河南中医药大学：《网络运维管理》实验指导【2019级信管】网络运维管理-实验17-在园区网中部署防火墙

《网络运维管理》/实验17:在园区网中部署防火墙 实验十七:在园区网中部署防火墙 实验简介 在园区网中使用引入防火墙保护用户网络,配置防火墙策略,实现对用户行为管理。 、实验目的 1、掌握防火墙的配置 2、掌握防火墙的工作原理 3、掌握在园区网中使用防火墙保护用户网络 三、实验类型 综合性 四、实验理论 l、防火墙介绍 防火墙( Firewall〕)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 其目的是保护网络不被侵扰。在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器 能够有效地监控流经防火墙的数据,保证内部网络的安全。本质上,防火墙遵循的是一种允许或 阻止业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质 (1)防火墙是不同网络之间信息的唯一出入口 (2)防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有 较强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片) (3)防火墙本身不能影响正常网络信息的流通。 2、防火墙接入模式 (1)透明接入 防火墙处于透明模式时相当于二层交换机,可以实现局域网之间基于数据链路层的连接,网 络中传送由MAC( Media Access control,媒体介入控制层)控制信息、LLC( Logical link control, 逻辑链路控制)控制信息和网络层分组成的数据帧。 防火墙在进行桥接功能的同时,还能实现包过滤功能,通过对防火墙的数据包进行安全检测 并根据一定的安全策略对某些数据包进行拦截,从而保证完成桥接功能的同时,维护网络的安全 性。这种接入方式具有极佳适应能力,无需改变原有网络拓扑就可以实现全方位的安全防护。 (2)NAT模式 NAT( Network Address Translation)是一种地址转换技术,可以将IPV4报文头部中的地址转换 为另一个地址 根据转化方式的不同,NAT可以分为三类 ①源NAT 对源IP地址转化的NA。包含: NO-PAT、NAPI、 Easy IF、 Smart nat、三元组NAT

《网络运维管理》/实验 17：在园区网中部署防火墙 1 实验十七：在园区网中部署防火墙 一、实验简介 在园区网中使用引入防火墙保护用户网络，配置防火墙策略，实现对用户行为管理。 二、实验目的 1、掌握防火墙的配置； 2、掌握防火墙的工作原理； 3、掌握在园区网中使用防火墙保护用户网络；； 三、实验类型 综合性 四、实验理论 1、防火墙介绍 防火墙（Firewall）是在两个网络之间执行访问控制策略的一个或一组系统，包括硬件和软件， 其目的是保护网络不被侵扰。在逻辑上，防火墙是一个分离器、一个分析器，也是一个限制器， 能够有效地监控流经防火墙的数据，保证内部网络的安全。本质上，防火墙遵循的是一种允许或 阻止业务来往的网络通信安全机制，也就是提供可控的、能过滤的网络通信。 不管什么种类的防火墙，不论其采用何种技术手段，防火墙都必须具有以下三种基本性质： （1）防火墙是不同网络之间信息的唯一出入口。 （2）防火墙能根据网络安全策略控制（允许、拒绝或监测）出入网络的信息流，且自身具有 较强的抗攻击能力（采用不易攻击的专用系统或采用纯硬件的处理器芯片）。 （3）防火墙本身不能影响正常网络信息的流通。 2、防火墙接入模式 （1）透明接入 防火墙处于透明模式时相当于二层交换机，可以实现局域网之间基于数据链路层的连接，网 络中传送由 MAC（Media Access Control，媒体介入控制层）控制信息、LLC（Logical Link Control， 逻辑链路控制）控制信息和网络层分组成的数据帧。 防火墙在进行桥接功能的同时，还能实现包过滤功能，通过对防火墙的数据包进行安全检测 并根据一定的安全策略对某些数据包进行拦截，从而保证完成桥接功能的同时，维护网络的安全 性。这种接入方式具有极佳适应能力，无需改变原有网络拓扑就可以实现全方位的安全防护。 （2）NAT 模式 NAT（Network Address Translation）是一种地址转换技术，可以将 IPv4 报文头部中的地址转换 为另一个地址。 根据转化方式的不同，NAT 可以分为三类： ①源 NAT 对源 IP 地址转化的 NAT。包含：NO-PAT、NAPT、Easy IP、Smart NAT、三元组 NAT

