Eudemon200防火墙操作指导书20040323

经典防火墙的操作指导书

Eudemon 200防火墙操作指导

Prepared by

拟制

Reviewed by

评审人

Approved by

批准

Authorized by

签发 赵强

Date 日期 Date 日期 Date 日期 Date 日期 2003/09/08

Huawei Technologies Co., Ltd.

华为技术有限公司

All rights reserved

版权所有 侵权必究

（REP01T01 V2.31/ IPD-CMM V2.0 / for internal use only）

（REP01T01 V2.31/ IPD-CMM V2.0 / 仅供内部使用）

经典防火墙的操作指导书

Revision record 修订记录

Distribution List 分发记录

经典防火墙的操作指导书

Catalog 目 录

1 Introduction 简介 ..................................................................................................................... 7

1.1 目的 .................................................................................................................................... 7

1.2 范围 .................................................................................................................................... 7

1.3 发布对象 ............................................................................................................................. 7

2 Eudemon200防火墙的特点 ...................................................................................................... 8

2.1 基于状态的防火墙 .............................................................................................................. 8

2.2 安全域概念介绍 .................................................................................................................. 8

2.2.1 防火墙的域 ................................................................................................................... 8

2.2.2 域间概念 ..................................................................................................................... 10

2.2.3 本地域（Local） ......................................................................................................... 10

2.3 防火墙的模式 .................................................................................................................... 11

2.3.1 概述 ............................................................................................................................ 11

2.3.2 路由模式 ..................................................................................................................... 11

2.3.3 透明模式 ..................................................................................................................... 11

2.3.4 混合模式 ..................................................................................................................... 12

2.4 访问控制策略和报文过滤 ................................................................................................. 12

2.4.1 访问控制策略的异同 ................................................................................................... 12

2.4.2 ACL加速查找 .............................................................................................................. 13

2.4.3 报文过滤规则的应用 ................................................................................................... 15

2.4.4 防火墙缺省动作 .......................................................................................................... 16

2.5 NAT的相关配置 ................................................................................................................ 16

2.5.1 NAT配置的异同 .......................................................................................................... 16

2.5.2 NAT ALG命令 ............................................................................................................. 17

2.6 统计功能 ........................................................................................................................... 17

2.6.1 统计功能的特殊概念 ................................................................................................... 17

2.6.2 统计的注意事项 .......................................................................................................... 17

2.7 双机热备 ........................................................................................................................... 18

2.7.1 双机简介 ..................................................................................................................... 18

2.7.2 基于纯VRRP的备份 .................................................................................................... 18

2.7.3 基于HRP的备份 .......................................................................................................... 18

2.7.4 双机热备的注意事项 ................................................................................................... 19

2.8 防火墙的自动配置 ............................................................................................................ 19

2.8.1 防火墙同IDS联动 ........................................................................................................ 19

2.8.2 攻击检测模块同黑名单联动 ........................................................................................ 20

2.8.3 登录模块同黑名单联动 ............................................................................................... 20

3 典型的网络攻击方式和对策 .................................................................................................... 20

3.1 常见攻击方式和对策 ......................................................................................................... 20

3.1.1 syn-flood ..................................................................................................................... 20

3.1.2 UDP/ICMP Flood攻击 ................................................................................................ 21

3.1.3 Ping of death/Tear drop ............................................................................................. 21

3.1.4 IP sweep/Port scan .................................................................................................... 22

3.1.5 IP-Spoofing攻击 ......................................................................................................... 22

3.1.6 对于畸形报文的检测功能 ........................................................................................... 23

3.1.7 对有潜在危害性的报文的过滤 .................................................................................... 23

4 典型配置 ................................................................................................................................. 24

4.1 防火墙的初始配置 ............................................................................................................ 24

经典防火墙的操作指导书

4.2 透明模式的基本配置 ......................................................................................................... 27

4.3 路由模式组网实例 ............................................................................................................ 30

4.4 双机热备组网实例 ............................................................................................................ 31

4.5 透明模式组网实例 ............................................................................................................ 35

5 配置的常见问题（FAQ） ....................................................................................................... 36

5.1 接好防火墙之后，网络不通，无法ping通其他设备，其他设备也无法ping通防火墙 ...... 36

5.2 使用时感觉防火墙性能很低 .............................................................................................. 37

5.3 有的端口打开了快转有的没有，在组合起来应用的时候，某些端口性能很低 ................. 37

5.4 D007版本的防火墙在使用管理网口上创建子接口，同交换机配合的时候子接口接收不到

报文 ........................................................................................................................................ 37

5.5 ACL和报文过滤功能 ......................................................................................................... 37

5.5.1 ACL加速编译失败 ....................................................................................................... 37

5.5.2 使用带time-range的acl规则在加速查找之后不正常 ................................................... 37

5.5.3 配置了黑名单表项，但是Buildrun信息中却没有显示 ................................................. 38

5.5.4 使能地址绑定功能之后，原来配置的静态ARP表项消失 ............................................ 38

5.5.5 配置了ASPF功能，要进行java/activex block功能，也配置了ACL用来划定范围，但

是却不起作用 .................................................................................................................... 38

5.5.6 设置了到local域的detect ftp选项，但是当禁止从本地域主动发出报文之后，连接防火

墙自身的FTP数据通道还是无法连通 ............................................................................... 39

5.6 攻击防范和统计功能 ......................................................................................................... 39

5.6.1 使能了syn-flood/udp-flood/icmp-flood防御功能，但却没有作用 ............................... 39

5.6.2 使能了地址扫描/端口扫描共能，但却没有作用 ......................................................... 39

5.7 双机热备功能 .................................................................................................................... 39

5.7.1 配置了vgmp但却没有作用 .......................................................................................... 39

