Professional Documents
Culture Documents
HCIE-Security
安全网络工程师
实验指导手册
版本:2.0
华为技术有限公司
1
版权所有 © 华为技术有限公司 2019。 保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传
播。
商标声明
和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束,本文档中描述的全部或部分产品、服务
或特性可能不在您的购买或使用范围之内。除非合同另有约定,华为公司对本文档内容不做任何明示或暗示
的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。除非另有约定,本文档仅作为使用指导,本
文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。
华为技术有限公司
地址: 深圳市龙岗区坂田华为总部办公楼 邮编:518129
网址: http://e.huawei.com
华为专有和保密信息
版权所有 © 华为技术有限公司
1
华为认证体系介绍
华为认证是华为公司基于“平台+生态”战略,围绕“云-管-端”协同的新ICT技术架
构,打造的ICT技术架构认证、平台与服务认证、行业ICT认证三类认证,是业界唯一覆盖
ICT(Information and Communications Technology 信息通信技术)全技术领域的认证
体系。
根据ICT从业者的学习和进阶需求,华为认证分为工程师级别、高级工程师级别和专家
级别三个认证等级。华为认证覆盖ICT全领域,符合ICT融合的技术趋势,致力于提供领先的
人才培养体系和认证标准,培养数字化时代新型ICT人才,构建良性ICT人才生态。
HCIE-Security(Huawei Certified ICT Expert-Security,华为认证网络通信专家网络
安全方向)主要面向华为公司办事处、代表处一线工程师,以及其他希望学习华为安全产品
技术人士。HCIE-Security认证在内容上涵盖华为网络安全基础知识、协议及组网、华为网
络安全产品特性及安全配置、网络安全高级技术及技术配置介绍等内容。
华为认证协助您打开行业之窗,开启改变之门,屹立在网络安全世界的潮头浪尖!
页 1
2
页 2
3
前 言
简介
本书为 HCIE-Security 认证培训教程,适用于准备参加 HCIE-Security 考试的学员或者希望
了解安全基础知识、防火墙协议及安全组网部署、华为安全产品特性及安全配置、安全高级技
术、故障排除等相关安全技术的读者。
内容描述
本实验指导书书共包含 9 个实验,从设备基本操作配置开始,逐一介绍了安全组网中的设备
部署,安全技术应用配置与实现。
实验一为内容安全过滤实验,通过基本的操作与配置,帮助读者了解防火墙的内
容安全的使用场景,以及其包含的内容过滤,URL 过滤,应用行为控制的基本配
置。
实验二为 Web 安全配置,通过模拟 SQL 注入,帮助读者掌握基本 WAF 设备部
署与配置。
实验三介绍了防火墙的反病毒功能,重点讲解了反病毒配置文件的使用,通过本
章的实验,使读者掌握反病毒的工作原理与配置。
页 3
4
读者知识背景
本课程为华为认证基础课程,为了更好地掌握本书内容,阅读本书的读者应首先具备以下基本
条件:
具有基本的网络安全知识背景,同时熟悉华为交换设备,了解基本数通知识。
本书常用图标
实验环境说明
组网说明
本实验环境面向准备 HCIE-Security 考试的网络安全工程师。每套实验环境包括交换机 4
台、路由器 5 台、防火墙 3 台、WAF 1 台、AntiDDoS 1 台、FireHunter 1 台、服务器一
台。服务器用于安装虚拟机,AITC、Agile Controller 以及实验中的服务器与 PC 等都安装于
服务器中。每套实验环境适用于 1~6 名学员同时上机操作。
设备介绍
为了满足 HCIE-Security 实验需要,建议每套实验环境采用以下配置:
设备名称、型号与版本的对应关系如下:
页 4
5
R1 AR2240C V200R009C00SPC500
R2 AR2240C V200R009C00SPC500
R3 AR2240C V200R009C00SPC500
R4 AR2240C V200R009C00SPC500
页 5
6
实验拓扑
清空防火墙配置
实验时,为避免残余配置对实验的影响,要求学生在实验完成后,关闭设备之前清空设备保存
的配置信息;同时,实验开始时,确认设备从空配置启动,否则执行配置清空,并重启设备。
登陆路由器需要输入密码,本实验配置的登陆密码是 Admin@123。
Login authentication
Password:Admin@123
<USG6300>reset saved-configuration
This will delete the configuration in the flash memory.
The device configurations will be erased to reconfigure.
Are you sure? (y/n)[n]:y
Clear the configuration in the device successfully.
重启控制器的命令是:
<USG6300>reboot
Info: The system is comparing the configuration, please wait.
Warning: All the configuration will be saved to the next startup configuration.
Continue ? [y/n]:n
System will reboot! Continue ? [y/n]:y
Info: system is rebooting ,please wait...
页 6
7
目录
前 言 ......................................................................................................................... 3
简介............................................................................................................................................................................................. 3
内容描述 .................................................................................................................................................................................... 3
读者知识背景 ............................................................................................................................................................................ 4
本书常用图标 ............................................................................................................................................................................ 4
实验环境说明 ............................................................................................................................................................................ 4
1 内容安全过滤实验 .................................................................................................. 12
1.1 实验介绍 .......................................................................................................................................................................... 12
1.1.1 关于本实验................................................................................................................................................................... 12
2.1.1 关于本实验................................................................................................................................................................... 43
页 7
8
3 病毒防范技术实验 .................................................................................................. 57
3.1 实验介绍 .......................................................................................................................................................................... 57
3.1.1 关于本实验................................................................................................................................................................... 57
3.4.1 R1 的配置...................................................................................................................................................................... 65
