eNSP软件——拓扑安全规划综合实践
1.软件综合拓扑结构一览
2 实践步骤
2.1进行ip和网段划分
在eNSP完成网络拓扑构建,并按照地址块信息为每台设备规划配置相应的IP地址,地址块中的**代表你学号的最后
两位数字。
2.1.1 路由拓扑结构
2.1.2 左边部分网络拓扑结构
2.1.3 右边部分拓扑结构
2.2 路由协议配置
为FW1、FW2、R1三台设备配置路由协议,保证网络的连通性;
AR路由器如下
FW1防火墙如下
FW2防火墙如下
2.3 配置FW1防火墙安全域和安全策略
配置防火墙FW1的IP地址和安全域,使得GE1/0/0、GE1/0/1、GE1/0/2分别位于trust、untrust、和dmz域,并设
置安全域之间的互通策略:
(a) 允许从Trust域到Untrust域和DMZ域的所有网络访问操作;
(b) 只允许Untrust域到DMZ域的web访问;
(c) 不允许Untrust域到Trust域的任何操作。
防火墙开启的这几个接口加入对应的区域:
firewall zone trust
add int g1/0/0
dis this
quit
firewall zone untrust
add int g1/0/2
dis this
quit
firewall zone dmz
add int g1/0/1
dis this
设置完成后,对防火墙进行不了任何访问,防火墙也是访问不了外面。所以接下来配置 Trust区域 的R1和防火墙能相互ping,R1能否 ping 是在接口下允许 ping 服务,而防火墙 ping R1需要加一条策略。
sys
int g1/0/0
service-manage ping permit
dis this
quit
security-policy
rule name local_to_trust
source zone local
destination zone trust
action permit
dis this
2.4配置FW2防火墙安全域和安全策略
配置防火墙FW2的IP地址和安全域,使得GE1/0/0、GE1/0/1、分别位于trust和untrust域,并设置安全域之间的互
通策略:
(a) 允许从Trust域到Untrust域的所有操作;
(b) 不允许Untrust域到Trust域的任何操作。
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Trust2Untrust
[USG6000V1-policy-security-rule-Trust2Untrust]source-zone trust
[USG6000V1-policy-security-rule-Trust2Untrust]destination-zone untrust
[USG6000V1-policy-security-rule-Trust2Untrust]action permit
[USG6000V1-policy-security-rule-Trust2Untrust]disp this
[USG6000V1-policy-security-rule-Trust2Untrust]q
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Trust2DMZ
[USG6000V1-policy-security-rule-Trust2Untrust]source-zone trust
[USG6000V1-policy-security-rule-Trust2Untrust]destination-zone dmz
[USG6000V1-policy-security-rule-Trust2Untrust]action permit
[USG6000V1-policy-security-rule-Trust2Untrust]disp this
[USG6000V1-policy-security-rule-Trust2Untrust]q
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name Untrust2DMZ
[USG6000V1-policy-security-rule-Untrust2DMZ]service http
[USG6000V1-policy-security-rule-Untrust2DMZ]action permit
[USG6000V1-policy-security-rule-Untrust2DMZ]disp this
[USG6000V1-policy-security-rule-Untrust2DMZ]q
2.5 IPsec 虚拟专用网配置
配置IPSec VPN:在FW1与FW2之间建立IPSec VPN隧道,支持将校本部和分校区之间的通信流量通过VPN隧道传
输。
基础理论知识补充
- 网上传输的数据有被窃听的风险
- 网上传输的数据有被篡改的危险
- 通信双方有被冒充的风险
VPN建立“保护”网络实体之间的通信
— 使用加密技术防止数据被窃听
— 数据完整性验证防止数据被破坏、篡改
— 通过认证机制确认身份,防止冒充
加密、认证算法介绍
· 加密与解密
- 加密:明文数据 ‘m’ --> 密文数据 ‘c’
- 解密:密文数据 ‘c’ --> 明文数据 ‘m’
· 加密算法分类
- 对称加密算法
对称加密算法使用同一个共享密钥参与加密与解密的计算,计算速度快,但这种方法安全性
较低。
如下图,加密时,使用加密函数 E(共享密钥‘k’,明文‘m’)生成密文 ‘c’,解密时使用解密函数
D(共享密钥‘k’,密文‘c’) 生成明文‘m’
> DES(Data Encryption Standard,数据加密标准)
> 3DES
