信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 教案 項(xiàng)目7-9 網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）、防火墻雙機(jī)熱備技術(shù)、防火墻用戶管理與入侵檢測(cè)

教案《信息安全技術(shù)》第頁(yè)ADDINCNKISM.UserStyle授課周次與課時(shí)：第7周第25-28課時(shí)累計(jì)28課時(shí)課程名稱：信息安全技術(shù)授課課題：網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)（NAT）教學(xué)目標(biāo)：了解NAT的技術(shù)原理了解NAT幾種應(yīng)用方式掌握防火墻的NAT配置教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：掌握NAT幾種應(yīng)用方式2.教學(xué)難點(diǎn)：學(xué)會(huì)防火墻的NAT配置思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)空間的認(rèn)識(shí)，共建符合人民利益的網(wǎng)絡(luò)空間；愛國(guó)主義，通過(guò)學(xué)生對(duì)雪人計(jì)劃的提出和實(shí)施，增強(qiáng)學(xué)生的愛國(guó)主義意識(shí)；科技強(qiáng)國(guó)，通過(guò)學(xué)生對(duì)雪人計(jì)劃的中國(guó)貢獻(xiàn)，增強(qiáng)學(xué)生科技強(qiáng)國(guó)的精神；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過(guò)程：【課程思政/溫故知新】網(wǎng)絡(luò)空間是億萬(wàn)民眾共同的精神家園。網(wǎng)絡(luò)空間天朗氣清、生態(tài)良好，符合人民利益;網(wǎng)絡(luò)空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰(shuí)都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網(wǎng)絡(luò)空間。思政主題：科技強(qiáng)國(guó)、愛國(guó)主義2014年，美國(guó)政府宣布，2015年9月30日后，其商務(wù)部下屬的國(guó)家通信與信息管理局（NTIA）與國(guó)際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）將不再續(xù)簽外包合作協(xié)議。在此背景下，由我國(guó)下一代互聯(lián)網(wǎng)工程中心領(lǐng)銜發(fā)起，聯(lián)合WIDE機(jī)構(gòu)（現(xiàn)國(guó)際互聯(lián)網(wǎng)M根運(yùn)營(yíng)者）等共同創(chuàng)立了“雪人計(jì)劃（YetiDNSProject）”項(xiàng)目，并于2015年6月23日正式對(duì)外發(fā)布。該項(xiàng)目是基于全新技術(shù)架構(gòu)的全球下一代互聯(lián)網(wǎng)(IPv6)根服務(wù)器測(cè)試和運(yùn)營(yíng)實(shí)驗(yàn)項(xiàng)目，旨在打破現(xiàn)有的根服務(wù)器困局，為下一代互聯(lián)網(wǎng)提供更多的根服務(wù)器解決方案。2017年11月28日，“雪人計(jì)劃”已在全球完成25臺(tái)IPv6（互聯(lián)網(wǎng)協(xié)議第六版）根服務(wù)器架設(shè)，中國(guó)部署了其中的4臺(tái)，由1臺(tái)主根服務(wù)器和3臺(tái)輔根服務(wù)器組成，打破了中國(guó)過(guò)去沒有根服務(wù)器的困境。但就目前來(lái)說(shuō)，IPv4地址的缺乏問(wèn)題對(duì)我國(guó)網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展帶來(lái)了巨大的影響，NAT技術(shù)的應(yīng)用給我們帶來(lái)了解決辦法?！拘抡n講授】一、網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)概述1、NAT產(chǎn)生背景早在上世紀(jì)90年代初，有關(guān)RFC文檔就提出IP地址耗盡的可能性?；赥CP/IP協(xié)議的Web應(yīng)用使互聯(lián)網(wǎng)迅速擴(kuò)張，IPv4地址申請(qǐng)量越來(lái)越大。互聯(lián)網(wǎng)可持續(xù)發(fā)展的問(wèn)題日益嚴(yán)重。中國(guó)的運(yùn)營(yíng)商每年向ICANN申請(qǐng)的IP地址數(shù)量為全球最多。曾經(jīng)有專家預(yù)言，根據(jù)互聯(lián)網(wǎng)的發(fā)展速度，到2011年左右，全球可用的IPv4地址資源將全部耗盡。那么必須使用一些技術(shù)手段來(lái)延長(zhǎng)IPv4的壽命。而技術(shù)的發(fā)展確實(shí)有效延緩了IPv4地址的衰竭，專家預(yù)言的地址耗盡的情況并未出現(xiàn)。其中廣泛使用的技術(shù)包括無(wú)類域間路由（CIDR，ClasslessInter-DomainRouting）、可變長(zhǎng)子網(wǎng)掩碼（VLSM，VariableLengthSubnetMask）和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT，NetworkAddressTranslation）。2、為什么需要NAT私網(wǎng)地址出現(xiàn)的目的是為了實(shí)現(xiàn)地址的復(fù)用，提高IP地址資源的利用率，為了滿足一些實(shí)驗(yàn)室、公司或其他組織的獨(dú)立于Internet之外的私有網(wǎng)絡(luò)的需求，RFCA（RequestsForComment）1918為私有使用留出了三個(gè)IP地址段。具體如下：A類IP地址中的～55（/8）B類IP地址中的～55（/12）C類IP地址中的～55（/16）因此，使用私網(wǎng)地址和外網(wǎng)進(jìn)行通信，必須使用NAT技術(shù)進(jìn)行地址轉(zhuǎn)換，以保證通信正常。3、NAT技術(shù)的基本原理NAT是將IP數(shù)據(jù)報(bào)文報(bào)頭中的IP地址轉(zhuǎn)換為另一個(gè)IP地址的過(guò)程，主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)（私有IP地址）訪問(wèn)外部網(wǎng)絡(luò)（公有IP地址）的功能。從實(shí)現(xiàn)上來(lái)說(shuō)，一般的NAT轉(zhuǎn)換設(shè)備（實(shí)現(xiàn)NAT功能的網(wǎng)絡(luò)設(shè)備）都維護(hù)著一張地址轉(zhuǎn)換表，所有經(jīng)過(guò)NAT轉(zhuǎn)換設(shè)備并且需要進(jìn)行地址轉(zhuǎn)換的報(bào)文，都會(huì)通過(guò)這個(gè)表做相應(yīng)的修改。地址轉(zhuǎn)換的機(jī)制分為如下兩個(gè)部分：內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備外部網(wǎng)絡(luò)地址和端口。外部網(wǎng)絡(luò)地址和端口轉(zhuǎn)換為NAT轉(zhuǎn)換設(shè)備內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口。NAT技術(shù)也就是在<私有地址+端口>與<公有地址+端口>之間進(jìn)行相互轉(zhuǎn)換。NAT轉(zhuǎn)換設(shè)備處于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的連接處。內(nèi)部的PC與外部服務(wù)器的交互報(bào)文全部通過(guò)該NAT轉(zhuǎn)換設(shè)備。常見的NAT轉(zhuǎn)換設(shè)備有路由器、防火墻等。4、NAT分類① 源NAT（SourceNAT）：用來(lái)使多個(gè)私網(wǎng)用戶能夠同時(shí)訪問(wèn)Internet。② 服務(wù)器映射：用來(lái)使外網(wǎng)用戶能夠訪問(wèn)私網(wǎng)服務(wù)器。③ 目的NAT（DestinationNAT）：用來(lái)使手機(jī)上網(wǎng)的業(yè)務(wù)流量送往正確的WAP網(wǎng)關(guān)。5、NAT的優(yōu)點(diǎn)和缺點(diǎn)（1）NAT的優(yōu)點(diǎn)可以使一個(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少數(shù)的合法地址訪問(wèn)外部的資源，也可以設(shè)定內(nèi)部的WWW、FTP、Telnet等服務(wù)提供給外部網(wǎng)絡(luò)使用，解決了IP地址日益短缺的問(wèn)題。對(duì)于內(nèi)外網(wǎng)絡(luò)用戶，感覺不到IP地址轉(zhuǎn)換的過(guò)程，整個(gè)過(guò)程對(duì)于用戶來(lái)說(shuō)是透明的。對(duì)內(nèi)網(wǎng)用戶提供隱私保護(hù)，外網(wǎng)用戶不能直接獲得內(nèi)網(wǎng)用戶的IP地址、服務(wù)等信息，具有一定的安全性。通過(guò)配置多個(gè)相同的內(nèi)部服務(wù)器的方式可以減小單個(gè)服務(wù)器在大流量時(shí)承擔(dān)的壓力，實(shí)現(xiàn)服務(wù)器負(fù)載均衡。（2）NAT的不足由于需要對(duì)數(shù)據(jù)報(bào)文進(jìn)行IP地址的轉(zhuǎn)換，涉及IP地址的數(shù)據(jù)報(bào)文的報(bào)頭不能被加密。