华为安全实验第一部分.docx
《华为安全实验第一部分.docx》由会员分享,可在线阅读,更多相关《华为安全实验第一部分.docx(13页珍藏版)》请在冰点文库上搜索。
华为安全实验第一部分
华为安全实验第一部分
配置安全区域和包过滤举例
组网需求
某公司以USG作为网络边防设备。
网络部署如下:
∙公司内部网络部署在Trust安全区域,USG的以太网接口GigabitEthernet0/0/0与之相连。
∙公司对外提供服务的WWW服务器、FTP服务器等部署在DMZ安全区域,USG的以太网接口GigabitEthernet0/0/1与之相连。
∙外部网络部署于Untrust安全区域,由USG的以太网接口GigabitEthernet5/0/0与之连接。
现需要对USG进行一些基本配置,为后面安全策略的设置做好准备。
安全区域配置案例的组网图如图1所示。
图1安全区域配置组网图
操作步骤
1.配置USG工作模式。
#进入系统视图。
system-view
2.配置接口IP地址。
#进入GigabitEthernet0/0/0视图。
[USG]interfaceGigabitEthernet0/0/0
#配置GigabitEthernet0/0/0的IP地址。
[USG-GigabitEthernet0/0/0]ipaddress192.168.1.124
#退回系统视图。
[USG-GigabitEthernet0/0/0]quit
#进入GigabitEthernet0/0/1视图。
[USG]interfaceGigabitEthernet0/0/1
#配置GigabitEthernet0/0/1的IP地址。
[USG-GigabitEthernet0/0/1]ipaddress10.1.1.124
#退回系统视图。
[USG-GigabitEthernet0/0/1]quit
#进入GigabitEthernet5/0/0视图。
[USG]interfaceGigabitEthernet5/0/0
#配置GigabitEthernet5/0/0的IP地址。
[USG-GigabitEthernet5/0/0]ipaddress1.1.1.116
#退回系统视图。
[USG-GigabitEthernet5/0/0]quit
3.配置接口加入安全区域。
#进入Trust安全区域视图。
[USG]firewallzonetrust
#配置GigabitEthernet0/0/0加入Trust安全区域。
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
#退回系统视图。
[USG-zone-trust]quit
#进入Untrust安全区域视图。
[USG]firewallzoneuntrust
#配置GigabitEthernet5/0/0加入Untrust安全区域。
[USG-zone-untrust]addinterfaceGigabitEthernet5/0/0
#退回系统视图。
[USG-zone-untrust]quit
#进入DMZ安全区域视图。
[USG]firewallzonedmz
#配置GigabitEthernet0/0/1加入DMZ安全区域。
[USG-zone-dmz]addinterfaceGigabitEthernet0/0/1
#退回系统视图。
[USG-zone-dmz]quit
4.进入域间视图,配置包过滤。
#创建ACL3000。
[USG]aclnumber3000
[USG-acl-adv-3000]rulepermitipsource192.168.1.00.0.0.255destination10.1.1.00.0.0.255
[USG-acl-adv-3000]quit
#进入安全域间视图(以Trust和DMZ安全域间视图为例)。
在这个视图上,可以配置安全策略。
[USG]firewallinterzonetrustdmz
[USG-interzone-trust-dmz]packet-filter3000outbound
配置ACL
组网需求
如图1所示,某公司内部网络通过USG进行连接,网络环境描述如下:
∙内部用户属于Trust区域,通过接口GigabitEthernet0/0/0与USG连接。
∙FTP服务器和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet5/0/0与USG连接。
∙Untrust区域通过接口GigabitEthernet0/0/1与USG连接。
通过配置ACL,实现以下需求:
∙需求1
Trust区域中的特定用户PC1可以访问整个DMZ区域。
∙需求2
Untrust区域中的特定用户PC2只能访问DMZ区域中的FTPServer和WebServer。
配置思路
1.根据网络规划为统一安全网关分配接口,并将接口加入相应的安全区域。
2.创建ACL,并配置ACL规则。
3.在安全区域间配置包过滤,ASPF,引用ACL。
数据准备
为完成此配置例,需准备如下的数据:
∙统一安全网关各接口的IP地址。
∙特定用户PC1和PC2的IP地址。
∙FTPServer和WebServer的IP地址。
操作步骤
1.完成USG的基本配置。
说明:
关于安全区域和包过滤的介绍,请参见“安全区域”和“包过滤”。
#配置接口GigabitEthernet0/0/0的IP地址。
system-view
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]ipaddress192.168.1.124
[USG-GigabitEthernet0/0/0]quit
#配置接口GigabitEthernet0/0/1的IP地址。
[USG]interfaceGigabitEthernet0/0/1
[USG-GigabitEthernet0/0/1]ipaddress172.16.1.124
[USG-GigabitEthernet0/0/1]quit
#配置接口GigabitEthernet5/0/0的IP地址。
[USG]interfaceGigabitEthernet5/0/0
[USG-GigabitEthernet5/0/0]ipaddress10.1.1.124
