网络安全36综合实训.docx

1、网络安全36综合实训教学项目三 防火墙技术应用项目引入防火墙（firewall）是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，项目要求1会防火

2、墙网桥模式下的配置；2会防火墙路由模式下的配置；3会配置防火墙的NAT；4会配置防火墙的规则。项目内容1. 防火墙系统管理。2. 防火墙工作模式配置。3. 防火墙网际互联4. 双机热备份5. 防火墙应用案例的规划与配置项目实施围绕虚拟专用网技术这个教学项目的完成，设置了五个教学任务。通过对防火墙应用技术的介绍，结合防火墙项目配置实例，从而掌握防火墙技术。任务1 防火墙系统管理任务目标1、搭建各种配置环境；2、USG文件管理。 为了配置、监控和维护USG，需要搭建配置环境。建立配置终端（通常是PC机）与USG之间的连接后，用户便可以在配置终端上对USG下发操作指令。对USG进行配置的方式有如下四

3、种：Console口、Telnet、SSH、Web。通过USG的LAN以太网接口进行配置前，无需进行额外配置，可完全基于USG的出厂缺省配置。一、任务准备知识与技能准备1搭建配置环境1）通过Console口搭建本地配置环境通过Console接口对USG进行本地配置是一种可靠的配置维护方式。当USG与外部网络连接中断或出现其他异常情况时，可以采用这种方式配置USG。2）通过Telnet方式搭建配置环境可以用Telnet方式通过局域网或广域网登录到USG进行配置。通过Telnet方式进行本地配置时可以完全基于USG的出厂缺省配置。3）通过SSH方式搭建配置环境SSH是Secure Shell（安全

4、外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到USG时，SSH特性可以提供安全的信息保障和强大的认证功能，以保护USG不受诸如IP地址欺诈、明文密码截取等攻击。4）通过Web方式搭建配置环境USG为用户提供了简单、易用的Web管理功能，使用户能够方便地使用图形化界面对USG进行操作和维护。2命令级别系统命令采用分级保护方式，命令级别按照由低到高划分为参观级（0）、监控级（1）、配置级（2）、管理级（3）。3操作用户规划网络管理者根据需要规划和创建USG的操作用户，并且至少创建一个超级终端用户。网络管理者根据需要可创建以下用户：终端用户，用于管理USG。 Telnet用户，用于Tel

5、net登录并管理USG。 SSH用户，用于SSH登录并管理USG。 FTP用户，用于向USG上传或下载文件。 PPP用户，用于与USG建立PPP连接访问网络。 Web用户，用于HTTP登录并管理USG。4文件系统文件系统的主要功能是管理存储设备，把文件保存在存储设备中。文件系统可以对USG存储设备中的目录进行创建、删除、修改，对文件进行拷贝、移动、删除，以及文件名更改，文件全名最多支持64字节，超长文件名将导致您不能正常进行文件系统操作。USG提供两种文件传输方式，具体如下：FTP（File Transfer Protocol）TFTP（Trivial File Transfer Protoc

6、ol）设备与材料准备（每组）防火墙USG21301台交换机D10161台计算机4台服务器1台直通双绞线若干二、任务实施配置任务与操作步聚（一）搭建配置环境1）通过Console口搭建本地配置环境将PC的串口通过标准RS-232电缆与USG的Console接口连接。通过Console接口配置USG，默认需要认证，初始用户名为admin，初始密码为Admin123。2）通过Telnet方式搭建配置环境建立Telnet配置环境，需保证PC与USG之间存在可达路由，将作为Telnet Client的PC和USG通过网络连接。配置PC的IP地址。 USG初次上电时缺省采用路由模式，路由模式的缺省配置中已

7、启动DHCP服务器功能，所以与USG相连的PC机可以配置为“自动获得IP地址”，而无需手动分配IP地址。当USG采用透明模式或混合模式时，与USG相连的PC机必须手动分配与USG在同一网段的固定IP地址。 在PC上运行Telnet程序，键入USG以太网IP地址，建立连接。Telnet界面上显示如下信息，输入用户名admin，口令Admin123，然后出现命令行提示符。3）通过SSH方式搭建配置环境搭建配置环境的方法和Telnet方式相似，需保证PC与USG之间存在可达路由。将作为SSH Client的PC和USG通过网络连接；在USG上配置SSH参数；在PC上运行SSH客户端程序，键入USG以

8、太网口的IP地址，建立连接。 4）通过Web方式搭建配置环境搭建配置环境的方法和Telnet方式相似，需保证PC与USG之间存在可达路由，将作为Web Client的PC和USG通过网络连接。在PC上运行Web浏览器，键入USG以太网口的IP地址，建立连接。 缺省情况下，USG上Web服务器处于启动状态。（二）配置文件管理1）配置FTP 启动FTP服务器。缺省情况下，系统没有启动FTP服务器。system-view /进入系统视图。 ftp server enable /启动FTP服务器。 使用FTP下载、上传文件。USG作为FTP服务器；USG作为FTP客户端。2）配置TFTP 使用TFTP

