办事处 分支机构
总部
Internet
分支机构

7
广域网业务隔离技术——逻辑隔离

广域网的业务隔离可以采用VPN技术来 实现，即为每个部门或每种业务配置单 独的隧道。 隧道种类包括：
二层隧道技术主要有VPDN 三层隧道技术主要有GRE和IPSec 全网状隧道主要有MPLS-VPN
PVLAN Super
VLAN
混合端口

5
为什么要进行广域网业务隔离

当业务数据通过公有广域网传递的时候， 如何保障其独立性
工 办事处

6
广域网业务隔离技术——物理隔离

为每个部门或每种业务配置单独的物理 线路。
Internet
[Router] firewall enable
S1/0 E1/0
[Router] acl number 3111 [Router-acl-adv-3111] rule deny ip [Router] aspf-policy 1 [Router-aspf-policy-1] detect ftp aging-time 3000 [Router-aspf-policy-1] detect http aging-time 3000 [Router-Serial1/0] firewall aspf 1 outbound [Router-Serial1/0] firewall packet-filter 3111 inbound

15
状态检测防火墙功能常用维护命令

显示一个特定ASPF策略
[Router] display aspf policy aspf-policy-number

显示ASPF的会话信息
[Router] display aspf session [ verbose ]

业务隔离与访问控制
杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播
构建安全优化的广域网 1.0
引入
业务隔离是网络安全的的一个重要方面 严格的访问控制是实现网络安全的基础
课程目标
学习完本课程，您应该能够：
了解业务隔离的常用手段 了解访问控制的实现手段 掌握各类防火墙技术的使用方法和配置


8
目录
业务隔离 访问控制 防火墙技术
为什么要进行访问控制

需要严格限制每一类用户的相应权限
Internet 服务器
部门 B
部门 A
Intranet

10
访问控制的实现手段

通常情况下使用ACL来实现访问控制
2层流分类
3/4层流分类
路由表
丢弃

13
状态检测防火墙技术工作原理
状态检测 会话连接状态缓存表 符合 下一步 处理
IP 包
检测包头
符合
不符合
安全策略：过滤规则
IP 包的源、目的地址、端口 检 查 项 TCP 会话的连接状态 上下文信息
丢弃

14
状态检测防火墙功能常用配置命令

启动防火墙置
[Router] firewall enable { all | slot slot-number }
创建一个ASPF策略
[Router] aspf-policy aspf-policy-number

在一个接口的指定方向上应用ASPF策略
[Router-Ethernet0] firewall aspf aspf-policy-number { inbound | outbound }
目录
业务隔离 访问控制 防火墙技术
为什么要进行局域网的隔离

如何确保统一局域网内各业务部门的相 对独立 如何确保上网用户之间的互不干扰
市场
财经
研发
财经 研发 市场
财经
研发
市场

4
局域网业务隔离技术

局域网的业务隔离最常用的方式是使用 VLAN隔离 VLAN的扩展技术也是常用手段，如：

18
本章总结
分析了为什么要进行业务隔离
讲述了业务隔离的手段
分析了为什么要进行访问控制 讲述了访问控制的手段 介绍了包过滤和状态检测防火墙技术的原理和应 用方法
杭州华三通信技术有限公司

16
状态检测防火墙功能配置示例
在路由器上配置一个ASPF策略， 检测通过防火墙的FTP和HTTP 流量。 要求：如果报文是内部网络用 户发起的FTP和HTTP连接的返 回报文，则允许其通过防火墙 进入内部网络；其他报文被禁 止。
Internet
S1/0 E1/0

17
状态检测防火墙功能配置示例（续）

通常情况下在以下地方部署ACL
用户接入网络的入口
区域的交汇处

11
目录
业务隔离 访问控制 防火墙技术
包过滤防火墙技术工作原理
IP 包的源地址 IP 包的目的地址 TCP/UDP 源端口
检 查 项
包过滤
IP 包 检测包头 符合 不符合 转发 检查路由
安全策略：过滤规则