[USG-GigabitEthernet5/0/0]quit
#将接口GigabitEthernet0/0/0加入Trust区域。
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG-zone-trust]quit
#将接口GigabitEthernet0/0/1加入Untrust区域。
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG-zone-untrust]quit
#将接口GigabitEthernet5/0/0加入DMZ区域。
[USG]firewallzonedmz
[-zone-dmz]addinterfaceGigabitEthernet5/0/0
[USG-zone-dmz]quit
2.配置基本ACL,完成需求1。
#创建基本ACL2000,配置允许PC1访问DMZ区域的规则。
[USG]acl2000
[USG-acl-basic-2000]rulepermitsource192.168.1.20
[USG-acl-basic-2000]quit
#配置Trust区域和DMZ区域的域间包过滤规则。
[USG]firewallinterzonetrustdmz
[USG-interzone-trust-dmz]packet-filter2000outbound
[USG-interzone-trust-dmz]quit
3.配置高级ACL,完成需求2。
#创建高级ACL3000,配置允许PC2访问DMZ区域中FTPServer和WebServer的规则。
[USG]acl3000
[USG-acl-adv-3000]rulepermittcpsource172.16.1.20destination10.1.1.20destination-porteqftp
[USG-acl-adv-3000]rulepermittcpsource172.16.1.20destination10.1.1.30destination-porteqhttp
[USG-acl-adv-3000]quit
#配置Untrust区域和DMZ区域的域间包过滤规则。
[USG]firewallinterzoneuntrustdmz
[USG-interzone-untrust-dmz]packet-filter3000inbound
[USG-interzone-untrust-dmz]detectftp
[USG-interzone-untrust-dmz]detecthttp
[USG-interzone-untrust-dmz]quit
配置域间NAT和内部服务器举例
组网需求
如图1所示,某公司内部网络通过USG与Internet进行连接,网络环境描述如下:
∙内部用户属于Trust区域,通过接口GigabitEthernet0/0/0与USG连接。
∙FTP和Web服务器属于DMZ区域,对外提供FTP和Web服务,通过接口GigabitEthernet0/0/1与USG连接。
∙USG的接口GigabitEthernet5/0/0与Internet连接,属于Untrust区域。
图1配置NAT和内部服务器组网图
配置NAT和内部服务器,完成以下需求:
∙需求1
该公司Trust区域的192.168.1.0/24网段的用户可以访问Internet,提供的访问外部网络的合法IP地址范围为202.169.10.3~202.169.10.6。
由于公有地址不多,需要使用NAPT(NetworkAddressPortTranslation)功能进行地址复用。
∙需求2
提供FTP和Web服务器供外部网络用户访问。
其中FTPServer的内部IP地址为10.1.1.2,WebServer的内部IP地址为10.1.1.3,端口为8080。
两者对外公布的地址均为202.169.10.2,对外使用的端口号均为缺省值。
配置思路
1.根据网络规划为统一安全网关分配接口,并将接口加入相应的安全区域。
2.创建ACL,并配置ACL规则。
3.配置域间NAT和内部服务器。
数据准备
为完成此配置例,需准备如下的数据:
∙ACL相关参数。
∙统一安全网关各接口的IP地址。
∙FTPServer和WebServer的内部、以及提供给外部网络访问的IP地址和端口号。
操作步骤
1.完成USG的基本配置。
#配置接口GigabitEthernet0/0/0的IP地址。
system-view
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]ipaddress192.168.1.124
[USG-GigabitEthernet0/0/0]quit
#配置接口GigabitEthernet5/0/0的IP地址。
[USG]interfaceGigabitEthernet5/0/0
[USG-GigabitEthernet5/0/0]ipaddress202.169.10.124
[USG-GigabitEthernet5/0/0]quit
#配置接口GigabitEthernet0/0/1的IP地址。
[USG]interfaceGigabitEthernet0/0/1
[USG-GigabitEthernet0/0/1]ipaddress10.1.1.124
[USG-GigabitEthernet0/0/1]quit
#将接口GigabitEthernet0/0/0加入Trust区域。
[USG]firewallzonetrust
[USG-zone-trust]addinterfaceGigabitEthernet0/0/0
[USG-zone-trust]quit
#将接口GigabitEthernet5/0/0加入Untrust区域。
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceGigabitEthernet5/0/0
[USG-zone-untrust]quit
#将接口GigabitEthernet0/0/1加入DMZ区域。
[USG]firewallzonedmz
[USG-zone-dmz]addinterfaceGigabitEthernet0/0/1
[USG-zone-dmz]quit
