02 HCIA-Security V4.0 Lab Guide

Formation à la certification de sécurité Huawei
HCIA-Security
Guide de laboratoire
Version : 4.0
HUAWEI TECHNOLOGIES CO., LTD.
1
Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
Aucune partie de ce document ne peut être reproduite ou transmise sous aucune
forme ou par quelque manière que ce soit sans le consentement écrit préalable de
Huawei Technologies Co., Ltd.
Marques et autorisations
et les autres marques déposées de Huawei sont des marques déposées de

Huawei Technologies Co., Ltd. Toutes les autres marques et marques commerciales
mentionnées dans ce document sont la propriété de leurs détenteurs respectifs.
Avis
Les produits, services et fonctionnalités achetés sont stipulés dans le contrat établi
entre Huawei et le client. Tous les éléments des produits, services et fonctionnalités
décrits dans ce document n’entrent pas nécessairement dans le cadre d’achat ou de
l’utilisation. Sauf mention contraire dans le contrat, toutes les informations et
recommandations contenues dans ce document sont fournies telles quelles, sans
garantie ni représentation d’aucune sorte, expresses ou implicites.
Les informations contenues dans le présent document peuvent être modifiées sans
préavis. La préparation de ce manuel a reçu toute l’attention requise pour assurer
l’exactitude de son contenu, mais l’ensemble des déclarations, informations et
recommandations qu’il contient ne saurait constituer une quelconque garantie, directe
ou indirecte.
Huawei Technologies Co., Ltd.

Adresse : Huawei Industrial Base
Bantian, Longgang
Shenzhen 518129
People’s Republic of China
Site internet : https://e.huawei.com
Confidentiel et propriété de Huawei

Copyright © Huawei Technologies Co,Ltd
Guide de laboratoire HCIA-Security Page 1
Système de certification Huawei

La certification Huawei fait partie intégrante de la stratégie
« Plateforme + Écosystème » de l'entreprise et soutient l'infrastructure TIC « Cloud-
Pipe-Device ». Elle évolue pour refléter les dernières tendances du développement des
TIC. La certification Huawei se compose de deux catégories : La certification des
infrastructures TIC et la certification des services et plates-formes en nuage, ce qui en
fait le programme de certification technique le plus complet du secteur.
Huawei propose trois niveaux de certification : HCIA (Huawei Certified ICT
Associate), HCIP (Huawei Certified ICT Professional) et HCIE (Huawei Certified ICT
Expert).
La certification Huawei couvre tous les domaines des TIC et s'adapte à la tendance
industrielle de la convergence des TIC. Grâce à son système de développement des
talents et à ses normes de certification de premier plan, elle s'engage à favoriser
l'émergence de nouveaux talents dans le domaine des TIC à l'ère numérique et à créer
un solide écosystème de talents dans ce domaine.
La certification Huawei Certified ICT Associate-Security (HCIA-Security) est destinée
aux ingénieurs de première ligne de Huawei et à tous ceux qui souhaitent comprendre
les produits de sécurité et la cybersécurité de Huawei. La certification HCIA-Security
couvre la vue d'ensemble de la sécurité de l'information, les bases de la cybersécurité,
les principes de cryptage et de décryptage, ainsi que les applications connexes.
La certification Huawei vous permet de vous familiariser avec le secteur et le
marché, vous aide à innover et vous permet de vous distinguer parmi vos pairs du
secteur.
À propos de ce document
Introduction
Ce document est un cours de formation à la certification HCIA-Security et est destiné aux
stagiaires qui vont passer l'examen HCIA-Security ou aux lecteurs qui souhaitent
comprendre les concepts et les spécifications de la sécurité de l'information, les menaces
courantes de la cybersécurité et leur prévention, les connaissances de base de la
cybersécurité, la technologie de protection de la sécurité des réseaux par des pare-feu, la
technologie d'administration des utilisateurs, les principes de cryptage et de décryptage,
ainsi que l'application de la technologie de cryptage.
Description
Ce document couvre sept laboratoires. En partant de la configuration de base du
fonctionnement du dispositif, il décrit les opérations de base de la connexion au pare-feu,
de la politique de sécurité, du NAT, de la mise en veille à chaud, de l'administration des
utilisateurs, du IPSec VPN et du VPN SSL.
⚫ Labo 1 : connexion au pare-feu. En présentant les méthodes courantes de connexion
au pare-feu, ce laboratoire aide les lecteurs à maîtriser le mode de gestion du pare-
feu et les compétences de débogage de base.
⚫ Labo 2 : politique de sécurité du pare-feu. Grâce à des configurations réseau de base,
ce laboratoire aide les lecteurs à maîtriser les technologies clés telles que les zones
de sécurité du pare-feu et la logique de contrôle de la transmission interzone.
⚫ Labo 3 : Serveur NAT et NAT source. En se concentrant sur les technologies NAT
source et NAT de destination, ce laboratoire aide les lecteurs à maîtriser la méthode
de débogage des pare-feu dans les scénarios NAT et à se familiariser avec les
scénarios d'application des pare-feu fonctionnant comme dispositifs de sortie.
⚫ Labo 4 : pare-feu en veille à chaud. Ce laboratoire aide les lecteurs à maîtriser des
technologies telles que la façon d'utiliser les pare-feu pour mettre en œuvre la
redondance des services et la façon d'assurer un fonctionnement stable des services
lorsqu'un seul pare-feu est défaillant.
⚫ Labo 5 : administration des utilisateurs. Ce laboratoire aide les lecteurs à maîtriser
l'authentification des utilisateurs qui utilisent le pare-feu pour accéder à Internet.
⚫ Labo 6 : IPSec VPN site à site. Ce laboratoire aide les lecteurs à maîtriser les
méthodes de base de communication entre différents réseaux sur Internet.
⚫ Labo 7 : VPN SSL. Ce laboratoire permet aux utilisateurs du bureau mobile d'accéder
à l'intranet de l'entreprise à tout moment sur Internet. Il aide les lecteurs à
comprendre le principe et la configuration du VPN SSL.
Connaissances de base requises

Ce cours est destiné à la certification de base de Huawei. Pour mieux comprendre ce
cours, familiarisez-vous avec les exigences suivantes :
⚫ Avoir une compréhension de base de la cybersécurité, connaître les dispositifs de
sécurité de Huawei et les concepts de base en matière de sécurité.
Conventions des symboles
Environnement lab
Description de réseau
Cet environnement lab est destiné aux ingénieurs en cybersécurité qui se préparent à
l'examen HCIA-Security. Chaque environnement lab se compose de deux pare-feu, de
deux commutateurs et de quatre PC. Dans l'environnement lab, 4 stagiaires peuvent
effectuer des travaux pratiques en même temps.
Configuration requise pour l'appareil

Pour répondre aux exigences du laboratoire HCIA-Security, il est recommandé que
chaque environnement lab adopte les configurations suivantes.
Correspondance entre les noms, les modèles et les versions des appareils
Nom du dispositif Modèle de dispositif Version logicielle
Commutateur S5735 V200R010C00SPC600
Pare-feu USG6525E V600R007C20SPC100
Remarque : Les informations sur les ports, la sortie et la configuration de tous les
dispositifs de ce guide sont fournies sur la base des modèles de dispositifs dans la
topologie recommandée. Les informations réelles peuvent varier en fonction de
l'environnement lab.
Préparation de l'environnement lab

Vérifier les dispositifs
Assurez-vous que tous les éléments nécessaires aux laboratoires sont disponibles. Le
tableau suivant énumère les éléments spécifiques.
Élément Quantité Remarques
Commutateur (S5735) 2 pour chaque groupe
Pare-feu (USG6525E) 2 pour chaque groupe
Ordinateur portable ou de bureau 4 pour chaque groupe
Paire torsadée 8 pour chaque groupe Longueur : au moins 2 m
Câble de console 1 pour chaque groupe
Effacer la configuration du pare-feu

Pour éviter que les configurations résiduelles n'aient un impact sur le laboratoire, les
stagiaires doivent effacer la configuration enregistrée sur les appareils une fois le
laboratoire terminé et avant d'éteindre les appareils. Avant de commencer les travaux
pratiques, assurez-vous que les appareils démarrent à partir de configurations vides.
Sinon, effacez toutes les configurations et redémarrez les appareils.
Le nom d'utilisateur et le mot de passe permettant de se connecter au pare-feu sont
admin et Admin@123, respectivement. Les méthodes de fonctionnement des
commutateurs sont les mêmes. L'exemple suivant est celui du pare-feu :
Login authentication
Username:admin
Password:
<FW> reset saved-configuration
This will delete the configuration in the flash memory.
The device configurations will be erased to reconfigure.
Are you sure? (y/n)[n]:y
Clear the configuration in the device successfully.
Pour redémarrer le pare-feu, exécutez la commande suivante :
<FW> reboot
Info: The system is comparing the configuration, please wait.
Warning: All the configuration will be saved to the next startup configuration.
Continue ? [y/n]:n
System will reboot! Continue ? [y/n]:y
Info: system is rebooting ,please wait...
Sommaire
1 Connexion au pare-feu ........................................................................................................10

1.1 Connexion à un appareil via le port de console (PuTTY) ........................................................................................10
1.1.1 Introduction ..........................................................................................................................................................................10
1.1.2 Configuration du laboratoire ..........................................................................................................................................11
1.1.3 Vérification ............................................................................................................................................................................13
1.1.4 Test ...........................................................................................................................................................................................13
1.2 Se familiariser avec les commandes (PuTTY) ..............................................................................................................13
1.2.1 Introduction ..........................................................................................................................................................................13
1.2.3 Test ...........................................................................................................................................................................................17
1.3 Connexion à un dispositif via Telnet ...............................................................................................................................17
1.3.1 Introduction ..........................................................................................................................................................................17
1.3.3 Vérification ............................................................................................................................................................................23
1.3.4 Test ...........................................................................................................................................................................................23
1.4 Connexion au dispositif via SSH........................................................................................................................................24
1.4.1 Introduction ..........................................................................................................................................................................24
1.4.3 Vérification ............................................................................................................................................................................27
1.4.4 Test ...........................................................................................................................................................................................27
1.5 Connexion au dispositif via l'interface utilisateur Web par défaut ......................................................................28
1.5.1 Introduction ..........................................................................................................................................................................28
1.5.3 Vérification ............................................................................................................................................................................30
1.5.4 Test ...........................................................................................................................................................................................31
1.6 Connexion au dispositif via l'interface utilisateur Web ............................................................................................31
1.6.1 Introduction ..........................................................................................................................................................................31
1.6.3 Vérification ............................................................................................................................................................................36
1.6.4 Test ...........................................................................................................................................................................................37
2 Politique de sécurité du pare-feu .....................................................................................38
2.1 Introduction ..............................................................................................................................................................................38
2.1.1 À propos de ce laboratoire ..............................................................................................................................................38
2.1.2 Objectifs .................................................................................................................................................................................38
2.1.3 Topologie de réseau...........................................................................................................................................................38

2.1.4 Planification du laboratoire ............................................................................................................................................38
2.2 Configuration du laboratoire .............................................................................................................................................39
2.2.1 Feuille de route de configuration .................................................................................................................................39
2.2.2 Procédure de configuration sur la CLI .........................................................................................................................39
2.2.3 Procédure de configuration sur l'interface utilisateur Web ................................................................................40
2.3 Vérification ................................................................................................................................................................................42
2.4 Test ..............................................................................................................................................................................................42
3 Serveur NAT de pare-feu et NAT source .........................................................................43
3.1 Introduction ..............................................................................................................................................................................43
3.1.2 Objectifs .................................................................................................................................................................................43
3.2 Configuration du laboratoire (NAT source) .................................................................................................................44
3.2.4 Vérification ............................................................................................................................................................................49
3.2.5 Test ...........................................................................................................................................................................................50
3.3 Configuration du laboratoire (serveur NAT et NAT source) ..................................................................................50
3.3.4 Vérification ............................................................................................................................................................................56
3.3.5 Test ...........................................................................................................................................................................................56
4 Pare-feu en veille à chaud .................................................................................................58
4.1 Introduction ..............................................................................................................................................................................58
4.1.2 Objectifs .................................................................................................................................................................................58
4.3 Vérification ................................................................................................................................................................................67
4.4 Référence de configuration ................................................................................................................................................70
4.4.1 Configuration de FW1 .......................................................................................................................................................70

