网络安全与防火实训指导书

1、网络安全与防火墙实训指导书目录项目一 防火墙NAT3项目二 防火墙DHCP5项目三 防火墙ACL7项目四 Web过滤8项目五 邮件过滤8项目六 配置 L2TP9项目七 配置IPsec15项目一 防火墙NAT (1) 组网需求 一个公司通过 SecPath 防火墙连接到 Internet。公司内部网段为 /24。由 ISP 分配给防火墙外部接口的地址范围为 。其中防火 墙 的 接 口GigabitEthernet0/0连 接 内 部 网 络 ， 地 址 为 ； 接 口GigabitEthernet0/

2、1 连接到 Internet，地址为 。WWW Server 和 FTPServer 位于公司网络内部，地址分别为 和 。要求公司内部网络可以通过防火墙的 NAT 功能访问 Internet，并且外部的用户可以访问内部的WWW Server 和 Telnet Server。(2) 组网图4-6NAT 配置组网图(3) 配置步骤第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT使用。创建ACL的方法可参见5.2.1 ACL配置。点击“防火墙”目录中的“ACL”，在右边的 ACL 配置区域中单击按钮。d在“AC

3、L 编号”中输入基本 ACL 的编号 2001（基本 ACL 的编号范围为 20002999），单击按钮。在下面的列表中选择此 ACL，单击按钮。d在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，在“源 IP 地址”栏中输入 ，“源地址通配符”中输入 55，单击按钮。第二步：创建 NAT 地址池。d在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击按钮。d在“地址池索引号”栏中输入 1，“起始地址”栏中输入 ，“结束地址”栏中输入 ，单击按钮。第三步：配置

4、NAT 转换类型。点击“地址转换管理”，在右边的配置区域中单击按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL 编号”复选框并输入已创建好的基本 ACL编号 2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用 NAT地址复用，单击按钮。 第四步：配置 NAT内部服务器映射。 l 点击“内部服务器”，在右边的配置区域中单击按钮。 l 在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外部地址”栏中输入 。 l

5、 选中“外部起始端口”输入栏选项，输入 WWW 服务器使用的端口号，这里假设为 80端口。 l 在“内部起始地址”栏中输入内部 WWW服务器的 IP地址。 l 选中“内部端口”输入栏选项，输入内部 WWW 服务器使用的端口号，这里也假设为 80端口，单击按钮。 l 内部 Telnet服务器映射的配置方法与此相同。项目二 防火墙DHCP (1) 组网需求防火墙作为 DHCP 服务器，为同一网段中的客户端动态分配 IP 地址，地址池网段为 /24。DHCP 服务器 GigabitEthernet0/0 接口地址为 /24。地址租用期限为 3

6、天 12 小时，域名为 ，DNS 地址为 ，NetBIOS地址为，出口网关地址即为防火墙的内部地址。并且其中一个客户端要求使用固定的 IP 地址 00，其 MAC 地址为 000f-1f7e-fec5。(2) 组网图(3) 配置步骤 第一步：将防火墙的 GigabitEthernet0/1 接口地址配置为 /24。d在“系统管理”目录中的“接口管理”，单击按钮。d选择“GigabitEthernet0/1”接口。在“IP地址”栏中输入，掩码中输入“”第二步：启

7、用防火墙的 DHCP 服务器功能。d在“业务管理”下的“DHCP”子目录中点击“全局 DHCP 基本配置”，在右侧配置区域中的“使能或禁止 DHCP 服务”下拉框中选择“Enable”，单击按钮。第三步：配置全局 DHCP 地址池。d点击“全局DHCP 地址池”，在右边的配置区域中单击按钮，在“地址池名称”栏中 dhcppool，单击按钮。d回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，将租约期限设置为 3 天 12 小时，在“客户端域名”栏中输入 ，单击按钮。d回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，在“IP 地址范围”栏中输入 10.

