《計(jì)算機(jī)網(wǎng)絡(luò)安全與管理實(shí)踐》課件-第5章

第5章Internet接入安全技術(shù)任務(wù)1企業(yè)網(wǎng)互聯(lián)網(wǎng)接入NAT任務(wù)2企業(yè)網(wǎng)內(nèi)部服務(wù)發(fā)布任務(wù)3企業(yè)防火墻配置任務(wù)4移動(dòng)用戶訪問企業(yè)網(wǎng)資源

任務(wù)1企業(yè)網(wǎng)互聯(lián)網(wǎng)接入NAT

一、任務(wù)描述

某公司有兩個(gè)部門：市場部和產(chǎn)品部，共有約150臺(tái)主機(jī)，現(xiàn)在需要構(gòu)建內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)公司內(nèi)部主機(jī)相互通信與資源共享。從安全角度和可管理角度考慮，要求公司各部門不在同一網(wǎng)段，但各部門間能夠相互通信。隨著業(yè)務(wù)的不斷發(fā)展，公司要求所有主機(jī)都能夠訪問Internet，并提供一定的安全性，保證內(nèi)部主機(jī)不受外部網(wǎng)絡(luò)攻擊，請你規(guī)劃并實(shí)施網(wǎng)絡(luò)。公司組織結(jié)構(gòu)如圖5-1所示。圖5-1公司組織結(jié)構(gòu)

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對該公司網(wǎng)絡(luò)需求進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)接入Internet。

2.任務(wù)目的

通過本任務(wù)進(jìn)行路由器的基本配置、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)配置，以幫助讀者深入了解路由器的配置方法、NAT配置方法，具備靈活運(yùn)用NAT技術(shù)實(shí)現(xiàn)內(nèi)部主機(jī)接入Internet，并提供一定的網(wǎng)絡(luò)安全的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

該公司辦公區(qū)共有兩個(gè)部門：市場部和產(chǎn)品部，每個(gè)部門配置不同數(shù)量的計(jì)算機(jī)。網(wǎng)絡(luò)需滿足幾個(gè)需求：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信；從安全和方

便管理的角度考慮，要求每個(gè)部門單獨(dú)規(guī)劃網(wǎng)段；部門之間都能實(shí)現(xiàn)相互訪問，并要求公司內(nèi)部網(wǎng)絡(luò)均可訪問Internet，并提供一定的安全性，保證內(nèi)部主機(jī)不受外部網(wǎng)絡(luò)攻擊。部

門具體計(jì)算機(jī)分布如表5-1所示。

2.需求分析

需求1：采用當(dāng)前主流技術(shù)構(gòu)建網(wǎng)絡(luò)，部門內(nèi)部能實(shí)現(xiàn)相互通信，具有較高的可管理性、安全性。

分析1：采用交換式以太網(wǎng)技術(shù)構(gòu)建網(wǎng)絡(luò)，利用VLAN技術(shù)將相同部門劃入相同的VLAN，不同部門劃分為不同VLAN，并將不同部門規(guī)劃到不同網(wǎng)段。

需求2：不同部門之間能相互通信。

分析2：利用路由器單臂路由技術(shù)實(shí)現(xiàn)部門之間相互通信。

需求3：公司內(nèi)部網(wǎng)絡(luò)均可訪問Internet，并提供一定的安全性，保證內(nèi)部主機(jī)不受外部網(wǎng)絡(luò)攻擊。

分析3：利用網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)，實(shí)現(xiàn)將內(nèi)部私有地址轉(zhuǎn)換為合法公有地址，實(shí)現(xiàn)內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)，并將內(nèi)部網(wǎng)絡(luò)透明化，即外部主機(jī)無法訪問內(nèi)部網(wǎng)絡(luò)，從而保護(hù)了

內(nèi)部網(wǎng)絡(luò)。

根據(jù)任務(wù)需求和需求分析，組建公司的網(wǎng)絡(luò)結(jié)構(gòu)如圖5-2所示，每部門以一臺(tái)計(jì)算機(jī)表示。

圖5-2公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)基本概念

NAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)，它是一個(gè)IETF(InternetEngineeringTaskForce，Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)，因此可以認(rèn)為，NAT在一定程度上能夠有效地解決公網(wǎng)地址不足的問題。NAT的實(shí)現(xiàn)流程如圖5-3所示。圖5-3NAT的實(shí)現(xiàn)流程

2.NAT的應(yīng)用

簡單地說，NAT就是在局域網(wǎng)內(nèi)部使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通信時(shí)，就在網(wǎng)關(guān)(可以理解為出口，就像院子的門一樣)處將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)(Internet)上正常使用。

NAT的典型部署實(shí)例如圖5-4所示。圖5-4NAT典型部署實(shí)例

3.NAT的分類

NAT有四種類型：靜態(tài)NAT(StaticNAT)、動(dòng)態(tài)NAT(PooledNAT)、端口多路復(fù)用的

NAT(PortAddressTranslation，PAT)和應(yīng)用級網(wǎng)關(guān)(ApplicationLevelGateway，ALG)。

1)靜態(tài)NAT

靜態(tài)NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址時(shí)，IP地址是一對一的，是一成不變的，即某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。

2)動(dòng)態(tài)NAT

動(dòng)態(tài)NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問Internet上的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。

3)PAT

端口多路復(fù)用是指改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT，PortAddressTranslation)。采用端口多路復(fù)用方式，內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自Internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。

4)ALG

傳統(tǒng)的NAT技術(shù)只對IP層和傳輸層頭部進(jìn)行轉(zhuǎn)換處理，但是一些應(yīng)用層協(xié)議在協(xié)議數(shù)據(jù)報(bào)文中包含了地址信息，為了使這些應(yīng)用也能透明地完成NAT轉(zhuǎn)換，NAT使用ALG

技術(shù)，它能在通信時(shí)對這些應(yīng)用程序所包含的地址信息也進(jìn)行相應(yīng)的NAT轉(zhuǎn)換。

4.NAT的原理

1)IP地址轉(zhuǎn)換

NAT的基本工作原理是，當(dāng)私網(wǎng)主機(jī)和公網(wǎng)主機(jī)通信的IP包經(jīng)過NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。

