Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1462766
  • 博文数量: 122
  • 博客积分: 340
  • 博客等级: 一等列兵
  • 技术积分: 2967
  • 用 户 组: 普通用户
  • 注册时间: 2009-04-01 11:50
个人简介

斑竹网络专注为中小企业客户提供以管理服务为核心的IT全方位服务 https://www.sysadm.cn

文章分类

全部博文(122)

文章存档

2018年(2)

2017年(1)

2015年(2)

2014年(30)

2013年(81)

2011年(5)

2009年(1)

分类: 网络与安全

2013-11-20 12:39:52

华赛USG2130配置

(整理时间:2011-11-15)

(防火墙型号:华赛USG2130配置)

版本:USG2130 V100R003C01SPC100

一、 安全威胁

目前,网络上常见的安全威胁大致分为如下几类:非法使用、拒绝服务、信息盗窃和数据篡改。

以上四种常见的安全威胁表现如下:

非法使用
资源被未授权的用户(非法用户)或以未授权方式(非法权限)使用。例如,通过猜出账号和密码,攻击者进入计算机系统并非法使用资源。

拒绝服务
服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内不断向服务器发起大量连接,致使服务器负荷过重而不能处理合法任务。

信息盗窃
攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。

数据篡改
攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,破坏数据的一致性。

二、加密方法:
     加密方法主要分为三种:

对称密码体制
其特征是用于加密和解密的密钥是一样的,每对用户共享同一密钥来交换消息,且密钥必须是保密的。典型的对称加密算法包括:数据加密标准DES(Data Encryption Standard)、三层数据加密标准3DES(Triple DES)等。

公钥密码体制
相对于对称密码体制,公钥密码体制有两个不同密钥,可将加密功能和解密功能分开。一个密钥称为私钥,必须秘密保存;另一个称为公钥,可被公开分发。典型的公钥加密算法包括:DH(Diffie-Hellman)、RSA(Rivest,Shamir,Adleman)。

散列函数
用于把一个变长的消息压缩到一个定长的编码字中,成为一个散列或消息摘要。散列函数包括MD5(Message Digest 5)、安全散列算法SHA(Secure Hash Algorithm)。

三、工作模式分类
           目前,BSR/HSR能够工作在三种模式下:路由模式、透明模式、混合模式。

路由模式
     如果BSR/HSR通过网络层对外连接(接口具有IP地址),则认为BSR/HSR在路由模式下工作。
      BSR/HSR位于内部网络和外部网络之间时,需要将BSR/HSR与内部网络、外部网络相连的接口分别配置成不同网段的IP地址,并重新规划原有的网络拓扑。BSR/HSR在内部网络、外部网络中负责路由寻址的功能,相当于一台路由器。
     在路由模式时,BSR/HSR支持ACL包过滤、ASPF动态过滤、NAT转换等功能。然而,在采用路由模式时,网络管理员需要修改网络拓扑,例如,内部网络用户需要更改网关,路由器需要更改路由配置等。网络改造是一件相当费事的工作,使用该模式时需权衡利弊。

透明模式
    如果BSR/HSR通过数据链路层对外连接(接口无IP地址),则认为BSR/HSR在透明模式下工作。如果BSR/HSR在透明模式下工作,则可以避免改变拓扑结构造成的麻烦。
   在透明模式下,BSR/HSR只能进行报文转发,不能进行路由寻址,连在一起的两个网络必须在同一个网段中。即在图2-2中,BSR/HSR的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,内部网络和外部网络必须处于同一个网段。

混合模式
   如果BSR/HSR既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为BSR/HSR在混合模式下工作。
    混合模式主要用于透明模式作双机备份的情况,此时启动VRRP功能的接口需要配置IP地址,其他接口不配置IP地址。BSR/HSR混合模式的典型组网如2-3所示。

四、 安全区域

概念
    BSR/HSR支持多个安全区域,即除了支持本地区域(Local)、受信区域、非受信区域、DMZ区域四种预定义的安全区域外,还支持用户自定义安全区域
    安全区域(Zone)是BSR/HSR所引入的一个在安全领域方面的概念,是BSR/HSR区别于路由器的主要特征。安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。

安全区域特点
1安全级别用1100的数字表示,数字越大表示安全级别越高。
2不存在两个具有相同安全级别的安全区域。
3只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动  

的时候,才会激活BSR/HSR的安全策略检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。

4只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动

的时候,才会激活BSR/HSR的安全策略检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。

 五、入方向与出方向

两个安全区域之间(简称安全域间)的数据流分两个方向:

入方向(Inbound
数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。

出方向(Outbound)
数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。在BSR/HSR上,判断数据传输是出方向还是入方向,总是相对高安全级别的安全区域一侧而言。

六、ACL分类
     

类型

编号范围

说明

基本ACL

2000~2999

基本ACL仅使用源地址定义数据流。

高级ACL

3000~3999

高级ACL使用数据包的源地址、目的地址、IP承载的协议类型(例如TCP的源端口、目的端口、ICMP协议的类型、消息码等内容)定义规则。

基于MAC地址的ACL

4000~4099

基于以太网MAC地址的ACL主要用于BSR/HSR工作在透明模式的应用中,此时BSR/HSR能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配,从而达到控制二层数据帧的目的。

