信息安全产品配置与应用-课件 项目2-防火墙基础配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.1-防火墙安全区域与安全策略配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1．理解安全区域的基本概念。2.

理解华为防火墙默认安全区域的访问规则。3.

理解安全策略的匹配机制与优先级规则。1．牢固树立“安全隔离、最小权限”的网络防护理念，以严谨审慎的态度筑牢网络安全防线。2．不断增强遵守网络安全法规的职业使命感，将维护网络安全视为职业生涯的重要责任。1.能根据业务需求划分安全区域。2.能配置基于五元组的域间访问控制策略。3.

能通过命令行验证策略生效状态。任务描述本任务要完成的工作：

XUN公司需构建内部网络的访问控制体系，根据员工角色设定对内网FTP与HTTP服务器的差异化访问权限。其中，管理员拥有对FTP和HTTP服务器的完全控制权，研发人员可访问两台服务器的FTP与HTTP服务，售后人员仅可访问HTTP服务器的HTTP服务。

“观众器者为良匠，观众病者为良医。”“为学日益，为道日损。”青年学生要多动手、多动脑,多积累。知识储备2.1.1安全区域2.1.2安全策略2.1.1安全区域防火墙的安全区域，是指具有相同安全级别的接口或子网划归逻辑单元。例如，将内网接口归为Trust区域，外网接口归为Untrust区域。华为防火墙默认预定义了四个固定的安全区域，具体如下：local区域：即本地区域，主要用于代表防火墙自身，防火墙的所有接口都属于local区域。trust区域：即可信任区域，通常用于连接内部可信网络，像企业内部的办公网络、生产网络等。untrust区域：即不受信任区域，通常用于连接外部不受信任的网络。Dmz区域：即非军事化区域，通常用于连接企业服务器区域。2.1.1安全区域防火墙安全区域的安全级别是用于标识不同安全区域的安全程度高低的，用于决定区域间的访问控制策略。每个安全区域都有一个唯一的安全优先级，取值范围是0到100。默认安全区域的安全优先级不能更改。自定义的安全区域可以设置安全优先级。华为防火墙不存在安全优先级相同的安全区域。安全区域优先级说明Local100设备本身，包括设备的各接口本身。Trust85通常用于定义内网终端用户所在区域。DMZ50通常用于定义内网服务器所在区域。Untrust5通常用于定义Internet等不安全的网络。2.1.1安全区域防火墙的安全区域划分的原则不同的接口可以加入到相同的安全区域。同一个接口不能加入到不同的安全区域接口加入到安全区域代表接口下联的网络被加入到该区域，不代表接口本身加入到该区域。2.1.2安全策略防火墙的基本作用是对进出网络的访问行为进行控制，保护特定网络免受“不信任”网络的攻击，但同时还必须允许两个网络之间可以进行合法的通信。防火墙一般通过安全策略实现以上功能。安全策略是由匹配条件（五元组、用户、时间段等）和动作组成的控制规则，防火墙收到流量后，对流量的属性（五元组、用户、时间段等）进行识别，并将流量的属性与安全策略的匹配条件进行匹配。防火墙IntranetTrustUntrust安全策略禁止通过的流量安全策略允许通过的流量2.1.2安全策略防火墙的安全域间是不同区域间流量的传输通道，而且这个通道是两个“区域”之间的唯一“线路”。安全域间的数据流动具有方向性入方向（Inbound）：数据由低级别安全区域向高级别安全区域传输的方向。