如圖5-5所示，NAT網(wǎng)關(guān)有2個(gè)網(wǎng)絡(luò)端口，其中公網(wǎng)端口的IP地址是統(tǒng)一分配的公共IP，為；私網(wǎng)端口的IP地址是保留地址，為。私網(wǎng)中的主機(jī)向公網(wǎng)主機(jī)發(fā)送了1個(gè)IP包(Dst=，Src=)。

圖5-5NAT地址轉(zhuǎn)換案例

NAT地址轉(zhuǎn)換過程如圖5-6所示。

圖5-6NAT地址轉(zhuǎn)換過程

2)連接跟蹤

在上述過程中，NAT網(wǎng)關(guān)在收到響應(yīng)包后，就需要判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給誰。此時(shí)如果子網(wǎng)內(nèi)僅有少量客戶機(jī)，可以用靜態(tài)NAT手工指定；但如果內(nèi)網(wǎng)有多臺(tái)客戶機(jī)，并且各自訪問不同網(wǎng)站，就需要連接跟蹤(ConnectionTrack)，如圖5-7所示。圖5-7NAT連接跟蹤

3)端口轉(zhuǎn)換

以上述客戶機(jī)訪問服務(wù)器為例，當(dāng)僅有一臺(tái)客戶機(jī)訪問服務(wù)器時(shí)，NAT網(wǎng)關(guān)只需更改數(shù)據(jù)包的源IP或目的IP即可正常通信。但是如果ClientA和ClientB同時(shí)訪問Web

Server，那么當(dāng)NAT網(wǎng)關(guān)收到響應(yīng)包時(shí)，就無法判斷將數(shù)據(jù)包轉(zhuǎn)發(fā)給哪臺(tái)客戶機(jī)，如圖5-8所示。圖5-8NAT端口轉(zhuǎn)換

此時(shí)，NAT網(wǎng)關(guān)會(huì)在ConnectionTrack中加入端口信息加以區(qū)分。如果兩臺(tái)客戶機(jī)訪問同一服務(wù)器的不同源端口，那么在TrackTable里加入端口信息即可區(qū)分，如果源端口正好相同，那么在實(shí)行SNAT(源地址轉(zhuǎn)換)和DNAT(目的地址轉(zhuǎn)換)的同時(shí)對源端口也要做相應(yīng)的轉(zhuǎn)換，如圖5-9所示。圖5-9對源端口進(jìn)行轉(zhuǎn)換

5.NAT的功能

NAT主要實(shí)現(xiàn)以下幾個(gè)功能：數(shù)據(jù)偽裝、端口轉(zhuǎn)發(fā)、負(fù)載平衡、失效終結(jié)和透明代理。

1)數(shù)據(jù)偽裝

2)端口轉(zhuǎn)發(fā)

3)負(fù)載平衡

4)失效終結(jié)

5)透明代理

6.NAT的缺陷

NAT最初是非常完美的，但隨著網(wǎng)絡(luò)的發(fā)展，各種新的應(yīng)用層出不窮，此時(shí)NAT也暴露出了缺點(diǎn)，主要表現(xiàn)在以下幾方面。

(1)不能處理嵌入式IP地址或端口。NAT設(shè)備不能翻譯那些嵌入到應(yīng)用數(shù)據(jù)部分的IP地址或端口信息，它只能翻譯那種正常位于IP首部中的地址信息和TCP/UDP首部中的端口信息，如圖5-10所示。圖5-10IP數(shù)據(jù)包格式

(2)不能從公網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)。由于內(nèi)網(wǎng)是私有IP，所以不能直接從公網(wǎng)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)。

(3)有一些應(yīng)用程序雖然是用A端口發(fā)送數(shù)據(jù)的，但卻要用B端口進(jìn)行接收，不過NAT設(shè)備翻譯時(shí)卻不知道這一點(diǎn)，它仍然建立一條針對A端口的映射，結(jié)果對方響應(yīng)的數(shù)據(jù)要傳給B端口時(shí)，NAT設(shè)備卻找不到相關(guān)映射條目而丟棄該數(shù)據(jù)包。

(4)一些P2P應(yīng)用在NAT設(shè)備后無法運(yùn)行。對于那些沒有中間服務(wù)器的純P2P應(yīng)用(如電視會(huì)議、娛樂等)來說，如果大家都位于NAT設(shè)備之后，雙方是無法建立連接的。

7.H3CNAT分類

一般地，網(wǎng)絡(luò)技術(shù)需要針對特定的設(shè)備提供商而言，例如常見的提供商有華為、H3C、Cisco等。不同提供商對于NAT技術(shù)的描述和定義是不同的，H3C網(wǎng)絡(luò)設(shè)備將NAT技術(shù)分為BasicNAT、NAPT、EasyIP、NATServer、NATALG等類型。

1)BasicNATBasicNAT是一對一的轉(zhuǎn)換，即同一時(shí)刻、一個(gè)公有地址只能映射給一個(gè)私有地址，是最簡單的地址轉(zhuǎn)換方式，它只對數(shù)據(jù)包的源IP地址和目的IP地址等參數(shù)進(jìn)行簡單轉(zhuǎn)換。

BasicNAT的實(shí)現(xiàn)原理如圖5-11所示。圖5-11BasicNAT實(shí)現(xiàn)原理

2)NAPT

NAPT即基于端口多路復(fù)用的NAT，在同一時(shí)刻，一個(gè)公有IP地址可以同時(shí)映射給多個(gè)私有IP地址。相對于BasicNAT，NAPT不光進(jìn)行IP地址的轉(zhuǎn)換，還可以通過端口的復(fù)用，大大提升公有IP地址的利用率。NAPT是目前應(yīng)用最為廣泛的一種NAT技術(shù)，是H3C的專有名詞。NAPT的實(shí)現(xiàn)原理如圖5-12所示。圖5-12NAPT的實(shí)現(xiàn)原理

3)EasyIP

EasyIP是基于接口地址轉(zhuǎn)換的NAT。在部署EasyIP的時(shí)候，可以無需專門設(shè)置公有地址池，內(nèi)部主機(jī)可以動(dòng)態(tài)地轉(zhuǎn)換為路由器WAN口的公有IP地址。

4)NATServer

NATServer是H3C的一種靜態(tài)映射技術(shù)，相當(dāng)于靜態(tài)NAT，具體實(shí)現(xiàn)原理將在第5章任務(wù)2中詳細(xì)介紹。

