项目5-任务1-子任务2-教案 防火墙安全策略的配置与调试

教案二：防火墙安全策略的配置与调试一、基本信息课程名称《网络设备安装与调试》课题名称任务5-2：防火墙安全策略的配置与调试授课班级计算机大类专业二年级学生授课时间2学时（80分钟）授课类型理实一体化、新授课授课地点网络技术实训机房授课学时40分钟×2学时教材分析本节课是项目5“防火墙技术”的核心内容。在前序课程中，学生已完成了防火墙的端口IP配置和安全区域划分。本节课在此基础上，深入学习防火墙安全策略的配置方法，包括security-policy、rulename、source-zone、destination-zone、actionpermit/deny等命令。这是实现网络访问控制的关键技术，也是网络安全工程师的核心技能之一。学情分析知识基础：学生已完成“子任务1”的学习，掌握了防火墙的基础配置方法，理解了四大安全区域的概念和作用。学生对“区域间访问需策略控制”的原则有了初步认识，但对具体如何配置安全策略仍感陌生。

能力水平：学生具备基本的命令行操作能力，能够按照文档完成简单配置。然而，学生对安全策略的“匹配顺序”、“双向策略”等概念理解不够深入，对策略命中率分析等进阶内容存在困难。

学习习惯：学生对“配置完成后能否ping通”有强烈期待，喜欢通过即时测试验证配置效果。对策略调试和排错兴趣较高，适合采用“配置-测试-分析”的循环教学法。教学目标【知识目标】：

1.能说出安全策略配置的五大要素（名称、源区域、目的区域、服务、动作）。

2.能解释安全策略的匹配顺序（从上到下逐一匹配）。

3.能理解“双向策略”在Trust与DMZ互访中的必要性。

【能力目标】：

1.能使用security-policy命令进入安全策略配置模式。

2.能正确配置允许Trust区域访问DMZ区域的安全策略。

3.能配置允许DMZ区域响应Trust区域请求的反向策略。

4.能使用displaysecurity-policyall命令查看策略配置和命中情况。

5.能使用ping命令测试区域间的连通性，验证策略效果。

【素质目标】：

1.培养学生“最小权限”的安全原则意识，避免过度开放网络权限。

2.养成“配置后必验证”的严谨职业习惯。教学重点1.使用security-policy、rulename、source-zone、destination-zone、actionpermit命令配置安全策略。

2.使用displaysecurity-policyall和ping命令验证策略效果。教学难点1.理解安全策略的匹配顺序及“命中”概念。

2.理解Trust与DMZ互访需要配置双向策略的原因。教学准备1.

教师准备：完整的eNSP拓扑文件（已完成防火墙基础配置和区域划分）、安全策略配置演示视频、策略匹配动画、超星平台课前测试题。

2.

学生准备：课前完成上节课的课后作业，复习安全区域划分命令。

3.

教学环境：eNSP仿真软件、超星学习通、多媒体教学系统。教学方法1.

项目引领、任务驱动法：以“实现Trust区域与DMZ区域互通，同时隔离Untrust区域”为核心任务，驱动整个教学过程。

2.

类比教学法：将“安全策略”比作“门禁规则”（谁、从哪来、到哪去、做什么、允许/禁止）。

3.

演示+实操法：教师分步演示安全策略配置，学生跟随操作，实现“做中学”。

4.

问题探究法：通过设置“为什么PC1ping不通PC3？”等问题，引导学生探究策略配置的必要性。板书设计任务5-2：配置防火墙安全策略

一、安全策略五要素

1.名称（rulename）→标识规则

2.源区域（source-zone）→从哪来

3.目的区域（destination-zone）→到哪去

4.服务（service）→做什么

5.动作（action）→允许/拒绝

二、配置命令

security-policy

→

rulename

→

source-zone

→

destination-zone

→

actionpermit

三、验证命令

displaysecurity-policyall、ping二、教学设计教学环节教学内容师生活动设计意图/时间1.温故知新明确任务(5分钟)1.1课前测试：通过超星平台发布3道选择题，回顾安全区域的四大类型及其作用。

1.2情境回顾：上节课我们为防火墙配置了端口IP，并将端口划分到了Trust、Untrust、DMZ区域。但此时区域之间还不能互通。本节课的任务就是配置安全策略，实现任务要求：Trust区域和DMZ区域互通，Untrust区域与其他区域隔离。

1.3明确子任务：配置安全策略，实现PC1与Server1互通、PC1与PC2互通、PC1与PC3不通。教师：

1.登录超星平台，展示测试结果，简要讲评。

2.回顾上节课的拓扑和区域划分，明确本节课任务。

3.下发本节课的“任务工单2：安全策略配置与调试”。

学生：

1.手机端或电脑端完成课前测试。

2.明确本节课的最终目标：配置安全策略，实现特定区域间的互通。通过课前测试回顾旧知，建立新旧知识的联系。明确、可验证的任务（ping通/不通）能有效激发学生的学习动机。2.新知讲授策略入门(20分钟)2.1什么是安全策略？：安全策略就是控制规则，决定哪些流量可以从一个区域到另一个区域。类比“门禁系统”——刷卡验证身份后才能通过。

