1 時間段通路控制清單(ACL): 功能需求及組網說明:
『組網需求』: 要求内部使用者,在8:00-12:00和13:30-18:00可以出公網,其它的時間都不可以出公網 『配置執行個體』: 1. 在系統視圖下配置時間段: [Secpath] time-range huawei1 08:00 to 18:00 daily [Secpath] time-range huawei2 12:00 to 13:30 daily 2. 配置進階通路控制清單: [Secpath] acl number 3001 [Secpath-acl-adv-3001] rule deny ip time-range huawei2 [Secpath-acl-adv-3001] rule permit ip time-range huawei1 [Secpath-acl-adv-3001] rule deny ip 3. 進入内網接口視圖,下發時間段ACL規則: [Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound 4.對于其它的規則配置請檢視操作手冊。 『注意事項』: 1、在同一個名字下可以配置多個時間段,這些時間段是“或”關系。 2、在SECPATH系列産品中,隻有SECPATH10F是不可以儲存系統時間的,重新開機裝置後,時間就會丢失。 3、要将基于MAC位址的通路控制清單應用到接口上,防火牆必須工作在透明模式下,否則系統會提示“Please firstly active the Transparent mode !”。 2 位址轉換(NAT): 『配置執行個體』: 1.配置域名與外部位址、端口号、協定類型之間的映射。 [Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp [Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp 2.相關NAT位址轉換及映射配置,請參考手冊。 『注意事項』: 1、位址池轉換方式是實作多對多位址轉換 2、NAPT的轉換方式是多對一位址轉換。 3、NAT ALG是解決特殊協定穿越NAT的一種常用方式,此種方式對載荷中的IP位址和端口号進行替換,進而實作對該協定的透明中繼。目前VRP的NAT ALG支援PPTP、DNS、FTP、ILS、NBT、SIP、H.323等協定。 3 防火牆特性: 功能需求及組網說明
3.1 透明模式 『功能說明』: 當防火牆工作在透明模式時,防火牆表現為透明網橋,但防火牆和網橋存在不同,因為防火牆收到IP封包後,會到上層進行相關過濾處理,此外還可防攻擊檢查,如ACL規則檢查、ASPF狀态過濾、防攻擊檢查、流量監控等功能。而網橋是不行的。 『配置執行個體』: 1. 配置防火牆工作在透明模式:(必配) [Secpath] firewall mode transparent 2. 配置防火牆的管理IP位址,此位址可用在TELNET、SNMP等管理中。 [Secpath] firewall system-ip 192.168.1.1 255.255.255.0 3. 配置防火牆對未知目的MAC位址的IP封包的處理方式。預設情況單點傳播采用“arp”方式處理,廣播群組播都是采“drop”方式處理。 [Secpath] firewall unknown-mac flood 4. 配置其它參數,請參考手冊。 『注意事項』: 1、當透明模式防火牆在某接口接收到廣播幀或多點傳播幀時,會向其它接口進行轉發。(查找MAC位址表成功後,轉發) 2、在同一個實體網段上,透明模式防火牆對此幀進行過濾,不轉發該幀。(查找MAC位址表成功後,不轉發) 3、目的未知的MAC位址幀,透明模式防火牆會向除發送該幀的源接口外的其它所有接口進行轉發。(查找MAC位址表失敗後,轉發) 4、基于MAC位址的通路控制清單,隻能在透明模式下配置。 5、在透明模式下,MAC位址表老化的時間是300秒。 3.2 ASPF配置 『組網需求』: 要求内部網絡使用者發起的FTP連接配接的傳回封包,允許其通過防火牆進入内部網絡,其他封包被禁止。例:要求192.168.1.100向10.153.49.41發起FTP連接配接的傳回封包,允許通過SECPATH進入到内部網絡。 『配置執行個體』: 1. 将SECPATH産品預設規則改為“permit”,因為目前VRP3.4-0006的版本預設規則是“deny”。 [Secpath] firewall packet-filter default permit 2. 在配置通路控制清單3333拒絕所有TCP和UDP流量進入内部網絡,通過ASPF來允許傳回的封包(通過臨時通路控制清單來判斷)進入内部網絡。 [Secpath] acl number 3333 [Secpath-acl-adv-3333] rule deny ip 3. 配置ASPF政策來檢測應用層FTP等協定,預設FTP協定的逾時時間為3600秒。 [Secpath] aspf-policy 1 [Secpath-aspf-policy-1] detect ftp 5. 在外網接口上應用ASPF政策,用來檢測内部FTP協定。 [Secpath-GigabitEthernet0/1] firewall aspf 1 outbound 6. 在外網接口上應用通路控制清單3333,用來過濾非FTP協定的封包。 [Secpath-GigabitEthernet0/1] firewall packet-filter 3333 inbound 7. 當ASPF檢測到會話後。 [Secpath] dis aspf sess [ 已建立的會話 ] 會話 源發方 響應方 應用協定 狀态 ----------------------------------------------------------------------- 0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP 『注意事項』: 1、在配置ASPF時,必須和靜态通路控制清單結合使用。 2、在配置傳輸層協定檢測時,對于FTP,H.323這樣的多通道應用層協定,在不配置應用層檢測而直接配置TCP檢測的情況下會導緻連接配接無法建立。 3、當接口同時下發ASPF和ACL政策時,ASPF先生效。 4、目前ASPF可檢測應用層協定包括:ftp、http、h323、smtp、rtsp;傳輸層協定包括:tcp、udp 。 5、此配置也适合在透明模式下使用。 