多核防火墙实验指导

第一部分防火墙基本实验配置实验一、防火墙外观和接口介绍实验二、防火墙管理环境搭建实验三、防火墙配置管理实验四、防火墙软件版本升级第二部分防火墙网络及路由实验配置实验五、防火墙SNAT配置实验六、防火墙DNAT配置实验七、防火墙透明模式配置实验八、防火墙混合模式配置实验九、防火墙DHCP配置实验十、防火墙DNS代理配置实验十一、防火墙DDNS配置实验十二、防火墙负载均衡配置实验十三、防火墙源路由配置实验十四、防火墙双机热备配置实验十五、防火墙QoS配置实验十六、防火墙WEB认证配置第三部分防火墙安全及应用层控制实验配置实验十七、防火墙会话统计和会话控制配置实验十八、防火墙IP-MAC绑定配置实验十九、防火墙禁用IM配置实验二十、防火墙URL过滤配置实验二十一、防火墙网页内容过滤配置第四部分防火墙VPN实验配置实验二十二、防火墙IPSECVPN配置实验二十三、防火墙SSLVPN配置第五部分防火墙报表实验配置实验二十四、防火墙日志服务器配置实验二十五、防火墙记录上网URL配置实验一防火墙外观与接口介绍一、实验目的认识防火墙，了解各接口区域及其作用。二、应用环境防火墙是当今使用最为广泛的安全设备，防火墙历经几代发展，现今为非常成熟的硬件体系结构，具有专门的Console口，专门的区域接口。串行部署于TCP/IP网络中。将网络一般划分为内、外、服务器区三个区域，对各区域实施安全策略以保护重要网络。本实验使用DCFW-1800E-V2防火墙，软件版本为：DCFOS-2.0R4，如实训室环境与此不同，请参照相关版本用户手册进行实验。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑

DCFW-1800E-V2背板接口五、实验要求(1)熟悉防火墙各接口及其连接方法；(2)熟练使用各种线缆实现防火墙与主机和交换机的连通；(3)实现控制台连接防火墙进行初始配置。六、实验步骤(1)认识防火墙各接口，理解防火墙各接口的作用，并学会使用线缆连接防火墙和交换机与主机。(2)使用控制线缆将防火墙与PC的串行接口连接(3)配置PC机的超级终端属性，接入防火墙命令行模式第一步：登录防火墙并熟悉各配置模式缺省管理员用户口令和密码是：login：adminpassword：admin 输入如上信息，可进入防火墙的执行模式，该模式的提示符如下所示，包含了一个数字符号（#）：DCFW-1800#在执行模式下，输入configure命令，可进入全局配置模式。提示符如下所示：DCFW-1800(config)#V2系列防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如，运行interfaceethernet0/0命令进入ethernet0/0接口配置模式，此时的提示符变更为：DCFW-1800(config-if-eth0/0)#下表列出了常用的模式间切换的命令：第二步：通过PC机测试与防火墙的连通性(1)使用交叉双绞线连接防火墙和PC机，此时防火墙的LAN-link灯亮起，表明网络的物理连接已经建立。观察指示灯状态为闪烁，表明有数据在尝试传输。此时打开PC机的连接状态，发现只有数据发送，没有接收到的数据，这是因为防火墙的端口默认状态下都会禁止向未经验证和配置的设备发送数据，保证数据的安全。七、共同思考(1)防火墙的初始状态配置信息如何？怎样通过命令行察看初始配置信息？八、课后练习本实验未配置防火墙的IP地址等信息，课后可从防火墙的前面板对防火墙进行状态的观察，熟悉防火墙各种配置模式之间的切换和简化配置命令的书写模式。实验二防火墙管理环境搭建一、实验目的学会使用Telnet、SSH、WebUI方式登录防火墙。二、应用环境 V2防火墙可以使用telnet、SSH、WebUI方式进行管理，使用者可以很方便的使用几种方式进行管理。本实验使用DCFW-1800E-V2防火墙，软件版本为：DCFOS-2.0R4，如实训室环境与此不同，请参照相关版本用户手册进行实验。三、实验设备(1)防火墙设备1台(2)Console线1条(3)交叉网络线1条(4)PC机1台四、实验拓扑五、实验要求掌握防火墙管理环境的搭建和配置方法，熟练使用各种管理方式管理防火墙。六、实验步骤 按照实验拓扑搭建实验环境。第一部分搭建TELNET和SSH管理环境 1、运行managetelnet命令开启被连接接口的Telnet管理功能。 Hostname#configure DCFW-1800(config)#interfaceEthernet0/0 DCFW-1800(config-if-eth0/0)#managetelnet 2、运行managessh开启SSH管理功能。 DCFW-1800(config-if-eth0/0)#managessh 3、配置PC机的IP地址为192.168.1.*,从PC尝试与防火墙的TELNET连接。 注：用户口令和密码是缺省管理员用户口令和密码：admin 4、从PC尝试与防火墙的SSH连接。 注：pc中已经安装好SSH客户端软件。用户口令和密码是缺省管理员用户口令和密码：admin。 第二部分搭建WebUI管理环境初次使用防火墙时，用户可以通过该E0/0接口访问防火墙的WebUI页面。 在浏览器地址栏输入：并按回车键，系统WebUI的登陆界面如下所示： 登陆后的主界面如下所示： 这里即可展开对防火墙的设置。第三部分管理用户的设置 V2防火墙默认的管理员是admin，可以对其进行修改，但不能删除这个管理员。 