在應(yīng)用協(xié)議中，如果報(bào)文中有地址或端口需要轉(zhuǎn)換，則報(bào)文不能被加密。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉(zhuǎn)換。網(wǎng)絡(luò)監(jiān)管變得更加困難。例如，如果一個(gè)黑客從內(nèi)網(wǎng)攻擊公網(wǎng)上的一臺(tái)服務(wù)器，那么要想追蹤這個(gè)攻擊者很難。因?yàn)樵趫?bào)文經(jīng)過(guò)NAT轉(zhuǎn)換設(shè)備的時(shí)候，地址經(jīng)過(guò)了轉(zhuǎn)換，不能確定哪臺(tái)才是黑客的主機(jī)。二、源NAT技術(shù)1、NAT地址池（1）創(chuàng)建NAT地址池命令 nataddress-guoupaddress-group-name section[section-id|section-name]start-addressend-address nat-mode{pat|no-pat}在WEB界面配置地址池（見圖11-3）地址池特性2、NAT轉(zhuǎn)換方式不帶端口轉(zhuǎn)換不帶端口轉(zhuǎn)換的地址池方式通過(guò)配置NAT地址池來(lái)實(shí)現(xiàn)，NAT地址池中可以包含多個(gè)公網(wǎng)地址。轉(zhuǎn)換時(shí)只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對(duì)一的轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)時(shí)不會(huì)進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時(shí)才會(huì)進(jìn)行NAT轉(zhuǎn)換。（2）帶端口轉(zhuǎn)換此方式下，由于地址轉(zhuǎn)換的同時(shí)還進(jìn)行端口的轉(zhuǎn)換，可以實(shí)現(xiàn)多個(gè)私網(wǎng)用戶共同使用一個(gè)公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時(shí)上網(wǎng)的用戶數(shù)量更多。（3）出接口地址方式（EasyIP）出接口地址方式也稱為EasyIP，即直接使用接口的公網(wǎng)地址作為轉(zhuǎn)換后的地址，不需要配置NAT地址池。轉(zhuǎn)換時(shí)會(huì)同時(shí)轉(zhuǎn)換地址和端口，即可實(shí)現(xiàn)多個(gè)私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。3、配置源NAT策略命令視圖Web視圖4、NATALG現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測(cè)”機(jī)制來(lái)進(jìn)行包過(guò)濾?！盃顟B(tài)檢測(cè)”機(jī)制以流量為單位來(lái)對(duì)報(bào)文進(jìn)行檢測(cè)和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文進(jìn)行包過(guò)濾規(guī)則檢查，并將判斷結(jié)果作為該條流量的“狀態(tài)”記錄下來(lái)。對(duì)于該流量的后續(xù)報(bào)文都直接根據(jù)這個(gè)“狀態(tài)”來(lái)判斷是轉(zhuǎn)發(fā)（或進(jìn)行內(nèi)容安全檢測(cè)）還是丟棄。這個(gè)“狀態(tài)”就是我們平常所述的會(huì)話表項(xiàng)。這種機(jī)制迅速提升了防火墻產(chǎn)品的檢測(cè)速率和轉(zhuǎn)發(fā)效率，已經(jīng)成為目前主流的包過(guò)濾機(jī)制。4、防火墻的查詢和創(chuàng)建會(huì)話為什么需要NATALGNATALG（ApplicationLevelGateway，應(yīng)用級(jí)網(wǎng)關(guān)）是特定的應(yīng)用協(xié)議的轉(zhuǎn)換代理，可以完成應(yīng)用層數(shù)據(jù)中所攜帶的地址及端口號(hào)的轉(zhuǎn)換。NATALG實(shí)現(xiàn)原理NAT與ServerMap表USG設(shè)備引入了Server-map表，Server-map基于三元組，用于存放一種映射關(guān)系，這種映射關(guān)系可以是控制數(shù)據(jù)協(xié)商出來(lái)的數(shù)據(jù)連接關(guān)系，也可以是配置NAT中的地址映射關(guān)系，使得外部網(wǎng)絡(luò)能透過(guò)設(shè)備主動(dòng)訪問(wèn)內(nèi)部網(wǎng)絡(luò)。三、服務(wù)器映射及目的NAT技術(shù)1、NATServer內(nèi)部服務(wù)器內(nèi)部服務(wù)器（NATServer）功能是指使用一個(gè)公網(wǎng)地址來(lái)代表內(nèi)部服務(wù)器的對(duì)外地址。NATServer特性使用NAT可以靈活地添加內(nèi)部服務(wù)器。例如：可以使用等公網(wǎng)地址作為Web服務(wù)器的外部地址，甚至還可以使用:8080這樣的IP地址加端口號(hào)的方式作為Web的外部地址。外部用戶訪問(wèn)內(nèi)部服務(wù)器時(shí)，有如下兩部分操作：防火墻將外部用戶的請(qǐng)求報(bào)文的目的地址轉(zhuǎn)換成內(nèi)部服務(wù)器的私有地址；防火墻將內(nèi)部服務(wù)器的回應(yīng)報(bào)文的源地址（私網(wǎng)地址）轉(zhuǎn)換成公網(wǎng)地址。NATServer配置（SLI）（WEB）NATServer是最常用的基于目的地址的NAT。當(dāng)內(nèi)網(wǎng)部署了一臺(tái)服務(wù)器，其真實(shí)IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過(guò)一個(gè)公網(wǎng)地址來(lái)訪問(wèn)該服務(wù)器，這時(shí)可以配置NATServer，使設(shè)備將公網(wǎng)用戶訪問(wèn)該公網(wǎng)地址的報(bào)文自動(dòng)轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。（WEB方式）2、目的NAT在移動(dòng)終端訪問(wèn)無(wú)線網(wǎng)絡(luò)時(shí)，如果其缺省WAP網(wǎng)關(guān)地址與所在地運(yùn)營(yíng)商的WAP網(wǎng)關(guān)地址不一致時(shí)，可以在終端與WAP網(wǎng)關(guān)中間部署一臺(tái)設(shè)備，并配置目的NAT功能，使設(shè)備自動(dòng)將終端發(fā)往錯(cuò)誤WAP網(wǎng)關(guān)地址的報(bào)文自動(dòng)轉(zhuǎn)發(fā)給正確的WAP網(wǎng)關(guān)。目的NAT配置命令四、11.4 雙向NAT技術(shù)1、雙向NAT技術(shù)概述常規(guī)地址轉(zhuǎn)換技術(shù)只轉(zhuǎn)換報(bào)文的源地址或目的地址，而雙向地址轉(zhuǎn)換（BidirectionalNAT）技術(shù)可以將報(bào)文的源地址和目的地址同時(shí)轉(zhuǎn)換，該技術(shù)應(yīng)用于內(nèi)部網(wǎng)絡(luò)主機(jī)地址與公網(wǎng)上主機(jī)地址重疊的情況。雙向NAT技術(shù)可以分為兩種應(yīng)用場(chǎng)景：域間雙向NAT（NATServer+源NAT）域內(nèi)雙向NAT2、多通道協(xié)議技術(shù)2、域間雙向NAT技術(shù)為了簡(jiǎn)化配置服務(wù)器至公網(wǎng)的路由，可在NATServer基礎(chǔ)上，增加源NAT配置。當(dāng)配置NATServer時(shí)，服務(wù)器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應(yīng)報(bào)文。如果要簡(jiǎn)化配置，避免配置到公網(wǎng)地址的路由，則可以對(duì)外網(wǎng)用戶的源IP地址也進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的源IP地址與服務(wù)器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務(wù)器會(huì)缺省將回應(yīng)報(bào)文發(fā)給網(wǎng)關(guān)，即設(shè)備本身，由設(shè)備來(lái)轉(zhuǎn)發(fā)回應(yīng)報(bào)文。4、域內(nèi)雙向NAT技術(shù)3、端口識(shí)別對(duì)多通道協(xié)議的支持端口識(shí)別，也稱端口映射，是防火墻用來(lái)識(shí)別使用非標(biāo)準(zhǔn)端口的應(yīng)用層協(xié)議報(bào)文。