企業網絡安全設計方案論文

1、<p>　　編號：ABS20160501</p><p><b>　　企業網絡設計方案</b></p><p>　　關鍵字：網絡，安全，VPN，防火墻 ，防病毒</p><p><b>　　班 級：AY</b></p><p>　　姓 名：AY </p><

2、p>　　日 期：2016-05-19</p><p><b>　　目 錄</b></p><p><b>　　摘 要1</b></p><p>　　第一章 企業網絡安全概述2</p><p>　　1.1 企業網絡的主要安全隱患2</p><p>　　1.

3、2 企業網絡的安全誤區2</p><p>　　第二章 企業網絡安全現狀分析4</p><p>　　2.1 公司背景4</p><p>　　2.2 企業網絡安全需求4</p><p>　　2.3 需求分析4</p><p>　　2.4 企業網絡結構5</p><p>　　第三章 企

4、業網絡安全解決實施6</p><p><b>　　3.1物理安全6</b></p><p>　　3.2企業網絡接入配置7</p><p>　　3.3網絡防火墻配置10</p><p>　　3.4配置驗證查看18</p><p>　　3.5網絡防病毒措施21</p><

5、;p><b>　　總 結23</b></p><p><b>　　摘 要</b></p><p>　　近幾年來，Internet技術日趨成熟，已經開始了從以提供和保證網絡聯通性為主要目標的第一代Internet技術向以提供網絡數據信息服務為特征的第二代Internet技術的過渡。這些都促使了計算機網絡互聯技術迅速的大規模使用。眾所周知，

6、作為全球使用范圍最大的信息網，Internet自身協議的開放性極大地方便了各種計算機連網，拓寬了共享資源。但是，由于在早期網絡協議設計上對安全問題的忽視，以及在管理和使用上的無政府狀態，逐漸使Internet自身安全受到嚴重威脅，與它有關的安全事故屢有發生。網絡安全的威脅主要表現在：非授權訪問，冒充合法用戶，破壞數據完整性，干擾系統正常運行，利用網絡傳播病毒，線路竊聽等方面。因此本論文為企業構架網絡安全體系，主要運用vlan劃分、防火墻

7、技術、vpn、病毒防護等技術，來實現企業的網絡安全。</p><p>　　第一章 企業網絡安全概述</p><p>　　1.1 企業網絡的主要安全隱患</p><p>　　現在網絡安全系統所要防范的不再僅是病毒感染，更多的是基于網絡的非法入侵、攻擊和訪問，同時企業網絡安全隱患的來源有內、外網之分，很多情況下內部網絡安全威脅要遠遠大于外部網絡，因為內部中實施入侵和攻

8、擊更加容易，企業網絡安全威脅的主要來源主要包括。</p><p>　　病毒、木馬和惡意軟件的入侵。</p><p><b>　　網絡黑客的攻擊。</b></p><p>　　重要文件或郵件的非法竊取、訪問與操作。</p><p>　　關鍵部門的非法訪問和敏感信息外泄。</p><p><b&

9、gt;　　外網的非法入侵。</b></p><p>　　備份數據和存儲媒體的損壞、丟失。</p><p>　　針對這些安全隱患，所采取的安全策略可以通過安裝專業的網絡版病毒防護系統，同時也要加強內部網絡的安全管理，配置好防火墻過濾策略和系統本身的各項安全措施，及時安裝系統安全補丁，有條件的還可以在內、外網之間安裝網絡掃描檢測、網絡嗅探器、IDS、IPS系統，甚至配置網絡安全隔離

10、系統，對內、外網絡進行安全隔離；加強內部網絡的安全管理，嚴格實行“最小權限”原則，為各個用戶配置好恰當的用戶權限；同時對一些敏感數據進行加密保護，對數據還可以進行數字簽名措施；根據企業實際需要配置好相應的數據策略，并按策略認真執行。</p><p>　　1.2 企業網絡的安全誤區</p><p><b>　　安裝防火墻就安全了</b></p><

