模塊1eNSP模擬器及VRP基礎(chǔ)防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準備04項目實施02教學目標C教學過程壹模塊概述模塊概述本模塊主要對華為eNSP（EnterpriseNetworkSimulationPlatform）模擬器的安裝和使用進行簡單介紹，并帶領(lǐng)讀者學習華為防火墻使用的通用路由平臺（VersatileRoutingPlatform，VRP）的基本使用方法。eNSP是一款由華為公司提供的免費的、可擴展的、圖形化的網(wǎng)絡(luò)設(shè)備仿真平臺，可以用來對企業(yè)網(wǎng)絡(luò)的路由器、交換機、防火墻等設(shè)備進行軟件仿真。eNSP可以極大地方便網(wǎng)絡(luò)管理人員學習、測試網(wǎng)絡(luò)設(shè)備。VRP是華為公司數(shù)據(jù)通信產(chǎn)品的通用操作系統(tǒng)平臺，運行VRP的華為產(chǎn)品包括路由器、局域網(wǎng)交換機、電信級綜合業(yè)務(wù)接入平臺、智能業(yè)務(wù)選擇網(wǎng)關(guān)以及專用硬件防火墻等。貳教學目標教學目標知識目標技能目標素養(yǎng)目標了解eNSP與真實設(shè)備對接原理；掌握設(shè)備云配置方法及防火墻WEB管理界面登錄流程。培養(yǎng)網(wǎng)絡(luò)設(shè)備遠程管理的規(guī)范意識；提升問題排查與跨工具協(xié)作能力。能獨立配置設(shè)備云實現(xiàn)本地計算機與虛擬防火墻通信；能通過瀏覽器登錄防火墻WEB界面。叁知識準備知識準備1.2.1eNSP基礎(chǔ)

1.2.2VRP基礎(chǔ)eNSP基礎(chǔ)2高仿真度4.支持分布式網(wǎng)絡(luò)部署1.圖形化操作3.可與真實設(shè)備對接1.eNSP的特點eNSP基礎(chǔ)2.eNSP的安裝與運行條件安裝環(huán)境要求硬件：4核CPU，主頻3.2GHz，內(nèi)存8GB，硬盤大于100GB操作系統(tǒng)：WindowseNSP基礎(chǔ)

eNSP模擬器軟件的版本：依賴軟件：必備組件包：防火墻USG6000V組件包WinPcap、Wireshark和VirtualBoxV100R003C00版本eNSP軟件eNSP基礎(chǔ)界面介紹最近打開欄學習欄快捷按鈕樣例欄eNSP基礎(chǔ)（1）天線數(shù)安裝eNSP新建拓撲設(shè)備選型設(shè)備連線顯示接口列表視圖啟動設(shè)備防火墻配置組件包配置IP地址測試連通性

搭建案例拓撲eNSP基礎(chǔ)注意事項如果eNSP安裝失敗，或要升級更高版本，則需要把原來軟件卸載后重裝。重裝前需要刪除以下兩個的目錄：C:\ProgramFiles\huaweiC:\Users\當前用戶\AppData\eNSPVRP基礎(chǔ)VRP（VersatileRoutingPlatform）平臺是華為公司數(shù)據(jù)通信產(chǎn)品的通用操作系統(tǒng)平臺。包括路由、交換、安全、無線等等。華為防火墻的CLI配置界面即為VRP平臺界面。區(qū)別于WEB圖形配置方式，CLI對系統(tǒng)資源要求低，操作更方便、快捷。VRP概述VRP基礎(chǔ)01啟動界面03CLI配置技巧02CLI視圖VRP基礎(chǔ)（1）天線數(shù)一、防火墻的啟動拖入一臺防火墻USG6000V，右鍵單擊防火墻，彈出菜單中：啟動：表示啟動防火墻，首次使用時需要導(dǎo)入組件包。CLI：表示進入防火墻的CLI命令行界面。VRP基礎(chǔ)（1）天線數(shù)防火墻第一次啟動時，需要輸入默認的用戶名(admin)及密碼(Admin@123)。再按要求更改密碼，新密碼要包含字母、數(shù)字、特殊字符。如可更改為Huawei@123。一、防火墻的啟動VRP基礎(chǔ)二、CLI視圖系統(tǒng)視圖[USG6000V1]用戶視圖<USG6000V1>接口視圖安全策略視圖路由協(xié)議相關(guān)視圖......NAT策略視圖system-view[USG6000V1]nat-policy......[USG6000V1]security-policy[USG6000V1]interfaceG1/0/1[USG6000V1]ospf

