第二章 防火墙基础技术.

Presentation on theme: "第二章 防火墙基础技术."— Presentation transcript:

0 本页不打印 修订记录 课程编码 适用产品 产品版本 课程版本ISSUE 开发/优化者 时间 审核人 开发类型（新开发/优化）
HC 华为防火墙 V300R001 V2.0 开发/优化者 时间 审核人 开发类型（新开发/优化） 陈灵光 2011.7 余雷 第一版 姚传哲 2013.5 第二版

1 第二章 防火墙基础技术

2 目标 学完本课程后，您将能够: 了解防火墙的定义和分类 理解防火墙的主要功能和技术 掌握防火墙设备管理的方法 掌握防火墙的基本配置

3 目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置

4 防火墙特征 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 内网 防火墙 未经防火墙流量可防护吗？ 路由器 被入侵
防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙， 用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技术融 合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接 口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬件防火墙 。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算机设备（ IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场合，同时 能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数据加密、VPN 技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略， 阻止一些非法的访问，保护自己的网络安全。 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控 制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息进出 的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若干主机 在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算机之间是被 认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之 间，必须按照防火墙规定的“策略”进行访问。 路由器

5 防火墙分类 按照形态分为 按照保护对象分为 按照访问控制方式分为 硬件防火墙 软件防火墙 单机防火墙 网络防火墙 包过滤防火墙 代理防火墙
状态检测防火墙 防火墙发展至今已经历经三代，分类方法也各式各样，例如按照形态划分可以分为硬 件防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。但总的 来说，最主流的划分方法是按照访问控制方式进行分类。 网络防火墙，能够分布式保护整个网络，其特点： 1）安全策略集中； 2）安全功能复杂多样； 3）专业管理员维护； 4）安全隐患小； 5）策略设置复杂。 本课程重点介绍按照访问控制方式分类。

6 防火墙分类 — 包过滤防火墙 IP TCP APP 1.无法关联数据包之间关系 2.无法适应多通道协议 3.通常不检查应用层数据 TCP层
只检测报头 数据链路层 数据链路层 IP TCP APP 包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据 包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）实 施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传 递的方向等信息。 包过滤防火墙的设计简单，非常易于实现，而且价格便宜。 包过滤防火墙的缺点主要表现以下几点： 1. 随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势。 2. 静态的ACL 规则难以适应动态的安全要求。 3. 包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者可 以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，就能很轻易 地通过报文过滤器。 说明：多通道协议，如FTP协议。FTP在控制通道协商的基础上，生成动态的数据通 道端口，而后的数据交互主要在数据通道上进行。

7 防火墙分类 — 代理防火墙 1.处理速度慢 2.升级困难 外网终端 代理防火墙 内网Server 发送连接请求
对请求进行安全检查，不通过则阻断连接 通过检查后与Client建立连接 通过检查后与Server建立连接 向防火墙发送报文A 向Server发送报文A’ 代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的 业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表 外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送 给外部用户。 代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺 点主要表现在： 1. 软件实现限制了处理速度，易于遭受拒绝服务攻击。 2. 需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。 向防火墙发送回应报文B 向终端发送回应报文B’

8 防火墙分类 — 状态检测防火墙 1.处理后续包速度快 2.安全性高 Server 20.0.0.1 Host 10.0.0.1
TCP SYN` TCP SYN TCP SYN TCP ACK TCP SYN` 安全策略检查 记录会话信息 状态错误，丢弃 1.处理后续包速度快 2.安全性高 状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅 将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。我们知道，所有基于可 靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请求”、“ 服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这说明每个数据 包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态联系，从而发展出 状态检测技术。 基本原理简述如下： 状态检测防火墙使用各种会话表来追踪激活的TCP（Transmission Control Protocol ）会话和UDP（User Datagram Protocol）伪会话，由访问控制列表决定建立哪些会话， 数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该 UDP数据流建立虚拟连接（UDP是面对无连接的协议），以对UDP 连接过程进行状态监 控的会话。 状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态 信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出 恰当决定。

9 防火墙分类 — 状态检测防火墙 1.处理后续包速度快 2.安全性高 Server 20.0.0.1 Host 10.0.0.1
TCP SYN` TCP SYN TCP SYN TCP ACK TCP SYN` 安全策略检查 记录会话信息 状态错误，丢弃 1.处理后续包速度快 2.安全性高 状态检测防火墙具有以下优点： 后续数据包处理性能优异：状态检测防火墙对数据包进行ACL 检查的同时，可以将数据 流连接状态记录下来，该数据流中的后续包则无需再进行ACL检查，只需根据会话表对新 收到的报文进行连接记录检查即可。检查通过后，该连接状态记录将被刷新，从而避免重 复检查具有相同连接状态的数据包。连接会话表里的记录可以随意排列，与记录固定排列 的ACL 不同，于是状态检测防火墙可采用诸如二叉树或哈希（Hash）等算法进行快速搜索 ，提高了系统的传输效率。 安全性较高：连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文 入口随即关闭，保障了内部网络的实时安全。同时，状态检测防火墙采用实时连接状态监 控技术，通过在会话表中识别诸如应答响应等连接状态因素，增强了系统的安全性。

10 防火墙硬件平台分类 多核 NP ASIC Intel X86 防 火 墙 硬 件 平 台
新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。 NP 网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案 ASIC 硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能 Intel X86 适用于百兆网络，受CPU处理能力和PCI总线速度的限制 防火墙的硬件平台发展至今，大致可以划分为通用CPU架构、专用集成电路（ASIC, Application Specific Integrated Circuit）架构、网络处理（NP, Network Processor ）架构以及多核处理器架构。下面我们将一一进行介绍。 通用CPU架构 通用CPU架构是基于X86平台，使用一颗主CPU来处理业务的架构。网卡芯片与CPU使用 PCI总线进行数据的传输。传统32位PCI总线，网卡芯片与CPU之间的数据传输速率理论上 可以达到1056Mbits/s，理论上满足千兆防火墙的需要。但是X86平台使用的是共享总线的 一种架构，因此如果有两块网卡同时传输数据，则平均下来每块网卡只能获得528 Mbits/s的速率。网卡数量越多，获得的速率就越低，并且只要超过一块网卡，速率就低 于1000Mbits/s。另外，基于X86平台的架构，其线程调度机制是采用中断方式来实现的， 因此当网络中出现大量数据小包时，与大包相比，相同的流量将产生更多的中断，此时防 火墙的吞吐量就只有20％左右，并且CPU占用率非常高。因此实际上这种基于X86平台的架 构就无法满足千兆防火墙的需要，只适合作为百兆防火墙的硬件平台方案。 随着硬件技术的发展，后来Intel针对PCI总线提出一种新的解决方案——PCI- Express。PCI-E的主要优势就是数据传输速率高，目前最高可达到10GB/s以上。X86平台 使用PCI-E技术后，数据传输速率已经可以满足千兆防火墙的要求，但是其中断机制对整 机处理速率的影响仍然存在，因此X86采用PCI-E技术后仍有很大的问题需改进。 防 火 墙 硬 件 平 台

