1 / 112

H3C F5000-A5 防火墙培训

H3C F5000-A5 防火墙培训. ISSUE 1.0. 日期: 20 10 / 03 / 01. 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播. 引入. H3C SecPath F5000-A5 是目前处理性能最高的分布式防火墙,旨在满足大型企业、运营商和数据中心网络高性能的安全防护。 SecPath F5000-A5 采用多核多线程、 ASIC 等先进处理器构建分布式架构,将系统管理和业务处理相分离,实现整机吞吐量达到 40Gbps ,使其具有全球最高性能的分布式安全处理能力。. 课程目标. 学习完本课程,您应该能够:.

seth-barr
Download Presentation

H3C F5000-A5 防火墙培训

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. H3C F5000-A5防火墙培训 ISSUE 1.0 日期:2010/03/01 杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播

  2. 引入 • H3C SecPath F5000-A5是目前处理性能最高的分布式防火墙,旨在满足大型企业、运营商和数据中心网络高性能的安全防护。SecPath F5000-A5采用多核多线程、ASIC等先进处理器构建分布式架构,将系统管理和业务处理相分离,实现整机吞吐量达到40Gbps,使其具有全球最高性能的分布式安全处理能力。

  3. 课程目标 学习完本课程,您应该能够: • 了解H3C防火墙产品的主要特性 • 熟悉H3C防火墙的常见组网方式 • 掌握H3C防火墙产品的典型配置 • 掌握H3C防火墙的常见故障及其处理方法

  4. 目录 • H3C F5000-A5产品介绍 • H3C F5000-A5基本功能配置 • H3C F5000-A5典型组网 • 常见故障及其维护方法

  5. 产品简介 • Scathe F5000-A5是SecPath防火墙/VPN网关的旗舰产品 • 定位在大型园区出口、ICP/ISP、数据中心以及MSSP运营商组网环境 • 综合了多项业界领先的技术于一身:多核CPU,无阻塞交换网,业务处理FPGA化…… • 具有业务高性能,系统高可靠性以及端口高密度等特点

  6. 产品规格 F5000-A5产品规格 整机规格 • 尺寸 标准7U • 插槽 1主控板+4业务板 • 业务接口 48GE/8*10GE • 管理口 1GE+1CON+1AUX • 热备口 1GE 整机性能规格 • 吞吐量 40Gbps • 并发连接 400万 • 每秒新建连接 10万 • 加密性能 2Gbps • VPN隧道数 20000 业务板 主控板 风扇 电源

  7. 板卡介绍 • 主控板:NSQ1MPUA0 • 业务版: • NSQ1GT8C40 • NSQM1GT8P40 • NSQ1XP20

  8. V P N 技 术 M P L S 流量工程 业务应用 系统服务 路由技术 组播技术 语音技术 安全技术 配置管理 IPV4协议栈 IPV6协议栈 OSI协议栈 以太网交换技术 链路层协议 QoS 高速转发引擎 API接口封装 产品驱动 操作系统 交换芯片 CPU Comware软件平台架构

  9. 状态地址转换 动态VPN GRE、L2TP 路由协议 VOIP VRRP IP服务层面 QoS DHCP/DNS 多播 MPLS VPNs Secure ARP AAA 认证 ARP 16 优先级 操作安全层面 单播反向地址检查 (反欺骗) 命令行授权 终端日志 SNMP v3 防火墙软件架构 Comware inside 网络集成解决方案 VPN FirewallIDS 管理业务 用户管理 Firewall 入侵检测 IPsec 安全层面 ACL AAA SSH NAT SSL PKI、

  10. 高速、丰富的NAT转换 • 支持多种常用转换(一对多、多对一、NAPT、Easy IP等) • 支持多种地址转换应用层网关(解决特殊协议穿越NAT问题) • NAT 限制最大TCP 连接数(解决内网病毒主机发起大量NAT会话) • 支持NAT多实例(解决VPN私网地址重叠问题) • 静态网段地址转换 • 双向地址转换 • 支持DNS映射 NAT规格 整机性能规格 • NAT吞吐量 40Gbps • NAT并发会话 400万 • 每秒新建连接 28万