出方向（0utbound）：数据由高级别安全区域向低级别安全区域传输的方向。防火墙缺省规则

任意两个安全区域之间的任意方向流量默认是拒绝。

同一个安全区域之间任意方向流量默认是放行。防火墙Trust85DMZ50Untrust5Local100OutboundInbound2.1.2安全策略防火墙安全策略是指在防火墙上制定和实施的一系列规则和措施，是对网络流量转发以及对流量进行内容安全一体化检测的策略，确保只有符合特定条件的网络数据才能够在不同网络区域之间进行传输。其主要应用于对跨防火墙的网络互访和对防火墙本身的访问。安全策略的组成如下：2.1.2安全策略防火墙最基本的设计原则一般是没有明确允许的流量默认都会被禁止，这样能够确保防火墙一旦接入网络就能保护网络的安全。如果想要允许某流量通过，可以创建安全策略。一般针对不同的业务流量，设备上会配置多条安全策略。安全策略匹配过程如下：匹配顺序策略编号匹配条件动作Policy1:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Policy2:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）……PolicyN:匹配条件1匹配条件2……匹配条件N动作（允许/禁止）Default:匹配条件均为any动作（禁止）任务实施实施场景在XUN公司出口防火墙上完成安全区域划分和安全策略配置，实现如下步骤：1）根据拓扑图在防火墙上划分安全区域。2）管理员对内网FTP服务器和HTTP服务器进行完全控制。3）研发人员能访问内网FTP服务器的FTP服务和HTTP服务器的HTTP服务。4）售后人员只能访问内网HTTP服务器的HTTP服务。任务实施实施设备1）USG6000V防火墙1台；2）Client机3台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2和Client3网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置FTP服务器网络参数，开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

4）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24

[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24

[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024

5）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/4口加入DMZ区域，将GE1/0/5口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4

[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程

6）配置安全策略，实现管理员对内网FTP服务器和HTTP服务器进行完全控制，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient1_to_dmz[FW1-policy-security-rule-Client1_to_dmz]source-zonetrust

[FW1-policy-security-rule-Client1_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client1_to_dmz]source-address0032

[FW1-policy-security-rule-Client1_to_dmz]actionpermit配置完成后，管理员在Client1上访问FTP服务器和HTTP服务器都是允许的，也可以ping通FTP服务器。任务实施实施过程

7）配置安全策略，实现研发人员只能访问内网FTP服务器和HTTP服务器的FTP服务和HTTP服务，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient2_to_dmz[FW1-policy-security-rule-Client2_to_dmz]source-zonetrust

[FW1-policy-security-rule-Client2_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client2_to_dmz]source-address0132[FW1-policy-security-rule-Client2_to_dmz]destination-address0032[FW1-policy-security-rule-Client2_to_dmz]destination-address0032

[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port80

[FW1-policy-security-rule-Client2_to_dmz]serviceprotocoltcpdestination-port21

[FW1-policy-security-rule-Client2_to_dmz]actionpermit配置完成后，研发人员在Client2上只能访问FTP服务器的FTP服务和HTTP服务器的HTTP服务，不能访问其他服务，如在Client2上ping不通FTP服务器和HTTP服务器。任务实施实施过程

8）配置安全策略，实现售后人员只能访问内网HTTP服务器的HTTP服务，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient3_to_dmz[FW1-policy-security-rule-Client3_to_dmz]source-zonetrust[FW1-policy-security-rule-Client3_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client3_to_dmz]source-address0232[FW1-policy-security-rule-Client3_to_dmz]destination-address0032

[FW1-policy-security-rule-Client3_to_dmz]serviceprotocoltcpdestination-port80

[FW1-policy-security-rule-Client3_to_dmz]actionpermit配置完成后，售后人员在Client3上只能访问HTTP服务器的HTTP服务，不能访问其他服务，如在Client3上ping不通FTP服务器，也不能访问FTP服务。任务小结本任务介绍了华为防火墙的安全区域和安全策略的基本概念与配置方法。通过任务实施，学生可以学习安全区域划分和安全策略部署的核心技术，解决对防火墙访问控制逻辑理解不清和策略配置不准确的常见问题，深化对安全区域与安全策略协同防御机制及其在网络安全体系中重要性的理解，为后续任务实施打下坚实基础。思考题1.简述安全策略的匹配机制和优先级规则。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.2-状态检测与会话机制验证Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1．理解防火墙的状态检测技术。2.

理解防火墙的会话表。3.