增加一个管理员的命令是： DCFW-1800(config)#adminuseruser-name执行该命令后，系统创建指定名称的管理员，并且进入管理员配置模式；如果指定的管理员名称已经存在，则直接进入管理员配置模式。管理员特权为管理员登录设备后拥有的权限。DCFOS允许的权限有RX和RXW两种。在管理员配置模式下，输入以下命令配置管理员的特权：DCFW-1800(config-admin)#privilege{RX|RXW}在管理员配置模式下，输入以下命令配置管理员的密码：DCFW-1800(config-admin)#passwordpassword 七、共同思考 如果需要在某公司的内部办公环境对防火墙设备进行管理，这种情况下不可能是用console直接连接，可以使用什么方式进行管理，怎样加强这种管理方式下的安全性？ telnet、ssh、webui都可以，但需要根据具体环境设置防火墙在那些接口允许哪种管理方式。八、课后练习 小王是某大型国企的网络管理员，最近刚刚购置了一台DCFW-1800S-L-V2防火墙，安装人员和售后技术工程师走后，小王想起应该对管理员的操作加以限制，至少要设置2个管理员的账号，一个用于全设备配置，一个只能用于查看，用以防止非管理员的非法操作，怎样做，能够让小王的想法得到很好的实现呢？ 首先，应该对默认admin密码进行修改，这是保证防火墙管理安全的第一步。 其次，增加两个管理员账号，并在其模式下，对密码进行设置，然后使用privilege命令对RXW进行具体设置。 最后，要确认每个管理员账号可能接入防火墙的接口，并确保接口允许管理操作。实验三防火墙管理环境搭建一、实验目的学会查看和保存防火墙的配置信息，同时还要了解如何导出和导入配置文件。二、应用环境DCFW-1800系列防火墙的配置信息都被保存在系统的配置文件中。用户通过运行相应的命令或者访问相应的WebUI页面查看防火墙的各种配置信息，例如防火墙的初始配置信息和当前配置信息等。配置文件以命令行的格式保存配置信息，并且也以这种格式显示配置信息。三、实验设备(1)防火墙设备1台(2)Console线1条(3)交叉网络线1条(4)PC机1台四、实验拓扑五、实验要求掌握防火墙管理环境的搭建和配置方法，熟练使用各种管理方式管理防火墙。六、实验步骤第一部分将当前配置文件保存在本地WebUI：访问页面“系统维护配置管理”。点击『保存』，这样就可以将当前配置文件保存到本地进行查看。点击保存键这样防火墙的当前配置文件就可以保存在本地，我们也可以使用写字板将此文件打开，查看防火墙的配置。第二部分将本地的配置上传到防火墙并调用该配置WebUI：访问页面“系统维护配置管理”。点击『浏览』，从本地选择将要上传的配置文件点击升级，完毕后直接重启设备即可。设备启动完毕后的配置为上传的配置文件。第三部分将防火墙配置恢复到出厂将防火墙恢复到出厂的方法有三种：用户除使用设备上的CRL按键使系统恢复到出厂配置可以使用命令恢复。恢复出厂配置，在执行模式下，使用以下命令：unsetall3、WebUI：访问页面“系统维护配置管理”。点击『重置』出现以上信息后，点击确定此时防火墙将恢复到缺省出厂缺省配置，并自动重启设备。七、共同思考防火墙系统中最多可以保存几份配置文件八、课后练习首先将防火墙当前配置保存到电脑本地，然后将防火墙恢复到出厂配置。最后将之前的本地配置导入到防火墙中，并启动该配置文件。实验四防火墙软件版本升级一、实验目的1、了解什么时间升级2、了解如何进行产品升级二、应用环境防火墙系统核心具备升级及更新的能力，以保证合适更加复杂的网络应用。商场在制造出产品以后，会始终保持对产品内核的更新。获得正式授权的升级包后，按照规定方法进行升级，可获得产品的最优配置和最佳性能。但此步骤需谨慎进行，升级过程中不可断电。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑五、实验要求学会将现有产品版本进行备份、升级操作六、实验步骤防火墙软件版本的升级支持CLI下TFTP、FTP升级，另外设备本省有USB接口，也可以支持U盘直接升级。本实验中我们通过Web的方式进行升级第一步：将软件版本从本地上传到防火墙访问页面“系统维护系统固件”。选择<上载新系统固件>单选按钮。选中<备份当前系统固件>复选框，系统将在上载的同时备份当前运行的DCFOS。如不选中该选项，系统将用新上载的DCFOS覆盖当前运行的DCFOS。点击『浏览』按钮并且选中要上载的DCFOS。点击『确定』按钮，系统开始上载指定的DCFOS。6、系统中最多可以保存两个DCFOS供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的DCFOS。第二步：选择下次启动时调用的软件版本用户也可以指定使用其他DCFOS作为下次启动时使用的DCFOS。请按照以下步骤指定下次启动时使用的DCFOS：访问页面“系统维护系统固件”。选择<选择下次启动时使用的系统固件>单选按钮。在下拉菜单中选择下次启动是使用的DCFOS名称。点击『确定』按钮。重启设备后，设备加载的版本为刚刚选择的版本七、共同思考假使现在系统里面存在的版本为2.0R4和2.0R5版本，现在用户希望在设备上使用2.5R5版本，将2.0R5做为备份版本，如何操作？八、课后练习使用本实验介绍的升级方式对防火墙的版本进行升级和备份的操作实验五防火墙SNAT配置一、实验目的考虑到公网地址的有限，不能每台PC都配置公网地址访问外网。通过少量公网IP地址来满足多数私网ip上网，以缓解IP地址枯竭的速度。二、应用环境用于公司内部私网地址较多，运营商只分配给一个或者几个公网地址。