斑竹网络专注为中小企业客户提供以管理服务为核心的IT全方位服务 https://www.sysadm.cn
分类: 网络与安全
2013-11-20 12:39:52
华赛USG2130配置
(整理时间:2011-11-15)
(防火墙型号:华赛USG2130配置)
版本:USG2130 V100R003C01SPC100)
一、 安全威胁:
目前,网络上常见的安全威胁大致分为如下几类:非法使用、拒绝服务、信息盗窃和数据篡改。
以上四种常见的安全威胁表现如下:
l 非法使用
资源被未授权的用户(非法用户)或以未授权方式(非法权限)使用。例如,通过猜出账号和密码,攻击者进入计算机系统并非法使用资源。
l 拒绝服务
服务器拒绝合法用户正常访问信息或资源的请求。例如,攻击者短时间内不断向服务器发起大量连接,致使服务器负荷过重而不能处理合法任务。
l 信息盗窃
攻击者并不直接入侵目标系统,而是通过窃听网络来获取重要数据或信息。
l 数据篡改
攻击者对系统数据或消息流进行有选择的修改、删除、延误、重排序及插入虚假消息等操作,破坏数据的一致性。
二、加密方法:
加密方法主要分为三种:
l 对称密码体制
其特征是用于加密和解密的密钥是一样的,每对用户共享同一密钥来交换消息,且密钥必须是保密的。典型的对称加密算法包括:数据加密标准DES(Data Encryption Standard)、三层数据加密标准3DES(Triple DES)等。
l 公钥密码体制
相对于对称密码体制,公钥密码体制有两个不同密钥,可将加密功能和解密功能分开。一个密钥称为私钥,必须秘密保存;另一个称为公钥,可被公开分发。典型的公钥加密算法包括:DH(Diffie-Hellman)、RSA(Rivest,Shamir,Adleman)。
l 散列函数
用于把一个变长的消息压缩到一个定长的编码字中,成为一个散列或消息摘要。散列函数包括MD5(Message Digest 5)、安全散列算法SHA(Secure Hash Algorithm)。
三、工作模式分类
目前,BSR/HSR能够工作在三种模式下:路由模式、透明模式、混合模式。
l 路由模式
如果BSR/HSR通过网络层对外连接(接口具有IP地址),则认为BSR/HSR在路由模式下工作。
当BSR/HSR位于内部网络和外部网络之间时,需要将BSR/HSR与内部网络、外部网络相连的接口分别配置成不同网段的IP地址,并重新规划原有的网络拓扑。BSR/HSR在内部网络、外部网络中负责路由寻址的功能,相当于一台路由器。
在路由模式时,BSR/HSR支持ACL包过滤、ASPF动态过滤、NAT转换等功能。然而,在采用路由模式时,网络管理员需要修改网络拓扑,例如,内部网络用户需要更改网关,路由器需要更改路由配置等。网络改造是一件相当费事的工作,使用该模式时需权衡利弊。
l 透明模式
如果BSR/HSR通过数据链路层对外连接(接口无IP地址),则认为BSR/HSR在透明模式下工作。如果BSR/HSR在透明模式下工作,则可以避免改变拓扑结构造成的麻烦。
在透明模式下,BSR/HSR只能进行报文转发,不能进行路由寻址,连在一起的两个网络必须在同一个网段中。即在图2-2中,BSR/HSR的Trust区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,内部网络和外部网络必须处于同一个网段。
l 混合模式
如果BSR/HSR既存在工作在路由模式的接口(接口具有IP地址),又存在工作在透明模式的接口(接口无IP地址),则认为BSR/HSR在混合模式下工作。
混合模式主要用于透明模式作双机备份的情况,此时启动VRRP功能的接口需要配置IP地址,其他接口不配置IP地址。BSR/HSR混合模式的典型组网如图2-3所示。
四、 安全区域
l 概念
BSR/HSR支持多个安全区域,即除了支持本地区域(Local)、受信区域、非受信区域、DMZ区域四种预定义的安全区域外,还支持用户自定义安全区域
安全区域(Zone)是BSR/HSR所引入的一个在安全领域方面的概念,是BSR/HSR区别于路由器的主要特征。安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。
l 安全区域特点:
1、安全级别用1~100的数字表示,数字越大表示安全级别越高。
2、不存在两个具有相同安全级别的安全区域。
3、只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动
