HCNPsecurity網(wǎng)絡(luò)安全配置資料課程簡介Eth-trunk：手工負(fù)載分擔(dān)模式FW2:interface Eth-trunk 0portswitch (改為二層接口，默認(rèn)是三層口trunkportgi1/0/0trunkportgi1/0/1trunkportgi1/0/2portlink-type porttrunkallow-passvlanallfirewallzonetrustaddinterfaceEth-Trunk0 trust區(qū)域FW1：注意：圖形界面配置會死機！注意：需將接pc的gi1/0/6gi1/0/3trust性測試！和交換機eth-trunk對接：sw1：interfaceEth-Trunk1（默認(rèn)二層）trunkportgi0/0/5trunkportgi0/0/4trunkportgi0/0/3port link-typeport trunkallow-passvlanallFW1配置：interface Eth-trunk1portswitchtrunkportgi1/0/0trunkportgi1/0/1trunkportgi1/0/2portlink-type porttrunkallow-passvlanallfirewallzonetrustaddinterfaceEth-Trunk1 trust區(qū)域PC1訪問PC6調(diào)試命令：dis eth-trunk 0dis stp brief(sw1)當(dāng)然也可以將eth-trunk當(dāng)成三層口來配置ip地址。Eth-trunk靜態(tài)lacp模式：link controlprotocol注意：對于Eth-trunklacp32768，默認(rèn)開啟搶占，且搶占時間是30s）sw2：laclpriority100 修改lacpinterfaceEth-Trunk0（默認(rèn)二層）portlink-typetrunkporttrunkallow-passvlan2to4094modelacp-static（必須先指定模式，然后再加接口）maxactive-linknumber2 分擔(dān)trunkport gi0/0/1 eth-trunktrunkport gi0/0/2trunkport gi0/0/3interfaceGigabitEthernet0/0/1eth-trunk0lacppriority10（修改接口lacp優(yōu)先級默認(rèn)32768）#interfaceGigabitEthernet0/0/2eth-trunk0lacppriority20#interfaceGigabitEthernet0/0/3eth-trunk0lacppriority30sw3配置和sw2類似但可以不指定相關(guān)優(yōu)先級調(diào)試：dis stp briefPC互ping冗余性測試IP-link:鏈路健康檢查 ：主要檢查非直連障、以及系統(tǒng)服務(wù)故障多出口選路、服務(wù)器負(fù)載均衡等健康檢查可以使用的探測報文：icmp、arp、tcp、dns、http等報文ip-link命令行配置：ip-linkcheckenableip-linknamelink_to_聯(lián)通destinationinterfaceGigabitEthernet1/0/1modeicmpiproute-statictrackip-linklink_to_聯(lián)通鏈路健康檢查命令行配置：healthcheckenablehealthchecknamehealth_jiaoyudestinationinterfaceGigabitEthernet1/0/1protocolicmpinterfaceGigabitEthernet1/0/1undoshutdownipaddress48aliasuntrust_教育healthcheckhealth_jiaoyu動態(tài)路由：ripripsw1：rip1version2networknetworknetworkFW：ospf配置sw1：ospfarea0network55network55network55FW：BGP注意：不能使用gi0/0/0口傳輸業(yè)務(wù)流量，且FW2gi1/0/1口需要歸屬區(qū)域FW1:FW2：bgp100router-idpeeras-number100策略路由優(yōu)先程度：策略路由>明細(xì)路由>缺省路由明細(xì)路由近選路生成Unr（優(yōu)先級70)達A目標(biāo)，此時pk路由優(yōu)先級，優(yōu)先級數(shù)字越小越優(yōu)先。就近選路：基于運營商更新運營商地址庫（特殊情況：策略路由多出口智能選路）--->②（由）--->③全局智能選路（默認(rèn)路由）全局智能選路：缺省路由有兩個等價的下一跳智能選路進行路由。例如：做了ISP能選路（主備）訪問不屬于中國的運營商。智能選路補充如果管理員配置了鏈路健康檢查功NGFW將持續(xù)向被探測設(shè)備發(fā)送探測報文，監(jiān)控本端和目的網(wǎng)絡(luò)之間的鏈路是否正常。當(dāng)NGFW路健康置鏈路健康檢查功能，則默認(rèn)所有鏈路狀態(tài)正常。客戶端的業(yè)務(wù)請求報文到達NGFW后，NGFW根據(jù)流量命中的路由信息決定如何轉(zhuǎn)發(fā)報文。當(dāng)流量命中策略路由或缺省路由時，如果有多個出接口可以轉(zhuǎn)發(fā)流量，則NGFW需要判斷哪個是最佳出接口，即需要進行智能選路。在智能選路前，NGFW首先要查詢各出接口鏈路是否可用，故障鏈路不會參與智能選路。NGFW通過鏈路健康檢查功能反饋的結(jié)果判斷鏈路是否正常。載分擔(dān)，則NGFW會通過健康的鏈路向業(yè)務(wù)服務(wù)器發(fā)送鏈路質(zhì)量探測報文，獲取各鏈路的傳輸質(zhì)量信息。如果是其他智能選路方式，則不需要進行鏈路質(zhì)量探測。NGFW路質(zhì)量探測表中，當(dāng)后續(xù)有訪問同一業(yè)務(wù)服務(wù)器的流量到達NGFW時，NGFW路質(zhì)量探測表中的信息進行選路，無需重新進行探測。只有當(dāng)鏈路質(zhì)量表項老化后，NGFW行鏈路質(zhì)量探測。NGFW計算，得出選路結(jié)果。NGFW按照智能選路結(jié)果，使用相應(yīng)的出接口轉(zhuǎn)發(fā)業(yè)務(wù)請求報文。業(yè)務(wù)服務(wù)器向客戶端發(fā)送應(yīng)答報文。DNS透明代理來回路徑不一致 異步路由 非對稱路由cli：undofirewallsessionlink-statecheck調(diào)試：顯示丟包的統(tǒng)計信息disfirewallstatisticsystemdiscard清空信息：resetfirewallstatisticsystem多通道協(xié)議（多信道，多會話）大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）、FTP、netmeeting等協(xié)議使用約定的固定端口來初始化一個控制連接，再動態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測的，其中的某些應(yīng)用甚至可能要同時用到多個端口。單通道協(xié)議：http（www）多通道協(xié)議：FTP的協(xié)商報文（信息，ASPF）推算出來。cli：firewalldetectftpASPFserver-map表：cli：firewalldetectftpNAT原理NAT :network address ipv4:2^32=42.9私網(wǎng)地址：可以在局域網(wǎng)內(nèi)部使用例如：A10.x.x.xB-55C192.168.x.x公網(wǎng)地址：全球獨一無二，只有一個地方在使例如：百度地址 7私網(wǎng)地址+NAT====>ipv4地址枯竭解決tp-link NAT轉(zhuǎn)換功能。私網(wǎng)地址不能在公網(wǎng)（電信、聯(lián)通、移動）路由。公網(wǎng)地址是需要花錢租賃的。PC1：源端口2005-->4005： >PC2：源端口2006-->4006： >回包： >PAT:port 基于端口的地址翻easy-ip natNAT：適用于內(nèi)網(wǎng)用戶多達幾萬企業(yè)或者運營商。