在这种条件下，这几个公网地址需要满足几十乃至几百几千人同时上网，需要配置源NAT三、实验设备(1)防火墙设备1台(2)局域网交换机n台(3)网络线n条(4)PC机n台四、实验拓扑InternetInternet网络拓扑五、实验要求配置防火墙使内网/24网段可以访问internet六、实验步骤第一步：配置接口首先通过防火墙默认eth0接口地址登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin，密码admin后点击登录，配置外网接口地址只有指定安全域类型为只有指定安全域类型为“三层安全域”时才可以接口配置IP内口网地址使用缺省第二步：添加路由添加到外网的缺省路由，在目的路由中新建路由条目添加下一条地址这里的子网掩码既可以写成这里的子网掩码既可以写成0也可以写成，防火墙会自动识别第三步：添加SNAT策略在网络/NAT/SNAT中添加源NAT策略出接口选择外网口出接口选择外网口内网访问Internet时转换为外网接口ip第四步：添加安全策略在安全/策略中，选择好源安全域和目的安全域后，新建策略若对策略中的各个选项有更多配置要求可点击若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑关于SNAT，我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。如果是需要对于策略中各个选项有更多的配置要求可以点击高级哦遏制进行编辑添加多个源地址添加多个源地址添加多个目的地址添加多个服务对象可以添加时间对象以限制该策略仅在某个时段有效激活高级配置模式七、共同思考如果是配置SNAT后，只允许在内网用户早9:00到晚18:00浏览网页，其他时间不做任何限制，如何来实现八、课后练习防火墙内网口处接一台神州数码三层交换机5950，三层交换机上设置了几个网段都可以通过防火墙来访问外网。实验六防火墙DNAT配置一、实验目的防火墙上配置了SNAT后，内部用户在访问外网时都隐藏了私网地址，如果防火墙内部有一台服务器需要对外网用户开放，此时就必须在防火墙上配置DNAT，将数据包在防火墙做目的地址转换，让外网用户访问到该服务器。二、应用环境由于公网地址有限，一般在申请线路时，运营商分配给我们的只有一个或几个公网地址。但是内部服务器设置成私网地址后，需要将私网地址映射到公网。外网用户才可以通过映射后的公网地址访问到服务器。映射包括两种：一种为端口映射，只是映射需要的服务器端口；一种为IP映射，将私网地址和公网地址做一对一的映射。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线n条(4)网络交换机n台(5)PC机n台，服务器器n台四、实验拓扑/24IP:/24/24IP:/24Eth0/01Eth0/0:1/24Zone:trustEth0/121th0/1Eth0/1:21/24Zone:untrustFTPServer&WebServerBIP:0/24InternetWebServerAIP:/24Eth0/2Eth0/2:/24Zone:DMZ0/24IP:/24五、实验要求使用外网口IP为内网FTPServer及WEBServerB做端口映射，并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。允许内网用户通过域名访问WEBServerB(即通过合法IP访问）。使用合法IP20为WebServerA做IP映射，允许内外网用户对该Server的Web访问。六、实验步骤要求一：外网口IP为内网FTPServer及WEBServerB做端口映射并允许外网用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。第一步：配置准备工作1、设置地址簿，在对象/地址簿中设置服务器地址使用使用“IP成员”选项定义Trust区域的server地址设置服务簿，防火墙出厂自带一些预定义服务，但是如果我们需要的服务在预定义中不包含时，需要在对象/服务簿中手工定义我们要映射的端口为目的端口，端口号只有一个，所以只填写最小值即可我们要映射的端口为目的端口，端口号只有一个，所以只填写最小值即可因为此处定义的TCP8000端口将来为HTTP应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP业务使用第二步：创建目的NAT配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口目的地址为转换前的合法IP。要求三：使用合法IP20为WebServerA做IP映射，允许内外网用户对该Server的Web访问。第一步：配置准备工作1、将服务器的实际地址使用web_serverA来表示使用使用“IP成员”选项定义DMZ区域的server地址2、将服务器的公网地址使用IP_20来表示使用使用“IP成员”选项定义要映射的合法IP第二步：配置目的NAT创建静态NAT条目，在新建处选择IP映射对外宣告的合法对外宣告的合法IP用真实地址定义的地址对象第三步：放行安全策略1、放行untrust区域到dmz区域的安全策略，使外网可以访问dmz区域服务器目的地址为转换前的合法目的地址为转换前的合法IP。2、放行trust区域到dmz区域的安全策略，使内网机器可以公网地址访问dmz区域内的服务器目的地址为转换前的合法目的地址为转换前的合法IP。七、共同思考内网有一台ftp服务器，使用防火墙外网口地址将其映射到外网，映射端口为1221。请思考该功能如何实现?八、课后练习请在内网架设一台Web服务器，使防火墙将该服务器映射到公网，映射端口为8888。