5)NATALG

傳統(tǒng)的NAT技術(shù)(BasicNAT和NAPT)只能修改并識別IP報(bào)文中的IP地址和傳輸層端口，不能修改報(bào)文內(nèi)部攜帶的信息。

NATALG是傳統(tǒng)NAT的增強(qiáng)，它能夠識別應(yīng)用層協(xié)議內(nèi)嵌的網(wǎng)絡(luò)層信息，在實(shí)現(xiàn)IP地址和端口號轉(zhuǎn)換的同時(shí)，能夠?qū)?yīng)用層數(shù)據(jù)中的網(wǎng)絡(luò)層信息進(jìn)行正確轉(zhuǎn)換。NATALG的實(shí)現(xiàn)原理如圖5-13所示。圖5-13NATALG的實(shí)現(xiàn)原理

8.配置命令

路由器的基本管理方式和配置模式與交換機(jī)類似。H3C系列和Cisco系列路由器上配置NAPT的相關(guān)命令，如表5-2所示。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖5-14所示，以PC1、PC2模仿公司的市場部和產(chǎn)品部。圖5-14實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表5-3所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表5-4所示。

VLAN規(guī)劃

根據(jù)需求分析，本任務(wù)的VLAN規(guī)劃如表5-5所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、PC2的IP地址。

(2)使用計(jì)算機(jī)Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機(jī)的配置界面，其中超級終端串口的屬性設(shè)置還原為默認(rèn)值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗(yàn)無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進(jìn)行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

(5)R1主要配置清單如下：

六、任務(wù)驗(yàn)收

1.設(shè)備驗(yàn)收

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖檢查、驗(yàn)收路由器、計(jì)算機(jī)的線纜連接，檢查PC1、PC2的IP地址。

2.配置驗(yàn)收

3.功能驗(yàn)收

在PC1(市場部)上通過命令提示符ping命令訪問外部網(wǎng)絡(luò)，如圖5-15所示。圖5-15在PC1(市場部)上通過命令提示符ping命令訪問外部網(wǎng)絡(luò)

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標(biāo)，根據(jù)需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施。本任務(wù)進(jìn)行了路由器網(wǎng)絡(luò)地址端口轉(zhuǎn)換(NAPT)的配置實(shí)訓(xùn)。

任務(wù)2企業(yè)網(wǎng)內(nèi)部服務(wù)發(fā)布一、任務(wù)描述某公司構(gòu)建自己的內(nèi)部企業(yè)網(wǎng)，主機(jī)規(guī)模近100臺(tái)，內(nèi)部可以實(shí)現(xiàn)通信和資源共享，并通過一臺(tái)路由器接入Internet。根據(jù)公司業(yè)務(wù)需求，采購回一臺(tái)服務(wù)器并部署了WWW服務(wù)，專門設(shè)計(jì)了公司主頁網(wǎng)站并上傳到WWW服務(wù)器上?，F(xiàn)公司內(nèi)部員工可以正常訪問公司W(wǎng)WW站點(diǎn)，但外部用戶無法訪問。網(wǎng)站作為公司對外交流的窗口和平臺(tái)，只供內(nèi)部用戶訪問意義不大。根據(jù)業(yè)務(wù)需求，需要外部用戶也能正常訪問該WWW站點(diǎn)，即將內(nèi)部WWW服務(wù)對外發(fā)布。

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對該公司網(wǎng)絡(luò)需求進(jìn)行網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，通過NATServer(靜態(tài)映射)技術(shù)將內(nèi)網(wǎng)WWW站點(diǎn)對外發(fā)布，為外部用戶提供訪問服務(wù)。

2.任務(wù)目的

通過本任務(wù)進(jìn)行路由器的NATServer(靜態(tài)映射)配置，以幫助讀者在深入了解路由器NAT配置的基礎(chǔ)上，具備利用NATServer技術(shù)將內(nèi)部服務(wù)對外發(fā)布，并為外部用戶提供訪問服務(wù)的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

某公司有近100臺(tái)主機(jī)，內(nèi)部實(shí)現(xiàn)了通信和資源共享，并部署了WWW站點(diǎn)，內(nèi)部用戶可以正常訪問，而外部用戶無法訪問，現(xiàn)要求將內(nèi)部WWW站點(diǎn)對外發(fā)布，為外部用戶提供訪問服務(wù)。公司辦公區(qū)具體計(jì)算機(jī)分布如表5-6所示。

2.需求分析

需求：外部用戶能訪問公司的內(nèi)部WWW站點(diǎn)。

分析：通過NATServer技術(shù)將公司內(nèi)部WWW站點(diǎn)對外發(fā)布，為外部用戶提供WWW訪問服務(wù)。

根據(jù)任務(wù)需求和需求分析，組建公司的網(wǎng)絡(luò)結(jié)構(gòu)如圖5-16所示。圖5-16公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.傳統(tǒng)NAT的缺點(diǎn)

NATServer，即靜態(tài)映射技術(shù)，它通過網(wǎng)絡(luò)管理員手工建立一條固定的私有IP地址和公有IP地址映射關(guān)系(該映射關(guān)系不會(huì)動(dòng)態(tài)變化，除非網(wǎng)絡(luò)管理員手工修改)，外部用戶訪問內(nèi)部主機(jī)時(shí)，只需訪問該映射的公有地址即可。NATServer的實(shí)現(xiàn)原理如圖5-17所示。圖5-17NATServer的實(shí)現(xiàn)原理

2.配置命令

路由器的基本管理方式和配置模式與交換機(jī)類似。H3C系列和Cisco系列路由器上配置NATServer(靜態(tài)NAT)的相關(guān)命令，如表5-7所示。

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖5-18所示，以PC1、PC2、PC3分別模擬公司的辦公PC、WWW服務(wù)器和外網(wǎng)主機(jī)。圖5-18實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)?，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表5-8所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表5-9所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、計(jì)算機(jī)的線纜連接，配置PC1、PC2的IP地址。

(2)使用計(jì)算機(jī)Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機(jī)的配置界面，其中超級終端串口的屬性設(shè)置還原為默認(rèn)值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗(yàn)無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進(jìn)行任務(wù)的相關(guān)配置。

