多核防火墻實(shí)驗(yàn)指導(dǎo)

第一部分防火墻基本實(shí)驗(yàn)配置實(shí)驗(yàn)一、防火墻外觀和接口介紹實(shí)驗(yàn)二、防火墻管理環(huán)境搭建實(shí)驗(yàn)三、防火墻配置管理實(shí)驗(yàn)四、防火墻軟件版本升級(jí)第二部分防火墻網(wǎng)絡(luò)及路由實(shí)驗(yàn)配置實(shí)驗(yàn)五、防火墻SNAT配置實(shí)驗(yàn)六、防火墻DNAT配置實(shí)驗(yàn)七、防火墻透明模式配置實(shí)驗(yàn)八、防火墻混合模式配置實(shí)驗(yàn)九、防火墻DHCP配置實(shí)驗(yàn)十、防火墻DNS代理配置實(shí)驗(yàn)十一、防火墻DDNS配置實(shí)驗(yàn)十二、防火墻負(fù)載均衡配置實(shí)驗(yàn)十三、防火墻源路由配置實(shí)驗(yàn)十四、防火墻雙機(jī)熱備配置實(shí)驗(yàn)十五、防火墻QoS配置實(shí)驗(yàn)十六、防火墻WEB認(rèn)證配置第三部分防火墻安全及應(yīng)用層控制實(shí)驗(yàn)配置實(shí)驗(yàn)十七、防火墻會(huì)話統(tǒng)計(jì)和會(huì)話控制配置實(shí)驗(yàn)十八、防火墻IP-MAC綁定配置實(shí)驗(yàn)十九、防火墻禁用IM配置實(shí)驗(yàn)二十、防火墻URL過(guò)濾配置實(shí)驗(yàn)二十一、防火墻網(wǎng)頁(yè)內(nèi)容過(guò)濾配置第四部分防火墻VPN實(shí)驗(yàn)配置實(shí)驗(yàn)二十二、防火墻IPSECVPN配置實(shí)驗(yàn)二十三、防火墻SSLVPN配置第五部分防火墻報(bào)表實(shí)驗(yàn)配置實(shí)驗(yàn)二十四、防火墻日志服務(wù)器配置實(shí)驗(yàn)二十五、防火墻記錄上網(wǎng)URL配置實(shí)驗(yàn)一防火墻外觀與接口介紹一、實(shí)驗(yàn)?zāi)康恼J(rèn)識(shí)防火墻，了解各接口區(qū)域及其作用。二、應(yīng)用環(huán)境防火墻是當(dāng)今使用最為廣泛的安全設(shè)備，防火墻歷經(jīng)幾代發(fā)展，現(xiàn)今為非常成熟的硬件體系結(jié)構(gòu)，具有專門(mén)的Console口，專門(mén)的區(qū)域接口。串行部署于TCP/IP網(wǎng)絡(luò)中。將網(wǎng)絡(luò)一般劃分為內(nèi)、外、服務(wù)器區(qū)三個(gè)區(qū)域，對(duì)各區(qū)域?qū)嵤┌踩呗砸员Ｗo(hù)重要網(wǎng)絡(luò)。本實(shí)驗(yàn)使用DCFW-1800E-V2防火墻，軟件版本為：DCFOS-2.0R4，如實(shí)訓(xùn)室環(huán)境與此不同，請(qǐng)參照相關(guān)版本用戶手冊(cè)進(jìn)行實(shí)驗(yàn)。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)?/p>

DCFW-1800E-V2背板接口五、實(shí)驗(yàn)要求(1)熟悉防火墻各接口及其連接方法；(2)熟練使用各種線纜實(shí)現(xiàn)防火墻與主機(jī)和交換機(jī)的連通；(3)實(shí)現(xiàn)控制臺(tái)連接防火墻進(jìn)行初始配置。六、實(shí)驗(yàn)步驟(1)認(rèn)識(shí)防火墻各接口，理解防火墻各接口的作用，并學(xué)會(huì)使用線纜連接防火墻和交換機(jī)與主機(jī)。(2)使用控制線纜將防火墻與PC的串行接口連接(3)配置PC機(jī)的超級(jí)終端屬性，接入防火墻命令行模式第一步：登錄防火墻并熟悉各配置模式缺省管理員用戶口令和密碼是：login：adminpassword：admin 輸入如上信息，可進(jìn)入防火墻的執(zhí)行模式，該模式的提示符如下所示，包含了一個(gè)數(shù)字符號(hào)（#）：DCFW-1800#在執(zhí)行模式下，輸入configure命令，可進(jìn)入全局配置模式。提示符如下所示：DCFW-1800(config)#V2系列防火墻的不同模塊功能需要在其對(duì)應(yīng)的命令行子模塊模式下進(jìn)行配置。在全局配置模式輸入特定的命令可以進(jìn)入相應(yīng)的子模塊配置模式。例如，運(yùn)行interfaceethernet0/0命令進(jìn)入ethernet0/0接口配置模式，此時(shí)的提示符變更為：DCFW-1800(config-if-eth0/0)#下表列出了常用的模式間切換的命令：第二步：通過(guò)PC機(jī)測(cè)試與防火墻的連通性(1)使用交叉雙絞線連接防火墻和PC機(jī)，此時(shí)防火墻的LAN-link燈亮起，表明網(wǎng)絡(luò)的物理連接已經(jīng)建立。觀察指示燈狀態(tài)為閃爍，表明有數(shù)據(jù)在嘗試傳輸。此時(shí)打開(kāi)PC機(jī)的連接狀態(tài)，發(fā)現(xiàn)只有數(shù)據(jù)發(fā)送，沒(méi)有接收到的數(shù)據(jù)，這是因?yàn)榉阑饓Φ亩丝谀J(rèn)狀態(tài)下都會(huì)禁止向未經(jīng)驗(yàn)證和配置的設(shè)備發(fā)送數(shù)據(jù)，保證數(shù)據(jù)的安全。七、共同思考(1)防火墻的初始狀態(tài)配置信息如何？怎樣通過(guò)命令行察看初始配置信息？八、課后練習(xí)本實(shí)驗(yàn)未配置防火墻的IP地址等信息，課后可從防火墻的前面板對(duì)防火墻進(jìn)行狀態(tài)的觀察，熟悉防火墻各種配置模式之間的切換和簡(jiǎn)化配置命令的書(shū)寫(xiě)模式。實(shí)驗(yàn)二防火墻管理環(huán)境搭建一、實(shí)驗(yàn)?zāi)康膶W(xué)會(huì)使用Telnet、SSH、WebUI方式登錄防火墻。二、應(yīng)用環(huán)境 V2防火墻可以使用telnet、SSH、WebUI方式進(jìn)行管理，使用者可以很方便的使用幾種方式進(jìn)行管理。本實(shí)驗(yàn)使用DCFW-1800E-V2防火墻，軟件版本為：DCFOS-2.0R4，如實(shí)訓(xùn)室環(huán)境與此不同，請(qǐng)參照相關(guān)版本用戶手冊(cè)進(jìn)行實(shí)驗(yàn)。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)交叉網(wǎng)絡(luò)線1條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)湮濉?shí)驗(yàn)要求掌握防火墻管理環(huán)境的搭建和配置方法，熟練使用各種管理方式管理防火墻。六、實(shí)驗(yàn)步驟 按照實(shí)驗(yàn)拓?fù)浯罱▽?shí)驗(yàn)環(huán)境。第一部分搭建TELNET和SSH管理環(huán)境 1、運(yùn)行managetelnet命令開(kāi)啟被連接接口的Telnet管理功能。 Hostname#configure DCFW-1800(config)#interfaceEthernet0/0 DCFW-1800(config-if-eth0/0)#managetelnet 2、運(yùn)行managessh開(kāi)啟SSH管理功能。 DCFW-1800(config-if-eth0/0)#managessh 3、配置PC機(jī)的IP地址為192.168.1.*,從PC嘗試與防火墻的TELNET連接。 注：用戶口令和密碼是缺省管理員用戶口令和密碼：admin 4、從PC嘗試與防火墻的SSH連接。 注：pc中已經(jīng)安裝好SSH客戶端軟件。用戶口令和密碼是缺省管理員用戶口令和密碼：admin。 第二部分搭建WebUI管理環(huán)境初次使用防火墻時(shí)，用戶可以通過(guò)該E0/0接口訪問(wèn)防火墻的WebUI頁(yè)面。 