使内、外网用户可以通过公网地址的8888端口访问该服务器。实验七防火墙透明模式配置能够一、实验目的能够1、了解什么是透明模式；2、了解如何配置防火墙的透明模式；二、应用环境透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的安全升级中。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑网段网段A:-00网段B:01-00网络拓扑Eth6Zone:l2-trustEth7Zone:l2-untrustVswtichif1:54/24五、实验要求1、防火墙eth6接口和eth7接口配置为透明模式2、eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。3、为虚拟桥接组Vswitch1配置ip地址以便管理防火墙4、允许网段Aping网段B及访问网段B的WEB服务六、实验步骤第一步：接口配置将eth6接口加入二层安全域l2-trustDCFW-1800(config)#interfaceethernet0/6DCFW-1800(config-if-eth0/6)#zonel2-trust将eth7接口设置成二层安全域l2-untrust对对eth0/7接口进行编辑物理接口配置为二层安全域时无法配置IP地址第二步：配置虚拟交换机（Vswitch）如果没有单独接口做管理的话，可以先使用控制线通过控制口登陆下防火墙在命令下DCFW-1800(config)#interfacevswitchif1DCFW-1800(config-if-vsw1)#zonetrustDCFW-1800(config-if-vsw1)#ipaddress54/24DCFW-1800(config-if-vsw1)#managepingDCFW-1800(config-if-vsw1)#managehttps当然也可以在防火墙上单独使用一个接口做管理，通过该接口登陆到防火墙在Web下进行配置第三步：添加对象定义地址对象定义网段A(–00)定义网段B(01–00)把地址对象与它所属的把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义把地址对象与它所属的把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义要求允许网段Aping网段B及访问网段B的WEB服务，在这里我们将ping和http服务建立一个服务组选中左侧的服务对象推送到右侧的成员组中选中左侧的服务对象推送到右侧的成员组中第四步：配置安全策略在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略源地址选择网段源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象七、共同思考1、防火墙上的Vswitch接口配置地址的目的是什么？2、防火墙上如果处于透明模式的两个接口都放到同一个二层安全域中，比如说将上述实验中的eth6口和eth7口都设置成l2-trust安全域。那是否还需要设置安全策略，如果需要的话那如何设置？八、课后练习针对上述实验，我们要求实现放行网段B至网段A的TCP9988端口，如何配置实验八防火墙混合模式配置一、实验目的1、了解什么混合模式；2、了解如何配置防火墙为混合模式。二、应用环境混合模式即相当于防火墙既工作于路由模式，又工作于透明模式。在实际应用环境中，此类防火墙应用一般也比较广泛。混合模式分为两种：一，ISP分配外网地址，内网为私网地址，服务器区域和内部地址为同一网段。这样，内部区域和服务器区域为透明，内部区域和外网区域为路由，服务器区域和外部区域也为路由；二，ISP分配外网地址，内网为私网地址，服务器区域使用ISP分配的公网地址，服务器区域和外网为透明，内部区域和外部区域为路由。在我们下面的应用环境中我们使用的是第二种混合模式。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑eth0:/24eth0:/24Eth0/0:1/24Zone:trustVswitch1:18/24Eth0/1:21/24Zone:untrustIP:/24InternetWebServerAIP:/24IP:17/24五、实验要求1、将eth0口设置成路由接口，eth1和eth2口设置成二层接口。并设置Vswitch接口；2、设置源NAT策略；3、配置安全策略六、实验步骤第一步：设置接口1、设置内网口地址，设置eth0口为内网口地址为/242、设置外网口，eth6口连接外网，将eth6口设置成二层安全域l2-untrust设置服务器接口，将eth7口设置成l2-dmz安全域，连接服务器。第二步：配置Vswitch接口由于二层安全域接口不能设置地址，需要将地址设置在网桥接口上，该网桥接口即为Vswitch第三步：设置SNAT策略针对内网所有地址我们在防火墙上设置源NAT，内网PC在访问外网时，数据包凡是从Vswitch接口出去的数据包都做地址转换，转换地址为Vswitch接口地址第四步：添加路由要创建一条到外网的缺省路由，如果内网有三层交换机的话还需要创建到内网的回指路由。第五步：设置地址簿在放行安全策略时，我们需要选择相应的地址和服务进行放行，所有这里首先要创建服务器的地址簿。在创建地址簿时，如果是创建的服务器属单个ip，使用IP成员方式的话，那掩码一定要写32位第六步：放行策略放行策略时，首先要保证内网能够访问到外网。