2021HCNP security 網(wǎng)絡(luò)安全配置手冊(cè)

HCNPsecurity網(wǎng)絡(luò)安全配置資料課程簡(jiǎn)介Eth-trunk：手工負(fù)載分擔(dān)模式FW2:interface Eth-trunk 0portswitch (改為二層接口，默認(rèn)是三層口trunkportgi1/0/0trunkportgi1/0/1trunkportgi1/0/2portlink-type porttrunkallow-passvlanallfirewallzonetrustaddinterfaceEth-Trunk0 trust區(qū)域FW1：注意：圖形界面配置會(huì)死機(jī)！注意：需將接pc的gi1/0/6gi1/0/3trust性測(cè)試！和交換機(jī)eth-trunk對(duì)接：sw1：interfaceEth-Trunk1（默認(rèn)二層）trunkportgi0/0/5trunkportgi0/0/4trunkportgi0/0/3port link-typeport trunkallow-passvlanallFW1配置：interface Eth-trunk1portswitchtrunkportgi1/0/0trunkportgi1/0/1trunkportgi1/0/2portlink-type porttrunkallow-passvlanallfirewallzonetrustaddinterfaceEth-Trunk1 trust區(qū)域PC1訪問PC6調(diào)試命令：dis eth-trunk 0dis stp brief(sw1)當(dāng)然也可以將eth-trunk當(dāng)成三層口來(lái)配置ip地址。Eth-trunk靜態(tài)lacp模式：link controlprotocol注意：對(duì)于Eth-trunklacp32768，默認(rèn)開啟搶占，且搶占時(shí)間是30s）sw2：laclpriority100 修改lacpinterfaceEth-Trunk0（默認(rèn)二層）portlink-typetrunkporttrunkallow-passvlan2to4094modelacp-static（必須先指定模式，然后再加接口）maxactive-linknumber2 分擔(dān)trunkport gi0/0/1 eth-trunktrunkport gi0/0/2trunkport gi0/0/3interfaceGigabitEthernet0/0/1eth-trunk0lacppriority10（修改接口lacp優(yōu)先級(jí)默認(rèn)32768）#interfaceGigabitEthernet0/0/2eth-trunk0lacppriority20#interfaceGigabitEthernet0/0/3eth-trunk0lacppriority30sw3配置和sw2類似但可以不指定相關(guān)優(yōu)先級(jí)調(diào)試：dis stp briefPC互ping冗余性測(cè)試IP-link:鏈路健康檢查 ：主要檢查非直連障、以及系統(tǒng)服務(wù)故障多出口選路、服務(wù)器負(fù)載均衡等健康檢查可以使用的探測(cè)報(bào)文：icmp、arp、tcp、dns、http等報(bào)文ip-link命令行配置：ip-linkcheckenableip-linknamelink_to_聯(lián)通destinationinterfaceGigabitEthernet1/0/1modeicmpiproute-statictrackip-linklink_to_聯(lián)通鏈路健康檢查命令行配置：healthcheckenablehealthchecknamehealth_jiaoyudestinationinterfaceGigabitEthernet1/0/1protocolicmpinterfaceGigabitEthernet1/0/1undoshutdownipaddress48aliasuntrust_教育healthcheckhealth_jiaoyu動(dòng)態(tài)路由：ripripsw1：rip1version2networknetworknetworkFW：ospf配置sw1：ospfarea0network55network55network55FW：BGP注意：不能使用gi0/0/0口傳輸業(yè)務(wù)流量，且FW2gi1/0/1口需要?dú)w屬區(qū)域FW1:FW2：bgp100router-idpeeras-number100策略路由優(yōu)先程度：策略路由>明細(xì)路由>缺省路由明細(xì)路由近選路生成Unr（優(yōu)先級(jí)70)達(dá)A目標(biāo)，此時(shí)pk路由優(yōu)先級(jí)，優(yōu)先級(jí)數(shù)字越小越優(yōu)先。就近選路：基于運(yùn)營(yíng)商更新運(yùn)營(yíng)商地址庫(kù)（特殊情況：策略路由多出口智能選路）--->②（由）--->③全局智能選路（默認(rèn)路由）全局智能選路：缺省路由有兩個(gè)等價(jià)的下一跳智能選路進(jìn)行路由。例如：做了ISP能選路（主備）訪問不屬于中國(guó)的運(yùn)營(yíng)商。智能選路補(bǔ)充如果管理員配置了鏈路健康檢查功NGFW將持續(xù)向被探測(cè)設(shè)備發(fā)送探測(cè)報(bào)文，監(jiān)控本端和目的網(wǎng)絡(luò)之間的鏈路是否正常。當(dāng)NGFW路健康置鏈路健康檢查功能，則默認(rèn)所有鏈路狀態(tài)正常。客戶端的業(yè)務(wù)請(qǐng)求報(bào)文到達(dá)NGFW后，NGFW根據(jù)流量命中的路由信息決定如何轉(zhuǎn)發(fā)報(bào)文。當(dāng)流量命中策略路由或缺省路由時(shí)，如果有多個(gè)出接口可以轉(zhuǎn)發(fā)流量，則NGFW需要判斷哪個(gè)是最佳出接口，即需要進(jìn)行智能選路。在智能選路前，NGFW首先要查詢各出接口鏈路是否可用，故障鏈路不會(huì)參與智能選路。NGFW通過鏈路健康檢查功能反饋的結(jié)果判斷鏈路是否正常。載分擔(dān)，則NGFW會(huì)通過健康的鏈路向業(yè)務(wù)服務(wù)器發(fā)送鏈路質(zhì)量探測(cè)報(bào)文，獲取各鏈路的傳輸質(zhì)量信息。如果是其他智能選路方式，則不需要進(jìn)行鏈路質(zhì)量探測(cè)。NGFW路質(zhì)量探測(cè)表中，當(dāng)后續(xù)有訪問同一業(yè)務(wù)服務(wù)器的流量到達(dá)NGFW時(shí)，NGFW路質(zhì)量探測(cè)表中的信息進(jìn)行選路，無(wú)需重新進(jìn)行探測(cè)。只有當(dāng)鏈路質(zhì)量表項(xiàng)老化后，NGFW行鏈路質(zhì)量探測(cè)。NGFW計(jì)算，得出選路結(jié)果。NGFW按照智能選路結(jié)果，使用相應(yīng)的出接口轉(zhuǎn)發(fā)業(yè)務(wù)請(qǐng)求報(bào)文。業(yè)務(wù)服務(wù)器向客戶端發(fā)送應(yīng)答報(bào)文。DNS透明代理來(lái)回路徑不一致 異步路由 非對(duì)稱路由cli：undofirewallsessionlink-statecheck調(diào)試：顯示丟包的統(tǒng)計(jì)信息disfirewallstatisticsystemdiscard清空信息：resetfirewallstatisticsystem多通道協(xié)議（多信道，多會(huì)話）大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）、FTP、netmeeting等協(xié)議使用約定的固定端口來(lái)初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測(cè)的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。單通道協(xié)議：http（www）多通道協(xié)議：FTP的協(xié)商報(bào)文（信息，ASPF）推算出來(lái)。cli：firewalldetectftpASPFserver-map表：cli：firewalldetectftpNAT原理NAT :network address ipv4:2^32=42.9私網(wǎng)地址：可以在局域網(wǎng)內(nèi)部使用例如：A10.x.x.xB-55C192.168.x.x公網(wǎng)地址：全球獨(dú)一無(wú)二，只有一個(gè)地方在使例如：百度地址 7私網(wǎng)地址+NAT====>ipv4地址枯竭解決tp-link NAT轉(zhuǎn)換功能。私網(wǎng)地址不能在公網(wǎng)（電信、聯(lián)通、移動(dòng)）路由。公網(wǎng)地址是需要花錢租賃的。