理解安全域间长连接。1．牢固树立技术自主创新的核心观念，深刻认识自主创新对于提升核心竞争力的重要性。2．理解“关键信息基础设施保护”的重大责任，明晰自身在维护国家安全方面所肩负的使命。1.掌握在安全策略中使用对象的方法。2.掌握配置会话表的老化时间。3.掌握在安全域间配置长连接的方法。任务描述本任务要完成的工作：

XUN公司新增一位研发人员，该名员工使用的Client5主机IP地址为10。项目经理安排小锐调整公司防火墙安全策略，要求研发人员对FTP服务器和HTTP服务器开通ping功能。小锐通过深入理解防火墙的状态检测技术和会话机制，依据实际网络需求合理调整会话表老化时间，优化长连接配置，保障了网络的高效稳定运行。。“靡不有初，鲜克有终。”“莫等闲，白了少年头，空悲切。”青年学生为人做事要有头有尾、善始善终、不负韶华。知识储备2.2.1在安全策略中使用组2.2.2状态检测技术和会话表2.2.1在安全策略中使用组华为防火墙可以创建多种对象类型，如地址组、服务组、应用组等。

以地址组为例，在进行防火墙安全策略设置时，若不同的安全规则频繁涉及同一个包含多个地址的地址范围，在各规则中反复录入这些地址不仅烦琐，而且一旦该地址范围需要变更，所有与之相关的规则都得重新配置，这大大增加了工作量。

因此，可以通过创建地址组，将这些地址关联到一个地址组中，然后直接在安全策略里调用该地址组。当需要调整地址范围时，也只需对地址组进行修改，有效减少了工作量。2.2.1在安全策略中使用组在安全策略的配置过程中，主要使用到的对象有地址组和服务组。组创建完成之后，用户可以在安全规则中引用该组。[FW1]ipaddress-setClient2_3typegroup[FW1-group-address-set-Client2_3]address010[FW1-group-address-set-Client2_3]address100

[FW1]quit[FW1]ipservice-setClient_2_3typegroup[FW1-group-service-set-Client_2_3]serviceservice-seticmp

[FW1-group-service-set-Client_2_3]serviceservice-setftp

[FW1-group-service-set-Client_2_3]serviceservice-sethttp[FW1]quit使用ipaddress-set命令可以创建地址组使用ipservice-set命令可以创建服务组2.2.2状态检测技术和会话表状态检测防火墙使用基于连接状态的检测机制，将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来，同一个数据流内的报文不再是孤立的个体，而是存在联系的。状态检测机制开启状态下，只有首包通过设备才能建立会话表项，后续包直接匹配会话表项进行转发。状态检测机制关闭状态下，即使首包没有经过设备，后续包只要通过设备也可以生成会话表项。在报文来回路径不一致的组网环境中，防火墙可能只会收到通信过程中的后续报文。在这种情况下，为了保证业务正常，就需要关闭防火墙的状态检测功能。当关闭状态检测功能后，可以通过后续报文建立会话，保证业务的正常运行。2.2.2状态检测技术和会话表防火墙会将属于同一连接的所有报文作为一个整体的数据流（会话）来对待。会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项，是防火墙转发报文的重要依据。防火墙采用了基于“状态”的报文控制机制：只对首包或者少量报文进行检测就确定一条连接的状态，大量报文直接根据所属连接的状态进行控制。这种状态检测机制迅速提高了防火墙的检测和转发效率。2.2.2状态检测技术和会话表会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。通过会话中的五元组信息可以唯一确定通信双方的一条连接，多条会话的集合叫做会话表。会话表就是为了记录连接的状态而存在的。设备在转发TCP、UDP和ICMP报文时都需要查询会话表，来判断该报文所属的连接并采取相应的处理措施。一个会话的报文能够正常被防火墙转发，通常需要具备以下两个条件：1）防火墙的路由表中存在与该报文目的IP地址相匹配的路由，或者默认路由。2）防火墙的安全策略允许该会话的报文通过。2.2.2状态检测技术和会话表<FW>displayfirewallsessiontableverboseCurrentTotalSessions:1icmpVPN:public-->publicID:a58f3fe91023015aa15344e75b

