防火墙技术与应用（微课版） 课件 模块1-3 eNSP模拟器及VRP基础、模块2 防火墙基础设置、安全区域与安全策略

模块1eNSP模拟器及VRP基础防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述本模块主要对华为eNSP（EnterpriseNetworkSimulationPlatform）模拟器的安装和使用进行简单介绍，并带领读者学习华为防火墙使用的通用路由平台（VersatileRoutingPlatform，VRP）的基本使用方法。eNSP是一款由华为公司提供的免费的、可扩展的、图形化的网络设备仿真平台，可以用来对企业网络的路由器、交换机、防火墙等设备进行软件仿真。eNSP可以极大地方便网络管理人员学习、测试网络设备。VRP是华为公司数据通信产品的通用操作系统平台，运行VRP的华为产品包括路由器、局域网交换机、电信级综合业务接入平台、智能业务选择网关以及专用硬件防火墙等。贰教学目标教学目标知识目标技能目标素养目标了解eNSP与真实设备对接原理；掌握设备云配置方法及防火墙WEB管理界面登录流程。培养网络设备远程管理的规范意识；提升问题排查与跨工具协作能力。能独立配置设备云实现本地计算机与虚拟防火墙通信；能通过浏览器登录防火墙WEB界面。叁知识准备知识准备1.2.1eNSP基础

1.2.2VRP基础eNSP基础2高仿真度4.支持分布式网络部署1.图形化操作3.可与真实设备对接1.eNSP的特点eNSP基础2.eNSP的安装与运行条件安装环境要求硬件：4核CPU，主频3.2GHz，内存8GB，硬盘大于100GB操作系统：WindowseNSP基础

eNSP模拟器软件的版本：依赖软件：必备组件包：防火墙USG6000V组件包WinPcap、Wireshark和VirtualBoxV100R003C00版本eNSP软件eNSP基础界面介绍最近打开栏学习栏快捷按钮样例栏eNSP基础（1）天线数安装eNSP新建拓扑设备选型设备连线显示接口列表视图启动设备防火墙配置组件包配置IP地址测试连通性

搭建案例拓扑eNSP基础注意事项如果eNSP安装失败，或要升级更高版本，则需要把原来软件卸载后重装。重装前需要删除以下两个的目录：C:\ProgramFiles\huaweiC:\Users\当前用户\AppData\eNSPVRP基础VRP（VersatileRoutingPlatform）平台是华为公司数据通信产品的通用操作系统平台。包括路由、交换、安全、无线等等。华为防火墙的CLI配置界面即为VRP平台界面。区别于WEB图形配置方式，CLI对系统资源要求低，操作更方便、快捷。VRP概述VRP基础01启动界面03CLI配置技巧02CLI视图VRP基础（1）天线数一、防火墙的启动拖入一台防火墙USG6000V，右键单击防火墙，弹出菜单中：启动：表示启动防火墙，首次使用时需要导入组件包。CLI：表示进入防火墙的CLI命令行界面。VRP基础（1）天线数防火墙第一次启动时，需要输入默认的用户名(admin)及密码(Admin@123)。再按要求更改密码，新密码要包含字母、数字、特殊字符。如可更改为Huawei@123。一、防火墙的启动VRP基础二、CLI视图系统视图[USG6000V1]用户视图<USG6000V1>接口视图安全策略视图路由协议相关视图......NAT策略视图system-view[USG6000V1]nat-policy......[USG6000V1]security-policy[USG6000V1]interfaceG1/0/1[USG6000V1]ospf