PC1：源端口2005-->4005： >PC2：源端口2006-->4006： >回包： >PAT:port 基于端口的地址翻easy-ip natNAT：適用于內(nèi)網(wǎng)用戶多達(dá)幾萬(wàn)企業(yè)或者運(yùn)營(yíng)商。NO-PAT目的NAT目的NAT配置：acl3000ruleper ip destination 0Firewallzone trustdestination-nat 3000 address 將目標(biāo)地址轉(zhuǎn)換成NAT：當(dāng)外網(wǎng)租賃的公網(wǎng)地址（）和自己的公網(wǎng)ip網(wǎng)地址（）時(shí)會(huì)出現(xiàn)路由環(huán)路。此時(shí)可以配置基于null0SLB：serverload-balance雙向NAT：NATserverNAT轉(zhuǎn)換目標(biāo)域間雙向NAT轉(zhuǎn)換：②域內(nèi)雙向NAT ：內(nèi)網(wǎng)使用域名訪問服務(wù)器實(shí)驗(yàn)拓?fù)洌鹤⒁猓悍?wù)器回包時(shí)不再查看nat策略，會(huì)直接找nat轉(zhuǎn)換session緩存，對(duì)應(yīng)著轉(zhuǎn)回去。即兩個(gè)nat策略僅僅在報(bào)文由PC1發(fā)往server3 去包時(shí)生效。會(huì)話session總共就一條！??！策略①來(lái)自任何區(qū)域的流量訪問時(shí)都轉(zhuǎn)換成6.策略②：去包轉(zhuǎn)換源地址 trust_trust區(qū)域（回包不起作用，回包看會(huì)話）安全策略：服務(wù)器DNS配置：NATALG打開ASPF自動(dòng)開啟ALGcli：firewalldetectftp關(guān)閉ASPF和ALG功能：undo firewallftp① ？：vrrp（虛擬iparp）cost值、路由協(xié)議收斂、禁用啟用vlan解決② 多個(gè)vrrp？：VGMP（vrrpmanagerprotocol）③ 安全策略配置和會(huì)話同步？：HRP（HuaweiRedundancyProtocol）雙機(jī)熱備組網(wǎng)圖：三層上下行接交換機(jī)主墻：備墻：注意1：默認(rèn)處于standby 狀態(tài)的設(shè)備不允許配置安全略和nat策略，只允許在主設(shè)備配置安全策略nat策略，且策略會(huì)自動(dòng)同步到備設(shè)備上面。開啟命令：hrpstandbyconfigenable+B 表示配置已經(jīng)同步到備設(shè)備上面。注意2：hrp包括TCP/UDP的會(huì)話表、ServerMap表項(xiàng)、動(dòng)態(tài)黑名單、NO-PAT表項(xiàng)、ARP表項(xiàng)以及相關(guān)安全策略配置。（路由配置時(shí)不同步的）注意3：主設(shè)備配置由trust_to_untrust 放行策略，才通信注意4：默認(rèn)開啟搶占，且搶占延遲60s調(diào)試命令：dishrp state1R1pingR22R1telnetR2FW有修改搶占延遲：hrppreemptdelay3（默認(rèn)60s）注意：如果遇到防火墻重啟后主備紊亂（模擬器bug）將防火墻vrrp熱備功能，從新建立vrrp注意2：要等待1分鐘時(shí)間。原理：在防火墻上面啟用多個(gè)vrrp組，配置多個(gè)虛擬地址，不同防火墻擔(dān)任不同vrrp組的主設(shè)而實(shí)現(xiàn)負(fù)載分擔(dān)。part1ospf FW5：路由器ospf配置：R3:ospf1router-idareanetwork55network55network55ospf選路：cost值介紹安全策略：part2FW1:安全策略：FW2的配置和FW1類似!!工作原理主備：HRP會(huì)聯(lián)動(dòng)ospf使得備機(jī)對(duì)外發(fā)布o(jì)spfcost值為65500的路由。負(fù)載分擔(dān)：兩臺(tái)防火墻都會(huì)正常宣告ospfcost值，完全靠ospf路由協(xié)議實(shí)現(xiàn)負(fù)載分擔(dān)。負(fù)載分擔(dān)模式：（其他配置和主備一樣）FW1（FW5）:主備模式FW2（FW6）配置和FW1類似負(fù)載分擔(dān)模式：FW1:FW6:雙機(jī)熱備與BFD②監(jiān)控業(yè)務(wù)板假死③加快收斂路由器R1：intloo3ipadd24acl：acl 2000rule interfaceGigabitEthernet0/0/0traffic-filterinboundacl2000FW5:iproute-staticFW6:同樣配置環(huán)回接口和缺省路由。BFD配置：R1和FW5R1:bfdbfd1bindpeer-ipdiscriminatorlocal10discriminatorremote50commitFW5：BFD防火墻cli配置：hrpenablehrpinterfaceGigabitEthernet1/0/6remotehrptrackinterfaceGigabitEthernet1/0/0hrptrackinterfaceGigabitEthernet1/0/1hrptrackbfd-session50bfd1bindpeer-ipdiscriminatorlocal50discriminatorremote10commit安全策略放行bfd流量：udp 目的端口3784量雙機(jī)熱備與ip-link聯(lián)動(dòng)FW5：底層配置和上小節(jié)一樣ip-link配置：命令行ip-link配置：hrpenablehrpinterfaceGigabitEthernet1/0/6remotehrptrackinterfaceGigabitEthernet1/0/0hrptrackinterfaceGigabitEthernet1/0/1hrptrackip-linkaaip-linkcheckenableip-linknameaadestinationmodeicmp31 R1：ospf1router-idareanetwork55network55network55R3:#ospf1router-idareanetwork55network55network55注意：該拓?fù)浣ㄗh使用負(fù)載分擔(dān)模式，因?yàn)樵谥鱾淠Ｊ街蠪W6vlan5的接口處于禁用狀態(tài)，使得R2R4無(wú)法建立ospf鄰居，當(dāng)切換后，R2R4需要先建立ospf鄰居然后才可以傳遞路由，使得切換時(shí)間過長(zhǎng)，丟包太多。而使用負(fù)載分擔(dān)模式，就可以節(jié)省R2R4的ospf鄰居建立時(shí)間。FW5:虛擬防火墻理論介紹以下是了解內(nèi)容：注意：老墻：VFW 所有配置都要帶上一個(gè)實(shí)例，包括上層業(yè)務(wù)都是基于vpn實(shí)例。新墻：Vsys使用虛擬系統(tǒng)代替vpn實(shí)例來(lái)履行簡(jiǎn)化。以下知識(shí)需掌握：虛擬系統(tǒng)轉(zhuǎn)發(fā)：報(bào)文在入接口被打上虛擬系統(tǒng)系統(tǒng)標(biāo)記ID通過虛擬系統(tǒng)ID來(lái)查找其對(duì)應(yīng)的路由表、策略、或規(guī)則等來(lái)正確處理報(bào)文跨虛擬系統(tǒng)轉(zhuǎn)發(fā)：注意1：借助virtualif虛擬接口實(shí)現(xiàn)跨虛擬系統(tǒng)轉(zhuǎn)發(fā)，虛擬接口防火墻內(nèi)部自動(dòng)創(chuàng)建注意2：不同虛擬系統(tǒng)數(shù)據(jù)互通必須經(jīng)過根系統(tǒng)中轉(zhuǎn)（類似vlan間路由）例如：虛擬系統(tǒng)和根系統(tǒng)互訪二三層虛擬化：防火墻虛擬化①：完全獨(dú)立（內(nèi)外網(wǎng)網(wǎng)段可以重復(fù)）纜也完全隔離。專用網(wǎng)絡(luò)和普通網(wǎng)絡(luò)部門用戶各自獨(dú)立管理自己防火墻，獨(dú)立配置安全策略。缺省資源類：資源類創(chuàng)建（由于模擬器bug，只能用命令行創(chuàng)建）resource-classr1創(chuàng)建資源類r1resource-item-limitpolicyreserved-number100保留可以配置100等和此類似，在此不再配置。vsysnamevfw11assigninterfaceGigabitEthernet1/0/0 分配接口（web下可以配置）assigninterfaceGigabitEthernet1/0/2assignresource-classr1 分配資源類vsysnamevfw22assigninterfaceGigabitEthernet1/0/1assigninterfaceGigabitEthernet1/0/3assignresource-classr1此時(shí)刷新web頁(yè)面：注意：創(chuàng)建虛擬系統(tǒng)，先確定再給虛擬系統(tǒng)添加接口，否則接口看不見。