add1

3.2        ASPF配置

　『组网需求』：

　　　　　　　要求内部网络用户发起的 FTP 连接的返回报文，允许其通过防火墙进入内部网络，其他报文被禁止。例：要求 192.168.1.100 向 10.153.49.41 发起 FTP 连接的返回报文，允许通过 SECPATH 进入到内部网络。

 

『配置实例』：

1．  将 SECPATH 产品默认规则改为“ permit ”，因为目前 VRP3.4 － 0006 的版本默认规则是“ deny ”。

　　　　 [Secpath]firewall packet-filter default permit

2．  在配置访问控制列表 3333 拒绝所有 TCP 和 UDP 流量进入内部网络，通过 ASPF 来允许返回的报文（通过临时访问控制列表来判断）进入内部网络。

　　　 [Secpath]acl number 3333

[Secpath-acl-adv-3333] rule deny ip

3．  配置 ASPF 策略来检测应用层 FTP 等协议，默认 FTP 协议的超时时间为 3600 秒。

　　　　 [Secpath]aspf-policy 1

　　　　 [Secpath-aspf-policy-1]detect ftp

5．  在外网接口上应用 ASPF 策略，用来检测内部 FTP 协议。

　　 [Secpath-GigabitEthernet0/1]firewall aspf 1 outbound

6．  在外网接口上应用访问控制列表 3333 ，用来过滤非 FTP 协议的报文。

　　 [Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound

7．  当 ASPF 检测到会话后。

[Secpath]dis aspf sess

[ 已建立的会话 ]

  会话        源发方                 响应方        应用协议     状态  

-----------------------------------------------------------------------

 0x265E7864 192.168.1.254:1027 　 10.153.49.41:21    ftp         FTP_CONXN_UP

 

　『注意事项』：

　　1 、在配置 ASPF 时，必须和静态访问控制列表结合使用。

　　 2 、在配置传输层协议检测时，对于 FTP ， H.323 这样的多通道应用层协议，在不配置应用层检测而直接配置 TCP 检测的情况下会导致连接无法建立。

　　 3 、当接口同时下发 ASPF 和 ACL 策略时， ASPF 先生效。

　　 4 、目前 ASPF 可检测应用层协议包括： ftp 、 http 、 h323 、 smtp 、 rtsp ； 传输层协议包括 ： tcp 、 udp 　。

　　 5 、此配置也适合在透明模式下使用。

 

3.3        黑名单

　『组网需求』：

　　　　　　　要求将内部用户“ 192.168.1.254 ”用户手动设置成黑名单用户，并将攻击的用户自动加入到黑名单中。

 

『配置实例』：

1．  在系统视图下使能黑名单功能。

　　 [Secpath]firewall blacklist enable

2．  手动添加“ 192.168.1.254 ” 客户机地址到黑名单表项中。

　　 [Secpath]firewall blacklist 192.168.1.254 timeout 10 （十分钟后自动解除，不配置 timeout ，将永久有效。）

　　 [Secpath]dis firewall blacklist item

 Firewall blacklist item :

 Current manual insert items : 1

 Current automatic insert items : 0

 Need aging items : 1

 

 IP Address      Insert reason    Insert time             Age time(minutes)

 --------------------------------------------------------------------------

 192.168.1.254   Manual           2006/02/28 11:31:01     10

3．  自动添加客户地址到黑名单表项的前提是，通过统计攻击首的信息。

[Secpath]firewall zone trust

[Secpath-zone-trust]statistic enable ip inzone

[Secpath-zone-trust]statistic enable ip outzone

[Secpath]firewall zone untrust

[Secpath-zone-untrust]statistic en ip inzone

[Secpath-zone-untrust]statistic en ip outzone

4．  在全局开启攻击防范功能。

　　 [Secpath]firewall defend all

 

　『注意事项』：

1 、黑名单表项中使用命令行多次配置同一 IP 地址的表项到黑名单中，则后配置的表项会覆盖原有表项。

2 、如果防火墙相关模块准备向黑名单插入的 IP 地址已经存在于黑名单之中，则老化时间长的表项会被保留。

3 、通过 Telnet 方式登录防火墙时，如果连续三次输错密码，系统也自动将 Telnet 客户端的 IP 地址添加到黑名单中，并设置老化时间为 10 分钟。

4 、攻击防范模块察觉到特定 IP 地址的攻击之后，会将这个 IP 地址自动插入到黑名单表中。

5 、如果将客户地址加入到黑名单后，所有从客户机发出的 ICMP 报文都会被防火墙过滤掉。

 

