企業(yè)網(wǎng)絡安全設計方案論文

1、<p>　　編號：ABS20160501</p><p><b>　　企業(yè)網(wǎng)絡設計方案</b></p><p>　　關鍵字：網(wǎng)絡，安全，VPN，防火墻 ，防病毒</p><p><b>　　班 級：AY</b></p><p>　　姓 名：AY </p><

2、p>　　日 期：2016-05-19</p><p><b>　　目 錄</b></p><p><b>　　摘 要1</b></p><p>　　第一章 企業(yè)網(wǎng)絡安全概述2</p><p>　　1.1 企業(yè)網(wǎng)絡的主要安全隱患2</p><p>　　1.

3、2 企業(yè)網(wǎng)絡的安全誤區(qū)2</p><p>　　第二章 企業(yè)網(wǎng)絡安全現(xiàn)狀分析4</p><p>　　2.1 公司背景4</p><p>　　2.2 企業(yè)網(wǎng)絡安全需求4</p><p>　　2.3 需求分析4</p><p>　　2.4 企業(yè)網(wǎng)絡結構5</p><p>　　第三章 企

4、業(yè)網(wǎng)絡安全解決實施6</p><p><b>　　3.1物理安全6</b></p><p>　　3.2企業(yè)網(wǎng)絡接入配置7</p><p>　　3.3網(wǎng)絡防火墻配置10</p><p>　　3.4配置驗證查看18</p><p>　　3.5網(wǎng)絡防病毒措施21</p><

5、;p><b>　　總 結23</b></p><p><b>　　摘 要</b></p><p>　　近幾年來，Internet技術日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡聯(lián)通性為主要目標的第一代Internet技術向以提供網(wǎng)絡數(shù)據(jù)信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網(wǎng)絡互聯(lián)技術迅速的大規(guī)模使用。眾所周知，

6、作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計算機連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡協(xié)議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態(tài)，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發(fā)生。網(wǎng)絡安全的威脅主要表現(xiàn)在：非授權訪問，冒充合法用戶，破壞數(shù)據(jù)完整性，干擾系統(tǒng)正常運行，利用網(wǎng)絡傳播病毒，線路竊聽等方面。因此本論文為企業(yè)構架網(wǎng)絡安全體系，主要運用vlan劃分、防火墻

7、技術、vpn、病毒防護等技術，來實現(xiàn)企業(yè)的網(wǎng)絡安全。</p><p>　　第一章 企業(yè)網(wǎng)絡安全概述</p><p>　　1.1 企業(yè)網(wǎng)絡的主要安全隱患</p><p>　　現(xiàn)在網(wǎng)絡安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡的非法入侵、攻擊和訪問，同時企業(yè)網(wǎng)絡安全隱患的來源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡安全威脅要遠遠大于外部網(wǎng)絡，因為內(nèi)部中實施入侵和攻

8、擊更加容易，企業(yè)網(wǎng)絡安全威脅的主要來源主要包括。</p><p>　　病毒、木馬和惡意軟件的入侵。</p><p><b>　　網(wǎng)絡黑客的攻擊。</b></p><p>　　重要文件或郵件的非法竊取、訪問與操作。</p><p>　　關鍵部門的非法訪問和敏感信息外泄。</p><p><b&

9、gt;　　外網(wǎng)的非法入侵。</b></p><p>　　備份數(shù)據(jù)和存儲媒體的損壞、丟失。</p><p>　　針對這些安全隱患，所采取的安全策略可以通過安裝專業(yè)的網(wǎng)絡版病毒防護系統(tǒng)，同時也要加強內(nèi)部網(wǎng)絡的安全管理，配置好防火墻過濾策略和系統(tǒng)本身的各項安全措施，及時安裝系統(tǒng)安全補丁，有條件的還可以在內(nèi)、外網(wǎng)之間安裝網(wǎng)絡掃描檢測、網(wǎng)絡嗅探器、IDS、IPS系統(tǒng)，甚至配置網(wǎng)絡安全隔離

10、系統(tǒng)，對內(nèi)、外網(wǎng)絡進行安全隔離；加強內(nèi)部網(wǎng)絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當?shù)挠脩魴嘞?；同時對一些敏感數(shù)據(jù)進行加密保護，對數(shù)據(jù)還可以進行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應的數(shù)據(jù)策略，并按策略認真執(zhí)行。</p><p>　　1.2 企業(yè)網(wǎng)絡的安全誤區(qū)</p><p><b>　　安裝防火墻就安全了</b></p><

