1 时间段访问控制列表(ACL): 功能需求及组网说明:
『组网需求』: 要求内部用户,在8:00-12:00和13:30-18:00可以出公网,其它的时间都不可以出公网 『配置实例』: 1. 在系统视图下配置时间段: [Secpath] time-range huawei1 08:00 to 18:00 daily [Secpath] time-range huawei2 12:00 to 13:30 daily 2. 配置高级访问控制列表: [Secpath] acl number 3001 [Secpath-acl-adv-3001] rule deny ip time-range huawei2 [Secpath-acl-adv-3001] rule permit ip time-range huawei1 [Secpath-acl-adv-3001] rule deny ip 3. 进入内网接口视图,下发时间段ACL规则: [Secpath-GigabitEthernet0/1] firewall packet-filter 3001 inbound 4.对于其它的规则配置请查看操作手册。 『注意事项』: 1、在同一个名字下可以配置多个时间段,这些时间段是“或”关系。 2、在SECPATH系列产品中,只有SECPATH10F是不可以保存系统时间的,重启设备后,时间就会丢失。 3、要将基于MAC地址的访问控制列表应用到接口上,防火墙必须工作在透明模式下,否则系统会提示“Please firstly active the Transparent mode !”。 2 地址转换(NAT): 『配置实例』: 1.配置域名与外部地址、端口号、协议类型之间的映射。 [Secpath] nat dns-map www.zc.com 10.153.49.197 80 tcp [Secpath] nat dns-map ftp.zc.com 10.153.49.197 21 tcp 2.相关NAT地址转换及映射配置,请参考手册。 『注意事项』: 1、地址池转换方式是实现多对多地址转换 2、NAPT的转换方式是多对一地址转换。 3、NAT ALG是解决特殊协议穿越NAT的一种常用方式,此种方式对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。目前VRP的NAT ALG支持PPTP、DNS、FTP、ILS、NBT、SIP、H.323等协议。 3 防火墙特性: 功能需求及组网说明
3.1 透明模式 『功能说明』: 当防火墙工作在透明模式时,防火墙表现为透明网桥,但防火墙和网桥存在不同,因为防火墙收到IP报文后,会到上层进行相关过滤处理,此外还可防攻击检查,如ACL规则检查、ASPF状态过滤、防攻击检查、流量监控等功能。而网桥是不行的。 『配置实例』: 1. 配置防火墙工作在透明模式:(必配) [Secpath] firewall mode transparent 2. 配置防火墙的管理IP地址,此地址可用在TELNET、SNMP等管理中。 [Secpath] firewall system-ip 192.168.1.1 255.255.255.0 3. 配置防火墙对未知目的MAC地址的IP报文的处理方式。默认情况单播采用“arp”方式处理,广播和组播都是采“drop”方式处理。 [Secpath] firewall unknown-mac flood 4. 配置其它参数,请参考手册。 『注意事项』: 1、当透明模式防火墙在某接口接收到广播帧或多播帧时,会向其它接口进行转发。(查找MAC地址表成功后,转发) 2、在同一个物理网段上,透明模式防火墙对此帧进行过滤,不转发该帧。(查找MAC地址表成功后,不转发) 3、目的未知的MAC地址帧,透明模式防火墙会向除发送该帧的源接口外的其它所有接口进行转发。(查找MAC地址表失败后,转发) 4、基于MAC地址的访问控制列表,只能在透明模式下配置。 5、在透明模式下,MAC地址表老化的时间是300秒。 3.2 ASPF配置 『组网需求』: 要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.100向10.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。 『配置实例』: 1. 将SECPATH产品默认规则改为“permit”,因为目前VRP3.4-0006的版本默认规则是“deny”。 [Secpath] firewall packet-filter default permit 2. 在配置访问控制列表3333拒绝所有TCP和UDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。 [Secpath] acl number 3333 [Secpath-acl-adv-3333] rule deny ip 3. 配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。 [Secpath] aspf-policy 1 [Secpath-aspf-policy-1] detect ftp 5. 在外网接口上应用ASPF策略,用来检测内部FTP协议。 [Secpath-GigabitEthernet0/1] firewall aspf 1 outbound 6. 在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。 [Secpath-GigabitEthernet0/1] firewall packet-filter 3333 inbound 7. 当ASPF检测到会话后。 [Secpath] dis aspf sess [ 已建立的会话 ] 会话 源发方 响应方 应用协议 状态 ----------------------------------------------------------------------- 0x265E7864 192.168.1.254:1027 10.153.49.41:21 ftp FTP_CONXN_UP 『注意事项』: 1、在配置ASPF时,必须和静态访问控制列表结合使用。 2、在配置传输层协议检测时,对于FTP,H.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。 3、当接口同时下发ASPF和ACL策略时,ASPF先生效。 4、目前ASPF可检测应用层协议包括:ftp、http、h323、smtp、rtsp;传输层协议包括:tcp、udp 。 