Zone:local-->trustTTL:00:00:20Left:00:00:09*Interface:GigabitEthernet0/0/0NextHop:

MAC:4437-e697-78fe<--packets:3bytes:252-->packets:3bytes:252:43982[:2107]-->:2048<FW>displayfirewallsessiontableCurrentTotalSessions:1telnetVPN:public-->public:2855-->:23在防火墙上通过displayfirewallsessiontableverbose可以显示会话表详细信息。由于使用了verbose参数，可以看到除了五元组信息之外的其他信息。在防火墙上通过displayfirewallsessiontable命令可以看到正常建立的会话。2.2.2状态检测技术和会话表防火墙为各种协议设定了会话老化机制。当一条会话在老化时间内没有被任何报文匹配，则会被从会话表中删除。这种机制可以避免防火墙的设备资源被大量无用、陈旧的会话表项消耗。通常情况下，可以直接使用系统缺省的会话表老化时间，但也可以配置会话表老化时间。查看当前系统中各类会话表项的老化时间。<FW1>displayfirewallsessionaging-time配置会话表的老化时间，配置FTP服务的老化时间为1400秒。[FW1]firewallsessionaging-timeservice-setftp14002.2.2状态检测技术和会话表为了保证网络安全以及会话资源的合理利用，防火墙上的各种会话缺省老化时间都相对较短，一般只有几分钟。当一个TCP会话的两个连续报文到达防火墙的时间间隔大于该会话的老化时间时，防火墙将从会话表中删除相应会话信息。后续报文到达防火墙后，防火墙根据自身的转发机制将丢弃该报文，导致连接中断。例如：

用户通过FTP下载大文件，需要间隔很长时间才会在控制通道继续发送控制报文，或用户需要查询数据库服务器上的数据，这些查询操作的时间间隔远大于TCP的会话老化时间。在以上的场景中，如果会话表项被删除，则对应的业务就会中断。长连接（LongLink）机制可以给部分连接设定超长的老化时间，有效解决这个问题。启用基于策略的长连接功能。[FW1]security-policy[FW1-policy-security]rulenameClient1_to_dmz[FW1-policy-security-rule-Client1_to_dmz]long-linkenable任务实施实施场景XUN公司项目经理安排小锐调整公司防火墙的安全策略，要求完成如下步骤：1）根据拓扑图在防火墙上划分安全区域。2）为研发人员创建地址组，组IP地址为01和10，要求研发人员对FTP服务器和HTTP服务器增加ping功能，创建服务组，包括FTP、HTTP和ICMP服务。3）配置FTP服务的老化时间为1400秒。4）对本次新建安全策略启用长连接功能。任务实施实施设备1）USG6000V防火墙1台；2）Client机4台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2、Client3和Client4网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置FTP服务器网络参数，开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

4）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24

[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24

[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024

5）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/4口加入DMZ区域，将GE1/0/5口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4

[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程

6）为研发人员创建地址组，组IP地址为01和10，研发人员对FTP服务器和HTTP服务器增加ping功能，创建服务组，包括FTP、HTTP和ICMP服务，配置命令如下：[FW1]ipaddress-setClient2_3[FW1]ipaddress-setClient2_3typegroup[FW1-group-address-set-Client2_3]address010[FW1-group-address-set-Client2_3]address100

[FW1-group-address-set-Client2_3]quit[FW1]ipservice-setClient_2_3typegroup[FW1-group-service-set-Client_2_3]serviceservice-seticmp

[FW1-group-service-set-Client_2_3]serviceservice-setftp[FW1-group-service-set-Client_2_3]serviceservice-sethttp

[FW1-group-service-set-Client_2_3]quit任务实施实施过程

7）配置安全策略，实现研发人员访问DMZ区域FTP服务器的FTP服务和HTTP服务器，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient2_3_to_dmz[FW1-policy-security-rule-Client2_3_to_dmz]source-zonetrust