《网络运维管理》/实验17:在园区网中部署防火墙 NO-PAT:一对一的地址转换,只做地址转换,不做端口转换; NAPT:网络地址端口转换 Easy IP:自动根据WAN(广域网)接口的公网IP地址实现与私网PP地址之间的映射 Smart NAT:含N个IP,其中一个P被指定为预留地址,另外N-1个地址构成地址池 ( section1),进行NAT地址转换时, Smart nat会优先使用 section进行 NAT NO-PAT方式的转 换。当 sectionl中的IP全被占用后, Smart nat用预留地址进行NAPT方式转换 三元组NAT:是一种转换时同时转换地址和端口,实现多个私网地址共用一个或多个公网地 址的地址转换方式 ②目的NAT 目的NAT是指对报文中的目的地址和端口进行转换。通过目的NAT技术将公网IP地址转换 成私网IP地址,使公网用户可以利用私网地址访问内部 Server. 根据转换后的目的地址是否固定,目的NAT分为静态目的NAT和动态目的NAT 静态目的NAT是一种转换报文目的P地址的方式,且转换前后的地址存在一种固定的映射关 系。动态目的NAT是一种动态转换报文目的P地址的方式,转换前后的地址不存在一种固定的映 射关系 当公网用户访问内部 Server时,防火墙的处理过程如下: 当公网用户访问内网 Server的报文到达防火墙时,防火墙将报文的目的P地址由公网地址转 换为私网地址 当回程报文返回至防火墙时,防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向NAT 双向NAT在转换过程中同时转换报文的源信息和目的信息。双向NAT是源NAT和目的NAT 的组合,针对同一条数据流,在其经过防火墙时同时转换报文的源地址和目的地址 (3)路由模式 当接口工作在路由模式时,防火墙在不同网段之间转发IP数据流时不执行任何NAT操作,除 非有基于策略的NAT规则存在;当IP数据流经过防火墙时,IP数据包包头中的IP地址和端口号 保持不变 (4)混合模式 混合模式即在网络接入中同时用到了路由和网桥模式 3、入侵防御 入侵防御是一种安全机制,通过收集和分析网络行为、安全日志、审计数据等信息,检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象(包括缓冲区溢出攻击、木马、蠕虫等), 并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害 (1)单包攻击 扫描类攻击:包括地址扫描和端口扫描 ①地址扫描 攻击者运用ICMP报文(如Ping和 Tracert命令)探测目标地址,或者使用 TCP/UDP报文对 定地址发起连接(如 TCP ping),通过判断是否有应答报文,以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构,探寻被攻击对象目前开放的端口,以确定攻击方 式。在端口扫描攻击中,攻击者通常使用 Port scan类的攻击软件,发起一系列TCP/UDP连接, 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击:包含有P欺骗、IP分片报文、 Teardrop、 Smurf、 Ping of Death、 Fraggle

《网络运维管理》/实验 17：在园区网中部署防火墙 2 NO-PAT：一对一的地址转换，只做地址转换，不做端口转换； NAPT：网络地址端口转换； Easy IP：自动根据 WAN（广域网）接口的公网 IP 地址实现与私网 IP 地址之间的映射； Smart NAT：含 N 个 IP，其中一个 IP 被指定为预留地址，另外 N-1 个地址构成地址池 1 （section1），进行 NAT 地址转换时，Smart NAT 会优先使用 section1 进行 NAT No-PAT 方式的转 换。当 section1 中的 IP 全被占用后，Smart NAT 用预留地址进行 NAPT 方式转换。 三元组 NAT：是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地 址的地址转换方式。 ②目的 NAT 目的 NAT 是指对报文中的目的地址和端口进行转换。通过目的 NAT 技术将公网 IP 地址转换 成私网 IP 地址，使公网用户可以利用私网地址访问内部 Server。 根据转换后的目的地址是否固定，目的 NAT 分为静态目的 NAT 和动态目的 NAT。 静态目的 NAT 是一种转换报文目的 IP 地址的方式，且转换前后的地址存在一种固定的映射关 系。动态目的 NAT 是一种动态转换报文目的 IP 地址的方式，转换前后的地址不存在一种固定的映 射关系。 当公网用户访问内部 Server 时，防火墙的处理过程如下： 当公网用户访问内网 Server 的报文到达防火墙时，防火墙将报文的目的 IP 地址由公网地址转 换为私网地址； 当回程报文返回至防火墙时，防火墙再将报文的源地址由私网地址转换为公网地址。 ③双向 NAT 双向 NAT 在转换过程中同时转换报文的源信息和目的信息。双向 NAT 是源 NAT 和目的 NAT 的组合，针对同一条数据流，在其经过防火墙时同时转换报文的源地址和目的地址。 （3）路由模式 当接口工作在路由模式时，防火墙在不同网段之间转发 IP 数据流时不执行任何 NAT 操作，除 非有基于策略的 NAT 规则存在；当 IP 数据流经过防火墙时，IP 数据包包头中的 IP 地址和端口号 保持不变。 （4）混合模式 混合模式即在网络接入中同时用到了路由和网桥模式。 3、入侵防御 入侵防御是一种安全机制，通过收集和分析网络行为、安全日志、审计数据等信息，检查网 络或系统中是否存在违反安全策略的行为和被攻击的迹象（包括缓冲区溢出攻击、木马、蠕虫等）， 并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害。 （1）单包攻击 扫描类攻击：包括地址扫描和端口扫描。 ①地址扫描 攻击者运用 ICMP 报文（如 Ping 和 Tracert 命令）探测目标地址，或者使用 TCP/UDP 报文对 一定地址发起连接（如 TCP ping），通过判断是否有应答报文，以确定哪些目标系统确实存活着并 且连接在目标网络上。 ②端口扫描 攻击者通过对端口进行扫描探测网络结构，探寻被攻击对象目前开放的端口，以确定攻击方 式。在端口扫描攻击中，攻击者通常使用 Port Scan 类的攻击软件，发起一系列 TCP/UDP 连接， 根据应答报文判断主机是否使用这些端口提供服务。 畸形报文类攻击：包含有 IP 欺骗、IP 分片报文、Teardrop、Smurf、Ping of Death、Fraggle

