網(wǎng)絡(luò)設(shè)備安裝與調(diào)試-神碼版（第2版） 課件 項目5 網(wǎng)絡(luò)安全技術(shù)配置

*網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版）第2版

“十二五”職業(yè)教育國家規(guī)劃教材經(jīng)全國職業(yè)教育教材審定委員會審定*項目5網(wǎng)絡(luò)安全技術(shù)配置網(wǎng)絡(luò)設(shè)備安裝與調(diào)試（神碼版)第2版*項目5網(wǎng)絡(luò)安全技術(shù)配置

項目描述

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用范圍的不斷擴大，網(wǎng)絡(luò)已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢缮俚囊徊糠?。園區(qū)網(wǎng)作為給終端用戶提供網(wǎng)絡(luò)接入和基礎(chǔ)服務(wù)的應(yīng)用環(huán)境，其存在的網(wǎng)絡(luò)安全隱患不斷顯現(xiàn)出來。例如，非人為的或自然力造成的故障、事故；人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失或損壞；來自園區(qū)網(wǎng)外部和內(nèi)部人員的惡意攻擊與破壞等。網(wǎng)絡(luò)安全狀況直接影響人們的學(xué)習(xí)、工作和生活，網(wǎng)絡(luò)安全問題已經(jīng)成為信息社會關(guān)注的焦點之一，因此需要實施網(wǎng)絡(luò)安全防范。

保護園區(qū)網(wǎng)絡(luò)安全的措施包括以下幾點：在終端主機上安裝防病毒軟件，保護終端設(shè)備的安全；利用交換機的端口安全功能，防止局域網(wǎng)內(nèi)部的MAC地址攻擊、ARP攻擊、IP/MAC地址欺騙等攻擊；利用IP地址訪問控制列表對網(wǎng)絡(luò)流量進行過濾和管理，從而保護子網(wǎng)之間的通信安全及敏感設(shè)備，防止非授權(quán)的訪問；利用NAT技術(shù)從一定程度上為內(nèi)部網(wǎng)絡(luò)主機提供“隱私”保護；在網(wǎng)絡(luò)出口部署防火墻，防范外部網(wǎng)絡(luò)未授權(quán)訪問和非法攻擊；建立保護內(nèi)網(wǎng)安全的規(guī)章制度，保護內(nèi)部網(wǎng)絡(luò)設(shè)備的安全。本項目重點學(xué)習(xí)交換機端口安全功能的配置、IP訪問控制列表的配置與應(yīng)用，以及NAT的配置與應(yīng)用。*項目5網(wǎng)絡(luò)安全技術(shù)配置*項目5網(wǎng)絡(luò)安全技術(shù)配置*項目5網(wǎng)絡(luò)安全技術(shù)配置任務(wù)5.1交換機端口安全功能的配置

任務(wù)5.1交換機端口安全功能的配置通過MAC地址表的記錄連接到交換機端口的以太網(wǎng)MAC地址，本端口只允許某個MAC地址進行通信。其他MAC地址發(fā)送的數(shù)據(jù)包通過此端口時，端口安全特性會阻止它。

任務(wù)情境某公司最近網(wǎng)絡(luò)速度變慢，公司的網(wǎng)絡(luò)管理員發(fā)現(xiàn)有些部門的員工私自將筆記本計算機接入公司網(wǎng)絡(luò)來下載電影，給公司正常的上網(wǎng)帶來了負擔(dān)，同時也給公司的網(wǎng)絡(luò)安全帶來了隱患。任務(wù)5.1交換機端口安全功能的配置

情境分析非授權(quán)的計算機接入網(wǎng)絡(luò)會造成公司信息管理成本的增加，不僅影響公司用戶正常地使用網(wǎng)絡(luò)，還會造成嚴重的網(wǎng)絡(luò)安全問題。在接入交換機上配置端口安全功能，利用MAC地址進行綁定，不僅可以解決非授權(quán)的計算機影響正常網(wǎng)絡(luò)使用的問題，還可以避免惡意用戶利用未綁定，MAC地址的端口來實施MAC地址泛洪攻擊。下面以2臺C6200-28X-EI的交換機來模擬網(wǎng)絡(luò)，學(xué)習(xí)和掌握交換機端口安全的配置方法，拓撲結(jié)構(gòu)如圖5.1.1所示。任務(wù)5.1交換機端口安全功能的配置具體要求如下。（1）根據(jù)圖5.1.1所示的拓撲結(jié)構(gòu)，使用線纜連接好所有的計算機和交換機。設(shè)置每臺計算機的IP地址和子網(wǎng)掩碼，如表5.1.1所示。（2）出于安全方面的考慮，在交換機端口上配置端口安全，綁定計算機的MAC地址，防止非法計算機的接入。任務(wù)5.1交換機端口安全功能的配置

任務(wù)實施步驟1：查看PC1的MAC地址。（1）在任務(wù)欄的左下角，右擊選擇“開始”→“運行”命令，如圖5.1.2所示。（2）在“運行”對話框的“打開”文本框中輸入“cmd”，單擊“確定”按鈕，如圖5.1.3所示。（3）輸入“ipconfig/all”命令，查看MAC地址，如圖5.1.4所示。任務(wù)5.1交換機端口安全功能的配置

任務(wù)實施（2）?使用同樣的方法查詢PC2的MAC地址。（3）將交換機恢復(fù)出廠設(shè)置，此處略。（4）交換機S1的基本配置。任務(wù)5.1交換機端口安全功能的配置

任務(wù)實施（5）交換機S2的基本配置。任務(wù)5.1交換機端口安全功能的配置

任務(wù)實施（6）開啟交換機端口的端口安全功能，并綁定對應(yīng)的MAC地址。在S1的Ethernet1/0/1接口和Ethernet1/0/2接口配置StickyMAC地址。任務(wù)5.1交換機端口安全功能的配置

任務(wù)實施在S2的E1/0/24接口，配置端口安全動態(tài)MAC地址。任務(wù)5.1交換機端口安全功能的配置

任務(wù)驗收1.在交換機S1上使用showport-securityaddress命令和showport-security命令，查看交換機與計算機之間的接口。任務(wù)5.1交換機端口安全功能的配置

任務(wù)驗收2.測試計算機的互通性。（1）使用ping命令測試內(nèi)部通信的情況。使用PC1pingPC2和PC3，可以看出，PC1與PC2和PC3之間可以互相通信，如圖5.1.5所示。任務(wù)5.1交換機端口安全功能的配置

任務(wù)驗收（2）使用PC2pingPC3，可以看出，PC2和PC3之間不可以互相通信，如圖5.1.6所示。因為SW2的E1/0/24接口將學(xué)習(xí)MAC地址的數(shù)量限制為1，當(dāng)有多于1臺計算機通過時，交換機發(fā)出告警，并關(guān)閉接口。任務(wù)5.1交換機端口安全功能的配置

任務(wù)驗收（3）使用showinterfaceethernet1/0/24|includeEthernet命令查詢E1/0/24接口是否已經(jīng)關(guān)閉。（4）更換計算機，測試互通性。將PC3的IP地址設(shè)置為/24，連接到交換機Ethernet1/0/1接口上。可以看出，更換計算機之后，因為MAC地址不同，所以PC3和PC2之間不可以互相通信，如圖5.1.7所示。任務(wù)5.1交換機端口安全功能的配置

