H3C防火墙培训总结.doc

刚刚参加了H3C为ZTE开的网络安全培训,从2011-3-28到2011-4-1一共5天,主要学****了H3C的两个系列的防火墙(SecPath和SecBladeII)的实现原理,基本配置。也接触到了H3C的UTM和S9500E路由器以及基本配置。培训所使用的胶片已经上传到SVN,使用的教材放在祝舜处,如有兴趣,可以借阅一下。首先介绍一下培训的情况:培训课程是在H3C园区进行的,5天的培训分别是:防火墙的基础知识;SecPath系列防火墙操作;SecBladeII系列防火墙操作;S9500E交换机操作;UTM操作。第一天培训是全天的基础知识培训,其余都是上午上课,下午和晚上实验。培训讲师依次为:巫继雨(基础知识和SecPath防火墙以及UTM),翟运波(SecBladeII防火墙),王思军(S9500E交换机)。下面是我根据培训的顺序,依据自己的理解,做到一些记录:防火墙的作用是检测、制止和防御网络攻击,实现内外网之间的IP地址映射,实现VPN功能,实现各种过滤等。目前防火墙的基本模型都是基于会话的,可以支持会话的多少,以及支持速度,决定了防火墙的性能,对于会话,可以理解为防火墙隔离在用内网和外网之间,在内网主机看来,防火墙就是和其交互的外网主机,外网主机同样认为防火墙就是与之交互的内网主机。防火墙扮演了一个代理的角色,如果内网主机PC1请求与外网主机PC2之间建立FTP服务,PC1为客户端,PC2为服务端,防火墙所要完成的工作是建立一个会话,记录客户端和服务端的IP地址,端口号,协议,以及分析FTP协商出来的数据通道端口号,然后为这个FTP服务放开各端口,实现内外网的互通。防火墙角度将所处的网络环境划分为5个区域,TRUST域,UNTRUST域,DMZ域,local域,management域,前三个是按照外部网络进行的划分,TRUST域一般内部网络,DMZ为内部的服务器网络,UNTRUST为外部网络。Local域为本地端口,management域只应该包含管理端口。在web配置界面中可以看到,各个域的安全级别不同,防火墙根据安全级别来管理各个域之间的访问,安全级别高的区域可以访问安全级别低的区域,安全级别低的区域通过匹配ACL才可以访问安全级别高的区域。ACL中通过五元组匹配(源和目的的IP和端口+协议)。各种NAT转换:H3C支持4种NAT方式(基本NAT方式,NAPT方式,NATServer方式和EasyIP方式),NAT转换可以隔离内网和外网,可以解决IPV4地址用尽的问题,基本NAT方式是将内网发往外网的报文的源地址,统一替换成自己的公网地址,将外网发回来的报文的源地址改成自己的内网地址,发给内网主机,端口号并不改变。NAPT方式就是可以改变端口号的NAT方式,EasyIP方式是内外网地址一对一的NAT方式,NATServer方式用于外网访问内网的主机使用,从流程上看是反向的NAT。防火墙的重要概念ALG,ALG中文名叫应用层网关,引入的目的是为了防御应用层的攻击,识别各种双通道的协议,例如FTP等。ALG的处理速度直接影响防火墙的性能。但是ALG并不能做到代理所用应用,如果内网用户在打魔兽,ALG要识别其产生的报文时,可能也要运行一个魔兽客户端才行,这显然不现实。泛洪攻击及防御,泛洪攻击在网络中比较常见,主要的攻击手段是根据IP协议中的某一正