网络构建-项目5 构建企业安全网络

项目五构建企业安全网络

网络攻击手段多种多样，以上是最常见的几种常见的网络攻击攻击工具体系化

网络攻击原理日趋复杂，但攻击却变得越来越简单易操作攻击不可避免

DMZE-Mail

FileTransferHTTPIntranet生产部工程部市场部人事部路由Internet中继外部个体外部/组织内部个体内部/组织额外的不安全因素现有网络安全防御体制IDS/IPS68%杀毒软件99%防火墙98%ACL71%现有网络安全体制VPN虚拟专用网防火墙ACL防病毒入侵检测案例：国赛样题项目五构建安全网络

任务5.1保护办公网络安全利用交换机的端口安全功能实现防止局域网大部分的内部攻击对用户、网络设备造成的破坏，如MAC地址攻击、ARP攻击、IP/MAC地址欺骗等。交换机端口安全的基本功能限制交换机端口的最大连接数端口的安全地址绑定交换机端口安全安全违例产生于以下情况：如果一个端口被配置为一个安全端口，当其安全地址的数目已经达到允许的最大个数如果该端口收到一个源地址不属于端口上的安全地址的包当安全违例产生时，你可以选择多种方式来处理违例：Protect：当安全地址个数满后，安全端口将丢弃未知名地址（不是该端口的安全地址中的任何一个）的包Restrict：当违例产生时，将发送一个Trap通知Shutdown：当违例产生时，将关闭端口并发送一个Trap通知安全违例端口安全最大连接数配置switchportport-security ！打开该接口的端口安全功能switchportport-securitymaximumvalue

！设置接口上安全地址的最大个数，范围是1－128，缺省值为128switchportport-securityviolation{protect|restrict|shutdown}

！设置处理违例的方式注意：

1、端口安全功能只能在access端口上进行配置。

2、当端口因为违例而被关闭后，在全局配置模式下使用命令errdisablerecovery来将接口从错误状态中恢复过来。端口安全最大连接数配置端口的安全地址绑定switchportport-security！打开该接口的端口安全功能switchportport-securitymac-addressmac-addressip-addressip-address

！手工配置接口上的安全地址注意：

1、端口安全功能只能在access端口上进行配置

2、端口的安全地址绑定方式有:单MAC、单IP、MAC+IP端口的安全地址绑定下面的例子是配置接口gigabitethernet1/3上的端口安全功能，设置最大地址个数为8，设置违例方式为protectSwitch#configureterminalSwitch(config)#interfacegigabitethernet1/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymaximum8Switch(config-if)#switchportport-securityviolationprotectSwitch(config-if)#end配置案例（一）下面的例子是配置接口fastethernet0/3上的端口安全功能，配置端口绑定地址，主机MAC为00d0.f800.073c，IP为02Switch#configureterminalSwitch(config)#interfacefastethernet0/3Switch(config-if)#switchportmodeaccessSwitch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-address00d0.f800.073cip-address02Switch(config-if)#end配置案例（二）查看所有接口的安全统计信息，包括最大安全地址数，当前安全地址数以及违例处理方式等

Switch#showport-security

SecurePortMaxSecureAddrCurrentAddrSecurityAction------------------------------------------------Gi1/381Protect查看安全地址信息Switch#showport-securityaddressVlanMacAddressIPAddressTypePortRemainingAge(mins)-------------------------------------------------100d0.f800.073c02ConfiguredFa0/381查看配置信息【子项目目的】

掌握交换机的端口安全功能，具备控制用户安全接入的能力。【背景描述】你是一个公司的网络管理员，公司要求对网络进行严格控制。为了防止公司内部用户的IP地址冲突，防止公司内部的网络攻击和破坏行为。为每一位员工分配了固定的IP地址，并且限制只允许公司员工主机可以使用网络，不得随意连接其他主机。【技术原理】交换机端口安全功能，是指针对交换机的端口进行安全属性的配置，从而控制用户的安全接入。交换机端口安全主要有两种类项：一是限制交换机端口的最大连接数，二是针对交换机端口进行MAC地址、IP地址的绑定。【实现功能】针对交换机的所有端口，配置最大连接数为1，针对PC1主机的接口进行IP＋MAC地址绑定。子项目5.1保护办公网络安全

【子项目拓扑】项目拓扑图1子项目5.1保护办公网络安全

第1步，配置交换机端口的最大连接数限制。Switch#configureterminalSwitch(config)#interfacerangefastethernet0/1-16

!进行一组端口的配置模式。Switch(config-if-range)#switchportport-security!开启交换机的端口安全功能Switch(config-if-range)#switchportport-secruitymaximum1!配置端口的最大连接数为1Switch(config-if-range)#switchportport-secruityviolationshutdown!配置安全违例的处理方式为shutdown验证测试：查看交换机的端口安全配置。Switch#showport-security项目步骤2子项目5.1保护办公网络安全

第2步，配置交换机端口的地址绑定。首先在主机上打开CMD命令提示符窗口，执行ipconfig/all命令。查看主机的IP和MAC地址信息。项目步骤2子项目5.1保护办公网络安全

