【正文】 policy 10Router(configisakmp)encr 3desRouter(configisakmp)hash md5Router(configisakmp)authentication preshareRouter(configisakmp)group 2Router(config)crypto isakmp key alex_gdin address Router(config)crypto ipsec transformset l2l esp3des espmd5hmacRouter(config)crypto map l2l 10 ipsecisakmp Router(configcryptomap)set peer Router(configcryptomap)set transformset l2lRouter(configcryptomap)match address 101Router(config)interface FastEthernet0/0Router(configif)crypto map l2l到此基礎(chǔ)IPsec VPN配置完畢，下一步就是把NAT設(shè)備考慮進(jìn)去，對(duì)IPsec VPN配置和NAT配置進(jìn)行調(diào)整。NATT配置正常的IPsec VPN 是不能穿越PAT的，CISCO的IPsec : NATT，ipsec over udp，ipsec over tcp，應(yīng)用層網(wǎng)關(guān)。此次我們將使用工業(yè)標(biāo)準(zhǔn)的NATT技術(shù)。在CISCO防火墻上默認(rèn)開啟了NATT功能，因此不需要我們?cè)偈謩?dòng)配置。我們只需要增加對(duì)防火墻E0口（outside）的靜態(tài)端口映射即可。IPsec VPN使用的是UDP 500和4500端口，必須把這兩個(gè)端口映射出公網(wǎng)，才能讓外網(wǎng)連接上防火墻來建立VPN。Gateway(config)ip nat inside source static udp 500 interface s0/0 500Gateway(config)ip nat inside source static udp 4500 interface s0/0 4500現(xiàn)在就完成了IPsec VPN的配置。 移動(dòng)辦公VPN配置為了向遠(yuǎn)距離工作者或工作在外的員工所提供的遠(yuǎn)程訪問類型的VPN，我們使用RemoteVPN解決方案。RemoteVPN是EZVPN的一種，它使用客戶端軟件連接服務(wù)端來實(shí)現(xiàn)VPN連接的，其使用向客戶端推送策略的方式大大減輕了客戶端的配置，方便了管理。遠(yuǎn)程工作者在自己的電腦上安裝一個(gè)“Cisco VPN Client”的軟件，稍微設(shè)置一下參數(shù)，即可連接上配置好相關(guān)參數(shù)的服務(wù)端，建立一條安全加密的虛擬隧道。 Cisco VPN Client本小節(jié)針對(duì)遠(yuǎn)程工作者與總部的連接，使用RemoteVPN來實(shí)現(xiàn)加密的數(shù)據(jù)傳輸。，遠(yuǎn)程工作者通過RemoteVPN獲取一個(gè)內(nèi)網(wǎng)的IP地址，通過這個(gè)地址訪問公司內(nèi)部資源，提供了VPN網(wǎng)絡(luò)的高拓展性。 RemoteVPN設(shè)計(jì)拓?fù)浞阑饓υO(shè)置RemoteVPN跟SitetositeVPN同屬IPsec VPN，但配置上還是有區(qū)別的。在RemoteVPN上必須定義好遠(yuǎn)程用戶接入后能夠訪問的地址，稱為分離隧道。沒有分離定義分離隧道的話，客戶端即使建立起了VPN，也無法訪問內(nèi)網(wǎng)，因?yàn)榉?wù)端不知道返回的流量需要加密，因而返回流量無法到達(dá)客戶端。RemoteVPN還會(huì)為接入的用戶分配一個(gè)內(nèi)網(wǎng)的IP地址，通過這個(gè)地址訪問公司內(nèi)部資源。以下對(duì)防火墻進(jìn)行RemoteVPN配置：FW(config) isakmp policy 1FW(configisakmppolicy) authentication preshareFW(configisakmppolicy) encryption 3desFW(configisakmppolicy) hash md5FW(configisakmppolicy) group 2 FW(configisakmppolicy) lifetime 43200FW(configisakmppolicy) exitFW(config) isakmp enable outside 以上步驟可以忽略，因?yàn)樵趕itetosite VPN里，已經(jīng)配置過相似的參數(shù)，Crypto isakmp policy是可以共用在兩個(gè)VPN上的。以下是定義地址池。既定義哪些地址用于分配給遠(yuǎn)程接入用戶使用。FW(config) ip local pool vpnpool mask 以下定義分離隧道。建立一個(gè)ACL定義訪問地址，然后在相關(guān)策略上套用。