防火墻產(chǎn)品與維護3.0防火墻產(chǎn)品與維護3.01學習目標了解Eudemon產(chǎn)品工作原理了解Eudemon產(chǎn)品規(guī)格和特性掌握Eudemon產(chǎn)品典型組網(wǎng)及配置掌握Eudemon產(chǎn)品維護方法學習完本課程，您應(yīng)該能夠：學習目標了解Eudemon產(chǎn)品工作原理學習完本課程，您應(yīng)該能2課程內(nèi)容

第一章Eudemon防火墻第二章Eudemon邊界會話控制器課程內(nèi)容 第一章Eudemon防火墻3第一章Eudemon防火墻培訓

1.防火墻技術(shù)簡介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料4第一章Eudemon防火墻培訓 1.防火墻技術(shù)簡防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點網(wǎng)絡(luò)安全包括基礎(chǔ)設(shè)施安全、邊界安全和管理安全等全方位策略防火墻的主要作用是劃分邊界安全，實現(xiàn)關(guān)鍵系統(tǒng)與外部環(huán)境的安全隔離，保護內(nèi)部網(wǎng)絡(luò)免受外部攻擊與路由器相比,防火墻提供了更豐富的安全防御策略，提高了安全策略下數(shù)據(jù)報轉(zhuǎn)發(fā)速率由于防火墻用于邊界安全，因此往往兼?zhèn)銷AT、VPN等功能我司防火墻：Eudemon系列（英文含義－－－守護神）一夫當關(guān)，萬夫莫開防火墻概述網(wǎng)絡(luò)安全問題成為近年來網(wǎng)絡(luò)問題的焦點一夫當關(guān)，萬夫5防火墻的分類（一）包過濾防火墻代理防火墻狀態(tài)防火墻包過濾防火墻代理防火墻狀態(tài)防火墻防火墻的分類（一）包過濾防火墻包過濾防火墻代理防火墻狀態(tài)防火6防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下幾類：包過濾防火墻(PacketFiltering)

包過濾利用定義的特定規(guī)則過濾數(shù)據(jù)包，防火墻直接獲得數(shù)據(jù)包的IP源地址、目的地址、TCP/UDP的源端口、和TCP/UDP的目的端口。包過濾防火墻簡單，但是缺乏靈活性，對一些動態(tài)協(xié)商端口沒有辦法設(shè)置規(guī)則。另外包過濾防火墻每包需要都進行策略檢查，策略過多會導(dǎo)致性能急劇下降。代理型防火墻（applicationgateway）

代理型防火墻使得防火墻做為一個訪問的中間節(jié)點，對Client來說防火墻是一個Server，對Server來說防火墻是一個Client。代理型防火墻安全性較高，但是開發(fā)代價很大。對每一種應(yīng)用開發(fā)一個對應(yīng)的代理服務(wù)是很難做到的，因此代理型防火墻不能支持很豐富的業(yè)務(wù)，只能針對某些應(yīng)用提供代理支持。狀態(tài)檢測防火墻

狀態(tài)檢測是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄?，F(xiàn)在防火墻的主流產(chǎn)品都為狀態(tài)檢測防火墻：高性能和高安全的完美結(jié)合。防火墻的分類(二）按照防火墻實現(xiàn)的方式，一般把防火墻分為如下7防火墻技術(shù)發(fā)展方向1、軟件防火墻。一般是直接安裝在PC上的一套軟件，基于PC提供基本的安全防護，此時防火墻基本上就是一個應(yīng)用軟件。代表產(chǎn)品有CheckPoint公司的防火墻產(chǎn)品。2、工控機類型防火墻。采用PC硬件結(jié)構(gòu)，基于linux等開發(fā)源代碼的操作系統(tǒng)內(nèi)核，開發(fā)了安全防護的一些基本特性構(gòu)成硬件防火墻產(chǎn)品形態(tài)。從外觀上面看，該種防火墻是一個硬件防火墻產(chǎn)品，但是其軟件、硬件和第一種防火墻產(chǎn)品從硬件上面說沒有本質(zhì)區(qū)別。國內(nèi)大多數(shù)防火墻是采用這種技術(shù)。3、電信級硬件防火墻。采用獨立設(shè)計的硬件結(jié)構(gòu)，在CPU、電源、風扇、PCI總線設(shè)計、擴展插卡等方面優(yōu)化結(jié)構(gòu)，保證防火墻產(chǎn)品可以得到最優(yōu)的處理性能和高可靠性。代表產(chǎn)品有華為公司的Eudemon200產(chǎn)品、NetScreen204等防火墻產(chǎn)品。4、基于NP電信級防火墻。由于純軟件設(shè)計的防火墻產(chǎn)品在流量很大的地方逐步成為瓶頸，基于網(wǎng)絡(luò)處理器（NP）的業(yè)務(wù)加速模式的防火墻產(chǎn)品開始出現(xiàn)。通過網(wǎng)絡(luò)處理器的高性能，使得防火墻產(chǎn)品可以達到1G線速的處理能力。代表產(chǎn)品有華為公司的Eudemon500/1000產(chǎn)品。軟件防火墻=>工控機類型防火墻=>電信級硬件防火墻=>基于NP電信級防火墻防火墻技術(shù)發(fā)展方向1、軟件防火墻。一般是直接安裝在PC上的一8動態(tài)創(chuàng)建和刪除過濾規(guī)則改進的狀態(tài)防火墻：Eudemon系列防火墻即采用的這種技術(shù)，這是華為特有的ASPF技術(shù)（Applicationspecificpacketfilter），它結(jié)合了代理型防火墻安全性高、狀態(tài)防火墻速度快的優(yōu)點，因此安全性高，處理能力強。監(jiān)視通信過程中的報文基于改進的狀態(tài)檢測安全技術(shù)（一）動態(tài)創(chuàng)建和刪除過濾規(guī)則改進的狀態(tài)防火墻：Eudemon系9ASPF（ApplicationSpecificPacketFilter）增強VRP平臺上的防火墻功能，提供針對應(yīng)用層的報文過濾功能。ASPF是一種高級通信過濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)。對于所有連接，每一個連接狀態(tài)信息都將被ASPF維護并用于動態(tài)地決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。ASPF不僅能夠根據(jù)連接的狀態(tài)對報文進行過濾還能夠?qū)?yīng)用層報文的內(nèi)容加以檢測，以對一部分攻擊加以檢測和防范?；诟倪M的狀態(tài)檢測安全技術(shù)（二）ASPF（ApplicationSpecificPack10狀態(tài)防火墻通過檢測基于TCP/UDP連接的連接狀態(tài)，來動態(tài)的決定報文是否可以通過防火墻。在狀態(tài)防火墻中，會維護著一個Session表項，通過Session表項就可以決定哪些連接是合法訪問，哪些是非法訪問。基于改進的狀態(tài)檢測安全技術(shù)（三）狀態(tài)防火墻通過檢測基于TCP/UDP連接的連接狀態(tài)，來動態(tài)的11FTP是FileTransferProtocol（文件傳輸協(xié)議）要用到兩個TCP連接，一個是控制通道，用來在FTP客戶端與服務(wù)器之間傳遞命令；另一個是數(shù)據(jù)通道，用來上傳或下載數(shù)據(jù)。

檢查接口上的外發(fā)IP報文，確認為基于TCP的FTP報文。檢查端口號確認連接為控制連接，建立返回報文的臨時ACL和狀態(tài)表。檢查FTP控制連接報文，解析FTP指令，根據(jù)指令更新狀態(tài)表，如果包含數(shù)據(jù)通道建立指令，則創(chuàng)建另外的數(shù)據(jù)連接的臨時ACL，對于數(shù)據(jù)連接，不進行狀態(tài)檢測。對返回報文作根據(jù)協(xié)議類型做相應(yīng)匹配檢查，檢查將根據(jù)相應(yīng)協(xié)議的狀態(tài)表和臨時ACL決定報文是否允許通過。DoS攻擊的防范對所有處于半開(TCPSYNorUDP)狀態(tài)的連接進行數(shù)目統(tǒng)計和速度采樣?；诟倪M的狀態(tài)檢測安全技術(shù)（四）FTP是FileTransferProtocol（文件傳12主要防火墻性能衡量指標1、吞吐量

其中吞吐量業(yè)界一般都是使用1K～1.5K的大包衡量防火墻對報文的處理能力的。因網(wǎng)絡(luò)流量大部分是200字節(jié)報文，因此需要考察防火墻小包轉(zhuǎn)發(fā)下性能。因防火墻需要配置ACL規(guī)則，因此需要考察防火墻支持大量規(guī)則下轉(zhuǎn)發(fā)性能。2、每秒建立連接速度

