桂林理工大学网络安全复习大纲.docx

桂林理工大学网络安全复习大纲.docx

《桂林理工大学网络安全复习大纲.docx》由会员分享，可在线阅读，更多相关《桂林理工大学网络安全复习大纲.docx（74页珍藏版）》请在冰点文库上搜索。

桂林理工大学网络安全复习大纲

网络安全考试复习资料

目录

一、配置指南基础配置2

1、搭建配置环境2

2、通过Telnet登录设备2

3、配置ACL（时间段、地址集、服务集）2

4、创建ACL5

二、配置指南安全8

1、配置地址池方式的NAPT和NATServer举例8

2、配置接口IP方式的NAPT和NATServer举例11

3、配置NATInbound和NATServer举例15

三、配置指南接入17

1、以太网接口配置举例17

2、配置VLAN间通过Vlanif接口通信举例19

3、配置PPP22

4、配置IPv4PPPoE举例27

四、配置L2TP30

1、配置NAS-InitializedVPN举例（本地认证）30

2、配置Client-InitializedVPN举例35

五、配置GRE40

1、配置应用静态路由的GRE举例40

2、配置应用OSPF的GRE举例43

六、配置指南安全46

1、配置通过包过滤实现基本访问控制举例46

七、配置IPSec51

1、配置采用IKEv2方式协商的IPSec隧道举例51

八、配置SSLVPN56

1、配置Web代理功能举例56

2、配置端口转发功能举例58

一、配置指南基础配置

1、搭建配置环境

支持通过以下方式搭建配置环境：

通过Console口登录：

使用PC终端通过连接设备的Console口来登录设备，进行第一次上电和配置。

当用户无法进行远程访问设备时，可通过Console进行本地登录；当设备系统无法启动时，可通过console口进行诊断或进入BootRom进行系统升级。

通过Telnet登录：

通过PC终端连接到网络上，使用Telnet方式登录到设备上，进行本地或远程的配置，目标设备根据配置的登录参数对用户进行验证。

Telnet登录方式方便对设备进行远程管理和维护。

通过SSH登录：

提供安全的信息保障和强大认证功能，保护设备系统不受IP欺骗、明文密码截取等攻击。

SSH登录能更大限度的保证数据信息交换的安全。

通过Web登录：

在客户端通过Web浏览器访问设备，进行控制和管理。

适用于配置终端PC通过Web方式登录。

2、通过Telnet登录设备

system-view

[USG]interfaceGigabitEthernet0/0/1

[USG-GigabitEthernet0/0/1]ipaddress10.10.10.10255.0.0.0

[USG-GigabitEthernet0/0/1]quit

2、配置USG的用户信息。

以下面的情况为例进行配置：

配置VTY（VirtualTypeTerminal）用户接口的验证方式为AAA，Telnet用户名为user1，口令为password@123，口令的存储方式为密文方式（cipher），级别为level3。

system-view

[USG]user-interfacevty04

[USG-ui-vty0-4]authentication-modeaaa

[USG-ui-vty0-4]protocolinboundtelnet

[USG-ui-vty0-4]quit

[USG]aaa

[USG-aaa]local-useruser1passwordcipherpassword@123

[USG-aaa]local-useruser1service-typetelnet

[USG-aaa]local-useruser1level3

3、配置ACL（时间段、地址集、服务集）

创建时间段

#定义时间段abc，匹配2012年1月1日～2012年12月1日期间的上班时间段（9点～18点）。

system-view

[sysname]time-rangeabc9:

00to18:

00working-day

[sysname]time-rangeabcfrom9:

002012/01/01to18:

002012/12/01

创建地址集

1.执行命令system-view，进入系统视图。

2.执行命令ipaddress-setaddress-set-name[type{object|group}|vpn-instancevpn-instance-name]*，创建地址集并进入地址集视图。