11、p>　　防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡周邊的安全防護。但如果攻擊行為不經(jīng)過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡層。</p><p>　　防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡的訪問不進行任何阻撓，而事實上，企業(yè)網(wǎng)絡安全事件絕大部分還是源于企業(yè)內(nèi)部。</p>&

12、lt;p>　　安裝了最新的殺毒軟件就不怕病毒了</p><p>　　安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。</p><p>　　在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟件等效</p><p>　　網(wǎng)絡版殺毒軟件核心就是集中的網(wǎng)絡防毒系統(tǒng)管

13、理。網(wǎng)絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網(wǎng)絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡的病毒。同時對于整個網(wǎng)絡，管理非常方便，對于單機版是不可能做到的。</p><p>　　只要不上網(wǎng)就不會中毒</p><p>　　雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。</p

14、><p>　　文件設置只讀就可以避免感染病毒</p><p>　　設置只讀只是調(diào)用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。</p><p>　　網(wǎng)絡安全主要來自外部</p><p>　　基于內(nèi)部的網(wǎng)絡攻擊更加容易，不需要借助于其他的網(wǎng)絡連接方式，就可以直接在

15、內(nèi)部網(wǎng)絡中實施攻擊。所以，加強內(nèi)部網(wǎng)絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。</p><p>　　第二章 企業(yè)網(wǎng)絡安全現(xiàn)狀分析</p><p><b>　　2.1 公司背景</b></p><p>　　XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應用開發(fā)為主營項目的軟件企

16、業(yè)。公司有一個局域網(wǎng)，約100臺計算機，服務器的操作系統(tǒng)是 Windows Server 2008,客戶機的操作系統(tǒng)是 Windows 7，在工作組的模式下一人一機辦公。公司對網(wǎng)絡的依賴性很強，主要業(yè)務都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡安全已經(jīng)不能滿足公司的需要，因此構建健全的網(wǎng)絡安全體系是當前的重中之重。</p><p>　　2.2 企業(yè)網(wǎng)絡安全需求</p><p>　

17、　XX科技有限公司根據(jù)業(yè)務發(fā)展需求，建設一個小型的企業(yè)網(wǎng)，有Web、Mail等服務器和辦公區(qū)客戶機。企業(yè)分為財務部門和業(yè)務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡安全等一些因素，如DDoS、ARP等。因此本企業(yè)的網(wǎng)絡安全構架要求如下：</p><p>　　根據(jù)公司現(xiàn)有的網(wǎng)絡設備組網(wǎng)規(guī)劃</p><p>　　保護網(wǎng)絡系統(tǒng)的可用性</p>&

18、lt;p>　　保護網(wǎng)絡系統(tǒng)服務的連續(xù)性</p><p>　　防范網(wǎng)絡資源的非法訪問及非授權訪問</p><p>　　防范入侵者的惡意攻擊與破壞</p><p>　　保護企業(yè)信息通過網(wǎng)上傳輸過程中的機密性、完整性</p><p><b>　　防范病毒的侵害</b></p><p>　　實現(xiàn)網(wǎng)絡

19、的安全管理。</p><p><b>　　2.3 需求分析</b></p><p>　　通過了解XX科技有限公司的需求與現(xiàn)狀，為實現(xiàn)XX科技有限公司的網(wǎng)絡安全建設實施網(wǎng)絡系統(tǒng)改造，提高企業(yè)網(wǎng)絡系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業(yè)有手段

20、對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網(wǎng)絡的改造，使管理者更加便于對網(wǎng)絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監(jiān)控和管理。因此需要</p><p>　　構建良好的環(huán)境確保企業(yè)物理設備的安全</p><p>　　劃分VLAN控制內(nèi)網(wǎng)安全</p><p><b>　　安裝防火墻體系</b>

21、;</p><p>　　建立VPN(虛擬專用網(wǎng)絡)確保數(shù)據(jù)安全</p><p><b>　　安裝防病毒服務器</b></p><p>　　加強企業(yè)對網(wǎng)絡資源的管理</p><p>　　2.4 企業(yè)網(wǎng)絡結構</p><p>　　網(wǎng)絡拓撲圖，如下圖所示:</p><p><

