下载文档原格式
《H3C路由交换技术》教学进程表总计学习课时为180 课时,其中理论课时为90 课时,实验课时为90 课时,适用专业: TC精英教育网络工程专业使用,各章节课时分配如下:章节号章节名称理论课时分配实验课时分配说明第1章计算机网络基础 5 5第2章局域网技术基础12 12第3章广域网技术基础7 7第4章网络层协议原理12 12第5章传输层协议原理 5 5第6章应用层协议原理 5 5第7章以太网交换技术12 12第8章IP路由技术12 12第9章网络安全技术基础8 8第10章网络优化和管理基础12 12课时小计90 90课时总计180《H3C路由交换技术》课程教学大纲课程代码:非标教材(自选)课程性质:选修课先修课程:网络基础适用专业:TC教育各专业使用教材:《路由交换技术第1卷(上册、下册)(H3C网络学院系列教程)》清华大学出版社执笔人:王海军审稿人:叶伟一、课程的性质与任务H3C网络学院路由交换技术第1卷对建设中小型企业网络所需的网络技术进行详细介绍,包括网络模型、TCP/IP、局域网和广域网接人技术、以太网交换、IP路由、网络安全基础、网络优化和管理基础等。
本书的最大特点是理论与实践紧密结合,依托H3C路由器和交换机等网络设备精心设计的大量实验,有助于读者迅速、全面地掌握相关的知识和技能。
二、课程的考核方法《H3C路由交换技术》为考查课程,采用做案例方法,即在课程结束后以案例形式进行考核,课程学完后学员可自愿参加H3C公司网络工程师认证考试。
三、课程的目的要求“目的要求”是指通过教师的讲授及学生的认真学习所应达到的教学目的和要求。
结合本课程的教学特点,“目的要求”分为“掌握”、“熟悉”和“了解”三个级别。
“掌握”的内容,要求教师在授课时,进行深入的剖析和讲解,使学生达到彻底明了,能用文字或语言顺畅地表述,并能独立完成操作,同时也是考试的主要内容;“熟悉”的内容,要求教师予以提纲挈领地讲解,使之条理分明,使学生对此内容完全领会,明白其中的道理及其梗概,在考试时会对基本概念、基本知识进行考核;“了解”的内容,要求教师讲清概念及相关内容,使学生具有粗浅的印象。
第1章防火墙配置1.1 防火墙简介防火墙一方面阻止来自因特网的对受保护网络的未授权的访问,另一方面允许内部网络的用户对因特网进行Web访问或收发E-mail等。
应用:1)作为一个访问网络的权限控制关口,如允许组织内的特定的主机可以访问外网。
2)在组织网络内部保护大型机和重要的资源(如数据)。
对受保护数据的访问都必须经过防火墙的过滤,即使网络内部用户要访问受保护的数据,也要经过防火墙。
类型:目前设备中的防火墙主要是指基于访问控制列表(ACL)的包过滤(以下简称ACL/包过滤)、基于应用层状态的包过滤(以下简称状态防火墙ASPF,Application Specific Packet Filter)和地址转换。
1.1.1 ACL/包过滤防火墙简介ACL/包过滤应用在设备中,为设备增加了对数据包的过滤功能。
工作过程:对设备需要转发的数据包,先获取数据包的包头信息,包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口和目的端口等,然后和设定的ACL(访问控制列表)规则进行比较,根据比较的结果决定对数据包进行相应的处理。
1.2 包过滤防火墙配置1.启用防火墙功能进入系统视图system-view启用防火墙功能firewall enable2.配置防火墙的缺省过滤方式防火墙的缺省过滤方式,即在没有一个合适的规则去判定用户数据包是否可以通过的时候,防火墙采取的策略是允许还是禁止该数据包通过。
在防火墙开启时,缺省过滤方式为“允许”进入系统视图system-view设置缺省过滤方式为“允许”或“禁止”firewall default { permit | deny }3.配置访问控制列表4.在接口上应用访问控制列表进入对应接口视图interface interface-type interface-number 配置接口的出/入方向报文过滤,并设置所使用的访问控制列表号firewall packet-filter acl-number{ inbound | outbound }1.3 ACL1.3.1 ACL分类根据应用目的,可将IPv4 ACL分为四种类型:●基本ACL(ACL序号为2000~2999):只根据报文的源IP地址信息制定规则。
