USG防火墻產品基本

功能特性與配置前言

本膠片介紹了USG系列產品主要的安全技術和安全特性，以及各安全特性在USG產品上的配置。包括如：防火墻區域，防火墻工作模式，ASPF技術，NAT技術以及一些擴展技術。Page1培訓目標

學完本課程后，您應該能：掌握USG產品的主要安全技術和安全特性掌握各安全特性在USG產品上的配置Page2目錄防火墻的基本概念防火墻關鍵技術防火墻基本功能防火墻擴展功能Page3目錄1.防火墻的基本概念1.1安全區域1.2防火墻工作模式1.3會話Page4防火墻的安全區域Page5Local區域100Trust區域85DMZ區域50UnTrust區域5接口2接口3接口4接口1

用戶自定義區域Vzone0Page6接口、網絡和安全區域關系Page7Eth1/0/0Eth2/0/0inboundoutboundinboundoutboundEth0/0/0USGLocalinboundoutboundinboundoutboundinboundoutboundVzoneTrust內部網絡UntrustServerServerDMZ外部網絡inboundoutboundPage8安全區域配置－1創建一個安全區域[USG2100]firewallzonenameuserzone設置優先級[USG2100-zone-userzone]setpriority60

給安全區域添加接口[USG2100-zone-userzone]addinterfaceGigabitEthernet0/0/1Page9安全區域配置驗證

查看防火墻安全區域配置[USG2100]displayzoneusernameusernamepriorityis60interfaceofthezoneis(1):

GigabitEthernet0/0/1Page10安全區域配置－2在域間下發ACL<USG2100>system-view

[USG2100]policyinterzonetrustuntrustoutbound

[USG2100-policy-interzone-trust-untrust-outbound]policy1

[USG2100-policy-interzone-trust-untrust-outbound-1]actionpermitPage11目錄1.防火墻的基本概念1.1安全區域1.2防火墻工作模式1.3會話Page12防火墻的三種工作模式

路由模式透明模式混合模式Page13路由模式Page14外部網絡服務器PCPC/24Trust區服務器USGPC/2454內部網絡Untrust區透明模式Page15服務器PCPCTrust區服務器USGPCUntrust區/24混合模式Page16USG（主）/24內部網絡USG（備）VRRP/24Trust區服務器PC服務器PCPCUntrust區外部網絡目錄1.防火墻的基本概念1.1安全區域1.2防火墻工作模式1.3會話Page17

會話（Session）

USG防火墻是狀態防火墻，采用會話表維持通信狀態。會話表包括五個元素：源IP地址、源端口、目的IP地址、目的端口和協議號(如果支持虛擬防火墻的話還有一個VPN-ID)。當防火墻收到報文后，根據上述五個元素查詢會話表，并根據具體情況進行如下操作：條件操作報文的五元組匹配會話表轉發該報文報文的五元組不匹配會話表域間規則允許通過轉發該報文，并創建會話表表項域間規則不允許通過丟棄該報文Page18會話查看防火墻的Session信息[USG2100]displayfirewall

session

tableverbose

CurrentTotalSessions:1telnetVPN:public-->publicTTL:00:10:00Left:00:10:00Interface:InLoopBack0NextHop:MAC:00-00-00-00-00-00<--packets:1269bytes:66769-->packets:1081bytes:43715:2855-->00:23Page19會話相關命令重置防火墻的session<USG2100>resetfirewallsessiontable會話相關命令

查看防火墻的Sessionaging-time[USG2100]displayfirewallsessionaging-timeSequencePre-definedVPNTimeout(s)1httpAll6002telnetAll600….Page20[USG2100]firewallsessionaging-timeicmp15防火墻長連接會話

配置ACL，用于控制需要長連接會話的數據流[USG2100]acl3001

[USG2100-acl-adv-3001]rulepermittcpsource0設置長連接的老化時間[USG2100]firewalllong-linkaging-time2在域間應用長連接[USG2100]firewallinterzonetrustuntrust

