(nèi)部網(wǎng)絡(luò)的安全，可以使受保護的網(wǎng)絡(luò)避免遭到外部網(wǎng)絡(luò)的攻擊。硬件防火墻應(yīng)該可以支持若干個網(wǎng)絡(luò)接口，這些接口用來連接幾個網(wǎng)絡(luò)。在這些網(wǎng)絡(luò)中進行的連接都必須經(jīng)過硬件防火墻，防火墻來控制這些連接，對連接進行驗證、過濾,。,,Page9,防火墻和路由器的差異,路由器的特點：保證互聯(lián)互通。按照最長匹配算法逐包轉(zhuǎn)發(fā)。路由協(xié)議是核心特性。,防火墻的特點：邏輯子網(wǎng)之間的訪問控制，關(guān)注邊界安全。基于連接的轉(zhuǎn)發(fā)特性。安全防范是核心特性。,由于防火墻具有基于連接監(jiān)控的特性，因此防火墻對業(yè)務(wù)支持具有非常強的優(yōu)勢。而路由器基于逐包轉(zhuǎn)發(fā)的特點，因此路由器設(shè)備不適合做非常復(fù)雜的業(yè)務(wù)，復(fù)雜的業(yè)務(wù)對路由器的性能消耗比較大。防火墻支持的接口不如路由器豐富，支持的路由協(xié)議不如路由器豐富，因此防火墻不適合做為互聯(lián)互通的轉(zhuǎn)發(fā)設(shè)備。防火墻適合做為企業(yè)、內(nèi)部局域網(wǎng)的出口設(shè)備，支持高速、安全、豐富的業(yè)務(wù)特性。,Page10,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page11,,,,一夫當(dāng)關(guān)，萬夫莫開,華為公司Eudemon防火墻,Page12,,,,,華為公司硬件防火墻系列產(chǎn)品，涵蓋了從低端數(shù)兆到高端千兆級別，卓越的性能和先進的安全體系架構(gòu)為用戶提供了強大的安全保障。,Eudemon1000/500,Eudemon200,Eudemon100,華為公司Eudemon系列防火墻,Page13,,Eudemon防火墻主要特點,專用硬件系統(tǒng)專用軟件系統(tǒng)高可靠高安全高性能完備的防止流量攻擊功能強大的組網(wǎng)和業(yè)務(wù)支撐能力安全方便的管理系統(tǒng),Page14,防火墻的安全區(qū)域,防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域。,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,Page15,防火墻的安全區(qū)域,路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間。,,不允許來自10.0.0.1的數(shù)據(jù)報從這個接口出去,,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域,Page16,防火墻的安全區(qū)域,Eudemon防火墻上保留四個安全區(qū)域：非受信區(qū)（Untrust）：低級別的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多可有16個安全區(qū)域。,Page17,防火墻的安全區(qū)域,域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较?；出方向（outbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较颉?,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page18,防火墻的安全區(qū)域,本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進、出接口相同的報文被丟棄接口沒有加入域之前不能轉(zhuǎn)發(fā)包文,,,,,Local區(qū)域,Trust區(qū)域,DMZ區(qū)域,UnTrust區(qū)域,接口1,接口2,接口3,接口4,,,In,Out,,,In,Out,,,Out,In,,,Out,In,Page19,防火墻的安全區(qū)域,Page20,,,防火墻的模式,路由模式透明模式混合模式,Page21,防火墻的路由模式,可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。,,,,,Page22,防火墻的透明模式,透明模式的防火墻則可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址，整個設(shè)備處于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的IP地址進行各種安全策略的匹配。