11、p>　　防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網絡周邊的安全防護。但如果攻擊行為不經過防火墻，或是將應用層的攻擊程序隱藏在正常的封包內，便力不從心了，許多防火墻只是工作在網絡層。</p><p>　　防火墻的原理是“防外不防內”，對內部網絡的訪問不進行任何阻撓，而事實上，企業網絡安全事件絕大部分還是源于企業內部。</p>&

12、lt;p>　　安裝了最新的殺毒軟件就不怕病毒了</p><p>　　安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現。</p><p>　　在每臺計算機上安裝單機版殺毒軟件和網絡版殺毒軟件等效</p><p>　　網絡版殺毒軟件核心就是集中的網絡防毒系統管

13、理。網絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網絡的客戶端殺毒軟件同步病毒查殺、監控整個網絡的病毒。同時對于整個網絡，管理非常方便，對于單機版是不可能做到的。</p><p>　　只要不上網就不會中毒</p><p>　　雖然不少病毒是通過網頁傳播的，但像QQ聊天接發郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。</p

14、><p>　　文件設置只讀就可以避免感染病毒</p><p>　　設置只讀只是調用系統的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網中為了共享安全，放置誤刪除，還是比較有用的。</p><p>　　網絡安全主要來自外部</p><p>　　基于內部的網絡攻擊更加容易，不需要借助于其他的網絡連接方式，就可以直接在

15、內部網絡中實施攻擊。所以，加強內部網絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要了。</p><p>　　第二章 企業網絡安全現狀分析</p><p><b>　　2.1 公司背景</b></p><p>　　XX科技有限公司是一家有100名員工的中小型科技公司，主要以軟件應用開發為主營項目的軟件企

16、業。公司有一個局域網，約100臺計算機，服務器的操作系統是 Windows Server 2008,客戶機的操作系統是 Windows 7，在工作組的模式下一人一機辦公。公司對網絡的依賴性很強，主要業務都要涉及互聯網以及內部網絡。隨著公司的發展現有的網絡安全已經不能滿足公司的需要，因此構建健全的網絡安全體系是當前的重中之重。</p><p>　　2.2 企業網絡安全需求</p><p>　

17、　XX科技有限公司根據業務發展需求，建設一個小型的企業網，有Web、Mail等服務器和辦公區客戶機。企業分為財務部門和業務部門，需要他們之間相互隔離。同時由于考慮到Inteneter的安全性，以及網絡安全等一些因素，如DDoS、ARP等。因此本企業的網絡安全構架要求如下：</p><p>　　根據公司現有的網絡設備組網規劃</p><p>　　保護網絡系統的可用性</p>&

18、lt;p>　　保護網絡系統服務的連續性</p><p>　　防范網絡資源的非法訪問及非授權訪問</p><p>　　防范入侵者的惡意攻擊與破壞</p><p>　　保護企業信息通過網上傳輸過程中的機密性、完整性</p><p><b>　　防范病毒的侵害</b></p><p>　　實現網絡

19、的安全管理。</p><p><b>　　2.3 需求分析</b></p><p>　　通過了解XX科技有限公司的需求與現狀，為實現XX科技有限公司的網絡安全建設實施網絡系統改造，提高企業網絡系統運行的穩定性，保證企業各種設計信息的安全性，避免圖紙、文檔的丟失和外泄。通過軟件或安全手段對客戶端的計算機加以保護，記錄用戶對客戶端計算機中關鍵目錄和文件的操作，使企業有手段

20、對用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。通過網絡的改造，使管理者更加便于對網絡中的服務器、客戶端、登陸用戶的權限以及應用軟件的安裝進行全面的監控和管理。因此需要</p><p>　　構建良好的環境確保企業物理設備的安全</p><p>　　劃分VLAN控制內網安全</p><p><b>　　安裝防火墻體系</b>

