文章目录

网络安全综合实验一、概述1.1 实验背景及要求1.2 实验技术概要二、隧道三、防火墙3.1 概述3.2 防火墙和路由器3.3 安全区域3.4 安全策略3.4.1 缺省包过滤3.4.2 配置命令3.5 包过滤技术3.6 状态检测和会话机制3.7 NAT3.7.1 私网用户访问Internet3.7.2 公网用户访问私网内部服务器四、ACL4.1 概述4.2 分类4.3 配置五、实验拓扑六、实验配置七、测试。7.1 ACL测试7.2 防火墙过滤测试八、数据包

网络安全综合实验

一、概述

1.1 实验背景及要求

配置ACL，过滤具有某种特点的分组。配置NAT。在企业内部结构化分层使用NAT地址。实验测试一种网络攻击，比如SYN_Flood、MAC泛洪攻击或ARP攻击。配置防火墙，禁止某种网络服务（防火墙在企业内网与外网之间）。

1.2 实验技术概要

防火墙ACL

二、隧道

此处因为涉及某些关键词，一直审核不通过，所以此处不多介绍详细介绍！不将就

三、防火墙

3.1 概述

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

3.2 防火墙和路由器

3.3 安全区域

防火墙通过安全区域来划分网络、标识报文流动的"路线"将一个或多个接口划分到一个区域中通过接口划分，就可以在防火墙上划分出不同网络华为防火墙默认提供Trust、DMS、Untrust三个区域防火墙提供Local区域，代表防火墙本身

3.4 安全策略

安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制，规则的本质是包过滤。

3.4.1 缺省包过滤

如果防火墙域间没有配置安全策略，或查找安全策略时，所有的安全策略都没有命中，则默认执行域间的缺省包过滤动作(拒绝访问)

3.4.2 配置命令

[USG6000V1-policy-security]rule name ftp//源区域[USG6000V1-policy-security-rule-ftp]source-zone untrust //目的地址[USG6000V1-policy-security-rule-ftp]destination-address 192.168.10.0 0.0.0.255//规则[USG6000V1-policy-security-rule-ftp]action deny

3.5 包过滤技术

实现包过滤技术的核心是访问控制列表(后面章节详细分析)包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过

3.6 状态检测和会话机制

如果规则与允许通过，状态监测防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待

3.7 NAT

3.7.1 私网用户访问Internet

多个用户共享少量公网IP地址访问Internet时，可以使用源NAT技术源NAT技术只对报文的源地址进行转换

3.7.2 公网用户访问私网内部服务器

通过NAT Server，实现外部网络用户通过公网地址访问私网内部服务器的需求NAT Server将某个公网IP地址映射为服务器的私网IP地址

四、ACL

4.1 概述

访问控制列表ACL(Access Control List)可以定义一系列不同的规则，设备根据这些规则对数据包进行分类，并针对不同类型的报文进行不同的处理，从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击

4.2 分类

4.3 配置

[Huawei]acl 2000[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255[Huawei-acl-basic-2000]int g0/0/0//在g0/0/0接口出方向使用规则[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000

五、实验拓扑

六、实验配置

在公司总部网络中配置端口ip和ospf协议，此处不多赘述

在AR3和AR4配置DHCP协议

详细介绍DHCP、OSPF介绍与配置

防火墙的配置

防火墙使用的是USG6000v，安装包下载可点击此处

区域划分：端口GE1/0/2在dmz区域；端口GE1/0/0在trust区域；端口GE1/0/1在untrust区域

[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/0[USG6000V1]firewall zone untrust [USG6000V1-zone-trust]add int g1/0/1[USG6000V1]firewall zone dmz [USG6000V1-zone-trust]add int g1/0/2

