网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3_第1页
网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3_第2页
网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3_第3页
网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3_第4页
网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3_第5页
已阅读5页,还剩21页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

主讲人:万鹏第五章

网络设备安全配置网络设备配置与调试案例教程CONTENTS教学目标本章主要介绍主流网络安全设备的基本配置方法、路由器点到点的VPN、防火墙的主要配置方法。【知识目标】Ø掌握AAA的基本概念。Ø掌握端到端的VPN功能Ø配置USG防火墙【技能目标】Ø掌握和AAA的认证、授权的配置。Ø了解华为系列路由器上支持配置哪些AAA方案。Ø掌握端到端的VPN功能及相关配置。

Ø掌握USG防火墙安全策略及相关配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墙5.3USG防火墙网络设备配置与调试案例教程5.3.1项目背景

某公司在办公地点的中心机房部署有一台USG防火墙,为更好实现管理,将防火墙分为3个区域,其中内网区域接公司局域网,DMZ区接公司对外Web服务器和ACS认证服务器,外网区域连接Internet,公司内网用户上网通过防火墙地址转换功能来实现,局域网用户使用DHCP自动获取IP,并通过公司ACS服务器的认证后才能访问Internet。公司有一台Web服务器需要对内外网提供WWW服务。为实现员工出差也能够访问公司内部资源,要求提供远程VPN功能。

1.需求分析USG采用三区域路由模式结构,DMZ区域采用静态IPNAT的方式对Web服务器提供服务,inside(内网)区域采用DHCP方式获取IP,USG充当DHCP服务器,Client需要采用PAT方式访问Internet,并需要通过AAA认证。Client访问内部服务器采用直接路由的方式,Web服务器对外发布服务

需要映射到防火墙外网接口,并拒绝外部到outside接口的任何ICMP通信,内部inside到DMZ和Internet可以采用ICMP测试连通性,内部inside到DMZ采用路由方式直接进行访问,不做NAT/PAT,并在防火墙上启用SSLVPN提供远程用户连接服务。5.3USG防火墙网络设备配置与调试案例教程

某公司在网络边界处部署了NGFW作为安全网关。为了使私网中/24网段的用户可以正常访问Internet,需要在NGFW上配置源NAT策略。除了公网接口的IP地址外,公司还向ISP申请了2个IP地址(0~1)作为私网地址转换后的公网地址。网络环境如图所示,其中Router是ISP提供的接入网关。设备类型设备型号设备数量备注防火墙USG55001台含电源线、配置线二层交换机S37001台含电源线、配置线计算机双核、4GB、80GB以上4台已安装WindowsXPSP3双绞线超5类6条1条交叉线,5条直通线软件名称数量备注WindowsXPProSP2(中文版)1系统平台VMwareWorkstation7.1.41虚拟机MicrosoftOffice2007(中文版)1文档编辑WindowsServer2003R2(中文版)1服务器平台jre-6u2-Windows-i586或更髙版本1Java运行环境USG802-k8.bin1USG系统文件asdm-524.bin1USG设置管理工具sslclient-win-73.pkg1VPN客户端软件asdm50-install.msi1ASDM管理软件软件环境列表硬件环境列表2.环境准备5.3USG防火墙网络设备配置与调试案例教程2.技能准备(1)华为防火墙产品(如图所示)5.3USG防火墙网络设备配置与调试案例教程(2)USG防火墙概述:USG作为PIX的升级产品是一款集防火墙、入侵检测(IDS)和VPN集中器于一体的安全产品。“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,既能阻断网络中的各种攻击又能保证正常通信报文的通过。用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

华为防火墙产品上默认已经提供了三个安全区域,分别是Trust、DMZ和Untrust。5.3USG防火墙网络设备配置与调试案例教程(3)安全区域、受信任程度与安全级别(如图所示)

不同的网络受信任的程度不同,在防火墙上用安全区域来表示网络后,怎么来判断一个安全区域的受信任程度呢?在华为防火墙上,每个安全区域都有一个唯一的安全级别,用1~100的数字表示,数字越大,则代表该区域内的网络越可信。对于默认的安全区域,它们的安全级别是固定的:Local区域的安全级别是100,Trust区域的安全级别是85,DMZ区域的安全级别是50,Untrust区域的安全级别是5。5.3USG防火墙网络设备配置与调试案例教程

(4)安全域间、安全策略与报文流动的方向:

“安全域间”是两个安全区域之间的唯一“道路”;

“安全策略”即在“道路”上设立的“安全关卡”。

任意两个安全区域都构成一个安全域间(Interzone),并具有单独的安全域间视图,大部分的安全策略都需要在安全域间视图下配置。安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”,如果希望对经过这条通道的流量进行控制,就必须在通道上设立“关卡”,也就是安全策略。报文在两个安全区域之间流动时,我们规定:报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。报文在两个方向上流动时,将会触发不同的安全检查。图中标明了Local区域、Trust区域、DMZ区域和Untrust区域间的方向。通常情况下,通信双方一定会交互报文,即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。通过设置安全区域,防火墙上的各个安全区域之间有了等级明确的域间关系。不同的安全区域代表不同的网络,防火墙成为连接各个网络的节点。以此为基础,防火墙就可以对各个网络之间流动的报文实施管控。5.3USG防火墙网络设备配置与调试案例教程5.3.2项目设计1.区域介绍

