项目5-任务2 防火墙安全策略的配置与调试 - 副本

实训任务书项目5防火墙技术的配置与调试任务2防火墙NAT的配置与调试班级：学号：目录一、实训目标 2二、实训环境 2三、任务描述 2四、任务分析 2五、实训内容 21、子任务1防火墙初始化与端口IP地址配置 22、子任务1结果提交 33、子任务2配置NAT策略 34、子任务2结果提交 45、任务拓展（选做） 46、任务拓展结果提交（选做） 7五、实训总结 81、收获与心得体会 82、存在的问题 8实训目标1、掌握防火墙基础配置：能够熟练使用华为eNSP仿真软件搭建网络拓扑，登录防火墙（USG6000V），并正确配置接口的IP地址。2、理解安全区域概念：理解防火墙安全区域（SecurityZone）的作用，掌握将物理接口划分到Trust（信任）、Untrust（非信任）等不同安全区域的方法。3、掌握安全策略配置：理解防火墙默认禁止所有流量通过的机制，能够配置安全策略（SecurityPolicy），允许内网（Trust）访问外网（Untrust）。4、掌握NAT策略配置：理解网络地址转换（NAT）的原理，掌握使用EasyIP方式配置NAT策略，实现私网IP地址转换为公网接口IP地址访问互联网。二、实训环境双核计算机，内存4G以上，并安装以下软件：1、Windows7即以上操作系统，安装华为eNSP软件（V100R001C00版本及以上）。2、实训用到的素材文件，请从配套课程网站下载或者教材配套电子资源中获取。三、任务描述图5-15配置防火墙NAT的网络拓扑图为了增强公司的网络安全，公司在其网络边界部署了防火墙，将其作为公司内网到互联网的出口，并承担安全网关的职责。为了让公司内网用户都能安全地访问互联网，公司申请了一个公共网络（简称“公网”）IP地址

1.1.1.1/24，小王需要在防火墙上配置NAT功能，实现公司内网IP地址与公网IP地址的转换。配置图5-15配置防火墙NAT的网络拓扑图四、任务分析为防火墙FW的各个端口配置IP地址，并将端口划分到对应的安全区域（Trust区域和Untrust区域）中，配置安全策略，允许公司内网用户可以访问互联网，配置NAT策略使内网IP地址可以转换成公网IP地址。五、实训内容（1）搭建网络拓扑。根据图5-15所示的网络拓扑图，使用华为eNSP搭建网络拓扑。防火墙FW使用的设备型号为USG6000V，初始账号为admin，初始密码为Admin@123，交换机使用的设备型号为S3700。设备的端口和IP地址规划表如表5-3所示。表5-3设备的端口和IP地址规划表设备名称端口IP地址网关FWGE1/0/0192.168.1.254/24无GE1/0/21.1.1.1/24无PC1NIC192.168.1.1/24192.168.1.254PC2NIC192.168.1.1/24192.168.1.254PC3（模拟互联网）NIC1.1.1.2/24无（2）配置防火墙的端口IP地址和安全区域，完成网络基本参数的配置。①配置GE1/0/2端口的IP地址。②配置GE1/0/0端口的IP地址。③将GE1/0/2端口划分到Untrust区域中。④将GE1/0/0端口划分到Trust区域中。操作要求：在FW的用户视图或系统视图下输入查看命令displayipinterfacebrief。截图需包含命令输入及输出结果。验证要点：接口

GE1/0/0

的IP地址显示为

192.168.1.254

且状态为

up。接口

GE1/0/2

的IP地址显示为

1.1.1.1

且状态为

up操作要求：在FW的用户视图或系统视图下，使用查看防火墙区域配置的命令displayzone。验证要点：输出信息中Trust区域下包含接口GigabitEthernet1/0/0。输出信息中Untrust区域下包含接口GigabitEthernet1/0/2（1）配置安全策略。配置安全策略，允许内网（Trust区域）访问互联网（Untrust区域）。[FW]security-policy[FW-policy-security]rulenamepolicyA //配置安全策略的名称为policyA[FW-policysecurity-rule-policyA]source-zonetrust //配置源安全区域为Trust区域[FW-policy-security-rule-policyA]destination-zoneuntrust //配置目的安全区域为Untrust区域[FW-policy-security-rule-policyA]source-address192.168.1.024 //配置源地址为

