华为USG统一安全边界网关的设计、演示、经验鉴证实评-卷A
课程目标:
本课程卷A的核心目标是:对华为USG防火墙的入门规划、架构设计、和任何环境都可能用到的必配功能,及相关工作经验进行演示和描述。让初学者快速入门、让集成商及终最用户的管理员快速的理解华为USG防火墙的配置,为后期在防火墙上实施高端功能(高可用性、VPN、IPS、AV、虚拟防火墙等)打下基础。
课程内容:
卷A教学录像所包括的内容有:任何厂商防火墙的通用规划特点,华为的USG到底是什么?防火墙、VPN网关、IPS、防毒墙、或者……;推荐USG的理由;华为安全区域的定义及安全区域的方向;演示:各个安全区域(信任、非信任、DMZ)与本地区域的默认安全关系;演示:各个安全区域(信任、非信任、DMZ)之间的默认安全关系;演示:在信任和非信任区域中USG的远程管理(telnet\SSH\Web);鉴评:网络管理行为与经验;演示:有了安全设备当没有的愚蠢行为;鉴评:安全区域规划的经验;鉴评:从集成商或者用户角度来理解USG的三层和二层模式的取舍;案例演示:华为USG透明模式的配置、以及如何规划管理接口;案例演示:华为USG的安全区域等级的划分、策略配置、Internet访问(NAT)及相关实践鉴评;理解防火墙安全策略(重点);案例演示:华为USG上的安全策略的粒度配置并鉴评部署安全策略的经验(重点);安例演示:简化策略配置的公共对象;理解防火错墙上的必须理解的服务-NAT;案例演示:地址池方式的NAPT和NAT Server并鉴评实践应用;案例演示:配置接口IP方式的NAPT和NAT Server并鉴评实践应用;案例演示:向不同ISP公布不同公网IP地址的NAT Server(出接口属于不同安全区域)并鉴评实践应用;案例演示:向不同ISP公布不同公网IP地址的NAT Server(出接口属于相同安全区域)并鉴评实践应用;案例演示:向不同ISP公布同一个公网IP地址的NAT Server并鉴评实践应用;案例演示:NAT Inbound和NAT Server的案例;案例演示:域内NAT的案例、配置透明模式NAT、透明模式NAT Server;理解应用层包过滤(ASPF)(重点);案例演示:配置ASPF案例 ;案例演示:配置FTP深度检测功能、端口映射、对分片报文的处理的案例;理解关于防火墙的会话表、长连接、防攻击措施、IP-MAC绑定、黑明名单、IDS联动(后期有更详细专项课程作分析);案例演示:配置防火墙的会话表与长连接;案例演示:防攻击、IP-MAC绑定、黑明名单案例配置;案例演示:IDS联动案例配置;结总A卷完成后能满足的工作环境、该如何进阶、引出卷B内容。
1-9课为入门免费公开部分(10课以后为收费部分)
免费部分的下载位置:http://yunpan.cn/cFwvS9GEnGRd4
访问密码 81bb
完整课程的位置:http://edu.51cto.com/course/course_id-4932.html
第一课:任何厂商防火墙的通用规划特点
本课一开始就描述了深度理解USG分割的8个核心知识块学习的先后顺序,包括描述了目前市面上各个厂商的防火墙或者安全网关都是基于状态检测的特性、各个厂商的防火墙都要规划安全区域包括信任(内部)、非信任(外部)、DMZ(非军事防御区域)。描述安全设备与数通设备是不一样的设计思想,它的默认行为是“宁杀错,不放过”的原则,默认是不允许安全区域之间通信的,所以理解安全设备的策略设计是一件非常重要的事情。所有厂商的安全设备都需要将一个接口关联到一个具体的安全区域(信任、非信任、DMZ)所有的厂商对安全设备自身都有一套属于自己的策略机制。
第二课:华为的USG到底是什么及推荐它的理由
华为的USG到底是什么?防火墙、VPN网关、IPS、防毒墙、或者……,简介USG的产品线、推荐USG的理由。本节适合售前工程师和初次了解USG的人群。然后描述了华为防火墙的安全区域特性,初本描述了安全域间的方向(重要)。华为USG的默认安全行为。
第三课:演示:华为防火墙各个安全区域(信任 非信任 DMZ)与local区域的默认行为
本课是通过取证和实验华为防火墙入门非常重要的一堂课,通过防火墙在网络拓扑的连接情况,取证防火墙各个安全区域(信任非信任 DMZ)与local区域的默认行为,以及如何通过防火墙默认的包过滤行为,放行与local区域的通信,其主要目标是为了网络管理。本课与第四课的区别在于重点关注local安全区域的相关事项。本课暂不涉及区域间的通信,主要以描述不同区域与设备接口之间的默认通信原则。