NO-PAT目的NAT目的NAT配置：acl3000ruleper ip destination 0Firewallzone trustdestination-nat 3000 address 將目標(biāo)地址轉(zhuǎn)換成NAT：當(dāng)外網(wǎng)租賃的公網(wǎng)地址（）和自己的公網(wǎng)ip網(wǎng)地址（）時會出現(xiàn)路由環(huán)路。此時可以配置基于null0SLB：serverload-balance雙向NAT：NATserverNAT轉(zhuǎn)換目標(biāo)域間雙向NAT轉(zhuǎn)換：②域內(nèi)雙向NAT ：內(nèi)網(wǎng)使用域名訪問服務(wù)器實驗拓?fù)洌鹤⒁猓悍?wù)器回包時不再查看nat策略，會直接找nat轉(zhuǎn)換session緩存，對應(yīng)著轉(zhuǎn)回去。即兩個nat策略僅僅在報文由PC1發(fā)往server3 去包時生效。會話session總共就一條?。?！策略①來自任何區(qū)域的流量訪問時都轉(zhuǎn)換成6.策略②：去包轉(zhuǎn)換源地址 trust_trust區(qū)域（回包不起作用，回包看會話）安全策略：服務(wù)器DNS配置：NATALG打開ASPF自動開啟ALGcli：firewalldetectftp關(guān)閉ASPF和ALG功能：undo firewallftp① ？：vrrp（虛擬iparp）cost值、路由協(xié)議收斂、禁用啟用vlan解決② 多個vrrp？：VGMP（vrrpmanagerprotocol）③ 安全策略配置和會話同步？：HRP（HuaweiRedundancyProtocol）雙機熱備組網(wǎng)圖：三層上下行接交換機主墻：備墻：注意1：默認(rèn)處于standby 狀態(tài)的設(shè)備不允許配置安全略和nat策略，只允許在主設(shè)備配置安全策略nat策略，且策略會自動同步到備設(shè)備上面。開啟命令：hrpstandbyconfigenable+B 表示配置已經(jīng)同步到備設(shè)備上面。注意2：hrp包括TCP/UDP的會話表、ServerMap表項、動態(tài)黑名單、NO-PAT表項、ARP表項以及相關(guān)安全策略配置。（路由配置時不同步的）注意3：主設(shè)備配置由trust_to_untrust 放行策略，才通信注意4：默認(rèn)開啟搶占，且搶占延遲60s調(diào)試命令：dishrp state1R1pingR22R1telnetR2FW有修改搶占延遲：hrppreemptdelay3（默認(rèn)60s）注意：如果遇到防火墻重啟后主備紊亂（模擬器bug）將防火墻vrrp熱備功能，從新建立vrrp注意2：要等待1分鐘時間。原理：在防火墻上面啟用多個vrrp組，配置多個虛擬地址，不同防火墻擔(dān)任不同vrrp組的主設(shè)而實現(xiàn)負(fù)載分擔(dān)。part1ospf FW5：路由器ospf配置：R3:ospf1router-idareanetwork55network55network55ospf選路：cost值介紹安全策略：part2FW1:安全策略：FW2的配置和FW1類似!!工作原理主備：HRP會聯(lián)動ospf使得備機對外發(fā)布o(jì)spfcost值為65500的路由。負(fù)載分擔(dān)：兩臺防火墻都會正常宣告ospfcost值，完全靠ospf路由協(xié)議實現(xiàn)負(fù)載分擔(dān)。負(fù)載分擔(dān)模式：（其他配置和主備一樣）FW1（FW5）:主備模式FW2（FW6）配置和FW1類似負(fù)載分擔(dān)模式：FW1:FW6:雙機熱備與BFD②監(jiān)控業(yè)務(wù)板假死③加快收斂路由器R1：intloo3ipadd24acl：acl 2000rule interfaceGigabitEthernet0/0/0traffic-filterinboundacl2000FW5:iproute-staticFW6:同樣配置環(huán)回接口和缺省路由。BFD配置：R1和FW5R1:bfdbfd1bindpeer-ipdiscriminatorlocal10discriminatorremote50commitFW5：BFD防火墻cli配置：hrpenablehrpinterfaceGigabitEthernet1/0/6remotehrptrackinterfaceGigabitEthernet1/0/0hrptrackinterfaceGigabitEthernet1/0/1hrptrackbfd-session50bfd1bindpeer-ipdiscriminatorlocal50discriminatorremote10commit安全策略放行bfd流量：udp 目的端口3784量雙機熱備與ip-link聯(lián)動FW5：底層配置和上小節(jié)一樣ip-link配置：命令行ip-link配置：hrpenablehrpinterfaceGigabitEthernet1/0/6remotehrptrackinterfaceGigabitEthernet1/0/0hrptrackinterfaceGigabitEthernet1/0/1hrptrackip-linkaaip-linkcheckenableip-linknameaadestinationmodeicmp31 R1：ospf1router-idareanetwork55network55network55R3:#ospf1router-idareanetwork55network55network55注意：該拓?fù)浣ㄗh使用負(fù)載分擔(dān)模式，因為在主備模式中FW6vlan5的接口處于禁用狀態(tài)，使得R2R4無法建立ospf鄰居，當(dāng)切換后，R2R4需要先建立ospf鄰居然后才可以傳遞路由，使得切換時間過長，丟包太多。而使用負(fù)載分擔(dān)模式，就可以節(jié)省R2R4的ospf鄰居建立時間。FW5:虛擬防火墻理論介紹以下是了解內(nèi)容：注意：老墻：VFW 所有配置都要帶上一個實例，包括上層業(yè)務(wù)都是基于vpn實例。新墻：Vsys使用虛擬系統(tǒng)代替vpn實例來履行簡化。以下知識需掌握：虛擬系統(tǒng)轉(zhuǎn)發(fā)：報文在入接口被打上虛擬系統(tǒng)系統(tǒng)標(biāo)記ID通過虛擬系統(tǒng)ID來查找其對應(yīng)的路由表、策略、或規(guī)則等來正確處理報文跨虛擬系統(tǒng)轉(zhuǎn)發(fā)：注意1：借助virtualif虛擬接口實現(xiàn)跨虛擬系統(tǒng)轉(zhuǎn)發(fā)，虛擬接口防火墻內(nèi)部自動創(chuàng)建注意2：不同虛擬系統(tǒng)數(shù)據(jù)互通必須經(jīng)過根系統(tǒng)中轉(zhuǎn)（類似vlan間路由）例如：虛擬系統(tǒng)和根系統(tǒng)互訪二三層虛擬化：防火墻虛擬化①：完全獨立（內(nèi)外網(wǎng)網(wǎng)段可以重復(fù)）纜也完全隔離。專用網(wǎng)絡(luò)和普通網(wǎng)絡(luò)部門用戶各自獨立管理自己防火墻，獨立配置安全策略。缺省資源類：資源類創(chuàng)建（由于模擬器bug，只能用命令行創(chuàng)建）resource-classr1創(chuàng)建資源類r1resource-item-limitpolicyreserved-number100保留可以配置100等和此類似，在此不再配置。vsysnamevfw11assigninterfaceGigabitEthernet1/0/0 分配接口（web下可以配置）assigninterfaceGigabitEthernet1/0/2assignresource-classr1 分配資源類vsysnamevfw22assigninterfaceGigabitEthernet1/0/1assigninterfaceGigabitEthernet1/0/3assignresource-classr1此時刷新web頁面：注意：創(chuàng)建虛擬系統(tǒng)，先確定再給虛擬系統(tǒng)添加接口，否則接口看不見。