Global_Mask]。 • If_Name:表示外网接口名字,例如Outside。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• Nat_ID:用于标识全局地址池,使它与其相应的Nat命令相匹配。 • Start_IP-End_IP:表示翻译后的单个IP地址或一段IP地址范围。 • Global_Mask:表示全局IP地址的网络掩码。 • ◎Nat地址转换命令。 • 将内网的私有IP转换为外网公有IP。 • 命令格式:
上一页 下一页 返回
任务4.2 VPN 配置
• 在这样的配置中,第二层终端点和PPP会话终点处于相同的物理设备 中(如:NAS)。L2TP扩展了PPP模型,允许第二层和PPP终点处于不同 的由包交换网络相互连接的设备。通过L2TP,用户在第二层连接到一 个访问集中器(如:调制解调器池和ADSLDSLAM 等),然后这个集中器 将单独的PPP帧隧道到NAS。这样,可以把PPP包的实际处理过程与 L2TP连接的终点分离开来。
模式。 • (3)防火墙基本配置命令 • PIX防火墙配置常用的命令有:Nameif、Security-Level、Interface
、IP Address、Nat、Global、Route和Static等。 • ◎Nameif设置接口名称。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• 命令格式:Nameif 名称。 • ◎Security-Level设置接口安全级别。 • 命令格式:security- level 安全级值(0- 100)。 • ◎Enterface与IPAddress。 • 参考路由器命令。 • ◎Global指定外部地址范围(外部地址池)。 • 命令格式:Global (If_Name) Nat_ID Start_IP- End_IP [Netmask
• ◎多协议标记交换(MPLS)。 • MPLS属于第三代网络架构,是新一代的IP 高速骨干网络交换标准,由
IETF(Internet EngineeringTaskForce,因特网工程任务组)提出,由 Cisco、ASCEND和3Com等网络设备大厂所主导。
上一页 下一页 返回
任务4.2 VPN 配置
• ◎第二层隧道协议(L2TP)。 • 第二层隧道协议(L2TP)是用来整合多协议拨号服务至现有的因特网服
务提供商。PPP定义了多协议跨越第二层点对点链接的封装机制。特 别是用户通过使用某种(如:拨号POTS、ISDN 和ADSL等)获得第二层 连接到网络访问服务器(NAS),然后在此连接上运行PPP。
上一页 下一页 返回
任ቤተ መጻሕፍቲ ባይዱ4.1 PIX 防火墙配置
• ShowRunning-config命令查看运行。 • ShowInterface命令查看接口。 • ShowRoute命令查看路由。 • (4)配置步骤 • ◎设置IP; • ◎命名接口; • ◎设置安全级别; • ◎配置地址转换(Static、Nat与Global); • ◎配置路由; • ◎设置Fixup与ACL。
下一页 返回
任务4.1 PIX 防火墙配置
• 4.1.2 防火墙作用
• ◎记录攻击; • ◎过滤数据包,阻挡外部攻击; • ◎包的透明转发。
• 4.1.3 防火墙工作原理
• 防火墙对进入网络中的每个数据包进行检验,查看其是否符合预先设 定的规则,如果符合设定的规则,就根据规则要求来判断该数据包是被 允许还是禁止转发进入网络;否则丢弃该数据包并根据需要进行系统 日志记录,如图4.1.2所示。
上一页
返回
任务4.2 VPN 配置
• 4.2.1 VPN 概述
• VPN的英文全称是VirtualPrivateNetwork,翻译成中文就是“虚拟专 用网络”。VPN使企业能在价格低廉的共享基础设施上与专用网络提 供的相同策略建立一种安全的WAN(广域网)业务。VPN 实现总公司 与移动工作人员、分公司、合作伙伴、产品供应商以及客户之间的连 接,提高总公司与分公司、客户、供应商和合作伙伴开展业务的能力 。
• 4.2.2 VPN 结构和分类
• (1)VPN 结构
下一页 返回
任务4.2 VPN 配置
• 广泛来说,VPN 体系结构可以分为远程访问VPN 和站点到站点的VPN 。
• ◎远程访问VPN。 • 如图4.2.2所示,VPN 被用来连接一个单一的远程网络设备和企业的内
联网。这个单一的网络设备可能是通过DSL网访问网络的便携式计算 机,以及通过其他一些连接形式访问网络的远程通信设备。除了单一 的网络设备之外,正在访问的网络不在企业的控制之下。 • ◎站点到站点的VPN。 • 如图4.2.3所示,同一个结构内部的多个网络站点位于不同的地理位置, 这些站点之间用VPN 连接。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• 防火墙可以分为:包过滤型防火墙和应用代理型防火墙。 • 包过滤(Packetfiltering)型:包过滤型防火墙工作在OSI网络参考模型
