《数据通信与计算机网》-项目七：数据通信网络安全

项目描述：随着Internet的发展，网络丰富的信息资源给用户带来了极大的方便，但同时也给上网用户带来了安全问题。由于Internet的开放性和超越组织与国界等特点，使它在安全性上存在一些隐患。本项目介绍了六种主要的网络安全技术，包括防火墙、访问控制列表（ACL）、网络地址转换（NAT）、虚拟专网（VPN）、地址解析协议（ARP）、IP源防护（IPSG）等。项目分析：通过对六种主要的网络安全技术，包括防火墙、访问控制列表（ACL）、网络地址转换（NAT）、虚拟专网（VPN）、地址解析协议（ARP）、IP源防护（IPSG）等技术原理的介绍，学会使用华为eNSP仿真软件实现对以上网络安全技术的配置。项目七：数据通信网络安全项目目标：掌握防火墙的作用、工作原理及配置掌握ACL技术的原理及配置掌握NAT技术的原理及配置掌握VPN技术的原理及配置了解ARP技术的原理及配置了解IPSG技术的原理及配置项目七：数据通信网络安全任务1：防火墙及配置任务2：ACL技术及配置任务3：NAT技术及配置任务4：VPN技术及配置任务5：ARP技术及配置任务6：IPSG技术及配置项目七：数据通信网络安全任务7.1：防火墙及配置任务描述

防火墙是一种位于内部网络与外部网络之间的网络安全系统。本任务介绍了防火墙的定义、作用、种类、不足、产品及工作原理，通过对华为USG6000V防火墙的配置，实现了企业内网免受Internet安全隐患的威胁，同时保证了正常访问Internet的需求。任务分析

本任务在了解防火墙的定义、作用、种类、不足、产品及工作原理的基础上，使用华为eNSP仿真软件完成对USG6000V防火墙的配置，实现在不同的域间方向应用不同的安全策略进行不同的控制。知识准备7.1.1防火墙原理1.防火墙的定义古时候，建造和使用木质结构的房屋，为了在火灾发生时，防止火势蔓延，人们将坚固的石块堆砌在房屋周围形成一道墙作为屏障，这种防护构筑物成为防火墙。在今天的网络世界，人们借用这个概念，把隔离内部网络和外界网络之间的防御系统成为防火墙。知识准备7.1.1防火墙原理1.防火墙的定义防火墙是一种位于两个或多个网络间，按照一定的访问规则对网络间传输的数据进行过滤，向内部网络提供保护功能的硬件设备与软件的集合。通常防火墙安装或设置在一台或多台计算机或路由器中，对内部网络提供保护，防止Internet的危险传播到内部网络。知识准备7.1.1防火墙原理1.防火墙的定义防火墙一方面阻止来自Internet的对内部网络的未授权或未认证的访问，另一方面允许内部网络用户对Internet进行web访问或收发E-mail等。现在的许多防火墙同时还具有一些其他功能，如进行身份鉴别，对信息进行加密处理等。知识准备7.1.1防火墙原理2.防火墙的作用通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机防火墙可以对企业内部网实现集中的安全管理，无须在内网每台机器上分别设立安全策略增强的保密性使用防火墙可以阻止攻击者获取攻击网络系统的有用信息策略执行防火墙提供了制定和执行网络安全策略的手段防火墙的作用保护脆弱的服务控制对系统的访问集中的安全管理知识准备7.1.1防火墙原理3.防火墙的种类包过滤通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。应用代理型它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。状态检测型防火墙内外计算机系统间应用层的"链接"，由两个终止代理服务器上的"链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。代理服务知识准备7.1.1防火墙原理4.防火墙的不足01恶意的知情者02不通过它03全部的威胁04病毒知识准备7.1.1防火墙原理5.华为防火墙产品（1）USG2110：USG2110是华为针对中小企业及连锁机构、SOHO企业等发布的防火墙设备。（2）USG6600：是华为面向下一代网络环境防火墙产品适用于大中型企业及数据中心等网络环境。（3）USG9500：该系列包含USG9520、USG9560、USG9580三种系列，适用于云服务提供商、大型数据中心、大型企业园区网络等。（4）NGFW：全称就是下一代防火墙，NGFW更适用于新的网络环境。知识准备7.1.1防火墙原理6.华为防火墙工作原理（1）Trust区域：主要用于连接公司内部网络。（2）UNtrust区域：通常连接外部网络，安全级别很低。该区域表示不受信任的区域。（3）DMZ区域：非军事化区域，一般用来连接需要对外提供服务的服务器，其安全性介于Trust和UNtrust区域之间，安全等级中等。（4）Local区域：指防火墙本身，防火墙除了转发区域之间的报文之外，还需要自身接收和发送流量。知识准备7.1.1防火墙原理6.华为防火墙工作原理（1）入方向（Inbound）：数据由低级别的安全区域向高级别的安全区域传输的方向。如Untrust区域的流量到trust区域的流量就属于Inbound方向。（2）出方向（Outbound）：数据由高级别的安全区域向低级别的安全区域传输的方向。如trust区域的流量到Untrust区域的流量就属于Outbound方向。任务实施7.1.2防火墙原理1.网络拓扑图任务实施7.1.2防火墙原理2.配置需求PC1是企业内网用户，要通过防火墙NAT方式(05-06)访问Internet，Server是企业的FTP服务器，通过静态NAT方式供外网用户访问，对外的地址是00。FW1是企业边界防火墙，充当路由和保护企业安全的责任。AR1、AR2是外网路由器。PC1是Trust区域、Server是DMZ区域，AR1、AR2是Untrust区域。任务7.2：ACL技术及配置任务描述