虛擬防火墻接口區(qū)域劃分：完成后可以使用圖形界面切換：命令行：switch vsys vfw1 （切換到firewallzonetrustaddinterfaceGigabitEthernet1/0/0firewallzoneuntrustaddinterfaceGigabitEthernet1/0/2創(chuàng)建虛擬防火墻管理用戶：（web界面有bug，系統(tǒng)創(chuàng)建管理員點(diǎn)擊后模擬器會(huì)卡死）在此使用命令行switch vsysaaamanager-useradmin@@vfw1 （xxx@@vfw1，部分老版本系統(tǒng)是一個(gè)@）passwordcipherAdmin@123service-typeweblevel15圖形界面創(chuàng)建：使用新賬戶登陸只能管理vfw1admin（所有虛fw）切換虛擬系統(tǒng)切換到vfw1里面增加：①trust到untrust策略 ②缺路由 ③nat使得專網(wǎng)pc可以訪問最終效果：切換到vfw2里面增加：①trust到untrust策略 ②缺路由 ③nat使得普網(wǎng)pc2可以訪問最終效果：防火墻虛擬化②：虛擬系統(tǒng)和根系統(tǒng)互訪要求：財(cái)政部人員接防火墻vfw1 研發(fā)部人員接防火墻vfw2 研發(fā)部和財(cái)政部需要實(shí)施隔離，各部門獨(dú)立管理自己防火墻。但共用一條訪問互聯(lián)網(wǎng)外網(wǎng)線路。且只允許政部訪問/24研發(fā)部只允許訪問/24.虛擬系統(tǒng)和根系統(tǒng)互訪原理：配置：步驟① 創(chuàng)建vfw1和vfw2并規(guī)劃接口和區(qū)域創(chuàng)建資源類并分配用到的命令行：resource-classr1resource-item-limitsessionreserved-number50maximum100vsysnamevfw11assigninterfaceGigabitEthernet1/0/0assignresource-classr1vsysnamevfw22assigninterfaceGigabitEthernet1/0/1assignresource-classr1步驟②配置根防火墻缺省路由和nat步驟③配置virtualif接口之間的路由轉(zhuǎn)發(fā)和安全策略（即虛擬系統(tǒng)互訪路由和策略）vfw1配置：缺省路由目的虛擬路由器是public不需要指定下一跳或者出接口，系統(tǒng)自動(dòng)選擇vfw1配置:安全策略（按照要求只允許訪問8.8.8.x）vfw2配置：和上面類似public配置：注意1：vfw1和vfw2上不需要配置nat，nat轉(zhuǎn)換只需在public根墻上配置即可。注意2：模擬器bug，不用在public上配置回包路由也可以通信。真機(jī)需要配置回包路由。一定注意回包路由配置：配置完成后public的路由表：由路由表可以看出public缺少到達(dá)內(nèi)網(wǎng)/24和/24內(nèi)網(wǎng)路由。因此需要添加：命令行添加vfw2：（模擬器bug只顯示目的虛擬路由器ip route-static 24 vpn-instance vfw2至此配置完成！測(cè)試：防火墻基本拓?fù)浞阑饓就負(fù)?虛…成.zip70.83KB防火墻虛擬化③：虛擬系統(tǒng)之間互訪配置實(shí)（必須借助根墻）原理：防火墻基本拓?fù)?防火墻基本拓?fù)?虛…成.zip69.49KB要求：只允許財(cái)政部pc1訪問研發(fā)部pc2.注意：虛擬系統(tǒng)創(chuàng)建接口劃分延續(xù)上小節(jié)實(shí)驗(yàn)。配置在此省略。路由層面：（也可以寫明細(xì)路由，在此使用上小結(jié)實(shí)驗(yàn)缺省路由）vfw1：vfw2：新加策略如下vfw2：只允許pc1訪問pc2：public允許用戶訪問外網(wǎng)安全策略：測(cè)試：注意：根墻上不用配置untrust——>untrust策略，默認(rèn)就放行。調(diào)試：可以看到vfw1--vfw2session會(huì)話帶寬管理概述帶寬保證：保證網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)所需的帶寬，當(dāng)線路繁忙時(shí)，確保此類業(yè)務(wù)不受影響。帶寬限制：限制網(wǎng)絡(luò)中非關(guān)鍵業(yè)務(wù)占用的帶寬，避免此類業(yè)務(wù)消耗大量帶寬資源，影響其它業(yè)務(wù)。連接數(shù)限制：限制業(yè)務(wù)的連接數(shù)，有利于降低該業(yè)務(wù)占用的帶寬，還可以節(jié)省設(shè)備的會(huì)話資源。注意：多條帶寬策略（平級(jí)，非父子）從上往下一次匹配，一旦匹配就不再繼續(xù)向下匹配（類似acl）。總之，在設(shè)備上部署帶寬管理，可以幫助網(wǎng)絡(luò)管理員合理分配帶寬資源，從而提升網(wǎng)絡(luò)運(yùn)營(yíng)質(zhì)量。限流方式：上下行帶寬 總帶寬整體限流、每IP、每用戶限流（真機(jī)有每用戶）：配的流量。每ipPC（或者用戶的流量進(jìn)行單獨(dú)限制。引用方式：策略獨(dú)占 策略共享注意：一條帶寬通道可以被多條帶寬策略調(diào)用（引用）。策略獨(dú)占：PC1發(fā)往PC2的流量最低3M20MPC3發(fā)往PC4的流量最低3M最高20M 兩條略分別得到保障和限制。例如：策略A：15M 策略B：10M ok策略共享：PC1發(fā)往PC2+PC3發(fā)往PC4最高20M策略A：15M 策略B：10M 15+10>20需要丟棄文。流量（會(huì)有延遲）案例①背景：公司租賃某運(yùn)營(yíng)商100M帶寬。需求：①領(lǐng)導(dǎo)網(wǎng)段/24不做限速。②公司迅雷BT類的P2P下載最多占用20M帶寬③p2p類流量每個(gè)計(jì)算機(jī)下載最多不超過2M，且每個(gè)用戶鏈接數(shù)限制為300。④在中午12：00-14：00休息時(shí)間，所有用戶上網(wǎng)不進(jìn)行任何限速。⑤針對(duì)網(wǎng)頁(yè)類視頻每個(gè)PC的上下行速率總量不超過1M.⑥ （外）。其他流量不做任何限制??！接口帶寬限制：安全策略： 任何員工任何時(shí)間針對(duì)游戲類流量全部禁止（領(lǐng)導(dǎo)除外）。案例②CLI配置舉例：上述配置對(duì)應(yīng)的命令行配置如下：[NGFW]interfaceGigabitEthernet1/0/1[NGFW-gigabitethernet1/0/1]ipaddress[NGFW-gigabitethernet1/0/1]bandwidthingress100000[NGFW-gigabitethernet1/0/1]bandwidthegress100000[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_p2p[NGFW-traffice-policy-profile-profile_p2p]bandwidthdownstreammaximum-bandwidth20000[NGFW]traffic-policy[NGFW-traffice-policy]rulenamepolicy_p2p[NGFW-traffice-policy-rule-policy_p2p]source-zonetrust[NGFW-traffice-policy-rule-policy_p2p]destination-zoneuntrust[NGFW-traffice-policy-rule-policy_p2p]applicationappBT[NGFW-traffice-policy-rule-policy_p2p]applicationappeDonkey/eMule[NGFW-traffice-policy-rule-policy_p2p]actionqosprofileprofile_p2p[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_manager[NGFW-traffice-policy-profile-profile_manager]bandwidthdownstreamguaranteed-bandwidth20000[NGFW-traffice-policy-profile-profile_manager]bandwidthdownstreammaximum-bandwidth30000[NGFW]traffic-policy[NGFW-traffic-policy]rulenamepolicy_manager[NGFW-traffic-policy-rule-policy_manager]source-zonetrust[NGFW-traffic-policy-rule-policy_manager]destination-zoneuntrust[NGFW-traffic-policy-rule-policy_manager]user/manager[NGFW-traffic-policy-rule-policy_manager]actionqosprofileprofile_manager[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_connection[NGFW-traffice-policy-profile-profile_connection]bandwidthtotalconnection-limitper-rule3000調(diào)試命令：監(jiān)控面板---流量報(bào)表dis traffic-policyalldis traffic-policystatisticxxvpn）vpn產(chǎn)生原因：① ipv4地址不夠用② 網(wǎng)絡(luò)不是那么安全③ 錢的問題vpn：virtualprivatenetwork虛擬專用網(wǎng)絡(luò)分類：兩種vpn站點(diǎn)到站點(diǎn)(sitetosite)：網(wǎng)關(guān)與網(wǎng)關(guān)(L2L、S2S、lantolan、sitetosite）IPsec、GRE、GREoveripsec、DSVPN、MPLSvpn（運(yùn)營(yíng)商用）遠(yuǎn)程撥號(hào)訪問(pointtosite):主機(jī)與網(wǎng)關(guān)SSLVPN、IPsec、PPTP、L2TP+IPsec原理：封裝兩層IP面”偽裝法！