每个视图都有各自的配置功能！命令只能在特定的视图下执行！quitquitreturn

非用户视图<USG6000V1>ctrl+zVRP基础完全帮助部分帮助<USG6000V1>?<USG6000V1>display?[USG6000V1]interfaceGigabitEthernet？<USG6000V1>d?<USG6000V1>displayh?在线帮助功能三、CLI配置技巧·帮助功能VRP基础1.完全帮助视图下直接键入“？”，列出该视图下的所有命令及其简单描述。三、CLI配置技巧·帮助功能VRP基础三、CLI配置技巧·帮助功能1.完全帮助命令关键字后，空格再输入“？”，如果后续为命令，则列出所有关键字；如果后续为参数，则列出参数及描述。VRP基础三、CLI配置技巧·帮助功能示例：2.部分帮助字符串后直接输入“？”，列出与以该字符串开头的所有命令关键字。VRP基础三、CLI配置技巧·命令简写3.命令简写当输入的字符串能唯一匹配一个命令关键字时，可以使用该字符串来代替整个关键字。VRP基础注意事项USG6000V防火墙默认的用户名为admin，默认的密码为Admin@123，且在第一次使用时必须更改此密码。防火墙密码是输入时是不可见的，正确输入即可。肆项目实施项目实施任务搭建eNSP模拟器环境本任务将搭建支持USG6000V防火墙的eNSP模拟器环境，并通过一个具体的案例，使读者熟悉eNSP的使用方法，掌握创建拓扑、保存拓扑、启动设备、配置设备等基本操作。安装eNSP模拟器前，需要关闭Windows操作系统自带的防火墙软件WindowsDefender。模块2防火墙基础设置防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述防火墙原本是指房屋之间修建的一道墙，作用是隔离火灾，阻止火势从一个区域蔓延到另一个区域。防火墙不让火通过，而让人通过。引入通信领域，防火墙这个具体的网络设备通常用来隔离两个网络，禁止各种网络攻击，而允许正常的数据包通过，即用于保护一个网络免受来自另一个网络的攻击和入侵行为。因防火墙具有隔离、防守的特性，故其通常位于网络或子网边界。防火墙技术是网络安全技术的一个具体体现，与之前介绍的网络设备相比，路由器与交换机的本质是“转发”，而防火墙的本质是“控制”。贰教学目标教学目标知识目标技能目标素养目标1．了解防火墙及其作用。2．熟悉防火墙的Web管理界面。3．了解防火墙的远程接入方式。1．培养安全配置的意识，远程接入时主动禁用Telnet协议。2．提高访问控制敏感度，创建管理员账户时严格遵循最小权限原则。3．强化配置变更的严谨性，养成在变更防火墙规则前备份配置的习惯。4．树立协议安全意识，深刻认识加密传输对网络安全的重要性。1．能够进行防火墙的基础设置。2．能够通过Web界面管理防火墙。3．能够通过Telnet连接到防火墙。4．能够通过SSH连接到防火墙。叁知识准备知识准备2.2.1防火墙的基本知识2.2.2防火墙的分类2.2.3

防火墙的组网方式2.2.4防火墙的Web界面防火墙基本知识1.防火墙的发展历程1989年出现了包过滤防火墙，其能实现简单的访问控制，为第一代防火墙。第二代防火墙为代理防火墙，其安全性较高，但处理速度慢。1994年，Check

