1、H3C 防火墻產(chǎn)品培訓(xùn)（Comware V5）ISSUE 1.0日期：2011.08杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播H3C Comware V5平臺(tái)防火墻采用H3C公司最新的硬件平臺(tái)和體系架構(gòu)，是H3C公司面向大中型企業(yè)和運(yùn)營(yíng)商用戶開發(fā)的新一代防火墻設(shè)備。引入了解V5防火墻軟硬件特性掌握V5防火墻常見組網(wǎng)方式熟悉V5防火墻基本功能了解V5防火墻的維護(hù)方法課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：V5 防火墻產(chǎn)品介紹V5 防火墻基本配置管理V5 防火墻轉(zhuǎn)發(fā)方式介紹V5 防火墻安全特性簡(jiǎn)介V5 防火墻基本維護(hù)目錄F1000E接口1個(gè)Console接口、1個(gè)AUX接口1個(gè)CF卡接口

2、，支持容量為256M、512M、1G的CF卡2個(gè)USB接口（預(yù)留）2個(gè)HIM擴(kuò)展槽位2個(gè)千兆Combo（光電復(fù)合）接口電源接口Console/AUX系統(tǒng)指示燈4GE Combo口（背面）CF卡2*HIMF1000S-AI/F1000A-EI/F1000E-SI接口1個(gè)Console接口12個(gè)千兆Combo（光電復(fù)合）接口1個(gè)USB接口（預(yù)留）1個(gè)HIM擴(kuò)展槽位2個(gè)電源模塊插槽電源模塊槽位Console系統(tǒng)指示燈12GE Combo口1*HIMF5000-A5接口1個(gè)Console接口，1個(gè)AUX接口，1個(gè)管理口，1個(gè)HA熱備口業(yè)務(wù)板一：8個(gè)千兆電接口+4個(gè)Combo（光電復(fù)合）接口業(yè)務(wù)板二：2

3、個(gè)萬兆光接口1個(gè)風(fēng)扇框1個(gè)CF卡接口，支持容量為256M、512M、1G的CF卡2個(gè)電源模塊插槽散熱風(fēng)扇框主控板電源模塊業(yè)務(wù)板SecBlade II接口1個(gè)Console接口1個(gè)CF卡接口，支持容量為256M、512M、1G的CF卡2個(gè)USB接口（預(yù)留）2個(gè)10/100/1000BASE-T電接口2個(gè)千兆Combo（光電復(fù)合）接口后插板10GE接口(內(nèi)部互聯(lián))CF卡Console口2GE電口2GE Combo口FW Module ChassisH3C S9500H3C S7500EH3C S9500EH3C S12500SecBlade FW ModuleH3C S5800SecBlade I

4、I與路由交換主機(jī)的配合H3C SR6600H3C SR8800SecBlade For S5800SecBlade For S7500E/S9500/S9500E/S12500SecBlade For SR6600/SR8800SecBlade II FW型號(hào)標(biāo)識(shí)型號(hào)描述LSTM1FW2A1H3C S12500防火墻業(yè)務(wù)板模塊LSRM1FW2A1H3C S9500E 防火墻業(yè)務(wù)板LSB1FW2A0H3C S9500 防火墻業(yè)務(wù)板LSQM1FWBSC0H3C S7500E 防火墻業(yè)務(wù)板模塊LSWM1FW10H3C S5800 系列-防火墻模塊SPE-FWMH3C SR6600 千兆防火墻業(yè)務(wù)板模

5、塊SPE-FWM-200IM-FWH3C SR8800防火墻業(yè)務(wù)處理板IM-FW-II豐富的NAT特性：NAT、ALG領(lǐng)先的虛擬化技術(shù)：虛擬防火墻高可靠性：VRRP、雙機(jī)熱備集中統(tǒng)一管理：Log、SNMP、FWM全面的安全防護(hù)：L2-L7安全防護(hù)完善的VPN功能：GRE、L2TP、IPSec良好的易用性：CLI、Web先進(jìn)的硬件架構(gòu)：多核多線程Comware V5 FW功能特點(diǎn)V5 防火墻產(chǎn)品介紹V5 防火墻基本配置管理V5 防火墻轉(zhuǎn)發(fā)方式介紹V5 防火墻安全特性簡(jiǎn)介V5 防火墻基本維護(hù)目錄CLI與Web管理方式的選擇Comware V5防火墻集成強(qiáng)大的WEB管理功能，大部分配置都能通過WEB

6、完成，推薦使用WEB方式進(jìn)行配置Comware V5防火墻同時(shí)也支持命令行管理，但很多安全特性不支持在命令行方式下配置。命令行界面主要提供簡(jiǎn)單的配置管理、信息查看、故障診斷等功能Web管理方式缺省情況下防火墻的第一個(gè)接口已經(jīng)加入管理區(qū)域，默認(rèn)IP地址是/24，默認(rèn)用戶名和密碼是h3c/h3cCLI管理方式方式一：通過Console口登錄，進(jìn)行除安全特性外的配置。方式二：通過Telnet或者SSH登錄，缺省情況下Telnet和SSH服務(wù)是關(guān)閉的。方式三：插卡類FW還可以通過OAP方式登錄，需要先在插卡上配置aux口登錄相關(guān)參數(shù)，然后通過oap connect slot x （IRF下： oap