每個視圖都有各自的配置功能！命令只能在特定的視圖下執(zhí)行！quitquitreturn

非用戶視圖<USG6000V1>ctrl+zVRP基礎(chǔ)完全幫助部分幫助<USG6000V1>?<USG6000V1>display?[USG6000V1]interfaceGigabitEthernet？<USG6000V1>d?<USG6000V1>displayh?在線幫助功能三、CLI配置技巧·幫助功能VRP基礎(chǔ)1.完全幫助視圖下直接鍵入“？”，列出該視圖下的所有命令及其簡單描述。三、CLI配置技巧·幫助功能VRP基礎(chǔ)三、CLI配置技巧·幫助功能1.完全幫助命令關(guān)鍵字后，空格再輸入“？”，如果后續(xù)為命令，則列出所有關(guān)鍵字；如果后續(xù)為參數(shù)，則列出參數(shù)及描述。VRP基礎(chǔ)三、CLI配置技巧·幫助功能示例：2.部分幫助字符串后直接輸入“？”，列出與以該字符串開頭的所有命令關(guān)鍵字。VRP基礎(chǔ)三、CLI配置技巧·命令簡寫3.命令簡寫當輸入的字符串能唯一匹配一個命令關(guān)鍵字時，可以使用該字符串來代替整個關(guān)鍵字。VRP基礎(chǔ)注意事項USG6000V防火墻默認的用戶名為admin，默認的密碼為Admin@123，且在第一次使用時必須更改此密碼。防火墻密碼是輸入時是不可見的，正確輸入即可。肆項目實施項目實施任務(wù)搭建eNSP模擬器環(huán)境本任務(wù)將搭建支持USG6000V防火墻的eNSP模擬器環(huán)境，并通過一個具體的案例，使讀者熟悉eNSP的使用方法，掌握創(chuàng)建拓撲、保存拓撲、啟動設(shè)備、配置設(shè)備等基本操作。安裝eNSP模擬器前，需要關(guān)閉Windows操作系統(tǒng)自帶的防火墻軟件WindowsDefender。模塊2防火墻基礎(chǔ)設(shè)置防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準備04項目實施02教學目標C教學過程壹模塊概述模塊概述防火墻原本是指房屋之間修建的一道墻，作用是隔離火災(zāi)，阻止火勢從一個區(qū)域蔓延到另一個區(qū)域。防火墻不讓火通過，而讓人通過。引入通信領(lǐng)域，防火墻這個具體的網(wǎng)絡(luò)設(shè)備通常用來隔離兩個網(wǎng)絡(luò)，禁止各種網(wǎng)絡(luò)攻擊，而允許正常的數(shù)據(jù)包通過，即用于保護一個網(wǎng)絡(luò)免受來自另一個網(wǎng)絡(luò)的攻擊和入侵行為。因防火墻具有隔離、防守的特性，故其通常位于網(wǎng)絡(luò)或子網(wǎng)邊界。防火墻技術(shù)是網(wǎng)絡(luò)安全技術(shù)的一個具體體現(xiàn)，與之前介紹的網(wǎng)絡(luò)設(shè)備相比，路由器與交換機的本質(zhì)是“轉(zhuǎn)發(fā)”，而防火墻的本質(zhì)是“控制”。貳教學目標教學目標知識目標技能目標素養(yǎng)目標1．了解防火墻及其作用。2．熟悉防火墻的Web管理界面。3．了解防火墻的遠程接入方式。1．培養(yǎng)安全配置的意識，遠程接入時主動禁用Telnet協(xié)議。2．提高訪問控制敏感度，創(chuàng)建管理員賬戶時嚴格遵循最小權(quán)限原則。3．強化配置變更的嚴謹性，養(yǎng)成在變更防火墻規(guī)則前備份配置的習慣。4．樹立協(xié)議安全意識，深刻認識加密傳輸對網(wǎng)絡(luò)安全的重要性。1．能夠進行防火墻的基礎(chǔ)設(shè)置。2．能夠通過Web界面管理防火墻。3．能夠通過Telnet連接到防火墻。4．能夠通過SSH連接到防火墻。叁知識準備知識準備2.2.1防火墻的基本知識2.2.2防火墻的分類2.2.3

防火墻的組網(wǎng)方式2.2.4防火墻的Web界面防火墻基本知識1.防火墻的發(fā)展歷程1989年出現(xiàn)了包過濾防火墻，其能實現(xiàn)簡單的訪問控制，為第一代防火墻。第二代防火墻為代理防火墻，其安全性較高，但處理速度慢。1994年，Check