[USG2100-interzone-trust-untrust]long-link3001inboundPage21[USG2100]displayfirewallsessiontableverboseFTPVPN:public->publicRemoteZone:zone1->outTTL:168:00:00Left:168:00:00Interface:E1.200Nexthop:MAC:00-00-02-00-c8-01<--packets:9bytes:774-->packets:7bytes:602-->:21(LongLink)目錄防火墻的基本概念防火墻關鍵技術防火墻基本功能防火墻擴展功能Page22目錄2.防火墻關鍵技術2.1ASPFPage23ASPFASPF（ApplicationSpecificPacketFilter）是一種改進的高級通信過濾技術，ASPF不但對報文的網絡層的信息進行檢測，還能對豐富的應用層協議進行深度檢測，支持多媒體業務的NAT以及安全防范功能，支持的協議包括：H.323協議族、MGCP、SIP、H248、RTSP、HWCC及ICMP、FTP、DNS、PPTP、NBT、ILS、HTTP、SMTP等。基于ACL規則的包過濾可以在網絡層和傳輸層檢測數據包，防止非法入侵。

ASPF對應用層的協議信息進行檢測，通過維護會話的狀態和檢查會話報文的協議和端口號等信息，阻止惡意的入侵。Page24Page25多通道協議

多通道協議是指某個應用在進行通訊或提供服務時需要建立兩個以上的會話（通道），其中有一個控制通道，其他的通道是根據控制通道中雙方協商的信息動態創建的，一般我們稱之為數據通道或子通道。多通道協議在狀態防火墻當中需要特殊處理。單通道協議是指某個應用在進行通訊或提供服務時只需要建立一個會話的應用協議。根據TCP三次握手機制，狀態防火墻能夠維護會話的五元組信息。Page26ASPF與多通道協議Page27用戶USG防火墻FTPserver0三次握手防火墻創建Servermap表項三次握手Port89,3Port

89,3200PortCommandOKRETRSample.txtRETRSample.txt200PortCommandOK150OpeningASCIIconnection150OpeningASCIIconnection檢測Servermap表項，命中表項，打開通道SYN:22787:22787SYNPage28三元組ASPFUSG相當于一個六元組(支持VPN情況下，有VPN-ID)的NAT設備，即防火墻上的每個會話的建立都需要六元組：源IP地址、源端口、目的IP地址、目的端口、協議號和VPN-ID。只有這些元素都具備了，會話才能建立成功，報文才能通過。而一些實時通訊工具，如QQ、MSN等，通過NAT設備，需要按三元組處理：源IP地址、源端口、協議號。USG為了適配類似QQ、MSN等通訊機制，支持三元組處理方式，讓類似QQ、MSN等的通訊方式能夠正常的穿越。除QQ、MSN穿越NAT設備外，其他僅使用源IP地址、源端口、協議號的會話，如TFTP，同樣需要配置防火墻三元組ASPF。Page29Page30ASPF配置

進入安全區域域間[USG2100]firewallinterzonetrustuntrust

打開ASPF功能[USG2100-interzone-trust-untrust]detectprotocol[USG2100-interzone-trust-untrust]detect{activex-blocking|java-blocking}Page31目錄防火墻的基本概念防火墻關鍵技術防火墻基本功能防火墻擴展功能Page32目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯動3.5日志Page33黑名單黑名單特點：根據報文的源IP地址進行過濾簡單高效可動態添加刪除Page34靜態黑名單配置[USG2100]firewallblacklistitemtimeout100[USG2100]firewallblacklistenablePage35服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24動態黑名單配置Page36服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24[USG2100]firewalldefendip-sweepenable[USG2100]firewalldefendip-sweepmax-rate1000[USG2100]firewalldefendip-sweepblacklist-timeout20[USG2100]firewallblacklistenable黑名單配置驗證[USG2100]displayfirewallblacklistitemTotal:1Manual:1IPSweep:0PortScan:0IDS:0LoginFailed:0PreAuthed:0GetFlood:0tcp-illeage-session:0Unknown:0IPReasonInsertTimeAgeTimeVpn-instance