虛擬防火墻接口區(qū)域劃分：完成后可以使用圖形界面切換：命令行：switch vsys vfw1 （切換到firewallzonetrustaddinterfaceGigabitEthernet1/0/0firewallzoneuntrustaddinterfaceGigabitEthernet1/0/2創(chuàng)建虛擬防火墻管理用戶：（web界面有bug，系統(tǒng)創(chuàng)建管理員點擊后模擬器會卡死）在此使用命令行switch vsysaaamanager-useradmin@@vfw1 （xxx@@vfw1，部分老版本系統(tǒng)是一個@）passwordcipherAdmin@123service-typeweblevel15圖形界面創(chuàng)建：使用新賬戶登陸只能管理vfw1admin（所有虛fw）切換虛擬系統(tǒng)切換到vfw1里面增加：①trust到untrust策略 ②缺路由 ③nat使得專網(wǎng)pc可以訪問最終效果：切換到vfw2里面增加：①trust到untrust策略 ②缺路由 ③nat使得普網(wǎng)pc2可以訪問最終效果：防火墻虛擬化②：虛擬系統(tǒng)和根系統(tǒng)互訪要求：財政部人員接防火墻vfw1 研發(fā)部人員接防火墻vfw2 研發(fā)部和財政部需要實施隔離，各部門獨立管理自己防火墻。但共用一條訪問互聯(lián)網(wǎng)外網(wǎng)線路。且只允許政部訪問/24研發(fā)部只允許訪問/24.虛擬系統(tǒng)和根系統(tǒng)互訪原理：配置：步驟① 創(chuàng)建vfw1和vfw2并規(guī)劃接口和區(qū)域創(chuàng)建資源類并分配用到的命令行：resource-classr1resource-item-limitsessionreserved-number50maximum100vsysnamevfw11assigninterfaceGigabitEthernet1/0/0assignresource-classr1vsysnamevfw22assigninterfaceGigabitEthernet1/0/1assignresource-classr1步驟②配置根防火墻缺省路由和nat步驟③配置virtualif接口之間的路由轉(zhuǎn)發(fā)和安全策略（即虛擬系統(tǒng)互訪路由和策略）vfw1配置：缺省路由目的虛擬路由器是public不需要指定下一跳或者出接口，系統(tǒng)自動選擇vfw1配置:安全策略（按照要求只允許訪問8.8.8.x）vfw2配置：和上面類似public配置：注意1：vfw1和vfw2上不需要配置nat，nat轉(zhuǎn)換只需在public根墻上配置即可。注意2：模擬器bug，不用在public上配置回包路由也可以通信。真機需要配置回包路由。一定注意回包路由配置：配置完成后public的路由表：由路由表可以看出public缺少到達內(nèi)網(wǎng)/24和/24內(nèi)網(wǎng)路由。因此需要添加：命令行添加vfw2：（模擬器bug只顯示目的虛擬路由器ip route-static 24 vpn-instance vfw2至此配置完成！測試：防火墻基本拓?fù)浞阑饓就負(fù)?虛…成.zip70.83KB防火墻虛擬化③：虛擬系統(tǒng)之間互訪配置實（必須借助根墻）原理：防火墻基本拓?fù)?防火墻基本拓?fù)?虛…成.zip69.49KB要求：只允許財政部pc1訪問研發(fā)部pc2.注意：虛擬系統(tǒng)創(chuàng)建接口劃分延續(xù)上小節(jié)實驗。配置在此省略。路由層面：（也可以寫明細(xì)路由，在此使用上小結(jié)實驗缺省路由）vfw1：vfw2：新加策略如下vfw2：只允許pc1訪問pc2：public允許用戶訪問外網(wǎng)安全策略：測試：注意：根墻上不用配置untrust——>untrust策略，默認(rèn)就放行。調(diào)試：可以看到vfw1--vfw2session會話帶寬管理概述帶寬保證：保證網(wǎng)絡(luò)中關(guān)鍵業(yè)務(wù)所需的帶寬，當(dāng)線路繁忙時，確保此類業(yè)務(wù)不受影響。帶寬限制：限制網(wǎng)絡(luò)中非關(guān)鍵業(yè)務(wù)占用的帶寬，避免此類業(yè)務(wù)消耗大量帶寬資源，影響其它業(yè)務(wù)。連接數(shù)限制：限制業(yè)務(wù)的連接數(shù)，有利于降低該業(yè)務(wù)占用的帶寬，還可以節(jié)省設(shè)備的會話資源。注意：多條帶寬策略（平級，非父子）從上往下一次匹配，一旦匹配就不再繼續(xù)向下匹配（類似acl）?？傊?，在設(shè)備上部署帶寬管理，可以幫助網(wǎng)絡(luò)管理員合理分配帶寬資源，從而提升網(wǎng)絡(luò)運營質(zhì)量。限流方式：上下行帶寬 總帶寬整體限流、每IP、每用戶限流（真機有每用戶）：配的流量。每ipPC（或者用戶的流量進行單獨限制。引用方式：策略獨占 策略共享注意：一條帶寬通道可以被多條帶寬策略調(diào)用（引用）。策略獨占：PC1發(fā)往PC2的流量最低3M20MPC3發(fā)往PC4的流量最低3M最高20M 兩條略分別得到保障和限制。例如：策略A：15M 策略B：10M ok策略共享：PC1發(fā)往PC2+PC3發(fā)往PC4最高20M策略A：15M 策略B：10M 15+10>20需要丟棄文。流量（會有延遲）案例①背景：公司租賃某運營商100M帶寬。需求：①領(lǐng)導(dǎo)網(wǎng)段/24不做限速。②公司迅雷BT類的P2P下載最多占用20M帶寬③p2p類流量每個計算機下載最多不超過2M，且每個用戶鏈接數(shù)限制為300。④在中午12：00-14：00休息時間，所有用戶上網(wǎng)不進行任何限速。⑤針對網(wǎng)頁類視頻每個PC的上下行速率總量不超過1M.⑥ （外）。其他流量不做任何限制?。〗涌趲捪拗疲喊踩呗裕?任何員工任何時間針對游戲類流量全部禁止（領(lǐng)導(dǎo)除外）。案例②CLI配置舉例：上述配置對應(yīng)的命令行配置如下：[NGFW]interfaceGigabitEthernet1/0/1[NGFW-gigabitethernet1/0/1]ipaddress[NGFW-gigabitethernet1/0/1]bandwidthingress100000[NGFW-gigabitethernet1/0/1]bandwidthegress100000[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_p2p[NGFW-traffice-policy-profile-profile_p2p]bandwidthdownstreammaximum-bandwidth20000[NGFW]traffic-policy[NGFW-traffice-policy]rulenamepolicy_p2p[NGFW-traffice-policy-rule-policy_p2p]source-zonetrust[NGFW-traffice-policy-rule-policy_p2p]destination-zoneuntrust[NGFW-traffice-policy-rule-policy_p2p]applicationappBT[NGFW-traffice-policy-rule-policy_p2p]applicationappeDonkey/eMule[NGFW-traffice-policy-rule-policy_p2p]actionqosprofileprofile_p2p[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_manager[NGFW-traffice-policy-profile-profile_manager]bandwidthdownstreamguaranteed-bandwidth20000[NGFW-traffice-policy-profile-profile_manager]bandwidthdownstreammaximum-bandwidth30000[NGFW]traffic-policy[NGFW-traffic-policy]rulenamepolicy_manager[NGFW-traffic-policy-rule-policy_manager]source-zonetrust[NGFW-traffic-policy-rule-policy_manager]destination-zoneuntrust[NGFW-traffic-policy-rule-policy_manager]user/manager[NGFW-traffic-policy-rule-policy_manager]actionqosprofileprofile_manager[NGFW]traffic-policy[NGFW-traffice-policy]profileprofile_connection[NGFW-traffice-policy-profile-profile_connection]bandwidthtotalconnection-limitper-rule3000調(diào)試命令：監(jiān)控面板---流量報表dis