访问控制列表（ACL）是应用在路由器接口的指令列表。ACL可以通过对网络中报文流的精确识别，与其他技术结合，达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的，从而切实保障网络环境的安全性和网络服务质量的可靠性。本任务介绍了ACL的基本概念及工作原理，通过实例完成了基本ACL和高级ACL的配置。任务分析

本任务首先介绍了ACL概述，然后介绍了ACL的基本概念及工作原理，包括ACL组成、通配符、ACL分类、ACL匹配机制等，最后在熟悉ACL基本配置命令的基础上，完成了ACL的配置，实现了报文过滤的作用。知识准备7.2.1ACL原理访问控制列表(AccessControlLists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。ACL可以达到控制网络访问行为、防止网络攻击和提高网络带宽利用率的目的。1.ACL概述

知识准备7.2.1ACL原理1.ACL概述

使用ACL，可以阻止某主机访问某一指定网络，实现ACL的核心技术是包过滤技术。ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类，并对不同类型的报文进行不同的处理。知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理1）ACL组成

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理2）通配符

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理3）ACL的分类

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理3）ACL的分类

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理4）ACL的匹配机制

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理4）ACL的匹配机制

知识准备7.2.1ACL原理2.ACL的基本概念及其工作原理4）ACL的匹配机制

任务实施7.2.2ACL配置1.基本ACL配置命令1）创建基本ACL[Huawei]acl[number]acl-number[match-orderconfig]acl-number：指定访问控制列表的编号。match-orderconfig：指定ACL规则的匹配顺序，config表示配置顺序。[Huawei]aclnameacl-name{basic|acl-number}[match-orderconfig]acl-name：指定创建的ACL的名称。basic：指定ACL的类型为基本ACL。任务实施7.2.2ACL配置2）配置基本ACL规则[Huawei-acl-basic-2000]rule[rule-id]{deny|permit}[source{source-addresssource-wildcard|any}|time-rangetime-name]rule-id：指定ACL的规则ID。deny：指定拒绝符合条件的报文。permit：指定允许符合条件的报文。source{source-addresssource-wildcard|any}：指定ACL规则匹配报文的源地址信息。如果不配置，表示报文的任何源地址都匹配。其中：source-address：指定报文的源地址。source-wildcard：指定源地址通配符。any：表示报文的任意源地址。相当于source-address为或者source-wildcard为55。time-rangetime-name：指定ACL规则生效的时间段。其中，time-name表示ACL规则生效时间段名称。如果不指定时间段，表示任何时间都生效。任务实施7.2.2ACL配置2.基本ACL配置案例1）网络拓扑图

2）配置需求在Router上部署基本ACL后，ACL将试图穿越Router的源地址为/24网段的数据包过滤掉，并放行其他流量，从而禁止/24网段的用户访问Router右侧的服务器网络。任务实施7.2.2ACL配置3）配置步骤（1）如图完成路由器的IP地址和路由相关配置。（2）创建基本ACL2000并配置ACL规则，拒绝/24网段的报文通过，允许其他网段的报文通过。[Router]acl2000[Router-acl-basic-2000]ruledenysource55[Router-acl-basic-2000]rulepermitsourceany（3）配置流量过滤。[Router]interfaceGigabitEthernet0/0/1[Router-GigabitEthernet0/0/1]traffic-filterinboundacl2000[Router-GigabitEthernet0/0/1]quit4）测试路由器上配置ACL后，/24网段的用户不能访问Router右侧的服务器网络。任务实施7.2.2ACL配置3.高级ACL配置1）网络拓扑图任务实施7.2.2ACL配置2）配置步骤[RTA]acl3000[RTA-acl-adv-3000]ruledenytcpsource55destinationdestination-porteq21[RTA-acl-adv-3000]ruledenytcpsource55destination[RTA-acl-adv-3000]rulepermitip[RTA-GigabitEthernet0/0/0]traffic-filteroutboundacl3000任务实施7.2.2ACL配置3）验证配置[RTA]displayacl3000AdvancedACL3000,3rulesAcl'sstepis5rule5denytcpsource55destination0destination-porteqsftprule10denytcpsource55destination0rule15permitip[RTA]displaytraffic-filterapplied-record-----------------------------------------------------------InterfaceDirectionAppliedRecord-----------------------------------------------------------GigabitEthernet0/0/0outboundacl3000-----------------------------------------------------------任务7.3：NAT技术及配置任务描述