(4)R1主要配置清單如下：

(5)在PC2上搭建WWW站點(diǎn)。

六、任務(wù)驗(yàn)收

1.設(shè)備驗(yàn)收

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖檢查、驗(yàn)收路由器、計(jì)算機(jī)的線纜連接，檢查PC1、PC2、PC3的IP地址。

2.配置驗(yàn)收

3.功能驗(yàn)收

在PC1上通過瀏覽器輸入訪問公司的WWW服務(wù)，如圖5-19所示。在外網(wǎng)主機(jī)PC3上通過瀏覽器輸入3訪問WWW服務(wù)，如圖5-20所示。圖5-19內(nèi)部主機(jī)訪問WWW服務(wù)圖5-20外網(wǎng)主機(jī)訪問內(nèi)部WWW服務(wù)

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標(biāo)，根據(jù)需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施。本任務(wù)通過對路由器的NATServer(靜態(tài)映射)配置并完成實(shí)驗(yàn)，實(shí)現(xiàn)了將內(nèi)部主機(jī)發(fā)布到外網(wǎng)上，并為外部用戶提供訪問服務(wù)的功能。

任務(wù)3企業(yè)防火墻配置

一、任務(wù)描述某集團(tuán)公司是一家高速發(fā)展的現(xiàn)代化企業(yè)，擁有數(shù)量較多的計(jì)算機(jī)，建立了多臺(tái)服務(wù)器對外提供服務(wù)，目前內(nèi)部上網(wǎng)采用的代理服務(wù)器，對外提供服務(wù)的服務(wù)器采用的是雙網(wǎng)卡。日前，公司計(jì)劃采用100M光纖寬帶接入互聯(lián)網(wǎng)，希望公司內(nèi)部能穩(wěn)定、安全地訪問互聯(lián)網(wǎng)，同時(shí)還需要通過互聯(lián)網(wǎng)提供公司的網(wǎng)站、郵件服務(wù)。為保障公司網(wǎng)絡(luò)出口的安全，請進(jìn)行規(guī)劃并實(shí)施。

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

針對公司互聯(lián)網(wǎng)出口的網(wǎng)絡(luò)安全進(jìn)行規(guī)劃并實(shí)施。

2.任務(wù)目的

通過本任務(wù)進(jìn)行防火墻配置的實(shí)訓(xùn)，以幫助讀者掌握防火墻的基礎(chǔ)配置、NAT配置，了解防火墻規(guī)則的配置方法，具備應(yīng)用防火墻的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

集團(tuán)公司內(nèi)部能穩(wěn)定、安全地訪問互聯(lián)網(wǎng)，同時(shí)還需要通過互聯(lián)網(wǎng)提供公司的網(wǎng)站、郵件服務(wù)。

2.需求分析

需求1：公司內(nèi)部能穩(wěn)定、安全地訪問互聯(lián)網(wǎng)。

分析1：配置防火墻規(guī)則，使內(nèi)部網(wǎng)絡(luò)能夠通過NAT訪問外部網(wǎng)絡(luò)。

需求2：通過互聯(lián)網(wǎng)提供公司的網(wǎng)站、郵件服務(wù)。

分析2：配置防火墻規(guī)則，使外部網(wǎng)絡(luò)能夠通過端口映射轉(zhuǎn)換訪問內(nèi)部服務(wù)器的服務(wù)。

四、知識鏈接

1.防火墻

傳統(tǒng)意義上的防火墻是設(shè)計(jì)用于建筑物防止火災(zāi)蔓延的隔斷墻。

防火墻是一種高級訪問控制設(shè)備，置于不同安全域之間，是不同安全域之間的唯一通道，能根據(jù)企業(yè)有關(guān)的安全政策執(zhí)行允許、拒絕、監(jiān)視、記錄進(jìn)出網(wǎng)絡(luò)的行為。防火墻是一個(gè)或一組系統(tǒng)，用于管理兩個(gè)網(wǎng)絡(luò)之間的訪問控制規(guī)則及策略，所有從內(nèi)部訪問外部的數(shù)據(jù)流和外部訪問內(nèi)部的數(shù)據(jù)流均必須通過防火墻，只有被定義的數(shù)據(jù)流才可以通過防火墻，如圖5-21所示。防火墻本身必須有很強(qiáng)的免疫力。圖5-21防火墻

防火墻通常使用的安全控制手段主要有包過濾、狀態(tài)檢測和代理服務(wù)。

1)包過濾

包過濾是一種簡單、有效的安全控制技術(shù)，它通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載、允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。

2)狀態(tài)檢測

狀態(tài)檢測是比包過濾更為有效的安全控制方法。

3)代理服務(wù)

代理服務(wù)型防火墻是防火墻的一種，代表某個(gè)專用網(wǎng)絡(luò)同互聯(lián)網(wǎng)進(jìn)行通信的防火墻。

2.防火墻的工作模式

防火墻一般位于企業(yè)內(nèi)部網(wǎng)絡(luò)出口，與互聯(lián)網(wǎng)直接相連，是企業(yè)網(wǎng)絡(luò)的第一道屏障。根據(jù)防火墻和內(nèi)、外網(wǎng)絡(luò)的結(jié)構(gòu)，防火墻有三種工作模式，即透明模式、路由模式和混合模式。

1)透明模式

透明模式的防火墻就好像是一個(gè)網(wǎng)橋，不改變其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。網(wǎng)絡(luò)設(shè)備和所有計(jì)算機(jī)的設(shè)置(包括IP地址和網(wǎng)關(guān))無須改變，同時(shí)解析所有通過它的數(shù)據(jù)包，既增加了網(wǎng)絡(luò)的安全性，又降低了用戶管理的復(fù)雜程度。透明模式的防火墻結(jié)構(gòu)如圖5-22所示。圖5-22透明模式防火墻

2)路由模式

傳統(tǒng)防火墻一般工作于路由模式，它可以讓處于不同網(wǎng)段的計(jì)算機(jī)通過路由轉(zhuǎn)發(fā)的方式互相通信，并可將內(nèi)部私有IP地址轉(zhuǎn)換為互聯(lián)網(wǎng)地址。路由模式的防火墻結(jié)構(gòu)如圖5-23所示。圖5-23路由模式防火墻