应该放行内网口所属安全域到Vswitch接口所属安全域的安全策略，应该是从trust到untrust另外还要保证外网能够访问Web_server，该服务器的网关地址设置为ISP网关那需要放行二层安全之前的安全策略，应该是放行l2-untrust到l2-dmz策略七、共同思考1、如果服务器的网关并非设置成，而是设置成Vswitch接口地址，此时安全策略如何设置才能让外网访问到Web服务器？2、按上述实验配置完后，虽然在外网可以访问服务器，那在服务器上是否可以访问外网呢？如果访问不到什么原因，如何才能实现？八、课后练习使用第一种混合模式：服务器和内网属于透明模式，此时服务器和内网在同一个网段。此时如果要外网还是通过17地址能够访问到服务器的话如何实现？实验九防火墙DHCP配置一、实验目的1、知道什么是DHCP？了解在什么环境下使用DHCP，DHCP方式获取地址有什么好处？2、学会如何在防火墙上设置DHCP二、应用环境对于手工设置IP地址的这种方式比较繁琐，而且很容易在设置IP地址时造成地址冲突。DHCP为动态主机配置协议（DynamicHostConfigurationProtocol）的缩写。DHCP能够自动为子网分配适当的IP地址以及相关网络参数，从而减少网络管理需求。同时，DHCP能够保证不会出现地址冲突，能够重新分配闲置资源。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑InternetInternet网络拓扑五、实验要求1、要求内网用户能够自动获取到IP地址以及DNS；2、要求内网用户获取到IP地址后能直接访问外网六、实验步骤第一步：设置DHCP地址池首先在创建DHCP前先要创建一个地址池，目的是PC获取地址时从该网段中来获取IP。如下图设置好池名称、地址范围、网关、掩码和租约时间后点击确定即可。另外如果需要内网PC自动获取DNS地址的话，需要在编辑下该地址池，在高级设置中填写DNS地址第二步：设置DHCP服务在网络/DHCP/服务中选择启用DHCP的服务接口。选择创建的DHCP服务器地址池即可第三步：验证内网PC使用自动获取IP地址的方式来获取IP地址，可以看到PC已经获取到6的ip地址网关为，DNS地址是01七、共同思考1、如果DHCPServer设置在出口路由器上，内网为一个路由模式的防火墙，此时需要在防火墙上如何操作？八、课后练习1、出口防火墙上设置DHCPServer，内网用户使用DHCP的方式来获取ip地址和dns，测试内网用户是否可以成功获取ip地址，并验证获取ip地址后看是否可以访问外网。实验十防火墙DNS代理配置一、实验目的1、了解什么是DNS代理？2、知道在什么情况下使用DNS代理，并学会如何在防火墙上设置DNS代理？二、应用环境DNS代理功能就是防火墙作为DNS代理服务器，为与其连接的PC等（客户端）提供DNS代理功能。也就是说客户端将DNS地址指定为防火墙的IP，客户端所有的域名解析请求都发往防火墙，由防火墙完成解析动作并将结果反馈给客户端。这个功能可大大减少对客户端DNS维护的工作量。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑InternetInternet网络拓扑五、实验要求1、将内网用户DNS地址设置成防火墙内网口地址，内网用户可以访问网页，能够解析成功。六、实验步骤第一步：配置DNS服务器在防火墙/网络/DNS中设置DNS服务器地址第二步：配置DNS代理在网络/DNS/代理中，设置代理服务。域名选择点击确定后即可，此时DNS代理地址使用的是防火墙本身的DNS地址第三步：启用接口DNS代理编辑内网接口eth0/0点击高级设置，在高级设置中将DNS代理勾选七、共同思考1、对于做透明模式的防火墙是否可以设置DNS代理，如何设置？八、课后练习1、出口防火墙使用DNS代理，内网用户PC上设置DNS时设置防火墙内网口地址，测试用户在访问外网时是否可以解析成功。实验十一防火墙DDNS配置一、实验目的1、了解什么是DDNS，通过我们常用的有哪几种DDNS？神州数码多核防火墙支持哪几种DDNS？2、DDNS有什么用途，在什么情况会用到DDNS？二、应用环境DDNS是动态域名服务（DynamicDomainNameServer）的缩写，可以实现固定域名到动态IP地址之间的解析。通常情况下，用户每次连接因特网时都会从ISP得到一个动态IP地址，即用户每次连接因特网得到的IP地址都不同。动态域名解析功能可以将域名动态的绑定到用户每次获得的不同IP地址上，每次当用户连接到因特网时，它都会自动更新自己的动态IP与域名的绑定。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑InternetInternet网络拓扑PPPOE拨号五、实验要求1、首先到网站申请一个DDNS账号，然后在该账号下申请一个动态域名2、在防火墙上设置DDNS账号，并将动态域名绑定在防火墙上。看DDNS是否可以登录到服务器，并测试动态域名是否能够解析。六、实验步骤第一步：配置DNS服务器在防火墙/网络/DNS中设置DNS服务器地址第二步：配置DDNS服务在网络/DDNS服务中，点击，创建DDNS名称test，选择服务器类型3322.org，设置DDNS的用户名和密码，然后点击确定即可。第三步：绑定DDNS服务名称到接口在网络/DDNS/配置中，只有把配置的DDNS服务名称绑定到接口上，当接口IP地址发生变变化时，域名才能按照DDNS参数进行更新。第四步：验证DDNS是否运行成功可以在命令行使用命令showddnsstatetest来查看DDNS运行状态，看是否运行成功。