ipsecSSL兩種常用加密算法ipsecvpnIKE：Internet keyexchange 協(xié)議ISAKMP：InternetSecurityAssociationKeyManagementProtocolIKE為IPSec協(xié)商生成密鑰,供ipsec報(bào)文加解密和驗(yàn)證使用。三個(gè)階段：①IKE密鑰協(xié)商階段（建立IKESA）②IPsec參數(shù)協(xié)商階段（建立IPsecSA）③加密傳輸數(shù)據(jù)（加密傳輸數(shù)據(jù)）vpn（續(xù)）調(diào)試命令：（后面配置時(shí)會(huì)再查看階段①disikesa resetikesa階段②disipsec sa reset ipsec sa階段③dis ipsec statistics 查看經(jīng)過ipsec解密的報(bào)文具體過程如下：當(dāng)一個(gè)報(bào)文從某接口外出時(shí)，如果此接口應(yīng)用了會(huì)進(jìn)行安全策略的匹配。感興趣流量的觸發(fā)！如果找到匹配的安全策略，會(huì)查找相應(yīng)的安全聯(lián)盟。如果安全聯(lián)盟還沒有建立，則觸發(fā)IKE進(jìn)行協(xié)商。IKE首先建立第一階段的安全聯(lián)盟，即IKESA。在第一階段安全聯(lián)盟的保護(hù)下協(xié)商第二階段的安全聯(lián)盟，即IPSecSA。使用IPSecSA保護(hù)通訊數(shù)據(jù)。ESP**AHESP**AH隧道模式**ESP+隧道AH+隧道傳輸模式ESP+傳輸AH+傳輸IKEv1：工作過程（了解）IKEv2工作工程：（了解）ipsec站點(diǎn)到站點(diǎn)配置（點(diǎn)到點(diǎn)）適用于支機(jī)構(gòu)少 分支少于7個(gè)前提：接口區(qū)域 公網(wǎng)地址可達(dá) 缺省路由 安策略放行所有總部：分支1：分支2：命令行配置：aclnumber3000rule5permitipsource55destination55aclnumber3001rule5permitipsource55destination55#ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256ikeproposal2encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256#ikepeerikre-shared-key123ike-proposal2local-idremote-addressikepeerikre-shared-key123ike-proposal1local-idremote-address#ipsecpolicyipsesakmpsecurityacl3000ike-peerikroposalprounnellocalapplied-interfacealiasvpn_fenzhi1ipsecpolicysecurityacl3001ike-peerikroposalprounnellocalapplied-interfacealiasvpn_fenzhi22isakmpinterfaceGigabitEthernet1/0/2undoshutdownipaddressipsecpolicyipsec1740523030安全策略：放行隧道協(xié)商的安全策略IKE和ESPESP：ip協(xié)議號(hào)50IKE ：UDP對(duì)象：總部：分支1：分支2：缺點(diǎn)：純ipsecvpn無(wú)法配置ospf?？偛繜o(wú)法學(xué)習(xí)分支路由。只能使用缺省路由+感興趣流量。分支較多時(shí)，ipsecvpn配置麻煩。企業(yè)訪問互聯(lián)網(wǎng)源nat配置：總部分支都需要配置！先排除/16互訪的流量，剩下的流量才進(jìn)行nat轉(zhuǎn)換。ipsec點(diǎn)到多點(diǎn) 使用圖形界面中的點(diǎn)到多點(diǎn)（總部-多分支）模板配置總部形成ipsec隧道后：總部配置：安全提議全部保持默認(rèn)??！總部反向路由注入生成的unr路由：總部隧道形成后：分支1配置：安全提議全部保持默認(rèn)??！分支2配置：測(cè)試結(jié)果：需由分支主動(dòng)訪問總部分支1訪問總部和分支2分支2訪問總部和分支1：總部訪問分支：企業(yè)訪問互聯(lián)網(wǎng)源nat配置：總部分支都需要配置！先排除/16互訪的流量，剩下的流量才進(jìn)行nat轉(zhuǎn)換。安全策略：ESP ip50IKE：UDP 目標(biāo)端口500 （如果有NAT穿越景還需再放行UDP4500）總部安全策略:分支1安全策略：分支2安全策略：和分支1完全相同防火墻防火墻-ipsecvpn點(diǎn)略77.54KB注意1：分支接口調(diào)用int gixxxipsec policyxxx auto-neg vpn注：模擬器bug，不支持auto-neg命令，因此需要分支主動(dòng)發(fā)起流量才可以。如果認(rèn)證不成功，可以將防火墻保存重啟然后點(diǎn)擊診斷主動(dòng)發(fā)起協(xié)商 （適用分支）注意2：由于模擬器bug不支持主動(dòng)觸發(fā)（auto-neg），因此分支互訪時(shí)需要兩邊的分支分別訪問對(duì)方后才可以通信。例如：分支1--->分支2（1--->分支2的ipsecvpn隧道）2--->分支1（ok），部建立了分支ABipsec），然后再用另一個(gè)分支B訪問分支A即可。分支互通后，總部ipsec監(jiān)控：注意3：hub端安全策略放行untrust<-->untrust的流量（兩分支互訪流量）??！注意4：感興趣acl不允許配置成/16----/16.配置此感興趣流后隧道無(wú)法建立。要用感興趣流量將隧道進(jìn)行區(qū)分。注意5：分支1訪問分支2：遇到問題。。。。分支1訪問分支2的流量需要經(jīng)過總部進(jìn)行中轉(zhuǎn)，但是流量發(fā)到總部后源地址192.168.2.x---->192.168.3.x不滿足總部acl感興趣流量，因此訪問中斷解決方案：在總部acl里面增加2.x<——->3.x互訪的感興趣流量aclnumber3000rule10permitipsource55destination55rule15peripsou55desti55aclnumber3001rule5permitipsource55destination55rule10peripsou55desti55命令行配置:總部CLI：aclnumber3001rule5permitipsource55destination55rule10permitipsource55destination55rule15permitipsource55destination55rule20permitipsource55destination55#ipsecproposalprop52224236579espauthentication-algorithmespencryption-algorithmaes-256ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256#ikepeerike174133041305pre-shared-key123ike-proposal1local-id#ipsecpolicy-templatetpl1741330413051securityacl3001ike-peerike174133041305proposalproliasaarouteinjectdynamic#ipsecpolicyipsec174133041610000isakmptemplatetpl174133041305#interfaceGigabitEthernet1/0/2ipaddressipsecpolicyipsec1741330416點(diǎn)到多點(diǎn)ipsecvpn優(yōu)點(diǎn)：①方便擴(kuò)展分支，增加分支其他機(jī)構(gòu)不需要增加ipsec相關(guān)配置②配置簡(jiǎn)單，所有分支只需要指向總部即可③ 分支機(jī)構(gòu)可以不使用固定公網(wǎng)ip地址點(diǎn)到多點(diǎn)ipsecvpn缺點(diǎn)：①所有分支互訪流量必須繞行總部（當(dāng)然，多數(shù)情況下分支只需和總部通信）②流量必須先由分支觸發(fā)來(lái)建立ipsecvpn隧道③無(wú)法啟用ospf學(xué)習(xí)路由適用情況：多建議少于15（感興趣流量配置較多）。