华为技术培训资料-Eudemon 系列防火墙用服培训1.ppt

Eudemon系列防火墙用服培训,雷奕康,引入,随着Internet的日益普及，开放式的网络带来了许多不安全的隐患。在开放网络式的网络上，我们的周围存在着许多不能信任的计算机（包括在一个LAN之间），这种这些计算机对我们私有的一些敏感信息造成了很大的威胁。在大厦的构造中，防火墙被设计用来防止火灾从大厦的一部分传播到大厦的另一部分。我们所涉及的“防火墙”具有类似的目的：“防止Internet的危险传播到你的内部网络”。,L2TP的应用和配置典型VPDN方式,VPN用户通过PSTN或ISDN接入NAS（LAC），LAC向LNS发起L2TP隧道连接，在LAC与LNS之间建立L2TP隧道,注：L2TP的组网分路由器的配置和防火墙的配置，因为两者配置是不同的，原路由器的配置请参考每页注释，本文着重介绍防火墙配置,L2TP的应用和配置典型VPDN方式LNS端配置,#使能L2tp并配置L2TP相关属性l2tpenablel2tpdomainsuffix-separator#配置各接口相关属性interfaceEthernet2/0/6ipaddress7.7.7.1255.0.0.0interfaceEthernet2/0/7ipaddress192.168.42.139255.255.255.0#配置虚模板信息，并指明相关分配的地址池interfaceVirtual-Template0pppauthentication-modepapipaddress8.8.8.1255.255.255.0remoteaddresspool10#配置域相关的信息，注意最好把L2TP接入的接口和虚模板放在同一个域firewallzonetrustaddinterfaceEthernet2/0/6addinterfaceVirtual-Template0firewallzoneDMZaddinterfaceEthernet2/0/7,L2TP的应用和配置典型VPDN方式LNS端配置（续）,#配置域间规则，为简便打开默认域间规则firewallpacket-filterdefaultpermitall#配置L2tpgroup相关信息l2tp-group1mandatory-chapundotunnelauthenticationmandatory-lcpallowl2tpvirtual-template0tunnelnamelns#配置用户认证相关信息，并配置用户地址池aaalocal-userv1v1passwordsimplev1domainv1bindingvirtual-template0ippool108.8.8.108.8.8.100,L2TP的应用和配置PC机直接接入LNS,有时VPN用户可以借助于L2TP的拔号软件直接从PC机上接入LNS端，在PC机与LNS端之间建立L2TP隧道,L2TP的应用和配置PC机直接的LNS相关配置,修改防火墙配置：E200-UPinterfaceVirtual-Template1E200-UP-Virtual-Template1pppauthentication-modechap在PC机上设置：拨号连接属性-安全措施-高级设置中选择“质询握手身份验证协议CHAP”。,L2TP的应用和配置L2TP-Over-IPsec,在此案例中，在LAC和LNC之间建立好IPsec隧道后，在其中跑L2TP报文，其中的L2TP隧道数据通过IPsec加密传输。构成安全的L2TP隧道。,L2TP的应用和配置L2TP-Over-IPsecLAC配置,#关键配置如下：#配置IPSec相关的流分类规则Eudemon-LACaclnum3000Eudemon-LAC-acl-adv-3000rulepermitipEudemon-LAC-acl-adv-3000rulepermiticmp#配置IPSec相关属性，需要两边一致，具体请参考IPSec的配置说明Eudemon-LACipsecproposaltran1Eudemon-LACipsecpolicymap1100manEudemon-LAC-ipsec-policy-manual-map1-100securityacl3000Eudemon-LAC-ipsec-policy-manual-map1-100proposaltran1Eudemon-LAC-ipsec-policy-manual-map1-100saspiinesp12345Eudemon-LAC-ipsec-policy-manual-map1-100saspioutesp54321Eudemon-LAC-ipsec-policy-manual-map1-100sastring-keyinesphuaweiEudemon-LAC-ipsec-policy-manual-map1-100sastring-keyoutespchina#配置IPSec的远端地址和本端地址Eudemon-LAC-ipsec-policy-manual-map1-100tunnelremote192.168.1.1Eudemon-LAC-ipsec-policy-manual-map1-100tunnellocal192.168.1.2#在需要发起L2TP连接的接口上使能IPSec策略Eudemon-LAC-Ethernet0/0/0ipsecpolicymap1,#配置IPSec所需要的流分类规则Eudemon-LNSaclnum3000Eudemon-LNS-acl-adv-3000rulepermitipEudemon-LNS-acl-adv-3000rulepermiticmp#配置IPSec相关属性Eudemon-LNSipsecproposaltran1Eudemon-LNSipsecpolicymap1100manEudemon-LNS-ipsec-policy-manual-map1-100securityacl3000Eudemon-LNS-ipsec-policy-manual-map1-100proposaltran1Eudemon-LNS-ipsec-policy-manual-map1-100saspiinesp54321Eudemon-LNS-ipsec-policy-manual-map1-100saspioutesp12345Eudemon-LNS-ipsec-policy-manual