5.7.2 指定用于传输数据的通道是专门通道，其状态切换不影响应用，此时怎么办 ........... 39

5.7.3 在应用正常的情况下，改动了vrrp的属性发现通讯有问题，表现为能ping通接口，但

是不能透过防火墙 ............................................................................................................ 39

5.7.4 VRRP配置不一致的时候，屏幕上打印大量告警影响使用 ......................................... 40

5.7.5 VRRP状态不稳定切换频繁 ......................................................................................... 40

5.8 透明模式问题 .................................................................................................................... 40

5.8.1 透明模式下ARP表项学习有问题 ................................................................................ 40

5.8.2 透明模式下透传组播/广播报文的问题（OSPF/RIP2透传） ...................................... 40

5.9 NAT问题 ........................................................................................................................... 41

5.9.1 配置了NAT server之后，从其他域网络访问这个NAT server对应的私网IP地址也不通

了 41

5.9.2 配置NAT Server之后，从这台服务器向外发起访问，是否还需要配置NAT地址池 ... 41

5.9.3 防火墙割接后，NAT Server/Pool中的地址访问不正常，换回原有设备就可以访问 .. 41

经典防火墙的操作指导书

Figure List 图目录

图1 安全区示意图 ........................................................................................................................... 9

图2 路由模式应用组网图 .............................................................................................................. 30

图3 透明模式应用组网图 .............................................................................................................. 35

经典防火墙的操作指导书

Eudemon 200防火墙操作指导

Keywords 关键词：

Abstract 摘 要：本文对Eudemon 200防火墙的特点、典型应用以及常见的攻击方式及在

Eudemon200上的防范方法作了简要的说明。本文的目的是使本文的读者，可以在通读本文之后对E200防火墙有比较清楚的认识，可以有效地应用防火墙进行组网。

List of abbreviations 缩略语清单：

经典防火墙的操作指导书

1 Introduction 简介

1.1 目的

本文通过对Eudemon 200防火墙的特点，使用方法作出描述，使读者可以对我司的状态防火墙有一个初步的认识，可以结合实例和攻击的特点对防火墙进行有效的配置，保护网络的安全。最后本文将给出一些典型的配置实例，在不同的情况下应用并修改这些实例，可以适应比较常见的网络应用。

本文不详细介绍用到的命令行格式和配置细节，相关信息请参考用户手册中的说明

1.2 范围

本文分别描述了防火墙的特色、配置的注意事项、攻击的特征和防火墙的防范方法以及典型应用等多个方面来使用户熟悉Eudemon200防火墙的使用。

1.3 发布对象 本文针对的读者，为华为公司的技术人员，属于内部文档。文中可能涉及到产品内部实现的细节以及目前存在的某些缺陷，因此本文不可以直接提供给外部人员使用。如果有需要，请自行对文章进行裁减，仅将可以公开的内容提供给外部人员。

经典防火墙的操作指导书

2 Eudemon200防火墙的特点

Eudemon200防火墙，是我司推出的网络安全产品的重要组成部分，开发的时候就比对着Netscreen/PIX等在市场上领先的网络安全产品，提供了比较丰富的功能。作为一个新形态的产品，在防火墙上我们提出了一些新的概念，这是不同于以前的路由器产品的，在下面的部分中，首先对防火墙独有的概念及其相对于路由器的一些优点做一个描述。

2.1 基于状态的防火墙

Eudemon200防火墙是我司推出的状态防火墙。所谓状态防火墙是指防火墙可以根据通过防火墙的连接的状态动态的作出决定是否允许报文通过。像TCP连接的三次握手这种状态属于网络协议的第四层，而FTP控制命令中有没有传递PASS命令这种状态属于网络的第七层，需要应用层网关的支持才能处理。Eudemon200防火墙就是一款支持应用层网关的状态防火墙。举个最简单的例子来说明报文通过防火墙的过程：

首先报文到达防火墙，防火墙首先检查是否针对这个报文已经有会话表存在

如果有，根据会话表中的信息，在进行必要的处理之后，防火墙将转发这个报文

如果没有找到表项，防火墙会对这个报文进行一系列检查，在诸多检查都通过之后，防火墙会根据这个报文的特征信息，在防火墙上建立一对会话表项，以便这个会话的后续报文可以直接通过防火墙。建立一对表项的目的是为了针对这个会话的反方向的回应报文也可以顺利的通过防火墙，这样用户就不需要既考虑报文的发送也考虑报文的回应消息，可以专心设计安全策略。

对于FTP/H323等需要协商数据通道的应用协议，用户只需要配置允许该协议最基本的控制通道的连通，在这个控制通道上协商出来的所有数据通道，防火墙都会预先为其建立好通过防火墙的表项。而以前的包过滤防火墙，必须用繁杂的ACL来保证这些协议数据通道的连通，还不可避免的会留下安全漏洞。

2.2 安全域概念介绍

2.2.1 防火墙的域

对于路由器设备，各个接口所连接的网络在安全上可以视为是平等的，没有明显的内外之分，所以即使进行一定程度的安全检查，也是在接口上完成的。这样，一个数据流单方向通过路由器时有可能需要进行两次安全规则的检查，以便使其符合每个接口上独立的安全定义。而这种思路对于防火墙设备来说就不是很合适，防火墙所承担的责任是保护内部网络不受外部网络上非法行为的伤害，有着明确的内外之分。当一个数据流通过防火墙设备的时候，根据其发起方向的不同，所引起的操作是截然不同的。由于这种安全级别上的差别，再采用在接口上检查安全策略的方式已经不适用，可能会造成用户在配置上的混乱。

