1、桂林理工大学网络安全复习大纲网络安全考试复习资料目录一、配置指南 基础配置 21、搭建配置环境 22、通过Telnet登录设备 23、配置ACL(时间段、地址集、服务集) 24、创建ACL 5二、配置指南 安全 81、配置地址池方式的NAPT和NAT Server举例 82、配置接口IP方式的NAPT和NAT Server举例 113、配置NAT Inbound和NAT Server举例 15三、配置指南 接入 171、以太网接口配置举例 172、配置VLAN间通过Vlanif接口通信举例 193、配置PPP 224、配置IPv4 PPPoE举例 27四、配置L2TP 301、配置NAS-In
2、itialized VPN举例(本地认证) 302、配置Client-Initialized VPN举例 35五、配置GRE 401、配置应用静态路由的GRE举例 402、配置应用OSPF的GRE举例 43六、配置指南 安全 461、配置通过包过滤实现基本访问控制举例 46七、配置IPSec 511、配置采用IKEv2方式协商的IPSec隧道举例 51八、配置SSL VPN 561、配置Web代理功能举例 562、配置端口转发功能举例 58一、配置指南 基础配置 1、搭建配置环境支持通过以下方式搭建配置环境:通过Console口登录:使用PC终端通过连接设备的 Console口来登录设备,进行
3、第一次上电和配置。当用户无法进行远程访问设备时,可通过Console进行本地登录;当设备系统无法启动时,可通过console口进行诊断或进入BootRom进行系统升级。通过Telnet登录:通过PC终端连接到网络上,使用Telnet方式登录到设备上,进行本地或远程的配置,目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对设备进行远程管理和维护。通过SSH登录:提供安全的信息保障和强大认证功能,保护设备系统不受IP欺骗、明文密码截取等攻击。SSH登录能更大限度的保证数据信息交换的安全。通过Web登录:在客户端通过Web浏览器访问设备,进行控制和管理。适用于配置终端PC通过Web
4、方式登录。 2、通过Telnet登录设备 system-viewUSG interface GigabitEthernet 0/0/1USG-GigabitEthernet0/0/1 ip address 10.10.10.10 255.0.0.0USG-GigabitEthernet0/0/1 quit2、配置USG的用户信息。 以下面的情况为例进行配置:配置VTY(Virtual Type Terminal)用户接口的验证方式为AAA,Telnet用户名为user1,口令为password123,口令的存储方式为密文方式(cipher),级别为level3。 system-viewUSG
5、user-interface vty 0 4USG-ui-vty0-4 authentication-mode aaaUSG-ui-vty0-4 protocol inbound telnetUSG-ui-vty0-4 quitUSG aaaUSG-aaa local-user user1 password cipher password123USG-aaa local-user user1 service-type telnetUSG-aaa local-user user1 level 3 3、配置ACL(时间段、地址集、服务集)创建时间段# 定义时间段abc,匹配2012年1月1日201
6、2年12月1日期间的上班时间段(9点18点)。 system-viewsysname time-range abc 9:00 to 18:00 working-daysysname time-range abc from 9:00 2012/01/01 to 18:00 2012/12/01创建地址集1. 执行命令system-view,进入系统视图。 2. 执行命令ip address-set address-set-name type object | group | vpn-instance vpn-instance-name *,创建地址集并进入地址集视图。 注意: address-s
7、et-name不能以数字开头,不支持空格,不能取名为“any”。在创建地址集时必须选择type参数设定合适的地址集类型。只有当地址集类型为Group时,才可以添加地址集作为成员。地址集创建完成之后再次进入该地址集视图时才不需要选择type参数。3. 添加地址集成员。 o 执行命令address id ip-address 0 | wildcard | mask mask-address | mask-len | range start-ip-address end-ip-address description description ,为Object类型的地址集添加成员。 o 执行命令addr
8、ess id ip-address 0 | wildcard | mask mask-address | mask-len | range start-ip-address end-ip-address | address-set address-set-name description description ,为Group类型的地址集添加成员。添加成员时,选择不同的命令参数可以添加不同类型的地址范围:o ip-address 0:添加一个单独的IP地址。 o ip-address mask mask-address | mask-len :添加一个网段。 o ip-address wild
9、card:添加一个网段。 o range start-ip-address end-ip-address:添加一个任意的连续IP地址范围。 o address-set address-set-name:添加一个地址集。还可以重复执行这一命令为同一个地址集添加多个成员。各个成员之间是叠加的关系,即所有被成员包含的IP地址都将有效,而不管其是否在多个成员中重复出现。4. 可选:执行命令description text,配置地址集描述信息。 为一个地址集添加描述信息虽然是可选操作,但是恰当的描述信息将非常有助于管理员后续对地址集的维护和管理。创建服务集1. 执行命令system-view,进入系统视
10、图。 2. 执行命令ip service-set service-set-name type object | group | vpn-instance vpn-instance-name *,创建自定义服务集并进入服务集视图。 注意: service-set-name不能以数字开头,不支持空格,不能取名为“ip”。在创建服务集时必须选择type参数设定合适的服务集类型。当服务集类型为group时,只可以添加服务集作为成员。服务集创建完成之后再次进入该服务集视图时才不需要选择type参数。3. 添加自定义服务集成员。 o 为object类型的自定义服务集添加成员。 执行命令service id
