Académique Documents
Professionnel Documents
Culture Documents
HCIA-Security
Guide de laboratoire
Version : 4.0
1
Copyright © Huawei Technologies Co., Ltd. 2023. Tous droits réservés.
Aucune partie de ce document ne peut être reproduite ou transmise sous aucune
forme ou par quelque manière que ce soit sans le consentement écrit préalable de
Huawei Technologies Co., Ltd.
Marques et autorisations
Avis
Les produits, services et fonctionnalités achetés sont stipulés dans le contrat établi
entre Huawei et le client. Tous les éléments des produits, services et fonctionnalités
décrits dans ce document n’entrent pas nécessairement dans le cadre d’achat ou de
l’utilisation. Sauf mention contraire dans le contrat, toutes les informations et
recommandations contenues dans ce document sont fournies telles quelles, sans
garantie ni représentation d’aucune sorte, expresses ou implicites.
Les informations contenues dans le présent document peuvent être modifiées sans
préavis. La préparation de ce manuel a reçu toute l’attention requise pour assurer
l’exactitude de son contenu, mais l’ensemble des déclarations, informations et
recommandations qu’il contient ne saurait constituer une quelconque garantie, directe
ou indirecte.
À propos de ce document
Introduction
Ce document est un cours de formation à la certification HCIA-Security et est destiné aux
stagiaires qui vont passer l'examen HCIA-Security ou aux lecteurs qui souhaitent
comprendre les concepts et les spécifications de la sécurité de l'information, les menaces
courantes de la cybersécurité et leur prévention, les connaissances de base de la
cybersécurité, la technologie de protection de la sécurité des réseaux par des pare-feu, la
technologie d'administration des utilisateurs, les principes de cryptage et de décryptage,
ainsi que l'application de la technologie de cryptage.
Description
Ce document couvre sept laboratoires. En partant de la configuration de base du
fonctionnement du dispositif, il décrit les opérations de base de la connexion au pare-feu,
de la politique de sécurité, du NAT, de la mise en veille à chaud, de l'administration des
utilisateurs, du IPSec VPN et du VPN SSL.
⚫ Labo 1 : connexion au pare-feu. En présentant les méthodes courantes de connexion
au pare-feu, ce laboratoire aide les lecteurs à maîtriser le mode de gestion du pare-
feu et les compétences de débogage de base.
⚫ Labo 2 : politique de sécurité du pare-feu. Grâce à des configurations réseau de base,
ce laboratoire aide les lecteurs à maîtriser les technologies clés telles que les zones
de sécurité du pare-feu et la logique de contrôle de la transmission interzone.
⚫ Labo 3 : Serveur NAT et NAT source. En se concentrant sur les technologies NAT
source et NAT de destination, ce laboratoire aide les lecteurs à maîtriser la méthode
de débogage des pare-feu dans les scénarios NAT et à se familiariser avec les
scénarios d'application des pare-feu fonctionnant comme dispositifs de sortie.
⚫ Labo 4 : pare-feu en veille à chaud. Ce laboratoire aide les lecteurs à maîtriser des
technologies telles que la façon d'utiliser les pare-feu pour mettre en œuvre la
redondance des services et la façon d'assurer un fonctionnement stable des services
lorsqu'un seul pare-feu est défaillant.
⚫ Labo 5 : administration des utilisateurs. Ce laboratoire aide les lecteurs à maîtriser
l'authentification des utilisateurs qui utilisent le pare-feu pour accéder à Internet.
⚫ Labo 6 : IPSec VPN site à site. Ce laboratoire aide les lecteurs à maîtriser les
méthodes de base de communication entre différents réseaux sur Internet.
⚫ Labo 7 : VPN SSL. Ce laboratoire permet aux utilisateurs du bureau mobile d'accéder
à l'intranet de l'entreprise à tout moment sur Internet. Il aide les lecteurs à
comprendre le principe et la configuration du VPN SSL.
Guide de laboratoire HCIA-Security Page 4
Environnement lab
Description de réseau
Cet environnement lab est destiné aux ingénieurs en cybersécurité qui se préparent à
l'examen HCIA-Security. Chaque environnement lab se compose de deux pare-feu, de
deux commutateurs et de quatre PC. Dans l'environnement lab, 4 stagiaires peuvent
effectuer des travaux pratiques en même temps.
Remarque : Les informations sur les ports, la sortie et la configuration de tous les
dispositifs de ce guide sont fournies sur la base des modèles de dispositifs dans la
topologie recommandée. Les informations réelles peuvent varier en fonction de
l'environnement lab.
Guide de laboratoire HCIA-Security Page 5
Login authentication
Username:admin
Password:
<FW> reset saved-configuration
This will delete the configuration in the flash memory.
The device configurations will be erased to reconfigure.
Are you sure? (y/n)[n]:y
Clear the configuration in the device successfully.
<FW> reboot
Info: The system is comparing the configuration, please wait.
Warning: All the configuration will be saved to the next startup configuration.
Continue ? [y/n]:n
System will reboot! Continue ? [y/n]:y
Info: system is rebooting ,please wait...
Guide de laboratoire HCIA-Security Page 6
Sommaire
1 Connexion au pare-feu
1.1.1.2 Objectifs
⚫ Apprendre à se connecter à un appareil et à le gérer depuis un PC via le port de
console.
⚫ Apprenez les configurations courantes basées sur l'interface CLI.
⚫ Apprenez à utiliser l'aide en ligne du CLI.
⚫ Apprenez à annuler une commande.
⚫ Apprenez à utiliser les touches de raccourci de l'interface CLI.