在瀏覽器地址欄輸入：并按回車(chē)鍵，系統(tǒng)WebUI的登陸界面如下所示： 登陸后的主界面如下所示： 這里即可展開(kāi)對(duì)防火墻的設(shè)置。第三部分管理用戶的設(shè)置 V2防火墻默認(rèn)的管理員是admin，可以對(duì)其進(jìn)行修改，但不能刪除這個(gè)管理員。 增加一個(gè)管理員的命令是： DCFW-1800(config)#adminuseruser-name執(zhí)行該命令后，系統(tǒng)創(chuàng)建指定名稱的管理員，并且進(jìn)入管理員配置模式；如果指定的管理員名稱已經(jīng)存在，則直接進(jìn)入管理員配置模式。管理員特權(quán)為管理員登錄設(shè)備后擁有的權(quán)限。DCFOS允許的權(quán)限有RX和RXW兩種。在管理員配置模式下，輸入以下命令配置管理員的特權(quán)：DCFW-1800(config-admin)#privilege{RX|RXW}在管理員配置模式下，輸入以下命令配置管理員的密碼：DCFW-1800(config-admin)#passwordpassword 七、共同思考 如果需要在某公司的內(nèi)部辦公環(huán)境對(duì)防火墻設(shè)備進(jìn)行管理，這種情況下不可能是用console直接連接，可以使用什么方式進(jìn)行管理，怎樣加強(qiáng)這種管理方式下的安全性？ telnet、ssh、webui都可以，但需要根據(jù)具體環(huán)境設(shè)置防火墻在那些接口允許哪種管理方式。八、課后練習(xí) 小王是某大型國(guó)企的網(wǎng)絡(luò)管理員，最近剛剛購(gòu)置了一臺(tái)DCFW-1800S-L-V2防火墻，安裝人員和售后技術(shù)工程師走后，小王想起應(yīng)該對(duì)管理員的操作加以限制，至少要設(shè)置2個(gè)管理員的賬號(hào)，一個(gè)用于全設(shè)備配置，一個(gè)只能用于查看，用以防止非管理員的非法操作，怎樣做，能夠讓小王的想法得到很好的實(shí)現(xiàn)呢？ 首先，應(yīng)該對(duì)默認(rèn)admin密碼進(jìn)行修改，這是保證防火墻管理安全的第一步。 其次，增加兩個(gè)管理員賬號(hào)，并在其模式下，對(duì)密碼進(jìn)行設(shè)置，然后使用privilege命令對(duì)RXW進(jìn)行具體設(shè)置。 最后，要確認(rèn)每個(gè)管理員賬號(hào)可能接入防火墻的接口，并確保接口允許管理操作。實(shí)驗(yàn)三防火墻管理環(huán)境搭建一、實(shí)驗(yàn)?zāi)康膶W(xué)會(huì)查看和保存防火墻的配置信息，同時(shí)還要了解如何導(dǎo)出和導(dǎo)入配置文件。二、應(yīng)用環(huán)境DCFW-1800系列防火墻的配置信息都被保存在系統(tǒng)的配置文件中。用戶通過(guò)運(yùn)行相應(yīng)的命令或者訪問(wèn)相應(yīng)的WebUI頁(yè)面查看防火墻的各種配置信息，例如防火墻的初始配置信息和當(dāng)前配置信息等。配置文件以命令行的格式保存配置信息，并且也以這種格式顯示配置信息。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)交叉網(wǎng)絡(luò)線1條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)湮?、?shí)驗(yàn)要求掌握防火墻管理環(huán)境的搭建和配置方法，熟練使用各種管理方式管理防火墻。六、實(shí)驗(yàn)步驟第一部分將當(dāng)前配置文件保存在本地WebUI：訪問(wèn)頁(yè)面“系統(tǒng)維護(hù)配置管理”。點(diǎn)擊『保存』，這樣就可以將當(dāng)前配置文件保存到本地進(jìn)行查看。點(diǎn)擊保存鍵這樣防火墻的當(dāng)前配置文件就可以保存在本地，我們也可以使用寫(xiě)字板將此文件打開(kāi)，查看防火墻的配置。第二部分將本地的配置上傳到防火墻并調(diào)用該配置WebUI：訪問(wèn)頁(yè)面“系統(tǒng)維護(hù)配置管理”。點(diǎn)擊『瀏覽』，從本地選擇將要上傳的配置文件點(diǎn)擊升級(jí)，完畢后直接重啟設(shè)備即可。設(shè)備啟動(dòng)完畢后的配置為上傳的配置文件。第三部分將防火墻配置恢復(fù)到出廠將防火墻恢復(fù)到出廠的方法有三種：用戶除使用設(shè)備上的CRL按鍵使系統(tǒng)恢復(fù)到出廠配置可以使用命令恢復(fù)?；謴?fù)出廠配置，在執(zhí)行模式下，使用以下命令：unsetall3、WebUI：訪問(wèn)頁(yè)面“系統(tǒng)維護(hù)配置管理”。點(diǎn)擊『重置』出現(xiàn)以上信息后，點(diǎn)擊確定此時(shí)防火墻將恢復(fù)到缺省出廠缺省配置，并自動(dòng)重啟設(shè)備。七、共同思考防火墻系統(tǒng)中最多可以保存幾份配置文件八、課后練習(xí)首先將防火墻當(dāng)前配置保存到電腦本地，然后將防火墻恢復(fù)到出廠配置。最后將之前的本地配置導(dǎo)入到防火墻中，并啟動(dòng)該配置文件。實(shí)驗(yàn)四防火墻軟件版本升級(jí)一、實(shí)驗(yàn)?zāi)康?、了解什么時(shí)間升級(jí)2、了解如何進(jìn)行產(chǎn)品升級(jí)二、應(yīng)用環(huán)境防火墻系統(tǒng)核心具備升級(jí)及更新的能力，以保證合適更加復(fù)雜的網(wǎng)絡(luò)應(yīng)用。商場(chǎng)在制造出產(chǎn)品以后，會(huì)始終保持對(duì)產(chǎn)品內(nèi)核的更新。獲得正式授權(quán)的升級(jí)包后，按照規(guī)定方法進(jìn)行升級(jí)，可獲得產(chǎn)品的最優(yōu)配置和最佳性能。但此步驟需謹(jǐn)慎進(jìn)行，升級(jí)過(guò)程中不可斷電。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)湮?、?shí)驗(yàn)要求學(xué)會(huì)將現(xiàn)有產(chǎn)品版本進(jìn)行備份、升級(jí)操作六、實(shí)驗(yàn)步驟防火墻軟件版本的升級(jí)支持CLI下TFTP、FTP升級(jí)，另外設(shè)備本省有USB接口，也可以支持U盤(pán)直接升級(jí)。本實(shí)驗(yàn)中我們通過(guò)Web的方式進(jìn)行升級(jí)第一步：將軟件版本從本地上傳到防火墻訪問(wèn)頁(yè)面“系統(tǒng)維護(hù)系統(tǒng)固件”。選擇<上載新系統(tǒng)固件>單選按鈕。選中<備份當(dāng)前系統(tǒng)固件>復(fù)選框，系統(tǒng)將在上載的同時(shí)備份當(dāng)前運(yùn)行的DCFOS。如不選中該選項(xiàng)，系統(tǒng)將用新上載的DCFOS覆蓋當(dāng)前運(yùn)行的DCFOS。點(diǎn)擊『瀏覽』按鈕并且選中要上載的DCFOS。點(diǎn)擊『確定』按鈕，系統(tǒng)開(kāi)始上載指定的DCFOS。6、系統(tǒng)中最多可以保存兩個(gè)DCFOS供用戶選擇使用。默認(rèn)情況下，系統(tǒng)下次啟動(dòng)時(shí)將使用新上載成功的DCFOS。第二步：選擇下次啟動(dòng)時(shí)調(diào)用的軟件版本用戶也可以指定使用其他DCFOS作為下次啟動(dòng)時(shí)使用的DCFOS。請(qǐng)按照以下步驟指定下次啟動(dòng)時(shí)使用的DCFOS：訪問(wèn)頁(yè)面“系統(tǒng)維護(hù)系統(tǒng)固件”。選擇<選擇下次啟動(dòng)時(shí)使用的系統(tǒng)固件>單選按鈕。在下拉菜單中選擇下次啟動(dòng)是使用的DCFOS名稱。點(diǎn)擊『確定』按鈕。重啟設(shè)備后，設(shè)備加載的版本為剛剛選擇的版本七、共同思考假使現(xiàn)在系統(tǒng)里面存在的版本為2.0R4和2.0R5版本，現(xiàn)在用戶希望在設(shè)備上使用2.5R5版本，將2.0R5做為備份版本，如何操作？