- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-防火牆配置
本章節下載: 18-防火牆配置 (356.51 KB)
· 本文所指的路由器代表了一般意義下的路由器,以及運行了路由協議的無線控製器產品,為了提高可讀性,在手冊中的描述中將不另行說明。
· 本文涉及的包過濾防火牆和ASPF功能需要用戶需要購買License,並完成注冊之後才能使用,License可以通過購買特性軟件授權書獲得,授權書上提供了注冊WIAA(Wireless Intelligent Application Aware,無線智能業務感知)特性需要使用的License授權碼及特性功能說明。詳細的操作流程,請參見《H3C無線控製產品License激活申請和注冊操作指導》,添加License的相關配置請參見“基礎配置指導”中的“License管理配置”。
防火牆一方麵可以阻止來自因特網的、對受保護網絡的未授權訪問,另一方麵允許內部網絡用戶對因特網進行Web訪問或收發E-mail等。防火牆也可以作為一個訪問因特網的權限控製關口,如允許組織內的特定主機可以訪問因特網。現在,許多防火牆同時還具有一些其它特點,如進行身份鑒別、對信息進行安全(加密)處理等。
防火牆不單用於控製因特網連接,也可以用來在組織網絡內部保護大型機和重要的資源(如數據)。對受保護數據的訪問都必須經過防火牆的過濾,即使網絡內部用戶要訪問受保護的數據,也要經過防火牆。
· 包過濾防火牆,即基於ACL(Access Control List,訪問控製列表)的包過濾
· 狀態防火牆,即ASPF(Application Specific Packet Filter,基於應用層狀態的包過濾)
關於地址轉換的詳細介紹,請參見“安全配置指導”中的“NAT”,本章主要介紹包過濾防火牆和狀態防火牆。
包過濾實現了對IP數據包的過濾。對設備需要轉發的數據包,先獲取其包頭信息(包括IP層所承載的上層協議的協議號、數據包的源地址、目的地址、源端口和目的端口等),然後與設定的ACL規則進行比較,根據比較的結果對數據包進行相應的處理。
· 對於多通道的應用層協議(如FTP、H.323等),部分安全策略配置無法預知。
· 無法識別來自網絡中偽造的ICMP差錯報文,從而無法避免ICMP的惡意攻擊。
· 對於TCP連接均要求其首報文為SYN報文,非SYN報文的TCP首包將被丟棄。在這種處理方式下,當設備首次加入網絡時,網絡中原有TCP連接的非首包在經過新加入的防火牆設備時均被丟棄,這會中斷已有的連接。
因此,提出了狀態防火牆——ASPF的概念。ASPF能夠實現的檢測有:
· 應用層協議檢測,包括FTP、GTP、HTTP、SMTP、RTSP、SCCP、SIP、H.323(Q.931、H.245、RTP/RTCP)檢測;
· 傳輸層協議檢測,包括TCP和UDP檢測,即通用TCP/UDP檢測。
ASPF的主要功能如下:
· 能夠檢查應用層協議信息,如報文的協議類型和端口號等信息,並且監控基於連接的應用層協議狀態。對於所有連接,每一個連接狀態信息都將被ASPF維護,並用於動態地決定數據包是否被允許通過防火牆進入內部網絡,以阻止惡意的入侵。
· 能夠檢測傳輸層協議信息(即通用TCP/UDP檢測),能夠根據源、目的地址及端口號決定TCP或UDP報文是否可以通過防火牆進入內部網絡。
ASPF的其它功能有:
· ASPF能夠根據連接的狀態對報文進行過濾。
· 支持PAM(Port to Application Map,應用協議端口映射),允許用戶自定義應用層協議使用非通用端口。
· 支持ICMP差錯報文檢測。正常ICMP差錯報文中均攜帶有本報文對應連接的相關信息,根據這些信息可以匹配到相應的連接。如果匹配失敗,則根據當前配置決定是否丟棄該ICMP報文。
· 支持TCP連接首包檢測。對TCP連接的首報文進行檢測,查看是否為SYN報文,如果不是SYN報文則根據當前配置決定是否丟棄該報文。
在網絡邊界,ASPF和包過濾防火牆協同工作,能夠為企業內部網絡提供更全麵的、更符合實際需求的安全策略。
應用層協議使用通用的端口號進行通信,PAM允許用戶對不同的應用定義一組新的端口號,並提供了一些機製來維護和使用用戶定義的端口配置信息。
PAM支持兩類映射機製:
· 通用端口映射:是將用戶自定義端口號與應用層協議建立映射關係。例如:將8080端口映射為HTTP協議,這樣所有目的端口是8080的TCP報文將被認為是HTTP報文。