H3C SecPath系列防火墙(V5)维护指导书(V1.0)杭州华三通信技术有限公司2016-03-29 H3C机密,未经许可不得扩散第1页,共35页修订记录Revision Records2016-03-29 H3C机密,未经许可不得扩散第2页,共35页目录1.日常维护建议总则 (7)1.1.日常维护建议 (7)1.2.维护记录表格和维护操作指导书的使用说明 (8)2.安装操作指导 (9)3.维护操作指导 (10)3.1.H3C S EC P ATH防火墙设备现场巡检 (10)3.2.设备日常维护操作指导 (11)3.3.设备季度维护操作指导 (12)3.4.H3C设备年度维护操作指导 (12)4.入门维护 (13)4.1.基本概念 (13)4.2.产品FAQ (17)5.常见故障处理 (21)5.1.S EC P ATH防火墙故障诊断流程 (21)5.2.H3C S EC P ATH防火墙系统维护 (21)5.3.S EC P ATH防火墙连通性 (22)5.4.N AT故障处理 (22)5.5.攻击防范故障处理 (23)6.常见问题及FAQ (25)6.1.N AT专题篇FAQ (25)6.2.攻击防范篇FAQ (26)6.3.高可靠性篇FAQ (27)7.附录 (29)7.1.维护记录表格 (29)7.2.H3C公司资源和求助途径 (35)2016-03-29 H3C机密,未经许可不得扩散第3页,共35页H3C SecPath系列防火墙维护指导书关键词:SecPath防火墙、维护指导、常见问题、摘要:此文档用于指导日常维护H3C 防火墙产品及解决常见故障参考使用,主要描述用户维护部门周期性(每天、每季、每年)对H3C SecPath系列防火墙设备进行健康性检查的相关事项。
适用对象:本文档适用于H3C SecPath系列防火墙产品的日常操作和维护工程师。
缩略语清单:2009-4-10 H3C版权所有,未经许可不得扩散第4页, 共35页产品简介伴随着因特网的蓬勃发展,网络协议的开发性注定了给入侵者留下了众多的入侵机会,安全的网络也跟着提升到一个全新的高度。
防火墙工作模式简介工作模式介绍目前,secpath防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。
如果防火墙以第三层对外连接(接口具有ip地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接(接口无ip地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有ip地址,某些接口无ip地址),则防火墙工作在混合模式下。
下面分别进行介绍:1. 路由模式当secpath防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及dmz三个区域相连的接口分别配置成不同网段的ip地址,重新规划原有的网络拓扑,此时相当于一台路由器。
如下图所示,secpath防火墙的trust区域接口与公司内部网络相连,untrust区域接口与外部网络相连。
值得注意的是,trust区域接口和untrust区域接口分别处于两个不同的子网中。
采用路由模式时,可以完成acl包过滤、aspf动态过滤、nat转换等功能。
然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
2. 透明模式如果secpath防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。
也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该secpath防火墙设备即可,无需修改任何已有的配置。
与路由模式相同,ip报文同样经过相关的过滤检查(但是ip报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
防火墙透明模式的典型组网方式如下:如上图所示,secpath防火墙的trust区域接口与公司内部网络相连,untrust区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。
安全和VPN业务目录目录会话管理 (1)会话管理简介 (1)会话管理的工作原理 (1)会话管理在设备上的实现 (1)会话管理会话管理简介会话管理是为了实现NAT、ASPF、攻击防范等基于会话进行处理的业务而抽象出来的公共功能。
此功能把传输层报文之间的交互关系抽象为会话,并根据发起方或响应方的报文信息对会话进行状态更新和超时老化。