8、1.1.0，“网络掩码”中输入 ，单击按钮。第四步：配置地址池的 DNS。d点击“全局 DHCP 的 DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框中选择“dhcppool”，在“DNS服务器地址”栏中输入，单击“应用”按钮。第五步：配置地址池的网关。点击“全局DHCP 网关”，在右侧的配置区域中单击按钮，从下拉框中选择“dhcppool”，在“网关地址”栏中输入 ，单击按钮。第六步：配置地址池的 NetBIOS。d点击“全局 DHCP 的 NetBIOS”，在右侧的配置区域中单击按钮，从下拉框中选择“dhcppool”，在“N

9、etBIOS”节点类型中选择“h-node”，然后输入 NetBIOS 服务器的地址 ，单击按钮。 d点击“地址转换管理”，在右边的配置区域中单击按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL 编号”复选框并输入已创建好的基本 ACL 编号 2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用 NAT 地址复用，单击按钮。项目三 防火墙ACL (1) 组网需求该公司通过一台 SecPath 防火墙访问 Internet。公司内部对外提供 WWW、FTP 和

10、Telnet 服务，公司内部子网为 ，其中，内部 FTP 服务器地址为 ，Telnet 服务器地址为 ，WWW 服务器地址为 ，通过配置防火墙，希望实现以下要求：d内部网络中只有特定主机可以访问外部网络，外部网络中只有特定用户可以访问内部服务器假定外部特定用户的 IP 地址为 。(2) 组网图(3) 配置步骤 第一步：配置访问列表允许公司内部特定主机和服务器访问外部网络。d在“防火墙”目录中点击“ACL”，在右边的 ACL 配置区域中单击按钮。在“ACL 编号”栏中输入基本 ACL 的编号 20

11、01，单击按钮，在下面的列表中选择此 ACL，单击按钮。d在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，在“源 IP 地址”栏中输入内部特定 PC 的地址 ，“源地址通配符”中输入 0，单击按钮。d使用同样方法为内部 FTP Server、Telnet Server 和 WWW Server 创建允许其访问外部的 ACL 规则。d创建一个拒绝所有去往外部通信的规则。从“操作”下拉框中选择“Deny”，并且保留“源 IP 地址”栏空白，代表所有源地址，单击按钮。第二步：配置访问列表允许外部网络的特定用户访问内部服务器。d在“防火墙”目录中点击“ACL”，

12、在右边的 ACL 配置区域中单击按钮。在“ACL 编号”栏中输入高级 ACL 的编号 3001，单击按钮，在下面的列表中选择此 ACL，单击按钮。d在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，“协议类型”选择“TCP”，“源地址”栏中输入外部特定用户的地址 ，通配符为 0。在“目的地址”栏中输入 Telnet Server 的地址 ，通配符为 0。保留“源端口”为空白，代表所有源端口，在“目的端口”栏中选择条件为“等于”，并输入 Telnet 协议使用的端口号 23，单击按钮。 项目四 Web过滤要求：1.过滤域名www.qq.c

13、om，，， 2、过滤内容：传销、广告、开发票。项目五 邮件过滤1.邮件过滤：过滤掉163.com 2.主题过滤：过滤主题为：传销、广告3、过滤内容：传销、广告、反动4、过滤附件：.exe, .avi项目六 配置 L2TP1. 基本配置在“VPN配置”目录下的“L2TP”子目录中点击“基本配置”，进入L2TP基本信息配置概览页面，可以查看L2TP使能状态，如图 6-9所示。图6-9 L2TP 信息概览单击页面中的按钮进入L2TP基本参数配置页面，如图 6-10所示。图6-10L2TP 基本参数

14、配置dL2TP 功能：从下拉框中选择 Enable 以启用 L2TP。2. 组配置在 L2TP 的配置中，LAC 端和 LNS 端的配置有所不同。在各项配置任务中，必须先启动 L2TP、创建 L2TP 组，然后再进行其它功能特性的配置。在“L2TP”子目录中点击“组配置”，进入L2TP组配置信息概览页面，单击按钮进入组配置页面，如图 6-11所示。图6-11L2TP 组配置(1) LAC 配置为了进行 L2TP 的相关参数配置，还需要增加 L2TP 组，这不仅可以在防火墙上灵活的配置 L2TP 各项功能，而且方便地实现了 LAC 和 LNS 之间一对一、一对多的组网应用。L2TP 组在 LAC