,Page23,防火墻的混合模式,混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現(xiàn)這一點。,Page24,狀態(tài)檢測防火墻的處理過程,Page25,,,IP包過濾技術(shù)介紹,對防火墻需要轉(zhuǎn)發(fā)的數(shù)據(jù)包，先獲取包頭信息，然后和設(shè)定的規(guī)則進行比較，根據(jù)比較的結(jié)果對數(shù)據(jù)包進行轉(zhuǎn)發(fā)或者丟棄。而實現(xiàn)包過濾的核心技術(shù)是訪問控制列表。,,,,,,Internet,,公司總部,內(nèi)部網(wǎng)絡(luò),未授權(quán)用戶,辦事處,Page26,訪問控制列表是什么？,一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：,Page27,如何標(biāo)識訪問控制列表？,利用數(shù)字標(biāo)識訪問控制列表利用數(shù)字范圍標(biāo)識訪問控制列表的種類,700～799范圍的ACL是基于以太網(wǎng)幀頭的訪問控制列表,Page28,基本訪問控制列表,標(biāo)準(zhǔn)訪問控制列表只使用源地址描述數(shù)據(jù)，表明是允許還是拒絕。,,,路由器,Page29,基本訪問控制列表的配置,配置基本訪問列表的命令格式如下：aclacl-number[match-orderconfig|auto]rule{permit|deny}[sourcesource-addrsource-wildcard|any],怎樣利用IP地址和反掩碼wildcard-mask來表示一個網(wǎng)段?,Page30,訪問控制列表的組合,一條訪問列表可以由多條規(guī)則組成。對于這些規(guī)則，有兩種匹配順序：auto和config指定匹配該規(guī)則時按用戶的配置順序。規(guī)則沖突時，若匹配順序為auto（深度優(yōu)先），描述的地址范圍越小的規(guī)則，將會優(yōu)先考慮。深度的判斷要依靠通配比較位和IP地址結(jié)合比較access-list4deny202.38.0.00.0.255.255access-list4permit202.38.160.00.0.0.255兩條規(guī)則結(jié)合則表示禁止一個大網(wǎng)段（202.38.0.0）上的主機但允許其中的一小部分主機（202.38.160.0）的訪問。規(guī)則沖突時，若匹配順序為config，先配置的規(guī)則會被優(yōu)先考慮。,Page31,增強訪問控制列表,增強訪問控制列表使用除源地址外更多的信息描述數(shù)據(jù)包，表明是允許還是拒絕。,,路由器,Page32,增強訪問控制列表的配置命令,配置TCP/UDP協(xié)議的增強訪問列表：rule{IDofaclrule}{permit|deny}{tcp|udp}[sourcesource-addrsource-wildcard|any][source-portoperatorport1[port2]][destinationdest-addrdest-wildcard|any][destination-portoperatorport1[port2]][logging]配置ICMP協(xié)議的增強訪問列表：rule{IDofaclrule}{permit|deny}icmp[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][icmp-typeicmp-typeicmp-code][logging]配置其它協(xié)議的增強訪問列表：rule{IDofaclrule}{permit|deny}{ip|ospf|igmp|gre}[sourcesource-addrsource-wildcard|any][destinationdest-addrdest-wildcard|any][logging],Page33,增強訪問控制列表操作符的含義,Page34,舉例：在區(qū)域間應(yīng)用訪問控制列表,#創(chuàng)建編號為3001的訪問控制列表：[Eudemon]aclnumber3001#配置ACL規(guī)則，允許特定用戶從外部網(wǎng)訪問內(nèi)部的三臺服務(wù)器：[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.10[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.20[Eudemon-acl-adv-3001]rulepermittcpsource202.39.2.30destination129.38.1.30上述配置已經(jīng)完成了ACL的創(chuàng)建。