1.1.1.4 Contexte
Comme le montre le diagramme de réseau, le FW est un nouveau pare-feu sans aucune
configuration. Le PC est connecté au port de console du FW par un câble série, vous
devez donc effectuer une initialisation sur le FW.
Guide de laboratoire HCIA-Security Page 11
Étape 2 Vérifiez le numéro du port COM série utilisé par le PC de gestion pour se connecter au
dispositif.
----Fin
Guide de laboratoire HCIA-Security Page 13
1.1.3 Vérification
# Appuyez sur Enter. Si les informations suivantes s'affichent dans PuTTY, la connexion
au dispositif via le port de console est réussie.
1.1.4 Test
Une fois le câble de la console connecté au PC de gestion, le numéro de port série ne
s'affiche pas sur le PC de gestion en sélectionnant Panneau de commande > Matériel et
son > Dispositifs et imprimantes > Gestionnaire de dispositifs > Ports. Quelles sont les
causes possibles ? Quelles sont les solutions correspondantes ?
Réponse de référence :
1. Le pilote du câble de la console n'est pas installé sur le PC de gestion. Scannez et
installez le pilote. Notez que le pilote qui doit être installé peut varier selon le câble
de la console. Il est conseillé d'exclure au préalable les problèmes d'installation du
pilote.
2. Le câble de la console est défectueux. Remplacez le câble de la console par un autre
qui fonctionne.
3. Il y a un contact de mauvaise qualité au niveau du port du PC. Retirez et réinsérez le
câble ou remplacez le câble par un neuf.
1.2.1.2 Objectifs
⚫ Grâce à cet atelier, vous vous familiariserez avec les opérations de base de la CLI.
Guide de laboratoire HCIA-Security Page 14
1.2.1.4 Contexte
Comme le montre le schéma de mise en réseau, le FW est un tout nouveau pare-feu sans
configuration. L'administrateur réseau doit déboguer le pare-feu et apprendre les
opérations CLI du pare-feu. Par conséquent, l'administrateur réseau doit utiliser un PC
pour se connecter au port de console du pare-feu via un câble série, puis utiliser le
logiciel PuTTY pour se connecter au dispositif et effectuer des opérations d'initialisation
sur le pare-feu.
Info: Your password has been changed. Save the change to survive a reboot.
*************************************************************************
* Copyright (C) 2014-2020 Huawei Technologies Co., Ltd. *
* All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
*************************************************************************
<FW> system
[FW]
[FW] interface ?
Cellular Cellular interface
Dialer Dialer interface
Eth-Trunk Ethernet-Trunk interface
GigabitEthernet GigabitEthernet interface
LoopBack LoopBack interface
NULL NULL interface
Nve Nve interface
Tunnel Tunnel interface
Vbdif Vbdif interface
Virtual-Template Virtual-Template interface
# La touche Tab est une autre méthode d'aide en ligne fournie par le VRP. Si vous entrez
les premières lettres d'un mot-clé de commande et appuyez sur Tab, le mot-clé complet
s'affiche. Vous pouvez basculer entre toutes les commandes qui ont ce mot-clé.
[FW-GigabitEthernet0/0/1] quit
[FW]
[FW-GigabitEthernet0/0/1] return
<FW>
<FW> save
The current configuration will be written to hda1:/fw2.zip.
Are you sure to continue?[Y/N]Y
Guide de laboratoire HCIA-Security Page 17
# Exécuter la commande suivante dans n'importe quelle vue pour afficher toutes les
configurations actuelles, y compris les configurations qui n'ont pas été sauvegardées :
# Exécuter la commande suivante dans n'importe quelle vue pour afficher les
configurations qui ont été sauvegardées :
----Fin
1.2.3 Test
Après vous être connecté au dispositif via PuTTY, des caractères brouillés apparaissent
parfois pendant le processus de configuration de la commande. Que dois-je faire ?
Réponse de référence :
Vérifiez si PuTTY utilise UTF-8. Si tel n'est pas le cas, configurez PuTTY pour utiliser UTF-
8.
1.3.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez vous familiariser avec la méthode de base de
configuration de la fonction de connexion à distance basée sur Telnet.
<FW> system-view
[FW] telnet server enable
Guide de laboratoire HCIA-Security Page 19
Étape 3 Configurer le port par lequel un utilisateur Telnet peut se connecter au dispositif.
# Configurer l'adresse IP du port.
[FW] security-policy
[FW-policy-security] rule name trust-local
[FW-policy-security-rule-trust-local] source-zone trust
[FW-policy-security-rule-trust-local] destination-zone local
[FW-policy-security-rule-trust-local] action permit
Remarque : Si le port MGMT du pare-feu est utilisé pour la connexion à distance, ignorez
cette étape.
[FW] aaa
[FW-aaa] manager-user telnetuser
[FW-aaa-manager-use-telnetuser] password cipher (Enter password)
[FW-aaa-manager-use-telnetuser] service-type telnet
[FW-aaa-manager-use-telnetuser] level 3
[FW-aaa-manager-use-telnetuser] quit
# Associer un rôle à l'administrateur (facultatif, pris en charge uniquement par les pare-
feu).
Guide de laboratoire HCIA-Security Page 20
# Cliquez sur Open pour établir une connexion. Si les informations suivantes s'affichent,
vous avez réussi à vous connecter au dispositif à l'aide de Telnet.
----Fin
Guide de laboratoire HCIA-Security Page 21
# Configurer l'adresse IP, la zone de sécurité et les fonctions de contrôle d'accès du port.
Guide de laboratoire HCIA-Security Page 22
Remarque : Si le port MGMT du pare-feu est utilisé pour la connexion à distance, ignorez
cette étape.