9、下载、上传文件。USG作为TFTP客户端。任务检查抽选部分组代表介绍本任务学习心得。任务2 防火墙工作模式配置任务目标1、掌握防火墙路由模式下的网络规划与配置；2、掌握防火墙透明模式下的网络规划与配置。3、PPPoE拔号配置 USG有三种工作模式，分别为：路由模式、透明模式、混合模式。缺省情况下，USG采用路由模式。一、任务准备 知识与技能准备USG工作模式的工作原理和工作过程，具体包括：路由模式、透明模式、混合模式。路由模式和透明模式的区别如下表所示。路由模式透明模式内部网络和外部网络属于不同的子网内部网络和外部网络属于相同的子网需要重新规划原有的网络拓扑无需改变原有的网络拓扑接口需要配置I

10、P地址接口不能直接配置IP地址，工作在数据链路层，相当于二层交换机1路由模式当USG位于内部网络和外部网络之间时，需要为USG与内部网络和外部网络相连的接口分别配置不同网段的IP地址，重新规划原有的网络拓扑，此时USG相当于一台路由器。路由模式的USG支持ACL规则检查、ASPF状态过滤、NAT转换、防攻击检查、流量监控等功能。2透明模式如果USG采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时USG对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到USG的存在。采用透明模式时，只需在网络中像放置网桥（Bridge）一样插入USG设备即可，无需修改任何已有的配置。透明

11、模式的USG支持ACL规则检查、ASPF状态过滤、NAT转换、防攻击检查、流量监控等功能。3混合模式如果USG既存在工作在路由模式的接口（接口具有IP地址），又存在工作在透明模式的接口（接口无IP地址），则USG工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol）功能的接口需要配置IP地址，其他接口不需要配置IP地址。内部网络和外部网络必须处于同一个子网。混合模式介于路由模式和透明模式之间，主要在双机热备时使用。设备与材料准备（每组）防火墙USG21302台交换机D10161台计算机4台服务器1台直

12、通双绞线若干二、任务实施配置任务USG路由&透明模式组网图USG A：路由模式，Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。值得注意的是，Trust区域接口和Untrust区域接口分别处于不同的子网中。USG B：透明模式（网桥），Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连，内部网络和外部网络处于相同的子网。USG A路由W0（E0/0）连外网untrust172.16.30.*1/24默认路由172.16.30.254E0（vlan2）trust192.168.0.254/24（vlan 2）NAT地址池：172.16.30.*

13、2/24USG B网桥W0（E0/0）连USGA untrust默认路由172.16.30.254E0-E5连PC机（vlan1）trustE6-E7连服务器（vlan1）dmz192.168.0.253/24（vlan1）操作步骤system-view /进入系统视图firewall mode route /配置USG工作在路由模式firewall mode transparent /配置USG工作在透明模式firewall mode composite /配置USG工作在混合模式 display firewall mode /查看USG当前工作模式注：缺省情况下，USG采用路由模式；切换工

14、作模式后，会自动重启USG。任务检查远程登录USG检查各组配置完成情况；抽选部分组代表介绍本任务学习心得。任务延伸与拓展 1重新规划配置本任务。 2将本任务应用于天网安、思科PIX、东软NETeye等其它硬件防火墙。任务3 防火墙网际互联配置任务目标1、防火墙的静态路由配置2、防火墙的RIP配置3、防火墙的OSPF配置 防火墙USG提供丰富路由特性，支持静态和动态路由，同时支持路由策略和路由迭代，从而使组网应用更加灵活。一、任务准备知识与技能准备静态路由、动态路由、RIP、OSPF。设备与材料准备（每组）防火墙USG21301台交换机D10161台计算机4台服务器1台直通双绞线若干路由器C18

15、14两台二、任务实施配置任务（静态路由）在组网结构比较简单的网络中，配置静态路由可建立一个互通的网络。静态路由能够改进网络的性能，并可为重要的应用保证带宽。但是当网络发生故障时，静态路由不会自动改变，必须有管理员介入。组网需求：要求配置静态路由，使两台主机之间都能互通。操作步骤1 防火墙静态路由配置，“网络管理 路由配置” “静态路由”页签。2 Router A、Router B的静态路由配置，详见思科配置。配置任务（RIP）RIP（Routing Information Protocol）是一种基于距离矢量（Distance-Vector）算法的协议，它使用UDP报文进行路由信息的交换，广泛