7、connect chassis 1 slot x）登錄插卡，按 CTRL+K 退出插卡。FW上配置：#user-interface aux 0 authentication-mode none user privilege level 3交換機(jī)上登錄：#oap connect slot 5Press CTRL+K to quit.Connected to OAP!S5800交換機(jī)上的防火墻插卡沒有Console口，只能通過OAP方式登錄命令行，AUX口不需要配置。防火墻時(shí)鐘同步（1）盒式防火墻集成有硬件時(shí)鐘模塊，可以配置和保存設(shè)備本地時(shí)鐘。插卡式防火墻沒有時(shí)鐘模塊，除手工配置外需從其它設(shè)備同步

8、時(shí)間，同步方法可以采用NTP或OAA ACSEI。NTP時(shí)間同步配置舉例：FW上配置：#FWntp unicast-server FWntp source-interface GigabitEthernet 0/0交換機(jī)上配置：#S7506Entp refclock-master 3 防火墻時(shí)間同步（2）ACSEI方式時(shí)間同步:交換機(jī)需要使能ACSEI Server如果防火墻10GE接口是二層接口，須permit接口所在PVID，并在10GE接口下使能acsei-client如果防火墻10GE接口是三層接口，只需在10GE接口使能acsei-client即可ACSEI協(xié)議同步時(shí)間舉例：FW上配

9、置：#interface Ten-GigabitEthernet0/0 port link-mode route acsei-client enable 交換機(jī)上配置：# acsei server enable#acsei server acsei timer clock-sync 1 acsei timer monitor 1安全區(qū)域安全區(qū)域是防火墻區(qū)別于普通網(wǎng)絡(luò)設(shè)備的基本特征之一以接口為邊界，按安全級(jí)別將業(yè)務(wù)分成若干區(qū)域，防火墻策略（如域間策略、攻擊防范等）在區(qū)域或域間下發(fā)接口只有加入了業(yè)務(wù)安全區(qū)域后才會(huì)轉(zhuǎn)發(fā)數(shù)據(jù)TrustDMZUntrustManagementLocal為什么需要安全區(qū)域

10、？傳統(tǒng)防火墻通常都基于接口進(jìn)行策略配置，網(wǎng)絡(luò)管理員需要為每一個(gè)接口配置安全策略防火墻的端口朝高密度方向發(fā)展，基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護(hù)工作量成倍增加，從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率教學(xué)樓 #1教學(xué)樓 #2教學(xué)樓 #3服務(wù)器群辦公樓 #1辦公樓 #2實(shí)驗(yàn)樓 #1實(shí)驗(yàn)樓 #2宿舍樓Internet配置維護(hù)太復(fù)雜了！安全區(qū)域與優(yōu)先級(jí)默認(rèn)的安全區(qū)域訪問控制策略高優(yōu)先級(jí)安全區(qū)域可以訪問低優(yōu)先級(jí)區(qū)域低優(yōu)先級(jí)安全區(qū)域不允許訪問高優(yōu)先級(jí)區(qū)域相同優(yōu)先級(jí)安全區(qū)域可以相互訪問相同安全區(qū)域內(nèi)可以相互訪問默認(rèn)情況下，其它所有安全區(qū)域都可以訪問Local域流與會(huì)話流（Flo

11、w），是一個(gè)單方向的概念，根據(jù)報(bào)文所攜帶的三元組或者五元組唯一標(biāo)識(shí)。根據(jù)IP層協(xié)議的不同，流分為四大類：TCP流：通過五元組唯一標(biāo)識(shí)UDP流：通過五元組唯一標(biāo)識(shí)ICMP流：通過三元組 + ICMP type + ICMP code唯一標(biāo)識(shí)RAW IP流：不屬于上述協(xié)議的，通過三元組標(biāo)識(shí)會(huì)話（Session），是一個(gè)雙向的概念，一個(gè)會(huì)話通常關(guān)聯(lián)兩個(gè)方向的流，一個(gè)為會(huì)話發(fā)起方（Initiator），另外一個(gè)為會(huì)話響應(yīng)方（Responder）。通過會(huì)話所屬的任一方向的流特征都可以唯一確定該會(huì)話以及方向。會(huì)話的創(chuàng)建防火墻TrustUntrustRequestSNY ACKACKTCP SessionS