# Définir le nom d'utilisateur Telnet sur telnetuser, le mot de passe sur Admin@123, le
rôle de m'administrateur sur system-admin, et le type de service sur Telnet.
----Fin
1.3.3 Vérification
# Cliquez sur Open dans Étape 5, appuyez sur Enter, puis entrez le nom d'utilisateur
telnetuser et le mot de passe Admin@123. Si les informations suivantes s'affichent dans
PuTTY, la connexion Telnet a réussi.
1.3.4 Test
Le port TCP 23 est utilisé pour se connecter au dispositif via Telnet. Puis-je le remplacer
par un autre numéro de port ? Si oui, quelle est la commande correspondante ? Après le
changement, quelle commande puis-je utiliser pour vérifier le numéro de port actuel
pour configurer une connexion Telnet ?
Réponse de référence :
Guide de laboratoire HCIA-Security Page 24
1.4.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez vous familiariser avec la méthode de base de
configuration de la fonction de connexion à distance basée sur SSH.
Port du réseau
PC de gestion Port Ethernet 10.1.2.100/24
d'ordinateurs
<FW> system-view
[FW] stelnet server enable
[FW] security-policy
[FW-policy-security] rule name trust-local
[FW-policy-security-rule-trust-local] source-zone trust
[FW-policy-security-rule-trust-local] destination-zone local
[FW-policy-security-rule-trust-local] action permit
[FW-policy-security-rule-trust-local] quit
Remarque : Si le port MGMT du pare-feu est utilisé pour la connexion à distance, ignorez
cette étape.
[FW] aaa
[FW-aaa] manager-user sshuser
[FW-aaa-manager-use-sshuser] password cipher (Enter password)
[FW-aaa-manager-use-sshuser] service-type ssh
[FW-aaa-manager-use-sshuser] level 3
[FW-aaa-manager-use-sshuser] quit
# Associer un rôle à l'administrateur (facultatif, pris en charge uniquement par les pare-
feu).
----Fin
1.4.3 Vérification
# Cliquez sur Open dans Étape 6, appuyez sur Enter, puis entrez le nom d'utilisateur
sshuser et le mot de passe Admin@123. Si les informations suivantes s'affichent dans
PuTTY, la connexion SSH a réussi.
1.4.4 Test
Quel type de mode de vérification de sécurité la connexion SSH utilise-t-elle dans cet
atelier ? Existe-t-il une autre méthode SSH pour une connexion sécurisée ? Si tel est le
cas, veuillez donner des exemples et énumérer les principales étapes de vérification pour
une connexion sécurisée.
Réponse de référence :
1. Cet atelier utilise la vérification de sécurité basée sur un mot de passe SSH.
Guide de laboratoire HCIA-Security Page 28
1.5.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez utiliser un PC pour vous connecter au pare-feu
via l'interface utilisateur Web par défaut.
Guide de laboratoire HCIA-Security Page 29
Port du réseau
PC de gestion Port Ethernet 192.168.0.2/24
d'ordinateurs
(Remarque : Par défaut, l'adresse IP de GE0/0/0 est 192.168.0.1 et la gestion HTTPS est
activée. Vous pouvez vous connecter au système en utilisant le nom d'utilisateur admin
et le mot de passe Admin@123.)
Guide de laboratoire HCIA-Security Page 30
----Fin
1.5.3 Vérification
# Entrez le nom d'utilisateur admin et son mot de passe Admin@123, puis cliquez sur
Login.
1.5.4 Test
Par défaut, quelle interface est utilisée pour se connecter au dispositif via l'interface
utilisateur Web par défaut ? Avez-vous besoin de démarrer manuellement le service Web
via la CLI ?
Réponse de référence :
Par défaut, l'interface de connexion via l'interface utilisateur Web est
GigabitEthernet0/0/0. Vous n'avez pas besoin d'activer manuellement le service Web ou
de configurer une politique de sécurité pour permettre le passage du trafic.
1.6.1.2 Objectifs
⚫ Grâce à ce laboratoire, vous pourrez utiliser un PC pour vous connecter au pare-feu
via l'interface utilisateur Web.
Guide de laboratoire HCIA-Security Page 32
PC de Port
Port Ethernet 10.1.2.100/24
gestion réseau
Étape 2 Connectez-vous au dispositif via d'autres méthodes, par exemple, console, Telnet et SSH.
Pour plus de précisions, consultez les sections 1.1 « Connexion à un appareil via le port
Guide de laboratoire HCIA-Security Page 33
Étape 3 Vérifiez si la fonction de serveur Web est activée. Dans le cas contraire, exécutez la
commande suivante pour l'activer :
[FW] security-policy
[FW-policy-security] rule name trust-local
[FW-policy-security-rule-trust-local] source-zone trust
[FW-policy-security-rule-trust-local] destination-zone local
[FW-policy-security-rule-trust-local] action permit
[FW] aaa
[FW-aaa] manager-user webuser
[FW-aaa-manager-use-webuser] password cipher (Enter password)
[FW-aaa-manager-use-webuser] level 3
[FW-aaa-manager-use-webuser] service-type web
[FW-aaa-manager-use-webuser] quit
# Associer un rôle à l'administrateur (facultatif, pris en charge uniquement par les pare-
feu).
----Fin
Étape 2 Connectez-vous au dispositif en mode Web par défaut. (Pour de plus amples
informations, référez-vous à la section 1.5 « Connexion au dispositif via l'interface
utilisateur Web par défaut. »)
# Configurer un administrateur.
Sélectionnez System > Administrator > Administrator puis cliquez sur Add.
# Définir le nom d'utilisateur web sur webuser, le mot de passe sur Admin@123 et le
rôle sur system-admin.