指的是每秒鐘可以通過防火墻建立起來的完整TCP連接。由于防火墻的連接是動態(tài)連接的，是根據(jù)當前通信雙方狀態(tài)而動態(tài)建立的表項。每個會話在數(shù)據(jù)交換之前，在防火墻上都必須建立連接。如果防火墻建立連接速率較慢，在客戶端反映是每次通信有較大延遲。因此支持的指標越大，轉(zhuǎn)發(fā)速率越高。在受到攻擊時，這個指標越大，抗攻擊能力越強。這個指標越大，狀態(tài)備份能力越強。3、并發(fā)連接數(shù)目

由于防火墻是針對連接進行處理報文的，并發(fā)連接數(shù)目是指的防火墻可以同時容納的最大的連接數(shù)目，一個連接就是一個TCP/UDP的訪問。主要防火墻性能衡量指標1、吞吐量13第一章防火墻培訓

1.防火墻技術(shù)簡介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料14第一章防火墻培訓 1.防火墻技術(shù)簡介3.防火墻原理Eudemon200Eudemon100Eudemon系列防火墻外觀華為公司系列電信級硬件防火墻產(chǎn)品，涵蓋了從低端數(shù)兆到高端千兆級別，卓越的性能和先進的安全體系架構(gòu)為用戶提供了強大的安全保障。Eudemon500Eudemon1000Eudemon200Eudemon100Eudemon系15Eudemon系列防火墻性能項目

技術(shù)參數(shù)與性能指標Eudemon100Eudemon200Eudemon500Eudemon1000整機吞吐率100Mbps（實際略低）400Mbps1200M3Gbps并發(fā)連接數(shù)20萬50萬50萬80萬每秒新建連接數(shù)5000條/秒20000條/秒100000條/秒100000條/秒Eudemon系列防火墻業(yè)界領(lǐng)先每秒新建連接能力保證了防火墻性能充分發(fā)揮。Eudemon系列防火墻性能項目技術(shù)參數(shù)與性能指標16Eudemon200：高效可靠的體系結(jié)構(gòu)——雙總線雙通道設(shè)計總線沖突減少，總帶寬提升雙通道收發(fā)互不影響接口卡1接口卡2PCI-0PCI-1高速內(nèi)部交換PCI0PCI1CPU精心設(shè)計的體系架構(gòu)保證了防火墻即使是在64字節(jié)報文下依舊保持優(yōu)異轉(zhuǎn)發(fā)性能，高速ACL技術(shù)保證了配置大量規(guī)則下，性能不受影響。Eudemon200：高效可靠的體系結(jié)構(gòu)——雙總線雙通道設(shè)17Eudemon500/1000：基于NP邏輯結(jié)構(gòu)Eudemon500/1000：基于NP的集中式多業(yè)務(wù)路由器CPUNP高速交換轉(zhuǎn)發(fā)Logic高速接口智能接口高速接口高速接口2GPCI共享數(shù)據(jù)總線2GD_bus交換總線全模塊化、基于NP硬件集中式轉(zhuǎn)發(fā)、電信級可靠性；TCP、UDP首包都是NP進行處理，保證了每秒新建連接>100,000條/秒，充分保證網(wǎng)絡(luò)安全性。NP轉(zhuǎn)發(fā)方式保證了Eudemon500和1000在64字節(jié)報文下分別超過1G和2G；基于硬件ACL保證了配置大量規(guī)則情況，性能不受影響。Eudemon500/1000：基于NP邏輯結(jié)構(gòu)Eude18先進的體系架構(gòu)Eudemon防火墻完全自主開發(fā)。軟件采用專有操作系統(tǒng)，安全/高性能并重。Eudemon500/1000防火墻采用網(wǎng)絡(luò)處理器技術(shù)，高性能、可擴展性兼顧。CPU功能靈活，可不斷升級，弱點是性能低。ASIC性能高，弱點是過于固化，無法升級NPCPUASIC基于軟件的CPU的靈活性和基于ASIC的高速轉(zhuǎn)發(fā)的結(jié)合——NP（網(wǎng)絡(luò)處理器）先進的體系架構(gòu)Eudemon防火墻完全自主開發(fā)。軟件采用專有19防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）防火墻的基本工作流程傳統(tǒng)包過濾防火墻（路由器）20E200狀態(tài)防火墻E200狀態(tài)防火墻21與工控機類型防火墻技術(shù)對比大項子項工控機類型防火墻Eudemon系列防火墻可靠性CPU計算機通用CPU，功耗大，CPU需要借用風扇散熱。通常為IntelPentium系列CPU通信用Powerpc系列，功耗低電源計算機電源，有些工程機無電源故障告警指示。通信專用電源，適用范圍廣，電源支持1+1備份，可熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。器件計算機通用器件，可靠性低高優(yōu)質(zhì)器件散熱系統(tǒng)計算機風扇，一般內(nèi)置。有些工控機無故障告警指示，可能由于風扇問題導(dǎo)致元器件損壞。智能散熱系統(tǒng)。分4組8個小風扇，溫度智能檢測，溫度自動調(diào)控，風扇支持熱插拔，出現(xiàn)故障面板有指示燈告警，并上送告警日志。結(jié)構(gòu)CPU+主板+網(wǎng)卡無源背板設(shè)計，主控板、散熱系統(tǒng)、網(wǎng)絡(luò)處理器模塊、接口模塊、電源模塊全模塊化設(shè)計，可獨立更換。接口卡支持熱插拔。性能小包（64字節(jié)）處理能力只有大包（1K字節(jié)）處理能力1/10~1/6Eudemon200小包超過120M，Eudemon500/1000分別超過1G/2G每秒新增連接百兆防火墻只有幾千，千兆防火墻<2萬Eudemon200>2萬Eudemon500/1000>10萬安規(guī)認證如果只在國內(nèi)銷售，一般為省成本不做認證CE、UL、FCC-PART15、TUV-GS、VCCI等硬件成本低高應(yīng)用場所可靠性、性能要求沒太高要求企業(yè)可靠性、性能要求高的大、中型企業(yè)及電信運營網(wǎng)絡(luò)與工控機類型防火墻技術(shù)對比大項子項工控機類型防火墻Eudem22千兆防火墻技術(shù)對比大項子項基于ASIC方式千兆防火墻Eudemon500/1000防火墻結(jié)構(gòu)CPU+ASICCPU+NP性能小包處理能力千兆1G/2G每秒新增連接<2萬10萬業(yè)務(wù)支持能力TCP連接處理CPU參與全部NP處理帶寬管理不能對每個IP進行連接數(shù)和流量限制，支持QoS能力弱支持對每個IP進行連接數(shù)和流量限制，支持QoS防DOS攻擊弱（支持TCPProxy困難，難以防范SYNFLOOD）強（支持TCPProxy容易，難以防范SYNFLOOD）業(yè)務(wù)支持能力支持通常TCP/UDP/ICMP，復(fù)雜協(xié)議狀態(tài)檢測困難，支持NATALG少。除了支持通常TCP/UDP/ICMP狀態(tài)檢測以外，可以支持H.323、RTSP、MGCP、SIP等復(fù)雜協(xié)議狀態(tài)檢測和ALG，可支持多網(wǎng)合一。IPV6不能軟件升級支持能軟件升級支持千兆防火墻技術(shù)對比大項子項基于ASIC方式千兆防火墻Eude23第一章防火墻培訓

1.防火墻技術(shù)簡介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料24第一章防火墻培訓 1.防火墻技術(shù)簡介3.防火墻原理防火墻原理與特性