12、ession對(duì)于TCP流，發(fā)起方和響應(yīng)方三次握手后建立穩(wěn)定會(huì)話。對(duì)于UDP/ICMP/Raw IP流，發(fā)起方和響應(yīng)方完整交互一次報(bào)文后建立穩(wěn)定會(huì)話。ReplyUDP/ICMP/Raw IP SessionSessionSYN會(huì)話舉例display session table verboseInitiator: Source IP/Port : /36628 Dest IP/Port : /21 VPN-Instance/VLAN ID/VLL ID: Responder: Source IP/Port : /21 Dest IP/Port : /36628 VPN-Instance/VLAN

13、ID/VLL ID: Pro: TCP(6) App: FTP State: TCP-ESTStart time: 2010-02-28 15:59:09 TTL: 3598sRoot Zone(in): Trust Zone(out): Trust Received packet(s)(Init): 11 packet(s) 502 byte(s)Received packet(s)(Reply): 7 packet(s) 521 byte(s)查看會(huì)話相關(guān)相關(guān)信息：報(bào)文轉(zhuǎn)發(fā)流程報(bào)文入接口是否匹配已有會(huì)話創(chuàng)建會(huì)話，查路由表送到相應(yīng)區(qū)域是否匹配域間策略直接轉(zhuǎn)發(fā)按照策略動(dòng)作處理按照缺省動(dòng)作處理是

14、否是否V5 防火墻產(chǎn)品介紹V5 防火墻基本配置管理V5 防火墻轉(zhuǎn)發(fā)方式介紹V5 防火墻安全特性簡(jiǎn)介V5 防火墻基本維護(hù)目錄Comware V5防火墻轉(zhuǎn)發(fā)模式二層轉(zhuǎn)發(fā) 普通二層轉(zhuǎn)發(fā)INLINE轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)類型反射類型黑洞類型跨Vlan二層轉(zhuǎn)發(fā)（僅SecBlade II支持）三層轉(zhuǎn)發(fā)三層子接口轉(zhuǎn)發(fā)三層虛接口轉(zhuǎn)發(fā)跨VLAN二層轉(zhuǎn)發(fā)(SecBlade II)應(yīng)用場(chǎng)景：對(duì)同一網(wǎng)段主機(jī)間的報(bào)文進(jìn)行安全過濾，由數(shù)據(jù)鏈路層來完成不同Vlan間的通信?？蛻舳司W(wǎng)關(guān)在交換機(jī)上，在客戶端和網(wǎng)關(guān)之間部署防火墻實(shí)現(xiàn)訪問控制。PC1PC2XGE0/0.102XGE0/0.1030203GE0/0/25GE0/0/26XGE2/

15、0/1SecBlade II FWVLAN 102VLAN 103VLAN 1000VLAN 1000port access vlan 102port link-mode bridgeport access vlan 1000跨VLAN二層轉(zhuǎn)發(fā)報(bào)文轉(zhuǎn)發(fā)流程SwitchSecBlade II FWXGE0/0.102XGE0/0.103TrunkTrunkTenGE2/0/1PC1PC2Vlan 102Vlan 103port link-mode bridgeport access vlan 1000Vlan 102Vlan 1000Vlan 102Vlan 102port access vla

16、n 1031.報(bào)文進(jìn)入交換機(jī)后，打上Vlan 102的tag;2.FW收到報(bào)文后，發(fā)現(xiàn)與子接口號(hào)相同，于是去掉Vlan 102的tag，重新打上Vlan 1000的tag；port access vlan 102port link-mode bridgeport access vlan 1000跨VLAN二層轉(zhuǎn)發(fā)報(bào)文轉(zhuǎn)發(fā)流程SwitchSecBlade II FWXGE0/0.102XGE0/0.103TrunkTrunkTenGE2/0/1PC1PC2Vlan 102Vlan 103port link-mode bridgeport access vlan 1000Vlan 1000Vlan

17、 103Vlan 1000port access vlan 1032.FW收到報(bào)文后，發(fā)現(xiàn)與子接口號(hào)相同，于是去掉Vlan 102的tag，重新打上Vlan 1000的tag；3.子接口接收到轉(zhuǎn)發(fā)的報(bào)文后，去掉Vlan 1000的tag，重新打上Vlan 103的tag；port access vlan 102port link-mode bridgeport access vlan 1000跨VLAN二層轉(zhuǎn)發(fā)報(bào)文轉(zhuǎn)發(fā)流程SwitchSecBlade FWXGE0/0.102XGE0/0.103TrunkTrunkTenGE2/0/1PC1PC2Vlan 102Vlan 103port lin

18、k-mode bridgeport access vlan 1000Vlan 103Vlan 103port access vlan 1034.FW按照Vlan tag將報(bào)文轉(zhuǎn)發(fā)回交換機(jī)，經(jīng)交換機(jī)將報(bào)文轉(zhuǎn)發(fā)給相應(yīng)Vlan內(nèi)的PC主機(jī)。跨VLAN二層轉(zhuǎn)發(fā)(SecBlade II)轉(zhuǎn)發(fā)流程：PC1報(bào)文進(jìn)入交換機(jī)，交換機(jī)對(duì)報(bào)文加上Vlan 102 Tag標(biāo)簽，因?yàn)閳?bào)文目的屬于另一個(gè)Vlan 103，不能直接查MAC地址表轉(zhuǎn)發(fā)，因此報(bào)文由Trunk口發(fā)送至防火墻插卡;防火墻子接口Ten-GE0/0.102收到VLAN 102的報(bào)文，發(fā)現(xiàn)其Vlan Tag與子接口號(hào)Ten-GE0/0.102相同，去掉報(bào)