192.168.1.0/24[FW-policy-security-rule-policyA]destination-addressany //配置目标地址为任意[FW-policy-security-rule-policyA]actionpermit//配置允许匹配安全策略中规则的数据通过[FW-policy-security-rule-policyA]quit[FW-policy-security]quit（2）配置NAT策略。使用EasyIP的方法，允许Trust区域中的192.168.1.0/24网段能转换成出口地址（GE1/0/2端口的IP地址）访问Untrust区域。[FW]nat-policy[FW-policy-nat]rulenamepolicy_nat //配置NAT策略的名称为policy_nat[FW-policy-nat-rule-policy_nat]source-address192.168.1.024 //配置源地址为192.168.1.0/24[FW-policy-nat-rule-policy_nat]destination-addressany /配置目的地址为任意[FW-policy-nat-rule-policy_nat]source-zonetrust //配置源安全区域为Trust区域[FW-policy-nat-rule-policy_nat]destination-zoneuntrust //配置目的安全区域为Untrust区域[FW-policy-nat-rule-policy_nat]egress-interfaceGigabitEthernet1/0/2 //配置NAT策略的出站端口[FW-policy-nat-rule-policy_nat]actionsource-nateasy-ip //使用EasyIP方法进行转换[FW-policy-nat-rule-policy_nat]quit操作要求：在FW的用户视图或系统视图下，使用查看安全策略的命令displaysecurity-policyrulenamepolicyA。展示名为policyA的规则，确认其源区域为Trust，目的区域为Untrust，动作（Action）为Permit（允许）。验证要点：存在规则名称为policyA的条目。该规则的源区域（SourceZone）为trust，目的区域（DestinationZone）为untrust。该规则的动作（Action）显示为permit。操作要求：在FW的用户视图或系统视图下，使用查看NAT策略的命令displaynat-policyrulenamepolicy_nat。验证要点：存在规则名称为policy_nat的条目。该规则的源地址（SourceAddress）包含192.168.1.0/24。该规则的动作（Action）显示为source-nat且模式为easy-ip。随着公司业务规模的扩大，公司网络划分了不同的VLAN。为了实现VLAN间的互联互通及核心业务支撑，公司采购了三层交换机用于实现VLAN间路由，还采购了服务器用于提升工作效率。小王需要重新配置三层交换机和防火墙，允许Trust区域与DMZ区域可以相互访问，允许Trust区域和DMZ区域均可以访问Untrust区域，允许Trust区域和DMZ区域中的网段均可以通过NAT转换成防火墙的出口地址访问互联网。网络拓扑图如图5-17所示，设备的端口和IP地址规划表如表5-4所示。.图5-17任务拓展的网络拓扑图表5-4设备的端口和IP地址规划表设备名称端口/VLANIF端口IP地址网关FWGE1/0/0192.168.100.254/24无GE1/0/21.1.1.1/24无GE1/0/3192.168.200.254/24无SW1VLANIF10192.168.1.254/24无VLANIF20192.168.2.254/24无VLANIF100192.168.100.1/24无PC1VLAN10192.168.1.1/24192.168.1.254PC2VLAN20192.168.2.1/24192.168.2.254公司服务器NIC192.168.200.1/24192.168.200.254PC3（模拟互联网）NIC1.1.1.2/24无（1）根据表5-4配置各设备的IP地址。SW1使用的设备型号为S5700，FW使用的设备型号为USG6000V。（2）配置SW1的三层交换，使VLAN10和VLAN20能相互访问，能通过SW1的GE0/0/3端口（VLANIF100端口）访问FW。<Huawei>system-view[Huawei]sysnameSW1[SW1]vlanbatch1020100//创建VLAN10、20、100//配置VLANIF接口（三层交换网关）[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress192.168.1.25424[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress192.168.2.25424[SW1-Vlanif20]quit[SW1]interfaceVlanif100[SW1-Vlanif100]ipaddress192.168.100.124[SW1-Vlanif100]quit//配置物理接口与VLAN的映射[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]portlink-typeaccess[SW1-GigabitEthernet0/0/1]portdefaultvlan10[SW1-GigabitEthernet0/0/1]quit[SW1]interfaceGigabitEthernet0/0/2[SW1-GigabitEthernet0/0/2]portlink-typeaccess[SW1-GigabitEthernet0/0/2]portdefaultvlan20[SW1-GigabitEthernet0/0/2]quit[SW1]interfaceGigabitEthernet0/0/3[SW1-GigabitEthernet0/0/3]portlink-typeaccess[SW1-GigabitEthernet0/0/3]portdefaultvlan100[SW1-GigabitEthernet0/0/3]quit（3）配置FW的端口IP地址和安全区域，将FW的GE1/0/0端口划分到Trust区域中，将FW的GE1/0/2端口划分到Untrust区域中，将FW的GE1/0/3端口划分到DMZ区域中。