2.配置NAT,完成需求1。
#创建基本ACL2000,配置源地址为192.168.1.0/24的规则。
[USG]acl2000
[USG-acl-basic-2000]rulepermitsource192.168.1.00.0.0.255
[USG-acl-basic-2000]quit
#配置NAT地址池。
[USG]nataddress-group1202.169.10.3202.169.10.6
#配置Trust区域和Untrust区域的域间包过滤规则。
[USG]firewallinterzonetrustuntrust
[USG-interzone-trust-untrust]packet-filter2000outbound
#配置Trust区域和Untrust区域的NAT,将地址池和ACL关联,不使用no-pat参数。
[USG-interzone-trust-untrust]natoutbound2000address-group1
[USG-interzone-trust-untrust]quit
3.配置内部服务器,完成需求2。
#创建高级ACL3000,配置目的地址为10.1.1.2和10.1.1.3的规则。
[USG]acl3000
[USG-acl-adv-3000]rulepermittcpdestination10.1.1.20destination-porteqftp
[USG-acl-adv-3000]rulepermittcpdestination10.1.1.30destination-porteq8080
[USG-acl-adv-3000]quit
#配置DMZ区域和Untrust区域的域间包过滤规则。
[USG]firewallinterzonedmzuntrust
[USG-interzone-dmz-untrust]packet-filter3000inbound
#配置DMZ区域和Untrust区域的域间开启FTP和HTTP协议的ASPF功能。
[USG-interzone-dmz-untrust]detectftp
[USG-interzone-dmz-untrust]detecthttp
[USG-interzone-dmz-untrust]quit
#配置内部服务器。
[USG]natserverprotocoltcpglobal202.169.10.2wwwinside10.1.1.38080
[USG]natserverprotocoltcpglobal202.169.10.2ftpinside10.1.1.2ftp
配置双向NAT举例
组网需求
如图1所示,某公司内部网络通过USG进行连接,网络环境描述如下:
∙FTP服务器属于DMZ区域,对外提供FTP服务,通过接口GigabitEthernet0/0/0与USG连接。
∙Untrust区域通过接口GigabitEthernet0/0/1与USG连接。
图1配置双向NAT组网图
配置双向NAT,完成以下需求:
∙DMZ区域提供FTP服务器供外部网络用户访问。
其中FTPServer的内部IP地址为10.1.1.2,对外公布的地址为200.1.1.10,端口号为缺省值。
∙FTPServer上不需要配置到公网地址的路由。
∙外部网络的用户访问的地址转换为10.1.1.5~10.1.1.50。
配置思路
1.根据网络规划为统一安全网关分配接口,并将接口加入相应的安全区域。
2.创建ACL,并配置ACL规则。
3.配置内部服务器。
4.配置低优先级安全区域到高优先级安全区域的NAT。
数据准备
为完成此配置例,需准备如下的数据:
∙统一安全网关各接口的IP地址。
∙ACL相关参数。
∙FTPServer的IP地址。
∙地址池编号。
操作步骤
1.完成USG的基本配置。
#配置接口GigabitEthernet0/0/0的IP地址。
system-view
[USG]interfaceGigabitEthernet0/0/0
[USG-GigabitEthernet0/0/0]ipaddress10.1.1.124
[USG-GigabitEthernet0/0/0]quit
#配置接口GigabitEthernet0/0/1的IP地址。
[USG]interfaceGigabitEthernet0/0/1
[USG-GigabitEthernet0/0/1]ipaddress200.1.1.124
[USG-GigabitEthernet0/0/1]quit
#将接口GigabitEthernet0/0/0加入DMZ区域。
[USG]firewallzonedmz
[USG-zone-dmz]addinterfaceGigabitEthernet0/0/0
[USG-zone-dmz]quit
#将接口GigabitEthernet0/0/1加入Untrust区域。
[USG]firewallzoneuntrust
[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG-zone-untrust]quit
2.配置NAT和内部服务器,完成需求。
#创建基本ACL2000,配置源地址为200.1.1.0/24的规则。
[USG]acl2000
[USG-acl-basic-2000]rulepermitsource200.1.1.00.0.0.255
[USG-acl-basic-2000]quit
#配置NAT地址池和内部服务器。
[USG]natserverprotocoltcpglobal200.1.1.10ftpinside10.1.1.2ftp
[USG]nataddress-group110.1.1.510.1.1.50
#在DMZ区域和Untrust区域的域间配置NAT。
[USG]firewallinterzonedmzuntrust
[USG-interzone-dmz-untrust]packet-filter2000inbound
[USG-interzone-dmz-untrust]natinbound2000address-group1
#在DMZ区域和Untrust区域的域间开启FTP协议的ASPF功能。
[USG-interzone-dmz-untrust]detectftp
升级会员 