15、 和 LNS 上独立编号，只需要保证 LAC 和 LNS 之间关联的 L2TP 组的相关配置（如接收的通道对端名称、发起 L2TP 连接请求及 LNS 地址等）保持对应关系即可。选中“指定 L2TP 组的客户信息”按钮，即进行 LAC 侧的配置。LAC 侧需要进行的配置包括：dL2TP 组号：创建并指定 L2TP 组的号码。d对端 LNS 的 IP 地址：防火墙需要满足一定的条件才会向其它设备（如安全网关、路由器或 LNS 服务器）发出建立 L2TP 连接的请求。通过配置对接入用户信息的判别条件，并指定相应的 LNS 端的 IP 地址，防火墙可以鉴定用户是否为 VPN 用户，并决定是否向 LN

16、S 发起连接。最多可以设置五个 LNS，中间用空格分隔，即允许存在备用LNS。正常运行时，防火墙（LAC）按照LNS配置的先后顺序，依次向对端（LNS）进行L2TP连接请求，直到某个LNS接受连接请求，该 LNS 就成为 L2TP 隧道的对端。d客户域名、客户全名：发起L2TP连接请求的触发条件：带特定域名的用户（domain）和完整的用户名（fullusername）。只能从这两种出发条件中选择一种。d会话超时时间：指定会话的超时时间。d通道本端名称：设置隧道的本端名称。LAC 侧通道名称要与 LNS 侧配置的接收通道对端名称保持一致。dHello 报文发送时间间隔：设置 Hello 报文时

17、间间隔。为了检测 LAC 和 LNS 之间通道的连通性，LAC 和 LNS 会定期向对端发送 Hello 报文，接收方接收到Hello 报文后会进行响应。当 LAC 或 LNS在指定时间间隔内未收到对端的 Hello响应报文时，重复发送，如果重复发送超过 3 次都没有收到对端的响应信息则认为 L2TP 隧道已经断开，需要在 LAC 和 LNS 之间重新建立隧道连接。缺省情况下，通道 Hello 报文的发送时间间隔为 60 秒。如果 LAC 侧不进行此项配置，LAC 将采用此缺省值为周期向对端发送 Hello 报文。d隧道验证口令：设置验证的口令。可根据实际需要，决定是否在创建隧道连接之前启用隧

18、道验证。隧道验证请求可由 LAC 或 LNS 任何一侧发起。只要有一方启用了隧道验证，则只有在对端也启用了隧道验证，两端密码完全一致并且不为空的情况下，隧道才能建立；否则本端将自动将隧道连接断开。若隧道两端都配置了禁止隧道验证，隧道验证的密码一致与否将不起作用。为了保证通道安全，建议用户不要禁用隧道验证的功能。说明：各厂商生产的VPN设备或客户端软件创建VPN隧道连接时略有不同，如使用Windows 自带的 VPN 客户端做 LAC 时，启用了隧道验证但不配置密码，也是允许建立隧道的。本手册中的描述只适用于 LNS 和 LAC 设备都选用 H3C SecPath 系列产品及 H3C SecPo

19、int 客户端软件时的情况。d隧道验证口令显示模式：选择验证口令的显示模式：Simple 或 Cipher。dL2TP AVP 隐藏功能：选择 Enable 以启用 AVP 隐藏功能。L2TP 协议使用 AVP（Attribute Value Pair，属性值对）来传递和协商 L2TP 的一些参数属性等。在缺省情况下，AVP 是采用明文形式传输的。为了保证安全，用户可以将这些AVP 隐藏起来传输。隐含 AVP 功能必须是两端都使用隧道验证的情况下才起作用。dL2TP 隧道流控：选择 Enable 以启用 L2TP 隧道流控功能。 dL2TP 隧道保持不挂断：当用户数为零、网络发生故障或当管理员