1.安全區(qū)域2.工作模式3.安全防范4.VRRP&HRP華為產(chǎn)品維護資料25防火墻原理與特性 1.安全區(qū)域3.安全防范華為產(chǎn)品防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)接口都唯一的屬于某個區(qū)域Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（一）防火墻的內(nèi)部劃分為多個區(qū)域，所有的轉(zhuǎn)發(fā)26防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻的安全規(guī)則定義在安全區(qū)域之間不允許來自的數(shù)據(jù)報從這個接口出去Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4禁止所有從DMZ區(qū)域的數(shù)據(jù)報轉(zhuǎn)發(fā)到UnTrust區(qū)域防火墻的安全區(qū)域（二）路由器的安全規(guī)則定義在接口上，而防火墻27防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域：非受信區(qū)（Untrust）：低級的安全區(qū)域，其安全優(yōu)先級為5。非軍事化區(qū)（DMZ）：中度級別的安全區(qū)域，其安全優(yōu)先級為50。受信區(qū)（Trust）：較高級別的安全區(qū)域，其安全優(yōu)先級為85。本地區(qū)域（Local）：最高級別的安全區(qū)域，其安全優(yōu)先級為100。此外，如認為有必要，用戶還可以自行設(shè)置新的安全區(qū)域并定義其安全優(yōu)先級別。最多16個安全區(qū)域。防火墻的安全區(qū)域（三）Eudemon防火墻上保留四個安全區(qū)域28防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：入方向（inbound）：數(shù)據(jù)由低級別的安全區(qū)域向高級別的安全區(qū)域傳輸?shù)姆较颍怀龇较颍╫utbound）：數(shù)據(jù)由高級別的安全區(qū)域向低級別的安全區(qū)域傳輸?shù)姆较?。Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4InOutInOutoutinInOut防火墻的安全區(qū)域（四）域間的數(shù)據(jù)流分兩個方向：Local區(qū)域29防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)進、出接口相同的報文被丟棄（EU200-VRP3.20-0314.01版本后支持）接口沒有加入域之前不能轉(zhuǎn)發(fā)包文Local區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4InOutInOutInOutInOutLocal區(qū)域Trust區(qū)域DMZ區(qū)域UnTrust區(qū)域接口1接口2接口3接口4防火墻的安全區(qū)域（五）本域內(nèi)不同接口間不過濾直接轉(zhuǎn)發(fā)Loca30防火墻的安全區(qū)域（六）防火墻的安全區(qū)域（六）31防火墻原理與特性

1.安全區(qū)域2.工作模式3.安全防范4.VRRP&HRP華為產(chǎn)品維護資料32防火墻原理與特性 1.安全區(qū)域3.安全防范華為產(chǎn)品防火墻的三種工作模式（一）路由模式透明模式混合模式防火墻的三種工作模式（一）路由模式33防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工作。防火墻每個接口連接一個網(wǎng)絡(luò)，防火墻的接口就是所連接子網(wǎng)的網(wǎng)關(guān)。報文在防火墻內(nèi)首先通過入接口信息找到進入域信息，然后通過查找轉(zhuǎn)發(fā)表，根據(jù)出接口找到出口域，再根據(jù)這兩個域確定域間關(guān)系，然后使用配置在這個域間關(guān)系上的安全策略進行各種操作。防火墻的三種工作模式（二）可以把路由模式理解為象路由器那樣工34防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作一臺以太網(wǎng)交換機。防火墻的接口不能配IP地址，整個設(shè)備出于現(xiàn)有的子網(wǎng)內(nèi)部，對于網(wǎng)絡(luò)中的其他設(shè)備，防火墻是透明的。報文轉(zhuǎn)發(fā)的出接口，是通過查找橋接的轉(zhuǎn)發(fā)表得到的。在確定域間之后，安全模塊的內(nèi)部仍然使用報文的IP地址進行各種安全策略的匹配。Eudemon防火墻與網(wǎng)橋存在不同，Eudemon防火墻中IP報文還需要送到上層進行相關(guān)過濾等處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。此外，還要完成其它防攻擊檢查。透明模式的防火墻支持ACL規(guī)則檢查、ASPF狀態(tài)過濾、防攻擊檢查、流量監(jiān)控等功能。透明模式可以配置系統(tǒng)IP。防火墻的三種工作模式（三）透明模式的防火墻簡單理解可以被看作35防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是為了解決防火墻在純粹的透明模式下無法使用雙機熱備份功能的問題。雙機熱備份所依賴的VRRP需要在接口上配置IP地址，而透明模式無法實現(xiàn)這一點。防火墻的三種工作模式（四）混合模式是指防火墻一部份接口工作在36防火墻原理與特性

1.安全區(qū)域2.工作模式3.安全防范4.VRRP&HRP華為產(chǎn)品維護資料37防火墻原理與特性 1.安全區(qū)域3.安全防范華為產(chǎn)品防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL38訪問控制列表是什么？一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載的上層協(xié)議為TCP）：IP報頭TCP報頭數(shù)據(jù)協(xié)議號源地址目的地址源端口目的端口對于TCP來說，這5個元素組成了一個TCP相關(guān)，訪問控制列表就是利用這些元素定義的規(guī)則訪問控制列表是什么？一個IP數(shù)據(jù)包如下圖所示（圖中IP所承載39如何標識訪問控制列表？利用數(shù)字標識訪問控制列表利用數(shù)字范圍標識訪問控制列表的種類列表的種類數(shù)字標識的范圍IPstandardlist1－99,2000-2999IPextendedlist100－199,3000-3999700～799范圍的ACL是基于MAC地址的訪問控制列表備注：VRP3.20-0315.02（包括）后版本支持根據(jù)用戶定義ACL規(guī)則進行信息檢測，添加檢測啟動命令detectuser-defineacl-numberaging-time，添加打開用戶定義ACL規(guī)則的檢測調(diào)試命令debuggingfirewallaspfuser-define如何標識訪問控制列表？利用數(shù)字標識訪問控制列表列表的種類數(shù)字40ACL加速應(yīng)為每次區(qū)域間轉(zhuǎn)發(fā)數(shù)據(jù)報時都要線性檢查ACL中的所有規(guī)則,當ACL中的規(guī)則較多時,將極大的影響轉(zhuǎn)發(fā)速度。ACL加速查找功能是一種能大大提高訪問控制列表查找性能的技術(shù)。ACL加速查找不會因為訪問控制列表中規(guī)則條目的增加而降低規(guī)則的匹配速度，因此使能ACL加速查找功能可以在規(guī)則數(shù)目很多的時候顯著提高防火墻的性能。增加規(guī)則要重新下發(fā)：系統(tǒng)視圖下acl

accelerateenable

基于MAC地址的訪問控制列表不支持ACL加速查找功能Rule1Rule2Rule3ACL規(guī)則庫ACL加速應(yīng)為每次區(qū)域間轉(zhuǎn)發(fā)數(shù)據(jù)報時都要線性檢查ACL中的所41防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL42ASPFASPF（ApplicationSpecificPacketFilter）是針對應(yīng)用層的包過濾，即基于狀態(tài)的報文過濾。它和普通的靜態(tài)防火墻協(xié)同工作，以便于實施內(nèi)部網(wǎng)絡(luò)的安全策略。ASPF能夠檢測試圖通過防火墻的應(yīng)用層協(xié)議會話信息，阻止不符合規(guī)則的數(shù)據(jù)報文穿過。為保護網(wǎng)絡(luò)安全，基于ACL規(guī)則的包過濾可以在網(wǎng)絡(luò)層和傳輸層檢測數(shù)據(jù)包，防止非法入侵。ASPF對應(yīng)用層的協(xié)議信息進行檢測，通過維護會話的狀態(tài)和檢查會話報文的協(xié)議和端口號等信息，阻止惡意的入侵。ASPFASPF（ApplicationSpecific43黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式。同基于ACL的包過濾功能相比，由于黑名單進行匹配的域非常簡單，可以以很高的速度實現(xiàn)報文的過濾，從而有效地將特定IP地址發(fā)送來的報文屏蔽。黑名單最主要的一個特色是可以由Eudemon防火墻動態(tài)地進行添加或刪除，當防火墻中根據(jù)報文的行為特征察覺到特定IP地址的攻擊企圖之后，通過主動修改黑名單列表從而將該IP地址發(fā)送的報文過濾掉。因此，黑名單是防火墻一個重要的安全特性。黑名單（一）黑名單，指根據(jù)報文的源IP地址進行過濾的一種方式44黑名單（二）黑名單的創(chuàng)建[undo]firewallblacklistitem

sour-addr[timeout

minutes]黑名單的使能[undo]firewallblacklistenable黑名單的報文過濾類型和范圍的設(shè)置firewall

blacklist

filter-type{icmp|tcp|udp|others}[range{blacklist|global}]黑名單（二）黑名單的創(chuàng)建45黑名單配置舉例（一）服務(wù)器和客戶機分別位于防火墻Trust區(qū)域和Untrust區(qū)域中，現(xiàn)要在100分鐘內(nèi)過濾掉客戶機發(fā)送的所有ICMP報文。黑名單配置舉例（一）服務(wù)器和客戶機分別位于防火墻Trust區(qū)46黑名單配置舉例（二）[Eudemon]firewallblacklistitem0timeout100[Eudemon]