端口映射支持的應(yīng)用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關(guān)命令：配置分片緩存老化時(shí)間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關(guān)閉分片報(bào)文直接轉(zhuǎn)發(fā)功能命令Firewallfragment-forwardenable/disable；7、長(zhǎng)連接長(zhǎng)連接相關(guān)命令：配置長(zhǎng)連接老化時(shí)間Firewalllong-linkaging-timetime；開啟長(zhǎng)連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學(xué)生練習(xí)】綜合實(shí)驗(yàn)：基于IP地址的轉(zhuǎn)發(fā)策略實(shí)驗(yàn)?zāi)康模赫莆栈贗P地址控制訪問(wèn)的配置方法實(shí)驗(yàn)拓?fù)鋱D，如圖10-37所示：圖10-37實(shí)驗(yàn)拓?fù)鋱D實(shí)驗(yàn)步驟（CLI）步驟一：配置各個(gè)接口的IP地址并加入相應(yīng)的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個(gè)不允許通過(guò)防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過(guò)防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過(guò)防火墻IP地址的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個(gè)網(wǎng)段的IP地址通過(guò)防火墻的轉(zhuǎn)發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測(cè)試不同IP地址通過(guò)防火墻的情況。Trust區(qū)域三臺(tái)PC分別用ping命令測(cè)試與untrust區(qū)域的www服務(wù)器的連通情況，應(yīng)該只有PC3的可以ping通服務(wù)器。實(shí)驗(yàn)步驟（Web）步驟一：配置各個(gè)接口的IP地址，并加入相應(yīng)的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡(luò)>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖10-38接口加入安全區(qū)域重復(fù)上述步驟配置接口GE1/0/1的IP地址并加入U(xiǎn)ntrust區(qū)域。步驟二：配置地址集，如圖10-39所示。配置名稱為ip_deny的地址集，將幾個(gè)不允許上網(wǎng)的IP地址加入地址集。選擇“對(duì)象>地址>地址”，單擊“新建”，配置地址的各項(xiàng)參數(shù)。圖10-39配置地址集重復(fù)上述步驟配置名稱為ip_permit的地址集，將/24的網(wǎng)段加入地址集。步驟3：創(chuàng)建拒絕特殊的幾個(gè)IP地址訪問(wèn)Internet的轉(zhuǎn)發(fā)策略。選擇“策略>安全策略>安全策略”，單擊“新建”，并輸入各項(xiàng)參數(shù)，如圖10-40所示。圖10-40配置拒絕轉(zhuǎn)發(fā)策略步驟四：創(chuàng)建允許/24這個(gè)網(wǎng)段訪問(wèn)Internet的轉(zhuǎn)發(fā)策略，如圖10-41所示。圖10-41配置允許轉(zhuǎn)發(fā)策略步驟五：驗(yàn)證結(jié)果，如圖10-42所示。配置好各PC的IP地址和網(wǎng)關(guān)。經(jīng)過(guò)驗(yàn)證，發(fā)現(xiàn)、和這3臺(tái)PC無(wú)法訪問(wèn)Internet；而/24中的其他IP地址均可以正常訪問(wèn)Internet。圖10-42驗(yàn)證實(shí)驗(yàn)結(jié)果【學(xué)生練習(xí)】華為防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換NAT配置實(shí)驗(yàn)?！军c(diǎn)評(píng)】【總結(jié)提煉】本章主要講解防火NAT技術(shù)原理、NAT的幾種應(yīng)用方式，防火墻NAT配置方法，通過(guò)原理的講解，配置的實(shí)操，使學(xué)生對(duì)防火墻網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)有一個(gè)更加鮮明的認(rèn)識(shí)。【課后作業(yè)】Easy-ip的應(yīng)用場(chǎng)景是什么？基于目的IP地址NAT中no-reverse參數(shù)的意義是什么？域間雙向NAT與域內(nèi)雙向NAT應(yīng)用場(chǎng)景有何不同？在不同類型的NAT應(yīng)用場(chǎng)景中，域間包過(guò)濾規(guī)則配置應(yīng)注意哪些方面？【教學(xué)后記】ADDINCNKISM.UserStyle授課周次與課時(shí)：第8周第29-32課時(shí)累計(jì)32課時(shí)課程名稱：信息安全技術(shù)授課課題：防火墻雙機(jī)熱備技術(shù)教學(xué)目標(biāo)：了解防火墻雙機(jī)熱備技術(shù)掌握雙機(jī)熱備技術(shù)原理掌握防火墻雙機(jī)熱備配置教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：掌握防火墻雙機(jī)熱備配置2.教學(xué)難點(diǎn)：掌握雙機(jī)熱備技術(shù)原理思政目標(biāo)：加強(qiáng)學(xué)生維護(hù)網(wǎng)絡(luò)空間的認(rèn)識(shí)，提高維護(hù)網(wǎng)絡(luò)空間安全能力；愛國(guó)主義，通過(guò)學(xué)生對(duì)北斗導(dǎo)航的了解，增強(qiáng)學(xué)生的愛國(guó)主義意識(shí)；科技強(qiáng)國(guó)，通過(guò)學(xué)生對(duì)北斗導(dǎo)航研發(fā)歷程的了解，增強(qiáng)學(xué)生科技強(qiáng)國(guó)的精神；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過(guò)程：【課程思政/溫故知新】網(wǎng)上網(wǎng)下要同心聚力、齊抓共管,形成共同防范社會(huì)風(fēng)險(xiǎn)、共同構(gòu)筑同心圓的良好局面。要維護(hù)網(wǎng)絡(luò)空間安全及網(wǎng)絡(luò)數(shù)據(jù)的完整性、安全性、可靠性，提高維護(hù)網(wǎng)絡(luò)空間安全能力。思政主題：科技強(qiáng)國(guó)、愛國(guó)主義2020年的6月23號(hào)，中國(guó)北斗3號(hào)的最后一顆衛(wèi)星發(fā)射成功，北斗衛(wèi)星導(dǎo)航系統(tǒng)（以下簡(jiǎn)稱北斗系統(tǒng)）組建完成，向全球提供服務(wù)。北斗系統(tǒng)是中國(guó)著眼于國(guó)家安全和經(jīng)濟(jì)社會(huì)發(fā)展需要，自主建設(shè)運(yùn)行的全球衛(wèi)星導(dǎo)航系統(tǒng)，是為全球用戶提供全天候、全天時(shí)、高精度的定位、導(dǎo)航和授時(shí)服務(wù)的國(guó)家重要時(shí)空基礎(chǔ)設(shè)施。本章學(xué)習(xí)內(nèi)容是防火墻雙機(jī)熱備技術(shù)，做為大國(guó)重器的北斗從最早的雙星，到現(xiàn)在的45個(gè)星的全球組網(wǎng)，備份一直是重中之重。在網(wǎng)絡(luò)安全方面，防火墻的雙機(jī)熱備也是網(wǎng)絡(luò)安全的重中之重，學(xué)好雙機(jī)熱備技術(shù)，對(duì)于我們以后在實(shí)際工程工作具有十分重要的意義?！拘抡n講授】一、雙機(jī)熱備技術(shù)原理1、雙機(jī)熱備技術(shù)的產(chǎn)生傳統(tǒng)的組網(wǎng)方式如圖12-1所示，內(nèi)部用戶和外部用戶的交互報(bào)文全部通過(guò)FirewallA進(jìn)行傳輸。如果FirewallA出現(xiàn)故障，內(nèi)部網(wǎng)絡(luò)中所有以FirewallA作為默認(rèn)網(wǎng)關(guān)的主機(jī)與外部網(wǎng)絡(luò)之間的通訊將中斷，通信可靠性無(wú)法得到保證。雙機(jī)熱備份技術(shù)的出現(xiàn)改變了可靠性難以保證的尷尬狀態(tài)，通過(guò)在網(wǎng)絡(luò)出口位置部署兩臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信暢通。2、雙機(jī)熱備在路由器上部署為了避免路由器傳統(tǒng)組網(wǎng)所引起的單點(diǎn)故障的發(fā)生，通常情況可以采用多條鏈路的保護(hù)機(jī)制，依靠動(dòng)態(tài)路由協(xié)議進(jìn)行鏈路切換。但這種路由協(xié)議來(lái)進(jìn)行切換保護(hù)的方式存在一定的局限性，當(dāng)不能使用動(dòng)態(tài)路由協(xié)議時(shí)，仍然會(huì)導(dǎo)致鏈路中斷的問(wèn)題，因此推出了另一種保護(hù)機(jī)制VRRP（虛擬路由冗余協(xié)議）來(lái)進(jìn)行。采用VRRP的鏈路保護(hù)機(jī)制比依賴動(dòng)態(tài)路由協(xié)議的廣播報(bào)文來(lái)進(jìn)行鏈路切換的時(shí)間更短，同時(shí)彌補(bǔ)了不能使用動(dòng)態(tài)路由情況下的鏈路保護(hù)。3、VRRP工作原理VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用VRRP在防火墻應(yīng)用中存在的缺陷VRRP用于防火墻多區(qū)域備份（VGMP）VGMP基本原理VGMP組管理4、HRP工作原理HRP基本概念HRP心跳接口5、雙機(jī)熱備的備份方式自動(dòng)備份自動(dòng)備份功能缺省為開啟狀態(tài)，能夠自動(dòng)實(shí)時(shí)備份配置命令和周期性地備份狀態(tài)信息，適用于各種雙機(jī)熱備組網(wǎng)。啟用自動(dòng)備份功能后，在一臺(tái)FW上每執(zhí)行一條可以備份的命令時(shí)，此配置命令就會(huì)被立即同步備份到另一臺(tái)FW上。啟用自動(dòng)備份功能后，主用設(shè)備會(huì)周期性地將可以備份的狀態(tài)信息備份到備用設(shè)備上。即主用設(shè)備的狀態(tài)信息建立后不會(huì)立即備份，而是在建立一段時(shí)間（10秒左右）之后才會(huì)備份到備用設(shè)備。