FW(config) accesslist split standard permit FW(config) grouppolicy vpnclient internalFW(config) grouppolicy vpnclient attributes FW(configgrouppolicy) splittunnelpolicy tunnelspecified FW(configgrouppolicy) splittunnelnetworklist value split以下配置剩余必要命令：FW(config) crypto ipsec transformset remote esp3des espshahmacFW(config) crypto dynamicmap dyremote 10 set transformset remoteFW(config) crypto map l2l 20 ipsecisakmp dynamic dyremoteFW(config) crypto map l2l interface outsideFW(config) tunnelgroup vpnclient type ipsecra FW(config) tunnelgroup vpnclient generalattributes FW(configtunnelgeneral) authenticationservergroup LOCAL FW(configtunnelgeneral) defaultgrouppolicy vpnclient FW(configtunnelgeneral) addresspool vpnpool FW(configtunnelgeneral) exitFW(config) tunnelgroup vpnclient ipsecattributes FW(configtunnelipsec) presharedkey alex_gdin客戶端軟件設(shè)置打開Cisco VPN Client軟件之后，點(diǎn)擊軟件快捷欄的“New”圖標(biāo)即可定義需要的參數(shù)。 Cisco VPN Client參數(shù)設(shè)置“Group Authentication”上的用戶名和密碼即為款中配置加粗部分。參數(shù)填寫完畢，按“Save”保存。然后在主界面雙擊你創(chuàng)建好的條目，如無配置錯(cuò)誤，你即可連接上遠(yuǎn)端的服務(wù)端。NATT配置因?yàn)樵赟itetosite VPN配置中，在Gateway網(wǎng)關(guān)路由器上已經(jīng)把IPsec VPN所使用的到端口映射了出去，所以這里只需在Gateway網(wǎng)關(guān)路由器把用于控制NAT地址轉(zhuǎn)換的ACL上增加一條條目，用于免除VPN連接的轉(zhuǎn)換。Gateway(config)ip accesslist extend inside2outsideGateway(configextnacl)4 deny ip 安全加固模塊設(shè)計(jì)完整的企業(yè)網(wǎng)絡(luò)必須要有可靠的網(wǎng)絡(luò)安全保護(hù)措施來抵御來自網(wǎng)內(nèi)、網(wǎng)外的安全威脅，例如黑客入侵、病毒木馬、DOS攻擊、人為破壞等。我們有許多防御措施選擇，如安裝防病毒軟件、進(jìn)行訪問控制、數(shù)據(jù)加密傳輸?shù)取８鞣N網(wǎng)絡(luò)安全并不是各自獨(dú)立的，而是作為一個(gè)整理來保護(hù)一個(gè)網(wǎng)絡(luò)，要做到1+12的效果，必須要以實(shí)際網(wǎng)絡(luò)環(huán)境需要為基礎(chǔ)，選擇全面的網(wǎng)絡(luò)保護(hù)措施，不讓其中一處短板破壞了整個(gè)網(wǎng)絡(luò)的防御結(jié)構(gòu)。Cisco提出的網(wǎng)絡(luò)安全的核心原則成為CIA三元組——機(jī)密性（confidentiality）、完整性（integrity）、可用性（availability），是目前最簡單、適用范圍最廣的安全模型。這三大核心原則可以適用于小到如用戶訪問，大至如互聯(lián)網(wǎng)上的數(shù)據(jù)安全。本節(jié)本著CIA三元組原則，對(duì)企業(yè)網(wǎng)進(jìn)行安全的加固，從最基礎(chǔ)的訪問控制、防止欺騙等，到一些高級(jí)的安全技術(shù)特征，是本設(shè)計(jì)的企業(yè)網(wǎng)的網(wǎng)絡(luò)數(shù)據(jù)安全達(dá)到最優(yōu)化。在本節(jié)所提及的一些安全技術(shù)特征部分為思科專有，或在其他廠商有相似技術(shù)但命名不同，而且因?yàn)檐浖栴}，一些安全技術(shù)并不能被仿真軟件所支持，但文章所列配置命令是真實(shí)能在實(shí)際環(huán)境中運(yùn)行的。 訪問控制，各VLAN都有不同的權(quán)限限制，并且從實(shí)際公司運(yùn)作上考慮，這里將增添幾項(xiàng)訪問權(quán)限，全部訪問控制具體為：（1）內(nèi)網(wǎng)訪問控制：普通部門單位之間不能相互訪問全部部門能訪問服務(wù)器群和外網(wǎng)網(wǎng)管部門能訪問整個(gè)公司的VLAN（單向發(fā)起連接）服務(wù)器不會(huì)主動(dòng)向網(wǎng)絡(luò)發(fā)起連接（除/FTP）外訪客廳VLAN只能訪問外網(wǎng)服務(wù)器群和外網(wǎng)（2）外網(wǎng)訪問控制：通過VPN接入，只能訪問內(nèi)部服務(wù)器群外網(wǎng)用戶只能訪問外部服務(wù)器的相關(guān)服務(wù)對(duì)服務(wù)器群的訪問限制全部部門能訪問服務(wù)器群（包括內(nèi)網(wǎng)服務(wù)器群、外網(wǎng)服務(wù)器群）和外網(wǎng)網(wǎng)絡(luò)。