Point公司發(fā)布了第一臺基于狀態(tài)檢測的防火墻。狀態(tài)檢測防火墻處理速度快，安全性高，為第三代防火墻。2004年出現(xiàn)了統(tǒng)一威脅管理（UnifiedThreatManagement，UTM）的概念，將傳統(tǒng)防火墻、入侵檢測、防病毒、統(tǒng)一資源定位符（UniformResourceLocation，URL）過濾、應(yīng)用程序過濾、郵件過濾等功能整合，實現(xiàn)全面的安全防護，這就是第四代防火墻。2009年前后開始出現(xiàn)的下一代防火墻，可以基于用戶、應(yīng)用、內(nèi)容等進行管控，這就是第五代防火墻。下一代防火墻將應(yīng)用識別、入侵防御系統(tǒng)（IntrusionPreventionSystem，IPS）、反病毒等多種安全業(yè)務(wù)與基礎(chǔ)防火墻業(yè)務(wù)深度集成、并行處理，對數(shù)據(jù)流量進行深度安全檢測。防火墻基本知識2.防火墻的特征（1）網(wǎng)絡(luò)信息進出的關(guān)口。作為邏輯區(qū)域過濾器，現(xiàn)代的防火墻體系不應(yīng)該只是一個“入口的屏障”，而應(yīng)該是幾個網(wǎng)絡(luò)的接入控制點，所有進出被防火墻保護的網(wǎng)絡(luò)的數(shù)據(jù)流都應(yīng)該先經(jīng)過防火墻。防火墻網(wǎng)絡(luò)如圖2-1所示。在各個網(wǎng)絡(luò)之間，必須按照防火墻規(guī)定的“策略”進行訪問，合法的數(shù)據(jù)流量通過，不合法的數(shù)據(jù)流量丟棄。防火墻基本知識2.防火墻的特征（2）隱藏內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)。位于網(wǎng)絡(luò)入口的防火墻禁止外網(wǎng)用戶探測內(nèi)部網(wǎng)絡(luò)，保護內(nèi)網(wǎng)安全。（3）提供自身安全保障。防火墻可以提供包括訪問控制、身份驗證、數(shù)據(jù)加密、VPN技術(shù)、地址轉(zhuǎn)換等安全特性，用戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境的需要配置復(fù)雜的安全策略，阻止非法訪問。（4）主動防御攻擊。下一代防火墻的協(xié)同機制可以讓主動安全防御體系中的各個組件進行信息交互，共同發(fā)現(xiàn)攻擊、定位問題，并快速做出響應(yīng)。防火墻基本知識2.防火墻的特征（2）隱藏內(nèi)網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)。位于網(wǎng)絡(luò)入口的防火墻禁止外網(wǎng)用戶探測內(nèi)部網(wǎng)絡(luò)，保護內(nèi)網(wǎng)安全。（3）提供自身安全保障。防火墻可以提供包括訪問控制、身份驗證、數(shù)據(jù)加密、VPN技術(shù)、地址轉(zhuǎn)換等安全特性，用戶可以根據(jù)自己的網(wǎng)絡(luò)環(huán)境的需要配置復(fù)雜的安全策略，阻止非法訪問。（4）主動防御攻擊。下一代防火墻的協(xié)同機制可以讓主動安全防御體系中的各個組件進行信息交互，共同發(fā)現(xiàn)攻擊、定位問題，并快速做出響應(yīng)。防火墻基本知識3.防火墻的管理方式防火墻主要包括CLI管理和Web界面管理兩種管理方式。（1）CLI管理。華為防火墻設(shè)備提供了CLI，用于配置和管理設(shè)備。通過CLI，用戶可以對防火墻進行詳細的配置，包括策略設(shè)置、IP地址管理、安全區(qū)域配置等。使用CLI時，用戶需要具備一定的命令行操作經(jīng)驗。CLI具有很高的靈活性和可配置性。CLI可以使用控制臺接口登錄，也可以遠程接入，如采用Telnet和安全外殼（SecureShell，SSH）協(xié)議，本模塊的項目實施部分將詳細介紹管理方法。（2）Web界面管理。華為防火墻還提供了Web界面，用于管理設(shè)備。通過Web界面，用戶可以直觀地看到設(shè)備的運行狀態(tài)、流量統(tǒng)計等信息，并可以通過簡單的操作配置和管理設(shè)備。Web界面適合不具備命令行操作經(jīng)驗的用戶使用，但缺少一些高級配置選項。防火墻基本知識3.防火墻的管理方式防火墻主要包括CLI管理和Web界面管理兩種管理方式。（1）CLI管理。華為防火墻設(shè)備提供了CLI，用于配置和管理設(shè)備。通過CLI，用戶可以對防火墻進行詳細的配置，包括策略設(shè)置、IP地址管理、安全區(qū)域配置等。使用CLI時，用戶需要具備一定的命令行操作經(jīng)驗。CLI具有很高的靈活性和可配置性。CLI可以使用控制臺接口登錄，也可以遠程接入，如采用Telnet和安全外殼（SecureShell，SSH）協(xié)議，本模塊的項目實施部分將詳細介紹管理方法。（2）Web界面管理。華為防火墻還提供了Web界面，用于管理設(shè)備。通過Web界面，用戶可以直觀地看到設(shè)備的運行狀態(tài)、流量統(tǒng)計等信息，并可以通過簡單的操作配置和管理設(shè)備。Web界面適合不具備命令行操作經(jīng)驗的用戶使用，但缺少一些高級配置選項。防火墻的分類防火墻可以按照形態(tài)、保護對象、訪問控制方式等維度進行分類防火墻的分類（1）天線數(shù)1.按照形態(tài)劃分軟件防火墻：軟件防火墻單獨使用軟件系統(tǒng)完成防火墻功能，將軟件部署在系統(tǒng)主機上，其安全性較硬件防火墻差，同時占用系統(tǒng)資源，會在一定程度上影響系統(tǒng)性能，一般用于個人計算機系統(tǒng)；硬件防火墻（如右圖）：采用專用的硬件結(jié)構(gòu)，選用高速的CPU、嵌入式的操作系統(tǒng)，支持各種高速接口，用來保護私有網(wǎng)絡(luò)的安全。用來集中解決網(wǎng)絡(luò)安全問題，可以適合各種場合，同時能夠提供高效率的“過濾”。防火墻的分類（1）天線數(shù)2.按照保護對象劃分防火墻按照保護對象可分為單機防火墻和網(wǎng)絡(luò)防火墻。其中，單機防火墻是保護單臺設(shè)備的防火墻；網(wǎng)絡(luò)防火墻則能夠分布式保護整個網(wǎng)絡(luò)，需要專業(yè)管理員維護，安全隱患小，但策略設(shè)置復(fù)雜。防火墻的分類3．按照訪問控制方式劃分（1）包過濾防火墻。包過濾是指在網(wǎng)絡(luò)層對每一個數(shù)據(jù)包進行檢查，根據(jù)配置的安全策略轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包。包過濾防火墻的基本原理是：通過配置訪問控制列表（ACL）實施數(shù)據(jù)包的過濾。主要基于數(shù)據(jù)包中的源/目的IP地址、源/目的端口號、IP標識和報文傳遞的方向等信息。包過濾防火墻的優(yōu)點是設(shè)計簡單，易于實現(xiàn)，價格低。其缺點在于，隨著ACL復(fù)雜度和長度的增加，其過濾性能呈指數(shù)下降趨勢；靜態(tài)的ACL規(guī)則難以適應(yīng)動態(tài)的安全要求。包過濾防火墻防火墻的分類3．按照訪問控制方式劃分（2）代理防火墻。代理服務(wù)作用于網(wǎng)絡(luò)的應(yīng)用層，其實質(zhì)是把內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)用戶之間直接進行的業(yè)務(wù)由代理接管。代理檢查來自用戶的請求，用戶通過安全策略檢查后，該防火墻將代表外部用戶與真正的服務(wù)器建立連接，轉(zhuǎn)發(fā)外部用戶請求，并將真正服務(wù)器返回的響應(yīng)回送給外部用戶。代理防火墻防火墻的分類代理防火墻優(yōu)點能夠完全控制網(wǎng)絡(luò)信息的交換，控制會話過程，具有較高的安全性。缺點處理速度慢，易于遭受拒絕服務(wù)攻擊；且需要針對每一種協(xié)議開發(fā)應(yīng)用層代理，開發(fā)周期長，升級困難。防火墻的分類3．按照訪問控制方式劃分（3）狀態(tài)檢測防火墻。狀態(tài)檢測是包過濾技術(shù)的擴展?；谶B接狀態(tài)的包過濾在進行數(shù)據(jù)包的檢查時，不僅將每個數(shù)據(jù)包看成獨立單元，還要考慮前后報文的歷史關(guān)聯(lián)性。狀態(tài)檢測防火墻TCP層應(yīng)用層IP層安全策略檢查記錄會話信息檢查會話狀態(tài)確定允許或丟棄防火墻的分類3．按照訪問控制方式劃分狀態(tài)檢測防火墻的優(yōu)點主要如下。①后續(xù)數(shù)據(jù)包處理性能高：狀態(tài)檢測防火墻只需根據(jù)會話表對新收到的報文進行連接記錄檢查，避免重復(fù)檢查具有相同連接狀態(tài)的數(shù)據(jù)包。②安全性較高：連接狀態(tài)清單是動態(tài)管理的，會話完成后防火墻上所創(chuàng)建的臨時返回報文入口隨即關(guān)閉，保障了內(nèi)部網(wǎng)絡(luò)的實時安全。③采用實時連接狀態(tài)監(jiān)控技術(shù)。通過在會話表中識別諸如應(yīng)答響應(yīng)等連接狀態(tài)因素，增強了系統(tǒng)的安全性。防火墻的組網(wǎng)方式1．透明模式防火墻只進行報文轉(zhuǎn)發(fā)，不能進行路由尋址，與防火墻相連的兩個業(yè)務(wù)網(wǎng)絡(luò)必須在同一個網(wǎng)段中。接口無IP地址。這種組網(wǎng)方式可以避免改變拓撲結(jié)構(gòu)造成的麻煩，只需在網(wǎng)絡(luò)中像放置網(wǎng)橋一樣串入防火墻，無須修改任何已有配置。IP報文同樣會經(jīng)過相關(guān)的過濾檢查，內(nèi)部網(wǎng)絡(luò)用戶依舊受到防火墻的保護。透明模式TrustUntrust0/240/24防火墻的組網(wǎng)方式2．路由模式防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的上下行業(yè)務(wù)接口，需要分別配置成不同網(wǎng)段的IP地址。防火墻負責在內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)中進行路由尋址，相當于路由器。使用此組網(wǎng)方式，防火墻可支持更多安全特性，如NAT、UTM等功能，但需要修改原網(wǎng)絡(luò)拓撲。例如，內(nèi)部網(wǎng)絡(luò)用戶需要更改網(wǎng)關(guān)，或路由器需要更改路由配置等。路由模式/24/24防火墻的WEB界面1．登錄Web界面防火墻Web服務(wù)設(shè)置完畢后，在瀏覽器的地址欄中輸入防火墻的管理地址，如，按Enter鍵，就會跳轉(zhuǎn)到防火墻的超文本傳輸安全協(xié)議（HypertextTransferProtocolSecure，HTTPS）連接界面，端口為8443。WEB界面登陸防火墻的WEB界面2．快速向?qū)Э焖傧驅(qū)п槍Φ氖菍Ψ阑饓Σ皇煜さ挠脩?，作用是幫助用戶逐步完成設(shè)備的基本配置，并使局域網(wǎng)用戶連接到互聯(lián)網(wǎng)。如果不需要此項功能，則在“快速向?qū)А睂υ捒蛑泄催x“下一次登錄不再顯示”復(fù)選框，單擊“取消”按鈕即可。快速向?qū)Х阑饓Φ腤EB界面快速向?qū)嵗鐖D所示的實例中，需要G