· 主機端口映射:是對去往或來自某些特定主機的報文建立自定義端口號和應用協議的映射。例如:將目的地址為10.110.0.0/16網段的、使用8080端口的TCP報文映射為HTTP報文。主機的範圍可由基本ACL指定。
· 單通道協議:從會話建立到刪除的全過程中,隻有一個通道參與數據交互,如SMTP、HTTP。
· 多通道協議:包含一個控製通道和若幹其它控製或數據通道,即控製信息的交互和數據的傳送是在不同的通道上完成的,如FTP、RTSP。
如果設備連接了內部網和互聯網,並且設備要通過部署ASPF來保護內部網的服務器,則設備上與內部網連接的接口就是內部接口,與互聯網相連的接口就是外部接口。
當ASPF應用於設備外部接口的出方向時,可以在防火牆上為內部網用戶訪問互聯網的返回報文打開一個臨時通道。
如圖1-1所示,為了保護內部網絡,一般情況下需要在路由器上配置訪問控製列表,以允許內部網的主機訪問外部網絡,同時拒絕外部網絡的主機訪問內部網絡。但訪問控製列表會將用戶發起連接後返回的報文過濾掉,導致連接無法正常建立。
ASPF的應用層協議檢測功能由會話管理及ALG功能協作實現。ASPF將檢測到的應用層會話的首報文與配置的策略進行匹配,匹配的結果交由會話管理用來建立會話信息數據庫以及維護會話狀態。之後,ASPF根據會話管理返回的會話狀態信息決定後續報文的處理方式。
關於會話管理的具體介紹請參見“安全配置指導”中的“會話管理”,關於ALG功能的具體介紹請參見“安全配置指導”中的“ALG”。
這裏的傳輸層協議檢測是指通用TCP/UDP檢測。通用TCP/UDP檢測與應用層協議檢測不同,是對報文的傳輸層信息進行的檢測,如源、目的地址及端口號等。
通用TCP/UDP檢測要求返回到ASPF外部接口的報文要與前麵從ASPF外部接口發出去的報文完全匹配,即源、目的地址及端口號恰好對應,否則返回的報文將被阻塞。因此對於FTP、H.323這樣的多通道應用層協議,在不配置應用層檢測而直接配置TCP檢測的情況下會導致數據連接無法建立。
· 配置包過濾防火牆的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
· 目前不支持在無線接口(WLAN-ESS接口)下配置IPv6包過濾防火牆。
· 目前不支持在User Profile上應用IPv6包過濾防火牆。
|
在User Profile上應用報文過濾功能 |
表1-2 啟用IPv4防火牆功能
|
啟用IPv4防火牆功能 |
缺省情況下,IPv4防火牆功能處於關閉狀態 |
表1-3 啟用IPv6防火牆功能
|
啟用IPv6防火牆功能 |
缺省情況下,IPv6防火牆功能處於關閉狀態 |
缺省過濾方式用來定義對訪問控製列表以外數據包的處理方式,即在沒有規則去判定用戶數據包是否可以通過的時候,防火牆采取的策略是允許還是禁止該數據包通過。
表1-4 配置IPv4防火牆缺省過濾方式
|
配置IPv4防火牆缺省過濾方式 |
缺省情況下,IPv4防火牆缺省過濾方式為允許報文通過(permit) |
表1-5 配置IPv6防火牆缺省過濾方式
|
配置IPv6防火牆缺省過濾方式 |
缺省情況下,IPv6防火牆缺省過濾方式為允許報文通過(permit) |
一般采用在接口上應用訪問控製列表來實現報文過濾功能。將ACL規則應用到接口時,同時會遵循時間段過濾原則,另外可以對接口收發報文分別指定ACL規則:
· 基本訪問控製列表隻根據三層的源地址信息製定規則,對數據包進行相應的分析處理;
· 高級訪問控製列表可以使用數據包的源地址信息、目的地址信息、IP承載的協議類型、TCP或UDP的源端口、目的端口等內容定義規則。
表1-6 在接口上應用IPv4報文過濾功能
|
在接口上應用IPv4報文過濾功能 |
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } |
缺省情況下,不對通過接口的IPv4報文進行過濾 |
在接口的一個方向上,僅可以應用一個ACL來進行報文過濾。
接口的IPv6報文過濾功能為用戶提供了基於IPv6 ACL的基本防火牆功能,可通過配置該功能對接口的入方向或出方向上匹配特定IPv6 ACL規則的IPv6報文進行過濾。
表1-7 配置IPv6防火牆報文過濾
|
配置接口的IPv6報文過濾功能 |
firewall packet-filter ipv6 { acl6-number | name acl6-name } { inbound | outbound } |
缺省情況下,不對通過接口的IPv6報文進行過濾 |
在接口的一個方向上,一個方向上隻能應用一個IPv6 ACL來進行報文過濾。
