第一部分防火墙基本实验配置
实验一、防火墙外观和接口介绍
实验二、防火墙管理环境搭建
实验三、防火墙配置管理
实验四、防火墙软件版本升级
第二部分防火墙网络及路由实验配置
实验五、防火墙SNA T配置
实验六、防火墙DNAT配置
实验七、防火墙透明模式配置
实验八、防火墙混合模式配置
实验九、防火墙DHCP配置
实验十、防火墙DNS代理配置
实验十一、防火墙DDNS配置
实验十二、防火墙负载均衡配置
实验十三、防火墙源路由配置
实验十四、防火墙双机热备配置
实验十五、防火墙QoS配置
实验十六、防火墙WEB认证配置
第三部分防火墙安全及应用层控制实验配置
实验十七、防火墙会话统计和会话控制配置
实验十八、防火墙IP-MAC绑定配置
实验十九、防火墙禁用IM配置
实验二十、防火墙URL过滤配置
实验二十一、防火墙网页内容过滤配置
第四部分防火墙VPN实验配置
实验二十二、防火墙IPSEC VPN配置
实验二十三、防火墙SSL VPN配置
第五部分防火墙报表实验配置
实验二十四、防火墙日志服务器配置
实验二十五、防火墙记录上网URL配置
实验一防火墙外观与接口介绍
一、实验目的
认识防火墙,了解各接口区域及其作用。
二、应用环境
防火墙是当今使用最为广泛的安全设备,防火墙历经几代发展,现今为非常成熟的硬件体系结构,具有专门的Console口,专门的区域接口。串行部署于TCP/IP网络中。将网络一般划分为内、外、服务器区三个区域,对各区域实施安全策略以保护重要网络。本实验使用DCFW-1800E-V2防火墙,软件版本为:DCFOS-2.0R4,如实训室环境与此不同,请参照相关版本用户手册进行实验。
三、实验设备
(1) 防火墙设备1台
(2) Console线1条
(3) 网络线2条
(4) PC机1台
四、实验拓扑
DCFW-1800E-V2 背板接口
五、实验要求
(1)熟悉防火墙各接口及其连接方法;
(2)熟练使用各种线缆实现防火墙与主机和交换机的连通;
(3)实现控制台连接防火墙进行初始配置。
六、实验步骤
(1) 认识防火墙各接口,理解防火墙各接口的作用,并学会使用线缆连接防火墙和交换
机与主机。
(2) 使用控制线缆将防火墙与PC的串行接口连接
Console线
(3) 配置PC机的超级终端属性,接入防火墙命令行模式
第一步:登录防火墙并熟悉各配置模式
缺省管理员用户口令和密码是:
login:admin
password:admin
输入如上信息,可进入防火墙的执行模式,该模式的提示符如下所示,包含了一个数字符号(#):
DCFW-1800#
在执行模式下,输入configure 命令,可进入全局配置模式。提示符如下所示:DCFW-1800(config)#
V2系列防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行interface ethernet0/0 命令进入ethernet0/0 接口配置模式,此时的提示符变更为:DCFW-1800(config-if-eth0/0)#
下表列出了常用的模式间切换的命令:
第二步:通过PC机测试与防火墙的连通性
(1)使用交叉双绞线连接防火墙和PC机,此时防火墙的LAN-link灯亮起,表明网络的物理连接已经建立。观察指示灯状态为闪烁,表明有数据在尝试传输。
此时打开PC机的连接状态,发现只有数据发送,没有接收到的数据,这是因为防火墙的端口默认状态下都会禁止向未经验证和配置的设备发送数据,保证数据的安全。
七、共同思考
(1) 防火墙的初始状态配置信息如何?怎样通过命令行察看初始配置信息?