第2步，配置交换机端口的地址绑定。配置交换机端口的地址绑定。Switch#configureterminalSwitch(config)#interface

fastethernet0/3Switch(config-if)#switchportport-securitySwitch(config-if)#switchportport-securitymac-addressEC22.80EC.80CCip-address5

!配置IP地址和MAC地址的绑定项目步骤2子项目5.1保护办公网络安全

第3步，验证测试，查看地址安全绑定配置。Switch#showport-securityaddress【注意事项】1.交换机端口安全功能只能在ACCESS接口进行配置。2.交换机最大连接数限制取值范围是1-128，默认是128。3.交换机最大连接数限制默认的处理方式是protect。子项目5.1保护办公网络安全

验证测试3项目五构建安全网络

任务5.2保护园区网网络安全IPAccess-list：IP访问列表或访问控制列表，简称IPACLACL就是对经过网络设备的数据包根据一定的规则进行数据包的过滤ISP√什么是访问列表内网安全运行访问外网的安全控制为什么要使用访问列表访问控制列表的作用：内网布署安全策略，保证内网安全权限的资源访问内网访问外网时，进行安全的数据过滤防止常见病毒、木马、攻击对用户的破坏访问列表定义访问列表的步骤第一步，定义规则（哪些数据允许通过，哪些数据不允许通过）第二步，将规则应用在路由器（或交换机）的接口上访问控制列表规则的分类：1、标准访问控制列表2、扩展访问控制列表访问列表的组成路由器应用访问列表对流经接口的数据包进行控制1.入栈应用（in）经某接口进入设备内部的数据包进行安全规则过滤2.出栈应用（out）设备从某接口向外发送数据时进行安全规则过滤一个接口在一个方向只能应用一组访问控制列表F1/0F1/1INOUT

访问列表规则的应用NY是否允许

?Y是否应用

访问列表

?N查找路由表进行选路转发以ICMP信息通知源发送方访问列表的入栈应用以ICMP信息通知源发送方NY选择出口

S0

路由表中是否存在记录

?NY查看访问列表

的陈述是否允许

?Y是否应用

访问列表

?NS0S0访问列表的出栈应用一切未被允许的就是禁止的定义访问控制列表规则时，最终的缺省规则是拒绝所有数据包通过按规则链来进行匹配使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配规则匹配原则从头到尾，至顶向下的匹配方式匹配成功马上停止立刻使用该规则的“允许/拒绝……”IPACL的基本准则Y拒绝Y是否匹配

规则条件1?允许N拒绝允许是否匹配

规则条件2?拒绝是否匹配

最后一个

条件

?YYNYY允许隐含拒绝N一个访问列表多条过滤规则标准访问列表根据数据包源IP地址进行规则定义扩展访问列表根据数据包中源IP、目的IP、源端口、目的端口、协议进行规则定义访问列表规则的定义源地址TCP/UDP数据IP

eg.HDLC1-99

号列表IP标准访问列表目的地址源地址协议端口号TCP/UDP数据IP

eg.HDLC100-199

号列表IP扩展访问列表

0表示检查相应的地址比特

1表示不检查相应的地址比特001111111286432168421000000000000111111111111反掩码（通配符）1.定义标准ACL编号的标准访问列表

Router(config)#access-list<1-99>{permit|deny}源地址[反掩码]命名的标准访问列表

switch(config)#ipaccess-liststandard<name>switch(config-std-nacl)#{permit|deny}源地址[反掩码]2.应用ACL到接口Router(config-if)#ipaccess-group<编号或名称>{in|out}IP标准访问列表的配置老师学生F1/0S1/2F1/1外网配置：access-list1permit55(access-list1denyany)interfaceserial1/2ipaccess-group1outIP标准访问列表配置实例1需求：你是某校园网管，领导要你对网络的数据流量进行控制,要求校长可以访问财务的主机，但教师机不可以访问。配置规则：ipaccess-liststandardabcpermithostdeny55财务教师F0/1F0/2F0/5F0/6F0/8F0/9F0/10校长IP标准访问列表配置实例2【子项目目的】掌握在交换机上编号的标准IP访问列表规则及配置。【背景描述】你是一个公司的网络管理员，公司的经理部，财务部和销售部门分处不同的3个网段,三部门之间用路由器进行信息传递,为了安全起见,公司领导要求销售部不能对财务部门访问。【实现功能】实现网段间互相访问的安全控制。【子项目设备】路由器(两台).V.35线缆(1条).直连线或交叉线(3条)任务一、

应用标准访问控制列表技术子项目5.2保护园区网络安全项目拓扑图1任务一、

应用标准访问控制列表技术第1步，基本配置Router1基本配置：Router1(config)#interfacefastethernet1/0Router1(config-if)#ipaddRouter1(config-if)#noshutdownRouter1(config-if)#interfacefastethernet1/1Router1(config-if)#ipaddRouter1(config-if)#noshutdownRouter1(config)#interfaceserial1/2Router1(config-if)#ipaddRouter1(config-if)#clockrate64000Router1(config-if)#noshutdownRouter1(config-if)#end验证测试：showipintbrief !观察接口状态项目步骤2任务一、