自動(dòng)備份不會(huì)備份以下類型的會(huì)話：到防火墻自身的會(huì)話，例如管理員登錄防火墻時(shí)產(chǎn)生的會(huì)話。未完成3次握手的TCP半連接會(huì)話（快速備份支持備份此會(huì)話）。只為UDP首包創(chuàng)建，而不被后續(xù)包匹配的會(huì)話（快速備份支持備份此會(huì)話）。手工批量備份手工批量備份需要管理員手工觸發(fā)，每執(zhí)行一次手工批量備份命令，主用設(shè)備就會(huì)立即同步一次配置命令和狀態(tài)信息到備用設(shè)備。因此手工批量備份主要適用于主備設(shè)備之間配置不同步，需要手工同步的場(chǎng)景。執(zhí)行手工批量備份命令后，主用（配置主）設(shè)備會(huì)立即同步一次可以備份的配置命令到備用（配置備）設(shè)備。執(zhí)行手工批量備份命令后，主用設(shè)備會(huì)立即同步一次可以備份的狀態(tài)信息到備用設(shè)備，而不必等到自動(dòng)備份周期的到來(lái)。會(huì)話快速備份會(huì)話快速備份功能，適用于負(fù)載分擔(dān)的工作方式，以應(yīng)對(duì)報(bào)文來(lái)回路徑不一致的場(chǎng)景。負(fù)載分擔(dān)組網(wǎng)下，由于兩臺(tái)防火墻都是主用設(shè)備，都能轉(zhuǎn)發(fā)報(bào)文，所以可能存在報(bào)文的來(lái)回路徑不一致的情況，即來(lái)回兩個(gè)方向的報(bào)文分別從不同的防火墻經(jīng)過(guò)。這時(shí)如果兩臺(tái)防火墻的會(huì)話沒有及時(shí)相互備份，則回程報(bào)文會(huì)因?yàn)闆]有匹配到會(huì)話表項(xiàng)而被丟棄，從而導(dǎo)致業(yè)務(wù)中斷。所以為防止上述現(xiàn)象發(fā)生，需要在負(fù)載分擔(dān)組網(wǎng)下配置會(huì)話快速備份功能，使兩臺(tái)防火墻能夠?qū)崟r(shí)的相互備份會(huì)話，使回程報(bào)文能夠查找到相應(yīng)的會(huì)話表項(xiàng)，從而保證內(nèi)外部用戶的業(yè)務(wù)不中斷。啟用會(huì)話快速備份功能后，主用設(shè)備會(huì)實(shí)時(shí)地將可以備份的會(huì)話（包括上面提到的自動(dòng)備份不支持的會(huì)話）都同步到備用設(shè)備上。即在主用設(shè)備會(huì)話建立的時(shí)候立即將其實(shí)時(shí)備份到備用設(shè)備。設(shè)備重啟后主備FW的配置自動(dòng)同步雙機(jī)熱備組網(wǎng)中，如果一臺(tái)FW重啟，重啟期間業(yè)務(wù)都是由另一臺(tái)FW承載。在此期間，承載業(yè)務(wù)的FW上可能會(huì)新增、刪除或修改配置。為了保證主備FW配置一致，在FW重啟完成后，會(huì)自動(dòng)從當(dāng)前承載業(yè)務(wù)的FW上進(jìn)行一次配置同步。配置同步僅會(huì)同步支持備份的配置，如安全策略、NAT策略等。不支持備份的配置，如OSPF、BGP等，還繼續(xù)沿用原有的配置。配置同步需要一定的時(shí)間。同步的時(shí)間與配置量有關(guān)，配置量越大同步配置所需時(shí)間也越長(zhǎng)，最長(zhǎng)可能需要1個(gè)小時(shí)左右。在配置同步期間，F(xiàn)W上無(wú)法執(zhí)行支持備份的配置命令。二、12.2 雙機(jī)熱備基本組網(wǎng)與配置1、雙機(jī)熱備基本組網(wǎng)上下行業(yè)務(wù)接口工作在三層模式，連接二層設(shè)備時(shí)，需要在上下行的業(yè)務(wù)接口上配置VRRP備份組，使VGMP管理組能夠通過(guò)VRRP備份組監(jiān)測(cè)三層業(yè)務(wù)接口。雙機(jī)熱備組網(wǎng)最常見的是防火墻采用路由模式，下行交換機(jī)雙線上聯(lián)到防火墻，正常情況下防火墻A作為主，當(dāng)防火墻A上行或下行鏈路down掉后，防火墻B自動(dòng)切換為主設(shè)備，交換機(jī)流量走向防火墻B。2、VRRP備份組配置命令vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}執(zhí)行此命令時(shí)，指定active或standby參數(shù)后，即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個(gè)普通物理接口（GigabitEthernet接口）下最多配置255個(gè)VRRP組。vrrpvridvirtual-router-IDtimeradvertiseadver-interval此命令在接口視圖下修改vrrp報(bào)文發(fā)送時(shí)間：Master管理組默認(rèn)情況下會(huì)每隔1秒發(fā)送一次vrrp報(bào)文，可以在接口視圖下調(diào)整vrrp報(bào)文發(fā)送間隔。vrrpvridvirtual-router-idip-linklink-id此命令在接口視圖下配置ip-link：vrrp也可以與ip-link進(jìn)行配合，當(dāng)上行鏈路斷掉后使vrrp能夠進(jìn)行主備切換。hrppreempt[delayinterval]此命令配置VGMP管理組的搶占延遲時(shí)間，缺省情況下，VGMP管理組的搶占功能為啟用狀態(tài)，搶占延遲時(shí)間為60s。3、HRP配置命令指定心跳口hrpinterfaceinterface-typeinterface-number[remote{ip-address|ipv6-address}]啟用HRP備份功能hrpenable 啟用允許配置備用設(shè)備的功能hrpstandbyconfigenable啟用命令與狀態(tài)信息的自動(dòng)備份hrpauto-sync[config|connection-status]啟用會(huì)話快速備份hrpmirrorsessionenableHRP配置舉例-CLIUSG_A關(guān)于HRP配置：[USG_A]hrpenable使能hrp協(xié)議[USG_A]hrpmirrorsessionenable開啟會(huì)話快速備份功能[USG_A]hrpinterfaceGigabitEthernet1/0/6指定心跳接口為G1/0/6USG_B關(guān)于HRP的配置：[USG_B]hrpenable[USG_B]hrpmirrorsessionenable[USG_B]hrpinterfaceGigabitEthernet1/0/6狀態(tài)查詢查看VRRP狀態(tài)-CLI查看處于VRRP備份組中的接口狀態(tài)信息：HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIP:VirtualMAC:0000-5e00-0102PrimaryIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0AdvertisementTimer:1AuthType:NONECheckTTL:YES查看HRP狀態(tài)-CLI查看處于Master狀態(tài)防火墻的狀態(tài)信息如下：HRP_A<USG_A>dishrpstateThefirewall'sconfigstateis:ACTIVECurrentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid1:activeGigabitEthernet1/0/3vrid2:active查看處于Slave狀態(tài)防火墻的狀態(tài)信息如下：HRP_S[USG_B]displayhrpstateThefirewall'sconfigstateis:StandbyCurrentstateofvirtualroutersconfiguredasstandby:GigabitEthernet1/0/1vrid1:standbyGigabitEthernet1/0/3vrid2:standby4、雙機(jī)熱備配置WEB界面一致性檢查，如圖所示。單擊“系統(tǒng)>高可靠性>雙機(jī)熱備>配置”進(jìn)行雙機(jī)熱備相關(guān)配置。單擊“配置”進(jìn)入雙機(jī)熱備配置界面，在配置界面中可以配置HRP的基本參數(shù)，以及對(duì)接口、VLAN、IP-Link、BFD的監(jiān)視；單擊“詳細(xì)”按鈕可以查看HRP的歷史切換信息；單擊“一致性檢查”按鈕可以對(duì)主備防火墻的配置做一致性檢查。雙機(jī)熱備主用設(shè)備配置–Web在雙機(jī)熱備配置界面單擊“配置”按鈕對(duì)主用設(shè)備USG_A的配置，在配置虛擬IP地址下單擊“新建”建立相應(yīng)VRRP備份組。雙機(jī)熱備備用設(shè)備配置–Web在雙機(jī)熱備配置界面單擊“配置”按鈕對(duì)備用設(shè)備USG_B的配置，在配置虛擬IP地址下單擊“新建”建立相應(yīng)VRRP備份組。查看雙機(jī)熱備歷史切換信息–Web在雙機(jī)熱備界面，單擊“詳細(xì)”可以查看雙機(jī)熱備主備切換信息。查看雙機(jī)熱備狀態(tài)信息–Web在雙機(jī)熱備界面確認(rèn)運(yùn)行模式、角色及VRRP備份組的狀態(tài)信息?！緦W(xué)生練習(xí)】綜合實(shí)驗(yàn)關(guān)于本實(shí)驗(yàn)本實(shí)驗(yàn)通過(guò)在網(wǎng)絡(luò)出口位置部署兩臺(tái)或多臺(tái)網(wǎng)關(guān)設(shè)備，保證了內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的通信暢通。實(shí)驗(yàn)?zāi)康睦斫怆p機(jī)熱備的基本原理。理解VGMP和HRP協(xié)議。掌握通過(guò)命令行和web方式配置防火墻雙機(jī)熱備。