如果UpdateResutl状态为UpdateOK说明该DDNS账号已经登陆成功。DCFW-1800#showddnsstatetestDdnsName:testInterfaceName:ethernet0/1LastUpdateTime(s):-1159LastUpdateResult:UpdateOKLastUpdateIp:19NextUpdateTime(s):85241可以在互联网上找一台主机，ping看是否可以解析，解析出来地址是否正确。从上图中可以看到，解析出来地址为外网口地址。七、共同思考1、使用DDNS对于无法获得固定合法IP而又需要向互联网发布服务的情况是否可以解决2、DDNS对于设备间使用动态IP地址建立VPN隧道能否解决八、课后练习1、请将申请的DDNS账号和域名设置到使用PPPOE拨号的防火墙，防火墙重启重新拨号后看解析动态域名的地址是否会更新实验十二防火墙负载均衡配置一、实验目的1、使用防火墙如何设置负载均衡的配置；2、在防火墙上如何设置监控地址二、应用环境防火墙作为出口设置时，当外网线路为两条或者多条链路时，内网在访问外网时几条外线可以均衡选路；另外其中一条外网出现故障后，内网用户不会受影响，可以通过其他链路访问外网。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑 InternetInternet网络拓扑Internet五、实验要求1、要求内网访问外网时两条外网负载均衡2、一旦其中一条链路出现故障后，可以通过另外一条链路访问外网六、实验步骤第一步：设置接口地址，添加安全域（略）第二步：添加路由，选择均衡方式，设置监控地址防火墙两条外线，首先要创建两条等价的缺省路由，所谓等价指优先级相同。我们在下图中已经创建了第一条缺省路由，网关为这里的子网掩码既可以写成这里的子网掩码既可以写成0也可以写成，防火墙会自动识别优先级即管理距离,取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优先使用路由权值决定负载均衡中流量转发的比重然后再创建一条缺省路由，网关为17下图可以看到在目的路由中创建的两条缺省等价路由优先级相同都为优先级相同都为1，即为两条等价路由状态活跃代表路由为生效状态当两条线路带宽相同时,两条路由的权值可以设置相等的值设置均衡方式防火墙做负载均衡时有三种均衡方式，设置均衡方式只能在命令行下实现DCFW-1800(config)#ecmp-route-select?by-5-tupleConfigureECMPHashAs5Tupleby-srcConfigureECMPHashAsSourceIPby-src-and-dstConfigureECMPHashAsSourceIPandDestIPby-5-tuple–基于五元组（源IP地址、目的IP地址、源端口、目的端口和服务类型）作哈希选路（hash）。by-src–基于源IP地址作哈希选路（hash）。by-src-and-dst-基于源IP地址和目的IP地址作哈希选路（hash）。默认情况下，基于源IP地址和目的IP地址做哈希选路（hash）。默认防火墙使用的是by-src-and-dst均衡方式设置监控地址设置监控地址的目的是一旦检测到监控地址不能通讯时，则内网访问外网的数据包不再转发到该外网口，只将数据包从另外一条外线转发目前2.5R5及之前版本只能在命令行下设置监控地址track"track-for-eth0/1"ip17interfaceethernet0/1track"track-for-eth0/2"ipinterfaceethernet0/2注：以上命令只是设置监控对象，监控对象名称为track-for-eth0/1，监控地址是17，监控数据包出接口为e0/1接口interfaceethernet0/1zone"untrust"ipaddress1948monitortrack"track-for-eth0/1“注：以上命令为在接口模式下调用创建的监控对象第三步：设置源NAT策略（略）第四步：设置安全策略（略）七、共同思考1、在上述实验中，如何设置才能让其中一条链路不再转发数据报文（除将该外网接口down），将报文从另外一条链路转发八、课后练习1、设备一个两台防火墙做HA的实验，通过在主设备上制造故障切换备用设备看下链路是否会有丢包，如果有丢包会出现几个丢包；再把主设备恢复正常后备份设备切换主设备时是否有丢包，有的话会有几个丢包？实验十三防火墙源路由配置一、实验目的1、了解什么是源路由？在什么环境下需要设置源路由？2、学会在防火墙上如何设置源路由？二、应用环境源路由也是手工定义的一种路由，它与目的路由的不同之处在于他的选路依据是以数据包的源地址做出的。防火墙在检测出数据包的源地址与源路由表项匹配后不管目的地址是多少都直接转发至源路由表中定义的下一跳网关IP。源路由的优先级要高于目的路由。源路由在出口为多链路情况下使用三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑InternetInternet网络拓扑Internet内网：/16五、实验要求1、针对内网用户/24在访问外网时通过eth0/1的外网线路，内网用户/24在访问外网时通eth0/2的外网线路。六、实验步骤第一步：设置接口地址，添加安全域（略）第二步：添加源路由在网络/路由/源路由中，新增一条源路由，设置内网网段/24从下一条网关17访问外网设备内网用户地址网段设备内网用户地址网段同样的方法设置从访问外网设备内网用户地址网段设备内网用户地址网段第三步：设置源NAT策略（略）第四步：设置安全策略（略）七、共同思考1、我们对于出口多链路时可以设置针对内网源地址去选路，但是是否可以针对服务项去选择出口网关呢？