信息安全技術(shù)(HCIA-Security)-第二次課-網(wǎng)絡(luò)基本概念和常見(jiàn)網(wǎng)絡(luò)設(shè)備課件

1、網(wǎng)絡(luò)基本概念在學(xué)習(xí)安全技術(shù)之前，首先我們應(yīng)該了解網(wǎng)絡(luò)的基本概念，如網(wǎng)絡(luò)的基本通信原理，網(wǎng)絡(luò)的組成和常見(jiàn)的網(wǎng)絡(luò)協(xié)議等。在了解網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上，能夠理解網(wǎng)絡(luò)安全威脅，從而部署安全防御策略。學(xué)完本課程后，您將能夠：描述TCP/IP的工作原理描述常見(jiàn)協(xié)議的工作原理描述常見(jiàn)協(xié)議可能存在的安全威脅TCP/IP架構(gòu)常見(jiàn)網(wǎng)絡(luò)協(xié)議介紹典型園區(qū)網(wǎng)絡(luò)架構(gòu)核心層匯聚層接入層出口區(qū)OSI模型的提出OSI模型提出的目的OSI模型設(shè)計(jì)原則OSI模型的優(yōu)點(diǎn)OSI七層模型應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護(hù)和管理會(huì)話(huà)建立主機(jī)端到端連接尋址和路由選擇提供

2、介質(zhì)訪問(wèn)、鏈路管理等比特流傳輸APDUPPDUSPDUSegmentPacketFrameBit上三層下四層對(duì)等層通訊每一層利用下一層提供的服務(wù)與對(duì)等層通信。Host AHost BAPDUPPDUSPDUSegmentPacketFrameBit應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會(huì)話(huà)層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IP和OSI的對(duì)應(yīng)關(guān)系TCP/IP協(xié)議棧具有簡(jiǎn)單的分層設(shè)計(jì)，與OSI參考模型有清晰的對(duì)應(yīng)關(guān)系。OSITCP/IP物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會(huì)話(huà)層表示層應(yīng)用層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層TCP/IP協(xié)議棧各層作用提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和

3、路由選擇物理介質(zhì)訪問(wèn)HTTP, Telnet, FTP,TFTP, DNS網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層Ethernet, 802.3, PPP, HDLC, FRTCP/UDPIPICMP, IGMPARP, RARPTCP/IP協(xié)議棧封裝解封裝過(guò)程用戶(hù)數(shù)據(jù)APPTCPIPEth1010101101010100101010001110封裝過(guò)程解封裝過(guò)程發(fā)送方接收方IP用戶(hù)數(shù)據(jù)用戶(hù)數(shù)據(jù)用戶(hù)數(shù)據(jù)APPAPPAPPTCPTCP網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層五元組SNMPFTPHTTPTelnetSMTPDNSTFTPTCPUDPIP 數(shù) 據(jù) 包五元組8020/2123255

4、369161源IP地址目的IP地址協(xié)議源端口+目的端口TCP/IP架構(gòu)常見(jiàn)TCP/IP協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常見(jiàn)網(wǎng)絡(luò)層協(xié)議ICMPOSPF/RIPNMSNetstreamARPSNMPPC 1PC 1ARP簡(jiǎn)介主機(jī)A發(fā)送一個(gè)數(shù)據(jù)包給主機(jī)C之前，首先要獲取主機(jī)C的MAC地址。/2400-01-02-03-04-AA/2400-01-02-03-04-CC/2400-01-02-03-04-BBARP請(qǐng)求主機(jī) A/2400-01-02-03-04-BB主機(jī) C主機(jī) B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC ：00-01-02-03-

5、04-AA 目的MAC : FF-FF-FF-FF-FF-FFARP目的IP : 源IP : 目的MAC : 00-00-00-00-00-00 源MAC : 00-01-02-03-04-AA操作類(lèi)型 : RequestETH_IIFCSARP響應(yīng) (1)主機(jī) A/2400-01-02-03-04-BB主機(jī) C主機(jī) B/2400-01-02-03-04-CC/2400-01-02-03-04-AAHost Carp -aInternet address Physical address Type 00-01-02-03-04-AA DynamicARP響應(yīng) (2)主機(jī) A/2400-01-0

