01-H3C-SecBlade-防火墙插卡培训_20110620

H3CSecBladeII防火墙插卡培训ISSUE1.0日期：2011年6月杭州华三通信技术有限公司版权所有，未经授权不得使用与传播作者：翟运波H3CSecBladeII防火墙插卡采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大型企业和运营商用户开发的新一代电信级防火墙设备。引入了解H3C防火墙插卡软硬件特性掌握H3C防火墙插卡的常用组网方式熟悉H3C防火墙插卡的基本功能了解H3C防火墙插卡的基本维护课程目标学习完本课程，您应该能够：SecBlade防火墙插卡产品介绍SecBlade防火墙插卡基本配置管理Secblade防火墙插卡转发方式介绍Secblade防火墙插卡安全特性简介SecBlade防火墙插卡基本维护目录卡接口，支持容量为256M、512M、1G的CF卡2个USB接口（预留）2个10/100/1000BASE-T电接口2个千兆Combo（光电复合）接口后插板10GE接口CF卡Console口2GE电口2GECombo口SecBladeIIF插卡功能特点丰富的NAT特性：NAT、ALG领先的虚拟化技术：虚拟防火墙高可靠性：VRRP、双机热备集中统一管理：Log、SNMP、FWM全面的安全防护：L2-L7安全防护完善的VPN功能：GRE、L2TP、IPSec良好的易用性：CLI、Web先进的硬件架构：多核多线程版本配套表版本适配关系详见插卡版本说明书中的版本配套表：产品系列H3CSecBlade型号SecBladeFW插卡内存需求最小2GFLASH需求4MCPLD3.0BOOTWARE版本号1.38目标文件名称SECBLADEII-CMW520-R3166P13.binS75E配套版本S7500E-CMW520-R6616P01S95配套版本S9500-CMW310-R1651P05S95E配套版本S9500E-CMW520-R1335S58配套版本S5800_5820X-CMW520-R1206S12500配套版本S12500-CMW520-R1335SR66配套版本SR6600-CMW520-R2507P01SR88配套版本SR8800-CMW520-R3342iMC版本号iMCPLAT5.0(E0101)+L02SecCenterFirewallManagerSecCenterFirewallManagerE0030P01SecBlade防火墙插卡产品介绍SecBlade防火墙插卡基本配置管理Secblade防火墙插卡转发方式介绍Secblade防火墙安全特性简介SecBlade防火墙插卡基本维护目录防火墙插卡管理方式SecBladeII防火墙插卡集成强大的WEB管理功能，大部分配置都能通过WEB完成，推荐使用WEB方式进行配置。防火墙插卡同时也支持命令行，但是很多安全特性不支持在命令行下面配置，命令行主要提供简单的配置、信息查看、故障诊断等功能。登录方式强烈推荐使用防火墙插卡面板口配置和管理，缺省情况下GE0/1已经加入管理区域，默认IP地址是192.168.0.1，默认用户名和密码是h3c/h3c。可以在命令行下把接口加入管理区域：[FW]_h[FW-hidecmd]zoneaddinterfaceGigabitEthernet0/2tomanagement防火墙插卡的命令行管理方式方式一：通过插卡console口管理，FW可以通过命令行进行除安全特性的配置。方式二：通过Telnet或者SSH登录，缺省情况下Telnet和SSH服务是关闭的。方式三：通过OAP方式登录，需要先在插卡上配置aux口登录相关参数，然后通过oapconnectslotx（堆叠下：oapconnectchassis1slotx）登录插卡，按CTRL+K退出插卡。FW上配置：#user-interfaceaux0authentication-modenoneuserprivilegelevel3#交换机上登录：S7506Eoapconnectslot5PressCTRL+Ktoquit.ConnectedtoOAP!S5800交换机上的防火墙插卡没有Console口，只能通过OAP登录命令行，AUX口不需要配置。防火墙插卡的时间同步防火墙插卡没有自己的时钟芯片，需要从其它设备同步时间，同步的方法可以采用NTP和ACSEI。不管哪种同步方式，都只能同步时间，不能同步时区，同步过来的是UTC的时间，插卡会根据自己的时区校准。NTP时间同步举例：FW上配置：#[FW]ntpunicast-server10.0.0.1[FW]ntpsource-interfaceGigabitEthernet0/0#交换机上配置：[S7506E]ntprefclock-master3防火墙插卡的时间同步(续)ACSEI方式时间同步如果防火墙10GE接口是二层trunk接口，则必须trunkpermit10GE接口所在的PVID，并且在10GE接口下使能acsei-client；如果防火墙10GE接口是路由口，只需万兆口使能acsei-client即可ACSEI协议同步时间举例：FW上配置：#interfaceTen-GigabitEthernet0/0portlink-moderouteacsei-clientenable#交换机上配置：#acseiserverenable#acseiserveracseitimerclock-sync1acseitimermonitor1#安全区域安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界，按照安全级别不同将业务分成若干区域，防火墙的策略（如域间策略、攻击防范等）在区域或者区域之间下发。所有接口只有加入了业务安全区域后才会转发数据。为什么需要安全区域？传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略。防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率。教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼Internet配置维护太复杂了！安全区域默认的安全区域及优先级：Management（100）、Local（100）、Trust（85）、DMZ（50）、Untrust（5）默认的安全区域访问控制策略：高优先级安全区域可以访问低优先级区域；低优先级安全区域不允许访问高优先级区域；相同优先级安全区域可以相互访问；相同安全区域内可以相互访问；默认情况下，其它所有安全区域都可以访问Local域；流与会话流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMPtype+ICMPcode唯一标识RAWIP流：不属于上述协议的，通过三元组标识会话（Session），是一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向。对于TCP流，发起方和响应方三次握手后建立稳定会话。对于UDP/ICMP/RawIP流，发起方和响应方完整交互一次报文后建立稳定会话。ReplyUDP/ICMP/RawIPSessionSessionSYN:192.168.2.2/36628DestIP/Port:192.168.1.2/21VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:192.168.1.2/21DestIP/Port:192.168.2.2/36628VPN-Instance/VLANID/VLLID:Pro:TCP(6)App:FTPState:TCP-ESTStarttime:2010-02-2815:59:09TTL:3598sRootZone(in):TrustZone(out):TrustReceivedpacket(s)(Init):11packet(s)502byte(s)Receivedpacket(s)(Reply):7packet(s)521byte(s)查看会话相关相关信息：防火墙的基本工作流程【注1】：防火墙缺省下，高级别区域的能访问低级别区域，低级别区域不能访问高级别区域。问题：如果低要访问高怎么办？SecBlade防火墙插卡产品介绍SecBlade防火墙插卡基本配置管理Secblade防火墙插卡转发方式介绍Secblade防火墙插卡安全特性简介SecBlade防火墙插卡基本维护目录防火墙插卡的转发模式二层转发普通二层转发INLINE转发转发类型反射类型黑洞类型跨VLAN二层转发三层转发三层子接口转发三层虚接口转发二层转发应用场景：对同一网段主机间的报文进行安全过滤，由数据链路层来完成不同VLAN间的通信。客户端网关在交换机上，在客户端和网关之间部署防火墙实现访问控制。PC1PC2XGE0/0.102XGE0/0.103192.168.0.102192.168.0.103GE0/0/25GE0/0/26XGE2/0/1SecBladeFWVLAN102VLAN103VLAN1000VLAN1000