注意：

address-set-name不能以数字开头，不支持空格，不能取名为“any”。

在创建地址集时必须选择type参数设定合适的地址集类型。

只有当地址集类型为Group时，才可以添加地址集作为成员。

地址集创建完成之后再次进入该地址集视图时才不需要选择type参数。

3.添加地址集成员。

o执行命令address[id]{ip-address{0|wildcard|mask{mask-address|mask-len}}|rangestart-ip-addressend-ip-address}[descriptiondescription]，为Object类型的地址集添加成员。

o执行命令address[id]{ip-address{0|wildcard|mask{mask-address|mask-len}}|rangestart-ip-addressend-ip-address|address-setaddress-set-name}[descriptiondescription]，为Group类型的地址集添加成员。

添加成员时，选择不同的命令参数可以添加不同类型的地址范围：

oip-address0：

添加一个单独的IP地址。

oip-addressmask{mask-address|mask-len}：

添加一个网段。

oip-addresswildcard：

添加一个网段。

orangestart-ip-addressend-ip-address：

添加一个任意的连续IP地址范围。

oaddress-setaddress-set-name：

添加一个地址集。

还可以重复执行这一命令为同一个地址集添加多个成员。

各个成员之间是叠加的关系，即所有被成员包含的IP地址都将有效，而不管其是否在多个成员中重复出现。

4.可选：

执行命令descriptiontext，配置地址集描述信息。

为一个地址集添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续对地址集的维护和管理。

创建服务集

1.执行命令system-view，进入系统视图。

2.执行命令ipservice-setservice-set-name[type{object|group}|vpn-instancevpn-instance-name]*，创建自定义服务集并进入服务集视图。

注意：

service-set-name不能以数字开头，不支持空格，不能取名为“ip”。

在创建服务集时必须选择type参数设定合适的服务集类型。

当服务集类型为group时，只可以添加服务集作为成员。

服务集创建完成之后再次进入该服务集视图时才不需要选择type参数。

3.添加自定义服务集成员。

o为object类型的自定义服务集添加成员。

▪执行命令service[id]protocol{udp|tcp}[[source-port{src-port-number-1[tosrc-port-number-2]}&<1-64>]|[destination-port{dst-port-number-1[todst-port-number-2]}&<1-64>]]*[descriptiondescription]，通过端口号范围指定TCP/UDP协议的协议类型。

▪执行命令service[id]protocolicmp[icmp-type{icmp-name|icmp-type-numbericmp-code-number}][descriptiondescription]，通过ICMP类型和代码字段指定ICMP协议报文类型。

▪执行命令service[id]protocolprotocol-number[descriptiondescription]，通过IP报文首部的协议字段取值指定协议类型。

o为group类型的自定义服务集添加成员。

执行命令service[id]service-setservice-set-name[descriptiondescription]，为group类型的自定义服务集添加服务集作为成员。

可重复执行本命令添加多个服务集。

4.可选：

执行命令descriptiontext，配置服务集的描述信息。

为一个服务集添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续对地址集的维护和管理。

5.执行命令quit，返回至系统视图。

6.执行命令firewallsessionaging-time[vpn-instancevpn-instance-name]service-setservice-nameage-time，配置服务集的会话老化时间。

本条命令既可以更改自定义服务集的老化时间，也可更改预定义服务集的老化时间。

必须给自定义服务集配置老化时间，没有配置老化时间的自定义服务集不会被会话匹配。

7.可选：

执行命令firewallsessionaging-timemove[vpn-instancevpn-instance-name1]service-setservice-set-name1to[vpn-instancevpn-instance-name2]service-setservice-set-name2，调整自定义服务集老化时间优先级顺序。