任務(wù)資訊1．端口安全的概念交換機端口安全，是指針對交換機端口進行安全屬性的配置，從而控制用戶的安全接入。端口安全特性可以使特定MAC地址的主機流量通過該端口。在端口上配置了安全的MAC地址之后，定義之外的源MAC地址發(fā)送的數(shù)據(jù)包將被端口丟棄。2．端口安全的配置網(wǎng)絡(luò)的MAC地址是設(shè)備不變的物理地址，控制MAC地址的接入就控制了交換機的端口接入，所以端口安全也是MAC地址的安全。在交換機中，CAM（ContentAddressableMemory，內(nèi)容可尋址內(nèi)存表）又稱為MAC地址表，其記錄了與交換機相連的設(shè)備的MAC地址、端口號、所屬VLAN等對應(yīng)關(guān)系。任務(wù)5.1交換機端口安全功能的配置

任務(wù)資訊1）配置端口安全動態(tài)MAC地址此功能是將動態(tài)學(xué)習(xí)到的MAC地址設(shè)置為安全屬性，其他沒有被學(xué)習(xí)到的非安全屬性的MAC地址數(shù)據(jù)幀將被端口丟棄。神州數(shù)碼的交換機默認的動態(tài)MAC地址表項的老化時間為300秒，在系統(tǒng)視圖下執(zhí)行mac-addressaging-time命令可以修改動態(tài)MAC地址表項的老化時間。在實際網(wǎng)絡(luò)中不建議隨意修改老化時間。任務(wù)5.1交換機端口安全功能的配置

任務(wù)資訊2）配置StickyMAC地址在交換機的端口激活PortSecurity之后，在該端口上學(xué)習(xí)到的合法的動態(tài)MAC地址稱為動態(tài)安全MAC地址，這些MAC地址默認不會被老化（在接口視圖下使用port-securityaging-time命令可以設(shè)置動態(tài)安全MAC地址的老化時間），然而這些MAC地址表項在交換機重啟之后會丟失，因此交換機必須重新學(xué)習(xí)MAC地址。交換機能夠?qū)討B(tài)安全MAC地址轉(zhuǎn)換成StickyMAC地址，StickyMAC地址表項在交換機中保存配置后，即使交換機重啟也不會丟失。交換機端口安全的配置一般有三種方式：一是靜態(tài)配置端口允許訪問的主機；二是建立基于MAC地址的訪問控制列表；三是對IP地址和MAC地址一一進行綁定（要利用訪問控制列表來實現(xiàn)，會在后面介紹）。MAC地址或稱為物理地址、硬件地址，用來定義網(wǎng)絡(luò)設(shè)備的位置。MAC地址是刻錄在網(wǎng)卡中的。MAC地址的長度是48位（6字節(jié)），0～23位稱為組織唯一標志符，是識別LAN（局域網(wǎng)）結(jié)點的標識，24～47位由廠商分配。MAC地址用12個十六進制的數(shù)字表示，如圖5.1.8所示。任務(wù)5.1交換機端口安全功能的配置

任務(wù)資訊ipconfig參數(shù)簡介如下所示。ipconfig/all：顯示本機TCP/IP配置的詳細信息。ipconfig/release：DHCP客戶端手動釋放IP地址。

ipconfig/renew：DHCP客戶端手動向服務(wù)器刷新請求。ipconfig/flushdns：清除本地DNS緩存內(nèi)容。ipconfig/displaydns：顯示本地DNS緩存內(nèi)容。ipconfig/registerdns：手動向服務(wù)器注冊DNS客戶端。ipconfig/showclassid：顯示網(wǎng)絡(luò)適配器的DHCP類別信息。ipconfig/setclassid：設(shè)置網(wǎng)絡(luò)適配器的DHCP類別信息。

任務(wù)5.1交換機端口安全功能的配置

學(xué)習(xí)小結(jié)（1）MAC地址的數(shù)量默認為1。（2）MAC地址數(shù)達到限制后的保護動作有3個，默認為shutdown。（3）動態(tài)安全MAC地址表項默認不老化。*項目5網(wǎng)絡(luò)安全技術(shù)配置任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)情境某公司的網(wǎng)絡(luò)管理員小趙負責(zé)公司辦公網(wǎng)的管理工作，每天都需要保障公司內(nèi)部網(wǎng)絡(luò)設(shè)備的正常運行，同時進行辦公網(wǎng)的日常管理和維護工作。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

情境分析在安裝辦公網(wǎng)的過程中，路由器和交換機放置在中心機房，每次配置的時候，都需要去中心機房進行現(xiàn)場配置、調(diào)試，非常麻煩。因此小趙決定在路由和交換設(shè)備上開啟遠程登錄管理功能，即通過遠程方式登錄路由器和交換機。下面以一臺型號為DCR-2655的路由器和一臺型號C6200-28X-EI的交換機為來模擬網(wǎng)絡(luò)，學(xué)習(xí)和掌握網(wǎng)絡(luò)設(shè)備遠程管理的配置方法，網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖5.2.1所示。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置具體要求如下。（1）根據(jù)圖5.2.1所示的拓撲結(jié)構(gòu)，使用直通線連接好所有的計算機和交換機。（2）路由器和交換機端口IP地址如表5.2.1所示。（3）在路由器R1和S1上，先配置Telnet遠程管理，再配置SSH遠程管理，并使用PC1對其進行驗證。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施1．配置通過Telnet登錄系統(tǒng)（1）恢復(fù)路由器和交換機的出廠配置，此處略。?（2）配置交換機S1的主機名稱并創(chuàng)建VLAN10和VLAN20，將Ethernet1/0/1加入到VLAN10中，將Ethernet1/0/24加入到VLAN20中。