ipsecvpnNATAH封裝模式（不常用）： 校驗(yàn)IP和端口，無(wú)支持NAT穿越。ESP封裝模式：僅僅校驗(yàn)端口和data，支持NAT穿越。NAT-T技術(shù)在IKE是否有NAT的存在。總結(jié)1：如果建立ipsecvpn的兩端，其中發(fā)起端（撥號(hào)端）位于nat后面（例如：二級(jí)運(yùn)營(yíng)商、出差人員位于旅館內(nèi)網(wǎng)、防火墻前面有其他安全設(shè)備、防火墻或者專業(yè)vpn設(shè)備放置于出口路由器后面且路由器配置了nat）時(shí)，由于數(shù)據(jù)在傳輸過程中ip地址和端口發(fā)生了轉(zhuǎn)換，導(dǎo)致ipsec數(shù)據(jù)完整性校驗(yàn)失敗。此時(shí)可以采用nat穿越技術(shù)（一般默認(rèn)開啟，不用做額外配置）增加新的UDP端口包頭，使得ipsec數(shù)據(jù)校驗(yàn)正常，進(jìn)而使得vpn運(yùn)行正常?？偨Y(jié)2：usg6000v配置ipsecvpn默認(rèn)開啟nat穿越?？偨Y(jié)3：建議開啟nat穿越，因?yàn)槿绻_始探測(cè)報(bào)文沒有檢測(cè)到nat場(chǎng)景，ipsec會(huì)自動(dòng)取消增加UDP4500包頭。即ipsec會(huì)自動(dòng)檢測(cè)是否有nat穿越的需要。NAT穿越配置：[FW-ike-peer-a]nat 圖形界面直接打鉤即可！注意：遇到這種場(chǎng)景下安全策略需要放行的報(bào)文ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號(hào)50（如果有NAT穿越場(chǎng)景需再放行UDPIKE：UDP 目標(biāo)端口500安全策略：R2:（出口nat設(shè)備）aclnumber2000rule5permitsource55interfaceGigabitEthernet0/0/0ipaddressnatoutbound2000#iproute-staticiproute-staticL2TPvpn 配置L2TP:Layer 2 Tunneling LAC:L2tp access concentratorLNS:L2tp network serverVT（Virtual-Template）接口虛模板（虛擬接口）目前多數(shù)網(wǎng)絡(luò)接口都是以太網(wǎng)（ethernet），Ethernet都是二層協(xié)議，它們之間不能直接互相承載。接口是用于配置虛擬訪問接口的模板。在L2TP立之后，LAC、LNS均需要?jiǎng)?chuàng)建虛擬訪問接口用于和對(duì)端（即用戶）交換數(shù)據(jù)。此時(shí)，系統(tǒng)將按照用戶的配置，選擇VT接口，根據(jù)該模板的配置參數(shù)（包括接口IP地址、PPP認(rèn)證方式等）動(dòng)態(tài)地創(chuàng)建虛擬訪問接口。配置：lac自動(dòng)撥號(hào)永久連接FW1：LAC端配置手動(dòng)增加：圖形界面沒有firewallzoneuntrustaddinterfaceVirtual-Template0FW2:LNS端配置手動(dòng)增加：圖形界面沒有firewallzoneuntrustaddinterfaceVirtual-Template0iproute-staticVirtual-Template0注意：由于模擬器bug無(wú)法看到實(shí)驗(yàn)現(xiàn)象！?。▋H能看到隧道建立ok，去包ok，且需要1分鐘時(shí)間），真機(jī)配置ok。L2TP overipsecL2tpoveripsec:使用ipsec對(duì)l2tp報(bào)文進(jìn)行加密L2TPoverIPSec是IPSec應(yīng)用中一種常見的擴(kuò)展方式，它可以綜合兩種VPN的優(yōu)勢(shì)，通過L2TP實(shí)現(xiàn)用戶驗(yàn)證和地址分配，并利用IPSec保障安全性。當(dāng)采用L2TPoverIPSec進(jìn)行VPN通信時(shí)，首先進(jìn)行IPSec協(xié)商，建立IKESA和IPSecSA；然后再使用L2TP進(jìn)行用戶認(rèn)證，認(rèn)證通過后建立L2TP隧道。報(bào)文在隧道中傳輸時(shí)先進(jìn)行L2TP封裝再進(jìn)行IPSec封裝。在上個(gè)實(shí)驗(yàn)基礎(chǔ)之上，繼續(xù)配置ipsecipsec配置：lac：保護(hù)---->的l2tp的流量安全提議保持默認(rèn)：LNS：安全提議保持默認(rèn)：注意：該環(huán)節(jié)模擬器bug只能配置，但無(wú)法看到效果??！L2tpvpn無(wú)LACLNSvpn接入：FW2LNS配置：其他地方不用配置其中：隧道密碼abc-123創(chuàng)建用戶aa密碼abc-123LAC端：前提是客戶端PC（LAC端）可以ping通LNS的公網(wǎng)ip地址。routeprint查看pc路由表可選：（號(hào)不成功）注意事項(xiàng)：由于做此實(shí)驗(yàn)時(shí)將其他訪問互聯(lián)網(wǎng)的網(wǎng)關(guān)禁用掉。以免l2tpvpn協(xié)商數(shù)據(jù)走其他網(wǎng)卡轉(zhuǎn)發(fā)。安全策略：如果用到ipsec加密時(shí)需要放行如下報(bào)文ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號(hào)IKE：UDP 目標(biāo)端口500 （如果有NAT穿越場(chǎng)景還需再放行UDP4500）L2tp 報(bào)文 UDP1701GREoveripsecvpnGREFW1：FW2：IPsec配置：提示最好使用傳輸模式（報(bào)文小 不分片）FW1：FW2:FW2：FW1：優(yōu)點(diǎn)：既可以加密又可以支持組播ospf！！安全策略：ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號(hào)IKE：UDP 目標(biāo)端口500 （如果有NAT穿越場(chǎng)景還需再放行UDP4500）GRE 報(bào)文 IP協(xié)議號(hào)47注意：模擬器bug，greoveripsec不支持ospf，真機(jī)可以支持?。?！DSVPN(DMVPN) （上）原理：DSVPN：DynamicSmartVPN 動(dòng)態(tài)智能包含四個(gè)主要技術(shù)：①M(fèi)GREMultipointGRE 多點(diǎn)隧道②NHRP：NextHopResolutionProtocol下一跳解析協(xié)議③IPsec：用于加密傳輸數(shù)據(jù)④ospf路由防火墻真機(jī)：DSVPN（需要購(gòu)買DSVPN權(quán)）總部配置：分支配置：隧道ip：就是MGRE隧道口地址1.1.1.xDSVPN（下）注意：模擬器bug，ensp中防火墻無(wú)法配置DSVPN。但ensp中路由器可以支持。配置步驟：步驟①M(fèi)GRE+NHRP步驟②ospf步驟③ipsec步驟①M(fèi)GRE+NHRP建立點(diǎn)到多點(diǎn)隧道R1:interfaceTunnel0/0/1ipaddress配置隧道地址（可以私網(wǎng)）tunnel-protocolgrep2mp設(shè)置Tunnel接口的封裝模式為mGREsourceGigabitEthernet0/0/0指定隧道公網(wǎng)源地址ospfnetwork-typebroadcast 將網(wǎng)絡(luò)類型改為廣播型，使得分支1學(xué)習(xí)分支2的下一跳地址為而非HUB,默認(rèn)類型p2p。ospfdr-priority100 優(yōu)先級(jí)改為100HUBDR。