信息与通信]华为eudemon200防火墙操作手册

信息与通信]华为eudemon200防火墙操作手册内容摘要：

就是说，如果在启动 ACL加速查找之后，再次修改 ACL规则，那么这个修改时不能反映在当前已经形成的快速查找库中。 因此，我们在实现的时候，做了如下处理：如果在 ACL加速查找启动之后再次修改 ACL规则，那么对于修改过的 ACL规则，我们将不使用加速查找的方式，转而使用传统的线性遍历的搜索方式，对这个规则组的查找速度会变慢。 一个规则组是否使用加速查找方式进行查找，可以通过命令行 display acl accelerate显示。 下面是此命令的显示信息 ACL accelerate is enabled NOTE : UTD means Up To Date, OOD means Out Of Date ACL groups marked with ACCELERATE UTD will use fast search, others will use usual method. ACL group : ID ACCELERATE STATUS 【转自 】 Eudemon 200防火墙操作指导 1 ACCELERATE OOD 10 ACCELERATE UTD 100 UNACCELERATE UTD 如提示信息所说明，只 有标记为 Accelerate UTD的第 10号规则组才会使用加速查找方式搜索，其他两个规则组都只能使用线性搜索方式查找。 报文过滤规则的应用每条 ACL规则虽然跟随了一个 permit/deny的动作，但是并不能直接对报文起到控制作用，只有使用 packetfilter 命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。 路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个 ACL规则组，分别对进入接口和离开接口的报文进行过滤。 防火墙在域间的每 个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。 这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个 ACL 规则组的时候必须通盘考虑才能使一个应用正常通过。 而防火墙是基于状态检测的设备，我们关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来，至于这个流出去之后交互返回的报文能否通过防火墙，完全不需要用户考虑。 单此一点就极大地简化了用户部署安全策略的麻烦，是用户专注于应用的考虑，减少了网络安全 漏洞。 举例来说，用户希望允许受保护的 IP 地址 访问位于外部网络的 FTP 服务器，同时希望内部的 WWW服务器 可以为外部的所有用户提供服务，那么在原有的路由器上，用户需要配置这样的 ACL规则组： [Router] acl name out advanced [Routeracladvout] rule permit tcp source 0 destination 0 destinationport eq 21 —— 允许内网主机发起 FTP 连接 [Routeracladvout] rule permit tcp source 0 sourceport gt 1024 destination 0 —— 允许内网主机的 FTP 数据通道报文出去 [Routeracladvout] rule permit tcp source 0 sourceport eq 80 —— 允许 WWW服务 器的报文出去 [Routeracladvout] rule deny ip —— 禁止其他报文的通过 [Router] acl name in advanced [Routeracladvin] rule permit tcp destination 0 destinationport eq 80 —— 允许外部主机访问内部 服务器 [Routeracladvin] rule permit tcp source 0 sourceport 21 destination destinationport gt 1024 —— 允许外部 ftp服务器同内部的控制通道交互报文进入 [Routeracladvin] rule permit tcp source 0 sourceport gt 1024 destination —— 允许外部 ftp主机的数据通道报文进入 [Routeracladvin] rule deny ip —— 禁止其他 报文的通过 然后，用户需要选择将这两个规则应用到路由器哪个接口上，同时还要注意在相对应的接口上设置缺省动作为允许，还要使能防火墙功能。 这还仅仅是配置两个接口下互通的情况，如果路由器上组网复杂，有多个接口通信，不能简单地在接口上配置允许的缺省动作的话，那么配置一个相对安全的规则组还要考虑更多的东西。 然而，在我们的防火墙上，配置上述安全策略就简单得多，假设用户的内部网络位于防火墙的受信域，外部网络位于非受信域，那么： [Eudemon] acl name out advanced [Eudemonacladvout] rule permit tcp source 0 destination 0 destinationport eq 21 [Eudemonacladvout] rule deny ip [Eudemon] acl name in advanced [Eudemonacladvin] rule permit tcp destination 0 destinationport eq 80 [Eudemonacladvin] rule deny ip [Eudemon] firewall interzone trust untrust [Eudemoninterzonetrustuntrust] detect ftp —— 进行 ftp协议的应用层解析 [Eudemoninterzonetrustuntrust] packetfilter in inbound [Eudemoninterzonetrustuntrust] packetfilter out outbound 如上就完成全部所需配置和应用。 防火墙缺省动作当报文通过的域间没有配置 ACL规则，或者在所配置的 ACL规则组中没有找到符合的规则时，对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。 