没有合适的资源?快使用搜索试试~ 我知道了~
首页H3C部署安全防火墙系统
H3C部署安全防火墙系统
5星 · 超过95%的资源 需积分: 34 32 下载量 124 浏览量
更新于2023-07-10
收藏 3.12MB DOC 举报
H3C部署安全防火墙系统 详细的描述了H3C防火墙的特性和功能,是学习了解H3C防火墙很好的资料.
资源详情
资源推荐
目 录
第一章 防火墙技术介绍................................1
第二章 SecPath 防火墙体系结构..................9
第三章 安全区域..........................................21
第四章 访问控制列表 ACL.........................26
第五章 包过滤技术......................................33
第六章 地址转换(NAT)..........................45
第七章 报文统计与攻击防范......................51
第八章 运行模式..........................................70
第九章 防火墙典型组网及常见故障诊断..81
第十章 SecPath 防火墙特性测试实验指导 87
第一章 防火墙技术介绍
1.1 课程目标:
学习完本课程,您应该能够:
了解网络安全基本概念
掌握防火墙必备的技术范围
1.2 网络安全概述
随着网络技术的普及,网络攻击行为出现的越来越频繁。通过各种攻击软件,只要具
有一般计算机知识的初学者也能完成对网络的攻击。各种网络病毒的泛滥,也加剧了网络
被攻击的危险。目前,Internet 网络上常见的安全威胁分为一下几类。
非法使用:资源被未授权的用户(也可以称为非法用户)或以未授权方式(非法权限)使
用。例如:攻击者通过猜测帐户和密码的组合,从而进入计算机系统以非法使用资源。
拒绝服务:服务器拒绝合法永福正常访问信息或资源的请求。例如,攻击者短时间内使用
大量数据包或畸形报文向服务器发起连接或请求回应,致使服务器负荷过重而不能处理合
法任务。
1
信息盗窃:攻击者不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
数据篡改:攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚
假消息等操作,而使数据的一致性被破坏。
因此:
网络安全是 Internet 必须面对的一个实际问题
网络安全是一个综合性的技术
网络安全具有两层含义:
保证内部局域网的安全(不被非法侵入)
保护和外部进行数据交换的安全
网络安全技术需要不断地完善和更新
1.3 网络安全关注的范围
1.3.1 网络安全关注点
作为负责网络安全的管理人员主要关注(并不局限于)以下 8 个方面:
1) 保护网络物理线路不会轻易遭受攻击
2) 有效识别合法的和非法的用户(AAA)
3) 实现有效的访问控制(ACL)
4) 保证内部网络的隐蔽性(NAT)
5) 有效的防伪手段,重要的数据重点保护(VPN)
6) 对网络设备、网络拓扑的安全管理(防火墙集中管理)
7) 病毒防范(蠕虫病毒智能防范)
8) 提高安全防范意识
1.3.2 网络安全设备的分类
为了有效地实现网络安全的目的,致力于网络安全的厂家已经生产了如下安全设备:
1) 防火墙
2) VPN 私有安全通道设备
3) IPS/IDS 入侵防御/检测设备
4) 防毒墙
5) 防水墙
6) UTM 统一威胁管理设备(Unified Threat Management
7) 应用网管
8) 内容过滤
9) 垃圾邮件过滤
10) 网页过滤
11) 网闸
等设备。伴随着网络安全技术的飞跃发展,将会相继有新的网络安全设备问世。
1.4 防火墙的必备技术
针对网络存在的各种安全隐患,防火墙必须具有如下安全特性:
1) 网络隔离及访问控制:能够有效防止对外公开的服务器被黑客用于控制内网的一
个跳板。
2) 攻击防范:能够保护网络免受黑客对服务器、内部网络的攻击。
3) 地址转换:在解决网络地址不足的前提下实现对外的网络访问,同时能够实现对
2
外隐藏内部网络地址和专用服务器。
4) 应用层状态监测:可以实现单向访问。
5) 身份认证:可以确保资源不会被未授权的用户(也可以称为非法用户)或以授权
方式(非法权限)使用。例如,攻击者通过猜测帐号和密码的组合,进入计算机
系统非法使用资源的行为。
6) 内容过滤:能够过滤掉内部网络对非法网站/色情网站的访问,以及阻止通过邮
件发送机密文件所造成的泄密行为。
7) 安全管理:主要指日志审计和防火墙的集中管理。
1.4.1 网络隔离与访问控制
防火墙的主要作用是实现网络隔离和访问控制。
防火墙从安全管理的角度出发,一般将设备本身划分为不同的安全区域,通过将端口
和网络设备接到不同的区域里,从而达到网络隔离的目的:
1) 不受信区域:一般指的是 Internet,主要攻击都来自于这个区域。
2) 受信区域:一般指的是内网区域,这个区域是可控的。
3) DMZ 区域:放置公共服务器的区域,一般情况下,这个区域接受外部的访问,但
不会主动去访问外部资源。
防火墙通常使用 ACL 访问控制列表、ASPF 应用层状态检测包过滤的方法来实现访问控
制的目的。
图 1-1 通过一个实际网络典型案例表示了局域网通过防火墙与互联网的连接,电子邮
件服务器接在 DMZ 区域接受内外部的访问。图中用语言描述了防火墙所实现的网络
隔离和访问控制的功能。
防火墙
交换机
受信区域 不受信区域