在User Profile上應用報文過濾功能用於實現基於用戶的報文過濾功能。當用戶認證成功後,若被授權下發了User Profile屬性,且該User Profile上應用了報文過濾功能,則該用戶上線後接收或者發送的報文將會受到報文過濾功能的控製,與該功能中指定的ACL相匹配的用戶報文將被正常轉發或阻止。
表1-8 在User Profile上應用IPv4報文過濾功能
|
在User Profile上應用IPv4報文過濾功能 |
firewall packet-filter { acl-number | name acl-name } { inbound | outbound } |
在User Profile視圖下,一個方向上隻能應用一個ACL來進行報文過濾。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後包過濾防火牆的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除包過濾防火牆的統計信息。
|
查看IPv4防火牆的過濾報文統計信息 |
|
|
查看IPv6防火牆的過濾報文統計信息 |
|
|
清除IPv4防火牆的過濾報文統計信息 |
|
|
清除IPv6防火牆的過濾報文統計信息 |
reset firewall ipv6 statistics { all | interface interface-type interface-number } |
· 某公司通過AC的接口Vlan-interface3訪問Internet,AC與內部網通過接口Vlan-interface2連接;
· 公司內部對外提供WWW、FTP和Telnet服務:公司內部子網為129.1.1.0/24。其中,內部FTP服務器地址為129.1.1.1,內部Telnet服務器地址為129.1.1.2,內部WWW服務器地址為129.1.1.3;公司對外地址為20.1.1.1。在AC上配置了地址轉換,這樣公司內部主機可以訪問Internet,公司外部主機可以訪問公司內部的服務器;
· 通過配置防火牆,希望實現以下要求:外部網絡隻有特定用戶可以訪問內部服務器;內部網絡隻有特定主機可以訪問外部網絡。
· 假定外部特定用戶的IP地址為20.3.3.3。
# 在AC上啟用防火牆功能。
[AC] firewall enable
# 創建高級訪問控製列表3001。
# 配置規則允許特定主機訪問外部網,允許內部服務器訪問外部網。
[AC-acl-adv-3001] rule permit ip source 129.1.1.1 0
[AC-acl-adv-3001] rule permit ip source 129.1.1.2 0
[AC-acl-adv-3001] rule permit ip source 129.1.1.3 0
[AC-acl-adv-3001] rule permit ip source 129.1.1.4 0
# 配置規則禁止所有IP包通過。
[AC-acl-adv-3001] rule deny ip
[AC-acl-adv-3001] quit
# 創建高級訪問控製列表3002。
# 配置規則允許特定用戶從外部網訪問內部服務器。
[AC-acl-adv-3002] rule permit tcp source 20.3.3.3 0 destination 129.1.1.0 0.0.0.255
# 配置規則允許外部特定數據進入內部網絡(隻允許端口大於1024的包)。
[AC-acl-adv-3002] rule permit tcp destination 20.1.1.1 0 destination-port gt 1024
[AC-acl-adv-3002] rule deny ip
[AC-acl-adv-3002] quit
# 將ACL 3001作用於從接口Vlan-interface2進入的包。
[AC] interface vlan-interface 2
[AC-Vlan-interface2] firewall packet-filter 3001 inbound
[AC-Vlan-interface2] quit
# 將ACL 3002作用於從接口Vlan-interface3進入的包。
[AC] interface vlan-interface 3
[AC-Vlan-interface3] firewall packet-filter 3002 inbound
