ZNLY3313防火墙的操作与配置.docx
《ZNLY3313防火墙的操作与配置.docx》由会员分享,可在线阅读,更多相关《ZNLY3313防火墙的操作与配置.docx(26页珍藏版)》请在冰豆网上搜索。
ZNLY3313防火墙的操作与配置
深圳高技能人才公共训练基地
ShenzhenPublicTrainingBaseforHi-skilledWorkers
建筑智能化
智能楼宇管理师
通信网络系统
《防火墙的操作与配置》训练任务指导书
ZNLY-3-3-13
深圳市高技能人才公共实训管理服务中心
2010.4.25
目录
第一部分基本管理信息2
第二部分训练任务的内容4
第三部分训练任务的实施7
一、目标描述7
二、任务描述9
三、知识准备10
四、训练活动11
五、训练效果评价23
第四部分附录24
第五部分参考文献32
《防火墙的操作与配置》训练过程考核表33
知识准备(答卷)34
第一部分基本管理信息
基本管理信息
名称
防火墙的操作与配置
代码
ZNLY-3-3-13
类型
基础类□专项类√综合类□创新类□
类属于
岗位
智能楼宇管理师
等级
3级(助理智能楼宇管理师)
模块
通信网络系统(52-303)
项目
通信网络系统的连接机信息网络系统的安装与维护
版本
V1.0
编制人
刘保亮
编制时间
2010年4月
所属单位
深圳市高技能人才公共训练基地
批准人
马阳
学时
1个训练时段
考核方式
考核□考训结合√
评价方式
自我评价√小组评价√老师评价√
适用对象
具备以下条件之一者。
1.具有以高级技能为培养目标的技工学校、技师学院和职业技术学院本专业或相关专业毕业证书。
2.取得本职业智能楼宇管理员职业资格证书后,连续从事本职业工作1年以上。
3.具有本专业或相关专业大学专科及以上学历证书。
4.具有其他专业大学专科及以上学历证书,连续从事本职业工作1年以上。
5.取得相关工种中级职业资格证书后,连续从事本职业工作2年以上。
第二部分训练任务的内容
《防火墙的操作与配置》训练任务的内容
任务来源
防火墙是一种用来增强内部网络安全性的系统,将网络隔离为内部网和外部网,通过防火墙的操作和配置,对网络访问流量进行分析、控制和管理以及对数据进行筛选和过滤,从而达到保护内部网络资源和信息的目的。
目标
技能目标
关键技能
(1)能(会)配置并连通防火墙的配置端口。
(2)能(会)通过命令配置防火墙并打开WEB管理界面。
(3)能(会)通过地址网络转换(NAT)设置连通内外网络。
基本技能
(1)能(会)正确连接防火墙硬件。
(2)能(会)通过防火墙进行组网。
知识目标
(1)掌握防火墙的工作原理。
(2)掌握防火墙基本的配置方法。
(3)掌握防火墙基本的接入方式。
(4)掌握智能楼宇管理员的职业道德和相关法律法规的基本知识。
职业素质目标
(1)遵守系统调试标准规范,养成严谨科学的工作态度。
(2)尊重他人劳动,不窃取他人成果。
(3)养成总结训练过程和结果的习惯,为下次训练总结经验。
(4)养成团结协作精神。
训练方法及手段
1.讲解:
⑴播放视频与教师补充讲解,理解训练任务的内容与要求;⑵教师讲授有关系统设计思路与操作步骤、关键技术与相关知识。
2.示范:
教师对关键技术和实训操作难点进行示范操作。
3.操练:
⑴分组实训:
1人/小组/,用一个实训设备;⑵学员遵循教师的引导完成“活动二”的训练任务,达到掌握系统硬件连接、熟悉防火墙操作与配置的训练目标;
4.巡回指导:
教师巡回检查和指导学员(个别指导和共性指导)。
5.评价:
小组检查和评价训练效果;教师点评和总结训练效果。
6.过程考核:
教师讲解“活动三”(在“活动二”的基础NAT地址池的起止范围,形成不同新任务)的要求,学员自主完成;教师利用该任务考核学员,评价学员对关键技术、技能的掌握程度和应用能力。
时间分配
类别
示范操作时间(分钟)
训练时间(分钟)
技能目标
关键技能
30
50
基本技能
10
20
职业素质目标
10
过程考核评价
20
《防火墙的操作与配置》训练任务的内容(续1)
设备及耗材
类别
名称
规格及型号
数量
单位
备注