11 防火墙硬件平台分类 多核 NP ASIC Intel X86 防 火 墙 硬 件 平 台
相比之下，基于ASIC架构的防火墙从架构上改进了中断机制。ASIC设计专门的ASIC芯片 对数据进行加速处理，并且将指令以及算法直接固化到芯片中。数据从网卡收到以后， 不经过主CPU处理，而是经过集成在网卡上的ASIC芯片，通过ASIC芯片直接对数据进 行处理并转发。这样，数据就并非全部需要通过主CPU来处理，芯片处理也不采用中 断机制，自然可以明显提高了防火墙的处理性能。 但ASIC也有它自己的短板，就是它的灵活性及扩展性非常差。ASIC架构毕竟采用的是芯 片，然而芯片的开发非常困难，能够处理的业务也非常有限，面对应用较为复杂的网络 时，ASIC架构明显无法胜任。 NP架构 NP架构可以说是CPU方案与ASIC方案的一个折衷方案，它在每块网卡上使用了一个网络 处理器。网络处理器是专门为网络设备处理网络流量而设计的处理器。NP与X86架构 相比，在性能上有着明显的优势。但网络处理器微码编程还是不够灵活，功能的扩展仍 然受到一定程度的限制；与ASIC相比，由于处理流程对软件一定程度上的依赖，因而 转发性能也比ASIC稍弱。 多核架构 从上面可以看出，通用CPU架构、NP架构以及ASIC架构各有优缺点。多核架构的出现极 大地缓和了这些矛盾。多核架构中每一个核都是一个通用CPU，相对于多CPU方案提 供了更高的集成度、更高效的核间通信和管理机制。少量的核完成管理功能，大多数核 完成例行的业务处理功能。有些CPU通过协处理器来实现加解密，而且由于可以采用c 编程，功能扩展不受控制，平台可以实现VPN加解密、防火墙、UTM等业务而不影响 相应性能。 多核作为新一代的硬件平台，对软件开发技术的要求非常高，如何有效实现和发挥多核技 术的优势，是基于多核硬件平台进行产品开发的巨大挑战。对这种基于多核硬件平台的 防火墙，华为防火墙融合了许多技术优势，更完美地利用多核技术，如多核操作系统 SOS（Security Operation System）。多核处理器有强大的并行处理能力和I/O能力， 硬件辅助数据报文调度能力，但是通用的操作系统在CPU内核数量增加的情况下，效 率下降很快。SOS系统高效、稳定、安全，适合作为高性能网络转发、安全业务开发 平台，支持高效的报文调度，并发处理，最大程度的提高多核CPU的利用率。 多核 新一代的硬件平台。多核方案，更高的集成度、更高效的核间通信和管理机制。 NP 网络处理器是专门为处理数据包而设计的可编程处理器，是X86与ASIC之间的折衷方案 ASIC 硬件集成电路，它把指令或计算逻辑固化到硬件中，获得高处理能力，提升防火墙性能 Intel X86 适用于百兆网络，受CPU处理能力和PCI总线速度的限制 防 火 墙 硬 件 平 台

12 防火墙组网方式——二层以太网接口 组网特点 Internet 对网络拓扑透明 不需要更改组网 192.168.10.1/30 Untrust
/30 在此组网方式下，防火墙只进行报文转发，不能进行路由寻址，与防火墙相连两个业 务网络必须在同一个网段中。此时防火墙上下行接口均工作在二层，接口无IP地址。 防火墙此组网方式可以避免改变拓扑结构造成的麻烦，只需在网络中像放置网桥（ Bridge）一样串入防火墙即可，无需修改任何已有的配置。IP报文同样会经过相关的过滤 检查，内部网络用户依旧受到防火墙的保护。

13 防火墙组网方式——三层以太网接口 组网特点 支持更多安全特性 对网络拓扑有所影响 Internet 192.168.10.1/30
/30 Untrust Trust 在此组网方式时，防火墙位于内部网络和外部网络之间时，与内部网络、外部网络相 连的上下行业务接口均工作在三层，需要分别配置成不同网段的IP地址，防火墙负责在内 部网络、外部网络中进行路由寻址，相当于路由器。 此组网方式，防火墙可支持更多的安全特性，比如NAT 、UTM等功能，但需要修改 原网络拓扑，例如，内部网络用户需要更改网关，或路由器需要更改路由配置等。因此， 做为设计人员需综合考虑网络改造、业务中断等因素。 /30 /30

14 什么是安全区域？ 安全区域（Security Zone），或者简称为区域（Zone）。 Zone是本地逻辑安全区域的概念。
DMZ区域 Trust区域 Untrust区域 Internet Zone的作用 安全策略都基于安全区域实施 在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全 策略。 只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相 应的安全策略。 在防火墙中，同一个接口所连网络的所有网络设备一定位于同一安全区域中，而 一个安全区域可以包含多个接口所连的网络。

15 防火墙安全区域分类 缺省安全区域 ISP A ISP B 用户自定义安全区域 非受信区域Untrust 非军事化区域DMZ
本地区域Local 用户自定义安全区域 User Zone 1 User Zone 2 企业内网 财务服务器 ERP数据服务器 OA服务器 用户终端 ISP B ISP A 邮件服务器 Web服务器 Untrust DMZ Trust Local区域呢？ 防火墙支持多个安全区域，缺省支持非受信区域（Untrust）、非军事化区域（DMZ） 、受信区域（Trust） 、 本地区域（Local） 四种预定义的安全区域外，还支持用户自定 义安全区域。 防火墙缺省保留的四个安全区域相关说明如下： 非受信区域Untrust：低安全级别的安全区域，安全级别为5。 非军事化区域DMZ：中等安全级别的安全区域，安全级别为50。 受信区域Trust：较高安全级别的安全区域，安全级别为85。 本地区域Local：最高安全级别的安全区域，安全级别为100。 这四个安全区域无需创建，也不能删除，同时各安全级别也不能重新设置。安全级别 用1 ～ 100 的数字表示，数字越大表示安全级别越高。 需要注意的是，将接口加入安全区域这个操作，实际上意味着将该接口所连网络加入 到安全区域中，而该接口本身仍然属于系统预留用来代表设备本身的Local安全区域 。 USG防火墙最多支持32个安全区域。

16 防火墙安全区域与接口关系 安全区域与接口关系 防火墙是否存在两个具有完全相同安全级别的安全区域？
防火墙是否允许同一物理接口分属于两个不同的安全区域？ 防火墙的不同接口是否可以属于同一个安全区域？ Internet G0/0/2DMZ区域 G0/0/3Untrust区域 G0/0/0Trust区域 G0/0/1Trust区域 在防火墙中是以接口为单位来进行分类，即同一个接口所连网络的所有网络设备一定 位于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。这里的接口既可以 是物理接口，也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同 一物理接口所连的不同网段的用户划入不同安全区域的功能。 思考： 1）若不同接口均属于同一个安全区域的场景下，域间安全转发策略是否会生效？