任務(wù)實施（3）在交換機S1上，設(shè)置每個VLAN的接口IP地址。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施（4）路由器R1的配置。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施（4）路由器R1的配置。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施（5）在交換機S1上設(shè)置授權(quán)Telnet用戶。（6）在路由器R1上設(shè)置授權(quán)Telnet用戶。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施2．配置通過SSH登錄系統(tǒng)（1）恢復(fù)路由器和交換機的出廠配置，此處略。?（2）配置交換機S1的主機名稱并創(chuàng)建VLAN10和VLAN20，將Ethernet1/0/1加入到VLAN10中，將Ethernet1/0/24加入到VLAN20中，此處略。（3）在交換機S1上，設(shè)置每個VLAN的接口IP地址，此處略。?（4）路由器R1的配置，此處略。（5）在交換機S1上設(shè)置授權(quán)SSH用戶、密碼和用戶優(yōu)先級等信息。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)實施（6）在路由器R1上設(shè)置授權(quán)SSH用戶、密碼和登錄認證方式等信息。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收1．對Telnet遠程登錄的測試在PC1上，使用telnet54和telnet進行登錄測試。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收2．對SSH遠程登錄的測試（1）在PC1上，使用SecureCRT軟件對交換機進行登錄測試。打開SecureCRT軟件，選擇“File”→“QuickConnect”命令，在“Hostname”文本框中輸入“54”，單擊“Connect”按鈕，如圖5.2.2所示。選擇“Options”→“SessionOptions”命令，打開如圖5.2.3所示的對話框，在“Keyexchange”選區(qū)處勾選“diffie-hellman”復(fù)選框，單擊“OK”按鈕。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收在IP地址“54”處右擊，選擇“Reconnect”命令進行重新連接，如圖5.2.4所示。彈出提示輸入Password的對話框，在兩個文本框中分別輸入admin的密碼，單擊“OK”按鈕，如圖5.2.5所示。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收此時會顯示“S1>”連接成功的對話框，輸入“enable”進入特權(quán)模式，再輸入“config”進入全局模式，表示遠程連接成功，如圖5.2.6所示。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收（2）在PC1上，使用SecureCRT軟件對路由器進行登錄測試。打開SecureCRT軟件，選擇“File”→“QuickConnect”命令，在“Protocol”下拉列表中選擇“SSH2”選項，在“Hostname”文本框中輸入“”，在“Username”文本框中輸入“admin”，單擊“Connect”按鈕，如圖5.2.7所示。這時會彈出“NewHostKey”對話框，單擊“Accept&Save”按鈕即可，如圖5.2.8所示。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)驗收彈出提示輸入Password的對話框，在兩個文本框中分別輸入admin的密碼，單擊“OK”按鈕，如圖5.2.9所示。此時會顯示遠程連接的歡迎語，輸入“enable”進入特權(quán)模式，再輸入“config”進入全局模式，表示遠程連接成功。任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置

任務(wù)資訊任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置1．Telnet介紹Telnet（TelecommunicationNetworkProtocol）起源于ARPANET（AdvancedResearchProjectAgencynetwork，阿帕網(wǎng)），是最早的Internet應(yīng)用之一。Telnet通常用在遠程登錄的應(yīng)用中，以便對本地或遠程運行的網(wǎng)絡(luò)設(shè)備進行配置、監(jiān)控和維護。如果網(wǎng)絡(luò)中有多臺設(shè)備需要配置和管理，用戶無須為每一臺設(shè)備都連接一個用戶終端進行本地配置，可以通過Telnet方式在一臺設(shè)備上對多臺設(shè)備進行管理或配置。如果網(wǎng)絡(luò)中需要管理或配置的設(shè)備不在本地，也可以通過Telnet方式實現(xiàn)對網(wǎng)絡(luò)中的設(shè)備的遠程維護，極大地提高了用戶操作的靈活性。

任務(wù)資訊任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置2．SSH介紹由于Telnet缺少安全的認證方式，而且傳輸過程采用TCP進行明文傳輸，因此存在很大的安全隱患，單純地提供Telnet服務(wù)容易招致主機IP地址欺騙、路由欺騙等惡意攻擊。傳統(tǒng)的Telnet和FTP等通過明文傳送密碼和數(shù)據(jù)的方式，已經(jīng)逐漸不被接受。SSH（SecureShell）是一個網(wǎng)絡(luò)安全協(xié)議。通過對網(wǎng)絡(luò)數(shù)據(jù)的加密，使其能夠在一個不安全的網(wǎng)絡(luò)環(huán)境中，提供安全的遠程登錄和其他網(wǎng)絡(luò)安全服務(wù)。SSH特性可以提供安全的信息保障和強大的認證功能，以保護路由器不受諸如IP地址欺詐、明文密碼截取等攻擊。SSH可以將數(shù)據(jù)加密傳輸，其認證機制更加安全，而且可以代替Telnet，已經(jīng)被廣泛使用，成為了當(dāng)前重要的網(wǎng)絡(luò)協(xié)議之一。SSH基于TCP協(xié)議22端口傳輸數(shù)據(jù)，支持Password認證。用戶端向服務(wù)器發(fā)出Password認證請求，將用戶名和密碼加密后發(fā)送給服務(wù)器；服務(wù)器將該信息解密后得到用戶名和密碼的明文，與設(shè)備上保存的用戶名和密碼進行比較，并返回認證成功或失敗的消息。

學(xué)習(xí)小結(jié)任務(wù)5.2網(wǎng)絡(luò)設(shè)備遠程管理的配置本任務(wù)介紹了如何在路由器上實現(xiàn)Telnet和SSH，這對網(wǎng)絡(luò)管理員來說是至關(guān)重要的，可以在很大程度上工作，要注意Telnet和SSH的區(qū)別，實際工作中使用SSH更多一些，因為Telnet是明文傳輸?shù)模鳶SH是密文傳輸?shù)模琒SH相對來說更安全。*項目5網(wǎng)絡(luò)安全技術(shù)配置任務(wù)5.3IP訪問控制列表的配置任務(wù)5.3IP訪問控制列表的配置訪問控制列表技術(shù)總是與防火墻（Firewall）、路由策略（RoutingPolicy）、服務(wù)質(zhì)量（QualityofService，QoS）、流量過濾（TrafficFiltering）等技術(shù)結(jié)合使用。下面僅從網(wǎng)絡(luò)安全的角度對訪問控制列表的基本知識進行簡單介紹。不同廠商的網(wǎng)絡(luò)設(shè)備在訪問控制列表技術(shù)的實現(xiàn)細節(jié)上各不相同。本任務(wù)基于神州數(shù)碼網(wǎng)絡(luò)設(shè)備對訪問控制列表進行描述及技術(shù)實現(xiàn)。本任務(wù)分為以下二個活動進行。活動1標準IP訪問控制列表的配置。活動2擴展IP訪問控制列表的配置。*任務(wù)5.3IP訪問控制列表的配置活動1標準IP訪問控制列表的配置活動1標準IP訪問控制列表的配置

任務(wù)情境

某公司包括經(jīng)理部、財務(wù)部和銷售部，這三個部門分屬三個不同的網(wǎng)段，三個部門之間使用路由器進行信息傳遞。為了安全起見，公司領(lǐng)導(dǎo)要求網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)的數(shù)據(jù)流量進行控制，使銷售部不能對財務(wù)部進行訪問，但是經(jīng)理部可以對財務(wù)部進行訪問。

情境分析

財務(wù)部涉及公司許多重要的財務(wù)信息和數(shù)據(jù)，因此保障公司管理部門對財務(wù)部的安全訪問，減少普通部門對財務(wù)部的訪問很有必要，這樣可以盡可能地減少網(wǎng)絡(luò)安全隱患。