19、文中的Tag標(biāo)簽，加上防火墻Vlan的Tag標(biāo)簽Vlan 1000，之后對(duì)報(bào)文進(jìn)行相關(guān)處理（防火墻的各種安全功能）;防火墻插卡去掉報(bào)文中防火墻Vlan的Tag標(biāo)簽Vlan 1000，加上出方向子接口Ten-Ge0/0.103對(duì)應(yīng)Vlan的Tag標(biāo)簽Vlan 103（出方向子接口可以通過查MAC地址表確定）后把報(bào)文發(fā)送至交換機(jī);交換機(jī)在對(duì)應(yīng)的Vlan中轉(zhuǎn)發(fā)報(bào)文?？鏥LAN二層轉(zhuǎn)發(fā)配置命令行配置：交換機(jī)上配置：# vlan 102 to 103 # interface Ten-GigabitEthernet2/0/1 port link-mode bridge port link-type tru

20、nk undo port trunk permit vlan 1 port trunk permit vlan 102 to 103#interface GigabitEthernet0/0/25 port link-mode bridge port access vlan 102#interface GigabitEthernet0/0/26 port link-mode bridge port access vlan 103#FW上配置：#vlan 102 to 103#vlan 1000 #interface Ten-GigabitEthernet0/0 port link-mode b

21、ridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 102 to 103#interface Ten-GigabitEthernet0/0.102 port link-mode bridge port access vlan 1000#interface Ten-GigabitEthernet0/0.103 port link-mode bridge port access vlan 1000#FW Web頁面配置：跨VLAN二層轉(zhuǎn)發(fā)信息防火墻會(huì)話信息和MAC地址表：display se

22、ssion table verbose Initiator: Source IP/Port : 02/2048 Dest IP/Port : 03/768 VPN-Instance/VLAN ID/VLL ID: 1000 Responder: Source IP/Port : 03/0 Dest IP/Port : 02/768 VPN-Instance/VLAN ID/VLL ID: 1000Pro: ICMP(1) App: unknown State: ICMP-CLOSEDStart time: 2000-04-26 12:24:46 TTL: 30sRoot Zone(in): T

23、rust Zone(out): Untrust Received packet(s)(Init): 14 packet(s) 840 byte(s)Received packet(s)(Reply): 14 packet(s) 840 byte(s)dis mac-addressMAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0024-e8ae-161f 1000 learned Ten-GigabitEthernet0/0.102 NOAGED0013-728e-54e6 1000 learned Ten-GigabitEthernet0/0.1

24、03 NOAGED交換機(jī)MAC地址表：H3Cdisplay mac-address MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0024-e8ae-161f 102 Learned GigabitEthernet0/0/25 AGING0013-728e-54e6 103 Learned GigabitEthernet0/0/26 AGING0013-728e-54e6 102 Learned Ten-GigabitEthernet2/0/1 AGING0024-e8ae-161f 103 Learned Ten-GigabitEthernet

25、2/0/1 AGING三層子接口轉(zhuǎn)發(fā)應(yīng)用場(chǎng)景：客戶端網(wǎng)關(guān)直接部署在防火墻上或者防火墻和交換機(jī)之間三層互聯(lián)PC1PC2XGE0/0.102XGE0/0.103GE0/0/25GE0/0/26XGE2/0/1SecBlade II FWVLAN 102VLAN 103port access vlan 102vlan-type dot1q vid 102ip add 24三層子接口報(bào)文轉(zhuǎn)發(fā)流程SwitchSecBlade II FWXGE0/0.102XGE0/0.103TrunkTrunkTen-GE2/0/1PC1PC2Vlan 102Vlan 103vlan-type dot1q vid 10

26、3ip add 24Vlan 102port access vlan 103Vlan 102Vlan 1021.進(jìn)入到交換機(jī)后，報(bào)文被打上Vl 102的tag，并被轉(zhuǎn)發(fā)給網(wǎng)關(guān)；2.FW收到報(bào)文后，去掉報(bào)文的Vlan Tag，在防火墻內(nèi)部按照路由完成報(bào)文轉(zhuǎn)發(fā)；port access vlan 102vlan-type dot1q vid 102ip add 24三層子接口報(bào)文轉(zhuǎn)發(fā)流程SwitchSecBlade II FWXGE0/0.102XGE0/0.103TrunkTrunkTen-GE2/0/1PC1PC2Vlan 102Vlan 103vlan-type dot1q vid 103ip