Point公司发布了第一台基于状态检测的防火墙。状态检测防火墙处理速度快，安全性高，为第三代防火墙。2004年出现了统一威胁管理（UnifiedThreatManagement，UTM）的概念，将传统防火墙、入侵检测、防病毒、统一资源定位符（UniformResourceLocation，URL）过滤、应用程序过滤、邮件过滤等功能整合，实现全面的安全防护，这就是第四代防火墙。2009年前后开始出现的下一代防火墙，可以基于用户、应用、内容等进行管控，这就是第五代防火墙。下一代防火墙将应用识别、入侵防御系统（IntrusionPreventionSystem，IPS）、反病毒等多种安全业务与基础防火墙业务深度集成、并行处理，对数据流量进行深度安全检测。防火墙基本知识2.防火墙的特征（1）网络信息进出的关口。作为逻辑区域过滤器，现代的防火墙体系不应该只是一个“入口的屏障”，而应该是几个网络的接入控制点，所有进出被防火墙保护的网络的数据流都应该先经过防火墙。防火墙网络如图2-1所示。在各个网络之间，必须按照防火墙规定的“策略”进行访问，合法的数据流量通过，不合法的数据流量丢弃。防火墙基本知识2.防火墙的特征（2）隐藏内网的网络结构。位于网络入口的防火墙禁止外网用户探测内部网络，保护内网安全。（3）提供自身安全保障。防火墙可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止非法访问。（4）主动防御攻击。下一代防火墙的协同机制可以让主动安全防御体系中的各个组件进行信息交互，共同发现攻击、定位问题，并快速做出响应。防火墙基本知识2.防火墙的特征（2）隐藏内网的网络结构。位于网络入口的防火墙禁止外网用户探测内部网络，保护内网安全。（3）提供自身安全保障。防火墙可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复杂的安全策略，阻止非法访问。（4）主动防御攻击。下一代防火墙的协同机制可以让主动安全防御体系中的各个组件进行信息交互，共同发现攻击、定位问题，并快速做出响应。防火墙基本知识3.防火墙的管理方式防火墙主要包括CLI管理和Web界面管理两种管理方式。（1）CLI管理。华为防火墙设备提供了CLI，用于配置和管理设备。通过CLI，用户可以对防火墙进行详细的配置，包括策略设置、IP地址管理、安全区域配置等。使用CLI时，用户需要具备一定的命令行操作经验。CLI具有很高的灵活性和可配置性。CLI可以使用控制台接口登录，也可以远程接入，如采用Telnet和安全外壳（SecureShell，SSH）协议，本模块的项目实施部分将详细介绍管理方法。（2）Web界面管理。华为防火墙还提供了Web界面，用于管理设备。通过Web界面，用户可以直观地看到设备的运行状态、流量统计等信息，并可以通过简单的操作配置和管理设备。Web界面适合不具备命令行操作经验的用户使用，但缺少一些高级配置选项。防火墙基本知识3.防火墙的管理方式防火墙主要包括CLI管理和Web界面管理两种管理方式。（1）CLI管理。华为防火墙设备提供了CLI，用于配置和管理设备。通过CLI，用户可以对防火墙进行详细的配置，包括策略设置、IP地址管理、安全区域配置等。使用CLI时，用户需要具备一定的命令行操作经验。CLI具有很高的灵活性和可配置性。CLI可以使用控制台接口登录，也可以远程接入，如采用Telnet和安全外壳（SecureShell，SSH）协议，本模块的项目实施部分将详细介绍管理方法。（2）Web界面管理。华为防火墙还提供了Web界面，用于管理设备。通过Web界面，用户可以直观地看到设备的运行状态、流量统计等信息，并可以通过简单的操作配置和管理设备。Web界面适合不具备命令行操作经验的用户使用，但缺少一些高级配置选项。防火墙的分类防火墙可以按照形态、保护对象、访问控制方式等维度进行分类防火墙的分类（1）天线数1.按照形态划分软件防火墙：软件防火墙单独使用软件系统完成防火墙功能，将软件部署在系统主机上，其安全性较硬件防火墙差，同时占用系统资源，会在一定程度上影响系统性能，一般用于个人计算机系统；硬件防火墙（如右图）：采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种高速接口，用来保护私有网络的安全。用来集中解决网络安全问题，可以适合各种场合，同时能够提供高效率的“过滤”。防火墙的分类（1）天线数2.按照保护对象划分防火墙按照保护对象可分为单机防火墙和网络防火墙。其中，单机防火墙是保护单台设备的防火墙；网络防火墙则能够分布式保护整个网络，需要专业管理员维护，安全隐患小，但策略设置复杂。防火墙的分类3．按照访问控制方式划分（1）包过滤防火墙。包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL）实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。包过滤防火墙的优点是设计简单，易于实现，价格低。其缺点在于，随着ACL复杂度和长度的增加，其过滤性能呈指数下降趋势；静态的ACL规则难以适应动态的安全要求。包过滤防火墙防火墙的分类3．按照访问控制方式划分（2）代理防火墙。代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的响应回送给外部用户。代理防火墙防火墙的分类代理防火墙优点能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。缺点处理速度慢，易于遭受拒绝服务攻击；且需要针对每一种协议开发应用层代理，开发周期长，升级困难。防火墙的分类3．按照访问控制方式划分（3）状态检测防火墙。状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成独立单元，还要考虑前后报文的历史关联性。状态检测防火墙TCP层应用层IP层安全策略检查记录会话信息检查会话状态确定允许或丢弃防火墙的分类3．按照访问控制方式划分状态检测防火墙的优点主要如下。①后续数据包处理性能高：状态检测防火墙只需根据会话表对新收到的报文进行连接记录检查，避免重复检查具有相同连接状态的数据包。②安全性较高：连接状态清单是动态管理的，会话完成后防火墙上所创建的临时返回报文入口随即关闭，保障了内部网络的实时安全。③采用实时连接状态监控技术。通过在会话表中识别诸如应答响应等连接状态因素，增强了系统的安全性。防火墙的组网方式1．透明模式防火墙只进行报文转发，不能进行路由寻址，与防火墙相连的两个业务网络必须在同一个网段中。接口无IP地址。这种组网方式可以避免改变拓扑结构造成的麻烦，只需在网络中像放置网桥一样串入防火墙，无须修改任何已有配置。IP报文同样会经过相关的过滤检查，内部网络用户依旧受到防火墙的保护。透明模式TrustUntrust0/240/24防火墙的组网方式2．路由模式防火墙位于内部网络和外部网络之间，与内部网络、外部网络相连的上下行业务接口，需要分别配置成不同网段的IP地址。防火墙负责在内部网络、外部网络中进行路由寻址，相当于路由器。使用此组网方式，防火墙可支持更多安全特性，如NAT、UTM等功能，但需要修改原网络拓扑。例如，内部网络用户需要更改网关，或路由器需要更改路由配置等。路由模式/24/24防火墙的WEB界面1．登录Web界面防火墙Web服务设置完毕后，在浏览器的地址栏中输入防火墙的管理地址，如，按Enter键，就会跳转到防火墙的超文本传输安全协议（HypertextTransferProtocolSecure，HTTPS）连接界面，端口为8443。WEB界面登陆防火墙的WEB界面2．快速向导快速向导针对的是对防火墙不熟悉的用户，作用是帮助用户逐步完成设备的基本配置，并使局域网用户连接到互联网。如果不需要此项功能，则在“快速向导”对话框中勾选“下一次登录不再显示”复选框，单击“取消”按钮即可。快速向导防火墙的WEB界面快速向导实例如图所示的实例中，需要G