只有配置了老化时间的object类型的自定义服务集才可以调整老化时间优先级顺序。

4、创建ACL

创建基本ACL

1.执行命令system-view，进入系统视图。

2.执行命令acl[number]acl-number[vpn-instancevpn-instance-name][match-order{config|auto}]，创建基本ACL，并进入相应视图。

acl-number在2000～2999内的ACL属于基本ACL。

如果不指定match-order则缺省为config类型。

auto类型的ACL不支持通过地址集指定地址范围。

关于match-order的含义请参见ACL简介。

3.可选：

执行命令descriptiontext，配置ACL的描述信息。

为一个ACL添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续对ACL的维护和管理。

4.可选：

执行命令stepstep-value，配置ACL的步长。

缺省情况下，步长为5。

设定步长是为了系统在自动分配规则号时按照步长递增，为两个规则之间预留一定的规则号范围，使管理员后续可以在两条规则之间插入一条新规则。

仅在未配置ACL规则时可配置步长，且配置ACL规则后步长不允许修改。

5.执行命令rule[rule-id]{deny|permit}[logging|source{source-ip-addresssource-wildcard|address-setaddress-set-name|any}|time-rangetime-name]*[descriptiondescription]，创建基本ACL规则。

o配置时没有指定编号rule-id，表示增加一条新的规则，此时系统会根据步长，自动为规则分配一个大于现有规则最大编号的最小编号。

例如，假设现有规则的最大编号为21，步长为5，那么系统分配给新增加的规则的编号为25。

o配置时指定了编号rule-id，如果相应的规则已经存在，表示对已有规则进行编辑，规则中没有编辑的部分不受影响；如果相应的规则没有存在，表示增加一条新的规则，并且按照指定的编号将其插入到相应的位置。

o新创建或修改后的规则不能和已经存在的规则相同，否则会导致创建或修改不成功，系统会提示该规则已经存在。

创建高级ACL

1.执行命令system-view，进入系统视图。

2.执行命令acl[number]acl-number[vpn-instancevpn-instance-name][match-order{config|auto}]，创建高级ACL，并进入相应视图。

acl-number在3000～3999内的ACL属于高级ACL。

如果不指定match-order则缺省为config类型。

auto类型的ACL不支持通过地址集指定地址范围。

关于match-order的含义请参见ACL简介。

3.可选：

执行命令descriptiontext，配置ACL的描述信息。

为一个ACL添加描述信息虽然是可选操作，但是恰当的描述信息将非常有助于管理员后续对ACL的维护和管理。

4.可选：

执行命令stepstep-value，配置ACL的步长。

缺省情况下，步长为5。

设定步长是为了系统在自动分配规则号时按照步长递增，为两个规则之间预留一定的规则号范围，使管理员后续可以在两条规则之间插入一条新规则。

仅在未配置ACL规则时可配置步长，且配置ACL规则后步长不允许修改。

5.选择执行以下命令中的一条，创建一个高级ACL规则。

o执行命令rule[rule-id]{permit|deny}protocol[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|source-port{operatorport|rangeport1port2}|destination-port{operatorport|rangeport1port2}|icmp-type{icmp-typeicmp-code|icmp-message}|precedenceprecedence|tostos|time-rangetime-name|logging]*[descriptiondescription]，配置指定协议信息的高级ACL规则。

以上参数会根据protocol有所变化。

仅当选择TCP/UDP协议时才可选择source-port和destination-port，仅当选择ICMP协议时才可选择icmp-type。

o执行命令rule[rule-id]{permit|deny}service-setservice-set-name[source{source-addresssource-wildcard|address-setaddress-set-name|any}|destination{destination-addressdestination-wildcard|address-setaddress-set-name|any}|precedenceprecedence|tostos|time-rangetime-name|logging]*[descriptiondescription]，配置指定服务集信息的高级ACL规则。

启用ACL加速查找

1.执行命令system-view，进入系统视图。

2.执行命令aclaccelerate[auto]enable，启动ACL加速查找功能。

缺省情况下，开启ACL自动加速查找功能。

二、配置指南安全

1、配置地址池方式的NAPT和NATServer举例

如图1所示，某公司内部网络通过USG与Internet进行连接，将内网用户划分到Trust区域，两台服务器划分到DMZ区域，将Internet划分到Untrust区域。