设备工具
计算机
733MHz主频、256MB内存、1.5G硬盘
2
台
串口1
防火墙
H3CSecPathF100-A
1
台
配置线缆
Console线
1
条
1.5米
耗材
测试网线
T568A或T568B平行线
2
条
3米
环境要求
(1)多媒体演示条件:
计算机、投影仪、话筒、音箱等
(2)空间和光线条件:
训练室可容纳40人,光线均匀明亮,每4人1台训练工作台及1㎡以上的活动空间。
知识准备
掌握
(1)智能楼宇的基础知识。
(2)防火墙的组网。
(3)基本的计算机操作。
熟悉
(1)防火墙设备的端口。
(2)熟悉防火墙的常用技术。
(3)熟悉防火墙的性能指标。
了解
(1)防火墙的典型应用。
(2)防火墙的技术发展。
参考资料
类别
名称
作者
出版社
书号
备注
参考教材
智能楼宇管理员
中国就业培训技术指导中心
中国劳动社会保障出版社
ISBN978-7-5045-6035-3
中小型局域网组建与实训
祝朝映
科学出版社
ISBN978-7-03-022417-0
局域网工程从入门到精通
李海龙、沈贤方等
电子工业出版社
ISBN987-7-121-07214-7
其他参考资料
设备使用说明书
设备生产厂家
《防火墙的操作与配置》训练任务的内容(续2)
类别
项目
考核内容
得分
总分
评分标准
教师
签名
理论
知识
准备
(100分)
1.简述防火墙的定义及作用(30分)
根据完成情况打分。
2.简述防火墙的配置方式?
(25分)
3.简述防火墙的接入方式?
(20分)
4.简述网络地址转换的定义及功能?
(25分)
实操
技能
目标
(60分)
1.能(会)正确连接配置电缆。
(15分)
会□/不会□
1.单项技能目标“会”该项得满分,“不会”该项不得分。
2.全部技能目标均为“会”记为“完成”,否则,记为“未完成”。
2.能(会)正确配置通讯端口。
(15分)
会□/不会□
3.能(会)正确进行命令配置并启用WEB界面管理。
(15分)
会□/不会□
4.能(会)正确配置NAT,连通内外网络。
(15分)
会□/不会□
任务完成情况
完成□/未完成□
任务
完成
质量
(40分)
1.工艺或操作熟练程度。
(20分)
1.任务“未完成”此项不得分。
2.任务“完成”,根据完成情况打分。
2.工作效率或完成任务速度。
(20分)
安全
文明
操作
1.安全生产。
2.职业道德。
3.职业规范。
1.违反考场纪律,视情况扣20-45分。
2.发生设备安全事故,扣45分。
3.发生人身安全事故,扣50分。
4.实训结束后未整理实训现场扣5-10分。
评分
说明
备注:
1.评分表原则上不能出现涂改现象,若出现则必须在涂改之处签字确认。
2.每次考核结束后,立即上交本过程考核表至高训中心存档,并及时将成绩录入管理系统。
第三部分训练任务的实施
一、目标描述
完成本训练任务后,你应当能(够):
关键技能:
●能(会)配置并连通防火墙的配置端口。
●能(会)通过命令配置防火墙并打开WEB管理界面。
●能(会)通过地址网络转换(NAT)设置连通内外网络。
基本技能:
●能(会)正确连接防火墙硬件。
●能(会)通过防火墙进行组网。
⊙技能目标:
⊙知识目标:
完成本训练任务后,你应当能(够):
●掌握防火墙的工作原理
●掌握防火墙基本的配置方法。
●掌握防火墙基本的接入方式。
●掌握智能楼宇管理员的职业道德和相关法律法规的基本知识。
⊙职业素质目标:
完成本训练任务后,你应当能(够):
●遵守系统配置标准规范,养成严谨科学的工作态度;
●尊重他人劳动,不窃取他人成果;
●养成总结训练过程和结果的习惯,为下次训练总结经验;
●养成团结协作精神。
二、任务描述
准备两台电脑和一台防火墙设备,组成一个小型的应用网络,选择内网的电脑作为配置电脑,使用操作系统自带的超级终端与防火墙进行连接,在超级终端中对防火墙进行基本的命令配置,然后启用WEB管理,创建访问地址列表(ACL),配置地址转换(NAT),建立内网和外网相互访问的通道,使用PING命令测试验证成功。
三、知识准备
(见附件)
1、简述防火墙的定义及作用?