1/0/4接口以固定IP方式連接外網(wǎng)，IP地址為，子網(wǎng)掩碼為，網(wǎng)關(guān)為54，DNS地址為。G1/0/3連接內(nèi)網(wǎng)，規(guī)劃使用作為其IP地址?？焖傧?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置基本信息?？梢愿闹鳈C名稱，也可以修改管理員密碼，此處修改防火墻名稱為FW1快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置系統(tǒng)時間。將時區(qū)設(shè)置為東八區(qū)北京時區(qū)，檢查日期和時間是否正確，如果不正確則進行調(diào)整?？焖傧?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）選擇接入互聯(lián)網(wǎng)的方式?？刹捎渺o態(tài)IP、DHCP、PPPoE的方式獲得IP地址，此處使用默認的靜態(tài)IP方式快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置接入互聯(lián)網(wǎng)參數(shù)。選擇上網(wǎng)接口為G1/0/4，輸入IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、首選DNS服務(wù)器地址.快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置接入互聯(lián)網(wǎng)參數(shù)。選擇上網(wǎng)接口為G1/0/4，輸入IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)、首選DNS服務(wù)器地址.快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置局域網(wǎng)接口。選擇LAN接口為G1/0/3，設(shè)置IP地址為、子網(wǎng)掩碼為快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）配置局域網(wǎng)DHCP服務(wù)。這里使用默認配置即可，即勾選“啟用局域網(wǎng)DHCP服務(wù)”復(fù)選框，設(shè)置地址池的起始IP和結(jié)束IP快速向?qū)嵗阑饓Φ腤EB界面快速向?qū)嵗?）核對配置信息。“快速向?qū)А睂υ捒蛑?，剛才配置的外網(wǎng)與內(nèi)網(wǎng)信息被直觀地顯示，供用戶核對，如圖所示。如果有問題，則單擊“上一步”按鈕修改配置。快速向?qū)嵗阑饓Φ腤EB界面3．版塊功能（1）“面板”板塊防火墻啟動后，首頁默認顯示的是“面板”板塊。“面板”板塊分左、右兩側(cè)進行顯示，能夠顯示設(shè)備資源信息、日志告警信息、在線實時監(jiān)控、設(shè)備狀態(tài)圖、License信息、系統(tǒng)信息、接口流量統(tǒng)計信息等大量內(nèi)容（1）“面板”板塊。防火墻的WEB界面3．版塊功能（2）“監(jiān)控”板塊。防火墻的“監(jiān)控”板塊主要對日志、會話、流量等進行監(jiān)控支持顯示會話表診斷中心支持IPSec、ping、tracert、網(wǎng)頁、路由表、安全策略等診斷五元組抓包功能根據(jù)源IP地址、源端口、目的IP地址、目的端口和協(xié)議這5個參數(shù)進行數(shù)據(jù)包的抓?。?）監(jiān)控板塊。防火墻的WEB界面3．版塊功能（3）“策略”板塊。防火墻的“策略”板塊主要進行各種安全策略相關(guān)的配置，包括在防火墻設(shè)置中最重要的安全策略與NAT策略的設(shè)置，以及服務(wù)器負載均衡、帶寬管理、配額控制策略、代理策略、安全防護、應(yīng)用層報文過濾（ApplicationSpecificPacketFilter，ASPF）配置等。“策略”板塊如圖所示。（3）策略板塊。防火墻的WEB界面3．版塊功能（4）“對象”板塊。防火墻的“對象”板塊主要對策略引用的公共元素進行配置，這些元素包括證書、地址、地區(qū)、服務(wù)、應(yīng)用、用戶、地址池、時間段、URL分類等，以及集合類型的地址組、地區(qū)組、服務(wù)組、應(yīng)用組、用戶組等（4）對象板塊。防火墻的WEB界面3．版塊功能（5）“網(wǎng)絡(luò)”板塊。防火墻的“網(wǎng)絡(luò)”板塊主要進行網(wǎng)絡(luò)部署相關(guān)的配置，包括接口、安全區(qū)域、DNS、DHCP服務(wù)器、路由、IPSec、第二層隧道協(xié)議L2TP、通用路由封裝GRE、SSLVPN等的配置，是防火墻配置過程中非常重要的板塊。（5）網(wǎng)絡(luò)板塊。防火墻的WEB界面4．其他功能（1）CLI控制臺。eNSP支持在圖形界面中快速連接CLI控制臺。單擊Web界面右下角的“CLI控制臺”按鈕，即可打開CLI控制臺（2）保存配置。（3）修改密碼。（1）CLI控制臺肆項目實施任務(wù)2.3.1使用Web界面管理防火墻任務(wù)2.3.1使用Web界面管理防火墻