17 防火墙安全区域的方向 Inbound与Outbound定义 什么是Inbound? 什么是Outbound？ Outbound
高 安 全 级 别 低 企业内网 Untrust 区域 Internet Trust区域 Outbound Inbound 两个安全区域之间（简称安全域间）的数据流分两个方向： 入方向（inbound）： 数据由低安全级别的安全区域向高安全级别的安全区域传输的方向； 出方向（outbound）： 数据由高安全级别的安全区域向低安全级别的安全区域传输的方向； 高优先级与低优先级是相对的。 不同安全级别的安全区域间的数据流动都将激发USG防火墙进行安全策略的检查。可 以事先为同一安全域间的不同方向设置不同的安全策略，当有数据流在此安全域间的两个 不同方向上流动时，将触发不同的安全策略检查。

18 目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置

19 防火墙多业务功能 交换 路由 安全 统一管理 UTM WLAN/WWAN FE, GE VLAN Trunk,802.1ad 静态路由
策略路由 RIPv2 OSPFv2 BGPv4 ACL NAT VPN:L2TP/GRE/IPSec/SSL/ MPLS P2P/IM UTM 统一管理 UTM WiFi 802.11bg PPP PPPoE ADSL2+ HDLC 3G SNMPv2v3 RMON TR069 Telnet/SSL/HTTP(s) FTP/TFTP SYSLOG AV IPS 反垃圾邮件 URL过滤 防火墙支持以下特性： 路由 IPv4路由和IPv6路由 支持静态路由 支持RIP、OSPF、BGP、ISIS等动态路由 支持路由策略和路由叠代 统一管理 SNMP Web管理 NTP Ethernet 支持二层、三层以太网接口。支持二层、三层以太网接口之间互相切换 Eth-Trunk和VLAN 安全 UTM（统一威胁管理） 接入技术 WLAN/WWAN

20 防火墙主要功能 — 访问控制 IP TCP MAC 策略 访问控制 识别报头标识，给出执行措施 主机A 服务器 访问控制操作 数据载荷
防火墙的主要功能是策略（policy）和机制（mechanism）的集合，它通过对流经数 据流的报文头标识进行识别，以允许合法数据流对特定资源的授权访问，从而防止那些无 权访问资源的用户的恶意访问或偶然访问。 实现访问控制的主要工作过程如下： 1. 对于需要转发的报文，防火墙先获取报文头信息，包括IP 层所承载的上层协议的协 议号、报文的源地址、目的地址、源端口号和目的端口号 2. 将报文头信息和设定的访问控制规则进行比较。 3. 根据比较结果，按照访问控制规则设定的动作，允许或拒绝对报文的转发。 访问控制操作

21 防火墙基本功能—深度检测技术 基于特征字的识别技术 基于应用层网关识别技术 基于行为模式识别技术
深度报文检测（DPI, Deep packet inspection）是相对普通报文分析而言的一种新技 术，普通报文检测仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目 的端口以及协议类型，而DPI则在此基础上，增加了对应用层的分析，可识别出各种应用 及其内容。 针对不同的协议类型，识别技术一般可划分为以下三类。 基于特征字的识别技术 不同的应用通常会采用不同的协议，而各种协议都有其特殊的指纹，这些指纹可能是 特定的端口、特定的字符串或者特定的Bit序列。基于特征字的识别技术，正是通过识别数 据报文中的指纹信息来确定业务流所承载的应用。 基于应用层网关识别技术 我们知道，有一类业务的控制流与业务流是分离的，其业务流没有任何特征。例如， SIP、H323协议都属于这种类型的协议。SIP、H323通过信令交互过程，协商得到其数据 通道，一般是RTP格式封装的语音流。也就是说，纯粹检测RTP流并不能确定这条RTP流 是通过哪种协议建立起来的，只有通过检测SIP或H323的协议交互，才能得到其完整的分 析。 基于行为模式识别技术 在实施行为模式识别技术之前，必须首先对终端的各种行为进行研究，并在此基础上 建立起行为识别模型。从 的内容看，垃圾邮件（SPAM）业务流发送邮件的速率、 目的邮件地址数目、变化频率等参数，建立起行为识别模型，并以此分拣出垃圾邮件。

22 SACG联动技术 分支机构 Agent Agent Agent VPN 访问 认证后域 Agent SACG UCL：帐号ACL
SM: 管理服务器 SC: 控制服务器 SM SC 安全审计员 安全接入控制网关（Security Access Control Gateway，简称SACG）：控制终端的网 络访问权限，对不同的用户，不同安全状况的用户开放不同的权限。由SC控制服务器对 终端进行认证，并把结果通知SACG，SACG根据UCL策略决定终端的访问权限，防止外 部用户访问企业内部网络，防止内部合法但不安全用户连接到企业网络进一步感染公司网 络。 以SACG接入设备为参考点，内部网络划分为主要的三个逻辑区域： 接入区域：接入区域由一组客户端组成，这些客户端安装了TSM代理Agent，通过二层 交换或者三层交换组成一个本地网络； 认证前域：认证前域是一个逻辑区域，通过对SACG进行ACL配置，可以确保用户在获 得接入授权之前，只能访问ACL指定的网络或者主机。终端安全管理系统的认证前域主要 包括SM管理服务器、SC控制服务器、AD域管理服务器、防病毒服务器、补丁服务器等； 认证后域：认证后域是一个逻辑区域，与认证前域相对应。通过对SACG进行配置，当 用户获得业务授权后，就可以访问认证后域的业务资源。比如OA业务服务器、ERP业务 服务器、财务服务器等； SRS SPS 域管理 服务器 防病毒服务器 安全管理员 补丁服务器 认证前域

23 双机热备技术 提供冗余备份功能 统一设备上所有接口的主备状态 同步防火墙之间会话信息即配置信息 TRUST域 UNTRUST域 PC 服务器
主防火墙 内部网络 /24 外部网络 /24 通常，内部网络的主机都配置一条缺省路由，下一跳为出口路由器的接口IP地址。 内外部用户的交互报文全部通过Router。如果Router出现故障，内部网络中所有以Router 为缺省路由下一跳的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。 虚拟路由冗余协议（VRRP, Virtual Router Redundancy Protocol）将局域网的一组 路由器组织成一个虚拟路由器，称之为一个备份组。其中，仅有一台设备处于活动状态， 称为主用设备（Master）；其余设备都处于备份状态。 借助VGMP机制，可以实现对多个VRRP备份组的状态一致性管理、抢占管理和通道管理 等，保证一台防火墙上的接口同时处于主用或备用状态，实现防火墙防火墙VRRP状态的一 致性。 另外，启动HRP功能后，Master和Backup设备之间将实时同步关键配置命令和会话表 状态信息。如果Master设备发生故障，导致VRRP管理组状态改变，引起VRRP备份组抢占， 从而实现Backup设备平滑地接替工作。 详细内容将在后面章节进行详细介绍。 备防火墙