会话管理支持多个业务特性分别对同一个业务报文进行处理,实现的主要功能包括:z报文到会话的快速匹配;z传输层协议状态的管理;z报文应用层协议类型的识别;z支持会话按照协议状态或应用层协议类型进行老化;z支持指定会话维持永久连接;z会话的传输层协议报文校验和检查;z为需要进行端口协商的应用层协议提供特殊的报文匹配;z支持对ICMP差错控制报文的解析以及根据解析结果进行会话的匹配。
会话管理的工作原理会话管理主要基于传输层协议对报文进行检测。
其实质是通过检测传输层协议信息(即通用TCP协议和UDP协议)来对连接的状态进行跟踪,并对所有连接的状态信息进行统一维护和管理。
在实际应用中,会话管理配合ASPF特性,可实现根据连接状态信息动态地决定数据包是否被允许通过防火墙进入内部区域,以便阻止恶意的入侵。
需要注意的是,会话管理作为基础特性,只是实现连接跟踪,模块本身并不阻止潜在的攻击报文通过。
会话管理在设备上的实现目前会话管理在设备上实现的具体功能如下:z支持TCP、UDP、ICMP、Raw IP等IPv4报文的会话创建、会话状态更新以及根据协议状态设置超时时间。
z支持应用层协议的端口映射,允许为应用层协议自定义对应的非通用端口号,同时可以根据应用层协议设置不同会话超时时间。
z支持TCP、UDP、ICMP报文的校验和检查。
在校验和检查失败的情况下,不进行会话的匹配或创建,而是由基于会话管理的其他业务来处理。
z支持ICMP差错报文的映射,可以根据ICMP差错报文的内层报文查找原始的会话。
另外,由于差错报文都是由于某主机出错后产生的,因而可以加速该原始会话的超时老化。
SecBlade防火墙插卡虚拟设备、安全域及域间策略典型配置举例关键词:Web、TCP、IP摘要:本文简单描述了SecBlade防火墙插卡虚拟设备、安全域、会话管理、ASPF、包过滤模块的特点,详细描述了虚拟设备、安全域、会话管理、ASPF、包过滤模块的典型配置和详细步骤。
缩略语:缩略语英文全名中文解释HTTP Hypertext Transfer Protocol WWW服务程序所用的协议TCP Transfer Control Protocol 传输控制协议Protocol 网际协议IP Internet目录1 特性简介 (3)2 特性使用指南 (3)2.1 使用场合 (3)2.2 配置指南 (3)3 配置举例 (4)3.1 组网需求 (4)3.2 配置思路 (4)3.3 使用版本 (5)3.4 设备基本配置 (5)3.4.1 交换机配置 (5)3.4.2 SecBlade配置 (5)3.5 业务典型配置举例 (6)3.5.1 虚拟设备的创建、设置、选择、删除 (6)3.5.2 安全域的创建、设置、删除 (7)3.5.3 同一虚拟设备内,面向对象的包过滤 (9)3.5.4 不同虚拟设备之间的面向对象的包过滤 (12)3.5.5 ASPF(ICMP、TCP非SYN报文的包过滤) (15)4 相关资料 (16)1 特性简介z虚拟设备:虚拟设备是一个逻辑概念,一台防火墙设备可以逻辑上划分为多个部分,每一个部分可以作为一台单独的设备。
在防火墙产品中,要求大多数防火墙特性支持虚拟设备化,每个虚拟设备之间相互独立,一般情况下不允许相互通信,这就是所谓的“虚拟防火墙”,每个部分是一个虚拟防火墙实例(VFI)。
z安全区域:所谓安全区域,是一个抽象的概念,它可以包含三层接口,二层VLAN子接口,也可以包括二层物理Trunk接口+VLAN,划分到同一个安全区域中的接口通常在安全策略控制中具有一致的安全需求。
引入安全区域的概念之后,安全管理员将安全需求相同的接口进行分类(划分到不同的区域),能够实现策略的分层管理z会话管理:会话管理是为了简化NAT、ASPF、ALG、攻击防范、连接数限制等功能模块的设计而引申出来的一个项目,能够处理各种会话信息,根据会话状态进行老化处理,并提供给各业务模块一个统一的接口。
网络基础知识防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。
如果防火墙以第三层对 外连接(接口具有IP 地址),则认为防火墙工作在路由模式下;若防火墙通过第二层对外连接 (接口无IP 地址),则防火墙工作在透明模式下;若防火墙同时具有工作在路由模式和透明模 式的接口(某些接口具有 IP 地址,某些接口无IP 地址),则防火墙工作在混合模式下。
一、防火墙三种工作模式的简介1、路由模式当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及 DMZ三个区域相连的接口分别配置成不同网段的 IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。