27、 add 24port access vlan 103Vlan 1032.FW收到報(bào)文后，去掉報(bào)文的Vlan Tag，在防火墻內(nèi)部按照路由完成報(bào)文轉(zhuǎn)發(fā)；3.報(bào)文經(jīng)FW處理后按照路由轉(zhuǎn)發(fā)，打上出接口的Vlan Tag，送回到交換機(jī)進(jìn)行處理；4.交換機(jī)收到報(bào)文后，去掉相應(yīng)的vlan tag，將報(bào)文送到相應(yīng)的主機(jī)；三層子接口報(bào)文轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)流程：PC1報(bào)文進(jìn)入交換機(jī)，交換機(jī)對(duì)報(bào)文加上Vlan 102 Tag標(biāo)簽，由Trunk口發(fā)送至防火墻插卡。防火墻收到Vlan 102的報(bào)文，發(fā)現(xiàn)其Vlan Tag與子接口Ten-GE0/0.102配置的Vlan Tag相同，于是送給102子接口處理，并且去掉報(bào)文中的T

28、ag，查找路由轉(zhuǎn)發(fā)，確定從103子接口將報(bào)文轉(zhuǎn)發(fā)出去。報(bào)文從103子接口轉(zhuǎn)發(fā)出去的時(shí)候，加上子接口Ten-GE0/0.103對(duì)應(yīng)的Vlan Tag 103，然后被發(fā)送至交換機(jī)。交換機(jī)在對(duì)應(yīng)的Vlan中轉(zhuǎn)發(fā)報(bào)文。三層子接口所能處理的Vlan不是由子接口的編號(hào)決定的，而是由子接口下面配置的vlan-type dot1q vid命令決定的報(bào)文出入安全域由出入報(bào)文的三層子接口所在安全域決定三層子接口轉(zhuǎn)發(fā)配置命令行配置：交換機(jī)上配置：# vlan 102 to 103 # interface Ten-GigabitEthernet2/0/1 port link-mode bridge port link

29、-type trunk undo port trunk permit vlan 1 port trunk permit vlan 102 to 103#interface GigabitEthernet0/0/25 port link-mode bridge port access vlan 102#interface GigabitEthernet0/0/26 port link-mode bridge port access vlan 103#FW上配置：#interface Ten-GigabitEthernet0/0 port link-mode route#interface Ten

30、-GigabitEthernet0/0.102 vlan-type dot1q vid 102 ip address #interface Ten-GigabitEthernet0/0.103 vlan-type dot1q vid 103 ip address #FW Web頁面配置：三層子接口轉(zhuǎn)發(fā)信息防火墻會(huì)話信息和MAC地址表：FWdis sess table verbose Initiator: Source IP/Port : /2048 Dest IP/Port : /768 VPN-Instance/VLAN ID/VLL ID: Responder: Source IP/Por

31、t : /0 Dest IP/Port : /768 VPN-Instance/VLAN ID/VLL ID: Pro: ICMP(1) App: unknown State: ICMP-CLOSEDStart time: 2000-04-26 12:15:49 TTL: 27sRoot Zone(in): Trust Zone(out): Untrust Received packet(s)(Init): 4 packet(s) 240 byte(s)Received packet(s)(Reply): 4 packet(s) 240 byte(s)dis arp Type: S-Stati

32、c D-DynamicIP Address MAC Address VLAN ID Interface Aging Type 0024-e8ae-1975 N/A XGE0/0.102 19 D 0013-728e-54e6 N/A XGE0/0.103 19 D交換機(jī)MAC地址表：dis mac-address MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0024-e8ae-1975 102 Learned GigabitEthernet0/0/25 AGING0013-728e-54e6 103 Learned GigabitEtherne

33、t0/0/26 AGING000f-e280-de93 102 Learned Ten-GigabitEthernet2/0/1 AGING000f-e280-de93 103 Learned Ten-GigabitEthernet2/0/1 AGING三層虛接口轉(zhuǎn)發(fā)組網(wǎng)說明：三層虛接口轉(zhuǎn)發(fā)流程與三層子接口一致防火墻物理接口工作在橋模式，能同時(shí)進(jìn)行三層轉(zhuǎn)發(fā)和二層轉(zhuǎn)發(fā)PC1PC2Vlan-interface 102GE0/0/25GE0/0/26XGE2/0/1SecBlade II FWVLAN 102VLAN 103Vlan-interface 103三層虛接口轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)流程：報(bào)文進(jìn)入交換機(jī)，

