网络建设实训教程 课件 项目6 防火墙的配置

CONTENTS目录

NAT原理与实战

IPSec

VPN深度配置

双机热备高可用

综合拓展与总结

课程导航与目标

Zone与安全策略课程导航与目标知识

·

能力

·

素质三维

一体知识线覆盖ACL

、NAT、IPSec、HA;

能力线聚焦独立配置、监控、优化；素质线把国家安全、法治精神、终身学习嵌入技术训练，构建立体成长坐标。

课程定位与三维目标

技术一规范一责任框架先建立“技术正确”,再落实“规范合规”,最终上升到“安全责任”,让每条命令背后都有法可依、有责可追，形成可持续的职业底线。四段式成长路径“Zone+策略”切域→“源NAT”出海

→

"IPSec”加密

→“双机热备”兜底，一张图看懂防火墙全生命周

期，避免碎片记忆。核心任务图谱与路径Zone

与安全策略PART区域与VLAN本质差

异VLAN

只做广播隔离，区

域自带策略控制点，实现

“二层隔离+三层管控”一

步到位，是防火墙区别于

交换机的核心特征。接口→

区域一次性映

射e0/1

划Trust、e0/2划DMZ,映射后端口IP即具备安全上下文，任何策略变更只需调用区域名，无

需再关心端口。四大区域信任梯度Trust>DMZ>Untrust>Local,信任值依次递减，接口划入即生效，无需重

启，奠定后续所有策略的匹配基准。安全区域模型与接口绑定五元组匹配顺序默认拒绝原则源区→

目的区→源地址→

目的地址→服务，自上而下命

中即停止，序号小的优先，写错顺序等于白写。无匹配策略一律丢弃，反向流量需单独放行，PC1能ping

Server、Server不能ping

PC1,直观验证不对称性。命名规范最小权限落地源-目的-服务-动作-序号，如Trust-DMZ-HTTP-Allow-

10,排障时秒级定位，避免“rule-1、rule-2”式失忆。先放必要端口，末尾再deny

ip

any

any,让策略条数与

风险面同步递减，实现“允许列表”式治理。策略语法与单向流量控制NAT原理与实战PARTNAT三大形态与地址池规划地址池设计避坑命名POOL-OUT-202x,范围与出接口IP同段且排除网关地址，掩码一致防止ARP冲突，池枯竭会直接丢包。静态

·动态

·PAT对比静态一对一最浪费但利于双向访问；动态池方式多对多需提前规划回收；PAT多对一最省公网IP,适合出海上网，是实训首选。三角依赖关系默认路由保证可达→

安全策略放行→源NAT转换地址，三步

缺一不可；ping通后displaynat

session可查动态表

,验证转换生效。源NAT策略与路由联动IPSecVPN深度配置PARTSA

生命周期IKE

SA

86400秒、IPSecSA3600秒，前者慢协商、后者快更新，配合

PFS实现“前向保密”,历史流量即使密钥泄露也无法解密。IKE主模式六元组加密、认证、DH、存活时间、本地ID、对端ID六参数必须镜像一致，否则

卡在MM_NO_STATE;3DES+MD5兼顾老旧设备兼容。预共享密钥强度Key-BJ-SH-2024≥12

位，含大小写、数字、符号，关闭WebUI

可显

示选项，防止肩窥泄露，

一旦泄露需两端同步更换。IKE提案与预共享密钥设计Proxy

-

ID精确匹配124←→

/24,Internet流量自动走明文，避免把公网流量误拉进隧道导致性能骤降。P

F

S

完

美

前

向

保

密开启后IPSecSA密钥与IKESA解耦，即使长期IKE密钥被破解

,也无法回溯解密过往数据，提供额外保险。双

上

限

策

略时间3600秒+流量100MB,先到先换，既防重放又避免高流量场景下密钥使用过度，平衡性能与安全。S

A

计

数

验

证displayipsecsa查看In/Out字节持续增长，证明加密通道正在工作，字节不动等于隧道空闲或策略未命中。子网级保护流量与SA生存期隧道验证与故障分层排查四层验证法Ping通→Traceroute走隧道→SA

计数增长→IKE状态ACTIVE,

层层递

进；若中断按路由、Proxy-ID、密钥、NAT-T顺序逐点破解，10分钟

定位90%故障。双机热备高可用PARTPARTTrack链路监测监控e0/1、e0/2

上下行链路，任一接口Down即触

发切换，拔线实验亚秒级

完成，业务Ping包仅丢1

个。ART优先级决定主备数值越小越优先，FW1=50、FW2=100,抢

占开启，故障恢复后自动

回切，无需人工半夜进机

房。A-P

模式与优先级选举配置同步与会话保持实时同步四要素配置、会话表、IPSec

SA、ARP表通过心跳线实时镜像，切换后新主立刻接管老连接，客户端无感知；同步失败先查心跳口物理层与MTU

一致性。双

H

A

组

负

载

分

担跨

组

会

话

不

同

步组0:FW1主/24,组1:默认组间会话不备份，适合HTTP、DNSFW2主/24,各带流量实现等短连接；长连接业务需评估是否接受50%+50%利用率，资源不闲置。重传。十抢

占

与

回

切

策

略选型建议每组独立优先级+抢占，互不影响，配置高吞吐、无状态场景选A-A;低延迟、复杂度翻倍，需标准化命名避免混乱。长连接选A-P,避免为双主而双主，增加不必要运维成本。A-A

负载分担与多组设计综合拓展与总结PARTWebUI

可视化与GRE

扩展场景价值大型分支互连需要跑OSPF、multicast

时，纯IPSec

无法满足，GRE提供隧道载体，IPSec

提供加密,二者互补。GRE

over

IPSec模板先建GRE

隧道接口，再纳入Zone

施

加策略，最后对GRE

流量套IPSec加

密，实现多协议承载+动态路由。拖拽式策略编排WebUI

拖拽完成Zone、NAT、VPN配置，底层调用与CLI完全一致，降

低入门门槛，适合多部门协同审核IPv6时代NAT变革与云防火墙IPv6地址无限≠无NATNAT66需求下降，但NAT64过渡、隐私保护仍需状态防火墙；策略重心从地址转换转向应用层检测。云

防

火

墙

即

服

务FWaaS弹性扩容、威胁情报秒级联动、API驱动自动化，适合突发流量；本地硬件在低延迟、数据主权场景仍不可

替代。课程回顾与能力自测一张图+一张表+10道题图串Zone、NAT、IPSec、HA关键命令，表

列验证思路，10题覆盖90%知识点，80%正

确即达独立运维DCFW-1800标准；自测截图

上传社群，互相评审形成闭环。网络工程师：深钻路由交换+Python自动化；安全运维：日志分析+应急响三大通道应；渗透测试：逆向+漏洞研究，防火墙只是起点。认证路线