1/0/4接口以固定IP方式连接外网，IP地址为，子网掩码为，网关为54，DNS地址为。G1/0/3连接内网，规划使用作为其IP地址。快速向导实例防火墙的WEB界面快速向导实例（1）配置基本信息。可以更改主机名称，也可以修改管理员密码，此处修改防火墙名称为FW1快速向导实例防火墙的WEB界面快速向导实例（2）配置系统时间。将时区设置为东八区北京时区，检查日期和时间是否正确，如果不正确则进行调整。快速向导实例防火墙的WEB界面快速向导实例（3）选择接入互联网的方式。可采用静态IP、DHCP、PPPoE的方式获得IP地址，此处使用默认的静态IP方式快速向导实例防火墙的WEB界面快速向导实例（4）配置接入互联网参数。选择上网接口为G1/0/4，输入IP地址、子网掩码、默认网关、首选DNS服务器地址.快速向导实例防火墙的WEB界面快速向导实例（4）配置接入互联网参数。选择上网接口为G1/0/4，输入IP地址、子网掩码、默认网关、首选DNS服务器地址.快速向导实例防火墙的WEB界面快速向导实例（5）配置局域网接口。选择LAN接口为G1/0/3，设置IP地址为、子网掩码为快速向导实例防火墙的WEB界面快速向导实例（6）配置局域网DHCP服务。这里使用默认配置即可，即勾选“启用局域网DHCP服务”复选框，设置地址池的起始IP和结束IP快速向导实例防火墙的WEB界面快速向导实例（7）核对配置信息。“快速向导”对话框中，刚才配置的外网与内网信息被直观地显示，供用户核对，如图所示。如果有问题，则单击“上一步”按钮修改配置。快速向导实例防火墙的WEB界面3．版块功能（1）“面板”板块防火墙启动后，首页默认显示的是“面板”板块。“面板”板块分左、右两侧进行显示，能够显示设备资源信息、日志告警信息、在线实时监控、设备状态图、License信息、系统信息、接口流量统计信息等大量内容（1）“面板”板块。防火墙的WEB界面3．版块功能（2）“监控”板块。防火墙的“监控”板块主要对日志、会话、流量等进行监控支持显示会话表诊断中心支持IPSec、ping、tracert、网页、路由表、安全策略等诊断五元组抓包功能根据源IP地址、源端口、目的IP地址、目的端口和协议这5个参数进行数据包的抓取（2）监控板块。防火墙的WEB界面3．版块功能（3）“策略”板块。防火墙的“策略”板块主要进行各种安全策略相关的配置，包括在防火墙设置中最重要的安全策略与NAT策略的设置，以及服务器负载均衡、带宽管理、配额控制策略、代理策略、安全防护、应用层报文过滤（ApplicationSpecificPacketFilter，ASPF）配置等。“策略”板块如图所示。（3）策略板块。防火墙的WEB界面3．版块功能（4）“对象”板块。防火墙的“对象”板块主要对策略引用的公共元素进行配置，这些元素包括证书、地址、地区、服务、应用、用户、地址池、时间段、URL分类等，以及集合类型的地址组、地区组、服务组、应用组、用户组等（4）对象板块。防火墙的WEB界面3．版块功能（5）“网络”板块。防火墙的“网络”板块主要进行网络部署相关的配置，包括接口、安全区域、DNS、DHCP服务器、路由、IPSec、第二层隧道协议L2TP、通用路由封装GRE、SSLVPN等的配置，是防火墙配置过程中非常重要的板块。（5）网络板块。防火墙的WEB界面4．其他功能（1）CLI控制台。eNSP支持在图形界面中快速连接CLI控制台。单击Web界面右下角的“CLI控制台”按钮，即可打开CLI控制台（2）保存配置。（3）修改密码。（1）CLI控制台肆项目实施任务2.3.1使用Web界面管理防火墙任务2.3.1使用Web界面管理防火墙

通过环回网卡将虚拟设备与本地计算机连接，使得本地计算机能够直接访问模拟器中虚拟防火墙，再使用本地浏览器访问防火墙的WEB界面，进行防火墙管理配置说明如下。（1）添加并设置环回网卡。（2）创建拓扑并配置设备云。（3）设置防火墙IP地址、安全区域、服务。（4）在本地计算机上使用浏览器登录防火墙。FW1/24PC/24操作步骤