4.5 Test ..............................................................................................................................................................................................72
5 Administration des utilisateurs .........................................................................................73
5.1 Introduction ..............................................................................................................................................................................73
5.1.2 Objectifs .................................................................................................................................................................................73
5.3 Vérification ................................................................................................................................................................................83
5.4 Test ..............................................................................................................................................................................................84
6 IPSec VPN site à site ............................................................................................................85
6.1 Introduction ..............................................................................................................................................................................85
6.1.2 Objectifs .................................................................................................................................................................................85
6.3 Vérification ................................................................................................................................................................................91
6.4 Référence de configuration ................................................................................................................................................91
6.5 Test ..............................................................................................................................................................................................94
7 VPN SSL ..................................................................................................................................95
7.1 Introduction ..............................................................................................................................................................................95
7.1.2 Objectifs .................................................................................................................................................................................95
7.3 Vérification ............................................................................................................................................................................. 102
7.4 Référence de configuration ............................................................................................................................................. 103
7.4.1 Configuration du pare-feu ............................................................................................................................................ 103

7.5 Test ........................................................................................................................................................................................... 105
1 Connexion au pare-feu
1.1 Connexion à un appareil via le port de console

(PuTTY)
1.1.1 Introduction
1.1.1.1 À propos de ce laboratoire
Dans ce laboratoire, vous vous familiariserez avec la gestion et la configuration du
dispositif en vous connectant à un pare-feu non configuré à partir d'un PC via le port de
console.
1.1.1.2 Objectifs
⚫ Apprendre à se connecter à un appareil et à le gérer depuis un PC via le port de
console.
⚫ Apprenez les configurations courantes basées sur l'interface CLI.
⚫ Apprenez à utiliser l'aide en ligne du CLI.
⚫ Apprenez à annuler une commande.
⚫ Apprenez à utiliser les touches de raccourci de l'interface CLI.
1.1.1.3 Topologie de réseau
Figure 1-1 Topologie pour se connecter au dispositif via le port de console
1.1.1.4 Contexte
Comme le montre le diagramme de réseau, le FW est un nouveau pare-feu sans aucune
configuration. Le PC est connecté au port de console du FW par un câble série, vous
devez donc effectuer une initialisation sur le FW.
1.1.1.5 Planification du laboratoire

Le PC de gestion utilise un câble série pour se connecter au port de console du dispositif,
et utilise PuTTY pour se connecter au dispositif.
Tableau 1-1 Ports et paramètres de dispositif

Dispositif Port Type de port Description
Le câble série utilise un port

USB ou un port série pour se
connecter au PC de gestion.
PC de gestion COM5 Port série
Vous devez installer un pilote
sur le PC pour vérifier et
utiliser le port correspondant.
Le port de console sur le

Pare-feu Console Port de console panneau d'appareils a un
identifiant de port de console.
1.1.2 Configuration du laboratoire

1.1.2.1 Feuille de route de configuration
1. Utilisez un câble série pour connecter le port série (ou le port USB) du PC de gestion
et le port de console du dispositif.
2. Définir les paramètres de connexion dans PuTTY sur le PC de gestion et connectez-
vous au dispositif.
1.1.2.2 Procédure de configuration

Étape 1 Établissez la connexion, mettez tous les dispositifs sous tension et assurez-vous qu'ils
fonctionnent correctement.
Étape 2 Vérifiez le numéro du port COM série utilisé par le PC de gestion pour se connecter au
dispositif.
# Sélectionnez Panneau de commande > Matériel et son > Dispositifs et

imprimantes > Gestionnaire de dispositifs > Ports et vérifiez le numéro du port série.
Étape 3 Exécuter PuTTY sur le PC de gestion et définir les paramètres.

# Cliquez sur Session, définir le Connection type sur Serial, définir la Serial line sur
COM5 interrogé à l'étape précédente, et définir les autres paramètres comme indiqué
dans la figure suivante.
----Fin
1.1.3 Vérification
# Appuyez sur Enter. Si les informations suivantes s'affichent dans PuTTY, la connexion
au dispositif via le port de console est réussie.
1.1.4 Test
Une fois le câble de la console connecté au PC de gestion, le numéro de port série ne
s'affiche pas sur le PC de gestion en sélectionnant Panneau de commande > Matériel et
son > Dispositifs et imprimantes > Gestionnaire de dispositifs > Ports. Quelles sont les
causes possibles ? Quelles sont les solutions correspondantes ?
Réponse de référence :
1. Le pilote du câble de la console n'est pas installé sur le PC de gestion. Scannez et
installez le pilote. Notez que le pilote qui doit être installé peut varier selon le câble
de la console. Il est conseillé d'exclure au préalable les problèmes d'installation du
pilote.
2. Le câble de la console est défectueux. Remplacez le câble de la console par un autre
qui fonctionne.
3. Il y a un contact de mauvaise qualité au niveau du port du PC. Retirez et réinsérez le
câble ou remplacez le câble par un neuf.
1.2 Se familiariser avec les commandes (PuTTY)

1.2.1 Introduction
Vous pouvez utiliser un PC pour vous connecter à un dispositif qui utilise les paramètres
d'usine par défaut via le port de console et effectuer des opérations de base sur la CLI.
1.2.1.2 Objectifs
⚫ Grâce à cet atelier, vous vous familiariserez avec les opérations de base de la CLI.
Figure 1-2 Topologie pour se connecter au dispositif via le port de console
1.2.1.4 Contexte
Comme le montre le schéma de mise en réseau, le FW est un tout nouveau pare-feu sans
configuration. L'administrateur réseau doit déboguer le pare-feu et apprendre les
opérations CLI du pare-feu. Par conséquent, l'administrateur réseau doit utiliser un PC
pour se connecter au port de console du pare-feu via un câble série, puis utiliser le
logiciel PuTTY pour se connecter au dispositif et effectuer des opérations d'initialisation
sur le pare-feu.

Le PC de gestion utilise un câble série pour se connecter au port de console du dispositif,
et utilise PuTTY pour se connecter au dispositif.

Dispositif Port Type de port Description
Le câble série utilise un port

USB ou un port série pour
se connecter au PC de
PC de gestion COM5 Port Ethernet gestion. Vous devez installer
un pilote sur le PC pour
vérifier et utiliser le port
correspondant.
Le port de console sur le

panneau d'appareils a un
Pare-feu Console Port de console
identifiant de port de
console.

1. Connectez-vous au dispositif via le port de console.
2. Effectuez des configurations de ligne de commande de base sur le dispositif.

Étape 1 Connectez-vous au dispositif via le port de console.
Étape 2 Entrez dans la vue système.
# La CLI est divisée en plusieurs vues de commande. Chaque commande est enregistrée
avec une ou plusieurs vues, de sorte qu'une commande ne peut être exécutée que dans la
ou les vues spécifiées. Une fois la connexion à un pare-feu établie, vous devez saisir le
nom d'utilisateur et le mot de passe initial, puis modifier le mot de passe initial. La
plupart des commandes doivent être configurées dans la vue système, vous devez donc
accéder à la vue système à partir de la vue utilisateur avant la configuration. Les
commandes sont les suivantes :
Press ENTER to get started.

Login authentication
Username:admin
Password:
The password needs to be changed. Change now? [Y/N]: Y
Please enter old password:
Please enter new password:
Please confirm new password:
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2020 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
<FW> system
[FW]
Étape 3 Entrez dans la vue interface.

# Dans la vue système, vous pouvez exécuter des commandes de configuration pour
entrer dans les vues des protocoles, des interfaces, etc. Pour entrer dans la vue d'une
interface, exécutez la commande suivante :
[FW] interface GigabitEthernet 0/0/1

[FW-GigabitEthernet0/0/1]
Étape 4 Obtenez de l'aide en ligne.

# Un point d'interrogation (?) est l'une des méthodes d'aide en ligne fournies par le VRP.
Si vous entrez un point d'interrogation (?) dans la vue système, le système listera les
paramètres de commande qui peuvent être configurés dans la vue système. Vous pouvez
également taper un espace après un paramètre puis saisir un point d'interrogation (?)
pour obtenir la liste des paramètres utilisables après ce paramètre particulier. Si vous
saisissez une chaîne de caractères suivie d'un point d'interrogation (?), le système listera
toutes les commandes commençant par cette chaîne de caractères. Exemple :
[FW] interface ?
Cellular Cellular interface
Dialer Dialer interface
Eth-Trunk Ethernet-Trunk interface
GigabitEthernet GigabitEthernet interface
LoopBack LoopBack interface
NULL NULL interface
Nve Nve interface
Tunnel Tunnel interface
Vbdif Vbdif interface
Virtual-Template Virtual-Template interface
# La touche Tab est une autre méthode d'aide en ligne fournie par le VRP. Si vous entrez
les premières lettres d'un mot-clé de commande et appuyez sur Tab, le mot-clé complet
s'affiche. Vous pouvez basculer entre toutes les commandes qui ont ce mot-clé.
[FW] inter //Press Tab.

[FW] interface
Étape 5 Quitter la vue actuelle (revenir à la vue précédente).

# Pour revenir à la vue précédente, exécutez la commande quit. Par exemple, pour
quitter la vue d'interface actuelle, exécutez la commande suivante :
[FW-GigabitEthernet0/0/1] quit
[FW]
Étape 6 Retour à la vue utilisateur.

# Pour revenir à la vue utilisateur à partir d'une autre vue, exécutez la commande return.
Exemple :
[FW-GigabitEthernet0/0/1] return
<FW>
Étape 7 Afficher la version du dispositif.

# Dans n'importe quelle vue, exécutez la commande display version pour afficher la
version du dispositif. Exemple :
<FW> display version

Huawei Versatile Routing Platform Software
VRP (R) Software, Version 5.170 (USG6500 V600R007C20)
Copyright (C) 2014-2020 Huawei Technologies Co., Ltd.
Étape 8 Sauvegarder les configurations.

# Pour sauvegarder toutes les configurations du dispositif, exécutez la commande save
dans la vue utilisateur.
<FW> save
The current configuration will be written to hda1:/fw2.zip.
Are you sure to continue?[Y/N]Y
Now saving the current configuration to the slot 0..

Jan 19 2022 10:13:19 FW %%01CFM/4/SAVE(s)[0]:The user chose Y when deciding whether to save
the configuration to the device......
Save the configuration successfully.
Étape 9 Afficher les configurations.

# Dans la vue actuelle, exécutez la commande display this pour afficher la configuration
de la vue. Une vue d'interface est utilisée comme exemple :
[FW-GigabitEthernet0/0/0] display this

#
interface GigabitEthernet0/0/0
undo shutdown
ip address 192.168.0.1 255.255.255.0
#
Return
# Exécuter la commande suivante dans n'importe quelle vue pour afficher toutes les
configurations actuelles, y compris les configurations qui n'ont pas été sauvegardées :
[FW] display current-configuration
# Exécuter la commande suivante dans n'importe quelle vue pour afficher les
configurations qui ont été sauvegardées :
[FW] display saved-configuration
----Fin
1.2.3 Test
Après vous être connecté au dispositif via PuTTY, des caractères brouillés apparaissent
parfois pendant le processus de configuration de la commande. Que dois-je faire ?
Vérifiez si PuTTY utilise UTF-8. Si tel n'est pas le cas, configurez PuTTY pour utiliser UTF-
8.
1.3 Connexion à un dispositif via Telnet

1.3.1 Introduction
Lors de la maintenance du réseau, les administrateurs réseau doivent souvent se
connecter à plusieurs dispositifs. Il est difficile de se connecter à chaque dispositif via le
port de console. La fonction de connexion à distance peut être configurée sur le dispositif
pour permettre aux administrateurs de se connecter à distance au dispositif via Telnet.

