文档介绍:Eudemon 200防火墙操作指导
本文网址: 复制
Prepared by
拟制
赵强
Date
日期
2003/09/08
Reviewed by 评审人
Da传输数据的通道是专门通道,其状态切换不影响应用,此时怎么办...38
在应用正常的情况下,改动了 vrrp的属性发现通讯有问题,表现为能ping通接口,但是不 能透过防火墙
38
VRRP配置不一致的时候,屏幕上打印大量告警影响使用…38
VRRP状态不稳定切换频繁...38
透明模式问题…38
透明模式下ARP表项学****有问题…38
Figure List 图目录
图1
安全区示意图 9
图2
路由模式应用组网图 28 图3
透明模式应用组网图 30
安全策略
【转自 】
Eudemon 200防火墙操作指导
Eudemon 200防火墙操作指导
Keywords关键词:
Abstract
摘 要:本文对Eudemon 200防火墙的特点、典型应用以及常见的攻击方式及在
Eudemon200上的防范方法作了简要的说明。本文的目的是使本文的读者,可以在通读本文 之后对E200防火墙有比较清楚的认识,可以有效地应用防火墙进行组网。
List of abbreviations 缩略语清单:
Abbreviations 缩略语
Full spelling英文全名
Chinese explanation 中文解释
1
Introduction
目的本文通过对Eudemon 200防火墙的特点,使用方法作出描述,使读者可以对我司的状 态防火墙有一个初步的认识,可以结合实例和攻击的特点对防火墙进行有效的配置,保护网 络的安全。最后本文将给出一些典型的配置实例,在不同的情况下应用并修改这些实例,可 以适应比较常见的网络应用。
本文不详细介绍用到的命令行格式和配置细节,相关信息请参考用户手册中的说明
范围本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及 典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。
发布对象本文针对的读者,为华为公司的技术人员,属于内部文档。文中可能涉及到产品内 部实现的细节以及目前存在的某些缺陷,因此本文不可以直接提供给外部人员使用。如果有 需要,请自行对文章进行裁减,仅将可以公开的内容提供给外部人员。
2
Eudemon200防火墙的特点Eudemon200防火墙,是我司推出的网络安全产品的重要组成部 分,开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品,提供了比较丰富 的功能。作为一个新形态的产品,在防火墙上我们提出了一些新的概念,这是不同于以前的 路由器产品的,在下面的部分中,首先对防火墙独有的概念及其相对于路由器的一些优点做 一个描述。
基于状态的防火墙Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火 墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像TCP连接的三 次握手这种状态属于网络协议的第四层,而FTP控制命令中有没有传递PASS命令这种状态 属于网络的第七层,需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应 用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程: 首先报文到达防火墙,防火墙首先检查是否针对这个报文已经有会话表存在 如果有,根据会话表中的信息,在进行必要的处理之后,防火墙将转发这个报文
如果没有找到表项,防火墙会对这个报文进行一系列检查,在诸多检查都通过之后,防火墙 会根据这个报文的特征信息,在防火墙上建立一对会话表项,以便这个会话的后续报文可以 直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利 的通过防火墙,这样用户就不需要既考虑报文的发送也考虑报文的回应消息,可以专心设计 安全策略。
对于FTP/H323等需要协商数据通道的应用协议,用户只需要配置允许该协议最基本的控制 通道的连通,在这个控制通道上协商出来的所有数据通道,防火墙都会预先为其建立好通过 防火墙的表项。而以前的包过滤防火墙,必须用繁杂的ACL来保证这些协议数据通道的连 通,还不可避免的会留下安全漏洞。
防火墙的域对于路由器设备,各个接口所连接的网络在安全上可以视为是平等的,没有明显 的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。这样,一个数据流 单方向通过路