21、;</p><p>　　建立VPN(虛擬專用網絡)確保數據安全</p><p><b>　　安裝防病毒服務器</b></p><p>　　加強企業對網絡資源的管理</p><p>　　2.4 企業網絡結構</p><p>　　網絡拓撲圖，如下圖所示:</p><p><

22、;b>　　總部網絡情況：</b></p><p>　　防火墻FW1作為出口NAT設備，從網絡運營商處獲得接入固定IP為202.10.1.2/30，網關IP為202.10.1.1/30，經由防火墻分為DMZ區域和trust區域。</p><p>　　防火墻上FW1做NAT轉換。分配給trust區域的地址為10.1.1.0 /24,通過FW1上GE0/0/0端口連接網絡，接口

23、地址為10.1.1.1/24。DMZ內主要有各類的服務器，地址分配為10.1.2.0 /24。通過FW1上GE0/0/1端口連接網絡，接口地址為10.1.2.1 /24。</p><p>　　建立IPSec隧道，使總部和分支可以互訪。</p><p><b>　　分部網絡情況：</b></p><p>　　防火墻FW2作為出口NAT設備，從網絡

24、運營商處獲得接入固定IP為202.20.1.2/30，網關IP為202.20.1.1/30。通過FW1上GE0/0/1端口連接內部網絡，接口地址為10.1.1.1/24。</p><p>　　建立IPSec隧道，使分部和總部可以互訪。</p><p>　　第三章 企業網絡安全解決實施</p><p><b>　　3.1物理安全</b></

25、p><p>　　企業網絡中保護網絡設備的物理安全是其整個計算機網絡系統安全的前提，物理安全是指保護計算機網絡設備、設施以及其他媒體免遭地震、水災、火災等環境事故、人為操作失誤或各種計算機犯罪行為導致的破壞。</p><p>　　針對網絡的物理安全主要考慮的問題是環境、場地和設備的安全及物理訪問控制和應急處置計劃等。物理安全在整個計算機網絡信息系統安全中占有重要地位。它主要包括以下幾個方面：&l

26、t;/p><p><b>　　保證機房環境安全</b></p><p>　　信息系統中的計算機硬件、網絡設施以及運行環境是信息系統運行的最基本的環境。要從一下三個方面考慮：a.自然災害、物理損壞和設備故障 b.電磁輻射、乘機而入、痕跡泄漏等 c.操作失誤、意外疏漏等</p><p>　　2) 選用合適的傳輸介質</p><p&g

27、t;　　屏蔽式雙絞線的抗干擾能力更強，且要求必須配有支持屏蔽功能的連接器件和要求介質有良好的接地（最好多處接地），對于干擾嚴重的區域應使用屏蔽式雙絞線，并將其放在金屬管內以增強抗干擾能力。</p><p>　　光纖是超長距離和高容量傳輸系統最有效的途徑，從傳輸特性等分析，無論何種光纖都有傳輸頻帶寬、速率高、傳輸損耗低、傳輸距離遠、抗雷電和電磁的干擾性好保密性好，不易被竊聽或被截獲數據、傳輸的誤碼率很低，可靠性高，

28、體積小和重量輕等特點。與雙絞線或同軸電纜不同的是光纖不輻射能量，能夠有效地阻止竊聽。</p><p>　　3) 保證供電安全可靠</p><p>　　計算機和網絡主干設備對交流電源的質量要求十分嚴格，對交流電的電壓和頻率，對電源波形的正弦性，對三相電源的對稱性，對供電的連續性、可靠性穩定性和抗干擾性等各項指標，都要求保持在允許偏差范圍內。機房的供配電系統設計既要滿足設備自身運轉的要求，又要

29、滿足網絡應用的要求，必須做到保證網絡系統運行的可靠性，保證設備的設計壽命保證信息安全保證機房人員的工作環境。</p><p>　　3.2企業網絡接入配置</p><p>　　VLAN技術能有效隔離局域網，防止網內的攻擊，所以部署網絡中按部門進行了VLAN劃分，劃分為以下兩個VLAN：</p><p>　　業務部門 VLAN 10 　　　　交換機SW1接入核心