firewallblacklistpacket-filtericmprangeglobal[Eudemon]firewallblacklistenable黑名單配置舉例（二）[Eudemon]firewallb47其它MAC和IP地址綁定，指防火墻可以根據(jù)用戶的配置，在特定的IP地址和MAC地址之間形成關(guān)聯(lián)關(guān)系。對于聲稱從這個IP發(fā)送的的報文，如果其MAC地址不是指定關(guān)系對中的地址，防火墻將予以丟棄，發(fā)送給這個IP地址的報文，在通過防火墻時將被強制發(fā)送給這個MAC地址。從而形成有效的保護，是避免IP地址假冒攻擊的一種方式。注意其要點端口識別簡介應(yīng)用層協(xié)議一般使用通用的端口號（知名端口號）進行通信。端口識別允許用戶針對不同的應(yīng)用在系統(tǒng)定義的端口號之外定義一組新的端口號。端口識別提供了一些機制來維護和使用用戶定義的端口配置信息。端口識別能夠?qū)Σ煌膽?yīng)用協(xié)議創(chuàng)建和維護一張系統(tǒng)定義（system-defined）和用戶定義（user-defined）的端口識別表。其它MAC和IP地址綁定，指防火墻可以根據(jù)用戶的配置，在特定48防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL49防火墻數(shù)據(jù)報安全匹配的順序NAT服務(wù)器域間的ACL規(guī)則域間的ASPF域間的NAT域間的缺省規(guī)則數(shù)據(jù)報防火墻數(shù)據(jù)報安全匹配的順序NAT服務(wù)器域間的ACL規(guī)則域間的50防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL51攻擊類型簡介（一）單報文攻擊FraggleIpspoofLandSmurfTcpflagWinnukeip-fragment攻擊類型簡介（一）單報文攻擊52攻擊類型簡介（二）分片報文攻擊TearDropPingofdeath拒絕服務(wù)類攻擊SYNFloodUDPFlood&ICMPFlood掃描IPsweepPortscan攻擊類型簡介（二）分片報文攻擊53單包攻擊原理及防范（一）Fraggle特征：UDP報文，目的端口7（echo）或19（CharacterGenerator）目的：echo服務(wù)會將發(fā)送給這個端口的報文再次發(fā)送回去CharacterGenerator服務(wù)會回復(fù)無效的字符串攻擊者偽冒受害者地址，向目的地址為廣播地址的上述端口，發(fā)送請求，會導(dǎo)致受害者被回應(yīng)報文泛濫攻擊如果將二者互指，源、目的都是廣播地址，會造成網(wǎng)絡(luò)帶寬被占滿配置：firewalldefendfraggleenable原理：過濾UDP類型的目的端口號為7或19的報文單包攻擊原理及防范（一）Fraggle54單包攻擊原理及防范（二）IPSpoof特征：地址偽冒目的：偽造IP地址發(fā)送報文配置：firewalldefendip-spoofingenable原理：對源地址進行路由表查找，如果發(fā)現(xiàn)報文進入接口不是本機所認為的這個IP地址的出接口，丟棄報文單包攻擊原理及防范（二）IPSpoof55單包攻擊原理及防范（三）Land特征：源目的地址都是受害者的IP地址，或者源地址為127這個網(wǎng)段的地址目的：導(dǎo)致被攻擊設(shè)備向自己發(fā)送響應(yīng)報文，通常用在synflood攻擊中配置：firewalldefendlandenable防范原理：對符合上述特征的報文丟棄單包攻擊原理及防范（三）Land56單包攻擊原理及防范（四）Smurf特征：偽冒受害者IP地址向廣播地址發(fā)送pingecho目的：使受害者被網(wǎng)絡(luò)上主機回復(fù)的響應(yīng)淹沒配置：firewalldefendsmurfenable原理：丟棄目的地址為廣播地址的報文單包攻擊原理及防范（四）Smurf57單包攻擊原理及防范（五）TCPflag特征：報文的所有可設(shè)置的標志都被標記，明顯有沖突。比如同時設(shè)置SYN、FIN、RST等位目的：使被攻擊主機因處理錯誤死機配置：firewalldefendtcp-flagenable原理：丟棄符合特征的報文單包攻擊原理及防范（五）TCPflag58單包攻擊原理及防范（六）Winnuke特征：設(shè)置了分片標志的IGMP報文，或針對139端口的設(shè)置了URG標志的報文目的：使被攻擊設(shè)備因處理不當而死機配置：firewalldefendwinnukeenable原理：丟棄符合上述特征報文單包攻擊原理及防范（六）Winnuke59單包攻擊原理及防范（七）Ip-frag特征：同時設(shè)置了DF和MF標志，或偏移量加報文長度超過65535目的：使被攻擊設(shè)備因處理不當而死機配置：firewalldefendip-fragmentenable原理：丟棄符合上述特征報文單包攻擊原理及防范（七）Ip-frag60分片報文攻擊原理及防范（一）Teardrop特征：分片報文后片和前片發(fā)生重疊目的：使被攻擊設(shè)備因處理不當而死機或使報文通過重組繞過防火墻訪問內(nèi)部端口配置：firewalldefendteardropenable原理：防火墻為分片報文建立數(shù)據(jù)結(jié)構(gòu)，記錄通過防火墻的分片報文的偏移量，一點發(fā)生重疊，丟棄報文分片報文攻擊原理及防范（一）Teardrop61分片報文攻擊原理及防范（二）Pingofdeath特征：ping報文全長超過65535目的：使被攻擊設(shè)備因處理不當而死機配置：firewalldefendping-of-deathenable原理：檢查報文長度如果最后分片的偏移量和本身長度相加超過65535，丟棄該分片分片報文攻擊原理及防范（二）Pingofdeath62拒絕服務(wù)攻擊原理及防范（一）SYNFlood特征：向受害主機發(fā)送大量TCP連接請求報文目的：使被攻擊設(shè)備消耗掉所有處理能力，無法響應(yīng)正常用戶的請求配置：statisticenableipinzonefirewalldefendsyn-flood[ipX.X.X.X|zonezonename][max-numbernum][max-ratenum][tcp-proxyauto|on|off]firewalldefendsyn-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的連接請求進行代理，代替受保護的主機回復(fù)請求，如果收到請求者的ACK報文，認為這是有效連接，在二者之間進行中轉(zhuǎn)，否則刪掉該會話拒絕服務(wù)攻擊原理及防范（一）SYNFlood63拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood特征：向受害主機發(fā)送大量UDP/ICMP報文目的：使被攻擊設(shè)備消耗掉所有處理能力配置：statisticenableipinzonefirewalldefendudp/icmp-flood[ipX.X.X.X|zonezonename][max-ratenum]firewalldefendudp/icmp-floodenable原理：防火墻基于目的地址統(tǒng)計對每個IP地址收到的報文速率，超過設(shè)定的閾值上限，進行car拒絕服務(wù)攻擊原理及防范（二）UDP/ICMPFlood64掃描攻擊原理和防范（一）IPsweep特征：地址掃描，向一個網(wǎng)段內(nèi)的IP地址發(fā)送報文nmap目的：用以判斷是否存在活動的主機以及主機類型等信息，為后續(xù)攻擊作準備配置：StatisticenableipoutzoneFirewalldefendip-sweep[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向外連接速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（一）IPsweep65掃描攻擊原理和防范（二）Portscan特征：相同一個IP地址的不同端口發(fā)起連接目的：確定被掃描主機開放的服務(wù)，為后續(xù)攻擊做準備配置：StatisticenableipoutzoneFirewalldefendport-scan[max-ratenum][blacklist-timeoutnum]原理：防火墻根據(jù)報文源地址進行統(tǒng)計，檢查某個IP地址向同一個IP地址發(fā)起連接的速率，如果這個速率超過了閾值上限，則可以將這個IP地址添加到黑名單中進行隔離注意：如果要啟用黑名單隔離功能，需要先啟動黑名單掃描攻擊原理和防范（二）Portscan66防火墻防范的其他報文IcmpredirectIcmpunreachableLargeicmpRouterecordTimestamptracert防火墻防范的其他報文Icmpredirect67防火墻的安全防范ACL安全策略NAT攻擊防范IDS聯(lián)動防火墻的安全防范ACL68IDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗，難以對眾多的協(xié)議細節(jié)進行深入的分析與檢查，并且防火墻具有防外不防內(nèi)的特點，難以對內(nèi)部用戶的非法行為和已經(jīng)滲透的攻擊進行有效的檢查和防范。因此，Eudemon防火墻開放了相關(guān)接口，通過與其它安全軟件進行聯(lián)動，從而構(gòu)建統(tǒng)一的安全網(wǎng)絡(luò)。網(wǎng)絡(luò)中的IDS（IntrusionDetectiveSystem，攻擊檢測系統(tǒng)）系統(tǒng)就像在網(wǎng)絡(luò)上裝備了網(wǎng)絡(luò)分析器，對網(wǎng)絡(luò)傳輸進行監(jiān)視。該系統(tǒng)熟悉最新的攻擊手段，而且盡力在檢查通過的每個報文，從而盡早處理可疑的網(wǎng)絡(luò)傳輸。具體采取的措施由用戶使用的特定IDS系統(tǒng)和配置情況決定。IDS聯(lián)動由于防火墻自身具有一定的局限性，如檢查的顆粒度較粗69IDS聯(lián)動1234IDS服務(wù)器提供基于應(yīng)用層的過濾IDS聯(lián)動1234IDS服務(wù)器70IDS聯(lián)動配置舉例IDS聯(lián)動配置舉例71防火墻原理與特性

