10 15网络 防火墙技术课程设计内容Word格式文档下载.docx
《10 15网络 防火墙技术课程设计内容Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《10 15网络 防火墙技术课程设计内容Word格式文档下载.docx(16页珍藏版)》请在冰豆网上搜索。
设计须知
请根据下面的设计内容要求,完成防火墙F1060的配置。
要求:
1.使用H3CCloudLab模拟器中的F1060完成此设计。
2.组网图中标明各设备名称、使用的接口名称以及IP地址。
3.课程设计的HCL文件保存并刻盘上交。
评分标准:
1.登录到web页面的配置;
(10分)
2.接口的基本配置;
(5分)
3.配置保存;
4.ACL配置;
(20分)
5.NAT配置;
6.DHCP配置;
7.攻击防范;
设计内容:
一、基本配置
8.登录到web页面的配置;
9.接口的基本配置:
1)配置接口地址并加入到相应的安全域中;
2)组网图如下:
10.配置保存
二、ACL配置
1.
组网需求
该公司通过一台SecPath防火墙的接口Ethernet1/0/0访问Internet,防火墙与内部网通过以太网接口Ethernet0/0/0连接。
公司内部对外提供WWW、FTP和Telnet服务,公司内部子网为129.38.1.0,其中,内部FTP服务器地址为129.38.1.1,内部Telnet服务器地址为129.38.1.2,内部WWW服务器地址为129.38.1.3,公司对外地址为202.38.160.1。
在防火墙上配置了地址转换,这样内部PC机可以访问Internet,外部PC可以访问内部服务器。
通过配置防火墙,希望实现以下要求:
1)
外部网络只有特定用户可以访问内部服务器。
2)
内部网络只有特定主机可以访问外部网络。
假定外部特定用户的IP地址为202.39.2.3。
2.
组网图
三、NAT配置
1.组网需求
一个公司通过SecPath防火墙连接到Internet。
公司内部网段为192.168.20.0/24。
由ISP分配给防火墙外部接口的地址范围为202.169.10.1~202.169.10.5。
其中防火墙的接口GigabitEthernet0/0连接内部网络,地址为192.168.20.1;
接口GigabitEthernet0/1连接到Internet,地址为202.169.10.1。
WWWServer和FTPServer位于公司网络内部,地址分别为192.168.20.2和192.168.20.3。
要求公司内部网络可以通过防火墙的NAT功能访问Internet,并且外部的用户可以访问内部的WWWServer和TelnetServer。
2.组网图
四、DHCP配置案例
1.组网需求
防火墙作为DHCP服务器,为同一网段中的客户端动态分配IP地址,地址池网段为169.254.0.0/16。
DHCP服务器GigabitEthernet0/2接口地址为169.254.1.0/16。
地址租用期限为3天12小时,域名为,DNS地址为169.254.4.0,NetBIOS地址为169.254.3.0,出口网关地址即为防火墙的内部地址169.254.1.0。
并且其中一个客户端要求使用固定的IP地址169.254.100.0,其MAC地址为000f-1f7e-fec5。
五、攻击防范(根据所学知识,自己总结)
设计过程:
配置步骤第一步:
建立如图所示网络
第二步:
1)配置安全域
#接口加入该安全域中。
[H3C]security-zonenameTrust
[H3C-security-zone-Trust]importinterfacegigabitethernet1/0/1
[H3C-security-zone-Trust]quit
2)配置对象策略及规则
#放通Trust都Local区域所有地址。
[H3C]object-policyipTrust-Local
[H3C-object-policy-ip-Trust-Local]rulepass
[H3C-object-policy-ip-Trust-Local]quit
3)配置安全域间实例并应用对象策略
[H3C]zone-pairsecuritysourceTrustdestinationLocal
[H3C-zone-pair-security-Trust-Local]object-policyapplyipTrust-Local
[H3C-zone-pair-security-Trust-Local]quit
第三步:
打开浏览器,输入192.168.1.1。
输入账号admin;
密码admin。
登录进入服务器管理页面。
Acl
配置访问列表允许公司内部特定主机和服务器访问外部网络。
在“防火墙”目录中点击“ACL”,在右边的ACL配置区域中单击<
ACL配置信息>
按钮。
在“ACL编号”栏中输入基本ACL的编号2001,单击<
创建>
按钮,
在下面的列表中选择此ACL,单击<
配置>
