没有合适的资源?快使用搜索试试~ 我知道了~
03-防火墙配置
资源推荐
资源详情
资源评论
操作手册 安全分册 防火墙 目 录
i
目 录
第 1 章 防火墙配置..................................................................................................................1-1
1.1 防火墙简介......................................................................................................................... 1-1
1.1.1 包过滤防火墙简介.................................................................................................... 1-2
1.1.2 ASPF简介................................................................................................................ 1-3
1.2 配置包过滤防火墙 .............................................................................................................. 1-6
1.2.1 包过滤防火墙配置任务简介..................................................................................... 1-6
1.2.2 启用防火墙功能 ....................................................................................................... 1-7
1.2.3 配置缺省过滤方式.................................................................................................... 1-7
1.2.4 打开分片报文检测开关 ............................................................................................ 1-7
1.2.5 配置分片报文检测门限 ............................................................................................ 1-8
1.2.6 配置接口的报文过滤功能......................................................................................... 1-9
1.2.7 配置接口的以太网帧过滤功能 ............................................................................... 1-10
1.2.8 包过滤防火墙显示和维护....................................................................................... 1-11
1.2.9 包过滤防火墙典型配置举例................................................................................... 1-11
1.3 配置ASPF ........................................................................................................................ 1-13
1.3.1 ASPF配置任务简介 ............................................................................................... 1-13
1.3.2 启用防火墙功能 ..................................................................................................... 1-14
1.3.3 配置ASPF策略....................................................................................................... 1-14
1.3.4 在接口上应用ASPF策略 ........................................................................................ 1-15
1.3.5 配置ASPF会话日志功能 ........................................................................................ 1-15
1.3.6 配置端口映射......................................................................................................... 1-16
1.3.7 ASPF显示和维护................................................................................................... 1-16
1.3.8 ASPF典型配置举例 ............................................................................................... 1-17
操作手册 安全分册 防火墙 第 1 章 防火墙配置
1-1
本文中标有“请以实际情况为准”的特性描述,表示各型号对于此特性的支持情况
可能不同,本节将对此进行说明。
MSR 系列路由器特性支持情况说明:
特性
MSR
20-1X
MSR 20 MSR 30 MSR 50
打开分片报文检测开关
YES YES YES YES
配置分片报文检测门限
YES YES YES YES
配置接口的 IPv6 报文过滤功能
YES YES YES YES
配置包过
滤防火墙
配置接口的以太网帧过滤功能
YES YES YES YES
配置 ASPF 会话日志功能
YES YES YES YES
配置
ASPF
配置端口映射
YES YES YES YES
说明:
z H3C MSR 系列路由器对相关命令参数支持情况、缺省值及取值范围的差异内容
请参见本模块的命令手册。
z H3C MSR 系列各型号路由器均为集中式设备。
z 设备对接口的实际支持情况请参见“H3C MSR 20/30/50 系列路由器接口模块及
接口卡手册”。
第1章 防火墙配置
说明:
本文所涉及的路由器和路由器图标,代表了一般意义下的路由器或运行了路由协议
的三层交换机。
1.1
防火墙简介
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面允许
内部网络用户对因特网进行 Web 访问或收发 E-mail 等。防火墙也可以作为一个访
问因特网的权限控制关口,如允许组织内的特定主机可以访问因特网。现在,许多
防火墙同时还具有一些其它特点,如进行身份鉴别、对信息进行安全(加密)处理
等。
操作手册 安全分册 防火墙 第 1 章 防火墙配置
1-2
防火墙不单用于控制因特网连接,也可以用来在组织网络内部保护大型机和重要的
资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用
户要访问受保护的数据,也要经过防火墙。
目前设备中的防火墙主要指以下三种:
z 包过滤防火墙,即基于 ACL(Access Control List,访问控制列表)的包过滤
z 状态防火墙,即 ASPF(Application Specific Packet Filter,基于应用层状态
的包过滤)
z 地址转换
说明:
关于地址转换的详细介绍,请参见“安全分册”中的“NAT 配置”,本章主要介绍
包过滤防火墙和状态防火墙。
1.1.1 包过滤防火墙简介
1. 包过滤概述
包过滤实现了对 IP 数据包的过滤。对设备需要转发的数据包,先获取其包头信息(包
括 IP 层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端
口等),然后与设定的 ACL 规则进行比较,根据比较的结果对数据包进行相应的处
理。
2. 对分片报文过滤的支持
目前的包过滤提供了对分片报文检测过滤的支持,检测的内容有:
z 报文类型(非分片报文、首片分片报文和非首片分片报文)
z 获得报文的三层信息(基本 ACL 规则和不含三层以上信息的高级 ACL 规则)
z 三层以上的信息(包含三层以上信息的高级 ACL 规则)
对于配置了精确匹配过滤方式的高级 ACL 规则,包过滤防火墙需要记录每一个首片
分片的三层以上的信息,当后续分片到达时,使用这些保存的信息对 ACL 规则的每
一个匹配条件进行精确匹配。
应用精确匹配过滤后,包过滤防火墙的执行效率会略微降低,配置的匹配项目越多,
效率降低越多,可以配置门限值来限制防火墙最大处理的数目。
说明:
关于 ACL 的详细介绍,请参见“安全分册”中的“ACL 配置”。
操作手册 安全分册 防火墙 第 1 章 防火墙配置
1-3
1.1.2 ASPF 简介
包过滤防火墙属于静态防火墙,目前存在的问题如下:
z 对于多通道的应用层协议(如 FTP、H.323 等),部分安全策略配置无法预知。
z 无法检测某些来自传输层和应用层的攻击行为(如 TCP SYN、Java Applets
等)。
z 无法识别来自网络中伪造的 ICMP 差错报文,从而无法避免 ICMP 的恶意攻击。
z 对于 TCP 连接均要求其首报文为 SYN 报文,非 SYN 报文的 TCP 首包将被丢
弃。在这种处理方式下,当设备首次加入网络时,网络中原有 TCP 连接的非
首包在经过新加入的防火墙设备时均被丢弃,这会对中断已有的连接。
因此,提出了状态防火墙——ASPF 的概念。ASPF 能够实现的检测有:
z 应用层协议检测,包括 FTP、HTTP、SMTP、RTSP、H.323(Q.931、H.245、
RTP/RTCP)检测;
z 传输层协议检测,包括 TCP 和 UDP 检测,即通用 TCP/UDP 检测。
1. ASPF 的功能
ASPF 的主要功能如下:
z 能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于
连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被 ASPF 维
护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶
意的入侵。
z 能够检测传输层协议信息(即通用 TCP/UDP 检测),能够根据源、目的地址
及端口号决定 TCP 或 UDP 报文是否可以通过防火墙进入内部网络。
ASPF 的其它功能有:
z ASPF 不仅能够根据连接的状态对报文进行过滤,还能够对应用层报文的内容
加以检测,提供对不可信站点的 Java Blocking 功能,用于保护网络不受有害
的 Java Applets 的破坏。
z 增强的会话日志功能。可以对所有的连接进行记录,包括:连接的时间、源地
址、目的地址、使用的端口和传输的字节数。
z 支持 PAM(Port to Application Map,应用协议端口映射),允许用户自定义
应用层协议使用非通用端口。
z 支持 ICMP 差错报文检测。正常 ICMP 差错报文中均携带有本报文对应连接的
相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前
配置决定是否丢弃该 ICMP 报文。
剩余18页未读,继续阅读
资源评论
xiaoli8748_软件开发
- 粉丝: 3407
- 资源: 1341
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功