在路由器上應(yīng)用標準訪問控制列表，對訪問財務(wù)部的數(shù)據(jù)流量進行限制，禁止銷售部訪問財務(wù)部的數(shù)據(jù)流量通過，但是對經(jīng)理部訪問賬務(wù)部的數(shù)據(jù)流量不做限制，從而達到保護財務(wù)部主機安全的目的?；顒?標準訪問控制列表的配置下面以兩臺型號為DCR-2655的路由器來模擬網(wǎng)絡(luò)，學(xué)習(xí)和掌握標準IP訪問控制列表的配置方法，拓撲結(jié)構(gòu)如圖5.3.1所示?；顒?標準訪問控制列表的配置具體要求如下。（1）根據(jù)圖5.3.1所示的拓撲結(jié)構(gòu)，使用直通線連接好所有的計算機。設(shè)置每臺計算機的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表5.3.1所示。（2）路由器的接口和IP地址如表5.3.2所示。（3）使用靜態(tài)路由實現(xiàn)全網(wǎng)互通。（4）配置標準IP訪問控制列表，設(shè)置銷售部所在的網(wǎng)絡(luò)PC2不能訪問財務(wù)部所在的網(wǎng)絡(luò)PC3，但允許經(jīng)理部所在的網(wǎng)絡(luò)PC1訪問財務(wù)部所在的網(wǎng)絡(luò)PC3?；顒?標準訪問控制列表的配置

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。?（2）路由器R1的基本配置?；顒?標準訪問控制列表的配置（3）路由器R2的基本配置。（4）查看路由器R1的端口配置信息?；顒?標準訪問控制列表的配置（5）查看路由器R2的端口配置信息。（6）配置靜態(tài)路由實現(xiàn)全網(wǎng)互通?；顒?標準訪問控制列表的配置（7）配置標準IP訪問控制列表。（8）在接口上應(yīng)用標準IP訪問控制列表。活動1標準訪問控制列表的配置

任務(wù)驗收（1）在PC1上測試PC3，結(jié)果是互通的（說明經(jīng)理部可以訪問財務(wù)部），如圖5.3.2所示。（2）在PC2上測試PC3，結(jié)果是不互通的（說明銷售部不可以訪問財務(wù)部），如圖5.3.3所示?；顒?標準訪問控制列表的配置（3）查看訪問控制列表的應(yīng)用狀態(tài)?；顒?標準訪問控制列表的配置

任務(wù)資訊1．ACL的基本概念訪問控制列表（AccessControlList，ACL）是由一系列規(guī)則組成的集合。它通過這些規(guī)則對報文進行分類，從而使設(shè)備可以對不同類型的報文進行不同的處理。一個ACL通常由若干條“deny|permit”語句組成，一條語句就是該ACL的一條規(guī)則，每條語句中的“deny/permit”是與這條規(guī)則相對應(yīng)的處理動作。處理動作“permit”的含義是“允許”，處理動作“deny”的含義是“拒絕”。特別需要說明的是，ACL技術(shù)總是與其他的技術(shù)結(jié)合使用的，同時，所結(jié)合的技術(shù)不同，“permit”及“deny”的內(nèi)涵及作用也不同。例如，當(dāng)ACL技術(shù)與流量過濾技術(shù)結(jié)合使用時，“permit”就是“允許通行”的意思，“deny”就是“拒絕通行”的意思。ACL是一種應(yīng)用非常廣泛的網(wǎng)絡(luò)安全技術(shù)，配置了ACL的網(wǎng)絡(luò)設(shè)備，其工作過程可以分為以下兩個步驟。（1）根據(jù)事先設(shè)定好的報文匹配規(guī)則對經(jīng)過該設(shè)備的報文進行匹配。（2）對匹配的報文執(zhí)行事先設(shè)定好的處理動作。活動1標準訪問控制列表的配置

任務(wù)資訊2．ACL的分類根據(jù)ACL具有的不同的特性，可以將ACL分成不同的類型，分別是標準IP訪問控制列表、擴展IP訪問控制列表、用戶自定義訪問控制列表。其中，應(yīng)用最為廣泛的是標準IP訪問控制列表和擴展IP訪問控制列表。標準ACL只能基于報文的源IP地址、報文分片標記和時間段信息來定義規(guī)則，編號范圍為2000～2999。3．ACL的規(guī)則匹配標準IP訪問控制列表可以根據(jù)數(shù)據(jù)包的源IP地址定義規(guī)則，進行數(shù)據(jù)包的過濾。IP訪問控制列表通過對數(shù)據(jù)流進行檢查和過濾，限制網(wǎng)絡(luò)中的通信數(shù)據(jù)的類型，以及網(wǎng)絡(luò)用戶和以及用戶所訪問的設(shè)備。ACL由一系列有序的ACE（AccessControlEntry，訪問控制項）組成，每一個ACE都定義了匹配條件及行為。標準ACL只能針對源IP地址制定匹配條件，對于符合匹配條件的數(shù)據(jù)包，ACE執(zhí)行所規(guī)定的行為：允許或拒絕。活動1標準訪問控制列表的配置

任務(wù)資訊可以在設(shè)備的入站方向或者出站方向上應(yīng)用ACL。如果在設(shè)備的入站方向上應(yīng)用了ACL，那么設(shè)備在端口上收到數(shù)據(jù)包后，要先進行ACL規(guī)定的檢查。檢查從ACL的第一個ACE開始，將ACE規(guī)定的條件和數(shù)據(jù)包內(nèi)容進行比較和匹配。如果第一個ACE沒有匹配成功，則匹配下一個ACE，以此類推。一旦匹配成功，則執(zhí)行該ACE規(guī)定的行為。如果整個ACL中的所有的ACE都沒有匹配成功，則執(zhí)行設(shè)備定義的默認行為。被ACL放行的數(shù)據(jù)包則進一步執(zhí)行設(shè)備的其他策略，如路由轉(zhuǎn)發(fā)。如果在路由器某接口的出站方向上應(yīng)用ACL，則路由器首先進行路由轉(zhuǎn)發(fā)策略，發(fā)送到該接口的數(shù)據(jù)包進行ACL規(guī)定的檢查。檢查過程與入站方向一致。定義ACL，應(yīng)當(dāng)遵循以下規(guī)則。（1）設(shè)備接口的一個方向只能應(yīng)用一個ACL。（2）ACL匹配自頂向下，逐條匹配。（3）一旦某一個ACE匹配成功，則立即執(zhí)行該ACE的行為，否則停止匹配。（4）如果所有的ACE都沒有匹配成功，則執(zhí)行設(shè)備定義的默認行為。活動1標準訪問控制列表的配置

任務(wù)資訊（5）一般情況而言，無論在什么設(shè)備上、什么接口上、什么方向上應(yīng)用ACL，都必須遵循以下約定。①標準ACL一般應(yīng)用在離數(shù)據(jù)流的目的地址盡可能近的地方。②擴展ACL一般應(yīng)用在離數(shù)據(jù)流的源地址盡可能近的地方。盡管大部分廠商推出了更高級的ACL，但是絕大部分的網(wǎng)絡(luò)管理員只使用兩種ACL：標準ACL和擴展ACL。盡管功能比較簡單，但標準ACL在限制Telnet訪問路由器、限制通過HTTP訪問設(shè)備，以及路由過濾更新方面，仍然有著較多的應(yīng)用。標準ACL的編號為1～99、1300～1999。在全局配置模式下，配置編號標準ACL的語法如下。ipaccess-list{deny|permit}{{<sIpAddr><sMask>}|any-source|{host-source<sIpAddr>}}該命令用于創(chuàng)建一條數(shù)字標準IP訪問控制列表。如果該列表已經(jīng)存在，則增加一條ACL表項；可以使用noaccess-list<num>命令刪除一條ACL表項。一般情況下，配置ACL應(yīng)遵循以下步驟。（1）啟用設(shè)備的過濾功能并配置默認行為。（2）定義ACL規(guī)則。（3）綁定ACL到設(shè)備接口的某一方向上?；顒?標準訪問控制列表的配置