《网络运维管理》/实验17:在园区网中部署防火墙3 WinNuke、Land和TCP报文标志合法性检测。 ①P欺骗 IP欺骗一种常用的攻击方法,也是其他攻击方法的基础。IP协议依据I数据包包头中的目的 地址来发送IP报文,如果IP报文是本网络内的地址,则被直接发送到目的地址;如果该IP地址 不是本网络地址,则被发送到网关,而不对IP数据包中提供的源地址做任何检查,默认为IP数据 包中的源地址就是发送IP包主机的地址。攻击者通过向目标主机发送源P地址伪造的报文,欺骗 目标主机,从而获取更高的访问和控制权限。PP欺骗攻击可导致目标主机的资源,信息泄漏 ②IP分片报文 IP报文头中的DF和MF标志位用于分片控制,通过发送分片控制非法的报文,可导致主机接 收时产生故障。IP分片报文攻击导致报文处理异常,主机崩溃。 ③ Teardrop 对于一些大的P数据包,为了满足链路层的MTU( Maximum transmission unit,最大传输单 元)的要求,需要传送过程中对其进行分片,分成几个PP包。在每个IP报头中有一个偏移字段和 一个拆分标志(MF),其中偏移字段指出了这个片段在整个P包中的位置。如果攻击者截取PP数 据包后,把偏移字段设置成不正确的值,接收端在收到这些分拆的数据包后,就不能按数据包中 的偏移字段值正确组合岀被拆分的数据包,接收端会不停的进行尝试,以至操作系统因资源耗尽 而崩溃。 ④ Smurf 攻击者发送ICMP应答请求,该请求包的目标地址设置网络的广播地址或子网主机段为全0的 地址,该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞 ⑤ Ping of death 利用长度超大的ICMP报文对系统进行攻击。IP报文的长度字段为16位,P报文的最大长度 为65535。对于 ICMP ECHO报文,如果数据长度大于65515,就会使ICMP数据+IP头长度(20) +ICMP头长度(8)>65535。有些路由器或系统,在接收到一个这样的报文后,就会发生处理发 生错误,造成系统崩溃、死机或重启。 ⑥ Fraggle UDP端口收到一个数据包后,会产生一个字符串作为回应。当运行ECHO服务的UDP端口 收到一个数据包后,会简单地返回该包的数据内容作为回应,攻击者进行循环攻击造成系统繁忙, 链路拥塞。 攻击目标端口,且端口URG位设为1。 ⑧Land攻击 攻击者发送源地址和目的地址相同,或者源地址为环回地址的SYN报文给目标主机(源端口 和目的端口相同),导致被攻击者向其自己的地址发送SYN-ACK消息,生成并存在大量的空连 接。 ⑨TCP报文标志合法性检测 TCP报文标志位包括URG、ACK、PSH、RST、SYN、FN。攻击者通过发送非法 TCP flag组 合的报文,受害主机收到后进行判断识别,消耗其性能,甚至会造成有些操作系统报文处理异常, 主机崩溃。 特殊报文控制类攻击:包含有超大ICMP报文控制、ICMP不可达报文控制、ICMP重定向报 文控制、 Tracert、源站选路选项酽报文控制、路由记录选项IP报文控制和时间戳选项I报文控 ①超大ICMP报文控制