经典防火墙的操作指导书

因此，防火墙提出了安全区域的概念。一个安全区域是一个或多个接口的一个组合，具有一个安全级别。在设备内部，这个安全级别通过一个0-100的数字来表示，数字越大表示安全级别越高，不存在两个具有相同安全级别的区。只有当数据在分属于两个不同安全级别的接口之间流动的时候，才会激活防火墙的安全规则检查功能。数据在属于同一个安全域的不同接口间流动的时候将被直接转发，不会触发ACL等检查。

在缺省情况下，防火墙设置四个安全区域：本地域（Local）、受信域（trust）、非受信域（untrust）和非军事化区（dmz）。除了本地域，每个区域可以关联一个或多个防火墙接口。本地域具有最高的安全级别100，受信域安全级别为80，非受信域安全级别为5，非军事化区的级别处于二者之间，设定安全级别为50。如果用户需要，还可以添加其他安全域，目前的版本中，最多可以支持16个安全域。

图1 安全区示意图

一般情况下，受信区接口连接用户要保护的内部网络，非受信区连接外部网络，非军事化区连接用户向外部提供服务的部分网络。

在以接口为基础进行安全检查的路由器上，进入接口的报文称为inbound方向，流出接口的报文称为outbound方向，针对每个方向，可以配置一组ACL规则，分别进行检查。可以看出来，这种方向的判定是以路由器自身为参照物，将路由器看作网络上的一个结点。而防火墙上的检查是发生在属于不同优先级别的两个接口之间的，我们可以将防火墙理解为一个边界，对于方向的判定是由防火墙所连接的不同网络为基准的。对于防火墙上任意两个域来说，高安全级别一侧为内，低安全级别一侧为外。当数据从高安全级别的进入而从低安全级别的接口流出的时候，称之为出方向（Outbound）；反之，当数据从低安全级别的接口进入防火墙而从高安全级别的接口流出的

经典防火墙的操作指导书

时候，称之为入方向（Inbound）。举例来说，当数据从属于DMZ的接口进入防火墙，从属于untrust的接口流出的时候，这个流是出方向的流；而当数据从同样的接口进入防火墙，从属于trust的接口流出的时候，这个流的方向就变成入方向了。在每个方向上，我们都可以设置一组ACL，对报文进行安全检查。

一个域可以有一个或多个接口，一个接口只能属于一个域，二者是一对多的关系。

2.2.2 域间概念

任何两个安全域之间存在的关系，我们称之为域间关系。说明一个域间的时候可以将两个域的名字放在一起进行描述，比如，trust-untrust域间。前面描述的数据流的方向性，就是域间关系的一个属性。在Eudemon200防火墙上，绝大多数安全相关的配置都是在域间进行的。

不同于域，域间是不需要显式的创建的，用户每创建一个域，就会自动地同每一个已经存在的域产生域间关系。可见，域间关系实际上是一种全连接的结构。但是，由于我们为每个域间赋予了入和出两个方向的属性，域间AB和域间BA实际上是一样的。因此我们规定，对于全部域间，只使用高安全级别在前，低安全级别在后这样一种描述形式。无论用户输入的顺序如何，在处理的时候，都会对应到这种形式的域间关系下。也就是说，在配置的时候，只存在trust-untrust域间，不存在untrust-trust域间。

2.2.3 本地域（Local）

在域的概念中，比较不容易理解的是本地域（Local）。在其他所有预定义域和用户创建的域中，都可以使用添加接口的命令。可以将某个接口（目前只支持以太网接口，以后将会扩展）添加到这个域中，之后，同这个接口相连的网络就被赋予了这个域的属性，我们可以认为这部分网络就是这个域。要理解的是，这个操作真正添加到域中的并不是这个接口本身，而是同这个接口相连接的网络，只是通过添加接口这种形式来表现罢了。

Local域所保护的是防火墙自身，如果允许在local域下添加接口，根据前面的说明，这个接口所连接的网络就会被看作同防火墙本身在同一个安全域中，那么从这个网络发出的针对防火墙的任何访问都是被直接转发的，这大大降低了对设备的防护，同时从概念上也是无法理解的，因此在local域下面不能使用添加接口的命令。

任何访问防火墙自身的报文（包括访问接口IP地址和系统IP地址）都被看作是从入接口所连接的那个域访问本地域的跨域访问，因此会触发相应域间配置的安全策略检查。

举例来说，防火墙接口Eth0的IP地址为192.168.10.1，子网掩码为24位，所连接的网络为192.168.10.0，该接口位于防火墙的trust域。在此情况下，从子网192.168.10.0内任意一台主机向192.168.10.1发起连接，就产生了trust域到local域的入方向数据流，要根据local-trust域间配置的ACL和其他安全策略进行过滤，只有在安全策略允许情况下，连接才能成功。

由于有了本地域，从根本上解决了原来存在的安全控制措施只能针对设备连接的网络，对设

经典防火墙的操作指导书

备自身却无法保护的情况。在实际网络环境中，曾经发生过针对我们设备进行的telnet攻击，攻击者不停的telnet我们的设备的接口IP，造成正常的网管无法登录。只能在相邻设备上屏蔽攻击IP地址的访问，如果攻击者使用随即变化的IP地址，则根本无法防范。而在我们的设备上，可以通过设置ACL规则，规定只允许特定的IP地址的设备从特定的域访问防火墙，同时还可以启动flood防御等全方位的措施，充分保护了设备自身的安全。

2.3 防火墙的模式

2.3.1 概述

防火墙引入了称为工作模式的概念，目前防火墙支持路由模式、透明模式以及混合模式三种工作模式，其中混合模式是为了在透明模式下支持双机热备份而增加的，基本上可以理解为透明模式加上一个带IP的接口，我们主推的工作模式是路由模式和透明模式。