Guide de laboratoire HCIA-Security Page 36
----Fin
1.6.3 Vérification
Accéder à https://10.1.2.1 dans le navigateur sur le PC, entrer le nom d'utilisateur
webuser et le mot de passe Admin@123, puis cliquer sur Login.
Guide de laboratoire HCIA-Security Page 37
1.6.4 Test
Parmi les configurations de clé suivantes, lesquelles sont requises pour se connecter à la
page Web du dispositif via un port non de gestion ?
Réponse de référence :
1. Le service d'accès HTTPS doit être activé pour le port.
2. La stratégie du trafic doit autoriser le trafic depuis la zone de sécurité à laquelle le
port appartient à la zone locale.
3. Le service HTTPS doit être activé globalement.
Guide de laboratoire HCIA-Security Page 38
2.1 Introduction
2.1.1 À propos de ce laboratoire
Lors du déploiement et de la maintenance du réseau, des pare-feu sont nécessaires pour
protéger le réseau. Ce laboratoire présente des concepts clés tels que les zones de
sécurité et les politiques de sécurité. Dans ce laboratoire, des politiques de sécurité sont
déployées sur les pare-feu pour garantir que les hôtes de la zone sécurisée peuvent
accéder de manière proactive aux hôtes de la zone de non-approbation.
2.1.2 Objectifs
⚫ Comprendre les principes des politiques de sécurité.
⚫ Comprendre la relation entre les différentes zones de sécurité.
⚫ Configurer les politiques de sécurité du pare-feu à l'aide de l'interface de ligne de
commande (CLI) et de l'interface utilisateur Web.
Étape 2 Configurer une stratégie de transfert entre la zone sécurisée et la zone Untrust.
[FW1] security-policy
[FW1-policy-security] rule name policy_sec
[FW1-policy-security-rule-policy_sec] source-zone trust
[FW1-policy-security-rule-policy_sec] destination-zone untrust
[FW1-policy-security-rule-policy_sec] action permit
[FW1-policy-security-rule-policy_sec] quit
Ajouter deux interfaces de chaque commutateur au VLAN par défaut. Pour plus de
détails, consultez le document relatif au commutateur.
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/2, comme illustré dans la figure suivante.
Guide de laboratoire HCIA-Security Page 41
----Fin
Guide de laboratoire HCIA-Security Page 42
2.3 Vérification
# Ping 10.2.0.10 sur CLI à partir de PC1 pour vérifier que PC1 peut ping PC2.
# Exécuter la commande display firewall session table pour afficher la table des
sessions du pare-feu.
2.4 Test
Sur la base de l'atelier, envoyer une requête ping à PC1 à partir de PC2 et expliquer
pourquoi l'opération ping échoue.
Réponse de référence :
La politique de sécurité de ce laboratoire autorise uniquement le trafic de PC1 à PC2,
mais pas de PC2 à PC1. Par conséquent, si PC2 initie l'accès à PC1, les paquets seront
rejetés par la politique de sécurité par défaut du pare-feu.
Guide de laboratoire HCIA-Security Page 43
3.1 Introduction
3.1.1 À propos de ce laboratoire
Une entreprise utilise un pare-feu comme périphérique de sortie. Les employés de
l'entreprise doivent accéder à Internet via le pare-feu, et un serveur du réseau
d'entreprise fournit des services aux utilisateurs d'Internet.
Une fois la NAT configurée sur le pare-feu de sortie, plusieurs utilisateurs de l'intranet
peuvent accéder à Internet à l'aide d'un petit nombre d'adresses IP publiques, et les
utilisateurs de l'extranet peuvent accéder au serveur intranet à l'aide des adresses IP
spécifiées.
3.1.2 Objectifs
⚫ Comprendre les scénarios d'application et les principes de NAT source.
⚫ Comprendre les scénarios d'application et les principes du serveur NAT.
⚫ Configurer les commandes NAT Server et le NAT source via la CLI et l'interface
utilisateur Web.
# Configurer les adresses IP pour les interfaces de service en amont et en aval de FW1.
<FW1> system-view
[FW1] interface G0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.1.2.1 255.255.255.0
[FW1-GigabitEthernet0/0/1] quit
[FW1] interface G0/0/2
[FW1-GigabitEthernet0/0/2] ip address 40.1.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/2] quit
[FW1] interface G0/0/3
[FW1-GigabitEthernet0/0/3] ip address 10.1.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/3] quit
Étape 2 Configurer une stratégie de transfert entre les zones Trust et Untrust.
[FW1] security-policy
[FW1-policy-security] rule name policy_sec
[FW1-policy-security-rule-policy_sec] source-zone trust
[FW1-policy-security-rule-policy_sec] destination-zone untrust
[FW1-policy-security-rule-policy_sec] action permit
[FW1-policy-security-rule-policy_sec] quit
Étape 3 Configurer un pool d'adresses NAT et définir la plage d'adresses IP publiques de 2.2.2.2 à
2.2.2.5.
[FW1] nat-policy
[FW1-policy-nat] rule name source_nat
[FW1-policy-nat-rule-source_nat] destination-zone untrust
[FW1-policy-nat-rule-source_nat] source-zone trust
[FW1-policy-nat-rule-source_nat] action source-nat address-group natpool
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/2, comme illustré dans la figure suivante.
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/3, comme illustré dans la figure suivante.
Guide de laboratoire HCIA-Security Page 47
Étape 3 Configurer un pool d'adresses NAT. Les adresses IP publiques vont de 2.2.2.2 à 2.2.2.5.
Guide de laboratoire HCIA-Security Page 48
# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet Source Translation Address
Pool. Dans Source Translation Address Pool, cliquez sur et créez un pool d'adresses.