4 网络入侵与防御 ...................................................................................................... 73
4.1 实验介绍 .......................................................................................................................................................................... 73
4.1.1 关于本实验................................................................................................................................................................... 73
页 8
9
4.4.1 R1 的配置...................................................................................................................................................................... 81
5.1.1 关于本实验................................................................................................................................................................... 92
页 9
10
页 10
11
页 11
12
1 内容安全过滤实验
1.1 实验介绍
1.1.1 关于本实验
某公司为保护内网安全,在网络中部署了防火墙,用于控制不同区域之间的访问流量。为了保
证企业业务的稳定运行,要求在防火墙上部署主备方式的双机热备。
1.1.2 实验目的
掌握内容安全的应用场景
掌握内容安全的配置方法
1.1.3 实验组网介绍
页 12
13
图1-1 内容安全过滤实验拓扑图
1.1.4 实验规划
某公司网络如图所示,分为服务器区和办公区。办公区域主要是公司的员工场所,服务器区的
服务器分为业务服务器和管理服务器(本实验只涉及对部分业务服务器的防护):
为保证公司内网安全,需求如下:
为了保证员工的工作效率,禁止员工在工作时间(工作日的 09:00:00~17:00:00)通过
Web 服务器访问论坛。
实验 IP 地址规划
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
IP地址:10.1.5.21/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.21/24
FW1
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
FW2
安全区域:trust
GE1/0/1
IP地址:10.1.6.22/24
页 13
14
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
成员端口:GE0/0/1与GE0/0/2
Eth-trunk1
R1 IP地址:10.1.9.11/24
Eth1/0/1 10.1.40.11/24
Eth1/0/0 10.1.6.14/24
R4
Eth1/0/1 10.1.3.14/24
GE0/0/9 10.1.3.3/24
SW3
GE1/0/10 10.1.2.3/24
PC1 / 10.1.2.101/32
FTP服务器 / 10.1.5.108/32
Mail服务器 / 10.1.5.109/32
Web服务器 / 10.1.5.110/32
1.2 实验任务配置
1.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的路由协议不需要配置,学员只需要在防火墙上进行操作。
1.2.2 配置思路
1. 公司网络中根据规划配置安全区域,运行 OSPF 协议学习全网路由,所有设备都在骨干区
域。
页 14
15
3. 配置内容安全,控制员工访问服务器的流量。
1.2.3 配置步骤
步骤 1 配置安全区域
使用防火墙的管理地址登录防火墙,配置安全区域,并根据规划将接口加入安全区域。
页 15
16
# 配置完成后,选择“网络>接口”,检查配置信息如下。
页 16
17
页 17
18
# 配置完成后,选择“网络>接口”,检查配置信息如下。
步骤 2 配置路由协议
页 18
19
页 19
20
页 20
21
步骤 3 配置双机热备
# 在 FW1 上选择“系统>高可靠性>双机热备”。点击“配置”,设置双机热备参数,如下
图。
页 21
22
# 在 FW2 上选择“系统>高可靠性>双机热备”。点击“配置”,设置双机热备参数,如下
图。
页 22
23
步骤 4 配置内容安全
页 23
24
# 配置完成后,检查如下。
# 在 FW1 上选择“对象>安全配置文件>内容过滤”。新建内容过滤配置文件,如下图。
页 24
25
# 配置完成后,点击“提交”进行编译。
页 25
26
# 在 FW1 上选择“对象>安全配置文件>应用行为控制”。新建应用行文控制配置文件,FTP
行为控制如下图,HTTP 行为控制与 IM 行为控制为禁止。
页 26
27
页 27
28
# 配置完成后,点击“提交”进行编译。
页 28
29
# 在 FW1 上选择“对象>时间段”。在“时间段列表中”单击新建,配置工作时间为
09:00:00~17:00:00,如下图。
页 29
30
页 30
31
# 配置完成后,点击“提交”进行编译。
页 31
32
1.3 结果验证
1.3.1 测试内容过滤配置
使用 PC1 模拟办公区员工,访问服务器区资源。
点击“发送”后,弹出提示信息,表明邮件被拦截,如下图。
页 32
33
# 在防火墙上查看“监控>日志>业务日志”,发现内容过滤日志,表明防火墙丢弃了邮件信
息。
1.3.2 测试应用行为控制配置
# 登录 PC1,打开任意文件夹,在搜索栏输入下图地址,连接 FTP 服务器。
页 33
34
# 在防火墙上查看“监控>日志>业务日志”,应用行为控制日志表明防火墙丢弃了上传 FTP
的文件。
1.3.3 测试 URL 过滤
# 在非工作时间,登录 FW1,查看配置的 URL 过滤安全策略,信息如下图,表明非工作时间
策略不生效,员工可以访问论坛。
1.4 配置参考
页 34
35
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 10.1.5.21 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.5.254 active
vrrp virtual-mac enable
link-group 1
service-manage ping permit
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 10.1.6.21 255.255.255.0
link-group 1
service-manage ping permit
#
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.1.9.21 255.255.255.0
link-group 1
service-manage ping permit
#
interface GigabitEthernet1/0/5
undo shutdown
ip address 10.1.8.21 255.255.255.0
link-group 1
service-manage ping permit
#
firewall zone trust
set priority 85
add interface GigabitEthernet1/0/1
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/0
#
firewall zone name isp1 id 4
set priority 15
add interface GigabitEthernet1/0/3
#
页 35
36
页 36
37
页 37
38
页 38
39
页 39
40
#
ospf 1 router-id 22.22.22.22
area 0.0.0.0
network 10.1.5.0 0.0.0.255
network 10.1.6.0 0.0.0.255
network 10.1.9.0 0.0.0.255
#
profile type url-filter name URL_filter
category pre-defined subcategory-id 101 action block
category pre-defined subcategory-id 108 action block
category pre-defined subcategory-id 251 action block
category pre-defined subcategory-id 177 action block
category pre-defined subcategory-id 109 action block
category pre-defined subcategory-id 115 action block
category pre-defined subcategory-id 180 action block
category pre-defined subcategory-id 181 action block
category pre-defined subcategory-id 122 action block
category pre-defined subcategory-id 182 action block
category pre-defined subcategory-id 183 action block
category pre-defined subcategory-id 184 action block
category pre-defined subcategory-id 126 action block
category pre-defined subcategory-id 190 action block
category pre-defined subcategory-id 135 action block
category pre-defined subcategory-id 143 action block
category pre-defined subcategory-id 240 action block
category pre-defined subcategory-id 146 action block
category pre-defined subcategory-id 147 action block