traffic-policyalldis traffic-policystatisticxxvpn）vpn產(chǎn)生原因：① ipv4地址不夠用② 網(wǎng)絡(luò)不是那么安全③ 錢的問題vpn：virtualprivatenetwork虛擬專用網(wǎng)絡(luò)分類：兩種vpn站點到站點(sitetosite)：網(wǎng)關(guān)與網(wǎng)關(guān)(L2L、S2S、lantolan、sitetosite）IPsec、GRE、GREoveripsec、DSVPN、MPLSvpn（運營商用）遠(yuǎn)程撥號訪問(pointtosite):主機與網(wǎng)關(guān)SSLVPN、IPsec、PPTP、L2TP+IPsec原理：封裝兩層IP面”偽裝法！ipsecSSL兩種常用加密算法ipsecvpnIKE：Internet keyexchange 協(xié)議ISAKMP：InternetSecurityAssociationKeyManagementProtocolIKE為IPSec協(xié)商生成密鑰,供ipsec報文加解密和驗證使用。三個階段：①IKE密鑰協(xié)商階段（建立IKESA）②IPsec參數(shù)協(xié)商階段（建立IPsecSA）③加密傳輸數(shù)據(jù)（加密傳輸數(shù)據(jù)）vpn（續(xù)）調(diào)試命令：（后面配置時會再查看階段①disikesa resetikesa階段②disipsec sa reset ipsec sa階段③dis ipsec statistics 查看經(jīng)過ipsec解密的報文具體過程如下：當(dāng)一個報文從某接口外出時，如果此接口應(yīng)用了會進行安全策略的匹配。感興趣流量的觸發(fā)！如果找到匹配的安全策略，會查找相應(yīng)的安全聯(lián)盟。如果安全聯(lián)盟還沒有建立，則觸發(fā)IKE進行協(xié)商。IKE首先建立第一階段的安全聯(lián)盟，即IKESA。在第一階段安全聯(lián)盟的保護下協(xié)商第二階段的安全聯(lián)盟，即IPSecSA。使用IPSecSA保護通訊數(shù)據(jù)。ESP**AHESP**AH隧道模式**ESP+隧道AH+隧道傳輸模式ESP+傳輸AH+傳輸IKEv1：工作過程（了解）IKEv2工作工程：（了解）ipsec站點到站點配置（點到點）適用于支機構(gòu)少 分支少于7個前提：接口區(qū)域 公網(wǎng)地址可達 缺省路由 安策略放行所有總部：分支1：分支2：命令行配置：aclnumber3000rule5permitipsource55destination55aclnumber3001rule5permitipsource55destination55#ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256ikeproposal2encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256#ikepeerikre-shared-key123ike-proposal2local-idremote-addressikepeerikre-shared-key123ike-proposal1local-idremote-address#ipsecpolicyipsesakmpsecurityacl3000ike-peerikroposalprounnellocalapplied-interfacealiasvpn_fenzhi1ipsecpolicysecurityacl3001ike-peerikroposalprounnellocalapplied-interfacealiasvpn_fenzhi22isakmpinterfaceGigabitEthernet1/0/2undoshutdownipaddressipsecpolicyipsec1740523030安全策略：放行隧道協(xié)商的安全策略IKE和ESPESP：ip協(xié)議號50IKE ：UDP對象：總部：分支1：分支2：缺點：純ipsecvpn無法配置ospf。總部無法學(xué)習(xí)分支路由。只能使用缺省路由+感興趣流量。分支較多時，ipsecvpn配置麻煩。企業(yè)訪問互聯(lián)網(wǎng)源nat配置：總部分支都需要配置！先排除/16互訪的流量，剩下的流量才進行nat轉(zhuǎn)換。ipsec點到多點 使用圖形界面中的點到多點（總部-多分支）模板配置總部形成ipsec隧道后：總部配置：安全提議全部保持默認(rèn)??！總部反向路由注入生成的unr路由：總部隧道形成后：分支1配置：安全提議全部保持默認(rèn)??！分支2配置：測試結(jié)果：需由分支主動訪問總部分支1訪問總部和分支2分支2訪問總部和分支1：總部訪問分支：企業(yè)訪問互聯(lián)網(wǎng)源nat配置：總部分支都需要配置！先排除/16互訪的流量，剩下的流量才進行nat轉(zhuǎn)換。安全策略：ESP ip50IKE：UDP 目標(biāo)端口500 （如果有NAT穿越景還需再放行UDP4500）總部安全策略:分支1安全策略：分支2安全策略：和分支1完全相同防火墻防火墻-ipsecvpn點略77.54KB注意1：分支接口調(diào)用int gixxxipsec policyxxx auto-neg vpn注：模擬器bug，不支持auto-neg命令，因此需要分支主動發(fā)起流量才可以。如果認(rèn)證不成功，可以將防火墻保存重啟然后點擊診斷主動發(fā)起協(xié)商 （適用分支）注意2：由于模擬器bug不支持主動觸發(fā)（auto-neg），因此分支互訪時需要兩邊的分支分別訪問對方后才可以通信。例如：分支1--->分支2（1--->分支2的ipsecvpn隧道）2--->分支1（ok），部建立了分支ABipsec），然后再用另一個分支B訪問分支A即可。分支互通后，總部ipsec監(jiān)控：注意3：hub端安全策略放行untrust<-->untrust的流量（兩分支互訪流量）??！注意4：感興趣acl不允許配置成/16----/16.配置此感興趣流后隧道無法建立。要用感興趣流量將隧道進行區(qū)分。注意5：分支1訪問分支2：遇到問題。。。。