通過環(huán)回網(wǎng)卡將虛擬設(shè)備與本地計算機連接，使得本地計算機能夠直接訪問模擬器中虛擬防火墻，再使用本地瀏覽器訪問防火墻的WEB界面，進行防火墻管理配置說明如下。（1）添加并設(shè)置環(huán)回網(wǎng)卡。（2）創(chuàng)建拓撲并配置設(shè)備云。（3）設(shè)置防火墻IP地址、安全區(qū)域、服務(wù)。（4）在本地計算機上使用瀏覽器登錄防火墻。FW1/24PC/24操作步驟

添加并設(shè)置環(huán)回網(wǎng)卡

設(shè)置設(shè)備云設(shè)置防火墻FW1/24PC0/24任務(wù)2.3.1使用Web界面管理防火墻操作步驟

添加并設(shè)置環(huán)回網(wǎng)卡

設(shè)置設(shè)備云設(shè)置防火墻FW1/24PC0/24任務(wù)2.3.1使用Web界面管理防火墻操作步驟

添加并設(shè)置環(huán)回網(wǎng)卡

設(shè)置設(shè)備云設(shè)置防火墻[FW1]interfaceGigabitEthernet1/0/1//設(shè)置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//開啟ping、http、https服務(wù)[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managehttppermit[FW1-GigabitEthernet1/0/1]service-managehttpspermit[FW1-GigabitEthernet1/0/1]quit//將接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1配置WEB訪問：FW1/24PC0/24任務(wù)2.3.1使用Web界面管理防火墻操作步驟PC登錄到防火墻的WEB界面PC使用瀏覽器進行測試FW1/24PC0/24任務(wù)2.3.1使用Web界面管理防火墻任務(wù)2.3.1使用Web界面管理防火墻添加了環(huán)回網(wǎng)卡后，需要重新啟動計算機，才可以在設(shè)備云中正常使用。防火墻必須啟用https服務(wù)，才可以正常使用WEB管理界面。防火墻連接設(shè)備云的接口必須加入到安全域，才能正常使用網(wǎng)絡(luò)功能。確認計算機中的Windows防火墻處于關(guān)閉的狀態(tài)。如果安裝過VMWareWorkstation，也可使用VMNet8作為環(huán)回網(wǎng)卡。注意事項任務(wù)2.3.2使用Telnet管理防火墻實訓：使用Telnet管理防火墻企業(yè)網(wǎng)絡(luò)中，有多臺網(wǎng)絡(luò)設(shè)備，包括交換機、路由器、防火墻等支撐著內(nèi)部網(wǎng)絡(luò)的通信，但這些網(wǎng)絡(luò)設(shè)備經(jīng)常分散在不同的區(qū)域，如果設(shè)備的日常維護都需要管理人員親臨現(xiàn)場操作，勢必導(dǎo)致繁瑣的工作量。通過給防火墻配置telnet遠程管理功能，可為日后的管理維護工作提供便利。任務(wù)描述任務(wù)2.3.2使用Telnet管理防火墻任務(wù)實施1．拓撲圖2．需求說明FW1/24PC/24為防火墻配置telnet功能，VTY用戶界面的認證方式為AAA認證，用戶名為hw，密碼為Huawei@123任務(wù)2.3.2使用Telnet管理防火墻3．配置說明任務(wù)實施配置防火墻的IP地址、安全域、服務(wù)配置telnet功能使用本地計算機遠程登錄防火墻任務(wù)2.3.2使用Telnet管理防火墻操作步驟設(shè)置IP、安全區(qū)域、服務(wù)

設(shè)置設(shè)備云設(shè)置telnetFW1/24PC0/24任務(wù)2.3.2使用Telnet管理防火墻操作步驟設(shè)置IP、安全區(qū)域、服務(wù)

設(shè)置設(shè)備云設(shè)置telnetFW1/24PC0/24[FW1]interfaceGigabitEthernet1/0/1//設(shè)置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//開啟ping、telnet服務(wù)[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managetelnetpermit[FW1-GigabitEthernet1/0/1]quit//將接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1接口配置IP、服務(wù)、安全區(qū)域：任務(wù)2.3.2使用Telnet管理防火墻操作步驟設(shè)置IP、安全區(qū)域、服務(wù)

設(shè)置設(shè)備云設(shè)置telnetFW1/24PC0/24//開啟telnet服務(wù)[FW1]telnetserverenable[FW1]user-interfacevty04[FW1-ui-vty0-4]protocolinboundtelnet

[FW1-ui-vty0-4]authentication-modeaaa

//配置VTY驗證方式為AAA[FW1-ui-vty0-4]quit[FW1]aaa

//進入AAA視圖[FW1-aaa]

manager-userhw//配置AAA用戶[FW1-aaa-manager-user-hw]passwordEnterPassword://輸入密碼ConfirmPassword://確認密碼

[FW1-aaa-manager-user-hw]level3[FW1-aaa-manager-user-hw]service-typetelnet

//配置用戶接入類型FW1配置telnet訪問：任務(wù)2.3.2使用Telnet管理防火墻操作步驟PC登錄到防火墻的telnet界面使用本地PC進行telnet測試FW1/24PC0/24任務(wù)2.3.2使用Telnet管理防火墻操作步驟使用本地PC進行telnet測試FW1/24PC0/24使用WEB界面配置telnet重新添加一個防火墻做基本設(shè)置后，可以使用WEB界面登入使用WEB界面配置telnet登錄同樣的方法進行測試任務(wù)2.3.2使用Telnet管理防火墻注意事項telnet協(xié)議使用明文形式傳輸密碼，對于防火墻等安全設(shè)備來說，安全性較差。防火墻還支持password驗證方式的telnet登錄，但安全性更差，不建議使用。任務(wù)2.3.3使用SSH管理防火墻實訓：使用SSH管理防火墻由于telnet采用明文形式在網(wǎng)絡(luò)上傳送數(shù)據(jù)，使用時會帶來嚴重的安全問題。而SSH使用加密方式傳送數(shù)據(jù)，安全級別較高，因而在生產(chǎn)環(huán)境中，如果不使用圖形界面，盡量采用SSH方式。任務(wù)描述任務(wù)2.3.3使用SSH管理防火墻FW1/24PC/24為防火墻配置SSH功能，用戶名為hw，密碼為Huawei@123任務(wù)實施1．拓撲圖2．需求說明任務(wù)2.3.3使用SSH管理防火墻3．配置說明任務(wù)實施配置防火墻的IP地址、安全域、服務(wù)配置SSH(stelnet)功能使用本地計算機遠程登錄防火墻任務(wù)2.3.3使用SSH管理防火墻操作步驟

