学习活动 2 防火墙典型环境安全策略实施
学习情境
公司为了保证内部网络的安全性,购买了防火墙,考虑到公网地址有限,为了节约成本,不能每台 PC 都配置公网地址访问外网。于是管理员想使用防火墙的混合模式来实现联网,通过少量公网 IP 地址来满足多数私网 IP 地址联网,以缓解 IP 地址不足并节约公司成本。
情境分析
混合模式相当于防火墙既工作于路由模式,又工作于透明模式。在实际应用环境中,此类防火墙应用一般也比较广泛。混合模式分为两种。第一种是 ISP 分配内网地址,内网为私网地址,服务器区域和内部地址为同一网段。这样,内部区域和服务器区域为透明,内部区域和外网区域为路由,服务器区域和外部区域也为路由。第二种是 ISP 分配外网地址,内网为私网地址,服务器区域使用 ISP 分配的公网地址,服务器区域和外网为透明,内部区域和外部区域为路由。在下面的应用环境中我们使用的是第二种混合模式。
所需设备:
(1)防火墙设备 1 台。
(2)Console 线 1 条。
(3)网络线 2 条。
(4)PC 1 台。
公司网络拓扑结构如图 7-1-8 所示。
步骤实现
步骤 1:设置内网口地址,设置 eth0 接口为内网口地址,即 192.168.1.1/24,如图 7-1-9所示。
步骤 2:设置外网口,eth6 接口连接外网,将 eth6 接口设置成二层安全域 l2-untrust,如图 7-1-10 所示。
步骤 3:设置服务器接口,将 eth7 接口设置成 l2-dmz 安全域,连接服务器,如图 7-1-11所示。
步骤 4:配置 vswitch 接口。由于二层安全域接口不能设置地址,因此需要将地址设置在网桥接口上,该网桥接口即为 vswitch,如图 7-1-12 所示。
步骤 5:设置 SNAT 策略。针对内网所有地址我们在防火墙上设置源 NAT,内网 PC 在访问外网时,凡是从 vswitch 接口出去的数据包都做地址转换,转换地址为 vswitch 接口地址,如图 7-1-13 所示。
步骤 6:添加路由。要创建一条到外网的默认路由,如果内网有三层交换机,则需要创建到内网的回指路由,如图 7-1-14 所示。
步骤 7:设置地址簿。在放行安全策略时,需要选择相应的地址和服务进行放行,这里首先要创建服务器的地址簿。在创建地址簿时,如果创建的服务器属于单个 IP,使用 IP 成员方式,则子网掩码一定要写 32 位,如图 7-1-15 所示。
步骤 8:放行策略。放行策略时,首先要保证内网能够访问到外网。应该放行内网口所属安全域到 vswitch 接口所属安全域的安全策略,即从 trust 到 untrust,如图 7-1-16 所示。
步骤 9:要保证外网能够访问 Web_server,该服务器的网关地址设置为 ISP 的网关218.240.143.1。需要在放行二层安全之前设置安全策略,应该放行 l2-untrust 到 l2-dmz 策略。
小贴士
如果服务器的网关并没有设置成 218.240.143.1,而设置成 vswitch 的接口地址,此时安全策略如何设置才能让外网访问到 Web 服务器?
按上述实验配置完后,在外网可以访问服务器,那么在服务器上是否可以访问外网呢?如果访问不到是什么原因,如何才能实现访问?