11、 protocol udp | tcp source-port src-port-number-1 to src-port-number-2 & | destination-port dst-port-number-1 to dst-port-number-2 & * description description ,通过端口号范围指定TCP/UDP协议的协议类型。 执行命令service id protocol icmp icmp-type icmp-name | icmp-type-number icmp-code-number description description ,通过ICM
12、P类型和代码字段指定ICMP协议报文类型。 执行命令service id protocol protocol-number description description ,通过IP报文首部的协议字段取值指定协议类型。o 为group类型的自定义服务集添加成员。执行命令service id service-set service-set-name description description ,为group类型的自定义服务集添加服务集作为成员。可重复执行本命令添加多个服务集。4. 可选:执行命令description text,配置服务集的描述信息。 为一个服务集添加描述信息虽然是可选操作,
13、但是恰当的描述信息将非常有助于管理员后续对地址集的维护和管理。5. 执行命令quit,返回至系统视图。 6. 执行命令firewall session aging-time vpn-instance vpn-instance-name service-set service-name age-time,配置服务集的会话老化时间。 本条命令既可以更改自定义服务集的老化时间,也可更改预定义服务集的老化时间。必须给自定义服务集配置老化时间,没有配置老化时间的自定义服务集不会被会话匹配。7. 可选:执行命令firewall session aging-time move vpn-instance vp
14、n-instance-name1 service-set service-set-name1 to vpn-instance vpn-instance-name2 service-set service-set-name2,调整自定义服务集老化时间优先级顺序。 只有配置了老化时间的object类型的自定义服务集才可以调整老化时间优先级顺序。4、创建ACL创建基本ACL1. 执行命令system-view,进入系统视图。 2. 执行命令acl number acl-number vpn-instance vpn-instance-name match-order config | auto ,创
15、建基本ACL,并进入相应视图。 acl-number在20002999内的ACL属于基本ACL。如果不指定match-order则缺省为config类型。auto类型的ACL不支持通过地址集指定地址范围。关于match-order的含义请参见ACL简介。3. 可选:执行命令description text,配置ACL的描述信息。 为一个ACL添加描述信息虽然是可选操作,但是恰当的描述信息将非常有助于管理员后续对ACL的维护和管理。4. 可选:执行命令step step-value,配置ACL的步长。 缺省情况下,步长为5。设定步长是为了系统在自动分配规则号时按照步长递增,为两个规则之间预留一定
16、的规则号范围,使管理员后续可以在两条规则之间插入一条新规则。仅在未配置ACL规则时可配置步长,且配置ACL规则后步长不允许修改。5. 执行命令rule rule-id deny | permit logging | source source-ip-address source-wildcard | address-set address-set-name | any | time-range time-name * description description ,创建基本ACL规则。 o 配置时没有指定编号rule-id,表示增加一条新的规则,此时系统会根据步长,自动为规则分配一个大于现有
17、规则最大编号的最小编号。例如,假设现有规则的最大编号为21,步长为5,那么系统分配给新增加的规则的编号为25。 o 配置时指定了编号rule-id,如果相应的规则已经存在,表示对已有规则进行编辑,规则中没有编辑的部分不受影响;如果相应的规则没有存在,表示增加一条新的规则,并且按照指定的编号将其插入到相应的位置。 o 新创建或修改后的规则不能和已经存在的规则相同,否则会导致创建或修改不成功,系统会提示该规则已经存在。创建高级ACL1. 执行命令system-view,进入系统视图。 2. 执行命令acl number acl-number vpn-instance vpn-instance-na
18、me match-order config | auto ,创建高级ACL,并进入相应视图。 acl-number在30003999内的ACL属于高级ACL。如果不指定match-order则缺省为config类型。auto类型的ACL不支持通过地址集指定地址范围。关于match-order的含义请参见ACL简介。3. 可选:执行命令description text,配置ACL的描述信息。 为一个ACL添加描述信息虽然是可选操作,但是恰当的描述信息将非常有助于管理员后续对ACL的维护和管理。4. 可选:执行命令step step-value,配置ACL的步长。 缺省情况下,步长为5。设定步长是
19、为了系统在自动分配规则号时按照步长递增,为两个规则之间预留一定的规则号范围,使管理员后续可以在两条规则之间插入一条新规则。仅在未配置ACL规则时可配置步长,且配置ACL规则后步长不允许修改。5. 选择执行以下命令中的一条,创建一个高级ACL规则。 o 执行命令rule rule-id permit | deny protocol source source-address source-wildcard | address-set address-set-name | any | destination destination-address destination-wildcard | ad
20、dress-set address-set-name | any | source-port operator port | range port1 port2 | destination-port operator port | range port1 port2 | icmp-type icmp-type icmp-code | icmp-message | precedence precedence | tos tos | time-range time-name | logging * description description ,配置指定协议信息的高级ACL规则。以上参数会根据p
