10 15网络 防火墙技术课程设计内容Word格式文档下载.docx

1、设 计 须 知请根据下面的设计内容要求，完成防火墙F1060的配置。要求：1.使用H3C Cloud Lab 模拟器中的F1060完成此设计。2.组网图中标明各设备名称、使用的接口名称以及IP地址。3.课程设计的HCL文件保存并刻盘上交。评分标准：1. 登录到web页面的配置；（10分）2. 接口的基本配置；（5分）3. 配置保存；4. ACL配置；（20分）5. NAT配置；6. DHCP配置；7. 攻击防范；设计内容：一、 基本配置8. 登录到web页面的配置；9. 接口的基本配置：1） 配置接口地址并加入到相应的安全域中；2） 组网图如下：10. 配置保存二、 ACL配置1.组网需求该公

2、司通过一台SecPath防火墙的接口Ethernet1/0/0访问Internet，防火墙与内部网通过以太网接口Ethernet0/0/0连接。公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为129.38.1.0，其中，内部FTP服务器地址为129.38.1.1，内部Telnet服务器地址为129.38.1.2，内部WWW服务器地址为129.38.1.3，公司对外地址为202.38.160.1。在防火墙上配置了地址转换，这样内部PC机可以访问Internet，外部PC可以访问内部服务器。通过配置防火墙，希望实现以下要求：1） 外部网络只有特定用户可以访问内部服务器。2） 内部网

3、络只有特定主机可以访问外部网络。假定外部特定用户的IP地址为202.39.2.3。2.组网图三、 NAT配置1.组网需求一个公司通过SecPath防火墙连接到Internet。公司内部网段为192.168.20.0/24。由ISP分配给防火墙外部接口的地址范围为202.169.10.1202.169.10.5。其中防火墙的接口GigabitEthernet0/0连接内部网络，地址为192.168.20.1；接口GigabitEthernet0/1连接到Internet，地址为202.169.10.1。WWW Server和FTP Server位于公司网络内部，地址分别为192.168.20.2

4、和192.168.20.3。要求公司内部网络可以通过防火墙的NAT功能访问Internet，并且外部的用户可以访问内部的WWW Server和Telnet Server。2.组网图四、 DHCP配置案例1.组网需求 防火墙作为DHCP服务器，为同一网段中的客户端动态分配IP地址，地址池网段为169.254.0.0/16。DHCP服务器GigabitEthernet0/2接口地址为169.254.1.0/16。 地址租用期限为3天12小时，域名为，DNS地址为169.254.4.0，NetBIOS地址为169.254.3.0，出口网关地址即为防火墙的内部地址169.254.1.0。并且其中一个客

5、户端要求使用固定的IP地址169.254.100.0，其MAC地址为000f-1f7e-fec5。五、攻击防范（根据所学知识，自己总结）设计过程：配置步骤 第一步：建立如图所示网络第二步：1）配置安全域#接口加入该安全域中。H3C security-zone name TrustH3C-security-zone- Trust import interface gigabitethernet 1/0/1 H3C-security-zone- Trust quit2）配置对象策略及规则# 放通Trust都Local区域所有地址。H3C object-policy ip Trust-LocalH3

6、C-object-policy-ip- Trust-Local rule pass H3C-object-policy-ip- Trust-Local quit3）配置安全域间实例并应用对象策略H3C zone-pair security source Trust destination LocalH3C-zone-pair-security- Trust-Local object-policy apply ip Trust-LocalH3C-zone-pair-security- Trust-Local quit 第三步：打开浏览器，输入192.168.1.1。输入账号admin；密码adm

7、in。登录进入服务器管理页面。Acl配置访问列表允许公司内部特定主机和服务器访问外部网络。 在“防火墙”目录中点击“ACL”，在右边的 ACL 配置区域中单击按钮。在“ACL 编号”栏中输入基本 ACL 的编号 2001，单击按钮，在下面的列表中选择此 ACL，单击在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，在“源 IP 地址” 栏中输入内部特定 PC 的地址 129.38.1.4，“源地址通配符”中输入 0，单击使用同样方法为内部 FTP Server、Telnet Server 和 WWW Server 创建允许其访问 外部的 ACL 规则。创建一个拒绝所有去往外部