Cliquez ensuite sur OK. La figure suivante montre les configurations détaillées.
----Fin
3.2.4 Vérification
# Ping PC2 de PC1.
# Exécuter la commande display firewall session table sur FW1 pour vérifier la table de
session.
Vous pouvez voir que le pare-feu traduit l'adresse source 10.1.2.100 en 2.2.2.5 dans le
pool d'adresses NAT pour communiquer avec PC2.
3.2.5 Test
Quelles sont les différences entre NAPT et NAT No-PAT dans le NAT source ? À quels
scénarios s'appliquent-ils ?
Réponse de référence :
NAPT traduit à la fois les adresses IP et les ports. Il permet à plusieurs adresses IP privées
de partager une ou plusieurs adresses IP publiques pour accéder aux ressources du réseau
public. NAPT s'applique aux scénarios où seul un petit nombre d'adresses publiques sont
disponibles pour que de nombreux utilisateurs du réseau privé accèdent à Internet.
NAT No-PAT ne traduit que les adresses IP mais pas les ports. Il traduit les adresses IP
privées en adresses IP publiques dans une relation un à un. NAT No-PAT s'applique aux
scénarios où il existe un petit nombre d'utilisateurs d'accès à l'Internet et où le nombre
d'adresses IP publiques est le même que le nombre d'utilisateurs d'accès à l'Internet
simultanés.
# Configurer les adresses IP pour les interfaces de service en amont et en aval de FW1.
<FW1> system-view
[FW1] interface G0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.1.2.1 255.255.255.0
[FW1-GigabitEthernet0/0/1] quit
[FW1] interface G0/0/2
[FW1-GigabitEthernet0/0/2] ip address 40.1.1.1 255.255.255.0
Guide de laboratoire HCIA-Security Page 51
[FW1-GigabitEthernet0/0/2] quit
[FW1] interface G0/0/3
[FW1-GigabitEthernet0/0/3] ip address 10.1.1.1 255.255.255.0
[FW1-GigabitEthernet0/0/3] quit
Étape 2 Configurer une politique de transfert entre les zones Untrust et DMZ.
[FW1] security-policy
[FW1-policy-security] rule name bidectinal_nat
[FW1-policy-security-rule-policy_sec] source-zone untrust
[FW1-policy-security-rule-policy_sec] destination-zone dmz
[FW1-policy-security-rule-policy_sec] action permit
[FW1-policy-security-rule-policy_sec] service ftp
[FW1-policy-security-rule-policy_sec] quit
[FW1] nat server ftpserver protocol tcp global 40.1.1.2 ftp inside 10.1.1.100 ftp
Étape 5 Appliquez la fonction NAT ALG entre les zones DMZ et Untrust, afin que le serveur puisse
fournir correctement le service FTP pour les systèmes externes. Par défaut, NAT ALG est
activé globalement. Vous pouvez ignorer cette étape.
Étape 6 Créez la politique NAT entre les zones DMZ et Untrust, définir la plage d'adresses IP
source pour NAT et liez la politique NAT à natpool2.
[FW1] nat-policy
[FW1-policy-nat] rule name source_nat
[FW1-policy-nat-rule-source_nat] destination-zone dmz
[FW1-policy-nat-rule-source_nat] source-zone untrust
[FW1-policy-nat-rule-source_nat] source-address 40.1.1.0 24
[FW1-policy-nat-rule-source_nat] action nat address-group natpool2
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/2, comme illustré dans la figure suivante.
Guide de laboratoire HCIA-Security Page 53
# Sélectionnez Network > Interface, puis cliquez sur le bouton à côté de l'interface à
configurer. Sélectionnez ou définir les paramètres et cliquez sur OK. Configurer l'interface
GigabitEthernet0/0/3, comme illustré dans la figure suivante.
# Sélectionnez Policy > NAT Policy. Cliquez sur l'onglet Source Translation Address
Pool. Dans Source Translation Address Pool, cliquez sur et créez un pool d'adresses.
Cliquez ensuite sur OK. La figure suivante montre les configurations détaillées.
----Fin
3.3.4 Vérification
# Vérifiez les informations connexes sur le pare-feu.
3.3.5 Test
Lorsqu'un utilisateur du réseau externe accède au serveur intranet via une adresse IP
spécifique, quelles sont les étapes de traitement des paquets atteignant le pare-feu ?
Réponse de référence :
Guide de laboratoire HCIA-Security Page 57
4.1 Introduction
4.1.1 À propos de ce laboratoire
Une entreprise doit fournir des services ininterrompus. Pour éviter une interruption de
ligne causée par des périphériques réseau ou d'autres facteurs externes, l'entreprise
souhaite mettre en œuvre une redondance à la sortie du réseau pour augmenter la
fiabilité du réseau.
Dans ce laboratoire, deux pare-feu sont déployés en tant que passerelles à la sortie du
réseau pour assurer une communication fluide entre le réseau interne et le réseau
externe en cas de défaillance d'un seul nœud.
4.1.2 Objectifs
⚫ Comprendre les principes de base de la veille à chaud.
⚫ Comprendre les protocoles VGMP et HRP.
⚫ Maîtriser la configuration du pare-feu en veille à chaud à l'aide de la CLI et de
l'interface utilisateur Web.