24 IP Link技术 X IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括： 应用在静态路由中 应用在双机热备份中 运营商A
运营商B IP-Link自动侦测的侦测结果可以被其他特性所引用，主要应用包括： 应用在静态路由中 应用在双机热备份中 链路可达检测功能 IP-Link自动侦测是利用ICMP或者ARP协议的特征对业务链路正常与否进行的自动侦 测。它定时地向指定的目的IP地址发送ICMP或者ARP请求，等待相应目的IP地址的回应 ，根据回应的情况判断网络的连通状况。 如果在设定的时限内未收到回应报文，则认为链路发生故障，并进行后续相应的操作 。当原来认为发生故障的链路，在之后设定的时限内，有连续3个回应报文返回，则认为 发生故障的链路已经恢复正常，此后进行链路恢复的相关操作。 IP-Link自动侦测的侦测结果（目的主机可达或者不可达）可以被其他特性所引用，主 要应用包括： 应用在静态路由中 当IP-Link侦测出链路不可达时，防火墙会对自身的静态路由进行相应的调整。如原来 高优先级的静态路由所经链路被检测到发生故障，防火墙会选择新的链路进行业务转发。 如果高优先级的静态路由链路故障恢复正常时，防火墙又会进行静态路由的调整，用高优 先级的路由替换低优先级的路由，保证每次用到的链路是最高优先级的并且是可达的，以 保持业务的持续进行。 应用在双机热备份中 当IP-Link侦测出链路不可达时，防火墙会对自身VGMP的优先级进行相关调整，引发 主备切换，从而保证业务能够持续流通。

25 QoS技术 端到端的流量控制 接收报文 分类与标记 拥塞监管 拥塞管理 带宽保证 提供业务质量保障 提高客户服务满意程度
流分类依据一定的匹配规则识别出对象，是有区别地实施服务的前提。 流量监管对进入网络的特定流量的规格进行监管。当流量超出规格时，可以采取 限制或惩罚措施，以保护客户的商业利益和网络资源不受损害。 流量整形限制从某一网络流出的某一连接的流量，使这一流量的报文以比较均匀 的速度向外发送，是一种主动调整流量输出速率的措施。 拥塞管理是一种当拥塞发生时制定资源的调度策略从而决定报文转发时的处理次 序的机制，主要调度策略包括FIFO、CQ、PQ、WFQ、RTP等队列。 说明： 对于三层接口，USG5500只有在接口上配置了接口限速功能后，接口上的队 列功能才会生效，基于类的WRR功能不受该限制。 拥塞避免是指通过监视网络资源（如队列或内存缓冲区）的使用情况，在拥塞有 加剧的趋势时，主动丢弃报文，通过调整网络的流量来解除网络过载的一种流控 机制。 保证资源利用最大化，全面提升服务质量 25

26 防火墙日志审计 通过二进志日志格式实现高速日志流传输 可收集网络中所有通过该设备的日志
企业内网 企业内网用户 外部网络 日志服务器 通过二进志日志格式实现高速日志流传输 可收集网络中所有通过该设备的日志 Elog是华为防火墙专用的日志软件，可以支持通用的Syslog日志和二进制日志。 Syslog日志 像普通系统日志以及流量监控日志（除DPI流量监控日志外）采用Syslog方式以文本 格式进行输出。这些日志信息必须通过信息中心模块进行日志管理和输出重定向，然后显 示在终端屏幕上，或者发送给日志主机进行存储和分析。 二进制日志 像会话日志中NAT/ASPF产生的日志、DPI流量监控日志，对于这种类型的日志提供 了一种“二进制”输出方式，直接输出到二进制日志主机以便对日志进行存储和分析，无 需信息中心模块的参与。 配合eLog日志软件，可以为用户提供清晰网络日志和访问记录。

27 攻击防范 网络攻击主要分为四大类： 流量型攻击 扫描窥探攻击 畸形报文攻击 特殊报文攻击 Packets Attacker 受害主机
流量型攻击是指攻击者通过大量的无用数据占用过多的资源以达到服务器拒绝服务的 目的。 扫描窥探攻击 扫描窥探攻击主要包括IP地址扫描和端口扫描，从而准确的发现潜在的攻击目标。 畸形报文攻击 畸形报文攻击是指通过向目标系统发送有缺陷的IP报文。主要的畸形报文攻击有Ping of Death、Teardrop等。 特殊报文攻击 特殊报文攻击是指攻击者利用一些合法的报文对网络进行侦察或者数据检测，这些报 文都是合法的应用类型，只是正常网络很少用到。

28 防火墙报文统计 报文统计 防火墙对报文统计结果的分析有如下两个方面：
对于防火墙来说，不仅要对数据流量进行监控，还要对内外部网络之间的连接发起情况进行检测，因此要进行大量的统计、计算与分析。 防火墙对报文统计结果的分析有如下两个方面： 专门的分析软件事后分析日志信息。 防火墙实时完成一部分分析功能。 通过对报文统计分析，防火墙实现了对内部网络的保护。如： 通过分析外部网络向内部网络发起的TCP 或UDP 连接总数是否超过设定的阈值 ，可以确定是否需要限制该方向的新连接发起，或者限制向内部网络某一IP地址 发起新连接。 通过分析发现系统的总连接数超过阈值，则可以加快系统的连接老化速度，以保 证新连接能够正常建立，防止因系统太忙而导致拒绝服务情况的发生。

29 防火墙黑名单 黑名单 创建黑名单表项，有如下两种方式： 来自192.168.1.1的报文 查找黑名单 丢弃
黑名单 黑名单是一个IP地址列表。防火墙将检查报文源地址，如果命中, 丢弃所有报文 快速有效地屏蔽特定IP地址的用户。 创建黑名单表项，有如下两种方式： 通过命令行手工创建。 通过防火墙攻击防范模块或IDS模块动态创建。 防火墙动态创建黑名单的工作过程如下： 1. 根据报文的行为特征检测到来自特定IP地址的攻击企图。 2. 自动将这一特定IP地址插入黑名单表项。 3. 防火墙根据黑名单丢弃从该IP地址发送的报文，从而保障网络安全。 通过在黑名单中引用高级ACL，可绑定黑名单和高级ACL，确保一些特殊用户免受黑 名单的干扰。此时的安全策略是根据高级ACL规则确定是否允许该报文通过。对于ACL规 则拒绝的流量进行丢弃，而ACL规则允许的流量则允许通过，此时即使用户被加入黑名单 ，仍能正常通信。