3)混合模式

在復(fù)雜的企業(yè)網(wǎng)絡(luò)環(huán)境中常常需要使用透明及路由的混合模式?；旌夏Ｊ椒阑饓Y(jié)構(gòu)如圖5-24所示。圖5-24混合模式防火墻

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖5-25所示，以PC1模擬網(wǎng)絡(luò)管理員的計(jì)算機(jī)進(jìn)行配置和管理，PC2模擬公司用戶計(jì)算機(jī)，PC3模擬互聯(lián)網(wǎng)的機(jī)器，Server模擬公司W(wǎng)eb服務(wù)器和SMTP服務(wù)器。圖5-25實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表5-10所示。

IP地址規(guī)劃

根據(jù)任務(wù)的需求分析和VLAN的規(guī)劃，本實(shí)訓(xùn)任務(wù)中各部門的IP地址網(wǎng)段規(guī)劃為/24，外部IP網(wǎng)段規(guī)劃為/30，各實(shí)訓(xùn)設(shè)備的IP地址規(guī)劃如表5-11所示。

2.實(shí)施步驟

(1)根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、防火墻、計(jì)算機(jī)的線纜連接，配置PC1、PC2、PC3和Server的IP地址，配置交換機(jī)Sw1的VLAN1IP地址為。在Server上安裝IIS，配置Web、SMTP服務(wù)。

(2)防火墻的初始化配置。銳捷RG-WALL160M防火墻及相關(guān)系列可采用Web方式進(jìn)行配置，初次配置的過程依次為：配置管理主機(jī)、安裝認(rèn)證管理員身份證書(文件)、開始配置管理。

在PC1上運(yùn)行IE瀏覽器，在地址欄輸入https://00:6666，彈出一個(gè)對話框提示接受RG-WallAdmin數(shù)字證書，如圖5-26所示，單擊“確定”按鈕即可。圖5-26“選擇數(shù)字證書”對話框

③開始配置管理。系統(tǒng)提示輸入管理員賬號和口令，如圖5-27所示。在默認(rèn)情況下，管理員賬號是admin，密碼是firewall。單擊“登錄”按鈕，即可進(jìn)入防火墻管理界面，如圖5-28所示。圖5-27防火墻登錄界面圖5-28防火墻管理界面

(3)防火墻的接口IP配置。進(jìn)入防火墻的配置頁面，依次選擇“網(wǎng)絡(luò)配置”|“接口”選項(xiàng)，單擊“添加”按鈕分別為接口添加IP地址。根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)添加防火墻內(nèi)部接口的IP地址。作為LAN口的接口可勾選“允許所有主機(jī)PING”選項(xiàng)，如圖5-29所示。圖5-29內(nèi)部接口IP地址配置

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)添加防火墻外部接口的IP地址，如圖5-30所示圖5-30外部接口IP地址配置

接口IP地址配置完成后的狀態(tài)如圖5-31所示。圖5-31接口IP地址配置狀態(tài)

(4)對象的定義。為了簡化防火墻安全規(guī)則的定義和便于配置管理，引入了對象的定義。通過預(yù)先定義的地址、服務(wù)、代理、時(shí)間等對象，可將具有相同屬性或一定范圍的目

標(biāo)進(jìn)行定義，在配置安全規(guī)則時(shí)可以方便地進(jìn)行調(diào)用。圖5-32為地址列表定義，系統(tǒng)預(yù)定義了三個(gè)地址DMZ、Trust、Untrust均為。圖5-32地址列表定義

在地址列表里添加內(nèi)部局域網(wǎng)IP子網(wǎng)地址，如圖5-33所示。圖5-33內(nèi)部子網(wǎng)地址定義

在服務(wù)器地址里添加服務(wù)器IP地址，如圖5-34所示。圖5-34服務(wù)器IP地址定義

(5)安全規(guī)則的配置。安全策略是防火墻的核心功能，防火墻的所有訪問控制均根據(jù)安全規(guī)則的設(shè)置完成。安全規(guī)則主要包括包過濾規(guī)則、NAT規(guī)則、IP映射規(guī)則、端口映射規(guī)則等。

安全規(guī)則的配置步驟如下：

依次選擇“安全策略”|“安全規(guī)則”命令，然后單擊“添加”按鈕，如圖5-35所示。圖5-35安全規(guī)則的配置

根據(jù)任務(wù)需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)配置防火墻規(guī)則，使內(nèi)部網(wǎng)絡(luò)能夠通過NAT訪問外部網(wǎng)絡(luò)。在安全規(guī)則界面添加NAT規(guī)則，如圖5-36所示。配置的內(nèi)容主要有：規(guī)則“類型”為NAT，“源地址”為預(yù)先定義的內(nèi)部子網(wǎng)“l(fā)an”，“目的地址”為“any”，“服務(wù)”為“any”，源地址轉(zhuǎn)換選取防火墻外部網(wǎng)絡(luò)接口的IP“”。圖5-36NAT規(guī)則配置

配置防火墻規(guī)則，使外部網(wǎng)絡(luò)能夠通過端口映射轉(zhuǎn)換訪問內(nèi)部服務(wù)器(Server)的Web、SMTP服務(wù)。在安全規(guī)則界面添加端口映射規(guī)則，如圖5-37所示。圖5-37http端口映射規(guī)則配置

對Server的SMTP服務(wù)進(jìn)行類似配置，再增加一條端口映射的安全規(guī)則，如圖5-38所示。圖5-38SMTP端口映射規(guī)則配置

六、任務(wù)驗(yàn)收

1.設(shè)備驗(yàn)收

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖檢查、驗(yàn)收計(jì)算機(jī)、交換機(jī)、防火墻的線纜連接，檢查PC1、PC2、PC3、Server、防火墻的IP地址。

2.配置驗(yàn)收

1)接口IP配置

2)對象定義配置

3)安全規(guī)則配置

在防火墻管理界面中安全策略菜單的安全規(guī)則項(xiàng)，檢查添加的各項(xiàng)安全規(guī)則是否符合任務(wù)需求，如圖5-39所示。圖5-39安全規(guī)則配置

3.防火墻功能驗(yàn)收

1)NAT功能

在PC2上使用ping命令檢查與PC3的連通性，NAT功能配置正確應(yīng)能連通PC3的IP地址，此時(shí)PC2的IP地址被轉(zhuǎn)換成了防火墻的外部接口IP地址，如圖5-40所示。圖5-40PC2與PC3通過NAT連通