GigabitEthernet0/0/1
SW1 GigabitEthernet0/0/2 Accès PVID : VLAN 10
GigabitEthernet0/0/3
GigabitEthernet0/0/1
SW2 GigabitEthernet0/0/2 Accès PVID : VLAN 10
GigabitEthernet0/0/3
# Configurer les adresses IP pour les interfaces de service en amont et en aval de FW1.
<FW1> system-view
[FW1] interface GigabitEthernet0/0/1
[FW1-GigabitEthernet0/0/1] ip address 10.3.0.1 255.255.255.0
[FW1-GigabitEthernet0/0/1] quit
[FW1] interface GigabitEthernet0/0/2
[FW1-GigabitEthernet0/0/2] ip address 10.2.0.1 255.255.255.0
[FW1-GigabitEthernet0/0/2] quit
# Ajouter les interfaces de service en amont et en aval de FW1 aux zones de sécurité.
<FW2> system-view
[FW2] interface GigabitEthernet0/0/1
[FW2-GigabitEthernet0/0/1] ip address 10.3.0.2 255.255.255.0
[FW2-GigabitEthernet0/0/1] quit
[FW2] interface GigabitEthernet0/0/2
[FW2-GigabitEthernet0/0/2] ip address 10.2.0.2 255.255.255.0
[FW2-GigabitEthernet0/0/2] quit
# Ajouter les interfaces de service en amont et en aval de FW2 aux zones de sécurité.
Étape 3 Configurer une politique de sécurité sur FW1 pour autoriser le passage des paquets de
service. Une fois la veille à chaud activée, la politique de sécurité configurée sur FW1 sera
automatiquement synchronisée sur FW2.
# Configurer une stratégie de transfert entre les zones Trust et Untrust sur FW1.
HRP_M[FW1] security-policy
HRP_M[FW1-policy-security] rule name trust_to_untrust
HRP_M[FW1-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW1-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW1-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW1-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW1-policy-security-rule-trust_to_untrust] quit
HRP_M[FW1-policy-security] quit
Étape 4 Configurer une politique NAT sur FW1. Une fois la veille à chaud activée, la politique
NAT configurée sur FW1 sera automatiquement synchronisée sur FW2.
# Configurer une stratégie NAT pour traduire les adresses source du sous-réseau
10.3.0.0/24 en adresses IP dans le pool d'adresses NAT (1.1.1.2 à 1.1.1.5) lorsque les
utilisateurs de l'intranet accèdent à Internet.
# Configurer les interfaces sur FW1. Sélectionnez Network > Interface puis cliquez sur le
bouton à côté de l'interface à configurer. Définir les paramètres puis cliquez sur OK.
La figure suivante montre la configuration de l'interface GigabitEthernet0/0/1.
Guide de laboratoire HCIA-Security Page 63
# FW2 :
Étape 4 Sur la page Dusl-System Hot Standby, affichez le statut de veille à chaud.
# Statut de veille à chaud du FW1 :
Guide de laboratoire HCIA-Security Page 65
Étape 6 Configurer une politique NAT sur FW1. Une fois la veille à chaud activée, la politique
NAT configurée sur FW1 sera automatiquement synchronisée sur FW2.
Guide de laboratoire HCIA-Security Page 66
# Sélectionnez Policy > NAT Policy > NAT Policy > Source Translation Address Pool
puis cliquez sur Add pour configurer un pool d'adresses NAT.
# Sélectionnez Policy > NAT Policy > NAT Policy puis cliquez sur Add pour configurer
une politique NAT. Lorsque les utilisateurs de l'intranet accèdent à Internet, les adresses
IP source sur 10.3.0.0/24 seront traduites en adresses dans le pool d'adresses (1.1.1.2 à
1.1.1.5).
Guide de laboratoire HCIA-Security Page 67
4.3 Vérification
# Exécuter la commande display vrrp sur FW1 pour vérifier le statut des interfaces dans
le groupe VRRP.
# Exécuter la commande display vrrp sur FW2 pour vérifier le statut des interfaces dans
le groupe VRRP.
HRP_S<FW2>display vrrp
GigabitEthernet0/0/1 | Virtual Router 1
State : Backup
Virtual IP : 10.3.0.3
Guide de laboratoire HCIA-Security Page 68
Master IP : 10.3.0.1
PriorityRun : 120
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 60 s
TimerConfig : 60 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : vgmp-vrrp
Backup-forward : disabled
# Exécuter la commande display hrp state verbose sur FW1 pour vérifier le statut actuel
du groupe VGMP.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet0/0/1 vrrp vrid 1: active
Guide de laboratoire HCIA-Security Page 69
# Exécuter la commande display hrp state verbose sur FW2 pour vérifier le statut actuel
du groupe VGMP.
Configuration:
hello interval: 1000ms
preempt: 60s
mirror configuration: off
mirror session: off
track trunk member: on
auto-sync configuration: on
auto-sync connection-status: on
adjust ospf-cost: on
adjust ospfv3-cost: on
adjust bgp-cost: on
nat resource: off
Detail information:
GigabitEthernet0/0/1 vrrp vrid 1: standby
GigabitEthernet0/0/2 vrrp vrid 2: standby
ospf-cost: +65500
ospfv3-cost: +65500
bgp-cost: +100
# Ping PC2 dans la zone Untrust depuis PC1 dans la zone sécurisée. Exécuter la
commande display firewall ssession table sur FW1 et FW2 pour vérifier les sessions.
4.5 Test
Les paquets HRP sont-ils échangés entre les interfaces de pulsation contrôlées par des
politiques de sécurité ?
Réponse de référence :
Le fait que les paquets HRP échangés entre les interfaces de pulsation soient contrôlés
par des politiques de sécurité dépend du modèle et de la version du dispositif. Dans cet
environnement lab, les paquets HRP échangés entre les interfaces de pulsation ne sont
pas contrôlés par des politiques de sécurité.