30 负载均衡 负载均衡。 负载均衡采用以下技术，将用户流量分配到多台服务器： 将访问同一个IP地址的用户流量分配到不同的服务器上。 虚服务技术
服务器健康性检测 基于流的转发 即通过指定算法，将数据流发送到各个真实服务器进行处理。 负载均衡采用以下技术，将用户流量分配到多台服务器： 虚服务技术。防火墙配置负载均衡功能后，多个服务器共用一个公网IP地址（即虚 拟IP地址），这些服务器被称作真实服务器。用户对这些真实服务器上内容的访问 都通过该虚拟IP地址进行。每一个真实服务器使用不同的私网IP地址（即实IP地址 ），由多层交换机/防火墙将访问虚拟IP地址的流量按照预先配置的算法分配到每一 个真实服务器。 服务器健康性检测。即防火墙通过周期性的探测真实服务器，实现健康性检查功能 。真实服务器如果可用，则返回应答报文；如果不可用，一段时间后防火墙将禁止 该真实服务器，将流量按配置好的策略分配到其他的实服务器上。 基于流的转发。即通过指定算法，将数据流发送到各个真实服务器进行处理。

31 应用控制 DPI（Deep Packet Inspection），即深度报文检测技术。使用DPI知识库中的规则，对P2P、VoIP、Video等多种应用数据，可以对识别的网络流量进行允许通过、阻断、限制连接数和限速等控制动作。 P2P Upload P2P Download Visible pipe VoIP Web TV Video Conferencing ftp 带宽管理 DPI（Deep Packet Inspection），即深度报文检测技术，是对数据流中的应用层数 据进行内容检测的技术。对通过解析的数据包，使用DPI知识库中的规则，对应用数据进 行匹配，分析报文或流在IP和UDP/TCP层以上的应用类型。 在匹配成功后，根据应用的需求，可以对识别的网络流量进行允许通过、阻断、限制 连接数和限速等控制动作。

32 防火墙性能指标 — 吞吐量 吞吐量：防火墙能同时处理的最大数据量 有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率
吞吐量是指防火墙对报文的处理能力。RFC2647中定义，防火墙的吞吐量是指防火墙 对指定的数据载荷每秒钟接收、处理并正确转发到目的接口的比特数。在测试防火墙吞吐 量时将忽略错误流量以及重传的流量，即只计算能够正确转发到目的接口的流量；另外防 火墙吞吐量还需要对不同载荷级别的流量、不同方向的流量等进行测试，最终取平均值。 对于载荷级别，业界一般都是使用1K～1.5Kbyte的大包来衡量防火墙对报文的处理能力。 但网络流量大部分是200Byte的报文，因此测试时还应考虑小包吞吐量。同时由于防火墙 需要配置规则，因此还需要测试防火墙支持ACL下的转发性能。

33 防火墙性能指标 — 时延 定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于测量防火墙处理数据的速度理想的情况
数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，是用于 测量防火墙处理数据的速度理想的情况。 Smartbits 6000B

34 防火墙性能指标 — 每秒新建连接数 定义：指每秒钟可以通过防火墙建立起来的完整TCP连接 该指标是用来衡量防火墙数据流的实时处理能力
由于防火墙的连接是根据当前通信双方状态而动态建立的。每个会话在数据交换之前 ，在防火墙上都必须建立连接。如果防火墙建立连接速率较慢，在客户端反映是每次通信 有较大延迟。因此支持的指标越大，转发速率越高。在受到攻击时，这个指标越大，抗攻 击能力越强；另外这个指标越大，状态备份能力也越强。

35 防火墙性能指标 — 并发连接数 定义：由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。 该参数是用来衡量主机和服务器间能同时建立的最大连接数 并发连接数指的可以同时容纳的最大的连接数目。 由于防火墙是针对连接进行处理报文的，并发连接数目是指的防火墙可以同时容纳的 最大的连接数目，一个连接就是一个TCP/UDP的访问。并发连接数指标越大，抗攻击能 力也越强。当防火墙上并发连接数达到峰值后，新的连接请求报文到达防火墙时将被丢弃 。 并发连接 并发连接

36 目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置

37 防火墙设备管理概述 设备登录管理 设备文件管理 Console登录 Web登录 telnet登录 SSH登录 配置文件管理
系统文件管理（软件升级） License管理 设备登录管理 Console:通过RS-232配置线连接到设备上，使用Console方式登录到设备上，进行配 置。 Telnet: 通过PC终端连接到网络上，使用Telnet方式登录到设备上，进行配置。 Web : 在客户端通过Web浏览器访问设备，进行控制和管理。 SSH: 提供安全的信息保障和强大认证功能，保护设备系统不受IP欺骗、明文密码截 取等攻击。 设备文件管理 配置文件是设备启动时要加载的配置项。用户可以对配置文件进行保存、更改和清除 、选择设备启动时加载的配置文件等操作。系统文件包括USG设备的软件版本，特征库文 件等。一般软件升级需要管理系统文件。 系统软件升级。上传系统软件到设备可通过TFTP方式和FTP方式上传系统软件到设备上 。 升级系统软件 配置设备下次启动时使用的软件系统。 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式， License可以动态控制产品的某些特性是否可用。

38 设备登录管理 设备登录管理组网- Console 设备登录管理组网- Web / SSH / Telnet 直接相连（通过局域网）
远程连接（通过广域网） 通过Console口登录： 使用PC终端通过连接设备的Console口来登录设备，进行第一次上电和配置。当用户 无法进行远程访问设备时，可通过Console进行本地登录；当设备系统无法启动时，可通 过console口进行诊断或进入BootRom进行系统升级。 通过Telnet登录： 通过PC终端连接到网络上，使用Telnet方式登录到设备上，进行本地或远程的配置， 目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对设备进行远程管理 和维护。 通过SSH登录： 提供安全的信息保障和强大认证功能，保护设备系统不受IP欺骗、明文密码截取等攻击 。SSH登录能更大限度的保证数据信息交换的安全。 通过Web登录： 在客户端通过Web浏览器访问设备，进行控制和管理。适用于配置终端PC通过Web方 式登录。 注意：PC和USG以太网口的IP地址必须在同一网段或PC和USG之间有可达路由。

39 通过Console口登录设备 如果使用PC进行配置，需要在PC上运行终端仿真程序（如Windows3.1的Terminal， Windows98/Windows2000/Windows XP的超级终端），建立新的连接。如图所示，键入 新连接的名称，单击“确定”。 在串口的属性对话框中设置波特率为9600，数据位为8，奇偶校验为无，停止位为1， 流量控制为无，单击“确定”，返回超级终端窗口。 打开设备电源开关。设备上电后，检查设备前面板上的指示灯显示是否正常。 华为技术有限公司 版权所有 未经许可不得扩散

40 通过Web方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来登录Web界面。
将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 将PC的以太网口与设备的缺省管理接口直接相连，或者通过交换机中转相连。 在PC的浏览器中访问 缺省情况下，设备开启HTTP；建议开启HTTPS，提高安全性。用户可以通过用户名/ 只有GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址（ /24），并 开放Trust域到Local域的缺省包过滤，方便初始登录设备。 缺省情况下开放Local域到其他任意安全区域的缺省包过滤，方便设备自身的对外访问 。 其他接口都没有加安全区域，并且其他域间的缺省包过滤关闭。要想设备转发流量必 须将接口加入安全区域，并配置域间安全策略或开放缺省包过滤。 华为技术有限公司 版权所有 未经许可不得扩散