网络地址转换（NAT）技术是在私有IP地址和公网IP地址之间执行转换。NAT是改变IP报文中的源或目的地址的一种处理方式；让局域网用户访问外网资源，也可以设定内部的应用对外提供服务；隐藏内部局域网的IP主机，起到安全保护的作用。本任务介绍了NAT的概述、类型及工作原理，完成了NAT的配置，实现内部网络的主机访问外部网络，提升了内网的安全性。任务分析

通过对NAT概述的介绍，了解了NAT的作用。然后介绍了NAT的四种类型，即静态NAT、动态NAT、NAPT/EasyIP和NAT服务器。最后通过对NAT的配置，完成了地址转换，实现了内网和外网互访。知识准备7.3.1NAT原理1.NAT概述知识准备7.3.1NAT原理1.NAT概述公有地址：由专门的机构管理、分配，可以在Internet上直接通信的IP地址。私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。A、B、C类地址中各预留了一些地址专门作为私有IP地址。知识准备7.3.1NAT原理1.NAT概述NAT（NetworkAddressTranslation，网络地址转换）技术是在私有IP地址和公网IP地址之间执行转换。NAT是改变IP报文中的源或目的地址的一种处理方式；让局域网用户访问外网资源，也可以设定内部的应用对外提供服务；隐藏内部局域网的IP主机，起到安全保护的作用。知识准备7.3.1NAT原理1.NAT概述知识准备7.3.1NAT原理2.NAT的类型和技术原理1）静态NAT静态NAT：每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系是一对一映射。静态NAT实际中很少用，因为一个公网IP地址无法为内网中的多台主机同时提供外网连接。知识准备7.3.1NAT原理2.NAT的类型和技术原理2）动态NAT动态NAT：静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发送数据时，与之对应的公有地址也处于使用状态。为了避免地址浪费，动态NAT提出了地址池的概念：所有可用的公有地址组成地址池。知识准备7.3.1NAT原理2.NAT的类型和技术原理3）NAPT/EasyIPNAPT（NetworkAddressandPortTranslation，网络地址端口转换）：从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1:n映射，可以有效提高公有地址利用率。知识准备7.3.1NAT原理2.NAT的类型和技术原理3）NAPT/EasyIPEasyIP：实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于EasyIP没有地址池的概念，使用接口地址作为NAT转换的公有地址。EasyIP适用于不具备固定公网IP地址的场景。知识准备7.3.1NAT原理2.NAT的类型和技术原理4）NAT服务器NATServer：指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用。外网主机主动访问[公有地址:端口]实现对内网服务器的访问。任务实施7.3.2NAT配置静态NAT、动态NAT、NAPT和EasyIP配置1）网络拓扑图任务实施7.3.2NAT配置2）静态NAT配置[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]natstaticglobalinside[R1-GigabitEthernet0/0/1]natstaticglobalinside[R1-GigabitEthernet0/0/1]natstaticglobalinside任务实施7.3.2NAT配置3）动态NAT配置[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat任务实施7.3.2NAT配置4）NAPT配置[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1任务实施7.3.2NAT配置5）EasyIP配置[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000任务实施7.3.2NAT配置2.NAT服务器配置1）网络拓扑图任务实施7.3.2NAT配置2.NAT服务器配置2）配置命令[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]natserverprotocoltcpglobalwwwinside08080任务7.4：VPN技术及配置任务描述

VPN是一条穿过非安全网络的安全、稳定的隧道，可以低成本实现异地网络的互联，轻松实现分支机构、合作伙伴、出差员工等访问企业网络。VPN以虚拟的连接，而不是物理连接实现了网络的互通。VPN的分类有按照业务用途分类、按照运营模式分类、按照组网模型分类、按照网络层次分类等多种方式。任务分析