配置ASPF的支持情況與設備的型號有關,請參見“配置指導導讀”中的“特性差異情況”部分的介紹。
表1-10 ASPF配置任務簡介
|
配置ASPF策略 |
||
|
在User Profile上應用ASPF策略 |
||
|
啟用IPv4防火牆功能 |
缺省情況下,IPv4防火牆功能處於關閉狀態 |
|
創建ASPF策略,並進入ASPF策略視圖 |
||
|
配置ICMP差錯報文丟棄功能 |
缺省情況下,不丟棄ICMP差錯報文 |
|
|
配置非SYN的TCP首報文丟棄功能 |
缺省情況下,不丟棄非SYN的TCP首報文 |
· 在未配置應用層檢測,直接配置TCP或UDP檢測的情況下,可能會產生部分報文無法返回的情況,故建議應用層檢測和TCP/UDP檢測配合使用。
· 對於Telnet應用,直接配置通用TCP檢測即可實現ASPF功能。
對於ASPF策略,有兩個概念:內部接口和外部接口。如果設備連接了內部網和互聯網,並且設備要通過部署ASPF來保護內部網的服務器,則設備上與內部網連接的接口就是內部接口,與互聯網相連的接口就是外部接口。當ASPF與包過濾防火牆協同工作,並應用於外部接口時,可以拒絕互聯網上的用戶對內部網的訪問,但內部網的用戶訪問互聯網時,返回的報文可以通過ASPF。
隻有將定義好ASPF策略應用到接口上,才能對通過接口的流量進行檢測。由於ASPF對於應用層協議狀態的保存和維護都是基於接口的,因此在實際應用中,必須保證報文入口的一致性,即必須保證連接發起報文和返回報文基於同一接口。
將定義好ASPF策略應用到User Profile上,能夠對認證成功且通過User Profile授權的用戶所接收或發送的流量進行檢測。通常情況下,防火牆要保護的認證用戶位於內網側。因此,如果要檢測並過濾內部網絡用戶對外部網絡資源的訪問報文,則應該在User Profile視圖下將ASPF應用到入方向上;如果要檢測並過濾外部網絡用戶對內部網絡用戶的訪問報文,則應該在User Profile視圖下將ASPF應用到出方向上。
|
在User Profile上應用ASPF策略 |
缺省情況下,User Profile上沒有應用ASPF策略 |
· 通用端口映射:是將用戶自定義的端口號與應用層協議建立起映射關係。例如,在建立端口8080到HTTP協議的映射後,所有目的端口為8080的TCP報文都將被認為是HTTP報文。
· 基於基本訪問控製列表的主機端口映射:是對去往某些特定主機的報文建立自定義的端口號與應用協議的映射。例如,可以把去往網段1.1.0.0的、使用8080端口的TCP報文映射為HTTP報文。主機的範圍由基本ACL指定。
|
port-mapping application-name port port-number [ acl acl-number ] |
目前,該功能可支持的應用層協議有FTP、GTP、H323、HTTP、RTSP、SCCP、SIP、SMTP和SQLNET |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後ASPF的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除ASPF的統計信息。
表1-16 ASPF顯示和維護
在AC上配置一個ASPF策略,實現以下功能:
· ICMP差錯報文檢測及TCP非SYN首報文丟棄。
圖1-3 ASPF典型配置組網圖
# 在AC上啟用防火牆功能。
[AC] firewall enable
# 配置ACL 3111,以拒絕所有IP流量進入內部網絡,ASPF會為允許通過的流量創建臨時的訪問控製列表。
[AC-acl-adv-3111] rule deny ip
[AC-acl-adv-3111] quit
# 創建ASPF策略1。
[AC-aspf-policy-1] icmp-error drop
[AC-aspf-policy-1] tcp syn-check
[AC-aspf-policy-1] quit
# 在接口Vlan-interface3上應用ASPF策略和ACL 3111。
[AC] interface vlan-interface 3
[AC-Vlan-interface3] firewall aspf 1 outbound
[AC-Vlan-interface3] firewall packet-filter 3111 inbound
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