41 Web登录配置管理 配置USG的IP地址。(略） 配置USG接口Web设备管理。 启动Web管理功能。 配置Web用户。
[USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage http permit 启动Web管理功能。 [USG] web-manager security enable port 2000 配置Web用户。 [USG] aaa [USG-aaa] local-user webuser password cipher [USG-aaa] local-user webuser service-type web [USG-aaa] local-user webuser level 3 开启HTTP 执行命令system-view，进入系统视图。 执行命令web-manager enable [ port port-number ]，开启HTTP。 此时在Web浏览器中应该通过 开启HTTPS（默认证书） 执行命令web-manager security enable port port-number，开启HTTPS。 此时在Web浏览器中应该通过 local-user level命令用来配置本地用户的优先级。 Level 3：管理级 华为技术有限公司 版权所有 未经许可不得扩散

42 Web登录配置管理 配置Web管理员，并启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。
新建管理员和管理员级别。 Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。 启动Web管理功能，根据客户需求启动HTTP或者HTTPS管理，以及设置端口号。 开启HTTP/HTTPS服务后（设备作为Web服务器），配置终端通过HTTP/HTTPS协 议（Web方式）登录设备，实现远程配置和管理。相比HTTP，HTTPS具有更高的安全性 。在一个需要更高安全保证的网络环境下，建议使用HTTPS服务。 选择“系统 > 管理员 > 设置”。 选中“HTTP服务”或“HTTPS服务”对应的“启用”。 可以同时开启HTTP服务 和HTTPS服务。 在“HTTP服务端口”或“HTTPS服务端口”中输入端口号。 单击“应用”。

43 通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。
课程名称 通过Telnet方式登录设备 设备缺省可以通过GigabitEthernet0/0/0接口来实现Telnet登录。 将管理员PC的网络连接的IP地址获取方式设置为“自动获取IP地址”。 通过Putty telnet ，进入登录页面。 GigabitEthernet 0/0/0接口加入Trust域并提供缺省IP地址（ /24），并开放 Trust域到Local域的缺省包过滤，方便初始登录设备。 华为技术有限公司 版权所有 未经许可不得扩散

44 Telnet登录配置管理 配置USG接口telnet设备管理。 配置vty interface。 配置Telnet用户信息。
课程名称 Telnet登录配置管理 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置vty interface。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound telnet 配置Telnet用户信息。 [USG] aaa [USG-aaa] local-user user1 password cipher [USG-aaa] local-user user1 service-type telnet [USG-aaa] local-user user1 level 3 USG提供两种验证方式来检查远端Telnet用户的合法性，分别是密码验证和AAA验证。 使用密码方式远程Telnet 验证方式为密码验证时，远端用户登录到USG只需要输入密码。 执行命令user-interface [ interface-type ] first-number [ last-number ]，进入VTY 用户界面视图。 执行authentication-mode password，配置验证方式为密码验证。 执行set authentication password cipher password，设置Password验证的密码 使用AAA方式远程Telnet 执行命令authentication-mode aaa，配置验证方式为AAA验证。 执行命令protocol inbound { all | telnet }，配置用户界面支持Telnet协议。 执行命令aaa，进入AAA视图。 执行命令local-user user-name password cipher password，创建本地用户。 执行命令local-user user-name service-type telnet，配置本地用户的服务类型为 telnet。 执行命令local-user user-name level level，配置本地用户的级别。

45 Telnet登录配置管理 配置Telnet管理员 新建管理员和管理员级别。
Note：不需要设置Web，FTP，Telnet等类别。默认支持所有用户类别。

46 通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略） 配置USG接口telnet设备管理。 配置RSA本地密钥对。
课程名称 通过SSH方式登录设备 (1) 配置USG的接口IP地址。 (略） 配置USG接口telnet设备管理。 [USG-GigabitEthernet0/0/1] service-manage enable [USG-GigabitEthernet0/0/1] service-manage telnet permit 配置RSA本地密钥对。 <USG> system-view [USG] rsa local-key-pair create It will take a few minutes. Input the bits in the modulus[default = 512]:512 Generating keys 配置VTY用户界面。 [USG] user-interface vty 0 4 [USG-ui-vty0-4] authentication-mode aaa [USG-ui-vty0-4] protocol inbound ssh SSH可以为用户登录设备系统提供安全的信息保障和强大的认证功能。配置USG接口 SSH设备管理，管理员根据实际的需要打开。 在USG上生成本地密钥对。 成功完成SSH登录的首要操作是：配置并产生本地RSA密钥对。请您在进行其它SSH 配置之前，一定记得完成rsa local-key-pair create配置，生成本地密钥对。此命令只需 执行一遍，设备重启后不必再次执行。

47 通过SSH方式登录设备 (2) 以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。
课程名称 通过SSH方式登录设备 (2) 新建用户名为Client001的SSH用户，且认证方式为password。 [USG] ssh user client001 [USG] ssh user client001 authentication-type password [USG] aaa [USG-aaa] local-user client001 password cipher [USG-aaa] local-user client001 service-type ssh 配置SSH用户Client001的服务方式为STelnet，并启用STelnet服务。 [USG] ssh user client001 service-type stelnet [USG] stelnet server enable 以上配置完成后，运行支持SSH的客户端软件，建立SSH连接。 在USG上创建SSH用户。 设备作为SSH服务器时，可配置对SSH用户的验证方式为Password、RSA方式。 上图以Password为例。 启用USG的服务方式为STelnet/SFTP服务。 执行命令ssh user user-name service-type { sftp | stelnet | all }，为SSH用户配置 服务方式。 在使用SSH1.5版本配置SSH终端服务时，不需进行该配置；在使用SSH2.0版本 配置SSH终端服务时，必须配置该命令。 启用USG的STelnet/SFTP服务。 配置SSH服务器功能。 执行命令stelnet server enable，启用Stelnet服务。 华为技术有限公司 版权所有 未经许可不得扩散

48 配置文件管理 配置文件类型 配置文件操作 saved-configuration current-configuration 保存配置文件
擦除配置文件（恢复出厂配置） 配置下次启动时的系统软件和配置文件 重启设备 saved-configuration: USG设备下次上电启动时所用的配置文件，存储在USG的Flash或者CF卡，重启 不会丢失。 current-configuration: USG设备当前生效的配置，命令行和Web操作都是修改current-configuration。 存储在USG的内存中，重启丢失。 保存配置 作用：为了使当前配置能够作为防火墙下次上电时的起始配置。 方法1 (命令行)：在用户视图下，执行命令save。 方法2 (Web)：选择“主页”右上方的“保持”按钮。如下图所示。 重启防火墙 作用：防火墙将重新启动，并将重启动作记录至日志中。 方法1 命令行：在用户视图下，执行命令reboot命令。 方法2 Web：选择“系统 >维护>系统重启”如图所示。

