主講人：萬(wàn)鵬第五章

網(wǎng)絡(luò)設(shè)備安全配置網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程CONTENTS教學(xué)目標(biāo)本章主要介紹主流網(wǎng)絡(luò)安全設(shè)備的基本配置方法、路由器點(diǎn)到點(diǎn)的VPN、防火墻的主要配置方法?！局R(shí)目標(biāo)】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墻【技能目標(biāo)】?掌握和AAA的認(rèn)證、授權(quán)的配置。?了解華為系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相關(guān)配置。

?掌握USG防火墻安全策略及相關(guān)配置命令CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墻5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.1項(xiàng)目背景

某公司在辦公地點(diǎn)的中心機(jī)房部署有一臺(tái)USG防火墻，為更好實(shí)現(xiàn)管理,將防火墻分為3個(gè)區(qū)域，其中內(nèi)網(wǎng)區(qū)域接公司局域網(wǎng),DMZ區(qū)接公司對(duì)外Web服務(wù)器和ACS認(rèn)證服務(wù)器，外網(wǎng)區(qū)域連接Internet,公司內(nèi)網(wǎng)用戶(hù)上網(wǎng)通過(guò)防火墻地址轉(zhuǎn)換功能來(lái)實(shí)現(xiàn)，局域網(wǎng)用戶(hù)使用DHCP自動(dòng)獲取IP,并通過(guò)公司ACS服務(wù)器的認(rèn)證后才能訪問(wèn)Internet。公司有一臺(tái)Web服務(wù)器需要對(duì)內(nèi)外網(wǎng)提供WWW服務(wù)。為實(shí)現(xiàn)員工出差也能夠訪問(wèn)公司內(nèi)部資源，要求提供遠(yuǎn)程VPN功能。

1.需求分析USG采用三區(qū)域路由模式結(jié)構(gòu)，DMZ區(qū)域采用靜態(tài)IPNAT的方式對(duì)Web服務(wù)器提供服務(wù)，inside(內(nèi)網(wǎng))區(qū)域采用DHCP方式獲取IP,USG充當(dāng)DHCP服務(wù)器，Client需要采用PAT方式訪問(wèn)Internet,并需要通過(guò)AAA認(rèn)證。Client訪問(wèn)內(nèi)部服務(wù)器采用直接路由的方式，Web服務(wù)器對(duì)外發(fā)布服務(wù)

需要映射到防火墻外網(wǎng)接口,并拒絕外部到outside接口的任何ICMP通信，內(nèi)部inside到DMZ和Internet可以采用ICMP測(cè)試連通性，內(nèi)部inside到DMZ采用路由方式直接進(jìn)行訪問(wèn)，不做NAT/PAT,并在防火墻上啟用SSLVPN提供遠(yuǎn)程用戶(hù)連接服務(wù)。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

某公司在網(wǎng)絡(luò)邊界處部署了NGFW作為安全網(wǎng)關(guān)。為了使私網(wǎng)中/24網(wǎng)段的用戶(hù)可以正常訪問(wèn)Internet，需要在NGFW上配置源NAT策略。除了公網(wǎng)接口的IP地址外，公司還向ISP申請(qǐng)了2個(gè)IP地址（0～1）作為私網(wǎng)地址轉(zhuǎn)換后的公網(wǎng)地址。網(wǎng)絡(luò)環(huán)境如圖所示，其中Router是ISP提供的接入網(wǎng)關(guān)。設(shè)備類(lèi)型設(shè)備型號(hào)設(shè)備數(shù)量備注防火墻USG55001臺(tái)含電源線、配置線二層交換機(jī)S37001臺(tái)含電源線、配置線計(jì)算機(jī)雙核、4GB、80GB以上4臺(tái)已安裝WindowsXPSP3雙絞線超5類(lèi)6條1條交叉線，5條直通線軟件名稱(chēng)數(shù)量備注WindowsXPProSP2（中文版）1系統(tǒng)平臺(tái)VMwareWorkstation7.1.41虛擬機(jī)MicrosoftOffice2007（中文版）1文檔編輯WindowsServer2003R2（中文版）1服務(wù)器平臺(tái)jre-6u2-Windows-i586或更髙版本1Java運(yùn)行環(huán)境USG802-k8.bin1USG系統(tǒng)文件asdm-524.bin1USG設(shè)置管理工具sslclient-win-73.pkg1VPN客戶(hù)端軟件asdm50-install.msi1ASDM管理軟件軟件環(huán)境列表硬件環(huán)境列表2.環(huán)境準(zhǔn)備5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.技能準(zhǔn)備（1）華為防火墻產(chǎn)品（如圖所示）5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（2）USG防火墻概述：USG作為PIX的升級(jí)產(chǎn)品是一款集防火墻、入侵檢測(cè)(IDS)和VPN集中器于一體的安全產(chǎn)品?！胺阑饓Α币辉~起源于建筑領(lǐng)域，用來(lái)隔離火災(zāi)，阻止火勢(shì)從一個(gè)區(qū)域蔓延到另一個(gè)區(qū)域。引入到通信領(lǐng)域，防火墻這一具體設(shè)備通常用于兩個(gè)網(wǎng)絡(luò)之間有針對(duì)性的、邏輯意義上的隔離。當(dāng)然，這種隔離是高明的，既能阻斷網(wǎng)絡(luò)中的各種攻擊又能保證正常通信報(bào)文的通過(guò)。用通信語(yǔ)言來(lái)定義，防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來(lái)自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。因其隔離、防守的屬性，靈活應(yīng)用于網(wǎng)絡(luò)邊界、子網(wǎng)隔離等位置，具體如企業(yè)網(wǎng)絡(luò)出口、大型網(wǎng)絡(luò)內(nèi)部子網(wǎng)隔離、數(shù)據(jù)中心邊界等等。