相对应的，Netscreen防火墙有类似的概念，他们提出的模式是路由模式、NAT模式和透明模式。我们产品的路由模式就完全包含了NS的路由和NAT两个概念。因为我们理解，路由和NAT是密不可分的，应该说我们提出的模式的概念比起他们的要更贴切一些。

2.3.2 路由模式

可以把路由模式理解为象路由器那样工作。防火墙每个接口连接一个网络，防火墙的接口就是所连接子网的网关。报文在防火墙内首先通过入接口信息找到进入域信息，然后通过查找转发表，根据出接口找到出口域，再根据这两个域确定域间关系，然后使用配置在这个域间关系上的安全策略进行各种操作。

路由模式下可以使用NAT，双机热备份以及全部的攻击防范功能。同时，由于此模式是VRP工作的基本形态，各种应用都比较成熟。在可能的情况下，我们推荐使用路由模式进行组网。

2.3.3 透明模式

透明模式的防火墙则可以被看作一台以太网交换机。防火墙的接口不能配IP地址，整个设备出于现有的子网内部，对于网络中的其他设备，防火墙是透明的。报文转发的出接口，是通过查找桥接的转发表得到的。在确定域间之后，安全模块的内部仍然使用报文的IP地址进行各种安全策略的匹配。

为了解决对防火墙的配置问题，在透明模式下存在一个系统IP，用户需要分配一个当前子网中没有使用的IP地址给防火墙，方便远程管理的使用。同时，系统IP还起到了让防火墙能够分辨当前所在子网的作用。在路由模式下，防火墙学习ARP表项是各个接口分别学习的，防火墙使用接口下的IP地址配合子网掩码，为属于自己子网的IP地址创建ARP表项。在透明模式下，某些防火墙内部功能还是基于IP地址信息实现的，不能没有ARP表项。但由于没有了接口IP地址，对于

经典防火墙的操作指导书

子网的判断就很困难，因此，当防火墙工作在透明模式之下，是依据系统IP和对应的子网掩码来判定是否添加ARP表项的，如果系统IP和掩码配置的不正确，肯定会造成网络某些应用无法正常使用的问题，必须要注意。为了防止针对防火墙的arp flood攻击造成过多的ARP表项，可以通过命令undo firewall arp-learning enable禁止防火墙动态创建ARP表项，此时为了访问系统IP，需要手工创建一个静态的ARP表项，访问才能成功。

由于透明模式的防火墙接口没有IP地址，对外表现为一个二层设备，因此不能支持NAT、IPSEC、路由协议等功能，当防火墙从路由模式切换到透明模式时，可能有些配置不能再起作用，或者有些动态生成的的信息（如路由表）需要删除，建议在切换之前手工删除无用的配置信息，保存当前配置（输入save命令），并且在模式切换之后将系统重启，以保证无用资源的释放。

透明模式的主要优点是可以不改动已有的网络拓扑结构

透明模式下，NAT、双机热备份以及攻击防范中的IP spoofing功能都不可用。

由于处理方法的不同，防火墙在透明模式下的转发能力低于在路由模式下工作的情况。

2.3.4 混合模式

顾名思义，混合模式是指防火墙一部份接口工作在透明模式，另一部分接口工作在路由模式。提出混合模式的概念，主要是为了解决防火墙在纯粹的透明模式下无法使用双机热备份功能的问题。双机热备份所依赖的VRRP需要在接口上配置IP地址，而透明模式无法实现这一点。

在混和模式下，每个接口的工作模式是由接口上是否配置了IP地址来区分的。如果一个接口不配置IP地址，它就属于透明模式的接口，如果给它配置了IP地址，它就工作于路由模式。工作在路由模式下的接口可以配置VRRP，我们可以通过将真正提供服务的接口设置在透明模式，将专门用于热备份的接口设置在路由模式的方法来实现对整个设备的状态热备份。

理论上我们可以支持报文在属于透明模式和路由模式的接口之间转发，此时，透明模式接口下面的网络，需要将网关地址设置为防火墙的系统IP。这一点在NS的设备上是不能做到的。但是，这种应用并没有考虑成熟，暂时也没有进行细致的测试，因此目前需要避免这种应用。在后期版本中，我们会考虑规划这个功能。

需要注意的一点，现在混合模式由于没能够实现STP协议，在进行双机热备份的时候有严重问题，因此双机热备功能不可使用。也就是说透明模式（混合模式）不能支持双机热备份，只有路由模式下有此功能。

2.4 访问控制策略和报文过滤

2.4.1 访问控制策略的异同

经典防火墙的操作指导书

防火墙最重要的功能之一就是根据访问控制策略来决定是否允许一个数据流通过。借助VRP已有的强大的ACL功能，我们很容易做到这一点。Eudemon上在ACL的配置方面基本同原有的路由器一致，但是ACL的类型同路由器稍有不同。在路由器上，ACL由基本ACL、扩展ACL和接口ACL三种组成，基本ACL和扩展ACL又分为数字型和命名型两种。在防火墙上，接口ACL被取消了，主要原因是颗粒度太粗，而且难以适应在安全域这个概念下应用。

防火墙新添加了一个基于MAC地址进行过滤的ACL策略组，这个模块是随着透明模式引入的。在防火墙上，只有这个类型的规则组在接口下应用的，主要是由于MAC地址同防火墙的接口相关的比较紧密。在接口下应用基于MAC的ACL规则时，inbound/outbound的概念同路由器下保持一致，inbound指报文由接口进入防火墙，outbound指报文由接口离开防火墙。这同防火墙域间的inbound/outbound概念是完全不一致的，需要注意。

