3.2        ASPF配置

 『组网需求』:<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

       要求内部网络用户发起的FTP连接的返回报文,允许其通过防火墙进入内部网络,其他报文被禁止。例:要求192.168.1.10010.153.49.41发起FTP连接的返回报文,允许通过SECPATH进入到内部网络。
 

『配置实例』:

1.  SECPATH产品默认规则改为“permit”,因为目前VRP3.40006的版本默认规则是“deny”。
    [Secpath]firewall packet-filter default permit
2.  在配置访问控制列表3333拒绝所有TCPUDP流量进入内部网络,通过ASPF来允许返回的报文(通过临时访问控制列表来判断)进入内部网络。
   [Secpath]acl number 3333
[Secpath-acl-adv-3333] rule deny ip
3.  配置ASPF策略来检测应用层FTP等协议,默认FTP协议的超时时间为3600秒。
    [Secpath]aspf-policy 1
    [Secpath-aspf-policy-1]detect ftp

5.  在外网接口上应用ASPF策略,用来检测内部FTP协议。
  [Secpath-GigabitEthernet0/1]firewall aspf 1 outbound
6.  在外网接口上应用访问控制列表3333,用来过滤非FTP协议的报文。
  [Secpath-GigabitEthernet0/1]firewall packet-filter 3333 inbound
7.  ASPF检测到会话后。
[Secpath]dis aspf sess

[已建立的会话]

 会话       源发方                响应方       应用协议    状态 

-----------------------------------------------------------------------

 0x265E7864 192.168.1.254:1027  10.153.49.41:21    ftp         FTP_CONXN_UP

 

 『注意事项』:

  1、在配置ASPF时,必须和静态访问控制列表结合使用。
  2、在配置传输层协议检测时,对于FTPH.323这样的多通道应用层协议,在不配置应用层检测而直接配置TCP检测的情况下会导致连接无法建立。
  3、当接口同时下发ASPFACL策略时,ASPF先生效。
  4、目前ASPF可检测应用层协议包括:ftphttph323smtprtsp传输层协议包括tcpudp 。
  5、此配置也适合在透明模式下使用。
 

3.3        黑名单

 『组网需求』:

       要求将内部用户“192.168.1.254”用户手动设置成黑名单用户,并将***的用户自动加入到黑名单中。
 

『配置实例』:

1.  在系统视图下使能黑名单功能。
  [Secpath]firewall blacklist enable
2.  手动添加“192.168.1.254 客户机地址到黑名单表项中。
  [Secpath]firewall blacklist 192.168.1.254 timeout 10(十分钟后自动解除,不配置timeout,将永久有效。)

  [Secpath]dis firewall blacklist item

 Firewall blacklist item :

 Current manual insert items : 1

 Current automatic insert items : 0

 Need aging items : 1

 

 IP Address      Insert reason    Insert time             Age time(minutes)

 --------------------------------------------------------------------------

 192.168.1.254   Manual           2006/02/28 11:31:01     10

3.  自动添加客户地址到黑名单表项的前提是,通过统计***首的信息。
[Secpath]firewall zone trust
[Secpath-zone-trust]statistic enable ip inzone
[Secpath-zone-trust]statistic enable ip outzone
[Secpath]firewall zone untrust
[Secpath-zone-untrust]statistic en ip inzone
[Secpath-zone-untrust]statistic en ip outzone
4.  在全局开启***防范功能。
  [Secpath]firewall defend all
 

 『注意事项』:

1、黑名单表项中使用命令行多次配置同一IP地址的表项到黑名单中,则后配置的表项会覆盖原有表项。
2、如果防火墙相关模块准备向黑名单插入的IP地址已经存在于黑名单之中,则老化时间长的表项会被保留。
3、通过Telnet方式登录防火墙时,如果连续三次输错密码,系统也自动将Telnet客户端的IP地址添加到黑名单中,并设置老化时间为10分钟。
4、***防范模块察觉到特定IP地址的***之后,会将这个IP地址自动插入到黑名单表中。
5、如果将客户地址加入到黑名单后,所有从客户机发出的ICMP报文都会被防火墙过滤掉。
 

