文章目录
网络安全综合实验
一、概述
1.1 实验背景及要求
- 配置ACL,过滤具有某种特点的分组。
- 配置NAT。在企业内部结构化分层使用NAT地址。
- 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。
- 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。
1.2 实验技术概要
- 防火墙
- ACL
二、隧道
- 此处因为涉及某些关键词,一直审核不通过,所以此处不多介绍
- 详细介绍!不将就
三、防火墙
3.1 概述
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
3.2 防火墙和路由器
| 防火墙 | 路由器 | |
|---|---|---|
| 背景 | 产生人们对于安全性的需求 | 基于对网络数据包路由而非产生 |
| 目的 | 保证任何非允许的数据包"不通" | 保持网络和数据的"通" |
| 核心技术 | 基于状态包过滤的应用级信息流过滤 | 路由器核心的ACL列表时基于简单的包过滤 |
| 安全策略 | 默认配置即可以防止一些攻击 | 默认配置对安全性的考虑不够 |
| 对性能影响 | 采用状态包过滤,规则条数,NAT的规则数对性能影响较小 | 进行包过滤会对路由器的CPU和内存产生很大的影响 |
| 防攻击能力 | 具有应用层的防范功能 | 普通路由器不具有应用层的防范功能 |
3.3 安全区域
- 防火墙通过安全区域来划分网络、标识报文流动的"路线"
- 将一个或多个接口划分到一个区域中
- 通过接口划分,就可以在防火墙上划分出不同网络
- 华为防火墙默认提供Trust、DMS、Untrust三个区域
- 防火墙提供Local区域,代表防火墙本身
| 安全区域 | 安全级别 | 说明 |
|---|---|---|
| Local | 100 | 设备本身,包括设备的各接口 |
| Trust | 85 | 通常用于定义内网终端用户所在区域 |
| DMZ | 50 | 通常用于定义内网服务器所在区域 |
| Untrust | 5 | 通常用于定义Internet等不安全的网络 |
3.4 安全策略
安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制,规则的本质是包过滤。
3.4.1 缺省包过滤
- 如果防火墙域间没有配置安全策略,或查找安全策略时,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝访问)
3.4.2 配置命令
[USG6000V1-policy-security]rule name ftp
//源区域
[USG6000V1-policy-security-rule-ftp]source-zone untrust
//目的地址
[USG6000V1-policy-security-rule-ftp]destination-address 192.168.10.0 0.0.0.255
//规则
[USG6000V1-policy-security-rule-ftp]action deny
3.5 包过滤技术
- 实现包过滤技术的核心是访问控制列表(后面章节详细分析)
- 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过
3.6 状态检测和会话机制
- 如果规则与允许通过,状态监测防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待
3.7 NAT
3.7.1 私网用户访问Internet
- 多个用户共享少量公网IP地址访问Internet时,可以使用源NAT技术
- 源NAT技术只对报文的源地址进行转换
3.7.2 公网用户访问私网内部服务器
- 通过NAT Server,实现外部网络用户通过公网地址访问私网内部服务器的需求
- NAT Server将某个公网IP地址映射为服务器的私网IP地址
四、ACL
4.1 概述
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击
4.2 分类
4.3 配置
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]int g0/0/0
//在g0/0/0接口出方向使用规则
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
五、实验拓扑
六、实验配置
-
在公司总部网络中配置端口ip和ospf协议,此处不多赘述
-
在AR3和AR4配置DHCP协议
-
防火墙的配置
-
防火墙使用的是USG6000v,安装包下载可点击此处
- 区域划分:端口GE1/0/2在dmz区域;端口GE1/0/0在trust区域;端口GE1/0/1在untrust区域
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/0 [USG6000V1]firewall zone untrust [USG6000V1-zone-trust]add int g1/0/1 [USG6000V1]firewall zone dmz [USG6000V1-zone-trust]add int g1/0/2- 安全策略:trust区域可以访问dmz和untrust区域,untrust区域只能访问dmz区域
[USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw01 [USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone untrust [USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw02 [USG6000V1-policy-security-rule-ysw01]source-zone untrust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz [USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw03 [USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz [USG6000V1-policy-security-rule-ysw01]action permit -