category pre-defined subcategory-id 149 action block
category pre-defined subcategory-id 152 action block
category pre-defined subcategory-id 238 action block
category pre-defined subcategory-id 155 action block
category pre-defined subcategory-id 224 action block
category pre-defined subcategory-id 225 action block
category pre-defined subcategory-id 156 action block
category pre-defined subcategory-id 157 action block
category pre-defined subcategory-id 158 action block
category pre-defined subcategory-id 231 action block
category pre-defined subcategory-id 232 action block
category pre-defined subcategory-id 159 action block
category pre-defined subcategory-id 254 action block
category pre-defined subcategory-id 160 action block
category pre-defined subcategory-id 176 action block
页 40
41
页 41
42
页 42
43
2 Web 安全防范实验
2.1 实验介绍
2.1.1 关于本实验
某公司在网络边界处部署了防火墙作为安全网关,内网 DMZ 区域部署 Web 服务器对外提供
Web 服务。为保护 Web 服务器安全,在 Web 服务器前端部署 WAF 设备。
2.1.2 实验目的
掌握 WAF 的应用场景
掌握 WAF 的配置方法
2.1.3 实验组网介绍
2.1.4 实验规划
公司网络中部署了一台 Web 服务器,对外提供 Web 服务,所以需要在 FW3 上配置 NAT
Server 进行地址映射。
页 43
44
实验设备信息
设备 端口 安全区域/IP地址
安全区域:untrust
GE1/0/0
IP地址:10.1.70.23/24
FW3
安全区域:dmz
GE1/0/1
IP地址:10.1.22.23/24
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
PC2 / 10.1.32.102/32
Web服务器 / 10.1.22.104/32
2.2 实验任务配置
2.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器上的路由协议不需要配置,学员只需要在防火墙上进行操作。
2.2.2 配置思路
1. 配置安全域和路由,在 FW3 上将相应接口加入安全域,并配置去往 Internet 的默认路
由。
2.2.3 配置步骤
步骤 1 配置安全域和路由
页 44
45
# 在 FW3 上选择“网络>接口>安全区域”,点击相应安全区域的编辑按钮,将接口接入安全
区域,如下图。
# 配置完成后,选择“网络>接口”,检查配置信息如下。
# 在 FW3 上选择“网络>路由>静态路由”,在静态路由列表中,配置默认路由,如下图。
页 45
46
步骤 2 配置 NAT Server
# 在 FW3 上选择“策略>安全策略>安全策略”。在安全策略列表中点击“新建安全策略”
,
设置参数,如下图。
页 46
47
步骤 3 配置 WAF
# 配置完成后,修改预设规则,选中配置的“Web Server”规则,在“注入攻击”中,启用
代码注入和命令行注入,如下图。
页 47
48
# 启用后,如下图,并“应用更改”。
页 48
49
页 49
50
# 将规则引擎改为“启用”后,点击“保存更改”,如下图。
页 50
51
# 配置保护站点信息如下图,调用上述步骤中配置的策略规则,其他参数保持不变,最后点
击“保存”。
页 51
52
# 配置完成后,需要再次点击“应用更改”,如下图。
页 52
53
2.3 结果验证
2.3.1 测试 WAF 功能
登录 PC2,模拟攻击者访问 Web 服务器。
页 53
54
# 上图表明,访问被阻断。
# 点击日志记录,查看具体信息如下。
页 54
55
2.4 配置参考
页 55
56
set priority 50
add interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0.0.0.0 10.1.70.2
#
nat server Web_Server zone untrust global 10.1.70.104 inside 10.1.22.104 no-
reverse unr-route
#
security-policy
rule name "Outbound_to_Web Server"
source-zone untrust
destination-zone dmz
destination-address 10.1.22.104 mask 255.255.255.255
action permit
#
return
页 56
57
3 病毒防范技术实验
3.1 实验介绍
3.1.1 关于本实验
某公司在网络边界处部署了防火墙作为安全网关,公司内部网络规划了办公区域和服务器区
域。公司的服务器区域部署了 Mail 服务器并对 Internet 客户提供 Mail 服务。为防御来自
Internet 的病毒或内网办公区域的病毒感染服务器,在防火墙上部署反病毒功能进行防范。
3.1.2 实验目的
了解反病毒功能的应用场景
掌握反病毒功能的配置方法
3.1.3 实验组网介绍
页 57
58
图3-1 病毒防范实验拓扑图
3.1.4 实验规划
某公司网络如图所示,公司网络分为服务器区和办公区。办公区域主要是公司的员工场所;服
务器区的服务器分为业务服务器和管理服务器(本实验只涉及对部分业务服务器的防护):
运营商网络主要用于模拟公司出差员工或公司客户通过互联网访问公司服务器资源的场景。
实验 IP 地址规划
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
IP地址:10.1.5.21/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.21/24
FW1
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.22/24
FW2
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
R1 Eth-trunk1 成员端口:GE0/0/1与GE0/0/2
页 58
59
IP地址:10.1.9.11/24
Eth1/0/1 10.1.40.11/24
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
Eth1/0/0 10.1.6.14/24
R4
Eth1/0/1 10.1.3.14/24
GE0/0/9 10.1.3.3/24
SW3
GE1/0/10 10.1.2.3/24
PC1 / 10.1.2.101/32
PC2 / 10.1.32.102/32
园区Mail服务器 / 10.1.5.109/32
3.2 实验任务配置
3.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的动态路由协议不需要配置,学员只需要在防火墙上进行操作。
参照实验 1 的实验内容完成公司园区网络的安全区域,路由协议以及双机热备的部署,本实
验不再重复展示配置内容。
3.2.2 配置思路
1. 部署静态路由,在 R1 上配置默认路由,下一跳为 10.1.40.2,实现园区网络与 Internet 互
通。
页 59
60
3.2.3 配置步骤
步骤 1 配置静态路由
步骤 2 配置 NAT
# 在 FW1 上选择“策略>安全策略>安全策略”。在安全策略列表中点击“新建安全策略”
,
设置参数,如下图。
步骤 3 配置反病毒功能
页 60
61
# 在 FW1 上选择“对象>安全配置文件>反病毒”。新建反病毒配置文件,如下图。
# 配置完成后,点击“提交”进行编译。
# 在 FW1 上选择“策略>安全策略>安全策略”,在安全策略中调用安全配置文件,如下图。
页 61
62
# 配置推送信息,当邮件被删除后,通知用户。选择“系统>配置>推送信息配置”,在配置
推送信息列表中,导出“邮件删除附件信息”模板,编辑模板信息,如下图。
页 62
63
# 修改完成后,导入模板文件,如下图。
3.3 结果验证
3.3.1 验证反病毒功能
# 登录 PC2,模拟 Internet 客户发送邮件给 PC1(邮箱为 user1@huawei.com),附件携带
病毒文件,验证反病毒功能,如下图。
页 63
64
# 登录 PC1,查看收到的邮件。
# 上图表明,邮件附件被删除,并且使用通知模板通告了用户。
# 登录防火墙 FW1,在防火墙上查看“监控>日志>业务日志”,反病毒日志表明防火墙删除
了附件文件,如下图。
页 64
65
# PC1 模拟内网用户发送携带病毒的邮件,效果相同,不再赘述,请自行测试。
3.4 配置参考
3.4.1 R1 的配置
#
sysname R1
interface Eth-Trunk1
undo portswitch
description to_FW1&FW2
interface Ethernet1/0/1
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
ospf 1
default-route-advertise always
area 0.0.0.0
页 65
66
return
sysname FW1
hrp enable
interface GigabitEthernet1/0/0
undo shutdown
link-group 1
interface GigabitEthernet1/0/1
undo shutdown
link-group 1
interface GigabitEthernet1/0/3
undo shutdown
link-group 1
interface GigabitEthernet1/0/5
undo shutdown
页 66
67
link-group 1
set priority 85
set priority 50
set priority 15
set priority 40
area 0.0.0.0
undo http-detect
undo ftp-detect
页 67
68
undo nfs-detect
undo smb-detect
file-type all
action block
security-policy
source-zone isp1
destination-zone dmz
profile av AntiVirus
action permit
source-zone dmz