《网络运维管理》/实验 17：在园区网中部署防火墙 3 WinNuke、Land 和 TCP 报文标志合法性检测。 ①IP 欺骗 IP 欺骗一种常用的攻击方法，也是其他攻击方法的基础。IP 协议依据 IP 数据包包头中的目的 地址来发送 IP 报文，如果 IP 报文是本网络内的地址，则被直接发送到目的地址；如果该 IP 地址 不是本网络地址，则被发送到网关，而不对 IP 数据包中提供的源地址做任何检查，默认为 IP 数据 包中的源地址就是发送 IP 包主机的地址。攻击者通过向目标主机发送源 IP 地址伪造的报文，欺骗 目标主机，从而获取更高的访问和控制权限。IP 欺骗攻击可导致目标主机的资源，信息泄漏。 ②IP 分片报文 IP 报文头中的 DF 和 MF 标志位用于分片控制，通过发送分片控制非法的报文，可导致主机接 收时产生故障。IP 分片报文攻击导致报文处理异常，主机崩溃。 ③Teardrop 对于一些大的 IP 数据包，为了满足链路层的 MTU（Maximum Transmission Unit，最大传输单 元）的要求，需要传送过程中对其进行分片，分成几个 IP 包。在每个 IP 报头中有一个偏移字段和 一个拆分标志（MF），其中偏移字段指出了这个片段在整个 IP 包中的位置。如果攻击者截取 IP 数 据包后，把偏移字段设置成不正确的值，接收端在收到这些分拆的数据包后，就不能按数据包中 的偏移字段值正确组合出被拆分的数据包，接收端会不停的进行尝试，以至操作系统因资源耗尽 而崩溃。 ④Smurf 攻击者发送 ICMP 应答请求，该请求包的目标地址设置网络的广播地址或子网主机段为全 0 的 地址，该网络的所有主机都对此 ICMP 应答请求作出答复，导致网络阻塞。 ⑤Ping of Death 利用长度超大的 ICMP 报文对系统进行攻击。IP 报文的长度字段为 16 位，P 报文的最大长度 为 65535。对于 ICMP ECHO 报文，如果数据长度大于 65515，就会使 ICMP 数据＋IP 头长度(20) ＋ICMP 头长度（8）>65535。有些路由器或系统，在接收到一个这样的报文后，就会发生处理发 生错误，造成系统崩溃、死机或重启。 ⑥Fraggle UDP 端口收到一个数据包后，会产生一个字符串作为回应。当运行 ECHO 服务的 UDP 端口 收到一个数据包后，会简单地返回该包的数据内容作为回应，攻击者进行循环攻击造成系统繁忙， 链路拥塞。 ⑦WinNuke 攻击目标端口，且端口 URG 位设为 1。 ⑧Land 攻击 攻击者发送源地址和目的地址相同，或者源地址为环回地址的 SYN 报文给目标主机（源端口 和目的端口相同），导致被攻击者向其自己的地址发送 SYN-ACK 消息，生成并存在大量的空连 接。 ⑨TCP 报文标志合法性检测 TCP 报文标志位包括 URG、ACK、PSH、RST、SYN、FIN。攻击者通过发送非法 TCP flag 组 合的报文，受害主机收到后进行判断识别，消耗其性能，甚至会造成有些操作系统报文处理异常， 主机崩溃。 特殊报文控制类攻击：包含有超大 ICMP 报文控制、ICMP 不可达报文控制、ICMP 重定向报 文控制、Tracert、源站选路选项 IP 报文控制、路由记录选项 IP 报文控制和时间戳选项 IP 报文控 制。 ①超大 ICMP 报文控制

《网络运维管理》/实验17:在园区网中部署防火墙 通常合法的ICMP报文长度都不会很大,如果网络中出现长度太大的ICMP报文,那么很可能 是攻击。 ②ICMP不可达报文控制攻击 部分系统在收到网络或主机不可达的ICMP报文后,对于后续发往此目的地址的报文直接认 为不可达,从而切断了目的地与主机的连接。攻击者伪造不可达ICMP报文,切断受害者与目的 地的连接,造成攻击。 ③ICMP重定向报文控制 网络设备通常通过向同一个子网的主机发送ICMP重定向报文来请求主机改变路由。一般情 况下,设备仅向同一个子网的主机而不向其他设备发送ICMP重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文,以改变主机的路由表,从而干扰主机正常的IP 报文发送。 ④ Tracert 攻击者利用TTL为0时返回的ICMP超时报文,和达到目的地址时返回的ICMP端口不可达 报文来发现报文到达目的地所经过的路径,窥探网络结构。 ⑤源站选路选项P报文控制 IP路由技术中,一个P报文的传递路径是由网络中的路由器根据报文的目的地址来决定的, 但也提供了一种由报文的发送方决定报文传递路径的方法,就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于IP源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,窥探网络结构 ⑥路由记录选项IP报文控制攻击原理: IP路由技术中,提供了路由记录选项,用来记录IP报文从源地址到目的地址过程中所经过的 路径,即处理此报文的路由器的列表。IP路由记录选项通常用于网络路径的故障诊断,可能被恶 意攻击者利用,窥探网络结构 ⑦时间戳选项P报文控制 IP路由技术中,提供了时间戳选项,记录IP报文从源到目的过程中所经过的路径和时间,即 处理过此报文的路由器的列表。IP时间戳选项通常用于网络路径的故障诊断,可能被恶意攻击者 利用,窥探网络结构 (2)流量型攻击 常见流量型攻击有: SYN Flood、 UDP Flood、 ICMP Flood、 Http Flood、 Https Flood、DNS SYN Flood攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含SYN包,其中源IP地址被改为伪造的不可达的IP地址。服务器向伪 造的P地址发出回应,并等待连接已建立的确认信息。但由于该PP地址是伪造的,服务器无法等 到确认信息,只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限,如果攻击 者发送大量这样的连接请求,服务器的半开连接资源很快就会消耗完毕,无法再接受来自正常用 户的TCP连接请求。 UDP Flood:攻击者向同一IP地址发送大量的UDP包使得该IP地址无法响应其它UDP请求 CMP Flood:当 ICMP PING产生的大量回应请求超出了系统的最大限度,以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HttpflOod:攻击者通过代理或僵尸主机向目标服务器发起大量的HTTP请求报文,请求涉 及数据库操作的URI( Universal Resource Identifier)或其它消耗系统资源的UR,造成服务器资源 耗尽,无法响应正常请求 Https Flood:攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 Https连接, 造成服务器资源耗尽,无法响应正常的请求