八、課后練習(xí)使用本實(shí)驗(yàn)介紹的升級(jí)方式對(duì)防火墻的版本進(jìn)行升級(jí)和備份的操作實(shí)驗(yàn)五防火墻SNAT配置一、實(shí)驗(yàn)?zāi)康目紤]到公網(wǎng)地址的有限，不能每臺(tái)PC都配置公網(wǎng)地址訪問(wèn)外網(wǎng)。通過(guò)少量公網(wǎng)IP地址來(lái)滿足多數(shù)私網(wǎng)ip上網(wǎng)，以緩解IP地址枯竭的速度。二、應(yīng)用環(huán)境用于公司內(nèi)部私網(wǎng)地址較多，運(yùn)營(yíng)商只分配給一個(gè)或者幾個(gè)公網(wǎng)地址。在這種條件下，這幾個(gè)公網(wǎng)地址需要滿足幾十乃至幾百幾千人同時(shí)上網(wǎng)，需要配置源NAT三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)局域網(wǎng)交換機(jī)n臺(tái)(3)網(wǎng)絡(luò)線n條(4)PC機(jī)n臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)湮濉?shí)驗(yàn)要求配置防火墻使內(nèi)網(wǎng)/24網(wǎng)段可以訪問(wèn)internet六、實(shí)驗(yàn)步驟第一步：配置接口首先通過(guò)防火墻默認(rèn)eth0接口地址登錄到防火墻界面進(jìn)行接口的配置通過(guò)Webui登錄防火墻界面輸入缺省用戶名admin，密碼admin后點(diǎn)擊登錄，配置外網(wǎng)接口地址只有指定安全域類型為只有指定安全域類型為“三層安全域”時(shí)才可以接口配置IP內(nèi)口網(wǎng)地址使用缺省第二步：添加路由添加到外網(wǎng)的缺省路由，在目的路由中新建路由條目添加下一條地址這里的子網(wǎng)掩碼既可以寫(xiě)成這里的子網(wǎng)掩碼既可以寫(xiě)成0也可以寫(xiě)成，防火墻會(huì)自動(dòng)識(shí)別第三步：添加SNAT策略在網(wǎng)絡(luò)/NAT/SNAT中添加源NAT策略出接口選擇外網(wǎng)口出接口選擇外網(wǎng)口內(nèi)網(wǎng)訪問(wèn)Internet時(shí)轉(zhuǎn)換為外網(wǎng)接口ip第四步：添加安全策略在安全/策略中，選擇好源安全域和目的安全域后，新建策略若對(duì)策略中的各個(gè)選項(xiàng)有更多配置要求可點(diǎn)擊若對(duì)策略中的各個(gè)選項(xiàng)有更多配置要求可點(diǎn)擊“高級(jí)配置”進(jìn)行編輯關(guān)于SNAT，我們只需要建立一條內(nèi)網(wǎng)口安全域到外網(wǎng)口安全域放行的一條策略就可以保證內(nèi)網(wǎng)能夠訪問(wèn)到外網(wǎng)。如果是需要對(duì)于策略中各個(gè)選項(xiàng)有更多的配置要求可以點(diǎn)擊高級(jí)哦遏制進(jìn)行編輯添加多個(gè)源地址添加多個(gè)源地址添加多個(gè)目的地址添加多個(gè)服務(wù)對(duì)象可以添加時(shí)間對(duì)象以限制該策略僅在某個(gè)時(shí)段有效激活高級(jí)配置模式七、共同思考如果是配置SNAT后，只允許在內(nèi)網(wǎng)用戶早9:00到晚18:00瀏覽網(wǎng)頁(yè)，其他時(shí)間不做任何限制，如何來(lái)實(shí)現(xiàn)八、課后練習(xí)防火墻內(nèi)網(wǎng)口處接一臺(tái)神州數(shù)碼三層交換機(jī)5950，三層交換機(jī)上設(shè)置了幾個(gè)網(wǎng)段都可以通過(guò)防火墻來(lái)訪問(wèn)外網(wǎng)。實(shí)驗(yàn)六防火墻DNAT配置一、實(shí)驗(yàn)?zāi)康姆阑饓ι吓渲昧薙NAT后，內(nèi)部用戶在訪問(wèn)外網(wǎng)時(shí)都隱藏了私網(wǎng)地址，如果防火墻內(nèi)部有一臺(tái)服務(wù)器需要對(duì)外網(wǎng)用戶開(kāi)放，此時(shí)就必須在防火墻上配置DNAT，將數(shù)據(jù)包在防火墻做目的地址轉(zhuǎn)換，讓外網(wǎng)用戶訪問(wèn)到該服務(wù)器。二、應(yīng)用環(huán)境由于公網(wǎng)地址有限，一般在申請(qǐng)線路時(shí)，運(yùn)營(yíng)商分配給我們的只有一個(gè)或幾個(gè)公網(wǎng)地址。但是內(nèi)部服務(wù)器設(shè)置成私網(wǎng)地址后，需要將私網(wǎng)地址映射到公網(wǎng)。外網(wǎng)用戶才可以通過(guò)映射后的公網(wǎng)地址訪問(wèn)到服務(wù)器。映射包括兩種：一種為端口映射，只是映射需要的服務(wù)器端口；一種為IP映射，將私網(wǎng)地址和公網(wǎng)地址做一對(duì)一的映射。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線n條(4)網(wǎng)絡(luò)交換機(jī)n臺(tái)(5)PC機(jī)n臺(tái)，服務(wù)器器n臺(tái)四、實(shí)驗(yàn)拓?fù)?24IP:/24/24IP:/24Eth0/01Eth0/0:1/24Zone:trustEth0/121th0/1Eth0/1:21/24Zone:untrustFTPServer&WebServerBIP:0/24InternetWebServerAIP:/24Eth0/2Eth0/2:/24Zone:DMZ0/24IP:/24五、實(shí)驗(yàn)要求使用外網(wǎng)口IP為內(nèi)網(wǎng)FTPServer及WEBServerB做端口映射，并允許外網(wǎng)用戶訪問(wèn)該Server的FTP和WEB服務(wù)，其中Web服務(wù)對(duì)外映射的端口為T(mén)CP8000。允許內(nèi)網(wǎng)用戶通過(guò)域名訪問(wèn)WEBServerB(即通過(guò)合法IP訪問(wèn)）。使用合法IP20為WebServerA做IP映射，允許內(nèi)外網(wǎng)用戶對(duì)該Server的Web訪問(wèn)。六、實(shí)驗(yàn)步驟要求一：外網(wǎng)口IP為內(nèi)網(wǎng)FTPServer及WEBServerB做端口映射并允許外網(wǎng)用戶訪問(wèn)該Server的FTP和WEB服務(wù)，其中Web服務(wù)對(duì)外映射的端口為T(mén)CP8000。第一步：配置準(zhǔn)備工作1、設(shè)置地址簿，在對(duì)象/地址簿中設(shè)置服務(wù)器地址使用使用“IP成員”選項(xiàng)定義Trust區(qū)域的server地址設(shè)置服務(wù)簿，防火墻出廠自帶一些預(yù)定義服務(wù)，但是如果我們需要的服務(wù)在預(yù)定義中不包含時(shí)，需要在對(duì)象/服務(wù)簿中手工定義我們要映射的端口為目的端口，端口號(hào)只有一個(gè)，所以只填寫(xiě)最小值即可我們要映射的端口為目的端口，端口號(hào)只有一個(gè)，所以只填寫(xiě)最小值即可因?yàn)榇颂幎x的TCP8000端口將來(lái)為HTTP應(yīng)用，所以要需要與應(yīng)用類型管理，以便讓防火墻知道該端口為HTTP業(yè)務(wù)使用第二步：創(chuàng)建目的NAT配置目的NAT,為trust區(qū)域server映射FTP(TCP21)和HTTP(TCP80)端口目的地址為轉(zhuǎn)換前的合法IP。要求三：使用合法IP20為WebServerA做IP映射，允許內(nèi)外網(wǎng)用戶對(duì)該Server的Web訪問(wèn)。