Cela facilite la maintenance et la mise en service du dispositif.
1.3.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez vous familiariser avec la méthode de base de
configuration de la fonction de connexion à distance basée sur Telnet.
Figure 1-3 Topologie pour la connexion au dispositif via Telnet

Le PC de gestion utilise un câble Ethernet commun pour se connecter à l'interface
GE0/0/1 du dispositif et utilise PuTTY pour se connecter à distance au dispositif.

Dispositif Port Type de port Adresse
PC de gestion Port Ethernet Port Ethernet 10.1.2.100/24
Pare-feu GE0/0/1 Port Ethernet 10.1.2.1/24

1. Connectez-vous au dispositif, par exemple, via le port de console.
2. Configurer Telnet sur le dispositif.
3. Connectez-vous au dispositif à partir du PC de gestion via Telnet.
1.3.2.2 Procédure de configuration sur la CLI

Étape 1 Connectez-vous au dispositif par d'autres méthodes. (Par exemple, connectez-vous au
dispositif via le port de console. Pour de plus amples informations, référez-vous à la
section 1.1 « Connexion à un appareil via le port de console (PuTTY). »)
Étape 2 Activez Telnet sur le dispositif.
<FW> system-view
[FW] telnet server enable
Étape 3 Configurer le port par lequel un utilisateur Telnet peut se connecter au dispositif.
# Configurer l'adresse IP du port.

[FW-GigabitEthernet0/0/1] ip address 10.1.2.1 24
# Configurer le contrôle d'accès pour le port.
[FW-GigabitEthernet0/0/1] service-manage enable

[FW-GigabitEthernet0/0/1] service-manage telnet permit
# Ajouter le port à une zone de sécurité.
[FW] firewall zone trust

[FW-zone-trust] add interface GigabitEthernet0/0/1
[FW-zone-trust] quit
# Configurer une politique de sécurité pour permettre au PC de gestion d'accéder à

GE0/0/1 du pare-feu.
[FW] security-policy
[FW-policy-security] rule name trust-local
[FW-policy-security-rule-trust-local] source-zone trust
[FW-policy-security-rule-trust-local] destination-zone local
[FW-policy-security-rule-trust-local] action permit
Remarque : Si le port MGMT du pare-feu est utilisé pour la connexion à distance, ignorez
cette étape.
Étape 4 Configurer un administrateur.

# Réglez le mode d'authentification de l'administrateur VTY sur AAA.
[FW] user-interface vty 0 4

[FW-ui-vty0-4] authentication-mode aaa
[FW-ui-vty0-4] protocol inbound telnet
[FW-ui-vty0-4] user privilege level 3
[FW-ui-vty0-4] quit
# Configurer un administrateur Telnet.
[FW] aaa
[FW-aaa] manager-user telnetuser
[FW-aaa-manager-use-telnetuser] password cipher (Enter password)
[FW-aaa-manager-use-telnetuser] service-type telnet
[FW-aaa-manager-use-telnetuser] level 3
[FW-aaa-manager-use-telnetuser] quit
# Associer un rôle à l'administrateur (facultatif, pris en charge uniquement par les pare-
feu).
[FW-aaa] bind manager-user telnetuser role system-admin
Étape 5 Connectez-vous au dispositif.

# Sur le PC de gestion, définir l'adresse sur 10.1.2.100/24, exécutez PuTTY, définir les
paramètres Telnet et connectez-vous au dispositif.
# Cliquez sur Session, définir Connection type sur Telnet et le Host Name (or IP
address) sur 10.1.2.1 et définir d'autres paramètres comme indiqué dans la figure
suivante.
# Cliquez sur Open pour établir une connexion. Si les informations suivantes s'affichent,
vous avez réussi à vous connecter au dispositif à l'aide de Telnet.
----Fin
1.3.2.3 Procédure de configuration sur l'interface utilisateur Web (prise en

charge uniquement par les pare-feu)
Étape 1 Utiliser l'interface utilisateur Web par défaut pour vous connecter au dispositif. Pour plus
de précisions, consultez la section 1.5 «Connexion au dispositif via l'interface utilisateur
Web par défaut.»
Étape 2 Activez le service Telnet.

# Sélectionnez System > Administrator > Service Settings et sélectionnez la case à
cocher Enable du Telnet Service.
Étape 3 Configurer le port de connexion.

Configurer le port par lequel un utilisateur Telnet se connecte au dispositif. Sélectionnez
Network > Interface et cliquez sur le bouton Edit sur la ligne de GE0/0/1.
# Configurer l'adresse IP, la zone de sécurité et les fonctions de contrôle d'accès du port.
cette étape.

# Sélectionnez System > Administrator > Administrator puis cliquez sur Add.
# Définir le nom d'utilisateur Telnet sur telnetuser, le mot de passe sur Admin@123, le
rôle de m'administrateur sur system-admin, et le type de service sur Telnet.

paramètres Telnet et connectez-vous au dispositif.
# Cliquez sur Session, définir Connection type sur Telnet et le Host Name (or IP
address) sur 10.1.2.1 et définir d'autres paramètres comme indiqué dans la figure
suivante.
----Fin
1.3.3 Vérification
# Cliquez sur Open dans Étape 5, appuyez sur Enter, puis entrez le nom d'utilisateur
telnetuser et le mot de passe Admin@123. Si les informations suivantes s'affichent dans
PuTTY, la connexion Telnet a réussi.
1.3.4 Test
Le port TCP 23 est utilisé pour se connecter au dispositif via Telnet. Puis-je le remplacer
par un autre numéro de port ? Si oui, quelle est la commande correspondante ? Après le
changement, quelle commande puis-je utiliser pour vérifier le numéro de port actuel
pour configurer une connexion Telnet ?
1. Exécuter la commande telnet server port port-number pour définir le numéro de

port d'écoute du serveur Telnet.
2. Une fois le numéro de port d'écoute Telnet modifié, vous pouvez exécuter la
commande display telnet server status pour vérifier le numéro de port d'écoute
actuellement utilisé par le serveur Telnet.
1.4 Connexion au dispositif via SSH

1.4.1 Introduction
Lors de la maintenance du réseau, les administrateurs réseau doivent souvent se
connecter à plusieurs dispositifs. Il est difficile de se connecter à chaque dispositif via le
port de console. De plus, les paquets de connexion à distance Telnet sont en texte brut.
Pour améliorer la sécurité, configurez la fonction SSH sur le dispositif pour permettre aux
administrateurs de se connecter à distance au dispositif via SSH pour la gestion.
1.4.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez vous familiariser avec la méthode de base de
configuration de la fonction de connexion à distance basée sur SSH.
Figure 1-4 Topologie pour la connexion à un dispositif via SSH

Le PC de gestion utilise un câble Ethernet commun pour se connecter à l'interface
GE0/0/1 du dispositif et utilise PuTTY pour se connecter à distance au dispositif.

Dispositif Port Type de port Adresse
Port du réseau
PC de gestion Port Ethernet 10.1.2.100/24
d'ordinateurs
Pare-feu GE0/0/1 Port Ethernet 10.1.2.1/24


1. Connectez-vous au dispositif, par exemple, via le port de console.
2. Configurez la fonction SSH sur le dispositif.
3. Connectez-vous au dispositif à partir du PC de gestion via SSH.

Étape 1 Connectez-vous au dispositif par d'autres méthodes. (Par exemple, connectez-vous au
dispositif via le port de console. Pour de plus amples informations, référez-vous à la
section1.1 « Connexion à un appareil via le port de console (PuTTY) ».)
Étape 2 Activez SSH sur le dispositif.
<FW> system-view
[FW] stelnet server enable

# Configurer l'adresse IP du port pour la connexion.

# Configurer le contrôle d'accès pour le port.

[FW-GigabitEthernet0/0/1] service-manage ssh permit

[FW-zone-trust] add interface GigabitEthernet0/0/1

[FW-policy-security-rule-trust-local] quit
cette étape.

# Réglez le mode d'authentification de l'administrateur VTY sur AAA.
[FW] user-interface vty 0 4

[FW-ui-vty0-4] authentication-mode aaa
[FW-ui-vty0-4] protocol inbound ssh
[FW-ui-vty0-4] user privilege level 3
[FW-ui-vty0-4] quit
# Créer un compte administrateur SSH sshuser, et définir la méthode d'authentification

sur password, mot de passe sur Admin@123, et mode de service sur SSH.
[FW] aaa
[FW-aaa] manager-user sshuser
[FW-aaa-manager-use-sshuser] password cipher (Enter password)
[FW-aaa-manager-use-sshuser] service-type ssh
[FW-aaa-manager-use-sshuser] level 3
[FW-aaa-manager-use-sshuser] quit
feu).
[FW-aaa] bind manager-user sshuser role system-admin
# Configurer un utilisateur SSH.
[FW] ssh user sshuser

[FW] ssh user sshuser authentication-type password
[FW] ssh user sshuser service-type stelnet
Étape 5 Générez une paire de clés locale.
[FW] rsa local-key-pair create

The key name will be: FW_Host
The range of public key size is (512 ~ 2048).
NOTES: A key shorter than 1024 bits may cause security risks.
The generation of a key longer than 512 bits may take several minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
...++++++++
..++++++++
..................................+++++++++
............+++++++++

paramètres SSH et connectez-vous au dispositif.
# Cliquez sur Session, définir Connection type sur SSH et le Host Name (or IP address)
sur 10.1.2.1, et définir d'autres paramètres comme indiqué dans la figure suivante.
----Fin
1.4.3 Vérification
# Cliquez sur Open dans Étape 6, appuyez sur Enter, puis entrez le nom d'utilisateur
sshuser et le mot de passe Admin@123. Si les informations suivantes s'affichent dans
PuTTY, la connexion SSH a réussi.
1.4.4 Test
Quel type de mode de vérification de sécurité la connexion SSH utilise-t-elle dans cet
atelier ? Existe-t-il une autre méthode SSH pour une connexion sécurisée ? Si tel est le
cas, veuillez donner des exemples et énumérer les principales étapes de vérification pour
une connexion sécurisée.
1. Cet atelier utilise la vérification de sécurité basée sur un mot de passe SSH.
2. La vérification de sécurité SSH relève de la vérification de sécurité basée sur un mot

de passe et de la vérification de sécurité basée sur une clé.
3. Procédure de connexion de la vérification de sécurité SSH basée sur un mot de
passe :
a. Un utilisateur initie une demande de connexion.
b. L'hôte distant renvoie sa clé publique à l'hôte demandeur.
c. L'hôte demandeur utilise la clé publique pour chiffrer le mot de passe saisi par
l'utilisateur.
d. L'hôte demandeur envoie le mot de passe chiffré à l'hôte distant.
e. L'hôte distant déchiffre le mot de passe à l'aide de la clé privée.
f. L'hôte distant vérifie si le mot de passe déchiffré est le même que le mot de
passe de l'utilisateur. Si c'est le cas, la connexion est réussie.
4. Procédure de connexion de la vérification de sécurité SSH basée sur une clé :
a. Un hôte utilisateur génère une paire de clés et importe la clé publique sur l'hôte
distant.
b. L'utilisateur initie une demande de connexion.
c. L'hôte distant renvoie une chaîne de caractères aléatoire à l'utilisateur.
d. L'hôte sur lequel se trouve l'utilisateur utilise la clé privée pour chiffrer la chaîne
de caractères aléatoires et renvoie la chaîne aléatoire chiffrée à l'hôte distant.
e. L'hôte distant utilise la clé publique importée pour déchiffrer la chaîne aléatoire
chiffrée. Si le déchiffrement réussit, les informations de connexion de l'utilisateur
sont correctes et la connexion est autorisée.
1.5 Connexion au dispositif via l'interface utilisateur Web

par défaut
1.5.1 Introduction
Les ingénieurs peuvent mettre en service de nouveaux pare-feu sur l'interface utilisateur
Web. Dans les paramètres d'usine par défaut, un PC peut se connecter au dispositif via le
port MGMT du pare-feu, mettant en œuvre la gestion et la configuration des dispositifs.
1.5.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez utiliser un PC pour vous connecter au pare-feu
via l'interface utilisateur Web par défaut.
Figure 1-5 Topologie de connexion au dispositif via l'interface utilisateur

Web par défaut

Le PC utilise un câble Ethernet pour se connecter au port MGMT du dispositif et utilise un
navigateur Web pour se connecter au dispositif.