6、2-03-04-BB主機(jī) C主機(jī) B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC ：00-01-02-03-04-CC 目的IP : 源IP : 目的MAC : 00-01-02-03-04-AA 源MAC : 00-01-02-03-04-CC操作類(lèi)型 : Reply目的MAC ：00-01-02-03-04-AA ARPETH_IIFCS免費(fèi)ARP免費(fèi)ARP可以用來(lái)探測(cè)IP地址是否沖突。主機(jī) A/2400-01-02-03-04-AA目的IP : 源IP : 目的MAC : 00-00-00-00-00-00源MAC : 00-01-02-03-

7、04-AA源MAC ：00-01-02-03-04-AA 目的MAC ：FF-FF-FF-FF-FF-FFARPETH_IIFCSICMP簡(jiǎn)介ICMP用來(lái)傳遞差錯(cuò)、控制、查詢(xún)等信息。MessageReturn Message主機(jī) AICMP應(yīng)用 - Ping (1)Router ARouter B/24/24ping ?STRING IP address or hostname of a remote system-a Select source IP address, the default is the IP address of the output interface-c Specif

8、y the number of echo requests to be sent, the default is 5-d Specify the SO_DEBUG option on the socket being used-f Set Dont Fragment flag in packet (IPv4-only)-h Specify TTL value for echo requests to be sent, the default is 255-i Select the interface sending packetsICMP應(yīng)用 - Ping (2)Router Aping PI

9、NG : 56 data bytes, press CTRL_C to break Reply from : bytes=56 Sequence=1 ttl=255 time=340 ms Reply from : bytes=56 Sequence=2 ttl=255 time=10 ms Reply from : bytes=56 Sequence=3 ttl=255 time=30 ms Reply from : bytes=56 Sequence=4 ttl=255 time=30 ms Reply from : bytes=56 Sequence=5 ttl=255 time=30

10、ms - ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 10/88/340 msICMP應(yīng)用 - Tracert (1)主機(jī)A主機(jī)BRouter ARouter CRouter B/242/24/24tracert ?STRING IP address or hostname of a remote system-a Set source IP address, the default is the IP address of t

11、he output interface-f First time to live, the default is 1-m Max time to live, the default is 30-name Display the host name of the router on each hop-p Destination UDP port number, the default is 33434-q Number of probe packet, the default is 3-s Specify the length of the packets to be sent. The def

12、ault length is 12 bytesICMP應(yīng)用 - Tracert (2)Tracert顯示數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過(guò)程中所經(jīng)過(guò)的每一跳。tracert Tracert to (), max hops:30, packet length:40, press CTRL_C to break 1 130 ms 50 ms 40 ms 2 80 ms 60 ms 80 ms 3 80 ms 60 ms 70 ms 主機(jī)A主機(jī)BRouter ARouter CRouter B/242/24/24路由協(xié)議綜述路由是數(shù)據(jù)通信網(wǎng)絡(luò)中最基本的要素。路由信息就是指導(dǎo)報(bào)文發(fā)送的路徑信息，路由的過(guò)程就是報(bào)文轉(zhuǎn)發(fā)

13、的過(guò)程。路由協(xié)議PC 1PC 2OSPF簡(jiǎn)介無(wú)環(huán)路收斂快擴(kuò)展性好支持認(rèn)證Site BSite ASite COSPFRTBRTARTCOSPFOSPFSNMP簡(jiǎn)介SNMP用來(lái)在網(wǎng)絡(luò)管理系統(tǒng)NMS和被管理設(shè)備之間傳輸管理信息。NMSSNMPSNMP架構(gòu)SNMP包括NMS，Agent和MIB等。Agent是被管理設(shè)備中的一個(gè)代理進(jìn)程。MIB是一個(gè)數(shù)據(jù)庫(kù)，它包含了被管理設(shè)備所維護(hù)的變量。AgentMIBSNMPExecuteNotify被管理設(shè)備N(xiāo)MS企業(yè)網(wǎng)絡(luò)運(yùn)維掌握所有分支的流量趨勢(shì)，主動(dòng)發(fā)現(xiàn)需要擴(kuò)容的設(shè)備和分支。分析分支增加流量的應(yīng)用分布，找出擴(kuò)容價(jià)值點(diǎn)。 整理分支流量變化，合理分配現(xiàn)有網(wǎng)絡(luò)資源