3.4        MAC和IP地址绑定

　『组网需求』：

　　　　　　　要求将客户机“ 192.168.1.100 ”的 MAC 和 IP 地址绑定，来避免 IP 地址假冒攻击的一种方式。

『配置实例』：

1．  配置客户机“ 192.168.1.100 ”的 IP 地址和 MAC 地址的绑定。

　　 [Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32

2．  在系统视图下使能地址绑定功能。

　　 [Secpath]firewall mac-binding enable

3．  查看绑定信息。

　　 [Secpath]dis firewall mac-binding item

 Firewall Mac-binding item(s) :

 Current items : 1

192.168.1.100    000f-e200-da32 　

　

　『注意事项』：

1 、在配置 MAC 和 IP 地址绑定时，同一个 MAC 地址可以同多个不同的 IP 地址绑定。

2 、如果配置静态 ARP 时已经存在相同 IP 地址的地址绑定关系表项，该静态 ARP 将配置失败，同时返回提示信息；如果配置的地址绑定关系中的 IP 地址已经存在于静态 ARP 表中，则静态 ARP 表中的表项将被删除。

3 、 MAC 和 IP 地址绑定对于 PPPoE 的地址是不起作用的，因为以太帧上面承载的是 PPP 报文，所以无法进行判断和处理。

4 、当配置 MAC 和 IP 地址绑定功能后，下接所有客户机都必须配置 MAC 和 IP 地址绑定，否则不可能过防火墙。

5 、如果将 PC 的 IP 改为 192.168.1.101 ，此时还可上网。这是因为绑定关系中只以 IP 为索引进行查找。不以 mac 为索引查找。所以只有当发现 IP 为 192.168.1.100 且其 MAC 不是 000f-e200-da32 才不能上网。

 

3.5        Web地址、内容过滤及SQL攻击防范功能

　『组网需求』：

　　　　　　　要求“ 192.168.1.100 ”不可访问外部的 www.163.com 、 www.sohu.com 网址，而且载入“ 123.txt ”文件过滤掉网页内容，并将缺省的 SQL 攻击防范开启。

『配置实例』：

1．  要求参考“ ASPF 配置”，开启“ HTTP 、 TCP ”检测，并在“ trust 和 untrust ”域中开启报文统计功能。

2．  在系统视图分别开启 Web 地址、内容过滤功能及 SQL 注入攻击防范。

[Secpath]firewall url-filter host enable

[Secpath]firewall webdata-filter enable

[Secpath]firewall url-filter parameter enable

3．  在系统视图下配置网址过滤。

[Secpath]firewall url-filter host add deny www.163.com

[Secpath]firewall url-filter host add deny www.sohu.com

[Secpath]dis firewall url-filter host item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    <deny>www.163.com

    2          0    <deny>www.sohu.com

4．  在系统视图下配置 WEB 内容过滤。

[Secpath]firewall webdata-filter load-file 123.txt

[Secpath]dis fir webdata-filter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    gogo

    2          0    安全

5．  在系统视图下配置缺省的 SQL 攻击防范开启，也可手动添加。

[Secpath]firewall url-filter parameter add-default

[Secpath]dis firewall url-filter parameter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    ^select^

    2          0    ^insert^

    3          0    ^update^

    4          0    ^delete^

    5          0    ^drop^

    6          0    --

    7          0    '

    8          0    ^exec^

    9          0    %27

 

　『注意事项』：

1 、开启 Web 地址、内容过滤功能及 SQL 注入攻击防范功能之前，要先配置 ASPF 策略，detect http ，detect tcp ，才能使 Web 地址和 Web 内容过滤功能生效。

2 、在配置 Web 地址 过滤 时，可以设置默认规则，如果规则是“ permit ”，则配置的过滤表项都是“ deny ”，反之亦然。

3 、目前 SECPATH 产品支持中英文过滤，对于中文必须通过文件方式载入。

4 、防火墙还提供了对 Web 中 SQL （ Structure Query Language ，结构化查询语言）注入攻击进行防范的功能。目前缺省情况下，系统预定义了以下关键字： ^select^ 、 ^insert^ 、 ^update^ 、 ^delete^ 、 ^drop^ 、 -- 、 ' 、 ^exec^ 和 %27 。

5 、目前 SECPATH 系列产品，路由和透明模式均支持内容过滤。对于 web － filter 规则，目前可配置 2K 个，而“＊”可匹配 0 ～ 4 个字符或 2 个汉字。