在部門單位（包括會(huì)議室、不包括網(wǎng)管部）VLAN虛接口上配置ACL，使部門能訪問服務(wù)器群，但首先注意要放行DHCP請(qǐng)求流量，這里以VLAN10為例。Core1(config)ip accesslist extended cvlan10Core1(configextnacl)permit udp any any eq bootpsCore1(configextnacl)permit udp any any eq bootpcCore1(configextnacl)permit ip Core1(configextnacl)permit ip 為了對(duì)服務(wù)器的保護(hù)，還應(yīng)該限制到到達(dá)服務(wù)器的具體協(xié)議端口做限制，不過這里可以從服務(wù)器主機(jī)下手，關(guān)閉不需要的服務(wù)，至開啟服務(wù)相關(guān)的端口。部門間的訪問限制不同IP網(wǎng)段的主機(jī)、不同VLAN內(nèi)的主機(jī)本來是不能相互訪問的，但由于網(wǎng)關(guān)網(wǎng)絡(luò)開啟路由功能后，導(dǎo)致IP網(wǎng)段之間、VLAN之間能夠相互訪問，這需要在核心交換機(jī)的VLAN上配置ACL。在部門單位（包括會(huì)議室、不包括網(wǎng)管部）VLAN虛接口上配置ACL，達(dá)到相互之間不能訪問，這里以VLAN10為例，繼續(xù)上一款的配置。Core1(configextnacl)deny ip Core1(configextnacl)permit ip any然后把ACL應(yīng)用在VLAN虛接口Core1(config)int vlan 10Core1(configif)ip accessgroup cvlan10 in這樣，款和款所創(chuàng)建的ACL就能實(shí)現(xiàn)普通部門能訪問服務(wù)器群和外網(wǎng)，但不能訪問其他部門。網(wǎng)管部的訪問限制網(wǎng)管部門負(fù)責(zé)對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)的管理和維護(hù)，哪個(gè)部門哪臺(tái)PC是誰使用，通過網(wǎng)管軟件都能掌握得一清二楚，并且對(duì)于普通的軟件故障，能夠通過遠(yuǎn)程控制來實(shí)現(xiàn)維修，這樣就需要網(wǎng)管部能訪問整個(gè)企業(yè)網(wǎng)絡(luò)。但由于其他部門之間不能互相訪問，即使允許網(wǎng)管部VLAN訪問其他部門，也會(huì)因?yàn)槠渌块T的流量不能返回而導(dǎo)致連接失敗，這里我們就要使用CBAC的技術(shù)，實(shí)現(xiàn)網(wǎng)管部門單向發(fā)起連接后能讓流量正常返回?；谏舷挛牡脑L問控制協(xié)議（CBAC）通過檢查通過IOS防火墻的流量來發(fā)現(xiàn)＆管理TCP和UDP的會(huì)話狀態(tài)信息。這些狀態(tài)信息被用來在IOS防火墻訪問列表創(chuàng)建臨時(shí)通道。通過在流量向上配置IP Inspect列表，允許為受允許會(huì)話放回流量和附加數(shù)據(jù)連接，打開這些通路。以下在Core1核心交換機(jī)上配置CBAC。Core1(config)ip inspect name NetMag tcp timeout 30Core1(config)ip inspect name NetMag udp timeout 5Core1(config)ip inspect name NetMag icmp timeout 10Core1(config)ip inspect name NetMag telnet timeout 60為了減輕交換機(jī)負(fù)擔(dān)，只有網(wǎng)管部門的流量從普通部門VLAN出去的時(shí)候，才建立相關(guān)狀態(tài)表，所以把IP Inspect應(yīng)用在普通部門VLAN虛接口的出站方向。以下以應(yīng)用在VLAN10為例（其他普通部門VLAN同樣應(yīng)用即可）：Core1(config)int vlan 10Core1(configif) ip inspect NetMag out 防止地址欺騙地址欺騙是指行動(dòng)產(chǎn)生的IP數(shù)據(jù)包偽造的源IP地址，以便冒充其他系統(tǒng)或保護(hù)發(fā)件人的身分，這是一種黑客的攻擊形式，黑客使用一臺(tái)計(jì)算機(jī)上網(wǎng)，而借用另外一臺(tái)機(jī)器的IP地址，從而冒充另外一臺(tái)機(jī)器與服務(wù)器打交道。地址欺騙的可以發(fā)生在外網(wǎng)對(duì)內(nèi)網(wǎng)的攻擊，也可以是內(nèi)部PC被惡意操控進(jìn)行從內(nèi)部發(fā)起的欺騙攻擊。為了防止地址欺騙，進(jìn)而發(fā)生對(duì)網(wǎng)絡(luò)的其他惡意行為，本設(shè)計(jì)將從兩個(gè)方向進(jìn)行防御：在網(wǎng)關(guān)配置防地址欺騙的措施，在內(nèi)網(wǎng)控制好員工PC不被使用虛假IP。邊界路由加固在Gateway網(wǎng)關(guān)路由的s0/0口放置