下面的配置是在包過濾應(yīng)用中引用ACL，相關(guān)命令的詳細解釋請見命令手冊的描述。#將ACL規(guī)則3001作用于Untrust區(qū)域到Trust區(qū)域間的入方向。[Eudemon-Interzone-trust-untrust]packet-filter3001inbound,Page35,ASPF,為保護網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF能夠檢測應(yīng)用層協(xié)議的信息，并對應(yīng)用的流量進行監(jiān)控。ASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾，也是基于狀態(tài)的報文過濾。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文通過。,Page36,ASPF,ASPF能夠監(jiān)測FTP、HTTP、SMTP、RSTP、H.323、TCP、UDP的流量DoS（DenialofService，拒絕服務(wù)）的檢測和防范。JavaBlocking（Java阻斷）保護網(wǎng)絡(luò)不受有害JavaApplets的破壞。ActivexBlocking（Activex阻斷）保護網(wǎng)絡(luò)不受有害Activex的破壞。支持端口到應(yīng)用的映射，為基于應(yīng)用層協(xié)議的服務(wù)指定非通用端口。增強的會話日志功能。可以對所有的連接進行記錄，包括連接時間、源地址、目的地址、使用端口和傳輸字節(jié)數(shù)等信息。,Page37,ASPF配置舉例,,要求：如果該報文是從Trust區(qū)域向Untrust區(qū)域發(fā)起FTP和HTTP連接的返回報文，則允許其通過防火墻再進入Trust區(qū)域，其他報文被禁止；并且，此ASPF檢測策略能夠過濾掉來自外部網(wǎng)絡(luò)服務(wù)器2.2.2.11的HTTP報文中的JavaApplets。本例可以應(yīng)用在本地用戶需要訪問遠程網(wǎng)絡(luò)服務(wù)的情況下。,Page38,ASPF配置舉例,[Eudemon]firewallsessionaging-timeftp3000[Eudemon]firewallsessionaging-timehttp3000[Eudemon]aclnumber3001[Eudemon-acl-adv-3001]ruledenyip[Eudemon]aclnumber2001[Eudemon-acl-basic-2001]ruledenysource2.2.2.110.0.0.0[Eudemon-acl-basic-2001]rulepermitsourceany[Eudemon]firewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutbound（配置Trust和Untrust區(qū)域間出方向包過濾缺省動作為允許）[Eudemon]firewallinterzonetrustuntrust[Eudemon-interzone-trust-untrust]packet-filter3001inbound[Eudemon-interzone-trust-untrust]detectftp[Eudemon-interzone-trust-untrust]detecthttp[Eudemon-interzone-trust-untrust]detectjava-blocking2001,Page39,地址轉(zhuǎn)換,NAT（NetworkAddressTranslation，地址轉(zhuǎn)換）是將IP數(shù)據(jù)報報頭中的IP地址轉(zhuǎn)換為另一個IP地址的過程。在實際應(yīng)用中，NAT主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問外部網(wǎng)絡(luò)的功能。私有網(wǎng)絡(luò)一般使用私有地址，RFC1918為私有、內(nèi)部的應(yīng)用留出了三個IP地址池，如下：A類：10.0.0.0～10.255.255.255（10.0.0.0/8）B類：172.16.0.0～172.31.255.255（172.16.0.0/12）C類：192.168.0.0～192.168.255.255（192.168.0.0/16）上述三個范圍內(nèi)的地址不會在Internet上被分配，因而可以不必向ISP或注冊中心申請而在公司或企業(yè)內(nèi)部自由使用。