如下图所示,防火墙的 Trust 区域接口与公司内部网络相连, Un trust 区域接口与外部网络相连。
值得注意的是,Trust 区域接口和Un trust 区域接口分别处于两个不同的子网中。
L1L 采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。
然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、 路由器需要更改路由配置等)这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
2. 透明模式如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对 于子网用户和路由器来说是完全透明的。
也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥( bridge ) 一样插入该防火墙设备即可,无需修改任何已有的配置。
与路由模式相同,IP 报文同样经过相关的过滤检查(但是 IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
防火墙透明模式的典型组网方式如下:防火墙工作模式简介202.10.0.110.110.1.254 防火塩Router外邓网络internet 、服务器202.10.0.0/24202.10.0.0/24 外部网缢(rternet)百如上图所示,防火墙的Trust区域接口与公司内部网络相连,Un trust区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。
ASPF简介
ASPF协议概述
ASPF(Application Specific Packet Filter)增强VRP平台上的防火墙功能,提供针对应用层的报文过滤功能,类似于Cisco基于报文上下文状态的访问控制技术(Context-based Access Control, CBAC)。
ASPF是一种高级通信过滤。
它检查应用层协议信息并且监控基于连接的应用层协议状态。
对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测,以对一部分攻击加以检测和防范。
检测每一个应用层的会话,并创建一个状态表和一个临时访问控制表。
一个会话可以认为是一个TCP连接。
状态表项维护了一次会话中某一时刻会话所处的状态,用于匹配后续的发送报文,并检测会话状态的转换是否正确。
状态表在检测到第一个外发报文时创建(对于TCP,检测到SYN报文)。
临时访问控制表项在创建状态表项的时候同时创建,会话结束后删除,相当于一个扩展ACL的permit项。
它用于匹配一个会话中的所有应答报文。
对于处于半开连接状态的会话(TCP SYN),还创建半开连接表项。
ASPF支持如下应用层协议的检测:
FTP(File Transfer Protocol)
SMTP(Simple Mail Transfer Protocol)
HTTP(Hyper Text Transfer Protocol)
RTSP(Real Time Stream Protocol)
H.323(Q.931, H.245, RTP/RTCP)
Generic TCP
Generic UDP
ASPF针对TCP SYN Flooding DOS的检测及防范
数目阈值检测
速率阈值检测
ASPF对不可信站点的Java Blocking
ASPF基于标准ACL的Http Java访问控制
ASPF对于应用协议端口映射(Port to Application Map,PAM)的支持,允许用户自定义应用协议端口
从安全策略的应用上来说,ASPF应用于边界网络,负责企业内部网络、局域网络对外接入或者互联时的安全策略实施。
ASPF对于上下文状态的保存和维护都是基于接口的,因此,在实际应用中,必须保证报文
入口的一致性,即,必须保证连接发起报文的返回基于同一策略配置的接口。
在骨干网络应用中,ASPF是无法实现的,因为无法确定IP报文的路由路径,发起报文可能从路由器的某个接口上转发,应答报文则可能从此路由器的其他接口被转发,或者从其它路由器转发,因此,我们无法维护某个端到端连接(例如TCP连接)的上下文状态信息。
分布式体系结构的设备通常属于中高端设备,在应用ASPF时,需考虑只能在边缘用户的业务接入网络中作为接入层路由器使用。