設(shè)置IP、服務(wù)、安全域

設(shè)置設(shè)備云設(shè)置SSHFW1/24PC0/24任務(wù)2.3.3使用SSH管理防火墻操作步驟

設(shè)置IP、服務(wù)、安全域

設(shè)置設(shè)備云設(shè)置SSHFW1/24PC0/24[FW1]interfaceGigabitEthernet1/0/1//設(shè)置IP地址[FW1-GigabitEthernet1/0/1]ipaddress24//開啟ping、telnet服務(wù)[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]service-managetelnetpermit[FW1-GigabitEthernet1/0/1]quit//將接口G1/0/1加入到安全域trust[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]quitFW1配置IP、服務(wù)、安全域：任務(wù)2.3.3使用SSH管理防火墻操作步驟

設(shè)置IP、服務(wù)、安全域

設(shè)置設(shè)備云設(shè)置SSHFW1/24PC0/24//開啟SSH服務(wù)[FW1]stelnetserverenable[FW1]user-interfacevty04[FW1-ui-vty0-4]protocolinboundssh

[FW1-ui-vty0-4]authentication-modeaaa//配置VTY驗證方式為AAA[FW1-ui-vty0-4]quit[FW1]aaa

//進入AAA視圖[FW1-aaa]

manager-userhw//配置AAA用戶[FW1-aaa-manager-user-hw]passwordEnterPassword://輸入密碼ConfirmPassword://確認密碼

[FW1-aaa-manager-user-hw]level3[FW1-aaa-manager-user-hw]service-typessh//配置用戶接入類型FW1配置telnet訪問：任務(wù)2.3.3使用SSH管理防火墻PC登錄到防火墻的SSH界面操作步驟使用本地PC進行telnet測試FW1/24PC0/24模塊3安全區(qū)域與安全策略防火墻技術(shù)與應(yīng)用微課版01模塊概述03知識準備04項目實施02教學目標C教學過程壹模塊概述模塊概述華為防火墻是一種基于區(qū)域的防火墻，在防火墻中引入“安全區(qū)域”的概念是為了對網(wǎng)絡(luò)流量進行安全等級劃分，以確定何時需要對流量進行檢測。安全策略是指按一定的規(guī)則，控制防火墻對流量轉(zhuǎn)發(fā)以及對流量進行內(nèi)容安全一體化檢測的策略。規(guī)則的本質(zhì)是包過濾。安全策略的主要應(yīng)用是對跨防火墻的網(wǎng)絡(luò)互訪進行控制。通過防火墻安全策略可以控制內(nèi)網(wǎng)訪問外網(wǎng)的權(quán)限、控制內(nèi)網(wǎng)不同安全級別的子網(wǎng)間的訪問權(quán)限等；同時，能夠?qū)υO(shè)備本身的訪問進行控制，如限制哪些IP地址可以通過Telnet和Web等方式登錄設(shè)備，控制網(wǎng)管服務(wù)器、網(wǎng)絡(luò)時間協(xié)議（NetworkTimeProtocol，NTP）服務(wù)器等與設(shè)備的互訪等。貳教學目標教學目標知識目標技能目標素養(yǎng)目標1．了解安全區(qū)域的概念。2．熟悉防火墻默認的安全區(qū)域。3．了解安全策略的作用。4．掌握防火墻的安全策略的匹配規(guī)則。1．培養(yǎng)邊界防護思維，劃分安全區(qū)域時主動識別不同網(wǎng)絡(luò)的信任級別。2．強化策略影響預(yù)判能力，部署ASPF前先系統(tǒng)剖析業(yè)務(wù)流量特征。3．樹立縱深防御理念，實現(xiàn)安全區(qū)域與策略的聯(lián)動配置。1．能夠合理地規(guī)劃安全區(qū)域。2．能夠熟練地配置安全區(qū)域。3．能夠使用CLI及Web界面配置安全策略。4．能夠根據(jù)實際情況配置ASPF功能。叁知識準備知識準備3.2.1安全區(qū)域

3.2.2安全策略3.2.3ASPF3.3.1安全區(qū)域1.安全區(qū)域的作用安全區(qū)域用來劃分網(wǎng)絡(luò)。華為防火墻默認在同一安全區(qū)域內(nèi)的數(shù)據(jù)流動不存在安全風險，不需要部署安全策略，只有不同安全區(qū)域之間的數(shù)據(jù)流動，才會觸發(fā)安全檢查，實施相應(yīng)的安全策略。但是華為防火墻也支持同一個安全域內(nèi)報文控制。右圖中，把防火墻的4個接口劃分到3個安全區(qū)域中，對應(yīng)三個網(wǎng)絡(luò)。這三個網(wǎng)絡(luò)相互之間默認不允許互相訪問。安全區(qū)域A安全區(qū)域B安全區(qū)域C12343.3.1安全區(qū)域

華為防火墻默認定義了四個安全區(qū)域：Trust區(qū)域01DMZ區(qū)域03Untrust區(qū)域02Local區(qū)域04四個安全區(qū)域2、默認的安全區(qū)域受信任的區(qū)域，通常用來定義內(nèi)部用戶所在的網(wǎng)絡(luò)。不受信任的區(qū)域，通常用來定義Internet等不安全的網(wǎng)絡(luò)。中等受信任程序的區(qū)域，通常用來定義內(nèi)部服務(wù)器所在的網(wǎng)絡(luò)。代表防火墻本身。比如防火墻主動發(fā)起的報文以及抵達防火墻自身的報文，比如在防火墻上執(zhí)行ping所產(chǎn)生的報文。3.3.1安全區(qū)域2、默認的安全區(qū)域在網(wǎng)絡(luò)數(shù)量較少，環(huán)境簡單的場合，默認的安全域可以滿足網(wǎng)絡(luò)劃分需求。如右圖中，接口1、2連接內(nèi)部用戶，可以劃分到Trust安全區(qū)域。接口3連接內(nèi)部服務(wù)器，劃分到DMZ區(qū)域。接口4連接到Internet，劃分到Untrust區(qū)域。TrustDMZUntrust12343.3.1安全區(qū)域用來表示安全區(qū)域的受信任程度，用數(shù)字1—100表示，數(shù)字越大，區(qū)域內(nèi)的網(wǎng)絡(luò)越可信。默認安全區(qū)域的安全級別是固定的。Local：安全級別為100，表示完全可信。Trust：安全級別為85，可信任度較高。DMZ：安全級別為50，中等可信。Untrust：安全級別為5，可信任度較低。3.安全級別3.3.1安全區(qū)域（1）天線數(shù)4.區(qū)域間報文方向入方向（Inbound）：報文從低級別的安全區(qū)域向高級別的安全區(qū)域流動時為入方向。出方向（Outbound）：報文從由高級別的安全區(qū)域向低級別的安全區(qū)域流動時為出方向。源安全區(qū)域ToLocal（100）ToTrust（85）ToDMZ（50）ToUntrust（5）Local（100）—出方向出方向出方向Trust（85）入方向—出方向出方向DMZ（50）入方向入方向—出方向Untrust（5）入方向入方向入方向—3.3.2安全策略一、安全策略的原理當入數(shù)據(jù)流經(jīng)過防火墻時，防火墻查找安全策略，若找到，則根據(jù)安全策略定義規(guī)則對數(shù)據(jù)包進行處理，若未找到，則采用默認的策略操作。防火墻安全策略作用：根據(jù)定義的規(guī)則對經(jīng)過防火墻的流量進行篩選，并根據(jù)關(guān)鍵字確定篩選出的流量如何進行下一步操作。入數(shù)據(jù)流出數(shù)據(jù)流BBAABBBAAAA