防火墙通过安全区域来划分网络、标识报文流动的“路线”。

为了在防火墙上区分不同的网络,我们在防火墙上引入了一个重要的概念:安全区域(SecurityZone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,一般来说,当报文在不同的安全区域之间流动时,才会受到控制。我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系如图所示。5.3USG防火墙网络设备配置与调试案例教程

华为防火墙产品上默认已经提供了三个安全区域,分别是Trust、DMZ和Untrust:Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络。在网络数量较少、环境简单的场合中,使用默认提供的安全区域就可以满足划分网络的需求。在网络数量较多的场合,还可以根据需要创建新的安全区域。如图5-18所示,假设接口1和接口2连接的是内部用户,那我们就把这两个接口划分到Trust区域中;接口3连接内部服务器,将它划分到DMZ区域;接口4连接Internet,将它划分到Untrust区域。当内部网络中的用户访问Internet时,报文在防火墙上的路线是从Trust区域到Untrust区域;当Internet上的用户访问内部服务器时,报文在防火墙上的路线是从Untrust区域到DMZ区域。DMZ(DemilitarizedZone)起源于军方,是介于严格的军事管制区和松散的公共区域之间的一种部分管制的区域。防火墙引用了这一术语,指代一个与内部网络和外部网络分离的安全区域。除了在不同网络之间流动的报文之外,还存在从某个网络到达防火墙本身的报文(例如我们登录到防火墙上进行配置),以及从防火墙本身发出的报文,如何在防火墙上标识这类报文的路线呢?

5.3USG防火墙网络设备配置与调试案例教程2.私网用户访问Internet场景

NAT(NetworkAddressTranslation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。在学校、公司中经常会有多个用户共享少量公网地址访问Internet的需求,通常情况下可以使用源NAT技术来实现。源NAT技术只对报文的源地址进行转换。通过源NAT策略对IPv4报文头中的源地址进行转换,可以实现私网用户通过公网IP地址访问Internet的目的。如图所示,FW部署在网络边界处,通过部署源NAT策略,可以将私有网络用户访问Internet的报文的源地址转换为公网地址,从而实现私网用户接入Internet的目的。5.3USG防火墙网络设备配置与调试案例教程(1)NATNo-PAT

NATNo-PAT也可以称为“一对一地址转换”,只对报文的地址进行转换,不转换端口。

NATNo-PAT方式通过配置NAT地址池来实现,NAT地址池中可以包含多个公网地址。转换时只转换地址,不转换端口,实现私网地址到公网地址一对一的转换。配置NATNo-PAT后,设备会为有实际流量的数据流建立Server-map表,用于存放私网IP地址与公网IP地址的映射关系。设备根据这种映射关系对报文的地址进行转换,然后进行转发。如图5-20所示,当Host访问WebServer时,FW的处理过程如下:FW收到Host发送的报文后,根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动,通过安全策略检查后继而查找NAT策略,发现需要对报文进行地址转换。FW从NAT地址池中选择一个空闲的公网IP地址,替换报文的源IP地址,并建立Server-map表和会话表,然后将报文发送至Internet。FW收到WebServer响应Host的报文后,通过查找会话表匹配到上一步骤中建立的表项,将报文的目的地址替换为Host的IP地址,然后将报文发送至Intranet。此方式下,公网地址和私网地址属于一对一转换。如果地址池中的地址已经全部分配出去,则剩余内网主机访问外网时不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。5.3USG防火墙网络设备配置与调试案例教程3.拓扑,如图所示5.3USG防火墙网络设备配置与调试案例教程业务需求Trust区:PC1通过DHCP自动获取/24段地址Clint1通过静态IP配置为/24段地址将Client1和PC1加入到trust区域Dmz区:将Server3通过静态IP配置为/24段地址将Server3加入到Dmz区域Utrust区:LSW1作为傻瓜交换机使用Server2作为Internet的web服务ip地址:/24Client2作为Internet访问内网web服务的客户端5.3USG防火墙网络设备配置与调试案例教程5.3.3项目实施1.配置过程PC1配置示意图,如图所示;5.3USG防火墙网络设备配置与调试案例教程Client1计算机配置示意图,如图所示;5.3USG防火墙网络设备配置与调试案例教程Server3服务器配置示意图,如图所示;5.3USG防火墙网络设备配置与调试案例教程Server2服务器配置示意图,如图所示;5.3USG防火墙网络设备配置与调试案例教程Client2计算机配置示意图,如图所示;5.3USG防火墙网络设备配置与调试案例教程FW2 配置:#vlanbatch1100#interfaceVlanif100aliasVlanif100ipaddressdhcpselectinterfacedhcpservergateway-listdhcpserverdns-list#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddressdhcpselectinterfacedhcpservergateway-list#interfaceGigabitEthernet0/0/1ipaddress#interfaceGigabitEthernet0/0/2ipaddress#interfaceGigabitEthernet0/0/3portswitchportlink-typeaccessportaccessvlan100#interfaceGigabitEthernet0/0/4ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/2addinterfaceGigabitEthernet0/0/3addinterfaceVlanif100#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/1#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4#iproute-static#natserver1zoneuntrustprotocoltcpglobalwwwinsidew

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论