H3C Comware V7 盒式防火墙基本配置与维护

杭州华三通信技术有限公司版权所有，未经授权不得使用与传播H3CV7平台盒式防火墙基本配置掌握Comware7盒式防火墙设备管理方式掌握Comware7盒式防火墙软件版本升级方法掌握Comware7盒式防火墙安全特性配置方法掌握Comware7盒式防火墙高可靠性配置方法了解Comware7盒式防火墙典型部署场景了解Comware7盒式防火墙基本维护方法学习完本课程，您应该能够：目录1.设备管理方式2.软件版本升级3.安全特性配置4.设备部署方式5.常用模块配置与维护设备管理方式方式一：通过Console口管理缺省情况下，登录时认证方式为none，用户角色为network-admin，可以通过修改认证方式、用户角色以及其它登录参数，来增加设备的安全性及可管理性。设备管理方式Console全局属性默认配置lineclassconsoleuser-rolenetwork-adminConsole进程属性默认配置lineconsoleXuser-rolenetwork-admin设备管理方式方式二：通过Telnet登录缺省情况下，Telnet服务功能处于关闭状态，认证方式为密码认证，但未配置缺省的登录密码，在缺省情况下用户不能通过Telnet登录到设备上，需要通过Console口登录到设备上，开启Telnet服务功能，放通域间策略，然后对认证方式、用户角色及公共属性进行相应的配置，才能通过Telnet方式登录到设备。开启Telnet服务配置管理地址H3Csystem-viewSystemView:returntoUserViewwithCtrl+Z.[H3C]telnetserverenable[H3C]interfaceGigabitEthernet1/0/0[H3C-GigabitEthernet1/0/0]ipaddress192.168.0.124设备管理方式将管理口加入到Trust区域配置ACL，匹配合法的管理用户IP[H3C]security-zonenametrust[H3C-security-zone-Trust]importinterfaceGigabitEthernet1/0/0[H3C]aclnumber2000[H3C-acl-basic-2000]rulepermitsource192.168.0.20设备管理方式配置域间策略，放通Trust到Local的策略配置认证方式为Scheme[H3C]zone-pairsecuritysourcetrustdestinationlocal[H3C-zone-pair-security-Trust-Local]packet-filter2000[H3C]linevty063[H3C-line-vty0-63]authentication-modescheme设备管理方式目录1.设备管理方式2.软件版本升级3.安全特性配置4.设备部署方式5.常用模块配置与维护软件版本升级H3C官网提供的软件版本为IPE格式，升级时直接指定此文件即可，设备会自动将此文件解压为两个BIN格式文件并设置为设备加载的版本文件H3Cboot-loaderfilecfa0:/L5000.ipeslot1mainVerifyingtheIPEfileandtheimages....Done.H3CSecPathF5020imagesinIPE:f5000-cmw710-boot-E9305P06.binf5000-cmw710-system-E9305P06.binThiscommandwillsetthemainstartupsoftwareimages.Continue?[Y/N]:yAddimagestoslot1.Decompressingfilef5000-cmw710-boot-E9305P06.bintocfa0:/f5000-cmw710-boot-E9305P06.bin..............Done.Decompressingfilef5000-cmw710-system-E9305P06.bintocfa0:/f5000-cmw710-system-E9305P06.bin..........................Done.Theimagesthathavepassedallexaminationswillbeusedasthemainstartupsoftwareimagesatthenextrebootonslot1.软件版本升级可通过命令检查为设备指定的加载版本文件是否正确版本文件指定完成后，通过重启完成升级H3Cdisplayboot-loaderSoftwareimagesonslot1:Currentsoftwareimages:cfa0:/f5000-cmw710-boot-E9305.bincfa0:/f5000-cmw710-system-E9305.binMainstartupsoftwareimages:cfa0:/f5000-cmw710-boot-E9305P06.bincfa0:/f5000-cmw710-system-E9305P06.binBackupstartupsoftwareimages:None目录1.设备管理方式2.软件版本升级3.安全特性配置4.设备部署方式5.常用模块配置与维护安全区域安全区域是防火墙区别于普通网络设备的基本特征之一。