-map1-100sastring-keyinespchinaEudemon-LNS-ipsec-policy-manual-map1-100sastring-keyoutesphuawei#配置IPSec的远端地址和本端地址Eudemon-LNS-ipsec-policy-manual-map1-100tunnelremote192.168.1.2Eudemon-LNS-ipsec-policy-manual-map1-100tunnellocal192.168.1.1#在接入L2tp的接口上使能IPSec策略Eudemon-LNS-Ethernet0/0/0ipsecpolicymap1,L2TP的应用和配置L2TP-Over-IPsecLNS配置,IPSec的典型应用和配置,如图所示，PC1作EudemonA端的主机，server1作为EudemonB端的服务器；需要在两台防火墙之间启动IPSec，对防火墙之间的数据进行加密；E0/0/1E0/0/0E0/0/0E0/0/1PC1-Eudemon200A-Eudemon200B-server1TRUSTUNTRUSTTRUSTUNTRUSTPC1的IP地址：188.1.1.2，网关是188.1.1.1SERVER1的IP地址：10.110.88.210，网关是10.110.88.220Eudemon200A的Ethernet0/0/0口：192.168.1.2Ethernet0/0/1口：172.16.1.1Eudemon200B的Ethernet0/0/0口：192.168.1.3Ethernet0/0/1口：10.110.88.220,IPSec的典型配置步骤,配置接口属性，并将接口加入域；配置接口域到local域的域间规则；配置访问控制列表：注：在上面的例子中配置中若安全提议的为为tunnel模式，则定义由子网172.16.x.x去子网10.110.88.x的数据流；若安全提议的为transport模式，则定义由子网192.168.1.x去子网192.168.1.x的数据流；创建安全提议，定义封装模式，加密策略；创建安全策略，通过ACL来分类需要加密的流，定义本端和远端地址，定义协商key模式；配置静态路由；在接口应用IPSec安全策略，注意E200上需要关闭接口快转,IPSec的典型配置手工配置安全联盟协商,EudemonAipsecproposaltran1EudemonA-ipsec-proposal-tran1transformahEudemonA-ipsec-proposal-tran1ahauthentication-algorithmmd5EudemonA-ipsec-proposal-tran1encapsulation-modetunnelEudemonAipsecpolicymap1100manualEudemonA-ipsec-policy-manual-map1-100securityacl3456EudemonA-ipsec-policy-manual-map1-100proposaltran1EudemonA-ipsec-policy-manual-map1-100tunnellocal192.168.1.2EudemonA-ipsec-policy-manual-map1-100tunnelremote192.168.1.3EudemonA-ipsec-policy-manual-map1-100saspiinboundesp54321EudemonA-ipsec-policy-manual-map1-100sastring-keyinboundespgfedcbaEudemonA-ipsec-policy-manual-map1-100saspioutboundesp12345EudemonA-ipsec-policy-manual-map1-100sastring-keyoutboundespabcdefgEudemonA-ipsec-policy-manual-map1-100saspiinboundah65432EudemonA-ipsec-policy-manual-map1-100saspioutboundah23456EudemonA-ipsec-policy-manual-map1-100sastring-keyinboundahhgfdsaEudemonA-ipsec-policy-manual-map1-100sastring-keyoutboundahasdfgh,IPSec的典型配置IKE协商安全联盟,EudemonAipsecproposaltran1EudemonA-ipsec-proposal-tran1transformahEudemonA-ipsec-proposal-tran1ahauthentication-algorithmmd5EudemonA-ipsec-proposal-tran1encapsulation-modetunnelEudemonAipsecpolicymap1100manualEudemonA-ipsec-policy-manual-map1-100securityacl3456EudemonA-ipsec-policy-manual-map1-100proposaltran1EudemonA-ipsec-policy-manual-map1-100tunnellocal192.168.1.2EudemonA-ipsec-policy-manual-map1-100tunnelremote192.168.1.3EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100EudemonA-ipsec-policy-manual-map1-100,虚拟防火墙的配置初步,一台Eudemon防火墙,根防火墙（RootFirewall）,虚拟防火墙（VirtualFirewall）,DMZ,VPN1,VZONE,Eudemon防火墙支持虚拟防火墙特性，可以支持100个虚系统。每个虚系统可以支持TRUST、UNTRUST、DMZ、VZONE四个安全区域，接口灵活划分和分配。虚系统资源独立分配，安全业务独立提供，支持VPN多实例。可以通过一台防火墙为多个VPN用户提供安全服务。,虚拟防火墙的配置步骤,配置任务创建虚拟防火墙分配和创建私有资源，包括接口、ACL、地址池和NATS