學(xué)習(xí)小結(jié)

（1）在訪問控制列表中的網(wǎng)絡(luò)掩碼是子網(wǎng)掩碼。（2）訪問控制列表要在接口下應(yīng)用才能生效。（3）標準IP訪問控制列表要應(yīng)用在盡量靠近目的地址的接口上。*任務(wù)5.3IP訪問控制列表的配置活動2擴展IP訪問控制列表的配置

活動2擴展IP訪問控制列表的配置

任務(wù)情境由于網(wǎng)絡(luò)規(guī)模的擴大，某公司架設(shè)了FTP服務(wù)器和Web服務(wù)器，F(xiàn)TP服務(wù)器只供技術(shù)部訪問使用，Web服務(wù)器供市場部和技術(shù)部使用。市場部拒絕Web服務(wù)器之外的訪問。公司局域網(wǎng)通過路由器進行信息傳遞，通過配置實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流量的控制。

情境分析從公司的需求來看，標準IP訪問控制列表是無法實現(xiàn)所需功能的，因此只能使用擴展IP訪問控制列表。在路由器上應(yīng)用擴展IP訪問控制列表，控制訪問服務(wù)器的數(shù)據(jù)流量。禁止市場部訪問FTP服務(wù)器的數(shù)據(jù)流通過；Web服務(wù)器向市場部和技術(shù)部提供Web服務(wù)，但市場部和服務(wù)部拒絕服務(wù)器的其他訪問，從而達到保護服務(wù)器和數(shù)據(jù)的目的活動2擴展IP訪問控制列表的配置下面通過兩臺型號為DCR-2655的路由器來模擬網(wǎng)絡(luò)，介紹擴展IP訪問控制列表的配置，其拓撲結(jié)構(gòu)如圖5.3.4所示?；顒?擴展IP訪問控制列表的配置具體要求如下。（1）根據(jù)圖5.3.4所示的拓撲結(jié)構(gòu)，連接好所有的網(wǎng)絡(luò)設(shè)備，包括計算機和Server1服務(wù)器。設(shè)置兩臺計算機及一臺Server1服務(wù)器的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表5.3.3所示。（2）路由器的接口、IP地址和子網(wǎng)掩碼如表5.3.4所示。

（3）配置靜態(tài)路由實現(xiàn)全網(wǎng)互通。（4）配置擴展IP訪問控制列表，限制市場部所在的PC1訪問服務(wù)器上的FTP服務(wù)，但不限制技術(shù)部所在的PC2?；顒?擴展IP訪問控制列表的配置

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。（2）?路由器R1的基本配置?；顒?擴展IP訪問控制列表的配置（3）路由器R2的基本配置。

（4）查看路由器R1端口的配置信息?；顒?擴展IP訪問控制列表的配置（5）查看路由器R2端口的配置信息。（6）配置靜態(tài)路由實現(xiàn)全網(wǎng)互通。活動2擴展IP訪問控制列表的配置（7）配置擴展IP訪問控制列表。（8）在接口上應(yīng)用擴展IP訪問控制列表?；顒?擴展IP訪問控制列表的配置

任務(wù)驗收（1）在PC2上訪問Web服務(wù)器是可以正常進行的。（2）在PC2上訪問FTP服務(wù)器是無法正常進行的。（3）在PC1上訪問FTP和Web服務(wù)器都是可以正常進行的。（4）查看擴展IP訪問控制列表的應(yīng)用狀態(tài)?；顒?擴展IP訪問控制列表的配置任務(wù)資訊與標準ACL相比，擴展ACL所檢查的數(shù)據(jù)包的元素非常豐富，它不僅可以檢查數(shù)據(jù)流的源IP地址，還可以檢查目的IP地址、源端口地址和目的端口地址以及協(xié)議類型。擴展ACL通常用于那些精確的、高級的訪問控制。FTP服務(wù)器通常使用TCP協(xié)議的20和21端口，使用擴展ACL可以精確匹配那些訪問FTP服務(wù)器的數(shù)據(jù)包并采取相應(yīng)措施。擴展ACL的編號為100～199、2000～2699。定義擴展ACL的命令如下?；顒?擴展IP訪問控制列表的配置

任務(wù)小結(jié)（1）擴展IP訪問控制列表要應(yīng)用在盡量靠近源地址的接口上。（2）擴展IP訪問控制列表最后有隱含的拒絕策略。（3）對于FTP來說，必須指定ftp(21)和ftp-data(20)。*項目5網(wǎng)絡(luò)安全技術(shù)配置任務(wù)5.4網(wǎng)絡(luò)地址轉(zhuǎn)換的配置

*任務(wù)5.4網(wǎng)絡(luò)地址轉(zhuǎn)換的配置NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）的功能是將企業(yè)內(nèi)部自行定義的私有IP地址轉(zhuǎn)換為Internet公網(wǎng)上可識別的合法IP地址。由于現(xiàn)行IP地址標準—IPv4的限制，Internet面臨著IP地址空間短缺的問題，因此企業(yè)的每位員工都從ISP申請并獲得一個合法的IP地址是不現(xiàn)實的。NAT技術(shù)能較好地解決現(xiàn)階段IPv4地址短缺的問題。本任務(wù)由以下兩個活動展開介紹。活動1利用靜態(tài)NAT技術(shù)實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器活動2利用動態(tài)NAT技術(shù)實現(xiàn)局域網(wǎng)訪問Internet*任務(wù)5.4網(wǎng)絡(luò)地址轉(zhuǎn)換的配置活動1利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器

*活動1利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器

任務(wù)情境某公司的辦公網(wǎng)絡(luò)接入了Internet，由于需要進行企業(yè)宣傳，所以建立了用于產(chǎn)品推廣和業(yè)務(wù)交流的網(wǎng)站。目前，公司只向網(wǎng)絡(luò)運營商申請了兩個公網(wǎng)IP地址，服務(wù)器位于公司內(nèi)網(wǎng)。要求公司的Web服務(wù)器對外提供服務(wù)，使客戶可以在互聯(lián)網(wǎng)上訪問公司的內(nèi)部網(wǎng)站。*

情境分析基于私有地址與公有地址不能直接通信的原則，公網(wǎng)的計算機是不能直接訪問內(nèi)網(wǎng)服務(wù)器的。要使內(nèi)網(wǎng)服務(wù)器上的服務(wù)能夠被公網(wǎng)的計算機訪問，就要將內(nèi)網(wǎng)服務(wù)器的私有IP地址通過靜態(tài)轉(zhuǎn)換映射到公網(wǎng)IP地址上，這樣互聯(lián)網(wǎng)上的用戶才能通過公網(wǎng)IP地址訪問內(nèi)網(wǎng)服務(wù)器。下面通過兩臺型號為DCR-2655的路由器來模擬網(wǎng)絡(luò)，介紹利用靜態(tài)NAT技術(shù)實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器的配置，其拓撲結(jié)構(gòu)如圖5.4.1所示?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*