實(shí)驗(yàn)拓?fù)鋱D12-16防火墻雙機(jī)熱備實(shí)驗(yàn)拓?fù)鋱D實(shí)驗(yàn)規(guī)劃USG6330作為安全設(shè)備被部署在業(yè)務(wù)節(jié)點(diǎn)上。其中上下行設(shè)備均是交換機(jī)，USG6330-1、USG6330-2以主備備份方式工作。表12-1端口地址和區(qū)域劃分設(shè)備名稱接口IP地址區(qū)域USG6330-1G1/0/TrustG1/0/3DMZG1/0/4UntrustUSG6330-2G1/0/TrustG1/0/3DMZG1/0/4UntrustPC1E0/0/00TrustPC2E0/0/Untrust實(shí)驗(yàn)任務(wù)列表表12-2端口地址和區(qū)域劃分序號(hào)任務(wù)子任務(wù)任務(wù)說(shuō)明1配置基礎(chǔ)數(shù)據(jù)配置安全區(qū)域?qū)⒏鹘涌趧澣氚踩珔^(qū)域2配置雙機(jī)熱備配置雙機(jī)熱備配置雙機(jī)熱備模式為主備模式，F(xiàn)W1為主，F(xiàn)W2為備。配置虛擬IP地址配置VRRP備份組1和23配置安全策略放行域間轉(zhuǎn)發(fā)安全策略放行Trust到Untrust區(qū)域策略實(shí)驗(yàn)配置思路在配置基本的IP地址和所屬安全區(qū)域，并且放行對(duì)應(yīng)安全策略。進(jìn)行雙機(jī)熱備配置，備份方式為主備備份，USG6330-1為主，USG6330-2為備。配置步驟-CLI完成USG6330-1上、下行業(yè)務(wù)接口的配置。配置各接口IP地址并加入相應(yīng)安全區(qū)域。<USG6330-1>system-view[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/1]ipaddress[USG6330-1-GigabitEthernet1/0/1]quit[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/3]ipaddress[USG6330-1-GigabitEthernet1/0/3]quit[USG6330-1]firewallzonetrust[USG6330-1-zone-trust]addinterfaceGigabitEthernet1/0/1[USG6330-1-zone-trust]quit[USG6330-1]firewallzoneuntrust[USG6330-1-zone-untrust]addinterfaceGigabitEthernet1/0/4[USG6330-1-zone-untrust]quit配置接口GigabitEthernet1/0/1的VRRP備份組1，并加入到狀態(tài)為Active的VGMP管理組。[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/1]vrrpvrid1virtual-ipactive[USG6330-1-GigabitEthernet1/0/1]quit配置接口GigabitEthernet1/0/3的VRRP備份組2，并加入到狀態(tài)為Active的VGMP管理組。[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/3]vrrpvrid2virtual-ipactive[USG6330-1-GigabitEthernet1/0/3]quit完成USG6330-1的心跳線配置，配置GigabitEthernet1/0/7的IP地址。[USG6330-1]interfaceGigabitEthernet1/0/3[USG6330-1-GigabitEthernet1/0/7]ipaddress[USG6330-1-GigabitEthernet1/0/7]quit配置GigabitEthernet1/0/7加入DMZ區(qū)域。[USG6330-1]firewallzonedmz[USG6330-1-zone-dmz]addinterfaceGigabitEthernet1/0/3[USG6330-1-zone-dmz]quit指定GigabitEthernet1/0/7為心跳口。[USG6330-1]hrpinterfaceGigabitEthernet1/0/3配置Trust區(qū)域和Untrust區(qū)域的域間轉(zhuǎn)發(fā)策略。HRP_A[USG6330-1]security-policyHRP_A[USG6330-1-policy-security]rulenamepolicy_secHRP_A[USG6330-1-policy-security-rule-policy_sec]source-zonetrustHRP_A[USG6330-1-policy-security-rule-policy_sec]destination-zoneuntrustHRP_A[USG6330-1-policy-security-rule-policy_sec]actionpermitHRP_A[USG6330-1-policy-security-rule-policy_sec]quit啟用HRP備份功能。[USG6330-1]hrpenable配置USG6330-2。USG6330-2和上述USG6330-1的配置基本相同，不同之處在于以下兩點(diǎn)：G6330-2各接口的IP地址與USG6330-1各接口的IP地址不相同。G6330-2的業(yè)務(wù)接口GigabitEthernet1/0/1和GigabitEthernet1/0/4加入狀態(tài)為Standby的VGMP管理組。配置Switch。分別將兩臺(tái)Switch的三個(gè)接口加入同一個(gè)VLAN，缺省即可，如需配置請(qǐng)參考交換機(jī)的相關(guān)文檔。配置步驟-Web完成USG6330-1防火墻接口配置。選擇“網(wǎng)絡(luò)>接口”。單擊需要配置接口后面的配置按鈕。依次選擇或輸入各項(xiàng)參數(shù)，單擊“確定”。完成GigabitEthernet1/0/1接口配置如圖所示：圖12-17GigabitEthernet1/0/1接口配置圖GigabitEthernet1/0/3和GigabitEthernet1/0/1配置類似。完成USG6330-1防火墻VRRP備份組1和VRRP備份組2的配置。選擇“系統(tǒng)>高可靠性>雙機(jī)熱備”。單擊“配置”，選用“啟用”前的復(fù)選框后，按如下參數(shù)配置：圖12-18熱備參數(shù)配置USG6330-2防火墻配置與USG6330-1防火墻基本一致，略。在雙機(jī)熱備的配置界面可以查看雙機(jī)熱備的狀態(tài)信息。圖12-19熱備運(yùn)行狀態(tài)配置USG6330-1防火墻域間轉(zhuǎn)發(fā)策略。Trust與untrust間轉(zhuǎn)發(fā)策略：選擇“策略>安全策略>安全策略”。在“安全策略列表”中，單擊“新建”。依次輸入或選擇各項(xiàng)參數(shù)。單擊“確定”。完成Trust與untrust間轉(zhuǎn)發(fā)策略如圖所示：圖12-20熱備策略配置圖12-21熱備策略配置結(jié)果結(jié)果驗(yàn)證，查看相關(guān)信息。查看VRRP信息在USG6330-1上執(zhí)行displayvrrp命令，檢查VRRP組內(nèi)接口的狀態(tài)信息，顯示以下信息表示VRRP組建立成功。HRP_A<USG6330-1>displayvrrpGigabitEthernet1/0/4|VirtualRouter1State:MasterVirtualIP:MasterIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60s TimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabledGigabitEthernet1/0/1|VirtualRouter2State:MasterVirtualIP:MasterIP:PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60sTimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabled查看HRP信息在USG6330-1上執(zhí)行displayhrpstate命令，檢查當(dāng)前HRP的狀態(tài)，顯示以下信息表示HRP建立成功。HRP_A<USG6330-1>displayhrpstateThefirewall'sconfigstateis:ACTIVECurrentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid2:activeGigabitEthernet1/0/4vrid1:active查看USG6330-1會(huì)話在處于Trust區(qū)域的PC1端pingVRRP組2的虛擬IP地址，在USG6330-1上檢查會(huì)話。HRP_A<USG6330-1>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->public00:1-->:2048可以看出VRRP組配置正確后，在PC1端能夠ping通VRRP組2的虛擬IP地址。檢查USG6330-1和USG6330-2上檢查會(huì)話PC2作為服務(wù)器位于Untrust區(qū)域。在Trust區(qū)域的PC1端能夠ping通Untrust區(qū)域的服務(wù)器。分別在USG6330-1和USG6330-2上檢查會(huì)話。HRP_A<USG6330-1>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->public00:1-->:2048HRP_S<USG6330-2>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->publicRemote00:1-->:2048可以看出USG6330-2上存在帶有Remote標(biāo)記的會(huì)話，表示配置雙機(jī)熱備功能后，會(huì)話備份成功。