添加并设置环回网卡

设置设备云设置防火墙FW1/24PC0/24任务2.3.1使用Web界面管理防火墙操作步骤

添加并设置环回网卡

设置设备云设置防火墙FW1/24PC0/24任务2.3.1使用Web界面管理防火墙操作步骤

添加并设置环回网卡

设置设备云设置防火墙[FW1]interfaceGigabitEthernet1/0/1//设置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//开启ping、http、https服务[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managehttppermit[FW1-GigabitEthernet1/0/1]service-managehttpspermit[FW1-GigabitEthernet1/0/1]quit//将接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1配置WEB访问：FW1/24PC0/24任务2.3.1使用Web界面管理防火墙操作步骤PC登录到防火墙的WEB界面PC使用浏览器进行测试FW1/24PC0/24任务2.3.1使用Web界面管理防火墙任务2.3.1使用Web界面管理防火墙添加了环回网卡后，需要重新启动计算机，才可以在设备云中正常使用。防火墙必须启用https服务，才可以正常使用WEB管理界面。防火墙连接设备云的接口必须加入到安全域，才能正常使用网络功能。确认计算机中的Windows防火墙处于关闭的状态。如果安装过VMWareWorkstation，也可使用VMNet8作为环回网卡。注意事项任务2.3.2使用Telnet管理防火墙实训：使用Telnet管理防火墙企业网络中，有多台网络设备，包括交换机、路由器、防火墙等支撑着内部网络的通信，但这些网络设备经常分散在不同的区域，如果设备的日常维护都需要管理人员亲临现场操作，势必导致繁琐的工作量。通过给防火墙配置telnet远程管理功能，可为日后的管理维护工作提供便利。任务描述任务2.3.2使用Telnet管理防火墙任务实施1．拓扑图2．需求说明FW1/24PC/24为防火墙配置telnet功能，VTY用户界面的认证方式为AAA认证，用户名为hw，密码为Huawei@123任务2.3.2使用Telnet管理防火墙3．配置说明任务实施配置防火墙的IP地址、安全域、服务配置telnet功能使用本地计算机远程登录防火墙任务2.3.2使用Telnet管理防火墙操作步骤设置IP、安全区域、服务

设置设备云设置telnetFW1/24PC0/24任务2.3.2使用Telnet管理防火墙操作步骤设置IP、安全区域、服务

设置设备云设置telnetFW1/24PC0/24[FW1]interfaceGigabitEthernet1/0/1//设置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//开启ping、telnet服务[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managetelnetpermit[FW1-GigabitEthernet1/0/1]quit//将接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1接口配置IP、服务、安全区域：任务2.3.2使用Telnet管理防火墙操作步骤设置IP、安全区域、服务

设置设备云设置telnetFW1/24PC0/24//开启telnet服务[FW1]telnetserverenable[FW1]user-interfacevty04[FW1-ui-vty0-4]protocolinboundtelnet

[FW1-ui-vty0-4]authentication-modeaaa

//配置VTY验证方式为AAA[FW1-ui-vty0-4]quit[FW1]aaa

//进入AAA视图[FW1-aaa]

manager-userhw//配置AAA用户[FW1-aaa-manager-user-hw]passwordEnterPassword://输入密码ConfirmPassword://确认密码

[FW1-aaa-manager-user-hw]level3[FW1-aaa-manager-user-hw]service-typetelnet

//配置用户接入类型FW1配置telnet访问：任务2.3.2使用Telnet管理防火墙操作步骤PC登录到防火墙的telnet界面使用本地PC进行telnet测试FW1/24PC0/24任务2.3.2使用Telnet管理防火墙操作步骤使用本地PC进行telnet测试FW1/24PC0/24使用WEB界面配置telnet重新添加一个防火墙做基本设置后，可以使用WEB界面登入使用WEB界面配置telnet登录同样的方法进行测试任务2.3.2使用Telnet管理防火墙注意事项telnet协议使用明文形式传输密码，对于防火墙等安全设备来说，安全性较差。防火墙还支持password验证方式的telnet登录，但安全性更差，不建议使用。任务2.3.3使用SSH管理防火墙实训：使用SSH管理防火墙由于telnet采用明文形式在网络上传送数据，使用时会带来严重的安全问题。而SSH使用加密方式传送数据，安全级别较高，因而在生产环境中，如果不使用图形界面，尽量采用SSH方式。任务描述任务2.3.3使用SSH管理防火墙FW1/24PC/24为防火墙配置SSH功能，用户名为hw，密码为Huawei@123任务实施1．拓扑图2．需求说明任务2.3.3使用SSH管理防火墙3．配置说明任务实施配置防火墙的IP地址、安全域、服务配置SSH(stelnet)功能使用本地计算机远程登录防火墙任务2.3.3使用SSH管理防火墙操作步骤