Dispositif Port Type de port Adresse IP
Port du réseau
PC de gestion Port Ethernet 192.168.0.2/24
d'ordinateurs
Pare-feu GigabitEthernet0/0/0 Port Ethernet 192.168.0.1/24

1. Utilisez des paires torsadées pour connecter le port Ethernet du PC de gestion au
port MGMT du dispositif.
2. Utilisez un navigateur pour accéder au pare-feu à partir du PC de gestion.

Étape 2 Définir l'adresse IP sur 192.168.0.2/24 sur le PC de gestion.

Étape 3 Ouvrez un navigateur sur le PC de gestion et entrez https://192.168.0.1:8443 (or
http://192.168.0.1) dans la barre d'adresse.
(Remarque : Par défaut, l'adresse IP de GE0/0/0 est 192.168.0.1 et la gestion HTTPS est
activée. Vous pouvez vous connecter au système en utilisant le nom d'utilisateur admin
et le mot de passe Admin@123.)
----Fin
1.5.3 Vérification
# Entrez le nom d'utilisateur admin et son mot de passe Admin@123, puis cliquez sur
Login.
# Si les informations suivantes s'affichent dans le navigateur, la connexion réussit.

1.5.4 Test
Par défaut, quelle interface est utilisée pour se connecter au dispositif via l'interface
utilisateur Web par défaut ? Avez-vous besoin de démarrer manuellement le service Web
via la CLI ?
Par défaut, l'interface de connexion via l'interface utilisateur Web est
GigabitEthernet0/0/0. Vous n'avez pas besoin d'activer manuellement le service Web ou
de configurer une politique de sécurité pour permettre le passage du trafic.
1.6 Connexion au dispositif via l'interface utilisateur Web

1.6.1 Introduction
Une fois le pare-feu ajouté au réseau, les ingénieurs souhaitent se connecter à la page de
gestion du pare-feu via le PC de gestion. Dans ce cas, le port MGMT n'est pas connecté
au réseau. Le PC peut se connecter au dispositif à l'aide du port de service du pare-feu via
l'interface utilisateur Web pour gérer et configurer le dispositif.
1.6.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez utiliser un PC pour vous connecter au pare-feu
via l'interface utilisateur Web.
Figure 1-6 Topologie de connexion à un dispositif via l'interface utilisateur

Web

Le PC utilise un câble Ethernet pour se connecter à GE0/0/1 du dispositif et utilise
l'interface utilisateur Web pour se connecter au dispositif.

Dispositif Port Type de port Adresse IP Description
PC de Port
Port Ethernet 10.1.2.100/24
gestion réseau
Par défaut, le port de service

du dispositif ne prend pas en
charge la connexion Web. Par
Pare-feu GE0/0/1 Port Ethernet 10.1.2.1/24 conséquent, vous devez activer
la fonction Web et configurer
le compte et le mot de passe
pour la connexion Web.

1. Utilisez des paires torsadées pour connecter le port Ethernet du PC de gestion au
port de service du dispositif.
2. Configurer la fonction de connexion Web du dispositif.
3. Connectez-vous au dispositif à partir du PC de gestion via l'interface utilisateur Web.

Étape 2 Connectez-vous au dispositif via d'autres méthodes, par exemple, console, Telnet et SSH.
Pour plus de précisions, consultez les sections 1.1 « Connexion à un appareil via le port
de console (PuTTY) », 1.2 « Se familiariser avec les commandes (PuTTY) » et 1.3

« Connexion à un dispositif via Telnet. »
Étape 3 Vérifiez si la fonction de serveur Web est activée. Dans le cas contraire, exécutez la
commande suivante pour l'activer :
[FW] web-manager security enable
Remarque : La commande web-manager security enable active la gestion d'appareils

HTTPS. En cas d'utilisation de la commande web-manager enable, La gestion d'appareils
HTTP est activée. N'utilisez pas le même port pour la gestion de dispositifs HTTPS et
HTTP. Sinon, des conflits de port peuvent se produire.

# Configurer une adresse IP et la fonction de contrôle d'accès pour le port.

[FW-GigabitEthernet0/0/1] service-manage https permit

[FW-zone-trust] add interface GigabitEthernet 0/0/1

[FW] aaa
[FW-aaa] manager-user webuser
[FW-aaa-manager-use-webuser] password cipher (Enter password)
[FW-aaa-manager-use-webuser] level 3
[FW-aaa-manager-use-webuser] service-type web
[FW-aaa-manager-use-webuser] quit
feu).
[FW-aaa] bind manager-user webuser role service-admin

Étape 6 Définir l'adresse IP du PC sur 10.1.2.100/24. Visitez https://10.1.2.1:8443 dans le

navigateur du PC.
----Fin
1.6.2.3 Procédure de configuration sur l'interface utilisateur Web

Étape 2 Connectez-vous au dispositif en mode Web par défaut. (Pour de plus amples
informations, référez-vous à la section 1.5 « Connexion au dispositif via l'interface
utilisateur Web par défaut. »)
Étape 3 Activez le service HTTPS.

# Sélectionnez System > Administrator > Settings et vérifiez si la case à cocher du
service HTTPS est activée.
# Configurer le port utilisé pour la connexion. Sélectionnez Network > Interface et

cliquez sur Edit sur la ligne de GE0/0/1 pour configurer l'adresse IP, la zone de sécurité et
le contrôle d'accès pour le port.
# Configurer un administrateur.
Sélectionnez System > Administrator > Administrator puis cliquez sur Add.
# Définir le nom d'utilisateur web sur webuser, le mot de passe sur Admin@123 et le
rôle sur system-admin.
----Fin
1.6.3 Vérification
Accéder à https://10.1.2.1 dans le navigateur sur le PC, entrer le nom d'utilisateur
webuser et le mot de passe Admin@123, puis cliquer sur Login.
Si les informations suivantes s'affichent dans le navigateur, la connexion réussit.
1.6.4 Test
Parmi les configurations de clé suivantes, lesquelles sont requises pour se connecter à la
page Web du dispositif via un port non de gestion ?
1. Le service d'accès HTTPS doit être activé pour le port.
2. La stratégie du trafic doit autoriser le trafic depuis la zone de sécurité à laquelle le
port appartient à la zone locale.
3. Le service HTTPS doit être activé globalement.
2 Politique de sécurité du pare-feu
2.1 Introduction
2.1.1 À propos de ce laboratoire
Lors du déploiement et de la maintenance du réseau, des pare-feu sont nécessaires pour
protéger le réseau. Ce laboratoire présente des concepts clés tels que les zones de
sécurité et les politiques de sécurité. Dans ce laboratoire, des politiques de sécurité sont
déployées sur les pare-feu pour garantir que les hôtes de la zone sécurisée peuvent
accéder de manière proactive aux hôtes de la zone de non-approbation.
2.1.2 Objectifs
⚫ Comprendre les principes des politiques de sécurité.
⚫ Comprendre la relation entre les différentes zones de sécurité.
⚫ Configurer les politiques de sécurité du pare-feu à l'aide de l'interface de ligne de
commande (CLI) et de l'interface utilisateur Web.
2.1.3 Topologie de réseau
Figure 2-1 Topologie pour la configuration des politiques de sécurité du

pare-feu
2.1.4 Planification du laboratoire

FW1 est déployé entre deux réseaux. Les périphériques en amont et en aval sont des
commutateurs et les interfaces de service en amont et en aval de FW1 fonctionnent au
niveau de la couche 3.
Tableau 2-1 Adresse du port et planification des zones

Dispositif Interface Adresse IP Zone de sécurité
FW1 GigabitEthernet0/0/1 10.1.0.1/24 trust

GigabitEthernet0/0/2 10.2.0.1/24 untrust
PC1 Eth0/0/1 10.1.0.10/24 trust
PC2 Eth0/0/1 10.2.0.10/24 untrust
2.2 Configuration du laboratoire

2.2.1 Feuille de route de configuration
1. Configurer les adresses IP de base et les zones de sécurité.
2. Configurer une politique de sécurité interzone.
3. Configurer les passerelles de PC1 et PC2 pour utiliser des adresses IP qui se trouvent
sur le même segment de réseau que celles des interfaces correspondantes sur le
pare-feu.
2.2.2 Procédure de configuration sur la CLI

Étape 1 Terminez les configurations des interfaces amont et aval de FW1. Configurer les adresses
IP des interfaces et ajoutez-les aux zones de sécurité.
[FW1] interface G0/0/1

[FW1-GigabitEthernet0/0/1] ip address 10.1.0.1 255.255.255.0
[FW1-GigabitEthernet0/0/1] quit
[FW1] firewall zone trust
[FW1-zone-trust] add interface G0/0/1
[FW1-zone-trust] quit
[FW1] firewall zone untrust
[FW1-zone-untrust] add interface G0/0/2
[FW1-zone-untrust] quit
Étape 2 Configurer une stratégie de transfert entre la zone sécurisée et la zone Untrust.
[FW1] security-policy
[FW1-policy-security] rule name policy_sec
[FW1-policy-security-rule-policy_sec] source-zone trust
[FW1-policy-security-rule-policy_sec] destination-zone untrust
[FW1-policy-security-rule-policy_sec] action permit
[FW1-policy-security-rule-policy_sec] quit
Étape 3 Configurer le commutateur.

Ajouter deux interfaces de chaque commutateur au VLAN par défaut. Pour plus de
détails, consultez le document relatif au commutateur.
Étape 4 Configurer le PC.

Définir l'adresse IP de PC1 sur 10.1.0.10/24 et celle de la porte d'entrée 10.1.0.1. Définir
l'adresse IP de PC2 sur 10.2.0.10/24 et celle de la porte d'entrée 10.2.0.1.
----Fin
2.2.3 Procédure de configuration sur l'interface utilisateur Web

Étape 1 Terminez la configuration de l'interface sur FW1.
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/1, comme illustré dans la figure suivante.
Étape 2 Configurer une stratégie de transfert interzone sur FW1.