路由器可以在接口上配置地址轉(zhuǎn)換，Eudemon防火墻是在區(qū)域之間實現(xiàn)地址轉(zhuǎn)換。,Page40,多對多地址轉(zhuǎn)換,Eudemon防火墻是通過定義地址池來實現(xiàn)多對多地址轉(zhuǎn)換，同時利用訪問控制列表來對地址轉(zhuǎn)換進行控制的。地址池：用于地址轉(zhuǎn)換的一些公有IP地址的集合。用戶應(yīng)根據(jù)自己擁有的合法IP地址數(shù)目、內(nèi)部網(wǎng)絡(luò)主機數(shù)目以及實際應(yīng)用情況，配置恰當(dāng)?shù)牡刂烦?。地址轉(zhuǎn)換的過程中，將會從地址池中挑選一個地址做為轉(zhuǎn)換后的源地址。利用訪問控制列表限制地址轉(zhuǎn)換：只有滿足訪問控制列表條件的數(shù)據(jù)報文才可以進行地址轉(zhuǎn)換。這可以有效地控制地址轉(zhuǎn)換的使用范圍，使特定主機才有權(quán)限訪問Internet。,Page41,多對多地址轉(zhuǎn)換,Eudemon防火墻上配置多對多地址轉(zhuǎn)換的步驟如下：在系統(tǒng)視圖下定義一個可以根據(jù)需要進行分配的NAT地址池nataddress-groupgroup-numberstart-addrend-addr其中，group-number是標(biāo)識這個地址池的編號，start-addr和end-addr是地址池的起始和結(jié)束IP地址。在系統(tǒng)視圖和ACL視圖下定義一個訪問控制列表在系統(tǒng)視圖下定義訪問控制列表：aclnumberacl-number[match-order{config|auto}]在ACL視圖下定義訪問控制規(guī)則：rule[rule-id]{permit|deny}[sourcesour-addrsour-wildcard|any][time-rangetime-name][logging]在域間視圖下將訪問控制列表和NAT地址池關(guān)聯(lián)：natoutboundacl-numberaddress-groupgroup-number,Page42,NatServer配置,在實際應(yīng)用中，可能需要提供給外部一個訪問內(nèi)部主機的機會，如提供給外部一個WWW的服務(wù)器，或是一臺FTP服務(wù)器。使用NAT可以靈活地添加內(nèi)部服務(wù)器，通過配置內(nèi)部服務(wù)器，可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上，提供了外部網(wǎng)絡(luò)可訪問內(nèi)部服務(wù)器的功能。natserverprotocolprotocol-typeglobalglobal-addr[global-port]insidehost-addr[host-port]natserverglobalglobal-addrinsidehost-addr,Page43,EasyIP配置,EasyIP的概念很簡單，當(dāng)進行地址轉(zhuǎn)換時，直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。同樣它也利用訪問控制列表控制哪些內(nèi)部地址可以進行地址轉(zhuǎn)換。在域間視圖下執(zhí)行：natoutboundacl-numberinterfaceinterface-name,Page44,應(yīng)用級網(wǎng)關(guān)ALG,NAT只能對IP報文的頭部地址和TCP/UDP頭部的端口信息進行轉(zhuǎn)換。對于一些特殊協(xié)議，例如ICMP、FTP等，它們報文的數(shù)據(jù)部分可能包含IP地址或端口信息，這些內(nèi)容不能被NAT有效的轉(zhuǎn)換，這就可能導(dǎo)致問題。例如，一個使用內(nèi)部IP地址的FTP服務(wù)器可能在和外部網(wǎng)絡(luò)主機建立會話的過程中需要將自己的IP地址發(fā)送給對方。而這個地址信息是放到IP報文的數(shù)據(jù)部分，NAT無法對它進行轉(zhuǎn)換。當(dāng)外部網(wǎng)絡(luò)主機接收了這個私有地址并使用它，這時FTP服務(wù)器將表現(xiàn)為不可達。解決這些特殊協(xié)議的NAT轉(zhuǎn)換問題的方法就是在NAT實現(xiàn)中使用ALG（ApplicationLevelGateway，應(yīng)用級網(wǎng)關(guān)）功能。