AAAAAAPolicy0：允許A后續(xù)操作Policy1：拒絕B后續(xù)操作防火墻安全策略默認策略操作3.3.2安全策略會話表項源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2000023TCPabcTelnet源IP地址源端口目的IP地址目的端口協(xié)議用戶應(yīng)用2320000TCPabcTelnetServerClientSession:TCP:20000

:23ClientServer創(chuàng)建會話表命中會話表該報文通過Server:23Host:200003.3.2安全策略二、安全策略的創(chuàng)建3.3.2安全策略三、安全策略的匹配規(guī)則3.3.2安全策略四、安全策略的過濾機制3.3.3ASPFASPF是基于狀態(tài)檢測的報文過濾，可以自動檢測某些報文的應(yīng)用層信息并根據(jù)應(yīng)用層信息放開相應(yīng)的訪問規(guī)則（生成Server-map表）。以多通道協(xié)議（如FTP、H.323、SIP等）為例，這些多通道協(xié)議的應(yīng)用需要先在控制通道中協(xié)商后續(xù)數(shù)據(jù)通道的地址和端口，然后根據(jù)協(xié)商結(jié)果建立數(shù)據(jù)通道連接。由于數(shù)據(jù)通道的地址和端口是動態(tài)協(xié)商的，管理員無法預(yù)知，因此無法制定完善精確的安全策略。為了保證數(shù)據(jù)通道的順利建立，只能放開所有端口，這樣顯然會給服務(wù)器或客戶端帶來被攻擊的風險。開啟ASPF功能后，防火墻通過檢測協(xié)商報文的應(yīng)用層攜帶的地址和端口信息，自動生成相應(yīng)的Server-map表，用于放行后續(xù)建立數(shù)據(jù)通道的報文，相當于自動創(chuàng)建了一條精細的“安全策略”。肆項目實施3.3.1配置安全區(qū)域?qū)嵱枺号渲冒踩珔^(qū)域在防火墻網(wǎng)絡(luò)中，將不同的接口劃分到不同的安全區(qū)域，就對網(wǎng)絡(luò)流量進行了安全等級的劃分，從而確定對哪些網(wǎng)絡(luò)流量進行檢測與控制。任務(wù)描述3.3.1配置安全區(qū)域任務(wù)實施1．拓撲圖2．需求說明為保障網(wǎng)絡(luò)安全，將防火墻網(wǎng)絡(luò)劃分為四個安全區(qū)域。其中三個區(qū)域為默認安全區(qū)域，第四個區(qū)域為標定其他流量，自定義other安全區(qū)域。TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3G1/0/5PC11PC22PC33PC44PC55FW1other3.3.1配置安全區(qū)域3．配置說明任務(wù)實施設(shè)置防火墻各接口及PC的IP地址創(chuàng)建安全區(qū)域other，設(shè)置安全級別為60將各接口加入到安全域測試各區(qū)域間網(wǎng)絡(luò)的連通性3.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24//為方便測試，開啟ping服務(wù)[FW1-GigabitEthernet1/0/1]service-managepingpermit[FW1-GigabitEthernet1/0/1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress24[FW1-GigabitEthernet1/0/2]interfaceGigabitEthernet1/0/3[FW1-GigabitEthernet1/0/3]ipaddress24[FW1-GigabitEthernet1/0/3]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24[FW1-GigabitEthernet1/0/4]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress24[FW1-GigabitEthernet1/0/5]quit設(shè)置FW1各接口IP地址：TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域在FW1上創(chuàng)建安全區(qū)域：[FW1]firewallzonenameother//設(shè)置安全級別[FW1-zone-other]setpriority60[FW1-zone-other]quit[FW1]displayzone//顯示所有安全區(qū)域

TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域操作步驟

設(shè)置IP地址

創(chuàng)建安全區(qū)域接口加入到安全區(qū)域TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW1[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceg1/0/1[FW1-zone-trust]addinterfaceg1/0/2[FW1-zone-trust]firewallzoneuntrust[FW1-zone-untrust]addinterfaceg1/0/3[FW1-zone-untrust]firewallzonedmz[FW1-zone-dmz]addinterfaceg1/0/4[FW1-zone-dmz]firewallzoneother[FW1-zone-other]addinterfaceg1/0/5[FW1-zone-other]quit在FW1上將接口加入到安全區(qū)域3.3.1配置安全區(qū)域（四）操作步驟連通性測試測試同一安全區(qū)域下的PC1和PC2是否可以互通其余不同安全區(qū)域的PC是否可以互通TrustDMZUntrustG1/0/1G1/0/4G1/0/2G1/0/3otherG1/0/5PC11PC22PC33PC44PC55FW13.3.1配置安全區(qū)域Local安全區(qū)域不可以修改，也不能手動加入接口。各安全區(qū)域之間不通，是因為其間的默認安全策略禁止所有報文通過。華為防火墻各接口必須加入某個安全域，才能正常工作。注意事項3.3.2配置簡單的安全策略實訓：配置簡單的安全策略某公司有一臺托管于運營商的服務(wù)器，內(nèi)網(wǎng)用戶均可訪問，但有一臺計算機由于特殊原因，不允許訪問這臺專用服務(wù)器。通過配置安全策略，實現(xiàn)上述要求。任務(wù)描述3.3.2配置簡單安全策略(三)任務(wù)實施1．拓撲圖2．需求說明要求除PC1以外的/24網(wǎng)段可以訪問服務(wù)器。1/24服務(wù)器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/243．配置說明(三)任務(wù)實施配置各計算機、服務(wù)器的IP地址；配置防火墻各接口的IP地址、安全域、服務(wù)；配置安全策略，滿足訪問需求。3.3.2配置簡單安全策略（四）關(guān)鍵操作步驟