具體要求如下：（1）根據(jù)圖5.4.1所示的拓撲結(jié)構(gòu)，連接好計算機、服務(wù)器和路由器。設(shè)置計算機及服務(wù)器的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表5.4.1所示。（2）路由器的接口、IP地址和子網(wǎng)掩碼如表5.4.2所示。（3）在LAN上使用默認路由實現(xiàn)數(shù)據(jù)包向外轉(zhuǎn)發(fā)。（4）在LAN上進行靜態(tài)NAT技術(shù)的配置，使公網(wǎng)的計算機能訪問內(nèi)網(wǎng)服務(wù)器，映射地址為?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。（2）路由器LAN的基本配置?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*（3）路由器ISP的基本配置?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*（4）在路由器LAN上配置默認路由?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器（5）在路由器LAN上配置靜態(tài)NAT技術(shù)。（6）步驟6：查看ISP的路由表。*

任務(wù)驗收（1）測試網(wǎng)絡(luò)的連通性，測試結(jié)果如圖5.4.2所示?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器（2）步驟2：查看地址轉(zhuǎn)換表。*任務(wù)資訊1．NAT的基本概念NAT是一個IETF標準，是一種把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法的外部公有網(wǎng)絡(luò)地址的技術(shù)。當(dāng)今的Internet使用TCP/IP實現(xiàn)了全世界的計算機的互聯(lián)互通，每一臺接入Internet的計算機要想和其他計算機通信，就必須擁有一個唯一的、合法的IP地址，此IP地址由Internet管理機構(gòu)——網(wǎng)絡(luò)信息中心（NetworkInformationCenter，NIC）統(tǒng)一進行管理和分配。NIC分配的IP地址被稱為公有的、合法的IP地址具有唯一性，接入Internet的計算機只要擁有NIC分配的IP地址就可以和其他計算機通信。但是，當(dāng)前TCP/IP協(xié)議的版本是IPv4，它具有天生的缺陷，即IP地址數(shù)量不夠多，難以滿足目前暴發(fā)性增長的IP需求。因此，不是每一臺計算機都能申請并獲得NIC分配的IP地址。一般而言，需要接入Internet的個人或家庭用戶，可以通過ISP間接獲得合法的公有IP地址（例如，用戶通過ADSL線路撥號，從電信獲得臨時租用的公有IP地址)；對于大型機構(gòu)而言，可以直接向NIC申請并使用永久的公有IP地址，也可以通過ISP間接獲得永久或臨時的公有IP地址?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*任務(wù)資訊無論通過哪種方式獲得公有IP地址，實際上當(dāng)前的可用IP地址依然不足。IP地址是有限的資源，因此，NIC要為網(wǎng)絡(luò)中數(shù)以億計的計算機分配公有IP地址是不實現(xiàn)的。同時，為了使計算機能夠具有IP地址并在專用網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）中通信，NIC定義了供專用網(wǎng)絡(luò)內(nèi)的計算機使用的專用IP地址。這些IP地址是在局部使用的（非全局的，不具有唯一性）非公有的（私有的）IP地址，這些IP地址的具體范圍如下。（1）A類IP地址:～55。（2）B類IP地址:～55。（3）C類IP地址:～55。組織和機構(gòu)可以根據(jù)自身園區(qū)網(wǎng)的大小及計算機數(shù)量的多少采用不同類型的專用地址范圍或者不同類型地址的組合。但是，這些IP地址不可能出現(xiàn)在Internet中，也就是說，源地址或目的地址為這些專有IP地址的數(shù)據(jù)包不可能在Internet中傳輸，而只能在專用網(wǎng)絡(luò)中傳輸。如果專用網(wǎng)絡(luò)的計算機要訪問Internet，則組織和機構(gòu)中的連接Internet的設(shè)備至少需要有一個公有IP地址，并采用NAT技術(shù)，將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，從而讓使用私有IP地址的計算機能夠和Internet中的計算機進行通信。NAT設(shè)備能夠使私有網(wǎng)絡(luò)內(nèi)的私有IP地址和公有IP地址互相轉(zhuǎn)換，從而使私有網(wǎng)絡(luò)中的計算機能夠和Internet中的計算機通信?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*任務(wù)資訊2．NAT的類型NAT通常包括以下幾種應(yīng)用類型。（1）靜態(tài)NAT：由管理員手動設(shè)置，其方式為一對一的私有地址和公有地址之間的轉(zhuǎn)換。（2）動態(tài)NAT：由設(shè)備自動進行，其方式為一個內(nèi)部地址和一個外部地址池之間進行轉(zhuǎn)換，每次轉(zhuǎn)換都是一對一進行的。（3）靜態(tài)NAPT：由管理員手動設(shè)定，用于將一個私有地址和端口號轉(zhuǎn)換為一個公有地址和端口號。靜態(tài)NAPT可以實現(xiàn)一個公有地址的復(fù)用。（4）動態(tài)NAPT：由設(shè)備自動進行，利用不同的端口號來將多個私有地址轉(zhuǎn)換為一個公有地址。（5）NAT實現(xiàn)TCP均衡：使用NAT機制創(chuàng)建一臺虛擬主機并提供TCP服務(wù)，該虛擬主機對應(yīng)內(nèi)部的多臺主機，并對目的地址進行輪詢置換，達到負載分流的目的?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*任務(wù)小結(jié)（1）靜態(tài)NAT技術(shù)通常應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的場景中。（2）通過NAT技術(shù)映射內(nèi)部服務(wù)器需要使用專用的公有IP地址，故需要申請兩個或兩個以上的公有IP地址，一個用于服務(wù)器映射，其他的用于內(nèi)網(wǎng)的通信。（3）要加上能使數(shù)據(jù)包向外轉(zhuǎn)發(fā)的路由，如默認路由?；顒?利用靜態(tài)NAT實現(xiàn)公網(wǎng)主機訪問內(nèi)網(wǎng)服務(wù)器*任務(wù)3網(wǎng)絡(luò)地址轉(zhuǎn)換的配置活動1利用動態(tài)NAPT實現(xiàn)局域網(wǎng)訪問Internet

*活動2利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet

任務(wù)情境由于業(yè)務(wù)的需要，某公司的辦公網(wǎng)絡(luò)需要接入Internet，網(wǎng)絡(luò)管理員向網(wǎng)絡(luò)運營商申請了一條專線，該專線分配了五個公網(wǎng)IP地址。要求公司所有部門的主機都能訪問外網(wǎng)。*