安全策略：trust区域可以访问dmz和untrust区域，untrust区域只能访问dmz区域

[USG6000V1]security-policy[USG6000V1-policy-security]rule name ysw01[USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone untrust [USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy[USG6000V1-policy-security]rule name ysw02[USG6000V1-policy-security-rule-ysw01]source-zone untrust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz[USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy[USG6000V1-policy-security]rule name ysw03[USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz[USG6000V1-policy-security-rule-ysw01]action permit

海外分部和总部通信(以FW3为例)

[USG6000V1]security-policy[USG6000V1-policy-security]rule name ysw06//源地址为海外分部的出口地址[USG6000V1-policy-security-rule-ysw06]source-address 56.1.1.0 24//目的区域为安全区域[USG6000V1-policy-security-rule-ysw06]destination-zone trust //访问策略为允许通过[USG6000V1-policy-security-rule-ysw06]action permit

NAT的配置(以FW3为例)

//地址将会转换为GigabitEthernet 1/0/1的端口地址USG6000V1]nat-policy [USG6000V1-policy-nat]rule name ysw[USG6000V1-policy-nat-rule-ysw]egress-interface GigabitEthernet 1/0/1[USG6000V1-policy-nat-rule-ysw]action source-nat easy-ip

NAT-Server配置

配置之后公网可以访问100.100.100.100，此时防火墙会将该地址映射为FTP服务器地址192.168.10.2

[USG6000V1]firewall detect ftp[USG6000V1]nat server global 100.100.100.100 inside 192.168.10.2 no-reverse [USG6000V1]security-policy[USG6000V1-policy-security]rule name untrust-DMZ[USG6000V1-policy-security-rule-untrust-DMZ]source-zone untrust [USG6000V1-policy-security-rule-untrust-DMZ]destination-address 192.168.10.2 24[USG6000V1-policy-security-rule-untrust-DMZ]service any [USG6000V1-policy-security-rule-untrust-DMZ]action permit

隧道配置(以AR2为例)

[Huawei]acl number 3001[Huawei-acl-adv-3001]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 10.1.0.0 0.0.255.255[Huawei-acl-adv-3001]q[Huawei]ipsec proposal tran1[Huawei-ipsec-proposal-tran1]esp authentication-algorithm sha1[Huawei-ipsec-proposal-tran1]q[Huawei]ipse[Huawei]ipsec policy P1 10 manual [Huawei-ipsec-policy-manual-P1-10]security acl 3001[Huawei-ipsec-policy-manual-P1-10]proposal tran1//对端IP[Huawei-ipsec-policy-manual-P1-10]tunnel remote 192.168.3.2[Huawei-ipsec-policy-manual-P1-10]tunnel local 56.1.3.2//在对端AR1上配置时outbound密码为12345，inbound密码为54321[Huawei-ipsec-policy-manual-P1-10]sa spi outbound esp 54321[Huawei-ipsec-policy-manual-P1-10]sa spi inbound esp 12345[Huawei-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei[Huawei-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei[Huawei-ipsec-policy-manual-P1-10]int g0/0/1//在端口上应用规则P1[Huawei-GigabitEthernet0/0/1]ipsec policy P1[Huawei-GigabitEthernet0/0/1]

在AR1上进行同样的配置

ACL的配置(AR3)

禁止部门A访问FTP服务器

[Huawei]acl //禁止源地址为FTP服务器的地址[Huawei-acl-basic-]rule deny source 192.168.10.2 255.255.255.255//在接口入方向使用该规则[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl

七、测试。

7.1 ACL测试

配置前使用ping命令检测(PC1)

配置ACL后

7.2 防火墙过滤测试

trust区域访问untrust(ping测试路由器AR8)

untrust区域访问trust(测试路由器pingPC1)

untrust访问dmz(测试路由器pingFTP服务器)

海外分部访问FTP服务器(PC6 ping FTP)

海外部门和公司总部通信(PC6和PC1)

八、数据包

NAT转换(FW3的GE1/0/1端口)PC1 ping PC6将源地址10.1.1.254转换为56.1.1.1

FTP数据包

ESP数据包