第四课:演示:各个安全区域(信任、非信任、DMZ)之间的默认安全关系
本课主要描述、取证并实验各个安全区域(信任、非信任、DMZ)之间防火墙的默认包过滤策略为拒绝一切,并根据实践需求放行相应的流量,申明哪些行为是在边界安全规划中的推荐思想,应该避免哪些放流的行为。在描述整个案例全程采取了现象反推论法完成。
第五课:演示:在不同安全区域中telnet华为的防火墙(注意安全策略)
本课主要描述了,在华为USG防火墙上的telnet配置,重点在于演示网管主机处于不同安全区域(untrust和trust)telnet防火墙时,安全策略的放行及相关注意事项,以及如何利用设备固有配置来减少telnet的配置时的过多指令敲入,使得整个设备的配置看上去更简洁。包括直接调用设备默认的关于网管的AAA配置完成telnet的验证,以及在VTY线序下提权为级别3
第六课:演示:华为USG的SSH登陆及分解SSH服务器身份验证的意义
本课首先帮助有数通基础的工程人员回忆SSH的工作原理,特别说明一下SSH的方式并演示实施过程包括SSH的分类(密码认证和RSA认证),在用户没密码与身份鉴别技术基础之前,建议只演示SSH的密码认证过程!注意一个完整的安全技术应该包括身份鉴别与加密。
第七课 关于Web管理、带外管理经验、入门的安全规划原则
本课通过放样USG的面板,认识USG的默认带外管理接口G/0/0/0并识别设备的预配置的Web管理指令和默认的用户名及密码,如果没有默认配置,用户如何启动对USG的Web管理。鉴评:网络管理行为与经验、演示:有了安全设备当没有的愚蠢行为、一般情况下,建议使用如下经验部署您的边界安全设备。
第八课 理解并演示USG典型的部署架构、自定义安全区域的注意事项、透接与三层的取舍
本课描述了防火墙的的部署架构非常灵活跟据不同工业场景部署是不一样的,包括:不破坏用户原有网络架构的防火墙透明接入;三层接入(常见);二、三层混合接入(二层接口+Vlanif接口+外部三层接口)(常见);关于其它具备实践性意义的架构(不常见)。以及在透接模式下如何建立网管接口,以及什么时候使用自定义安全区域,以及自定义安全区域时的注意事项,鉴评:从集成商或者用户角度来理解USG的三层和二层模式(透明)的取舍。
第九课:案例演示:华为USG的安全区域等级的划分、策略配置、Internet访问
自本节课程开始正式的逐步进入具备实践意义的课程了。在本课程中,通过一个工业环境网络的环境规划网络中的trust\untrust\DMZ安全区域,从实践的角度调整针对trust、untrust、Local区域的默认的包过滤安全策略,配置内部网络通过PAT共享防火墙外部接口的公共地址访问Internet、通过配置基于目标的NAT(NAT server)让DMZ区域的服务器对外部世界提供伺服、粒度化调整从untrust区域到DMZ区域的安全策略。并回放了一个重要的工程经验:在工业网络被内外分割的情况下,trust和untust都要访问DMZ区域中的DNS时,DNS服务器上的A记录到底应该配置私网IP还公共IP。然后分析了,同一台防火墙上同时存在PAT和NAT server时,PAT区域的主机要访问NAT server区域的主机是否会执行两次NAT翻译,通过实践环境说明访问过程,并取证这种情况,最后在这个本课节尾时引出一些相关常见的疑问和故障。
第10开始到A卷的结束第35课止为收费部分(不免费公开,为支费者提供答疑)
第十课:经验鉴评:NAT和在防火墙的常见问题(多通道协议与ALG)
在具备第九课的基础之上,主要描述企业入门级网管的常见疑问:如何在NAT策略中翻译多个子网访问Internet,多个子网访问Internet的配置,以及多个子网访问Internet遭遇的路由问题.如果在DMZ区域做对外伺服的NAT时,如果两台使用私网的服务器只有一个公共IP可用,怎么办?如果在只有一个公共IP可用的情况下,两台服务器还提供同一种伺服怎么办?然后重点帮助工程人员理解并取证多通道协,分析了在使用多通道协议(比如:FTP、QQ等)在穿过防火墙时,状态检测及NAT可能出现的问题,如何解决?NAT ALG功能等。