2.4.2 ACL加速查找

路由器上的ACL模块，每个组下面只支持128条规则，全部规则的总数为4000条，而且每个方向上只能配置一个ACL规则组。这对于专门用作网络安全屏障的防火墙来说是完全不够的。因此，在Eudemon200上，全部规则的总数扩展为20000条，每个规则组下配置规则的上限也是20000条。在应用中，如果使用原有的线性搜索算法，不要说这么多条规则，就是每个规则组下有1、2000条规则，报文匹配的性能也会大大的下降。由此，在防火墙上，我们引入了ACL快速查找算法，将线性搜索变为固定次数匹配。在规则数量大的情况下，极大地提高了规则匹配速度。

ACL快速查找使用了RFC算法，将ACL规则的查找转化为静态数组查找，通过将报文的特征字转换为数组下标，可以达到查找速度同规则数无关的效果。

ACL加速查找对于使用大量ACL规则的情况下，对于防火墙搜索性能的提升是毋庸置疑的。由于我们设备上面所有需要对流进行分类的地方实际上都使用了ACL功能，因此，一旦启动了加速查找功能，NAT、统计、QoS等等多个模块都将受益。但是，ACL加速查找功能也有其局限性，不能适用于所有场合，这一点需要在配置的时候严格注意。

1． ACL快速查找功能从算法上来讲对内存的消耗是非常大的，尤其是在产生快速查找数

据结构的过程中。算法对内存的消耗有如下特性：对IP地址的变化不敏感，对于端口

协议以及规则组等变化非常敏感。也就是说，如果将所有规则看成一个整体，IP地址

变化频繁或相关性很小，对算法的影响较小，但是如果端口或协议号变化剧烈，那么

算法在加速过程中很可能因为内存耗尽而失败。算法之所以会有这样的特性，主要是

在实际应用中，ACL规则中经常用到的端口号和协议号的范围是有限的，而IP地址的

变化却比较频繁，因此对IP地址的处理使用了定长前缀匹配的方法进行优化，而端口

协议等方面只是单纯的使用RFC算法导致的。不过此功能在真正的应用中耗尽内存失

败的可能性很小，只有在测试的极端环境下出现，还是可以放心使用的。

所谓相关性是指IP地址以及端口号等是否范围互相重叠，重复性越高，我们称之为相

经典防火墙的操作指导书

关性越高，反之相关性就越低。可以用下面的例子来说明：

[Eudemon] acl num 100

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 100

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 101

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 102

[Eudemon-acl-adv-100] rule deny tcp destination 10.10.0.1 0 dest eq 103

[Eudemon-acl-adv-100] rule deny ip destination 10.10.0.0 0.0.255.255

这个规则组我们就可以认为其协议的相关性、IP地址范围的相关性都很高，而端口号

的相关性很低。

[Eudemon] acl num 101

[Eudemon-acl-adv-101] rule deny ip destination 10.10.1.1 0

[Eudemon-acl-adv-101] rule deny ip destination 20.20.2.2 0

[Eudemon-acl-adv-101] rule deny ip destination 30.30.3.3 0

[Eudemon-acl-adv-101] rule deny ip destination 40.40.4.4 0

这个规则组的IP地址相关性就很低，但是端口号，协议等相关性则很高（完全一致）

在测试中，如果端口完全无关，那么可能1000条规则左右就会导致加速的失败，但

如果端口相关性很高，IP地址完全无关，插满20000条规则进行编译也没有任何问

题。

2． 在D007版本的ACL加速算法需要占用大量内存，而且在编译过程中会将内存碎化，

因此我们在处理中使用了特殊的方法，如果规则总数非常多，有10000项以上的话，

在第一次编译的时候，编译速度很快，但是如果停止加速查找，然后再次重新编译，

后续的编译过程的速度会非常慢，有时可长达十几分钟。因此，如果规则数量巨大，

而且又必须重新编译，建议在再次编译前重新启动防火墙。D010SP1和D013版本没

有这个问题。

3． ACL加速查找算法不支持规则立即生效，也就是说，如果在启动ACL加速查找之后，

再次修改ACL规则，那么这个修改时不能反映在当前已经形成的快速查找库中。因

此，我们在实现的时候，做了如下处理：如果在ACL加速查找启动之后再次修改ACL

规则，那么对于修改过的ACL规则，我们将不使用加速查找的方式，转而使用传统的

线性遍历的搜索方式，对这个规则组的查找速度会变慢。一个规则组是否使用加速查

找方式进行查找，可以通过命令行display acl accelerate显示。

下面是此命令的显示信息

ACL accelerate is enabled

NOTE : UTD means Up To Date, OOD means Out Of Date

ACL groups marked with ACCELERATE UTD will use fast search,

others will use usual method.

ACL group :

ID ACCELERATE STATUS

经典防火墙的操作指导书

Eudemon 200防火墙操作指导

----------------------------------------

1 ACCELERATE OOD

10 ACCELERATE UTD

100 UNACCELERATE UTD 秘密

如提示信息所说明，只有标记为Accelerate UTD的第10号规则组才会使用加速查找方

式搜索，其他两个规则组都只能使用线性搜索方式查找。

2.4.3 报文过滤规则的应用

每条ACL规则虽然跟随了一个permit/deny的动作，但是并不能直接对报文起到控制作用，只有使用packet-filter命令将这个规则组应用到防火墙的域间，才能依据配置的规则对报文进行分类、过滤。

