网络安全工程师 作者 程庆梅 7.防火墙技术与应用.pptVIP

5.防火墙arp-guard技术实施 DCSD原理概述 DigitalChinaSecureDefender DCSD ARP欺骗 我只相信特定加密通信的ARP报文 DCSD原理概述 阻止染毒设备发送ARP攻击报文 染毒机器 DCSD 我不能允许不正常的ARP报文发送出去 DCSD环境搭建 在设备的接口上配置authenticated-arp force 命令开启接口的ARP认证功能并且强制PC 安装该客户端程序。 PC 通过该接口访问Internet 时，浏览器会弹出DigitalChina SecureDefneder 的下载页面。 根据提示下载客户端程序DigitalChinaSecureDefender.exe。 实训、防火墙DCSD实训 拓扑与过程 PCA PCB 网关 讲解词： 本实训通过设置防火墙DCSD功能坚决ARP攻击问题。具体过程如下： 1、配置PCA、PCB、网关地址，交换机清空配置。 2、开启PCB的抓包功能，使用过滤器只捕获ARP报文即可。开启PCA与PCB及网关之间的连通测试 3、找到PCB所捕获的网关的ARP 回应报文，更改报文中对应的网关MAC地址为自己的MAC，发送到网络中。 4、从PCA的CMD模式查看其arp表项关于网关的对应MAC是否更改为PCB的MAC地址。如果已经更改，则模拟ARP攻击成功。 5、在防火墙中配置DCSD功能，从PCA中尝试通过网关访问外部设备，体验DCSD的推送下载并安装。 6、在PCB中重复arp攻击过程，查看PCA是否因遭遇攻击而改变。 7、在PCB中尝试通过网关访问外部设备，下载并安装DCSD。 8、再次重复arp攻击，查看是否被允许发送ARP攻击报文。 * 配置外网口 通过WEBUI登陆防火墙 配置外网口所属安全域及IP 只有指定安全域类型为“三层安全域”时才能给接口配置IP 添加路由 这里添加的是到外网的缺省路由下一跳网关地址为 在“目的路由”中“新建”路由条目 这里的子网掩码既可以写成0也可以写成，防火墙会自动识别 配置NAT 在“源NAT”中“新建”源NAT条目 出接口选择外网口 内网访问Internet时转换为外网接口ip 添加“安全策略” 在“安全”-“策略”中选择好“源安全域”和“目的安全域”后，新建策略。 若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑 安全策略高级配置模式 安全策略的高级配置模式可以对各选项做出更多编辑 添加多个源地址 添加多个目的地址 添加多个服务对象 可以添加时间对象以限制该策略仅在某个时段有效 激活高级配置模式 保存配置 所有配置在点击“确定”后立即生效，但并未保存到防火墙的启动配置中，所以为防止配置丢失需要对配置进行保存。通过给配置文件命名，防火墙最多可保存10份不同的配置 点击“保存” 可以赋予配置文件不同的名称以对不同时间的配置加以区分 CLI下相关命令参考 – 接口配置 将接口加入所属的安全域并为接口配置IP地址 DCFW-1800(config)#interface ethernet0/0 DCFW-1800(config-if-eth0/0)#zone trust DCFW-1800(config-if-eth0/0)#ip address /24 DCFW-1800(config-if-eth0/0)#manage https DCFW-1800(config-if-eth0/0)#manage ping DCFW-1800(config)#interface ethernet0/1 DCFW-1800(config-if-eth0/0)#zone untrust DCFW-1800(config-if-eth0/0)#ip address /24 添加管理主机及可使用的管理方式 DCFW-1800(config)# admin host any any CLI下相关命令参考 – 添加路由 添加缺省路由 DCFW-1800(config)# ip vrouter trust-vr DCFW-1800(config-vrouter)# ip route /0 CLI下相关命令参考 – 配置NAT 添加源地址转换策略（即通常所说的动态NAT)，本例中是转换为防火墙外网口IP。 DCFW-1800(config)# nat DCFW-1800(config-nat)# snatrule from Any to Any eif ethernet0/1 trans-to eif-ip mode dynamicport CLI下相关命令参考 – 添加安全策略 添加安全策略：运行内网any访问外网any DCFW-1800(config)# policy from trust to