七、ACL的匹配顺序

一个ACL规则可以由多条permitdeny语句组成,每一条语句描述的规则是不相同的,这些规则可能存在重复或矛盾的地方。

在将一个数据包和ACL规则进行匹配的时候,需要确定ACL规则的匹配顺序。BSR/HSR依据如下的匹配顺序:

· 配置顺序

指按照用户配置ACL规则的先后顺序进行匹配。

· 自动排序

指按照深度优先规则进行匹配。

深度优先规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如,129.102.1.1 0.0.0.0指定了一台主机129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段129.102.1.1129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:

§ 对于基本ACL语句,直接比较源地址通配符,通配符相同的则按配置顺序排序。

§ 对于高级ACL语句,首先比较源地址通配符,相同则再比较目的地址通配符,仍相同则再比较端口号范围,范围小的排在前面,如果端口号范围也相同则按配置顺序排序。

数据流一旦与一条rule规则匹配成功,将不再继续向下匹配。BSR/HSR将根据该rule规则的动作,对数据流进行后续操作。

级别号

级别名称

级别权限

0

参观级

网络诊断工具命令(pingtracert)、从本设备出发访问外部设备的命令(如Telnet客户端)等,该级别命令不允许进行配置文件保存的操作。

1

监控级

用于系统维护、业务故障诊断等,包括displaydebugging命令,该级别命令不允许进行配置文件保存的操作。

2

配置级

业务配置命令,包括安全防范、上层业务、网络互连等配置命令,这些用于向用户提供直接安全和网络服务。

3

管理级

关系到系统基本运行、支撑模块的命令,包括文件系统、FTPTFTPXModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别配置命令、系统内部参数配置命令(非协议规定、非RFC规定)等。

八、 命令级别
   系统命令行采用分级保护方式,命令行划分为参观级、监控级、配置级、管理级4个级别,简介如表1-1所示。
  1-1 命令行级别

同时对登录用户划分等级,分为4级,分别与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。

为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证。为了保密,用户键入的口令在屏幕上不可见,如果三次以内输入正确的口令,则切换到高级别用户,否则保持原用户级别不变。

九、典型网络攻击介绍

IP地址欺骗攻击
为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,这种攻击方法导致未授权的用户可以访问目的系统,甚至是以root权限来访问。即使相应报文不能到达攻击对象,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。

Land攻击
Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。不同受害者对Land攻击反应不同,UNIX主机将崩溃,Windows NT主机会变的极其缓慢。

Smurf攻击
简单的Smurf攻击,用来攻击一个网络。方法是发送ICMP请求报文,该请求的目的地址配置为受害网络的广播地址,该网络的所有主机都对此ICMP请求报文作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。
高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP请求报文的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。

WinNuke攻击
WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-Of-Band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。

SYN Flood攻击
由于资源的限制,TCP/IP协议栈的实现只能允许有限个TCP连接。SYN Flood攻击正是利用这一点进行攻击。它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向受害主机发起连接,受害主机接收到该报文后用SYN-ACK报文应答,由于攻击报文的源地址不可达,因此发出ACK报文后不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,就会导致受害主机建立大量的半连接,从而消耗其资源,使正常TCP连接无法建立,直到半连接超时。对于创建连接不受限制的情况,SYN Flood具有类似的影响,它会导致系统内存耗尽而崩溃。

ICMP和UDP Flood攻击
短时间内用大量的ICMP报文(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。

地址扫描与端口扫描攻击
运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活并且连接在目标网络上,这些主机使用哪些端口提供服务。

Ping of Death攻击
IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)>65535。对于有些设备或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。所谓Ping of Death攻击,就是利用一些尺寸超大的ICMP报文对设备或系统进行的一种攻击。

ARP攻击
常见的ARP攻击分为ARP欺骗攻击和ARP Flood攻击两种类型。

ARP欺骗攻击:攻击者通过发送大量伪造的ARP请求、应答报文攻击网络设备,主要有ARP缓冲区溢出攻击和ARP拒绝服务攻击两种。

ARP Flood攻击(ARP扫描攻击):攻击者利用工具扫描本网段或者跨网段主机时,统一安全网关BSR/HSR在发送回应报文前,会查找ARP表项,如果目的IP地址的MAC地址不存在,那么必然会导致统一安全网关BSR/HSR的ARP模块向上层软件发送ARP Miss消息,要求上层软件发送ARP请求报文以获得目的端的MAC地址。大量的扫描报文会导致大量的ARP Miss消息,导致统一安全网关BSR/HSR的资源浪费在处理ARP Miss消息上,影响统一安全网关BSR/HSR对其他业务的处理,形成扫描攻击。

十、恢复出厂配置

介绍恢复出厂配置的方法。

主板上的“RESET”按钮可以用来复位也可以用来进行恢复出厂配置。

恢复出厂配置的方法如下:先按住“RESET”按钮,然后再上电。当上电启动程序检测到用户已按下按钮时,面板的所有指示灯以2Hz的频率闪烁,这时可以松开按键,设备会自动恢复出厂配置文件。之后停止面板指示灯闪烁,PWRRUN指示灯点亮。

十一、出故配置

FE1/0/0配置的地址是:192.168.0.1

默认管理帐号:admin

默认管理密码:Admin@123

阅读(3341) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~