路由器的报文过滤规则是应用在接口下面的，每个接口都可以在一入一出两个方向上各配置一个ACL规则组，分别对进入接口和离开接口的报文进行过滤。防火墙在域间的每个方向上也可以配置一个规则组，分别针对从防火墙内部发起的连接和外部发起的连接。这两者看起来好像是一样的，但实际上有着本质的不同，路由器是基于单个报文的过滤，并没有状态的概念，在设计正反两个ACL规则组的时候必须通盘考虑才能使一个应用正常通过。而防火墙是基于状态检测的设备，我们关心的方向是流的发起方向，用户要考虑的只是允不允许这个流出去，允不允许另一个流进来，至于这个流出去之后交互返回的报文能否通过防火墙，完全不需要用户考虑。单此一点就极大地简化了用户部署安全策略的麻烦，是用户专注于应用的考虑，减少了网络安全漏洞。

举例来说，用户希望允许受保护的IP地址190.100.10.10访问位于外部网络的FTP服务器200.100.10.10，同时希望内部的WWW服务器190.100.20.10可以为外部的所有用户提供服务，那么在原有的路由器上，用户需要配置这样的ACL规则组：

[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21 —— 允许内网主机发起FTP连接

[Router-acl-adv-out] rule permit tcp source 190.100.10.10 0 source-port gt 1024 destination 200.100.10.10 0 —— 允许内网主机的FTP数据通道报文出去

[Router-acl-adv-out] rule permit tcp source 190.100.20.10 0 source-port eq 80 —— 允许WWW服务器的报文出去

[Router-acl-adv-out] rule deny ip —— 禁止其他报文的通过

[Router-acl-adv-in] rule permit tcp destination 190.100.20.10 0 destination-port eq 80 —— 允许外部主机访问内部www服务器

[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port 21 destination 190.100.10.10 destination-port gt 1024 —— 允许外部ftp服务器同内部的控制通道交互报文进入

[Router-acl-adv-in] rule permit tcp source 200.100.10.10 0 source-port gt 1024

经典防火墙的操作指导书

destination 190.100.10.10 —— 允许外部ftp主机的数据通道报文进入

[Router-acl-adv-in] rule deny ip —— 禁止其他报文的通过

然后，用户需要选择将这两个规则应用到路由器哪个接口上，同时还要注意在相对应的接口上设置缺省动作为允许，还要使能防火墙功能。这还仅仅是配置两个接口下互通的情况，如果路由器上组网复杂，有多个接口通信，不能简单地在接口上配置允许的缺省动作的话，那么配置一个相对安全的规则组还要考虑更多的东西。

然而，在我们的防火墙上，配置上述安全策略就简单得多，假设用户的内部网络位于防火墙的受信域，外部网络位于非受信域，那么：

[Eudemon-acl-adv-out] rule permit tcp source 190.100.10.10 0 destination 200.100.10.10 0 destination-port eq 21 [Eudemon-acl-adv-out] rule deny ip

[Eudemon-acl-adv-in] rule permit tcp destination 200.100.20.10 0 destination-port eq 80 [Eudemon-acl-adv-in] rule deny ip

[Eudemon-interzone-trust-untrust] detect ftp —— 进行ftp协议的应用层解析

[Eudemon-interzone-trust-untrust] packet-filter in inbound

[Eudemon-interzone-trust-untrust] packet-filter out outbound

如上就完成全部所需配置和应用。

2.4.4 防火墙缺省动作

当报文通过的域间没有配置ACL规则，或者在所配置的ACL规则组中没有找到符合的规则时，对于报文的处理就要靠防火墙设定在这个域间的缺省动作来决定了。在路由器上，防火墙的缺省动作只有一个全局的变量，决定了对没有规则的报文是允许通过还是丢弃。但是在防火墙上，每个域间的每个方向都可以分别指定其缺省动作，在系统初始配置时，所有域间所有方向上的缺省动作都是丢弃。

2.5 NAT的相关配置

2.5.1 NAT配置的异同

NAT功能是防火墙上又一个主推的功能，在目前的网络应用状况下，基本上每个将防火墙作为网关的组网情况下都会涉及到NAT功能的使用，NAT功能的配置同路由器下基本保持了一致，主要的不同有以下几点：

NAT Server命令变为全局配置

NAT outbound命令的引用位置由接口下改变到了域间

在使用easy ip的时候，命令行所指定的出接口必须处于该域间安全级别比较低的一侧。因此

经典防火墙的操作指导书

如果一个接口处于防火墙安全级别最高的域中，是不能使用这个接口做esay ip功能的

2.5.2 NAT ALG命令

NAT和ASPF都有ALG命令的设置，二者有些协议是重合的，有些又有不同。原因是这样的，在VRP软件上面，原有的NAT和ASPF分别有自己的解码函数，各自实现了独立的ALG处理，因此产生了两套设置命令。在防火墙上，为了提高处理的性能，NAT和ASPF共用了一套解码函数，但是对于解码后的处理函数是相对独立的（NAT要分配地址/ASPF要判断状态机是否正确）。因此，仍然是保留了两组ALG开关命令。对于两种功能都需要操作的状态机，以部署在域间的ASPF命令为主，ASPF的命令控制了是否对协议进行解码，NAT的ALG命令控制了是否根据解码结果进行NAT处理。如果ASPF的控制命令没有启动，即使设置了NAT的ALG命令也是不能激活相关功能的。缺省状态下，所有ASPF ALG函数的开关命令都是关闭状态的，NAT ALG函数的开关命令都是打开状态的。一般的使用中，可以不用理会NAT的设置命令，单独使用ASPF的命令就可以起到控制的作用。

2.6 统计功能

2.6.1 统计功能的特殊概念

在统计功能中，在域模式下使能的命令都包含一个inzone/outzone的参数。这个参数的含义指的是从其他域进入这个域以及从这个域流出到其它域。假设接口eth0属于受信域，且是受信域的唯一接口，那么要统计从这个接口接收到的发送给其他接口的信息，需要在受信域配置statistic enable ip outzone，如果要统计其它接口发送来的要从这个接口流出防火墙的信息则需要配置statistic enable ip inzone。这点在初次配置的时候不容易理解，需要注意。

