网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)
文章目录
- 网络安全综合实验
- 一、概述
- 1.1 实验背景及要求
- 1.2 实验技术概要
- 二、隧道
- 三、防火墙
- 3.1 概述
- 3.2 防火墙和路由器
- 3.3 安全区域
- 3.4 安全策略
- 3.4.1 缺省包过滤
- 3.4.2 配置命令
- 3.5 包过滤技术
- 3.6 状态检测和会话机制
- 3.7 NAT
- 3.7.1 私网用户访问Internet
- 3.7.2 公网用户访问私网内部服务器
- 四、ACL
- 4.1 概述
- 4.2 分类
- 4.3 配置
- 五、实验拓扑
- 六、实验配置
- 七、测试。
- 7.1 ACL测试
- 7.2 防火墙过滤测试
- 八、数据包
网络安全综合实验
一、概述
1.1 实验背景及要求
- 配置ACL,过滤具有某种特点的分组。
- 配置NAT。在企业内部结构化分层使用NAT地址。
- 实验测试一种网络攻击,比如SYN_Flood、MAC泛洪攻击或ARP攻击。
- 配置防火墙,禁止某种网络服务(防火墙在企业内网与外网之间)。
1.2 实验技术概要
- 防火墙
- ACL
二、隧道
- 此处因为涉及某些关键词,一直审核不通过,所以此处不多介绍
- 详细介绍!不将就
三、防火墙
3.1 概述
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
3.2 防火墙和路由器
| 防火墙 | 路由器 | |
|---|---|---|
| 背景 | 产生人们对于安全性的需求 | 基于对网络数据包路由而非产生 |
| 目的 | 保证任何非允许的数据包"不通" | 保持网络和数据的"通" |
| 核心技术 | 基于状态包过滤的应用级信息流过滤 | 路由器核心的ACL列表时基于简单的包过滤 |
| 安全策略 | 默认配置即可以防止一些攻击 | 默认配置对安全性的考虑不够 |
| 对性能影响 | 采用状态包过滤,规则条数,NAT的规则数对性能影响较小 | 进行包过滤会对路由器的CPU和内存产生很大的影响 |
| 防攻击能力 | 具有应用层的防范功能 | 普通路由器不具有应用层的防范功能 |
3.3 安全区域
- 防火墙通过安全区域来划分网络、标识报文流动的"路线"
- 将一个或多个接口划分到一个区域中
- 通过接口划分,就可以在防火墙上划分出不同网络
- 华为防火墙默认提供Trust、DMS、Untrust三个区域
- 防火墙提供Local区域,代表防火墙本身
| 安全区域 | 安全级别 | 说明 |
|---|---|---|
| Local | 100 | 设备本身,包括设备的各接口 |
| Trust | 85 | 通常用于定义内网终端用户所在区域 |
| DMZ | 50 | 通常用于定义内网服务器所在区域 |
| Untrust | 5 | 通常用于定义Internet等不安全的网络 |
3.4 安全策略
安全策略是按一定规则检查数据流是否可以通过防火墙的基本安全控制机制,规则的本质是包过滤。
3.4.1 缺省包过滤
- 如果防火墙域间没有配置安全策略,或查找安全策略时,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝访问)
3.4.2 配置命令
[USG6000V1-policy-security]rule name ftp
//源区域
[USG6000V1-policy-security-rule-ftp]source-zone untrust
//目的地址
[USG6000V1-policy-security-rule-ftp]destination-address 192.168.10.0 0.0.0.255
//规则
[USG6000V1-policy-security-rule-ftp]action deny
3.5 包过滤技术
- 实现包过滤技术的核心是访问控制列表(后面章节详细分析)
- 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过
3.6 状态检测和会话机制
- 如果规则与允许通过,状态监测防火墙会将属于同一连接的所有报文作为一个整体的数据流(会话)来对待
3.7 NAT
3.7.1 私网用户访问Internet
- 多个用户共享少量公网IP地址访问Internet时,可以使用源NAT技术
- 源NAT技术只对报文的源地址进行转换
3.7.2 公网用户访问私网内部服务器
- 通过NAT Server,实现外部网络用户通过公网地址访问私网内部服务器的需求
- NAT Server将某个公网IP地址映射为服务器的私网IP地址
四、ACL
4.1 概述
访问控制列表ACL(Access Control List)可以定义一系列不同的规则,设备根据这些规则对数据包进行分类,并针对不同类型的报文进行不同的处理,从而可以实现对网络访问行为的控制、限制网络流量、提高网络性能、防止网络攻击
4.2 分类
4.3 配置
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule deny source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]int g0/0/0
//在g0/0/0接口出方向使用规则
[Huawei-GigabitEthernet0/0/0]traffic-filter outbound acl 2000
五、实验拓扑
六、实验配置
在公司总部网络中配置端口ip和ospf协议,此处不多赘述
在AR3和AR4配置DHCP协议
详细介绍DHCP、OSPF介绍与配置
防火墙的配置
防火墙使用的是USG6000v,安装包下载可点击此处
- 区域划分:端口GE1/0/2在dmz区域;端口GE1/0/0在trust区域;端口GE1/0/1在untrust区域
[USG6000V1]firewall zone trust [USG6000V1-zone-trust]add int g1/0/0 [USG6000V1]firewall zone untrust [USG6000V1-zone-trust]add int g1/0/1 [USG6000V1]firewall zone dmz [USG6000V1-zone-trust]add int g1/0/2- 安全策略:trust区域可以访问dmz和untrust区域,untrust区域只能访问dmz区域
[USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw01 [USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone untrust [USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw02 [USG6000V1-policy-security-rule-ysw01]source-zone untrust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz [USG6000V1-policy-security-rule-ysw01]action permit [USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw03 [USG6000V1-policy-security-rule-ysw01]source-zone trust [USG6000V1-policy-security-rule-ysw01]destination-zone dmz [USG6000V1-policy-security-rule-ysw01]action permit海外分部和总部通信(以FW3为例)
[USG6000V1]security-policy [USG6000V1-policy-security]rule name ysw06 //源地址为海外分部的出口地址 [USG6000V1-policy-security-rule-ysw06]source-address 56.1.1.0 24 //目的区域为安全区域 [USG6000V1-policy-security-rule-ysw06]destination-zone trust //访问策略为允许通过 [USG6000V1-policy-security-rule-ysw06]action permitNAT的配置(以FW3为例)
//地址将会转换为GigabitEthernet 1/0/1的端口地址 USG6000V1]nat-policy [USG6000V1-policy-nat]rule name ysw [USG6000V1-policy-nat-rule-ysw]egress-interface GigabitEthernet 1/0/1 [USG6000V1-policy-nat-rule-ysw]action source-nat easy-ipNAT-Server配置
- 配置之后公网可以访问100.100.100.100,此时防火墙会将该地址映射为FTP服务器地址192.168.10.2
[USG6000V1]firewall detect ftp [USG6000V1]nat server global 100.100.100.100 inside 192.168.10.2 no-reverse [USG6000V1]security-policy [USG6000V1-policy-security]rule name untrust-DMZ [USG6000V1-policy-security-rule-untrust-DMZ]source-zone untrust [USG6000V1-policy-security-rule-untrust-DMZ]destination-address 192.168.10.2 24 [USG6000V1-policy-security-rule-untrust-DMZ]service any [USG6000V1-policy-security-rule-untrust-DMZ]action permit隧道配置(以AR2为例)
[Huawei]acl number 3001 [Huawei-acl-adv-3001]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1 0.1.0.0 0.0.255.255 [Huawei-acl-adv-3001]q [Huawei]ipsec proposal tran1 [Huawei-ipsec-proposal-tran1]esp authentication-algorithm sha1 [Huawei-ipsec-proposal-tran1]q [Huawei]ipse [Huawei]ipsec policy P1 10 manual [Huawei-ipsec-policy-manual-P1-10]security acl 3001 [Huawei-ipsec-policy-manual-P1-10]proposal tran1 //对端IP [Huawei-ipsec-policy-manual-P1-10]tunnel remote 192.168.3.2 [Huawei-ipsec-policy-manual-P1-10]tunnel local 56.1.3.2 //在对端AR1上配置时outbound密码为12345,inbound密码为54321 [Huawei-ipsec-policy-manual-P1-10]sa spi outbound esp 54321 [Huawei-ipsec-policy-manual-P1-10]sa spi inbound esp 12345 [Huawei-ipsec-policy-manual-P1-10]sa string-key outbound esp simple huawei [Huawei-ipsec-policy-manual-P1-10]sa string-key inbound esp simple huawei [Huawei-ipsec-policy-manual-P1-10]int g0/0/1 //在端口上应用规则P1 [Huawei-GigabitEthernet0/0/1]ipsec policy P1 [Huawei-GigabitEthernet0/0/1]- 在AR1上进行同样的配置
ACL的配置(AR3)
- 禁止部门A访问FTP服务器
[Huawei]acl 2003
//禁止源地址为FTP服务器的地址
[Huawei-acl-basic-2003]rule deny source 192.168.10.2 255.255.255.255
//在接口入方向使用该规则
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 2003
七、测试。
7.1 ACL测试
- 配置前使用ping命令检测(PC1)
- 配置ACL后
7.2 防火墙过滤测试
trust区域访问untrust(ping测试路由器AR8)
untrust区域访问trust(测试路由器pingPC1)
untrust访问dmz(测试路由器pingFTP服务器)
海外分部访问FTP服务器(PC6 ping FTP)
海外部门和公司总部通信(PC6和PC1)
八、数据包
- NAT转换(FW3的GE1/0/1端口)PC1 ping PC6
- 将源地址10.1.1.254转换为56.1.1.1
- FTP数据包
- ESP数据包
网络安全综合实验(eNSP)(DHCP、OSPF、NAT、防火墙、ACL)相关推荐
- 网络综合实验拓扑VLAN+TRUNK(链路聚合)+MSTP+VRRP+DHCP+OSPF+静态路由+ACL+地址转换
1.企业背景 某集团经过业务发展,总公司在广州市体育中心附近,在海珠区和白云区有二个分公司,为了实现快捷的信息交流和资源共享,需要构建统一网络,整合公司所有相关业务流程.总公司采用双核心的网络架构模式 ...