34、交換機(jī)對(duì)報(bào)文加上Tag標(biāo)簽后，由Trunk口發(fā)送至防火墻插卡防火墻插卡收到報(bào)文后檢查目的MAC地址，若該MAC地址為Vlan虛接口的MAC地址，則將該報(bào)文去掉二層頭，上送到三層轉(zhuǎn)發(fā)引擎處理三層轉(zhuǎn)發(fā)引擎將對(duì)上送上來的IP報(bào)文，查找正確的路由轉(zhuǎn)發(fā)，確定從哪個(gè)Vlan虛接口將報(bào)文轉(zhuǎn)發(fā)出去，加上對(duì)應(yīng)的二層報(bào)文頭信息后被轉(zhuǎn)發(fā)到交換機(jī)交換機(jī)在對(duì)應(yīng)的Vlan中轉(zhuǎn)發(fā)報(bào)文報(bào)文的出入安全域由出入報(bào)文對(duì)應(yīng)的Vlan虛接口所在的安全域決定三層虛接口轉(zhuǎn)發(fā)配置命令行配置：交換機(jī)上配置：# vlan 102 to 103 # interface Ten-GigabitEthernet2/0/1 port link-mode

35、 bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 102 to 103#interface GigabitEthernet0/0/25 port link-mode bridge port access vlan 102#interface GigabitEthernet0/0/26 port link-mode bridge port access vlan 103#FW上配置：#vlan 102 to 103#interface Vlan-interface102 ip add

36、ress #interface Vlan-interface103 ip address #interface Ten-GigabitEthernet0/0 port link-mode bridge port link-type trunk undo port trunk permit vlan 1 port trunk permit vlan 102 to 103#三層虛接口轉(zhuǎn)發(fā)配置Web頁面配置：虛接口和物理口對(duì)應(yīng)的Vlan需要加入安全區(qū)域三層虛接口轉(zhuǎn)發(fā)信息防火墻會(huì)話信息和ARP表：display session table verbose Initiator: Source IP/Po

37、rt : /2048 Dest IP/Port : /768 VPN-Instance/VLAN ID/VLL ID: Responder: Source IP/Port : /0 Dest IP/Port : /768 VPN-Instance/VLAN ID/VLL ID: Pro: ICMP(1) App: unknown State: ICMP-CLOSEDStart time: 2000-04-26 12:45:43 TTL: 27sRoot Zone(in): Trust Zone(out): Untrust Received packet(s)(Init): 4 packet(s

38、) 240 byte(s)Received packet(s)(Reply): 4 packet(s) 240 byte(s)dis arp Type: S-Static D-DynamicIP Address MAC Address VLAN ID Interface Aging Type 0024-e8ae-1975 102 XGE0/0 20 D 0013-728e-54e6 103 XGE0/0 20 D交換機(jī)MAC地址表：display mac-address MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)0024-e8ae-1975

39、102 Learned GigabitEthernet0/0/25 AGING0013-728e-54e6 103 Learned GigabitEthernet0/0/26 AGING000f-e280-de92 102 Learned Ten-GigabitEthernet2/0/1 AGING000f-e280-de92 103 Learned Ten-GigabitEthernet2/0/1 AGING路由器上防火墻插卡SR6600和SR8800系列路由器和防火墻插卡通常都是三層互聯(lián)，采用三層子接口的方式，為了區(qū)分不同的安全區(qū)域需要?jiǎng)?chuàng)建多個(gè)子接口。SR6600和SR8800系列路由器上

40、的防火墻插卡可以通過MQC、策略路由或者動(dòng)態(tài)路由等方式將流量引到防火墻，使用較多而且比較方便的是策略路由。PC1PC2XGE0/0.100XGE0/0.200GE5/0/0GE5/0/1XGE4/1/0.100SecBlade II FWSR6600/SR8800XGE4/1/0.200/24/24路由器上防火墻插卡配置舉例命令行下配置:路由器上配置：# acl number 3000 rule 0 permit ip source 55 acl number 3001 rule 0 permit ip destination 55#interface GigabitEthernet5/0/0

41、 ip address ip policy-based-route TO_FW_UP#interface GigabitEthernet5/0/1 ip address ip policy-based-route TO_FW_DOWN #interface Ten-GigabitEthernet4/0/0 port link-mode route#interface Ten-GigabitEthernet4/0/0.100 vlan-type dot1q vid 100 ip address #interface Ten-GigabitEthernet4/0/0.200 vlan-type d

42、ot1q vid 200 ip address #policy-based-route TO_FW_UP permit node 10 if-match acl 3000 apply ip-address next-hop #policy-based-route TO_FW_DOWN permit node 10 if-match acl 3001 apply ip-address next-hop FW上配置：#interface Ten-GigabitEthernet0/0 port link-mode route#interface Ten-GigabitEthernet0/0.100

43、vlan-type dot1q vid 100 ip address #interface Ten-GigabitEthernet0/0.200 vlan-type dot1q vid 200 ip address #V5 防火墻產(chǎn)品介紹V5 防火墻基本配置管理V5 防火墻轉(zhuǎn)發(fā)方式介紹V5 防火墻安全特性簡(jiǎn)介V5 防火墻基本維護(hù)目錄安全特性系統(tǒng)管理網(wǎng)絡(luò)特性VLAN DHCPMSTPRIPOSPFBGPVRRP策略路由組播域間策略NATVPNARP攻擊防范報(bào)文異常檢測(cè)DoS攻擊防范應(yīng)用控制雙機(jī)熱備Web(HTTP/HTTPS)CLI(Console/Telnet/SSH)SNMPAAASyslo