2.6.2 统计的注意事项

防火墙的统计信息是整个防火墙进行攻击防范和表项处理所依据的基础，因此某些基础数据是不允许清除的。在使用reset firewall statistic system命令的时候，像当前表项等统计数据并不会被清除，只有在使用reset firewall session table命令清除所有表项的时候，这些统计信息才会清零，需要注意。

统计功能目前分配的用于统计IP的表项数目有限，而这些表项又是攻击防范功能的基础数据的来源，因此一旦这些资源耗尽，相应的攻击防范功能也不会起作用了。在配置statistic enable ip inzone/outzone命令的时候，务必要根据实际需要，结合前面说明的inzone/outzone的含义指定。不要为了省事，对所有的域都既使能inzone的统计，又使能outzone的统计。这样会将有限的表项无谓的消耗掉，反而无法防范真正的攻击。

经典防火墙的操作指导书

2.7 双机热备

2.7.1 双机简介

在当前的组网应用中，用户对网络可靠性的要求越来越高，在很多组网中都需要提供一台冗余设备进行备份，如下图所示：

目前的防火墙解决方案中提供两种双机热备的方式：1）基于纯VRRP的备份；2）基于HRP（Huawei Redundancy Protocol华为公司冗余协议）的备份，以下简要介绍一下这两种双机备份

2.7.2 基于纯VRRP的备份

在这种双机热备的方式，两台防火墙通过VRRP协议来监视彼此的状态，在备用防火墙检测到主防火墙Down的时候，便会把自己变成组，不过由于没有添加额外的协议和处理，这种方式不能备份状态数据。因此发生状态切换的时候已有的会话表项会丢失导致连接中断，这种方式还有存在一个因为由于状态防火墙而导致的问题，因为状态防火墙，会建立会话表并要求后续报文在命中会话表的基础上才能透过防火墙，这就意味着，来去的报文都必须通过同一个防火墙，这就要求在双机热备的环境中防火墙的所有接口（针对同一应用的所有接口）上的VRRP都应该处于同一状态，要么都是主、要么都是备。但是VRRP协议本身不能保证状态的一致性，这样在状态失序的时候便会影响到我们的应用。目前规避的办法是在配置VRRP的时候保证一台上的VRRP的优先级高于另外一台，并使能抢占，这样在可以规避状态不一致的问题。在实际应用中，这种双机备份方式简单，防火墙的系统负载小，可以应用于一些对连接保持要求不高的环境。

2.7.3 基于HRP的备份

为了解决纯VRRP的双机备份方案中的不足（不能进行状态备份、不能维护VRRP的状态一致性），推出了基于HRP的解决方案，该方案采用VRRP协议检测接口状态、用VGMP（VRRP Group Management Protocol——VRRP组管理协议）协议来维护VRRP状态的一致性，并用HRP协议来进行防火墙状态数据的实时备份。其配置步骤如下：

经典防火墙的操作指导书

1、 在接口上配置好VRRP用于监视接口状态，接口模式下输入命令：vrrp vrid id virtual-ip

ipaddr; 并配置好相关属性

2、 把需要管理的vrrp加入到vgmp中，在系统视图下输入 vrrp group id 则进入vgmp的配置模

式，在vgmp的配置模式下输入命令：add interface Ethernet 0/0/0 vrid id,则将该vrrp加入到了vgmp中，配置好其他属性并使能该vgmp

3、 使能hrp功能，在系统视图下输入命令：hrp enable

这样一个基于hrp的双机热备便配置完成了。

2.7.4 双机热备的注意事项

1、 纯vrrp备份的应用中，如果出现了状态不一致的情况需要手工调整，以保证vrrp的状态一

致性；

2、 在配置vgmp的时候，配置好了vgmp时还需要单独使能该vgmp才可以应用，这是和vrrp配

置不一致的地方，一定要注意；

3、 在纯vrrp备份的应用中，也可以配置vgmp管理来维护vrrp的一致性，不必使能hrp，不过

需要注意的是无论是hrp还是vgmp协议都是华为的私有协议，其中vgmp协议对vrrp进行了扩展，hrp协议数据目前只能承载在vgmp协议上；

4、 为保证数据安全性以及系统得稳定性、在配置vgmp的时候需要指定vgmp用来通讯的vrrp

（在添加vrrp的时候可以指定为数据通道属性）；

5、 为保证双机热备的稳定工作，防止出现震荡，推荐在配置VGMP的时候， 主备的优先级

要配的不一致，主防火墙的优先级要高；

6、 由于采用vrrp协议监视接口，因此在双机热备的应用中只能采用以太网口的组网方式，目

前双机热备不支持wan口的备份；

7、 由于vrrp协议是工作在以太网上的，如果网络繁忙则会影响到vrrp的通讯、进而影响到状

态和应用的稳定性，因此在网络流量大的组网应用中推荐使用专门的通道来传输双机热备数据

2.8 防火墙的自动配置

2.8.1 防火墙同IDS联动

Eudemon200防火墙可以通IDS设备联动，IDS设备发现了攻击行为可以向防火墙发送控制报文，改变防火墙上设置的过滤规则，阻拦发起攻击的报文。目前防火墙能够接受联动驱动的模块为黑名单，IDS可以将一个IP地址插入黑名单，如果黑名单过滤功能使能没，那么在设定的时间内，从这个IP发出的经过防火墙的报文就会被丢弃。

防火墙目前支持“启明星辰”的入侵检测系统，二者通信可以使用他们公司的一套机制

经典防火墙的操作指导书

（vip）传递控制信息。同时我们防火墙还实现了一个MD5加密的控制通道，但目前还没有外部设备遵循我们这个标准进行接口实现，相信随着我们产品的大量发售，会有别的厂商主动来遵循我们的标准的。

