- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-防火墙配置
本章节下载 (243.83 KB)
目 录
防火墙一方面可以阻止来自因特网的、对受保护网络的未授权访问,另一方面允许内部网络用户对因特网进行Web访问或收发E-mail等。防火墙也可以作为一个访问因特网的权限控制关口,如允许组织内的特定主机可以访问因特网。现在,许多防火墙同时还具有一些其它特点,如进行身份鉴别、对信息进行安全(加密)处理等。
防火墙不单用于控制因特网连接,也可以用来在组织网络内部保护大型机和重要的资源(如数据)。对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
目前设备中的防火墙主要指以下三种:
· 包过滤防火墙,即基于ACL(Access Control List,访问控制列表)的包过滤
· 状态防火墙,即ASPF(Application Specific Packet Filter,基于应用层状态的包过滤)
· 地址转换
· 关于地址转换的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”,本章主要介绍包过滤防火墙和状态防火墙。
· VLAN接口上不支持IPv4和IPv6包过滤防火墙以及ASPF。
包过滤实现了对IP数据包的过滤。对设备需要转发的数据包,先获取其包头信息(包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等),然后与设定的ACL规则进行比较,根据比较的结果对数据包进行相应的处理。
包过滤防火墙属于静态防火墙,目前存在的问题如下:
· 对于多通道的应用层协议(如FTP、H.323等),部分安全策略配置无法预知。
· 无法检测某些来自传输层和应用层的攻击行为(如TCP SYN、Java Applets等)。
· 无法识别来自网络中伪造的ICMP差错报文,从而无法避免ICMP的恶意攻击。
· 对于TCP连接均要求其首报文为SYN报文,非SYN报文的TCP首包将被丢弃。在这种处理方式下,当设备首次加入网络时,网络中原有TCP连接的非首包在经过新加入的防火墙设备时均被丢弃,这会中断已有的连接。
因此,提出了状态防火墙——ASPF的概念。ASPF能够实现的检测有:
· 应用层协议检测,包括FTP、GTP、HTTP、SMTP、RTSP、SCCP、SIP、H.323(Q.931、H.245、RTP/RTCP)检测;
· 传输层协议检测,包括TCP和UDP检测,即通用TCP/UDP检测。
ASPF的主要功能如下:
· 能够检查应用层协议信息,如报文的协议类型和端口号等信息,并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护,并用于动态地决定数据包是否被允许通过防火墙进入内部网络,以阻止恶意的入侵。
· 能够检测传输层协议信息(即通用TCP/UDP检测),能够根据源、目的地址及端口号决定TCP或UDP报文是否可以通过防火墙进入内部网络。
ASPF的其它功能有:
· ASPF不仅能够根据连接的状态对报文进行过滤,还能够对应用层报文的内容加以检测,提供对不可信站点的Java Blocking功能,用于保护网络不受有害的Java Applets的破坏。
· 增强的会话日志功能。可以对所有的连接进行记录,包括:连接的时间、源地址、目的地址、使用的端口和传输的字节数。
· 支持PAM(Port to Application Map,应用协议端口映射),允许用户自定义应用层协议使用非通用端口。
· 支持ICMP差错报文检测。正常ICMP差错报文中均携带有本报文对应连接的相关信息,根据这些信息可以匹配到相应的连接。如果匹配失败,则根据当前配置决定是否丢弃该ICMP报文。
· 支持TCP连接首包检测。对TCP连接的首报文进行检测,查看是否为SYN报文,如果不是SYN报文则根据当前配置决定是否丢弃该报文。
在网络边界,ASPF和包过滤防火墙协同工作,能够为企业内部网络提供更全面的、更符合实际需求的安全策略。
(1) Java Blocking
Java Blocking是对通过HTTP协议传输的Java Applets程序进行阻断。当配置了Java Blocking后,用户为试图在Web页面中获取包含Java Applets程序而发送的请求指令将会被阻断。
(2) PAM
应用层协议使用通用的端口号进行通信,PAM允许用户对不同的应用定义一组新的端口号,并提供了一些机制来维护和使用用户定义的端口配置信息。
PAM支持两类映射机制:
· 通用端口映射:是将用户自定义端口号与应用层协议建立映射关系。例如:将8080端口映射为HTTP协议,这样所有目的端口是8080的TCP报文将被认为是HTTP报文。
· 主机端口映射:是对去往或来自某些特定主机的报文建立自定义端口号和应用协议的映射。例如:将目的地址为10.110.0.0/16网段的、使用8080端口的TCP报文映射为HTTP报文。主机的范围可由基本ACL指定。
(3) 单通道协议和多通道协议
· 单通道协议:从会话建立到删除的全过程中,只有一个通道参与数据交互,如SMTP、HTTP。
· 多通道协议:包含一个控制通道和若干其它控制或数据通道,即控制信息的交互和数据的传送是在不同的通道上完成的,如FTP、RTSP。
(4) 内部接口和外部接口
如果设备连接了内部网和互联网,并且设备要通过部署ASPF来保护内部网的服务器,则设备上与内部网连接的接口就是内部接口,与互联网相连的接口就是外部接口。