1.安全區(qū)域2.工作模式3.安全防范4.VRRP&HRP華為產(chǎn)品維護資料72防火墻原理與特性 1.安全區(qū)域3.安全防范華為產(chǎn)品VRRP和VGMP（一）傳統(tǒng)VRRP備份組在防火墻上應(yīng)用的問題（多個組主備不一致）VrrpGroupManagementProtocol狀態(tài)一致性（組內(nèi)vrrp同步變換狀態(tài)）搶占管理（屏蔽vrrp搶占）通道管理（data，trans-only）VRRP和VGMP（一）傳統(tǒng)VRRP備份組73兩個防火墻上各接口之間的隸屬關(guān)系兩個防火墻上的接口和安全區(qū)域的連接必須嚴格一一對應(yīng)，包括接口插槽、類型、編號、相關(guān)配置等（IP地址除外）。兩個防火墻上各VRRP備份組之間的隸屬關(guān)系

兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。這就是說EudemonA上的A1接口隸屬備份組1，A2接口隸屬備份組2，A3接口隸屬備份組3；則EudemonB上的B1、B2和B3接口也必須分別隸屬備份組1、2和3。

兩個防火墻上各VRRP管理組之間的隸屬關(guān)系兩個防火墻上的管理組編號、構(gòu)成必須完全一樣。這就是說EudemonA上的管理組包括備份組1、2和3，則EudemonB上的同樣編號的管理組也必須包含備份組1、2和3。

同一防火墻上接口、備份組、管理組之間的隸屬關(guān)系同一防火墻（例如EudemonA）上，一個物理接口可以隸屬多個VRRP備份組。一個備份組中能包含多個物理接口，對應(yīng)多個虛擬IP地址。同一VRRP管理組可以包含多個備份組，但是相同備份組不能隸屬多個VRRP管理組。

VRRP備份組提供的備份功能是相對于安全區(qū)域而言的，即每個安全區(qū)域?qū)?yīng)一個備份組；而VRRP管理組實現(xiàn)了各VRRP狀態(tài)的一致性，是相對于Eudemon防火墻而言的，在每個防火墻上都定義至少一個VRRP管理組，負責管理該Eudemon防火墻與各安全區(qū)域相關(guān)的備份組VRRP和VGMP（二）兩個防火墻上各接口之間的隸屬關(guān)系VRRP和VGMP（二）74VRRP的配置任務(wù)(無◆符號，表示該配置僅適用于未加入管理組的備份組)配置備份組的虛擬IP地址◆配置備份組的優(yōu)先級◆配置備份組的搶占方式和延遲時間配置備份組的認證方式和認證字◆配置備份組的定時器◆配置監(jiān)視指定接口VRRP管理組的配置包括：

創(chuàng)建VRRP管理組使能VRRP管理組功能配置向VRRP管理組添加備份組配置VRRP管理組優(yōu)先級配置VRRP管理組搶占功能配置VRRP管理組Hello報文的發(fā)送間隔配置VRRP管理組的報文群發(fā)標志

VRRP和VGMP（三）VRRP的配置任務(wù)VRRP和VGMP（三）75VGMPVGMP76HRP（HuaweiRedundancyProtocol）。HRP協(xié)議是承載在VGMP報文上進行傳輸?shù)模贛aster和Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息配置主備當采用負載分擔方式時，網(wǎng)絡(luò)中存在兩臺Master防火墻。為了避免備份時混亂，Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念。配置主設(shè)備：發(fā)送配置備份內(nèi)容的防火墻配置從設(shè)備：接收配置備份內(nèi)容的防火墻只有VRRP管理組中狀態(tài)為Master的防火墻才有機會成為配置主設(shè)備。在負載分擔方式下，參與雙機熱備份的兩臺Eudemon防火墻都是Master，此時則按照VRRP組優(yōu)先級、接口真實IP地址從大到小的順序選擇配置主設(shè)備。HRPHRP（HuaweiRedundancyProtocol77HRP/VGMP/VRRP關(guān)系當VRRP管理組狀態(tài)變化時，系統(tǒng)將通知HRP狀態(tài)和配置主/從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺防火墻之間配置命令和會話狀態(tài)信息得到及時備份。同時，VRRP管理組狀態(tài)也要受HRP狀態(tài)影響，即VRRP會根據(jù)HRP狀態(tài)切換的結(jié)果來調(diào)整優(yōu)先級，并進行VRRP狀態(tài)切換。HRP/VGMP/VRRP關(guān)系當VRRP管理組狀態(tài)變化時，系78第一章Eudemon防火墻培訓

1.防火墻技術(shù)簡介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料79第一章Eudemon防火墻培訓 1.防火墻技術(shù)簡升級方法E200升級方法比較簡單，大包中包含大Bootrom，直接升級大包即解決問題老命令行E100升級方法應(yīng)對E100問題，出新命令行升級版本0315首先要升級小Bootrom然后升級為防火墻Bootrom最后下載防火墻新軟件可以支持軟件升級，不用更換硬件命令行變化，訪問列表變化升級方法E200升級方法80第一章Eudemon防火墻培訓