第一步：配置準(zhǔn)備工作1、將服務(wù)器的實(shí)際地址使用web_serverA來(lái)表示使用使用“IP成員”選項(xiàng)定義DMZ區(qū)域的server地址2、將服務(wù)器的公網(wǎng)地址使用IP_20來(lái)表示使用使用“IP成員”選項(xiàng)定義要映射的合法IP第二步：配置目的NAT創(chuàng)建靜態(tài)NAT條目，在新建處選擇IP映射對(duì)外宣告的合法對(duì)外宣告的合法IP用真實(shí)地址定義的地址對(duì)象第三步：放行安全策略1、放行untrust區(qū)域到dmz區(qū)域的安全策略，使外網(wǎng)可以訪問(wèn)dmz區(qū)域服務(wù)器目的地址為轉(zhuǎn)換前的合法目的地址為轉(zhuǎn)換前的合法IP。2、放行trust區(qū)域到dmz區(qū)域的安全策略，使內(nèi)網(wǎng)機(jī)器可以公網(wǎng)地址訪問(wèn)dmz區(qū)域內(nèi)的服務(wù)器目的地址為轉(zhuǎn)換前的合法目的地址為轉(zhuǎn)換前的合法IP。七、共同思考內(nèi)網(wǎng)有一臺(tái)ftp服務(wù)器，使用防火墻外網(wǎng)口地址將其映射到外網(wǎng)，映射端口為1221。請(qǐng)思考該功能如何實(shí)現(xiàn)?八、課后練習(xí)請(qǐng)?jiān)趦?nèi)網(wǎng)架設(shè)一臺(tái)Web服務(wù)器，使防火墻將該服務(wù)器映射到公網(wǎng)，映射端口為8888。使內(nèi)、外網(wǎng)用戶可以通過(guò)公網(wǎng)地址的8888端口訪問(wèn)該服務(wù)器。實(shí)驗(yàn)七防火墻透明模式配置能夠一、實(shí)驗(yàn)?zāi)康哪軌?、了解什么是透明模式；2、了解如何配置防火墻的透明模式；二、應(yīng)用環(huán)境透明模式相當(dāng)于防火墻工作于透明網(wǎng)橋模式。防火墻進(jìn)行防范的各個(gè)區(qū)域均位于同一網(wǎng)段。在實(shí)際應(yīng)用網(wǎng)絡(luò)中，這是對(duì)網(wǎng)絡(luò)變動(dòng)最少的介入方法，廣泛用于大量原有網(wǎng)絡(luò)的安全升級(jí)中。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)渚W(wǎng)段網(wǎng)段A:-00網(wǎng)段B:01-00網(wǎng)絡(luò)拓?fù)銭th6Zone:l2-trustEth7Zone:l2-untrustVswtichif1:54/24五、實(shí)驗(yàn)要求1、防火墻eth6接口和eth7接口配置為透明模式2、eth6與eth7同屬一個(gè)虛擬橋接組，eth6屬于l2-trust安全域，eth7屬于l2-untrust安全域。3、為虛擬橋接組Vswitch1配置ip地址以便管理防火墻4、允許網(wǎng)段Aping網(wǎng)段B及訪問(wèn)網(wǎng)段B的WEB服務(wù)六、實(shí)驗(yàn)步驟第一步：接口配置將eth6接口加入二層安全域l2-trustDCFW-1800(config)#interfaceethernet0/6DCFW-1800(config-if-eth0/6)#zonel2-trust將eth7接口設(shè)置成二層安全域l2-untrust對(duì)對(duì)eth0/7接口進(jìn)行編輯物理接口配置為二層安全域時(shí)無(wú)法配置IP地址第二步：配置虛擬交換機(jī)（Vswitch）如果沒(méi)有單獨(dú)接口做管理的話，可以先使用控制線通過(guò)控制口登陸下防火墻在命令下DCFW-1800(config)#interfacevswitchif1DCFW-1800(config-if-vsw1)#zonetrustDCFW-1800(config-if-vsw1)#ipaddress54/24DCFW-1800(config-if-vsw1)#managepingDCFW-1800(config-if-vsw1)#managehttps當(dāng)然也可以在防火墻上單獨(dú)使用一個(gè)接口做管理，通過(guò)該接口登陸到防火墻在Web下進(jìn)行配置第三步：添加對(duì)象定義地址對(duì)象定義網(wǎng)段A(–00)定義網(wǎng)段B(01–00)把地址對(duì)象與它所屬的把地址對(duì)象與它所屬的vswitch相關(guān)聯(lián)由于對(duì)象不是整個(gè)網(wǎng)段所以使用IP范圍定義把地址對(duì)象與它所屬的把地址對(duì)象與它所屬的vswitch相關(guān)聯(lián)由于對(duì)象不是整個(gè)網(wǎng)段所以使用IP范圍定義要求允許網(wǎng)段Aping網(wǎng)段B及訪問(wèn)網(wǎng)段B的WEB服務(wù)，在這里我們將ping和http服務(wù)建立一個(gè)服務(wù)組選中左側(cè)的服務(wù)對(duì)象推送到右側(cè)的成員組中選中左側(cè)的服務(wù)對(duì)象推送到右側(cè)的成員組中第四步：配置安全策略在“安全”->“策略”中選擇好“源安全域”和“目的安全域”后，新建策略源地址選擇網(wǎng)段源地址選擇網(wǎng)段A的地址對(duì)象目的地址選擇網(wǎng)段B的地址對(duì)象選擇網(wǎng)段A訪問(wèn)網(wǎng)段B的服務(wù)對(duì)象七、共同思考1、防火墻上的Vswitch接口配置地址的目的是什么？2、防火墻上如果處于透明模式的兩個(gè)接口都放到同一個(gè)二層安全域中，比如說(shuō)將上述實(shí)驗(yàn)中的eth6口和eth7口都設(shè)置成l2-trust安全域。那是否還需要設(shè)置安全策略，如果需要的話那如何設(shè)置？八、課后練習(xí)針對(duì)上述實(shí)驗(yàn)，我們要求實(shí)現(xiàn)放行網(wǎng)段B至網(wǎng)段A的TCP9988端口，如何配置實(shí)驗(yàn)八防火墻混合模式配置一、實(shí)驗(yàn)?zāi)康?、了解什么混合模式；2、了解如何配置防火墻為混合模式。二、應(yīng)用環(huán)境混合模式即相當(dāng)于防火墻既工作于路由模式，又工作于透明模式。在實(shí)際應(yīng)用環(huán)境中，此類防火墻應(yīng)用一般也比較廣泛?；旌夏Ｊ椒譃閮煞N：一，ISP分配外網(wǎng)地址，內(nèi)網(wǎng)為私網(wǎng)地址，服務(wù)器區(qū)域和內(nèi)部地址為同一網(wǎng)段。這樣，內(nèi)部區(qū)域和服務(wù)器區(qū)域?yàn)橥该?，?nèi)部區(qū)域和外網(wǎng)區(qū)域?yàn)槁酚桑?wù)器區(qū)域和外部區(qū)域也為路由；二，ISP分配外網(wǎng)地址，內(nèi)網(wǎng)為私網(wǎng)地址，服務(wù)器區(qū)域使用ISP分配的公網(wǎng)地址，服務(wù)器區(qū)域和外網(wǎng)為透明，內(nèi)部區(qū)域和外部區(qū)域?yàn)槁酚?。在我們下面的?yīng)用環(huán)境中我們使用的是第二種混合模式。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)鋏th0:/24eth0:/24Eth0/0:1/24Zone:trustVswitch1:18/24Eth0/1:21/24Zone:untrustIP:/24InternetWebServerAIP:/24IP:17/24五、實(shí)驗(yàn)要求1、將eth0口設(shè)置成路由接口，eth1和eth2口設(shè)置成二層接口。并設(shè)置Vswitch接口；2、設(shè)置源NAT策略；3、配置安全策略六、實(shí)驗(yàn)步驟第一步：設(shè)置接口1、設(shè)置內(nèi)網(wǎng)口地址，設(shè)置eth0口為內(nèi)網(wǎng)口地址為/242、設(shè)置外網(wǎng)口，eth6口連接外網(wǎng)，將eth6口設(shè)置成二層安全域l2-untrust設(shè)置服務(wù)器接口，將eth7口設(shè)置成l2-dmz安全域，連接服務(wù)器。