《网络运维管理》/实验 17：在园区网中部署防火墙 4 通常合法的 ICMP 报文长度都不会很大，如果网络中出现长度太大的 ICMP 报文，那么很可能 是攻击。 ②ICMP 不可达报文控制攻击 部分系统在收到网络或主机不可达的 ICMP 报文后，对于后续发往此目的地址的报文直接认 为不可达，从而切断了目的地与主机的连接。攻击者伪造不可达 ICMP 报文，切断受害者与目的 地的连接，造成攻击。 ③ICMP 重定向报文控制 网络设备通常通过向同一个子网的主机发送 ICMP 重定向报文来请求主机改变路由。一般情 况下，设备仅向同一个子网的主机而不向其他设备发送 ICMP 重定向报文。通过攻击手段跨越网 段向另外一个网络的主机发送虚假的重定向报文，以改变主机的路由表，从而干扰主机正常的 IP 报文发送。 ④Tracert 攻击者利用 TTL 为 0 时返回的 ICMP 超时报文，和达到目的地址时返回的 ICMP 端口不可达 报文来发现报文到达目的地所经过的路径，窥探网络结构。 ⑤源站选路选项 IP 报文控制 IP 路由技术中，一个 IP 报文的传递路径是由网络中的路由器根据报文的目的地址来决定的， 但也提供了一种由报文的发送方决定报文传递路径的方法，就是源站选路选项。源站选路选项允 许源站明确指定一条到目的地的路由，覆盖掉中间路由器的路由选项。源站选路选项通常用于网 络路径的故障诊断和某种特殊业务的临时传送。由于 IP 源站选路选项忽略了报文传输路径中的各 个设备的中间转发过程，而不管转发接口的工作状态，可能被恶意攻击者利用，窥探网络结构。 ⑥路由记录选项 IP 报文控制攻击原理: IP 路由技术中，提供了路由记录选项，用来记录 IP 报文从源地址到目的地址过程中所经过的 路径，即处理此报文的路由器的列表。IP 路由记录选项通常用于网络路径的故障诊断，可能被恶 意攻击者利用，窥探网络结构。 ⑦时间戳选项 IP 报文控制 IP 路由技术中，提供了时间戳选项，记录 IP 报文从源到目的过程中所经过的路径和时间，即 处理过此报文的路由器的列表。IP 时间戳选项通常用于网络路径的故障诊断，可能被恶意攻击者 利用，窥探网络结构。 （2）流量型攻击 常见流量型攻击有：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood。 SYN Flood：攻击者通过不完全的握手过程消耗服务器的半开连接数目达到拒绝服务攻击的目 的。攻击者向服务器发送含 SYN 包，其中源 IP 地址被改为伪造的不可达的 IP 地址。服务器向伪 造的 IP 地址发出回应，并等待连接已建立的确认信息。但由于该 IP 地址是伪造的，服务器无法等 到确认信息，只有保持半开连接状态直至超时。由于服务器允许的半开连接数目有限，如果攻击 者发送大量这样的连接请求，服务器的半开连接资源很快就会消耗完毕，无法再接受来自正常用 户的 TCP 连接请求。 UDP Flood：攻击者向同一 IP 地址发送大量的 UDP 包使得该 IP 地址无法响应其它 UDP 请求。 ICMP Flood：当 ICMP PING 产生的大量回应请求超出了系统的最大限度，以至于系统耗费 所有资源来进行响应直至再也无法处理有效的网络信息。 HTTP Flood：攻击者通过代理或僵尸主机向目标服务器发起大量的 HTTP 请求报文，请求涉 及数据库操作的 URI（Universal Resource Identifier）或其它消耗系统资源的 URI，造成服务器资源 耗尽，无法响应正常请求。 HTTPS Flood：攻击者通过代理、僵尸网络或者直接向目标服务器发起大量的 HTTPS 连接， 造成服务器资源耗尽，无法响应正常的请求

《网络运维管理》/实验17:在园区网中部署防火墙5 DNS Flood:攻击者向DNS服务器发送大量的域名解析请求,被攻击的DNS服务器在接收到 域名解析请求,首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由 服务器解析时,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器 带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。 五、实验规划 本实验是在一台实体计算机上,通过eNsP仿真软件完成 实体计算机的操作系统为 Windows7/10; l、网络拓扑规划 为简化内容、突出重点,本实验的基本任务(任务1)仅在eNSP中构建一台防火墙,防火墙 通过云设备与实体机连接,实现防火墙与实体机的互访。 2、规划网络地址方案 根据对网络环境的设计,实验中所用到的网络为实体机所在网络。其网络参数(例如PP地址 范围、默认网关等)可以从网络管理员处获得(可能是动态获得,也可能是静态设置),具体情况 要根据实验环境的实际情况而定