14、。IT工程師：分支一 的*設(shè)備端口帶寬使用飽和，需要購(gòu)置新設(shè)備進(jìn)行網(wǎng)絡(luò)擴(kuò)容。主管：又要擴(kuò)容？ 是網(wǎng)絡(luò)優(yōu)化不徹底，還是確實(shí)業(yè)務(wù)應(yīng)用發(fā)展快？IT工程師：我這里有各分支詳細(xì)的網(wǎng)絡(luò)應(yīng)用發(fā)展報(bào)告.總部分支一分支二NTA概念及功能基本概念eSight NTA即網(wǎng)流分析系統(tǒng)（Network Traffic Analyzer）是純軟件解決方案，無(wú)需硬件探針，不會(huì)額外增加用戶(hù)投資；通過(guò)NetFlow、NetStream、sFlow協(xié)議，對(duì)常見(jiàn)的IP報(bào)文進(jìn)行采集和分析，提供貼近客戶(hù)的分析報(bào)表，能實(shí)時(shí)準(zhǔn)確的監(jiān)控全網(wǎng)流量，是企業(yè)運(yùn)維管理的一大利器。功能簡(jiǎn)介eSight NTA提供了一種便捷的網(wǎng)絡(luò)監(jiān)控、分析的方法，利用

15、支持NetFlow/NetStream/sFlow等技術(shù)的網(wǎng)絡(luò)設(shè)備提供的IP網(wǎng)絡(luò)流量信息，深入分析全網(wǎng)流量，提供及時(shí)的流量分析報(bào)告，通過(guò)豐富的圖表來(lái)展示流量分析結(jié)果，幫助用戶(hù)全面了解全網(wǎng)流量，第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，了解整個(gè)網(wǎng)絡(luò)中的流量分布。NetStream簡(jiǎn)介NetStream是華為技術(shù)有限公司的專(zhuān)利技術(shù)，是一種網(wǎng)絡(luò)流信息的統(tǒng)計(jì)與發(fā)布技術(shù)。NDE把獲得的統(tǒng)計(jì)信息定期向NSC發(fā)送，由NSC進(jìn)行進(jìn)一步的處理，然后交給后續(xù)的NDA進(jìn)行數(shù)據(jù)分析，分析的結(jié)果為網(wǎng)絡(luò)計(jì)費(fèi)與規(guī)劃提供依據(jù)。NDENDENSCNSCNDANetstream流TCP/IP架構(gòu)常見(jiàn)網(wǎng)絡(luò)協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常用

16、網(wǎng)絡(luò)設(shè)備介紹建立TCP連接三次握手ClientServerSYN (seq=a)SYN,ACK (seq=b, ack=a+1)ACK (seq=a+1, ack=b+1)斷開(kāi)TCP連接四次揮手ClientServerFIN (seq=a)ACK (seq=b, ack=a+1)ACK (seq=a+1, ack=c+1)FIN,ACK (seq=c, ack=a+1)TCP/IP架構(gòu)常見(jiàn)網(wǎng)絡(luò)協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常用網(wǎng)絡(luò)設(shè)備介紹常見(jiàn)應(yīng)用層協(xié)議SIP 服務(wù)器WEB 服務(wù)器Mail 服務(wù)器FTP 服務(wù)器DNS 服務(wù)器PCFTP原理FTP 提供了一種在服務(wù)器和客戶(hù)機(jī)之間上傳和下載文