16、使用在简单的中小型网络中。组网需求：一个局域网中的三个子网（192.1.2.0/24、192.1.3.0/24和192.1.4.0/24）通过USG（图中Device）和两个路由器实现互联，路由器和USG上均运行RIP。配置完成后，USG、Router B和Router C可以相互学习到对方的的路由信息。USG、Router B和Router C分别作为192.1.2.0/24、192.1.3.0/24和192.1.4.0/24网段的默认网关，USG（192.1.1.1）接收Router B（192.1.1.2）和Router C（192.1.1.3）广播的RIP报文，同时也向Router B

17、和Router C发送RIP广播报文。操作步骤1 防火墙RIP路由配置，“网络管理 RIP” “RIP配置”页签，选中“使能RIP”复选框，启动RIP功能；配置RIP网段地址；配置指定网段运行RIP。2 Router A、Router B的RIP配置，详见思科配置。配置任务（OSPF）OSPF（Open Shortest Path First）是IETF组织开发的一个基于链路状态的内部网关协议，是一种用于自治系统AS（Autonomous System）内部的动态路由协议。组网需求：在USG（Device）的Ethernet 0/0/0接口上启动OSPF进程100，处于区域0，接口Vlanif

18、 5上启动OSPF进程100，处于区域1。Router A和USG之间可以建立邻居关系，USG和Router B之间可以建立邻居关系。在Router A的接口Ethernet 0/0/0上启动OSPF进程100，接口位于区域0。在Router B的接口Ethernet 0/0/0上启动OSPF进程100，接口位于区域1。interface1Ethernet 0/0/0: 172.10.1.2/16interface2Ethernet 0/0/0: 172.10.1.1/16interface3Ethernet 1/0/0: 131.108.1.3/16 (Vlanif 5)interface4

19、Ethernet 0/0/0: 131.108.1.1/16操作步骤1 防火墙OSPF配置，“网络管理 OSPF” “进程配置”页签，选中“使能RIP”复选框，启动RIP功能；配置进程；配置区域。2 Router A、Router B的OSPF配置，详见思科配置。配置任务（以太网接口通过PPPoE拨号配置）组网需求：PC通过以太网接入到USG，USG使用PPPoE协议通过BRAS接入到Internet。USG作为PPPoE Client，BRAS作为PPPoE Server。interface1Ethernet 1/0/0: 192.168.0.1/24 (Vlanif 1)interface

20、2Ethernet 0/0/0: 通过Dialer1接口拨号获得IP地址操作步骤1. 创建Dialer 1接口，加入Untrust安全区域。 2. 配置拨号访问组1以及对应的拨号访问控制条件。 a. 选择“网络管理 拨号规则”，显示“拨号规则”界面。 b. 单击右上角的“新建”，显示“拨号规则配置”界面。c. 配置PPPoE会话。 d. 选择“网络管理 接口”，显示“接口”界面。 e. 单击“Dialer1”对应的“详细”，显示“接口配置”界面。 f. 在“接口基本配置”区域框内，单击“IP地址详细配置”，显示“IP地址配置”界面。g. 在“PPP用户及拨号配置”区域框内，单击“PPP用户及拨

21、号配置”，显示“PPP用户配置”界面。h. 单击“返回”，返回“接口配置”界面。 3. 配置域间包过滤规则。 4. 配置缺省路由。 5. 配置NAT。 a. 创建ACL 3001，配置其Rule规则：匹配所有规则IP报文。b. 选择“服务管理 NAT NAT策略”，显示“NAT策略”界面。 c. 单击“新建”，进入“NAT策略”界面。 6. 配置DNS。 a. 选择“网络管理 DNS配置”，进入“DNS配置”界面。 b. 选择“基本配置”页签。选中“使能域名解析”和“使能DNS代理”复选框，在弹出“是否确认使能”的对话框中选择“确定”，启动DNS功能。7. 配置DHCP。 任务延伸与拓展 13

22、G轮询DCC按需拨号配置。23G轮询DCC自动拨号配置。任务4 配置双机热备份任务目标1、路由模式下的双机热备份；2、混合模式下的双机热备份。3、路由模式下的使用VRRP管理组的主备备份 对于重要的网络，使用两台USG，互相备份，共同执行。当一台USG出现故障时，可以由另一台USG承担服务任务，从而在不需要人工干预的情况下，自动保证系统能持续提供网络安全服务。一、任务准备 知识与技能准备1双机热备份概述双机热备份需要VRRP（Virtual Router Redundancy Protocol）、VGMP（VRRP Group Management Protocol）和HRP（Huawei R

23、edundancy Protocol）协议的支持。双机热备份需要三个协议的支持：VRRP。由RFC2338定义的一种容错协议，通过对物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。VGMP。为防止VRRP状态不一致现象的发生，USG在VRRP的基础上增加了VGMP扩展协议的功能。该协议负责统一管理加入其中的各VRRP备份组的状态。HRP。对USG的动态状态数据和命令信息进行实时备份的协议。2VRRP概述VRRP适用于支持组播或广播的局域网，将局域网的一组路由器（包括一个Master和若干个Backup）组织成一个虚拟的路由器，称之为一个备份组，功能上相当于一台虚拟路由器。局域网内的主

