相关知识
动态黑名单(Dynamic Blacklist)属于无线安全功能模块中防 DOS 攻击的部分。动态黑名单中包含将被丢弃帧的终端设备的 MAC 地址。AP 使用该列表,丢弃该名单中的终端设备发送的数据帧。当检测到某个终端设备发送的泛洪报文超过安全阈值时,将该终端设备添加到黑名单中。
相关命令详解:
DCWS(config-wireless)#mac-authentication-mode ?
black-list !设置MAC认证模式为黑名单列表
white-list !设置MAC认证模式为白名单列表
DCWS(config-wireless)#mac-authentication-mode white-list
DCWS(config-wireless)#known-client ?
FF-FF-FF-FF-FF-FF !输入已知的客户端MAC地址
DCWS(config-wireless)#known-client ff-ff-ff-ff-ff-ff ?
Action !配置一个已知的客户端认证行为
Name !配置一个已知的客户端名
DCWS(config-wireless)#known-client ff-ff-ff-ff-ff-ff action ?
deny !设置已知客户端认证动作为拒绝
global-action !设置已知客户端认证动作为全局动作
grant !设置已知客户端认证动作为批准
DCWS(config-wireless)#known-client EC-A8-6B-39-80-D1 action global-action
DCWS(config-wireless)#network 1
DCWS(config-network)#mac authentication ?
local !利用AP profile列表设置客户端MAC认证
radius !利用RADIUS服务器进行客户端MAC认证
DCWS(config-network)#mac authentication local步骤实现
步骤 1:配置动态黑名单
DCWS-6028 (config)# wireless
DCWS-6028 (config-wireless)# no wids-security client threshold-interval-auth
DCWS-6028 (config-wireless)# wids-security client threshold-value-auth 6000
DCWS-6028 (config-wireless)# wids-security client configured-auth-rate
DCWS-6028 (config-wireless)#dynamic-blacklist !开启动态黑名单功能
DCWS-6028 (config-wireless)#dynamic-blacklist lifetime 600
DCWS-6028 (config-wireless)#network 100
DCWS-6028 (config-network)#mac authentication local !本地MAC认证功能步骤 2:配置黑名单/白名单。
(1)允许无线终端接入列表。
DCWS-6028 (config-wireless)#mac-authentication-mode white-list !白名单列表
DCWS-6028 (config-wireless)#known-client 00-6-11-6-11-11 action
global-action
DCWS-6028 (config-wireless)#network 1
DCWS-6028 (config-network)#mac authentication local!开启MAC本地认证
(2)拒绝无线终端接入列表。
DCWS-6028(config-wireless)#mac-authentication-mode black-list !黑名单列表
DCWS-6028(config-wireless)#known-client 00-22-22-22-22-22 action
global-action
DCWS-6028(config-wireless)#network 1
DCWS-6028(config-network)#mac authentication local !开启MAC本地认证
DCWS-6028#wireless ap profile apply 1 !下发配置生效知识拓展
Client1、Client2 和 Client3 都通过 AP1 连接网络,如图 6-3-2 所示。
现假设 Client1 想与 Client3 连接,但不知道 Client3 的 MAC 地址。假如此时开启的 ARP抑制模式为 ARP 代理,则 AP1 接到 Client1 的 ARP-Request 信号后,AP 会将映射表中 Client3的 MAC 地址返回 ARP-Reply,而不必再将 ARP-Request 广播给所有的 Client。为了达到这样的目的,需要使用 ARP 代理功能并进行相应的配置。
相关命令如下。
DCWS-6028>enable
DCWS-6028#config
DCWS-6028(config)# wireless
DCWS-6028(config-wireless)# network 1
DCWS-6028(config-network)# arp-suppression学习小结
本任务主要学习无线 AC 的安全控制, 可以采取的安全策略包括动态黑名单、白名单、 ARP 抑制等,使用这些方法可实现无线网络的安全办公。
项目考核
宏达公司无线网络要求配置两个 WLAN,SSID 分别为 teacher 和 student,采用 WPA2 加密方式,密钥为 11121314,如图 6-3-3 所示。
要求:
(1)实现无线用户二层隔离。
(2)限制用户上行带宽为 2Mb/s,下行带宽为 1Mb/s。
项目 7防火墙的配置
项目学习说明
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法。它是一种计算机硬件和软件的结合,使 Internet 与 Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关四个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。本项目重点学习防火墙的基本配置和防火墙的 VPN 实现。
学习能力目标
学习任务 1 防火墙的基本配置
学习任务 2 防火墙的 VPN 实现
职业能力目标
熟练掌握防火墙的初级管理
熟练掌握防火墙的典型环境安全策略
熟练掌握防火墙的 SSL VPN 的配置
熟练掌握防火墙的 IPSec VPN 的配置