请参考说明书策略路由设置2、如果在目的路由设置到A网段指向网关C，那对于设置了源路由的网段在访问A访问时是否会走网关C？为什么八、课后练习1、请实现使用防火墙设置源路由，针对内网主机A访问外网时网关指向B地址，针对内网其他网段指向缺省网关C验十四防火墙双机热备配置一、实验目的1、了解双机热备在什么环境下使用，并学会如何配置HA；2、了解HA配置中一些参数的含义，学会如何手工同步配置二、应用环境防火墙为需要高可靠性服务的用户提供的双机热备(HA)解决方案。HA能够在主设备通信线路或发生故障时提供及时的备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。正常情况下主设备处于活动状态，转发报文，当主设备出现故障时，备份设备接替其工作，转发报文。这样就保证了网络通信的不间断进行，极大地提高了通信的可靠性。另外启用HA的两台防火墙的硬件型号和软件版本必须相同！三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线2条(4)PC机1台四、实验拓扑InternetInternet五、实验要求1、将主备设备出现故障后，备用设备能马上顶替主设备转发报文六、实验步骤第一步：防火墙上添加监控对象用户可以为设备指定监测对象，监控设备的工作状态。一旦发现设备不能正常工作，即采取相应措施。目前设备监控对象只能在命令行实现在A墙上CLI下全局配置监控对象hostname(config)#trackjudyhostname(config-trackip)#interfaceethernet0/0weight255hostname(config-trackip)#interfaceethernet0/1weight255hostname(config-trackip)#exithostname(config)#第二步：防火墙的HA组列表配置首先在A防火墙上在系统/HA/组列表中点击新建对于组列表中的参数我们只要填写组ID为0，设置一个优先级，选择监控地址即可。其他参数可以使用系统默认值指定指定HA组的ID，范围是0到7。当前版本用户只可以将ID指定为0。Hello报文间隔指HA设备向HA组中的其它设备发送心跳（Hello报文）的时间间隔。同一个HA组的设备的Hello报文间隔时间必须相同指定失去心跳的警戒值，即如果设备没有收到对方设备的该命令指定个数的Hello报文，就判断对方无心跳。抢占模式，一旦设备发现自己的优先级高于主设备，就会将自己升级为主设备，而原先的主设备将变为备份设备；当备份设备升级为主设备时，新主设备需要向网络中发送ARP请求包，通知相关网络设备更新其ARP表。该命令用来指定升级为主设备的设备向外发送ARP包的个数。用户可以为设备指定监测对象，监控设备的工作状态。一旦发现设备不能正常工作，即采取相应措施优先级用于HA选举。优先级高（数字小）的会被选举为主设备设备完A防火墙的组列表后，同样在B防火墙上设置组列表，除优先级设置不同外，其他参数要与A墙参数一致。其中优先级不同的原因是在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。优先级高的防火墙将被选举为主设备。第三步：防火墙HA基本配置在A防火墙系统/HA/基本配置中设置HA连接接口即心跳接口、HA连接接口IP即心跳地址和HA簇指定指定HA的接口，最多可以指定两个HA接口将两台设备添加到HA簇中，才能够使设备的HA功能生效。而且两台设备的簇必须相同HA接口互联地址在A墙上设置完HA基本配置后，在B墙上设置相同的心跳接口和HA簇，心跳地址要设置成与A墙同网段的心跳地址。命令行下配置如下：hostname(config)#halinkinterfaceethernet0/4hostname(config)#halinkip/24hostname(config)#hacluster1第四步：配置接口管理地址处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所有我们在通过接口地址去管理防火墙时此时只能登陆处于主状态的防火墙。如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址首先我们在A墙上设置内网接口管理地址为1/24命令行下命令如下：hostname(config)#interfaceethernet0/0hostname(config-if-eth0/1)#manageip1然后在防火墙B上设置接口的管理地址命令行下命令如下：hostname(config)#interfaceethernet0/0hostname(config-if-eth0/1)#manageip2第五步：将主设备配置同步到备份设备将两台墙连接入网络中并使用网线将两台防火墙的心跳接口eth0/4连接起来，在主设备上执行以下命令hostname(config)#exechasyncconfiguration此时主设备的配置便会同步到备份设备七、共同思考1、两台防火墙，将其中一台配置做好后，启用HA功能后将两台防火墙放到网络中发现设置完配置的防火墙配置竟然空了。请思考下是什么原因导致？八、课后练习1、请使用两台同型号的防火墙，使用2.5R5版本，配置好HA后，将处于主状态的防火墙外线拔掉后看内网PC访问外网是否会有短时掉线？