应用标准访问控制列表技术Router2基本配置：Router2(config)#interfacefastethernet1/0Router2(config-if)#ipaddRouter2(config-if)#noshutdownRouter2(config-if)#exitRouter2(config)#interfaceserial1/2Router2(config-if)#ipaddRouter2(config-if)#noshutdown测试命令:showipintbrief配置静态路由Router1(config)#iprouteserial1/2Router2(config)#iprouteserial1/2Router2(config)#iprouteserial1/2测试命令:showiproute !查看路由表信息项目步骤2任务一、

应用标准访问控制列表技术第2步，配置标准IP访问控制列表．Router2(config)#access-list1deny55!拒绝来自网段的流量通过。Router2(config)#access-list1permit55!允许来自网段的流量通过。验证测试：showaccess-list1第3步，把访问挖掘列表在接口下应用。Router2(config)#interfacefastethernet1/0Router2(config-if)#ipaccess-group1out !在接口下访问控制列表出栈流量调用测试验证:showipinterfacefastethernet1/0项目步骤2任务一、

应用标准访问控制列表技术1.定义扩展的ACL编号的扩展ACLRouter(config)#access-list<100-199>{permit|deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]命名的扩展ACLipaccess-listextended{name}{permit|deny}协议源地址反掩码[源端口]目的地址反掩码[目的端口]2.应用ACL到接口Router(config-if)#ipaccess-group<100-199>{in|out}IP扩展访问列表的配置如何创建一条扩展ACL该ACL有一条ACE，用于允许指定网络（192.168.x..x）的所有主机以HTTP访问服务器，但拒绝其它所有主机使用网络Router(config)#access-list103permittcp55hosteqwwwRouter#showaccess-lists103IP扩展访问列表实例1为公司的文件服务器，要求网段中的主机能够访问中的FTP服务和WEB服务，而对服务器的其它服务禁止访问。

IP扩展访问列表实例2

access-list115denyudpanyanyeq69

access-list115denytcpanyanyeq135

access-list115denyudpanyanyeq135

access-list115denyudpanyanyeq137

access-list115denyudpanyanyeq138

access-list115denytcpanyanyeq139

access-list115denyudpanyanyeq139

access-list115denytcpanyanyeq445

access-list115denytcpanyanyeq593

access-list115denytcpanyanyeq4444

access-list115permitipanyany

interface<type><number>

ipaccess-group115in

ipaccess-group115out利用ACL隔离冲击波病毒

IP扩展访问列表配置实例(三)显示全部的访问列表Router#showaccess-lists显示指定的访问列表Router#showaccess-lists<1-199>显示接口的访问列表应用Router#showipinterface接口名称接口编号访问列表的验证1、一个端口在一个方向上只能应用一组ACL2、锐捷全系列交换机可针对物理接口和SVI接口应用ACL针对物理接口，只能配置入栈应用(In)针对SVI（虚拟VLAN）接口，可以配置入栈（In）和出栈（Out）应用3、访问列表的缺省规则是：拒绝所有IP访问列表配置注意事项【子项目目的】掌握在交换机上命名的扩展IP访问列表规则及配置。【背景描述】你是学校的网络管理员，在3550-24交换机上连着学校的提供WWW和FTP的服务器，另外还连接着学生宿舍楼和教工宿舍楼，学校规定学生只能对服务器进行FTP访问，不能进行WWW访问，教工则没有此限制。【实现功能】实现网段间互相访问的安全控制。【子项目设备】S3550交换机（1台）、PC（3台)、直连线（3条）任务二、应用扩展访问控制列表技术子项目5.2保护园区网络安全项目拓扑图1任务二、应用扩展访问控制列表技术第1步，基本配置。3550-24(config)#vlan103550-24(config-vlan)#nameserver3550-24(config)#vlan203550-24(config-vlan)#nameteachers3550-24(config)#vlan303550-24(config-vlan)#namestudents3550-24(config)#interfacef0/53550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan103550-24(config)#interfacef0/103550-24(config-if)#switchportmodeaccess3550-24(config-if)#switchportaccessvlan203550-24(config)#interfacef0/153550-24(config-if)#switchportmodeaccess项目步骤2任务二、应用扩展访问控制列表技术第1步，基本配置。3550-24(config-if)#switchportaccessvlan303550-24(config)#interfacevlan103550-24(config-if)#ipadd3550-24(config-if)#noshutdown3550-24(config)#interfacevlan203550-24(config-if)#ipadd3550-24(config-if)#noshutdown3550-24(config)#interfacevlan303550-24(config-if)#ipadd3550-24(config-if)#noshutdown项目步骤2任务二、应用扩展访问控制列表技术第2步，配置命名扩展IP访问控制列表。3550-24(config)#ipaccess-listextendeddenystudentwww!定义命名扩展访问列表。3550-24(config-ext-nacl)#denytcp5555eqwww!禁止WWW服务。3550-24(config-ext-nacl)#permitipanyany!允许其他服务。验证命令：3550-24#shipaccess-listsdenystudentwww第3步，把访问控制列表在接口下应用。3550-24(config)#intvlan303550-24(config-if)#ipaccess-groupdenystudentwwwin项目步骤2任务二、应用扩展访问控制列表技术第4步，配置Web服务器和FTP服务器。第5步，验证测试。分别在学生网段和教师宿舍网段使用1台主机，访问Web服务器。测试发现学生网段不能访问网页，教学宿舍网段可以访问网页。教师和学生都可以访问FTP服务器。【注意事项】1.访问控制列表要在接口下应用。2.要注意deny某个网段后要peimit其他网段。验证测试3任务二、应用扩展访问控制列表技术基于时间的ACL对于不同的时间段实施不同的访问控制规则在原有ACL的基础上应用时间段任何类型的ACL都可以应用时间段时间段绝对时间段（absolute）周期时间段（periodic）混合时间段基于时间的ACL配置时间段time-rangetime-range-name