分支1訪問分支2的流量需要經(jīng)過總部進行中轉(zhuǎn)，但是流量發(fā)到總部后源地址192.168.2.x---->192.168.3.x不滿足總部acl感興趣流量，因此訪問中斷解決方案：在總部acl里面增加2.x<——->3.x互訪的感興趣流量aclnumber3000rule10permitipsource55destination55rule15peripsou55desti55aclnumber3001rule5permitipsource55destination55rule10peripsou55desti55命令行配置:總部CLI：aclnumber3001rule5permitipsource55destination55rule10permitipsource55destination55rule15permitipsource55destination55rule20permitipsource55destination55#ipsecproposalprop52224236579espauthentication-algorithmespencryption-algorithmaes-256ipsecproposalprospauthentication-algorithmsha2-256espencryption-algorithmaes-256#ikeproposal1encryption-algorithmaes-256dhgroup2authentication-algorithmsha2-256authentication-methodpre-shareintegrity-algorithmhmac-sha2-256prfhmac-sha2-256#ikepeerike174133041305pre-shared-key123ike-proposal1local-id#ipsecpolicy-templatetpl1741330413051securityacl3001ike-peerike174133041305proposalproliasaarouteinjectdynamic#ipsecpolicyipsec174133041610000isakmptemplatetpl174133041305#interfaceGigabitEthernet1/0/2ipaddressipsecpolicyipsec1741330416點到多點ipsecvpn優(yōu)點：①方便擴展分支，增加分支其他機構(gòu)不需要增加ipsec相關(guān)配置②配置簡單，所有分支只需要指向總部即可③ 分支機構(gòu)可以不使用固定公網(wǎng)ip地址點到多點ipsecvpn缺點：①所有分支互訪流量必須繞行總部（當(dāng)然，多數(shù)情況下分支只需和總部通信）②流量必須先由分支觸發(fā)來建立ipsecvpn隧道③無法啟用ospf學(xué)習(xí)路由適用情況：多建議少于15（感興趣流量配置較多）。ipsecvpnNATAH封裝模式（不常用）： 校驗IP和端口，無支持NAT穿越。ESP封裝模式：僅僅校驗端口和data，支持NAT穿越。NAT-T技術(shù)在IKE是否有NAT的存在?？偨Y(jié)1：如果建立ipsecvpn的兩端，其中發(fā)起端（撥號端）位于nat后面（例如：二級運營商、出差人員位于旅館內(nèi)網(wǎng)、防火墻前面有其他安全設(shè)備、防火墻或者專業(yè)vpn設(shè)備放置于出口路由器后面且路由器配置了nat）時，由于數(shù)據(jù)在傳輸過程中ip地址和端口發(fā)生了轉(zhuǎn)換，導(dǎo)致ipsec數(shù)據(jù)完整性校驗失敗。此時可以采用nat穿越技術(shù)（一般默認(rèn)開啟，不用做額外配置）增加新的UDP端口包頭，使得ipsec數(shù)據(jù)校驗正常，進而使得vpn運行正常?？偨Y(jié)2：usg6000v配置ipsecvpn默認(rèn)開啟nat穿越?？偨Y(jié)3：建議開啟nat穿越，因為如果開始探測報文沒有檢測到nat場景，ipsec會自動取消增加UDP4500包頭。即ipsec會自動檢測是否有nat穿越的需要。NAT穿越配置：[FW-ike-peer-a]nat 圖形界面直接打鉤即可！注意：遇到這種場景下安全策略需要放行的報文ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號50（如果有NAT穿越場景需再放行UDPIKE：UDP 目標(biāo)端口500安全策略：R2:（出口nat設(shè)備）aclnumber2000rule5permitsource55interfaceGigabitEthernet0/0/0ipaddressnatoutbound2000#iproute-staticiproute-staticL2TPvpn 配置L2TP:Layer 2 Tunneling LAC:L2tp access concentratorLNS:L2tp network serverVT（Virtual-Template）接口虛模板（虛擬接口）目前多數(shù)網(wǎng)絡(luò)接口都是以太網(wǎng)（ethernet），Ethernet都是二層協(xié)議，它們之間不能直接互相承載。接口是用于配置虛擬訪問接口的模板。在L2TP立之后，LAC、LNS均需要創(chuàng)建虛擬訪問接口用于和對端（即用戶）交換數(shù)據(jù)。此時，系統(tǒng)將按照用戶的配置，選擇VT接口，根據(jù)該模板的配置參數(shù)（包括接口IP地址、PPP認(rèn)證方式等）動態(tài)地創(chuàng)建虛擬訪問接口。配置：lac自動撥號永久連接FW1：LAC端配置手動增加：圖形界面沒有firewallzoneuntrustaddinterfaceVirtual-Template0FW2:LNS端配置手動增加：圖形界面沒有firewallzoneuntrustaddinterfaceVirtual-Template0iproute-staticVirtual-Template0注意：由于模擬器bug無法看到實驗現(xiàn)象?。。▋H能看到隧道建立ok，去包ok，且需要1分鐘時間），真機配置ok。L2TP overipsecL2tpoveripsec:使用ipsec對l2tp報文進行加密L2TPoverIPSec是IPSec應(yīng)用中一種常見的擴展方式，它可以綜合兩種VPN的優(yōu)勢，通過L2TP實現(xiàn)用戶驗證和地址分配，并利用IPSec保障安全性。當(dāng)采用L2TPoverIPSec進行VPN通信時，首先進行IPSec協(xié)商，建立IKESA和IPSecSA；然后再使用L2TP進行用戶認(rèn)證，認(rèn)證通過后建立L2TP隧道。報文在隧道中傳輸時先進行L2TP封裝再進行IPSec封裝。在上個實驗基礎(chǔ)之上，繼續(xù)配置ipsecipsec配置：lac：保護---->的l2tp的流量安全提議保持默認(rèn)：LNS：安全提議保持默認(rèn)：注意：該環(huán)節(jié)模擬器bug只能配置，但無法看到效果！！L2tpvpn無LACLNSvpn接入：FW2LNS配置：其他地方不用配置其中：隧道密碼abc-123創(chuàng)建用戶aa密碼abc-123LAC端：前提是客戶端PC（LAC端）可以ping通LNS的公網(wǎng)ip地址。routeprint查看pc路由表可選：（號不成功）注意事項：由于做此實驗時將其他訪問互聯(lián)網(wǎng)的網(wǎng)關(guān)禁用掉。以免l2tpvpn協(xié)商數(shù)據(jù)走其他網(wǎng)卡轉(zhuǎn)發(fā)。安全策略：如果用到ipsec加密時需要放行如下報文ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號IKE：UDP 目標(biāo)端口500 （如果有NAT穿越場景還需再放行UDP4500）L2tp 報文 UDP1701GREoveripsecvpnGREFW1：FW2：IPsec配置：提示最好使用傳輸模式（報文小 不分片）FW1：FW2:FW2：FW1：優(yōu)點：既可以加密又可以支持組播ospf！！安全策略：ESP：沒有端口 直接封裝在IP上面 ip協(xié)議號IKE：UDP 目標(biāo)端口500 （如果有NAT穿越場景還需再放行UDP4500）GRE 報文 IP協(xié)議號47注意：模擬器bug，greoveripsec不支持ospf，真機可以支持?。?！DSVPN(DMVPN) （上）原理：DSVPN：DynamicSmartVPN 動態(tài)智能包含四個主要技術(shù)：①MGREMultipointGRE 多點隧道②NHRP：NextHopResolutionProtocol下一跳解析協(xié)議③IPsec：用于加密傳輸數(shù)據(jù)④ospf路由防火墻真機：DSVPN（需要購買DSVPN權(quán)）總部配置：分支配置：隧道ip：就是MGRE隧道口地址1.1.1.xDSVPN（下）注意：模擬器bug，ensp中防火墻無法配置DSVPN。但ensp中路由器可以支持。