学习小结
本学习活动介绍了防火墙的典型环境安全策略实施,需要注意路由模式和透明模式的区别。
学习任务 2 实现防火墙上的 VPN 技术
如今大多数的防火墙支持 VPN 技术,这样可以大大节省公司的资金,从而使得公司的内部网络更加安全和方便。本学习任务分成以下两个学习活动进行。
学习活动 1 实现防火墙的 SSL VPN 技术。
学习活动 2 实现防火墙 IPSec VPN 技术。
学习活动 1 实现防火墙的 SSL VPN 技术
SSL VPN 属于远程登录。例如,访问公司内网,需要先连接 SSL VPN 然后访问公司或者企业内部网络。SSL VPN 可以作为加密通道,保障数据安全。
学习情境
公司的员工经常出差,在外地的时候经常需要访问公司的服务器,但总是不太安全,网络管理员想通过防火墙的 VPN 来实现此访问。基于公司的现状,网络管理员决定使用 SSLVPN 来实现此功能。
情境分析
为解决远程用户安全访问私网数据的问题,DCFW-1800 系列防火墙提供了基于 SSL 的远程登录解决方案。SSL VPN 可以通过简单易用的方法实现信息的远程连通。防火墙的 SSLVPN 功能包含设备端和客户端两部分,配置了 SSL VPN 功能的防火墙作为设备端。外网用户通过 Internet 使用 SSL VPN 接入内网。所以网络管理员的决定是正确的。
所需设备:
(1)防火墙设备 1 台。
(2)局域网交换机若干台。
(3)网络线若干条。
(4)PC 若干台。
防火墙 SSL VPN 拓扑结构如图 7-2-1 所示。
相关知识
SSL VPN 指的是基于安全套接层协议(Security Socket Layer,SSL)建立远程安全访问通道的 VPN 技术。它是近年来兴起的 VPN 技术,其应用随着 Web 的普及和电子商务、远程办公的兴起而迅速发展。
SSL VPN 由于其强大的功能和实施的方便性应用越来越广泛,市场上的 SSL VPN 品牌也越来越多,如何选择适合自己的产品是需要用户仔细考虑的一个问题。
SSL VPN 的发展迎合了用户对低成本、高性价比远程访问的需求。现在,它已经广泛应用于各行各业。选购 SSL VPN 时,用户要根据自身特点和不同的业务模式,选择适合自己的 SSLVPN 产品。再次强调,VPN 是正在发展的技术,更新换代可能会比较快,因此用户在选购时可以少考虑一些扩展性,多注重产品的实用性。毕竟,只有适合自己的,才是最理想的选择。
SSL 协议主要是由 SSL 记录协议和握手协议组成的。它们共同为应用访问连接提供认证、加密和防篡改功能。SSL 握手协议相对于 IPSec 协议体系中的 IKE(互联网密钥交换协议)协议而言,主要用于服务器和客户之间的相互认证,协商加密算法和 MAC(MessageAuthentication Code,消息认证码)算法,用于生成在 SSL 记录协议中使用的加密和认证密钥。SSL 记录协议为各种应用协议提供基本的安全服务,类似于 IPSec 的传输模式,应用程序消息参照 MTU(最大传输单元)被分割成可治理的数据块(可进行数据压缩处理),并产生一个 MAC 信息,加密后插入新的报头,最后在 TCP 中加以传输;接收端将收到的数据解密,做身份验证(MAC 认证)、解压缩、重组数据报然后交给应用协议进行处理。实际上就是在应用层和传输层之间加入了一个数据处理层,和传统的网络套接字模型在同一层次,这也就是安全套接层的由来。
步骤实现
步骤 1:配置 SCVPN 地址池,在“VPN”→“SCVPN”→“地址池”中新建一个名为scvpn_pool1 的地址池,如图 7-2-2 所示。
步骤 2:配置 SCVPN 实例,在“VPN”→“SCVPN”→“配置”中,创建一个 SCVPN实例,定义 SCVPN 接入使用的各种参数,如图 7-2-3 所示。
步骤 3:创建完 SCVPN 实例并编辑完成各种参数后,还需要对该实例重新编辑。单击已编辑好的实例中的“修改”按钮,如图 7-2-4 所示。
步骤 4:添加隧道路由条目。在客户端与防火墙的 SCVPN 创建成功后会下发到客户端的路由表中。添加的网段就是客户端要通过 VPN 隧道访问的位于防火墙内网的网段。需要注意的是,此处添加的路由条目的“度量”值比客户端上默认路由的度量值小。度量值越小的路由条目优先级越高,如图 7-2-5 所示。
步骤 5:将 Web Server 的隧道路由下发到客户端,如图 7-2-6 所示。
步骤 6:添加的 AAA 服务器是用来验证客户端登录的用户名、密码的。目前防火墙支持的验证方式有四种:防火墙本地验证、RADIUS 验证、Active-Directory 验证和 LDAP 验证,如图 7-2-7 所示。
步骤 7:创建 SCVPN 所属安全域,在“网络”→“安全域”中为创建的 SCVPN 新建一个安全域,安全域类型为“第三层安全域”,如图 7-2-8 所示。