第二步：配置Vswitch接口由于二層安全域接口不能設(shè)置地址，需要將地址設(shè)置在網(wǎng)橋接口上，該網(wǎng)橋接口即為Vswitch第三步：設(shè)置SNAT策略針對(duì)內(nèi)網(wǎng)所有地址我們?cè)诜阑饓ι显O(shè)置源NAT，內(nèi)網(wǎng)PC在訪問(wèn)外網(wǎng)時(shí)，數(shù)據(jù)包凡是從Vswitch接口出去的數(shù)據(jù)包都做地址轉(zhuǎn)換，轉(zhuǎn)換地址為Vswitch接口地址第四步：添加路由要?jiǎng)?chuàng)建一條到外網(wǎng)的缺省路由，如果內(nèi)網(wǎng)有三層交換機(jī)的話還需要?jiǎng)?chuàng)建到內(nèi)網(wǎng)的回指路由。第五步：設(shè)置地址簿在放行安全策略時(shí)，我們需要選擇相應(yīng)的地址和服務(wù)進(jìn)行放行，所有這里首先要?jiǎng)?chuàng)建服務(wù)器的地址簿。在創(chuàng)建地址簿時(shí)，如果是創(chuàng)建的服務(wù)器屬單個(gè)ip，使用IP成員方式的話，那掩碼一定要寫(xiě)32位第六步：放行策略放行策略時(shí)，首先要保證內(nèi)網(wǎng)能夠訪問(wèn)到外網(wǎng)。應(yīng)該放行內(nèi)網(wǎng)口所屬安全域到Vswitch接口所屬安全域的安全策略，應(yīng)該是從trust到untrust另外還要保證外網(wǎng)能夠訪問(wèn)Web_server，該服務(wù)器的網(wǎng)關(guān)地址設(shè)置為ISP網(wǎng)關(guān)那需要放行二層安全之前的安全策略，應(yīng)該是放行l(wèi)2-untrust到l2-dmz策略七、共同思考1、如果服務(wù)器的網(wǎng)關(guān)并非設(shè)置成，而是設(shè)置成Vswitch接口地址，此時(shí)安全策略如何設(shè)置才能讓外網(wǎng)訪問(wèn)到Web服務(wù)器？2、按上述實(shí)驗(yàn)配置完后，雖然在外網(wǎng)可以訪問(wèn)服務(wù)器，那在服務(wù)器上是否可以訪問(wèn)外網(wǎng)呢？如果訪問(wèn)不到什么原因，如何才能實(shí)現(xiàn)？八、課后練習(xí)使用第一種混合模式：服務(wù)器和內(nèi)網(wǎng)屬于透明模式，此時(shí)服務(wù)器和內(nèi)網(wǎng)在同一個(gè)網(wǎng)段。此時(shí)如果要外網(wǎng)還是通過(guò)17地址能夠訪問(wèn)到服務(wù)器的話如何實(shí)現(xiàn)？實(shí)驗(yàn)九防火墻DHCP配置一、實(shí)驗(yàn)?zāi)康?、知道什么是DHCP？了解在什么環(huán)境下使用DHCP，DHCP方式獲取地址有什么好處？2、學(xué)會(huì)如何在防火墻上設(shè)置DHCP二、應(yīng)用環(huán)境對(duì)于手工設(shè)置IP地址的這種方式比較繁瑣，而且很容易在設(shè)置IP地址時(shí)造成地址沖突。DHCP為動(dòng)態(tài)主機(jī)配置協(xié)議（DynamicHostConfigurationProtocol）的縮寫(xiě)。DHCP能夠自動(dòng)為子網(wǎng)分配適當(dāng)?shù)腎P地址以及相關(guān)網(wǎng)絡(luò)參數(shù)，從而減少網(wǎng)絡(luò)管理需求。同時(shí)，DHCP能夠保證不會(huì)出現(xiàn)地址沖突，能夠重新分配閑置資源。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)湮?、?shí)驗(yàn)要求1、要求內(nèi)網(wǎng)用戶能夠自動(dòng)獲取到IP地址以及DNS；2、要求內(nèi)網(wǎng)用戶獲取到IP地址后能直接訪問(wèn)外網(wǎng)六、實(shí)驗(yàn)步驟第一步：設(shè)置DHCP地址池首先在創(chuàng)建DHCP前先要?jiǎng)?chuàng)建一個(gè)地址池，目的是PC獲取地址時(shí)從該網(wǎng)段中來(lái)獲取IP。如下圖設(shè)置好池名稱、地址范圍、網(wǎng)關(guān)、掩碼和租約時(shí)間后點(diǎn)擊確定即可。另外如果需要內(nèi)網(wǎng)PC自動(dòng)獲取DNS地址的話，需要在編輯下該地址池，在高級(jí)設(shè)置中填寫(xiě)DNS地址第二步：設(shè)置DHCP服務(wù)在網(wǎng)絡(luò)/DHCP/服務(wù)中選擇啟用DHCP的服務(wù)接口。選擇創(chuàng)建的DHCP服務(wù)器地址池即可第三步：驗(yàn)證內(nèi)網(wǎng)PC使用自動(dòng)獲取IP地址的方式來(lái)獲取IP地址，可以看到PC已經(jīng)獲取到6的ip地址網(wǎng)關(guān)為，DNS地址是01七、共同思考1、如果DHCPServer設(shè)置在出口路由器上，內(nèi)網(wǎng)為一個(gè)路由模式的防火墻，此時(shí)需要在防火墻上如何操作？八、課后練習(xí)1、出口防火墻上設(shè)置DHCPServer，內(nèi)網(wǎng)用戶使用DHCP的方式來(lái)獲取ip地址和dns，測(cè)試內(nèi)網(wǎng)用戶是否可以成功獲取ip地址，并驗(yàn)證獲取ip地址后看是否可以訪問(wèn)外網(wǎng)。實(shí)驗(yàn)十防火墻DNS代理配置一、實(shí)驗(yàn)?zāi)康?、了解什么是DNS代理？2、知道在什么情況下使用DNS代理，并學(xué)會(huì)如何在防火墻上設(shè)置DNS代理？二、應(yīng)用環(huán)境DNS代理功能就是防火墻作為DNS代理服務(wù)器，為與其連接的PC等（客戶端）提供DNS代理功能。也就是說(shuō)客戶端將DNS地址指定為防火墻的IP，客戶端所有的域名解析請(qǐng)求都發(fā)往防火墻，由防火墻完成解析動(dòng)作并將結(jié)果反饋給客戶端。這個(gè)功能可大大減少對(duì)客戶端DNS維護(hù)的工作量。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)湮?、?shí)驗(yàn)要求1、將內(nèi)網(wǎng)用戶DNS地址設(shè)置成防火墻內(nèi)網(wǎng)口地址，內(nèi)網(wǎng)用戶可以訪問(wèn)網(wǎng)頁(yè)，能夠解析成功。六、實(shí)驗(yàn)步驟第一步：配置DNS服務(wù)器在防火墻/網(wǎng)絡(luò)/DNS中設(shè)置DNS服務(wù)器地址第二步：配置DNS代理在網(wǎng)絡(luò)/DNS/代理中，設(shè)置代理服務(wù)。域名選擇點(diǎn)擊確定后即可，此時(shí)DNS代理地址使用的是防火墻本身的DNS地址第三步：?jiǎn)⒂媒涌贒NS代理編輯內(nèi)網(wǎng)接口eth0/0點(diǎn)擊高級(jí)設(shè)置，在高級(jí)設(shè)置中將DNS代理勾選七、共同思考1、對(duì)于做透明模式的防火墻是否可以設(shè)置DNS代理，如何設(shè)置？八、課后練習(xí)1、出口防火墻使用DNS代理，內(nèi)網(wǎng)用戶PC上設(shè)置DNS時(shí)設(shè)置防火墻內(nèi)網(wǎng)口地址，測(cè)試用戶在訪問(wèn)外網(wǎng)時(shí)是否可以解析成功。實(shí)驗(yàn)十一防火墻DDNS配置一、實(shí)驗(yàn)?zāi)康?、了解什么是DDNS，通過(guò)我們常用的有哪幾種DDNS？神州數(shù)碼多核防火墻支持哪幾種DDNS？2、DDNS有什么用途，在什么情況會(huì)用到DDNS？二、應(yīng)用環(huán)境DDNS是動(dòng)態(tài)域名服務(wù)（DynamicDomainNameServer）的縮寫(xiě)，可以實(shí)現(xiàn)固定域名到動(dòng)態(tài)IP地址之間的解析。