49 配置文件管理 配置文件类型 配置文件操作 saved-configuration current-configuration 保存配置文件
擦除配置文件（恢复出厂配置） 配置下次启动时的系统软件和配置文件 重启设备 擦除配置文件。 作用：配置文件被擦除后，防火墙下次上电将采用缺省的配置参数进行初始化。 方法1(命令)：在用户视图下，执行命令reset saved-configuration。 方法2(Web)：选择“系统 >维护>配置管理”，执行恢复出厂配置按钮 方法3（硬件reset按钮）：如果设备没有上电：先按住RESET按钮，再打开电源开 关。当面板上设备指示灯同时以2次/秒的频率闪烁时，松开RESET按钮，设备会 使用缺省配置启动。 方法4（硬件reset按钮）：如果设备已经正常启动：长时间（超过10秒）按住 RESET。设备将重启并使用缺省配置进行启动。 配置下次启动时的系统软件 命令行：在用户视图下，执行命令startup system-software sysfile。 Web：选择“系统 >维护>系统更新”，“选择”下次启动系统软件按钮。

50 版本升级(命令行) 使用TFTP下载文件 使用FTP下载文件 注：以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件
执行命令tftp tftp-server-address or hostname get source-filename [ destination-filename ] 使用FTP下载文件 执行命令ftp ip-address [ port-number ] [ vpn-instance vpn-instance-name ]，与FTP服务器建立控制连接，并进入FTP客户端视图。 注：以上两种下载文件的方式二选一即可 配置系统下次启动时使用的系统软件 执行startup system-software sys-filename。 通过TFTP方式 USG作为TFTP客户端从TFTP服务器上获得系统软件。这种情况下，不要求 TFTP服务器和USG在同一个网段，只要保证二者之间路由可达即可。 通过FTP方式 这种情况下，不要求FTP服务器和USG在同一个网段，只要保证二者之间路由可达即可。 USG作为FTP客户端。 在FTP主机上运行FTP服务器程序，并把需要下载的系统软件放到相应的 FTP的工作目录下，在USG用户视图下，通过命令下载系统软件到USG的 相应目录下，具体操作请参见上传、下载文件。 USG作为FTP服务器。 在USG上启动FTP服务器，通过FTP客户端登录到USG后，把系统软件上 传到USG相应的目录下。

51 版本升级（Web） 一键式升级 说明：如果在升级过程中空然断电，那么系统将无法启动 一键升级系统软件
如果当前设备的存储空间不足，设备将自动删除当前运行的系统软件。 系统软件必须以“.bin”作为扩展名，不支持中文。 选择“系统 > 维护 > 系统更新”。 单击“一键式版本升级”，显示一键系统软件升级向导界面。 可选：依次单击“导出”，将设备上的告警信息、日志信息和配置信息导出到终 端。建议将配置信息保存到终端。 单击“浏览”，选择待上传的系统软件。 根据当前网络是否允许设备升级后立即重启，选中“设置为下次启动系统软件， 并重启系统”或“设置为下次启动系统软件，不重启系统”前的单选框。 重启设备后，才能使用升级后的系统软件。

52 License配置 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，License可以动态控制产品的某些特性是否可用。 激活License 执行命令system-view，进入系统视图。 执行命令license file license-file，激活指定的License文件。 可以通过命令display license，查看License的信息。 点击此处，上传将要激活的License文件 手动激活License License文件必须以“.dat”作为扩展名，不支持中文。 选择“系统 > 维护 > License管理”。 在“License激活方式”中选择“本地手动激活”。 单击“浏览”，选择待上传的License文件。 单击“激活”，激活当前License文件。

53 目录 防火墙概述 防火墙功能特性 防火墙设备管理 防火墙基本配置

54 VRP命令行级别 参观级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。
网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。 监控级 用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命令不允许进行配置文件保存的操作。 配置级 业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接网络服务。 管理级 关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用 VRP系统命令采用分级保护方式，命令被划分为参观级、监控级、配置级、管理级4 个级别。 参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令（ 包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存的操作。 监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别命 令不允许进行配置文件保存的操作。 配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供直接 网络服务。 管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑作用 ，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制命令、用 户管理命令、命令级别设置命令、系统内部参数设置命令等。 系统对登录用户也划分为4级，分别与命令级别对应，即不同级别的用户登录后，只 能使用等于或低于自己级别的命令。当用户从低级别用户切换到高级别用户时，需要使用 命令：super password [ level user-level ] { simple | cipher } password 切换。

55 VRP命令视图 系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些）命令视图下，只有在相应的视图下才能执行该视图下的命令。 命令视图的分类： 用户视图 <USG> 系统视图 [USG] 接口视图 [USG -Ethernet0/0/1 ] 协议视图 [USG -rip] …… 系统将命令行接口划分为若干个命令视图，系统的所有命令都注册在某个（或某些） 命令视图下，只有在相应的视图下才能执行该视图下的命令。 与防火墙建立连接即进入用户视图，它只完成查看运行状态和统计信息的简单功能， 再键入system-view进入系统视图，在系统视图下，可以再键入不同的配置命令进入相应 的协议、接口等视图。

56 VRP在线帮助 键入一命令，后接以空格分隔的“?”，如果该位置为关键字，则列出全部关键字及其简单描述。
<USG 5000> display ? 键入一命令，后接以空格分隔的“?”，如果该位置为参数，则列出有关的参数描述。 [USG 5000] interface ethernet ? <3-3> Slot number 键入一字符串，其后紧接“?”，列出以该字符串开头的所有命令。 <USG 5000> d? debugging delete dir display VRP平台提供十分方便的命令行在线帮助，只需要在有疑问的地方键入问号即可。 例如在系统视图下直接键入问号，系统便会列出在系统视图下可以配置的命令参数，或 者在参数后键入空格，然后再键入问号，便可获得该参数后可以使用的参数列表，如果是 键入一字符串，其后紧接键入问号，则系统会列出以该字符串开头的所有命令。

57 VRP在线帮助（续） 输入命令的某个关键字的前几个字母，按下<TAB>键，可以显示出完整的关键字
暂停显示时键入<Ctrl+C> 停止显示和命令执行 暂停显示时键入空格键 继续显示下一屏信息 暂停显示时键入回车键 继续显示下一行信息 输入命令的某个关键字的前几个字母，按下<tab>键，系统还可以显示出完整的关键 字 。 我们看到有的时候在一次显示信息有可能会超过一屏，此时系统提供了暂停功能，这 时用户可以有三种选择： 暂停显示时键入<Ctrl+c> 停止显示和命令执行 暂停显示时键入空格键 继续显示下一屏信息 暂停显示时键入回车键 继续显示下一行信息

58 防火墙基本配置流程 二层接口模式 以太网接口模式 接口加入域 开始 接口IP地址 自定义安全区域 三层接口模式 默认安全区域
配置默认包过滤规则 配置路由（三层接口） 配置设备管理 数据包转发 以上配置流程不等同于防火墙转发流程。 基本配置包括基本功能配置和设备管理配置。