当ASPF应用于设备外部接口的出方向时,可以在防火墙上为内部网用户访问互联网的返回报文打开一个临时通道。
如图1-1所示,为了保护内部网络,一般情况下需要在路由器上配置访问控制列表,以允许内部网的主机访问外部网络,同时拒绝外部网络的主机访问内部网络。但访问控制列表会将用户发起连接后返回的报文过滤掉,导致连接无法正常建立。
ASPF的应用层协议检测功能由会话管理及ALG功能协作实现。ASPF将检测到的应用层会话的首报文与配置的策略进行匹配,匹配的结果交由会话管理用来建立会话信息数据库以及维护会话状态。之后,ASPF根据会话管理返回的会话状态信息决定后续报文的处理方式。
关于会话管理的具体介绍请参见“安全配置指导”中的“会话管理”,关于ALG功能的具体介绍请参见“安全配置指导”中的“ALG”。
这里的传输层协议检测是指通用TCP/UDP检测。通用TCP/UDP检测与应用层协议检测不同,是对报文的传输层信息进行的检测,如源、目的地址及端口号等。
通用TCP/UDP检测要求返回到ASPF外部接口的报文要与前面从ASPF外部接口发出去的报文完全匹配,即源、目的地址及端口号恰好对应,否则返回的报文将被阻塞。因此对于FTP、H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致数据连接无法建立。
表1-1 包过滤防火墙配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
启用防火墙功能 |
必选 |
|
|
配置缺省过滤方式 |
可选 |
|
|
配置接口的报文过滤功能 |
必选 |
表1-2 启用IPv4防火墙功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用IPv4防火墙功能 |
非IRF模式: firewall enable { all | slot slot-number } IRF模式: firewall enable { all | chassis chassis-number slot slot-number } |
必选 缺省情况下,IPv4防火墙功能处于关闭状态 |
表1-3 启用IPv6防火墙功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用IPv6防火墙功能 |
firewall ipv6 enable |
必选 缺省情况下,IPv6防火墙功能处于关闭状态 |
缺省过滤方式用来定义对访问控制列表以外数据包的处理方式,即在没有规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。
表1-4 配置IPv4防火墙缺省过滤方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置IPv4防火墙缺省过滤方式 |
非IRF模式: firewall default { deny | permit } { all | slot slot-number } IRF模式: firewall default { deny | permit } { all | chassis chassis-number slot slot-number } |
可选 缺省情况下,IPv4防火墙缺省过滤方式为允许报文通过(permit) |
如果把IPv4防火墙缺省过滤方式修改为deny,会造成路由协议的不通,影响网络连通性,请慎用。
表1-5 配置IPv6防火墙缺省过滤方式
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置IPv6防火墙缺省过滤方式 |
firewall ipv6 default { deny | permit } |
可选 缺省情况下,IPv6防火墙缺省过滤方式为允许报文通过(permit) |
如果把IPv6防火墙缺省过滤方式修改为deny,会造成路由协议的不通,影响网络连通性,请慎用。
一般采用在接口上应用访问控制列表来实现报文过滤功能。将ACL规则应用到接口时,同时会遵循时间段过滤原则,另外可以对接口收发报文分别指定ACL规则:
· 基本访问控制列表只根据三层的源地址信息制定规则,对数据包进行相应的分析处理;
· 高级访问控制列表可以使用数据包的源地址信息、目的地址信息、IP承载的协议类型、TCP或UDP的源端口、目的端口等内容定义规则。
接口的报文过滤功能与接口加入聚合组互斥。
表1-6 配置接口的IPv4报文过滤功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置接口的IPv4报文过滤功能 |
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } |
必选 缺省情况下,不对通过接口的IPv4报文进行过滤 |
在接口的一个方向上,只能应用一个IPv4 ACL来进行报文过滤。
接口的IPv6报文过滤功能为用户提供了基于IPv6 ACL的基本防火墙功能,可通过配置该功能对接口的入方向或出方向上匹配特定IPv6 ACL规则的IPv6报文进行过滤。
表1-7 配置IPv6防火墙报文过滤
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置接口的IPv6报文过滤功能 |
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound } |
必选 缺省情况下,不对通过接口的IPv6报文进行过滤 |
在接口的一个方向上,只能应用一个IPv6 ACL来进行报文过滤。
在完成上述配置后,在任意视图下执行display命令可以显示配置后包过滤防火墙的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除包过滤防火墙的统计信息。
|
操作 |
命令 |
|
查看IPv4防火墙的过滤报文统计信息 |
display firewall-statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
查看IPv6防火墙的过滤报文统计信息 |
display firewall ipv6 statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ] |
|
清除IPv4防火墙的过滤报文统计信息 |
reset firewall-statistics { all | interface interface-type interface-number } |
|
清除IPv6防火墙的过滤报文统计信息 |
reset firewall ipv6 statistics { all | interface interface-type interface-number } |
· 某公司通过Router的接口Serial2/1/1访问Internet,Router与内部网通过接口GigabitEthernet3/0/1连接;
· 公司内部对外提供WWW、FTP和Telnet服务:公司内部子网为129.1.1.0/24。其中,内部FTP服务器地址为129.1.1.1,内部Telnet服务器地址为129.1.1.2,内部WWW服务器地址为129.1.1.3;公司对外地址为20.1.1.1。在Router上配置了地址转换,这样公司内部主机可以访问Internet,公司外部主机可以访问公司内部的服务器;
· 通过配置防火墙,希望实现以下要求:外部网络只有特定用户可以访问内部服务器;内部网络只有特定主机可以访问外部网络。
· 假定外部特定用户的IP地址为20.3.3.3。
# 在Router上启用防火墙功能。
<Router> system-view
[Router] firewall enable slot 2
[Router] firewall enable slot 3
# 创建高级访问控制列表3001。
[Router] acl number 3001
# 配置规则允许特定主机访问外部网,允许内部服务器访问外部网。
[Router-acl-adv-3001] rule permit ip source 129.1.1.1 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.2 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.3 0
[Router-acl-adv-3001] rule permit ip source 129.1.1.4 0
# 配置规则禁止所有IP包通过。
[Router-acl-adv-3001] rule deny ip
[Router-acl-adv-3001] quit
# 创建高级访问控制列表3002。
[Router] acl number 3002
# 配置规则允许特定用户从外部网访问内部服务器。
[Router-acl-adv-3002] rule permit tcp source 20.3.3.3 0 destination 129.1.1.0 0.0.0.255
# 配置规则允许外部特定数据进入内部网络(只允许端口大于1024的包)。
[Router-acl-adv-3002] rule permit tcp destination 20.1.1.1 0 destination-port gt 1024
[Router-acl-adv-3002] rule deny ip
[Router-acl-adv-3002] quit
# 将ACL 3001作用于从接口GigabitEthernet3/0/1进入的包。
[Router] interface gigabitethernet 3/0/1
[Router-GigabitEthernet3/0/1] firewall packet-filter 3001 inbound
[Router-GigabitEthernet3/0/1] quit
# 将ACL 3002作用于从接口Serial2/1/1进入的包。
[Router] interface serial 2/1/1
[Router-Serial2/1/1] firewall packet-filter 3002 inbound
表1-9 ASPF配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
启用防火墙功能 |
必选 |
|
|
配置ASPF策略 |
必选 |
|
|
在接口上应用ASPF策略 |
必选 |
|
|
配置端口映射 |
可选 |
表1-10 启用防火墙功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用IPv4防火墙功能 |
firewall enable { all | slot slot-number } |