的时候,才会激活BSR/HSR的安全策略检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
4、只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动
的时候,才会激活BSR/HSR的安全策略检查功能。数据在属于同一个安全区域的不同接口间流动时不会引起任何检查。
五、入方向与出方向
两个安全区域之间(简称安全域间)的数据流分两个方向:
l 入方向(Inbound)
数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。
l 出方向(Outbound)
数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。在BSR/HSR上,判断数据传输是出方向还是入方向,总是相对高安全级别的安全区域一侧而言。
六、ACL分类
类型 |
编号范围 |
说明 |
基本ACL |
2000~2999 |
基本ACL仅使用源地址定义数据流。 |
高级ACL |
3000~3999 |
高级ACL使用数据包的源地址、目的地址、IP承载的协议类型(例如TCP的源端口、目的端口、ICMP协议的类型、消息码等内容)定义规则。 |
基于MAC地址的ACL |
4000~4099 |
基于以太网MAC地址的ACL主要用于BSR/HSR工作在透明模式的应用中,此时BSR/HSR能够根据以太网帧头中的源MAC地址、目的MAC地址、类型字段等信息与ACL规则进行匹配,从而达到控制二层数据帧的目的。 |
七、ACL的匹配顺序
一个ACL规则可以由多条permit或deny语句组成,每一条语句描述的规则是不相同的,这些规则可能存在重复或矛盾的地方。
在将一个数据包和ACL规则进行匹配的时候,需要确定ACL规则的匹配顺序。BSR/HSR依据如下的匹配顺序:
· 配置顺序
指按照用户配置ACL规则的先后顺序进行匹配。
· 自动排序
指按照“深度优先”规则进行匹配。
“深度优先”规则是把指定数据包范围最小的语句排在最前面。这一点可以通过比较地址的通配符来实现,通配符越小,则指定的主机的范围就越小。比如,129.102.1.1 0.0.0.0指定了一台主机129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段129.102.1.1~129.102.255.255,显然前者在访问控制规则中排在前面。具体标准为:
§ 对于基本ACL语句,直接比较源地址通配符,通配符相同的则按配置顺序排序。
§ 对于高级ACL语句,首先比较源地址通配符,相同则再比较目的地址通配符,仍相同则再比较端口号范围,范围小的排在前面,如果端口号范围也相同则按配置顺序排序。
数据流一旦与一条rule规则匹配成功,将不再继续向下匹配。BSR/HSR将根据该rule规则的动作,对数据流进行后续操作。
级别号 |
级别名称 |
级别权限 |
0 |
参观级 |
网络诊断工具命令(ping、tracert)、从本设备出发访问外部设备的命令(如Telnet客户端)等,该级别命令不允许进行配置文件保存的操作。 |
1 |
监控级 |
用于系统维护、业务故障诊断等,包括display、debugging命令,该级别命令不允许进行配置文件保存的操作。 |
2 |
配置级 |
业务配置命令,包括安全防范、上层业务、网络互连等配置命令,这些用于向用户提供直接安全和网络服务。 |
3 |
管理级 |
关系到系统基本运行、支撑模块的命令,包括文件系统、FTP、TFTP、XModem下载、配置文件切换命令、电源控制命令、备板控制命令、用户管理命令、级别配置命令、系统内部参数配置命令(非协议规定、非RFC规定)等。 |
八、 命令级别
系统命令行采用分级保护方式,命令行划分为参观级、监控级、配置级、管理级4个级别,简介如表1-1所示。
表1-1 命令行级别
同时对登录用户划分等级,分为4级,分别与命令级别对应,即不同级别的用户登录后,只能使用等于或低于自己级别的命令。
为了防止未授权用户的非法侵入,在从低级别用户切换到高级别用户时,要进行用户身份验证。为了保密,用户键入的口令在屏幕上不可见,如果三次以内输入正确的口令,则切换到高级别用户,否则保持原用户级别不变。
九、典型网络攻击介绍
l IP地址欺骗攻击