22、;b>　　總部網(wǎng)絡情況：</b></p><p>　　防火墻FW1作為出口NAT設備，從網(wǎng)絡運營商處獲得接入固定IP為202.10.1.2/30，網(wǎng)關IP為202.10.1.1/30，經(jīng)由防火墻分為DMZ區(qū)域和trust區(qū)域。</p><p>　　防火墻上FW1做NAT轉換。分配給trust區(qū)域的地址為10.1.1.0 /24,通過FW1上GE0/0/0端口連接網(wǎng)絡，接口

23、地址為10.1.1.1/24。DMZ內(nèi)主要有各類的服務器，地址分配為10.1.2.0 /24。通過FW1上GE0/0/1端口連接網(wǎng)絡，接口地址為10.1.2.1 /24。</p><p>　　建立IPSec隧道，使總部和分支可以互訪。</p><p><b>　　分部網(wǎng)絡情況：</b></p><p>　　防火墻FW2作為出口NAT設備，從網(wǎng)絡

24、運營商處獲得接入固定IP為202.20.1.2/30，網(wǎng)關IP為202.20.1.1/30。通過FW1上GE0/0/1端口連接內(nèi)部網(wǎng)絡，接口地址為10.1.1.1/24。</p><p>　　建立IPSec隧道，使分部和總部可以互訪。</p><p>　　第三章 企業(yè)網(wǎng)絡安全解決實施</p><p><b>　　3.1物理安全</b></

25、p><p>　　企業(yè)網(wǎng)絡中保護網(wǎng)絡設備的物理安全是其整個計算機網(wǎng)絡系統(tǒng)安全的前提，物理安全是指保護計算機網(wǎng)絡設備、設施以及其他媒體免遭地震、水災、火災等環(huán)境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。</p><p>　　針對網(wǎng)絡的物理安全主要考慮的問題是環(huán)境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網(wǎng)絡信息系統(tǒng)安全中占有重要地位。它主要包括以下幾個方面：&l

26、t;/p><p><b>　　保證機房環(huán)境安全</b></p><p>　　信息系統(tǒng)中的計算機硬件、網(wǎng)絡設施以及運行環(huán)境是信息系統(tǒng)運行的最基本的環(huán)境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等</p><p>　　2) 選用合適的傳輸介質(zhì)</p><p&g

27、t;　　屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質(zhì)有良好的接地（最好多處接地），對于干擾嚴重的區(qū)域應使用屏蔽式雙絞線，并將其放在金屬管內(nèi)以增強抗干擾能力。</p><p>　　光纖是超長距離和高容量傳輸系統(tǒng)最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數(shù)據(jù)、傳輸?shù)恼`碼率很低，可靠性高，

28、體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。</p><p>　　3) 保證供電安全可靠</p><p>　　計算機和網(wǎng)絡主干設備對交流電源的質(zhì)量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續(xù)性、可靠性穩(wěn)定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內(nèi)。機房的供配電系統(tǒng)設計既要滿足設備自身運轉的要求，又要

29、滿足網(wǎng)絡應用的要求，必須做到保證網(wǎng)絡系統(tǒng)運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環(huán)境。</p><p>　　3.2企業(yè)網(wǎng)絡接入配置</p><p>　　VLAN技術能有效隔離局域網(wǎng)，防止網(wǎng)內(nèi)的攻擊，所以部署網(wǎng)絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：</p><p>　　業(yè)務部門 VLAN 10 　　　　交換機SW1接入核心

30、交換機</p><p>　　財務部門 VLAN 20 　　　　交換機SW2接入核心交換機</p><p>　　核心交換機 VLAN間路由 核心交換機HSW1</p><p>　　核心交換機HSW1配置步驟:</p><p>　　建立VLAN 10 20 100</p><p>　　GE0/0/1加

31、入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100</p><p>　　建立SVI并配置相應IP地址:</p><p>　　Vlanif10:192.168.1.1/24</p><p>　　Vlanif20:192.168.2.1/24 </p><p>　　Vlanif100:10.1.1.2/24

32、 </p><p>　　配置RIP路由協(xié)議：</p><p>　　Network 192.168.1.0</p><p>　　Network 192.168.2.0</p><p>　　Network 10.1.1.0</p><p>　　配置ACL拒絕其它部門對財務部訪問，outbound→GE0