20、主动要求挂断通道时，就会产生隧道清除过程。LAC 和 LNS 任何一端都可主动发起隧道清除请求，接收到清除请求的一端要发送确认信息（ACK），并等待一定的时间再进行隧道清除操作，以确保 ACK 消息丢失的情况下能够正确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立通道。(2) LNS 配置为了进行 L2TP 的相关参数配置，还需要增加 L2TP 组，这不仅可以在防火墙上灵活的配置 L2TP 各项功能，而且方便地实现了 LAC 和 LNS 之间一对一、一对多的组网应用。L2TP 组在 LAC 和 LNS 上独立

21、编号，只需要保证 LAC 和 LNS 之间关联的 L2TP 组的相关配置（如接收的通道对端名称、发起 L2TP 连接请求及 LNS 地址等）保持对应关系即可。选中“指定本 L2TP 组使用的通道对端名字和虚模板”按钮，即进行 LNS 侧的配置。LNS 侧要进行的配置包括：dL2TP 组号：创建并指定 L2TP 组的号码。d虚模板号：创建并指定虚拟接口模板号码。虚拟接口模板主要用于配置防火墙在运行过程中动态创建的虚接口的工作参数，如 MP 捆绑逻辑接口和 L2TP 逻辑接口等。d隧道对端 LAC 名称：设置通道对端的名称。LNS 可以使用不同的虚拟接口模板接收不同的 LAC 创建隧道的请求。在接

22、收到 LAC 发来的创建隧道请求后，LNS 需要检查 LAC 的名称是否与合法通道对端名称相符合，从而决定是否允许通道对方进行隧道的创建。d与 LNS 相连的企业域名：设置企业域名。d会话超时时间：指定会话的超时时间。d通道本端名称：设置 LNS 侧的本端隧道名称。dHello 报文发送时间间隔：设置 Hello 报文时间间隔。为了检测 LAC 和 LNS 之间通道的连通性，LAC 和 LNS 会定期向对端发送 Hello 报文，接收方接收到Hello 报文后会进行响应。当 LAC 或 LNS在指定时间间隔内未收到对端的 Hello响应报文时，重复发送，如果重复发送超过 3 次都没有收到对端的

23、响应信息则认为 L2TP 隧道已经断开，需要在 LAC 和 LNS 之间重新建立隧道连接。缺省情况下，通道 Hello 报文的发送时间间隔为 60 秒。如果 LAC 侧不进行此项配置，LAC 将采用此缺省值为周期向对端发送 Hello 报文。d隧道验证口令：设置验证的口令。可根据实际需要，决定是否在创建隧道连接之前启用隧道验证。隧道验证请求可由 LAC 或 LNS 任何一侧发起。只要有一方启用了隧道验证，则只有在对端也启用了隧道验证，两端密码完全一致并且不为空的情况下，隧道才能建立；否则本端将自动将隧道连接断开。若隧道两端都配置了禁止隧道验证，隧道验证的密码一致与否将不起作用。为了保证通道安全

24、，建议用户不要禁用隧道验证的功能。说明：各厂商生产的VPN设备或客户端软件创建VPN隧道连接时略有不同，如使用Windows 自带的 VPN 客户端做 LAC 时，启用了隧道验证但不配置密码，也是允许建立隧道的。本手册中的描述只适用于 LNS 和 LAC 设备都选用 H3C SecPath 系列产品及 H3C SecPoint 客户端软件时的情况。d隧道验证口令显示模式：选择验证口令的显示模式：Simple 或 Cipher。d强制重新 CHAP 验证：选择 Enable 以启用强制 CHAP 验证。当 LAC 对用户进行代理验证后，LNS 可再次对用户进行验证。此时将对用户进行两次验证，第一