2.8.2 攻击检测模块同黑名单联动

攻击检测模块可以驱动黑名单的功能主要是在地址扫描和端口扫描这两部分，因为我们认为在这种情况下其源地址最有可能是真实的，因此采用了将这个IP地址加入黑名单的动作。至于其他的攻击形式，因为其源IP地址基本都是伪冒的，因此没有必要将其加入黑名单。当然，我们不能排除有人故意伪冒受害者的IP地址进行扫描，就是为了让这个地址被防火墙拦截的可能性。但能够采取这种攻击方法的人必定要对我们防火墙的处理及只有比较清楚的了解。而且要清楚防火墙上的配置（要配置相应功能才可以），因此，如果发生问题，排查的范围不会很大。

2.8.3 登录模块同黑名单联动

防火墙上telnet登录模块也可以和黑名单模块进行联动，如果登录过程中连续三次输错密码，防火墙除了会关闭当前连接之外，还会将这个IP地址加入黑名单10分钟。如果此时黑名单功能启动，那么在表项老化的时间之内，无法从这个IP发起连接登录防火墙。进一步减小了攻击者对密码猜测的可能性。

3 典型的网络攻击方式和对策

无论防火墙报过滤规则配置的多么严密，总需要划定一个范围，在这个范围内，连接是被允许的。如果攻击用户网络的连接混杂在这个许可的范围之内，就要靠攻击防范的相关功能将其识别出来并处理。

3.1 常见攻击方式和对策

3.1.1 syn-flood

syn-flood攻击是一种常见的DoS攻击方式，主要被用来攻击开放了TCP端口的网络设备。要了解syn-flood攻击的原理，需要先解释一下TCP的连接的建立过程。TCP连接的建立过程称为三次握手，首先，客户端向服务器发起连接请求（SYN报文），服务器端在收到这个连接请求之后，会回应一个应答报文（SYN ACK），客户端收到这个SYN ACK报文之后，再发送第三个ACK报文，这个交互过程完成之后，服务器和客户机两端就认为这个TCP会话已经正常建立，可以开始使用这个会话上传送数据了。服务器端在回应SYN ACK报文的时候实际上已经为这个连接的建立分配了足够的资源，如果没有接收到客户端返回的ACK报文，这部分资源会在一定时间之后释放，以便提供给其他连接请求使用。

经典防火墙的操作指导书

syn-flood攻击就是利用了这个原理，攻击者伪造TCP的连接请求，向被攻击的设备正在监听的端口发送大量的连接请求（SYN）报文，被攻击的设备按照正常的处理过程，回应这个请求报文，同时为它分配了相应的资源。但是攻击者本意并不需要连接建立成功，因此服务器根本不会接收到第三个ACK报文，现有分配的资源只能等待超时释放。如果攻击者能够在超时时间到达之前发出足够的攻击报文，使被攻击的系统所预留所有资源（TCP缓存）都被耗尽。那么被攻击的设备将无法再向正常的用户提供服务，攻击者也就达到了攻击的目的（拒绝服务）。

从被攻击设备的角度讲，没有很好的方法能够阻止这种攻击的发生。在我们防火墙上可以通过配置Syn-flood防御功能来对服务器进行保护。防火墙上进行syn-flood防御所采用的是TCP Proxy技术，启动这个功能之后，对于每个针对受保护设备的TCP连接请求，防火墙会屏蔽这个报文并代替服务器返回一个SYN ACK，如果发起连接请求的是真正的客户端，那么在接收到第三个ACK报文之后，防火墙会向受保护的服务器发起真正的连接请求，并在连接成功建立之后，作为中转，在两个会话间转换数据，使客户端可以正常访问服务器。而如果连接的发起者是一个假冒的IP地址，防火墙会很快的将没有收到ACK报文的表项进行回收，此时，由于被攻击的服务器并没有真正收到这个攻击请求，因此，服务器还是可以正常的响应连接的。这个功能利用了防火墙强大的处理能力，代替受保护的设备承受攻击。syn-flood防御功能可以保护单个的IP地址或者整个域下面所有设备，在两个参数都配置的情况下，IP地址关联的参数的优先级更高。假设要保护位于受信域的IP地址为10.110.10.10的设备免受syn-flood的攻击，需在命令行进行如下配置：

[Eudemon] firewall defend syn-flood ip 10.110.10.10 max-rate 100 max-number 1000

[Eudemon] firewall defend syn-flood enable

[Eudemon] firewall zone trust

[Eudemon-zone-trust] statistic enable ip inzone

要注意的是，一定要配置相应的统计功能，因为攻击防范很多功能的实现都要依赖统计数据，如果不使能对应的统计功能，攻击防范模块将无法获得必要的数据，也就无法真正的发挥作用。

3.1.2 UDP/ICMP Flood攻击

UDP/ICMP Flood是比较单纯的流量攻击，攻击者通过向一些基于UDP/ICMP的基本服务发送大量的报文，使被攻击的设备忙于处理这些无用的请求，最终耗尽处理能力，达到拒绝服务的目的。防火墙上针对这两个攻击有相应的命令行设定firewall defend udp-flood/icmp-flood，可以设定的参数同SYN Flood攻击的参数基本相同。要注意的是，使能这个功能同样要同时使能受保护域的基于IP的入方向统计功能。

防火墙会对相应的流量进行CAR操作，如果攻击流量超过了阈值许可的范围，超过部分将被丢弃，在设定阈值之下的部分流量仍然可以通过防火墙。

3.1.3 Ping of death/Tear drop

本文来源：https://www.bwwdw.com/article/ecb4.html