2.2安全策略五要素：

-

名称（rulename）：策略的唯一标识，如tr_to_dmz。

-

源区域（source-zone）：流量从哪个区域来。

-

目的区域（destination-zone）：流量到哪个区域去。

-

服务（service）：什么类型的流量（HTTP、FTP、ICMP等），any表示所有。

-

动作（action）：permit（允许）或deny（拒绝）。

2.3策略匹配顺序：从上到下逐一匹配，匹配即停止。默认策略是deny（拒绝所有）。

2.4教师演示——配置Trust到DMZ策略：

security-policy

rulenametr_to_dmz

source-zonetrust

destination-zonedmz

serviceany

actionpermit

2.5讨论：为什么需要双向策略？：Trust访问DMZ时，请求从Trust→DMZ，响应从DMZ→Trust。如果只有单向策略，响应流量会被拒绝。因此需要配置反向策略dmz_to_tr。教师：

1.结合板书和PPT，讲解安全策略的概念和五要素。

2.用“门禁”类比帮助学生理解。

3.在eNSP中演示配置tr_to_dmz策略。

4.提出问题：“为什么PC1pingServer1不通？”引导学生思考双向策略的必要性。

学生：

1.听讲，记录五要素。

2.观看演示，理解命令含义。

3.参与讨论，理解双向策略的原理。将安全策略分解为“五要素”，降低学生记忆负担。通过“门禁”类比和问题讨论，帮助学生理解双向策略这一难点。3.任务实施动手配置(30分钟)3.1学生独立配置——Trust到DMZ策略：学生参照任务工单，在FW上配置名称为tr_to_dmz的安全策略。

3.2学生独立配置——DMZ到Trust策略：配置名称为dmz_to_tr的反向策略，允许DMZ区域访问Trust区域。

3.3验证配置：

-使用displaysecurity-policyall查看策略是否生效。

-在PC1上ping（Server1），测试连通性。

3.4测试区域隔离：

-在PC1上ping（PC3），预期不通。

-在PC1上ping（PC2），预期通（同区域默认通）。

3.5查看策略命中：使用displaysecurity-policyall查看HITTED列，分析哪些策略被匹配。

3.6上传成果：截图ping测试结果和displaysecurity-policyall输出，上传至超星平台。教师：

1.巡回指导，观察学生操作。

2.针对常见错误（如区域名拼写错误、忘记配置反向策略）进行集中讲解。

3.引导学生观察HITTED计数，理解策略匹配过程。

学生：

1.按照工单独立配置安全策略。

2.使用ping命令进行“配置-测试-验证”闭环操作。

3.分析策略命中情况，理解默认策略的作用。

4.截图上传作业。这是突破“教学重点”的核心环节。通过“配置-测试-分析”的循环，让学生深入理解安全策略的工作原理。HITTED计数的观察有助于理解策略匹配顺序。4.深入探究调试分析(15分钟)4.1策略匹配顺序实验：

-实验1：添加一条deny策略在前，观察是否还会命中后面的permit策略。

-结论：策略是自上而下匹配的，匹配即停止。

4.2默认策略分析：查看displaysecurity-policyall中的default策略（RULEID0），HITTED计数表示被默认拒绝的流量数量。

4.3排错案例讨论：

-场景：PC1ping不通Server1，但策略已配置。

-引导学生排查：区域划分是否正确？策略是否生效？反向策略是否存在？

4.4经验分享：安全策略配置的“最小权限”原则——只开放必要的访问，不需要的尽量deny。教师：

1.演示添加一条deny策略，观察匹配效果。

2.讲解default策略的作用。

3.提出排错案例，组织学生讨论。

4.强调“最小权限”安全原则。

学生：

1.跟随教师进行策略匹配实验。

2.参与排错讨论，提出自己的思路。

3.记录“最小权限”原则，理解其安全意义。通过实验和案例分析，突破“策略匹配顺序”这一教学难点。培养学生的排错思维和安全意识，提升综合职业能力。5.总结评价拓展提升(10分钟)5.1成果展示：随机抽取1-2名学生，投屏展示其ping测试结果和displaysecurity-policyall输出。

5.2课堂总结：教师引导学生回顾本节课的核心内容。

-

配置层面：安全策略五要素、配置命令格式。

-

验证层面：displaysecurity-policyall、ping测试。

-

安全理念：最小权限原则、默认拒绝策略。

5.3拓展思考：

-如果想让Untrust区域也能访问DMZ区域的Web服务，应该如何配置？

-安全策略中的service参数如何精确控制特定协议？教师：

1.组织成果展示和点评。

2.利用板书系统总结本节课知识点。

3.发布拓展思考题，为后续学习做铺垫。

学生：

1.观看展示，学习他人优点。

2.跟随教师回顾，巩固所学。

3.记录拓展思考题，课后探究。通过展示和总结，强化学生的成功体验。拓展思考题为后续学习“服务参数配置”和“Untrust区域访问控制”埋下伏笔，激发持续探索欲。三、课后作业和教学反思课后作业1.

基础作业：在现有配置基础上，添加一条安全策略，允许Trust区域的PC1通过HTTP协议访问DMZ区域的Server1（Server1需开启HTTP服务），验证配置效果。

2.

拓展作业：查阅资料，思考如果想让Untrust区域的PC3也能访问DMZ区域的Web服务，应该如何配置安全策略？写出配置命令。教学反思1.

成功之处：本节课采用“五要素”法讲解安全策略，学生能够快速掌握命令格式。通过“配置-测试-分析”的循环操作，学生对策略的作用有了直观理解。大部分学生能独立完成双