17、件的有效方式。使用FTP傳輸數(shù)據(jù)時(shí)，需要在服務(wù)器和客戶(hù)機(jī)之間建立控制連接和數(shù)據(jù)連接。用戶(hù)用戶(hù)接口控制進(jìn)程數(shù)據(jù)傳輸進(jìn)程文件系統(tǒng)控制進(jìn)程數(shù)據(jù)傳輸進(jìn)程文件系統(tǒng)客戶(hù)端服務(wù)器控制連接數(shù)據(jù)連接FTP傳輸模式 (1)FTP連接的建立分為主動(dòng)模式和被動(dòng)模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務(wù)器發(fā)起還是由客戶(hù)端發(fā)起。缺省情況下采用主動(dòng)模式，用戶(hù)可以通過(guò)命令切換。 主動(dòng)模式下FTP連接建立：臨時(shí)端口臨時(shí)端口端口21端口20控制連接數(shù)據(jù)連接FTP ClientFTP ServerFTP傳輸模式 (2)被動(dòng)模式FTP連接建立:臨時(shí)端口臨時(shí)端口端口21臨時(shí)端口控制連接數(shù)據(jù)連接FTP ClientFTP ServerHTTP

18、/HTTPS - Web應(yīng)用基本組成部分Web基于客戶(hù)端（Client）服務(wù)器（Server）架構(gòu)實(shí)現(xiàn)，包含三個(gè)部分：使用HTML（HyperText Mark-up Language）描述文件使用URL（Uniform Resource Locator）指定文件的所在透過(guò)HTTP（HyperText Transfer Protocol）協(xié)議與服務(wù)器溝通服務(wù)器（Server）客戶(hù)端（Client）訪問(wèn)URL：www.HHTTP/HTTPSHTML文件URL指定服務(wù)器文件對(duì)客戶(hù)端顯示HTTP工作原理HTTP（Hypertext Transfer Protocol）是一種無(wú)狀態(tài)的協(xié)議，基于簡(jiǎn)單的請(qǐng)

19、求 - 響應(yīng)模式（requests/responses）。HTTP有兩類(lèi)報(bào)文：請(qǐng)求報(bào)文從客戶(hù)端向服務(wù)器發(fā)送請(qǐng)求報(bào)文。響應(yīng)報(bào)文從服務(wù)器到客戶(hù)端的回答。您好！請(qǐng)問(wèn)有什么事么？我需要XXX文件！GET /http:/class/xxxx HTTP/1.1請(qǐng)問(wèn)你有通關(guān)密語(yǔ)嗎？有，&%（#OK，這就是你要的文件！HTTP/1.1 200 OKDNS工作原理域名解析要由專(zhuān)門(mén)的域名解析系統(tǒng)（Domain Name System，簡(jiǎn)稱(chēng)DNS）來(lái)完成。在DNS系統(tǒng)中，涉及以下幾種類(lèi)型的服務(wù)器：根服務(wù)器頂級(jí)域名服務(wù)器遞歸服務(wù)器緩存服務(wù)器客戶(hù)端緩存服務(wù)器我想訪問(wèn)的IP地址是Z.Z.Z.Z這個(gè)，我也不清楚，得問(wèn)問(wèn)明白

20、人根服務(wù)器頂級(jí)域名服務(wù)器遞歸服務(wù)器對(duì)應(yīng)的IP地址是什么.com的域名服務(wù)器IP地址是X.X.X.X對(duì)應(yīng)的IP地址是什么.的域名服務(wù)器IP地址是Y.Y.Y.Y對(duì)應(yīng)的IP地址是什么的IP地址是Z.Z.Z.ZIP:X.X.X.XIP:Y.Y.Y.Y客戶(hù)端緩存服務(wù)器我又要訪問(wèn)的IP地址是Z.Z.Z.Z這次我記得第一次訪問(wèn)第二次訪問(wèn)SMTP/POP3/IMAP - 郵件收發(fā)機(jī)制SMTP定義了計(jì)算機(jī)如何將郵件發(fā)送到SMTP Server，SMTP Server之間如何中轉(zhuǎn)郵件。POP3（Post Office Protocol 3，郵局協(xié)議版本3）和IMAP（Internet Mail Access Pr