# Politique de transfert entre trust et untrust : Sélectionnez Policy > Security Policy >
Security Policy. Dans la Security Policy List, cliquez sur Add. Réglez ou sélectionnez
chaque paramètre dans l'ordre. Cliquez sur OK. La figure suivante montre la stratégie de
transfert entre les zones Trust et Untrust.
----Fin
2.3 Vérification
# Ping 10.2.0.10 sur CLI à partir de PC1 pour vérifier que PC1 peut ping PC2.
PC> ping 10.2.0.10

Ping 10.2.0.10: 32 data bytes, Press Ctrl_C to break
From 10.2.0.10: bytes=32 seq=1 ttl=127 time=16 ms
From 10.2.0.10: bytes=32 seq=4 ttl=127 time<1 ms
--- 10.2.0.10 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/12/16 ms
# Exécuter la commande display firewall session table pour afficher la table des
sessions du pare-feu.
[FW1] display firewall session table

Current Total Sessions : 1
icmp VPN: public --> public 10.1.0.10:49569 --> 10.2.0.10:2048
2.4 Test
Sur la base de l'atelier, envoyer une requête ping à PC1 à partir de PC2 et expliquer
pourquoi l'opération ping échoue.
La politique de sécurité de ce laboratoire autorise uniquement le trafic de PC1 à PC2,
mais pas de PC2 à PC1. Par conséquent, si PC2 initie l'accès à PC1, les paquets seront
rejetés par la politique de sécurité par défaut du pare-feu.
3 Serveur NAT de pare-feu et NAT

source
3.1 Introduction
Une entreprise utilise un pare-feu comme périphérique de sortie. Les employés de
l'entreprise doivent accéder à Internet via le pare-feu, et un serveur du réseau
d'entreprise fournit des services aux utilisateurs d'Internet.
Une fois la NAT configurée sur le pare-feu de sortie, plusieurs utilisateurs de l'intranet
peuvent accéder à Internet à l'aide d'un petit nombre d'adresses IP publiques, et les
utilisateurs de l'extranet peuvent accéder au serveur intranet à l'aide des adresses IP
spécifiées.
3.1.2 Objectifs
⚫ Comprendre les scénarios d'application et les principes de NAT source.
⚫ Comprendre les scénarios d'application et les principes du serveur NAT.
⚫ Configurer les commandes NAT Server et le NAT source via la CLI et l'interface
utilisateur Web.
Figure 3-1 Topologie de configuration du serveur NAT et de la NAT source

pour un pare-feu

FW1 est déployé à la sortie du réseau. Les dispositifs en amont et en aval sont des
commutateurs.

GigabitEthernet0/0/1 10.1.2.1/24 trust
FW1 GigabitEthernet0/0/2 40.1.1.1/24 untrust
GigabitEthernet0/0/3 10.1.1.1/24 dmz
PC1 Eth0/0/1 10.1.2.100/24 trust
PC2 Eth0/0/1 40.1.1.100/24 untrust
Serveur 1 Eth0/0/1 10.1.1.100/24 dmz
3.2 Configuration du laboratoire (NAT source)

1. Configurer les adresses IP de base, les zones de sécurité et les politiques de sécurité.
2. Configurer un pool d'adresses NAT.
3. Configurer une politique NAT.

Étape 1 Configurer les interfaces de service en amont et en aval de FW1. Configurer les adresses
# Configurer les adresses IP pour les interfaces de service en amont et en aval de FW1.
<FW1> system-view
# Ajouter les interfaces de FW1 aux zones de sécurité correspondantes.


[FW1-zone-trust] add interface G0/0/1
[FW1-zone-untrust] add interface G0/0/2
[FW1] firewall zone dmz
[FW1-zone-dmz] add interface G0/0/3
[FW1-zone-dmz] quit
Étape 2 Configurer une stratégie de transfert entre les zones Trust et Untrust.
[FW1-policy-security] rule name policy_sec
[FW1-policy-security-rule-policy_sec] source-zone trust
[FW1-policy-security-rule-policy_sec] destination-zone untrust
Étape 3 Configurer un pool d'adresses NAT et définir la plage d'adresses IP publiques de 2.2.2.2 à
2.2.2.5.
[FW1] nat address-group natpool

[FW1-address-group-natpool] section 2.2.2.2 2.2.2.5
Étape 4 Configurer une politique NAT.
[FW1] nat-policy
[FW1-policy-nat] rule name source_nat
[FW1-policy-nat-rule-source_nat] destination-zone untrust
[FW1-policy-nat-rule-source_nat] source-zone trust
[FW1-policy-nat-rule-source_nat] action source-nat address-group natpool
Étape 5 Configurer les commutateurs.

----Fin

Étape 1 Configurer les interfaces sur FW1.
Étape 2 Configurer une stratégie de transfert interzone pour FW1.

# Sélectionnez Policy> Security Policy > Security Policy. Dans la zone de Security Policy
List, cliquez sur Add, définir ou sélectionnez des paramètres, puis cliquez sur OK.
Configurer la stratégie de transfert interzone entre les zones Trust et Untrust, comme
illustré dans la figure suivante.
Étape 3 Configurer un pool d'adresses NAT. Les adresses IP publiques vont de 2.2.2.2 à 2.2.2.5.
# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet Source Translation Address
Pool. Dans Source Translation Address Pool, cliquez sur et créez un pool d'adresses.
Cliquez ensuite sur OK. La figure suivante montre les configurations détaillées.

# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet NAT Policy. Dans la zone NAT
Policy List, cliquez sur et créez une politique NAT. Cliquez ensuite sur OK. La figure
suivante montre les configurations détaillées.
----Fin
3.2.4 Vérification
# Ping PC2 de PC1.
PC> ping 40.1.1.100
Ping 40.1.1.100: 32 data bytes, Press Ctrl_C to break

From 40.1.1.100: bytes=32 seq=3 ttl=127 time<1 ms
--- 40.1.1.100 ping statistics ---

5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 0/12/16 ms
# Exécuter la commande display firewall session table sur FW1 pour vérifier la table de
session.
[FW1] display firewall session table

icmp VPN: public --> public 10.1.2.100:56279[2.2.2.5:2057] -->40.1.1.100:2048

Vous pouvez voir que le pare-feu traduit l'adresse source 10.1.2.100 en 2.2.2.5 dans le
pool d'adresses NAT pour communiquer avec PC2.
3.2.5 Test
Quelles sont les différences entre NAPT et NAT No-PAT dans le NAT source ? À quels
scénarios s'appliquent-ils ?
NAPT traduit à la fois les adresses IP et les ports. Il permet à plusieurs adresses IP privées
de partager une ou plusieurs adresses IP publiques pour accéder aux ressources du réseau
public. NAPT s'applique aux scénarios où seul un petit nombre d'adresses publiques sont
disponibles pour que de nombreux utilisateurs du réseau privé accèdent à Internet.
NAT No-PAT ne traduit que les adresses IP mais pas les ports. Il traduit les adresses IP
privées en adresses IP publiques dans une relation un à un. NAT No-PAT s'applique aux
scénarios où il existe un petit nombre d'utilisateurs d'accès à l'Internet et où le nombre
d'adresses IP publiques est le même que le nombre d'utilisateurs d'accès à l'Internet
simultanés.
3.3 Configuration du laboratoire (serveur NAT et NAT

source)
1. Configurer les adresses IP de base, les zones de sécurité et les politiques de sécurité.
2. Configurer un serveur NAT.
3. Configurer un pool d'adresses NAT.
4. Configurer une politique NAT.

Étape 1 Configurer les interfaces de service en amont et en aval de FW1. Configurer les adresses
<FW1> system-view
Étape 2 Configurer une politique de transfert entre les zones Untrust et DMZ.
[FW1-policy-security] rule name bidectinal_nat
[FW1-policy-security-rule-policy_sec] source-zone untrust
[FW1-policy-security-rule-policy_sec] destination-zone dmz
[FW1-policy-security-rule-policy_sec] service ftp
Étape 3 Configurer un serveur NAT.
[FW1] nat server ftpserver protocol tcp global 40.1.1.2 ftp inside 10.1.1.100 ftp
Étape 4 Configurer un pool d'adresses NAT.
[FW1] nat address-group natpool2

[FW1-address-group-natpool] section 10.1.1.10 10.1.1.20
Étape 5 Appliquez la fonction NAT ALG entre les zones DMZ et Untrust, afin que le serveur puisse
fournir correctement le service FTP pour les systèmes externes. Par défaut, NAT ALG est
activé globalement. Vous pouvez ignorer cette étape.
[FW1] firewall interzone dmz untrust

[FW1-interzone-dmz-untrust] detect ftp
[FW1-interzone-dmz-untrust] quit
Étape 6 Créez la politique NAT entre les zones DMZ et Untrust, définir la plage d'adresses IP
source pour NAT et liez la politique NAT à natpool2.
[FW1] nat-policy
[FW1-policy-nat] rule name source_nat
[FW1-policy-nat-rule-source_nat] destination-zone dmz
[FW1-policy-nat-rule-source_nat] source-zone untrust
[FW1-policy-nat-rule-source_nat] source-address 40.1.1.0 24
[FW1-policy-nat-rule-source_nat] action nat address-group natpool2

----Fin

Étape 1 Configurer les interfaces sur FW1.
Étape 2 Configurer une stratégie de transfert interzone de FW1.

# Sélectionnez Policy> Security Policy > Security Policy. Dans la Security Policy List,
cliquez sur Add. Réglez ou sélectionnez chaque paramètre dans l'ordre. Cliquez sur OK.
Configurer la stratégie de transfert entre les zones Untrust et DMZ, comme illustré dans
la figure suivante.
Étape 3 Configurer un serveur NAT.

# Sélectionnez Policy > NAT Politicy > Server Mapping. Dans la Server Mapping List,
cliquez sur et configurez un serveur NAT. Cliquez ensuite sur OK. La figure suivante
montre les configurations détaillées.
Étape 4 Configurer un pool d'adresses NAT.

# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet Source Translation Address
Pool. Dans Source Translation Address Pool, cliquez sur et créez un pool d'adresses.
Cliquez ensuite sur OK. La figure suivante montre les configurations détaillées.

# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet NAT Policy. Dans la NAT
Politicy List, cliquez sur et créez une politique NAT. Cliquez ensuite sur OK. La figure
suivante montre les configurations détaillées.
----Fin
3.3.4 Vérification
# Vérifiez les informations connexes sur le pare-feu.
[FW1] display nat server

Server in private network information:
Total 1 NAT server(s)
server name : ftpserver
id :0 zone : ---
global-start-addr : 40.1.1.2 global-end-addr : 40.1.1.2
inside-start-addr : 10.1.1.100 inside-end-addr : 10.1.1.100
global-start-port : 21(ftp) global-end-port : 21
inside-start-port : 21(ftp) inside-end-port : 21
globalvpn : public insidevpn : public
vsys : public protocol : tcp
vrrp : --- no-revers :0
interface : --- vrrp-bind-interface: ---
unr-route : 1 description : ---
nat-disable : 0
3.3.5 Test
Lorsqu'un utilisateur du réseau externe accède au serveur intranet via une adresse IP
spécifique, quelles sont les étapes de traitement des paquets atteignant le pare-feu ?
1. Le premier paquet arrive au pare-feu.

2. La configuration du serveur NAT est mise en correspondance et la traduction de
l'adresse de destination est effectuée.
3. La table de routage est recherchée.
4. La politique de sécurité est respectée.
5. Une session est créée.
4 Pare-feu en veille à chaud
4.1 Introduction
Une entreprise doit fournir des services ininterrompus. Pour éviter une interruption de
ligne causée par des périphériques réseau ou d'autres facteurs externes, l'entreprise
souhaite mettre en œuvre une redondance à la sortie du réseau pour augmenter la
fiabilité du réseau.
Dans ce laboratoire, deux pare-feu sont déployés en tant que passerelles à la sortie du
réseau pour assurer une communication fluide entre le réseau interne et le réseau
externe en cas de défaillance d'un seul nœud.
4.1.2 Objectifs
⚫ Comprendre les principes de base de la veille à chaud.
⚫ Comprendre les protocoles VGMP et HRP.
⚫ Maîtriser la configuration du pare-feu en veille à chaud à l'aide de la CLI et de
l'interface utilisateur Web.
Figure 4-1 Topologie de mise en réseau pour la configuration du pare-feu en

veille à chaud

Les pare-feu sont déployés en tant que dispositifs de sécurité à la sortie du réseau. Les
dispositifs en amont et en aval sont des commutateurs. FW1 et FW2 fonctionnent en
mode Actif/Veille.