33、/0/2。</p><p><b>　　詳細配置：</b></p><p><b>　　#</b></p><p>　　sysname HSW1</p><p><b>　　#</b></p><p>　　info-center source DS ch

34、annel 0 log state off trap state off</p><p><b>　　#</b></p><p>　　vlan batch 10 20 100</p><p><b>　　#</b></p><p>　　cluster enable</p><p

35、>　　ntdp enable</p><p>　　ndp enable</p><p><b>　　#</b></p><p>　　drop illegal-mac alarm</p><p><b>　　#</b></p><p>　　dhcp enable</

36、p><p><b>　　#</b></p><p>　　diffserv domain default</p><p><b>　　#</b></p><p>　　acl number 3001 </p><p>　　rule 5 deny ip source 192.168.

37、1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 </p><p>　　rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 </p><p><b>　　#</b></p><p>　　tra

38、ffic classifier tc1 operator and</p><p>　　if-match acl 3001</p><p><b>　　#</b></p><p>　　traffic behavior tb1</p><p><b>　　deny</b></p><

39、p><b>　　#</b></p><p>　　traffic policy tp1</p><p>　　classifier tc1 behavior tb1</p><p><b>　　#</b></p><p>　　drop-profile default</p><

40、p><b>　　#</b></p><p>　　ip pool qqww</p><p>　　gateway-list 192.168.1.1 </p><p>　　network 192.168.1.0 mask 255.255.255.0 </p><p>　　excluded-ip-address 192.1

41、68.1.254 </p><p><b>　　#</b></p><p>　　ip pool vlan20</p><p>　　gateway-list 192.168.2.1 </p><p>　　network 192.168.2.0 mask 255.255.255.0 </p><p>

42、　　excluded-ip-address 192.168.2.200 192.168.2.254 </p><p><b>　　#</b></p><p><b>　　aaa </b></p><p>　　authentication-scheme default</p><p>　　author

43、ization-scheme default</p><p>　　accounting-scheme default</p><p>　　domain default </p><p>　　domain default_admin </p><p>　　local-user admin password simple admin</p&

44、gt;<p>　　local-user admin service-type http</p><p><b>　　#</b></p><p>　　interface Vlanif1</p><p><b>　　#</b></p><p>　　interface Vlanif10<

45、;/p><p>　　ip address 192.168.1.1 255.255.255.0 </p><p>　　dhcp select global</p><p><b>　　#</b></p><p>　　interface Vlanif20</p><p>　　ip address 192.

46、168.2.1 255.255.255.0 </p><p>　　dhcp select global</p><p><b>　　#</b></p><p>　　interface Vlanif100</p><p>　　ip address 10.1.1.2 255.255.255.0 </p><

47、;p><b>　　#</b></p><p>　　interface MEth0/0/1</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/1</p><p>　　port link-type access</p>

48、<p>　　port default vlan 10</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/2</p><p>　　port link-type access</p><p>　　port default vlan 20<

49、/p><p>　　traffic-policy tp1 outbound</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p><p><b>　　#</b></p><p>　　interface Gi

50、gabitEthernet0/0/4</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/6</p>

51、<p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/8</p><p><b>　　#</

52、b></p><p>　　interface GigabitEthernet0/0/9</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/10</p><p><b>　　#</b></p><p>　

53、　interface GigabitEthernet0/0/11</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/12</p><p><b>　　#</b></p><p>　　interface GigabitEthernet

54、0/0/13</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/14</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/15</p><p>

55、;<b>　　#</b></p><p>　　interface GigabitEthernet0/0/16</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/17</p><p><b>　　#</b><

56、;/p><p>　　interface GigabitEthernet0/0/18</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/19</p><p><b>　　#</b></p><p>　　interf

57、ace GigabitEthernet0/0/20</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/21</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/22&

58、lt;/p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/23</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/24</p><p>　　port

59、 link-type access</p><p>　　port default vlan 100</p><p><b>　　#</b></p><p>　　interface NULL0</p><p><b>　　#</b></p><p><b>　　rip

60、 1</b></p><p><b>　　version 2</b></p><p>　　network 192.168.1.0</p><p>　　network 192.168.2.0</p><p>　　network 10.0.0.0</p><p><b>　　#&

61、lt;/b></p><p>　　ip route-static 0.0.0.0 0.0.0.0 10.1.1.1</p><p><b>　　#</b></p><p>　　user-interface con 0</p><p>　　user-interface vty 0 4</p><p