1.防火墻技術(shù)簡介2.防火墻體系結(jié)構(gòu)3.防火墻原理與特性4.防火墻升級指導(dǎo)5.防火墻故障處理指導(dǎo)華為產(chǎn)品維護資料81第一章Eudemon防火墻培訓 1.防火墻技術(shù)簡使用注意事項（一）推薦配置 管理網(wǎng)口性能高，推薦作為主要業(yè)務(wù)口打開快轉(zhuǎn)（D013之前，之后缺省打開）接口模式設(shè)置為百兆、全雙工，不要協(xié)商ACL條目較多，使用ACL加速算法不使能ftp服務(wù)器（黑名單現(xiàn)在無法防范）盡可能使用路由模式TCP相關(guān)會話老化時間設(shè)置長一些默認40：firesessaging-time可以使能黑名單，防止非法登錄防火墻使用注意事項（一）推薦配置 82使用注意事項（二）功能限制目前版本盡量避免使用動態(tài)路由，D10SP1目前不支持同一個報文在同一個接口上下，組網(wǎng)需要避免隧道L2tp、GRE等，最低版本D10SP1避免開放流日志（日志服務(wù)器未發(fā)布、D013）系統(tǒng)統(tǒng)計不要關(guān)閉攻防模塊日志較多，沒有必要不要打開，防止log沒有有效信息使用注意事項（二）功能限制83故障收集信息（一）displaydiagnostic-informationdisplayarpdisplayfirewallsessiontabledisplayfib/displayiprouting-table故障收集信息（一）displaydiagnostic-in841、debugippacket2、dispacl3、displayfirewallsessiontablev4、disparp5、displayfib/displayiprouting-table6、debuggingnat{alg|event|packet}7、displaydiagnostic-information故障收集信息（二）1、debugippacket故障收集信息（二）85Q：報文不轉(zhuǎn)發(fā)。1、接口是否加入?yún)^(qū)域2、防火墻是否進行了限制3、是否同一個接口進行數(shù)據(jù)轉(zhuǎn)發(fā)（注意其版本）常見問題（一）Q：報文不轉(zhuǎn)發(fā)。常見問題（一）86Q：Eudemon200告警燈亮的問題。告警燈對那些進行告警：rpu的alarm燈對溫度、風扇、電源異常進行告警。如果fan、pwr1、pwr2的告警燈亮了，rpu的告警燈也會亮就是說電源模塊自己的告警可以反映到主控板pwr告警燈上，主控板pwr告警可以反映到rpu告警燈上。風扇、電源的狀態(tài)可以通過displaydevice命令查看。常見情況：Eudmeon200有兩路電源，如果一開始就只有一路電源折不會產(chǎn)生告警如果一開始有兩路電源，但是后來拔掉一路電源，則告警燈會亮如果有兩路電源，但是有一路沒有開，告警燈會亮告警產(chǎn)生后的查看命令：<bxtt_E200>dispdevice看單板狀態(tài)<bxtt_E200>dispenvironment看環(huán)境信息<bxtt_E200>dispalarmu看告警信息<bxtt_E200>displog看日志信息例子：本溪鐵通接了地線導(dǎo)致電源告警，網(wǎng)上問題常見問題（二）Q：Eudemon200告警燈亮的問題。常見問題（二）87確認問題后對出現(xiàn)異常的上報信息，可以做以下兩個操作：1）在診斷模式下執(zhí)行以下操作：[Quidway-diagnose]tinitnvInitializetheNVRAMsucceeded!清除NVRAM中以往錯誤記錄，以免誤導(dǎo)；0－－－－這個清除將清除dispalarm中的所有記錄都清除2）使用以下命令關(guān)閉告警燈<Quidway>quenchalarmlightrpu－－－－Eudemon2000313（包括）之后才可以使用備注：如何進入診斷模式：sys模式下輸入下劃線“_”回車即可。常見問題（二）續(xù)常見問題（二）續(xù)88Q：關(guān)于主板接口的使用問題。Eudemon200主控板接口轉(zhuǎn)發(fā)性能高，建議使用Eudemon1000主控板接口轉(zhuǎn)發(fā)性能低，不建議使用常見問題（三）Q：關(guān)于主板接口的使用問題。常見問題（三）89Q：EU100-VRP3.30-0316.01(07)與軟交換配合無法正常實現(xiàn)NATH.323ALG功能的問題EU100-VRP3.30-0316.01(07)與軟交換配合實現(xiàn)H.323ALG功能，下接麗臺可視電話通信時，出現(xiàn)話路雙不通情況。Eudemon100去掉NAT功能，做路由器時使用可視電話正常。常見問題（四）Q：EU100-VRP3.30-0316.01(07)與軟交90Q：Eudemon0324/0322版本L2tp問題Eudemon200作為LNS服務(wù)器，在配置了多個L2tpGroup的情況下目前不支持精確匹配功能，即如果l2tpGroup1沒有配置remote信息，則所有的登陸請求將都匹配l2tpGroup1，而不是根據(jù)remote名和域名進行精確匹配。正確的匹配算法是應(yīng)該先匹配remote名和域名都相同的l2tpGroup組，如果不存在則匹配remote名相同的l2tpGroup組，如果還不存在則看l2tpGroup1是否配置了remote名，如果沒有配置則匹配l2tpGroup1如果配置了則返回匹配失敗，用戶將不能登錄。常見問題（五）Q：Eudemon0324/0322版本L2tp問題常見問題91Q：使用console登錄eudemon出現(xiàn)與遠程連接斷開但是console無法操作的情況，處理方法：

0313（包括）之前版本，使用console登錄eudemon后telent遠程主機。有可能出現(xiàn)與遠程連接斷開但是console無法操作的情況，處理方法：1、等待超時2、ctrl+k

常見問題（六）常見問題（六）92Q：NAT轉(zhuǎn)換常見問題

Eudmeon200做NATserver時候是使用訪問列表方式運行外網(wǎng)（untrust區(qū)域）訪問內(nèi)網(wǎng)的server（trust區(qū)域），這個時候訪問列表使用的地址是NATSERVER公網(wǎng)地址還是私網(wǎng)地址呢？私網(wǎng)地址。常見問題（七）Q：NAT轉(zhuǎn)換常見問題

常見問題（七）93Q：E1000不支持l2tp計劃4月支持常見問題（八）Q：E1000不支持l2tp常見問題（八）94Q：Eudemon200FTP注意事項使用工具Filezille傳輸程序不成功，使用命令行可以成功。FTPserverenable#

local-userhuaweipasswordsimplehuaweilocal-userhuaweiservice-typeftplocal-userhuaweilevel3－－－這點和路由器不同，如果不設(shè)置級別3是無法正常上傳下載數(shù)據(jù)

local-userhuaweiftp-directoryflash:例如在trustftp登錄到Eudmeon，必須設(shè)置允許用戶訪問local區(qū)域，方法：1、firewallinterzonelocaltrust―――配置命令允許用戶雙向訪問2、或者允許單向訪問配置detectftp命令，允許反相數(shù)據(jù)通過3、最簡單就是使用firepacketdefaultpermitall，使用該命令后注意根據(jù)客戶需求進行相應(yīng)的訪問控制常見問題（九）Q：Eudemon200FTP注意事項常見問題（九）95第二章Eudemon邊界會話控制器