必选 缺省情况下,IPv4防火墙功能处于关闭状态 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建ASPF策略,并进入ASPF策略视图 |
aspf-policy aspf-policy-number |
必选 |
|
配置ICMP差错报文丢弃功能 |
icmp-error drop |
可选 缺省情况下,不丢弃ICMP差错报文 |
|
配置非SYN的TCP首报文丢弃功能 |
tcp syn-check |
可选 缺省情况下,不丢弃非SYN的TCP首报文 |
对于ASPF策略,有两个概念:内部接口和外部接口。如果设备连接了内部网和互联网,并且设备要通过部署ASPF来保护内部网的服务器,则设备上与内部网连接的接口就是内部接口,与互联网相连的接口就是外部接口。当ASPF与包过滤防火墙协同工作,并应用于外部接口时,可以拒绝互联网上的用户对内部网的访问,但内部网的用户访问互联网时,返回的报文可以通过ASPF。
只有将定义好ASPF策略应用到接口上,才能对通过接口的流量进行检测。由于ASPF对于应用层协议状态的保存和维护都是基于接口的,因此在实际应用中,必须保证报文入口的一致性,即必须保证连接发起报文和返回报文基于同一接口。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
在接口上应用ASPF策略 |
firewall aspf aspf-policy-number { inbound | outbound } |
必选 缺省情况下,接口上没有应用ASPF策略 |
有如下两类映射机制:
· 通用端口映射:是将用户自定义的端口号与应用层协议建立起映射关系。例如,在建立端口8080到HTTP协议的映射后,所有目的端口为8080的TCP报文都将被认为是HTTP报文。
· 基于基本访问控制列表的主机端口映射:是对去往某些特定主机的报文建立自定义的端口号与应用协议的映射。例如,可以把去往网段1.1.0.0的、使用8080端口的TCP报文映射为HTTP报文。主机的范围由基本ACL指定。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置端口到应用层协议的映射 |
port-mapping application-name port port-number [ acl acl-number ] |
必选 缺省情况下,没有端口到应用层协议的映射关系 目前,该功能可支持的应用层协议有FTP、H323、HTTP、HTTPS、IKE、RTSP、SMTP、SSH和VAM |
在完成上述配置后,在任意视图下执行display命令可以显示配置后ASPF的运行情况,通过查看显示信息验证配置的效果。
表1-14 ASPF显示和维护
|
操作 |
命令 |
|
查看所有的ASPF策略和会话信息 |
display aspf all [ | { begin | exclude | include } regular-expression ] |
|
查看接口上的ASPF策略信息 |
display aspf interface [ | { begin | exclude | include } regular-expression ] |
|
查看指定ASPF策略的信息 |
display aspf policy aspf-policy-number [ | { begin | exclude | include } regular-expression ] |
|
查看端口映射信息 |
display port-mapping [ application-name | port port-number ] [ | { begin | exclude | include } regular-expression ] |
在Router A上配置一个ASPF策略,实现以下功能:
· ICMP差错报文检测及TCP非SYN首报文丢弃。
· 本例可以应用在本地用户需要访问远程网络服务的情况下。
图1-3 ASPF典型配置组网图
# 在Router A上启用防火墙功能。
<RouterA> system-view
[RouterA] firewall enable slot 2
[RouterA] firewall enable slot 3
# 配置ACL 3111,以拒绝所有IP流量进入内部网络,ASPF会为允许通过的流量创建临时的访问控制列表。
[RouterA] acl number 3111
[RouterA-acl-adv-3111] rule deny ip
[RouterA-acl-adv-3111] quit
# 创建ASPF策略1。
[RouterA] aspf-policy 1
[RouterA-aspf-policy-1] icmp-error drop
[RouterA-aspf-policy-1] tcp syn-check
[RouterA-aspf-policy-1] quit
# 在接口Serial2/1/1上应用ASPF策略和ACL 3111。
[RouterA] interface serial 2/1/1
[RouterA-Serial2/1/1] firewall aspf 1 outbound
[RouterA-Serial2/1/1] firewall packet-filter 3111 inbound
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