八、课后练习
本实验未配置防火墙的IP 地址等信息,课后可从防火墙的前面板对防火墙进行状态的观察,熟悉防火墙各种配置模式之间的切换和简化配置命令的书写模式。
实验二 防火墙管理环境搭建 一、实验目的
学会使用Telnet 、SSH 、WebUI 方式登录防火墙。
二、应用环境
V2防火墙可以使用telnet 、SSH 、WebUI 方式进行管理,使用者可以很方便的使用几种方式进行管理。本实验使用DCFW-1800E-V2防火墙,软件版本为:DCFOS-2.0R4,如实训室环境与此不同,请参照相关版本用户手册进行实验。
三、实验设备
(1) 防火墙设备 1台 (2) Console 线 1条 (3) 交叉网络线 1条 (4) PC 机 1台
四、实验拓扑
Console 线
网线
五、实验要求
掌握防火墙管理环境的搭建和配置方法,熟练使用各种管理方式管理防火墙。
六、实验步骤
按照实验拓扑搭建实验环境。
第一部分 搭建TELNET 和SSH 管理环境
1、运行manage telnet 命令开启被连接接口的Telnet 管理功能。 Hostname#configure
DCFW-1800(config)#interface Ethernet 0/0
DCFW-1800(config-if-eth0/0)#manage telnet
2、运行manage ssh 开启SSH 管理功能。
DCFW-1800(config-if-eth0/0)#manage ssh
3、配置PC 机的IP 地址为192.168.1.*,从PC 尝试与防火墙的TELNET 连接。
注:用户口令和密码是缺省管理员用户口令和密码:
admin
4、从PC 尝试与防火墙的SSH 连接。 注:pc 中已经安装好SSH 客户端软件。用户口令和密码是缺省管理员用户口令和密码:admin 。
第二部分搭建WebUI管理环境
初次使用防火墙时,用户可以通过该E0/0接口访问防火墙的WebUI 页面。
在浏览器地址栏输入:https://192.168.1.1并按回车键,系统WebUI的登陆界面如下所示:
登陆后的主界面如下所示:
这里即可展开对防火墙的设置。
第三部分管理用户的设置
V2防火墙默认的管理员是admin,可以对其进行修改,但不能删除这个管理员。
增加一个管理员的命令是:
DCFW-1800(config)#admin user user-name
执行该命令后,系统创建指定名称的管理员,并且进入管理员配置模式;如果指定的管理员名称已经存在,则直接进入管理员配置模式。
管理员特权为管理员登录设备后拥有的权限。DCFOS 允许的权限有RX 和RXW两种。在管理员配置模式下,输入以下命令配置管理员的特权:
DCFW-1800(config-admin)#privilege {RX | RXW}
在管理员配置模式下,输入以下命令配置管理员的密码:
DCFW-1800(config-admin)#password password
七、共同思考
如果需要在某公司的内部办公环境对防火墙设备进行管理,这种情况下不可能是用console直接连接,可以使用什么方式进行管理,怎样加强这种管理方式下的安全性?
telnet、ssh、webui都可以,但需要根据具体环境设置防火墙在那些接口允许哪种管理方式。
八、课后练习
小王是某大型国企的网络管理员,最近刚刚购置了一台DCFW-1800S-L-V2防火墙,安装人员和售后技术工程师走后,小王想起应该对管理员的操作加以限制,至少要设置2个管理员的账号,一个用于全设备配置,一个只能用于查看,用以防止非管理员的非法操作,怎样做,能够让小王的想法得到很好的实现呢?
首先,应该对默认admin密码进行修改,这是保证防火墙管理安全的第一步。
其次,增加两个管理员账号,并在其模式下,对密码进行设置,然后使用privilege命令对RXW进行具体设置。
最后,要确认每个管理员账号可能接入防火墙的接口,并确保接口允许管理操作。实验三防火墙管理环境搭建
一、实验目的
学会查看和保存防火墙的配置信息,同时还要了解如何导出和导入配置文件。
二、应用环境
DCFW-1800系列防火墙的配置信息都被保存在系统的配置文件中。用户通过运行相应的命令或者访问相应的WebUI页面查看防火墙的各种配置信息,例如防火墙的初始配置信息和当前配置信息等。配置文件以命令行的格式保存配置信息,并且也以这种格式显示配置信息。
三、实验设备
(1) 防火墙设备1台
(2) Console线1条
(3) 交叉网络线1条
(4) PC机1台
四、实验拓扑
Console 线
网线
五、实验要求
掌握防火墙管理环境的搭建和配置方法,熟练使用各种管理方式管理防火墙。
六、实验步骤
第一部分 将当前配置文件保存在本地
WebUI :访问页面“系统⑥维护⑥配置⑥管理”。 点击『保存』,这样就可以将当前配置文件保存到本地进行查看。
点击保存键
这样防火墙的当前配置文件就可以保存在本地,我们也可以使用写字板将此文件打开,查看防火墙的配置。
第二部分将本地的配置上传到防火墙并调用该配置
WebUI:访问页面“系统⑥维护⑥配置⑥管理”。点击『浏览』,从本地选择将要上传的配置文件
点击升级,完毕后直接重启设备即可。
设备启动完毕后的配置为上传的配置文件。
第三部分将防火墙配置恢复到出厂
将防火墙恢复到出厂的方法有三种:
1、用户除使用设备上的CRL按键使系统恢复到出厂配置
2、可以使用命令恢复。恢复出厂配置,在执行模式下,使用以下命令:
unset all
3、WebUI:访问页面“系统⑥维护⑥配置⑥管理”。点击『重置』
出现以上信息后,点击确定
此时防火墙将恢复到缺省出厂缺省配置,并自动重启设备。
七、共同思考
防火墙系统中最多可以保存几份配置文件
八、课后练习
首先将防火墙当前配置保存到电脑本地,然后将防火墙恢复到出厂配置。最后将之前的本地配置导入到防火墙中,并启动该配置文件。
实验四 防火墙软件版本升级 一、实验目的
1、了解什么时间升级
2、了解如何进行产品升级