  11. 共享密钥 共享密钥 1. 数字证书 数字证书 PKI/CA 2. Proposals IKE SA Proposals IKE 1 3. Proposals Proposals IPsec SA IKE 2 IPsec 隧道 VPN相关协议及技术 • 支持的协议 • L2TP VPN • GRE VPN • IPSec VPN • MPLS VPN • SSL VPN • 加密/认证算法 • DES/3DES • AES • MD5 • SHA-1 • 身份认证方式 • 本地认证 • RADIUS/TACACS认证 • PKI/CA认证

  12. 源地址 目的地址 源端口 目的端口 协议类型 TOS ACL 令牌 丢弃 Queue0 丢弃 入接口 拥塞管理 出接口 Queue1 令牌筒 FIFO PQ CQ WFQ CBWFQ RED WRED SARED Queue2 CAR GTS 接收报文 QueueN 继续发送 流量监管 流量整形 入 队 拥塞检测/避免 报文分类/标记 出 队 队列调度 网络深度融合能力 专业网络厂商的丰富路由及QoS特性: • 静态/RIPv1/2/OSPF/BGP • 策略路由及路由策略 • 流量监管/拥塞检测及避免/流量整形 • MPLS/多播/虚拟防火墙 Comware inside

  13. 虚拟防火墙 • 虚拟防火墙实例提供相互隔离的安全服务,具备私有的区域、域间、ACL规则组和NAT地址池,并且能够将绑定接口加入私有区域 • 虚拟防火墙实例能够提供地址绑定、黑名单、地址转换、包过滤、统计、攻击防范、ASPF和NAT ALG等私有的安全服务 • 虚拟防火墙为用户提供相互隔离的配置管理平面 • 虚拟防火墙管理员登录防火墙后有权管理和维护私有的防火墙路由和安全策略 IDC

  14. 骨干网 虚拟防火墙 虚拟防火墙 用户A 用户B 用户C 用户D

  15. 高可靠性:保障您的业务不间断性 • 支持VRRP组网,多台防火墙可组成高可靠性的网络 • 双机热备:支持主/主、主/备模式 • 双机状态热备:保证设备切换连接不中断 • 实现非对称路径转发。 • 链路负载均衡:通过探测链路,分析最优路径(时延小),自动选择最优路径转发 电信 电信

  16. 业务可靠 端到端可靠网络 网络可靠 设备可靠 高可用性—电信级硬件平台 • 关键部件均冗余设计 • 高达35万小时的 (MTBF) • 支持接口模块热插拔 • 支持温度自动检测及告警 • 双电源冗余备份

  17. 日志管理及告警 • Syslog文本日志 • 二进制日志 • 丰富日志信息: • 流日志 • NAT/ASPF日志 • 攻击防范日志 • 黑名单/地址绑定日志 • 邮件/网址/内容过滤日志 • 多种告警收集方式 手机短信 告警邮件 监控终端 Internet 控制台 SecPath 日志主机 日志缓冲

  18. 统一设备网管能力 • WEB、SNMP、TR069等管理方式 • 支持iMC统一网管 • 支持VPN Manager进行VPN部署 • 支持BIMS集中管理

  19. 目录 • H3C F5000-A5产品介绍 • H3C F5000-A5基本功能配置 • H3C F5000-A5典型组网 • 常见故障及其维护方法

  20. F5000-A5 PC 防火墙管理配置方式 F5000-A5支持多种方式管理,有Web、Telnet、SSH,其中大部分配置都能通过WEB完成,同时,支持命令行,命令行主要提供简单的配置、信息查看、故障诊断等,推荐使用WEB方式进行配置。