DMZ区
受信区域->DMZ区,可以
访问POP3和SMTP服务
DMZ-> 受信区域,不可访
问任何服务
不受信区域->DMZ区,可
以访问POP3和SMTP服务
DMZ-> 不受信区域,可以
访问任何服务
不受信区域和受信区域
之间不能互访
EMAIL服务器
3
图 1-1
1.4.2 攻击防范
防火墙主要关注边界安全,因此一般防火墙提供比较丰富的安全攻击防范的特性:
图 1-2
1) DOS 拒绝服务攻击防范功能
包括对诸如 ICMP Flood、UDP Flood、SYS Flood、分片攻击等 Dos 拒绝服务攻击
方式进行检测,丢弃攻击报文,保护网络内部的主机不受侵害。
2) 防止常见网络层攻击行为
防火墙一般应该支持对 IP 地址欺骗、WinNuke、Land 攻击、Tear Drop 等常见
的网络攻击行为,主动发现丢弃报文。
WinNuke 也称为“蓝色炸弹”,它是导致你所与之交流用户的 Windows 操作系统突
然的崩溃或终止。“蓝色炸弹”实际上是一个带外传输网络数据包,其中包括操作系统无法
处理的信息;这样便会导致操作系统提前崩溃或终止。
land 攻击是一种使用相同的源和目的主机和端口发送数据包到某台机器的攻击。
结果通常使存在漏洞的机器崩溃。
Tear drop 类的攻击利用 UDP 包重组时重叠偏移(假设数据包中第二片 IP 包的偏移
量小于第一片结束的位移,而且算上第二片 IP 包的 Data,也未超过第一片的尾部,这就是
重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉。
3) 针对畸形报文的防范
通过一些畸形报文,如果超大的 ICMP 报文,非法的分片报文,TCP 标志混乱的报
文等,可能会造成比较验证的危害,防火墙应该可以识别出这些报文。
4) 针对 ICMP 重定向、不可达等具有安全隐患的报文应该具有过滤、关闭的能力。
1.4.3 地址转换(NAT)
地址转换是在 IP 地址日益短缺的情况下提出的。
一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的 IP 地址,为
了到达所有的内部主机都可以连接 Internet 网络的目的,可以使用地址转换。
地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安
全保护技术。
防火
墙
受信区域
不受信区域
DoS攻击
黑客
正常用户
阻止
4
地 址 转 换 可 以 按 照 用 户 的 需 要 , 在 内 部 局 域 网 内 部 提 供 给 外 部
FTP、WWW、Telnet 服务。
图 1-3
防火墙同路由器一样,必须具备 NAT 地址转换功能,因此在 NAT 的细节上必须具备:
1) 支持 NAT/PAT,支持地址池;
2) 支持策略 NAT,根据不同的策略进行不同的 NAT;
3) 支持 NAT server 模式,可以向外映射内部服务器;
4) 提供端口级别的 NAT server 模式,可以将服务器的端口映射为外部的一个端口,不
开放服务器的所有端口,增加服务器的安全性。
5) 支 持 多 种 ALG : 包 括 H323/MGCP/SIP/H248/RTSP/HWCC , 还 支 持
ICMP、FTP、DNS、PPTP、NBT、ILS 等协议。
1.4.4 应用层状态检测包过滤(ASPF)
aspf(application specic packet lter)是针对应用层的包过滤,即基于状
态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络的安全策略。
aspf 能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿
过。
为保护网络安全,基于 acl 规则的包过滤可以在网络层和传输层检测数据包,防止
非法入侵。aspf 能够检测应用层协议的信息,并对应用的流量进行监控。
图 1-4
防火墙
WEB服务器
10.1.1.0/24
10.1.1.
1 210.190.100.23
10.1.1.100 → 210.190.100.23
10.1.1.100 ← 210.190.100.23
动态创建和删除过滤规则监视通信过程中的报文
5
剩余63页未读,继续阅读
fly999999
- 粉丝: 0
- 资源: 1
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- VMP技术解析:Handle块优化与壳模板初始化
- C++ Primer 第四版更新:现代编程风格与标准库
- 计算机系统基础实验:缓冲区溢出攻击(Lab3)
- 中国结算网上业务平台:证券登记操作详解与常见问题
- FPGA驱动的五子棋博弈系统:加速与创新娱乐体验
- 多旋翼飞行器定点位置控制器设计实验
- 基于流量预测与潮汐效应的动态载频优化策略
- SQL练习:查询分析与高级操作
- 海底数据中心散热优化:从MATLAB到动态模拟
- 移动应用作业:MyDiaryBook - Google Material Design 日记APP
- Linux提权技术详解:从内核漏洞到Sudo配置错误
- 93分钟快速入门 LaTeX:从入门到实践
- 5G测试新挑战与罗德与施瓦茨解决方案
- EAS系统性能优化与故障诊断指南
- Java并发编程:JUC核心概念解析与应用
- 数据结构实验报告:基于不同存储结构的线性表和树实现
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功