44、g/Userlog防火墻的重要功能域間策略防火墻將IP地址和域名簡(jiǎn)化為地址資源和地址組資源，將源端口、目的端口以及協(xié)議號(hào)簡(jiǎn)化為服務(wù)資源和服務(wù)組資源，通過引用地址組資源和服務(wù)組資源創(chuàng)建域間策略防火墻域間策略基于安全區(qū)域而并非基于接口Trust域間策略市場(chǎng)部門/16防火墻研發(fā)部門/16UntrustInternetDMZMail ServerTrust區(qū)域的市場(chǎng)部門員工在上班時(shí)間可以訪問InternetUntrust區(qū)域在任何時(shí)候都允許訪問DMZ區(qū)域的WEB服務(wù)器Trust區(qū)域的研發(fā)部門員工不可以訪問DMZ區(qū)域的Web服務(wù)器域間策略域間策略匹配順序：Web管理頁面從上往下的顯示順序可以通過后面的三

45、角符號(hào)上下移動(dòng)域間策略調(diào)整報(bào)文匹配順序攻擊防范：黑名單過濾黑名單是指根據(jù)報(bào)文的源IP地址進(jìn)行過濾的一種方式 ，能夠有效地將特定IP地址發(fā)送來的報(bào)文屏蔽，它有一個(gè)最大的特點(diǎn)是可以動(dòng)態(tài)添加黑名單攻擊防范：報(bào)文異常檢測(cè)防火墻對(duì)經(jīng)過的報(bào)文進(jìn)行分析，查看報(bào)文的特征，若報(bào)文具有攻擊性，則輸出告警日志并且阻斷報(bào)文通過 報(bào)文異常檢測(cè)安全區(qū)域指的是攻擊發(fā)起的區(qū)域攻擊防范：流量異常檢測(cè)防火墻通過檢測(cè)網(wǎng)絡(luò)流量，分析異常流量的特征，能成功檢測(cè)出各種泛洪攻擊和網(wǎng)絡(luò)掃描攻擊具體功能包括：ICMP Flood攻擊檢測(cè)、UDP Flood攻擊檢測(cè)、DNS Flood攻擊檢測(cè)、SYN Flood攻擊檢測(cè)、掃描攻擊檢測(cè)和連接數(shù)限

46、制等防火墻通過限制連接數(shù)和代理的方式進(jìn)行泛洪攻擊的防范攻擊防范：流量異常檢測(cè)流量異常檢測(cè)的安全區(qū)域是被保護(hù)的區(qū)域NAT功能防火墻插卡具有豐富的NAT功能，可作為大型企業(yè)網(wǎng)絡(luò)的安全網(wǎng)關(guān)，提供一對(duì)一、一對(duì)多、內(nèi)部服務(wù)器等地址轉(zhuǎn)換功能和ALG、DNS MAP等高級(jí)功能。Easy IP方式NAT PAT方式NATNo-PAT 方式NATNAT StaticNAT ServerNAT ALGNAT DNS Map多實(shí)例NATVPN相關(guān)功能豐富的VPN功能：L2TP VPNGRT VPNIPSec VPNSSL VPN高效的加密、認(rèn)證算法：DES/3DESAESMD5/SHA-1多樣的認(rèn)證方式：本地認(rèn)證R

47、ADIUS/AD認(rèn)證PKI/CA認(rèn)證應(yīng)用控制功能防火墻支持多種應(yīng)用控制，包括URL地址過濾、URL參數(shù)過濾、Java阻斷、ActiveX阻斷等。虛擬防火墻虛擬設(shè)備是一個(gè)邏輯概念，一臺(tái)設(shè)備可以從邏輯上劃分為多個(gè)部分，每個(gè)部分可以作為一臺(tái)單獨(dú)的設(shè)備 ，多個(gè)虛擬設(shè)備可以分別配置不同的安全策略，為不同用戶提供私有的路由轉(zhuǎn)發(fā)平面和安全服務(wù)等業(yè)務(wù)，這就是虛擬防火墻。虛擬防火墻用戶C用戶A用戶B用戶D虛擬防火墻創(chuàng)建虛擬防火墻后，需要為其分配資源，虛擬防火墻及其成員的關(guān)系如下：缺省情況下，所有三層接口和VLAN都屬于根虛擬設(shè)備（Root）一個(gè)三層接口或VLAN同時(shí)只能屬于一個(gè)虛擬設(shè)備所有二層接口為所有虛擬設(shè)備