source-zone trust
页 68
69
destination-zone dmz
destination-zone trust
profile av AntiVirus
action permit
return
sysname FW2
hrp enable
hrp standby-device
interface GigabitEthernet1/0/0
undo shutdown
interface GigabitEthernet1/0/1
undo shutdown
页 69
70
interface GigabitEthernet1/0/3
undo shutdown
interface GigabitEthernet1/0/5
undo shutdown
set priority 85
set priority 50
set priority 15
set priority 40
area 0.0.0.0
页 70
71
undo http-detect
undo ftp-detect
undo nfs-detect
undo smb-detect
file-type all
action block
security-policy
source-zone isp1
页 71
72
destination-zone dmz
profile av AntiVirus
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
profile av AntiVirus
action permit
return
页 72
73
4 网络入侵与防御
4.1 实验介绍
4.1.1 关于本实验
某公司在网络边界处部署了防火墙作为安全网关,公司内部网络规划了办公区域和服务器区
域。公司的服务器区域部署了 Web 服务器并对 Internet 客户提供 Web 服务。为防止来自
Internet 或内网办公区域的非法行为入侵服务器,在防火墙上开启入侵防御功能。
4.1.2 实验目的
掌握入侵防御的应用场景
掌握入侵防御功能的配置方法
4.1.3 实验组网介绍
页 73
74
图4-1 网络入侵防御实验拓扑图
4.1.4 实验规划
某公司网络如图所示,公司网络分为服务器区和办公区。办公区域主要是公司的员工场所;服
务器区的服务器分为业务服务器和管理服务器(本实验只涉及对部分业务服务器的防护):
运营商网络主要用于模拟公司出差员工或公司客户通过互联网访问公司服务器资源的场景。
实验设备信息
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
IP地址:10.1.5.21/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.21/24
FW1
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.22/24
FW2
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
R1 Eth-trunk1 成员端口:GE0/0/1与GE0/0/2
页 74
75
IP地址:10.1.9.11/24
Eth1/0/1 10.1.40.11/24
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
Eth1/0/0 10.1.6.14/24
R4
Eth1/0/1 10.1.3.14/24
GE0/0/9 10.1.3.3/24
SW3
GE1/0/10 10.1.2.3/24
PC1 / 10.1.2.101/32
PC2 / 10.1.32.102/32
园区Web服务器 / 10.1.5.110/32
4.2 实验任务配置
4.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的动态路由协议不需要配置,学员只需要在防火墙上进行操作。
4.2.2 配置思路
1. 部署 NAT Server,将 Web 服务器的私网地址映射成为公网地址 10.1.40.110,为
Internet 用户提供服务。
2. 部署入侵防御功能,防御内外网的注入攻击和跨站脚本攻击。
4.2.3 配置步骤
步骤 1 配置 NAT Server
页 75
76
# 在 FW1 上选择“策略>安全策略>安全策略”。在安全策略列表中点击“新建安全策
略”,设置参数,如下图。
步骤 2 配置入侵防御功能
# 在 FW1 上选择“对象>安全配置文件>入侵防御”。新建入侵防御配置文件,如下图。
页 76
77
# 在入侵配置文件中新建“签名过滤器”。在签名过滤器中,协议为“HTTP”,威胁类型为
“注入攻击”和“跨站脚本攻击”,动作为“阻断”,如下图。
页 77
78
# 配置完成签名过滤器后,点击“确定”,如下图。
页 78
79
# 配置完成后,点击“提交”进行编译。
# 在 FW1 上选择“策略>安全策略>安全策略”,在安全策略中调用安全配置文件,如下图。
页 79
80
4.3 结果验证
4.3.1 验证入侵防御功能
# 登录 PC2,模拟外用客户,打开浏览器,访问连接 http://10.1.40.110/web/index.html,
查看能否正常访问 Web 服务器,如下图。
页 80
81
# 登录防火墙 FW1,在防火墙上查看“监控>日志>业务日志”,入侵防御日志表明防火墙阻
断了入侵流量,如下图。
# PC1 模拟内网用户发送入侵链接,效果相同,不再赘述,请自行测试。
4.4 配置参考
4.4.1 R1 的配置
#
sysname R1
interface Eth-Trunk1
undo portswitch
description to_FW1&FW2
interface Ethernet1/0/1
页 81
82
interface GigabitEthernet0/0/1
eth-trunk 1
interface GigabitEthernet0/0/2
eth-trunk 1
ospf 1
default-route-advertise always
area 0.0.0.0
return
sysname FW1
hrp enable
time-range working_time
interface GigabitEthernet1/0/0
undo shutdown
页 82
83
link-group 1
interface GigabitEthernet1/0/1
undo shutdown
link-group 1
interface GigabitEthernet1/0/3
undo shutdown
link-group 1
interface GigabitEthernet1/0/5
undo shutdown
link-group 1
set priority 85
set priority 50
页 83
84
set priority 15
set priority 40
area 0.0.0.0
action block
target both
protocol HTTP
application all
页 84
85
页 85
86
security-policy
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
service http
service https
time-range working_time
action permit
source-zone isp1
destination-zone dmz
service http
service https
action permit
页 86
87
return
sysname FW2
router id 22.22.22.22
hrp enable
hrp standby-device
time-range working_time
interface GigabitEthernet1/0/0
undo shutdown
interface GigabitEthernet1/0/1
undo shutdown
interface GigabitEthernet1/0/3
undo shutdown
页 87
88
interface GigabitEthernet1/0/5
undo shutdown
set priority 85
set priority 50
set priority 15
set priority 40
area 0.0.0.0
页 88
89
action block
target both
protocol HTTP
application all
页 89
90
security-policy
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
service http
页 90
91
service https
time-range working_time
action permit
source-zone isp1
destination-zone dmz
service http
service https
action permit
return
页 91
92
5 DDoS 攻击与防御
5.1 实验介绍
5.1.1 关于本实验
某公司园区网络为防御外部发起 DDoS 攻击,在网络出口位置旁路部署了 AntiDDoS 设备,
该设备用于检测进入园区网络的流量,当发现有异常流量时,对流量进行清洗。清洗完成后,
再将正常流量回注到原链路。
5.1.2 实验目的
掌握 DDoS 防御的应用场景
掌握 AntiDDoS 系统的配置方法
5.1.3 实验组网介绍
页 92
93
5.1.4 实验规划
某公司网络如图所示,部署了服务器区,为外网客户提供服务。服务器区的服务器分为业务服
务器和管理服务器(本实验只涉及对部分业务服务器的防护):
运营商网络主要用于模拟公司出差员工或公司客户通过互联网访问公司服务器资源的场景。
实验设备信息
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
IP地址:10.1.5.21/24
安全区域:isp1,区域优先级15
FW1 GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:isp1,区域优先级15
FW2 GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
安全区域:untrust,区域优先级5
AntiDDoS GE1/0/0.1
IP地址:10.1.11.61/24
页 93
94
安全区域:untrust,区域优先级5
GE1/0/0.2
IP地址:10.1.13.61/24
安全区域:trust,区域优先级85
GE0/0/0
IP地址:10.1.12.61/24
成员端口:GE0/0/1与GE0/0/2
Eth-trunk1
IP地址:10.1.9.11/24
R1 Eth1/0/1 10.1.40.11/24
Eth1/0/0.1 10.1.11.11/24
Eth1/0/0.2 10.1.13.11/24
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
ATIC管理中心 / 10.1.12.105/32
PC2 / 10.1.32.102/32
