一.防火牆
防火牆(firewall)是一種安全裝置,它的位置一般處於企業網路邊界與外網交界的地方,用於隔離不信任的資料包
準確點講,它就是隔離外網和內網的一道屏障,用於保護內部資源資訊保安的一種策略
防火牆的工作是基於一切不可信建立起來的,以前有一道判斷題,“ 問的是防止病毒入侵最好的方式是不上網 ”,雖然我們都知道這是不理性的,不可取的,但是換一種思維,這是不是可以隔絕病毒呢?
答案是肯定的,的確可以做到,所以我們的防火牆就沿用了這一點,它不信任任何資料包,來了之後就直接丟棄,如果想要經過防火牆,我們必須要完善它的策略
這個策略決定了防火牆是否允許,或者說允許那些資料包經過,這個策略我們需要描述的就是那些資料包可以進出防火牆,描述的單位一般是,地址段、地址、埠號等
由於防火牆的預設策略是【拒絕所有】,所以沒有配置允許的資料包,都會丟棄掉,這使得防火牆對於未知的攻擊性資料包有很好的抵禦功能,因為內部網路根本收不到這類資料包,怎麼會被入侵呢
防火牆的四個區域:local,trust,untrust,dmz
local區域指的是防火牆的本地,也是可信任度最高的一個區域,也就是和防火牆直連的介面,在初始的防火牆裝置中,它們是預設丟棄資料包的,在抓取資料包的時候,我們會發現,資料包到了本地介面,但是防火牆沒有回應
trust區域指的是安全的,可信任的;它的可信任度僅次於本地,一般裝載的都是一些內部資源資料使用者,比如企業內部和公司內部,一般這個區域的使用者可以有權去外部網路,但是外部網路是進不來的
dmz區域是指非軍事化區,它的可信度低於trust,主要存放的就是可供內網訪問的服務資源,並且也提供一部分服務給外網訪問,如www服務
untrust指的是不可信任區,也就是外網所在的區域,如果沒有策略或特定要求,是不能讓這個區域的網路進來的
知道了這四個區域,就來了解下防火牆的配置方面,首先,防火牆也是具有路由功能的,也就是說,它是一個三層裝置,所以,可以把它當作出口路由來連線,也可以作為直連路由,不管怎麼連,都是需要配置IP地址的
防火牆的配置和不同的路由器又不一樣,它是需要讓介面進入區域的,也就是上述的那四個區域,在區域內的介面才會生效,預設是不會進入任何區域的,都需要手動加入
二.防火牆的配置(eNSP)
實操目標:
- 配置防火牆的四個區域
- 允許trust區域訪問untrust
- 允許trust區域訪問dmz
- 允許untrust訪問dmz的www服務
trust區域對應內網,untrust對應外網,dmz對應伺服器區,local就是防火牆自己的介面
在配置防火牆時,需要保證除了local區域,其它區域都是內部可通訊的
防火牆的配置:
第一步:由於防火牆是三層裝置,所以依舊先給介面配置地址
interface GigabitEthernet1/0/0
ip address 192.168.40.2 255.255.255.0
service-manage ping permit
interface GigabitEthernet1/0/1
ip address 202.202.100.1 255.255.255.0
interface GigabitEthernet1/0/2
ip address 172.16.37.254 255.255.255.0
第二步:讓防火牆的各自介面進入自己的區域
firewall zone trust
add interface GigabitEthernet1/0/0
firewall zone untrust
add interface GigabitEthernet1/0/1
firewall zone dmz
add interface GigabitEthernet1/0/2
第三步:依舊需要宣告各個網段,但是注意,外網使用rip,內部網路使用ospf
真正的網路構建時,我們也只是考慮內網,外網是不需要我們管的,在出外網時,只需要使用預設路由將資料包丟到外部,實驗環境只是保證untrust是通的才使用rip宣告
ospf 1
default-route-advertise always
area 0.0.0.0
network 172.16.37.0 0.0.0.255
network 192.168.40.0 0.0.0.255
rip 1
default-route originate
network 202.202.100.0
第四步:制定策略
- 允許trust訪問untrust區域
rule name 1
source-zone trust
destination-zone untrust
action permit
- 允許trust訪問dmz區域
rule name 2
source-zone trust
destination-zone dmz
action permit
- 允許untrust訪問dmz區域的www服務
rule name 3
source-zone untrust
destination-zone dmz
service http
action permit
第五步:最佳化三個網路的訪問部分
- 內網去外網需要將私有地址轉為公有地址
nat-policy
rule name nat1
source-zone trust
destination-zone untrust
action source-nat easy-ip
- www服務對映到防火牆的出口地址,避免外網資料進入到dmz區域
nat server 1 protocol tcp global 202.202.100.1 www inside 172.16.37.1 www
三.抓包分析
- 首先看看防火牆的預設配置,也就是不加策略
如上圖:
在不加策略的情況下,防火牆是可以收到資料包的,但是它會直接丟棄掉,不會回應
這就是防火牆的預設拒絕所用報文,以防範未知危險
- 允許trust區域訪問untrust
- 允許untrust訪問dmz的www服務
四.wlan
WLAN是Wireless Local Area Networks的縮寫,即無線區域網。它利用無線通訊技術在一定的區域性範圍內建立的網路,其範圍通常在幾十米到幾公里以內
配置無線wlan的模式有兩種,一種是胖AP,一種是AC+瘦AP
胖AP,即訊號發射器自己即需要發射無線訊號,還需要實現主機IP地址分配和相關資訊配置
AC+瘦AP,即AC負責AP的配置和主機地址分配,AP負責從AC拿取已經配置好的模板,並且發射無線訊號
這裡我麼使用的是AC+瘦AP模式
配置交換機LSW4:
sysname LSW4
vlan batch 100 to 101
interface GigabitEthernet0/0/1
port link-type trunk
port trunk pvid vlan 100
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