Dans d'autres versions, le fait que les paquets HRP soient contrôlés par des politiques de
sécurité dépend de la configuration de la commande firewall packet-filter basic-
ptotocol enable. Par défaut, la commande firewall packet-filter basic-protocol enable
est configurée. Autrement dit, les paquets HRP sont contrôlés par une politique de
sécurité. Dans ce cas, vous devez configurer une politique de sécurité entre la zone de
sécurité où réside l'interface de pulsation et la zone locale pour autoriser le passage des
paquets HRP.
Guide de laboratoire HCIA-Security Page 73
5.1 Introduction
5.1.1 À propos de ce laboratoire
Un pare-feu fonctionne comme la sortie d'une entreprise et l'entreprise souhaite
authentifier les utilisateurs internes. Les utilisateurs internes doivent être authentifiés
avant de pouvoir accéder à Internet. Aucune authentification n'est requise pour les
visiteurs.
Dans ce laboratoire, des dispositifs de sécurité sont déployés à la sortie du réseau pour
implémenter l'authentification locale ou l'exemption d'authentification pour les
utilisateurs qui tentent d'accéder à Internet.
5.1.2 Objectifs
⚫ Comprendre les principes de base de l'administration des utilisateurs.
⚫ Maîtriser la méthode de configuration de l'exemption d'authentification pour les
utilisateurs.
⚫ Maîtriser la méthode de configuration de l'authentification par mot de passe pour les
utilisateurs.
# Ajouter G0/0/1 à la zone Invité. (La zone Invité est une nouvelle zone de sécurité dont
le niveau de sécurité est 40.) Ajouter G0/0/2 à la zone sécurisée et G0/0/3 à la zone
Untrust. Les détails ne sont pas fournis.
Étape 3 Sélectionnez Object > User > Authentication Policy, cliquez sur Add, et créez une
politique d'authentification utilisateur nommée Guest pour segment de réseau
10.1.1.0/24.
Guide de laboratoire HCIA-Security Page 76
# Sélectionnez Object > User > default. Dans la zone User/User Groupe/ Security
Group Management List, cliquez sur Manage Users Based by Organizational
Structure.
Guide de laboratoire HCIA-Security Page 77
# Dans la zone Organizational Structure, cliquez sur normal. Dans la zone Member
List, cliquez sur Add et ajoutez l'utilisateur dont le nom d'utilisateur est user01 et le mot
de passe est Admin@123.
Guide de laboratoire HCIA-Security Page 78
Étape 5 Sélectionnez Object > User > Authentication Policy, cliquez sur Add, et créez une
politique d'authentification utilisateur nommée Normal pour segment de réseau
10.1.2.0/24.
Guide de laboratoire HCIA-Security Page 79
Étape 6 Sélectionnez Policy > Security Policy, cliquez sur Add, et créez une politique de transfert
pour les utilisateurs sans authentification. Définir la zone de sécurité source sur Invité et
la zone de sécurité de destination sur Untrust, sélectionner le groupe d'utilisateurs sans
authentification auth_exemption et définir l'action sur Autoriser.
Étape 7 Sélectionnez Policy > Security Policy, cliquez sur Add, et créez une politique de transfert
pour les utilisateurs d'authentification par mot de passe.
# Définir la zone de sécurité source sur Trust et la zone de sécurité de destination sur
Untrust, puis sélectionnez le groupe d'utilisateurs d'authentification par mot de passe
normal et définir l'action sur Autoriser.
Guide de laboratoire HCIA-Security Page 80
Étape 8 Sélectionnez Object > User > Authentication Options > Local Portal, configurez la page
à pousser lors de l'authentification de l'accès à Internet, et sélectionnez Redirect to the
previous web page.
Guide de laboratoire HCIA-Security Page 81
Lorsqu'un utilisateur accède à Internet via HTTP, l'utilisateur est redirigé vers la page
d'authentification.
Étape 9 Sélectionnez Object > Service > Service puis cliquez sur Add pour créer un service
personnalisé nommé Auth.
Guide de laboratoire HCIA-Security Page 82
Étape 10 Sélectionnez Policy > Security Policy puis cliquez sur Add pour créer une politique de
sécurité qui autorise le trafic du port 8887 dans les zones Trust et Local à traverser le
pare-feu. Cela garantit que la page d'authentification peut être poussée avec succès.
Guide de laboratoire HCIA-Security Page 83
----Fin
5.3 Vérification
Les utilisateurs temporaires peuvent accéder à Internet sans entrer le nom d'utilisateur et
le mot de passe.
Lorsqu'un employé accède à Internet via HTTP, FW1 pousse la page d'authentification
utilisateur, puis invite l'utilisateur à entrer le nom d'utilisateur et le mot de passe.
Guide de laboratoire HCIA-Security Page 84
L'employé ne peut accéder aux ressources du réseau qu'après avoir entré le nom
d'utilisateur et le mot de passe corrects.
5.4 Test
Quelles sont les catégories d'utilisateurs ?
Réponse de référence :
Les utilisateurs sont classés en administrateurs, utilisateurs d'accès Internet et utilisateurs
d'accès. Différentes méthodes d'authentification sont utilisées pour différents utilisateurs
afin de déterminer les identités des utilisateurs et de mettre en œuvre l'administration
des utilisateurs.
Guide de laboratoire HCIA-Security Page 85
6.1 Introduction
6.1.1 À propos de ce laboratoire
L'entreprise A et l'entreprise B doivent accéder aux services de l'autre via Internet. La
confidentialité des secrets des entreprises doit être garantie.
Dans cet atelier, le réseau A et le réseau B sont utilisés pour simuler l'entreprise A et
l'entreprise B. Le réseau A et le réseau B sont connectés à Internet via FW1 et FW2,
respectivement. Un tunnel IPSec en mode IKE est établi entre FW1 et FW2. Les
utilisateurs du réseau A et du réseau B peuvent entrer en connexion via le tunnel IPSec.
