华为认证HCDP实验指导书HCDP-IENPv16

资源描述

华为认证系列教程HCDP-IENP提升企业级网络性能实验指导书华为技术版权声明版权所有华为技术 2021。保存一切权利。本书所有内容受版权法保护，华为拥有所有版权，但注明引用其他方的内容除外。未经华为技术事先书面许可，任何人、任何组织不得将本书的任何内容以任何方式进行复制、经销、翻印、存储于信息检索系统或使用于任何其他任何商业目的。版权所有侵权必究。商标声明和其他华为商标均为华为技术的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。华为认证系列教程HCDP-IENP提升企业级网络性能实验指导书第1.6版本华为认证体系介绍依托华为公司雄厚的技术实力和专业的培训体系，华为认证考虑到不同客户对ICT技术不同层次的需求，致力于为客户提供实战性、专业化的技术认证。根据ICT技术的特点和客户不同层次的需求，华为认证为客户提供面向十三个方向的四级认证体系。HCDAHuawei Certified Datacom Associate，华为认证数据通信工程师主要面向IP网络维护工程师，以及其他希望学习IP网络知识的人士。HCDA认证在内容上涵盖TCP/IP根底、路由、交换等IP网络通用根底知识以及华为数据通信产品、通用路由平台VRP特点和根本维护。HCDP-Enterprise （Huawei Certified Datacom Professional-Enterprise，华为认证数据通信资深工程师-企业级）主要面向企业级网络维护工程师、网络设计工程师以及希望系统深入地掌握路由、交换、网络调整及优化技术的人士。HCDP-Enterprise包括IESNImplement Enterprise Switching Network，部署企业级交换网络、IERNImplement Enterprise Routing Network，部署企业级路由网络、IENPImproving Enterprise Network Performance，提升企业级网络性能三个局部。内容上涵盖IPv4路由技术原理深入以及在VRP中的实现；交换技术原理深入以及在VRP中的实现；网络平安技术、高可靠性技术和Qos技术等高级IP网络技术以及在华为产品中的实现。HCIE-EnterpriseHuawei Certified Internetwork Expert-Enterprise，华为认证互联网络专家旨在培养能够熟练掌握各种IP网络技术；精通华为产品的维护、诊断和故障排除；具备大型IP网络规划、设计和优化的IP网络大师。华为认证协助您翻开行业之窗，开启改变之门，屹立在ICT世界的潮头浪尖！前言简介本书为HCDP-IENP认证培训教程，适用于准备参加HCDP-IENP考试的学员或者希望系统掌握华为平安产品与技术、可靠性HA技术、QoS原理以及在华为通用路由平台VRP上的实现的读者。内容描述本书共包含三个Module，系统地介绍了华为平安产品与技术、可靠性HA技术和QoS原理以及在VRP上的配置与实现。Module1 详细介绍了华为Eudemon防火墙产品功能特性和业务特性，使读者对华为平安产品及网络平安有一个较为深入的了解。Module 2 详细介绍了可靠性HA技术，帮助读者深入了解各种HA技术原理和运用。Module 3 详细介绍了IP QoS技术，帮助读者深入了解QoS原理，掌握QoS在华为VRP中的配置。本书引导读者循序渐进地掌握华为平安产品与技术、可靠性HA技术和QoS技术原理以及在华为产品中的实现，读者也可以根据自身情况选择感兴趣的章节阅读。读者知识背景为了更好地掌握本书内容，阅读本书的读者应首先具备以下根本条件之一：1) 参加过HCDA培训2) 通过HCDA考试3) 熟悉TCP/IP协议，具有一定的网络根底知识4) 熟悉多种路由协议如OSPF、IS-IS和BGP本书常用图标路由器三层交换机二层交换机防火墙网云以太网线缆串行线缆实验环境说明组网介绍本实验环境面向准备HCDP-IENP考试的网络工程师，实验设备包括路由器5台，交换机4台，防火墙2台。每套实验环境适用于2名学员同时上机操作。设备介绍为了满足HCDP-IENP实验需要，建议每套实验环境采用以下配置：设备名称、型号与版本的对应关系如下：设备名称设备型号软件版本R1AR 2220Version 5.90 （ V200R001C01SPC300）R2AR 2220Version 5.90 （ V200R001C01SPC300）R3AR 2220Version 5.90 （ V200R001C01SPC300）R4AR 1220Version 5.90 （ V200R001C01SPC300）R5AR 1220Version 5.90 （ V200R001C01SPC300）S1S5700-28C-EI-24SVersion 5.70 （V100R006C00SPC800）S2S5700-28C-EI-24SVersion 5.70 （V100R006C00SPC800）S3S3700-28TP-EI-ACVersion 5.70 （V100R006C00SPC800）S4S3700-28TP-EI-ACVersion 5.70 （V100R006C00SPC800）FW1Eudemon 200E-X2Version 5.30 （V100R005C00SPC100）FW2Eudemon 200E-X2Version 5.30 （V100R005C00SPC100）目录第一章防火墙特性功能1实验 1-1 Eudemon防火墙平安区域及其他根本功能配置1实验 1-2 Eudemon防火墙IPSec VPN配置21实验 1-3 防火墙攻击防范配置42实验 1-4 Eudemon防火墙NAT配置56实验 1-5 Eudemon防火墙双机热备份71第二章效劳质量与流量控制99实验 2-1 QoS根底99实验 2-2 使用流策略实现流行为控制119第三章综合实验135实验 3-1 综合实验1选做135实验 3-2 综合实验2选做140第一章防火墙特性功能实验 1-1 Eudemon防火墙平安区域及其他根本功能配置学习目的掌握防火墙平安区域的配置方法掌握域间包过滤的配置方法掌握在静态与动态配置黑名单的方法掌握黑名单的配置方法掌握应用层包过滤的配置方法拓扑图图1-1 Eudemon防火墙区域配置场景你是你们公司的网络管理员。公司总部的网络分成了三个区域，包括内部区域Trust、外部区域Untrust和效劳器区域DMZ。