在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入内部特定PC的地址129.38.1.4,“源地址通配符”中输入0,单击
<
应用>
使用同样方法为内部FTPServer、TelnetServer和WWWServer创建允许其访问外部的ACL规则。
创建一个拒绝所有去往外部通信的规则。
从“操作”下拉框中选择“Deny”,并且保留“源IP地址”栏空白,代表所有源地址,单击<
配置访问列表允许外部网络的特定用户访问内部服务器。
在“ACL编号”栏中输入高级ACL的编号3001,单击<
在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,“协议类型”选择“TCP”,“源地址”栏中输入外部特定用户的地址202.39.2.3,通配符为0。
在“目的地址”栏中输入TelnetServer的地址129.38.1.2,通配符为0。
保留“源端口”为空白,代表所有源端口,在“目的端口”栏中选择条件为“等于”,并输入Telnet协议使用的端口号23,单击<
使用同样方法为此特定外部用户创建允许其访问内部FTP和WWW服务器的规则,其中FTP使用端口号为20和21,WWW使用的端口号为80。
创建一个拒绝外部特定用户访问所有内部资源的规则。
从“操作”下拉框中选择“Deny”,“协议类型”选择“IP”,“源地址”栏中输入外部特定用户的
地址202.39.2.3,通配符为0。
“目的地址”栏中保留空白,代表整个内部网络,单击<
Net
配置步骤
第一步:
创建允许内部网段访问所有外部资源的基本ACL,以供NAT使用。
点击“防火墙”目录中的“ACL”,在右边的ACL配置区域中单击<
按钮。
在“ACL编号”中输入基本ACL的编号2001(基本ACL的编号范围为2000~2999),单击<
在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入192.168.20.0,“源地址通配符”中输入0.0.0.255,单击<
按钮。
创建NAT地址池。
在“业务管理”目录下的“NAT”子目录中点击“地址池管理”,在右边的配置区
域中单击<
在“地址池索引号”栏中输入1,“起始地址”栏中输入202.169.10.1,“结束地址”栏中输入202.169.10.5,单击<
配置NAT转换类型。
点击“地址转换管理”,在右边的配置区域中单击<
在“接口名称”下
拉框中选择“GigabitEthernet0/1”,选中“ACL编号”复选框并输入已创建
好的基本ACL编号2001。
在“地址池”下拉框中选择地址池索引号“1”。
由于地址池的地址数量有限且内部主机较多,所以在“转换类型”中选择“NAPT”以启用NAT地址复用,单击<
第四步:
配置NAT内部服务器映射。
点击“内部服务器”,在右边的配置区域中单击<
在“接口名称”中选择“GigabitEthernet0/1”,“协议类型”选择“TCP”,“外
部地址”栏中输入202.169.10.1。
选中“外部起始端口”输入栏选项,输入WWW服务器使用的端口号,这里假设为
80端口。
在“内部起始地址”栏中输入内部WWW服务器的IP地址192.168.20.2。
选中“内部端口”输入栏选项,输入内部WWW服务器使用的端口号,这里也假设为80端口,单击<
内部Telnet服务器映射的配置方法与此相同。
dhcp配置步骤
将防火墙的GigabitEthernet0/1接口地址配置为169.254.1.1/16。
在“系统管理”目录中的“接口管理”,单击<
选择“GigabitEthernet0/1”接口。
在“IP地址”栏中输入169.254.0.1,掩码中输入
“255.255.0.0”
启用防火墙的DHCP服务器功能。
在“业务管理”下的“DHCP”子目录中点击“全局DHCP基本配置”,在右侧配
置区域中的“使能或禁止DHCP服务”下拉框中选择“Enable”,单击<
配置全局DHCP地址池。
点击“全局DHCP地址池”,在右边的配置区域中单击<
按钮,在“地址池名称”栏中dhcppool,单击<
回到配置区域页面后单击<
修改>
按钮,从下拉框中选择“dhcppool”,将租约期限设置为3天12小时,在“客户端域名”栏中输入,单击<
回到配置区域页面后单击<
IP地址范围>
按钮,从下拉框中选择“dhcppool”,在“IP地址范围”栏中输入169.254.0.0,“网络掩码”中输入255.255.0.0,单击<
配置地址池的DNS。
点击“全局DHCP的DNS”,在右侧的配置区域中单击“配置”按钮,从下拉框中选择“dhcppool”,在“DNS服务器地址”栏中输入169.254.4.0,单击“应用”按钮。
第五步:
配置地址池的网关。
点击“全局DHCP网关”,在右侧的配置区域中单击<
按钮,从下拉框中选择“dhcppool”,在“网关地址”栏中输入169.254.1.0,单击<
第六步:
配置地址池的NetBIOS。
点击“全局DHCP的NetBIOS”,在右侧的配置区域中单击<
按钮,从下拉框中选择“dhcppool”,在“NetBIOS”节点类型中选择“h-node”,然后输入NetBI
升级会员 