登陆后,先敲system回车,进入系统目录才可以使用tcpdump命令。 Tcpdump语法中存在三种主要的关键字:
第一种是关于类型的关键字,主要包括host,net,port, 例如 host 210.27.48.2,指明 210.27.48.2是一台主机,net 202.0.0.0 指明 202.0.0.0是一个网络地址,port 23 指明端口号是23.如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明,src 210.27.48.2 ,指明ip包中源地址是210.27.48.2 , dst net 202.0.0.0 指明目的网络地址是202.0.0.0 .如果没有指明方向关键字,则缺省是src or dst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是\的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。 逻辑运算
除了这三种类型的关键字之外,其他重要的关键字如下:gateway, broadcast,less,greater,还有三种逻辑运算,取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,'││';这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举
13
几个例子来说明。 使用例子:
例1:在eth1口抓包,只显示地址为10.1.1.1和icmp协议的报文。
Tcpdump –i eth1 host 10.1.1.1 and icmp
例2:在所有的接口抓包,不显示4000端口的管理报文,和23端口的telnet报文。
Tcpdump –i any not port 4000 and not port 23 (在同时管理的时候很实用)
例3:在eth1口抓包,显示地址为211.1.1.1或10.1.1.1的报文。
Tcpdump –i eth1 host 211.1.1.1 or host 10.1.1.1 (针对MAP前后的地址同时抓包定位时非常实用)
例4:在所有的接口抓包,显示地址为10.1.1.1报文。 Tcpdump |grep host 10.1.1.1 (在adls环境中非常实用,封装了PPPOE的报文也能抓到,但是TOS不支持grep的参数了)
在tos系统中,X86的平台下才有抓包的工具,-n表示不需要域名解析,加快抓包的速度。
并且-evv比老的4k系统中,能抓到更多的信息,其中还包括校验和。
14
例5:System tcpdump –i any –evv -n (TOS系统中最后必须加-n的参数,才能保证抓包的速度)
例6:System tcpdump –i ipsec0 -n (TOS支持在ipsec0中抓包,来判断数据流是否进入隧道)
例7:System tcpdump –i ppp0 -n (TOS支持在ppp0中抓包,来判断数据流是否进入PPPoE的封装)
实时监控功能:实时查看进出防火墙的连接情况
1、 天融信防火墙支持实时监控功能,可以实时了解当前经过防火墙的连接情况,其可以查看的内容有需:源IP地址、目的IP地址、源端口、目的端口、连接建立时间、接收的流量、发送的流量、NAT转换后的地址、连接属性等等内容。
2、查看实时监控需要在防火墙上开放相应的权限,老4K系统开放权限过程为:选项设置-安全设备登陆控制-增加一个客户类型为监控器的管理项即可(具体参考老4K用户手册);TOS防火墙开放监控权限过程为:系统-开放服务-增加一个权限为GUI管理的项目即可(具体参见TOS防火墙用户手册);
3、老4K防火墙直接通过集中管理器-实时监控-连接信息-启动监控即可,TOS系统需要通过管理中心的安全工具登陆防火墙,再启用连接监控-启动即可;
4、实时监控功能支持按照各个监控内容排序显示,通过实时监控功能可以很快的定位处异常主机。
15
5、实时监控可以设置监控的过滤条件(具体见用户使用手册);
1.4.2策略配置与优化
防火墙策略优化与调整是网络维护工作的重要内容,策略是否优化将对设备运行性能产生显著影响。考虑到企业中业务流向复杂、业务种类往往比较多,因此建议在设置策略时尽量保证统一规划以提高设置效率,提高可读性,降低维护难度。 策略配置与维护需要注意地方有:
试运行阶段最后一条策略定义为所有访问允许并记录日志,以便在不影响业务的情况下找漏补遗;当确定把所有的业务流量都调查清楚并放行后,可将最后一条定义为所有访问禁止并记录日志,以便在试运行阶段观察非法流量行踪。试运行阶段结束后,再将最后一条“禁止所有访问”策略删除。
防火墙按从上至下顺序搜索策略表进行策略匹配,策略顺序对连接建立速度会有影响,建议将流量大的应用和延时敏感应用放于策略表的顶部,将较为特殊的策略定位在不太特殊的策略上面。 策略配置中的Log(记录日志)选项可以有效进行记录、排错等工作,但启用此功能会耗用部分资源。建议在业务量大的网络上有选择采用,或仅在必要时采用。
简化的策略表不仅便于维护,而且有助于快速匹配。尽量保持策略表简洁和简短,规则越多越容易犯错误。通过定义地址组和服务组可以将多个单一策略合并到一条组合策略中。
16
策略用于区域间单方向网络访问控制。如果源区域和目的区域不同,则防火墙在区域间策略表中执行策略查找。如果源区域和目的区域相同并启用区域内阻断,则防火墙在区域内部策略表中执行策略查找。如果在区域间或区域内策略表中没有找到匹配策略,则安全设备会检查相关区域的缺省访问权限以查找匹配策略。
策略变更控制。组织好策略规则后,应写上注释并及时更新。注释可以帮助管理员了解每条策略的用途,对策略理解得越全面,错误配置的可能性就越小。如果防火墙有多个管理员,建议策略调整时,将变更者、变更具体时间、变更原因加入注释中,便于后续跟踪维护。
1.4.3攻击防御
天融信防火墙利用入侵防护功能抵御互联网上流行的DoS/DDoS的攻击,一些流行的攻击手法有Synflood,Udpflood,Smurf,Ping of Death,Land Attack等,防火墙在抵御这些攻击时,会消耗防火墙一部分的系统资源,所以,在网络正常情况下,一般不推荐使用,但是当网络确实存在这些类型的攻击数据流时,我们可以适当开启这些抗攻击选项,可以有效的保护各种应用服务器。如果希望开启其它选项,在开启这些防护功能前有几个因素需要考虑: 抵御攻击的功能会占用防火墙部分CPU资源;
自行开发的一些应用程序中,可能存在部分不规范的数据包格式; 网络环境中可能存在非常规性设计。
如果因选择过多的防攻击选项而大幅降低了防火墙处理能力,则
17