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個(gè)安全區(qū)域，分別是Trust、DMZ和Untrust。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（3）安全區(qū)域、受信任程度與安全級(jí)別（如圖所示）

不同的網(wǎng)絡(luò)受信任的程度不同，在防火墻上用安全區(qū)域來(lái)表示網(wǎng)絡(luò)后，怎么來(lái)判斷一個(gè)安全區(qū)域的受信任程度呢?在華為防火墻上，每個(gè)安全區(qū)域都有一個(gè)唯一的安全級(jí)別，用1～100的數(shù)字表示，數(shù)字越大，則代表該區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。對(duì)于默認(rèn)的安全區(qū)域，它們的安全級(jí)別是固定的：Local區(qū)域的安全級(jí)別是100，Trust區(qū)域的安全級(jí)別是85，DMZ區(qū)域的安全級(jí)別是50，Untrust區(qū)域的安全級(jí)別是5。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

（4）安全域間、安全策略與報(bào)文流動(dòng)的方向：

“安全域間”是兩個(gè)安全區(qū)域之間的唯一“道路”；

“安全策略”即在“道路”上設(shè)立的“安全關(guān)卡”。

任意兩個(gè)安全區(qū)域都構(gòu)成一個(gè)安全域間（Interzone），并具有單獨(dú)的安全域間視圖，大部分的安全策略都需要在安全域間視圖下配置。安全域間這個(gè)概念用來(lái)描述流量的傳輸通道。它是兩個(gè)“區(qū)域”之間的唯一“道路”，如果希望對(duì)經(jīng)過(guò)這條通道的流量進(jìn)行控制，就必須在通道上設(shè)立“關(guān)卡”，也就是安全策略。報(bào)文在兩個(gè)安全區(qū)域之間流動(dòng)時(shí)，我們規(guī)定：報(bào)文從低級(jí)別的安全區(qū)域向高級(jí)別的安全區(qū)域流動(dòng)時(shí)為入方向（Inbound），報(bào)文從由高級(jí)別的安全區(qū)域向低級(jí)別的安全區(qū)域流動(dòng)時(shí)為出方向（Outbound）。報(bào)文在兩個(gè)方向上流動(dòng)時(shí)，將會(huì)觸發(fā)不同的安全檢查。圖中標(biāo)明了Local區(qū)域、Trust區(qū)域、DMZ區(qū)域和Untrust區(qū)域間的方向。通常情況下，通信雙方一定會(huì)交互報(bào)文，即安全域間的兩個(gè)方向上都有報(bào)文的傳輸。而判斷一條流量的方向應(yīng)以發(fā)起該條流量的第一個(gè)報(bào)文為準(zhǔn)。通過(guò)設(shè)置安全區(qū)域，防火墻上的各個(gè)安全區(qū)域之間有了等級(jí)明確的域間關(guān)系。不同的安全區(qū)域代表不同的網(wǎng)絡(luò)，防火墻成為連接各個(gè)網(wǎng)絡(luò)的節(jié)點(diǎn)。以此為基礎(chǔ)，防火墻就可以對(duì)各個(gè)網(wǎng)絡(luò)之間流動(dòng)的報(bào)文實(shí)施管控。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.2項(xiàng)目設(shè)計(jì)1.區(qū)域介紹