Manual2009/05/1217:47:35PermanentPage37目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯動3.5日志Page38MAC綁定問題的提出網絡中常有一些假冒IP地址的攻擊MAC綁定應用限制條件與二層直接相連的網絡Page39MAC綁定配置[USG2100]firewallmac-bindingenable[USG2100]firewallmac-binding00e0-fc00-0100Page40服務器/24PC/24USGEth1/0/1/24Eth1/0/0/24MAC綁定配置驗證[USG2100]displayfirewallmac-bindingitemFirewallMac-bindingitems:Currentitems:380087-0326-ea9d00e0-fc08-058900e0-fc98-5679Page41目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯動3.5日志Page42端口映射問題的提出內部服務器在非知名端口提供知名服務，例如在1021端口提供FTP服務端口映射防火墻并非要更改數據包的端口信息可以用來保護因為知名端口而帶來的針對性攻擊Page43端口映射組網示例Page44FTPServer/24WWWServer/24Eth1/0/0/24Eth2/0/0/16/24網段網段公司內部以太網USGWAN端口映射配置驗證[USG2100]displayport-mappingSERVICEPORTACLTYPE

ftp21systemdefinedsmtp25systemdefinedhttp80systemdefinedrtsp554systemdefinedh3231720systemdefinedftp802010userdefinedhttp56782020userdefinedPage45配置參考[USG2100]aclnumber2010[USG2100-acl-basic-2010]rulepermitsource[USG2100]port-mappingftpport80acl2010[USG2100]aclnumber2020[USG2100-acl-basic-2020]rulepermitsource55[USG2100]port-mappinghttpport5678acl2020[USG2100]firewallinterzonedmzuntrust[USG2100-interzone-dmz-untrust]detectftpPage46將去往主機的使用端口號80的報文識別為FTP報文需要在域間detect相應的協議目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯動3.5日志Page47IDS聯動防火墻的局限性防火墻不能防止通向站點的后門；防火墻一般不提供對內部的保護；防火墻無法防范數據驅動型的攻擊；防火墻不能根據網絡被惡意使用和攻擊的情況動態調整自己的策略等。IDS（IntrusionDetectionSystem，入侵檢測系統）的優勢實時地監視、分析網絡中所有的數據報文，發現并實時處理所捕獲的數據報文，對系統記錄的網絡事件進行統計分析，發現異常現象，主動切斷連接或與防火墻聯動，調用其他程序處理。Page48與IDS聯動組網示例Page49INTERNET管理端口管理信息日志告警NIPNIDS內部辦公網DMZ區響應端口監聽端口受保護服務器群聯動信息監聽數據流USGEth1/0/1Eth1/0/0與IDS聯動配置[USG2100]firewallidsserver0[USG2100]firewallidsport3000[USG2100]firewallidsauthenticationtypemd5keyhuawei123[USG2100]firewallidsenablePage50最后一定得使能IDS的功能IDS配置驗證[USG2100]displayfirewallidsFirewallIDSinformation:firewallIDS:enabledebugflag:offserverport:3000authenticationtype:md5authenticationstring:huawei123clientaddress0:0Page51目錄3.防火墻基本功能3.1黑名單3.2MAC綁定3.3端口映射3.4IDS聯動3.5日志Page52防火墻日志Page53Log