30、交換機</p><p>　　財務部門 VLAN 20 　　　　交換機SW2接入核心交換機</p><p>　　核心交換機 VLAN間路由 核心交換機HSW1</p><p>　　核心交換機HSW1配置步驟:</p><p>　　建立VLAN 10 20 100</p><p>　　GE0/0/1加

31、入vlan10, GE0/0/2加入vlan30, GE0/0/24加入vlan100</p><p>　　建立SVI并配置相應IP地址:</p><p>　　Vlanif10:192.168.1.1/24</p><p>　　Vlanif20:192.168.2.1/24 </p><p>　　Vlanif100:10.1.1.2/24

32、 </p><p>　　配置RIP路由協議：</p><p>　　Network 192.168.1.0</p><p>　　Network 192.168.2.0</p><p>　　Network 10.1.1.0</p><p>　　配置ACL拒絕其它部門對財務部訪問，outbound→GE0

33、/0/2。</p><p><b>　　詳細配置：</b></p><p><b>　　#</b></p><p>　　sysname HSW1</p><p><b>　　#</b></p><p>　　info-center source DS ch

34、annel 0 log state off trap state off</p><p><b>　　#</b></p><p>　　vlan batch 10 20 100</p><p><b>　　#</b></p><p>　　cluster enable</p><p

35、>　　ntdp enable</p><p>　　ndp enable</p><p><b>　　#</b></p><p>　　drop illegal-mac alarm</p><p><b>　　#</b></p><p>　　dhcp enable</

36、p><p><b>　　#</b></p><p>　　diffserv domain default</p><p><b>　　#</b></p><p>　　acl number 3001 </p><p>　　rule 5 deny ip source 192.168.

37、1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 </p><p>　　rule 15 deny ip source 20.0.0.0 0.255.255.255 destination 192.168.2.0 0.0.0.255 </p><p><b>　　#</b></p><p>　　tra

38、ffic classifier tc1 operator and</p><p>　　if-match acl 3001</p><p><b>　　#</b></p><p>　　traffic behavior tb1</p><p><b>　　deny</b></p><

39、p><b>　　#</b></p><p>　　traffic policy tp1</p><p>　　classifier tc1 behavior tb1</p><p><b>　　#</b></p><p>　　drop-profile default</p><

40、p><b>　　#</b></p><p>　　ip pool qqww</p><p>　　gateway-list 192.168.1.1 </p><p>　　network 192.168.1.0 mask 255.255.255.0 </p><p>　　excluded-ip-address 192.1

41、68.1.254 </p><p><b>　　#</b></p><p>　　ip pool vlan20</p><p>　　gateway-list 192.168.2.1 </p><p>　　network 192.168.2.0 mask 255.255.255.0 </p><p>

42、　　excluded-ip-address 192.168.2.200 192.168.2.254 </p><p><b>　　#</b></p><p><b>　　aaa </b></p><p>　　authentication-scheme default</p><p>　　author

43、ization-scheme default</p><p>　　accounting-scheme default</p><p>　　domain default </p><p>　　domain default_admin </p><p>　　local-user admin password simple admin</p&

44、gt;<p>　　local-user admin service-type http</p><p><b>　　#</b></p><p>　　interface Vlanif1</p><p><b>　　#</b></p><p>　　interface Vlanif10<

45、;/p><p>　　ip address 192.168.1.1 255.255.255.0 </p><p>　　dhcp select global</p><p><b>　　#</b></p><p>　　interface Vlanif20</p><p>　　ip address 192.