  21. 管理方式一:console方式 图1 Windows 超级终端 图2 SecureCRT F5000-A5自带console口,可以用串口线对F5000-A5进行管理,其串口参数设置如图所示,默认情况下console口没有密码。

  22. 管理方式二:Web方式 默认管理IP地址:192.168.0.1 默认用户名:h3c 默认密码:h3c

  23. 1.开启Telnet和SSH服务 2.创建管理用户 管理方式三:Telnet/SSH方式 登陆防火墙WEB页面后单击“设备管理 > 服务管理” 登陆防火墙WEB页面后单击“用户管理 > 本地用户” ,然后点击<新建>或<删除>用户

  24. 通过指定IP通过指定端口管理防火墙 [H3C]ip http port 8080 //修改管理端口号 [H3C]ip http acl ? INTEGER<2000-2999> Basic acl //限制登录用户IP

  25. SNMP配置 • SNMP(Simple Network Management Protocol)是使用TCP/IP协议族对互联网上的设备进行管理的一个框架,它提供一组基本的操作来监视和维护互联网。 [H3C]snmp-agent //启用SNMP功能 [H3C]snmp-agent local-engineid 800063A203000000000202 [H3C] snmp-agent community read public //设置SNMP Community及其操作限; [H3C]snmp-agent community write private [H3C]snmp-agent sys-info version all //设置SNMP版本; [H3C]snmp-agent trap source GigabitEthernet2/0 //设置SNMP trap源地址; [H3C]snmp-agent target-host trap address udp-domain 192.168.0.2 params securityname h3c //设置SNMP target-host trap address;

  26. 设置设备名称及WEB管理超时时间

  27. 设置日期和时间 通过命令行和WEB页面都可以设置系统的日期和时间 NTP服务器端配置 NTP客户端端配置

  28. 网络管理 • 防火墙的网络管理包括端口参数设置、VLAN配置、路由协议配置及路由表的维护、DHCP、DNS以及流量统计等内容。

  29. 以太网接口管理 • 常用端口参数设置命令: [H3C]int GigabitEthernet 2/8 [H3C-GigabitEthernet2/8]speed 100/1000 //设置端口速率 [H3C-GigabitEthernet2/8]duplex full/half/auto //设置双工模式 [H3C-GigabitEthernet2/8]combo enable copper/fiber //设置combo口类型 [H3C-GigabitEthernet2/8] port link-mode bridge/route //设置端口工作模式 [H3C-GigabitEthernet2/8]shutdown //关闭端口 [H3C-GigabitEthernet2/8]no shutdown //开启端口 [H3C-GigabitEthernet2/8] tcp mss ? // 修改端口MSS值 INTEGER<128-2048> TCP-MSS value [H3C-GigabitEthernet2/8] mtu ? //修改端口MTU值 INTEGER<46-1500> MTU value

  30. 链路聚合功能 • 链路聚合是将多个物理以太网接口聚合在一起形成一个逻辑上的聚合组,使用链路聚合服务的上层实体把同一聚合组内的多条物理链路视为一条逻辑链路。 • 链路聚合可以实现数据流量在聚合组中各个成员端口之间分担,以增加带宽。同时,同一聚合组的各个成员端口之间彼此动态备份,提高了连接可靠性。 • H3C防火墙支持三层、二层以及静态、动态链路聚合功能。

  31. GE4/1/1 GE1/6 GE4/1/2 GE1/7 Switch F5000-A5 三层链路聚合 • 组网需求: • F5000A的GE1/6和GE1/7采用三层链路聚合到group 1,与交换机进行对接,基于源地址实现链路负载分担和动态备份。 • 配置方法: • 创建聚合组,并将接口加入聚合组 • 配置负载分担方式 • 将实际接口和聚合口加入安全区域

  32. 三层链路聚合(续) • 配置方法: # interface Route-Aggregation 1 //创建链路聚合口,并设置其IP地址 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet1/6 port link-mode route port link-aggregation group 1 //将接口加入聚合组 # interface GigabitEthernet1/7 port link-mode route port link-aggregation group 1 # link-aggregation load-sharing mode source-ip //设置聚合口负载分担方式