interface GigabitEthernet0/0/24
port link-type trunk
port trunk allow-pass vlan 2 to 4094
AP不需要配置,模板由AC下發
配置AC:
sysname AC
#配置vlan
vlan batch 100 to 101
interface Vlanif100
ip address 192.168.100.2 255.255.255.0
#配置介面資訊
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
#AP上線
wlan
traffic-profile name default
security-profile name default
security-profile name password
security wpa psk pass-phrase %^%#&#:^:j;QkREIW'Lx^@;D|cy;2s{;%M2)=#NC/"'V%^%#
aes
security-profile name default-wds
security-profile name default-mesh
ssid-profile name wlan1
ssid wlan1
ssid-profile name default
vap-profile name model1
forward-mode tunnel
service-vlan vlan-id 101
ssid-profile wlan1
security-profile password
vap-profile name default
wds-profile name default
mesh-handover-profile name default
mesh-profile name default
regulatory-domain-profile name cn1
regulatory-domain-profile name default
air-scan-profile name default
rrm-profile name default
radio-2g-profile name default
radio-5g-profile name default
wids-spoof-profile name default
wids-profile name default
wireless-access-specification
ap-system-profile name default
port-link-profile name default
wired-port-profile name default
serial-profile name preset-enjoyor-toeap
ap-group name ap-100
regulatory-domain-profile cn1
radio 0
vap-profile model1 wlan 1
radio 1
vap-profile model1 wlan 1
radio 2
vap-profile model1 wlan 1
ap-group name default
ap-id 0 type-id 69 ap-mac 00e0-fc57-3c20 ap-sn 210235448310DE31A007
ap-name ap0
ap-group ap-100
provision-ap
有關AP上線的部分就是一個模板,下面是AP上線的詳解
配置AP上線
1.配置域管理模板,由系統模式進入wlan檢視,首先繫結時區,我們在中國,就繫結中國的時區
[AC1]wlan
[AC1-wlan-view]regulatory-domain-profile name domain1
[AC1-wlan-regulate-domain-domain1]country-code CN
2.建立AP組,這是一個AP組用於集中管理一些AP,並且把剛剛的時區給繫結這個組內
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]regulatory-domain-profile domain1
3.配置AC源介面,配置管理Vlan,只要是這個vlan傳送的資料包,都是AP和AC維持穩定的報文
需要在AC的系統模式下配置
[AC1]capwap source interface Vlanif 14
4.配置AP認證
在AC上匯入AP,採用預設的mac認證,將AP加入AP組
[AC1]wlan
[AC1-wlan-view]ap auth-mode mac-auth
[AC1-wlan-view]ap-mac 00e0-fcae-2560 ap-id 0
[AC1-wlan-ap-0]ap-group ap-group1
[AC1-wlan-ap-0]ap-name ap0
5.配置WLAN業務
(1)配置安全模板,也就是連線wlan的密碼
[AC1-wlan-view]security-profile name employee1
[AC1-wlan-sec-prof-employee1]security wpa psk pass-phrase 12345678 aes
(2)配置SSID模板,配置wlan的名稱,連線的時候區分
[AC1-wlan-view]ssid-profile name wlanName
[AC1-wlan-ssid-prof-employee1]ssid wlanName
(3)配置vap模板,將模板都裝配在vap上,由AC統一下發到範圍內的AP中
[AC1-wlan-view]vap-profile name employee1
[AC1-wlan-vap-prof-employee1]forward-mode tunnel //業務轉發模式為隧道模式
[AC1-wlan-vap-prof-employee1]security-profile employee1 //引用安全模板
[AC1-wlan-vap-prof-employee1]service-vlan vlan-id 16 //配置業務vlan,連線無線所在的Vlan
[AC1-wlan-vap-prof-employee1]ssid-profile wlanName //引用ssid模板
(4)配置AP組引用vap模板,ap射頻0和1都使用vap模板的配置
進入一個組內,下發vap模板
[AC1-wlan-view]ap-group name ap-group1
[AC1-wlan-ap-group-ap-group1]vap-profile employee1 wlan 1 radio all
radio all:
0:2.4Ghz
1:5Ghz
2:備用5Ghz
all = 0,1,2