21、rotocol有所变化。仅当选择TCP/UDP协议时才可选择source-port和destination-port,仅当选择ICMP协议时才可选择icmp-type。o 执行命令rule rule-id permit | deny service-set service-set-name source source-address source-wildcard | address-set address-set-name | any | destination destination-address destination-wildcard | address-set address-se
22、t-name | any | precedence precedence | tos tos | time-range time-name | logging * description description ,配置指定服务集信息的高级ACL规则。启用ACL加速查找1. 执行命令system-view,进入系统视图。 2. 执行命令acl accelerate auto enable,启动ACL加速查找功能。 缺省情况下,开启ACL自动加速查找功能。二、配置指南 安全1、配置地址池方式的NAPT和NAT Server举例如图1所示,某公司内部网络通过USG与Internet进行连接,将内网用
23、户划分到Trust区域,两台服务器划分到DMZ区域,将Internet划分到Untrust区域。 需求1该公司Trust区域的192.168.1.0/24网段的用户可以访问Internet,该安全区域其它网段的用户不能访问。提供的访问外部网络的合法IP地址范围为1.1.1.31.1.1.6。由于公有地址不多,需要使用NAPT(Network Address Port Translation)功能进行地址复用。 需求2提供FTP和Web服务器供外部网络用户访问。其中FTP Server的内部IP地址为10.1.1.2,端口号为缺省值21,Web Server的内部IP地址为10.1.1.3,端口
24、为8080。两者对外公布的地址均为1.1.1.2,对外使用的端口号均为缺省值,即21和80。图1 配置NAPT和内部服务器组网图 项目数据(1)接口号:GigabitEthernet 0/0/2IP地址:192.168.1.1/24安全区域:Trust(2)接口号:GigabitEthernet 0/0/3IP地址:10.1.1.1/24安全区域:DMZ(3)接口号:GigabitEthernet 0/0/4IP地址:1.1.1.1/24安全区域:UntrustFTP ServerIP地址:10.1.1.2/24Web ServerIP地址:10.1.1.3/24操作步骤1. 配置各接口的IP
25、地址,并将其加入安全区域。 2. system-view3. USG interface GigabitEthernet 0/0/24. USG-GigabitEthernet0/0/2 ip address 192.168.1.1 245. USG-GigabitEthernet0/0/2 quit6. USG interface GigabitEthernet 0/0/37. USG-GigabitEthernet0/0/3 ip address 10.1.1.1 248. USG-GigabitEthernet0/0/3 quit9. USG interface GigabitEther
26、net 0/0/410. USG-GigabitEthernet0/0/4 ip address 1.1.1.1 2411. USG-GigabitEthernet0/0/4 quit12. USG firewall zone trust13. USG-zone-trust add interface GigabitEthernet 0/0/214. USG-zone-trust quit15. USG firewall zone dmz16. USG-zone-dmz add interface GigabitEthernet 0/0/317. USG-zone-dmz quit18. US
27、G firewall zone untrust19. USG-zone-untrust add interface GigabitEthernet 0/0/4USG-zone-untrust quit20. 配置域间包过滤,以保证网络基本通信正常。 使192.168.1.0/24网段用户可以访问Untrust区域,使Untrust区域用户可以访问DMZ区域中的10.1.1.2和10.1.1.3两台服务器。 21. USG policy interzone trust untrust outbound22. USG-policy-interzone-trust-untrust-outbound
28、policy 023. USG-policy-interzone-trust-untrust-outbound-0 policy source 192.168.1.0 0.0.0.25524. USG-policy-interzone-trust-untrust-outbound-0 action permit25. USG-policy-interzone-trust-untrust-outbound-0 quit26. USG-policy-interzone-trust-untrust-outbound quit27. USG policy interzone dmz untrust i
29、nbound28. USG-policy-interzone-dmz-untrust-inbound policy 029. USG-policy-interzone-dmz-untrust-inbound-0 policy destination 10.1.1.2 030. USG-policy-interzone-dmz-untrust-inbound-0 policy service service-set ftp 31. USG-policy-interzone-dmz-untrust-inbound-0 action permit32. USG-policy-interzone-dm
30、z-untrust-inbound-0 quit33. USG-policy-interzone-dmz-untrust-inbound policy 134. USG-policy-interzone-dmz-untrust-inbound-1 policy destination 10.1.1.3 035. USG-policy-interzone-dmz-untrust-inbound-1 policy service service-set http36. USG-policy-interzone-dmz-untrust-inbound-1 action permit37. USG-policy-interzone-dmz-untrust-inbound-1 quitUSG-policy-interzone-dmz-untrust-inbound quit38. 配置NAPT,完成需求1。 a. 创建NAT地址池1,地址范围为:1.1.1.31.1.1.6。 USG nat address-group 1 1.1.1.
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1