24、机仅知道该虚拟路由器的IP地址，而不知道备份组内设备的接口IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，局域网内的主机就通过该虚拟路由器与其他网络进行通信。备份组中，一台设备处于活动状态，称为主用设备（Master）；另外一台设备处于备份状态，称为备份设备（Backup）。设备与材料准备（每组）防火墙USG21302台交换机D10161台计算机4台服务器1台直通双绞线若干二、任务实施配置任务（路由模式下的双机热备份）一USG作为安全设备被部署在业务接口点上。考虑到设备运行的稳定性，采用两台设备，以主备备份方式工作。其中USG A（Master）作为主用，USG B

25、（Backup）作为备用。前提条件：将两台USG的工作模式配置为路由模式。网络规划如下：被保护的网络部署在Trust区域，网段地址为10.100.10.0，子网掩码为255.255.255.0。 主备设备配置心跳线，网段地址为10.100.20.0，子网掩码为255.255.255.0。 外部网络划分到Untrust区域。 两台USG分别通过LAN Switch连接各个安全区域。 各个安全区域对应的备份组的虚拟IP地址为：Trust：10.100.10.1； DMZ：10.100.20.1； Untrust：172.16.30.*1。interface1Ethernet 1/0/0: 10.1

26、00.10.2/24 (Vlanif 5)interface2Ethernet 0/0/0: 10.100.20.2/24interface3Ethernet 1/0/1: 172.16.30.*2/24 (Vlanif 6)interface4Ethernet 1/0/0: 10.100.10.3/24 (Vlanif 5)interface5Ethernet 0/0/0: 10.100.20.3/24interface6Ethernet 1/0/1: 172.16.30.*3/24 (Vlanif 6)操作步骤1配置Master（USG A）各接口的IP地址，把接口加入相应的安全区域。 2

27、配置Trust、DMZ、Untrust安全区域的域间包过滤规则。 3创建Master（USG A）的VRRP备份组。 选择“可靠性管理 VRRP”，进入“VRRP”界面。 单击“新建”，进入“VRRP Vrid基本配置”界面。Vlanif 5单击“应用”，在弹出“是否确认提交”的对话框中选择“确定”，完成配置。 单击“新建”，进入“VRRP Vrid基本配置”界面。Ethernet 0/0/0单击“应用”，在弹出“是否确认提交”的对话框中选择“确定”，完成配置。单击“新建”，进入“VRRP Vrid基本配置”界面。Vlanif 6单击“应用”，在弹出“是否确认提交”的对话框中选择“确定”，完成

28、配置。4启动Master的HRP功能。 选择“可靠性管理 HRP”，进入“HRP”界面。 选择“VGMP配置”页签，进入“VGMP配置”界面。 单击“新建”，进入“VGMP配置”界面。选择“HRP配置”页签，进入“HRP配置”界面。 选中“HRP使能”前的复选框。单击“应用”，在弹出“是否确认提交”的对话框中选择“确定”，完成配置。5 Backup（USG B）和Master的配置步骤完全相同。配置的参数差别在于： USG B各接口的IP地址不相同。 USG B的VRRP管理组采用缺省优先级100。 注：备机上的优先级应该小于主机上的优先级。6 保存配置。配置任务（混合模式下的双机热备份）二在

29、不改变现有网络拓扑结构的前提下，在网络出口部署两台USG，通过LAN Switch连接内外网络。启动双机热备份功能，并配置USG以主备备份方式工作。其中USGA作为主用设备，USGB作为备用设备。前提条件：将两台USG的工作模式配置为路由模式。网络规划如下：interface1Ethernet 1/0/0interface2Ethernet 2/0/0: 3.3.3.1/8interface3Ethernet 0/0/0interface4Ethernet 1/0/0interface5Ethernet 2/0/0: 3.3.3.2/8interface6Ethernet 0/0/0说明：US

30、G提供的固定以太网接口包括1个WAN口和8个LAN口。在混合模式下时，8个LAN口只能同时以二维接口Ethernet 1/0的形式加入一个安全区域，所以在配置混合模式的双机热备组网时，至少需要安装一个FE接口模块。本示例中安装的是1FE接口（Ethernet 2/0/0）卡。操作步骤因各组标配缺1FE接口，本例以示范讲演为主。配置任务（路由模式下的使用VRRP管理组）三1主备备份USG作为安全设备被部署在业务接口点上。考虑到设备运行的稳定性，采用两台USG，以主备备份方式工作。其中USGA作为主用，USGB作为备用。网络规划如下：被保护的网络部署在Trust区域，网段地址为10.100.10.0，子网掩码为255.255.255.0。服务器部署在DMZ区域，