nhrpentrymulticastdynamic配置分支動(dòng)態(tài)生成nhrp（在此multicastMGRE環(huán)境，公網(wǎng)地址：MA地址multicastaccess用于多路訪問的ip地址）R2:interfaceTunnel0/0/1ipaddresstunnel-protocolgrep2mpsourceGigabitEthernet0/0/0ospfnetwork-typebroadcastospfdr-priority0 不參與DRnhrpregistrationno-unique允許分支新公網(wǎng)地址直接復(fù)蓋總部老的公網(wǎng)地址而不等其2小時(shí)超期,否則新的公網(wǎng)刷新nhrpentrymulticastdynamicnhrpentryregisternhrp表項(xiàng)即靜態(tài)注冊(cè)nhrpnhrp映射表項(xiàng)R3:interfaceTunnel0/0/1ipaddresstunnel-protocolgrep2mpsourceGigabitEthernet0/0/0ospfnetwork-typebroadcastospfdr-priority0nhrpregistrationno-uniquenhrpentrymulticastdynamicnhrpentryregister調(diào)試命令：dis nhrp peer all即查看nhrp步驟②ospf運(yùn)行：R1:ospf1router-idareanetworknetwork55network55R2:ospf1router-idareanetworknetwork55R3:ospf1router-idareanetworknetwork55至此：已經(jīng)可以通信，只是數(shù)據(jù)傳輸沒有加密！總結(jié)1：nhrp表項(xiàng)類似arp表項(xiàng)，動(dòng)態(tài)緩存默認(rèn)有超期時(shí)間2小時(shí)臨時(shí)當(dāng)然也可以手動(dòng)建立（動(dòng)態(tài)的原因是分支機(jī)構(gòu)的公網(wǎng)ip地址是動(dòng)態(tài)非固定的。）類似交換機(jī)mac地址接口映射表總結(jié)2：mgre不指定隧道目標(biāo)地址，當(dāng)有數(shù)據(jù)需走隧道轉(zhuǎn)發(fā)時(shí)根據(jù)路由表下一跳進(jìn)而查找nhrp表，來(lái)決定使用哪個(gè)公網(wǎng)地址作為隧道目標(biāo)地址（該解析過程稱為NHRP）總結(jié)3：DSVPN轉(zhuǎn)發(fā)報(bào)文要看兩張表：先看路由表再看NHRP映射表，通過路由表查找隧道口地址，通過NHRP表查找報(bào)文要封裝的目標(biāo)公網(wǎng)地址。每個(gè)分支包括總部會(huì)形成這兩張表?？梢酝ㄟ^dis nhrp peer all即查看nhrp表?？偨Y(jié)4：華為DSVPN只支持靜態(tài)路由和ospf步驟③ IPsec加密數(shù)據(jù)注意：只需配置ipsec安全框架：即用于ipsec隧道協(xié)商的加密算法認(rèn)證算法等。ipsec自動(dòng)和mgrenhrp聯(lián)動(dòng)只要發(fā)現(xiàn)經(jīng)過隧道轉(zhuǎn)發(fā)的報(bào)文就自動(dòng)進(jìn)行加密，不需要額外配置ipsec感興趣流量。所有路由器R1R2R3：ipsecproposal10ikeproposal10ikepeeraav1pre-shared-keycipherabc-123ike-proposal10ipsecprofilebbike-peeraaproposal10interfaceTunnel0/0/1ipsecprofilebb等待1分鐘即可通信注意：部分機(jī)器由于模擬器bug無(wú)法通信！真機(jī)ok！模擬器bug，shutdowntunnel口在啟動(dòng)后就不通了，重啟后也不通。優(yōu)點(diǎn)：支持ospf，ip地址，適用于大型集團(tuán)站點(diǎn)到站點(diǎn)vpn，省錢。缺點(diǎn)：穩(wěn)定性和速率需要依賴當(dāng)前互聯(lián)網(wǎng)，不可控??！DSVPN 補(bǔ)充①不加密 安全策略需要放行的報(bào)文：ospfNHRP業(yè)務(wù)GRE心跳報(bào)文全部封裝在GRE后面，因此只需要放行GRE報(bào)文即可GRE：IP協(xié)議47業(yè)務(wù)報(bào)文②加密 安全策略需要放行的報(bào)文：加密之后，gre nhrp全部被esp加ipsecike報(bào)文：UDP500端口ipsecESP報(bào)文：ip協(xié)議號(hào) 50業(yè)務(wù)報(bào)文SSL vpn（上）SSLvpn用戶使用：SSL(SecureSocketsLayer安全套接層),及其繼任者傳輸層安全（TransportLayerSecurity，TLS）是為網(wǎng)絡(luò)提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對(duì)網(wǎng)絡(luò)連接進(jìn)行加密。ssl1990年由netscape（網(wǎng)景）公司開發(fā)。加密web通信安全性。1994年改版為SSLv2，1995年改版為SSLv3.1990年被IETF收錄并重新命名為TLS（transportlayersecuritTLSv1.0）.2008年8月TLSv1.2.瀏覽器使用方法：https://xxxxxxx.其中https是httpoverssl的意思。SSL是一個(gè)安全協(xié)議，為基于TCP（TransmissionControlProtocol）的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議棧第四層傳輸層和應(yīng)用層之間。SSL可以為HTTP（HypertextTransferProtocol）協(xié)議提供安全連接。SSL協(xié)議廣泛應(yīng)用于電子商務(wù)、網(wǎng)上銀行等領(lǐng)域，為網(wǎng)絡(luò)上數(shù)據(jù)的傳輸提供安全性保證。到目前為止，SSL協(xié)議有三個(gè)版本，其中SSL2.0和SSL3.0得到廣泛的應(yīng)用，IETF基于SSL3.0推出了TLS1.0協(xié)議(也被成為SSL3.1)。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來(lái)愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最廣泛的安全協(xié)議之一。SSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的現(xiàn)實(shí)優(yōu)勢(shì)，對(duì)其應(yīng)用功能進(jìn)行擴(kuò)展的新型VPN。除了Web訪問、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進(jìn)行保護(hù)。SSLVPN通信基于標(biāo)準(zhǔn)TCP/UDP，不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSLVPN虛擬網(wǎng)關(guān)訪問內(nèi)網(wǎng)資源，使遠(yuǎn)程安全接入更加靈活簡(jiǎn)單，大大降低了企業(yè)部署維護(hù)VPN的費(fèi)用。SSLVPN幫助用戶使用標(biāo)準(zhǔn)的瀏覽器，就可以訪問企業(yè)的內(nèi)部應(yīng)用。這使得移動(dòng)辦公人員只要有一臺(tái)接入了Internet的電腦，就可以隨時(shí)隨地進(jìn)行安全的遠(yuǎn)程訪問了。SSLVPN的安全性、便捷性和易用性為企業(yè)的移動(dòng)辦公帶來(lái)了便利，使移動(dòng)員工的工作效率最大化。要使用SSL協(xié)議進(jìn)行VPN通信，通信雙方必須支持SSL。目前常見的應(yīng)用一般都支持SSL，如IE、Netscape瀏覽器、Outlook、Eudora郵件應(yīng)用等。了解內(nèi)容:SSL協(xié)議結(jié)構(gòu)可以分為兩層：底層為SSL記錄協(xié)議（SSLrecordprotocol）主要負(fù)責(zé)對(duì)上層的數(shù)據(jù)進(jìn)行分塊、壓縮、計(jì)算并添加MAC、加密，最后把記錄塊傳輸給對(duì)方。上層為SSL握手協(xié)議（SSLhandshakeprotocol）、SSL密碼變化協(xié)議（SSLchangecipherspecprotocol）和SSL警告協(xié)議（SSLalertprotocol）SSL握手協(xié)議：客戶端和服務(wù)器通過握手協(xié)議建立一個(gè)會(huì)話。會(huì)話包含一組參數(shù)，主要有會(huì)話ID、對(duì)方的證書、加密算法列表（換算法、數(shù)據(jù)加密算法和MAC算法）、壓縮算法以及主密鑰。SSL會(huì)話可以被多個(gè)連接共享，以減少會(huì)話協(xié)商開銷。SSL密碼變化協(xié)議：客戶端和服務(wù)器端通過密碼變化協(xié)議通知接收方，隨后的報(bào)文都將使用新協(xié)商的加密算法列表和密鑰進(jìn)行保護(hù)和傳輸。