2)端口映射功能

在PC3上訪問Server上的Web、SMTP服務(wù)，在端口映射功能配置正確的情況下，PC3的內(nèi)部IP地址和端口被映射為防火墻的外部接口地址和端口，使用防火墻的外部接口地址和端口能訪問Server上的Web、SMTP服務(wù)(例如：)。此時(shí)可通過防火墻管理界面中系統(tǒng)監(jiān)控菜單下網(wǎng)絡(luò)監(jiān)控項(xiàng)里的實(shí)時(shí)監(jiān)控查看端口映射的轉(zhuǎn)換情況，如圖5-41所示，圖中目的地址的TCP80端口(Web)和TCP25端口(SMTP服務(wù))被轉(zhuǎn)換映射為Server的IP地址()的TCP80端口和TCP25端口。圖5-41端口映射監(jiān)控

七、任務(wù)總結(jié)

針對某集團(tuán)公司互聯(lián)網(wǎng)安全訪問的任務(wù)內(nèi)容和目標(biāo)，通過需求分析進(jìn)行了實(shí)訓(xùn)的規(guī)劃和實(shí)施。本任務(wù)進(jìn)行了防火墻基礎(chǔ)配置、安全規(guī)則配置等方面的實(shí)訓(xùn)。

任務(wù)4移動(dòng)用戶訪問企業(yè)網(wǎng)資源

一、任務(wù)描述某公司已經(jīng)建立了企業(yè)網(wǎng)并通過防火墻與互聯(lián)網(wǎng)連接，由于業(yè)務(wù)需要，公司經(jīng)常有員工到外地出差，假期時(shí)員工在家也需要訪問公司內(nèi)部信息資源。針對這種情況，需要使出差及在家辦公的公司用戶都能通過互聯(lián)網(wǎng)安全地訪問到公司的內(nèi)部資源，且在安全上要能提供認(rèn)證、訪問授權(quán)及審核功能。請規(guī)劃并實(shí)施。

二、任務(wù)目標(biāo)與目的

1.任務(wù)目標(biāo)

要求實(shí)現(xiàn)用戶在公司外部時(shí)能通過互聯(lián)網(wǎng)安全訪問公司資源。

2.任務(wù)目的

通過本任務(wù)進(jìn)行VPN的安全實(shí)訓(xùn)，以幫助讀者了解SSLVPN的功能，了解VPN設(shè)備的SSLVPN配置方法，具備VPN實(shí)施的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

需求：企業(yè)員工在外要能通過互聯(lián)網(wǎng)訪問公司信息資源。公司內(nèi)部的信息資源在防火墻內(nèi)部，不能直接放在互聯(lián)網(wǎng)上。

2.需求分析

分析：員工需要通過互聯(lián)網(wǎng)訪問公司內(nèi)部信息資源，采用SSLVPN是一種安全、方便的方式。SSL既能實(shí)現(xiàn)數(shù)據(jù)的加密，又能實(shí)現(xiàn)訪問用戶的認(rèn)證，訪問資源的授權(quán)及審核功能。

四、知識鏈接

1.VPN

VPN的網(wǎng)絡(luò)結(jié)構(gòu)如圖5-42所示。圖5-42VPN網(wǎng)絡(luò)結(jié)構(gòu)

1)VPN的特點(diǎn)

VPN主要采用了隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)等實(shí)現(xiàn)。VPN的主要特點(diǎn)如下：

(1)安全保障。

(2)服務(wù)質(zhì)量保證(QoS)。

(3)可擴(kuò)充性和靈活性。

(4)可管理性。

2)VPN的分類

根據(jù)不同的劃分標(biāo)準(zhǔn)，VPN可以按協(xié)議和應(yīng)用的不同進(jìn)行劃分。

(1)按VPN的協(xié)議分類。

VPN的隧道協(xié)議主要有PPTP、L2TP、IPSec以及SSL，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議，是最常見的用于

LANToLAN(網(wǎng)對網(wǎng))的協(xié)議；SSL協(xié)議是介于HTTP層及TCP層的安全協(xié)議。

(2)按VPN的應(yīng)用分類。

AccessVPN(遠(yuǎn)程接入VPN)：客戶端到網(wǎng)關(guān)，使用公共網(wǎng)絡(luò)作為骨干網(wǎng)在用戶與網(wǎng)關(guān)設(shè)備之間傳輸VPN的數(shù)據(jù)流量。

IntranetVPN(內(nèi)聯(lián)網(wǎng)VPN)：網(wǎng)關(guān)到網(wǎng)關(guān)，通過公共網(wǎng)絡(luò)或?qū)Ｓ镁W(wǎng)絡(luò)連接公司的資源。

ExtranetVPN(外聯(lián)網(wǎng)VPN)：與合作伙伴企業(yè)網(wǎng)構(gòu)成Extranet，將一個(gè)公司與另一個(gè)公司的資源進(jìn)行連接。

3)VPN的部署模式

VPN的部署模式是指VPN設(shè)備部署到客戶網(wǎng)絡(luò)中的工作模式，不同的部署方式對企業(yè)的網(wǎng)絡(luò)影響各有不同，具體以何種部署方式需要綜合客戶具體的網(wǎng)絡(luò)環(huán)境和客戶的功能

需求而定。VPN的部署模式一般分為網(wǎng)關(guān)模式和單臂模式。

(1)網(wǎng)關(guān)模式。網(wǎng)關(guān)模式的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖5-43所示。

(2)單臂模式。單臂模式的典型網(wǎng)絡(luò)結(jié)構(gòu)如圖5-44所示。

圖5-43VPN的網(wǎng)關(guān)模式圖5-44VPN的單臂模式

2.SSLVPN

SSLVPN是指采用SSL(SecuritySocketLayer)協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種新型VPN技術(shù)。SSL協(xié)議是網(wǎng)景公司提出的基于Web應(yīng)用的安全協(xié)議，它包括服務(wù)器認(rèn)證、客戶認(rèn)證(可選)、SSL鏈路上的數(shù)據(jù)完整性和保密性。