《网络运维管理》/实验 17：在园区网中部署防火墙 5 DNS Flood：攻击者向 DNS 服务器发送大量的域名解析请求，被攻击的 DNS 服务器在接收到 域名解析请求，首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由 服务器解析时，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器 带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS 服务器解析域名超时。 五、实验规划 本实验是在一台实体计算机上，通过 eNSP 仿真软件完成； 实体计算机的操作系统为 Windows7/10； 1、网络拓扑规划 为简化内容、突出重点，本实验的基本任务（任务 1）仅在 eNSP 中构建一台防火墙，防火墙 通过云设备与实体机连接，实现防火墙与实体机的互访。 2、规划网络地址方案 根据对网络环境的设计，实验中所用到的网络为实体机所在网络。其网络参数（例如 IP 地址 范围、默认网关等）可以从网络管理员处获得（可能是动态获得，也可能是静态设置），具体情况 要根据实验环境的实际情况而定

《网络运维管理》/实验17:在园区网中部署防火墙 任务一:使用web方式管理防火墙 任务描述: 在eNSP仿真软件中创建本实验所需要的1台防火墙 步骤1:导入防火墙的设备包 NSP的USG6000V防火墙在使用时,需要先导入其设备包文件。启动FW1,会看到 导入设备包”的提示窗口,如图15-1-1所示。 色导入设备包 说明:1.bos中开启硬件虚拟化。 2.从eNsP官方下载sG6000V,p包,并解压后导入 包路径 浏览 戳这里获取帮助! □入即消 图15-1-1防火墙设备在使用时,需要导入其设备包文件 步骤2:添加云设备 添加云设备,并将云设备与防火墙G000接口连接,如图15-1-2所示。云设备所连网卡 接口配置IP地址,192.1680.100,子网掩码:255255255.0 GE O/0D Ethernet 0/0/1 Cloud-1 图15-1-2添加云设备 步骤3:启动防火墙,并修改防火墙密码 启动防火墙后,第一次登录防火墙时需要修改初始密码。eNSP中,USG6000V防火墙的 默认用户名和密码分别为“admn”和“ Admin@123”,现在将登录防火墙的密码改为 abcd@1234o ∥/使用用户名 admin和密码 Admin@123登录防火墙 Username: admin ∥/提示需要修改密码,是否立即修改,此处选择y,继续执行 The password needs to be changed. Change now? [Y/N]: y

《网络运维管理》/实验 17：在园区网中部署防火墙 6 任务一：使用 Web 方式管理防火墙 任务描述： 在 eNSP 仿真软件中创建本实验所需要的 1 台防火墙。 步骤 1：导入防火墙的设备包 eNSP 的 USG6000V 防火墙在使用时，需要先导入其设备包文件。启动 FW-1，会看到 “导入设备包”的提示窗口，如图 15-1-1 所示。 步骤 2：添加云设备 添加云设备，并将云设备与防火墙 G0/0/0 接口连接，如图 15-1-2 所示。云设备所连网卡 接口配置 IP 地址，192.168.0.100，子网掩码：255.255.255.0 步骤 3：启动防火墙，并修改防火墙密码 启动防火墙后，第一次登录防火墙时需要修改初始密码。eNSP 中，USG6000V 防火墙的 默认用户名和密码分别为“admin”和“Admin@123”，现在将登录防火墙的密码改为 abcd@1234。 //使用用户名 admin 和密码 Admin@123 登录防火墙 Username:admin Password: //提示需要修改密码，是否立即修改，此处选择 y，继续执行 The password needs to be changed. Change now? [Y/N]: y 图 15-1-1 防火墙设备在使用时，需要导入其设备包文件 图 15-1-2 添加云设备

