網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程 課件 第五章 網(wǎng)絡(luò)設(shè)備全配置5.3

主講人：萬鵬第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點到點的VPN、防火墻的主要配置方法?！局R目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.1項目背景

某公司在辦公地點的中心機房部署有一臺USG防火墻，為更好實現(xiàn)管理,將防火墻分為3個區(qū)域，其中內(nèi)網(wǎng)區(qū)域接公司局域網(wǎng),DMZ區(qū)接公司對外Web服務(wù)器和ACS認(rèn)證服務(wù)器，外網(wǎng)區(qū)域連接Internet,公司內(nèi)網(wǎng)用戶上網(wǎng)通過防火墻地址轉(zhuǎn)換功能來實現(xiàn)，局域網(wǎng)用戶使用DHCP自動獲取IP,并通過公司ACS服務(wù)器的認(rèn)證后才能訪問Internet。公司有一臺Web服務(wù)器需要對內(nèi)外網(wǎng)提供WWW服務(wù)。為實現(xiàn)員工出差也能夠訪問公司內(nèi)部資源，要求提供遠(yuǎn)程VPN功能。

1.需求分析USG采用三區(qū)域路由模式結(jié)構(gòu)，DMZ區(qū)域采用靜態(tài)IPNAT的方式對Web服務(wù)器提供服務(wù)，inside(內(nèi)網(wǎng))區(qū)域采用DHCP方式獲取IP,USG充當(dāng)DHCP服務(wù)器，Client需要采用PAT方式訪問Internet,并需要通過AAA認(rèn)證。Client訪問內(nèi)部服務(wù)器采用直接路由的方式，Web服務(wù)器對外發(fā)布服務(wù)

需要映射到防火墻外網(wǎng)接口,并拒絕外部到outside接口的任何ICMP通信，內(nèi)部inside到DMZ和Internet可以采用ICMP測試連通性，內(nèi)部inside到DMZ采用路由方式直接進(jìn)行訪問，不做NAT/PAT,并在防火墻上啟用SSLVPN提供遠(yuǎn)程用戶連接服務(wù)。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。為了使私網(wǎng)中/24網(wǎng)段的用戶可以正常訪問Internet，需要在NGFW上配置源NAT策略。除了公網(wǎng)接口的IP地址外，公司還向ISP申請了2個IP地址（0～1）作為私網(wǎng)地址轉(zhuǎn)換后的公網(wǎng)地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是ISP提供的接入網(wǎng)關(guān)。設(shè)備類型設(shè)備型號設(shè)備數(shù)量備注防火墻USG55001臺含電源線、配置線二層交換機S37001臺含電源線、配置線計算機雙核、4GB、80GB以上4臺已安裝WindowsXPSP3雙絞線超5類6條1條交叉線，5條直通線軟件名稱數(shù)量備注WindowsXPProSP2（中文版）1系統(tǒng)平臺VMwareWorkstation7.1.41虛擬機MicrosoftOffice2007（中文版）1文檔編輯WindowsServer2003R2（中文版）1服務(wù)器平臺jre-6u2-Windows-i586或更髙版本1Java運行環(huán)境USG802-k8.bin1USG系統(tǒng)文件asdm-524.bin1USG設(shè)置管理工具sslclient-win-73.pkg1VPN客戶端軟件asdm50-install.msi1ASDM管理軟件軟件環(huán)境列表硬件環(huán)境列表2.環(huán)境準(zhǔn)備5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.技能準(zhǔn)備（1）華為防火墻產(chǎn)品（如圖所示）5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）USG防火墻概述：USG作為PIX的升級產(chǎn)品是一款集防火墻、入侵檢測(IDS)和VPN集中器于一體的安全產(chǎn)品?！胺阑饓Α币辉~起源于建筑領(lǐng)域，用來隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。引入到通信領(lǐng)域，防火墻這一具體設(shè)備通常用于兩個網(wǎng)絡(luò)之間有針對性的、邏輯意義上的隔離。當(dāng)然，這種隔離是高明的，既能阻斷網(wǎng)絡(luò)中的各種攻擊又能保證正常通信報文的通過。用通信語言來定義，防火墻主要用于保護(hù)一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。因其隔離、防守的屬性，靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置，具體如企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界等等。