在路由器上，防火墙的缺省动作只有一个全局 的变量，决定了对没有规则的报文是允许通过还是丢弃。 但是在防火墙上，每个域间的每个方向都可以分别指定其缺省动作，在系统初始配置时，所有域间所有方向上的缺省动作都是丢弃。 NAT 的相关配置 NAT 配置的异同 NAT功能是防火墙上又一个主推的功能，在目前的网络应用状况下，基本上每个将防火墙作为网关的组网情况下都会涉及到 NAT功能的使用， NAT 功能的配置同路由器下基本保持了一致，主要的不同有以下几点： NAT Server命令变为全局配置 NAT outbound命令的引用位置由接口下改变到了域间 在使用 easy ip的时候，命令行所指定的出接口必须处于该域间安全级别比较低的一侧。 因此如果一个接口处于防火墙安全级别最高的域中，是不能使用这个接口做 esay ip功能的 NAT ALG命令 NAT 和 ASPF都有 ALG命令的设置，二者有些协议是重合的，有些又有不同。 原因是这样的，在 VRP软件上面，原有的 NAT 和 ASPF分别有自己的解码函数，各自实现了独立的 ALG处理，因此产生了两套设置命令。 在防火墙上，为了提高处理的性能，NAT 和 ASPF 共用了一套解码函数，但是对于解码后的处理函数是相对独立的（ NAT 要分配地址 /ASPF要判断状态机是否正确）。 因此，仍然是保留了两组 ALG开关命令。 对于两种功能都需要操作的状态机，以部署在域间的 ASPF命令为主， ASPF的命令控制了是否对协议进行解码， NAT 的 ALG 命令控制了是否根据解码结果进行 NAT 处理。 如果 ASPF 的控制命令没有启动，即使设置了 NAT的 ALG命令也是不能激活相关功能的。 缺省状态下，所有 ASPF ALG函数的开关命令都是关闭状态的， NAT ALG函数的开关命令都是打开状态的。 一般的使用中，可以不用理会 NAT 的设置命令，单独使用 ASPF 的命令就可以起到 控制的作用。 统计功能 统计功能的特殊概念在统计功能中，在域模式下使能的命令都包含一个 inzone/outzone的参数。 这个参数的含义指的是从其他域进入这个域以及从这个域流出到其它域。 假设接口 eth0属于受信域，且是受信域的唯一接口，那么要统计从这个接口接收到的发送给其他接口的信息，需要在受信域配置 statistic enable ip outzone，如果要统计其它接口发送来的要从这个接口流出防火墙的信息则需要配置 statistic enable ip inzone。 这点在初次配置的时 候不容易理解，需要注意。 统计的注意事项防火墙的统计信息是整个防火墙进行攻击防范和表项处理所依据的基础，因此某些基础数据是不允许清除的。 在使用 reset firewall statistic system命令的时候，像当前表项等统计数据并不会被清除，只有在使用 reset firewall session table命令清除所有表项的时候，这些统计信息才会清零，需要注意。 统计功能目前分配的用于统计 IP 的表项数目有限，而这些表项又是攻击防范功能的基础数据的来源，因此一旦这些资源耗尽，相应的攻击防范 功能也不会起作用了。 在配置 statistic enable ip inzone/outzone命令的时候，务必要根据实际需要，结合前面说明的 inzone/outzone的含义指定。 不要为了省事，对所有的域都既使能 inzone的统计，又使能 outzone的统计。 这样会将有限的表项无谓的消耗掉，反而无法防范真正的攻击。 双机热备 双机简介在当前的组网应用中，用户对网络可靠性的要求越来越高，在很多组网中都需要提供一台冗余设备进行备份，如下图所示： 目前的防火墙解决方案中提供两种双机热备的方式： 1）基于纯 VRRP的备份； 2）基于 HRP（ Huawei Redundancy Protocol华为公司冗余协议）的备份，以下简要介绍一下这两种双机备份 基于纯 VRRP 的备份在这种双机热备的方式，两台防火墙通过 VRRP 协议来监视彼此的状态，在备用防火墙检测到主防火墙 Down的时候，便会把自己变成组，不过由于没有添加额外的协议和处理，这种方式不能备份状态数据。 因此发生状态切换的时候已有的会话表项会丢失导致连接中断，这种方式还有存在一个因为由于状态防火墙而导致的问题，因为状态防火墙，会建立会话表并要求 后续报文在命中会话表的基础上才能透过防火墙，这就意味着，来去的报文都必须通过同一个防火墙，这就要求在双机热备的环境中防火墙的所有接口（针对同一应用的所有接口）上的 VRRP 都应该处于同一状态，要么都是主、要么都是备。 但是 VRRP协议本身不能保证状态的一致性，这样在状态失序的时候便会影响到我们的应用。 目前规避的办法是在配置 VRRP 的时候保证一台上的 VRRP 的优先级高于另外一台，并使能抢占，这样在可以规避状态不一致的问题。 在实际应用中，这种双机备份方式简单，防火墙的系统负载小，可以应用于一些对连接保持要求不高的环 境。 基于 HRP的备份为了解决纯 VRRP 的双机备份方案中的不足（不能进行状态备份、不能维护 VRRP 的状态一致性），推出了基于 HRP 的解决方案，该方案采用 VRRP 协议检测接口状态、用 VGMP（ VRRP Group Management Protocol—— VRRP组管理协议）协议来维护 VRRP状态的一致性，并用 HRP协议来进行防火墙状态数据的实时备份。 其配置步骤如下： 在接口上配置好 VRRP用于监视接口状态，接口模式下输入命令： vrrp vrid id virtualip ipaddr。 并配置好相关属性 把需要管理的 vrrp加入到 vgmp中，在系统视图下输入 vrrp group id 则进入 vgmp的配置模式，在 vgmp的配置模式下输入命令： add interface Ether 0/0/0 vrid id,则将该 vrrp加入到了 vgmp中，配置好其他属性并使能该 vgmp 使能 hrp功能，在系统视图下输入命令： hrp enable 这样一个基于 hrp的双机热备便配置完成了。 双机热备的注意事项 纯 vrrp 备份的应用中，如果出现了状态不一致的情况需要手工调 整，以保证 vrrp的状态一致性； 在配置 vgmp 的时候，配置好了 vgmp 时还需要单独使能该 vgmp 才可以应用，这是和 vrrp配置不一致的地方，一定要注意； 在纯 vrrp备份的应用中，也可以配置 vgmp管理来维护 vrrp的一致性，不必使能 hrp，不过需要注意的是无论是 hrp还是 vgmp协议都是华为的私有协议，其中。