46、168.2.1 255.255.255.0 </p><p>　　dhcp select global</p><p><b>　　#</b></p><p>　　interface Vlanif100</p><p>　　ip address 10.1.1.2 255.255.255.0 </p><

47、;p><b>　　#</b></p><p>　　interface MEth0/0/1</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/1</p><p>　　port link-type access</p>

48、<p>　　port default vlan 10</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/2</p><p>　　port link-type access</p><p>　　port default vlan 20<

49、/p><p>　　traffic-policy tp1 outbound</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p><p><b>　　#</b></p><p>　　interface Gi

50、gabitEthernet0/0/4</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/6</p>

51、<p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/8</p><p><b>　　#</

52、b></p><p>　　interface GigabitEthernet0/0/9</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/10</p><p><b>　　#</b></p><p>　

53、　interface GigabitEthernet0/0/11</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/12</p><p><b>　　#</b></p><p>　　interface GigabitEthernet

54、0/0/13</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/14</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/15</p><p>

55、;<b>　　#</b></p><p>　　interface GigabitEthernet0/0/16</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/17</p><p><b>　　#</b><

56、;/p><p>　　interface GigabitEthernet0/0/18</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/19</p><p><b>　　#</b></p><p>　　interf

57、ace GigabitEthernet0/0/20</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/21</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/22&

58、lt;/p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/23</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/24</p><p>　　port

59、 link-type access</p><p>　　port default vlan 100</p><p><b>　　#</b></p><p>　　interface NULL0</p><p><b>　　#</b></p><p><b>　　rip

60、 1</b></p><p><b>　　version 2</b></p><p>　　network 192.168.1.0</p><p>　　network 192.168.2.0</p><p>　　network 10.0.0.0</p><p><b>　　#&

61、lt;/b></p><p>　　ip route-static 0.0.0.0 0.0.0.0 10.1.1.1</p><p><b>　　#</b></p><p>　　user-interface con 0</p><p>　　user-interface vty 0 4</p><p

62、><b>　　#</b></p><p>　　port-group de</p><p><b>　　#</b></p><p><b>　　return</b></p><p>　　3.3網絡防火墻配置</p><p>　　防火墻FW1基本配置步

63、驟：</p><p>　　配置GE0/0/0的IP地址10.1.1.1/24，并加入TRUST區域；</p><p>　　配置GE0/0/1的IP地址10.1.2.1/24，并加入DMZ區域；</p><p>　　配置GE0/0/2的IP地址202.10.1.2/30，并加入UNTRUST區域；</p><p>　　配置允許安全區域間包過濾。

64、</p><p>　　配置RIP路由協議：</p><p>　　Network 10.0.0.0</p><p>　　Network 202.10.1.0</p><p>　　配置NAT，出口GE0/0/2。</p><p>　　配置總部至分部的點到點IPSce隧道：</p><p>　　配置A

65、CL，匹配IPSec流量</p><p>　　配置IPSec安全提議1</p><p><b>　　配置IKE安全提議</b></p><p>　　配置IKE PEER</p><p>　　配置IPSec安全策略</p><p>　　在接口GE 0/0/2上應用策略</p><

66、p><b>　　詳細配置：</b></p><p>　　# CLI_VERSION=V300R001</p><p>　　# Last configuration was changed at 2016/05/18 16:22:21 from console0 </p><p>　　#*****BEGIN****public****#&l

67、t;/p><p><b>　　#</b></p><p>　　stp region-configuration</p><p>　　region-name b05fe31530c0</p><p>　　active region-configuration</p><p><b>　　#&l

68、t;/b></p><p>　　acl number 3002</p><p>　　rule 5 permit ip source 192.168.0.0 0.0.255.255 destination 20.1.0.0 0.0.255.255 </p><p>　　rule 10 permit ip source 10.1.0.0 0.0.255.255 d

69、estination 20.1.0.0 0.0.255.255 </p><p><b>　　#</b></p><p>　　ike proposal 1</p><p><b>　　#</b></p><p>　　ike peer 1</p><p>　　exchange-

70、mode aggressive</p><p>　　pre-shared-key %$%$UPiwVOh!8>qmd(CFw@>F+,#w%$%$</p><p>　　ike-proposal 1</p><p>　　remote-address 202.20.1.2</p><p><b>　　#</b>&