海外分部和总部通信(以FW3为例)
[USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw06 //源地址为海外分部的出口地址 [USG6000V1-policy-security-rule-ysw06]source-address 56.1.1.0 24 //目的区域为安全区域 [USG6000V1-policy-security-rule-ysw06]destination-zone trust //访问策略为允许通过 [USG6000V1-policy-security-rule-ysw06]action permit -
NAT的配置(以FW3为例)
//地址将会转换为GigabitEthernet 1/0/1的端口地址 USG6000V1]nat-policy [USG6000V1-policy-nat]rule name ysw [USG6000V1-policy-nat-rule-ysw]egress-interface GigabitEthernet 1/0/1 [USG6000V1-policy-nat-rule-ysw]action source-nat easy-ip -
NAT-Server配置
- 配置之后公网可以访问100.100.100.100,此时防火墙会将该地址映射为FTP服务器地址192.168.10.2
[USG6000V1]firewall detect ftp [USG6000V1]nat server global 100.100.100.100 inside 192.168.10.2 no-reverse [USG6000V1]security-policy [USG6000V1-policy-security]rule name untrust-DMZ [USG6000V1-policy-security-rule-untrust-DMZ]source-zone untrust [USG6000V1-policy-security-rule-untrust-DMZ]destination-address 192.168.10.2 24 [USG6000V1-policy-security-rule-untrust-DMZ]service any [USG6000V1-policy-security-rule-untrust-DMZ]action permit -
隧道配置(以AR2为例)
[Huawei]acl number 3001 [Huawei-acl-adv-3001]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1 0.1.0.0 0.0.255.255 [Huawei-acl-adv-3001]q [Huawei]ipsec proposal tran1 [Huawei-ipsec-proposal-tran1]esp authentication-algorithm sha1 [Huawei-ipsec-proposal-tran1]q [Huawei]ipse [Huawei]ipsec policy P1 10 manual [Huawei-ipsec-policy-manual-P1-10]security acl 3001 [Huawei-ipsec-policy-manual-P1-10]proposal tran1 //对端IP [Huawei-ipsec-policy-manual-P1-10]tunnel remote 192.168.3.2 [Huawei-ipsec-policy-manual-P1-10]tunnel local 56.1.3.2 //在对端AR1上配置时outbound密码为12345,inbound密码为54321 [Huawei-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 [Huawei-ipsec-policy-manual-P1-10]sa spi inbound esp 12345 [Huawei-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei [Huawei-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei [Huawei-ipsec-policy-manual-P1-10]int g0/0/1 //在端口上应用规则P1 [Huawei-GigabitEthernet0/0/1]ipsec policy P1 [Huawei-GigabitEthernet0/0/1]- 在AR1上进行同样的配置
-
ACL的配置(AR3)
- 禁止部门A访问FTP服务器
[Huawei]acl 2003
//禁止源地址为FTP服务器的地址
[Huawei-acl-basic-2003]rule deny source 192.168.10.2 255.255.255.255
//在接口入方向使用该规则
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2003
七、测试。
7.1 ACL测试
- 配置前使用ping命令检测(PC1)
- 配置ACL后
7.2 防火墙过滤测试
-
trust区域访问untrust(ping测试路由器AR8)
-
untrust区域访问trust(测试路由器pingPC1)
-
untrust访问dmz(测试路由器pingFTP服务器)
-
海外分部访问FTP服务器(PC6 ping FTP)
-
海外部门和公司总部通信(PC6和PC1)
八、数据包
- NAT转换(FW3的GE1/0/1端口)PC1 ping PC6
- 将源地址10.1.1.254转换为56.1.1.1
- FTP数据包
- ESP数据包
955
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