21、otocol，交互式郵件存取協(xié)議）規(guī)定計(jì)算機(jī)如何通過(guò)客戶(hù)端軟件管理、下載郵件服務(wù)器上的電子郵件?；谠摲N方式，網(wǎng)絡(luò)管理員需要在郵件服務(wù)器上部署SMTP服務(wù)、POP3服務(wù)（或IMAP服務(wù)）；終端用戶(hù)需要在PC上安裝郵件客戶(hù)端軟件（例如MicroSoft OutLook、FoxMail等郵件管理軟件）。以下哪個(gè)不屬于TCP/IP協(xié)議簇？（ ）數(shù)據(jù)鏈路層傳輸層會(huì)話(huà)層應(yīng)用層以下哪個(gè)報(bào)文是TCP三次握手的首包？（ ）SYN+ACKSYNACKFINTCP/IP架構(gòu)常見(jiàn)網(wǎng)絡(luò)協(xié)議介紹常見(jiàn)網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)的基礎(chǔ)構(gòu)成，我們?cè)谝?guī)劃和組建網(wǎng)絡(luò)時(shí)，往往需要部署網(wǎng)絡(luò)設(shè)備，并且需要在網(wǎng)絡(luò)設(shè)備上進(jìn)行相關(guān)配置已連通網(wǎng)絡(luò)

22、或達(dá)到滿(mǎn)足網(wǎng)絡(luò)安全需求的目的。學(xué)完本課程后，您將能夠：描述華為常見(jiàn)網(wǎng)絡(luò)基礎(chǔ)設(shè)備描述網(wǎng)絡(luò)設(shè)備的功能登錄網(wǎng)絡(luò)設(shè)備并對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行基礎(chǔ)配置網(wǎng)絡(luò)基礎(chǔ)設(shè)備設(shè)備初始登錄園區(qū)網(wǎng)絡(luò)安全部署場(chǎng)景出差員工分支/合作伙伴病毒DMZ區(qū)辦公區(qū)辦公區(qū)數(shù)據(jù)中心NIPvNGFWAnti-DDoSATIC交換機(jī)交換機(jī)工作在數(shù)據(jù)鏈路層，轉(zhuǎn)發(fā)數(shù)據(jù)幀。SWA主機(jī)A主機(jī)C主機(jī)BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交換機(jī)的轉(zhuǎn)發(fā)行為泛洪（Flooding）轉(zhuǎn)發(fā)（Forwar

23、ding）丟棄（Discarding）交換機(jī)初始狀態(tài)初始狀態(tài)下，交換機(jī)MAC地址表為空。MAC地址表MAC接口SWA主機(jī)A主機(jī)C主機(jī)BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3學(xué)習(xí)MAC地址交換機(jī)將收到的數(shù)據(jù)幀的源MAC地址和對(duì)應(yīng)接口記錄到MAC地址表中。MAC接口00-01-02-03-04-AAG0/0/1MAC地址表SWA主機(jī)A主機(jī)C主機(jī)BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-

24、02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARPDec.MacSrc.MacMAC接口00-01-02-03-04-AAG0/0/1轉(zhuǎn)發(fā)數(shù)據(jù)幀當(dāng)數(shù)據(jù)幀的目的MAC地址不在MAC表中，或者目的MAC地址為廣播地址時(shí)，交換機(jī)會(huì)泛洪該幀。Dec.MacMAC地址表SWA主機(jī)A主機(jī)C主機(jī)BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/300-01-02-03-04-AAFF-F