设置IP、服务、安全域

设置设备云设置SSHFW1/24PC0/24任务2.3.3使用SSH管理防火墙操作步骤

设置IP、服务、安全域

设置设备云设置SSHFW1/24PC0/24[FW1]interfaceGigabitEthernet1/0/1//设置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//开启ping、telnet服务[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managetelnetpermit[FW1-GigabitEthernet1/0/1]quit//将接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1配置IP、服务、安全域：任务2.3.3使用SSH管理防火墙操作步骤

设置IP、服务、安全域

设置设备云设置SSHFW1/24PC0/24//开启SSH服务[FW1]stelnetserverenable[FW1]user-interfacevty04[FW1-ui-vty0-4]protocolinboundssh

[FW1-ui-vty0-4]authentication-modeaaa//配置VTY验证方式为AAA[FW1-ui-vty0-4]quit[FW1]aaa

//进入AAA视图[FW1-aaa]

manager-userhw//配置AAA用户[FW1-aaa-manager-user-hw]passwordEnterPassword://输入密码ConfirmPassword://确认密码

[FW1-aaa-manager-user-hw]level3[FW1-aaa-manager-user-hw]service-typessh//配置用户接入类型FW1配置telnet访问：任务2.3.3使用SSH管理防火墙PC登录到防火墙的SSH界面操作步骤使用本地PC进行telnet测试FW1/24PC0/24模块3安全区域与安全策略防火墙技术与应用微课版01模块概述03知识准备04项目实施02教学目标C教学过程壹模块概述模块概述华为防火墙是一种基于区域的防火墙，在防火墙中引入“安全区域”的概念是为了对网络流量进行安全等级划分，以确定何时需要对流量进行检测。安全策略是指按一定的规则，控制防火墙对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。安全策略的主要应用是对跨防火墙的网络互访进行控制。通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等；同时，能够对设备本身的访问进行控制，如限制哪些IP地址可以通过Telnet和Web等方式登录设备，控制网管服务器、网络时间协议（NetworkTimeProtocol，NTP）服务器等与设备的互访等。贰教学目标教学目标知识目标技能目标素养目标1．了解安全区域的概念。2．熟悉防火墙默认的安全区域。3．了解安全策略的作用。4．掌握防火墙的安全策略的匹配规则。1．培养边界防护思维，划分安全区域时主动识别不同网络的信任级别。2．强化策略影响预判能力，部署ASPF前先系统剖析业务流量特征。3．树立纵深防御理念，实现安全区域与策略的联动配置。1．能够合理地规划安全区域。2．能够熟练地配置安全区域。3．能够使用CLI及Web界面配置安全策略。4．能够根据实际情况配置ASPF功能。叁知识准备知识准备3.2.1安全区域

3.2.2安全策略3.2.3ASPF3.3.1安全区域1.安全区域的作用安全区域用来划分网络。华为防火墙默认在同一安全区域内的数据流动不存在安全风险，不需要部署安全策略，只有不同安全区域之间的数据流动，才会触发安全检查，实施相应的安全策略。但是华为防火墙也支持同一个安全域内报文控制。右图中，把防火墙的4个接口划分到3个安全区域中，对应三个网络。这三个网络相互之间默认不允许互相访问。安全区域A安全区域B安全区域C12343.3.1安全区域

华为防火墙默认定义了四个安全区域：Trust区域01DMZ区域03Untrust区域02Local区域04四个安全区域2、默认的安全区域受信任的区域，通常用来定义内部用户所在的网络。不受信任的区域，通常用来定义Internet等不安全的网络。中等受信任程序的区域，通常用来定义内部服务器所在的网络。代表防火墙本身。比如防火墙主动发起的报文以及抵达防火墙自身的报文，比如在防火墙上执行ping所产生的报文。3.3.1安全区域2、默认的安全区域在网络数量较少，环境简单的场合，默认的安全域可以满足网络划分需求。如右图中，接口1、2连接内部用户，可以划分到Trust安全区域。接口3连接内部服务器，划分到DMZ区域。接口4连接到Internet，划分到Untrust区域。TrustDMZUntrust12343.3.1安全区域用来表示安全区域的受信任程度，用数字1—100表示，数字越大，区域内的网络越可信。默认安全区域的安全级别是固定的。Local：安全级别为100，表示完全可信。Trust：安全级别为85，可信任度较高。DMZ：安全级别为50，中等可信。Untrust：安全级别为5，可信任度较低。3.安全级别3.3.1安全区域（1）天线数4.区域间报文方向入方向（Inbound）：报文从低级别的安全区域向高级别的安全区域流动时为入方向。出方向（Outbound）：报文从由高级别的安全区域向低级别的安全区域流动时为出方向。源安全区域ToLocal（100）ToTrust（85）ToDMZ（50）ToUntrust（5）Local（100）—出方向出方向出方向Trust（85）入方向—出方向出方向DMZ（50）入方向入方向—出方向Untrust（5）入方向入方向入方向—3.3.2安全策略一、安全策略的原理当入数据流经过防火墙时，防火墙查找安全策略，若找到，则根据安全策略定义规则对数据包进行处理，若未找到，则采用默认的策略操作。防火墙安全策略作用：根据定义的规则对经过防火墙的流量进行筛选，并根据关键字确定筛选出的流量如何进行下一步操作。入数据流出数据流BBAABBBAAAA