第十一课:经验鉴评:由于路由导致的NAT的故障
由于执行NAT防火墙的外部分配了与本地接口不同子网的公共IP,引发NAT的故障,本课描述了关于这类故障的解决方案,以及使用NAT在内网部分常规人群易犯的错。
第十二课:理解并演示:防火墙粒度安全策略控制通用原理与域间控制(A卷课程重点)
对域间、域内、设备访问控制、接口收发流量的安全控制、用户认证访问网络进行概述,申明简单的包过滤与防火墙渗透检测的差异、防火墙安全策略执行的逻辑、并解释为什么必须要包过滤被允许的数据才被送入渗透检测的原因、并描述和演示了使用粒度化的方式配置域间安全策略及效果检测,通过演示实例说明不合理的安全策略规划将导致过滤策略被旁路,造成安全风险,说明配置安全策略的窍门。
第十三课 理解并演示:域内控制与策略顺序、模式、步长
本课紧接十二课的内容,对域内安全策略进行了描述,说明了一般初学者对域内安全策略容易理解错误的地方,取证了域内安全策略与域间安全策略不同的默认行为,并演示了如果在域内隔离两个不同部门的通信。然后对域间和域内安全策略组成和匹配顺序进行了说明,包括安全策略排序的两种方式(人工和自动),如何调整安全策略的顺序,在自动模式下如何实施安全策略的步长,以及UTM的其它功能为什么在模拟器或者有些真设备不可用,何时可以使用UTM的其它功能。
第十四课:鉴评:关于安全策略的配置思路与经验
对安全策略部署的两种思路做出说明,让用户根据自身的情况进行取舍,包括何时建议启动防火墙的默认包过滤行为、穿过防火墙网速变慢的原因,处理的线索、理解安全策略可以为二层和三层策略,不同层次的策略分别应用于哪些架构、关于接口控制的核心技术是什么?哪些USG系列支持接口包过滤功能、MAC包过滤与硬件包过滤。
第十五课:华为USG防火墙模式下安全策略专项训练
一、按照图型自定义两个安全区域分别为serversec(60)、lansec(95)。并将防火墙的g0/0/1和g0/0/3规划到 相应的安全区域;二、将防火墙的g0/0/2-4规划到 trust区域。
三、保持防火墙的默认安全行为不允行改变(也就是不允行使用firewall packet-filter default 指令及任何参数,要求使用安全策略粒度化控制通信)四、要求防火墙不同安全区域都仅能ping通防火墙上各自的网关地址(不允行使用firewallpacket-filter default 指令及任何参数,要求使用安全策略粒度化控制通信);五、完成上述配置后请回答trust区域的两个子网是否能在不加任何安全策略的情况下通信?并回答为什么;六、如果希望同一个安全区域trust中不同两个子网默认被隔离通信该怎么处理,请执行这个配置。并指出实践工程环境的应用场景;七、完成第七项配置后,C能否与A和B通信?A和B之间能否通信,如果能请说明为什么?八、配置trust安全区域可以主动访问serversec区域,反之则不能(不允行使用firewall packet-filter default 指令及任何参数,要求使用安全策略粒度化控制通信);九、配置lansec安全区域可以主动访问 trust和serversec,反之则不能(不允行使用firewallpacket-filter default 指令及任何参数,要求使用安全策略粒度化控制通信)十、为什么不让serversect和trust主动访问lansec,通过安全设计原则来回答十一、部署Web和DNS服务器,DNS的域名为usg.com十二、要求非工作时间不允许Trust和lansec访问Web服务,但是任何时间可以访问DNS服务。(注意这里有个坑,安全策略不会生效)
第十六课:演示为简化防火墙配置管理的公共对象配置
本课主要描述为简化防火墙的配置管理,对公共对象地址集、服务集、时间段的定义与配置,其中包括:为什么要使用公共对象,如何定义基于object、group不同类型的地址集、执行地址集的套嵌的意义、定义基于object、group不同类型的服务集、通过定义服务集如何减少重复配置、执行服务集的套嵌的意义、理解预定义服务集与自定义服务集的差别、如何定义时间段,为什么要定义时段,区别相对时间与周期时间、如果一个时间段内既有绝对时间又有周期时间并存时该依据一个怎样的原则来确保时间生效、并通过多个实例说明一般情况下绝对时间在工业环境中应用于何处?周期时间用于何处?