25、F-FF-FF-FF-FFARPSrc.Mac目標(biāo)主機(jī)回復(fù)交換機(jī)根據(jù)MAC地址表將目標(biāo)主機(jī)的回復(fù)信息單播轉(zhuǎn)發(fā)給源主機(jī)。MAC接口00-01-02-03-04-AAG0/0/100-01-02-03-04-CCG0/0/3Dec.MacSrc.MacMAC地址表SWA主機(jī)A主機(jī)C主機(jī)BIP: /24MAC:00-01-02-03-04-AAIP: /24MAC:00-01-02-03-04-BBIP: /24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARP00-01-02-03-04-AA00-01-02-03-04-CC路由器功能：在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包

26、。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層Router ARouter BRouter C應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層Host AHost B應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層Router CRouter BRouter A路由選路路由器負(fù)責(zé)為數(shù)據(jù)包選擇一條最優(yōu)路徑，并進(jìn)行轉(zhuǎn)發(fā)。RTARTBRTCRTD防火墻防火墻主要用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來(lái)自另一個(gè)網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。防火墻與交換機(jī)、路由器對(duì)比路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。交換機(jī)匯聚組建局域網(wǎng)二/三層快速轉(zhuǎn)發(fā)報(bào)文防火墻控制報(bào)文轉(zhuǎn)發(fā)防攻擊病毒木馬路由器尋址和轉(zhuǎn)發(fā)保證網(wǎng)絡(luò)互聯(lián)互通防

27、火墻的發(fā)展歷史198919941995200420052009訪問(wèn)控制代理技術(shù)會(huì)話(huà)機(jī)制專(zhuān)用設(shè)備多功能疊加DPI技術(shù)基于用戶(hù)+應(yīng)用+內(nèi)容進(jìn)行管控包過(guò)濾應(yīng)用代理狀態(tài)檢測(cè)UTM下一代防火墻NGFW防火墻安全區(qū)域安全區(qū)域（Security Zone），或者簡(jiǎn)稱(chēng)為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個(gè)或多個(gè)接口所連接的網(wǎng)絡(luò)。DMZ區(qū)域Trust區(qū)域Untrust區(qū)域防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個(gè)具有完全相同安全級(jí)別的安全區(qū)域？ 防火墻是否允許同一物理接口分屬于兩個(gè)不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個(gè)安全區(qū)域？G0/0/2DMZ區(qū)域G

28、0/0/3Untrust區(qū)域 G0/0/0Trust區(qū)域G0/0/1Trust區(qū)域網(wǎng)絡(luò)基礎(chǔ)設(shè)備設(shè)備初始登錄基礎(chǔ)業(yè)務(wù)配置基礎(chǔ)系統(tǒng)設(shè)置VRP簡(jiǎn)介VRP: Versatile Routing Platform，通用路由平臺(tái)。網(wǎng)絡(luò)操作系統(tǒng)支撐多種設(shè)備的軟件平臺(tái)提供TCP/IP 路由服務(wù)命令行簡(jiǎn)介系統(tǒng)將命令行接口劃分為若干個(gè)命令視圖，系統(tǒng)的所有命令都注冊(cè)在某個(gè)（或某些）命令視圖下，只有在相應(yīng)的視圖下才能執(zhí)行該視圖下的命令。 -用戶(hù)視圖system-viewNGFW -系統(tǒng)視圖NGFWinterface GigabitEthernet 0/0/1NGFWGigabitEthernet0/0/1quit -

29、接口視圖NGFWospf 1 NGFW-ospf-1 -協(xié)議視圖命令行幫助 - 完全幫助應(yīng)用完全幫助，系統(tǒng)可以協(xié)助您在輸入命令行時(shí)，給予全部關(guān)鍵字或參數(shù)的提示。在任一命令視圖下，鍵入“?”獲取該命令視圖下所有的命令及其簡(jiǎn)單描述。鍵入一命令，后接以空格分隔的“?”，如果該位置為關(guān)鍵字，則列出全部關(guān)鍵字及其簡(jiǎn)單描述。?User view commands: anti-ddos Defend against DDoS attacks arp Specify ARP configuration informationdisplay firewall ? blacklist Indicate the b

