1、华为 3Com技术有限公司华为 3Com公司版权所有,未经授权不得使用与传播SecPath防火墙技术介绍学习目标l 防火墙的域和模式l 攻击防范、包过滤、 ASPF、 NAT、黑名单的使用方法学习完本课程,您应该能够了解:1防火墙的模式l 路由模式为防火墙的以太网接口(以 GigabitEthernet0/0 为例)配置 IP 地址。SecPath interface GigabitEthernet0/0SecPath-GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0l 透明模式当防火墙工作在透明模式下时,其所有接口都将工作在第二层
2、,即不能为接口配置 IP 地址。这样,用户若要对防火墙进行 Web 管理,需在透明模式下为防火墙配置一个系统 IP 地址( System IP)。用户可以通过此地址对防火墙进行 Web 管理。缺省情况下,防火墙工作在路由模式。(1) 配置防火墙工作在透明模式。SecPath firewall mode ?route Route modetransparent Transparent modeSecPath firewall mode transparentSet system ip address successfully.The GigabitEthernet0/0 has been in
3、promiscuous operation mode !The GigabitEthernet0/1 has been in promiscuous operation mode !All the Interfacess ips have been deleted.The mode is set successfully.从以上显示的系统提示信息可以看出,防火墙已经工作在透明模式下,且所有接口上的 IP 地址已经被删除。(2) 为防火墙配置系统 IP 地址。SecPath firewall system-ip 192.168.0.1 255.255.255.0Set system ip add
4、ress successfully.说明: 当防火墙切换到透明模式时, 系统为防火墙分配了一个缺省系统 IP地址 169.0.0.1/8,可以使用上述命令更改系统 IP 地址。1防火墙的模式l 可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络,防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息,然后通过查找转发表,根据出接口找到出口域,再根据这两个域确定域间关系,然后使用配置在这个域间关系上的安全策略进行各种操作。l 透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配 IP地址,整个设备出于现有的子网内部,对于网络中的其他设备,防火墙
5、是透明的。报文转发的出接口,是通过查找桥接的转发表得到的。在确定域间之后,安全模块的内部仍然使用报文的 IP地址进行各种安全策略的匹配。l 相比较而言,路由模式的功能更强大一些;而在用户的网络无法变更的情况下,可以考虑采用透明模式。1防火墙的属性配置命令l 打开或者关闭防火墙 firewall enable | disable l 设置防火墙的缺省过滤模式 firewall default permit|deny l 显示防火墙的状态信息 display firewall1在接口上应用访问控制列表l 将访问控制列表应用到接口上l 指明在接口上是 OUT还是 IN方向Ethernet0访问控制列
6、表 101作用在 Ethernet0接口在 out方向有效Serial0访问控制列表 3作用在 Serial0接口上在 in方向上有效1基于时间段的包过滤l “特殊时间段内应用特殊的规则 ”Internet上班时间(上午 8: 00 下午 5: 00)只能访问特定的站点;其余时间可以访问其他站点1时间段的配置命令l time range 命令 timerange enable|disable l undo settr 命令 settr begin-time end-time begin-time end-time . undo settrl 显示 isintr 命令 display isint
7、rl 显示 timerange 命令 display timerange1访问控制列表的组合l 一条访问列表可以由多条规则组成 ,对于这些规则,有两种匹配顺序: auto和 config。l 规则冲突时,若匹配顺序为 auto(深度优先) ,描述的地址范围越小的规则,将会优先考虑。 深度的判断要依靠通配比较位和 IP地址结合比较 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 两条规则结合则表示禁止一个大网段 ( 202.38.0.0)上的主机但允许其中的一小部分主 机(
8、 202.38.160.0)的访问。l 规则冲突时,若匹配顺序为 config,先配置的规则会被优先考虑。1防火墙在测试环境中,划分了最常用的三个安全区域:l Untrust区域 用于连接外部网络;l DMZ区域 放置对外服务器;l Trust区域 用于连接内部安全网络。DMZ区域Untrust区域SecPathserver BPC 2192.168.1.3/24192.168.1.2/24192.168.1.1/24GigabitEthernet0/1 GigabitEthernet0/0Ethernet1/0192.168.3.1/24192.168.2.1/24192.168.3.2/24Lan switchTrust区域PC 1192.168.2.2/24server AInternet1