答:
2、简述防火墙的配置方式?
答:
3、简述防火墙的接入方式?
答:
4、简述网络地址转换的定义及功能?
答:
四、训练活动
活动一:
知识抽查
要求:
●老师对学员知识准备情况进行抽查具体抽查内容见知识准备的问题;
●抽查方式:
√口答□试卷□操作
●老师要记录学员回答问题的情况。
老师必要时做简单的讲解。
♂活动二:
示范操作
内容:
按照图四的要求,组建防火墙的应用网络,通过内部PC与防火墙进行端口连接,在超级终端中使用命令对防火墙进行配置,然后启用WEB管理,进行地址转换(NAT)配置,建立内网和外网相互访问的通道。
●步骤一:
观察认识设备
✧此步骤操作的目的和作用:
对防火墙设备的安装以及端口位置进行观察和熟悉,对工作电源情况进行熟悉;
1、防火墙外观图(图一)
2、防火墙配置电缆图(图二)
3、防火墙调试接线图(图三)
4、防火墙系统说明表(表一)
●步骤二:
组建调试网络
✧按照图四和表二的要求,分别配置两台计算机的网络属性,见图五,使用两条平行线,将计算机与交换机连接组成调试网络,然后选择内部计算机同时作为调试设备,使用配置电缆(图二)按照图三的要求对防火墙进行连接。
●步骤三:
命令配置并启动WEB管理
按照图四的要求,配置两台调试计算机,使用两条平行线,将计算机与防火墙组成应用网络。
打开超级终端,建立新的连接。
如图2-1所示,键入新连接的名称,按[确定]按钮。
图2-1新建连接
设置终端参数。
在[连接时使用]一栏选择连接的串口(注意选择的串口应该与配置电缆实际连接的串口一致)。
图2-2本地配置连接端口设置
设置串口参数,如图2-3所示,在串口的属性对话框中设置波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,按[确定]按钮,返回超级终端窗口。
图2-3串口参数设置
✧打开超级终端,如图2-4所示,保证配置电缆连接正确,直接按【ENNTER】回车键,系统开始连接防火墙。
图2-4超级终端显示界面
♂活动三:
根据所讲述和示范案例,完成防区的设置与调试。
图2-5超级终端显示界面
步骤四:
ACL及NAT配置
点击“防火墙管理”->“域间管理”->“ACL”,在右边的ACL配置区域中单击按钮。
在“ACL编号”中输入基本ACL的编号2001(基本ACL的编号范围为2000~2999),单击<创建>按钮。
在下面的列表中选择此ACL,单击<配置>按钮。
在ACL配置参数区域中,从“操作”下拉框中选择“Permit”,在“源IP地址”栏中输入192.168.20.0,“源地址通配符”中输入0.0.0.255,单击<应用>按钮。
在ACL配置参数区域中,从“操作”下拉框中选择“Deny”,在“源IP地址”栏中输入192.168.0.0,“源地址通配符”中输入0.0.255.255,单击<应用>按钮。
在防火墙管理”->“域间管理”->“NAT”,进入配置界面,点击“地址池管理”,在右边的配置区域中单击<创建>按钮。
在“地址池索引号”栏中输入1,“起始地址”栏中输入202.169.10.1,“结束地址”栏中输入202.169.10.5,单击<应用>按钮。
点击“地址转换管理”,进入“NAT地址转换管理配置”区域中,在“接口名称”栏中选择Ethernet1/0,在“接口类型”栏中选择NAPT(由于地址池的地址数量有限且内部主机较多,选择NAPT以启用NAT地址复用),在“地址池”栏中输入1,选中“ACL编号”单选框,输入2001(已创建好的基本ACL编号),单击<应用>按钮。
3、经老师检查同意后,才能通电。
♂活动三:
根据所讲述和示范案例,完成防火墙的操作与配置。
内容:
按表三的设置要求,组建防火墙应用网络。
重新端端口进行定义,并改变NAT的配置,完成训练考核。
●步骤一:
设备检查。
●步骤二:
按图四的网络拓扑结构要求,组建防火墙设置网络。
●步骤三:
按表三的配置对计算机进行网络属性配置,见图五。
●步骤四:
完成内网和外网的连接,并能够使用ping命令测试验证通过。
注意事项:
1、严格按操作步骤进行练习。
2、安装、拆卸和接线时,必须关闭训设备电源。
3、经老师检查同意后,才能通电。
♂附图说明:
图一
图二
图三
图四
图五
表一
序号
设备名称
属性
IP地址
子网掩码
网关
1
内部计算机
内网
192.168.20.3
255.255.255.0
192.168.20.1
2
防火墙LAN0
接内网
192.168.20.1
255.255.255.0
无
3
防火墙WAN0
接外网