配置步驟：步驟①MGRE+NHRP步驟②ospf步驟③ipsec步驟①MGRE+NHRP建立點到多點隧道R1:interfaceTunnel0/0/1ipaddress配置隧道地址（可以私網(wǎng)）tunnel-protocolgrep2mp設(shè)置Tunnel接口的封裝模式為mGREsourceGigabitEthernet0/0/0指定隧道公網(wǎng)源地址ospfnetwork-typebroadcast 將網(wǎng)絡(luò)類型改為廣播型，使得分支1學(xué)習(xí)分支2的下一跳地址為而非HUB,默認(rèn)類型p2p。ospfdr-priority100 優(yōu)先級改為100HUBDR。nhrpentrymulticastdynamic配置分支動態(tài)生成nhrp（在此multicastMGRE環(huán)境，公網(wǎng)地址：MA地址multicastaccess用于多路訪問的ip地址）R2:interfaceTunnel0/0/1ipaddresstunnel-protocolgrep2mpsourceGigabitEthernet0/0/0ospfnetwork-typebroadcastospfdr-priority0 不參與DRnhrpregistrationno-unique允許分支新公網(wǎng)地址直接復(fù)蓋總部老的公網(wǎng)地址而不等其2小時超期,否則新的公網(wǎng)刷新nhrpentrymulticastdynamicnhrpentryregisternhrp表項即靜態(tài)注冊nhrpnhrp映射表項R3:interfaceTunnel0/0/1ipaddresstunnel-protocolgrep2mpsourceGigabitEthernet0/0/0ospfnetwork-typebroadcastospfdr-priority0nhrpregistrationno-uniquenhrpentrymulticastdynamicnhrpentryregister調(diào)試命令：dis nhrp peer all即查看nhrp步驟②ospf運行：R1:ospf1router-idareanetworknetwork55network55R2:ospf1router-idareanetworknetwork55R3:ospf1router-idareanetworknetwork55至此：已經(jīng)可以通信，只是數(shù)據(jù)傳輸沒有加密！總結(jié)1：nhrp表項類似arp表項，動態(tài)緩存默認(rèn)有超期時間2小時臨時當(dāng)然也可以手動建立（動態(tài)的原因是分支機構(gòu)的公網(wǎng)ip地址是動態(tài)非固定的。）類似交換機mac地址接口映射表總結(jié)2：mgre不指定隧道目標(biāo)地址，當(dāng)有數(shù)據(jù)需走隧道轉(zhuǎn)發(fā)時根據(jù)路由表下一跳進而查找nhrp表，來決定使用哪個公網(wǎng)地址作為隧道目標(biāo)地址（該解析過程稱為NHRP）總結(jié)3：DSVPN轉(zhuǎn)發(fā)報文要看兩張表：先看路由表再看NHRP映射表，通過路由表查找隧道口地址，通過NHRP表查找報文要封裝的目標(biāo)公網(wǎng)地址。每個分支包括總部會形成這兩張表。可以通過dis nhrp peer all即查看nhrp表。總結(jié)4：華為DSVPN只支持靜態(tài)路由和ospf步驟③ IPsec加密數(shù)據(jù)注意：只需配置ipsec安全框架：即用于ipsec隧道協(xié)商的加密算法認(rèn)證算法等。ipsec自動和mgrenhrp聯(lián)動只要發(fā)現(xiàn)經(jīng)過隧道轉(zhuǎn)發(fā)的報文就自動進行加密，不需要額外配置ipsec感興趣流量。所有路由器R1R2R3：ipsecproposal10ikeproposal10ikepeeraav1pre-shared-keycipherabc-123ike-proposal10ipsecprofilebbike-peeraaproposal10interfaceTunnel0/0/1ipsecprofilebb等待1分鐘即可通信注意：部分機器由于模擬器bug無法通信！真機ok！模擬器bug，shutdowntunnel口在啟動后就不通了，重啟后也不通。優(yōu)點：支持ospf，ip地址，適用于大型集團站點到站點vpn，省錢。缺點：穩(wěn)定性和速率需要依賴當(dāng)前互聯(lián)網(wǎng)，不可控！！DSVPN 補充①不加密 安全策略需要放行的報文：ospfNHRP業(yè)務(wù)GRE心跳報文全部封裝在GRE后面，因此只需要放行GRE報文即可GRE：IP協(xié)議47業(yè)務(wù)報文②加密 安全策略需要放行的報文：加密之后，gre nhrp全部被esp加ipsecike報文：UDP500端口ipsecESP報文：ip協(xié)議號 50業(yè)務(wù)報文SSL vpn（上）SSLvpn用戶使用：SSL(SecureSocketsLayer安全套接層),及其繼任者傳輸層安全（TransportLayerSecurity，TLS）是為網(wǎng)絡(luò)提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進行加密。ssl1990年由netscape（網(wǎng)景）公司開發(fā)。加密web通信安全性。1994年改版為SSLv2，1995年改版為SSLv3.1990年被IETF收錄并重新命名為TLS（transportlayersecuritTLSv1.0）.2008年8月TLSv1.2.瀏覽器使用方法：https://xxxxxxx.其中https是httpoverssl的意思。SSL是一個安全協(xié)議，為基于TCP（TransmissionControlProtocol）的應(yīng)用層協(xié)議提供安全連接，SSL介于TCP/IP協(xié)議棧第四層傳輸層和應(yīng)用層之間。SSL可以為HTTP（HypertextTransferProtocol）協(xié)議提供安全連接。SSL協(xié)議廣泛應(yīng)用于電子商務(wù)、網(wǎng)上銀行等領(lǐng)域，為網(wǎng)絡(luò)上數(shù)據(jù)的傳輸提供安全性保證。到目前為止，SSL協(xié)議有三個版本，其中SSL2.0和SSL3.0得到廣泛的應(yīng)用，IETF基于SSL3.0推出了TLS1.0協(xié)議(也被成為SSL3.1)。隨著SSL協(xié)議的不斷完善，包括微軟IE在內(nèi)的愈來愈多的瀏覽器支持SSL，SSL協(xié)議成為應(yīng)用最廣泛的安全協(xié)議之一。SSLVPN是以SSL/TLS協(xié)議為基礎(chǔ)，利用標(biāo)準(zhǔn)瀏覽器都內(nèi)置支持SSL/TLS的現(xiàn)實優(yōu)勢，對其應(yīng)用功能進行擴展的新型VPN。除了Web訪問、TCP/UDP應(yīng)用之外，SSLVPN還能夠?qū)P通信進行保護。SSLVPN通信基于標(biāo)準(zhǔn)TCP/UDP，不受NAT限制，能夠穿越防火墻，使用戶在任何地方都能夠通過SSLVPN虛擬網(wǎng)關(guān)訪問內(nèi)網(wǎng)資源，使遠(yuǎn)程安全接入更加靈活簡單，大大降低了企業(yè)部署維護VPN的費用。SSLVPN幫助用戶使用標(biāo)準(zhǔn)的瀏覽器，就可以訪問企業(yè)的內(nèi)部應(yīng)用。這使得移動辦公人員只要有一臺接入了Internet的電腦，就可以隨時隨地進行安全的遠(yuǎn)程訪問了。SSLVPN的安全性、便捷性和易用性為企業(yè)的移動辦公帶來了便利，使移動員工的工作效率最大化。要使用SSL協(xié)議進行VPN通信，通信雙方必須支持SSL。目前常見的應(yīng)用一般都支持SSL，如IE、Netscape瀏覽器、Outlook、Eudora郵件應(yīng)用等。了解內(nèi)容:SSL協(xié)議結(jié)構(gòu)可以分為兩層：底層為SSL記錄協(xié)議（SSLrecordprotocol）主要負(fù)責(zé)對上層的數(shù)據(jù)進行分塊、壓縮、計算并添加MAC、加密，最后把記錄塊傳輸給對方。上層為SSL握手協(xié)議（SSLhandshakeprotocol）、SSL密碼變化協(xié)議（SSLchangecipherspecprotocol）和SSL警告協(xié)議（SSLalertprotocol）SSL握手協(xié)議：客戶端和服務(wù)器通過握手協(xié)議建立一個會話。