25、次发生在 LAC 侧，第二次发生在 LNS 侧，只有两次验证全部成功后，L2TP通道才能建立。d强制 LCP 参数重协商：选择 Enable 以启用强制 LCP 重协商。对由 NAS 发起的VPN 服务请求（NAS-Initialized VPN），在PPP 会话开始时，用户先和NAS（网络接入服务器）进行 PPP 协商。若协商通过，则由 NAS 初始化 L2TP通道连接，并将用户信息传递给 LNS，由 LNS 根据收到的代理验证信息，判断用户是否合法。但在某些特定的情况下（如需在LNS 侧也要进行验证与计费），需要强制 LNS 与用户间重新进行 LCP 协商，此时将忽略 NAS 侧的代理验证

26、信息。dL2TP AVP 隐藏功能：选择 Enable 以启用 AVP 隐藏功能。L2TP 协议使用 AVP（Attribute Value Pair，属性值对）来传递和协商 L2TP 的一些参数属性等。在缺省情况下，AVP 是采用明文形式传输的。为了保证安全，用户可以通过下面的配置，将这些 AVP 隐藏起来传输。隐含 AVP 功能必须是两端都使用隧道验证的情况下才起作用。dL2TP 隧道流控：选择 Enable 以启用 L2TP 隧道流控功能。dL2TP 隧道保持不挂断：当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LAC 和 LNS 任何一端都可主动发起隧道

27、清除请求，接收到清除请求的一端要发送确认信息（ACK），并等待一定的时间再进行隧道清除操作，以确保 ACK 消息丢失的情况下能够正确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立通道。3. 状态查询在“L2TP”子目录中点击“状态查询”，进入L2TP状态查询页面，可以通过单击按钮、按钮和按钮对相应的信息进行浏览，如图 6-12所示。项目七 配置IPsec 1. 安全提议配置 安全提议规定了对要保护的数据流所采用的安全协议、验证或加密算法、操作模式（即报文的封装方式）等。 Comware 支持 AH 和 ESP

28、 安全协议，两者既可单独使用，也可结合使用。其中，AH支持 MD5和 SHA-1验证算法；ESP协议支持MD5、SHA-1验证算法和 DES、3DES、AES加密算法。Comware支持的操作模式包括传输模式和隧道模式。 对同一数据流，对等体两端必须设置相同的协议、算法和操作模式。另外，对于两个防火墙或安全网关实施 IPsec，建议采用隧道模式，以隐藏实际通信的源和目的IP地址。 在“IPsec”子目录下点击“安全提议配置”，进入IPsec安全提议配置信息概览页面，单击按钮建立并配置新的安全提议，如图 6-14所示。 图6-14 安全提议配置 z IPsec安全提议名：指定该安全提议的名称。

29、z 提议类型：指定此安全提议的类型是否为加密卡安全提议，Proposal 或Card-proposal。 z 加密卡：当指定此安全提议为加密卡安全提议时，设置所使用的加密卡。 z 报文封装模式：指定操作模式，隧道模式（Tunnel）或传输模式（Transport）。 z 安全协议：选择使用的安全协议，AH、ESP或两者同时使用。 z 验证算法（ah）：指定 AH协议所使用的验证算法，MD5或 SHA。 z 验证算法（esp）：指定 ESP协议所使用的验证算法，MD5或 SHA。 z 加密算法（esp）：指定 ESP协议使用的加密算法， DES、 3DES、 128位 AES、192位 AES或

30、 256位 AES。 2. 安全策略配置 安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由“名称”和“顺序号”共同唯一确定。安全策略分为手工安全策略和 IKE 协商安全策略，前者需要用户手工配置密钥、SPI 等参数，在隧道模式下还需要手工配置安全隧道两个端点的 IP地址；后者则由 IKE自动协商生成这些参数。 在“IPsec”子目录下点击“安全策略配置”，进入IPsec安全策略库配置信息概览页面，单击按钮进入创建安全策略页面，如图 6-15所示。 图6-15 创建安全策略 z 安全策略名称：指定此安全策略的名称。 z 安全策略顺序号：设置安全策略的序号。具有相同名字、不同顺序