48、所共有虛擬防火墻的特點(diǎn)：各虛擬設(shè)備維護(hù)一組自己的安全區(qū)域和安全策略各虛擬設(shè)備維護(hù)一組自己的資源對(duì)象各虛擬設(shè)備維護(hù)一套自己的路由表默認(rèn)情況下，各虛擬設(shè)備是互不相通的虛擬防火墻配置虛擬防火墻的配置包括：創(chuàng)建虛擬設(shè)備為虛擬設(shè)備分配成員選擇所要配置的虛擬設(shè)備創(chuàng)建安全區(qū)域及配置其它安全策略虛擬防火墻配置給虛擬設(shè)備分配接口成員和VLAN成員：虛擬防火墻配置選擇需要配置的虛擬防火墻：選擇虛擬防火墻后就可以對(duì)虛擬防火墻進(jìn)行配置了，比如創(chuàng)建資源，創(chuàng)建域間策略等雙機(jī)熱備雙機(jī)熱備可解決網(wǎng)絡(luò)單點(diǎn)故障導(dǎo)致的業(yè)務(wù)中斷問題，提高網(wǎng)絡(luò)穩(wěn)定性及可靠性防火墻不同于其它網(wǎng)絡(luò)設(shè)備，路徑備份的同時(shí)還需要同步會(huì)話防火墻流量的切換通過VR

49、RP或者路由實(shí)現(xiàn)防火墻的雙機(jī)熱備不區(qū)分設(shè)備的主備狀態(tài)，兩臺(tái)設(shè)備可以同時(shí)處理各自的業(yè)務(wù)報(bào)文InternetFirewall 1Firewall 2Private Network會(huì)話狀態(tài)同步雙機(jī)熱備：會(huì)話同步為什么需要會(huì)話同步？由于防火墻是基于會(huì)話連接狀態(tài)的，所以，為了保證主設(shè)備故障時(shí)，流量能切換到備份設(shè)備，要求主設(shè)備在創(chuàng)建和更新會(huì)話表項(xiàng)時(shí)，能同步到備份設(shè)備，以保證主設(shè)備和備份設(shè)備會(huì)話表項(xiàng)的完全一致。兩種會(huì)話同步方式：批量備份：防火墻設(shè)備工作了一段時(shí)間后，可能已經(jīng)存在大量的會(huì)話表項(xiàng)，此時(shí)加入另一臺(tái)防火墻設(shè)備，在兩臺(tái)設(shè)備上使能雙機(jī)熱備功能后，先運(yùn)行的防火墻會(huì)將已有的會(huì)話表項(xiàng)一次性同步到新加入的設(shè)備。

50、實(shí)時(shí)備份：防火墻在產(chǎn)生新表項(xiàng)或表項(xiàng)變化后會(huì)及時(shí)備份到另一臺(tái)設(shè)備，這個(gè)過程稱為實(shí)時(shí)備份。雙機(jī)熱備主備模式故障發(fā)生之前，備份設(shè)備僅做備份，由主設(shè)備處理全部業(yè)務(wù)Internet主設(shè)備備份設(shè)備Private Network主設(shè)備故障后，備份設(shè)備接替處理業(yè)務(wù)Internet主設(shè)備備份設(shè)備Private Network會(huì)話表項(xiàng)會(huì)話表項(xiàng)會(huì)話表項(xiàng)雙機(jī)熱備負(fù)載分擔(dān)模式兩臺(tái)設(shè)備都為主設(shè)備，都處理業(yè)務(wù)，互為備份Internet主/備份設(shè)備主/備份設(shè)備Private Network其中一臺(tái)故障，另一臺(tái)持續(xù)處理全部業(yè)務(wù)Internet主/備份設(shè)備主/備份設(shè)備Private Network會(huì)話表項(xiàng)會(huì)話表項(xiàng)會(huì)話表項(xiàng)負(fù)載分擔(dān)

51、模式主備模式雙機(jī)熱備通過VRRP實(shí)現(xiàn)流量切換Internet備份組1Master Virtual IP address: Backup00/24雙機(jī)熱備專線Firewall 1Firewall 2Host AIP: 0/24Gateway: 00Host BIP: 29/24Gateway: 00Private NetworkInternet備份組1Master Virtual IP address: Backup00/24雙機(jī)熱備專線Firewall 1Firewall 2Host AIP: 0/24Gateway: 00Host BIP: 29/24Gateway: 01備份組2Backu

52、p Virtual IP address: Master01/24Private Network雙機(jī)熱備通過動(dòng)態(tài)路由實(shí)現(xiàn)流量切換主備模式在Router A和Router B上都配置Eth 1/1的cost值小于Eth 1/2的正常工作情況下，路徑Router AFirewall 1Router B的優(yōu)先級(jí)高于路徑Router AFirewall 2Router B，內(nèi)網(wǎng)發(fā)往外網(wǎng)的報(bào)文都通過Firewall 1轉(zhuǎn)發(fā)當(dāng)Firewall 1發(fā)生故障時(shí)，OSPF啟用次優(yōu)路由，內(nèi)網(wǎng)發(fā)往外網(wǎng)的報(bào)文通過Firewall 2轉(zhuǎn)發(fā)負(fù)載分擔(dān)模式在Router A和Router B上都配置多條等價(jià)路由正常工作情況下，F(xiàn)ire