Router(config)#配置绝对时间absolute{starttimedate[endtimedate]|endtimedate}

Router(config-time-range)#starttimedate：表示时间段的起始时间。time表示时间，格式为“hh:mm”。date表示日期，格式为“日月年”

endtimedate：表示时间段的结束时间，格式与起始时间相同示例：absolutestart08:001Jan2007end10:001Feb2008配置时间段配置周期时间periodicday-of-the-weekhh:mmto

[day-of-the-week]hh:mm

periodic{weekdays|weekend|daily}hh:mmtohh:mm

Router(config-time-range)#day-of-the-week：表示一个星期内的一天或者几天，Monday，Tuesday，Wednesday，Thursday，Friday，Saturday，Sundayhh:mm：表示时间weekdays：表示周一到周五weekend：表示周六到周日daily：表示一周中的每一天示例：periodicweekdays09:00to18:00配置时间段（续）应用时间段在ACL规则中使用time-range参数引用时间段只有配置了time-range的规则才会在指定的时间段内生效，其它未引用时间段的规则将不受影响确保设备的系统时间的正确！配置时间段（续）在上班时间（9：00~18：00）不允许员工的主机（/24）访问Internet，下班时间可以访问Internet上的Web服务。

基于时间的ACL配置示例【子项目目的】具备基于时间段进行控制的IP访问列表配置的能力。【背景描述】你是某公司的网管，为了保证公司上班时间的工作效率，公司要求上班时间只可以访问公司的内部网络。下班以后员工可以随意放松，访问网络不受限制。PC机的IP地址和缺省网关分别为/24和/24，服务器（Server）的IP地址和缺省网关分别为/25和54/24，路由器的接口F1/0和F1/1的IP地址分别为/24和54/24。【实现功能】基于时间对网络访问进行控制，提高网络的使用效率和安全性。【子项目设备】路由器（1台）、直连线或交叉线（2条）。任务三、应用基于时间的访问控制列表子项目5.2保护园区网络安全项目拓扑图1任务三、应用基于时间的访问控制列表第1步，基本配置。Router#configureterminalRouter(config)#interfacefastethernet1/0Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacefastethernet1/1Router(config-if)#ipaddress54Router(config-if)#noshutdown验证配置：查看路由器接口的状态。Router#showipinterfacebrief第2步，配置路由器的时钟。Router#showclock!查看路由器当前时钟。Router#clockset08:45:00662012!重设路由器当前时钟和实际时钟同步Router#showclock项目步骤2任务三、应用基于时间的访问控制列表第3步，定义时间段Router(config)#time-rangefreetimeRouter(config-time-range)#absolutestart8:001jan2012end18:0030dec2018!定义绝对时间段Router(config-time-range)#periodicdaily0:00to9:00!定义周期性时间段。Router(config-time-range)#periodicdaily17:00to23:59!定义周期性时间段。验证配置：查看时间段配置。Router#showtime-range第4步，定义访问控制列表规则。Router(config)#access-list100permitipanyhost!定义扩展访问控制列表，允许访问主机Router(config)#access-list100permitipanyanytime-rangefreetime!关联time-range接口t1，允许在规定时间段访问任何网络。注意：访问控制列表的隐含规则是拒绝所有数据包。验证配置：查看访问控制列表配置。Router#showaccess-list项目步骤2任务三、应用基于时间的访问控制列表第6步，验证测试。在服务器主机上配置Web服务器，服务器IP地址为。1.验证在工作时间的服务器的访问。更改路由器的当前时间为上班时间，PC机可以访问

的Web服务。更改服务器的IP地址为，PC机无法访问Web服务。2.验证在非工作时间的服务器的访问。更改路由器的当前时间为下班时间，PC机可以访问

的Web服务。更改服务器的IP地址为,PC机同样可以访问Web服务。验证测试3任务三、应用基于时间的访问控制列表标识方式编号：700~799名称过滤元素源MAC地址、目的MAC地址、以太网类型基于MAC的ACL配置MACACLmacaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLmacaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}{any|hostsource-mac-address}{any|host

destination-mac-address}[ethernet-type

][time-range

time-range-name]

Switch(config-mac-nacl)#配置MACACL只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）。

MACACL配置示例MACACL配置示例标识方式编号：2700~2899名称过滤元素源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、协议、源端口、目的端口用于复杂的、高级的访问控制专家ACL配置专家ACLexpertaccess-listextended{name|access-list-number}

Switch(config)#应用MACACLexpertaccess-group{name|access-list-number}

{in|out}

Switch(config-if)#配置ACL规则{permit|deny}[protocol|ethernet-type][VIDvid

][{any|sourcesource-wildcard}

]{host

source-mac-address|any}[operatorport]