你设计通过防火墙来实现对数据的控制，添加黑名单来防范网络攻击，确保公司内部网络平安。学习任务步骤一. 根本配置与IP编址给三个路由器配置地址信息。system-view Enter system view, return user view with Ctrl+Z.Huaweisysname R1R1interface GigabitEthernet 0/0/1R1-GigabitEthernet0/0/1ip address 10.0.10.1 24R1-GigabitEthernet0/0/1interface loopback 0R1-LoopBack0ip address 10.0.1.1 24system-view Enter system view, return user view with Ctrl+Z.Huaweisysname R2R2interface GigabitEthernet0/0/1R2-GigabitEthernet0/0/1ip address 10.0.20.1 24R2-GigabitEthernet0/0/1interface loopback 0R2-LoopBack0ip address 10.0.2.2 24system-viewEnter system view, return user view with Ctrl+Z.Huaweisysname R3R3interface GigabitEthernet 0/0/1R3-GigabitEthernet0/0/1ip address 10.0.30.1 24R3-GigabitEthernet0/0/1interface loopback 0 R3-LoopBack0ip address 10.0.3.3 24给防火墙配置地址时，需要注意Ethernet1/0/0接口为二层交换机接口，无法配置IP地址。实验中我们在防火墙上配置VLAN12，定义Vlanif12，配置IP地址作为Inside区域的网关。由于默认情况下，防火墙会给它的Vlanif1配置地址，实验中为防止干扰，删除该配置。system-view Enter system view, return user view with Ctrl+Z.Eudemon 200Esysname FWFWvlan 12FW-vlan-12quitFWinterface vlanif 12FW-Vlanif12ip address 10.0.20.254 24FW-Vlanif12interface Ethernet 1/0/0FW-Ethernet1/0/0port access vlan 12FW-Ethernet1/0/0interface Ethernet 0/0/0FW-Ethernet0/0/0ip address 10.0.10.254 24FW-Ethernet0/0/0interface ethernet 2/0/04 24FW-Ethernet2/0/0quitFWundo interface Vlanif 1交换机上需要按照需求定义VLAN。Quidwaysysname S1S1vlan batch 11 to 13S1interface GigabitEthernet 0/0/1S1-GigabitEthernet0/0/1port link-type accessS1-GigabitEthernet0/0/1port default vlan 11S1-GigabitEthernet0/0/1interface GigabitEthernet 0/0/2S1-GigabitEthernet0/0/2port link-type accessS1-GigabitEthernet0/0/2port default vlan 12S1-GigabitEthernet0/0/2interface GigabitEthernet 0/0/3S1-GigabitEthernet0/0/3port link-type accessS1-GigabitEthernet0/0/3port default vlan 13S1-GigabitEthernet0/0/3interface GigabitEthernet 0/0/21S1-GigabitEthernet0/0/21port link-type accessS1-GigabitEthernet0/0/21port default vlan 11S1-GigabitEthernet0/0/21interface GigabitEthernet 0/0/22S1-GigabitEthernet0/0/22port link-type accessS1-GigabitEthernet0/0/22port default vlan 12S1-GigabitEthernet0/0/22interface GigabitEthernet 0/0/23S1-GigabitEthernet0/0/23port link-type accessS1-GigabitEthernet0/0/23port default vlan 13配置完成后在FW设备上测试相同区域的连通性。 PING 10.0.10.1: 56 data bytes, press CTRL_C to break Request time out Reply from 10.0.10.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 10.0.10.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 10.0.10.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 10.0.10.1: bytes=56 Sequence=5 ttl=255 time=1 ms - 10.0.10.1 ping statistics - 5 packet（s） transmitted 4 packet（s） received 20.00% packet loss round-trip min/avg/max = 1/1/1 msFWping 10.0.20.1 PING 10.0.20.1: 56 data bytes, press CTRL_C to break Request time out Reply from 10.0.20.