通常情況下，用戶每次連接因特網(wǎng)時(shí)都會(huì)從ISP得到一個(gè)動(dòng)態(tài)IP地址，即用戶每次連接因特網(wǎng)得到的IP地址都不同。動(dòng)態(tài)域名解析功能可以將域名動(dòng)態(tài)的綁定到用戶每次獲得的不同IP地址上，每次當(dāng)用戶連接到因特網(wǎng)時(shí)，它都會(huì)自動(dòng)更新自己的動(dòng)態(tài)IP與域名的綁定。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)銹PPOE撥號(hào)五、實(shí)驗(yàn)要求1、首先到網(wǎng)站申請(qǐng)一個(gè)DDNS賬號(hào)，然后在該賬號(hào)下申請(qǐng)一個(gè)動(dòng)態(tài)域名2、在防火墻上設(shè)置DDNS賬號(hào)，并將動(dòng)態(tài)域名綁定在防火墻上?？碊DNS是否可以登錄到服務(wù)器，并測(cè)試動(dòng)態(tài)域名是否能夠解析。六、實(shí)驗(yàn)步驟第一步：配置DNS服務(wù)器在防火墻/網(wǎng)絡(luò)/DNS中設(shè)置DNS服務(wù)器地址第二步：配置DDNS服務(wù)在網(wǎng)絡(luò)/DDNS服務(wù)中，點(diǎn)擊，創(chuàng)建DDNS名稱test，選擇服務(wù)器類型3322.org，設(shè)置DDNS的用戶名和密碼，然后點(diǎn)擊確定即可。第三步：綁定DDNS服務(wù)名稱到接口在網(wǎng)絡(luò)/DDNS/配置中，只有把配置的DDNS服務(wù)名稱綁定到接口上，當(dāng)接口IP地址發(fā)生變變化時(shí)，域名才能按照DDNS參數(shù)進(jìn)行更新。第四步：驗(yàn)證DDNS是否運(yùn)行成功可以在命令行使用命令showddnsstatetest來(lái)查看DDNS運(yùn)行狀態(tài)，看是否運(yùn)行成功。如果UpdateResutl狀態(tài)為UpdateOK說(shuō)明該DDNS賬號(hào)已經(jīng)登陸成功。DCFW-1800#showddnsstatetestDdnsName:testInterfaceName:ethernet0/1LastUpdateTime(s):-1159LastUpdateResult:UpdateOKLastUpdateIp:19NextUpdateTime(s):85241可以在互聯(lián)網(wǎng)上找一臺(tái)主機(jī)，ping看是否可以解析，解析出來(lái)地址是否正確。從上圖中可以看到，解析出來(lái)地址為外網(wǎng)口地址。七、共同思考1、使用DDNS對(duì)于無(wú)法獲得固定合法IP而又需要向互聯(lián)網(wǎng)發(fā)布服務(wù)的情況是否可以解決2、DDNS對(duì)于設(shè)備間使用動(dòng)態(tài)IP地址建立VPN隧道能否解決八、課后練習(xí)1、請(qǐng)將申請(qǐng)的DDNS賬號(hào)和域名設(shè)置到使用PPPOE撥號(hào)的防火墻，防火墻重啟重新?lián)芴?hào)后看解析動(dòng)態(tài)域名的地址是否會(huì)更新實(shí)驗(yàn)十二防火墻負(fù)載均衡配置一、實(shí)驗(yàn)?zāi)康?、使用防火墻如何設(shè)置負(fù)載均衡的配置；2、在防火墻上如何設(shè)置監(jiān)控地址二、應(yīng)用環(huán)境防火墻作為出口設(shè)置時(shí)，當(dāng)外網(wǎng)線路為兩條或者多條鏈路時(shí)，內(nèi)網(wǎng)在訪問(wèn)外網(wǎng)時(shí)幾條外線可以均衡選路；另外其中一條外網(wǎng)出現(xiàn)故障后，內(nèi)網(wǎng)用戶不會(huì)受影響，可以通過(guò)其他鏈路訪問(wèn)外網(wǎng)。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)?InternetInternet網(wǎng)絡(luò)拓?fù)銲nternet五、實(shí)驗(yàn)要求1、要求內(nèi)網(wǎng)訪問(wèn)外網(wǎng)時(shí)兩條外網(wǎng)負(fù)載均衡2、一旦其中一條鏈路出現(xiàn)故障后，可以通過(guò)另外一條鏈路訪問(wèn)外網(wǎng)六、實(shí)驗(yàn)步驟第一步：設(shè)置接口地址，添加安全域（略）第二步：添加路由，選擇均衡方式，設(shè)置監(jiān)控地址防火墻兩條外線，首先要?jiǎng)?chuàng)建兩條等價(jià)的缺省路由，所謂等價(jià)指優(yōu)先級(jí)相同。我們?cè)谙聢D中已經(jīng)創(chuàng)建了第一條缺省路由，網(wǎng)關(guān)為這里的子網(wǎng)掩碼既可以寫(xiě)成這里的子網(wǎng)掩碼既可以寫(xiě)成0也可以寫(xiě)成，防火墻會(huì)自動(dòng)識(shí)別優(yōu)先級(jí)即管理距離,取值越小，優(yōu)先級(jí)越高，而在有多條路由選擇的時(shí)候，優(yōu)先級(jí)高的路由會(huì)被優(yōu)先使用路由權(quán)值決定負(fù)載均衡中流量轉(zhuǎn)發(fā)的比重然后再創(chuàng)建一條缺省路由，網(wǎng)關(guān)為17下圖可以看到在目的路由中創(chuàng)建的兩條缺省等價(jià)路由優(yōu)先級(jí)相同都為優(yōu)先級(jí)相同都為1，即為兩條等價(jià)路由狀態(tài)活躍代表路由為生效狀態(tài)當(dāng)兩條線路帶寬相同時(shí),兩條路由的權(quán)值可以設(shè)置相等的值設(shè)置均衡方式防火墻做負(fù)載均衡時(shí)有三種均衡方式，設(shè)置均衡方式只能在命令行下實(shí)現(xiàn)DCFW-1800(config)#ecmp-route-select?by-5-tupleConfigureECMPHashAs5Tupleby-srcConfigureECMPHashAsSourceIPby-src-and-dstConfigureECMPHashAsSourceIPandDestIPby-5-tuple–基于五元組（源IP地址、目的IP地址、源端口、目的端口和服務(wù)類型）作哈希選路（hash）。by-src–基于源IP地址作哈希選路（hash）。by-src-and-dst-基于源IP地址和目的IP地址作哈希選路（hash）。默認(rèn)情況下，基于源IP地址和目的IP地址做哈希選路（hash）。默認(rèn)防火墻使用的是by-src-and-dst均衡方式設(shè)置監(jiān)控地址設(shè)置監(jiān)控地址的目的是一旦檢測(cè)到監(jiān)控地址不能通訊時(shí)，則內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的數(shù)據(jù)包不再轉(zhuǎn)發(fā)到該外網(wǎng)口，只將數(shù)據(jù)包從另外一條外線轉(zhuǎn)發(fā)目前2.5R5及之前版本只能在命令行下設(shè)置監(jiān)控地址track"track-for-eth0/1"ip17interfaceethernet0/1track"track-for-eth0/2"ipinterfaceethernet0/2注：以上命令只是設(shè)置監(jiān)控對(duì)象，監(jiān)控對(duì)象名稱為track-for-eth0/1，監(jiān)控地址是17，監(jiān)控?cái)?shù)據(jù)包出接口為e0/1接口interfaceethernet0/1zone"untrust"ipaddress1948monitortrack"track-for-eth0/1“注：以上命令為在接口模式下調(diào)用創(chuàng)建的監(jiān)控對(duì)象第三步：設(shè)置源NAT策略（略）第四步：設(shè)置安全策略（略）七、共同思考1、在上述實(shí)驗(yàn)中，如何設(shè)置才能讓其中一條鏈路不再轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文（除將該外網(wǎng)接口down），將報(bào)文從另外一條鏈路轉(zhuǎn)發(fā)八、課后練習(xí)1、設(shè)備一個(gè)兩臺(tái)防火墻做HA的實(shí)驗(yàn)，通過(guò)在主設(shè)備上制造故障切換備用設(shè)備看下鏈路是否會(huì)有丟包，如果有丟包會(huì)出現(xiàn)幾個(gè)丟包；再把主設(shè)備恢復(fù)正常后備份設(shè)備切換主設(shè)備時(shí)是否有丟包，有的話會(huì)有幾個(gè)丟包？