园区Web服务器 / 10.1.5.110/32
5.2 实验任务配置
5.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的动态路由协议不需要配置,学员只需要在防火墙上进行操作。
页 94
95
5.2.2 配置思路
1. 在 R1 与 AntiDDoS 设备上部署 BGP,用于引流。使用 R1 的接口 E1/0/0.1 与清洗设备的
接口 G1/0/0.1 之间建立 BGP 邻居,并将 AntiDDoS 产生的 UNR 路由引入到 BGP 中发布给
R1。
5.2.3 配置步骤
步骤 1 配置接口地址
在 R1 与 AntiDDoS 设备上配置互联地址。
# 在 R1 上配置接口地址,如下所示。
[R1] interface Ethernet1/0/0.1
[R1-Ethernet1/0/0.1] dot1q termination vid 11
[R1-Ethernet1/0/0.1] ip address 10.1.11.11 255.255.255.0
[R1-Ethernet1/0/0.1] quit
[R1] interface Ethernet1/0/0.2
[R1-Ethernet1/0/0.2] dot1q termination vid 13
[R1-Ethernet1/0/0.2] ip address 10.1.13.11 255.255.255.0
# 在 AntiDDoS 上配置接口地址,并将接口加入相应安全区域,如下所示。
[AntiDDoS1650] interface GigabitEthernet0/0/0
[AntiDDoS1650-GigabitEthernet0/0/0] ip address 10.1.12.61 255.255.255.0
[AntiDDoS1650-GigabitEthernet0/0/0] quit
[AntiDDoS1650-GigabitEthernet1/0/0] interface GigabitEthernet1/0/0.1
[AntiDDoS1650-GigabitEthernet1/0/0.1] vlan-type dot1q 11
[AntiDDoS1650-GigabitEthernet1/0/0.1] ip address 10.1.11.61 255.255.255.0
[AntiDDoS1650-GigabitEthernet1/0/0.1] service-manage ping permit
[AntiDDoS1650-GigabitEthernet1/0/0.1] service-manage snmp permit
[AntiDDoS1650-GigabitEthernet1/0/0.1] service-manage telnet permit
[AntiDDoS1650-GigabitEthernet1/0/0.1] quit
[AntiDDoS1650] interface GigabitEthernet1/0/0.2
[AntiDDoS1650-GigabitEthernet1/0/0.2] vlan-type dot1q 13
[AntiDDoS1650-GigabitEthernet1/0/0.2] ip address 10.1.13.61 255.255.255.0
[AntiDDoS1650-GigabitEthernet1/0/0.2] service-manage ping permit
页 95
96
步骤 2 部署路由协议
步骤 3 在 R1 上部署策略路由
页 96
97
步骤 4 部署 ATIC 管理 AntiDDoS
# 在 Anti-DDos 设备清洗口上开启流量统计功能。
[AntiDDoS1650]interface GigabitEthernet 1/0/0.1
[AntiDDoS1650-GigabitEthernet1/0/0]anti-ddos flow-statistic enable
页 97
98
页 98
99
步骤 5 在 AITC 上部署防御策略
# 在 ATIC 上部署防御策略,选择“防御>策略配置>防护对象”,点击“创建”,在“基本信
息”列表中创建账号和名称为“Web_Server”,行业为“电子商务”,如下图。
页 99
100
# 在“策略”列表中设置防御带宽为 100M,并引用预置策略模板“WEB-Server”,并创建
引流任务,部署完成后点击“部署”,如下图。
页 100
101
部署完成后,点击“Inbound 策略配置”修改预置策略配置,如下图。
# 在“防御模式”列表中的参数保持默认,如下图。
# 在“Inbound 防御策略”列表中点击“策略管理”,如下图。
页 101
102
# 配置完成后,点击“确定”,如下图。
页 102
103
# 确定后,点击“部署”,等待部署状态由“部分部署”变为“部署成功”,如下图。
# 配置完成后,设置“Inbound 告警设置”,如下图。
页 103
104
5.3 结果验证
# 在 ATIC 中定制首页,监控进入园区网络的流量,选择“首页>首页定制”,选择“接口流
量对比”,接口为 All,如下图。
页 104
105
当发生攻击后,在首页发现攻击信息如下。
5.4 配置参考
5.4.1 R1 的配置
#
sysname R1
页 105
106
rule 5 permit
interface Eth-Trunk1
undo portswitch
description to_FW1&FW2
interface Ethernet1/0/0.1
interface Ethernet1/0/0.2
interface Ethernet1/0/1
页 106
107
bgp 100
ipv4-family unicast
undo synchronization
ospf 1
default-route-advertise always
area 0.0.0.0
return
sysname AntiDDoS1650
aaa
manager-user admin
level 15
页 107
108
interface GigabitEthernet0/0/0
undo shutdown
interface GigabitEthernet1/0/0.1
vlan-type dot1q 11
interface GigabitEthernet1/0/0.2
vlan-type dot1q 13
set priority 85
set priority 5
页 108
109
bgp 100
ipv4-family unicast
undo synchronization
import-route unr
snmp-agent
user-interface vty 0 4
authentication-mode aaa
页 109
110
zone-id 12
ip address 10.1.5.110 32
security-policy
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
return
页 110
111
6 园区网安全组网设计
6.1 实验介绍
6.1.1 关于本实验
某企业新建总部和分部网络,为了保证网络与业务安全,在设计网络时,提出了以下要求:
为防止设备故障造成业务访问中断,对设备进行冗余。
为控制各部门之间相互访问,为不同的部门划分虚拟防火墙,通过虚拟防火墙实现流量控
制与设备资源充分利用。
为保证内外网数据访问的安全,对进出公司网络的流量进行严格的控制和检查。
为保证公司数据数据在公网上传递的安全性,采用数据加密技术。
为防止非法人员接入公司总部的内网,对员工进行身份认证。
6.1.2 实验目的
了解园区网络组网的安全因素
掌握园区网组网的安全部署
页 111
112
6.1.3 实验组网介绍
图6-1 园区网安全组网实验拓扑图
6.1.4 实验规划
某公司网络如图所示,为总部网络和分支网络。
公司总部网络分为服务器区和办公区。办公区域主要是公司的员工场所;服务器区的服务器分
为业务服务器和管理服务器:
运营商网络主要用于模拟公司出差员工或公司客户通过互联网访问公司内部资源的场景。
实验设备信息
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
FW1 IP地址:10.1.5.21/24
GE1/0/1 安全区域:trust
页 112
113
IP地址:10.1.6.21/24
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.22/24
FW2
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
安全区域:untrust
GE1/0/0
IP地址:10.1.70.23/24
FW3 安全区域:dmz
GE1/0/1
IP地址:10.1.22.23/24
Virtual-if0 安全区域:trust
安全区域:trust
GE1/0/2
vFW1 IP地址:10.1.23.23/24
Virtual-if1 安全区域:untrust
成员端口:GE0/0/1与GE0/0/2
Eth-trunk1
R1 IP地址:10.1.9.11/24
Eth1/0/1 10.1.40.11/24
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
页 113
114
Eth1/0/0 10.1.6.14/24
R4
Eth1/0/1 10.1.3.14/24
GE0/0/9 10.1.3.3/24
SW3
GE1/0/10 10.1.2.3/24
PC1 / 10.1.2.101/32
PC2 / 10.1.32.102/32
PC3 / 10.1.23.103/32
分支Web服务器 / 10.1.22.104/32
总部FTP服务器 / 10.1.5.108/32
总部Mail服务器 / 10.1.5.109/32
总部Web服务器 / 10.1.5.110/32
6.2 实验任务配置
6.2.1 配置思路
1. 部署设备冗余,为防止总部防火墙单点故障,在 FW1 与 FW2 上部署双机热备。
2. 在分支网络中存在一个市场部,为控制市场部的流量访问与数据安全,部署虚拟防火墙,
用于市场部网络的安全防护,拓扑中 PC3 用于模拟市场部的员工。
3. 部署安全策略,对于进出公司内网的流量进行严格的控制和检查。
页 114
115
允许总部网络的员工和外网客户访问服务器区域,并配置内容安全对访问的流量进行
检查。
4. 部署 VPN 技术,保证总部网络和分支网络发送的数据在公网上被加密传输。
6.2.2 配置步骤
步骤 1 部署设备冗余
步骤 2 部署虚拟防火墙
# 登录 FW3,选择“系统>虚拟系统>虚拟系统”,启用防火墙的虚拟系统功能,选择“启
用”后,点击“应用”,如下图。
# 在出现的“虚拟系统列表”中,选择“新建”,创建虚拟系统 vfw1,资源类选择“r0”,如
下图。
页 115
116
页 116
117
页 117
118
页 118
119
# 配置到达市场部网络的静态路由,下一跳为虚拟防火墙 vFW1,选择“网络>路由>静态路
由”,在静态路由列表中点击“新建”,如下图。
步骤 3 部署安全策略
页 119
120
# 在 R1 上部署 NAT,配置如下。
[R1] acl number 2000