具體表現(xiàn)為以下幾點(diǎn)：

(1)適合點(diǎn)對網(wǎng)的連接；

(2)無需手動(dòng)安裝任何VPN客戶端軟件；

(3)兼容性好，支持各種操作系統(tǒng)和終端，不會(huì)與終端防火墻、殺毒軟件沖突；

(4)細(xì)致的訪問權(quán)限控制。

3.IPSecVPN

IPSecVPN是指采用IPSec協(xié)議來實(shí)現(xiàn)遠(yuǎn)程接入的一種VPN技術(shù)。IPSecVPN采用隧道模式來實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)通過公共網(wǎng)絡(luò)進(jìn)行安全加密的連接。

IPSec是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，特定的通信方之間在IP層通過加密和數(shù)據(jù)摘要等手段，來保證數(shù)據(jù)包在Internet上傳輸?shù)乃矫苄?、完整性和真?shí)性。

IPSec是一組協(xié)議套件，各種協(xié)議統(tǒng)稱為IPSec。IPSec主要由兩大部分組成：

①IKE(InternetKeyExchange，因特網(wǎng)密鑰交換)協(xié)議，用于交換和管理VPN中使用的加密密鑰，建立和維護(hù)安全聯(lián)盟(SA)的服務(wù)。

②保護(hù)分組流的協(xié)議，包括加密分組流的封裝安全載荷協(xié)議(ESP協(xié)議)或認(rèn)證頭協(xié)議(AH協(xié)議)，用于保證數(shù)據(jù)的機(jī)密性、來源可靠性(認(rèn)證)、無連接的完整性，并提供抗重播服務(wù)。

1)安全聯(lián)盟(SA)

安全聯(lián)盟(SA，SecurityAssociation)是IPSec的基礎(chǔ)，也是IPSec的本質(zhì)。

2)AH與ESP

IPSec提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭篡改。加密機(jī)制通過對數(shù)據(jù)進(jìn)行加密來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被竊聽。

AH協(xié)議定義了認(rèn)證的應(yīng)用方法，提供數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能，它能保護(hù)通信免受篡改，但不能防止竊聽，適用于傳輸非機(jī)密數(shù)據(jù)。AH的工作原理

是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP包頭的后面添加一個(gè)身份驗(yàn)證報(bào)文頭，對數(shù)據(jù)提供完整性保護(hù)，可選擇的認(rèn)證算法有MD5(MessageDigest)、SHA-1(SecureHashAlgorithm)等。AH報(bào)文封裝如圖5-45所示。圖5-45AH報(bào)文封裝

ESP協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法，提供加密、數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和防報(bào)文重放功能。ESP的工作原理是在每一個(gè)數(shù)據(jù)包的標(biāo)準(zhǔn)IP包頭的后面添加一個(gè)ESP報(bào)文頭，并在數(shù)據(jù)包后面追加一個(gè)ESP尾部。與AH協(xié)議不同的是，ESP將需要保護(hù)的用戶數(shù)據(jù)進(jìn)行加密后再封裝到IP包中，以保證數(shù)據(jù)的機(jī)密性，常見的加密算法有DES、3DES、AES等，同時(shí)還可以選擇MD5、SHA-1等算法保證報(bào)文的完整性和真實(shí)性。ESP報(bào)文封裝如圖5-46所示。圖5-46ESP報(bào)文封裝

3)工作模式

IPSec在不同的應(yīng)用需求下會(huì)有不同的工作模式，分別為傳輸模式(TransportMode)及隧道模式(TunnelMode)。

傳輸模式：只是傳輸層數(shù)據(jù)被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被放置在原IP包頭的后面。

隧道模式：用戶的整個(gè)IP數(shù)據(jù)包被用來計(jì)算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數(shù)據(jù)被封裝在一個(gè)新的IP數(shù)據(jù)包中。

傳輸模式和隧道模式下的數(shù)據(jù)封裝形式如圖5-47所示，其中，Data為原來的IP報(bào)文。圖5-47不同模式下安全協(xié)議的數(shù)據(jù)封裝格式

4)IKE協(xié)議

在實(shí)施IPSec的過程中，可以使用IKE協(xié)議來建立SA，該協(xié)議建立在ISAKMP(InternetSecurityAssociationandKeyManagementProtocol，互聯(lián)網(wǎng)安全聯(lián)盟和密鑰管理協(xié)議)定義的框架上。IKE為IPSec提供了自動(dòng)協(xié)商交換密鑰、建立SA的服務(wù)，能夠簡化IPSec的使用和管理，大大簡化IPSec的配置和維護(hù)工作。

以圖5-48所示的兩個(gè)網(wǎng)絡(luò)訪問為例，典型的IPSecVPN建立過程如下：圖5-48IPSecVPN的初始建立

(1)需要訪問遠(yuǎn)端的數(shù)據(jù)流經(jīng)路由器，觸發(fā)路由器啟動(dòng)相關(guān)的協(xié)商過程。

(2)啟動(dòng)IKE的階段1，對通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全通道。階段1協(xié)商建立IKE安全通道所使用的參數(shù)，主要包括加密算法、Hash算法、DH算法、身份認(rèn)證方法、存活時(shí)間等，如圖5-49所示。圖5-49IKE階段1

(3)啟動(dòng)IKE階段2，在上述安全通道上協(xié)商IPSec參數(shù)。雙方協(xié)商IPSec安全參數(shù)，稱為變換集(TransformSet)，主要包括加密算法、Hash算法、安全協(xié)議、封裝模式、存活時(shí)間、DH算法等，如圖5-50所示。

(4)按協(xié)商好的IPSec安全參數(shù)對數(shù)據(jù)流進(jìn)行加密、Hash等算法保護(hù)。圖5-50IKE階段2

五、任務(wù)實(shí)施

1.實(shí)施規(guī)劃

實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實(shí)訓(xùn)的拓?fù)浣Y(jié)構(gòu)如圖5-51所示，Server模擬公司內(nèi)部網(wǎng)絡(luò)Web服務(wù)器，PC1模擬管理計(jì)算機(jī)，PC2模擬外部用戶計(jì)算機(jī)，PC3模擬公司內(nèi)部用戶計(jì)

算機(jī)。VPN設(shè)備作為公司出口提供用戶的VPN訪問。圖5-51實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)