1.NGN承載網(wǎng)改造需求分析2.ALG/PROXY工作原理介紹3.Eudemon2000系列規(guī)格介紹4.Eudemon2000系列典型配置案例華為產(chǎn)品維護資料96第二章Eudemon邊界會話控制器 1.NGN承載網(wǎng)NGN網(wǎng)絡(luò)結(jié)構(gòu)3G業(yè)務(wù)管理網(wǎng)絡(luò)控制核心交換邊緣接入固定SoftX30003GAccessAMG5000IAD系列BroadbandAccessPSTNTMG8010SG7000PLMNUniphoneSIP/H.323PhoneSoftX3000分組核心網(wǎng)U-NICAAppServerPolicyServeriOSSVideoGWU-PathPOTSUMG89003G終端UMG8900MRS60002G終端INNGN網(wǎng)絡(luò)結(jié)構(gòu)3G業(yè)務(wù)管理網(wǎng)絡(luò)控制核心交換邊緣接入固定Sof97需求根源企業(yè)網(wǎng)駐地網(wǎng)私網(wǎng)軟交換公網(wǎng)軟交換公網(wǎng)？？VPN專網(wǎng)公網(wǎng)軟交換NGN專網(wǎng)問題1用戶接入方式日趨多樣化、復(fù)雜化，軟交換位于公網(wǎng)，如何發(fā)展企業(yè)/駐地等私網(wǎng)用戶？問題2運營商自建IP城域網(wǎng)，規(guī)模放號如何解決IP地址緊缺問題？問題3NGN采用專網(wǎng)搭建，軟交換設(shè)置私有地址域，終端如何注冊到軟交換？需求根源企業(yè)網(wǎng)駐地網(wǎng)私網(wǎng)軟交換公網(wǎng)軟交換公網(wǎng)？？VPN98從需求根源中我們會遇到的各種問題私網(wǎng)穿越問題私網(wǎng)終端管理問題IP超市/集團用戶業(yè)務(wù)開展問題QOS問題帶寬、業(yè)務(wù)盜用問題軟交換安全問題從需求根源中我們會遇到的各種問題私網(wǎng)穿越問題991、私網(wǎng)穿越問題SoftxNATFirewallNGN終端NGN專網(wǎng)企業(yè)網(wǎng)企業(yè)網(wǎng)NGN終端終端側(cè)采用私網(wǎng)地址SoftSwitch側(cè)采用私網(wǎng)地址需要解決私網(wǎng)地址環(huán)境下基本視頻、語音功能：不同企業(yè)地址域重復(fù)NGN專網(wǎng)地址域與企業(yè)地址域重復(fù)IAD終端如何注冊到SoftSwitchIAD終端主動呼叫外網(wǎng)用戶在NAT后的IAD終端接受來自外網(wǎng)的呼叫1、私網(wǎng)穿越問題SoftxNATFirewallNGN終端N1002、私網(wǎng)終端管理問題SoftxNATFirewallNGN終端NGN專網(wǎng)企業(yè)網(wǎng)企業(yè)網(wǎng)NGN終端需要解決私網(wǎng)地址環(huán)境下對終端的可管理性：解決IAD終端與IADMS之間的注冊問題需要支持IADMS對IAD終端的狀態(tài)查詢需要支持IADMS對IAD終端進行配置需要支持統(tǒng)一升級IAD終端軟件終端側(cè)采用私網(wǎng)地址IADMS采用私網(wǎng)地址IADMS2、私網(wǎng)終端管理問題SoftxNATFirewallNGN終1013、IP超市/集團用戶業(yè)務(wù)開展問題SoftxNATFirewallNGN終端NGN專網(wǎng)話吧企業(yè)網(wǎng)NGN終端需要解決私網(wǎng)地址環(huán)境下IP超市等業(yè)務(wù)的可運營性：通過話務(wù)臺進行話單管理，計費結(jié)算等功能話務(wù)臺的呼叫控制、總機服務(wù)功能，如電話轉(zhuǎn)接、免打擾等功能U-Path話務(wù)臺對IPCentrex用戶進行集中管理UPath采用私網(wǎng)地址SoftX采用私網(wǎng)地址IP話務(wù)臺3、IP超市/集團用戶業(yè)務(wù)開展問題SoftxNATFirew1024、QOS問題匯接POP用戶駐地網(wǎng)IAD骨干POP語音視訊數(shù)據(jù)流PEPEMPLSVPN語音VPN視頻VPN數(shù)據(jù)VPN目前網(wǎng)絡(luò)缺乏對語音、視頻、數(shù)據(jù)等業(yè)務(wù)進行劃分的能力承載網(wǎng)的QOS問題：4、QOS問題匯接POP用戶駐地網(wǎng)IAD骨干POP語音視訊數(shù)1035、帶寬、業(yè)務(wù)盜用問題業(yè)務(wù)盜用：NGN終端用戶之間可直接互通。終端用戶間可能不經(jīng)過SoftSwitch直接進行互通：比如先通過SoftSwitch得到對方號碼對應(yīng)的IP地址，然后直接呼叫該地址。帶寬盜用：用戶建立連接協(xié)商的帶寬是64K，但實際可能使用超過這個帶寬。城域網(wǎng)Internet用戶Internet用戶IADIADSoftx帶寬盜用：沒有帶寬限制，可以多使用點帶寬。業(yè)務(wù)盜用：NGN終端始終是連通的，沒有呼叫，也能夠通信。5、帶寬、業(yè)務(wù)盜用問題業(yè)務(wù)盜用：NGN終端用戶之間可直接互通1046.1、軟交換安全問題SoftSwitch直接對終端可見，終端可以直接訪問到SoftSwitch。需要解決對SoftSwitch的流量攻擊問題。大量語音業(yè)務(wù)無關(guān)報文：在接入PCPhone用戶的時候，PC可能發(fā)出大量語音無關(guān)報文，如ICMP相關(guān)報文，NetBiosoverTCP/IP的相關(guān)報文；影響SoftSwitch對正常報文的處理。大量語音相關(guān)報文：在無意中將測試設(shè)備接入NGN網(wǎng)絡(luò)，導(dǎo)致SoftSwitch根本無法處理正常報文，引起全網(wǎng)癱瘓；或者是接入了發(fā)大量信令報文的黑客程序，也將導(dǎo)致全網(wǎng)癱瘓；NGN核心網(wǎng)PCPhonePCPhone特殊設(shè)備IADSoftx通過設(shè)備過濾規(guī)則，防火墻設(shè)備可以阻斷語音無關(guān)的報文，但無法阻斷語音相關(guān)的報文PC用戶發(fā)出大量語音無關(guān)報文特殊設(shè)備發(fā)出大量的信令報文SoftSwitch的處理能力是有限制的6.1、軟交換安全問題SoftSwitch直接對終端可見，終1056.2、軟交換安全問題需要解決對SoftSwitch的非法信令報文的攻擊?；涡帕顖笪墓簦簮阂獬绦騻卧煨帕顖笪?，報文各個區(qū)段內(nèi)容隨意填寫，無法正常解碼；浪費SoftSwitch的處理資源，還有可能導(dǎo)致SoftSwitch內(nèi)存泄漏等問題。狀態(tài)錯誤的信令報文：存在IAD等設(shè)備設(shè)計不完善，發(fā)出錯誤信令報文的情況，浪費SoftSwitch的處理資源；NGN核心網(wǎng)PCPhonePCPhone特殊設(shè)備IADSoftx防火墻設(shè)備無法阻斷語音相關(guān)的報文惡意程序偽造信令報文SoftSwitch的處理能力是有限制的6.2、軟交換安全問題需要解決對SoftSwitch的非法信1066.3、軟交換安全問題需要防止NGN核心網(wǎng)被黑客入侵其他設(shè)備如果采用公網(wǎng)地址，將導(dǎo)致NGN核心網(wǎng)安全性進一步降低其他如TG等設(shè)備同樣存在被流量攻擊等風險；采用通用操作系統(tǒng)的設(shè)備存在被入侵的可能。在一個設(shè)備被入侵后，該設(shè)備將成為繼續(xù)入侵的跳板，會對NGN網(wǎng)運營造成重大影響。NGN核心網(wǎng)PCPhonePCPhoneIADIADSoftx黑客可能來自世界各地網(wǎng)管U-NICAAppServerPolicyServeriOSSMRSIN黑客6.3、軟交換安全問題需要防止NGN核心網(wǎng)被黑客入侵NGN核107第二章Eudemon邊界會話控制器

1.NGN承載網(wǎng)改造需求分析2.ALG/PROXY工作原理介紹3.Eudemon2000系列規(guī)格介紹4.Eudemon2000系列典型配置案例華為產(chǎn)品維護資料108第二章Eudemon邊界會話控制器 1.NGN承載網(wǎng)NATALG原理NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換，<私有地址＋端口><公有地址＋端口>ALG：ApplicationLayerGateway，應(yīng)用層網(wǎng)關(guān)。部分應(yīng)用協(xié)議在報文內(nèi)部攜帶了IP地址地址信息。一般的NAT設(shè)備只處理IP層的信息，不處理報文內(nèi)部的內(nèi)容，ALG設(shè)備需要對H323/SIP/MGCP等協(xié)議的數(shù)據(jù)區(qū)的私網(wǎng)IP地址信息進行特殊處理。IPHeaderTCP/UDPHeaderTCP/UDP數(shù)據(jù)區(qū)而軟交換使用的SIP/H.323/MGCP/H.248等協(xié)議，在數(shù)據(jù)區(qū)攜帶了私網(wǎng)IP地址信息，需要防火墻/NAT設(shè)備做特殊處理普通NAT設(shè)備只處理IP頭以及TCP/UDP頭，不處理攜帶的數(shù)據(jù)NATALG原理NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換，<私有地址＋端口>109PROXY機制－信令流信令PROXY終端：終端只能看到PROXY，注冊的地址填的是PROXY的地址；PROXY將IP地址等信息修改后轉(zhuǎn)給SoftSwitch進行處理。SoftSwitch：PROXY就是用戶。用戶作為被叫時的呼叫請求都會先發(fā)給E2000，E2000經(jīng)過信令處理后再轉(zhuǎn)發(fā)給被叫用戶Eudemon通過對信令的處理和分析，得到本次會話的地址變換情況，帶寬需求等QoS信息以及通過會話狀態(tài)信息來控制媒體流的通過與關(guān)閉，起到網(wǎng)絡(luò)保護，防帶寬盜用等Eudemon2000IAD配置的SoftSwitch為E2000的地址SoftSwitch上看到的用戶來自于Eudemon2000對IAD及SoftSwitch的信息分別作修改并轉(zhuǎn)發(fā)PROXY機制－信令流信令PROXYEudemon2000I110PROXY機制－媒體流媒體RELAY所有的媒體流都經(jīng)過PROXY進行轉(zhuǎn)發(fā)。因此PROXY可以提供QOS重標記、CAC等功能。Eudemon2000分配自己的IP地址和端口分別作為內(nèi)網(wǎng)用戶和外網(wǎng)用戶RTP的接收地址和端口，通過這種方式媒體流都能得到正確轉(zhuǎn)發(fā)、QoS保證與安全控制IPCentrex業(yè)務(wù)的媒體流可以不經(jīng)過Relay，直接互通Eudemon2000在私網(wǎng)IAD上看到對端地址為E2000的入接口地址在公網(wǎng)IAD上看到的私網(wǎng)IAD地址為E2000的出接口地址對私網(wǎng)IAD及公網(wǎng)IAD的報文分別作修改并轉(zhuǎn)發(fā)私網(wǎng)IAD公網(wǎng)IAD入方向出方向PROXY機制－媒體流媒體RELAYEudemon2000在111實現(xiàn)過程

1、信令代理過程:參見文檔2、媒體流轉(zhuǎn)發(fā)過程分配媒體端口建立rtpsession表項指導(dǎo)轉(zhuǎn)發(fā)，例如：上行：[6:133090:14550]----->[00:1455056:50000]下行：[56:5000000:14550]----->[0:145506:13309]