[R1-acl-basic-2000] rule 5 permit source 10.1.2.0 0.0.0.255
[R1-acl-basic-2000] quit
[R1] nat address-group 1 10.1.40.100 10.1.40.105
[R1] interface Ethernet1/0/1
[R1-Ethernet1/0/1] nat outbound 2000 address-group 1
[R1-Ethernet1/0/1] quit
页 120
121
页 121
122
步骤 4 配置 VPN
部署 IPSec VPN,当总部员工与分支市场部员工进行互访时,对穿越公网的流量进行加密传
输。
页 122
123
在 FW1 上配置安全策略。
# 放行总部办公区域与分支市场部员工互访的流量。选择“策略>安全策略>安全策略”,新
建安全策略,如下图。
页 123
124
# 在 FW1 上配置 IPSec VPN,使用出接口 GE1/0/3 与对端 FW3 建立 IPSec VPN 隧道,预
共享秘钥为 Huawei@123。选择“网络>IPSec>IPSec”,新建 IPSec 策略,如下图。
页 124
125
在 FW3 上配置安全策略。
页 125
126
# 放行分支市场部员工与总部办公区域互访的流量。选择“策略>安全策略>安全策略”,新
建安全策略,如下图。
页 126
127
页 127
128
页 128
129
# 点击“下一步”,在“角色授权/用户”列表中,新建用户组为“Business_travel”,如下
图。
页 129
130
# 点击“确定”,如下图。
页 130
131
# 点击“确定”,如下图。
页 131
132
# 为出差员工新建“Business_travel”的角色,关联用户组 business_travel,并在资源授权
列表中选择“web 代理”功能,如下图。
# 配置完成后,如下图,点击“完成”。
页 132
133
页 133
134
步骤 5 配置准入控制
页 134
135
# 交换机上不采用统一模式,配置完以下命令后,交换机会重启。
[SW3] undo authentication unified-mode
在 FW1 上配置安全策略。
页 135
136
页 136
137
页 137
138
页 138
139
配置认证授权规则,当用户认证成功后,允许用户访问公司内网的所有资源,所以授权结果可
以使用默认的“允许接入”。
# 选择“策略>认证授权>认证规则”,新建认证规则,如下图。
页 139
140
页 140
141
# 选择“策略>认证授权>授权规则”,新建授权规则,调用默认的“允许接入”的授权结
果,如下图。
页 141
142
页 142
143
6.3 结果验证
6.3.1 验证双机热备功能
# # 在 FW1 和 FW2 上选择“系统>高可靠性>双机热备”,检查防火墙状态,如下图。
页 143
144
页 144
145
6.3.2 验证身份认证
# 在 SW3 上测试交换机与 Agile Controller 之间的认证交互过程,如下。
<SW3> test-aaa employee1 Huawei@123 radius-template radius pap
Info: Account test succeed.
6.3.3 验证安全策略
# 登录 PC1,测试到 PC2 的可达性,模拟总部园区网络中的办公区域员工访问 Internet,如
下图。
页 145
146
6.3.4 验证 VPN 配置
# 登录 PC1,测试到 PC3 的可达性,模拟总部办公区域员工通过 IPSec VPN 访问分支网络
的员工,如下图。
页 146
147
# 输入出差员工的用户名密码,查看可用资源,如下图。
页 147
148
6.4 配置参考
sysname FW1
hrp enable
time-range working_time
encapsulation-mode auto
页 148
149
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
exchange-mode auto
pre-shared-key Huawei@123
ike-proposal 1
remote-id-type none
remote-address 10.1.70.23
ike-peer ike151223104057
proposal prop15122310405
alias HQ_to_Branch
sa trigger-mode auto
interface GigabitEthernet1/0/0
undo shutdown
页 149
150
link-group 1
interface GigabitEthernet1/0/1
undo shutdown
link-group 1
interface GigabitEthernet1/0/3
undo shutdown
link-group 1
interface GigabitEthernet1/0/5
undo shutdown
link-group 1
set priority 85
页 150
151
set priority 50
set priority 15
set priority 40
area 0.0.0.0
action block
target both
protocol HTTP
application all
页 151
152
页 152
153
undo http-detect
undo ftp-detect
undo nfs-detect
undo smb-detect
页 153
154
file-type all
action block
security-policy
source-zone trust
destination-zone isp1
action permit
source-zone isp1
destination-zone dmz
profile av AntiVirus
action permit
source-zone dmz
source-zone trust
页 154
155
destination-zone dmz
destination-zone trust
profile av AntiVirus
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
service ftp
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
页 155
156
service http
service https
time-range working_time
action permit
source-zone isp1
destination-zone dmz
service http
service https
action permit
source-zone isp1
source-zone local
destination-zone isp1
destination-zone local
action permit
source-zone isp1
source-zone local
destination-zone isp1
destination-zone local
页 156
157
action permit
source-zone isp1
source-zone trust
destination-zone isp1
destination-zone trust
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
页 157
158
action permit
return
sysname FW2
hrp enable
hrp standby-device
time-range working_time
encapsulation-mode auto
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
页 158
159
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
exchange-mode auto
pre-shared-key Huawei@123
ike-proposal 1
remote-id-type none
remote-address 10.1.70.23
ike-peer ike151223104057
proposal prop15122310405
alias HQ_to_Branch
sa trigger-mode auto
interface GigabitEthernet1/0/0
undo shutdown
interface GigabitEthernet1/0/1
undo shutdown
页 159
160
interface GigabitEthernet1/0/3
undo shutdown
interface GigabitEthernet1/0/5
undo shutdown
set priority 85
set priority 50
set priority 15
set priority 40
页 160
161
area 0.0.0.0
action block
target both
protocol HTTP
application all
页 161
162
undo http-detect
页 162
163
undo ftp-detect
undo nfs-detect
undo smb-detect
页 163
164
file-type all
action block
security-policy
source-zone trust
destination-zone isp1
action permit
source-zone isp1
destination-zone dmz
profile av AntiVirus
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
profile av AntiVirus
action permit
source-zone dmz
页 164
165
source-zone trust
destination-zone dmz
destination-zone trust
service ftp
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
service http
service https
time-range working_time
action permit
source-zone isp1
destination-zone dmz
service http
页 165
166
service https
action permit
source-zone isp1
source-zone local
destination-zone isp1
destination-zone local
action permit
source-zone isp1
source-zone local
destination-zone isp1
destination-zone local
action permit
source-zone isp1