實(shí)驗(yàn)十三防火墻源路由配置一、實(shí)驗(yàn)?zāi)康?、了解什么是源路由？在什么環(huán)境下需要設(shè)置源路由？2、學(xué)會(huì)在防火墻上如何設(shè)置源路由？二、應(yīng)用環(huán)境源路由也是手工定義的一種路由，它與目的路由的不同之處在于他的選路依據(jù)是以數(shù)據(jù)包的源地址做出的。防火墻在檢測(cè)出數(shù)據(jù)包的源地址與源路由表項(xiàng)匹配后不管目的地址是多少都直接轉(zhuǎn)發(fā)至源路由表中定義的下一跳網(wǎng)關(guān)IP。源路由的優(yōu)先級(jí)要高于目的路由。源路由在出口為多鏈路情況下使用三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)銲nternet內(nèi)網(wǎng)：/16五、實(shí)驗(yàn)要求1、針對(duì)內(nèi)網(wǎng)用戶/24在訪問(wèn)外網(wǎng)時(shí)通過(guò)eth0/1的外網(wǎng)線路，內(nèi)網(wǎng)用戶/24在訪問(wèn)外網(wǎng)時(shí)通eth0/2的外網(wǎng)線路。六、實(shí)驗(yàn)步驟第一步：設(shè)置接口地址，添加安全域（略）第二步：添加源路由在網(wǎng)絡(luò)/路由/源路由中，新增一條源路由，設(shè)置內(nèi)網(wǎng)網(wǎng)段/24從下一條網(wǎng)關(guān)17訪問(wèn)外網(wǎng)設(shè)備內(nèi)網(wǎng)用戶地址網(wǎng)段設(shè)備內(nèi)網(wǎng)用戶地址網(wǎng)段同樣的方法設(shè)置從訪問(wèn)外網(wǎng)設(shè)備內(nèi)網(wǎng)用戶地址網(wǎng)段設(shè)備內(nèi)網(wǎng)用戶地址網(wǎng)段第三步：設(shè)置源NAT策略（略）第四步：設(shè)置安全策略（略）七、共同思考1、我們對(duì)于出口多鏈路時(shí)可以設(shè)置針對(duì)內(nèi)網(wǎng)源地址去選路，但是是否可以針對(duì)服務(wù)項(xiàng)去選擇出口網(wǎng)關(guān)呢？請(qǐng)參考說(shuō)明書(shū)策略路由設(shè)置2、如果在目的路由設(shè)置到A網(wǎng)段指向網(wǎng)關(guān)C，那對(duì)于設(shè)置了源路由的網(wǎng)段在訪問(wèn)A訪問(wèn)時(shí)是否會(huì)走網(wǎng)關(guān)C？為什么八、課后練習(xí)1、請(qǐng)實(shí)現(xiàn)使用防火墻設(shè)置源路由，針對(duì)內(nèi)網(wǎng)主機(jī)A訪問(wèn)外網(wǎng)時(shí)網(wǎng)關(guān)指向B地址，針對(duì)內(nèi)網(wǎng)其他網(wǎng)段指向缺省網(wǎng)關(guān)C驗(yàn)十四防火墻雙機(jī)熱備配置一、實(shí)驗(yàn)?zāi)康?、了解雙機(jī)熱備在什么環(huán)境下使用，并學(xué)會(huì)如何配置HA；2、了解HA配置中一些參數(shù)的含義，學(xué)會(huì)如何手工同步配置二、應(yīng)用環(huán)境防火墻為需要高可靠性服務(wù)的用戶提供的雙機(jī)熱備(HA)解決方案。HA能夠在主設(shè)備通信線路或發(fā)生故障時(shí)提供及時(shí)的備用方案，從而保證數(shù)據(jù)通信的暢通，有效增強(qiáng)網(wǎng)絡(luò)的可靠性。正常情況下主設(shè)備處于活動(dòng)狀態(tài)，轉(zhuǎn)發(fā)報(bào)文，當(dāng)主設(shè)備出現(xiàn)故障時(shí)，備份設(shè)備接替其工作，轉(zhuǎn)發(fā)報(bào)文。這樣就保證了網(wǎng)絡(luò)通信的不間斷進(jìn)行，極大地提高了通信的可靠性。另外啟用HA的兩臺(tái)防火墻的硬件型號(hào)和軟件版本必須相同！三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線2條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet五、實(shí)驗(yàn)要求1、將主備設(shè)備出現(xiàn)故障后，備用設(shè)備能馬上頂替主設(shè)備轉(zhuǎn)發(fā)報(bào)文六、實(shí)驗(yàn)步驟第一步：防火墻上添加監(jiān)控對(duì)象用戶可以為設(shè)備指定監(jiān)測(cè)對(duì)象，監(jiān)控設(shè)備的工作狀態(tài)。一旦發(fā)現(xiàn)設(shè)備不能正常工作，即采取相應(yīng)措施。目前設(shè)備監(jiān)控對(duì)象只能在命令行實(shí)現(xiàn)在A墻上CLI下全局配置監(jiān)控對(duì)象hostname(config)#trackjudyhostname(config-trackip)#interfaceethernet0/0weight255hostname(config-trackip)#interfaceethernet0/1weight255hostname(config-trackip)#exithostname(config)#第二步：防火墻的HA組列表配置首先在A防火墻上在系統(tǒng)/HA/組列表中點(diǎn)擊新建對(duì)于組列表中的參數(shù)我們只要填寫(xiě)組ID為0，設(shè)置一個(gè)優(yōu)先級(jí)，選擇監(jiān)控地址即可。其他參數(shù)可以使用系統(tǒng)默認(rèn)值指定指定HA組的ID，范圍是0到7。當(dāng)前版本用戶只可以將ID指定為0。Hello報(bào)文間隔指HA設(shè)備向HA組中的其它設(shè)備發(fā)送心跳（Hello報(bào)文）的時(shí)間間隔。同一個(gè)HA組的設(shè)備的Hello報(bào)文間隔時(shí)間必須相同指定失去心跳的警戒值，即如果設(shè)備沒(méi)有收到對(duì)方設(shè)備的該命令指定個(gè)數(shù)的Hello報(bào)文，就判斷對(duì)方無(wú)心跳。搶占模式，一旦設(shè)備發(fā)現(xiàn)自己的優(yōu)先級(jí)高于主設(shè)備，就會(huì)將自己升級(jí)為主設(shè)備，而原先的主設(shè)備將變?yōu)閭浞菰O(shè)備；當(dāng)備份設(shè)備升級(jí)為主設(shè)備時(shí)，新主設(shè)備需要向網(wǎng)絡(luò)中發(fā)送ARP請(qǐng)求包，通知相關(guān)網(wǎng)絡(luò)設(shè)備更新其ARP表。該命令用來(lái)指定升級(jí)為主設(shè)備的設(shè)備向外發(fā)送ARP包的個(gè)數(shù)。用戶可以為設(shè)備指定監(jiān)測(cè)對(duì)象，監(jiān)控設(shè)備的工作狀態(tài)。一旦發(fā)現(xiàn)設(shè)備不能正常工作，即采取相應(yīng)措施優(yōu)先級(jí)用于HA選舉。優(yōu)先級(jí)高（數(shù)字小）的會(huì)被選舉為主設(shè)備設(shè)備完A防火墻的組列表后，同樣在B防火墻上設(shè)置組列表，除優(yōu)先級(jí)設(shè)置不同外，其他參數(shù)要與A墻參數(shù)一致。