5、此配置也适合在透明模式下使用。 3.3 黑名单 『组网需求』: 要求将内部用户“192.168.1.254”用户手动设置成黑名单用户,并将攻击的用户自动加入到黑名单中。 『配置实例』: 1. 在系统视图下使能黑名单功能。 [Secpath] firewall blacklist enable 2. 手动添加“192.168.1.254” 客户机地址到黑名单表项中。 [Secpath] firewall blacklist 192.168.1.254 timeout 10 (十分钟后自动解除,不配置 timeout ,将永久有效。) [Secpath]dis firewall blacklist item Firewall blacklist item : Current manual insert items : 1 Current automatic insert items : 0 Need aging items : 1 IP Address Insert reason Insert time Age time(minutes) -------------------------------------------------------------------------- 192.168.1.254 Manual 2006/02/28 11:31:01 10 3. 自动添加客户地址到黑名单表项的前提是,通过统计攻击首的信息。 [Secpath] firewall zone trust [Secpath-zone-trust] statistic enable ip inzone [Secpath-zone-trust] statistic enable ip outzone [Secpath] firewall zone untrust [Secpath-zone-untrust] statistic en ip inzone [Secpath-zone-untrust] statistic en ip outzone 4. 在全局开启攻击防范功能。 [Secpath] firewall defend all 『注意事项』: 1、黑名单表项中使用命令行多次配置同一IP地址的表项到黑名单中,则后配置的表项会覆盖原有表项。 2、如果防火墙相关模块准备向黑名单插入的IP地址已经存在于黑名单之中,则老化时间长的表项会被保留。 3、通过Telnet方式登录防火墙时,如果连续三次输错密码,系统也自动将Telnet客户端的IP地址添加到黑名单中,并设置老化时间为10分钟。 4、攻击防范模块察觉到特定IP地址的攻击之后,会将这个IP地址自动插入到黑名单表中。 5、如果将客户地址加入到黑名单后,所有从客户机发出的ICMP报文都会被防火墙过滤掉。 3.4 MAC和IP地址绑定 『组网需求』: 要求将客户机“192.168.1.100”的MAC和IP地址绑定,来避免IP地址假冒攻击的一种方式。 『配置实例』: 1. 配置客户机“192.168.1.100”的IP地址和MAC地址的绑定。 [Secpath] firewall mac-binding 192.168.1.100 000f-e200-da32 2. 在系统视图下使能地址绑定功能。 [Secpath] firewall mac-binding enable 3. 查看绑定信息。 [Secpath]dis firewall mac-binding item Firewall Mac-binding item(s) : Current items : 1 192.168.1.100 000f-e200-da32 『注意事项』: 1、在配置MAC和IP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。 2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。 3、MAC和IP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。 4、当配置MAC和IP地址绑定功能后,下接所有客户机都必须配置MAC和IP地址绑定,否则不可能过防火墙。 5、如果将PC的IP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP为 192.168.1.100且其 MAC不是 000f-e200-da32才不能上网。 3.5 Web地址、内容过滤及SQL攻击防范功能 『组网需求』: 要求“192.168.1.100”不可访问外部的www.163.com、www.sohu.com网址,而且载入“123.txt”文件过滤掉网页内容,并将缺省的SQL攻击防范开启。 『配置实例』: 1. 要求参考“ASPF配置”,开启“HTTP、TCP”检测,并在“trust和untrust”域中开启报文统计功能。 2. 在系统视图分别开启Web地址、内容过滤功能及SQL注入攻击防范。 [Secpath] firewall url-filter host enable [Secpath] firewall webdata-filter enable [Secpath] firewall url-filter parameter enable 3. 在系统视图下配置网址过滤。 [Secpath] firewall url-filter host add deny www.163.com [Secpath] firewall url-filter host add deny www.sohu.com [Secpath] dis firewall url-filter host item-all SN Match-Times Keywords ---------------------------------------------- 1 0 <deny>www.163.com 2 0 <deny>www.sohu.com 4. 在系统视图下配置WEB内容过滤。 [Secpath] firewall webdata-filter load-file 123.txt [Secpath] dis fir webdata-filter item-all SN Match-Times Keywords ---------------------------------------------- 1 0 gogo 2 0 安全 5. 在系统视图下配置缺省的SQL攻击防范开启,也可手动添加。 [Secpath] firewall url-filter parameter add-default [Secpath] dis firewall url-filter parameter item-all SN Match-Times Keywords ---------------------------------------------- 1 0 ^select^ 2 0 ^insert^ 3 0 ^update^ 4 0 ^delete^ 5 0 ^drop^ 6 0 -- 7 0 ' 8 0 ^exec^ 9 0 %27 『注意事项』: 1、开启Web地址、内容过滤功能及SQL注入攻击防范功能之前,要先配置ASPF策略,detect http,detect tcp,才能使Web地址和Web内容过滤功能生效。 2、在配置Web地址过滤时,可以设置默认规则,如果规则是“permit”,则配置的过滤表项都是“deny”,反之亦然。 3、目前SECPATH产品支持中英文过滤,对于中文必须通过文件方式载入。 4、防火墙还提供了对Web中SQL(Structure Query Language,结构化查询语言)注入攻击进行防范的功能。目前缺省情况下,系统预定义了以下关键字:^select^、^insert^、^update^、^delete^、^drop^、--、'、^exec^和%27。 5、目前SECPATH系列产品,路由和透明模式均支持内容过滤。对于web-filter规则,目前可配置2K个,而“*”可匹配0~4个字符或2个汉字。 3.6 邮件过滤 『组网需求』: 要求内部向外发送邮件时,对附件文件名、内容、收件人、主题进行过滤。 『配置实例』: 1. 要求参考“ASPF配置”,开启“HTTP、TCP”检测功能。 2. 在系统视图分别开启attach、content、rcptto、subject相关过滤。 [Secpath] firewall smtp-filter attach enable [Secpath] firewall smtp-filter content enable [Secpath] firewall smtp-filter subject enable 3. 在系统视图下配置附件文件名过滤(attach)。 [Secpath] firewall smtp-filter attach add word [Secpath] firewall smtp-filter attach add huawei [Secpath] dis firewall smtp-filter attach item-all SN Match-Times Keywords ---------------------------------------------- 1 0 word 2 0 huawei 4. 在系统视图下配置内容过滤(content)。 [Secpath] firewall smtp-filter content load-file 123.txt [Secpath] dis firewall smtp-filter content item-all SN Match-Times Keywords ---------------------------------------------- 1 0 安全 2 0 gogo 5. 在系统视图下配置收件人过滤(rcptto)。 [Secpath] firewall smtp-filter rcptto add deny [email protected] [Secpath] dis firewall smtp-filter rcptto item-all SN Match-Times Keywords ---------------------------------------------- 1 0 <deny>[email protected] 6. 在系统视图下配置主题过滤(subject)。 [Secpath] firewall smtp-filter subject load-file 456.txt [Secpath] dis firewall smtp-filter subject item-all SN Match-Times Keywords ---------------------------------------------- 1 0 公告 2 0 案例 3 0 安全 4 0 gogo 『注意事项』: 1、 目前可对邮件的附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)进行过滤。 2、 开启附件文件名(attach)、内容(content)、收件人(rcptto)、主题(subject)过滤,要先配置ASPF策略,detect smtp,detect tcp,才能使以上过滤功能生效。 3、 在配置ASPF时,ASPF和ACL分别应下发在内网接口的inbound和outbound方向。 4、 是发送邮件协议,因此在发送邮件时进行相关的过滤。SMTP 3.7 攻击防范 『组网需求』: 要求防火墙的攻击防范功能能够检测出多种类型的网络攻击,并能采取相应的措施保护内部网络免受恶意攻击,保证内部网络及系统的正常运行。 『配置实例』: 1. 在“trust”和“untrust”域当中启用报文统计功能。 [Secpath] firewall zone trust [Secpath-zone-trust] statistic enable ip inzone [Secpath-zone-trust] statistic enable ip outzone [Secpath] firewall zone untrust [Secpath-zone-untrust] statistic en ip inzone [Secpath-zone-untrust] statistic en ip outzone 2. 在系统视图下开启所有的攻击防范功能。 [Secpath] firewall defend all 3. 对于相应的防范功能的意义,请查看相关资料。 『注意事项』: 1、 1,对于攻击防范功能,某些是可以在透明模式下使用。例如:IP欺骗攻击防范功能就不可以在透明模式下使用。 2、必须在域中使能受保护域的IP统计功能。 3、SecPath的系统统计功能提供了对连接数量、连接速率的限制,在配置流量限制功能前,必须开启对应的统计功能。 4、请慎重使用关闭系统统计功能的命令,如果关闭系统统计功能后,和系统统计相关的检测功能也失效。