在PC1上執(zhí)行ping–t，然后將USG6330-1防火墻G1/0/1接口網(wǎng)線撥出，觀察防火墻狀態(tài)切換及ping包丟包情況；再將USG6330-1防火墻G1/0/1接口網(wǎng)線恢復(fù)，觀察防火墻狀態(tài)切換及ping包丟包情況?！究偨Y(jié)提煉】本章主要講述了雙機(jī)熱備技術(shù)原理、雙機(jī)熱備基本組網(wǎng)及配置，通過(guò)不同配置的實(shí)現(xiàn)，學(xué)生能夠更好的理解雙機(jī)熱備的意義。【課后作業(yè)】HRP技術(shù)可以實(shí)現(xiàn)備防火墻不需要配置任何信息，所有配置信息均由主防火墻通過(guò)HRP同步至備防火墻，且重啟后配置信息不丟失。正確錯(cuò)誤在防火墻做雙機(jī)熱備組網(wǎng)時(shí)，為實(shí)現(xiàn)備份組整體狀態(tài)切換，需要使用以下哪個(gè)協(xié)議技術(shù)？VGMPVRRPHRPOSPFADDINCNKISM.UserStyle授課周次與課時(shí)：第9周第33-36課時(shí)累計(jì)36課時(shí)課程名稱：信息安全技術(shù)授課課題：防火墻用戶管理與入侵防御教學(xué)目標(biāo)：了解AAA技術(shù)掌握用戶認(rèn)證技術(shù)掌握用戶認(rèn)證管理配置了解入侵防御的種類掌握網(wǎng)絡(luò)反病毒策略配置理教學(xué)要點(diǎn)：1.教學(xué)重點(diǎn)：用戶認(rèn)證管理配置2.教學(xué)難點(diǎn)：網(wǎng)絡(luò)反病毒策略配置理思政目標(biāo)：加強(qiáng)學(xué)生對(duì)網(wǎng)絡(luò)輿論的理解，營(yíng)造清朗的網(wǎng)絡(luò)空間；時(shí)代楷模：通過(guò)對(duì)張桂梅優(yōu)秀事跡的講解，讓學(xué)生樹立為人民服務(wù)的精神；立德樹人，通過(guò)對(duì)張桂梅優(yōu)秀事件的學(xué)習(xí)，增強(qiáng)學(xué)生愛國(guó)主義精神和奉獻(xiàn)精神的理解；課型：理實(shí)一體課教學(xué)與學(xué)法（教具）：多媒體教學(xué)過(guò)程：【課程思政/溫故知新】堅(jiān)持正確輿論導(dǎo)向，高度重視傳播手段建設(shè)和創(chuàng)新，提高新聞?shì)浾搨鞑チΑ⒁龑?dǎo)力、影響力、公信力。加強(qiáng)互聯(lián)網(wǎng)內(nèi)容建設(shè)，建立網(wǎng)絡(luò)綜合治理體系，營(yíng)造清朗的網(wǎng)絡(luò)空間。思政主題：時(shí)代楷模、立德樹人、教書育人張桂梅是云南省麗江市華坪女子高級(jí)中學(xué)黨支部書記、校長(zhǎng)。張桂梅老師扎根邊疆教育一線40余年，默默耕耘、無(wú)私奉獻(xiàn)，為了改變貧困地區(qū)女孩失學(xué)輟學(xué)現(xiàn)狀，在黨和政府以及社會(huì)各界的幫助下，推動(dòng)創(chuàng)建了一所免費(fèi)招收貧困女生的高中，2008年建校以來(lái)已幫助1800多位女孩走出大山走進(jìn)大學(xué)，用知識(shí)改變貧困山區(qū)女孩命運(yùn)，用教育阻斷貧困代際傳遞；她教書育人、立德樹人，引導(dǎo)學(xué)生從小樹立遠(yuǎn)大志向，倡導(dǎo)女性自尊自信自立自強(qiáng)，注重言傳身教，傳承紅色基因，讓“感黨恩、聽黨話、跟黨走”成為廣大學(xué)生自覺追求；她堅(jiān)韌純粹、甘當(dāng)人梯，用愛心和智慧點(diǎn)亮萬(wàn)千鄉(xiāng)村女孩的人生夢(mèng)想，展現(xiàn)了當(dāng)代人民教師的高尚師德和責(zé)任擔(dān)當(dāng)，被孩子們親切地稱為“張媽媽”。她曾當(dāng)選黨的十七大代表，榮獲“全國(guó)三八紅旗手標(biāo)兵”“全國(guó)優(yōu)秀教師”“全國(guó)教書育人楷?！薄叭珖?guó)五一勞動(dòng)獎(jiǎng)?wù)隆钡葮s譽(yù)稱號(hào)2020年12月11日，中央宣傳部向全社會(huì)宣傳發(fā)布張桂梅同志的先進(jìn)事跡，授予她“時(shí)代楷模”稱號(hào)。本章學(xué)習(xí)內(nèi)容是防火墻用戶管理，張桂梅老師說(shuō)，“我的學(xué)生一個(gè)都不能少，當(dāng)然了我們?cè)颇鲜〉奈覀兊母咐相l(xiāng)親也一個(gè)不能少?！痹诰W(wǎng)絡(luò)安全管理中，用戶的管理是基礎(chǔ)，是我們網(wǎng)絡(luò)安全的出發(fā)點(diǎn)，任何一個(gè)用戶管理的缺失都可能導(dǎo)致網(wǎng)絡(luò)安全問(wèn)題的出現(xiàn)，加強(qiáng)防火墻用戶管理，要從小入手，樹立良好的網(wǎng)絡(luò)安全意識(shí)，積極開展定期檢查，不斷強(qiáng)化網(wǎng)絡(luò)安全管理?！拘抡n講授】一、用戶認(rèn)證和AAA技術(shù)原理1、用戶認(rèn)證的背景當(dāng)前網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全的威脅更多的來(lái)源于應(yīng)用層，這也使得企業(yè)對(duì)于網(wǎng)絡(luò)訪問(wèn)控制提出更高的要求。如何精確的識(shí)別出用戶，保證用戶的合法應(yīng)用正常進(jìn)行，阻斷用戶有安全隱患的應(yīng)用等問(wèn)題，已成為現(xiàn)階段企業(yè)對(duì)網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。但I(xiàn)P不等于用戶、端口不等于應(yīng)用，傳統(tǒng)防火墻基于IP/端口的五元組訪問(wèn)控制策略已不能有效地應(yīng)對(duì)現(xiàn)階段網(wǎng)絡(luò)環(huán)境的巨大變化。2、什么是AAA所謂的AAA，其實(shí)是Authentication認(rèn)證、Authorization授權(quán)、Accounting計(jì)費(fèi)的三個(gè)單詞首字母的組合。當(dāng)用戶希望訪問(wèn)Internet訪問(wèn)資源。首先使用Authentication認(rèn)證技術(shù)，用戶輸入用戶名密碼。當(dāng)通過(guò)認(rèn)證后，通過(guò)Authorization授權(quán)，授權(quán)不同用戶訪問(wèn)的資源，可以訪問(wèn)百度，或者Google。在客戶訪問(wèn)期間，通過(guò)Accounting計(jì)費(fèi)，記錄所做的操作和時(shí)長(zhǎng)。Authentication認(rèn)證認(rèn)證是指通過(guò)一定的手段，完成對(duì)用戶身份的確認(rèn)。你所知道的信息、你所擁有的東西、獨(dú)一無(wú)二的身體特征等Authorization授權(quán)用戶能訪問(wèn)的資源、用戶能使用的命令、授權(quán)用戶可以使用哪些業(yè)務(wù)，公共業(yè)務(wù)，還是敏感業(yè)務(wù)。Accounting計(jì)費(fèi)計(jì)費(fèi)主要的含義有三個(gè)：用戶用多長(zhǎng)時(shí)間、用戶花了多少錢、用戶做了哪些操作。AAA認(rèn)證的幾種方式不認(rèn)證：對(duì)用戶非常信任，不對(duì)其進(jìn)行合法檢查，一般情況下不采用這種方式。本地認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在網(wǎng)絡(luò)接入服務(wù)器上。本地認(rèn)證的優(yōu)點(diǎn)是速度快，可以為運(yùn)營(yíng)降低成本；缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。服務(wù)器認(rèn)證：將用戶信息（包括本地用戶的用戶名、密碼和各種屬性）配置在認(rèn)證服務(wù)器上。AAA支持通過(guò)RADIUS（RemoteAuthenticationDialInUserService）協(xié)議或HWTACACS（HuaWeiTerminalAccessControllerAccessControlSystem）協(xié)議進(jìn)行遠(yuǎn)端認(rèn)證。3、RADIUS協(xié)議AAA可以用多種協(xié)議來(lái)實(shí)現(xiàn)，最常用的是RADIUS協(xié)議。RADIUS廣泛應(yīng)用于網(wǎng)絡(luò)接入服務(wù)器NAS（NetworkAccessServer）系統(tǒng)。NAS負(fù)責(zé)把用戶的認(rèn)證和計(jì)費(fèi)信息傳遞給RADIUS服務(wù)器。RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和計(jì)費(fèi)信息以及認(rèn)證和計(jì)費(fèi)結(jié)果，RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，完成認(rèn)證，并把結(jié)果返回給NAS。RADIUS使用UDP（UserDatagramProtocol）作為傳輸協(xié)議，具有良好的實(shí)時(shí)性；同時(shí)也支持重傳機(jī)制和備用服務(wù)器機(jī)制，從而具有較好的可靠性。RADIUS客戶端與服務(wù)器間的消息流程用戶登錄USG或接入服務(wù)器等網(wǎng)絡(luò)設(shè)備時(shí)，會(huì)將用戶名和密碼發(fā)送給該網(wǎng)絡(luò)接入服務(wù)器；該網(wǎng)絡(luò)設(shè)備中的RADIUS客戶端（網(wǎng)絡(luò)接入服務(wù)器）接收用戶名和密碼，并向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求；RADIUS服務(wù)器接收到合法的請(qǐng)求后，完成認(rèn)證，并把所需的用戶授權(quán)信息返回給客戶端；對(duì)于非法的請(qǐng)求，RADIUS服務(wù)器返回認(rèn)證失敗的信息給客戶端；RADIUS服務(wù)器通過(guò)建立一個(gè)唯一的用戶數(shù)據(jù)庫(kù)，存儲(chǔ)用戶名、密碼來(lái)對(duì)用戶進(jìn)行驗(yàn)證。