會話包含一組參數(shù)，主要有會話ID、對方的證書、加密算法列表（換算法、數(shù)據(jù)加密算法和MAC算法）、壓縮算法以及主密鑰。SSL會話可以被多個連接共享，以減少會話協(xié)商開銷。SSL密碼變化協(xié)議：客戶端和服務(wù)器端通過密碼變化協(xié)議通知接收方，隨后的報文都將使用新協(xié)商的加密算法列表和密鑰進行保護和傳輸。SSL警的嚴(yán)重級別和描述。vpn設(shè)備部署位置：位置①：位置②：在此類組網(wǎng)環(huán)境中，SVN可以直接掛接到企業(yè)網(wǎng)絡(luò)出入口防火墻上，也可以掛接到路由器或者交換機上外網(wǎng)和內(nèi)網(wǎng)的數(shù)據(jù)報文從一個網(wǎng)口進出，組網(wǎng)時只用到SVN的一個接口。在網(wǎng)絡(luò)規(guī)劃時，SVN的接口IP為內(nèi)網(wǎng)IP地址，此地址需要能與所有被訪問需求的服務(wù)器路由可達。防火墻上需配置natserver，將SVN的地址映射到防火墻的某一公網(wǎng)IP上。也可以只映射部分端口，如443。如果外網(wǎng)用戶有管理SVN的需求，還需要映射SSH、Telnet等端口。位置③：在此類組網(wǎng)環(huán)境中，SVPN使用兩個不同的網(wǎng)口連接外網(wǎng)與內(nèi)網(wǎng)，這種組網(wǎng)方式下，具有清晰的內(nèi)網(wǎng)、外網(wǎng)概念；無需做額外的配置，外網(wǎng)口對應(yīng)虛擬網(wǎng)關(guān)IP，內(nèi)網(wǎng)口配置內(nèi)網(wǎng)管理IP。虛擬網(wǎng)關(guān)IP不一定需要過NAT轉(zhuǎn)換，只要外網(wǎng)用戶能夠訪問此虛擬網(wǎng)關(guān)IP地址即可。內(nèi)外網(wǎng)接口沒有特定的物理接口，任何一個物理接口都可以作為內(nèi)網(wǎng)或外網(wǎng)接口。圖中路由器和交換機之間處于連接狀態(tài)。這是因為客戶網(wǎng)絡(luò)中可能有部分應(yīng)用不需要經(jīng)過SSL加密，而是直接通過防火墻訪問外網(wǎng)。這時就需要在交換機和路由器上配置策略路由，需要建立SSLVPN的流量就轉(zhuǎn)發(fā)到SVN上，而普通的應(yīng)用就直接通過防火墻訪問外網(wǎng)。以上應(yīng)用為SSLVPN的運營模式。通過把SSLVPN設(shè)備劃分為數(shù)個虛擬設(shè)備，每個虛擬設(shè)備有自己的管理員及訪問策略，依次來降低運營商的資金投入，做到設(shè)備使用率最大化。配置sslvpn：新建sslvpn網(wǎng)關(guān)配置：公網(wǎng)接口公網(wǎng)地址訪問資源：匯總ssl版本 加密方式 一般保持默認(rèn)即可常見功能①：web代理功能②：網(wǎng)絡(luò)擴展：這種功能比較常用開啟了所有功能一般來說，企業(yè)施工的時候只配置一個網(wǎng)絡(luò)代理功能即可常用原理類似ipsecvpn。用戶端會自動建立一個虛擬網(wǎng)卡，自動獲取ip地址（vpn設(shè)備分配）。網(wǎng)絡(luò)擴展功能包含了web功能③：文件共享功能④：端口轉(zhuǎn)發(fā)終端安全檢查：一般不做，有時做了反而給自己找麻煩緩存清理角色授權(quán)：創(chuàng)建可以登錄的vpn賬號注意1：安全策略：沒有使用網(wǎng)絡(luò)擴展功能 層vpn①放行untrust---->local ssl 流量https（口如果修改，需另建）tcp443端口②放行l(wèi)ocal>trust（dmz）流量對于web代理和文件共享、端口轉(zhuǎn)發(fā)功能需要放行l(wèi)ocal---->trust（dmz）流量ssl的https流量到達防火墻后，防火墻會將此流量轉(zhuǎn)換成http或者smb流量。此時：建議放行l(wèi)ocal---->any三層vpn：注意2：如果使能了網(wǎng)絡(luò)擴展功能（工程中多數(shù)都會啟用），安全策略需要放行untrust--->trust（dmz）相關(guān)流量。該特性類似vpn。且放行untrust---->localssl流量https（端口如果修改，需另建）tcp443DOS攻擊：TCPSYNUDPflood攻擊演示DDoS是DistributedDenialofService簡稱，即分布式拒絕服務(wù)，造成DDoS攻擊行為被稱為DDoS攻擊，其目的是使計算機或網(wǎng)絡(luò)無法提供正常的服務(wù)。DDoS攻擊是流量型攻擊的一種典型方式，可以稱為流量型攻擊的另一種說法。源固定。SYN flood攻擊進行：sudo hping3 --flood -S --rand-source -p 攻擊頻率：每秒10萬報文。攻擊之后：DOS 攻擊 之UDPflood攻擊 hping3攻擊命令：hping3 --rand-source-p8000--flood DOS攻擊：ICMPHTTPflood攻擊演DOS 之icmp flood 攻擊 hping3 攻擊攻擊命令1：hping3 --icmp 攻擊命令2：hping3 --rand-source --icmp56--flood攻擊命令3：hping3 --rand-source --icmp65500--floodWeb壓力測試 CC攻擊 DDOS攻擊的種。（CC攻擊：ChallengeCollapsar挑戰(zhàn)洞 攻擊。模擬多用戶多線程請求較為耗CPU內(nèi)存的URL。）ab -n 10000000 -c 1000http://xxxxxx攻擊防范AntiDDOS引流方式有兩種：靜態(tài)引流：核心設(shè)備上通過配置靜態(tài)路由或者策略路由方式將流量引到清洗設(shè)備上；動態(tài)引流：通過BGP實現(xiàn)動態(tài)引流。清洗中心通過與核心設(shè)備建立BGP鄰居，通告一條到目的地址的主機路由，將流量“騙”過來，清洗后再回注回去。這條主機路由是管理中心動態(tài)下發(fā)的一條靜態(tài)路由，并且已經(jīng)引入了BGP?；刈⒎绞接腥缦聨追N：策略路由回注：通過策略路由將清洗后流量回注；VPNGREVPN或者MPLSVPN方式回注；二層回注：如果上下行在一個網(wǎng)段，通過子接口或Vlanif接口方式回注。DDOS 通用攻擊防范技術(shù)三元組：服務(wù)器地址 協(xié)議類型 端口號攻擊防范-各類報文泛洪攻擊防御TCPFlood 攻擊和防范注意：對于極高速率的變源變端口SYN報文攻擊，請同時開啟首包檢測功能，以提高Anti-DDoS設(shè)備處理性能。注意：有些服務(wù)，例如游戲類服務(wù)，是先通過TCP協(xié)議對用戶進行認(rèn)證，認(rèn)證通過后使用UDP協(xié)議傳輸業(yè)務(wù)數(shù)據(jù)，此時可以通過驗證UDP關(guān)聯(lián)的TCP類服務(wù)來達到防御UDPFlood攻擊的目的。單包攻擊防范技術(shù)注意：掃描窺探類攻擊防御比較消耗防火墻資源，慎重開啟?；魏吞厥鈭笪墓舴烙苌傧姆阑饓π阅?，可以開啟。smurf攻擊：注：目前多數(shù)操作系統(tǒng)以及不響應(yīng)子網(wǎng)廣播icmp報文，因此該攻擊對多數(shù)系統(tǒng)無效。