[{any|destinationdestination-wildcard}]

{host

destination-mac-address|any}[operatorport][precedenceprecedence][tostos][time-rangetime-range-name][dscp

dscp][fragment]

Switch(config-exp-nacl)#配置专家ACL只允许财务部的主机（000a-000a-000a）能够访问财务服务器（000d-000d-000d）的TCP5555端口。

专家ACL配置示例专家ACL配置示例传统编号ACL的修改问题新规则添加到ACL的末尾删除所有ACL规则重新编写导出配置文件进行修改将ACL规则复制到编辑工具进行修改ACL配置模式使用ipaccess-list命令进入ACL配置模式可以删除特定的ACL规则在任意位置插入新的ACL规则ACL的修改和维护添加ACL规则sequence-number{permit|deny}……

Router(config-ext-nacl)#sequence-number

：规则在ACL中的序号，即排序的位置默认根据序号从小到大进行排序删除ACL规则nosequence-numberRouter(config-ext-nacl)#添加和删除ACL规则添加ACL规则配置示例删除ACL规则配置示例【子项目目的】具备专家级访问列表的规则及配置的能力。【背景描述】你是某公司的网管，最近你怀疑有人可能利用一些工具进行网络攻击和访问。为了提高网络访问的安全性，你需要利用专家级的访问列表，根据用户的IP地址和MAC地址进行网络访问的控制。本实验以1台S2126G交换机和1台R1762路由器为例。PC1和PC2的IP地址分别为/24和/24，缺省网关为/24，服务器（Server）的IP地址和缺省网关分别为/24和/24，路由器的接口F1/0和F1/1的IP地址分别为/24和/24。【实现功能】基于时间对网络访问进行控制，提高网络的使用效率和安全性。【子项目设备】S2126G交换机（1台）、R1762路由器（1台）、直连线或交叉线（2条）任务四、应用专家级访问列表子项目5.2保护园区网络安全项目拓扑图1任务四、应用专家级访问列表第1步，基本配置。Router#configureterminalRoutfer(config)#interfacefastethernet1/0Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#interfacefastethernet1/1Router(config-if)#ipaddressRouter(config-if)#noshutdownRouter(config-if)#exitRouter(config)#验证配置：查看路由器接口的状态。Router#showipinterfacebrief项目步骤2任务四、应用专家级访问列表第2步，在S2126G上配置专家级访问控制列表。Switch（config）#expertaccess-listextendedtest1!定义专家级访问列表elSwitch(config-ext-nacl)#denyiphosthost00e0.9823.9526hostany!禁止IP地址及MAC地址为和00e0.9823.9526的主机Switch(config-ext-nacl)#permitanyanyanyany验证测试：验证访问列表配置Switch#showaccess-liststest1!显示专家级访问列表test1。第3步，在接口上应用专家级访问列控制列表。Switch(config)#interfacefastethernet0/1!进入接口F0/1配置模式。Switch(config-if)#expertaccess-grouptest1in!在接口F0/1的入方向上应用专家级访问列表test1验证测试：验证接口上应用的访问列表。Switch#showaccess-group项目步骤2任务四、应用专家级访问列表第4步，验证测试访问控制列表的结果。PC1测试：C：\>ping!验证PC1不能访问服务器。C：\>ping!验证PC1能访问PC2()。PC2测试：

C：\>ping!验证PC2能访问服务器

。【注意事项】专家级访问列表用于过滤二层和三层、四层数据流。专家级访问列表可以使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。验证测试3任务四、应用专家级访问列表项目五构建安全网络