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）安全區(qū)域、受信任程度與安全級別（如圖所示）

不同的網(wǎng)絡(luò)受信任的程度不同，在防火墻上用安全區(qū)域來表示網(wǎng)絡(luò)后，怎么來判斷一個安全區(qū)域的受信任程度呢?在華為防火墻上，每個安全區(qū)域都有一個唯一的安全級別，用1～100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。對于默認(rèn)的安全區(qū)域，它們的安全級別是固定的：Local區(qū)域的安全級別是100，Trust區(qū)域的安全級別是85，DMZ區(qū)域的安全級別是50，Untrust區(qū)域的安全級別是5。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（4）安全域間、安全策略與報文流動的方向：

“安全域間”是兩個安全區(qū)域之間的唯一“道路”；

“安全策略”即在“道路”上設(shè)立的“安全關(guān)卡”。

任意兩個安全區(qū)域都構(gòu)成一個安全域間（Interzone），并具有單獨的安全域間視圖，大部分的安全策略都需要在安全域間視圖下配置。安全域間這個概念用來描述流量的傳輸通道。它是兩個“區(qū)域”之間的唯一“道路”，如果希望對經(jīng)過這條通道的流量進(jìn)行控制，就必須在通道上設(shè)立“關(guān)卡”，也就是安全策略。報文在兩個安全區(qū)域之間流動時，我們規(guī)定：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向（Inbound），報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向（Outbound）。報文在兩個方向上流動時，將會觸發(fā)不同的安全檢查。圖中標(biāo)明了Local區(qū)域、Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域間的方向。通常情況下，通信雙方一定會交互報文，即安全域間的兩個方向上都有報文的傳輸。而判斷一條流量的方向應(yīng)以發(fā)起該條流量的第一個報文為準(zhǔn)。通過設(shè)置安全區(qū)域，防火墻上的各個安全區(qū)域之間有了等級明確的域間關(guān)系。不同的安全區(qū)域代表不同的網(wǎng)絡(luò)，防火墻成為連接各個網(wǎng)絡(luò)的節(jié)點。以此為基礎(chǔ)，防火墻就可以對各個網(wǎng)絡(luò)之間流動的報文實施管控。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.2項目設(shè)計1.區(qū)域介紹

防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”。

為了在防火墻上區(qū)分不同的網(wǎng)絡(luò)，我們在防火墻上引入了一個重要的概念：安全區(qū)域（SecurityZone），簡稱為區(qū)域（Zone）。安全區(qū)域是一個或多個接口的集合，是防火墻區(qū)別于路由器的主要特性。防火墻通過安全區(qū)域來劃分網(wǎng)絡(luò)、標(biāo)識報文流動的“路線”，一般來說，當(dāng)報文在不同的安全區(qū)域之間流動時，才會受到控制。我們都知道，防火墻通過接口來連接網(wǎng)絡(luò)，將接口劃分到安全區(qū)域后，通過接口就把安全區(qū)域和網(wǎng)絡(luò)關(guān)聯(lián)起來。通常說某個安全區(qū)域，就可以表示該安全區(qū)域中接口所連接的網(wǎng)絡(luò)。接口、網(wǎng)絡(luò)和安全區(qū)域的關(guān)系如圖所示。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個安全區(qū)域，分別是Trust、DMZ和Untrust：Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來定義Internet等不安全的網(wǎng)絡(luò)。在網(wǎng)絡(luò)數(shù)量較少、環(huán)境簡單的場合中，使用默認(rèn)提供的安全區(qū)域就可以滿足劃分網(wǎng)絡(luò)的需求。在網(wǎng)絡(luò)數(shù)量較多的場合，還可以根據(jù)需要創(chuàng)建新的安全區(qū)域。如圖5-18所示，假設(shè)接口1和接口2連接的是內(nèi)部用戶，那我們就把這兩個接口劃分到Trust區(qū)域中；接口3連接內(nèi)部服務(wù)器，將它劃分到DMZ區(qū)域；接口4連接Internet，將它劃分到Untrust區(qū)域。當(dāng)內(nèi)部網(wǎng)絡(luò)中的用戶訪問Internet時，報文在防火墻上的路線是從Trust區(qū)域到Untrust區(qū)域；當(dāng)Internet上的用戶訪問內(nèi)部服務(wù)器時，報文在防火墻上的路線是從Untrust區(qū)域到DMZ區(qū)域。DMZ（DemilitarizedZone）起源于軍方，是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種部分管制的區(qū)域。防火墻引用了這一術(shù)語，指代一個與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分離的安全區(qū)域。除了在不同網(wǎng)絡(luò)之間流動的報文之外，還存在從某個網(wǎng)絡(luò)到達(dá)防火墻本身的報文（例如我們登錄到防火墻上進(jìn)行配置），以及從防火墻本身發(fā)出的報文，如何在防火墻上標(biāo)識這類報文的路線呢?