Server信息中心攻擊防范黑名單地址綁定二進制流日志

Syslog日志監視終端控制臺緩沖區……重定向NAT/ASPF

日志信息

日志信息

日志信息流量統計

日志信息

日志信息

日志信息Page54日志輸出配置組網示例Page55Ethernet2/0/1/24服務器日志服務器PCEthernet2/0/0/24Ethernet1/0/0/24USGPC/24日志輸出配置[USG2100]info-centerenable[USG2100]info-centerloghostlanguageenglishPage56[USG2100]firewall

sessionlog-typebinaryhost19002日志配置驗證[USG2100]displayinfo-centerInformationCenter:enabledLoghost: ,channelnumber2,channelnameloghost, languageenglish,hostfacilitylocal7Console: channelnumber:0,channelname:consoleMonitor: channelnumber:1,channelname:monitor……Page57目錄防火墻的基本概念防火墻關鍵技術防火墻基本功能防火墻擴展功能Page58目錄4.防火墻擴展功能4.1負載均衡4.2虛擬防火墻Page59負載均衡當前的網絡應用中，單臺服務器的處理能力已經成為網絡中的瓶頸，尤其是在IDC、網站等應用場合。USG防火墻的負載均衡即是將用戶流量分配到多個服務器上，從而達到流量分擔的目的，進而保障服務器的可用性。防火墻按照配置的算法，將用戶流量分配到不同的服務器上，充分利用各個服務器的處理能力，達到最佳的可擴展性。Page60負載均衡組網示例Page61Eth1/0/0/24Eth1/0/1/24服務器1/24服務器2/24服務器3/24vipUSG交換機PC/24負載均衡配置[USG2100]slbenable[USG2100]slb[USG2100-slb]rserver1rip[USG2100-slb]rserver2rip[USG2100-slb]rserver3rip[USG2100]firewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutboundPage62由于防火墻對實服務器缺省進行健康行檢查，此時需要配置允許健康檢查報文在防火墻Local和DMZ域間出方向流動使能SLB和自動健康檢查功能。Page63負載均衡配置(續)[USG2100-slb]groupgroup1[USG2100-slb-group-group1]metricroundrobin[USG2100-slb-group-group1]addrserver1[USG2100-slb-group-group1]addrserver2[USG2100-slb-group-group1]addrserver3[USG2100-slb]vserverhuaweivipgroupgroup1Page64Page65負載均衡配置驗證[USG2100-slb]displaythisslbrserver1ripweight32healthchkrserver2ripweight32healthchkrserver3ripweight32healthchkgroupgroup1metricroundrobinaddrserver1addrserver2addrserver3vserverhuaweivipgroupgroup1Page66負載均衡效果[USG2100]displayfirewallsessiontableicmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43icmp,(vpn:public->public):2048-->:43FTP,(vpn:public->public):21[:21]<-+:1227FTP,(vpn:public->public):21[:21]<-+:1229FTP,(vpn:public->public):21[:21]<-+:1231FTP,(vpn:public->public):21[:21]<-+:1233FTP,(vpn:public->public):21[:21]<-+:1235CurrentTotalSessions:8Page67目錄4.防火墻擴展功能4.1負載均衡4.2虛擬防火墻Page68虛擬防火墻Page69Vfw3Vfw2Vfw1Rfw在USG上創建邏輯上的虛擬防火墻（Virtual-firewall,Vfw），能夠提供防火墻的出租業務，實現子網隔離和解決地址重疊的問題。每個虛擬防火墻都是VPN實例（VPN-Instance）、安全實例和配置實例的綜合體，能夠為虛擬防火墻用戶提供私有的路由轉發平面、安全服務和配置管理平面。Page70Page71虛擬防火墻USG防火墻支持虛擬防火墻特性每個虛擬防火墻均可以獨立支持Local、TRUST、UNTRUST、DMZ、VZONE5個安全區域，接口靈活劃分和分配。系統資源獨立分配，提供獨立的安全業務、NAT多實例、VPN多實例特性。根防火墻RootFW一臺Eudemon物理防火墻虛擬防火墻VirtualFWVZONETrustVPN-1DMZUnTrustTrustVPN-100DMZUnTrustUSGPage72虛擬防火墻區域Page73ServerServerTrustUntrustDMZEth1/0/0內部網絡Eth0/0/0inboundoutboundin