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 10.0.20.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 10.0.20.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 10.0.20.1: bytes=56 Sequence=5 ttl=255 time=1 ms - 10.0.20.1 ping statistics - 5 packet（s） transmitted 4 packet（s） received 20.00% packet loss round-trip min/avg/max = 1/1/1 msFWping 10.0.30.1 PING 10.0.30.1: 56 data bytes, press CTRL_C to break Request time out Reply from 10.0.30.1: bytes=56 Sequence=2 ttl=255 time=1 ms Reply from 10.0.30.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 10.0.30.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 10.0.30.1: bytes=56 Sequence=5 ttl=255 time=1 ms - 10.0.30.1 ping statistics - 5 packet（s） transmitted 4 packet（s） received 20.00% packet loss round-trip min/avg/max = 1/1/1 ms在R1、R2和R3上配置缺省路由，在FW上配置明确的静态路由，实现三个Loopback0接口连接的网段之间的互通。R3ip routFWip route-static 10.0.2.0 24 10.0.20.1FWip route-static 10.0.3.0 24 10.0.30.1配置完成后，测试各路由器Loopback0接口连接的网段之间的通讯情况。 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=4 ms Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=2 ms Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.2.2 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 2/3/4 ms PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=4 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet lossround-trip min/avg/max = 3/3/4 ms防火墙上默认有四个区域，分别是“local“、trust“、untrust“、dmz“。实验中我们使用到“trust“、untrust“和dmz“三个区域，分别将对应接口参加各平安区域。FWfirewall zone dmzFW-zone-dmzadd interface Ethernet 2/0/0FW-zone-dmzfirewall zone trustFW-zone-trustadd interface Vlanif 12FW-zone-trustfirewall zone untrustFW-zone-untrustadd interface Ethernet 0/0/0默认情况下，所有区域之间可以正常通讯，不被检查。FWdis firewall packet-filter default all10:28:18 2021/12/24 Firewall default packet-filter action is : packet-filter in public: local - trust : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null local - untrust : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null local - dmz : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null trust - untrust : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null trust - dmz : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null dmz - untrust : inbound : default: permit; | IPv6-acl: null outbound : default: permit; | IPv6-acl: null packet-filter between VFW:由以上显示的内容看出，缺省情况下，所有平安区域间的所有方向都允许报文通过。检查区域之间的连通性。Untrust区域到Trust区域。ping -a 10.0.1.1 10.0.2.2 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.2.2 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet lossround-trip min/avg/max = 3/3/3 msUntrust区域到DMZ区域。ping -a 10.0.1.1 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/5 msTrust区域到Untrust区域。 PING 10.0.1.1: 56 data bytes, press CTRL_C to break Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.1.1 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/3 msTrust区域到DMZ区域。 