8、通信的规则。从“操作”下拉框中选择“Deny”，并且 保留“源 IP 地址”栏空白，代表所有源地址，单击配置访问列表允许外部网络的特定用户访问内部服务器。在“ACL 编号”栏中输入高级 ACL 的编号 3001，单击在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，“协议类型”选择 “TCP”，“源地址”栏中输入外部特定用户的地址 202.39.2.3，通配符为 0。 在“目的地址”栏中输入 Telnet Server 的地址 129.38.1.2，通配符为 0。保 留“源端口”为空白，代表所有源端口，在“目的端口”栏中选择条件为“等 于”，并输入 Telnet 协议使用的端

9、口号 23，单击使用同样方法为此特定外部用户创建允许其访问内部 FTP 和 WWW 服务器的规则， 其中 FTP 使用端口号为 20 和 21，WWW 使用的端口号为 80。创建一个拒绝外部特定用户访问所有内部资源的规则。从“操作”下拉框中选择 “Deny”，“协议类型”选择“IP”，“源地址”栏中输入外部特定用户的地址 202.39.2.3，通配符为 0。“目的地址”栏中保留空白，代表整个内部网 络，单击Net配置步骤第一步：创建允许内部网段访问所有外部资源的基本 ACL，以供 NAT 使用。点击“防火墙”目录中的“ACL”，在右边的 ACL 配置区域中单击 按钮。在“ACL 编号”中输入基

10、本 ACL 的编号 2001（基本 ACL 的编号范围为 20002999）， 单击在 ACL 配置参数区域中，从“操作”下拉框中选择“Permit”，在“源 IP 地址” 栏中输入 192.168.20.0，“源地址通配符”中输入 0.0.0.255，单击按 钮。创建 NAT 地址池。 在“业务管理”目录下的“NAT”子目录中点击“地址池管理”，在右边的配置区域中单击在“地址池索引号”栏中输入 1，“起始地址”栏中输入 202.169.10.1，“结束地 址”栏中输入 202.169.10.5，单击配置 NAT 转换类型。 点击“地址转换管理”，在右边的配置区域中单击在“接口名称”下拉框中选

11、择“GigabitEthernet0/1”，选中“ACL 编号”复选框并输入已创建好的基本 ACL 编号 2001。在“地址池”下拉框中选择地址池索引号“1”。 由于地址池的地址数量有限且内部主机较多，所以在“转换类型”中选择“NAPT” 以启用 NAT 地址复用，单击第四步：配置 NAT 内部服务器映射。点击“内部服务器”，在右边的配置区域中单击 在“接口名称”中选择“GigabitEthernet0/1”，“协议类型”选择“TCP”，“外部地址”栏中输入 202.169.10.1。选中“外部起始端口”输入栏选项，输入 WWW 服务器使用的端口号，这里假设为80 端口。在“内部起始地址”栏中

12、输入内部 WWW 服务器的 IP 地址 192.168.20.2。选中“内部端口”输入栏选项，输入内部 WWW 服务器使用的端口号，这里也假设 为 80 端口，单击内部 Telnet 服务器映射的配置方法与此相同。 dhcp 配置步骤将防火墙的 GigabitEthernet0/1 接口地址配置为 169.254.1.1/16。在“系统管理”目录中的“接口管理”，单击 选择“GigabitEthernet0/1”接口。在“IP 地址”栏中输入 169.254.0.1，掩码中输入“255.255.0.0”启用防火墙的 DHCP 服务器功能。 在“业务管理”下的“DHCP”子目录中点击“全局 DH

13、CP 基本配置”，在右侧配置区域中的“使能或禁止 DHCP 服务”下拉框中选择“Enable”，单击配置全局 DHCP 地址池。点击“全局 DHCP 地址池”，在右边的配置区域中单击按钮，在“地址池名 称”栏中 dhcppool，单击回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，将租约期限 设置为 3 天 12 小时，在“客户端域名”栏中输入 ，单击 回到配置区域页面后单击按钮，从下拉框中选择“dhcppool”，在“IP 地址范围”栏中输入 169.254.0.0，“网络掩码”中输入 255.255.0.0，单击配置地址池的 DNS。点击“全局 DHCP 的 DNS”，在右侧的配置区域中单击“配置”按钮，从下拉框 中选择“dhcppool”，在“DNS 服务器地址”栏中输入 169.254.4.0，单击“应 用”按钮。第五步：配置地址池的网关。点击“全局 DHCP 网关”，在右侧的配置区域中单击按钮，从下拉框中选择 “dhcppool”，在“网关地址”栏中输入 169.254.1.0，单击第六步：配置地址池的 NetBIOS。点击“全局 DHCP 的 NetBIOS”，在右侧的配置区域中单击按钮，从下拉 框中选择“dhcppool”，在“NetBIOS”节点类型中选择“h-node”，然后输 入 NetBI