source-zone trust
destination-zone isp1
destination-zone trust
页 166
167
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
source-zone dmz
source-zone trust
destination-zone dmz
destination-zone trust
action permit
return
sysname FW3
vsys enable
页 167
168
resource-class r0
assign resource-class r0
encapsulation-mode auto
dh group14
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
页 168
169
exchange-mode auto
pre-shared-key Huawei@123
ike-proposal 1
remote-id-type none
ike-peer ike151223294082
proposal prop15122329408
alias Branch_to_HQ-10
scenario point-to-point
interface GigabitEthernet1/0/0
undo shutdown
interface GigabitEthernet1/0/1
undo shutdown
页 169
170
interface GigabitEthernet1/0/2
undo shutdown
set priority 85
set priority 5
set priority 50
页 170
171
nat server Web_Server zone untrust global 10.1.70.104 inside 10.1.22.104 no-
reverse unr-route
#****BEGIN***vgw**1****#
v-gateway vgw
basic
ssl timeout 5
service
web-proxy enable
security
hostchecker
cachecleaner
vpndb
group /default
group /default/business_travel
role
页 171
172
role default
role Business_travel
#****END****#
security-policy
source-zone trust
destination-zone untrust
action permit
source-zone untrust
destination-zone dmz
action permit
source-zone local
source-zone untrust
destination-zone local
destination-zone untrust
action permit
页 172
173
source-zone trust
source-zone untrust
destination-zone trust
destination-zone untrust
action permit
source-zone trust
destination-zone dmz
service http
service https
action permit
source-zone untrust
destination-zone local
service http
service https
action permit
source-zone local
destination-zone dmz
service http
页 173
174
service https
action permit
nat-policy
source-zone trust
egress-interface GigabitEthernet1/0/0
return
interface GigabitEthernet1/0/2
undo shutdown
set priority 85
set priority 5
security-policy
页 174
175
source-zone trust
destination-zone untrust
action permit
source-zone untrust
destination-zone trust
action permit
return
sysname SW3
dot1x enable
stp region-configuration
region-name HCIE
instance 2 vlan 2 4 21
instance 3 vlan 22
active region-configuration
页 175
176
aaa
authentication-scheme radius
authentication-mode radius
accounting-scheme radius
accounting-mode radius
domain default
authentication-scheme radius
accounting-scheme radius
radius-server radius
interface Vlanif2
interface Vlanif3
interface GigabitEthernet0/0/1
interface GigabitEthernet0/0/2
页 176
177
interface GigabitEthernet0/0/3
interface GigabitEthernet0/0/4
interface GigabitEthernet0/0/5
interface GigabitEthernet0/0/6
interface GigabitEthernet0/0/7
interface GigabitEthernet0/0/8
interface GigabitEthernet0/0/9
页 177
178
interface GigabitEthernet0/0/10
dot1x enable
ospf 1
area 0.0.0.0
return
页 178
179
7 用户管理技术实验
7.1 实验介绍
7.1.1 关于本实验
某公司园区网络内存在办公区域,办公区域分为两个部门,市场部和销售部。两个部门都有访
问外网的需求,企业在 ISP 处购买了 100M 带宽,但经过管理员调查发现,两个部门员工
P2P 和在线视频的访问量巨大,导致该企业有限的带宽资源经常被此类流量占据,而 Email、
ERP 等关键业务流量无法得到保证,经常发生邮件发不出去、页面无法访问等情况,严重影
响了企业的正常运作。因此,需要对两部门的员工上网时长以及带宽进行限制。
7.1.2 实验目的
了解用户管理的应用场景
掌握用户管理的配置方法
7.1.3 实验组网介绍
页 179
180
图7-1 用户管理实验拓扑图
7.1.4 实验规划
实验拓扑如图所示,企业管理员为了改善上述现象,希望利用防火墙提供的带宽管理功能,实
现如下需求:
实验设备信息
设备 端口 安全区域/IP地址
安全区域:trust
GE1/0/1
IP地址:10.1.6.21/24
安全区域:isp1,区域优先级15
FW1 GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:trust
GE1/0/1
IP地址:10.1.6.22/24
FW2
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
成员端口:GE0/0/1与GE0/0/2
R1 Eth-trunk1
IP地址:10.1.9.11/24
页 180
181
Eth1/0/1 10.1.40.11/24
Eth1/0/0 10.1.6.14/24
R4
Eth1/0/1 10.1.3.14/24
GE0/0/9 10.1.3.3/24
SW3
GE1/0/10 10.1.2.3/24
PC1 / 10.1.2.101/32
7.2 实验任务配置
7.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的动态路由协议不需要配置,学员只需要在防火墙上进行操作。
参照实验 1 的实验内容完成公司园区网络的安全区域,路由协议以及双机热备的部署,本实
验不再重复展示配置内容。
7.2.2 配置思路
1. 配置认证策略。为市场部和销售部创建用户组,并在市场部创建 employee1,在销售部创
建 employee2,密码都为 Huawei@123。用户认证成功后,才能访问 Internet。
7.2.3 配置步骤
步骤 1 配置认证策略
# 在 FW1 上选择“对象>用户>default”,在用户/用户组/安全组管理列表中,单击“新
建”,创建用户组,如下图。
页 181
182
页 182
183
#在 FW1 上选择“对象>用户>认证策略”,在认证策略列表中,单击“新建”,本节实验中
使用 PC1 模拟市场部和销售部的员工,如下图。
页 183
184
# 配置安全策略,放行员工到防火墙的认证流量。选择“策略>安全策略>安全策略”,新建
安全策略,如下图。
页 184
185
步骤 2 配置带宽管理
# 配置时间段,工作时间设置为周一到周五,每天 09:00~18:00,选择“对象>时间段”,新
建时间段,配置如下图。
页 185
186
页 186
187
页 187
188
# 新建带宽策略,根据规划调用不同的带宽通道,选择“策略>带宽管理>带宽策略”,配置
如下图。
页 188
189
页 189
190
7.3 结果验证
7.3.1 验证 Portal 认证
# 登录 PC1,在浏览器中输入 Portal 认证的链接 https://10.1.6.21.:8887,如下图,提示输
入用户名与密码。
页 190
191
# 用户成功后,依据配置带宽管理策略控制用户的访问流量。销售部员工请自行验证,不再
赘述。
页 191
192
7.4 配置参考
sysname FW1
hrp enable
time-range working_time
interface GigabitEthernet1/0/1
undo shutdown
link-group 1
interface GigabitEthernet1/0/3
undo shutdown
link-group 1
interface GigabitEthernet1/0/5
undo shutdown
link-group 1
页 192
193
set priority 85
set priority 15
set priority 40
area 0.0.0.0
security-policy
source-zone trust
destination-zone isp1
action permit
source-zone local
source-zone trust
页 193
194
destination-zone local
destination-zone trust
action permit
auth-policy
source-zone trust
destination-zone isp1
action auth