二、应用环境
防火墙系统核心具备升级及更新的能力,以保证合适更加复杂的网络应用。商场在制造出产品以后,会始终保持对产品内核的更新。获得正式授权的升级包后,按照规定方法进行升级,可获得产品的最优配置和最佳性能。但此步骤需谨慎进行,升级过程中不可断电。
三、实验设备
(1) 防火墙设备1台 (2) Console 线1条 (3) 网络线2条 (4) PC 机1台
四、实验拓扑
Console 线
网线
五、实验要求
学会将现有产品版本进行备份、升级操作
六、实验步骤
防火墙软件版本的升级支持CLI 下TFTP 、FTP 升级,另外设备本省有USB 接口,也可以支持U 盘直接升级。本实验中我们通过Web 的方式进行升级
第一步:将软件版本从本地上传到防火墙
1.访问页面“系统⑥维护⑥系统固件”。
2.选择<上载新系统固件>单选按钮。
3.选中<备份当前系统固件>复选框,系统将在上载的同时备份当前运行的
DCFOS。如不选中该选项,系统将用新上载的DCFOS覆盖当前运行的
DCFOS。
4.点击『浏览』按钮并且选中要上载的DCFOS。
5.点击『确定』按钮,系统开始上载指定的DCFOS。
6、系统中最多可以保存两个DCFOS供用户选择使用。默认情况下,系统下次启
动时将使用新上载成功的DCFOS。
第二步:选择下次启动时调用的软件版本
用户也可以指定使用其他DCFOS作为下次启动时使用的DCFOS。请按照以下步骤指定下次启动时使用的DCFOS:
1.访问页面“系统⑥维护⑥系统固件”。
2.选择<选择下次启动时使用的系统固件>单选按钮。
3.在下拉菜单中选择下次启动是使用的DCFOS名称。
4.点击『确定』按钮。
重启设备后,设备加载的版本为刚刚选择的版本
七、共同思考
假使现在系统里面存在的版本为2.0R4和2.0R5版本,现在用户希望在设备上使用
2.5R5版本,将2.0R5做为备份版本,如何操作?
八、课后练习
使用本实验介绍的升级方式对防火墙的版本进行升级和备份的操作
实验五防火墙SNAT配置
一、实验目的
考虑到公网地址的有限,不能每台PC都配置公网地址访问外网。通过少量公网IP地址来满足多数私网ip上网,以缓解IP地址枯竭的速度。
二、应用环境
用于公司内部私网地址较多,运营商只分配给一个或者几个公网地址。在这种条件下,这几个公网地址需要满足几十乃至几百几千人同时上网,需要配置源NAT
三、实验设备
(1) 防火墙设备1台
(2) 局域网交换机n台
(3) 网络线n条
(4) PC机n台
四、实验拓扑
五、实验要求
配置防火墙使内网192.168.1.0/24网段可以访问internet
六、实验步骤
第一步:配置接口
首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置 通过Webui 登录防火墙界面
输入缺省用户名admin ,密码admin 后点击登录,配置外网接口地址
Internet
内口网地址使用缺省192.168.1.1
第二步:添加路由
添加到外网的缺省路由,在目的路由中新建路由条目 添加下一条地址
第三步:添加SNAT 策略
在网络/NAT/SNAT 中添加源NA T 策略
第四步:添加安全策略
在安全/策略中,选择好源安全域和目的安全域后,新建策略
关于SNAT ,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。
如果是需要对于策略中各个选项有更多的配置要求可以点击高级哦遏制进行编辑
七、共同思考 如果是配置SNAT 后,只允许在内网用户早9:00到晚18:00浏览网页,其他时间不做
任何限制,如何来实现
八、课后练习
防火墙内网口处接一台神州数码三层交换机5950,三层交换机上设置了几个网段都可以通过防火墙来访问外网。
实验六 防火墙DNAT 配置 一、实验目的
防火墙上配置了SNA T 后,内部用户在访问外网时都隐藏了私网地址,如果防火墙内部有一台服务器需要对外网用户开放,此时就必须在防火墙上配置DNA T ,将数据包在防火墙做目的地址转换,让外网用户访问到该服务器。
二、应用环境
由于公网地址有限,一般在申请线路时,运营商分配给我们的只有一个或几个公网地址。但是内部服务器设置成私网地址后,需要将私网地址映射到公网。外网用户才可以通过映射后的公网地址访问到服务器。映射包括两种:一种为端口映射,只是映射需要的服务器端口;一种为IP 映射,将私网地址和公网地址做一对一的映射。
(1) 防火墙设备1台
(2) Console线1条
(3) 网络线n条
(4) 网络交换机n台
(5) PC机n台,服务器器n台
四、实验拓扑
Web ServerA
192.168.10.2/24
五、实验要求
1、使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该
Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。
2、允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。
3、使用合法IP 218.240.143.220为Web ServerA做IP映射,允许内外网用户对该Server
的Web访问。
要求一:外网口IP 为内网FTP Server 及WEB ServerB 做端口映
射并允许外网用户访问该Server 的FTP 和WEB 服务,其中Web 服务对外映射的端口为TCP8000。
第一步:配置准备工作
1、设置地址簿,在对象/地址簿中设置服务器地址
2、 设置服务簿,防火墙出厂自带一些预定义服务,但是如果我们需要的服务在预定义中不
包含时,需要在对象/服务簿中手工定义
使用“IP 成员”选项
定义Trust 区域的server 地址
因为此处定义的TCP8000端口将来为HTTP 应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP 业务使用