第六章-包过滤技术课件.ppt

1、n 掌握包过滤技术的原理与配置掌握包过滤技术的原理与配置n 掌握掌握ASPF的原理与配置的原理与配置n 掌握黑名单原理与配置掌握黑名单原理与配置课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n 黑名单基本配置黑名单基本配置目录目录3包过滤技术介绍公司总部内部网络未授权用户办事处防火墙4n 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n

2、黑名单基本配置黑名单基本配置目录目录5包过滤防火墙基本配置l 包过滤防火墙配置包括包过滤防火墙配置包括允许或禁止防火墙设置防火墙缺省过滤方式设置包过滤防火墙分片报文检测开关配置分片报文检测的上、下门限值在接口上应用访问控制列表 6包过滤基本配置l 允许或者禁止防火墙操作命令允许防火墙允许防火墙firewall packet-filter enable 禁止防火墙禁止防火墙 undo firewall packet-filter enable 7包过滤基本配置l 设置包过滤防火墙缺省过滤方式操作命令设置缺省过滤方式为允设置缺省过滤方式为允许通过许通过 firewall packet-filter

3、 default permit 设置缺省过滤方式为禁设置缺省过滤方式为禁止通过止通过 firewall packet-filter default deny 8包过滤基本配置l 设置包过滤防火墙分片检测操作命令打开分片报文检测打开分片报文检测 firewall packet-filter fragments-inspect 关闭分片报文检测关闭分片报文检测 undo firewall packet-filter fragments-inspect 9包过滤基本配置l 配置分片报文检测的上下限域值操作命令指定上、下限分指定上、下限分片状态记录数目片状态记录数目 firewall packet-f

4、ilter fragments-inspect high | low default | number 恢复上限分片状恢复上限分片状态记录数目为缺态记录数目为缺省值省值 undo firewall packet-filter fragments-inspect high | low 10包过滤基本配置l 在接口上应用访问控制列表操作命令指定接口上过指定接口上过滤接收报文的滤接收报文的规则规则 firewall packet-filter acl-number inbound | outbound match-fragments normally | exactly 取消接口上过取消接口上过滤接

5、收报文的滤接收报文的规则规则 undo firewall packet-filter acl-number inbound | outbound 11包过滤基本配置l 包过滤防火墙显示与调试操作命令显示接口的有显示接口的有关防火墙的统关防火墙的统计信息计信息 display firewall packet-filter statistics all | interface type number | fragments-inspect 显示分片表显示分片表 display firewall fragment 打开防火墙包打开防火墙包过滤调试信息过滤调试信息开关开关 debugging fire

6、wall packet-filter all | denied | permitted | icmp | tcp | udp | fragments-inspect | others interface type number 12包过滤基本配置l 包过滤防火墙显示与调试(续)操作命令关闭防火墙包关闭防火墙包过滤调试信息过滤调试信息开关开关 undo debugging packet-filter firewall all | denied | permitted | icmp | tcp | udp | fragments-inspect | others interface type nu

7、mber 清除包过滤防清除包过滤防火墙的统计信火墙的统计信息息 reset firewall packet-filter statistics all | interface type number n 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n 黑名单基本配置黑名单基本配置目录目录14包过滤技术存在的问题ACL能够解决所有问题吗？15ASPF介绍介绍l 能够检查应用层协议信息能够检查应用层协议信息l 能够检测传输层协议信息能够检测传输层协议信息l Java Blocking（Java阻断）阻断

8、）l DoS（Denial of Service，拒绝服务）的检测，拒绝服务）的检测和防范和防范 l ActiveX Blocking（ActiveX阻断）阻断） l 支持端口到应用的映射，为基于应用层协议的支持端口到应用的映射，为基于应用层协议的服务指定非通用端口服务指定非通用端口 l 增强的会话日志功能增强的会话日志功能 16ASPF基本概念基本概念l Java Blockingl 端口映射端口映射l 单通道协议单通道协议/多通道协议多通道协议l 内部接口和外部接口内部接口和外部接口 17ASPF检测应用层协议基本原理检测应用层协议基本原理Client AServer被保护的网络用户A初始