以接口为边界，按照安全级别不同将业务分成若干区域，防火墙的策略（如域间策略、攻击防范等）在区域或者区域之间下发接口只有加入了业务安全区域后才会转发数据UntrustzoneTrustzone为什么需要安全区域传统防火墙通常基于接口进行策略配置，网络管理员需为每一个接口配置安全策略防火墙的端口朝更高密度、更虚拟化方向发展，基于接口的策略配置方式使安全策略的维护工作量成倍增加，从而也增加了因为配置引入部署错误或安全风险的概率安全区域可以用于管理防火墙设备上安全需求相同的多个接口，管理员将安全需求相同的接口进行分类，并划分到不同的安全域，实现安全策略的简化管理教学楼#1教学楼#2教学楼#3服务器群办公楼#1办公楼#2实验楼#1实验楼#2宿舍楼Internet配置维护太复杂了！防火墙安全区域默认安全区域有：Local、Trust、DMZ、Untrust、Management（带外管理）ComwareV7平台取消了安全域优先级的概念各安全区域间及安全区域内默认域间策略为禁止任何流量通过必须配置其它安全区域与Local区域之间的允许策略，才能访问防火墙特别注意，诸如IPSec和L2TP等VPN业务都涉及到上送防火墙本地进行加解封装的操作，故一定要配置VPN流量所在域到Local域和相应反向的域间策略，确保VPN流量不被默认域间策略所拒绝流与会话流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识根据IP层协议的不同，流分为四大类TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMPtype+ICMPcode唯一标识RAWIP流：不属于上述协议的，通过三元组标识会话（Session），是一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向会话的创建对于TCP流，发起方和响应方三次握手后建立稳定会话对于UDP/ICMP/RawIP流，发起方和响应方完整交互一次报文后建立稳定会话防火墙TrustUntrustRequestSYNACKACKTCPSessionSessionReplyUDP/ICMP/RawIPSessionSessionSYN:10.142.0.2/21DestinationIP/port:10.234.245.178/2048DS-Litetunnelpeer:VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)Responder:SourceIP/port:10.234.245.178/21DestinationIP/port:10.142.0.2/0DS-Litetunnelpeer:VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)State:ICMP_REPLYApplication:OTHERStarttime:2014-04-1116:16:08TTL:29sInterface(in):GigabitEthernet0/0/17Interface(out):GigabitEthernet0/0/19Zone(in):TrustZone(out):UntrustInitiator-Responder:1packets84bytesResponder-Initiator:0packets0bytes高级状态包过滤（ASPF）传统的包过滤防火墙存在哪些劣势对于传输层协议，管理员无法精确预知反向回应报文信息，若管理员配置了比较宽松的放行策略，则会增加内网被攻击的风险对于多通道的应用层协议（如FTP等），部分策略配置无法预知无法跟踪传输层和应用层的协议状态，无法检测某些来自传输层和应用层的攻击行为ASPF（AdvancedStatefulPacketFilter，高级状态包过滤）在网络边界，ASPF和包过滤防火墙协同工作，包过滤防火墙负责按照规则进行报文过滤（阻断或放行），ASPF负责对已放行报文进行信息记录，使已放行的报文的回应报文可以正常通过配置了包过滤的接口或域间实例ASPF将应用层协议划分为单通道协议：完成一次应用的全过程中，只有一个连接参与数据交互，如SMTP、HTTP多通道协议：完成一次应用的全过程中，需要多个连接配合，即控制信息的交互和数据的传送需要通过不同的连接完成的，如FTP部署防火墙连接了内部网络和外部网络，并且要通过部署ASPF来保护内部网络中的主机和服务器用户A创建一个会话用户A的会话返回报文被允许通过ClientAClientB其它会话的报文将被阻断FirewallWAN被保护网络Server功能ASPF实现的主要功能有应用层协议检测传输层协议检测ICMP差错报文检测TCP连接首包检测默认策略缺省情况下，安全域间实例上应用了一个缺省的ASPF策略，该策略不使能ICMP差错报文检查功能和非SYN的TCP首报文丢弃功能，支持对所有传输层协议和FTP协议报文进行ASPF检测H3CdisplayaspfpolicydefaultASPFpolicyconfiguration:Policydefault:ICMPerrormessagecheck:DisabledTCPSYNpacketcheck:DisabledInspectedprotocolActionFTPNone配置举例创建ASPFpolicy1，检测PPTP协议并丢弃ICMP差错报文和非SYN的TCP协议首报文在域间实例上应用ASPF策