SSL警的嚴(yán)重級(jí)別和描述。vpn設(shè)備部署位置：位置①：位置②：在此類組網(wǎng)環(huán)境中，SVN可以直接掛接到企業(yè)網(wǎng)絡(luò)出入口防火墻上，也可以掛接到路由器或者交換機(jī)上外網(wǎng)和內(nèi)網(wǎng)的數(shù)據(jù)報(bào)文從一個(gè)網(wǎng)口進(jìn)出，組網(wǎng)時(shí)只用到SVN的一個(gè)接口。在網(wǎng)絡(luò)規(guī)劃時(shí)，SVN的接口IP為內(nèi)網(wǎng)IP地址，此地址需要能與所有被訪問需求的服務(wù)器路由可達(dá)。防火墻上需配置natserver，將SVN的地址映射到防火墻的某一公網(wǎng)IP上。也可以只映射部分端口，如443。如果外網(wǎng)用戶有管理SVN的需求，還需要映射SSH、Telnet等端口。位置③：在此類組網(wǎng)環(huán)境中，SVPN使用兩個(gè)不同的網(wǎng)口連接外網(wǎng)與內(nèi)網(wǎng)，這種組網(wǎng)方式下，具有清晰的內(nèi)網(wǎng)、外網(wǎng)概念；無(wú)需做額外的配置，外網(wǎng)口對(duì)應(yīng)虛擬網(wǎng)關(guān)IP，內(nèi)網(wǎng)口配置內(nèi)網(wǎng)管理IP。虛擬網(wǎng)關(guān)IP不一定需要過NAT轉(zhuǎn)換，只要外網(wǎng)用戶能夠訪問此虛擬網(wǎng)關(guān)IP地址即可。內(nèi)外網(wǎng)接口沒有特定的物理接口，任何一個(gè)物理接口都可以作為內(nèi)網(wǎng)或外網(wǎng)接口。圖中路由器和交換機(jī)之間處于連接狀態(tài)。這是因?yàn)榭蛻艟W(wǎng)絡(luò)中可能有部分應(yīng)用不需要經(jīng)過SSL加密，而是直接通過防火墻訪問外網(wǎng)。這時(shí)就需要在交換機(jī)和路由器上配置策略路由，需要建立SSLVPN的流量就轉(zhuǎn)發(fā)到SVN上，而普通的應(yīng)用就直接通過防火墻訪問外網(wǎng)。以上應(yīng)用為SSLVPN的運(yùn)營(yíng)模式。通過把SSLVPN設(shè)備劃分為數(shù)個(gè)虛擬設(shè)備，每個(gè)虛擬設(shè)備有自己的管理員及訪問策略，依次來(lái)降低運(yùn)營(yíng)商的資金投入，做到設(shè)備使用率最大化。配置sslvpn：新建sslvpn網(wǎng)關(guān)配置：公網(wǎng)接口公網(wǎng)地址訪問資源：匯總ssl版本 加密方式 一般保持默認(rèn)即可常見功能①：web代理功能②：網(wǎng)絡(luò)擴(kuò)展：這種功能比較常用開啟了所有功能一般來(lái)說(shuō)，企業(yè)施工的時(shí)候只配置一個(gè)網(wǎng)絡(luò)代理功能即可常用原理類似ipsecvpn。用戶端會(huì)自動(dòng)建立一個(gè)虛擬網(wǎng)卡，自動(dòng)獲取ip地址（vpn設(shè)備分配）。網(wǎng)絡(luò)擴(kuò)展功能包含了web功能③：文件共享功能④：端口轉(zhuǎn)發(fā)終端安全檢查：一般不做，有時(shí)做了反而給自己找麻煩緩存清理角色授權(quán)：創(chuàng)建可以登錄的vpn賬號(hào)注意1：安全策略：沒有使用網(wǎng)絡(luò)擴(kuò)展功能 層vpn①放行untrust---->local ssl 流量https（口如果修改，需另建）tcp443端口②放行l(wèi)ocal>trust（dmz）流量對(duì)于web代理和文件共享、端口轉(zhuǎn)發(fā)功能需要放行l(wèi)ocal---->trust（dmz）流量ssl的https流量到達(dá)防火墻后，防火墻會(huì)將此流量轉(zhuǎn)換成http或者smb流量。此時(shí)：建議放行l(wèi)ocal---->any三層vpn：注意2：如果使能了網(wǎng)絡(luò)擴(kuò)展功能（工程中多數(shù)都會(huì)啟用），安全策略需要放行untrust--->trust（dmz）相關(guān)流量。該特性類似vpn。且放行untrust---->localssl流量https（端口如果修改，需另建）tcp443DOS攻擊：TCPSYNUDPflood攻擊演示DDoS是DistributedDenialofService簡(jiǎn)稱，即分布式拒絕服務(wù)，造成DDoS攻擊行為被稱為DDoS攻擊，其目的是使計(jì)算機(jī)或網(wǎng)絡(luò)無(wú)法提供正常的服務(wù)。DDoS攻擊是流量型攻擊的一種典型方式，可以稱為流量型攻擊的另一種說(shuō)法。源固定。SYN flood攻擊進(jìn)行：sudo hping3 --flood -S --rand-source -p 攻擊頻率：每秒10萬(wàn)報(bào)文。攻擊之后：DOS 攻擊 之UDPflood攻擊 hping3攻擊命令：hping3 --rand-source-p8000--flood DOS攻擊：ICMPHTTPflood攻擊演DOS 之icmp flood 攻擊 hping3 攻擊攻擊命令1：hping3 --icmp 攻擊命令2：hping3 --rand-source --icmp56--flood攻擊命令3：hping3 --rand-source --icmp65500--floodWeb壓力測(cè)試 CC攻擊 DDOS攻擊的種。（CC攻擊：ChallengeCollapsar挑戰(zhàn)洞 攻擊。模擬多用戶多線程請(qǐng)求較為耗CPU內(nèi)存的URL。）ab -n 10000000 -c 1000http://xxxxxx攻擊防范AntiDDOS引流方式有兩種：靜態(tài)引流：核心設(shè)備上通過配置靜態(tài)路由或者策略路由方式將流量引到清洗設(shè)備上；動(dòng)態(tài)引流：通過BGP實(shí)現(xiàn)動(dòng)態(tài)引流。清洗中心通過與核心設(shè)備建立BGP鄰居，通告一條到目的地址的主機(jī)路由，將流量“騙”過來(lái)，清洗后再回注回去。這條主機(jī)路由是管理中心動(dòng)態(tài)下發(fā)的一條靜態(tài)路由，并且已經(jīng)引入了BGP。回注方式有如下幾種：策略路由回注：通過策略路由將清洗后流量回注；VPNGREVPN或者M(jìn)PLSVPN方式回注；二層回注：如果上下行在一個(gè)網(wǎng)段，通過子接口或Vlanif接口方式回注。DDOS 通用攻擊防范技術(shù)三元組：服務(wù)器地址 協(xié)議類型 端口號(hào)攻擊防范-各類報(bào)文泛洪攻擊防御TCPFlood 攻擊和防范注意：對(duì)于極高速率的變?cè)醋兌丝赟YN報(bào)文攻擊，請(qǐng)同時(shí)開啟首包檢測(cè)功能，以提高Anti-DDoS設(shè)備處理性能。注意：有些服務(wù)，例如游戲類服務(wù)，是先通過TCP協(xié)議對(duì)用戶進(jìn)行認(rèn)證，認(rèn)證通過后使用UDP協(xié)議傳輸業(yè)務(wù)數(shù)據(jù)，此時(shí)可以通過驗(yàn)證UDP關(guān)聯(lián)的TCP類服務(wù)來(lái)達(dá)到防御UDPFlood攻擊的目的。單包攻擊防范技術(shù)注意：掃描窺探類攻擊防御比較消耗防火墻資源，慎重開啟。畸形和特殊報(bào)文攻擊防御很少消耗防火墻性能，可以開啟。smurf攻擊：注：目前多數(shù)操作系統(tǒng)以及不響應(yīng)子網(wǎng)廣播icmp報(bào)文，因此該攻擊對(duì)多數(shù)系統(tǒng)無(wú)效。land攻擊：kali攻擊指令：hping-S-a42-p42fraggle攻擊：ipfragment攻擊：二層攻擊防范技術(shù)防火墻上面開啟：dhcpsnooing:防止dhcp冒充dhcpsnoopingenablevlan 10dhcp snooping enable GigabitEthernet1/0/0dhcp snooping enable GigabitEthernet1/0/2dhcp snooping trusted GigabitEthernet1/0/2交換機(jī)：dhcpenabledhcpsnoopingvlan 10dhcpsnooping enableIPSG DAI：IP和MACarp防火墻：vlan10dhcp snooping check arp enable GigabitEthernet1/0/0dhcp snooping check ip enable GigabitEthernet1/0/0交換機(jī)： (檢查表項(xiàng)依賴dhcpsnooping的表intgi0/0/xarpanti-attackcheckuser-bindenableipsourcecheckuser-bindenable端口安全：（交換機(jī)）防止偽造mac攻擊 防止dhcp耗交換機(jī)：interfaceGigabitEthernet0/0/3port-securityenableport-securitymax-mac-num10port-securitymac-addresssticky或者int gi0/0/3(基于dhcpsnooping表格）dhcpsnoopingmax-user-number10dhcpsnoopingcheckdhcp-chaddr單播、組播、廣播限速：防止DOS攻擊 flood等交換機(jī)：int gi0/0/3unicast-suppressionpackets1000multicast-suppressionpackets1000broadcast-suppressionpackets1000參考手冊(cè)：安全針對(duì)各種攻擊防范技術(shù)手冊(cè)arpdhcpmac等等攻擊防范好書19冊(cè)??！