[FW1-policy-security-rule-Client2_3_to_dmz]destination-zonedmz[FW1-policy-security-rule-Client2_3_to_dmz]source-addressaddress-setClient2_3

[FW1-policy-security-rule-Client2_3_to_dmz]serviceClient_2_3[FW1-policy-security-rule-Client2_3_to_dmz]actionpermit配置完成后，研发人员在Client2和Client3上能访问FTP服务器的FTP服务和HTTP服务器的HTTP服务，也可以在Client2和Client3上ping通FTP服务器和HTTP服务器。任务实施实施过程

8）配置FTP服务的老化时间为1400秒，配置命令如下：[FW1]firewallsessionaging-timeservice-setftp1400

9）对本次新建安全策略启用长连接功能，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameClient2_3_to_dmz[FW1-policy-security-rule-Client2_3_to_dmz]long-linkenable任务小结本任务介绍了防火墙状态检测机制与会话表的核心概念，重点包括会话表分析中需细致观察的字段（如协议状态、端口号等）。通过任务实施，学生可以学习在安全策略中使用组来简化配置，并掌握会话表老化时间与长连接的调整方法，解决会话表资源管理效率低、长连接中断等问题，深化对防火墙状态跟踪与策略优化机制的理解，为后续任务实施打下坚实基础。思考题1.在华为防火墙中，配置安全策略时使用组（如地址组、服务组）有什么好处？谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务2.3-ASPF配置Part03知识储备项目2-防火墙基础配置任务目标知识目标技能目标素养目标1．理解防火墙的ASPF技术。2.理解防火墙的Server-map。1．具备敏锐的“应用感知”能力，精准捕捉潜在风险，构筑牢不可破的安全壁垒。2．技术实践应以“总体国家安全观”为核心指引，使之成为技术发展不可撼动的基石。1.掌握防火墙的OSPF配置。2.掌握防火墙的ASPF配置。任务描述本任务要完成的工作：

XUN公司因业务发展需要，对内部网络架构进行重新规划，要求每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，汇聚交换机SW2与防火墙FW1使用OSPF协议互联。同时，在防火墙上针对FTP服务开启ASPF功能。