PC1 Eth0/0/1 10.3.0.10/24 trust
PC2 Eth0/0/1 1.1.1.10/24 untrust
GigabitEthernet0/0/1
SW1 GigabitEthernet0/0/2 Accès PVID : VLAN 10
SW2 GigabitEthernet0/0/2 Accès PVID : VLAN 10

1. Configurer les adresses IP de base et les zones de sécurité sur FW1 et FW2, et
appliquer les politiques de sécurité appropriées.
2. Configurer la mise en veille à chaud. FW1 fonctionne comme nœud actif et FW2
fonctionne comme nœud de secours.

Étape 1 Configurer les interfaces de service en amont et en aval de FW1 et FW2. Configurer les
adresses IP des interfaces et ajoutez-les aux zones de sécurité.
<FW1> system-view
[FW1] interface GigabitEthernet0/0/1
# Configurer le groupe VRRP 1 sur GigabitEthernet0/0/1 de FW1 et ajoutez-le au groupe

VGMP dans le statut Active.

[FW1-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.3.0.3 255.255.255.0 active

VGMP dans le statut Active.

[FW1-GigabitEthernet0/0/2] vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 active
# Ajouter les interfaces de service en amont et en aval de FW1 aux zones de sécurité.

[FW1-zone-trust] add interface GigabitEthernet0/0/1
[FW1-zone-untrust] add interface GigabitEthernet0/0/2
# Configurer les interfaces de service en amont et en aval de FW2.
<FW2> system-view

VGMP dans le statut Standby.

[FW2-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.3.0.3 255.255.255.0 standby

VGMP dans le statut Standby.

[FW2-GigabitEthernet0/0/2] vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 standby
# Ajouter les interfaces de service en amont et en aval de FW2 aux zones de sécurité.

[FW2-zone-trust] add interface GigabitEthernet 0/0/1
[FW2-zone-untrust] add interface GigabitEthernet 0/0/2
Étape 2 Configurer les câbles de pulsation pour FW1 et FW2.

# Configurer une adresse IP pour l'interface de pulsation GigabitEthernet0/0/3 de FW1.

# Configurer une adresse IP pour l'interface de pulsation GigabitEthernet0/0/3 de FW2.

# Ajouter l'interface de pulsation GigabitEthernet0/0/3 de FW1 à la DMZ.

[FW1-zone-dmz] add interface GigabitEthernet0/0/3
[FW1-zone-dmz] quit
# Ajouter l'interface de pulsation GigabitEthernet0/0/3 de FW2 à la DMZ.

[FW2-zone-dmz] add interface GigabitEthernet0/0/3
[FW2-zone-dmz] quit
# Configurer la clé d'authentification pour l'interface de pulsation de FW1 et activez la

fonction de veille à chaud.
[FW1] hrp interface GigabitEthernet0/0/3 remote 10.10.0.2

[FW1] hrp authentication-key Admin@123
[FW1] hrp enable
# Configurer la clé d'authentification pour l'interface de pulsation de FW2 et activez la

fonction de veille à chaud.
[FW2] hrp interface GigabitEthernet0/0/3 remote 10.10.0.1

[FW2] hrp authentication-key Admin@123
[FW2] hrp enable
Étape 3 Configurer une politique de sécurité sur FW1 pour autoriser le passage des paquets de
service. Une fois la veille à chaud activée, la politique de sécurité configurée sur FW1 sera
automatiquement synchronisée sur FW2.
# Configurer une stratégie de transfert entre les zones Trust et Untrust sur FW1.
HRP_M[FW1] security-policy
HRP_M[FW1-policy-security] rule name trust_to_untrust
HRP_M[FW1-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW1-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW1-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW1-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW1-policy-security-rule-trust_to_untrust] quit
HRP_M[FW1-policy-security] quit
Étape 4 Configurer une politique NAT sur FW1. Une fois la veille à chaud activée, la politique
NAT configurée sur FW1 sera automatiquement synchronisée sur FW2.
# Configurer une stratégie NAT pour traduire les adresses source du sous-réseau
10.3.0.0/24 en adresses IP dans le pool d'adresses NAT (1.1.1.2 à 1.1.1.5) lorsque les
utilisateurs de l'intranet accèdent à Internet.
HRP_M[FW1] nat address-group group1

HRP_M[FW1-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-group1] quit
HRP_M[FW1] nat-policy
HRP_M[FW1-policy-nat] rule name policy_nat1
HRP_M[FW1-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[FW1-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[FW1-policy-nat-rule-policy_nat1] source-address 10.3.0.0 24
HRP_M[FW1-policy-nat-rule-policy_nat1] action source-nat address-group group1

# Ajouter les trois interfaces SW1 et SW2 au VLAN 10. Pour plus de détails, consultez le
document relatif au commutateur.
----Fin

Étape 1 Configurer les interfaces de service en amont et en aval de FW1 et FW2. Configurer les
adresses IP des interfaces et ajoutez-les aux zones de sécurité.
# Configurer les interfaces sur FW1. Sélectionnez Network > Interface puis cliquez sur le
bouton à côté de l'interface à configurer. Définir les paramètres puis cliquez sur OK.
La figure suivante montre la configuration de l'interface GigabitEthernet0/0/1.
Les configurations de GigabitEthernet0/0/2 et GigabitEthernet0/0/3 sur FW1 et

GigabitEthernet0/0/1, GigabitEthernet0/0/2 et GigabitEthernet0/0/3 sur FW2 sont
similaires.
Étape 2 Configurer les câbles de pulsation pour FW1 et FW2.
La configuration de GigabitEthernet0/0/3 sur FW2 est similaire.
Étape 3 Configurer la veille à chaud sur FW1 et FW2.

# FW1 :
# FW2 :
Étape 4 Sur la page Dusl-System Hot Standby, affichez le statut de veille à chaud.
# Statut de veille à chaud du FW1 :
# Statut de veille à chaud du FW2 :
Étape 5 Configurer une stratégie de transfert interzone pour FW1 et FW2.

# Configurer une politique de sécurité sur FW1 pour autoriser le passage des paquets de
service. Une fois la veille à chaud activée, la politique de sécurité configurée sur FW1 sera
automatiquement synchronisée sur FW2.
# Sélectionnez Policy> Security Policy > Security Policy. Cliquez sur Add dans la
Security Policy List, définir ou sélectionnez les paramètres, puis cliquez sur OK.
Configurer la stratégie de transfert entre les zones Trust et Untrust, comme illustré dans
la figure suivante.
Étape 6 Configurer une politique NAT sur FW1. Une fois la veille à chaud activée, la politique
NAT configurée sur FW1 sera automatiquement synchronisée sur FW2.
# Sélectionnez Policy > NAT Policy > NAT Policy > Source Translation Address Pool
puis cliquez sur Add pour configurer un pool d'adresses NAT.
# Sélectionnez Policy > NAT Policy > NAT Policy puis cliquez sur Add pour configurer
une politique NAT. Lorsque les utilisateurs de l'intranet accèdent à Internet, les adresses
IP source sur 10.3.0.0/24 seront traduites en adresses dans le pool d'adresses (1.1.1.2 à
1.1.1.5).

# Ajouter les trois interfaces SW1 et SW2 au VLAN 10. Pour plus de détails, consultez le
document relatif au commutateur.
----Fin
4.3 Vérification
# Exécuter la commande display vrrp sur FW1 pour vérifier le statut des interfaces dans
le groupe VRRP.
HRP_M<FW1> display vrrp

GigabitEthernet0/0/1 | Virtual Router 1
State : Master
Virtual IP : 10.3.0.3
Master IP : 10.3.0.1
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled

State : Master
PriorityRun : 120
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
# Exécuter la commande display vrrp sur FW2 pour vérifier le statut des interfaces dans
le groupe VRRP.
HRP_S<FW2>display vrrp
State : Backup
PriorityRun : 120
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES

State : Backup
Master IP : 0.0.0.0
PriorityRun : 120
MasterPriority : 0
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
# Exécuter la commande display hrp state verbose sur FW1 pour vérifier le statut actuel
du groupe VGMP.
HRP_M< FW1>display hrp state verbose

Role: active, peer: standby
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 46 minutes
Last state change information: 17:18:08 HRP core state changed, old_state = abnormal(active),
new_state = normal, local_priority = 45000, peer_priority = 45000.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet0/0/1 vrrp vrid 1: active
GigabitEthernet0/0/2 vrrp vrid 2: active

ospf-cost: +0
ospfv3-cost: +0
bgp-cost: +0
# Exécuter la commande display hrp state verbose sur FW2 pour vérifier le statut actuel
du groupe VGMP.
HRP_S<FW2>display hrp state verbose

Role: standby, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 41 minutes
Last state change information: 17:18:08 HRP core state changed, old_state = abnormal(standby),
new_state = normal, local_priority = 45000, peer_priority = 45000.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet0/0/1 vrrp vrid 1: standby
GigabitEthernet0/0/2 vrrp vrid 2: standby
ospf-cost: +65500
ospfv3-cost: +65500
bgp-cost: +100
# Ping PC2 dans la zone Untrust depuis PC1 dans la zone sécurisée. Exécuter la
commande display firewall ssession table sur FW1 et FW2 pour vérifier les sessions.
HRP_M<FW1> display firewall session table

icmp VPN: public --> public 10.3.0.10:53419[1.1.1.4:2049] --> 1.1.1.10:2048
HRP_S<FW2> display firewall session table

icmp VPN: public --> public 10.3.0.10:53419[1.1.1.4:2049] --> 1.1.1.10:2048
4.4 Référence de configuration

4.4.1 Configuration de FW1
#
sysname FW1
#
hrp enable
hrp interface GigabitEthernet0/0/3 remote 10.10.0.2
hrp authentication-key Admin@123
#
ip address 10.3.0.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.3.0.3 255.255.255.0 active
#
ip address 10.2.0.1 255.255.255.0
vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 active
#
ip address 10.10.0.1 255.255.255.0
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/1
#
firewall zone untrust
set priority 5
#
firewall zone dmz
set priority 50
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
nat address-group group1
section 0 1.1.1.2 1.1.1.5
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 10.3.0.0 24
action permit
#
nat-policy
rule name policy_nat1
source-zone trust
action source-nat address-group group1
#

#
sysname FW2
#
hrp enable
hrp interface GigabitEthernet0/0/3 remote 10.10.0.1
hrp authentication-key Admin@123
#
ip address 10.3.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.3.0.3 255.255.255.0 standby
#
ip address 10.2.0.2 255.255.255.0
vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 standby
#
ip address 10.10.0.2 255.255.255.0
#
firewall zone trust
set priority 85
#
set priority 5
#
firewall zone dmz
set priority 50
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
#
nat address-group group1
section 0 1.1.1.2 1.1.1.5
#
security-policy
rule name trust_to_untrust
source-zone trust
action permit
#
nat-policy
rule name policy_nat1
source-zone trust
action source-nat address-group group1
#
4.5 Test
Les paquets HRP sont-ils échangés entre les interfaces de pulsation contrôlées par des
politiques de sécurité ?
Le fait que les paquets HRP échangés entre les interfaces de pulsation soient contrôlés
par des politiques de sécurité dépend du modèle et de la version du dispositif. Dans cet
environnement lab, les paquets HRP échangés entre les interfaces de pulsation ne sont
pas contrôlés par des politiques de sécurité.
Dans d'autres versions, le fait que les paquets HRP soient contrôlés par des politiques de
sécurité dépend de la configuration de la commande firewall packet-filter basic-
ptotocol enable. Par défaut, la commande firewall packet-filter basic-protocol enable
est configurée. Autrement dit, les paquets HRP sont contrôlés par une politique de
sécurité. Dans ce cas, vous devez configurer une politique de sécurité entre la zone de
sécurité où réside l'interface de pulsation et la zone locale pour autoriser le passage des
paquets HRP.
5 Administration des utilisateurs
5.1 Introduction
Un pare-feu fonctionne comme la sortie d'une entreprise et l'entreprise souhaite
authentifier les utilisateurs internes. Les utilisateurs internes doivent être authentifiés
avant de pouvoir accéder à Internet. Aucune authentification n'est requise pour les
visiteurs.
Dans ce laboratoire, des dispositifs de sécurité sont déployés à la sortie du réseau pour
implémenter l'authentification locale ou l'exemption d'authentification pour les
utilisateurs qui tentent d'accéder à Internet.
5.1.2 Objectifs
⚫ Comprendre les principes de base de l'administration des utilisateurs.
⚫ Maîtriser la méthode de configuration de l'exemption d'authentification pour les
utilisateurs.
⚫ Maîtriser la méthode de configuration de l'authentification par mot de passe pour les
utilisateurs.
Figure 5-1 Topologie de mise en réseau pour la configuration de

l'administration des utilisateurs

FW1 est déployé au niveau de la passerelle. PC3 et PC1 sont utilisés pour simuler un
utilisateur sans authentification et un utilisateur avec authentification basée sur un mot
de passe, respectivement, et accéder au serveur Internet (PC2).