traffic-policy
profile P2P_profile
profile email_ERP_profile
source-zone trust
destination-zone isp1
页 194
195
time-range working_time
source-zone trust
destination-zone isp1
time-range working_time
return
sysname FW2
hrp enable
hrp standby-device
time-range working_time
interface GigabitEthernet1/0/1
undo shutdown
页 195
196
interface GigabitEthernet1/0/3
undo shutdown
interface GigabitEthernet1/0/5
undo shutdown
set priority 85
set priority 15
set priority 40
area 0.0.0.0
页 196
197
security-policy
source-zone trust
destination-zone isp1
action permit
source-zone local
source-zone trust
destination-zone local
destination-zone trust
action permit
auth-policy
source-zone trust
destination-zone isp1
action auth
traffic-policy
profile P2P_profile
页 197
198
profile email_ERP_profile
source-zone trust
destination-zone isp1
time-range working_time
source-zone trust
destination-zone isp1
time-range working_time
return
页 198
199
8 IPv6 安全技术
8.1 实验介绍
8.1.1 关于本实验
某企业在内部网络部署了防火墙来连接办公网络与服务器区域,并使用 IPv6 实现网络的互
通。具体需求如下:
为了减少外部路由信息的传递,提高员工办公网络的路由器性能和网络质量,要求把办公
网络所在区域配置为 Stub 区域。
为保护骨干区域,骨干区域内的设备之间需要开启认证,防止非法设备的接入。
8.1.2 实验目的
掌握 IPv6 的配置方法
掌握 OSPFv3 的配置方法
页 199
200
8.1.3 实验组网介绍
8.1.4 实验规划
本实验需要在各设备上手动配置 IPv6 地址,各设备上的 IPv6 地址如下表。OSPFv3 区域划分
如拓扑图所示。
实验设备信息
设备 端口 安全区域/IP地址
安全区域:untrust
GE1/0/0
IP地址:2003::2/64
FW3
安全区域:dmz
GE1/0/1
IP地址:2004::1/64
GE0/0/5 2002::2/64
SW2
GE0/0/7 2003::1/64
GE0/0/1 2001::1/64
R3
GE0/0/2 2002::1/64
PC2 / 通过RA自动获取地址
页 200
201
Web服务器 / 通过RA自动获取地址
8.2 实验任务配置
8.2.1 配置思路
1. 配置 IPv6 地址,根据实验规划配置各设备上的 IPv6 地址。
2. 配置 OSPFv3,根据拓扑部署 OSPFv3,并实现路由互通。
8.2.2 配置步骤
步骤 1 配置 IPv6 地址
页 201
202
[SW2] ipv6
[SW2] interface Vlanif 60
[SW2-Vlanif60] ipv6 enable
[SW2-Vlanif60] ipv6 address 2002::2 64
[SW2-Vlanif60] quit
[SW2] interface Vlanif 70
[SW2-Vlanif70] ipv6 enable
[SW2-Vlanif70] ipv6 address 2003::1 64
[SW2-Vlanif70] quit
页 202
203
页 203
204
页 204
205
步骤 2 配置 OSPFv3
页 205
206
页 206
207
步骤 3 配置 OSPFv3 区域 0 认证
页 207
208
8.3 结果验证
页 208
209
8.4 配置参考
8.4.1 R3 的配置
#
sysname R3
#
ipv6
#
ospfv3 1
router-id 13.13.13.13
area 0.0.0.0
authentication-mode hmac-sha256 key-id 1 cipher Huawei@123
area 0.0.0.1
页 209
210
stub
#
interface GigabitEthernet0/0/1
ipv6 enable
ipv6 address 2001::1/64
undo ipv6 nd ra halt
ospfv3 1 area 0.0.0.1
#
interface GigabitEthernet0/0/2
ipv6 enable
ipv6 address 2002::1/64
ospfv3 1 area 0.0.0.0
#
return
页 210
211
页 211
212
destination-address 2001:: 64
destination-address 2004:: 64
action permit
#
return
页 212
213
9 APT 攻击防御实验
9.1 实验介绍
9.1.1 关于本实验
某公司园区网络中部署了服务器区域,为保护服务器免受 APT 攻击,在园区网络中部署了
FireHunter 设备(沙箱)与防火墙进行联动。当攻击者向企业内网发起 APT 攻击时,防火墙
从网络流量中识别并提取需要进行 APT 检测的文件发送给沙箱。沙箱进行威胁检测,然后将
检测结果返回给防火墙实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。
9.1.2 实验目的
了解 APT 攻击防御的使用场景
掌握 APT 攻击防御的配置方法
9.1.3 实验组网介绍
页 213
214
9.1.4 实验规划
公司服务器区域部署了 Mail 服务器,为公司或客户提供 Mail 服务。FW1 与 FW2 部署在网
络出口处,配置双机热备进行设备冗余,并且 FW1,FW2 与 FireHunter 进行联动对发送到
服务器区域的流量进行 APT 攻击检查。
运营商网络主要用于模拟公司出差员工或公司客户通过互联网访问公司服务器资源的场景。
实验设备信息
设备 端口 安全区域/IP地址
安全区域:dmz
GE1/0/0
IP地址:10.1.5.21/24
安全区域:dmz1,区域优先级45
GE1/0/2
IP地址:10.1.7.21/24
FW1
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.21/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.21/24
安全区域:dmz
GE1/0/0
IP地址:10.1.5.22/24
安全区域:dmz1,区域优先级45
GE1/0/2
IP地址:10.1.7.22/24
FW2
安全区域:isp1,区域优先级15
GE1/0/3
IP地址:10.1.9.22/24
安全区域:dmz2,区域优先级40
GE1/0/5
IP地址:10.1.8.22/24
成员端口:GE0/0/1与GE0/0/2
Eth-trunk1
R1 IP地址:10.1.9.11/24
Eth1/0/1 10.1.40.11/24
页 214
215
GE0/0/1 10.1.32.13/24
R3
GE0/0/2 10.1.60.13/24
PC2 / 10.1.32.102/32
Mail服务器 / 10.1.5.109/32
9.2 实验任务配置
9.2.1 配置前提
各设备上的 IP 地址无需配置。
路由器,交换机上的动态路由协议不需要配置,学员只需要在防火墙上进行操作。
9.2.2 配置思路
1. 配置防火墙与 FireHunter 联动。当防火墙收到发送给 Mail 服务器的流量,将流量发送给
FireHunter 进行检测。
9.2.3 配置步骤
步骤 1 配置防火墙与 FireHunter 联动
页 215
216
页 216
217
页 217
218
页 218
219
# 联动成功后,如下图,状态为绿色圆点表明联动成功。
步骤 2 配置 APT 防御策略
页 219
220
# 登录 FireHunter,配置检测策略,选择“配置>检测策略”,配置完成后,点击“应用”下
发检测策略,如下图。
页 220
221
9.3 结果验证
# 发送完成后,登录 FireHunter,查看检测结果,选择“分析>场景分析>邮件分析”,如下
图。
# 登录防火墙。选择“监控>日志>业务日志”,查看到防火墙的监测日志,如下图。
页 221
222
9.4 配置参考
页 222
223
#
firewall zone name isp1 id 4
set priority 15
add interface GigabitEthernet1/0/3
#
firewall zone name dmz2 id 5
set priority 40
add interface GigabitEthernet1/0/5
#
firewall zone name dmz1 id 6
set priority 45
add interface GigabitEthernet1/0/2
#
ospf 1 router-id 21.21.21.21
area 0.0.0.0
network 10.1.5.0 0.0.0.255
network 10.1.6.0 0.0.0.255
network 10.1.9.0 0.0.0.255
network 10.1.10.0 0.0.0.255
#
profile type av name AntiVirus
undo http-detect
undo ftp-detect
smtp-detect action delete-attachment
pop3-detect action delete-attachment
imap-detect direction both action delete-attachment
undo nfs-detect
undo smb-detect
#
sandbox default
type FireHunter
ip 10.1.7.51 port 5002
protocol https
api-key Huawei@123
linkage enable
file-set EXE max-size 2048
file-set GZIP max-size 2048
file-set OFFICE max-size 2048
file-set PDF max-size 2048
file-set PICTURE max-size 200
file-set WEB max-size 200
#
页 223
224
页 224
225
页 225
226
页 226
227
页 227