任务5.3管理防火墙技术背景Internet的发展呈现新特点新型网络应用层出不穷，在线视频、互动游戏、实时语音通信等P2P应用无处不在，占用了更大的带宽。2.网络的安全问题日益严重安全的风险更大、安全威胁手段越来越多样化，新的应用层攻击不断涌现。技术背景3.防火墙的重要性(1)根据《信息系统等级保护安全设计技术要求》定级系统安全保护环境，由安全计算环境、安全区域边界、安全通信网络和(或）安全管理中心构成。(2)防火墙作为网络区域边界安全防护设备，扮演着极其重要的角色。传统意义的防火墙用于控制实际的火灾，使火灾被限制在建筑物的某部分，不会蔓延到其他区域网络安全中的防火墙用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统作为一个安全网络的边界点在不同的网络区域之间进行流量的访问控制什么是防火墙？防火墙能够做什么？控制和管理网络访问保护网络和系统资源数据流量的深度检测身份验证扮演中间人角色记录和报告事件防火墙的作用基本防火墙NetworkTransport高级防火墙DataLinkSessionApplication防火墙与OSI防火墙分类按照操作对象主机防火墙网络防火墙按照实现方式软件防火墙硬件防火墙按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙防火墙的分类主机防火墙位置优势低成本难于部署、维护缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall网络防火墙功能强大性能高透明度强成本高内部攻击保护性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard主机防火墙与网络防火墙软件防火墙应用层控制和检测功能丰富性能低自身安全性问题示例MicrosoftISASunScreenCheckPointFirewall硬件防火墙性能高自身安全性高易于维护缺乏高级功能示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard软件防火墙与硬件防火墙无状态包过滤防火墙技术最基本的防火墙过滤方式根据L3/L4信息进行过滤源和目的IP协议ICMP消息和类型TCP/UDP源和目的端口处理速度快无法阻止应用层攻击部署复杂，维护量大部署方式作为Internet边界的第一层防线隐式拒绝，显示允许示例使用ACL过滤的路由器包过滤防火墙无状态包过滤防火墙示例有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪，状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息TCPFlag、TCPSeq.更多的DoS防护特定应用层协议检测不能阻止应用层攻击状态表导致的系统开销部署方式作为主要的防御措施需要更加严格的控制状态防火墙无状态包过滤的问题有状态包过滤防火墙的实现跟踪连接的状态无应用层检测的状态防火墙支持应用层检测的状态防火墙动态协议检测（FTP、NetBIOS、SQLNET、SIP…..)检测应用层报头中的信息（应用层命令）应用网关防火墙技术通常称为代理防火墙（ProxyFirewall）操作在L3/L4/L5/L7支持身份认证监控和过滤应用层信息通过软件处理支持的应用有限可能需要部署客户端软件部署方式作为主要的的防御措施需要更严格的身份及会话验证应用网关防火墙连接网关防火墙执行传统的应用网关防火墙检测方式直通代理防火墙（Cut-Through）简化的应用网关防火墙对于初始连接请求进行身份验证会话的后续信息执行L3/L4过滤更好的性能NAT防火墙技术解决了公有IP地址匮乏的问题在L3/L4操作隐藏了内部网络结构引入了延时破坏了IP的端到端模型对应用的支持限制一些应用将连接信息嵌入到应用层报文中NATALG（ApplicationLayerGateway）地址转换防火墙透明防火墙充当网桥的角色可操作于L2/L3/L4/L5/L7易于部署即插即用零配置无需更改编制结构无需更改路由拓扑隐蔽性高透明设备，0跳无IP，无连接可达到透明防火墙高级防火墙包过滤（无状态/有状态）NAT操作应用内容过滤透明防火墙防攻击入侵检测VPN安全管理混合防火墙防火墙拓扑位置专用（内部）和公共（外部）网络之间网络的出口和入口处专用网络内部：关键的网段，如数据中心防火墙区域Trust（内部）Untrust（外部，Internet）DMZ（DemilitarizedZone，非武装军事区）DMZ中的系统通常为提供对外服务的系统增强信任区域中设备的安全性特殊的访问策略信任区域中的设备也会对DMZ中的系统进行访问防火墙区域双接口无DMZ区域网络无需对外提供服务防火墙区域设计带边界路由器的单防火墙双接口DMZ区域双层次防火墙设计的替代方案单防火墙三接口DMZ区域最通用的部署方式单防火墙多DMZ区域常用于ISP设计背靠背防火墙设计RG-WALL防火墙默认配置WAN接口为管理接口，IP为00默认管理员帐号“admin”，密码“firewall”登录方式证书认证导入管理员证书到浏览器00:6666电子钥匙认证插入电子钥匙并认证00:6667登录防火墙导入证书证书认证登录防火墙登录防火墙电子钥匙认证电子钥匙认证登录防火墙RG-WALL防火墙管理界面配置管理主机只有管理主机可以对防火墙进行管理配置管理主机配置管理员及其权限级别配置管理员配置物理特性、工作模式等配置接口配置接口地址及管理选项配置接口配置路由、路由负载均衡配置路由地址对象地址列表&地址组定义IP地址的集合可被包过滤规则、NAT规则引用服务器地址定义服务器地址的集合可被IP映射规则、端口映射规则引用NAT地址池定义NAT转换地址的集合可被NAT规则引用服务器对象服务器列表&服务组定义服务的集合，包括协议、端口号、ICMP类型等可被任何规则引用配置对象时间对象时间列表&时间组定义时间的集合可被任何规则引用带宽列表定义带宽限制参数可被任何规则引用URL列表定义URL集合可被任何规则引用包过滤规则对用户的连接请求进行访问控制NAT规则执行NAT转换操作IP映射规则配置内部主机与公有地址间的映射，用于服务器发布端口映射规则配置内部服务与外部服务间的映射，用于对外发布服务配置规则配置规则包过滤规则NAT规则IP映射规则端口映射规则IP/MAC绑定防止IP/MAC欺骗配置IP/MAC绑定配置防攻击配置连接限制连接限制用于保护服务器资源如果连接超出了策略限制，则对主机进行阻断，禁止其再访问服务器资源限制方式主机保护服务保护主机限制服务限制配置连接限制限制对服务器地址的访问主机保护限制对服务器的服务的访问服务保护对发起访问的源进行限制主机限制对访问某类服务的源进行限制服务限制在安全规则中启用连接限制启用连接限制【子项目目的】登录防火墙，并使用初始化向导配置防火墙基本功能。【背景描述】作为公司的网络管理员,你希望在机房对防火墙进行初始配置后,以后可以通过Web方式对防火墙进行远程配置和管理,因此需要对其进行初始的基本设置。【项目拓扑】图5-7网络拓扑【子项目设备】RG-WALL160防火墙(1台),主机(1台),直连线(1条)【子项目步骤】子项目5.3管理防火墙任务一、防火墙初始配置实训指导第1步，安装管理员证书