GigabitEthernet0/0/1 10.1.1.1/24 Invité
FW1 GigabitEthernet0/0/2 10.1.2.1/24 trust
PC1 Eth0/0/1 10.1.2.10/24 trust
PC2 Eth0/0/1 40.1.1.10/24 untrust
PC3 Eth0/0/1 10.1.1.10/24 Invité

1. Configurer les adresses IP de base et les zones de sécurité.
2. Créez un groupe d'utilisateurs et formulez des politiques d'utilisateur associées.

Étape 1 Configurer les paramètres de base pour les interfaces de FW1 et ajoutez les interfaces
aux zones de sécurité associées.
# Ajouter G0/0/1 à la zone Invité. (La zone Invité est une nouvelle zone de sécurité dont
le niveau de sécurité est 40.) Ajouter G0/0/2 à la zone sécurisée et G0/0/3 à la zone
Untrust. Les détails ne sont pas fournis.
Étape 2 Créez un groupe d'utilisateurs sans authentification.

# Sélectionnez Object > User > default. Dans la zone User/User Group/Security Group
Management List, cliquez sur Add et ajoutez un groupe d'utilisateur appelé
auth_exemption.
Étape 3 Sélectionnez Object > User > Authentication Policy, cliquez sur Add, et créez une
politique d'authentification utilisateur nommée Guest pour segment de réseau
10.1.1.0/24.
Étape 4 Créez un groupe d'utilisateurs et un utilisateur à authentification par mot de passe.

# Sélectionnez Object > User > default. Dans la zone User/User Group/Security Group
Management List, cliquez sur Add et ajoutez un groupe d'utilisateur appelé normal.
# Sélectionnez Object > User > default. Dans la zone User/User Groupe/ Security
Group Management List, cliquez sur Manage Users Based by Organizational
Structure.
# Dans la zone Organizational Structure, cliquez sur normal. Dans la zone Member
List, cliquez sur Add et ajoutez l'utilisateur dont le nom d'utilisateur est user01 et le mot
de passe est Admin@123.
Étape 5 Sélectionnez Object > User > Authentication Policy, cliquez sur Add, et créez une
politique d'authentification utilisateur nommée Normal pour segment de réseau
10.1.2.0/24.
Étape 6 Sélectionnez Policy > Security Policy, cliquez sur Add, et créez une politique de transfert
pour les utilisateurs sans authentification. Définir la zone de sécurité source sur Invité et
la zone de sécurité de destination sur Untrust, sélectionner le groupe d'utilisateurs sans
authentification auth_exemption et définir l'action sur Autoriser.
Étape 7 Sélectionnez Policy > Security Policy, cliquez sur Add, et créez une politique de transfert
pour les utilisateurs d'authentification par mot de passe.
# Définir la zone de sécurité source sur Trust et la zone de sécurité de destination sur
Untrust, puis sélectionnez le groupe d'utilisateurs d'authentification par mot de passe
normal et définir l'action sur Autoriser.
Étape 8 Sélectionnez Object > User > Authentication Options > Local Portal, configurez la page
à pousser lors de l'authentification de l'accès à Internet, et sélectionnez Redirect to the
previous web page.
Lorsqu'un utilisateur accède à Internet via HTTP, l'utilisateur est redirigé vers la page
d'authentification.
Étape 9 Sélectionnez Object > Service > Service puis cliquez sur Add pour créer un service
personnalisé nommé Auth.
Étape 10 Sélectionnez Policy > Security Policy puis cliquez sur Add pour créer une politique de
sécurité qui autorise le trafic du port 8887 dans les zones Trust et Local à traverser le
pare-feu. Cela garantit que la page d'authentification peut être poussée avec succès.
# La figure suivante montre les politiques de sécurité configurées.
----Fin
5.3 Vérification
Les utilisateurs temporaires peuvent accéder à Internet sans entrer le nom d'utilisateur et
le mot de passe.
Lorsqu'un employé accède à Internet via HTTP, FW1 pousse la page d'authentification
utilisateur, puis invite l'utilisateur à entrer le nom d'utilisateur et le mot de passe.
L'employé ne peut accéder aux ressources du réseau qu'après avoir entré le nom
d'utilisateur et le mot de passe corrects.
5.4 Test
Quelles sont les catégories d'utilisateurs ?
Les utilisateurs sont classés en administrateurs, utilisateurs d'accès Internet et utilisateurs
d'accès. Différentes méthodes d'authentification sont utilisées pour différents utilisateurs
afin de déterminer les identités des utilisateurs et de mettre en œuvre l'administration
des utilisateurs.
6 IPSec VPN site à site
6.1 Introduction
L'entreprise A et l'entreprise B doivent accéder aux services de l'autre via Internet. La
confidentialité des secrets des entreprises doit être garantie.
Dans cet atelier, le réseau A et le réseau B sont utilisés pour simuler l'entreprise A et
l'entreprise B. Le réseau A et le réseau B sont connectés à Internet via FW1 et FW2,
respectivement. Un tunnel IPSec en mode IKE est établi entre FW1 et FW2. Les
utilisateurs du réseau A et du réseau B peuvent entrer en connexion via le tunnel IPSec.
Lors de l'accès, les paquets sur Internet sont chiffrés par le IPSec VPN pour répondre aux
exigences de confidentialité.
6.1.2 Objectifs
⚫ Comprendre les principes de base du IPSec VPN.
⚫ Maîtriser le scénario d'application du IPSec VPN site à site.
Figure 6-1 Topologie de mise en réseau pour la configuration d'un IPSec VPN
de site à site

Le réseau A appartient au sous-réseau 10.1.1.0/24, PC1 est un hôte sur le réseau A et
FW1 est la passerelle du réseau A.
Le réseau B appartient au sous-réseau 10.1.2.0/24, PC2 est un hôte sur le réseau B et
FW2 est la passerelle du réseau B.
FW1 et FW2 sont connectés à Internet, ont des routes accessibles l'un vers l'autre et ont
établi un tunnel IPSec entre eux.


FW1

FW2
PC1 Eth0/0/1 10.1.1.10/24 trust
PC2 Eth0/0/1 10.1.2.10/24 trust

1. Configurer les adresses IP des interfaces.
2. Configurer une politique de sécurité interzone.
3. Configurer une proposition IPsec/IKE.
4. Configurer et appliquez une politique IPSec.

Étape 1 Configurer les adresses IP des interfaces.
# Configurer les adresses IP des interfaces sur les pare-feu et ajoutez les interfaces aux
zones de sécurité. FW1 est utilisée à titre d'exemple. La configuration de FW2 est
similaire à celle de FW1.
# Sur FW1, sélectionnez Network > Interface, cliquez sur à côté de GigabitEthernet
0/0/2 et GigabitEthernet 0/0/3, et définir les paramètres.
Étape 2 Configurer les politiques de sécurité sur FW1 et FW2.

# Configurer les politiques de sécurité ipsec1 et ipsec2 sur le pare-feu pour autoriser les
réseaux A et B à avoir l'accès l'un à l'autre. La configuration de FW1 est utilisée comme
exemple. La configuration de FW2 est similaire à celle de FW1.
# Sur FW1, sélectionnez Policy > Security Policy > Security Policy, et cliquez sur Add
pour ajouter une politique de sécurité qui autorise le trafic entre les segments de réseau
10.1.1.0/24 et 10.1.2.0/24.
Étape 3 Configurer une stratégie IPSec.

# Sur FW1, sélectionnez Network > IPSec > IPSec, cliquez sur Add, puis définir Scenario
sur Site-to-site.
Dans la zone Basic Configuration, définir les paramètres IPSec, y compris la clé pré-
partagée Test!123 et les adresses IP locales et homologues.
# Sur FW1, cliquez sur Add dans Data Flow to Encrypt pour chiffrer le trafic intéressé.
# Sur FW2, sélectionnez Network > IPSec > IPSec, cliquez sur Add, puis définir Scenario
sur Site-to-site.
Dans la zone Basic Configuration, définir les paramètres IPSec, y compris la clé pré-
partagée Test!123 et les adresses IP locales et homologues.
# Sur FW2, cliquez sur Add dans Data Flow to Encrypt pour chiffrer le trafic en
question.
Étape 4 Appliquez la politique IPSec.

# Une fois la configuration terminée, cliquez sur Apply pour enregistrer et appliquer la
politique IPSec.
----Fin
6.3 Vérification
# Exécuter la commande ping sur PC1 pour tester la connectivité de PC2.
C:\Users\admin>ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=2ms TTL=126
Reply from 10.1.1.10: bytes=32 time<1ms TTL=126
Ping statistics for 10.1.1.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms
# Sur FW1 et FW2, choisissez Network > IPSec > Monitor et vérifiez la liste de
surveillance. Vous pouvez voir que le tunnel IPSec est correctement établi.