“习总书记指出，要加快科技自立自强步伐，解决外国“卡脖子”问题。

科技是国之利器，国家赖之以强，企业赖之以赢，人民生活赖之以好。知识储备2.3.1ASPF技术2.3.2Server-map表2.3.1ASPF技术在TCP/IP模型中，应用层提供常见的网络应用服务，如Telnet、HTTP、FTP等协议。而应用层协议根据占用的端口数量可以分为单通道应用层协议与多通道应用层协议。单通道应用层协议：通信过程中只需占用一个端口的协议。例如：Telnet只需占用23端口，HTTP只需占用80端口；多通道应用层协议：通信过程中需占用两个或两个以上端口的协议。例如：FTP被动模式下需要占用21号端口以及一个随机端口。传统包过滤防火墙针对多通道应用层协议访问控制的不足：传统的包过滤防火墙只能实现简单的访问控制；传统的包过滤防火墙只能阻止一些使用固定端口的单通道协议的应用数据。2.3.1ASPF技术ASPF（ApplicationSpecificPacketFilter）是针对应用层的包过滤。通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，当数据通道的首包经过防火墙时，防火墙根据Server-map生成一条session，用于放行后续数据通道的报文，相当于自动创建了一条精细的“安全策略”。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。2.3.2Server-map表FTP主动模式的ASPF。Server-map表是通过ASPF功能自动生成的精细安全策略，是防火墙上的“隐形通道”。FTP主动模式下，客户端使用随机端口xxxx向服务器的21端口发起连接请求建立控制通道，然后使用PORT命令协商两者建立数据通道的端口号，协商得出的端口是yyyy。然后服务器主动向客户端的yyyy端口发起连接请求，建立数据通道。数据通道建立成功后再进行数据传输。在配置安全策略时，如果只配置了允许客户端访问服务器的21端口的安全策略，即控制连接能成功建立。但是当服务器访问客户端yyyy端口的报文到达防火墙后，对于防火墙来说，这个报文不是前一条连接的后续报文，而是代表着一条新的连接。要想使这个报文顺利到达FTP客户端，防火墙上就必须配置了安全策略允许其通过，如果没有配置服务器到客户端这个方向上的安全策略，该报文无法通过防火墙，导致数据通道建立失败。结果是用户能访问服务器，但无法请求数据。由于PORT命令的应用层信息中携带了客户端的IP地址和向服务器随机开放的端口，防火墙通过分析PORT命令的应用层信息，提前预测到后续报文的行为方式，根据应用层信息中的IP和端口创建Server-map表。服务器向客户端发起数据连接的报文到达防火墙后命中该Server-map表项，不再受安全策略的控制。2.3.2Server-map表Server-map表与会话表的关系。Server-map表与会话表的关系如下：1）Server-map表记录了应用层数据中的关键信息，报文命中该表后，不再受安全策略的控制；2）会话表是通信双方连接状态的具体体现；3）Server-map表不是当前的连接信息，而是防火墙对当前连接分析后得到的即将到来报文的预测。防火墙接收报文的处理过程如图所示：1）防火墙收到报文先检查是否命中会话表；2）如果没有命中则检查是否命中Server-map表；3）命中Server-map表的报文不受安全策略控制；4）防火墙最后为命中Server-map表的数据创建会话表。2.3.2Server-map表Server-map表配置。任务实施实施场景XUN公司因业务发展需要，对内部网络架构进行重新规划，项目经理安排小锐调整公司网络架构，要求完成如下配置：1）在交换机SW2上为每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，并基于端口把各部门Client加入到相应的VLAN。创建VLAN100，并将GigabitEthernet0/0/1划入VLAN100。2）交换机SW2与防火墙FW1使用OSPF协议互联。所有部门的Client机都可以访问FTP服务器和HTTP服务器。3）在防火墙FW1上针对QQ和MSN服务开启ASPF功能。任务实施实施设备1）USG6000V防火墙1台；2）Client机4台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器2台。任务实施实施过程1）配置Client1、Client2、Client3、Client4和Client5网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置FTP服务器网络参数，开启FTP服务。FTP服务器网络参数配置FTP服务器配置任务实施实施过程3）配置HTTP服务器网络参数，开启HTTP服务。HTTP服务器网络参数配置HTTP服务器配置任务实施实施过程

4）配置防火墙网络基本参数，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24

[FW1]interfaceGigabitEthernet1/0/4[FW1-GigabitEthernet1/0/4]ipaddress24

[FW1]interfaceGigabitEthernet1/0/5[FW1-GigabitEthernet1/0/5]ipaddress0024

5）划分防火墙安全区域，将GE1/0/0口加入Trust区域，将GE1/0/4口加入DMZ区域，将GE1/0/5口加入Untrust区域，配置命令如下：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0

[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/4

[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/5任务实施实施过程

6）在交换机SW2上为每个部门创建独立VLAN，分别是：技术部为VLAN10，研发部为VLAN20，销售部为VLAN30，财务部为VLAN40，并基于端口把各部门Client加入到相应的VLAN，创建VLAN100，并将GE0/0/1划入VLAN100，配置命令如下：[SW2]vlanbatch10203040100[SW2]interfaceGigabitEthernet0/0/2[SW2-GigabitEthernet0/0/2]portlink-typeaccess[SW2-GigabitEthernet0/0/2]portdefaultvlan10[SW2-GigabitEthernet0/0/2]quit[SW2]port-groupgroup-memberGi0/0/3Gi0/0/6[SW2-port-group]portlink-typeaccess[SW2-port-group]portdefaultvlan20[SW2-port-group]quit[SW2]interfaceGigabitEthernet0/0/4[SW2-GigabitEthernet0/0/4]portlink-type