∙需求1

该公司Trust区域的192.168.1.0/24网段的用户可以访问Internet，该安全区域其它网段的用户不能访问。

提供的访问外部网络的合法IP地址范围为1.1.1.3～1.1.1.6。

由于公有地址不多，需要使用NAPT（NetworkAddressPortTranslation）功能进行地址复用。

∙需求2

提供FTP和Web服务器供外部网络用户访问。

其中FTPServer的内部IP地址为10.1.1.2，端口号为缺省值21，WebServer的内部IP地址为10.1.1.3，端口为8080。

两者对外公布的地址均为1.1.1.2，对外使用的端口号均为缺省值，即21和80。

图1配置NAPT和内部服务器组网图

项目

数据

（1）

接口号：

GigabitEthernet0/0/2

IP地址：

192.168.1.1/24

安全区域：

Trust

（2）

接口号：

GigabitEthernet0/0/3

IP地址：

10.1.1.1/24

安全区域：

DMZ

（3）

接口号：

GigabitEthernet0/0/4

IP地址：

1.1.1.1/24

安全区域：

Untrust

FTPServer

IP地址：

10.1.1.2/24

WebServer

IP地址：

10.1.1.3/24

操作步骤

1.配置各接口的IP地址，并将其加入安全区域。

2.system-view

3.[USG]interfaceGigabitEthernet0/0/2

4.[USG-GigabitEthernet0/0/2]ipaddress192.168.1.124

5.[USG-GigabitEthernet0/0/2]quit

6.[USG]interfaceGigabitEthernet0/0/3

7.[USG-GigabitEthernet0/0/3]ipaddress10.1.1.124

8.[USG-GigabitEthernet0/0/3]quit

9.[USG]interfaceGigabitEthernet0/0/4

10.[USG-GigabitEthernet0/0/4]ipaddress1.1.1.124

11.[USG-GigabitEthernet0/0/4]quit

12.[USG]firewallzonetrust

13.[USG-zone-trust]addinterfaceGigabitEthernet0/0/2

14.[USG-zone-trust]quit

15.[USG]firewallzonedmz

16.[USG-zone-dmz]addinterfaceGigabitEthernet0/0/3

17.[USG-zone-dmz]quit

18.[USG]firewallzoneuntrust

19.[USG-zone-untrust]addinterfaceGigabitEthernet0/0/4

[USG-zone-untrust]quit

20.配置域间包过滤，以保证网络基本通信正常。

使192.168.1.0/24网段用户可以访问Untrust区域，使Untrust区域用户可以访问DMZ区域中的10.1.1.2和10.1.1.3两台服务器。

21.[USG]policyinterzonetrustuntrustoutbound

22.[USG-policy-interzone-trust-untrust-outbound]policy0

23.[USG-policy-interzone-trust-untrust-outbound-0]policysource192.168.1.00.0.0.255

24.[USG-policy-interzone-trust-untrust-outbound-0]actionpermit

25.[USG-policy-interzone-trust-untrust-outbound-0]quit

26.[USG-policy-interzone-trust-untrust-outbound]quit

27.[USG]policyinterzonedmzuntrustinbound

28.[USG-policy-interzone-dmz-untrust-inbound]policy0

29.[USG-policy-interzone-dmz-untrust-inbound-0]policydestination10.1.1.20

30.[USG-policy-interzone-dmz-untrust-inbound-0]policyserviceservice-setftp

31.[USG-policy-interzone-dmz-untrust-inbound-0]actionpermit

32.[USG-policy-interzone-dmz-untrust-inbound-0]quit

33.[USG-policy-interzone-dmz-untrust-inbound]policy1

34.[USG-policy-interzone-dmz-untrust-inbound-1]policydestination10.1.1.30

35.[USG-policy-interzone-dmz-untrust-inbound-1]policyserviceservice-sethttp

36.[USG-policy-interzone-dmz-untrust-inbound-1]actionpermit

37.[USG-policy-interzone-dmz-untrust-inbound-1]quit

[USG-policy-interzone-dmz-untrust-inbound]quit

38.配置NAPT，完成需求1。

a.创建NAT地址池1，地址范围为：

1.1.1.3–1.1.1.6。

[USG]nataddress-group11.1.1.