AAAAAAPolicy0：允许A后续操作Policy1：拒绝B后续操作防火墙安全策略默认策略操作3.3.2安全策略会话表项源IP地址源端口目的IP地址目的端口协议用户应用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口协议用户应用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer创建会话表命中会话表该报文通过Server:23Host:200003.3.2安全策略二、安全策略的创建3.3.2安全策略三、安全策略的匹配规则3.3.2安全策略四、安全策略的过滤机制3.3.3ASPFASPF是基于状态检测的报文过滤，可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则（生成Server-map表）。以多通道协议（如FTP、H.323、SIP等）为例，这些多通道协议的应用需要先在控制通道中协商后续数据通道的地址和端口，然后根据协商结果建立数据通道连接。由于数据通道的地址和端口是动态协商的，管理员无法预知，因此无法制定完善精确的安全策略。为了保证数据通道的顺利建立，只能放开所有端口，这样显然会给服务器或客户端带来被攻击的风险。开启ASPF功能后，防火墙通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据通道的报文，相当于自动创建了一条精细的“安全策略”。肆项目实施3.3.1配置安全区域实训：配置安全区域在防火墙网络中，将不同的接口划分到不同的安全区域，就对网络流量进行了安全等级的划分，从而确定对哪些网络流量进行检测与控制。任务描述3.3.1配置安全区域任务实施1．拓扑图2．需求说明为保障网络安全，将防火墙网络划分为四个安全区域。其中三个区域为默认安全区域，第四个区域为标定其他流量，自定义other安全区域。TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3G1/0/5PC11PC22PC33PC44PC55FW1other3.3.1配置安全区域3．配置说明任务实施设置防火墙各接口及PC的IP地址创建安全区域other，设置安全级别为60将各接口加入到安全域测试各区域间网络的连通性3.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24//为方便测试，开启ping服务[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipaddress24[FW1-GigabitEthernet1/0/3]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24[FW1-GigabitEthernet1/0/4]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress24[FW1-GigabitEthernet1/0/5]quit设置FW1各接口IP地址：TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域在FW1上创建安全区域：[FW1]firewallzonenameother//设置安全级别[FW1-zone-other]setpriority60[FW1-zone-other]quit[FW1]displayzone//显示所有安全区域

TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域操作步骤

设置IP地址

创建安全区域接口加入到安全区域TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW1[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]addinterfaceg1/0/2[FW1-zone-trust]firewallzoneuntrust[FW1-zone-untrust]addinterfaceg1/0/3[FW1-zone-untrust]firewallzonedmz[FW1-zone-dmz]addinterfaceg1/0/4[FW1-zone-dmz]firewallzoneother[FW1-zone-other]addinterfaceg1/0/5[FW1-zone-other]quit在FW1上将接口加入到安全区域3.3.1配置安全区域（四）操作步骤连通性测试测试同一安全区域下的PC1和PC2是否可以互通其余不同安全区域的PC是否可以互通TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全区域Local安全区域不可以修改，也不能手动加入接口。各安全区域之间不通，是因为其间的默认安全策略禁止所有报文通过。华为防火墙各接口必须加入某个安全域，才能正常工作。注意事项3.3.2配置简单的安全策略实训：配置简单的安全策略某公司有一台托管于运营商的服务器，内网用户均可访问，但有一台计算机由于特殊原因，不允许访问这台专用服务器。通过配置安全策略，实现上述要求。任务描述3.3.2配置简单安全策略(三)任务实施1．拓扑图2．需求说明要求除PC1以外的/24网段可以访问服务器。1/24服务器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/243．配置说明(三)任务实施配置各计算机、服务器的IP地址；配置防火墙各接口的IP地址、安全域、服务；配置安全策略，满足访问需求。3.3.2配置简单安全策略（四）关键操作步骤