通过对VPN概念的介绍，了解了VPN的应用。然后介绍了按照业务用途、按照运营模式分类、按照组网模型分类、按照网络参差分类等VPN分类方式。最后通过对VPN的配置，完成了IPSecVPN的配置。知识准备7.4.1VPN原理虚拟专用网络（VirtualPrivateNetwork，VPN）指在公用网络（通常是互联网）上建立临时的、安全的连接VPN是一条穿过Internet网络的安全、稳定的隧道知识准备7.4.1VPN原理要实现深圳、北京两地网络的互联，传统的方法是向运营商租用专线构建广域网（WAN），这样的通信方案必然导致高昂的网络通信和维护费用知识准备7.4.1VPN原理通过VPN在Internet上构建一个虚拟隧道，这个隧道如同DDN专线一样把两地的网络进行互联VPN被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道知识准备7.4.1VPN分类VPN按照业务用途分为远程接入VPN（AccessVPN）内联网VPN（IntranetVPN）外联网VPN（ExtranetVPN）知识准备7.4.1VPN分类远程接入AccessVPN指客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问知识准备7.4.1VPN分类内联网VPN指网关到网关，通过公司的网络架构连接来自同公司的资源利用VPN特性可以在Internet上组建世界范围内的IntranetVPM利用Internet的线路保证网络的互联性知识准备7.4.1VPN分类外联网VPN与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接ExtranetVP通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网知识准备7.4.1VPN分类VPN按照运营模式分为CPE-BasedVPNNetwork-BasedVPN知识准备7.4.1VPN分类在CPE-basedVPN模式下，由用户控制VPN的构建、管理和维护CPE-basedVPN中，依靠用户侧的网络设备发起VPN连接，不需要运营商提供特殊的支持就可以实现VPN知识准备7.4.1VPN分类在Network-basedVPN模式下，VPN的构建、管理和维护由ISP控制允许用户在一定程度上进行业务管理和控制提供特殊的支持就可以实现VPN知识准备7.4.1VPN分类VPN按照组网模型分为VPDNVPRNVLLVPLS知识准备7.4.1VPN分类VPDN(VirtualPrivateDialNetwork)虚拟拨号专网VPDN除VPN的总部网络中心采用专线接入VPN服务提供商的网络外，其余的VPN用户通过PSTN或ISDN拨号线路接入网络知识准备7.4.1VPN分类VPRN(VirtualPrivateRoutedNetworks)即虚拟专用路由网络VPRN用IP设施仿真出一个专用多站点广域路由网知识准备7.4.1VPN分类VLL（VirtualLeasedLines）即虚拟租用线，VLL是VPN中最简单的网络类型，可以说它是VPN中的一个特例知识准备7.4.1VPN分类VPLS（VirtualPrivateLANSegment）即虚拟专用LAN网段，是用Internet设施仿真的LAN网段知识准备7.4.1VPN分类按照网络层次分为一层VPN二层VPN三层VPN传输层VPN应用层VPN知识准备7.4.1VPN分类VPLS（VirtualPrivateLANSegment）即虚拟专用LAN网段，是用Internet设施仿真的LAN网段知识准备7.4.1VPN分类IPSecVPN工作模式包括隧道模式(TunnelMode)和传输模式(TransportMode)。隧道模式适宜于建立安全VPN隧道，传输模式适用于两台主机之间的数据保护。知识准备7.4.1VPN分类隧道模式仅适用于IP-in-IP数据报。在隧道模式下，IPsec策略强制实施于内部IP数据报的内容中。知识准备7.4.1VPN分类传输模式在原始IP头部和IP负载之间插入一个ESP头部，并且在最后面加上ESP尾部和ESP验证数据部分任务实施7.4.2VPN配置企业在总部和分支机构各有一个局域网，两个局域网均已经连接到Internet。企业希望把分支子网与总部子网进行连接，考虑使用数据专线的成本较高，准备采用VPN技术任务7.5：ARP技术及配置任务描述

ARP即地址解析协议，目的是实现IP地址到MAC地址的转换。在了解局域网单播ARP、广播ARP原理的基础上，进一步深入理解ARP攻击的概念，并完成ARP表项固化配置、综合配置和防止中间人攻击配置。

任务分析

通过对ARP概念的介绍，了解了ARP的应用。然后介绍了局域网中单播ARP原理、局域网中广播ARP原理、局域网中ARP攻击等ARP原理，完成了ARP表项固化配置、ARP综合配置、防止中间人攻击配置等ARP配置。知识准备7.5.1ARP原理ARP（AddressReso