为了获得访问权,入侵者生成一个带有伪造源地址的报文。对于使用基于IP地址验证的应用来说,这种攻击方法导致未授权的用户可以访问目的系统,甚至是以root权限来访问。即使相应报文不能到达攻击对象,同样也会造成对被攻击对象的破坏。这就造成IP Spoofing攻击。
l Land攻击
Land攻击,就是把TCP SYN包的源地址和目标地址都配置成受害者的IP地址。这将导致受害者向它自己的地址发送SYN-ACK消息,结果这个地址又发回ACK消息并创建一个空连接,每一个这样的连接都将保留直到超时。不同受害者对Land攻击反应不同,UNIX主机将崩溃,Windows NT主机会变的极其缓慢。
l Smurf攻击
简单的Smurf攻击,用来攻击一个网络。方法是发送ICMP请求报文,该请求的目的地址配置为受害网络的广播地址,该网络的所有主机都对此ICMP请求报文作出答复,导致网络阻塞,这比ping大包的流量高出一或两个数量级。
高级的Smurf攻击,主要用来攻击目标主机。方法是将上述ICMP请求报文的源地址改为受害主机的地址,最终导致受害主机雪崩。攻击报文的发送需要一定的流量和持续时间,才能真正构成攻击。理论上讲,网络的主机越多,攻击的效果越明显。Smurf攻击的另一个变体为Fraggle攻击。
l WinNuke攻击
WinNuke攻击通常向装有Windows系统的特定目标的NetBIOS端口(139)发送OOB(Out-Of-Band)数据包,引起一个NetBIOS片断重叠,致使目标主机崩溃。还有一种是IGMP分片报文,一般情况下,IGMP报文是不会分片的,所以,不少系统对IGMP分片报文的处理有问题。如果收到IGMP分片报文,则基本可判定受到了攻击。
l SYN Flood攻击
由于资源的限制,TCP/IP协议栈的实现只能允许有限个TCP连接。SYN Flood攻击正是利用这一点进行攻击。它伪造一个SYN报文,其源地址是伪造的、或者一个不存在的地址,向受害主机发起连接,受害主机接收到该报文后用SYN-ACK报文应答,由于攻击报文的源地址不可达,因此发出ACK报文后不会收到ACK报文,造成一个半连接。如果攻击者发送大量这样的报文,就会导致受害主机建立大量的半连接,从而消耗其资源,使正常TCP连接无法建立,直到半连接超时。对于创建连接不受限制的情况,SYN Flood具有类似的影响,它会导致系统内存耗尽而崩溃。
l ICMP和UDP Flood攻击
短时间内用大量的ICMP报文(如ping)和UDP报文向特定目标不断请求回应,致使目标系统负担过重而不能处理合法的传输任务。
l 地址扫描与端口扫描攻击
运用扫描工具探测目标地址和端口,对此作出响应的表示其存在,用来确定哪些目标系统确实存活并且连接在目标网络上,这些主机使用哪些端口提供服务。
l Ping of Death攻击
IP报文的长度字段为16位,这表明一个IP报文的最大长度为65535。对于ICMP回应请求报文,如果数据长度大于65507,就会使ICMP数据+IP头长度(20)+ICMP头长度(8)>65535。对于有些设备或系统,在接收到一个这样的报文后,由于处理不当,会造成系统崩溃、死机或重启。所谓Ping of Death攻击,就是利用一些尺寸超大的ICMP报文对设备或系统进行的一种攻击。
l ARP攻击
常见的ARP攻击分为ARP欺骗攻击和ARP Flood攻击两种类型。
n ARP欺骗攻击:攻击者通过发送大量伪造的ARP请求、应答报文攻击网络设备,主要有ARP缓冲区溢出攻击和ARP拒绝服务攻击两种。
n ARP Flood攻击(ARP扫描攻击):攻击者利用工具扫描本网段或者跨网段主机时,统一安全网关BSR/HSR在发送回应报文前,会查找ARP表项,如果目的IP地址的MAC地址不存在,那么必然会导致统一安全网关BSR/HSR的ARP模块向上层软件发送ARP Miss消息,要求上层软件发送ARP请求报文以获得目的端的MAC地址。大量的扫描报文会导致大量的ARP Miss消息,导致统一安全网关BSR/HSR的资源浪费在处理ARP Miss消息上,影响统一安全网关BSR/HSR对其他业务的处理,形成扫描攻击。
十、恢复出厂配置
介绍恢复出厂配置的方法。
主板上的“RESET”按钮可以用来复位也可以用来进行恢复出厂配置。
恢复出厂配置的方法如下:先按住“RESET”按钮,然后再上电。当上电启动程序检测到用户已按下按钮时,面板的所有指示灯以2Hz的频率闪烁,这时可以松开按键,设备会自动恢复出厂配置文件。之后停止面板指示灯闪烁,PWR和RUN指示灯点亮。
十一、出故配置
FE1/0/0配置的地址是:192.168.0.1
默认管理帐号:admin
默认管理密码:Admin@123