如果一直ping包是否会有丢包？实验十五防火墙QoS配置一、实验目的1、学会如何针对内网用户针对ip做流量限制2、学会如何针对内网用户针对p2p做带宽限制二、应用环境QoS（QualityofService）即“服务质量”。它是指网络为特定流量提供更高优先服务的同时控制抖动和延迟的能力，并且能够降低数据传输丢包率。当网络过载或拥塞时，QoS能够确保重要业务流量的正常传输。在互联网飞速发展的今天，网络中各种需要高带宽的应用层出不穷，而传统通讯业务中的音频、视频等应用也加速向互联网融合，在这种趋势下就对网络为应用提供可预测、可管控的带宽服务提出了更高的要求。DCFW-1800系列防火墙提供了完善的QoS解决方案，能够对流经防火墙的各种流量实施细致深入的流控策略，能够实现对用户带宽和应用带宽的有效管理，可以根据不同网络应用的重要性为其提供不同的转发优先级。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线n条(4)PC机1台四、实验拓扑InternetInternet网络拓扑五、实验要求防火墙出口带宽为100Mbps，内网最多有200台PC。1、要求P2P的总流量不能超过50Mbps2、每个用户的上、下行最大带宽均不能超过400kbps六、实验步骤其中第一步到第三步实现要求一，第四步到第七步实现要求二。第一步：在QoS中创建一个class，将P2P协议将入到该class首先在网络/QoS/类别中，将P2P的协议类型加入到一个分组中，分组名称“P2P”112第二步：创建QoSProfile,在Profile里做出对P2P流量的限制在网络/QoS/Profile中，设置一个app-qos-profile名称为limit-p2p-50M，然后将之前创建好的“P2P”class加入到右边成员中点击确定。11定义Profile名称将选中的可用Class推送至右侧然后重新编辑该profile分组，在针对“P2P”class设置带宽限制编辑已添加的编辑已添加的Class成员“p2p”的动作属性“Class-default”是每个QoSProfile中缺省存在的Class，表示未匹配任何一个Class后剩下的其他数据针对P2P的协议限制带宽到50M这表示传输速率上限为这表示传输速率上限为50Mbps第三步：将P2P限流Profile绑定到广域网入接口eth0/1上将之前创建的“limit-p2p-50M”profile绑定到外网接口的入方向上，就可以实现限制内网下载P2P到50M的流量。外网接口外网接口点击编辑编辑辑将定义好的QoSProfile绑定到eth0/1接口的入方向上也就是流入防火墙的方向，这样就可以起到限制P2P下载的作用第四步：使用内网IP地址范围创建QoSClass首先将限制带宽的内网地址设置一个class，名称为“ip-range”，地址范围为-00命名命名Class第五步：创建QoSProfile，并将创建好的IP范围Class加入其中创建一个名称为“per-ip-bw-limit”的profile，创建profile时选择ip-qos-profile，然后将之前创建的“ip-range”class拉到右边的成员栏中点击确定命名命名Profile第六步：编辑QoSClass，对每IP的带宽做出限制重新编辑peofile“per-ip-bw-limit”然后针对“ip-range”的class做限速，限制每ip带宽为400K，开启弹性QoS后能达到的最大带宽为800K第七步：将QoSProfile绑定到外网接口将创建的“per-ip-bw-limit”的profilre绑定到接口上，一般来说ip-qos要绑定在接口的第二级别上，我们在外网上出入方向上都绑定该profile，即针对ip-range内的PC上下行都限制到400K。在在eth0/1接口的出、入方向上分别绑定Profile将对每个IP的上下行带宽都做出限制七、共同思考1、当配置QoS功能后，不同的IP地址可获得的最大带宽通常会被限制在一个数值之内，此时，即使接口有闲置带宽，被限制的IP也不可以使用，造成资源的浪费。针对这一现象应该如何避免？请参考说明书弹性QoS八、课后练习1、限制内网所有用户下载外网FTP总流量不超过10M2、将内网ip分成两个网段，针对网段一设置每ip限速512 k，针对网段二设置每ip限速1M，如何设置？实验十六防火墙Web认证配置哪个一、实验目的哪个1、了解什么环境下使用防火墙的Web认证功能2、学会如果设置防火墙的Web认证，知道角色的含义二、应用环境为内网用户在认证服务器上创建用户名、口令，并在防火墙上创建基于用户角色的安全策略，当内网用户通过防火墙访问其他安全域的资源时首先需要输入用户名、密码进行认证，认证通过后方可访问策略允许的服务或资源。使用Web认证的好处是：避免了在针对用户IP地址进行控制时，非授权用户通过私自修改IP地址来获得他人的访问权限。而Web认证完全不关心客户配置了什么IP地址，仅根据用户角色来判断其权限，这样就能对每个用户做到有效的管控。三、实验设备(1)防火墙设备1台(2)Console线1条(3)网络线n条(4)PC机2台四、实验拓扑InternetInternet第一次通过web访问外网eth0/0:1/24Zone：Trusteth0/2:18/24th0/1Zone：Untrust/24认证通过予以放行五、实验要求内网用户首次访问Internet时需要通过WEB认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web页面，usergroup2组中的用户通过认证后仅能使用使用