《网络运维管理》/实验17:在园区网中部署防火墙 /输入原密码 Admin@123 Please enter old password ∥/输入新密码,以abcd@1234为例 Please enter new password ∥/重复输入新密码abcd@1234 Please confirm new password ∥/提示密码修改成功 Info: Your password has been changed. Save the change to survive a reboot. Copyright(C)2014-2018 Huawei Technologies Co. Ltd All rights reserved Without the owner's prior written consent no decompiling or reverse-engineering shall be allowed 输入防火墙密码时,屏幕上并不显 步骤3:配置防火墙Web管理 配置防火墙,允许通过Web方式管理。 ∥/配置接口允许访问的服务 [USG6000V1interface GigabitEthernet 0/0/0 [usG6000V1-gIgabitetherneto/0/0]sErvice-manaGehttppermit [usG6000V1-giGabitetherneto/0/0]seRvice-managehttpspermit [USG6000V1-GigabitEthernetoy0/o]quit ∥/配置防火墙策略,名称为 allow visit_1 [USG6000V1]security-policy [USG6000V1-policy-security ]rule name allow_visit_1 [USG6000V1-policy-security-rule-allow_web ]source-zone trust [USG6000V1-policy-security-rule-allow_web ]destination-zone loca [USG6000V1-policy-security-rule-allow_web ]action permit [USG6000V1-policy-security-rule-allow_web ]quit [USG6000V1-policy-security ]quit ∥/配置访问用户 [USG6000V1 aaa [USG6000V1-aaa]manager-user manage [USG6000Vl-aaa-manager-user-manage ]password Enter Password [USG6000V1-aaa-manager-user-duyufei]service-type web [USG6000V1-aaa-manager-user-duyufei]level 15 [USG6000V1-aaa-manager-user-manage quit

《网络运维管理》/实验 17：在园区网中部署防火墙 7 //输入原密码 Admin@123 Please enter old password: //输入新密码，以 abcd@1234 为例 Please enter new password: //重复输入新密码 abcd@1234 Please confirm new password: //提示密码修改成功 Info: Your password has been changed. Save the change to survive a reboot. **************************************************************** * Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. * * All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * **************************************************************** 输入防火墙密码时，屏幕上并不显示。 步骤 3：配置防火墙 Web 管理 配置防火墙，允许通过 Web 方式管理。 //配置接口允许访问的服务 [USG6000V1]interface GigabitEthernet 0/0/0 [USG6000V1-GigabitEthernet0/0/0]service-manage http permit [USG6000V1-GigabitEthernet0/0/0]service-manage https permit [USG6000V1-GigabitEthernet0/0/0]quit //配置防火墙策略，名称为 allow_visit_1 [USG6000V1]security-policy [USG6000V1-policy-security]rule name allow_visit_1 [USG6000V1-policy-security-rule-allow_web]source-zone trust [USG6000V1-policy-security-rule-allow_web]destination-zone local [USG6000V1-policy-security-rule-allow_web]action permit [USG6000V1-policy-security-rule-allow_web]quit [USG6000V1-policy-security]quit //配置访问用户 [USG6000V1]aaa [USG6000V1-aaa]manager-user manage [USG6000V1-aaa-manager-user-manage]password Enter Password: Confirm Password: [USG6000V1-aaa-manager-user-duyufei]service-type web [USG6000V1-aaa-manager-user-duyufei]level 15 [USG6000V1-aaa-manager-user-manage]quit

《网络运维管理》/实验17:在园区网中部署防火墙8 UsG60001 aaa]quit。 步骤4:使用Web方式访问防火墙 在浏览器中输入htps∥192.1680.1:8443访问防火墙,登录界面如图15-1-3所示。 Huawei Ae USG6000V1-EN SP 语言 简体中 文 密码 登录下载根证书 图15-1-3防火墙登录页面 输入用户名,密码,访问页面如图15-1-4所示 ●●● 图15-14防火墙管理页面

《网络运维管理》/实验 17：在园区网中部署防火墙 8 [USG6000V1-aaa]quit。 步骤 4：使用 Web 方式访问防火墙 在浏览器中输入 https://192.168.0.1:8443 访问防火墙，登录界面如图 15-1-3 所示。 输入用户名，密码，访问页面如图 15-1-4 所示。 图 15-1-3 防火墙登录页面 图 15-1-4 防火墙管理页面

《网络运维管理》/实验17:在园区网中部署防火墙9 任务二:在园区网中引入防火墙设备 任务描述: 在eNsP中部署园区网,并在园区网中部署防火墙,并配置防火墙允许所 有设备能够连通访问。 步骤1:网络规划 (1)设计网络拓扑 园区网基本拓扑参考实验2,在A-RS-1与B-RS-1之间接入防火墙设备。园区网拓扑见图15- 2-1所示 O-R-1 0-R-2 B-FW-1 S-RS-1 A-RS-1 B-RS-1 S-RS-3 A-AP-1 A-Sw.1 BSW-1 NS DHCP STA-1 Phone 1 AC1 AC2 B-C-1 BC2 STA 图15-2-1网络拓扑 (2)路由接囗IP地址 表1521路由接口IP地址规划夜 序号设备名称 接口名称 接口地址 备注 A-FW-1 g1/00 10.0.12/30 A-FW-1 g1/0/1 10.0.1.10/30 A-FW-1 10.02.1130 B-FW-1 g1/00 10.0.1.14/30 B-FW-1 10.0.16/30 567 B-FW-1 g1/0/1 10.02.5/30 A-RS- Vlanif100 10.02.2130 B-RS-1 Vlanif100 10.026/30 其他路由接口的|P地址规划,请参见实验2