媒體流nat穿越機制：通過首包學習實現(xiàn)過程

112首包學習（一）首包學習前媒體流轉(zhuǎn)發(fā)存在的問題：如以下組網(wǎng)，完成信令交互后，對終端1，eudemon會根據(jù)信令建立rtpsession如下：上行：終端1私網(wǎng)地址eudemon內(nèi)網(wǎng)側(cè)地址-------eudemon外網(wǎng)側(cè)地址外網(wǎng)地址下行：外網(wǎng)地址eumedon外網(wǎng)側(cè)地址--------eudemon內(nèi)網(wǎng)側(cè)地址終端1私網(wǎng)地址若按以上過程轉(zhuǎn)發(fā)，存在的問題是：

由于下行session表項中記錄的是終端1私網(wǎng)地址，該地址對eudemon1而言不可達，因此終端1收不到對端的媒體流。同理，對終端2也會有同樣的現(xiàn)象。eumedia1終端1NAT1終端2NAT2eumedia2RTPRTPRTPRTP首包學習（一）首包學習前媒體流轉(zhuǎn)發(fā)存在的問題：eume113首包學習（二）首包學習后媒體流轉(zhuǎn)發(fā)問題的解決：

以上示例中,eudemon1內(nèi)網(wǎng)側(cè)端口只要監(jiān)聽到第一個發(fā)給它的RTP包，就將session表項中的終端私網(wǎng)地址修改為該包的地址：上行：終端1NAT后地址eudemon內(nèi)網(wǎng)側(cè)地址-------eudemon外網(wǎng)側(cè)地址外網(wǎng)地址下行：外網(wǎng)地址eumedon外網(wǎng)側(cè)地址--------eudemon內(nèi)網(wǎng)側(cè)地址終端1NAT后地址

也就是說：只要終端1發(fā)出第一個媒體流包，eudemon就會學到它接收媒體流nat后的地址，從而實現(xiàn)媒體流的nat穿越eumedia1終端1NAT1終端2NAT2eumedia2RTPRTPRTPRTPRTPRTPRTP從這學到了地址首包學習（二）首包學習后媒體流轉(zhuǎn)發(fā)問題的解決：eume114ALG/Proxy工作機理比較（一）

NATALG方式只適于解決私網(wǎng)地址穿越問題，QOS、安全等問題無法解決。NATALG設(shè)備需要放置在私網(wǎng)、公網(wǎng)交界處，一般位于企業(yè)出口；而PROXY方式可以放置在IP可達的任意位置，組網(wǎng)位置不受限。一般情況下，NATALG設(shè)備無法多個企業(yè)共用。NATALG方式對功能影響較小，因此NATALG方式可作為PROXY組網(wǎng)方式的一個有益補充。企業(yè)網(wǎng)城域網(wǎng)Firewall/NATIAD企業(yè)網(wǎng)Firewall/NATRegisterResponseRegisterRequestNATwithALGFunctionNATwithALGFunctionIAD軟交換ALG/Proxy工作機理比較（一）NATALG方式只適115為何PROXY方式對H323處理有困難：與SIP、MGCP不同，H323中的Q931、H.245信令采用了TCP協(xié)議TCP采用三次握手，具有方向性無法透過NAT設(shè)備直接向私網(wǎng)終端發(fā)起TCP連接來自外網(wǎng)的TCP的SYN報文無法穿越NAT設(shè)備私網(wǎng)IAD公網(wǎng)IADNAT設(shè)備SYNSYN＋ACKACK設(shè)備2設(shè)備1XTCPSYN報文TCP采用三次握手機制，具有方向性必須在NAT內(nèi)部添加客戶端軟件，才有可能解決PROXY方式下H323的穿越ALG/Proxy工作機理比較（二）為何PROXY方式對H323處理有困難：來自外網(wǎng)的TCP的S116為何PROXY方式需要收發(fā)端口一致：PROXY是學習型設(shè)備無法透過NAT設(shè)備主動向私網(wǎng)終端的接收端口發(fā)送報文語音/視頻是有方向性的，分為“說”和“聽”兩個方向；PROXY可以學習到私網(wǎng)終端發(fā)端口的NAT后的地址，但無法學習到收端口NAT轉(zhuǎn)換后的地址，因為“聽”方向并不發(fā)送報文。當發(fā)方向的報文到達Proxy設(shè)備時，Proxy就可以學習到發(fā)方向的NAT后的地址信息。如果收發(fā)端口不統(tǒng)一，報文就發(fā)不回去。私網(wǎng)IADNAT設(shè)備在NAT內(nèi)部添加客戶端軟件，可以解決PROXY方式下收發(fā)端口一致的問題主動發(fā)(說)被動收(聽)Eudemon2000發(fā)：NAT后的報文ALG/Proxy工作機理比較（三）為何PROXY方式需要收發(fā)端口一致：當發(fā)方向的報文到達Pro117ALG方式PROXY方式設(shè)備所處位置受限：私/公網(wǎng)邊緣不限：IP可達對原有網(wǎng)絡(luò)影響需要添加路由不改動對終端的要求不改動需要收發(fā)端口一致對H323協(xié)議支持存在難點對SoftX的要求不改動不改動對NAT設(shè)備的要求需要替代原來的NAT設(shè)備不改動多次NAT支持一般不支持支持UPATH部分支持，不支持呼叫控制支持IADMS不支持支持業(yè)務(wù)劃分一般不支持支持防止業(yè)務(wù)盜用不支持支持防止帶寬盜用不支持支持非法信令報文檢測不支持（無相應(yīng)狀態(tài)）支持ALG/Proxy工作機理比較（四）ALG方式PROXY方式設(shè)備所處位置受限：私/公網(wǎng)邊緣不限：118ALG、PROXY應(yīng)用場合在有如下需求之一時，建議采用PROXY方式解決：位置要求在城域匯聚層，需要接入Internet語音用戶NGN采用專網(wǎng)構(gòu)建，SoftSwitch采用私有地址域企業(yè)用戶原有的NAT設(shè)備不能替換，原有網(wǎng)絡(luò)路由不能改動可能穿越多個NAT設(shè)備需要支持IADMS，需要支持IP話務(wù)臺功能提供語音、視頻報文的QOS標記防止帶寬盜用、防止業(yè)務(wù)盜用需要提供非法信令報文檢測功能在如下情況時，建議采用ALG方式解決：位置處于企業(yè)出口（NAT設(shè)備作為網(wǎng)關(guān)），SoftSwitch位于公網(wǎng)（相對）大量采用H.323協(xié)議收發(fā)端口無法一致ALG、PROXY應(yīng)用場合在有如下需求之一時，建議采用PRO119第二章Eudemon邊界會話控制器

1.NGN承載網(wǎng)改造需求分析2.ALG/PROXY工作原理介紹3.Eudemon2000系列規(guī)格介紹4.Eudemon2000系列典型配置案例華為產(chǎn)品維護資料120第二章Eudemon邊界會話控制器 1.NGN承載網(wǎng)Eudemon2000系列Eudemon2100Eudemon2200Eudemon2300項目

技術(shù)參數(shù)與性能指標Eudemon2100Eudemon2200Eudemon2300電源單電源雙電源，支持交/直流雙電源，支持交/直流接口支持1FE接口卡，最大支持4個FE固定2FE接口，2個擴展插槽，固定3GE，兩個擴展插槽整機處理能力100Mbps400Mbps2Gbps并發(fā)呼叫數(shù)（G.711語音）并發(fā)呼叫數(shù)：200BHCA：20K并發(fā)呼叫數(shù)：1000BHCA：100K并發(fā)呼叫數(shù)：10KBHCA：200K支持協(xié)議H.323/SIP/MGCP/IADMS/話務(wù)臺/H.248Eudemon2000系列Eudemon2100Eude121Eudemon2000系列特性（一）工作模式和組網(wǎng)方式：支持NGN多媒體業(yè)務(wù)穿越NAT/防火墻支持單域/多域模式支持代理多個軟交換支持在駐地網(wǎng)、企業(yè)網(wǎng)中應(yīng)用，接入Internet用戶和其它運營商的用戶支持在城域網(wǎng)匯聚層的應(yīng)用，實現(xiàn)多個企業(yè)網(wǎng)、駐地網(wǎng)跨NAT通信支持基于會話流的NAT處理，接入多個企業(yè)時，企業(yè)IP地址可以重復(fù)NGN專網(wǎng)的地址域可以與企業(yè)地址域重復(fù)QoS：支持流分類、流量控制、擁塞管理支持基于Diff-Serv的報文優(yōu)先級重標記安全：防止業(yè)務(wù)盜用和帶寬盜用支持ACL過濾規(guī)則支持根據(jù)資源情況對呼叫進行控制根據(jù)會話狀態(tài)而允許相應(yīng)的報文通過（針孔式防火墻）Eudemon2000系列