网络安全与防火实训指导书.doc

网络安全与防火墙实训指导书目录项目一防火墙NAT.3项目二防火墙DHCP.5项目三防火墙ACL.7项目四Web过滤.8项目五邮件过滤.8项目六配置L2TP.9项目七配置IPsec.15项目一防火墙NAT(1)组网需求一个公司通过SecPath防火墙连接到Internet。公司内部网段为/24。由ISP分配给防火墙外部接口的地址范围为。其中防火墙的接口GigabitEthernet0/0连接内部网络，地址为；接口GigabitEthernet0/1连接到Internet，地址为。WWWServer和FTPServer位于公司网络内部，地址分别为和。要求公司内部网络可以通过防火墙的NAT功能访问Internet，并且外部的用户可以访问内部的WWWServer和TelnetServer。(2)组网图4-6NAT配置组网图(3)配置步骤第一步：创建允许内部网段访问所有外部资源的基本ACL，以供NAT使用。创建ACL的方法可参见5.2.1ACL配置。点击“防火墙”目录中的“ACL”，在右边的ACL配置区域中单击按钮。在“ACL编号”中输入基本ACL的编号2001（基本ACL的编号范围为20002999），单击按钮。在下面的列表中选择此ACL，单击按钮。在ACL配置参数区域中，从“操作”下拉框中选择“Permit”，在“源IP地址”栏中输入，“源地址通配符”中输入55，单击按钮。第二步：创建NAT地址池。在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击按钮。在“地址池索引号”栏中输入1，“起始地址”栏中输入，“结束地址”栏中输入，单击按钮。第三步：配置NAT转换类型。点击“地址转换管理”，在右边的配置区域中单击按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用NAT地址复用，单击按钮。第四步：配置NAT内部服务器映射。点击“内部服务器”，在右边的配置区域中单击按钮。在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外部地址”栏中输入。选中“外部起始端口”输入栏选项，输入WWW服务器使用的端口号，这里假设为80端口。在“内部起始地址”栏中输入内部WWW服务器的IP地址。选中“内部端口”输入栏选项，输入内部WWW服务器使用的端口号，这里也假设为80端口，单击按钮。内部Telnet服务器映射的配置方法与此相同。项目二防火墙DHCP(1)组网需求防火墙作为DHCP服务器，为同一网段中的客户端动态分配IP地址，地址池网段为/24。DHCP服务器GigabitEthernet0/0接口地址为/24。地址租用期限为3天12小时，域名为，DNS地址为，NetBIOS地址为，出口网关地址即为防火墙的内部地址。并且其中一个客户端要求使用固定的IP地址00，其MAC地址为000f-1f7e-fec5。(2)组网图(3)配置步骤第一步：将防火墙的GigabitEthernet0/1接口地址配置为/24。在“系统管理”目录中的“接口管理”，单击按钮。选择“GigabitEthernet0/1”接口。在“IP地址”栏中输入，掩码中输入“”第二步：启用防火墙的DHCP服务器功能。在“业务管理”下的“DHCP”子目录中点击“全局DHCP基本配置”，在右侧配置区域中的“使能或禁止DHCP服务”下拉框中选择“Enable”，单击按钮。第三步：配置全局DHCP地址池。点击“全局DHCP地址池”，在右边的配置区域中单击按钮，在“地址池名称”栏中dhcppool，单击按钮。回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，将租约期限设置为3天12小时，在“客户端域名”栏中输入，单击按钮。回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，在“IP地址范围”栏中输入，“网络掩码”中输入，单击按钮。第四步：配置地址池的DNS。点击“全局DHCP的DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框中选择“dhcppool”，在“DNS服务器地址”栏中输入，单击“应用”按钮。第五步：配置地址池的网关。点击“全局DHCP网关”，在右侧的配置区域中单击按钮，从下拉框中选择“dhcppool”，在“网关地址”栏中输入，单击按钮。第六步：配置地址池的NetBIOS。点击“全局DHCP的NetBIOS”，在右侧的配置区域中单击按钮，从下拉框中选择“dhcppool”，在“NetBIOS”节点类型中选择“h-node”，然后输入NetBIOS服务器的地址，单击按钮。点击“地址转换管理”，在右边的配置区域中单击按钮。在“接口名称”下拉框中选择“GigabitEthernet0/1”，选中“ACL编号”复选框并输入已创建好的基本ACL编号2001。在“地址池”下拉框中选择地址池索引号“1”。由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT”以启用NAT地址复用，单击按钮。项目三防火墙ACL(1)组网需求该公司通过一台SecPath防火墙访问Internet。公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为，其中，内部FTP服务器地址为，Telnet服务器地址为，WWW服务器地址为，通过配置防火墙，希望实现以下要求：内部网络中只有特定主机可以访问外部网络，外部网络中只有特定用户可以访问内部服务器假定外部特定用户的IP地址为。(2)组网图(3)配置步骤第一步：配置访问列表允许公司内部特定主机和服务器访问外部网络。在“防火墙”目录中点击“ACL”，在右边的ACL配置区域中单击按钮。在“ACL编号”栏中输入基本ACL的编号2001，单击按钮，在下面的列表中选择此A