ALG是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，它和NAT交互以建立狀態(tài)信息，使用NAT的狀態(tài)信息來改變封裝在IP報文數(shù)據(jù)部分中的特定數(shù)據(jù)，并完成其他必需的工作以使應(yīng)用協(xié)議可以跨越不同范圍運行。在系統(tǒng)視圖下執(zhí)行下列命令則使能了相應(yīng)協(xié)議的ALG功能natalgenable{dns|ftp|h323|icmp|qq|msn}在域間視圖下為應(yīng)用層協(xié)議配置ASPF檢測detectprotocol,Page45,Eudemon雙機熱備,什么是雙機熱備？所謂雙機熱備其實是雙機狀態(tài)備份。當(dāng)兩臺防火墻，在確定主從防火墻后，由主防火墻進行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防火墻會定時向從防火墻發(fā)送狀態(tài)信息和需要備份的信息；當(dāng)主防火墻出現(xiàn)故障后，從防火墻會及時接替主防火墻上的業(yè)務(wù)運行。,,,Page46,雙機熱備的實現(xiàn)和原理,實現(xiàn)雙機熱備的基本步驟：在接口上配置VRRP（虛擬路由器冗余協(xié)議）備份組，來發(fā)現(xiàn)防火墻的故障情況；將VRRP備份組加入到VGMP（VRRP組管理協(xié)議）中，以實現(xiàn)對VRRP管理組的統(tǒng)一管理；使能HRP（華為冗余協(xié)議），實現(xiàn)雙機情況下的信息備份。雙機熱備的基本原理：兩臺防火墻形成雙機熱備，兩臺防火墻之間通過VRRP的hello報文協(xié)商主備關(guān)系，根據(jù)VGMP的優(yōu)先級和接口的IP確定防火墻的master和slave關(guān)系，并且master防火墻會通過HRP協(xié)議定時向slave傳送備份信息（命令行備份信息和動態(tài)備份信息）；當(dāng)master防火墻出現(xiàn)故障時，主備關(guān)系發(fā)生轉(zhuǎn)換，業(yè)務(wù)會平滑切換，不會影響這個業(yè)務(wù)的進行。,Page47,雙機熱備注意事項,在雙機熱備組網(wǎng)中，需要注意的幾個問題：1.對于雙機熱備目前只支持兩臺設(shè)備進行備份，不支持多臺設(shè)備進行備份。但對于只使用VRRP（即沒有使用HRP同步協(xié)議）的組網(wǎng)可以支持多臺設(shè)備進行冗余備份；2.由于雙機熱備中具有備份機制可以備份動態(tài)信息和命令，因此要求進行雙機熱備的兩臺設(shè)備板卡的位置和類型都要求相同，否則會出現(xiàn)主防火墻備份過去的信息，與從防火墻根本就無法進行搭配使用，如出現(xiàn)主備狀態(tài)切換就會導(dǎo)致業(yè)務(wù)出問題。3.進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設(shè)備配置相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問題。,,Page48,雙機熱備應(yīng)用協(xié)議,VRRP（VirtualRouterRedundancyProtocol）虛擬路由器冗余協(xié)議VRRP（VirtualRouterRedundancyProtocol）作為一種容錯協(xié)議，適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等），通過一組路由設(shè)備共用一個虛擬的IP來達到提供一個虛擬網(wǎng)關(guān)的目的。,Page49,,雙機熱備應(yīng)用協(xié)議,VRRP在防火墻應(yīng)用的缺陷每個備份組的VRRP是單獨工作的，并且每個VRRP狀態(tài)相對獨立，因此無法保證同一防火墻上各接口的VRRP狀態(tài)都為主用或都為備用，可能會導(dǎo)致業(yè)務(wù)中斷。由于Eudemon是狀態(tài)防火墻，對于各安全區(qū)域之間的每個動態(tài)生成的五元組的會話連接，Eudemon都有一個會話表項與之對應(yīng)，只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過Eudemon防火墻，這就要求某會話的進路徑、出路徑必須一致，因此VRRP無法保證主從防火墻的這種會話連接一致，當(dāng)出現(xiàn)切換后會出現(xiàn)業(yè)務(wù)中斷。