《网络运维管理》/实验 17：在园区网中部署防火墙 9 任务二：在园区网中引入防火墙设备 任务描述： 在 eNSP 中部署园区网，并在园区网中部署防火墙，并配置防火墙允许所 有设备能够连通访问。 步骤 1：网络规划 （1）设计网络拓扑 园区网基本拓扑参考实验 2，在 A-RS-1 与 B-RS-1 之间接入防火墙设备。园区网拓扑见图 15- 2-1 所示。 图 15-2-1 网络拓扑 （2）路由接口 IP 地址 表 15-2-1 路由接口 IP 地址规划表 序号 设备名称 接口名称 接口地址 备注 1 A-FW-1 g1/0/0 10.0.1.2/30 -- 2 A-FW-1 g1/0/1 10.0.1.10 /30 -- 3 A-FW-1 g1/0/2 10.0.2.1 /30 -- 4 B-FW-1 g1/0/0 10.0.1.14 /30 -- 5 B-FW-1 g1/0/1 10.0.1.6 /30 -- 6 B-FW-1 g1/0/1 10.0.2.5 /30 7 A-RS-1 Vlanif100 10.0.2.2 /30 - 8 B-RS-1 Vlanif100 10.0.2.6 /30 -- 其他路由接口的 IP 地址规划，请参见实验 2

《网络运维管理》/实验17:在园区网中部署防火墙10 步骤2:在eNSP中部署园区网 根据前面的设计要求,在eNSP中部署园区网。具体操作略。 步骤3:在Ⅴ irtualBox中创建DNS服务器并接入园区网 创建虚拟机并安装 Centos7操作系统,安装DNS服务,然后接入园区网 具体操作略 步骤4:在Ⅴ irtualBox中创建DHCP服务器并接入园区网 创建虚拟机并安装 Centos7操作系统,安装并配置DHCP服务:然后接入园区网 具体操作略 步骤5:在Ⅴ virtuaLbox中创建NTP服务器并接入园区网 创建虚拟机并安装 Centos7操作系统,安装NTP服务;然后接入园区网 具体操作略 步骤6:实现有线网络用户的通信 实现有线用户(包括用户区域主机和数据中心的服务器)之间的通信。此处不考虑无线用户的 通信,不考虑接入互联网的操作。 步骤7:实现无线网络用户的通信 实现无线用户终端之间、无线用户终端与有线用户主机之间的通信。不考虑接入互联网的操作。 具体操作略 步骤8:实现园区网双链路NAT接入互联网 实现园区网内用户(配置内网地址)以NAT方式接入互联网。 具体操作略 步骤9:配置路由交换机A-RS1网络 配置路由交换机A-RS-1,保证正常网络通信 [A-RS-1 interface vlanif100 [A-RS-1vanf100 J p address10.0.2.2255.255.255.252 [A-RS-1-Vlanif 100]quit [A-RS-1-ospf-1]area 1 [A-RS-1-ospf-1-area-0.0.0.1 Network10.0.2.00.0.0.3 [A-RS-1-ospf-l-area-0.0.0.1]quit [A-RS-1-ospf-1]quit save

《网络运维管理》/实验 17：在园区网中部署防火墙 10 步骤 2：在 eNSP 中部署园区网 根据前面的设计要求，在 eNSP 中部署园区网。具体操作略。 步骤 3：在 VirtualBox 中创建 DNS 服务器并接入园区网 创建虚拟机并安装 Centos7 操作系统，安装 DNS 服务，然后接入园区网 具体操作略 步骤 4：在 VirtualBox 中创建 DHCP 服务器并接入园区网 创建虚拟机并安装 Centos7 操作系统，安装并配置 DHCP 服务；然后接入园区网 具体操作略 步骤 5：在 VirtualBox 中创建 NTP 服务器并接入园区网 创建虚拟机并安装 Centos7 操作系统，安装 NTP 服务；然后接入园区网 具体操作略 步骤 6：实现有线网络用户的通信 实现有线用户（包括用户区域主机和数据中心的服务器）之间的通信。此处不考虑无线用户的 通信，不考虑接入互联网的操作。 步骤 7：实现无线网络用户的通信 实现无线用户终端之间、无线用户终端与有线用户主机之间的通信。不考虑接入互联网的操作。 具体操作略。 步骤 8：实现园区网双链路 NAT 接入互联网 实现园区网内用户（配置内网地址）以 NAT 方式接入互联网。 具体操作略。 步骤 9：配置路由交换机 A-RS-1 网络 配置路由交换机 A-RS-1，保证正常网络通信 [A-RS-1]interface vlanif100 [A-RS-1-Vlanif100]ip address 10.0.2.2 255.255.255.252 [A-RS-1-Vlanif100]quit [A-RS-1]ospf 1 [A-RS-1-ospf-1]area 1 [A-RS-1-ospf-1-area-0.0.0.1]network 10.0.2.0 0.0.0.3 [A-RS-1-ospf-1-area-0.0.0.1]quit [A-RS-1-ospf-1]quit [A-RS-1]quit save