防火墻通過(guò)安全區(qū)域來(lái)劃分網(wǎng)絡(luò)、標(biāo)識(shí)報(bào)文流動(dòng)的“路線”。

為了在防火墻上區(qū)分不同的網(wǎng)絡(luò)，我們?cè)诜阑饓ι弦肓艘粋€(gè)重要的概念：安全區(qū)域（SecurityZone），簡(jiǎn)稱(chēng)為區(qū)域（Zone）。安全區(qū)域是一個(gè)或多個(gè)接口的集合，是防火墻區(qū)別于路由器的主要特性。防火墻通過(guò)安全區(qū)域來(lái)劃分網(wǎng)絡(luò)、標(biāo)識(shí)報(bào)文流動(dòng)的“路線”，一般來(lái)說(shuō)，當(dāng)報(bào)文在不同的安全區(qū)域之間流動(dòng)時(shí)，才會(huì)受到控制。我們都知道，防火墻通過(guò)接口來(lái)連接網(wǎng)絡(luò)，將接口劃分到安全區(qū)域后，通過(guò)接口就把安全區(qū)域和網(wǎng)絡(luò)關(guān)聯(lián)起來(lái)。通常說(shuō)某個(gè)安全區(qū)域，就可以表示該安全區(qū)域中接口所連接的網(wǎng)絡(luò)。接口、網(wǎng)絡(luò)和安全區(qū)域的關(guān)系如圖所示。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程

華為防火墻產(chǎn)品上默認(rèn)已經(jīng)提供了三個(gè)安全區(qū)域，分別是Trust、DMZ和Untrust：Trust區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度高，通常用來(lái)定義內(nèi)部用戶(hù)所在的網(wǎng)絡(luò)。DMZ區(qū)域，該區(qū)域內(nèi)網(wǎng)絡(luò)的受信任程度中等，通常用來(lái)定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。Untrust區(qū)域，該區(qū)域代表的是不受信任的網(wǎng)絡(luò)，通常用來(lái)定義Internet等不安全的網(wǎng)絡(luò)。在網(wǎng)絡(luò)數(shù)量較少、環(huán)境簡(jiǎn)單的場(chǎng)合中，使用默認(rèn)提供的安全區(qū)域就可以滿足劃分網(wǎng)絡(luò)的需求。在網(wǎng)絡(luò)數(shù)量較多的場(chǎng)合，還可以根據(jù)需要?jiǎng)?chuàng)建新的安全區(qū)域。如圖5-18所示，假設(shè)接口1和接口2連接的是內(nèi)部用戶(hù)，那我們就把這兩個(gè)接口劃分到Trust區(qū)域中；接口3連接內(nèi)部服務(wù)器，將它劃分到DMZ區(qū)域；接口4連接Internet，將它劃分到Untrust區(qū)域。當(dāng)內(nèi)部網(wǎng)絡(luò)中的用戶(hù)訪問(wèn)Internet時(shí)，報(bào)文在防火墻上的路線是從Trust區(qū)域到Untrust區(qū)域；當(dāng)Internet上的用戶(hù)訪問(wèn)內(nèi)部服務(wù)器時(shí)，報(bào)文在防火墻上的路線是從Untrust區(qū)域到DMZ區(qū)域。DMZ（DemilitarizedZone）起源于軍方，是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種部分管制的區(qū)域。防火墻引用了這一術(shù)語(yǔ)，指代一個(gè)與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分離的安全區(qū)域。除了在不同網(wǎng)絡(luò)之間流動(dòng)的報(bào)文之外，還存在從某個(gè)網(wǎng)絡(luò)到達(dá)防火墻本身的報(bào)文（例如我們登錄到防火墻上進(jìn)行配置），以及從防火墻本身發(fā)出的報(bào)文，如何在防火墻上標(biāo)識(shí)這類(lèi)報(bào)文的路線呢?

5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程2.私網(wǎng)用戶(hù)訪問(wèn)Internet場(chǎng)景

NAT（NetworkAddressTranslation）是一種地址轉(zhuǎn)換技術(shù)，可以將IPv4報(bào)文頭中的地址轉(zhuǎn)換為另一個(gè)地址。通常情況下，利用NAT技術(shù)將IPv4報(bào)文頭中的私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，可以實(shí)現(xiàn)位于私網(wǎng)的多個(gè)用戶(hù)使用少量的公網(wǎng)地址同時(shí)訪問(wèn)Internet。因此，NAT技術(shù)常用來(lái)解決隨著Internet規(guī)模的日益擴(kuò)大而帶來(lái)的IPv4公網(wǎng)地址短缺的問(wèn)題。在學(xué)校、公司中經(jīng)常會(huì)有多個(gè)用戶(hù)共享少量公網(wǎng)地址訪問(wèn)Internet的需求，通常情況下可以使用源NAT技術(shù)來(lái)實(shí)現(xiàn)。源NAT技術(shù)只對(duì)報(bào)文的源地址進(jìn)行轉(zhuǎn)換。通過(guò)源NAT策略對(duì)IPv4報(bào)文頭中的源地址進(jìn)行轉(zhuǎn)換，可以實(shí)現(xiàn)私網(wǎng)用戶(hù)通過(guò)公網(wǎng)IP地址訪問(wèn)Internet的目的。如圖所示，F(xiàn)W部署在網(wǎng)絡(luò)邊界處，通過(guò)部署源NAT策略，可以將私有網(wǎng)絡(luò)用戶(hù)訪問(wèn)Internet的報(bào)文的源地址轉(zhuǎn)換為公網(wǎng)地址，從而實(shí)現(xiàn)私網(wǎng)用戶(hù)接入Internet的目的。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程（1）NATNo-PAT