的网络层和传输层,它根据数据包源地址、目的地址、端口号和协议 类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发 到相应的目的地,其余数据包则被从数据流中丢弃。包过滤方式是一 种通用的、廉价的和有效的安全手段。 • 应用代理(ApplicationProxy)型:应用代理型防火墙工作在OSI的最高 层,即应用层。其特点是完全“阻隔”了网络通信流,通过对每种应用 服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
上一页 下一页 返回
任务4.2 VPN 配置
• 每个站点都有多个IP子网,它们形成了一个企业的内部互联网络。 VPN 被用来连接这些站点从而形成了一个更大的内联网。
• (2)VPN 分类 • VPN 的隧道协议主要有四种,分别为点到点隧道协议(PPTP)、第二层
隧道协议(L2TP)、多协议标记交换(MPLS)和IP安全协议(IPSec)。其 中PPTP、L2TP和MPLS协议工作在OSI模型的第二层,又称为二层隧 道协议;IPSec是第三层隧道协议,也是最常见的协议。L2TP和IPSec 配合使用是目前性能最好、应用最广泛的一种VPN 方式。 • ◎点到点隧道协议(PPTP)。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• 在配置PIX防火墙之前,首先了解防火墙接口的物理特性,PIX 防火墙一 般有三个物理接口,每个物理接口连接不同的区域。
• ◎内部区域(Inside):内部区域通常是指企业内部网络或者是指企业内 部网络的一部分。
• ◎外部区域(Outside):外部区域通常是指Internet或者非企业内部网 络。
• ◎IP安全协议(IPSec)。
上一页 下一页 返回
任务4.2 VPN 配置
• IPSec (IPSecurtyProtcol,IP安全协议)是一组开放标准集,它们协同地 工作来确保对等设备之间的数据机密性、数据完整性以及数据认证。
• 这些对等实体可能是一对主机或是一对安全网关(路由器、防火墙和 VPN 集中器,等等),或者它们可能在一个主机和一个安全网关之间,就 像远程访问VPN 这种情况。IPSec能够保护对等实体之间的多个数据 流,并且一个单一网关能够支持不同的、成对的合作伙伴之间的多条 并发安全IPSec隧道。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• 1)PIXfirewall>:用户模式。 • 2)PIXfirewall#:特权模式(用户模式输入Enable命令可以进入)。 • 3)PIXfirewall(config)#:配置模式(特权模式输入ConfigureTerminal
命令可以进入)。 • 4)Monitor>:ROM 监视模式,开机按住Esc键或按住Break键,进入监视
单元四 网络安全部署
• 任务４.１ ＰＩＸ 防火墙配置 • 任务４.２ ＶＰＮ 配置 • 任务４.３ ＡＡＡ＋８０２.１Ｘ 安全配置
返回
任务4.1 PIX 防火墙配置
• 4.1.1 防火墙概述
• 防火墙指的是在内部网和外部网之间、专用网与公共网之间的界面上 构造的保护屏障,是一种获取安全性的形象说法,它是一种计算机硬件 和软件的结合,在Internet与Intranet之间建立起一个安全网关 (SecurityGateway),从而保护内部网免受非法用户的侵入。防火墙主 要由服务访问规则、验证工具、包过滤和应用网关四个部分组成。防 火墙就是一个位于计算机和它所连接的网络之间的软件或硬件,该计 算机流入或流出的所有网络通信和数据包均要经过此防火墙。
上一页 下一页 返回
任务4.2 VPN 配置
• PPTP (Point-to-PointTunnelingProtocol)即点对点隧道协议,该协 议由美国微软公司设计,用于将PPP分组通过IP网络封装传输。通过 该协议,远程用户能够通过Windows操作系统以及其他装有点对点协 议的系统安全访问公司网络,并能拨号接入本地ISP,通过Internet安全 连接到公司网络。
• ◎Route定义静态路由。
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• 命令格式: Route If _ name Destination - Network Netmask Gateway _ IP Metric。
• If_Name:表示接口名字,例如Inside、Outside。 • Destination-Network:表示目的网络。 • Netmask:目的网络子网掩码。 • Gateway_IP:表示网关路由器的IP地址。 • Metric:表示到目的网络跳数,通常缺省是1。 • ◎Static配置静态IP地址转换。 • 命令格式:
上一页 下一页 返回
任务4.1 PIX 防火墙配置
• ◎Telnet。 • 当从外部接口通过Telnet到PIX防火墙时,Telnet数据流需要用VPN 隧