  33. 二层链路聚合 • 配置要点: • 先将接口工作模式设置成桥接模式 • 创建聚合口并加入VLAN • 添加接口到聚合组 • 将实际接口和聚合口加入相应安全区域 • 配置方法 # interface Bridge-Aggregation 1 //创建链路聚合口,并加入VLAN port access vlan 10 # interface GigabitEthernet1/6 port link-mode bridge port access vlan 10 port link-aggregation group 1 //将二层接口加入聚合组

  34. 二层链路聚合 • 配置方法 # interface GigabitEthernet1/7 port link-mode bridge port access vlan 10 port link-aggregation group 1 # int vlan-interface 10 ip address 10.1.1.1 24 # link-aggregation load-sharing mode source-ip //设置负载分担方式 然后登陆WEB,添加GE1/6和GE1/7,聚合组 1 到相应安全区域

  35. 防火墙基本概念—安全区域 安全区域是防火墙区别于普通网络设备的基本特征之一。所有接口必须加入区域,以接口为边界,按照安全级别不同将业务分成若干区域,防火墙的策略(如域间策略、攻击防范等)在区域或者区域之间下发。 注:接口只有加入了业务安全区域后才会转发数据

  36. 安全区域(续) • 默认的安全区域及优先级:Management(100)、Local(100)、Trust(85)、Untrust(5)、DMZ(50) • 默认的安全区域访问控制策略: 高优先级安全区域可以访问低优先级区域; 低优先级安全区域不允许访问高优先级区域; 相同优先级安全区域可以相互访问; 相同安全区域内可以相互访问; 默认情况下,其它所有安全区域都可以访问Local域;

  37. 创建安全区域并将接口加入区域 创建一个安全区域 将接口加入区域

  38. 域间策略 默认情况下,高级别区域能访问低级别区域,低级 别区域的不能访问高级别区域,如果需要低级别区 域访问高级别区域,怎么办?

  39. 域间策略 • 域间策略基于ACL(Access Control List,访问控制列表),在安全域之间实现流识别控制功能。 • 基于五元组(源IP地址、目的IP地址、源MAC地址、目的MAC地址、IP承载的协议类型和协议的特性(例如TCP或UDP的源端口/目的端口、ICMP协议的消息类型/消息码)指定匹配规则。 • 根据策略执行相应动作(允许、阻断、记录日志)。 • 基于时间段下发域间策略、策略加速、策略匹配统计等多种功能。

  40. 域间策略 • 将IP地址和域名简化为地址资源和地址组资源 • 将源端口、目的端口以及协议号简化为服务资源和服务组资源 • 通过引用地址组资源和服务组资源创建域间策略 • 启用域间访问策略后即可实现对网络访问的控制

  41. 创建域间策略 • 第一步:创建地址资源 • 主机地址资源适用于归类散列IP地址,可以是IP地址也可以是域名

  42. 创建域间策略 • 范围地址资源适用于连续的IP地址段

  43. 创建域间策略 • 子网地址资源适用于整个网段的IP地址资源,用反掩码控制范围

  44. 创建域间策略 • 地址资源除了IP地址外还可以引用MAC地址

  45. 创建域间策略 • 可以将创建的地址对象添加到一个地址组里面进行统一管理

  46. 创建域间策略 • 将MAC地址对象加入MAC地址组

  47. 创建域间策略 • 第二步:创建服务资源 • 用户可以根据需要配置相应的服务

  48. 创建域间策略 • 将多个服务对象添加到一个服务组进行统一管理

  49. 创建域间策略 • 第三步:引用地址资源和服务资源创建域间策略

  50. 会话管理 在WEB管理页面单击“防火墙>会话管理”可以查看当前会话列表、配置会话老化时间、查看会话统计等信息

More Related