資源描述:
《網(wǎng)絡(luò)安全與防火實(shí)訓(xùn)指導(dǎo)書》由會(huì)員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1��、網(wǎng)絡(luò)安全與防火墻實(shí)訓(xùn)指導(dǎo)書目錄項(xiàng)目一防火墻NAT3項(xiàng)目二防火墻DHCP5項(xiàng)目三防火墻ACL7項(xiàng)目四Web過濾8項(xiàng)目五郵件過濾8項(xiàng)目六配置L2TP9項(xiàng)目七配置IPsec15項(xiàng)目一防火墻NAT(1)組網(wǎng)需求一個(gè)公司通過SecPath防火墻連接到Internet�����。公司內(nèi)部網(wǎng)段為192.168.20.0/24����。由ISP分配給防火墻外部接口的地址范圍為202.169.10.1~202.169.10.5。其中防火墻的接口GigabitEthernet0/0連接內(nèi)部網(wǎng)絡(luò)��,地址為192.168.20.1����;接口GigabitE
2、thernet0/1連接到Internet�,地址為202.169.10.1。WWWServer和FTPServer位于公司網(wǎng)絡(luò)內(nèi)部,地址分別為192.168.20.2和192.168.20.3�����。要求公司內(nèi)部網(wǎng)絡(luò)可以通過防火墻的NAT功能訪問Internet����,并且外部的用戶可以訪問內(nèi)部的WWWServer和TelnetServer。(2)組網(wǎng)圖4-6NAT配置組網(wǎng)圖(3)配置步驟第一步:創(chuàng)建允許內(nèi)部網(wǎng)段訪問所有外部資源的基本ACL���,以供NAT使用�����。創(chuàng)建ACL的方法可參見5.2.1ACL配置��。點(diǎn)擊“防火墻”目錄中
3�����、的“ACL”�����,在右邊的ACL配置區(qū)域中單擊按鈕�。d在“ACL編號(hào)”中輸入基本ACL的編號(hào)2001(基本ACL的編號(hào)范圍為2000~2999),單擊<創(chuàng)建>按鈕��。在下面的列表中選擇此ACL��,單擊<配置>按鈕�。d在ACL配置參數(shù)區(qū)域中,從“操作”下拉框中選擇“Permit”�,在“源IP地址”欄中輸入192.168.20.0,“源地址通配符”中輸入0.0.0.255�����,單擊<應(yīng)用>按鈕���。第二步:創(chuàng)建NAT地址池。d在“業(yè)務(wù)管理”目錄下的“NAT”子目錄中點(diǎn)擊“地址池管理”���,在右邊的配置區(qū)域中單擊<創(chuàng)
4��、建>按鈕�����。d在“地址池索引號(hào)”欄中輸入1�,“起始地址”欄中輸入202.169.10.1,“結(jié)束地址”欄中輸入202.169.10.5�,單擊<應(yīng)用>按鈕。第三步:配置NAT轉(zhuǎn)換類型���。點(diǎn)擊“地址轉(zhuǎn)換管理”���,在右邊的配置區(qū)域中單擊<創(chuàng)建>按鈕。在“接口名稱”下拉框中選擇“GigabitEthernet0/1”���,選中“ACL編號(hào)”復(fù)選框并輸入已創(chuàng)建好的基本ACL編號(hào)2001�����。在“地址池”下拉框中選擇地址池索引號(hào)“1”�����。由于地址池的地址數(shù)量有限且內(nèi)部主機(jī)較多���,所以在“轉(zhuǎn)換類型”中選擇“NAPT”以啟用NAT地址復(fù)用,單
5����、擊<應(yīng)用>按鈕�。第四步:配置NAT內(nèi)部服務(wù)器映射�����。l點(diǎn)擊“內(nèi)部服務(wù)器”���,在右邊的配置區(qū)域中單擊<創(chuàng)建>按鈕�。l在“接口名稱”中選擇“GigabitEthernet0/1”����,“協(xié)議類型”選擇“TCP”,“外部地址”欄中輸入202.169.10.1�。l選中“外部起始端口”輸入欄選項(xiàng)���,輸入WWW服務(wù)器使用的端口號(hào)�����,這里假設(shè)為80端口���。l在“內(nèi)部起始地址”欄中輸入內(nèi)部WWW服務(wù)器的IP地址192.168.20.2。l選中“內(nèi)部端口”輸入欄選項(xiàng)����,輸入內(nèi)部WWW服務(wù)器使用的端口號(hào)��,這里也假設(shè)為80端口�����,單擊<應(yīng)用>按鈕�。
6�、l內(nèi)部Telnet服務(wù)器映射的配置方法與此相同。項(xiàng)目二防火墻DHCP(1)組網(wǎng)需求防火墻作為DHCP服務(wù)器���,為同一網(wǎng)段中的客戶端動(dòng)態(tài)分配IP地址����,地址池網(wǎng)段為10.1.1.0/24�。DHCP服務(wù)器GigabitEthernet0/0接口地址為10.1.1.1/24。地址租用期限為3天12小時(shí)���,域名為h3c.com����,DNS地址為10.1.1.2,NetBIOS地址為10.1.1.3���,出口網(wǎng)關(guān)地址即為防火墻的內(nèi)部地址10.1.1.1�。并且其中一個(gè)客戶端要求使用固定的IP地址10.1.1.100�,其MAC地址為00
7、0f-1f7e-fec5����。(2)組網(wǎng)圖(3)配置步驟第一步:將防火墻的GigabitEthernet0/1接口地址配置為10.1.1.1/24。d在“系統(tǒng)管理”目錄中的“接口管理”����,單擊<配置>按鈕。d選擇“GigabitEthernet0/1”接口�。在“IP地址”欄中輸入10.1.1.1,掩碼中輸入“255.255.255.0”第二步:?jiǎn)⒂梅阑饓Φ腄HCP服務(wù)器功能����。d在“業(yè)務(wù)管理”下的“DHCP”子目錄中點(diǎn)擊“全局DHCP基本配置”,在右側(cè)配置區(qū)域中的“使能或禁止DHCP服務(wù)”下拉框中選擇“Enable”
8�����、��,單擊<應(yīng)用>按鈕�。第三步:配置全局DHCP地址池。d點(diǎn)擊“全局DHCP地址池”��,在右邊的配置區(qū)域中單擊<創(chuàng)建>按鈕��,在“地址池名稱”欄中dhcppool�����,單擊<應(yīng)用>按鈕����。d回到配置區(qū)域頁(yè)面后單擊<修改>按鈕,從下拉框中選擇“dhcppool”�����,將租約期限設(shè)置為3天12小時(shí)����,在“客戶端域名”欄中輸入h3c.com,單擊<應(yīng)用>按鈕����。d回到配置區(qū)域頁(yè)面后單擊按鈕,從下拉框中選擇“dh