land攻擊：kali攻擊指令：hping-S-a42-p42fraggle攻擊：ipfragment攻擊：二層攻擊防范技術(shù)防火墻上面開啟：dhcpsnooing:防止dhcp冒充dhcpsnoopingenablevlan 10dhcp snooping enable GigabitEthernet1/0/0dhcp snooping enable GigabitEthernet1/0/2dhcp snooping trusted GigabitEthernet1/0/2交換機：dhcpenabledhcpsnoopingvlan 10dhcpsnooping enableIPSG DAI：IP和MACarp防火墻：vlan10dhcp snooping check arp enable GigabitEthernet1/0/0dhcp snooping check ip enable GigabitEthernet1/0/0交換機： (檢查表項依賴dhcpsnooping的表intgi0/0/xarpanti-attackcheckuser-bindenableipsourcecheckuser-bindenable端口安全：（交換機）防止偽造mac攻擊 防止dhcp耗交換機：interfaceGigabitEthernet0/0/3port-securityenableport-securitymax-mac-num10port-securitymac-addresssticky或者int gi0/0/3(基于dhcpsnooping表格）dhcpsnoopingmax-user-number10dhcpsnoopingcheckdhcp-chaddr單播、組播、廣播限速：防止DOS攻擊 flood等交換機：int gi0/0/3unicast-suppressionpackets1000multicast-suppressionpackets1000broadcast-suppressionpackets1000參考手冊：安全針對各種攻擊防范技術(shù)手冊arpdhcpmac等等攻擊防范好書19冊?。》床《灸壳叭A為防火墻：反病毒技術(shù)：僅支持ftphttppop3imapsmbnfs即未加密的文件共享、網(wǎng)頁瀏覽、郵件傳輸類文件。支持的文件類型：execomdll等可執(zhí)行文件。缺點：支持的文件類型太少，尤其是不支持https，因此有點雞肋??！由于防火墻無法將文件緩存下來再對其病毒檢查，因此檢查效果較弱。建議：防火墻反病毒功能只是作為反病毒的輔助工具（使用時更新病毒庫到最新版），建議內(nèi)網(wǎng)用戶安裝安全軟件（360衛(wèi)士、電腦管家等）。目前多數(shù)知名網(wǎng)站不攜帶病毒，且多數(shù)瀏覽器和操作系統(tǒng)都具備簡單的反病毒檢查功能。注意：在會話發(fā)起的安全策略方向調(diào)用。啟用時務(wù)必先提交生效然后再保存。IPS簽名過濾器：將多個IPS簽名規(guī)則規(guī)則放在一個過濾器中簽名過濾器動作設(shè)置：①采用簽名的缺省動作例外簽名：針對特定簽名不采用默認(rèn)的簽名動作對部分簽名自定義其簽名動作簽名動作優(yōu)先級：例外簽名動作>過濾器簽名動作>缺省簽名動作調(diào)用IPS：在會話發(fā)起的安全策略方向調(diào)用IPS不用管攻擊方向 例如：想保護內(nèi)網(wǎng)PC訪問互網(wǎng)免受攻擊。只需在trust--->untrust方向調(diào)用ips。即安全策略的方向是會話發(fā)起的方向，和攻擊流量的方向無關(guān)。URL關(guān)鍵字過濾：搜索上傳 郵件,但是不支持https，雞肋！文件類型過濾：不支持https 有點雞肋應(yīng)用行為控制：禁止發(fā)帖 禁止上傳 等等 但不支持httpspanabit：三塊網(wǎng)卡系統(tǒng)默認(rèn)用戶名：root rootweb管理界面：admin https://x.x.x.x②制定規(guī)則③調(diào)用（時間）國家信息安全等級保護測評標(biāo)準(zhǔn)（2014年2月27日中央網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組(政府工作報告）。2018年3月，改為中央網(wǎng)絡(luò)安全和信息化委員會。網(wǎng)址：/習(xí)主席說：沒有網(wǎng)絡(luò)安全就沒有國家安全非涉密標(biāo)準(zhǔn)：等級保護2017.6.1實施<<中華人民共和國網(wǎng)絡(luò)安全法網(wǎng)絡(luò)負(fù)責(zé)人處罰：5K 5萬公司處罰：1萬-10萬訪問日志：大于6個月第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；（五）法律、行政法規(guī)規(guī)定的其他義務(wù)。第二十五條網(wǎng)絡(luò)運營者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者不履行本法第三十三條、第三十四條、第三十六條、第三十八條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員處一萬元以上十萬元以下罰款第五十九條網(wǎng)絡(luò)運營者不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款。第六十二條違反本法第二十六條規(guī)定，開展網(wǎng)絡(luò)安全認(rèn)證、檢測、風(fēng)險評估等活動，或者向社會發(fā)布系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等網(wǎng)絡(luò)安全信息的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者情節(jié)嚴(yán)重的，處一萬元以上十萬元以下罰款，并可以由有關(guān)主管部門責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五千元以上五萬元以下罰款。信息安全標(biāo)準(zhǔn)體系：①ISO27001（27002）三分技術(shù)七分管理、人、離職、國際 跨國集團外企建議② 等保測評 ：（開始：電子政務(wù)） 定級 22239（22240）五分技術(shù)五分管理、技術(shù)、測試 中國 國企 、被強制行業(yè)：能源 金融 煙草通訊 電力 政府 醫(yī)療流程：定級、備案、整改、測評、檢查五個級別：五個方向：物理、網(wǎng)絡(luò)、主機、應(yīng)用 、數(shù)據(jù)物理安全：門禁卡、防火防盜、雙層門、空調(diào)網(wǎng)絡(luò)安全：主機安全：應(yīng)用安全：數(shù)據(jù)安全：安全產(chǎn)品過渡：老三樣糖葫蘆-----UTM----下一代防火墻（功能全開依舊不卡）解決方案：等保要求：網(wǎng)絡(luò)安全：主路徑安全過濾、業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進行路由控制并建立安全的訪問路徑，內(nèi)外網(wǎng)邊界防護、服務(wù)器區(qū)入侵防御、同時滿足業(yè)務(wù)穩(wěn)定和高性能需求。解決：（核心交換機ACL、所有互訪流量繞行防火墻然后配置安全策略、在核心交換機上面插安全板卡、核心交換機采用虛擬化（堆疊）、負(fù)載均衡服務(wù)器虛擬化軟bypass口）等保要求：主機安全：終端防泄密設(shè)備資源管理訪問控制重點數(shù)據(jù)庫審計。解決：（桌管桌審、隔離卡、加密狗（禁U口拔光驅(qū)）、桌面云、應(yīng)用虛擬化、堡壘機、ACL安全策略、水印防拍照）等保要求：應(yīng)用安全：準(zhǔn)入認(rèn)證安全域劃分入網(wǎng)權(quán)限劃分解決：（web認(rèn)證、802.1x認(rèn)證、下一代防火墻定位到個人（綁定：用戶名密碼接入交換機接入交換機端口硬盤系列號用戶ip用戶mac，限制一個人一臺電腦不能亂插亂用誰的電腦誰負(fù)責(zé)以一個用戶對應(yīng)一個電腦、ACL安全策略)等保要求：數(shù)據(jù)安全：雙機熱備容災(zāi)備份（異地）遠(yuǎn)程辦公加密解決：（存儲冗余冗余盤raid定期快照ipsecvpn）可視化運維！！641-某生產(chǎn)制造型企業(yè)配置：ospf1areanetwork55networknetwork電信路由器：ospf1areanetworknetwork55networksw1：內(nèi)網(wǎng)核心交換機vlanbatch2030800interfaceVlanif20ipaddress#interfaceVlanif30ipaddress#interfaceVlanif800ipaddressinterfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan20#interfaceGigabitEthernet0/0/2portlink-typeaccesspo