,Page50,雙機熱備應(yīng)用的協(xié)議,VGMP（VRRPGroupManagementProtocol）VRRP組管理協(xié)議為了確保各VRRP備份組之間通路狀態(tài)一致性，需要配置VRRP管理組，由管理組統(tǒng)一管理各獨立運行的VRRP備份組，從而實現(xiàn)各備份組之間的互通，以防止可能導(dǎo)致的VRRP狀態(tài)不一致現(xiàn)象的發(fā)生，從而實現(xiàn)對多個VRRP備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理。也許會問VRRP下有接口監(jiān)視命令不是可以實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一嗎？VRRP下的track接口監(jiān)視命令，的確可以達到實現(xiàn)設(shè)備的狀態(tài)統(tǒng)一；但是，如果接口較多的情況下，配置就會很繁瑣，同時很容易出錯。接口監(jiān)視命令只能實現(xiàn)對其他接口狀態(tài)的監(jiān)控以達到VRRP的狀態(tài)統(tǒng)一，但是VRRP是獨立工作的，當(dāng)由于搶占設(shè)備中一個VRRP狀態(tài)發(fā)生變化后，監(jiān)控命令是無法使所有的VRRP狀態(tài)都進行變化的。,,Page51,雙機熱備應(yīng)用協(xié)議,Page52,,,雙機熱備應(yīng)用協(xié)議,VGMP提供的功能狀態(tài)一致性管理各備份組的主/備狀態(tài)變化都需要通知其所屬的VRRP管理組，由VRRP管理組決定是否允許VRRP備份組進行主/備狀態(tài)切換。搶占管理無論各VRRP備份組內(nèi)Eudemon防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由VRRP管理組統(tǒng)一決定。通道管理所謂通道管理，是為了提供傳輸VGMP報文、VGMP相關(guān)承載報文、VRRP狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。,Page53,,,雙機熱備應(yīng)用協(xié)議,HRP（HuaweiRedundancyProtocol）華為冗余協(xié)議HRP協(xié)議是承載在VGMP報文上進行傳輸?shù)?，在Master和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息，特別是會話表項。,Page54,,雙機熱備應(yīng)用協(xié)議,,防火墻應(yīng)用狀態(tài)的可靠性備份：動態(tài)生成的黑名單防火墻生成的會話表表項SERVERMAP表項NO-PAT表項,Page55,雙機熱備應(yīng)用協(xié)議,防火墻配置命令的備份：ACL包過濾命令的配置攻擊防范命令的配置地址綁定命令的配置黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作日志命令NAT命令的配置統(tǒng)計命令的配置域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級的設(shè)置ASPF（應(yīng)用層包過濾防火墻）的命令配置清除會話表項命令（resetfirewallsessiontable)和清除配置的命令（undoXXX）注意：1.在批處理手工備份時，對于undo和reset命令是無法進行備份的。2.除以上命令行可以備份外，其他命令無法備份。如路由命令等，需要主從防火墻同時配置。,Page56,,,,防火墻概念Eudemon防火墻介紹Eudemon防火墻配置步驟,Page57,Eudemon防火墻配置步驟,防火墻組網(wǎng)規(guī)劃配置接口IP地址配置域把接口劃分到域雙機情況下，配置VRRP雙機情況下，配置VGMP雙機情況下，配置HRP雙機情況下，驗證雙機配置配置地址轉(zhuǎn)換配置ACL在域間應(yīng)用ACL校驗業(yè)務(wù)配置,Page58,防火墻組網(wǎng)規(guī)劃,防火墻組網(wǎng)規(guī)劃組網(wǎng)拓樸圖（具體到網(wǎng)絡(luò)設(shè)備物理端口的分配和連接）IP地址的分配（具體到網(wǎng)絡(luò)設(shè)備所有IP地址的分配）防火墻上的區(qū)域劃分防火墻的地址映射關(guān)系防火墻需要開放的策略,Page59,配置接口IP地址,#配置防火墻接口Ethernet0/0/0的IP地址：[Eudemon]interfaceethernet0/0/0[Eudemon-Ethernet0/0/0]ipaddress192.168.1.1255.255.255.0[Eudemon-Ethernet0/0/0]quit#如為雙機，需要在接口下配置vrrp。