防火墙产品与维护学习目标课程内容第一章Eudemon防火墙培训防火墙的分类（一）防火墙的分类(二）防火墙技术发展方向动态创建和删除过滤规则ASPF（ApplicationSpecificPacketFilter）增强VRP平台上的防火墙功能提供针对应用层的报文过滤功能。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。ASPF不仅能够根据连接的状态对报文进行过滤还能够对应用层报文的内容加以检测以对一部分攻击加以检测和防范。状态防火墙通过检测基于TCP/UDP连接的连接状态来动态的决定报文是否可以通过防火墙。在状态防火墙中会维护着一个Session表项通过Session表项就可以决定哪些连接是合法访问哪些是非法访问。FTP是FileTransferProtocol（文件传输协议）要用到两个TCP连接一个是控制通道用来在FTP客户端与服务器之间传递命令；另一个是数据通道用来上传或下载数据。检查接口上的外发IP报文确认为基于TCP的FTP报文。检查端口号确认连接为控制连接建立返回报文的临时ACL和状态表。检查FTP控制连接报文解析FTP指令根据指令更新状态表如果包含数据通道建立指令则创建另外的数据连接的临时ACL对于数据连接不进行状态检测。对返回报文作根据协议类型做相应匹配检查检查将根据相应协议的状态表和临时ACL决定报文是否允许通过。DoS攻击的防范对所有处于半开(TCPSYNorUDP)状态的连接进行数目统计和速度采样。主要防火墙性能衡量指标第一章防火墙培训Eudemon系列防火墙性能Eudemon200：高效可靠的体系结构——双总线Eudemon500/1000：基于NP逻辑结构防火墙的基本工作流程E200状态防火墙与工控机类型防火墙技术对比千兆防火墙技术对比第一章防火墙培训防火墙原理与特性防火墙的安全区域（一）防火墙的安全区域（二）防火墙的安全区域（三）防火墙的安全区域（四）防火墙的安全区域（五）防火墙的安全区域（六）防火墙原理与特性防火墙的三种工作模式（一）防火墙的三种工作模式（二）防火墙的三种工作模式（三）防火墙的三种工作模式（四）防火墙原理与特性防火墙的安全防范访问控制列表是什么？如何标识访问控制列表？ACL加速防火墙的安全防范ASPF黑名单（一）黑名单（二）黑名单配置举例（一）黑名单配置举例（二）其它防火墙的安全防范防火墙数据报安全匹配的顺序防火墙的安全防范攻击类型简介（一）攻击类型简介（二）单包攻击原理及防范（一）单包攻击原理及防范（二）单包攻击原理及防范（三）单包攻击原理及防范（四）单包攻击原理及防范（五）单包攻击原理及防范（六）单包攻击原理及防范（七）分片报文攻击原理及防范（一）分片报文攻击原理及防范（二）拒绝服务攻击原理及防范（一）拒绝服务攻击原理及防范（二）扫描攻击原理和防范（一）扫描攻击原理和防范（二）防火墙防范的其他报文防火墙的安全防范IDS联动IDS联动IDS联动配置举例防火墙原理与特性VRRP和VGMP（一）两个防火墙上各接口之间的隶属关系两个防火墙上的接口和安全区域的连接必须严格一一对应包括接口插槽、类型、编号、相关配置等（IP地址除外）。两个防火墙上各VRRP备份组之间的隶属关系两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1A2接口隶属备份组2A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。两个防火墙上各VRRP管理组之间的隶属关系两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。同一防火墙上接口、备份组、管理组之间的隶属关系同一防火墙（例如EudemonA）上一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组但是相同备份组不能隶属多个VRRP管理组。VRRP备份组提供的备份功能是相对于安全区域而言的即每个安全区域对应一个备份组；而VRRP管理组实现了各VRRP状态的一致性是相对于Eudemon防火墙而言的在每个防火墙上都定义至少一个VRRP管理组负责管理该Eudemon防火墙与各安全区域相关的备份组VRRP的配置任务(无◆符号表示该配置仅适用于未加入管理组的备份组)配置备份组的虚拟IP地址◆配置备份组的优先级◆配置备份组的抢占方式和延迟时间配置备份组的认证方式和认证字◆配置备份组的定时器◆配置监视指定接口VRRP