<USG6000V>system-view[USG6000V]sysnameFW//配置接口IP地址[FW]interfaceGigabitEthernet1/0/0[FW-GigabitEthernet1/0/0]ipaddress192.168.100.25424[FW-GigabitEthernet1/0/0]quit[FW]interfaceGigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]ipaddress1.1.1.124[FW-GigabitEthernet1/0/2]quit[FW]interfaceGigabitEthernet1/0/3[FW-GigabitEthernet1/0/3]ipaddress192.168.200.25424[FW-GigabitEthernet1/0/3]quit//划分安全区域[FW]firewallzonetrust[FW-zone-trust]addinterfaceGigabitEthernet1/0/0[FW-zone-trust]quit[FW]firewallzoneuntrust[FW-zone-untrust]addinterfaceGigabitEthernet1/0/2[FW-zone-untrust]quit[FW]firewallzonedmz[FW-zone-dmz]addinterfaceGigabitEthernet1/0/3[FW-zone-dmz]quit（4）配置防火墙的安全策略，允许Trust区域和DMZ区域可以相互访问，允许Trust区域和DMZ区域均可以访问Untrust区域。[FW]security-policy//允许Trust与DMZ互访[FW-policy-security]rulenametrust_to_dmz[FW-policy-security-rule-trust_to_dmz]source-zonetrust[FW-policy-security-rule-trust_to_dmz]destination-zonedmz[FW-policy-security-rule-trust_to_dmz]actionpermit[FW-policy-security-rule-trust_to_dmz]quit[FW-policy-security]rulenamedmz_to_trust[FW-policy-security-rule-dmz_to_trust]source-zonedmz[FW-policy-security-rule-dmz_to_trust]destination-zonetrust[FW-policy-security-rule-dmz_to_trust]actionpermit[FW-policy-security-rule-dmz_to_trust]quit//允许Trust与DMZ访问Untrust[FW-policy-security]rulenametrust_to_untrust[FW-policy-security-rule-trust_to_untrust]source-zonetrust[FW-policy-security-rule-trust_to_untrust]destination-zoneuntrust[FW-policy-security-rule-trust_to_untrust]actionpermit[FW-policy-security-rule-trust_to_untrust]quit[FW-policy-security]rulenamedmz_to_untrust[FW-policy-security-rule-dmz_to_untrust]source-zonedmz[FW-policy-security-rule-dmz_to_untrust]destination-zoneuntrust[FW-policy-security-rule-dmz_to_untrust]actionpermit[FW-policy-security-rule-dmz_to_untrust]quit[FW-policy-security]quit配置NAT策略，使用EasyIP方法，允许Trust区域中的192.168.1.0/24网段和192.168.2.0/24网段均可以转换成防火墙的出口地址（GE1/0/2端口的IP地址）访问互联网（Untrust区域）。[FW]nat-policy//配置Trust区域网段访问Untrust的NAT转换[FW-policy-nat]rulenametrust_nat[FW-policy-nat-rule-trust_nat]source-zonetrust[FW-policy-nat-rule-trust_nat]destination-zoneuntrust[FW-policy-nat-rule-trust_nat]