71、lt;/p><p>　　ipsec proposal 1</p><p><b>　　#</b></p><p>　　ipsec policy map 1 isakmp</p><p>　　security acl 3002</p><p>　　ike-peer 1</p><p&

72、gt;　　proposal 1</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/0</p><p>　　alias GE0/MGMT</p><p>　　ip address 10.1.1.1 255.255.255.0 </p><

73、;p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/1</p><p>　　ip address 10.1.2.1 255.255.255.0 </p><p><b>　　#</b></p><p>　　interface Gigabi

74、tEthernet0/0/2</p><p>　　ip address 202.10.1.2 255.255.255.252 </p><p>　　ipsec policy map</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p>

75、<p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/4</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</

76、b></p><p>　　interface GigabitEthernet0/0/6</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　

77、interface GigabitEthernet0/0/8</p><p><b>　　#</b></p><p>　　interface NULL0</p><p>　　alias NULL0</p><p><b>　　#</b></p><p>　　firewall

78、zone local</p><p>　　set priority 100</p><p><b>　　#</b></p><p>　　firewall zone trust</p><p>　　set priority 85</p><p>　　add interface GigabitEthe

79、rnet0/0/0</p><p><b>　　#</b></p><p>　　firewall zone untrust</p><p>　　set priority 5</p><p>　　add interface GigabitEthernet0/0/2</p><p><b>

80、　　#</b></p><p>　　firewall zone dmz</p><p>　　set priority 50</p><p>　　add interface GigabitEthernet0/0/1</p><p><b>　　#</b></p><p><b>

81、;　　aaa </b></p><p>　　local-user admin password cipher %$%$I$6`RBf34,paQv9B&7i4*"vm%$%$</p><p>　　local-user admin service-type web terminal telnet </p><p>　　local-user

82、 admin level 15 </p><p>　　authentication-scheme default</p><p><b>　　#</b></p><p>　　authorization-scheme default</p><p><b>　　#</b></p><

83、;p>　　accounting-scheme default </p><p><b>　　#</b></p><p>　　domain default</p><p><b>　　#</b></p><p><b>　　#</b></p><p>

84、;<b>　　rip 1</b></p><p><b>　　version 2</b></p><p>　　network 10.0.0.0</p><p>　　network 202.10.1.0</p><p><b>　　#</b></p><p&g

85、t;　　nqa-jitter tag-version 1</p><p><b>　　#</b></p><p>　　banner enable </p><p><b>　　#</b></p><p>　　user-interface con 0</p><p>　　aut

86、hentication-mode none</p><p>　　user-interface vty 0 4</p><p>　　authentication-mode none</p><p>　　protocol inbound all</p><p><b>　　#</b></p><p>

87、<b>　　slb</b></p><p><b>　　#</b></p><p>　　right-manager server-group</p><p><b>　　#</b></p><p>　　sysname FW1</p><p><b&

88、gt;　　#</b></p><p>　　l2tp domain suffix-separator @</p><p><b>　　#</b></p><p>　　firewall packet-filter default permit interzone local trust direction inbound</p&g

89、t;<p>　　firewall packet-filter default permit interzone local trust direction outbound</p><p>　　firewall packet-filter default permit interzone local untrust direction outbound</p><p>　　f

90、irewall packet-filter default permit interzone local dmz direction outbound</p><p><b>　　#</b></p><p>　　ip df-unreachables enable</p><p><b>　　#</b></p>

91、<p>　　firewall ipv6 session link-state check </p><p>　　firewall ipv6 statistic system enable</p><p><b>　　#</b></p><p>　　dns resolve </p><p><b>

92、　　#</b></p><p>　　firewall statistic system enable</p><p><b>　　#</b></p><p>　　pki ocsp response cache refresh interval 0</p><p>　　pki ocsp response cac

