网络设备配置与调试案例教程 课件 第五章 网络设备全配置5.3.pptx

主讲人：万鹏第五章网络设备安全配置网络设备配置与调试案例教程

CONTENTS教学目标本章主要介绍主流网络安全设备的基本配置方法、路由器点到点的VPN、防火墙的主要配置方法。【知识目标】?掌握AAA的基本概念。?掌握端到端的VPN功能?配置USG防火墙【技能目标】?掌握和AAA的认证、授权的配置。?了解华为系列路由器上支持配置哪些AAA方案。?掌握端到端的VPN功能及相关配置。?掌握USG防火墙安全策略及相关配置命令

CONTENTS5.1路由器AAA安全5.25.3路由器端到端的VPNUSG防火墙

5.3USG防火墙网络设备配置与调试案例教程5.3.1项目背景某公司在办公地点的中心机房部署有一台USG防火墙，为更好实现管理,将防火墙分为3个区域，其中内网区域接公司局域网,DMZ区接公司对外Web服务器和ACS认证服务器，外网区域连接Internet,公司内网用户上网通过防火墙地址转换功能来实现，局域网用户使用DHCP自动获取IP,并通过公司ACS服务器的认证后才能访问Internet。公司有一台Web服务器需要对内外网提供WWW服务。为实现员工出差也能够访问公司内部资源，要求提供远程VPN功能。1.需求分析USG采用三区域路由模式结构，DMZ区域采用静态IPNAT的方式对Web服务器提供服务，inside(内网)区域采用DHCP方式获取IP,USG充当DHCP服务器，Client需要采用PAT方式访问Internet,并需要通过AAA认证。Client访问内部服务器采用直接路由的方式，Web服务器对外发布服务需要映射到防火墙外网接口,并拒绝外部到outside接口的任何ICMP通信，内部inside到DMZ和Internet可以采用ICMP测试连通性，内部inside到DMZ采用路由方式直接进行访问，不做NAT/PAT,并在防火墙上启用SSLVPN提供远程用户连接服务。

5.3USG防火墙网络设备配置与调试案例教程某公司在网络边界处部署了NGFW作为安全网关。为了使私网中/24网段的用户可以正常访问Internet，需要在NGFW上配置源NAT策略。除了公网接口的IP地址外，公司还向ISP申请了2个IP地址（0～1）作为私网地址转换后的公网地址。网络环境如图所示，其中Router是ISP提供的接入网关。设备类型设备型号设备数量备注防火墙USG55001台含电源线、配置线二层交换机S37001台含电源线、配置线计算机双核、4GB、80GB以上4台已安装WindowsXPSP3双绞线超5类6条1条交叉线，5条直通线软件名称数量备注WindowsXPProSP2（中文版）1系统平台VMwareWorkstation7.1.41虚拟机MicrosoftOffice2007（中文版）1文档编辑WindowsServer2003R2（中文版）1服务器平台jre-6u2-Windows-i586或更髙版本1Java运行环境USG802-k8.bin1USG系统文件asdm-524.bin1USG设置管理工具sslclient-win-73.pkg1VPN客户端软件asdm50-install.msi1ASDM管理软件软件环境列表硬件环境列表2.环境准备

5.3USG防火墙网络设备配置与调试案例教程2.技能准备（1）华为防火墙产品（如图所示）

5.3USG防火墙网络设备配置与调试案例教程（2）USG防火墙概述：USG作为PIX的升级产品是一款集防火墙、入侵检测(IDS)和VPN集中器于一体的安全产品。“防火墙”一词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然，这种隔离是高明的，既能阻断网络中的各种攻击又能保证正常通信报文的通过。用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。华为防火墙产品上默认已经提供了三个安全区域，分别是Trust、DMZ和Untrust。

5.3USG防火墙网络设备配置与调试案例教程（3）安全区域、受信任程度与安全级别（如图所示）不同的网络受信任的程度不同，在防火墙上用安全区域来表示网络后，怎么来判断一个安全区域的受信任程度呢?在华为防火墙上，每个安全区域都有一个唯一的安全级别，用1～100的数字表示，数字越大，则代表该区域内的网络越可信。对于默认的安全区域，它们的安全级别是固定的：