情境分析公司通過路由器與外網(wǎng)互聯(lián)，并且只申請到五個公網(wǎng)IP地址，即與公網(wǎng)直連的路由器接口的IP地址和用來滿足公司內(nèi)部主機上網(wǎng)的地址。傳統(tǒng)的NAT一般是指一對一的地址映射，不能同時滿足內(nèi)部網(wǎng)絡(luò)中所有的主機與外部網(wǎng)絡(luò)通信的需求，而動態(tài)NAPT可以轉(zhuǎn)換網(wǎng)絡(luò)地址，從而使多個本地IP地址對應(yīng)一個或多個全局IP地址。采用動態(tài)NAPT可以實現(xiàn)局域網(wǎng)多臺主機通過共用一個或幾個公網(wǎng)IP地址訪問互聯(lián)網(wǎng)。下面通過兩臺型號為DCR-2655的路由器來模擬網(wǎng)絡(luò)，讀者可以由此學(xué)習(xí)和掌握利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet的配置方法。利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet的拓撲結(jié)構(gòu)如圖5.4.3所示?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*具體要求如下。（1）根據(jù)圖5.4.3所示的拓撲結(jié)構(gòu)，使用直通線連接好計算機和服務(wù)器。設(shè)置計算機及服務(wù)器的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表5.4.3所示。（2）路由器的接口和IP地址/子網(wǎng)掩碼如表5.4.4所示。（3）在LAN上使用默認路由實現(xiàn)數(shù)據(jù)包向外轉(zhuǎn)發(fā)。（4）在LAN上進行動態(tài)NAT配置，實現(xiàn)內(nèi)網(wǎng)的計算機能通過公網(wǎng)地IP址訪問Internet，動態(tài)NAT地址池使用的IP地址為～?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)實施（1）恢復(fù)路由器的出廠配置，此處略。（2）在路由器LAN上設(shè)置接口IP地址、時鐘頻率等信息?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*（3）在路由器ISP上配置IP地址?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*（4）在路由器LAN上配置默認路由?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet（5）在路由器LAN上配置NAT。*（6）查看ISP的路由表。活動2利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)驗收（1）測試網(wǎng)絡(luò)連通情況，如圖5.4.4所示?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet（2）查看路由器LAN的地址轉(zhuǎn)換表。*

任務(wù)資訊1．NAPT的概念NAPT又稱為PAT或者端口級復(fù)用NAT，是動態(tài)NAT的一種實現(xiàn)形式，常用于公網(wǎng)地址極缺乏、甚至只有一個公網(wǎng)地址的末節(jié)網(wǎng)絡(luò)中。在NAPT轉(zhuǎn)換的過程中，路由器或者防火墻通常會將數(shù)據(jù)包的源IP地址和源端口地址進行轉(zhuǎn)換。NAPT設(shè)備使用不同的端口號來識別內(nèi)部主機。NAPT設(shè)備使用IP訪問控制列表識別需要進行地址轉(zhuǎn)換的數(shù)據(jù)流，將數(shù)據(jù)包的源IP地址（內(nèi)部私有地址）和端口地址轉(zhuǎn)換為公網(wǎng)地址，并路由到因特網(wǎng)中。這次轉(zhuǎn)換會在NAPT設(shè)備的NAT地址轉(zhuǎn)換表中產(chǎn)生一條記錄。當(dāng)NAPT設(shè)備收到外部網(wǎng)絡(luò)發(fā)送的應(yīng)答數(shù)據(jù)包后，根據(jù)NAT轉(zhuǎn)換表的記錄，NAPT設(shè)備會識別出與數(shù)據(jù)包中的端口號對應(yīng)的內(nèi)部主機，將應(yīng)答數(shù)據(jù)包中的目的IP地址（即內(nèi)部公網(wǎng)地址）轉(zhuǎn)換為原來的內(nèi)部私有地址，并將該數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)絡(luò)中。活動2利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)資訊由于NAPT有兩個方向上的地址轉(zhuǎn)換，NAPT向外屏蔽了內(nèi)部主機的地址信息，所以在一定程度上加強了內(nèi)部網(wǎng)絡(luò)的安全性。NAT是指將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換為另一個地址空間的行為。NAT將網(wǎng)絡(luò)劃分為內(nèi)部網(wǎng)絡(luò)（Inside）和外部網(wǎng)絡(luò)（Outside）兩部分。局域網(wǎng)主機在利用NAT訪問網(wǎng)絡(luò)時，會將局域網(wǎng)內(nèi)部的本地地址轉(zhuǎn)換為全局地址（互聯(lián)網(wǎng)合法IP地址）后轉(zhuǎn)發(fā)數(shù)據(jù)包。一般而言，有兩種技術(shù)可以滿足使用有限的甚至唯一的公有IP地址來滿足大量的主機訪問因特網(wǎng)的需求，它們是代理服務(wù)器技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。其中，NAT在大量的末節(jié)網(wǎng)絡(luò)中的應(yīng)用最為普遍?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)資訊2．NAT技術(shù)常用的各類術(shù)語（1）內(nèi)部本地地址：通常指分配給內(nèi)部主機使用的私有地址。（2）內(nèi)部全局地址：由ISP提供的用于本地網(wǎng)絡(luò)使用的公網(wǎng)地址。（3）外部本地地址：通常指提供給外部網(wǎng)絡(luò)使用的私有地址。（4）外部全局地址：外部網(wǎng)絡(luò)使用的可路由的公網(wǎng)地址。（5）外部端口：在內(nèi)部網(wǎng)絡(luò)中運行NAT機制的設(shè)備，如路由器、防火墻等，是用于連接外網(wǎng)的接口。（6）內(nèi)部端口：運行NAT機制的設(shè)備，是用于連接內(nèi)網(wǎng)的接口?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)資訊3．動態(tài)NAPT是最為常見的NAT應(yīng)用一般情況下，配置NAPT應(yīng)遵循以下步驟。（1）定義外部端口。（2）定義內(nèi)部端口。（3）定義需要進行地址轉(zhuǎn)換的數(shù)據(jù)流（使用IP訪問控制列表來定義）。（4）定義公網(wǎng)地址池。（5）建立數(shù)據(jù)流和公網(wǎng)地址池之間的映射關(guān)系。（6）添加指向外網(wǎng)的靜態(tài)路由。活動2利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*

任務(wù)小結(jié)（1）動態(tài)NAPT需要配置IP地址池，用于內(nèi)網(wǎng)主機的映射。（2）動態(tài)NAPT解決了更多內(nèi)網(wǎng)終端連接外網(wǎng)的問題。（3）動態(tài)NAPT主要用于為內(nèi)網(wǎng)計算機提供外網(wǎng)訪問服務(wù)的場景中?；顒?利用動態(tài)NAT實現(xiàn)局域網(wǎng)訪問Internet*項目5網(wǎng)絡(luò)安全技術(shù)配置任務(wù)5.5防火墻的基本配置

*任務(wù)5.5防火墻的基本配置

任務(wù)情境某公司由于網(wǎng)絡(luò)擴大升級或出于安全考慮，想要在公司網(wǎng)絡(luò)中引入防火墻設(shè)備。防火墻可以使用Telnet、SSH、WebUI方式進行管理，通過對防火墻的基本配置，用戶可以很方便地使用這幾種方式進行管理。*任務(wù)5.5防火墻的基本配置