配置安全策略

测试结果[FW1]security-policy

//进入安全策略视图[[FW1-policy-security]rulenamePC1toS//创建名为PC1toS的安全规则[FW1-policy-security-rule-PC1toS]sourcre-zonetrust//源安全区域为trust[FW1-policy-security-rule-PC1toS]destination-zoneuntrust//目的安全区域为untrust[FW1-policy-security-rule-PC1toS]source-address132//源地址为主机地址1[FW1-policy-security-rule-PC1toS]destination-address032//目的地址为主机地址0[FW1-policy-security-rule-PC1toS]actiondeny//设置匹配动作为禁止[FW1-policy-security-rule-PC1toS]displaythis//显示当前项目的配置情况配置PC1的安全策略：[FW1]security-policy

[[FW1-policy-security]rulenameOtoS[FW1-policy-security-rule-OtoS]sourcre-zonetrust[FW1-policy-security-rule-OtoS]destination-zoneuntrust[FW1-policy-security-rule-OtoS]source-address24//源地址为/24网段[FW1-policy-security-rule-OtoS]destination-address032[FW1-policy-security-rule-OtoS]actionpermit//设置匹配动作为允许[FW1-policy-security-rule-OtoS]displaythis配置网段的安全策略：3.3.2配置简单安全策略（四）关键操作步骤

配置安全策略

测试结果显示安全策略：PC1ping服务器：PC2ping服务器：3.3.2配置简单安全策略注意事项配置安全策略时，如果源安全区域、目的安全区域、源地址、目的地址、用户、服务等项目未配置，则默认该项的值为any。若安全策略动作action未配置，则默认动作为“禁止”。3.3.2配置简单安全策略3.3.3使用WEB界面配置安全策略实训：使用WEB界面配置安全策略某公司有一台托管于运营商的服务器，内网用户均可访问，但由于安全方面的特殊原因，财务部的计算机仅允许通过WEB服务访问这台专用服务器。通过配置安全策略，实现上述要求。任务描述3.3.3使用WEB界面配置安全策略1/24服务器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/240/24本地计算机(三)任务实施1．拓扑图2．需求说明财务部的计算机（1到0）允许访问服务器的WEB服务(http服务和https服务)；财务部的计算机不允许访问服务器的其他服务；/24网段允许访问服务器。3.3.3使用WEB界面配置安全策略3．配置说明(三)任务实施配置设备云使本地计算机连接到防火墙的WEB界面；配置防火墙各接口的IP地址、安全区域、访问管理服务；配置安全策略，满足访问需求；测试配置结果是否满足需求。3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略配置G1/0/6接口配置G1/0/1接口3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略创建“WEB”服务组对象创建“财务部”、“服务器”、“172.16.10网段”地址对象3.3.3使用WEB界面配置安全策略（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略允许财务部访问服务器的WEB服务不允许财务部访问服务器的其他服务允许/24网段访问服务器3.3.3使用WEB界面配置安全策略设置安全策略结果如下：（四）关键操作步骤

设置IP地址和服务

创建对象

设置安全策略3.3.3使用WEB界面配置安全策略PC1ping服务器：PC1访问服务器的http服务：（四）关键操作步骤测试结果3.3.3使用WEB界面配置安全策略PC2ping服务器：PC2访问服务器的http服务：（四）关键操作步骤测试结果3.3.3使用WEB界面配置安全策略注意事项WEB界面配置安全策略时，最好先配置好所需要的地址、服务、时间等对象。地址对象不仅支持IPv4地址，还支持IPv6地址，MAC地址，可以实际设置中灵活使用。3.3.4配置Local区域的安全策略实训：配置Local区域安全策略在网络中，有一些业务是需要防火墙自身参与的，这些业务想要正常运行，就需要在防火墙的Local安全区域与业务安全区域之间配置安全策略，如禁止或允许防火墙主动ping其他设备，禁止或允许某些用户登录防火墙等。任务描述3.3.4配置Local区域的安全策略(三)任务实施1．拓扑图2．需求说明使防火墙可以主动ping其它设备；允许路由器R1ping防火墙，但不能通过telnet登录到防火墙；路由器R2能够通过telnet登录到防火墙，但不允许ping防火墙。G1/0/1/24TrustFW1G0/0/02/24G0/0/01/24R1R23.3.4配置Local区域的安全策略3．配置说明(三)任务实施设置Local到trust的安全策略实现第一个需求设置trust到Local的安全策略实现第二个需求3.3.4配置Local区域的安全策略（四）关键操作步骤Local到trust的安全策略Trust到Local的安全策略防火墙默认无法ping通R1、R2：[FW1]security-policy

[[FW1-policy-security]rulenameLocaltoTrust[FW1-policy-security-rule-LocaltoTrust]source-zonelocal[FW1-policy-security-