31、号的安全策略共同构造一个安全策略组，在一个安全策略组中最大可以设置 500条安全策略。并且，所有安全策略的总数也不能超过 500。在一个安全策略组中，顺序号越小的安全策略，优先级越高。 z 安全联盟建立方式：指定安全联盟的协商方式为 IKE自动协商或手工配置。 z 安全策略模板：指定此策略所引用的安全策略模板。仅当使用 IKE自动协商创建安全联盟时此选项才可用。有关安全策略模板的配置请参见下一小节“安全策略模板配置”。 单击按钮以创建策略。创建完新的安全策略后，需要对其进行进一步的配置。在安全策略信息概览页面中选择已建立的安全策略，单击按钮，进入安全策略参数配置页面，如图 6-16所示。 图6

32、-16 安全策略配置 z 访问控制列表：指定高级访问列表的编号，30003999。安全策略引用访问控制列表， IPsec根据该访问控制列表中的规则来确定哪些报文需要安全保护，哪些报文不需要安全保护：访问控制列表匹配（permit）的报文被保护，访问控制列表拒绝（deny）的报文不被保护。一条安全策略只能引用一条访问控制列表，如果设置安全策略引用了多于一个访问控制列表，最后配置的那条访问控制列表才有效。 z IPsec隧道本端地址：设置隧道的本地地址。仅当安全联盟协商方式为 Manual时才可设置此参数。Web 管理暂不支持对手工方式协商安全联盟的策略进行配置。 z IPsec隧道远端地址：设置

33、隧道的远端地址。仅当安全联盟协商方式为 Manual时才可设置此参数。Web 管理暂不支持对手工方式协商安全联盟的策略进行配置。 z IKE Peer：指定IKE对等体。对于IKE协商方式，无需像手工方式那样配置对等体、SPI和密钥等参数，IKE将自动协商，因而仅需要将安全策略和IKE对等体关联即可。仅当使用IKE自动协商创建安全联盟时此选项才可用。有关IKE对等体的配置请参考6.4 IKE配置。 z PFS：选择协商时使用的 PFS特性，768位 DH组、1024位 DH组、1536位DH 组或 2048 位 DH 组。仅当使用 IKE 自动协商创建安全联盟时此选项才可用。PFS（Perfe

34、ct Forward Secrecy，完善的前向安全性）是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。此特性是通过在 IKE阶段 2的协商中增加密钥交换来实现的。IKE在使用此安全策略发起一个协商时，进行一个 PFS交换。如果本端指定了 PFS，对端在发起协商时必须是 PFS 交换。本端和对端指定的 DH 组必须一致，否则协商会失败。1024-bit Diffie-Hellman组比 768-bit Diffie-Hellman组提供更高的安全性，但是需要更长的计算时间。 z 安全提议：选择此策略所引用的安全提议。安全策略通过引用安全提议来确定采用的安

35、全协议、算法和报文封装形式。在引用一个安全提议之前，这个安全提议必须已经建立。在安全隧道的两端设置的安全策略所引用的安全提议必须设置成采用同样的安全协议、算法和报文封装形式。 3. 安全策略模板配置 在采用 IKE 方式创建安全策略时，可以通过引用安全策略模板来创建安全策略。在这种情况下，应首先在安全策略模板中配置好所有的安全策略。 安全策略模板的配置与普通的安全策略配置相似，首先创建一个策略模板，然后配置模板的参数。 说明： 安全策略模板可配置的参数与 IKE协商方式的 IPsec安全策略相同，只是很多参数是可选的。必须配置的参数只有 IPsec安全提议，而隧道对端地址、保护的数据流、PFS特性可以不配置。但需要注意：如果配置了这些参数中的一个或几个，则在协商时这些参数必须匹配。 注意： 不能用应用策略模板的安全策略来发起安全联盟的协商，但可以响应协商。 在“IPsec”子目录下点击“安全策略模板”，进入 IPsec安全策略模板配置信息概览页面，单击按钮进入创建安全策略模板页面。有关安全