- 【实验】DHCP、NAT配置案例
拓扑图 规格 适用于所有版本.所有形态的AR路由器. 组网需求 Router作为某企业出口网关.该企业包括两个部门A和B,分别为部门A和B内终端规划两个地址网段:10.10.1.0/25和10.10. ...
- 计算机网络ospf实验报告,计算机网络ospf实验报告.pdf
NANCHANG UNIVERSITY 计算机网络实验报告 专 业: 班 级: 学 号: 学生姓名: 2014 年 月 日 1 目录 实验 1:虚拟局域网( VLAN)综合实验 3 实验 2:静态路由 ...
- HCIA/HCIP使用eNSP模拟HCIA综合实验(Telnet Trunk VLAN DHCP STP OSPF PPP 缺省路由 NAT ACL 与 路由器 交换机 服务器的综合配置)
使用eNSP模拟HCIA综合实验 Telnet Trunk VLAN DHCP STP OSPF PPP 缺省路由 NAT ACL 与 路由器 交换机 服务器的综合配置 实验配套拓扑:HCIA Com ...
- 使用eNSP配置防火墙USG6000v双机热备(VGMP+HRP+OSPF+NAT)
目录 前言 实验拓扑 配置过程 一.导入设备包 二.登陆USG6000v 三.配置接口IP地址 四.配置防火墙安全区域 五.配置内网路由器协议OSPF 五.配置VRRP 六.配置IP-Link联动双机 ...
- 华为ensp ospf综合实验
实验拓扑 拓扑下载 华为OSPF综合实验 图 1-1 注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设 ...
- 基于eNSP中大型校园/企业网络规划与设计_ensp综合大作业(ensp综合实验)
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 基于eNSP中大型校园/企业网络规划与设计_综合大作业(ensp综合实验) 前言及技术/资源下载说明( **未经允许 ...
- 基于eNSP的IPv6校园网络规划与设计_综合实验
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 基于eNSP的IPv6校园网络规划与设计(综合实验) 前言及技术/资源下载说明( **未经允许禁止转发任何内容** ...
- 基于eNSP的IPv4加IPv6的企业/校园网络规划设计(综合实验/大作业)
作者:BSXY_19计科_陈永跃 BSXY_信息学院_名片v位于结尾处 注:未经允许禁止转发任何内容 基于eNSP的IPv4加IPv6的企业/校园网络规划设计_综合实验/大作业 前言及技术/资源下载说 ...
- eNSP综合实验合集(eNSP综合大作业合集)_可先收藏
作者:BSXY_19计科_陈永跃 BSXY_信息学院 注:未经允许禁止转发任何内容 **注:在该文章中就只对ensp综合实验做一个总结和归纳,只给出相应的topo图和需求说明和对应的文章的连接.有什么 ...
最新文章
- 全网刷爆!B站Up主何同学带火这只A股:最硬核桌子,苹果也做不到!
- 本地连接不见了怎么办?
- [转] Windows 下校验 Fedora 安装文件
- 第八十五期:一文彻底搞懂cookie和session
- node.js全局对象和全局变量
- 自适应响应式炫酷汽车配件类网站源码 html5高端大气汽车网站织梦模板
- LeetCode每日一题: 搜索插入位置(No.35)
- Apache Hudi 是Uber 大数据存储系统
- Android JVM和DVM的区别
- FFmpeg[15] - 从官网下载FFmpeg时的坑,你有遇到吗?
- java作为微信小程序的后端_微信小程序连接java后端
- 2021-06-29 连续非空子序列
- 复盘港股2021:新股上市热潮不减,市场重现“冰火两重天”
- 用FFmpeg将WAV(2通道)换成单声道(1通道)
- 云服务器Windows 2012 IIS添加站点绑定域名的方法?
- kafka维护工具使用指南
- php能做彩票走势图么,如何用EXCEL制作彩票走势图?
- 关于自定义View的drawText字体测量
- mysql全文索引中英文混合_MySQL 英文全文搜索和中文全文搜索 (FULLTEXT)
- 宠辱不惊,闲看庭前花开花落