网络安全与防火实训指导书.doc

网络安全与防火墙实训指导书目录项目一防火墙NAT.3项目二防火墙DHCP.5项目三防火墙ACL.7项目四Web过滤.8项目五邮件过滤.8项目六配置L2TP.9项目七配置IPsec.15项目一防火墙NAT(1)组网需求一个公司通过SecPath防火墙连接到Internet。公司内部网段为192.168.20.0/24。由ISP分配给防火墙外部接口的地址范围为202.169.10.1202.169.10.5。其中防火墙的接口GigabitEthernet0/0连接内部网络，地址为192.168.20.1；接口GigabitEthernet0/1连接到Internet，地址为202.169.10.1。WWWServer和FTPServer位于公司网络内部，地址分别为192.168.20.2和192.168.20.3。要求公司内部网络可以通过防火墙的NAT功能访问Internet，并且外部的用户可以访问内部的WWWServer和TelnetServer。(2)组网图4-6NAT配置组网图(3)配置步骤第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT使用。创建ACL的方法可参见5.2.1ACL配置。点击“防火墙”目录中的“ACL”，在右边的ACL配置区域中单击<ACL配置信息>按钮。在“ACL编号”中输入基本ACL的编号2001（基本ACL的编号范围为20002999），单击<创建>按钮。在下面的列表中选择此ACL，单击<配置>按钮。在ACL配置参数区域中，从“操作”下拉框中选择“Permit”，在“源IP地址”栏中输入192.168.20.0，“源地址通配符”中输入0.0.0.255，单击<应用>按钮。第二步：创建NAT地址池。在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击<创建>按钮。在“地址池索引号”栏中输入1，“起始地址”栏中输入202.169.10.1，“结束地址”栏中输入202.169.10.5，单击<应用>按钮。第三步：配置NAT转换类型。点击“地址转换管理”，在右边的配置区域中单击<创建>按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用NAT地址复用，单击<应用>按钮。第四步：配置NAT内部服务器映射。点击“内部服务器”，在右边的配置区域中单击<创建>按钮。在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外部地址”栏中输入202.169.10.1。选中“外部起始端口”输入栏选项，输入WWW服务器使用的端口号，这里假设为80端口。在“内部起始地址”栏中输入内部WWW服务器的IP地址192.168.20.2。选中“内部端口”输入栏选项，输入内部WWW服务器使用的端口号，这里也假设为80端口，单击<应用>按钮。内部Telnet服务器映射的配置方法与此相同。项目二防火墙DHCP(1)组网需求防火墙作为DHCP服务器，为同一网段中的客户端动态分配IP地址，地址池网段为10.1.1.0/24。DHCP服务器GigabitEthernet0/0接口地址为10.1.1.1/24。地址租用期限为3天12小时，域名为h3c.com，DNS地址为10.1.1.2，NetBIOS地址为10.1.1.3，出口网关地址即为防火墙的内部地址10.1.1.1。并且其中一个客户端要求使用固定的IP地址10.1.1.100，其MAC地址为000f-1f7e-fec5。(2)组网图(3)配置步骤第一步：将防火墙的GigabitEthernet0/1接口地址配置为10.1.1.1/24。在“系统管理”目录中的“接口管理”，单击<配置>按钮。选择“GigabitEthernet0/1”接口。在“IP地址”栏中输入10.1.1.1，掩码中输入“255.255.255.0”第二步：启用防火墙的DHCP服务器功能。在“业务管理”下的“DHCP”子目录中点击“全局DHCP基本配置”，在右侧配置区域中的“使能或禁止DHCP服务”下拉框中选择“Enable”，单击<应用>按钮。第三步：配置全局DHCP地址池。点击“全局DHCP地址池”，在右边的配置区域中单击<创建>按钮，在“地址池名称”栏中dhcppool，单击<应用>按钮。回到配置区域页面后单击<修改>按钮，从下拉框中选择“dhcppool”，将租约期限设置为3天12小时，在“客户端域名”栏中输入h3c.com，单击<应用>按钮。回到配置区域页面后单击<IP地址范围>按钮，从下拉框中选择“dhcppool”，在“IP地址范围”栏中输入10.1.1.0，“网络掩码”中输入255.255.255.0，单击<应用>按钮。第四步：配置地址池的DNS。点击“全局DHCP的DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框中选择“dhcppool”，在“DNS服务器地址”栏中输入10.1.1.2，单击“应用”按钮。第五步：配置地址池的网关。点击“全局DHCP网关”，在右侧的配置区域中单击<配置>按钮，从下拉框中选择“dhcppool”，在“网关地址”栏中输入10.1.1.1，单击<应用>按钮。第六步：配置地址池的NetBIOS。点击“全局DHCP的NetBIOS”，在右侧的配置区域中单击<配置>按钮，从下拉框中选择“dhcppool”，在“NetBIOS”节点类型中选择“h-node”，然后输入NetBIOS服务器的地址10.1.1.3，单击<应用>按钮。点击“地址转换管理”，在右边的配置区域中单击<创建>按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用NAT地址复用，单击<应用>按钮。项目三防火墙ACL(1)组网需求该公司通过一台SecPath防火墙访问Internet。公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，Telnet服务器地址为129.38.1.2，WWW服务器地址为129.38.1.3，通过配置防火墙，希望实现以下要求：内部网络中只有特定主机可以访问外部网络，外部网络中只有特定用户可以访问内部服务器假定外部特定用户的IP地址为202.39.2.3。(2)组网图(3)配置步骤第一步：配置访问列表允许公司内部特定主机和服务器访问外部网络。在“防火墙”目录中点击“ACL”，在右边的ACL配置区域中单击<ACL配置信息>按钮。在“ACL编号”栏中输入基本ACL的编号2001，单击<创建>按钮，在下面的列表中选择此ACL，单击<配置>按钮。在ACL配置参数区域中，从“操作”下拉框中选择“Permit”，在“源IP地址”栏中输入内部特定PC的地址129.38.1.4，“源地址通配符”中输入0，单击<应用>按钮。使用同样方法为内部FTPServer、TelnetServer和WWWServer创建允许其访问外部的ACL规则。