步骤 8:创建隧道接口并引用 SCVPN 隧道。为了 SCVPN 客户端能与防火墙上其他接口所属区域之间正常路由转发,需要为它们配置一个网关接口,这在防火墙上通过创建一个隧道接口,并将创建好的 SCVPN 实例绑定到该接口上来实现,如图 7-2-9 所示。
步骤 9:创建安全策略。在放行安全策略前,首先要创建地址簿和服务簿。为创建 SCVPN客户端访问内网 Server 的安全策略,要将策略中引用的对象定义好,如图 7-2-10 所示。
步骤 10:定义 Web Server 的地址对象。添加安全策略,以允许 SCVPN 用户访问内网资源,添加策略 1 允许 SCVPN 用户访问内网 FTP Server,仅开放 FTP 服务。添加策略 2,允许SCVPN 用户访问内网 Web Server,仅开放 HTTP 服务,如图 7-2-11 所示。
步骤 11:添加 SCVPN 用户账号,如图 7-2-12 所示。
步骤 12:SCVPN 登录演示。在客户端上打开浏览器,在地址栏中键入“https://222.1.1.2:4433”,在登录界面中填入用户账号和密码,单击“登录”按钮,如图 7-2-13 所示。
步骤 13:在初次登录时,会要求安装 SCVPN 客户端插件,此插件以 ActiveX 插件方式推送下载,并有可能被浏览器拦截,这时需要手动允许安装这个插件,如图 7-2-14 所示。
步骤 14:SCVPN 客户端的安装,对下载完成的客户端安装程序进行手动安装,如图 7-2-15所示。
步骤 15:SCVPN 客户端安装成功后会登录防火墙,在对用户名和密码验证成功后,任务栏右下角的客户端程序图标会变成绿色,并在 Web 界面中显示“连接成功”,如图 7-2-16 所示。
步骤 16:单击任务栏中的客户端程序图标,在弹出的菜单中执行“Network Information”命令,即可查看连接信息,如图 7-2-17 所示。
步骤 17:在客户端的“Route”选项卡中查看下发给客户端的路由信息,如图 7-2-18所示。
小贴士
可以设置几个不同权限的角色,不同的账号所属的角色不同,这样不同的账号登录认证成功后,其放行的服务不同或所具有的权限不同。
学习小结
本学习活动介绍了防火墙的 SCVPN 技术,这种技术针对最终用户的 PC和便携式计算机需要装入客户软件,使得用户出差访问公司内部网络更加安全。 SCVPN 还可以降低部署成本、减小对日常性支持和管理的需求。
学习活动 2 实现防火墙 IPSec VPN 技术
IPSec VPN 即指采用 IPSec 协议来实现远程接入的一种 VPN 技术,IPSec 是由 IETF 定义
的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。IPSec 协议通过包封装技术,能够利用 Internet 可路由的地址,封装内部网络的 IP 地址,实现异地网络的互通。
学习情境
由于规模的扩大,总公司和分公司之间都购买了防火墙,出于安全性考虑,网络管理员想在两个防火墙之间使用一种更安全的 VPN 连接方式,网络管理员认为防火墙的 IPSec VPN可以实现此功能。
情境分析
IPSec VPN 是现在互联网上最重要的网关到网关 VPN 技术,它已经成为企业分支机构间互连的首选技术。总部和分支之间要实现互访时,就涉及此类 VPN,或者需要对数据包进行加密时就涉及 IPSec VPN。
所需设备:
(1)防火墙设备 2 台。
(2)局域网交换机若干台。
(3)网络线若干条。
(4)PC 若干台。
防火墙 IPSec VPN 如图 7-2-19 所示。
防火墙 FW-A 和 FW-B 都具有合法的静态 IP 地址,其中防火墙 FW-A 的内部保护子网为
192.168.1.0/24,防火墙 FW-B 的内部保护子网为 192.168.10.0/24。要求在 FW-A 与 FW-B 之间创建 IPSec VPN,使两端的保护子网能通过 VPN 隧道互相访问。
相关知识
创建防火墙 IPSec VPN 的步骤如下。
(1)创建 IKE 第一阶段提议。
(2)创建 IKE 第二阶段提议。
(3)创建对等体(peer)。
(4)创建隧道。
(5)创建隧道接口,并将创建好的隧道绑定到接口。
(6)添加隧道路由。
(7)添加安全策略。
步骤实现
步骤 1:创建 IKE 第一阶段提议,在“VPN”→“IKE VPN”→“P1 提议”中定义 IKE第一阶段的提议内容,两台防火墙的 IKE 第一阶段提议内容需要一致,如图 7-2-20 所示。
步骤 2:创建 IKE 第二阶段提议,在“VPN”→“IKE VPN”→“P2 提议”中定义 IKE第二阶段的提议内容,两台防火墙的第二阶段提议内容需要一致,如图 7-2-21 所示。
步骤 3:创建对等体。在“VPN”→“IKE VPN”→“对端”中创建“对等体”对象,并定义对等体的相关参数,如图 7-2-22 所示。
扫一扫
194
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