> AES(Advanced Encryption Standard,高级加密标准)
- 非对称加密算法
非对称加密算法有公钥与私钥之分,公钥可以公开,用于对数据加密,私钥只有自己知道,
用于对数据解密。
比如,A要发送数据给B,A就用B的公钥对数据进行加密再发给B,B收到后用自己的私钥对
其进行解密。
即使传输过程中数据被窃取,没有私钥也不能知道数据里的具体信息。
并且,公钥与私钥相互不能通过计算推导出来,这就很大程度上保证了数据的安全性。
缺点:计算效率比对称加密算法低很多,大约要慢1500倍左右。
> RSA(三位数学家名字的首字母)
· 认证算法
- 哈希(HASH)
> MD5算法
MD5 (Message-digest Algorithm 5,信息-摘要算法)
创建了一个128位(16字节)的签名,很多协议都使用该算法做验证
目前,已有人证明不同的输入数值通过MD5计算可以得到相同的数字签名,
说明MD5的签名可能具有一定程度的虚假性
MD5执行速度较快,但其安全性相对SHA稍差一点
> SHA算法
SHA (Secure Hash Algorithm,安全散列算法)
已成为美国国家标准,它可以产生160位的签名(20字节的长度)
为了更加安全,现在已经开发了SHA-256和SHA-512等
> DH算法
DH (Diffie-Hellman,迪菲-赫尔曼)
— 一般被用来实现IPSec中的Internet密钥交换
— DH算法将对称加密算法和非对称加密算法综合在一起
DH算法支持可变的密钥长度
— 其中DH组1为768,DH组2为1024,DH组5为1536,DH组14为2048
— 密钥的有效长度越长,安全性也就越强,同时CPU的资源占用率也就越高
- 校验文件
> 网站下载的文件
2.5.2配置IKE(Internet Key Exchange,因特网密钥交换协议)安全提议
该步骤主要是设置算法保证数据传输的安全,这些算法会形成相应的密钥,如果算法各自管理自己的算法会很麻烦,
于是IKE便可以将这些密钥集合统一自动管理。
创建IKE安全提议
ike proposal 1 //创建IKE提议,编号为1
encryption-algorithm aes-256 //设置加密算法为AES
authentication-algorithm sha1 //设置认证算法为SHA
authentication-method pre-share //设置认证方法为预共享密钥
dh group2 //设置DH组2,支持密钥长度为1024bit
配置IKE对等体
ike peer 202.1.11.1 v1 //创建IKE对等体,对等体名称为 '202.1.11.1',用于标记远端设备,并且
只能支持版本1的SA
pre-shared-key cipher mr-sss //设置预共享密钥为密文格式的‘mr-sss’,两端密钥要相同。
ike-proposal 1 //应用前面创建的IKE安全提议1
remote-address 202.1.11.1 //设置建立VPN的远端设备地址。
quit
fw2的配置与上面差不多,要注意的就是明确对等体名称和建立VPN的远端地址--
ike proposal 1
encryption-algorithm aes-cbc-256
authentication-algorithm sha1
authentication-method pre-share
dh group2
ike peer 202.1.9.1 v1
pre-shared-key cipher mr-sss
ike-proposal 1
remote-address 202.1.9.1
2.5.3配置ACL
该步骤主要用于访问控制,匹配在隧道中可以传输的流量。
acl number 3000
rule 5 permit ip source 192.168.9.0 0.0.0.255 destination 172.16.9.0 0.0.0.255
acl 3000
rule permit ip source 172.16.9.0 0.0.0.255 destination 192.168.9.0 0.0.0.255
2.5.4配置IPSec安全提议
ipsec proposal 1 //创建IPSec安全提议,名称为1
esp authentication-algorithm sha1 //认证算法为SHA1
esp authentication-algorithm sha2-256 //加密算法为SHA2
transfor esp //指定用于转换数据包的安全协议为ESP
ipsec proposal 1
esp authentication-algorithm sha1
esp authentication-algorithm sha2-256
transform esp
2.5.5 配置IPSec安全策略
ipsec policy vpn 1 isakmp //创建IPSec策略,名称为‘vpn’,序列号为1,安全连接和密钥管
理协议为用IKE建立IPSec SA(isakmp)
security acl 3000 //应用ACL3000
proposal 1 //应用前面创建的IKE安全提议1
ike-peer 202.1.11.1 //应用名为‘202.1.11.1’的IKE对等体
quit
ipsec policy vpn 1 isakmp
security acl 3000
proposal 1
ike-peer 202.1.9.1
quit
2.5.6在接口应用IPsec安全策略
int g1/0/2
[R1-GigabitEthernet0/0/0]ipsec policy vpn //在出接口应用IPsec安全策略‘vpn’
int g1/0/1
[R3-GigabitEthernet0/0/0]ipsec policy vpn