實(shí)訓(xùn)設(shè)備

根據(jù)任務(wù)的需求和實(shí)訓(xùn)拓?fù)?，每個(gè)實(shí)訓(xùn)小組的實(shí)訓(xùn)設(shè)備配置建議如表5-12所示。

IP地址規(guī)劃

根據(jù)任務(wù)的需求分析和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，本任務(wù)中公司內(nèi)部的IP地址網(wǎng)段規(guī)劃為/24，外部IP地址網(wǎng)段規(guī)劃為/24，各實(shí)訓(xùn)設(shè)備的IP地址規(guī)劃如表5-13所示。

2.實(shí)施步驟

(1)設(shè)備連接。

根據(jù)實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)圖進(jìn)行交換機(jī)、VPN、計(jì)算機(jī)的線纜連接，配置PC1、PC2、PC3和Server的IP地址。在Server上安裝IIS，配置Web服務(wù)，能從局域網(wǎng)正常訪問Server

的Web服務(wù)。

(2)SSLVPN的管理配置。

深信服SSLVPN2050及相關(guān)系列可采用Web方式進(jìn)行配置管理，初次配置時(shí)可以采用DMZ、LAN默認(rèn)的地址進(jìn)行。

在PC3上運(yùn)行IE瀏覽器，在地址欄輸入54:1000，彈出用戶登錄界面，如圖5-52所示。圖5-52登錄界面

輸入管理員賬號和密碼，即可進(jìn)入SSLVPN管理界面，在默認(rèn)狀態(tài)下，管理員用戶名是Admin，密碼是Admin。如圖5-53所示，SSLVPN管理界面左側(cè)為樹形結(jié)構(gòu)的菜單，右側(cè)為配置管理界面，點(diǎn)擊各菜單項(xiàng)熟悉各項(xiàng)菜單內(nèi)容。圖5-53VPN管理界面

(3)SSLVPN的部署模式及接口IP配置。

深信服SSLVPN分為網(wǎng)關(guān)(單線路和多線路)模式和單臂模式兩種工作模式。依次選擇“系統(tǒng)設(shè)置”|“網(wǎng)絡(luò)配置”|“部署模式”選項(xiàng)，選中“網(wǎng)關(guān)模式”單選按鈕，進(jìn)入SSLVPN的配置頁面進(jìn)行部署，內(nèi)網(wǎng)接口LAN配置相應(yīng)的內(nèi)網(wǎng)IP地址與子網(wǎng)掩碼地址，如圖5-54所示。圖5-53VPN管理界面

根據(jù)實(shí)訓(xùn)任務(wù)的IP規(guī)劃參數(shù)，單擊“線路1”，配置外網(wǎng)接口IP地址如圖5-55所示。圖5-55外網(wǎng)接口IP地址配置

(4)資源的定義。

資源是指各種規(guī)則要使用的對象的集合，在進(jìn)行相關(guān)配置時(shí)調(diào)用。深信服SSLVPN將資源分為Web資源、APP資源和IP資源三類，為了滿足SSLVPN接入用戶訪問不同的

內(nèi)網(wǎng)資源，需要先建立內(nèi)網(wǎng)資源。依次選擇“SSLVPN設(shè)置”|“資源管理”|“新建”選項(xiàng)，選擇相應(yīng)的資源發(fā)布，如圖5-56所示。圖5-56資源建立主界面

實(shí)訓(xùn)任務(wù)要求Server提供Web服務(wù)，所以針對Server的應(yīng)用發(fā)布Web服務(wù)，如圖5-57所示，主要填寫名稱(用戶自定義)、類型(選擇HTTP)、地址(內(nèi)網(wǎng)服務(wù)器的主機(jī)IP)，勾選“啟用該資源”“允許用戶可見”選項(xiàng)。圖5-57發(fā)布Web服務(wù)

本實(shí)訓(xùn)中為了保證PC2能夠ping通PC1，PC2需要獲取一個(gè)虛擬IP地址，針對以上要求需要發(fā)布一個(gè)L3VPN資源(在舊版本里為IP資源)，主要設(shè)置名稱(用戶自定義)、類型(此處選擇Other)、協(xié)議(ICMP)、地址(需要ping通的內(nèi)網(wǎng)主機(jī)IP)，勾選“啟用該資源”“允許用戶可見”選項(xiàng)，如圖5-58所示。圖5-58L3VPN資源發(fā)布

(5)SSLVPN防火墻規(guī)則的配置。

SSLVPN的所有訪問控制均根據(jù)防火墻安全規(guī)則的設(shè)置完成。安全規(guī)則主要包括包過濾規(guī)則、NAT規(guī)則、IP映射規(guī)則、端口映射規(guī)則等。

防火墻安全規(guī)則的配置如下：

依次選擇“防火墻設(shè)置”|“過濾規(guī)則設(shè)置”選項(xiàng)，然后單擊相應(yīng)方向的“新增”按鈕，如圖5-59所示。圖5-59安全規(guī)則的配置

根據(jù)任務(wù)需求和實(shí)訓(xùn)拓?fù)浣Y(jié)構(gòu)，需要配置防火墻規(guī)則，使內(nèi)部網(wǎng)絡(luò)能夠通過NAT訪問外部網(wǎng)絡(luò)。在防火墻設(shè)置規(guī)則界面添加NAT規(guī)則，依次選擇“防火墻設(shè)置”｜“NAT設(shè)置”，設(shè)置“名稱”為“nat”，“內(nèi)網(wǎng)接口”為“LAN”，定義子網(wǎng)網(wǎng)段和子網(wǎng)掩碼，啟用該策略，如圖5-60所示。圖5-60NAT規(guī)則配置

配置防火墻包過濾規(guī)則，以允許分公司的IP訪問Web為例進(jìn)行配置：依次選擇“防火墻設(shè)置”|“過濾規(guī)則”|“VPN->LAN”等選項(xiàng)，點(diǎn)擊“新增”按鈕訪問服務(wù)器。相關(guān)內(nèi)容的設(shè)置如圖5-61所示。依次選擇“WAN->LAN”|“VPN->LAN”|“VPN->WAN”等選項(xiàng)，根據(jù)情況分別進(jìn)行雙向放通設(shè)置，如圖5-62～圖5-64所示。圖5-61包過濾規(guī)則的具體配置內(nèi)容圖5-62VPN->LAN方向規(guī)則圖5-63WAN->LAN