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/5 msDMZ区域到Untrust区域。ping -a 10.0.3.3 PING 10.0.1.1: 56 data bytes, press CTRL_C to break Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.1.1 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/3 msDMZ区域到Trust区域。ping -a 10.0.3.3 10.0.2.2 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Reply from 10.0.2.2: bytes=56 Sequence=1 ttl=254 time=5 ms Reply from 10.0.2.2: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.2.2: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.2.2: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.2.2 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet lossround-trip min/avg/max = 3/3/5 ms步骤二. 配置域间包过滤包过滤是一个根底平安策略，主要控制域间报文转发，在进行其他平安策略检查之前都会先进行包过滤规那么的检查，所以包过滤功能是否配置正确，将影响设备大局部功能的使用。配置区域之间的缺省包过滤策略，仅允许Trust区域访问其他区域，不允许其他区域之间的访问。FWfirewall packet-filter default deny allFWfirewall packet-filter default permit interzone trust untrust direction outboundFWfirewall packet-filter default permit interzone trust dmz direction outboundFWfirewall session link-state check配置完成后，测试区域之间的连通性。Untrust区域到Trust区域。 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.2.2 ping statistics - 5 packet（s） transmitted 0 packet（s） received 100.00% packet lossUntrust区域到DMZ区域。R1ping -a 10.0.1.1 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.3.3 ping statistics - 5 packet（s） transmitted 0 packet（s） received 100.00% packet lossTrust区域到Untrust区域。R2 PING 10.0.1.1: 56 data bytes, press CTRL_C to break Reply from 10.0.1.1: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=4 ttl=254 time=3 ms Reply from 10.0.1.1: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.1.1 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/3 msTrust区域到DMZ区域。R2 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=5 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/5 msDMZ区域到Untrust区域。R3 PING 10.0.1.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.1.1 ping statistics - 5 packet（s） transmitted 0 packet（s） received 100.00% packet lossDMZ区域到Trust区域。R3 PING 10.0.2.2: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.2.2 ping statistics - 5 packet（s） transmitted 0 packet（s） received 100.00% packet loss配置域间包过滤策略，允许Untrust区域访问DMZ区域的特定效劳器。DMZ区域有一个效劳器，IP地址为10.0.3.3，需要对Untrust区域开放Telnet效劳。同时为了测试网络，需要开放ICMP Ping测试功能。FWpolicy interzone dmz untrust inboundFW-policy-interzone-dmz-untrust-inboundpolicy 1FW-policy-interzone-dmz-untrust-inbound-1policy service service-set icmpFW-policy-interzone-dmz-untrust-inbound-1policy destination 10.0.3.3 0FW-policy-interzone-dmz-untrust-inbound-1action permitFW-policy-interzone-dmz-untrust-inbound-1quitFW-policy-interzone-dmz-untrust-inboundpolicy 2FW-policy-interzone-dmz-untrust-inbound-2policy service service-set telnetFW-policy-interzone-dmz-untrust-inbound-2policy destination 10.0.3.3 0FW-policy-interzone-dmz-untrust-inbound-2action permitFW-policy-interzone-dmz-untrust-inbound-2quitFW-policy-interzone-dmz-untrust-inboundpolicy 3FW-policy-interzone-dmz-untrust-inbound-3action deny为了能在进行Telnet测试，在R3上开启Telnet功能。