202.169.10.1
255.0.0.0
无
4
外部计算机
外网
202.169.10.6
255.0.0.0
202.169.10.1
5
NAT地址池
起始地址:
202.169.10.2——结束地址:
202.169.10.5
表二
序号
设备名称
属性
IP地址
子网掩码
网关
1
内部计算机
内网
192.168.20.3
255.255.255.0
192.168.20.1
2
防火墙LAN0
接内网
192.168.20.1
255.255.255.0
无
3
防火墙WAN0
接外网
202.169.10.1
255.0.0.0
无
4
外部计算机
外网
202.169.10.7
255.0.0.0
202.169.10.1
5
NAT地址池
起始地址:
202.169.10.2——结束地址:
202.169.10.6
表三
网络地址转换就是将一个IP地址用另一个IP地址代替,如附图二所示。
防火墙的一个基本功能就是可以实现NAT,实现时有两种选择。
第一种选择是内部地址可以被转换成一个指定的全局地址,称为静态地址转换;第二种选择是在数据穿越防火墙时,将内部地址转换到一个全局地址池中的某个地址,称为动态地址转换。
附图二防火墙NAT功能
衡量防火墙的性能指标,主要包括并发连接数、吞吐量和丢包率等。
(1)并发连接数
定义:
指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数,如附图三所示。
附图三防火墙并发连接数
(2)吞吐量
定义:
在不丢包的情况下能够达到的最大速率,如附图四所示
附图四防火墙的吞吐量
(3)时延
定义:
入口处输入帧最后一个比特到达至出口处输出帧的第一个比特输出所用的时间间隔,如附图五所示。
附图五防火墙的时延
(4)丢包率
定义:
在连负载的情况下,防火墙设备由于资源不足应转发但没有转发的帧百分比,如附图六所示。
附图六防火墙的丢包率
H3CSecPathF100-A防火墙是H3CSecPath系列防火墙设备(以下简称防火墙)是面向企业用户的新一代专业防火墙设备,可以作为中小企业的出口防火墙设备,也可以作为中型企业的内部防火墙设备。
●支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能,能够有效的保证网络的安全。
●采用ASPF状态检测技术,可对连接过程和有害命令进行监测,并协同ACL完成动态包过滤。
●提供多种智能分析和管理功能,支持邮件告警,多种日志,提供网络管理监控,协助网络管理员完成网络的安全管理。
●防火墙支持AAA、NAT等技术,可以确保在开放的Internet上实现满足可靠质量要求的、安全的网络。
●防火墙支持多种VPN业务,如L2TPVPN、IPsecVPN、GREVPN、动态VPN(暂不支持Web配置)等,可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户,构建Internet、Intranet、RemoteAccess等多种形式的VPN。
●为用户提供基本的路由能力,支持RIP/OSPF/BGP路由策略及策略路由。
支持丰富的QoS特性,提供流分类、流量监管、流量整形及多种队列调度策略。
安装场所要求
H3CSecPathF100-A防火墙必须在室内使用,为保证防火墙正常工作和延长使用寿命,安装场所应该满足下列要求。
温度/湿度要求
为保证防火墙正常工作,并延长使用寿命,机房内需维持一定的温度和湿度。
若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象;若相对湿度过低,绝缘垫片会干缩而引起紧固螺丝松动,在干燥的气候环境下,还容易产生静电,危害防火墙上的CMOS电路;温度过高危害更大,因为高温会加速绝缘材料的老化过程,使防火墙的可靠性大大降低,严重影响其使用寿命。
洁净度要求
灰尘对防火墙的运行安全也是一大危害,因为室内灰尘落在机体上会造成
静电吸附,使金属接插件或金属接点接触不良,不但会影响设备寿命,而且容易造成通信故障。
当室内相对湿度偏低时,更易产生这种静电吸附。
除灰尘外,H3CSecPathF100-A防火墙的机房对空气中所含的盐、酸、硫化物也有严格的要求,因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。
防静电要求
尽管H3CSecPathF100-A防火墙在防静电方面作了大量的考虑,采取了多种措施,但当静电超过一定限度时,仍会对单板电路乃至防火墙整机产生巨大的破坏作用。