学习任务 1 防火墙基本配置
防火墙系统是指设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,它是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和 Internet 之间的任何活动,保证了内部网络的安全。本学习任务分成以下两个学习活动进行。
学习活动 1 防火墙初级管理。
学习活动 2 防火墙典型环境安全策略实施。
学习活动 1 防火墙初级管理
防火墙的初级管理主要是熟悉防火墙各接口及其连接方法,熟练使用各种线缆实现防火墙与主机和交换机的连通,实现控制台连接防火墙进行初始配置,掌握防火墙管理环境的搭建和配置方法,熟练使用各种管理方式管理防火墙。
学习情境
公司规模不断扩大,经理为了提高网络的安全性,让网络管理员购买一个可以满足网络安全
需求的设备,网络管理员认为、购买 DCFW-1800S-H-V2 防火墙可以实现公司的网络安全需求。
情境分析
防火墙是当今使用最为广泛的安全设备,防火墙历经几代发展,现今为非常成熟的硬件体系结构,具有专门的 Console 口、专门的区域接口。它串行部署于 TCP/IP 网络中。一般将网络划分为内、外、服务器区三个区域,对各区域实施安全策略以保护重要网络。
V2 防火墙可以使用 Telnet、SSH、WebUI 方式进行管理,使用者可以很方便地使用几种方式进行管理。本任务使用 DCFW-1800S-H-V2 防火墙。
所需设备如下。
(1)防火墙 DCFW-1800S-H-V2 设备 1 台。
(2)Console 线 1 条。
(3)网络线 2 条。
(4)PC 1 台。
防火墙初级管理如图 7-1-1 所示。
相关知识
默认出厂时防火墙 E0/0 接口 IP 地址为 192.168.1.1/24,可将管理主机 IP 地址配置为192.168.1.0/24 网段 IP 地址,与防火墙 E0/0 接口相连,通过 Web 登录防火墙管理界面。在浏览器地址栏中输入以下两种 URL 均可:
http://192.168.1.1
https://192.168.1.1 — 经过 SSL 加密,推荐使用
V2 防火墙默认的管理员是 admin,可以对其进行修改,但不能删除该管理员。增加一个
管理员的命令如下:
DCFW-1800(config)#admin user user-name
执行该命令后,系统创建指定名称的管理员,并且进入管理员配置模式;如果指定的管理员名称已经存在,则直接进入管理员配置模式。
管理员特权为管理员登录设备后拥有的权限。DCFOS 允许的权限有 RX 和 RXW 两种。在管理员配置模式下,输入以下命令配置管理员的特权:
DCFW-1800(config-admin)#privilege {RX | RXW}
在管理员配置模式下,输入以下命令配置管理员的密码:
DCFW-1800(config-admin)#password password
!修改默认管理员 admin 口令
DCN(config)# admin user admin
DCN(config-admin)# password q!Jiwx$*lc2H64cd#
!修改默认的管理服务端口
DCN(config)# http port 8088
DCN(config)# https port 1211创建具有不同权限的管理员:
(1)需要使用 admin 账户创建新的管理员账户,并可对其进行修改、删除。
(2)使用 admin 添加的新管理员账户可赋予不同的权限(读、写)。
(3)使用 admin 添加的新管理员账户可赋予不同的管理方式(Console、Telnet、SSH、
HTTP、HTTPS)。
步骤实现
1.初步认识防火墙
步骤 1:认识防火墙各接口,理解防火墙各接口的作用,并学会使用线缆连接防火墙和交换机与主机,如图 7-1-2 所示。
步骤 2:使用 Console 线缆将防火墙与 PC 的串行接口连接起来,如图 7-1-3 所示。
步骤 3:配置 PC 的超级终端属性,接入防火墙命令行模式,登录防火墙并熟悉各配置模式。
默认管理员用户口令和密码如下:
login:admin
password:admin
输入如上信息,可进入防火墙的执行模式,该模式的提示符包含了一个数字符号(#):
DCFW-1800#
在执行模式下,输入 configure 命令,可进入全局配置模式:
DCFW-1800(config)#
V2 系列防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式中输入特定的命令可以进入相应的子模块配置模式。例如,运行 interface ethernet0/0 命令进入 E0/0 接口配置模式,此时的提示符变更为
DCFW-1800(config-if-eth0/0)#
步骤 4:通过 PC 测试与防火墙的连通性。
使用交叉线连接防火墙和 PC,此时防火墙的 LAN-link 灯亮起,表明网络的物理连接已经建立。观察指示灯状态为闪烁,表明有数据在尝试传输。
此时打开 PC 的连接状态,发现只有数据发送,没有接收到数据,这是因为防火墙的端口默认状态下会禁止向未经验证和配置的设备发送数据,以保证数据的安全。
2.搭建 Telnet 和 SSH 管理环境
步骤 1:运行 manage telnet 命令,开启被连接接口的 Telnet 管理功能。
Hostname#configure
DCFW-1800(config)#interface Ethernet 0/0
DCFW-1800(config-if-eth0/0)#manage telnet
步骤 2:运行 manage ssh 命令,开启 SSH 管理功能。
DCFW-1800(config-if-eth0/0)#manage ssh
步骤 3:配置 PC 的 IP 地址为 192.168.1.*,从 PC 上尝试与防火墙的 Telnet 进行连接。注
意:用户口令和密码是默认管理员用户口令和密码,即均为 admin,如图 7-1-4 和图 7-1-5 所示。
3.搭建 WebUI 管理环境
步骤 1:初次使用防火墙时,用户可以通过 E0/0 接口访问防火墙的 WebUI 页面。在浏览器地址栏中输入“https://192.168.1.1”并按【Enter】键,系统 WebUI 的登录界面如图 7-1-6所示。
步骤 2:登录后的主界面如图 7-1-7 所示。
学习小结
本学习活动介绍了防火墙的初级管理,需要注意的是管理方式有 Console口、 Telnet、 HTTP 等, 但初始化的防火墙一般使用 HTTP 方式, 如想实现 Telnet方式的管理,只要进行相关的配置,但 HTTP 管理方式更容易掌握。
扫一扫
4111
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