管理员证书在防火墙随机光盘的AdminCert文件夹中。双击admin.p12文件，该文件将初始Windows的证书导入向导，点击<下一步>按钮，如图5-8所示。指定证书所在的路径，点击<下一步>按钮，如图5-9所示。输入导入证书时使用的密码，密码为123456，点击<下一步>按钮，如图5-10所示。选择证书的存放位置，我们让Windows自动选择证书存储区，点击<下一步>按钮，如图5-11所示。点击<完成>按钮，完成证书的导入，系统会提示证书导入成功，如图5-12所示。任务一、防火墙初始配置实训指导图5-8证书导入向导图5-9证书导入向导任务一、防火墙初始配置实训指导图5-10证书导入向导图5-11证书导入向导任务一、防火墙初始配置实训指导图5-12证书导入向导任务一、防火墙初始配置实训指导第2步，登录防火墙防火墙出厂时，默认在WAN接口配置了一个IP地址00/24，并且只允许IP地址为00的主机对其进行管理。我们将管理主机的IP地址配置为00/24，在Web浏览器的地址栏中输入00:6666。注意，这里使用的“https”，这样所有的管理流量都是通过SSL进行加密的，并且端口号为6666，这是使用文件证书登录防火墙时使用的端口。如果使用USB-KEY登录，端口号为6667。当使用00:6666登录防火墙时，防火墙将提示管理主机初始管理员证书，该证书就是之前导入的管理员证书，点击<确定>按钮，如图5-13。任务一、防火墙初始配置实训指导注意，这里使用的“https”，这样所有的管理流量都是通过SSL进行加密的，并且端口号为6666，这是使用文件证书登录防火墙时使用的端口。如果使用USB-KEY登录，端口号为6667。当使用00:6666登录防火墙时，防火墙将提示管理主机初始管理员证书，该证书就是之前导入的管理员证书，点击<确定>按钮，如图5-13。图5-13选择数字证书通过验证后，此时就可以进入到防火墙的登录界面。使用默认的用户名admin，密码firewall登录防火墙，如图5-14。任务一、防火墙初始配置实训指导图5-13选择数字证书通过验证后，此时就可以进入到防火墙的登录界面。使用默认的用户名admin，密码firewall登录防火墙，如图5-14。任务一、防火墙初始配置实训指导图5-14登陆防火墙图5-15防火墙初始界面任务一、防火墙初始配置实训指导第3步，初始化向导1—修改口令

进入防火墙配置页面后，点击图5-15右上方的<初始向导>按钮，进入防火墙的初始化向导。初始化向导的第1步是修改默认的管理员密码,如图5-16。图5-16防火墙工作模式任务一、防火墙初始配置实训指导第4步，初始化向导2—工作模式初始化向导的第2步是设置接口的工作模式。接口工作在混合模式和路由模式，默认为路由模式。路由模式是指接口对报文进行路由转发，混合模式是指接口对报文进行透明桥接转发，如图5-17。图5-17防火墙工作模式任务一、防火墙初始配置实训指导第5步，初始化向导3—接口IP初始化向导的第3步是设置接口的IP地址和掩码信息，并且可以设置该地址是否作为管理地址，是否允许主机ping等选项，如图5-18。图5-18防火墙接口IP任务一、防火墙初始配置实训指导第6步，初始化向导4—默认网关初始化向导的第4步是设置防火墙的默认网关，通常这都是ISP侧路由器的地址。第7步，初始化向导5—默认网关初始化向导的第5步是设置管理主机，只有该地址可以对防火墙进行管理。后续在配置界面中还可以添加多个管理主机。默认的管理主机为00。第8步，初始化向导6—安全规则初始化向导的第6步是添加安全规则，这里可以根据内部和外部的子网信息进行配置。任务一、防火墙初始配置实训指导第9步，初始化向导7—管理方式初始化向导的第7步是设置管理防火墙的方式，这里可以选择三种方式：使用串口连接Console接口进行命令行管理；使用Web的HTTPS方式，即我们现在登录的方式；使用SSH加密连接进行命令行管理。第10步，初始化向导8—完成向导初始化向导的第8步是完成向导的配置，此时页面会显示之前步骤配置的结果，点击<完成>按钮。任务一、防火墙初始配置实训指导【注意事项】完成向导后，由于防火墙接口的地址、管理主机的地址已经改变，所以需要使用新的配置重新登录防火墙进行管理。【子项目名称】使用防火墙实现安全的访问控制【子项目目的】利用防火墙的安全策略实现严格的访问控制【子项目目的】