配置安全策略

測試結(jié)果[FW1]security-policy

//進入安全策略視圖[[FW1-policy-security]rulenamePC1toS//創(chuàng)建名為PC1toS的安全規(guī)則[FW1-policy-security-rule-PC1toS]sourcre-zonetrust//源安全區(qū)域為trust[FW1-policy-security-rule-PC1toS]destination-zoneuntrust//目的安全區(qū)域為untrust[FW1-policy-security-rule-PC1toS]source-address132//源地址為主機地址1[FW1-policy-security-rule-PC1toS]destination-address032//目的地址為主機地址0[FW1-policy-security-rule-PC1toS]actiondeny//設(shè)置匹配動作為禁止[FW1-policy-security-rule-PC1toS]displaythis//顯示當前項目的配置情況配置PC1的安全策略：[FW1]security-policy

[[FW1-policy-security]rulenameOtoS[FW1-policy-security-rule-OtoS]sourcre-zonetrust[FW1-policy-security-rule-OtoS]destination-zoneuntrust[FW1-policy-security-rule-OtoS]source-address24//源地址為/24網(wǎng)段[FW1-policy-security-rule-OtoS]destination-address032[FW1-policy-security-rule-OtoS]actionpermit//設(shè)置匹配動作為允許[FW1-policy-security-rule-OtoS]displaythis配置網(wǎng)段的安全策略：3.3.2配置簡單安全策略（四）關(guān)鍵操作步驟

配置安全策略

測試結(jié)果顯示安全策略：PC1ping服務(wù)器：PC2ping服務(wù)器：3.3.2配置簡單安全策略注意事項配置安全策略時，如果源安全區(qū)域、目的安全區(qū)域、源地址、目的地址、用戶、服務(wù)等項目未配置，則默認該項的值為any。若安全策略動作action未配置，則默認動作為“禁止”。3.3.2配置簡單安全策略3.3.3使用WEB界面配置安全策略實訓：使用WEB界面配置安全策略某公司有一臺托管于運營商的服務(wù)器，內(nèi)網(wǎng)用戶均可訪問，但由于安全方面的特殊原因，財務(wù)部的計算機僅允許通過WEB服務(wù)訪問這臺專用服務(wù)器。通過配置安全策略，實現(xiàn)上述要求。任務(wù)描述3.3.3使用WEB界面配置安全策略1/24服務(wù)器G1/0/1/24TrustFW1PC1PC2/24G1/0/6Untrust0/242/240/24本地計算機(三)任務(wù)實施1．拓撲圖2．需求說明財務(wù)部的計算機（1到0）允許訪問服務(wù)器的WEB服務(wù)(http服務(wù)和https服務(wù))；財務(wù)部的計算機不允許訪問服務(wù)器的其他服務(wù)；/24網(wǎng)段允許訪問服務(wù)器。3.3.3使用WEB界面配置安全策略3．配置說明(三)任務(wù)實施配置設(shè)備云使本地計算機連接到防火墻的WEB界面；配置防火墻各接口的IP地址、安全區(qū)域、訪問管理服務(wù)；配置安全策略，滿足訪問需求；測試配置結(jié)果是否滿足需求。3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略配置G1/0/6接口配置G1/0/1接口3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略創(chuàng)建“WEB”服務(wù)組對象創(chuàng)建“財務(wù)部”、“服務(wù)器”、“172.16.10網(wǎng)段”地址對象3.3.3使用WEB界面配置安全策略（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略允許財務(wù)部訪問服務(wù)器的WEB服務(wù)不允許財務(wù)部訪問服務(wù)器的其他服務(wù)允許/24網(wǎng)段訪問服務(wù)器3.3.3使用WEB界面配置安全策略設(shè)置安全策略結(jié)果如下：（四）關(guān)鍵操作步驟

設(shè)置IP地址和服務(wù)

創(chuàng)建對象

設(shè)置安全策略3.3.3使用WEB界面配置安全策略PC1ping服務(wù)器：PC1訪問服務(wù)器的http服務(wù)：（四）關(guān)鍵操作步驟測試結(jié)果3.3.3使用WEB界面配置安全策略PC2ping服務(wù)器：PC2訪問服務(wù)器的http服務(wù)：（四）關(guān)鍵操作步驟測試結(jié)果3.3.3使用WEB界面配置安全策略注意事項WEB界面配置安全策略時，最好先配置好所需要的地址、服務(wù)、時間等對象。地址對象不僅支持IPv4地址，還支持IPv6地址，MAC地址，可以實際設(shè)置中靈活使用。3.3.4配置Local區(qū)域的安全策略實訓：配置Local區(qū)域安全策略在網(wǎng)絡(luò)中，有一些業(yè)務(wù)是需要防火墻自身參與的，這些業(yè)務(wù)想要正常運行，就需要在防火墻的Local安全區(qū)域與業(yè)務(wù)安全區(qū)域之間配置安全策略，如禁止或允許防火墻主動ping其他設(shè)備，禁止或允許某些用戶登錄防火墻等。任務(wù)描述3.3.4配置Local區(qū)域的安全策略(三)任務(wù)實施1．拓撲圖2．需求說明使防火墻可以主動ping其它設(shè)備；允許路由器R1ping防火墻，但不能通過telnet登錄到防火墻；路由器R2能夠通過telnet登錄到防火墻，但不允許ping防火墻。G1/0/1/24TrustFW1G0/0/02/24G0/0/01/24R1R23.3.4配置Local區(qū)域的安全策略3．配置說明(三)任務(wù)實施設(shè)置Local到trust的安全策略實現(xiàn)第一個需求設(shè)置trust到Local的安全策略實現(xiàn)第二個需求3.3.4配置Local區(qū)域的安全策略（四）關(guān)鍵操作步驟Local到trust的安全策略Trust到Local的安全策略防火墻默認無法ping通R1、R2：[FW1]security-policy

[[FW1-policy-security]rulenameLocaltoTrust[FW1-policy-security-rule-LocaltoTrust]source-zonelocal[FW1-policy-security-