9、化一个会话用户A的会话返回报文被允许通过其他会话的报文被阻断18ASPF检测多通道应用层协议基本原理检测多通道应用层协议基本原理FTP ClientFTP Serverport:1333port:1600port:21port:20控制通道连接数据通道连接FTP指令和应答port指令n 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n 黑名单基本配置黑名单基本配置目录目录20ASPF基本配置基本配置l ASPF配置包括配置包括允许防火墙配置访问控制列表定义一个ASPF策略在选定的接口上应用ASPF策略

10、过滤范围21ASPF基本配置基本配置l 允许防火墙操作命令允许防火墙允许防火墙 firewall packet-filter enable 22ASPF基本配置基本配置l 配置访问控制列表操作命令配置访问控制列表（在配置访问控制列表（在ACL视图下）视图下）rule deny将将ACL应用到出接口上应用到出接口上（在接口视图下）（在接口视图下） firewall packet-filter acl-num inbound 23ASPF基本配置基本配置l 定义ASPF策略之创建ASPF策略操作命令创建一个创建一个ASPF策略策略 aspf-policy aspf-policy-number 删除

11、创建一个删除创建一个ASPF策策略略 undo aspf-policy aspf-policy-24ASPF基本配置基本配置l 定义ASPF策略之配置空闲超时值操作命令配置空闲超时值配置空闲超时值 aging-time syn | fin | tcp | udp seconds 恢复默认的空闲超时值恢复默认的空闲超时值 undo aging-time syn | fin | tcp | udp 25ASPF基本配置基本配置l 定义ASPF策略之配置应用层检测操作命令配置空闲超时值配置空闲超时值 detect protocol aging-time seconds 删除配置的应用协议检测删除配置

12、的应用协议检测 undo detect protocol 26ASPF基本配置基本配置l 定义ASPF策略之配置通用TCP和UDP检测操作命令配置通用配置通用TCP协议检测协议检测 detect tcp aging-time seconds 配置通用配置通用UDP协议检测协议检测 detect udp aging-time seconds 删除通用删除通用TCP协议检测协议检测 undo detect tcp 删除通用删除通用UDP协议检测协议检测 undo detect udp 27ASPF基本配置基本配置l 在接口上应用ASPF策略操作命令在接口上应用在接口上应用ASPF策略策略 fire

13、wall aspf aspf-policy-number inbound | outbound 删除该接口上应用的删除该接口上应用的ASPF策略策略 undo firewall aspf aspf-policy-number inbound | outbound n 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n 黑名单基本配置黑名单基本配置目录目录29黑名单原理介绍黑名单原理介绍从202.110.10.3来的大量SYN报文192.110.10.3主机在实行SynFlood攻击，后面来的数据包不能通

14、过！防火墙30黑名单列表表项的来源黑名单列表表项的来源1.手动添加2.动态创建防火墙31黑名单过滤报文的类型以及范围黑名单过滤报文的类型以及范围l 过滤报文类型过滤报文类型IcmpTcpUdpothersl 过滤范围过滤范围blacklist globaln 包过滤介绍包过滤介绍n 包过滤基本配置包过滤基本配置n ASPF原理介绍原理介绍n ASPF基本配置基本配置n 黑名单原理介绍黑名单原理介绍n 黑名单基本配置黑名单基本配置目录目录33黑名单基本配置黑名单基本配置l 黑名单基本配置包括黑名单基本配置包括启动或禁止黑名单配置黑名单表项黑名单的显示与调试34黑名单基本配置黑名单基本配置l 启动

15、或禁止黑名单操作命令启动黑名单功能启动黑名单功能 firewall blacklist enable 禁止黑名单功能禁止黑名单功能 undo firewall blacklist enable 35黑名单基本配置黑名单基本配置l 配置黑名单表项操作命令配置黑名单表项配置黑名单表项 firewall blacklist sour-addr timeout minutes 删除黑名单表项删除黑名单表项 undo firewall blacklist item sour-addr 36黑名单基本配置黑名单基本配置l 黑名单的显示与调试操作命令显示当前黑名显示当前黑名单表项信息或单表项信息或运行状态运行状态 display firewall blacklist enable | item sour-addr 打开黑名单的打开黑名单的调试开关调试开关 debugging firewall blacklist all | item | packet n 包过滤技术的原理与配置包过滤技术的原理与配置n ASPF的原理与配置的原理与配置n 黑名单原理与配置黑名单原理与配置本章小结本章小结杭州华三通信技术有限公司