93、he number 0</p><p><b>　　#</b></p><p>　　undo dns proxy </p><p><b>　　#</b></p><p>　　license-server domain lic.huawei.com</p><p><

94、b>　　#</b></p><p>　　web-manager enable</p><p><b>　　#</b></p><p>　　policy interzone local untrust inbound</p><p><b>　　policy 1 </b></p

95、><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone local dmz inbound</p><p><b>　　policy 1 </b></p><p>　　action permit &

96、lt;/p><p><b>　　#</b></p><p>　　policy interzone trust untrust inbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>

97、;　　#</b></p><p>　　policy interzone trust untrust outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p>&

98、lt;p>　　policy interzone trust dmz inbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone trust

99、 dmz outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　nat-policy interzone trust untrust outbound </p>

100、;<p><b>　　policy 1 </b></p><p>　　action source-nat </p><p>　　policy source 192.168.0.0 0.0.255.255</p><p>　　policy source 10.1.0.0 0.0.255.255</p><p>

101、;　　easy-ip GigabitEthernet0/0/2</p><p><b>　　#</b></p><p><b>　　return</b></p><p>　　#-----END----#</p><p>　　防火墻FW2基本配置步驟如下：</p><p>　　

102、配置GE0/0/0的IP地址202.20.1.2/30，并加入UNTRUST區域；</p><p>　　配置GE0/0/1的IP地址20.1.1.1/24，并加入TRUST區域； </p><p>　　配置允許安全區域間包過濾。</p><p>　　配置RIP路由協議：</p><p>　　Network 20.0.0.0<

103、/p><p>　　Network 202.10.1.0</p><p>　　配置NAT，出口GE0/0/0。</p><p>　　配置分部至總部的點到點IPSce隧道：</p><p>　　配置ACL，匹配IPSec流量</p><p>　　配置IPSec安全提議1</p><p><b>

104、;　　配置IKE安全提議</b></p><p>　　配置IKE PEER</p><p>　　配置IPSec安全策略</p><p>　　在接口GE 0/0/2上應用策略</p><p><b>　　詳細配置：</b></p><p>　　# CLI_VERSION=V300R001

105、</p><p>　　# Last configuration was changed at 2016/05/18 16:22:59 from console0 </p><p>　　#*****BEGIN****public****#</p><p><b>　　#</b></p><p>　　stp region-c

106、onfiguration</p><p>　　region-name 405fd915c0bf</p><p>　　active region-configuration</p><p><b>　　#</b></p><p>　　acl number 3002</p><p>　　rule 5

107、permit ip source 20.1.0.0 0.0.255.255 destination 10.1.0.0 0.0.255.255 </p><p>　　rule 10 permit ip source 20.1.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 </p><p><b>　　#</b>&

108、lt;/p><p>　　ike proposal 1</p><p><b>　　#</b></p><p>　　ike peer 1</p><p>　　exchange-mode aggressive</p><p>　　pre-shared-key %$%$;3C|#{7eS#uD2wS|&qu

109、ot;x<6+=4+%$%$</p><p>　　ike-proposal 1</p><p>　　remote-address 202.10.1.2</p><p><b>　　#</b></p><p>　　ipsec proposal 1</p><p><b>　　#<

110、;/b></p><p>　　ipsec policy map 1 isakmp</p><p>　　security acl 3002</p><p>　　ike-peer 1</p><p>　　proposal 1</p><p><b>　　#</b></p><

111、p>　　interface GigabitEthernet0/0/0</p><p>　　alias GE0/MGMT</p><p>　　ip address 202.20.1.2 255.255.255.252 </p><p>　　ipsec policy map</p><p><b>　　#</b><

112、;/p><p>　　interface GigabitEthernet0/0/1</p><p>　　ip address 20.1.1.1 255.255.255.0 </p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/2</p><p

113、><b>　　#</b></p><p>　　interface GigabitEthernet0/0/3</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/4</p><p><b>　　#</b>&l