Lors de l'accès, les paquets sur Internet sont chiffrés par le IPSec VPN pour répondre aux
exigences de confidentialité.
6.1.2 Objectifs
⚫ Comprendre les principes de base du IPSec VPN.
⚫ Maîtriser le scénario d'application du IPSec VPN site à site.
Figure 6-1 Topologie de mise en réseau pour la configuration d'un IPSec VPN
de site à site
# Sur FW1, sélectionnez Network > Interface, cliquez sur à côté de GigabitEthernet
0/0/2 et GigabitEthernet 0/0/3, et définir les paramètres.
Guide de laboratoire HCIA-Security Page 87
# Sur FW1, cliquez sur Add dans Data Flow to Encrypt pour chiffrer le trafic intéressé.
# Sur FW2, sélectionnez Network > IPSec > IPSec, cliquez sur Add, puis définir Scenario
sur Site-to-site.
Dans la zone Basic Configuration, définir les paramètres IPSec, y compris la clé pré-
partagée Test!123 et les adresses IP locales et homologues.
Guide de laboratoire HCIA-Security Page 90
# Sur FW2, cliquez sur Add dans Data Flow to Encrypt pour chiffrer le trafic en
question.
6.3 Vérification
# Exécuter la commande ping sur PC1 pour tester la connectivité de PC2.
C:\Users\admin>ping 10.1.1.10
Pinging 10.1.1.10 with 32 bytes of data:
Reply from 10.1.1.10: bytes=32 time=2ms TTL=126
Reply from 10.1.1.10: bytes=32 time<1ms TTL=126
Reply from 10.1.1.10: bytes=32 time<1ms TTL=126
Reply from 10.1.1.10: bytes=32 time<1ms TTL=126
Ping statistics for 10.1.1.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 2ms, Average = 0ms
# Sur FW1 et FW2, choisissez Network > IPSec > Monitor et vérifiez la liste de
surveillance. Vous pouvez voir que le tunnel IPSec est correctement établi.
6.5 Test
Si les employés de l'entreprise A et de l'entreprise B doivent accéder à Internet, quelles
précautions doivent être prises lors de la configuration de NAT sur la sortie du pare-feu ?
Réponse de référence :
Pour le trafic entre l'entreprise A et l'entreprise B, le pare-feu recherche la route pour
déterminer l'interface sortante. Dans ce cas, les paquets sont d'abord mis en
correspondance avec NAT, puis IPSec sur l'interface sortante. Si la NAT est configurée sur
les interfaces WAN des pare-feu, assurez-vous que la NAT n'est pas effectuée sur le trafic
échangé entre l'entreprise A et l'entreprise B.
Guide de laboratoire HCIA-Security Page 95
7 VPN SSL
7.1 Introduction
7.1.1 À propos de ce laboratoire
Une entreprise souhaite utiliser l'authentification locale pour authentifier tous les
employés sur le pare-feu. Les employés qui réussissent l'authentification peuvent accéder
à l'intranet de l'entreprise, tandis que ceux qui ne réussissent pas l'authentification ne
peuvent pas accéder à l'intranet de l'entreprise.
L'entreprise souhaite que les utilisateurs du bureau mobile d'un certain groupe
(groupe 1) puissent obtenir une adresse IP intranet lorsqu'ils sont en voyage d'affaires et
puissent accéder à diverses ressources intranet comme s'ils étaient sur un réseau local
(LAN). Pour renforcer la sécurité, une authentification locale sur le nom d'utilisateur et le
mot de passe est requise pour les utilisateurs de bureau mobile.
7.1.2 Objectifs
⚫ Maîtrisez la méthode de configuration d'une passerelle virtuelle VPN SSL.
⚫ Comprendre les scénarios d'application VPN SSL et la planification du réseau.
Adresses pouvant
Utilisateurs
être utilisées pour
de bureaux Eth0/0/1 untrust
accéder au réseau
mobiles
public
# Définir les paramètres sur la page de l'onglet Network Extension et cliquez sur Next>.
Guide de laboratoire HCIA-Security Page 99
# Configurer une politique de sécurité pour le trafic du pare-feu vers l'intranet pour
permettre aux employés en voyage d'affaires d'accéder aux ressources du HQ.
Sélectionnez Policy > Security Policy > Security Policy. Cliquez sur Add Security Policy
et configurez la politique de sécurité policy02, comme illustré dans la figure suivante.
Guide de laboratoire HCIA-Security Page 102
7.3 Vérification
# Accéder à https://1.1.1.1:443 dans le navigateur pour accéder à l'interface de
connexion VPN SSL en tant qu'employé en voyage d'affaires.
# Installer le contrôle comme demandé lors de la première connexion.
# Dans la fenêtre de connexion, saisissez le nom d'utilisateur et le mot de passe, puis
cliquez sur Login. Une fois la connexion réussie, cliquer sur Start sous Network
Extension. Vous pouvez ensuite accéder aux serveurs sur l'intranet de l'entreprise.
Guide de laboratoire HCIA-Security Page 103
action permit
rule name pass
action permit
#
7.5 Test
Lors de la vérification, lorsque vous cliquez sur Start sous Network Extension,
qu'adviendra-t-il des entrées de routage et de l'adresse IP ?
Réponse de référence :
Exécuter la commande route print pour afficher la table de routage IPv4. Vous pouvez
voir l'itinéraire destiné à 10.1.2.0/24.
Exécuter la commande ipconfig pour afficher les informations sur la carte réseau locale.
Vous pouvez voir que la carte réseau locale se voit attribuer une adresse IP dans la plage
de 172.16.1.1/24 to 172.16.1.10/24.