RADIUS的報(bào)文結(jié)構(gòu)RADIUS報(bào)文交互流程Code：包類型。包類型占1個(gè)字節(jié)，定義如下：Access-Request——請(qǐng)求認(rèn)證過(guò)程Access-Accept——認(rèn)證響應(yīng)過(guò)程Access-Reject——認(rèn)證拒絕過(guò)程Accounting-Request——請(qǐng)求計(jì)費(fèi)過(guò)程Accounting-Response——計(jì)費(fèi)響應(yīng)過(guò)程Access-Challenge——訪問(wèn)質(zhì)詢4、HWTACACS協(xié)議HWTACACS（HuaweiTerminalAccessControllerAccessControlSystem，華為終端訪問(wèn)控制器控制系統(tǒng)）是在TACACS協(xié)議的基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議的功能類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn)NAS與TACACS+服務(wù)器之間的通信。5、LDAP協(xié)議LDAP（LightweightDirectoryAccessProtocol，輕量級(jí)目錄訪問(wèn)協(xié)議）是從X.500目錄訪問(wèn)協(xié)議的基礎(chǔ)上發(fā)展過(guò)來(lái)的，X.500是層次型的，所有對(duì)象被組織成樹形結(jié)構(gòu)。X.500目錄服務(wù)實(shí)現(xiàn)身份認(rèn)證、訪問(wèn)控制。LDAP就是簡(jiǎn)化X.500目錄的復(fù)雜度，同時(shí)適應(yīng)Internet的需要。目錄服務(wù)就是由目錄數(shù)據(jù)庫(kù)和一套訪問(wèn)協(xié)議組成的系統(tǒng)。類似以下的信息適合儲(chǔ)存在目錄中：企業(yè)員工信息，如姓名、郵箱、手機(jī)號(hào)碼等；公司設(shè)備的物理信息，如IP地址、放置位置、廠商、購(gòu)買時(shí)間等；公用證書和安全密鑰；6、用戶認(rèn)證分類AAA技術(shù)為用戶認(rèn)證提供手段，用戶認(rèn)證分類有：本地認(rèn)證訪問(wèn)者通過(guò)Portal認(rèn)證頁(yè)面將標(biāo)識(shí)其身份的用戶名和密碼發(fā)送給FW，F(xiàn)W上存儲(chǔ)了密碼，驗(yàn)證過(guò)程在FW上進(jìn)行，該方式稱為本地認(rèn)證。服務(wù)器認(rèn)證訪問(wèn)者通過(guò)Portal認(rèn)證頁(yè)面將標(biāo)識(shí)其身份的用戶名和密碼發(fā)送給FW，F(xiàn)W上沒有存儲(chǔ)密碼，F(xiàn)W將用戶名和密碼發(fā)送至第三方認(rèn)證服務(wù)器，驗(yàn)證過(guò)程在認(rèn)證服務(wù)器上進(jìn)行，該方式稱為服務(wù)器認(rèn)證。單點(diǎn)登錄訪問(wèn)者將標(biāo)識(shí)其身份的用戶名和密碼發(fā)送給第三方認(rèn)證服務(wù)器，認(rèn)證通過(guò)后，第三方認(rèn)證服務(wù)器將訪問(wèn)者的身份信息發(fā)送給FW。FW只記錄訪問(wèn)者的身份信息不參與認(rèn)證過(guò)程，該方式稱為單點(diǎn)登錄（SingleSign-On）。短信認(rèn)證訪問(wèn)者通過(guò)Portal認(rèn)證頁(yè)面獲取短信驗(yàn)證碼，然后輸入短信驗(yàn)證碼即通過(guò)認(rèn)證。FW通過(guò)校驗(yàn)短信驗(yàn)證碼認(rèn)證訪問(wèn)者。二、用戶認(rèn)證管理及應(yīng)用1、用戶組織架構(gòu)及分類用戶管理的背景用戶管理將分為不同的用戶組，通過(guò)對(duì)用戶認(rèn)證，將用戶打上標(biāo)簽，并且為用戶組賦予不同的權(quán)限和應(yīng)用，從而實(shí)現(xiàn)安全的目標(biāo)。將公司員工（用戶）加入用戶組，然后針對(duì)用戶或用戶組進(jìn)行網(wǎng)絡(luò)行為控制和審計(jì)，根據(jù)用戶或用戶組進(jìn)行策略的可視化制定，提高策略制定的易用性，報(bào)表中體現(xiàn)用戶信息，對(duì)用戶進(jìn)行上網(wǎng)行為分析，以達(dá)到對(duì)用戶（而非單純的IP地址）行為的追蹤審計(jì)，解決現(xiàn)網(wǎng)應(yīng)用中同一用戶對(duì)應(yīng)IP經(jīng)常變化帶來(lái)的應(yīng)用行為策略控制難題。用戶組織架構(gòu)用戶組織架構(gòu)中涉及如下三個(gè)概念：認(rèn)證域用戶組/用戶安全組當(dāng)企業(yè)通過(guò)第三方認(rèn)證服務(wù)器存儲(chǔ)組織結(jié)構(gòu)時(shí)，服務(wù)器上也存在類似的橫向群組，為了基于這些群組配置策略，F(xiàn)W上需要?jiǎng)?chuàng)建安全組與服務(wù)器上的組織結(jié)構(gòu)保持一致。組織結(jié)構(gòu)管理系統(tǒng)默認(rèn)有一個(gè)缺省認(rèn)證域，每個(gè)用戶組可以包括多個(gè)用戶和用戶組。認(rèn)證域的主要特點(diǎn)如下：認(rèn)證域是認(rèn)證流程中的重要環(huán)節(jié)，認(rèn)證域上的配置決定了對(duì)用戶的認(rèn)證方式以及用戶的組織結(jié)構(gòu)。對(duì)于不同認(rèn)證方式的用戶，認(rèn)證域的作用不盡相同。FW通過(guò)識(shí)別用戶名中包含的認(rèn)證域，將所有待認(rèn)證的用戶“分流”到對(duì)應(yīng)的認(rèn)證域中，根據(jù)認(rèn)證域上的配置來(lái)對(duì)用戶進(jìn)行認(rèn)證。用戶分類管理員用戶上網(wǎng)用戶接入用戶2、管理員認(rèn)證流程和配置管理員登錄方式管理員主要為了實(shí)現(xiàn)對(duì)設(shè)備的管理、配置和維護(hù)，登錄方式可以分為：ConsoleWebTelnetFTPSSHConsole/telnet/Ftp設(shè)備管理類型配置Web方式打開瀏覽器，登陸設(shè)備，在“系統(tǒng)>管理員>管理員>新建”，新建管理員Client01，并設(shè)置設(shè)備管理類型Console,Telnet,FTPSSH設(shè)備管理類型界面中創(chuàng)建管理員Client01，并設(shè)置設(shè)備管理類型為SSH。Web設(shè)備管理員配置Web方式界面中創(chuàng)建管理員webuser，并設(shè)置用戶級(jí)別。在“系統(tǒng)>管理員>設(shè)置”設(shè)置HTTPS/HTTP服務(wù)端口,當(dāng)使用HTTP登錄設(shè)備后，不可以關(guān)閉HTTP服務(wù)，同時(shí)不能修改HTTP服務(wù)端口；當(dāng)使用HTTPS登錄設(shè)備后，不可以關(guān)閉HTTPS服務(wù)，同時(shí)不能修改HTTPS服務(wù)端口。3、上網(wǎng)用戶及接入用戶認(rèn)證流程單點(diǎn)登錄場(chǎng)景可以分為以下三種：AD單點(diǎn)登錄：用戶登錄AD域，由AD服務(wù)器進(jìn)行認(rèn)證。AgileController單點(diǎn)登錄：用戶由華為公司的AgileController系統(tǒng)（PolicyCenter或AgileController）進(jìn)行認(rèn)證。RADIUS單點(diǎn)登錄：用戶接入NAS設(shè)備，NAS設(shè)備轉(zhuǎn)發(fā)認(rèn)證請(qǐng)求到RADIUS服務(wù)器進(jìn)行認(rèn)證。4、其他認(rèn)證上網(wǎng)用戶Portal認(rèn)證Portal認(rèn)證是指由防火墻或第三方服務(wù)器提供Portal認(rèn)證頁(yè)面對(duì)用戶進(jìn)行認(rèn)證。防火墻內(nèi)置Portal認(rèn)證的觸發(fā)方式包括如下兩種。會(huì)話認(rèn)證事前認(rèn)證接入用戶認(rèn)證接入用戶認(rèn)證指的是對(duì)各類VPN接入用戶進(jìn)行認(rèn)證，觸發(fā)認(rèn)證的方式由接入方式?jīng)Q定，包括如下三種。SSLVPN接入用戶L2TPVPN接入用戶IPSecVPN接入用戶三、入侵概述1、入侵初印象入侵都有一些相似點(diǎn)，比如說(shuō)相似的目的，入侵他方的領(lǐng)域獲取利益，而受害方在發(fā)現(xiàn)入侵的時(shí)候及時(shí)反擊，“保衛(wèi)地球”，當(dāng)然最好的就是在入侵之前加固防御，保護(hù)自身領(lǐng)土不受入侵。那么網(wǎng)絡(luò)中的入侵和防御又是怎么一回事呢？2、網(wǎng)絡(luò)威脅現(xiàn)狀現(xiàn)在大多數(shù)病毒等網(wǎng)絡(luò)威脅不再單純地攻擊電腦系統(tǒng)，而是被黑客攻擊和不法分子利用，成為他們獲取利益的工具。因此，傳統(tǒng)的電腦病毒等網(wǎng)絡(luò)威脅，正在向由利益驅(qū)動(dòng)的、全面的網(wǎng)絡(luò)威脅發(fā)展變化。在目前出現(xiàn)的各種安全威脅當(dāng)中，惡意程序（病毒與蠕蟲、Bot、Rootkit、特洛依木馬與后門程序、弱點(diǎn)攻擊程序以及行動(dòng)裝置惡意程序）類別占有很高的比例，灰色軟件（間諜/廣告軟件）的影響也逐漸擴(kuò)大，而與犯罪程序有關(guān)的安全威脅已經(jīng)成為威脅網(wǎng)絡(luò)安全的重要因素。