情境分析本任務(wù)使用Telnet、SSH、WebUI方式管理防火墻，需對防火墻進行相關(guān)基礎(chǔ)配置。下面通過一臺型號為DCFW-1800E-N3002的防火墻來模擬網(wǎng)絡(luò)，學(xué)習(xí)防火墻的基礎(chǔ)配置。防火墻基本配置實驗拓撲圖如結(jié)構(gòu)5.5.1所示。本任務(wù)使用Telnet、SSH、WebUI方式管理防火墻，需對防火墻進行相關(guān)基礎(chǔ)配置。下面通過一臺型號為DCFW-1800E-N3002的防火墻來模擬網(wǎng)絡(luò)，學(xué)習(xí)防火墻的基礎(chǔ)配置。防火墻基本配置實驗拓撲圖如結(jié)構(gòu)5.5.1所示。

具體要求如下。（1）根據(jù)圖5.5.1所示的拓撲結(jié)構(gòu)，使用直通線連接好計算機和防火墻。計算機及防火墻的IP地址和子網(wǎng)掩碼，如表5.5.1所示。*任務(wù)5.5防火墻的基本配置

任務(wù)實施防火墻可以使用Telnet、SSH、WebUI方式進行管理，用戶可以很方便地使用這幾種方式對其進行管理。步驟1：初步認識防火墻。（1）認識防火墻各接口，理解防火墻各接口的作用，并學(xué)會使用線纜連接防火墻、交換機與主機，如圖5.5.2所示（2）使用Console線纜將防火墻與PC的串行接口連接起來，如圖5.5.3所示。*任務(wù)5.5防火墻的基本配置

任務(wù)實施（3）使用PC1上的SecureCRT軟件進行連接，配置終端屬性為默認值，接入防火墻命令行模式，輸入用戶名為admin，密碼為admin，即可登錄并進入防火墻的配置模式，該模式的提示符包含一個數(shù)字符號（#）。*任務(wù)5.5防火墻的基本配置

任務(wù)實施（4）防火墻的不同模塊功能需要在其對應(yīng)的命令行子模塊模式下進行配置。在全局配置模式下輸入特定的命令可以進入相應(yīng)的子模塊配置模式。如運行interfaceethernet0/0命令可以進入E0/0接口配置模式。

（5）恢復(fù)防火墻的出廠配置。*任務(wù)5.5防火墻的基本配置

任務(wù)實施步驟2：搭建Telnet和SSH管理環(huán)境。（1）運行managetelnet命令，開啟被連接的接口的Telnet管理功能。（2）運行managessh命令，開啟SSH管理功能。*任務(wù)5.5防火墻的基本配置

任務(wù)實施步驟3：搭建WebUI管理環(huán)境。（1）運行managehttps和managehttp命令，開啟https和http管理功能。（2）在初次使用防火墻時，用戶可以通過E0/0接口訪問防火墻的WebUI頁面。在瀏覽器地址欄中輸入“”并按“Enter”鍵，防火墻WebUI的登錄界面如圖5.5.4所示。*任務(wù)5.5防火墻的基本配置

任務(wù)實施輸入默認用戶名admin，密碼admin后，單擊“登錄”按鈕即可進入主界面，登錄成功后的主界面如圖5.5.5所示。*任務(wù)5.5防火墻的基本配置

任務(wù)驗收（1）通過PC1測試與防火墻的連通性。使用交叉線連接防火墻和PC1，此時防火墻的LAN-link燈亮起，表明網(wǎng)絡(luò)的物理連接已經(jīng)建立。觀察指示燈狀態(tài)為閃爍，表明有數(shù)據(jù)在嘗試傳輸。（2）測試從PC1到防火墻的Telnet連接，如圖5.5.6和圖5.5.7所示。注：用戶口令或密碼以及默認管理員口令或密碼均為admin，出廠時默認防火墻E0/0接口的IP地址為1/24。*任務(wù)5.5防火墻的基本配置

任務(wù)驗收（3）測試從PC1到防火墻的SSH連接。打開SecureCRT軟件，選擇“File”→“QuickConnect”選項，彈出“QuickConnect”對話框，在“Hostname”文本框中輸入“”，單擊“Connect”按鈕，如圖5.5.8所示。*任務(wù)5.5防火墻的基本配置

任務(wù)驗收（4）打開“EnterSecureShellPassword”對話框，在“Username”文本框中輸入“admin”，在“Password”文本框中輸入密碼，單擊“OK”按鈕，如圖5.5.9所示。*任務(wù)5.5防火墻的基本配置

任務(wù)驗收（5）此時會顯示DCFW-1800#連接成功的對話框，輸入“config”進入全局配置模式，則表示從PC1到防火墻的SSH連接成功，如圖5.5.10所示。*任務(wù)5.5防火墻的基本配置

任務(wù)資訊1．防火墻的定義防火墻指的是一個由軟件和硬件設(shè)備組合而成，在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間、專用網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間構(gòu)造的保護屏障。它是計算機硬件和軟件的結(jié)合，使Internet與Intranet（內(nèi)聯(lián)網(wǎng)）之間建立起一個安全網(wǎng)關(guān)（SecurityGateway），從而保護內(nèi)部網(wǎng)絡(luò)免受非法用戶的入侵。防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)四部分組成。2．防火墻的優(yōu)點（1）防火墻能強化安全策略。

（2）防火墻能有效地記錄Internet上的活動。

（3）防火墻限制暴露用戶點。它可以隔開網(wǎng)絡(luò)中的一個網(wǎng)段與另一個網(wǎng)段，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

（4）防火墻是一個安全策略的檢查站。由于所有進出的信息都必須經(jīng)過防火墻，防火墻便成了安全策略的檢查點，將可疑的訪問拒之門外。*任務(wù)5.5防火墻的基本配置

任務(wù)資訊3．防火墻的功能防火墻最基本的功能之一就是控制在計算機網(wǎng)絡(luò)中的不同信任程度區(qū)域間傳送的數(shù)據(jù)流。如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡(luò)是高度信任的區(qū)域，分開管理可以避免安全策略禁止一些通信。它將信息的基本任務(wù)控制在不同信任程度的區(qū)域中。*任務(wù)5.5防火墻的基本配置

任務(wù)資訊4．防火墻的三個基本特性（1）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)流都必須經(jīng)過防火墻。

這是防火墻所處網(wǎng)絡(luò)的特性，同時也是一個前提。因為只有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道時，它才可以全面、有效地保護企業(yè)內(nèi)部網(wǎng)絡(luò)不受侵害。

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適合用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè)備。網(wǎng)絡(luò)邊界是指采用不同安全策略的兩個網(wǎng)絡(luò)的連接處，如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的連接、用戶網(wǎng)絡(luò)和其他有業(yè)務(wù)往來的單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)中的不同部門之間的連接等。使用防火墻的目的就是在網(wǎng)絡(luò)之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審查和控制。

*任務(wù)5.5防火墻的基本配置

任務(wù)資訊（2）只有符合安全策略的數(shù)據(jù)流才能通過防火墻。

防火墻最基本的功能之一是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)流量從一條鏈路快速轉(zhuǎn)發(fā)到其他的鏈路上去。從最早的防火墻模型開始，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)地址。防火墻首先通過相應(yīng)的網(wǎng)絡(luò)接口接收網(wǎng)絡(luò)流量，按照OSI