在与防火墙连接的通信网中,静电感应主要来自两个方面:
一是室外高压输电线、雷电等外界电场;二是室内环境、地板材料、整机结构等内部系统。
因此为防止静电损伤,应做到:
●设备良好接地。
●室内防尘。
●保持适当的温度、湿度条件。
●接触电路板时,应戴防静电手腕,穿防静电工作服。
●将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中。
●当观察或转移拆卸了的电路板时,请用手接触电路板的外边缘,避免用手直接触摸电路板上的元器件。
电磁环境要求
防火墙使用中可能的干扰源,无论是来自设备或应用系统外部,还是来自内部,都是以电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)耦合的传导方式对设备产生影响,因此为达到抗干扰的要求,应做到:
●对供电系统采取有效的防电网干扰措施。
●防火墙工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些。
●远离强功率无线电发射台、雷达发射台、高频大电流设备。
●必要时采取电磁屏蔽的方法。
防雷击要求
尽管H3CSecPathF100-A防火墙在防雷击方面作了大量的考虑,也采取了必要措施,但是在雷击强度超过一定范围时,仍然有可能对防火墙造成损害。
为达到更好的防雷效果,建议用户:
●保证机箱的保护地用保护地线与大地保持良好接触。
●保证电源插座的接地点与大地良好接触。
●为增强电源的防雷击效果,可以考虑在电源的输入前端加入电源避雷器,这样可大大增强电源的抗雷击能力。
检查安装台
对H3CSecPathF100-A防火墙进行安装前要保证以下条件:
●确认防火墙的入风口及通风口处留有空间,以利于防火墙机箱的散热。
●确认机柜自身有良好的通风散热系统。
●确认机柜足够牢固,能够支撑防火墙及其安装附件的重量。
●确认机柜良好接地。
基本配置步骤
一般情况下配置防火墙的基本思路如下:
第一步:
在配置防火墙之前,需要将组网需求具体化、详细化,包括:
组网目的、防火墙在网络互连中的角色、传输介质的选择、网络的安全策略和网络可靠性需求等;
第二步:
然后根据以上要素绘出一个清晰完整的组网图;
第三步:
配置防火墙各接口的IP地址;
第四步:
配置路由,如果需要启动动态路由协议,还需配置相关动态路由协议的工作参数;
第五步:
如果有特殊的安全需求,则需进行防火墙的安全性配置;
第六步:
如果有特殊的可靠性需求,则需进行防火墙的可靠性配置。
关于防火墙各协议或
网络地址转换(NAT)
网络地址转换NAT(NetworkAddressTranslation)实现了私有网络访问外部网络的功能。
地址转换的机制就是将私有网络内主机的IP地址和端口替换为防火墙的外部网络地址和端口,以及从防火墙的端口转换为私有网络主机的IP地址和端口,即<私有地址+端口>与<公有地址+端口>之间的转换。
私有地址是指内部网络或主机地址,公有地址是指在因特网上全球唯一的IP地址。
Internet地址分配组织规定将下列的IP地址保留用作私有地址:
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
这三个范围内的地址不会在因特网上被路由,可在一个单位或公司内部使用。
各企业根据在预见未来内部主机和网络的数量后,选择合适的内部网络地址,不同企业的内部网络地址可以相同。
如果一个公司选择上述三个范围之外的其它网段作为内部网络地址,则有可能会引起混乱。
地址转换在允许内部网络的主机访问外部资源的同时,为内部主机提供“隐私”(Privacy)保护。
访问控制列表(ACL)
防火墙必须能够提供控制网络数据流的能力,以用于安全性、QoS需求和各种策略制定等各个方面。
实现数据流控制的方法之一是使用ACL(AccessControlList-访问控制列表)。
第五部分参考文献
[1]李海龙,沈贤方,等.局域网工程从入门到精通.北京:
电子工业出版社,2008
[2]祝朝映.中小型局域网组建与实训.北京:
科学出版社,2008
《防火墙的操作与配置》训练过程考核表
ZNLY-3-3-13
姓名
准考证号
系统ID号
职业(模块)
日期
年月日
类别
项目
考核内容
得分
总分
评分标准
教师
签名
理论
知识
准备
(100分)
1.简述防火墙的定义及作用(30分)
根据完成情况打分。
2.简述防火墙的配置方式?
(25分)
3.简述防火墙的接入方式?
(20分)
升级会员 