某企业网络的出口使用了一台防火墙作为接入Internet的设备，现在需要使用防火墙的安全策略实现严格的访问控制，以允许必要的流量通过防火墙，并且阻止到Internet的未授权的访问。企业内部网络使用的地址段为/24。公司经理的主机IP地址为00/24，设计部的主机IP地址为01/24-03/24，其它员工使用/24-9/24范围内的地址。并且公司在公网上有一台IP地址为的外部FTP服务器。现在需要在防火墙上进行访问控制，使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件；设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器；其它员工的主机只能访问公司的外部FTP服务器。子项目5.3管理防火墙任务二、使用防火墙实现安全的访问控制实训指导任务二、使用防火墙实现安全的访问控制实训指导【需求分析】企业网络需要对内部网络到达Internet的流量进行限制，防火墙的安全策略（包过滤规则）可以满足这个需求，实现内部网络到Internet的严格的访问控制需求。【子项目拓扑】【子项目设备】防火墙连接到Internet的链路、防火墙1台、PC3台、FTP服务器1台【子项目原理】实现访问控制是防火墙的基本功能，防火墙的安全策略（包过滤规则）可以根据数据包的源IP地址、目的IP地址、服务（端口号）等对通过防火墙的报文进行检测。任务二、使用防火墙实现安全的访问控制实训指导图5-20防火墙接口配置任务二、使用防火墙实现安全的访问控制实训指导【子项目步骤】第1步，配置防火墙接口的IP地址进入防火墙的配置页面：网络配置—>接口IP，单击<添加>按钮为接口添加IP地址为防火墙的LAN接口配置IP地址及子网掩码。图5-21防火墙接口IP配置任务二、使用防火墙实现安全的访问控制实训指导为防火墙的WAN接口配置IP地址及子网掩码。图5-22防火墙接口IP配置任务二、使用防火墙实现安全的访问控制实训指导接口配置IP地址后的状态。图5-23防火墙接口IP状态任务二、使用防火墙实现安全的访问控制实训指导第2步，配置针对经理的主机的访问控制规则。进入防火墙配置页面：安全策略->安全规则，单击页面上方的<包过滤规则>按钮添加包过滤规则。图5-24防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许经理的主机访问Internet中Web服务器的包过滤规则。图5-25防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许经理的主机进行DNS域名解析的访问规则。图5-26防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许经理的主机访问公司外部FTP服务器的访问规则。图5-27防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许经理的主机使用邮件客户端发送邮件（SMTP）的访问规则。图5-28防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许经理的主机使用邮件客户端接收邮件（POP3）的访问规则。图5-29防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导第3步，配置针对设计部的主机的访问控制规则添加允许设计部的主机访问Internet中Web服务器的访问规则。图5-30防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许设计部的主机进行DNS域名解析的访问规则。图5-31防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导添加允许设计部的主机访问公司外部FTP服务器的访问规则。图5-32防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导第4步，配置针对其它员工的主机的访问控制规则添加允许其它员工的主机访问公司外部FTP服务器的访问规则。图5-33防火墙访问控制规则任务二、使用防火墙实现安全的访问控制实训指导第5步，查看配置的访问规则图5-34防火墙访问控制规则状态第6步，验证测试经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件。设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器。其它员工的主机只能访问公司的外部FTP服务器。任务二、使用防火墙实现安全的访问控制实训指导【注意事项】防火墙的访问控制规则是按照顺序进行匹配的，如果数据流匹配到某条规则后，将不再进行后续规则的匹配。默认情况下，防火墙拒绝所有未明确允许的数据流通过。本子项目中没有给出防火墙路由的配置，需要根据实际网络情况在防火墙上配置到达Internet（通常是默认路由）和内部网络的路由。任务二、使用防火墙实现安全的访问控制实训指导【子项目名称】使用防火墙防止DoS抗攻击【子项目目的】利用防火墙的抗攻击功能防止SYNFlood攻击【背景描述】某公司使用防火墙作为网络出口设备连接到Internet，并且公司内部有一台对外提供服务的FTP服务器。最近网络管理员发现Internet中有人向FTP服务器发起SYNFlood攻击，造成FTP上存在大量的半开放连接，消耗了服务器的系统资源。子项目5.3管理防火墙任务三、使用防火墙防止DoS攻击任务三、使用防火墙防止DoS攻击【需求分析】要防止来自外部网络的DoS攻击，可以使用防火墙的抗攻击功能。【子项目拓扑】【子项目设备】防火墙1台、PC2台（一台作为FTP服务器，一台模拟外部网络的攻击者）、FTP服务器软件程序、SYNFlood攻击软件程序【子项目原理】SYNFlood是一种常见的DoS攻击，这种攻击通过使用伪造的源IP地址，向目标主机（被攻击端）发送大量的TCPSYN报文。目标主机接收到SYN报文后，会向伪造的源地址回应TCPSYN_ACK报文以等待发送端的ACK报文来建立连接。但是由于发送端的地址是伪造的，所以被攻击端永远不会收到合法的ACK报文，这将造成被攻击端建立大量的半开放连接，消耗大量的系统资源，导致不能提供正常的服务。防火墙的抗攻击功能可以对SYNFlood攻击进行检测，阻止大量的TCPSYN报文到达被攻击端，保护内部主机的资源。任务三、使用防火墙防止DoS攻击【子项目步骤】第1步，配置防火墙接口的IP地址进入防火墙的配置页面：网络配置—>接口IP，单击<添加>按钮为接口添加IP地址。为防火墙的LAN接口配置IP地址及子网掩码。图5-36防火墙接口配置任务三、使用防火墙防止DoS攻击为防火墙的WAN接口配置IP地址及子网掩码。图5-37防火墙接口配置任务三、使用防火墙防止DoS攻击第2步，配置端口映射规则为了使