第十七课:必须理解的所有厂商安全设备上NAT的通用原理
本课主要描述所有厂商安全设备上NAT的通用原理,包括基于源NAT中的PAT和no-NAPT(常规动态NAT),并说明了PAT可以基于仅有的一个公共IP也可以基于多个公共IP,PAT与no-NAPT的最大区别是什么,并申明no-NAPT常见的应用环境;然后描述了基于目标NAT的两种形式:一对一的NAT-server,一对多的NAT-server;然后描述了双向NAT的意义及可能出现的相关实践环境,初学者对双向NAT可能理解有误的一个情况,最后对域内NAT(单臂NAT)迫使内部流量强制流向防火墙的应用作了说明,为整个NAT部分的实践演示打下了相关的必备基础。注意这些理论并非仅为华为所支持,其它设备,只要是知名厂商设备都应该支持的。
第十八课:演示:多个地址的PAT和使用一个地址的多对一NAT-server
本课是在学员已经具备第十七课的基础上,开始对实践环境中的各种NAT来作演示的第一个案例,该案例详细的演示了基于多个公共地址的PAT配置,以及使用一个公共地址的多对一NAT-server的配置,看到多对一NAT-server可以通过套接字来识别不同的NAT会话,理解在这种多对一的NAT-server的情况下,ICMP的检测特性丢失,并理解为什么。
第十九课:演示:PAT和NAT-server都使用同一个公共IP的案例
本课主要演示企业有多台使用私有IP的服务器需要提供给Internet用户访问,同时企业的内部使用私有IP地址的主机也需要被代理成一个公共IP地址访问Internet,但是此时企业仅有唯一的一个公共IP地址,那么如何将这一个仅有的公共IP地址拿来映射给多个使用私有IP的服务器,同时又能让内部用户可以使用NAT代理上网。在整个案例中还顺带描述了在这种只有一个公共IP的情况下,企业DNS服务器A记录的注意事项,以及ICMP检测功能丢失的原理和理由。注意这个案例并不是双向NAT,双向NAT将在第二十课描述。
第二十课:演示:防火墙特殊环境下同时对一个会话的源和目标进行NAT翻译
双向NAT一般被这样的环境所设计:假设一个处于公共网络的A主机需要使用一个公共源IP地址去访问一台私网络中使用RFC1918的私网地址被映射成为公共IP的地址伺服器,同时安全设备不允许主机A的使用原本的公共IP进入特定的网络,需要将其源IP翻译成一个安全设备允许的或者指定的IP,所以在这个过程中需要同时对一个会话上的源和目标执行翻译,这种情况多出现在进入内网需要对特点的源IP进行审计的情况下。
第二十一课:域内NAT(单臂NAT)和NAT Server(迫使流量必须经过防火墙)
当服务器与客户端都处于同一个安全区域内,用户原本可以通过私有IP访问服务器,只需要通过交换机客户端就能和服务器交换流量,这样就会旁路防火墙,现在由于管理员可能怀疑内部区域的流量也不安全,需要强迫客户端在同一个安全区域内将流量发到防火墙,并以公共IP作为源和目标,来访问原本处于同一个安全域中的使用私有IP的服务器。达到单臂NAT的效果,让防火墙对客户端的流量做更渗透的分析。事实上,这就是在同一个安全域中的双向NAT。
第二十二课:持续更新中………….
本文出自 “无名的基督” 博客,谢绝转载!
原文地址:http://7658423.blog.51cto.com/7648423/1727400