62、><b>　　#</b></p><p>　　port-group de</p><p><b>　　#</b></p><p><b>　　return</b></p><p>　　3.3網(wǎng)絡防火墻配置</p><p>　　防火墻FW1基本配置步

63、驟：</p><p>　　配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST區(qū)域；</p><p>　　配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ區(qū)域；</p><p>　　配置GE0/0/2的IP地址202.10.1.2/30，并加入UNTRUST區(qū)域；</p><p>　　配置允許安全區(qū)域間包過濾。

64、</p><p>　　配置RIP路由協(xié)議：</p><p>　　Network 10.0.0.0</p><p>　　Network 202.10.1.0</p><p>　　配置NAT，出口GE0/0/2。</p><p>　　配置總部至分部的點到點IPSce隧道：</p><p>　　配置A

65、CL，匹配IPSec流量</p><p>　　配置IPSec安全提議1</p><p><b>　　配置IKE安全提議</b></p><p>　　配置IKE PEER</p><p>　　配置IPSec安全策略</p><p>　　在接口GE 0/0/2上應用策略</p><

66、p><b>　　詳細配置：</b></p><p>　　# CLI_VERSION=V300R001</p><p>　　# Last configuration was changed at 2016/05/18 16:22:21 from console0 </p><p>　　#*****BEGIN****public****#&l

67、t;/p><p><b>　　#</b></p><p>　　stp region-configuration</p><p>　　region-name b05fe31530c0</p><p>　　active region-configuration</p><p><b>　　#&l

68、t;/b></p><p>　　acl number 3002</p><p>　　rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 </p><p>　　rule 10 permit ip source 10.1.0.0 0.0.255.255 d

69、estination 20.1.0.0 0.0.255.255 </p><p><b>　　#</b></p><p>　　ike proposal 1</p><p><b>　　#</b></p><p>　　ike peer 1</p><p>　　exchange-

70、mode aggressive</p><p>　　pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$</p><p>　　ike-proposal 1</p><p>　　remote-address 202.20.1.2</p><p><b>　　#</b>&

71、lt;/p><p>　　ipsec proposal 1</p><p><b>　　#</b></p><p>　　ipsec policy map 1 isakmp</p><p>　　security acl 3002</p><p>　　ike-peer 1</p><p&

72、gt;　　proposal 1</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/0</p><p>　　alias GE0/MGMT</p><p>　　ip address 10.1.1.1 255.255.255.0 </p><

73、;p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/1</p><p>　　ip address 10.1.2.1 255.255.255.0 </p><p><b>　　#</b></p><p>　　interface Gigabi

74、tEthernet0/0/2</p><p>　　ip address 202.10.1.2 255.255.255.252 </p><p>　　ipsec policy map</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p>

75、<p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/4</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</

76、b></p><p>　　interface GigabitEthernet0/0/6</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　

77、interface GigabitEthernet0/0/8</p><p><b>　　#</b></p><p>　　interface NULL0</p><p>　　alias NULL0</p><p><b>　　#</b></p><p>　　firewall

78、zone local</p><p>　　set priority 100</p><p><b>　　#</b></p><p>　　firewall zone trust</p><p>　　set priority 85</p><p>　　add interface GigabitEthe

79、rnet0/0/0</p><p><b>　　#</b></p><p>　　firewall zone untrust</p><p>　　set priority 5</p><p>　　add interface GigabitEthernet0/0/2</p><p><b>

80、　　#</b></p><p>　　firewall zone dmz</p><p>　　set priority 50</p><p>　　add interface GigabitEthernet0/0/1</p><p><b>　　#</b></p><p><b>

81、;　　aaa </b></p><p>　　local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*"vm%$%$</p><p>　　local-user admin service-type web terminal telnet </p><p>　　local-user

82、 admin level 15 </p><p>　　authentication-scheme default</p><p><b>　　#</b></p><p>　　authorization-scheme default</p><p><b>　　#</b></p><

83、;p>　　accounting-scheme default </p><p><b>　　#</b></p><p>　　domain default</p><p><b>　　#</b></p><p><b>　　#</b></p><p>

84、;<b>　　rip 1</b></p><p><b>　　version 2</b></p><p>　　network 10.0.0.0</p><p>　　network 202.10.1.0</p><p><b>　　#</b></p><p&g