反病毒目前華為防火墻：反病毒技術(shù)：僅支持ftphttppop3imapsmbnfs即未加密的文件共享、網(wǎng)頁(yè)瀏覽、郵件傳輸類文件。支持的文件類型：execomdll等可執(zhí)行文件。缺點(diǎn)：支持的文件類型太少，尤其是不支持https，因此有點(diǎn)雞肋??！由于防火墻無(wú)法將文件緩存下來(lái)再對(duì)其病毒檢查，因此檢查效果較弱。建議：防火墻反病毒功能只是作為反病毒的輔助工具（使用時(shí)更新病毒庫(kù)到最新版），建議內(nèi)網(wǎng)用戶安裝安全軟件（360衛(wèi)士、電腦管家等）。目前多數(shù)知名網(wǎng)站不攜帶病毒，且多數(shù)瀏覽器和操作系統(tǒng)都具備簡(jiǎn)單的反病毒檢查功能。注意：在會(huì)話發(fā)起的安全策略方向調(diào)用。啟用時(shí)務(wù)必先提交生效然后再保存。IPS簽名過濾器：將多個(gè)IPS簽名規(guī)則規(guī)則放在一個(gè)過濾器中簽名過濾器動(dòng)作設(shè)置：①采用簽名的缺省動(dòng)作例外簽名：針對(duì)特定簽名不采用默認(rèn)的簽名動(dòng)作對(duì)部分簽名自定義其簽名動(dòng)作簽名動(dòng)作優(yōu)先級(jí)：例外簽名動(dòng)作>過濾器簽名動(dòng)作>缺省簽名動(dòng)作調(diào)用IPS：在會(huì)話發(fā)起的安全策略方向調(diào)用IPS不用管攻擊方向 例如：想保護(hù)內(nèi)網(wǎng)PC訪問互網(wǎng)免受攻擊。只需在trust--->untrust方向調(diào)用ips。即安全策略的方向是會(huì)話發(fā)起的方向，和攻擊流量的方向無(wú)關(guān)。URL關(guān)鍵字過濾：搜索上傳 郵件,但是不支持https，雞肋！文件類型過濾：不支持https 有點(diǎn)雞肋應(yīng)用行為控制：禁止發(fā)帖 禁止上傳 等等 但不支持httpspanabit：三塊網(wǎng)卡系統(tǒng)默認(rèn)用戶名：root rootweb管理界面：admin https://x.x.x.x②制定規(guī)則③調(diào)用（時(shí)間）國(guó)家信息安全等級(jí)保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)（2014年2月27日中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組(政府工作報(bào)告）。2018年3月，改為中央網(wǎng)絡(luò)安全和信息化委員會(huì)。網(wǎng)址：/習(xí)主席說(shuō)：沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全非涉密標(biāo)準(zhǔn)：等級(jí)保護(hù)2017.6.1實(shí)施<<中華人民共和國(guó)網(wǎng)絡(luò)安全法網(wǎng)絡(luò)負(fù)責(zé)人處罰：5K 5萬(wàn)公司處罰：1萬(wàn)-10萬(wàn)訪問日志：大于6個(gè)月第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第二十五條網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)；在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)，立即啟動(dòng)應(yīng)急預(yù)案，采取相應(yīng)的補(bǔ)救措施，并按照規(guī)定向有關(guān)主管部門報(bào)告。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處一萬(wàn)元以上十萬(wàn)元以下罰款第五十九條網(wǎng)絡(luò)運(yùn)營(yíng)者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬(wàn)元以上十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員處五千元以上五萬(wàn)元以下罰款。第六十二條違反本法第二十六條規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)、風(fēng)險(xiǎn)評(píng)估等活動(dòng)，或者向社會(huì)發(fā)布系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者情節(jié)嚴(yán)重的，處一萬(wàn)元以上十萬(wàn)元以下罰款，并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五千元以上五萬(wàn)元以下罰款。信息安全標(biāo)準(zhǔn)體系：①ISO27001（27002）三分技術(shù)七分管理、人、離職、國(guó)際 跨國(guó)集團(tuán)外企建議② 等保測(cè)評(píng) ：（開始：電子政務(wù)） 定級(jí) 22239（22240）五分技術(shù)五分管理、技術(shù)、測(cè)試 中國(guó) 國(guó)企 、被強(qiáng)制行業(yè)：能源 金融 煙草通訊 電力 政府 醫(yī)療流程：定級(jí)、備案、整改、測(cè)評(píng)、檢查五個(gè)級(jí)別：五個(gè)方向：物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用 、數(shù)據(jù)物理安全：門禁卡、防火防盜、雙層門、空調(diào)網(wǎng)絡(luò)安全：主機(jī)安全：應(yīng)用安全：數(shù)據(jù)安全：安全產(chǎn)品過渡：老三樣糖葫蘆-----UTM----下一代防火墻（功能全開依舊不卡）解決方案：等保要求：網(wǎng)絡(luò)安全：主路徑安全過濾、業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制并建立安全的訪問路徑，內(nèi)外網(wǎng)邊界防護(hù)、服務(wù)器區(qū)入侵防御、同時(shí)滿足業(yè)務(wù)穩(wěn)定和高性能需求。解決：（核心交換機(jī)ACL、所有互訪流量繞行防火墻然后配置安全策略、在核心交換機(jī)上面插安全板卡、核心交換機(jī)采用虛擬化（堆疊）、負(fù)載均衡服務(wù)器虛擬化軟bypass口）等保要求：主機(jī)安全：終端防泄密設(shè)備資源管理訪問控制重點(diǎn)數(shù)據(jù)庫(kù)審計(jì)。解決：（桌管桌審、隔離卡、加密狗（禁U口拔光驅(qū)）、桌面云、應(yīng)用虛擬化、堡壘機(jī)、ACL安全策略、水印防拍照）等保要求：應(yīng)用安全：準(zhǔn)入認(rèn)證安全域劃分入網(wǎng)權(quán)限劃分解決：（web認(rèn)證、802.1x認(rèn)證、下一代防火墻定位到個(gè)人（綁定：用戶名密碼接入交換機(jī)接入交換機(jī)端口硬盤系列號(hào)用戶ip用戶mac，限制一個(gè)人一臺(tái)電腦不能亂插亂用誰(shuí)的電腦誰(shuí)負(fù)責(zé)以一個(gè)用戶對(duì)應(yīng)一個(gè)電腦、ACL安全策略)等保要求：數(shù)據(jù)安全：雙機(jī)熱備容災(zāi)備份（異地）遠(yuǎn)程辦公加密解決：（存儲(chǔ)冗余冗余盤raid定期快照ipsecvpn）可視化運(yùn)維！！641-某生產(chǎn)制造型企業(yè)配置：ospf1areanetwork55networknetwork電信路由器：ospf1areanetworknetwork55networksw1：內(nèi)網(wǎng)核心交換機(jī)vlanbatch2030800interfaceVlanif20ipaddress#interfaceVlanif30ipaddress#interfaceVlanif800ipaddressinterfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan20#interfaceGigabitEthernet0/0/2portlink-typeaccesspo