R3user-interface vty 0 4R3-ui-vty0-4authentication-mode none测试网络连通性。ping 10.0.3.3 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=2 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=2 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=2 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 2/2/4 msping 10.0.30.1 PING 10.0.30.1: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.30.1 ping statistics - 5 packet（s） transmitted 0 packet（s） received 100.00% packet loss Press CTRL_ to quit telnet mode Trying 10.0.3.3 . Connected to 10.0.3.3 .quit Configuration console exit, please retry to log on The connection was closed by the remote host Press CTRL_ to quit telnet mode Trying 10.0.30.3 .步骤三. 配置黑名单黑名单仅对IP地址进行识别，能够以很高的速度实现黑名单表项匹配，从而快速有效地屏蔽特定IP地址的用户。黑名单是一个重要的平安特性，其特点为可以由设备动态地进行添加或删除。同包过滤功能相比，黑名单功能的匹配和屏蔽的速度更快，消耗的系统资源更少。如果认为某个IP地址对应的用户不可信时，可将该用户的IP地址参加黑名单，之后当设备收到源地址为该IP地址的报文时，将其予以丢弃，从而到达保护网络平安的目的。最近发现Untrust区域上不断有不同的IP地址在对公司进行端口扫描，需要对其进行防范。其中有一个IP地址已经进行了屡次攻击，希望直接屏蔽掉从该IP发来的流量。在R1上添加环回口，模拟攻击源。并在防火墙上配置静态路由。R1int LoopBack 1R1-LoopBack1ip address 10.0.111.1 2411配置端口扫描攻击防范，使端口扫描攻击的检测结果可以被自动导入到黑名单中。FWfirewall defend port-scan enable配置IP地址扫描速率的阈值为5000pps。这里的阈值指某个源地址到同一目的地址的IP报文中端口的变化速率。如果这个速率过快，说明这个源地址极可能在扫描目的地址的所有端口。FWfirewall defend port-scan max-rate 5000配置黑名单超时时间为30分钟。这样攻击防范功能所生成的动态黑名单表项将在30分钟后被删除。FWfirewall defend port-scan blacklist-timeout 30添加静态黑名单之前，IP地址为10.0.111.1的环回口能够与R3的环回口通讯。检测连通性。 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Reply from 10.0.3.3: bytes=56 Sequence=1 ttl=254 time=4 ms Reply from 10.0.3.3: bytes=56 Sequence=2 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=3 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=4 ttl=254 time=3 ms Reply from 10.0.3.3: bytes=56 Sequence=5 ttl=254 time=3 ms - 10.0.3.3 ping statistics - 5 packet（s） transmitted 5 packet（s） received 0.00% packet loss round-trip min/avg/max = 3/3/4 ms配置静态黑名单功能，将IP地址10.0.111.1参加黑名单，始终丢弃其发来的报文，直至手工将其从黑名单中删除。FWfirewall blacklist enable测试连通性。 PING 10.0.3.3: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out - 10.0.3.3 ping statistics - 5 packet（s） transmitted 0 packet（s） received100.00% packet loss步骤四. 配置应用层包过滤ASPF在多通道协议和NAT的应用中，ASPF是重要的辅助功能。通过配置ASPF功能，可实现内网正常对外提供FTP和TFTP效劳，同时还可防止内网用户在访问外网Web效劳器时下载危险控件。公司提供FTP、TFTP效劳，公司员工还需要访问外网的Web网站。在向内网开放的Web网站上可能存在危险的java控件。由于FTP协议为系统预定义协议，只需在域间应用detect ftp即可实现FTP报文的正常转发。而TFTP协议在系统中没有预先定义，可以通过自定义的三元组ASPF来进行匹配。创立两条ACL。

展开阅读全文

华为认证HCDP实验指导书HCDP-IENPv16

最新文档