5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.私網(wǎng)用戶訪問Internet場景

NAT（NetworkAddressTranslation）是一種地址轉(zhuǎn)換技術(shù)，可以將IPv4報文頭中的地址轉(zhuǎn)換為另一個地址。通常情況下，利用NAT技術(shù)將IPv4報文頭中的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，可以實現(xiàn)位于私網(wǎng)的多個用戶使用少量的公網(wǎng)地址同時訪問Internet。因此，NAT技術(shù)常用來解決隨著Internet規(guī)模的日益擴(kuò)大而帶來的IPv4公網(wǎng)地址短缺的問題。在學(xué)校、公司中經(jīng)常會有多個用戶共享少量公網(wǎng)地址訪問Internet的需求，通常情況下可以使用源NAT技術(shù)來實現(xiàn)。源NAT技術(shù)只對報文的源地址進(jìn)行轉(zhuǎn)換。通過源NAT策略對IPv4報文頭中的源地址進(jìn)行轉(zhuǎn)換，可以實現(xiàn)私網(wǎng)用戶通過公網(wǎng)IP地址訪問Internet的目的。如圖所示，F(xiàn)W部署在網(wǎng)絡(luò)邊界處，通過部署源NAT策略，可以將私有網(wǎng)絡(luò)用戶訪問Internet的報文的源地址轉(zhuǎn)換為公網(wǎng)地址，從而實現(xiàn)私網(wǎng)用戶接入Internet的目的。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（1）NATNo-PAT

NATNo-PAT也可以稱為“一對一地址轉(zhuǎn)換”，只對報文的地址進(jìn)行轉(zhuǎn)換，不轉(zhuǎn)換端口。

NATNo-PAT方式通過配置NAT地址池來實現(xiàn)，NAT地址池中可以包含多個公網(wǎng)地址。轉(zhuǎn)換時只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的轉(zhuǎn)換。配置NATNo-PAT后，設(shè)備會為有實際流量的數(shù)據(jù)流建立Server-map表，用于存放私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系。設(shè)備根據(jù)這種映射關(guān)系對報文的地址進(jìn)行轉(zhuǎn)換，然后進(jìn)行轉(zhuǎn)發(fā)。如圖5-20所示，當(dāng)Host訪問WebServer時，F(xiàn)W的處理過程如下：FW收到Host發(fā)送的報文后，根據(jù)目的IP地址判斷報文需要在Trust區(qū)域和Untrust區(qū)域之間流動，通過安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對報文進(jìn)行地址轉(zhuǎn)換。FW從NAT地址池中選擇一個空閑的公網(wǎng)IP地址，替換報文的源IP地址，并建立Server-map表和會話表，然后將報文發(fā)送至Internet。FW收到WebServer響應(yīng)Host的報文后，通過查找會話表匹配到上一步驟中建立的表項，將報文的目的地址替換為Host的IP地址，然后將報文發(fā)送至Intranet。此方式下，公網(wǎng)地址和私網(wǎng)地址屬于一對一轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機訪問外網(wǎng)時不會進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時才會進(jìn)行NAT轉(zhuǎn)換。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.拓?fù)?，如圖所示5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程業(yè)務(wù)需求Trust區(qū)：PC1通過DHCP自動獲取/24段地址Clint1通過靜態(tài)IP配置為/24段地址將Client1和PC1加入到trust區(qū)域Dmz區(qū)：將Server3通過靜態(tài)IP配置為/24段地址將Server3加入到Dmz區(qū)域Utrust區(qū)：LSW1作為傻瓜交換機使用Server2作為Internet的web服務(wù)ip地址：/24Client2作為Internet訪問內(nèi)網(wǎng)web服務(wù)的客戶端5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.3項目實施1.配置過程PC1配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Client1計算機配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Server3服務(wù)器配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Server2服務(wù)器配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Client2計算機配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程FW2 配置：#vlanbatch1100#interfaceVlanif100aliasVlanif100ipaddressdhcpselectinterfacedhcpservergateway-listdhcpserverdns-list#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddressdhcpselectinterfacedhcpservergateway-list#interfaceGigabitEthernet0/0/1ipaddress#interfaceGigabitEthernet0/0/2ipaddress#interfaceGigabitEthernet0/0/3portswitchportlink-typeaccessportaccessvlan100#interfaceGigabitEthernet0/0/4ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/2addinterfaceGigabitEthernet0/0/3addinterfaceVlanif100#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/1#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4#iproute-static#natserver1zoneuntrustprotocoltcpglobalwwwinsidew