#
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal prop16217151963
encapsulation-mode auto
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ike162171519631

exchange-mode auto
pre-shared-key %^%#Tw^J,\TJzTtF8tRRu6K#DD"zU-1`OI*(Em%lTb['%^%#
ike-proposal 1
remote-id-type none
dpd type periodic
remote-address 40.1.1.2
rsa encryption-padding oaep
rsa signature-padding pss
local-id-preference certificate enable
ikev2 authentication sign-hash sha2-256
#
ipsec policy ipsec1621715194 1 isakmp
security acl 3000
ike-peer ike162171519631
proposal prop16217151963
tunnel local applied-interface
alias 1
sa trigger-mode auto
sa duration traffic-based 5242880
sa duration time-based 3600
#
undo shutdown
ip address 40.1.1.1 255.255.255.0
ipsec policy ipsec1621715194
#
undo shutdown
ip address 10.1.1.1 255.255.255.0
#
firewall zone trust
set priority 85
#
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 40.1.1.2
#
ip address-set 10.1.1.0/24 type object
description Address segment of network A
address 0 10.1.1.0 mask 24
#
description Address segment of network B
#
security-policy
rule name ipsec1
description Network A-Network B
source-zone trust
source-address address-set 10.1.1.0/24
destination-address address-set 10.1.2.0/24

action permit
rule name ipsec2
description Network B-Network A
source-zone untrust
destination-zone trust
action permit
#

#
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal prop16217202185
encapsulation-mode auto
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group14
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer ike162172021857
exchange-mode auto
pre-shared-key %^%#-"i1,QFGvWsErbOB@ph98G-PW*QI_1W-{Z~58>0.%^%#
ike-proposal 1
remote-id-type none
dpd type periodic
remote-address 40.1.1.1
rsa encryption-padding oaep
rsa signature-padding pss
local-id-preference certificate enable
ikev2 authentication sign-hash sha2-256
#
ipsec policy ipsec1621720216 1 isakmp
security acl 3000
ike-peer ike162172021857
proposal prop16217202185
tunnel local applied-interface
alias 1
sa trigger-mode auto
sa duration traffic-based 5242880
sa duration time-based 3600
#
undo shutdown
ip address 40.1.1.2 255.255.255.0

ipsec policy ipsec1621720216
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
#
firewall zone trust
set priority 85
#
set priority 5
#
ip route-static 0.0.0.0 0.0.0.0 40.1.1.1
#
description Address segment of network A
#
description Address segment of network B
#
security-policy
rule name ipsec1
description Network A-Network B
source-zone trust
action permit
rule name ipsec2
description Network B-Network A
source-zone untrust
action permit
#
6.5 Test
Si les employés de l'entreprise A et de l'entreprise B doivent accéder à Internet, quelles
précautions doivent être prises lors de la configuration de NAT sur la sortie du pare-feu ?
Pour le trafic entre l'entreprise A et l'entreprise B, le pare-feu recherche la route pour
déterminer l'interface sortante. Dans ce cas, les paquets sont d'abord mis en
correspondance avec NAT, puis IPSec sur l'interface sortante. Si la NAT est configurée sur
les interfaces WAN des pare-feu, assurez-vous que la NAT n'est pas effectuée sur le trafic
échangé entre l'entreprise A et l'entreprise B.
7 VPN SSL
7.1 Introduction
Une entreprise souhaite utiliser l'authentification locale pour authentifier tous les
employés sur le pare-feu. Les employés qui réussissent l'authentification peuvent accéder
à l'intranet de l'entreprise, tandis que ceux qui ne réussissent pas l'authentification ne
peuvent pas accéder à l'intranet de l'entreprise.
L'entreprise souhaite que les utilisateurs du bureau mobile d'un certain groupe
(groupe 1) puissent obtenir une adresse IP intranet lorsqu'ils sont en voyage d'affaires et
puissent accéder à diverses ressources intranet comme s'ils étaient sur un réseau local
(LAN). Pour renforcer la sécurité, une authentification locale sur le nom d'utilisateur et le
mot de passe est requise pour les utilisateurs de bureau mobile.
7.1.2 Objectifs
⚫ Maîtrisez la méthode de configuration d'une passerelle virtuelle VPN SSL.
⚫ Comprendre les scénarios d'application VPN SSL et la planification du réseau.
Figure 7-1 Topologie de mise en réseau pour la configuration du VPN SSL


FW
Serveur Eth0/0/1 10.1.2.10/24 trust
Adresses pouvant
Utilisateurs
être utilisées pour
de bureaux Eth0/0/1 untrust
accéder au réseau
mobiles
public

1. Configurer les adresses IP des interfaces et ajoutez les interfaces aux zones de
sécurité.
2. Configurer les utilisateurs et l'authentification.
3. Configurer la passerelle VPN SSL.
4. Configurer le protocole SSL et d'autres paramètres.
5. Configurer les politiques de sécurité.

Étape 1 Configurer les interfaces.
# Sur le FW, sélectionnez Network > Interface, cliquez sur à côté de

GigabitEthernet 0/0/1, et définir les paramètres comme suit.
# Sur le FW, sélectionnez Network > Interface, cliquez sur à côté de

GigabitEthernet 0/0/2, et définir les paramètres comme suit.
Étape 2 Configurer les objets utilisateur et l'authentification.

# Choisissez Object > User > default et définir les paramètres comme suit :
Définir User Group de user0001 sur /default/group1, Source sur local et le Password
sur Password@123. (Remarque : Vous devez créer le groupe d'utilisateurs
/default/group1 avant de créer l'utilisateur user0001. De cette manière, vous pouvez
sélectionner le groupe d'utilisateurs créé lors de la création de l'utilisateur.) Cliquez sur
Apply.
Étape 3 Configurez une passerelle VPN SSL.

# Sélectionnez Network > SSL VPN > SSL VPN, cliquez sur Add, définir les paramètres
comme suit, puis cliquez sur Next>.
# Configurer la version SSL, la suite de chiffrement, le délai d'expiration de la session et

le cycle de vie. Vous pouvez utiliser la valeur par défaut et cliquer sur Next>.
# Sélectionnez Network Extension et cliquez sur Next>.
# Définir les paramètres sur la page de l'onglet Network Extension et cliquez sur Next>.
# Configurer l'autorisation/les utilisateurs du rôle VPN SSL. Dans Role Authorization

List, cliquez sur Add et définir les paramètres d'autorisation de rôle comme illustré dans
la figure suivante. Cliquez sur OK.
# Revenez à la page Role Authorization/User et cliquez sur Finish.

Étape 4 Configurer les politiques de sécurité.

# Configurer une politique de sécurité pour le trafic d'Internet vers le pare-feu pour
permettre aux employés en déplacement professionnel de se connecter à la passerelle
VPN SSL. Sélectionnez Policy > Security Policy > Security Policy. Cliquez sur Add
Security Policy et configurez la politique de sécurité policy01, comme illustré dans la
figure suivante.
# Configurer une politique de sécurité pour le trafic du pare-feu vers l'intranet pour
permettre aux employés en voyage d'affaires d'accéder aux ressources du HQ.
Sélectionnez Policy > Security Policy > Security Policy. Cliquez sur Add Security Policy
et configurez la politique de sécurité policy02, comme illustré dans la figure suivante.
# L'adresse IP du serveur HQ est 10.1.2.10/24 et celle de la passerelle est 10.1.2.1. Les

configurations détaillées ne sont pas fournies.
----Fin
7.3 Vérification
# Accéder à https://1.1.1.1:443 dans le navigateur pour accéder à l'interface de
connexion VPN SSL en tant qu'employé en voyage d'affaires.
# Installer le contrôle comme demandé lors de la première connexion.
# Dans la fenêtre de connexion, saisissez le nom d'utilisateur et le mot de passe, puis
cliquez sur Login. Une fois la connexion réussie, cliquer sur Start sous Network
Extension. Vous pouvez ensuite accéder aux serveurs sur l'intranet de l'entreprise.

7.4.1 Configuration du pare-feu
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
service-type ssl-vpn
internet-access mode password
reference user current-domain
#
undo shutdown
ip address 1.1.1.1 255.255.255.0
#
undo shutdown
ip address 10.1.2.1 255.255.255.0
#
firewall zone trust
set priority 85
#
set priority 5
#
v-gateway gateway interface GigabitEthernet0/0/1 private
v-gateway gateway alias gateway
#
#****BEGIN***gateway**1****#
v-gateway gateway
basic
ssl version tlsv12
ssl timeout 5
ssl lifecycle 1440
ssl public-key algorithm rsa

ssl ciphersuit custom aes256-sha non-des-cbc3-sha aes128-sha
service
network-extension enable
network-extension keep-alive enable
network-extension keep-alive interval 120
network-extension netpool 172.16.1.1 172.16.1.10 255.255.255.0
netpool 172.16.1.1 default
network-extension mode manual
network-extension manual-route 10.1.2.0 255.255.255.0
security
policy-default-action permit vt-src-ip
certification cert-anonymous cert-field user-filter subject cn group-filter subject cn
certification cert-anonymous filter-policy permit-all
certification cert-challenge cert-field user-filter subject cn
certification user-cert-filter key-usage any
undo public-user enable
hostchecker
cachecleaner
vpndb
group /default
group /default/group1
role
role default
role default condition all
role role
role role condition all
role role network-extension enable
#****END****
#
#
#
#
address 0 172.16.1.0 mask 24
#
security-policy
default action permit
rule name policy01
source-zone untrust
destination-zone local
service https
action permit
rule name policy02
source-zone untrust
action permit
rule name pass
action permit
#
7.5 Test
Lors de la vérification, lorsque vous cliquez sur Start sous Network Extension,
qu'adviendra-t-il des entrées de routage et de l'adresse IP ?
Exécuter la commande route print pour afficher la table de routage IPv4. Vous pouvez
voir l'itinéraire destiné à 10.1.2.0/24.
Exécuter la commande ipconfig pour afficher les informations sur la carte réseau locale.
Vous pouvez voir que la carte réseau locale se voit attribuer une adresse IP dans la plage
de 172.16.1.1/24 to 172.16.1.10/24.

02 HCIA-Security V4.0 Lab Guide

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

02 HCIA-Security V4.0 Lab Guide

Transféré par

Droits d'auteur :

Formats disponibles

Formation à la certification de sécurité Huawei

HUAWEI TECHNOLOGIES CO., LTD.

et les autres marques déposées de Huawei sont des marques déposées de

Huawei Technologies Co., Ltd.

Site internet : https://e.huawei.com

Confidentiel et propriété de Huawei

Système de certification Huawei

Connaissances de base requises

Conventions des symboles

Configuration requise pour l'appareil

Nom du dispositif Modèle de dispositif Version logicielle

Commutateur S5735 V200R010C00SPC600

Pare-feu USG6525E V600R007C20SPC100

Préparation de l'environnement lab

Élément Quantité Remarques

Commutateur (S5735) 2 pour chaque groupe

Pare-feu (USG6525E) 2 pour chaque groupe

Ordinateur portable ou de bureau 4 pour chaque groupe

Paire torsadée 8 pour chaque groupe Longueur : au moins 2 m

Câble de console 1 pour chaque groupe

Effacer la configuration du pare-feu

Pour redémarrer le pare-feu, exécutez la commande suivante :

1 Connexion au pare-feu ........................................................................................................10

2.1.3 Topologie de réseau...........................................................................................................................................................38

4.4.2 Configuration de FW2 .......................................................................................................................................................71

7.4.1 Configuration du pare-feu ............................................................................................................................................ 103

1.1 Connexion à un appareil via le port de console

1.1.1.3 Topologie de réseau

Figure 1-1 Topologie pour se connecter au dispositif via le port de console

1.1.1.5 Planification du laboratoire

Tableau 1-1 Ports et paramètres de dispositif

Le câble série utilise un port

Le port de console sur le

1.1.2 Configuration du laboratoire

1.1.2.2 Procédure de configuration

# Sélectionnez Panneau de commande > Matériel et son > Dispositifs et

Étape 3 Exécuter PuTTY sur le PC de gestion et définir les paramètres.

1.2 Se familiariser avec les commandes (PuTTY)

1.2.1.3 Topologie de réseau

Figure 1-2 Topologie pour se connecter au dispositif via le port de console

1.2.1.5 Planification du laboratoire

Tableau 1-2 Ports et paramètres de dispositif

Le câble série utilise un port

Le port de console sur le

1.2.2 Configuration du laboratoire

1.2.2.2 Procédure de configuration

Press ENTER to get started.

Étape 3 Entrez dans la vue interface.

[FW] interface GigabitEthernet 0/0/1

Étape 4 Obtenez de l'aide en ligne.

[FW] inter //Press Tab.

Étape 5 Quitter la vue actuelle (revenir à la vue précédente).

Étape 6 Retour à la vue utilisateur.

Étape 7 Afficher la version du dispositif.

<FW> display version

Étape 8 Sauvegarder les configurations.

Now saving the current configuration to the slot 0..

Étape 9 Afficher les configurations.

[FW-GigabitEthernet0/0/0] display this

[FW] display current-configuration

[FW] display saved-configuration

1.3 Connexion à un dispositif via Telnet

pour permettre aux administrateurs de se connecter à distance au dispositif via Telnet.

1.3.1.3 Topologie de réseau