85、t;　　nqa-jitter tag-version 1</p><p><b>　　#</b></p><p>　　banner enable </p><p><b>　　#</b></p><p>　　user-interface con 0</p><p>　　aut

86、hentication-mode none</p><p>　　user-interface vty 0 4</p><p>　　authentication-mode none</p><p>　　protocol inbound all</p><p><b>　　#</b></p><p>

87、<b>　　slb</b></p><p><b>　　#</b></p><p>　　right-manager server-group</p><p><b>　　#</b></p><p>　　sysname FW1</p><p><b&

88、gt;　　#</b></p><p>　　l2tp domain suffix-separator @</p><p><b>　　#</b></p><p>　　firewall packet-filter default permit interzone local trust direction inbound</p&g

89、t;<p>　　firewall packet-filter default permit interzone local trust direction outbound</p><p>　　firewall packet-filter default permit interzone local untrust direction outbound</p><p>　　f

90、irewall packet-filter default permit interzone local dmz direction outbound</p><p><b>　　#</b></p><p>　　ip df-unreachables enable</p><p><b>　　#</b></p>

91、<p>　　firewall ipv6 session link-state check </p><p>　　firewall ipv6 statistic system enable</p><p><b>　　#</b></p><p>　　dns resolve </p><p><b>

92、　　#</b></p><p>　　firewall statistic system enable</p><p><b>　　#</b></p><p>　　pki ocsp response cache refresh interval 0</p><p>　　pki ocsp response cac

93、he number 0</p><p><b>　　#</b></p><p>　　undo dns proxy </p><p><b>　　#</b></p><p>　　license-server domain lic.huawei.com</p><p><

94、b>　　#</b></p><p>　　web-manager enable</p><p><b>　　#</b></p><p>　　policy interzone local untrust inbound</p><p><b>　　policy 1 </b></p

95、><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone local dmz inbound</p><p><b>　　policy 1 </b></p><p>　　action permit &

96、lt;/p><p><b>　　#</b></p><p>　　policy interzone trust untrust inbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>

97、;　　#</b></p><p>　　policy interzone trust untrust outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p>&

98、lt;p>　　policy interzone trust dmz inbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone trust

99、 dmz outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　nat-policy interzone trust untrust outbound </p>

100、;<p><b>　　policy 1 </b></p><p>　　action source-nat </p><p>　　policy source 192.168.0.0 0.0.255.255</p><p>　　policy source 10.1.0.0 0.0.255.255</p><p>

101、;　　easy-ip GigabitEthernet0/0/2</p><p><b>　　#</b></p><p><b>　　return</b></p><p>　　#-----END----#</p><p>　　防火墻FW2基本配置步驟如下：</p><p>　　

102、配置GE0/0/0的IP地址202.20.1.2/30，并加入UNTRUST區(qū)域；</p><p>　　配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST區(qū)域； </p><p>　　配置允許安全區(qū)域間包過濾。</p><p>　　配置RIP路由協(xié)議：</p><p>　　Network 20.0.0.0<

103、/p><p>　　Network 202.10.1.0</p><p>　　配置NAT，出口GE0/0/0。</p><p>　　配置分部至總部的點到點IPSce隧道：</p><p>　　配置ACL，匹配IPSec流量</p><p>　　配置IPSec安全提議1</p><p><b>

104、;　　配置IKE安全提議</b></p><p>　　配置IKE PEER</p><p>　　配置IPSec安全策略</p><p>　　在接口GE 0/0/2上應用策略</p><p><b>　　詳細配置：</b></p><p>　　# CLI_VERSION=V300R001

105、</p><p>　　# Last configuration was changed at 2016/05/18 16:22:59 from console0 </p><p>　　#*****BEGIN****public****#</p><p><b>　　#</b></p><p>　　stp region-c

106、onfiguration</p><p>　　region-name 405fd915c0bf</p><p>　　active region-configuration</p><p><b>　　#</b></p><p>　　acl number 3002</p><p>　　rule 5

107、permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 </p><p>　　rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 </p><p><b>　　#</b>&

108、lt;/p><p>　　ike proposal 1</p><p><b>　　#</b></p><p>　　ike peer 1</p><p>　　exchange-mode aggressive</p><p>　　pre-shared-key %$%$;3C|#{7eS#uD2wS|&qu