114、t;/p><p>　　interface GigabitEthernet0/0/5</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/6</p><p><b>　　#</b></p><p>　　interfa

115、ce GigabitEthernet0/0/7</p><p><b>　　#</b></p><p>　　interface GigabitEthernet0/0/8</p><p><b>　　#</b></p><p>　　interface NULL0</p><p>

116、;　　alias NULL0</p><p><b>　　#</b></p><p>　　firewall zone local</p><p>　　set priority 100</p><p><b>　　#</b></p><p>　　firewall zone tr

117、ust</p><p>　　set priority 85</p><p>　　add interface GigabitEthernet0/0/1</p><p><b>　　#</b></p><p>　　firewall zone untrust</p><p>　　set priority

118、 5</p><p>　　add interface GigabitEthernet0/0/0</p><p><b>　　#</b></p><p>　　firewall zone dmz</p><p>　　set priority 50</p><p><b>　　#</b&

119、gt;</p><p><b>　　aaa </b></p><p>　　local-user admin password cipher %$%$dJ"t@"DxqH@383<@pQl#*~6-%$%$</p><p>　　local-user admin service-type web terminal teln

120、et </p><p>　　local-user admin level 15 </p><p>　　authentication-scheme default</p><p><b>　　#</b></p><p>　　authorization-scheme default</p><p>&

121、lt;b>　　#</b></p><p>　　accounting-scheme default </p><p><b>　　#</b></p><p>　　domain default</p><p><b>　　#</b></p><p><b&

122、gt;　　#</b></p><p><b>　　rip 1</b></p><p><b>　　version 2</b></p><p>　　network 202.20.1.0</p><p>　　network 20.0.0.0</p><p><b

123、>　　#</b></p><p>　　nqa-jitter tag-version 1</p><p><b>　　#</b></p><p>　　banner enable </p><p><b>　　#</b></p><p>　　user-inter

124、face con 0</p><p>　　authentication-mode none</p><p>　　user-interface vty 0 4</p><p>　　authentication-mode none</p><p>　　protocol inbound all</p><p><b&g

125、t;　　#</b></p><p><b>　　slb</b></p><p><b>　　#</b></p><p>　　right-manager server-group</p><p><b>　　#</b></p><p>　　sy

126、sname FW2</p><p><b>　　#</b></p><p>　　l2tp domain suffix-separator @</p><p><b>　　#</b></p><p>　　firewall packet-filter default permit interzone l

127、ocal trust direction inbound</p><p>　　firewall packet-filter default permit interzone local trust direction outbound</p><p>　　firewall packet-filter default permit interzone local untrust direct

128、ion outbound</p><p>　　firewall packet-filter default permit interzone local dmz direction outbound</p><p><b>　　#</b></p><p>　　ip df-unreachables enable</p><p&

129、gt;<b>　　#</b></p><p>　　firewall ipv6 session link-state check </p><p>　　firewall ipv6 statistic system enable</p><p><b>　　#</b></p><p>　　dns res

130、olve </p><p><b>　　#</b></p><p>　　firewall statistic system enable</p><p><b>　　#</b></p><p>　　pki ocsp response cache refresh interval 0</p&g

131、t;<p>　　pki ocsp response cache number 0</p><p><b>　　#</b></p><p>　　undo dns proxy </p><p><b>　　#</b></p><p>　　license-server domain lic

132、.huawei.com</p><p><b>　　#</b></p><p>　　web-manager enable</p><p><b>　　#</b></p><p>　　policy interzone local untrust inbound</p><p>

133、<b>　　policy 1 </b></p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone local dmz inbound</p><p><b>　　policy 1 </b>&l

134、t;/p><p>　　action permit </p><p><b>　　#</b></p><p>　　policy interzone trust untrust inbound</p><p><b>　　policy 1 </b></p><p>　　action

135、permit </p><p><b>　　#</b></p><p>　　policy interzone trust untrust outbound</p><p><b>　　policy 1 </b></p><p>　　action permit </p><p>