如在接口eth0/0/0下配置VRRP備份組1，注意虛擬IP需要和接口地址同一網(wǎng)段：[Eudemon-ethernet0/0/0]vrrpvrid1virtual-ip192.168.1.4[Eudemon-ethernet0/0/0]interfaceethernet0/0/1[Eudemon-ethernet0/0/1]ipaddress192.168.3.1255.255.255.0此下繼續(xù)在接口eth0/0/1下配置VRRP備份組2，并配置虛擬IP,Page60,配置區(qū)域,配置區(qū)域，并把區(qū)域優(yōu)先級配置好（采用缺省區(qū)域則不用）#配置區(qū)域dmz。[Eudemon]firewallzonenamedmz1[Eudemon-zone-dmz1]setpriority70,Page61,把接口加入到區(qū)域中,把相應(yīng)的接口加入到相應(yīng)的區(qū)域中去#配置接口Ethernet1/0/0加入防火墻DMZ域。[Eudemon]firewallzonedmz[Eudemon-zone-dmz]addinterfaceethernet1/0/0[Eudemon-zone-dmz]quit,,,,,Page62,配置VRRP組管理,#創(chuàng)建VRRP管理組1，將所有的VRRP備份組添加到管理組中進行統(tǒng)一管理[Eudemon]vrrp-group1＃使能VRRP管理組，只有使能了VGMP，才能對VRRP進行統(tǒng)一管理[Eudemon-vrrpgroup-1]vrrpenable#將備份組1、2加入VRRP管理組1中，并指定兩條數(shù)據(jù)通道，分別以ethernet0/0/0和ethernet0/0/1作為兩條通道的端點[Eudemon-vrrpgroup-1]addinterfaceethernet0/0/0vrrpvrid1data[Eudemon-vrrpgroup-1]addinterfaceethernet0/0/1vrrpvrid2data＃配置transfer-only參數(shù)的通道的狀態(tài)變化不會影響VGMP的優(yōu)先級從而導(dǎo)致狀態(tài)切換[Eudemon-vrrpgroup-1]addinterfaceethernet2/0/0vrrpvrid3datatransfer-only#啟用VRRP管理組的自動搶占功能，搶占延時采用默認時間為0秒[Eudemon-vrrpgroup-1]vrrp-grouppreedom,Page63,配置HRP,＃當(dāng)防火墻不配置VGMP的優(yōu)先級時，默認優(yōu)先級為100。當(dāng)配置優(yōu)先級時應(yīng)注意VGMP優(yōu)先級的遞減算法：遞減后的優(yōu)先級＝優(yōu)先級－優(yōu)先級/16，當(dāng)主防火墻出故障時，遞減后的優(yōu)先級應(yīng)比slave防火墻的優(yōu)先級低，才可進行主備狀態(tài)切換，否則出故障的防火墻仍然為主狀態(tài)，從而導(dǎo)致業(yè)務(wù)會中斷。例如，以下配置遞減后的優(yōu)先級為105－105/16＝98，因此slave防火墻比該優(yōu)先級大。[Eudemon-vrrpgroup-1]vrrp-grouppriority105[Eudemon-vrrpgroup-1]quit#使能HRP功能，當(dāng)使能HRP功能后會在[Eudemon]前顯示HRP_M，從防火墻上會顯示HRP_S，默認是自動實時備份。[Eudemon]hrpenable以上為主防火墻的配置，從防火墻的配置基本上與主防火墻的配置相同，只需要改變接口的IP地址即可。,Page64,配置NAT和ACL，應(yīng)用ACL,配置地址轉(zhuǎn)換[Eudemon]natserverprotocoltcpglobal202.169.10.10wwwinside192.168.20.10www配置ACLEudemon]aclnametodadvanced[Eudemon-acl-adv-tod]rulepermittcpdestination192.168.20.100應(yīng)用ACL[Eudemon]firewallinterzonedmzuntrust[Eudemon-interzone-dmz-untrust]packet-filtertodinbound,Page65,校驗防火墻配置,校驗雙機狀態(tài)檢查雙機切換對于業(yè)務(wù)是否有影響校驗配置同步情況檢查主備機的配置是否可自動同步，可以通過比較配置來實現(xiàn)校驗業(yè)務(wù)是否正常測試業(yè)務(wù)是否正常,Version2.0,