30、lacklist command group dataplane Indicate dataplane to manageplane defend Indicate attack defense命令行幫助 - 部分幫助應(yīng)用部分幫助，系統(tǒng)可以協(xié)助您在輸入命令行時(shí)，給予以該字符串開(kāi)頭的所有關(guān)鍵字或參數(shù)的提示。鍵入一字符串，其后緊接“?”，列出以該字符串開(kāi)頭的所有關(guān)鍵字。鍵入一命令，后接一字符串緊接“?”，列出命令以該字符串開(kāi)頭的所有關(guān)鍵字。d? debugging delete dir display download display b? backup-configuration bfd bgp

31、 bridge buffer bulk-stat命令行幫助 - Tab鍵如果與不完整的關(guān)鍵字匹配的關(guān)鍵字唯一。如果不匹配或者匹配的關(guān)鍵字不唯一。 NGFWinfo- NGFWinfo-center NGFWinfo-center lNGFWinfo-center loNGFWinfo-center loghostNGFWinfo-center localNGFWinfo-center logbufferNGFWinfo-center logfile配置接口選擇“網(wǎng)絡(luò) 接口”，選擇對(duì)應(yīng)接口的編輯。配置接口IP地址，切換接口模式。通過(guò)切換接口模式。路由：三層接口交換：二層接口：配置IP地址，子網(wǎng)掩

32、碼加入安全區(qū)域配置路由選擇“網(wǎng)絡(luò) 路由 靜態(tài)路由”，單擊“新建” 。12設(shè)備登錄管理綜述設(shè)備登錄管理 Console登錄telnet登錄SSH登錄Web登錄通過(guò)Console口登錄設(shè)備 (1)查看本機(jī)端口參數(shù)通過(guò)Console口登錄設(shè)備 (2)設(shè)置連接端口和通信參數(shù)參數(shù)取值每秒位數(shù)（波特率）9600數(shù)據(jù)位8奇偶校驗(yàn)無(wú)停止位1數(shù)據(jù)流控制（流量控制）無(wú)Web登錄 - 功能簡(jiǎn)介設(shè)備缺省可以通過(guò)GigabitEthernet0/0/0接口來(lái)登錄Web界面。將管理員PC的網(wǎng)絡(luò)連接的IP地址獲取方式設(shè)置為“自動(dòng)獲取IP地址”。 將PC的以太網(wǎng)口與設(shè)備的缺省管理接口直接相連，或者通過(guò)交換機(jī)中轉(zhuǎn)相連。 在PC

33、的瀏覽器中訪問(wèn)，進(jìn)入Web界面的登錄頁(yè)面。缺省用戶(hù)名為admin，密碼為Admin123.Web登錄 - 配置管理 (1)如果需要從業(yè)務(wù)口通過(guò)web方式登錄設(shè)備，則需要在設(shè)備上配置web方式登錄的功能。并啟動(dòng)Web管理功能，根據(jù)客戶(hù)需求啟動(dòng)HTTP或者HTTPS管理，以及設(shè)置端口號(hào)。12Web登錄 - 配置管理 (2)配置Web管理員。123Web登錄 - 配置管理 (3)配置登錄接口。123Telnet登錄 - 配置管理 (1)NGFW缺省不允許通過(guò)telnet登錄，需要配置telnet服務(wù)，需要先通過(guò)其他方式登錄到設(shè)備上進(jìn)行telnet服務(wù)配置。啟用telnet服務(wù)。12Telnet登錄 - 配置管理 (2)配置Telnet管理員。123Telnet登錄 - 配置管理 (3)配置登錄接口。SSH登錄 - 配置管理 (1)SSH可以為用戶(hù)登錄設(shè)備系統(tǒng)提供安全的信息保障和強(qiáng)大的認(rèn)證功能。配置USG接口SSH設(shè)備管理，管理員根據(jù)實(shí)際的需要打開(kāi)。配置命令：?jiǎn)⒂肧Telnet服務(wù)配置USG接口允許SSH管理配置RSA本地密鑰對(duì)配置VTY用戶(hù)界面NGFWstelnet