59 配置接口模式 步骤 3 配置三层以太网接口或者二层以太网接口 步骤 1 进入系统视图。 步骤 2 进入接口视图
<USG>system-view 步骤 2 进入接口视图 [USG]interface interface-type interface-number 步骤 3 配置三层以太网接口或者二层以太网接口 配置三层以太网接口 ip address ip-address { mask | mask-length }，。 或配置二层以太网接口 portswitch 在USG中，支持以下两种接口卡： 二层接口卡：所有接口均为二层以太网接口，不支持切换为三层接口。 三层接口卡：所有接口缺省为三层以太网接口，可以通过命令portswitch切换为二层 以太网接口。

60 配置安全区域 步骤 1 执行命令system-view，进入系统视图。
步骤 2 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name，创建安全区域，并进入相应安全区域视图。 步骤 3 执行命令set priority security-priority，配置安全区域的安全级别。 不必配置关键字name，直接进入安全区域视图 安全区域已经存在 安全区域不存在 需要配置关键字name，进入安全区域视图 创建自定义安全区域。 步骤1 执行命令system-view，进入系统视图。 步骤2 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name ，创建安全区域，并进入相应安全区域视图。 执行firewall zone命令时，存在如下两种情况： 安全区域已经存在：不必配置关键字name，直接进入安全区域视图。 安全区域不存在：需要配置关键字name，进入安全区域视图。 系统预定义了Local、Trust、DMZ、Untrust 共4个安全区域。在路由模式下，4个安全 区域无需创建，也不能删除。防火墙最多支持16个安全区域 步骤3 执行命令set priority security-priority，配置安全区域的安全级别。 配置安全区域的安全级别时，需要遵循如下原则： 1. 只能为自定义的安全区域设定安全级别。 2. 安全级别一旦设定，不允许更改。 3. 同一系统中，两个安全区域不允许配置相同的安全级别。 4. 新建的安全区域，未设定其安全级别前，系统规定其安全级别为0。

61 将接口加入安全区域 步骤 1 执行命令system-view，进入系统视图。
步骤 2 执行命令firewall zone [ vpn-instance vpn-instance-name ] [ name ] zone-name，创建安全区域，并进入相应安全区域视图。 步骤 3 执行命令add interface interface-type interface-number，配置接口加入安全区域。

62 配置域间缺省包过滤规则 步骤 1 执行命令system-view，进入系统视图。
步骤 2 执行命令firewall packet-filter default { permit | deny } { { all | interzone zone1 zone2 } [ direction { inbound | outbound } ] }，配置域间缺省包过滤规则。 zone1与zone2有先后顺序吗 ？？？ 配置域间包过滤规则 当数据流无法匹配防火墙中的ACL时，会按照域间缺省包过滤规则转发或丢弃该数据流的 报文。配置域间缺省包过滤规则，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。 步骤 2 执行命令firewall packet-filter default { permit | deny } { { all | interzone zone1 zone2 } [ direction { inbound | outbound } ] }，配置域间缺省包过滤规则。 参数说明： permit：默认过滤规则为允许；deny：默认过滤规则为禁止；all：配置作用于所有安全区 域间；interzone：配置作用于特定安全区域间；zone1：第一个安全区域的名字，可以 是DMZ、Local、Trust、Untrust区域以及自定义区域；zone2：第二个安全区域的名字 ，可以是DMZ、Local、Trust、Untrust区域以及自定义区域；direction：配置过滤规则 作用的方向；inbound：配置过滤规则作用于安全区域间入方向；outbound：配置过滤 规则作用于安全区域间出方向。 缺省情况下，在防火墙所有安全区域间的所有方向都禁止报文通过。 没有先后顺序。因为Inbound和Outbound的方向只与域的优先级有关

63 配置路由 配置静态路由，需要进行如下操作。 配置缺省路由，需要进行如下操作。 步骤 1 执行命令system-view，进入系统视图。
步骤 2 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole ]增加一条静态路由 配置缺省路由，需要进行如下操作。 步骤 2 执行命令ip route-static { | 0 } { interface-type interface-number | next-ip-address } [ preference value ] [ reject | blackhole]，配置缺省路由。 通过静态路由的配置可建立一个互通的网络，但这种配置问题在于：当一个网络故障 发生后，静态路由不会自动发生改变，必须有管理员的介入。 缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有合适的 路由时，缺省路由才被使用。在路由表中，缺省路由以到网络 （掩码为 ）的 路由形式出现。如果报文的目的地址不能与路由表的任何入口项相匹配，那么该报文将选 取缺省路由。如果没有缺省路由且报文的目的地不在路由表中，那么该报文被丢弃的同时 ，将向源端返回一个ICMP 报文报告该目的地址或网络不可达。

64 配置接口模式 步骤 1 选择 网络 > 接口 ，选择对应接口的编辑。 步骤 2 配置接口IP地址，切换接口模式 配置IP地址，子网掩码
根据组网规划，选择相应的接口 配置IP地址，子网掩码 通过切换接口模式。 路由：三层接口 交换：二层接口： 步骤 1 选择 网络 > 接口 ，选择对应接口的编辑 步骤 2 配置接口IP地址，切换接口模式 在USG中，支持以下两种接口卡： 二层接口卡：所有接口均为二层以太网接口，不支持切换为三层接口。 三层接口卡：所有接口缺省为三层以太网接口，可以通过命令portswitch切换为二层以 太网接口。 默认网关的作用？

65 将接口加入安全区域 （1） 步骤 1 选择网络 > 接口 > 接口。 步骤 2 选择新建区域或者默认区域
步骤 1 选择网络 > 接口 > 接口。 步骤 2 选择新建区域或者默认区域 步骤 3 如果新建区域，配置区域名称和安全级别。 不允许新建区域安全级别和和默认安全区域安全级别相同。为什么？ 步骤 1 选择网络 > 接口 > 接口。 步骤 2 选择新建区域或者默认区域。 步骤 3 如果新建区域，配置区域名称和安全级别。

66 将接口加入安全区域 （2） 步骤 4 将接口加入安全区域 如果你想添加的接口，未出现在未加入域的接口列表中，是什么原因？ 如何解决。
将接口通过“添加”按钮，添加到域中。 步骤 4 将接口加入安全区域 如果你想添加的接口，未出现在未加入域的接口列表中，是什么原因？ 如何解决。

67 配置域间缺省包过滤规则 步骤 选择 防火墙 > 安全策略 > 转发策略 ，选择对应的域间编辑按钮。
配置域间包过滤规则 步骤 选择 防火墙 > 安全策略 > 转发策略 ，选择对应的域间编辑按钮。 根据组网需要修改默认包过滤规则动作。

68 配置路由 步骤 选择 路由 > 静态 > 静态路由 ，新建静态路由。 配置默认路由的下一跳IP地址

69 总结 防火墙的定义和分类 防火墙的主要功能和技术 防火墙设备管理 防火墙的基本配置

70 思考题 状态检测防火墙与包过滤防火墙有哪些不同？ 安全区域与接口之间有哪些关系？
Inbound和Outbound在域间包过滤策略中有何不同？ 可靠性技术IP LINK与静态路由和双机热备整合后，有哪些优势？

71