h3c防火墙培训总结

《h3c防火墙培训总结》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、H3C防火墙培训总结刚刚参加了H3C为ZTE开的网络安全培训，从2011-3-28到2011-4-1一共5天，主要学习了H3C的两个系列的防火墙（SecPath和SecBladeII）的实现原理，基本配置。也接触到了H3C的UTM和S9500E路由器以及基本配置。培训所使用的胶片已经上传到SVN，使用的教材放在祝舜处，如有兴趣，可以借阅一下。首先介绍一下培训的情况：培训课程是在H3C园区进行的，5天的培训分别是：防火墙的基础知识；SecPath系列防火墙操作；SecBladeII系列防火墙操作；S9500E交换机操作；UTM操作。第

2、一天培训是全天的基础知识培训，其余都是上午上课，下午和晚上实验。培训讲师依次为：巫继雨（基础知识和SecPath防火墙以及UTM），翟运波（SecBladeII防火墙），王思军（S9500E交换机）。下面是我根据培训的顺序，依据自己的理解，做到一些记录：1、防火墙的作用是检测、制止和防御网络攻击，实现内外网之间的IP地址映射，实现VPN功能，实现各种过滤等。2、目前防火墙的基本模型都是基于会话的，可以支持会话的多少，以及支持速度，决定了防火墙的性能，对于会话，可以理解为防火墙隔离在用内网和外网之间，在内网主机看来，防火墙就是和其交互

3、的外网主机，外网主机同样认为防火墙就是与之交互的内网主机。防火墙扮演了一个代理的角色，如果内网主机PC1请求与外网主机PC2之间建立FTP服务，PC1为客户端，PC2为服务端，防火墙所要完成的工作是建立一个会话，记录客户端和服务端的IP地址，端口号，协议，以及分析FTP协商出来的数据通道端口号，然后为这个FTP服务放开各端口，实现内外网的互通。3、防火墙角度将所处的网络环境划分为5个区域，TRUST域，UNTRUST域，DMZ域，local域，management域，前三个是按照外部网络进行的划分，TRUST域一般内部网络，DMZ为

4、内部的服务器网络，UNTRUST为外部网络。Local域为本地端口，management域只应该包含管理端口。在web配置界面中可以看到，各个域的安全级别不同，防火墙根据安全级别来管理各个域之间的访问，安全级别高的区域可以访问安全级别低的区域，安全级别低的区域通过匹配ACL才可以访问安全级别高的区域。ACL中通过五元组匹配（源和目的的IP和端口+协议）。4、各种NAT转换：H3C支持4种NAT方式（基本NAT方式，NAPT方式，NATServer方式和EasyIP方式），NAT转换可以隔离内网和外网，可以解决IPV4地址用尽的问题，

5、基本NAT方式是将内网发往外网的报文的源地址，统一替换成自己的公网地址，将外网发回来的报文的源地址改成自己的内网地址，发给内网主机，端口号并不改变。NAPT方式就是可以改变端口号的NAT方式，EasyIP方式是内外网地址一对一的NAT方式，NATServer方式用于外网访问内网的主机使用，从流程上看是反向的NAT。5、防火墙的重要概念ALG，ALG中文名叫应用层网关，引入的目的是为了防御应用层的攻击，识别各种双通道的协议，例如FTP等。ALG的处理速度直接影响防火墙的性能。但是ALG并不能做到代理所用应用，如果内网用户在打魔兽，AL

6、G要识别其产生的报文时，可能也要运行一个魔兽客户端才行，这显然不现实。6、泛洪攻击及防御，泛洪攻击在网络中比较常见，主要的攻击手段是根据IP协议中的某一正常流程，采用大量的报文与被攻击主机建立连接，但不终结这个链接，从而达到可以是被攻击主机的大量资源被占用，无法响应正常的请求，这种攻击主要有ICMPFlood攻击，SYNFlood和UDPFlood，ICMPFlood是根据将ICMP请求报文中的源地址改成被攻击地址（目的主机不是被攻击主机），目的地址为广播地址，或源地址是环回地址（目的主机直接是被攻击主机），利用这种方法消耗资源和占

7、用带宽等；SYNFlood攻击是采用不完整的TCP握手流程实现的，通过向目的主机发送大量的SYN消息，后续不再响应被攻击主机的SYNACK消息，被攻击主机就需要等待定时器超时才能释放资源；UDPFlood也是采用发送大量的UDP报文，是目标主机负荷过重，达到攻击的目的。防御的方法主要是限制速度或者由防火墙模拟各种正常的流程，如果判断出有主机再报文处理上有异常，对其进行丢包处理。