3.4        MACIP地址绑定

 『组网需求』:

       要求将客户机“192.168.1.100”的MACIP地址绑定,来避免IP地址假冒***的一种方式。
『配置实例』:

1.  配置客户机“192.168.1.100”的IP地址和MAC地址的绑定。
  [Secpath]firewall mac-binding 192.168.1.100 000f-e200-da32
2.  在系统视图下使能地址绑定功能。
  [Secpath]firewall mac-binding enable
3.  查看绑定信息。
  [Secpath]dis firewall mac-binding item

 Firewall Mac-binding item(s) :

 Current items : 1

192.168.1.100    000f-e200-da32 

 

 『注意事项』:

1、在配置MACIP地址绑定时,同一个MAC地址可以同多个不同的IP地址绑定。
2、如果配置静态ARP时已经存在相同IP地址的地址绑定关系表项,该静态ARP将配置失败,同时返回提示信息;如果配置的地址绑定关系中的IP地址已经存在于静态ARP表中,则静态ARP表中的表项将被删除。
3MACIP地址绑定对于PPPoE的地址是不起作用的,因为以太帧上面承载的是PPP报文,所以无法进行判断和处理。
4、当配置MACIP地址绑定功能后,下接所有客户机都必须配置MACIP地址绑定,否则不可能过防火墙。
5、如果将PCIP改为192.168.1.101,此时还可上网。这是因为绑定关系中只以IP为索引进行查找。不以mac为索引查找。所以只有当发现IP 192.168.1.100且其 MAC不是000f-e200-da32才不能上网。
 

3.5        Web地址、内容过滤及SQL***防范功能

 『组网需求』:

       要求“192.168.1.100”不可访问外部的www.163.comwww.sohu.com网址,而且载入“123.txt”文件过滤掉网页内容,并将缺省的SQL***防范开启。
『配置实例』:

1.  要求参考“ASPF配置”,开启“HTTPTCP”检测,并在“trustuntrust”域中开启报文统计功能。
2.  在系统视图分别开启Web地址、内容过滤功能及SQL注入***防范。
[Secpath]firewall url-filter host enable
[Secpath]firewall webdata-filter enable
[Secpath]firewall url-filter parameter enable
3.  在系统视图下配置网址过滤。
[Secpath]firewall url-filter host add deny www.163.com
[Secpath]firewall url-filter host add deny www.sohu.com

[Secpath]dis firewall url-filter host item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    <deny>www.163.com

    2          0    <deny>www.sohu.com

4.  在系统视图下配置WEB内容过滤。
[Secpath]firewall webdata-filter load-file 123.txt

[Secpath]dis fir webdata-filter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    gogo

    2          0    安全

5.  在系统视图下配置缺省的SQL***防范开启,也可手动添加。
[Secpath]firewall url-filter parameter add-default

[Secpath]dis firewall url-filter parameter item-all

   SN  Match-Times  Keywords

   ----------------------------------------------

    1          0    ^select^

    2          0    ^insert^

    3          0    ^update^

    4          0    ^delete^

    5          0    ^drop^

    6          0    --

    7          0    '

    8          0    ^exec^

    9          0    %27

 

 『注意事项』:

1、开启Web地址、内容过滤功能及SQL注入***防范功能之前,要先配置ASPF策略,detect httpdetect tcp,才能使Web地址和Web内容过滤功能生效。
2、在配置Web地址过滤时,可以设置默认规则,如果规则是“permit”,则配置的过滤表项都是“deny”,反之亦然。
3、目前SECPATH产品支持中英文过滤,对于中文必须通过文件方式载入。
4、防火墙还提供了对WebSQLStructure Query Language,结构化查询语言)注入***进行防范的功能。目前缺省情况下,系统预定义了以下关键字:^select^^insert^^update^^delete^^drop^--'^exec^%27
5、目前SECPATH系列产品,路由和透明模式均支持内容过滤。对于webfilter规则,目前可配置2K个,而“*”可匹配04个字符或2个汉字。