3、黑客入侵漏洞給企業(yè)造成嚴(yán)重的安全威脅：企業(yè)內(nèi)網(wǎng)中許多應(yīng)用軟件可能存在漏洞；互聯(lián)網(wǎng)使應(yīng)用軟件的漏洞迅速傳播；蠕蟲利用應(yīng)用軟件漏洞大肆傳播，消耗網(wǎng)絡(luò)帶寬，破壞重要數(shù)據(jù)；黑客、惡意員工利用漏洞攻擊或入侵企業(yè)服務(wù)器，業(yè)務(wù)機(jī)密被篡改、破壞和偷竊。4、拒絕服務(wù)攻擊威脅DDOS攻擊威脅：以經(jīng)濟(jì)利益為目標(biāo)的全球黑色產(chǎn)業(yè)鏈的形成，網(wǎng)絡(luò)上存在大量僵尸網(wǎng)絡(luò)；不法分子的敲詐勒索，同行的惡意競(jìng)爭(zhēng)等都有可能導(dǎo)致企業(yè)遭受DDoS攻擊；遭受DDoS攻擊時(shí)，網(wǎng)絡(luò)帶寬被大量占用，網(wǎng)絡(luò)陷于癱瘓；受攻擊服務(wù)器資源被耗盡無(wú)法響應(yīng)正常用戶請(qǐng)求，嚴(yán)重時(shí)會(huì)造成系統(tǒng)死機(jī)，企業(yè)業(yè)務(wù)無(wú)法正常運(yùn)行。5、病毒及惡意軟件安全威脅病毒及惡意軟件安全威脅：瀏覽網(wǎng)頁(yè)、郵件傳輸是病毒、木馬、間諜軟件進(jìn)入內(nèi)網(wǎng)的主要途徑；病毒能夠破壞計(jì)算機(jī)系統(tǒng)，篡改、損壞業(yè)務(wù)數(shù)據(jù)；木馬使黑客不僅可以竊取計(jì)算機(jī)上的重要信息，還可以對(duì)內(nèi)網(wǎng)計(jì)算機(jī)破壞；間諜軟件搜集、使用，并散播企業(yè)員工的敏感信息，嚴(yán)重干擾企業(yè)的正常業(yè)務(wù)；桌面型反病毒軟件難于從全局上防止病毒泛濫。6、什么是入侵？入侵是指未經(jīng)授權(quán)而嘗試訪問(wèn)信息系統(tǒng)資源、篡改信息系統(tǒng)中的數(shù)據(jù)，使信息系統(tǒng)不可靠或不能使用的行為；入侵企圖破壞信息系統(tǒng)的完整性、機(jī)密性、可用性以及可控性。典型的入侵行為：篡改Web網(wǎng)頁(yè)；破解系統(tǒng)密碼；復(fù)制/查看敏感數(shù)據(jù)；使用網(wǎng)絡(luò)嗅探工具獲取用戶密碼；訪問(wèn)未經(jīng)允許的服務(wù)器；其他特殊硬件獲得原始網(wǎng)絡(luò)包；向主機(jī)植入特洛伊木馬程序。四、入侵防御系統(tǒng)簡(jiǎn)介1、安全設(shè)備在安全體系中的位置在信息安全建設(shè)中，入侵檢測(cè)系統(tǒng)扮演著監(jiān)視器的角色，通過(guò)監(jiān)控信息系統(tǒng)關(guān)鍵節(jié)點(diǎn)的流量，對(duì)其進(jìn)行深入分析，發(fā)掘正在發(fā)生的安全事件。一個(gè)形象的比喻就是：IDS就像安全監(jiān)控體系中的攝像頭，通過(guò)IDS，系統(tǒng)管理員能夠捕獲關(guān)鍵節(jié)點(diǎn)的流量并做智能的分析，從中發(fā)現(xiàn)異常、可疑的網(wǎng)絡(luò)行為，并向管理員報(bào)告。2、入侵防御系統(tǒng)入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）是一種智能化的入侵檢測(cè)和防御產(chǎn)品，它不但能檢測(cè)入侵的發(fā)生，而且能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。3、查看入侵及防御行為入侵日志信息：虛擬系統(tǒng)/命中的安全策略/源目地址/源目端口/源目安全域/用戶/協(xié)議/應(yīng)用/命中的入侵安全配置文件/簽名名稱/簽名序號(hào)/事件計(jì)數(shù)/入侵目標(biāo)/入侵嚴(yán)重性/操作系統(tǒng)/簽名分類/簽名動(dòng)作，其中重點(diǎn)關(guān)注信息如下：配置文件：命中的入侵安全配置文件。威脅名稱：入侵防御簽名用來(lái)描述網(wǎng)絡(luò)中存在的攻擊行為的特征，通過(guò)將數(shù)據(jù)流和入侵防御簽名進(jìn)行比較來(lái)檢測(cè)和防范攻擊。事件計(jì)數(shù)：日志歸并引入字段，是否歸并需根據(jù)歸并頻率及日志歸并條件來(lái)確定，不發(fā)生歸并則為1。入侵目標(biāo)：簽名所檢測(cè)的報(bào)文所攻擊對(duì)象。入侵嚴(yán)重性：簽名所檢測(cè)的報(bào)文所造成攻擊的嚴(yán)重性。操作系統(tǒng)：簽名所檢測(cè)的報(bào)文所攻擊的操作系統(tǒng)。簽名分類：簽名檢測(cè)到的報(bào)文攻擊特征所屬的威脅分類。簽名動(dòng)作：簽名動(dòng)作。五、 網(wǎng)絡(luò)防病毒簡(jiǎn)介1、計(jì)算機(jī)病毒基本概念計(jì)算機(jī)病毒：編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼被稱為計(jì)算機(jī)病毒（ComputerVirus）。惡意代碼：一種程序，它通過(guò)把代碼在不被察覺的情況下鑲嵌到另一段程序中，從而達(dá)到破壞被感染電腦數(shù)據(jù)、運(yùn)行具有入侵性或破壞性的程序、破壞被感染電腦數(shù)據(jù)的安全性和完整性的目的。2、病毒、蠕蟲和木馬病毒是一段寄生在正常程序中的惡意代碼，當(dāng)用戶啟用這段正常程序時(shí)，病毒也會(huì)被啟動(dòng)，從而對(duì)系統(tǒng)的文件系統(tǒng)造成破壞。蠕蟲是病毒的變種，是一個(gè)獨(dú)立的個(gè)體，不需要寄生，其能進(jìn)行自我拷貝，利用網(wǎng)絡(luò)上的系統(tǒng)漏洞或認(rèn)為意識(shí)漏洞進(jìn)行傳播，影響更為惡劣，主要影響整個(gè)網(wǎng)絡(luò)的性能和計(jì)算機(jī)的系統(tǒng)性能。木馬也是一種具有寄生性的惡意代碼，它極具隱蔽性，黑客往往通過(guò)木馬能夠控制一臺(tái)主機(jī)，使其成為“肉雞”，此外，木馬也可以用于監(jiān)控獲取受害人關(guān)鍵信息，如銀行密碼等。3、反病毒技術(shù)反病毒技術(shù)根據(jù)防護(hù)對(duì)象劃分單機(jī)反病毒：?jiǎn)螜C(jī)反病毒可以通過(guò)安裝殺毒軟件實(shí)現(xiàn)，也可以通過(guò)專業(yè)的防病毒工具實(shí)現(xiàn)。病毒檢測(cè)工具用于檢測(cè)病毒、木馬、蠕蟲等惡意代碼，有些檢測(cè)工具同時(shí)提供修復(fù)的功能。常見的反病毒軟件有賽門鐵克等，專業(yè)防病毒工具有ProcessExplorer（如圖所示）等。網(wǎng)絡(luò)反病毒：網(wǎng)絡(luò)防病毒技術(shù)則指在安全網(wǎng)關(guān)上進(jìn)行反病毒策略部署。反病毒技術(shù)應(yīng)用場(chǎng)景在以下場(chǎng)合中，通常利用反病毒特性來(lái)保證網(wǎng)絡(luò)安全：內(nèi)網(wǎng)用戶可以訪問(wèn)外網(wǎng)，且經(jīng)常需要從外網(wǎng)下載文件；內(nèi)網(wǎng)部署的服務(wù)器經(jīng)常接收外網(wǎng)用戶上傳的文件。如圖所示，NIP作為網(wǎng)關(guān)設(shè)備隔離內(nèi)、外網(wǎng)，內(nèi)網(wǎng)包括用戶PC和服務(wù)器。內(nèi)網(wǎng)用戶可以從外網(wǎng)下載文件，外網(wǎng)用戶可以上傳文件到內(nèi)網(wǎng)服務(wù)器。為了保證內(nèi)網(wǎng)用戶和服務(wù)器接收文件的安全，需要在NIP上配置反病毒功能。在NIP上配置反病毒功能后，正常文件可以順利進(jìn)入內(nèi)部網(wǎng)絡(luò)，包含病毒的文件則會(huì)被檢測(cè)出來(lái)，并被采取阻斷或告警等手段進(jìn)行干預(yù)。網(wǎng)關(guān)防病毒主要實(shí)現(xiàn)方式目前設(shè)備廠商（包括UTM、AVG）的AV掃描方式，分為兩種：流掃描方式和代理掃描方式。代理掃描方式將所有經(jīng)過(guò)網(wǎng)關(guān)的需要進(jìn)行病毒檢測(cè)的數(shù)據(jù)報(bào)文透明的轉(zhuǎn)交給網(wǎng)關(guān)自身的協(xié)議棧，通過(guò)網(wǎng)關(guān)自身的協(xié)議棧將文件全部緩存下來(lái)后，再送入病毒檢測(cè)引擎進(jìn)行病毒檢測(cè)?；诖淼姆床《揪W(wǎng)關(guān)可以進(jìn)行更多如解壓，脫殼等高級(jí)操作，檢測(cè)率高，但是，由于進(jìn)行了文件全緩存，其性能、系統(tǒng)開銷將會(huì)比較大。流掃描方式依賴于狀態(tài)檢測(cè)技術(shù)以及協(xié)議解析技術(shù)，簡(jiǎn)單的提取文件的特征與本地簽名庫(kù)進(jìn)行匹配?；诹鲯呙璧姆床《揪W(wǎng)關(guān)性能高，開銷小，但該方式檢測(cè)率有限，無(wú)法應(yīng)對(duì)加殼、壓縮等方式處理過(guò)的文件。4、防火墻反病毒工作原理網(wǎng)絡(luò)流量進(jìn)入智能感知引擎后，首先智能感知引擎對(duì)流量進(jìn)行深層分析，識(shí)別出流量對(duì)應(yīng)的協(xié)議類型和文件傳輸?shù)姆较?。判斷文件傳輸所使用的協(xié)議和文件傳輸?shù)姆较蚴欠裰С植《緳z測(cè)判斷是否命中白名單病毒檢測(cè)當(dāng)FW檢測(cè)出傳輸文件為病毒文件時(shí)如何處理①判斷該病毒文件是否命中病毒例外。如果是病毒例外，則允許該文件通過(guò)。②如果不是病毒例外，則判斷該病毒文件是否命中應(yīng)用例外。如果是應(yīng)用例外，則按照應(yīng)用例外的響應(yīng)動(dòng)作（放行、告警和阻斷）進(jìn)行處理。由于應(yīng)用和協(xié)議之間存在著這樣的關(guān)系，在配置響應(yīng)動(dòng)作時(shí)也有如下規(guī)定：如果只配置協(xié)議的響應(yīng)動(dòng)作，則協(xié)議