3.3 黑名單 『組網需求』: 要求将内部使用者“192.168.1.254”使用者手動設定成黑名單使用者,并将攻擊的使用者自動加入到黑名單中。 『配置執行個體』: 1. 在系統視圖下使能黑名單功能。 [Secpath] firewall blacklist enable 2. 手動添加“192.168.1.254” 客戶機位址到黑名單表項中。 [Secpath] firewall blacklist 192.168.1.254 timeout 10 (十分鐘後自動解除,不配置 timeout ,将永久有效。) [Secpath]dis firewall blacklist item Firewall blacklist item : Current manual insert items : 1 Current automatic insert items : 0 Need aging items : 1 IP Address Insert reason Insert time Age time(minutes) -------------------------------------------------------------------------- 192.168.1.254 Manual 2006/02/28 11:31:01 10 3. 自動添加客戶位址到黑名單表項的前提是,通過統計攻擊首的資訊。 [Secpath] firewall zone trust [Secpath-zone-trust] statistic enable ip inzone [Secpath-zone-trust] statistic enable ip outzone [Secpath] firewall zone untrust [Secpath-zone-untrust] statistic en ip inzone [Secpath-zone-untrust] statistic en ip outzone 4. 在全局開啟攻擊防範功能。 [Secpath] firewall defend all 『注意事項』: 1、黑名單表項中使用指令行多次配置同一IP位址的表項到黑名單中,則後配置的表項會覆寫原有表項。 2、如果防火牆相關子產品準備向黑名單插入的IP位址已經存在于黑名單之中,則老化時間長的表項會被保留。 3、通過Telnet方式登入防火牆時,如果連續三次輸錯密碼,系統也自動将Telnet用戶端的IP位址添加到黑名單中,并設定老化時間為10分鐘。 4、攻擊防範子產品察覺到特定IP位址的攻擊之後,會将這個IP位址自動插入到黑名單表中。 5、如果将客戶位址加入到黑名單後,所有從客戶機發出的ICMP封包都會被防火牆過濾掉。 3.4 MAC和IP位址綁定 『組網需求』: 要求将客戶機“192.168.1.100”的MAC和IP位址綁定,來避免IP位址假冒攻擊的一種方式。 『配置執行個體』: 1. 配置客戶機“192.168.1.100”的IP位址和MAC位址的綁定。 [Secpath] firewall mac-binding 192.168.1.100 000f-e200-da32 2. 在系統視圖下使能位址綁定功能。 [Secpath] firewall mac-binding enable 3. 檢視綁定資訊。 [Secpath]dis firewall mac-binding item Firewall Mac-binding item(s) : Current items : 1 192.168.1.100 000f-e200-da32 『注意事項』: 1、在配置MAC和IP位址綁定時,同一個MAC位址可以同多個不同的IP位址綁定。 2、如果配置靜态ARP時已經存在相同IP位址的位址綁定關系表項,該靜态ARP将配置失敗,同時傳回提示資訊;如果配置的位址綁定關系中的IP位址已經存在于靜态ARP表中,則靜态ARP表中的表項将被删除。 3、MAC和IP位址綁定對于PPPoE的位址是不起作用的,因為以太幀上面承載的是PPP封包,是以無法進行判斷和處理。 4、當配置MAC和IP位址綁定功能後,下接所有客戶機都必須配置MAC和IP位址綁定,否則不可能過防火牆。 5、如果将PC的IP改為192.168.1.101,此時還可上網。這是因為綁定關系中隻以IP為索引進行查找。不以mac為索引查找。是以隻有當發現IP為 192.168.1.100且其 MAC不是 000f-e200-da32才不能上網。 3.5 Web位址、内容過濾及SQL攻擊防範功能 『組網需求』: 要求“192.168.1.100”不可通路外部的www.163.com、www.sohu.com網址,而且載入“123.txt”檔案過濾掉網頁内容,并将預設的SQL攻擊防範開啟。 『配置執行個體』: 1. 要求參考“ASPF配置”,開啟“HTTP、TCP”檢測,并在“trust和untrust”域中開啟封包統計功能。 2. 在系統視圖分别開啟Web位址、内容過濾功能及SQL注入攻擊防範。 [Secpath] firewall url-filter host enable [Secpath] firewall webdata-filter enable [Secpath] firewall url-filter parameter enable 3. 在系統視圖下配置網址過濾。 [Secpath] firewall url-filter host add deny www.163.com [Secpath] firewall url-filter host add deny www.sohu.com [Secpath] dis firewall url-filter host item-all SN Match-Times Keywords ---------------------------------------------- 1 0 <deny>www.163.com 2 0 <deny>www.sohu.com 4. 在系統視圖下配置WEB内容過濾。 [Secpath] firewall webdata-filter load-file 123.txt [Secpath] dis fir webdata-filter item-all SN Match-Times Keywords ---------------------------------------------- 1 0 gogo 2 0 安全 5. 在系統視圖下配置預設的SQL攻擊防範開啟,也可手動添加。 [Secpath] firewall url-filter parameter add-default [Secpath] dis firewall url-filter parameter item-all SN Match-Times Keywords ---------------------------------------------- 1 0 ^select^ 2 0 ^insert^ 3 0 ^update^ 4 0 ^delete^ 5 0 ^drop^ 6 0 -- 7 0 ' 8 0 ^exec^ 9 0 %27 『注意事項』: 1、開啟Web位址、内容過濾功能及SQL注入攻擊防範功能之前,要先配置ASPF政策,detect http,detect tcp,才能使Web位址和Web内容過濾功能生效。 2、在配置Web位址過濾時,可以設定預設規則,如果規則是“permit”,則配置的過濾表項都是“deny”,反之亦然。 3、目前SECPATH産品支援中英文過濾,對于中文必須通過檔案方式載入。 4、防火牆還提供了對Web中SQL(Structure Query Language,結構化查詢語言)注入攻擊進行防範的功能。目前預設情況下,系統預定義了以下關鍵字:^select^、^insert^、^update^、^delete^、^drop^、--、'、^exec^和%27。 5、目前SECPATH系列産品,路由和透明模式均支援内容過濾。對于web-filter規則,目前可配置2K個,而“*”可比對0~4個字元或2個漢字。 3.6 郵件過濾 『組網需求』: 要求内部向外發送郵件時,對附件檔案名、内容、收件人、主題進行過濾。 『配置執行個體』: 1. 要求參考“ASPF配置”,開啟“HTTP、TCP”檢測功能。 2. 在系統視圖分别開啟attach、content、rcptto、subject相關過濾。 [Secpath] firewall smtp-filter attach enable [Secpath] firewall smtp-filter content enable [Secpath] firewall smtp-filter subject enable 3. 在系統視圖下配置附件檔案名過濾(attach)。 [Secpath] firewall smtp-filter attach add word [Secpath] firewall smtp-filter attach add huawei [Secpath] dis firewall smtp-filter attach item-all SN Match-Times Keywords ---------------------------------------------- 1 0 word 2 0 huawei 4. 在系統視圖下配置内容過濾(content)。 [Secpath] firewall smtp-filter content load-file 123.txt [Secpath] dis firewall smtp-filter content item-all SN Match-Times Keywords ---------------------------------------------- 1 0 安全 2 0 gogo 5. 在系統視圖下配置收件人過濾(rcptto)。 [Secpath] firewall smtp-filter rcptto add deny [email protected] [Secpath] dis firewall smtp-filter rcptto item-all SN Match-Times Keywords ---------------------------------------------- 1 0 <deny>[email protected] 6. 在系統視圖下配置主題過濾(subject)。 [Secpath] firewall smtp-filter subject load-file 456.txt [Secpath] dis firewall smtp-filter subject item-all SN Match-Times Keywords ---------------------------------------------- 1 0 公告 2 0 案例 3 0 安全 4 0 gogo 『注意事項』: 1、 目前可對郵件的附件檔案名(attach)、内容(content)、收件人(rcptto)、主題(subject)進行過濾。 2、 開啟附件檔案名(attach)、内容(content)、收件人(rcptto)、主題(subject)過濾,要先配置ASPF政策,detect smtp,detect tcp,才能使以上過濾功能生效。 3、 在配置ASPF時,ASPF和ACL分别應下發在内網接口的inbound和outbound方向。 4、 是發送郵件協定,是以在發送郵件時進行相關的過濾。SMTP 3.7 攻擊防範 『組網需求』: 要求防火牆的攻擊防範功能能夠檢測出多種類型的網絡攻擊,并能采取相應的措施保護内部網絡免受惡意攻擊,保證内部網絡及系統的正常運作。 『配置執行個體』: 1. 在“trust”和“untrust”域當中啟用封包統計功能。 [Secpath] firewall zone trust [Secpath-zone-trust] statistic enable ip inzone [Secpath-zone-trust] statistic enable ip outzone [Secpath] firewall zone untrust [Secpath-zone-untrust] statistic en ip inzone [Secpath-zone-untrust] statistic en ip outzone 2. 在系統視圖下開啟所有的攻擊防範功能。 [Secpath] firewall defend all 3. 對于相應的防範功能的意義,請檢視相關資料。 『注意事項』: 1、 1,對于攻擊防範功能,某些是可以在透明模式下使用。例如:IP欺騙攻擊防範功能就不可以在透明模式下使用。 2、必須在域中使能受保護域的IP統計功能。 3、SecPath的系統統計功能提供了對連接配接數量、連接配接速率的限制,在配置流量限制功能前,必須開啟對應的統計功能。 4、請慎重使用關閉系統統計功能的指令,如果關閉系統統計功能後,和系統統計相關的檢測功能也失效。