109、ot;x<6+=4+%$%$</p><p>　　ike-proposal 1</p><p>　　remote-address 202.10.1.2</p><p><b>　　#</b></p><p>　　ipsec proposal 1</p><p><b>　　#<

110、;/b></p><p>　　ipsec policy map 1 isakmp</p><p>　　security acl 3002</p><p>　　ike-peer 1</p><p>　　proposal 1</p><p><b>　　#</b></p><

111、p>　　interface GigabitEthernet0/0/0</p><p>　　alias GE0/MGMT</p><p>　　ip address 202.20.1.2 255.255.255.252 </p><p>　　ipsec policy map</p><p><b>　　#</b><

112、;/p><p>　　interface GigabitEthernet0/0/1</p><p>　　ip address 20.1.1.1 255.255.255.0 </p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/2</p><p

113、><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/4</p><p><b>　　#</b>&l

114、t;/p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/6</p><p><b>　　#</b></p><p>　　interfa

115、ce GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/8</p><p><b>　　#</b></p><p>　　interface NULL0</p><p>

116、;　　alias NULL0</p><p><b>　　#</b></p><p>　　firewall zone local</p><p>　　set priority 100</p><p><b>　　#</b></p><p>　　firewall zone tr

117、ust</p><p>　　set priority 85</p><p>　　add interface GigabitEthernet0/0/1</p><p><b>　　#</b></p><p>　　firewall zone untrust</p><p>　　set priority

118、 5</p><p>　　add interface GigabitEthernet0/0/0</p><p><b>　　#</b></p><p>　　firewall zone dmz</p><p>　　set priority 50</p><p><b>　　#</b&

119、gt;</p><p><b>　　aaa </b></p><p>　　local-user admin password cipher %$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$</p><p>　　local-user admin service-type web terminal teln

120、et </p><p>　　local-user admin level 15 </p><p>　　authentication-scheme default</p><p><b>　　#</b></p><p>　　authorization-scheme default</p><p>&

121、lt;b>　　#</b></p><p>　　accounting-scheme default </p><p><b>　　#</b></p><p>　　domain default</p><p><b>　　#</b></p><p><b&

122、gt;　　#</b></p><p><b>　　rip 1</b></p><p><b>　　version 2</b></p><p>　　network 202.20.1.0</p><p>　　network 20.0.0.0</p><p><b

123、>　　#</b></p><p>　　nqa-jitter tag-version 1</p><p><b>　　#</b></p><p>　　banner enable </p><p><b>　　#</b></p><p>　　user-inter

124、face con 0</p><p>　　authentication-mode none</p><p>　　user-interface vty 0 4</p><p>　　authentication-mode none</p><p>　　protocol inbound all</p><p><b&g

125、t;　　#</b></p><p><b>　　slb</b></p><p><b>　　#</b></p><p>　　right-manager server-group</p><p><b>　　#</b></p><p>　　sy

126、sname FW2</p><p><b>　　#</b></p><p>　　l2tp domain suffix-separator @</p><p><b>　　#</b></p><p>　　firewall packet-filter default permit interzone l

127、ocal trust direction inbound</p><p>　　firewall packet-filter default permit interzone local trust direction outbound</p><p>　　firewall packet-filter default permit interzone local untrust direct

128、ion outbound</p><p>　　firewall packet-filter default permit interzone local dmz direction outbound</p><p><b>　　#</b></p><p>　　ip df-unreachables enable</p><p&

129、gt;<b>　　#</b></p><p>　　firewall ipv6 session link-state check </p><p>　　firewall ipv6 statistic system enable</p><p><b>　　#</b></p><p>　　dns res

130、olve </p><p><b>　　#</b></p><p>　　firewall statistic system enable</p><p><b>　　#</b></p><p>　　pki ocsp response cache refresh interval 0</p&g

131、t;<p>　　pki ocsp response cache number 0</p><p><b>　　#</b></p><p>　　undo dns proxy </p><p><b>　　#</b></p><p>　　license-server domain lic

132、.huawei.com</p><p><b>　　#</b></p><p>　　web-manager enable</p><p><b>　　#</b></p><p>　　policy interzone local untrust inbound</p><p>

133、<b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone local dmz inbound</p><p><b>　　policy 1 </b>&l

134、t;/p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone trust untrust inbound</p><p><b>　　policy 1 </b></p><p>　　action

135、permit </p><p><b>　　#</b></p><p>　　policy interzone trust untrust outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p>