NATNo-PAT也可以稱(chēng)為“一對(duì)一地址轉(zhuǎn)換”，只對(duì)報(bào)文的地址進(jìn)行轉(zhuǎn)換，不轉(zhuǎn)換端口。

NATNo-PAT方式通過(guò)配置NAT地址池來(lái)實(shí)現(xiàn)，NAT地址池中可以包含多個(gè)公網(wǎng)地址。轉(zhuǎn)換時(shí)只轉(zhuǎn)換地址，不轉(zhuǎn)換端口，實(shí)現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對(duì)一的轉(zhuǎn)換。配置NATNo-PAT后，設(shè)備會(huì)為有實(shí)際流量的數(shù)據(jù)流建立Server-map表，用于存放私網(wǎng)IP地址與公網(wǎng)IP地址的映射關(guān)系。設(shè)備根據(jù)這種映射關(guān)系對(duì)報(bào)文的地址進(jìn)行轉(zhuǎn)換，然后進(jìn)行轉(zhuǎn)發(fā)。如圖5-20所示，當(dāng)Host訪問(wèn)WebServer時(shí)，F(xiàn)W的處理過(guò)程如下：FW收到Host發(fā)送的報(bào)文后，根據(jù)目的IP地址判斷報(bào)文需要在Trust區(qū)域和Untrust區(qū)域之間流動(dòng)，通過(guò)安全策略檢查后繼而查找NAT策略，發(fā)現(xiàn)需要對(duì)報(bào)文進(jìn)行地址轉(zhuǎn)換。FW從NAT地址池中選擇一個(gè)空閑的公網(wǎng)IP地址，替換報(bào)文的源IP地址，并建立Server-map表和會(huì)話表，然后將報(bào)文發(fā)送至Internet。FW收到WebServer響應(yīng)Host的報(bào)文后，通過(guò)查找會(huì)話表匹配到上一步驟中建立的表項(xiàng)，將報(bào)文的目的地址替換為Host的IP地址，然后將報(bào)文發(fā)送至Intranet。此方式下，公網(wǎng)地址和私網(wǎng)地址屬于一對(duì)一轉(zhuǎn)換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機(jī)訪問(wèn)外網(wǎng)時(shí)不會(huì)進(jìn)行NAT轉(zhuǎn)換，直到地址池中有空閑地址時(shí)才會(huì)進(jìn)行NAT轉(zhuǎn)換。5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程3.拓?fù)?，如圖所示5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程業(yè)務(wù)需求Trust區(qū)：PC1通過(guò)DHCP自動(dòng)獲取/24段地址Clint1通過(guò)靜態(tài)IP配置為/24段地址將Client1和PC1加入到trust區(qū)域Dmz區(qū)：將Server3通過(guò)靜態(tài)IP配置為/24段地址將Server3加入到Dmz區(qū)域Utrust區(qū)：LSW1作為傻瓜交換機(jī)使用Server2作為Internet的web服務(wù)ip地址：/24Client2作為Internet訪問(wèn)內(nèi)網(wǎng)web服務(wù)的客戶(hù)端5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程5.3.3項(xiàng)目實(shí)施1.配置過(guò)程PC1配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Client1計(jì)算機(jī)配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Server3服務(wù)器配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Server2服務(wù)器配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程Client2計(jì)算機(jī)配置示意圖，如圖所示；5.3USG防火墻網(wǎng)絡(luò)設(shè)備配置與調(diào)試案例教程FW2 配置：#vlanbatch1100#interfaceVlanif100aliasVlanif100ipaddressdhcpselectinterfacedhcpservergateway-listdhcpserverdns-list#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddressdhcpselectinterfacedhcpservergateway-list#interfaceGigabitEthernet0/0/1ipaddress#interfaceGigabitEthernet0/0/2ipaddress#interfaceGigabitEthernet0/0/3portswitchportlink-typeaccessportaccessvlan100#interfaceGigabitEthernet0/0/4ipaddress#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/2addinterfaceGigabitEthernet0/0/3addinterfaceVlanif100#firewallzoneuntrustsetpriority5addinterfaceGigabitEthernet0/0/1#firewallzonedmzsetpriority50addinterfaceGigabitEthernet0/0/4#iproute-static#natserver1zoneuntrustprotocoltcpglobalwwwinsidew