其中優(yōu)先級(jí)不同的原因是在初始設(shè)置時(shí)兩臺(tái)墻一定要設(shè)置不同的優(yōu)先級(jí)，數(shù)字越小優(yōu)先級(jí)越高。優(yōu)先級(jí)高的防火墻將被選舉為主設(shè)備。第三步：防火墻HA基本配置在A防火墻系統(tǒng)/HA/基本配置中設(shè)置HA連接接口即心跳接口、HA連接接口IP即心跳地址和HA簇指定指定HA的接口，最多可以指定兩個(gè)HA接口將兩臺(tái)設(shè)備添加到HA簇中，才能夠使設(shè)備的HA功能生效。而且兩臺(tái)設(shè)備的簇必須相同HA接口互聯(lián)地址在A墻上設(shè)置完HA基本配置后，在B墻上設(shè)置相同的心跳接口和HA簇，心跳地址要設(shè)置成與A墻同網(wǎng)段的心跳地址。命令行下配置如下：hostname(config)#halinkinterfaceethernet0/4hostname(config)#halinkip/24hostname(config)#hacluster1第四步：配置接口管理地址處于熱備的兩臺(tái)防火墻的配置是相同的，包括設(shè)備的接口地址，此時(shí)只有一臺(tái)防火墻處于主狀態(tài)，所有我們?cè)谕ㄟ^(guò)接口地址去管理防火墻時(shí)此時(shí)只能登陸處于主狀態(tài)的防火墻。如果我們要同時(shí)管理處于主備狀態(tài)兩臺(tái)防火墻的話，需要在接口下設(shè)置管理地址首先我們?cè)贏墻上設(shè)置內(nèi)網(wǎng)接口管理地址為1/24命令行下命令如下：hostname(config)#interfaceethernet0/0hostname(config-if-eth0/1)#manageip1然后在防火墻B上設(shè)置接口的管理地址命令行下命令如下：hostname(config)#interfaceethernet0/0hostname(config-if-eth0/1)#manageip2第五步：將主設(shè)備配置同步到備份設(shè)備將兩臺(tái)墻連接入網(wǎng)絡(luò)中并使用網(wǎng)線將兩臺(tái)防火墻的心跳接口eth0/4連接起來(lái)，在主設(shè)備上執(zhí)行以下命令hostname(config)#exechasyncconfiguration此時(shí)主設(shè)備的配置便會(huì)同步到備份設(shè)備七、共同思考1、兩臺(tái)防火墻，將其中一臺(tái)配置做好后，啟用HA功能后將兩臺(tái)防火墻放到網(wǎng)絡(luò)中發(fā)現(xiàn)設(shè)置完配置的防火墻配置竟然空了。請(qǐng)思考下是什么原因?qū)е?？八、課后練習(xí)1、請(qǐng)使用兩臺(tái)同型號(hào)的防火墻，使用2.5R5版本，配置好HA后，將處于主狀態(tài)的防火墻外線拔掉后看內(nèi)網(wǎng)PC訪問(wèn)外網(wǎng)是否會(huì)有短時(shí)掉線？如果一直ping包是否會(huì)有丟包？實(shí)驗(yàn)十五防火墻QoS配置一、實(shí)驗(yàn)?zāi)康?、學(xué)會(huì)如何針對(duì)內(nèi)網(wǎng)用戶針對(duì)ip做流量限制2、學(xué)會(huì)如何針對(duì)內(nèi)網(wǎng)用戶針對(duì)p2p做帶寬限制二、應(yīng)用環(huán)境QoS（QualityofService）即“服務(wù)質(zhì)量”。它是指網(wǎng)絡(luò)為特定流量提供更高優(yōu)先服務(wù)的同時(shí)控制抖動(dòng)和延遲的能力，并且能夠降低數(shù)據(jù)傳輸丟包率。當(dāng)網(wǎng)絡(luò)過(guò)載或擁塞時(shí)，QoS能夠確保重要業(yè)務(wù)流量的正常傳輸。在互聯(lián)網(wǎng)飛速發(fā)展的今天，網(wǎng)絡(luò)中各種需要高帶寬的應(yīng)用層出不窮，而傳統(tǒng)通訊業(yè)務(wù)中的音頻、視頻等應(yīng)用也加速向互聯(lián)網(wǎng)融合，在這種趨勢(shì)下就對(duì)網(wǎng)絡(luò)為應(yīng)用提供可預(yù)測(cè)、可管控的帶寬服務(wù)提出了更高的要求。DCFW-1800系列防火墻提供了完善的QoS解決方案，能夠?qū)α鹘?jīng)防火墻的各種流量實(shí)施細(xì)致深入的流控策略，能夠?qū)崿F(xiàn)對(duì)用戶帶寬和應(yīng)用帶寬的有效管理，可以根據(jù)不同網(wǎng)絡(luò)應(yīng)用的重要性為其提供不同的轉(zhuǎn)發(fā)優(yōu)先級(jí)。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線n條(4)PC機(jī)1臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet網(wǎng)絡(luò)拓?fù)湮濉?shí)驗(yàn)要求防火墻出口帶寬為100Mbps，內(nèi)網(wǎng)最多有200臺(tái)PC。1、要求P2P的總流量不能超過(guò)50Mbps2、每個(gè)用戶的上、下行最大帶寬均不能超過(guò)400kbps六、實(shí)驗(yàn)步驟其中第一步到第三步實(shí)現(xiàn)要求一，第四步到第七步實(shí)現(xiàn)要求二。第一步：在QoS中創(chuàng)建一個(gè)class，將P2P協(xié)議將入到該class首先在網(wǎng)絡(luò)/QoS/類別中，將P2P的協(xié)議類型加入到一個(gè)分組中，分組名稱“P2P”112第二步：創(chuàng)建QoSProfile,在Profile里做出對(duì)P2P流量的限制在網(wǎng)絡(luò)/QoS/Profile中，設(shè)置一個(gè)app-qos-profile名稱為limit-p2p-50M，然后將之前創(chuàng)建好的“P2P”class加入到右邊成員中點(diǎn)擊確定。11定義Profile名稱將選中的可用Class推送至右側(cè)然后重新編輯該profile分組，在針對(duì)“P2P”class設(shè)置帶寬限制編輯已添加的編輯已添加的Class成員“p2p”的動(dòng)作屬性“Class-default”是每個(gè)QoSProfile中缺省存在的Class，表示未匹配任何一個(gè)Class后剩下的其他數(shù)據(jù)針對(duì)P2P的協(xié)議限制帶寬到50M這表示傳輸速率上限為這表示傳輸速率上限為50Mbps第三步：將P2P限流Profile綁定到廣域網(wǎng)入接口eth0/1上將之前創(chuàng)建的“l(fā)imit-p2p-50M”profile綁定到外網(wǎng)接口的入方向上，就可以實(shí)現(xiàn)限制內(nèi)網(wǎng)下載P2P到50M的流量。外網(wǎng)接口外網(wǎng)接口點(diǎn)擊編輯編輯輯將定義好的QoSProfile綁定到eth0/1接口的入方向上也就是流入防火墻的方向，這樣就可以起到限制P2P下載的作用第四步：使用內(nèi)網(wǎng)IP地址范圍創(chuàng)建QoSClass首先將限制帶寬的內(nèi)網(wǎng)地址設(shè)置一個(gè)class，名稱為“ip-range”，地址范圍為-00命名命名Class第五步：創(chuàng)建QoSProfile，并將創(chuàng)建好的IP范圍Class加入其中創(chuàng)建一個(gè)名稱為“per-ip-bw-limit”的profile，創(chuàng)建profile時(shí)選擇ip-qos-profile，然后將之前創(chuàng)建的“ip-range”class拉到右邊的成員欄中點(diǎn)擊確定命名命名Profile第六步：編輯QoSClass，對(duì)每IP的帶寬做出限制重新編輯peofile“per-ip-bw-limit”然后針對(duì)“ip-range”的class做限速，限制每ip帶寬為400K，開(kāi)啟彈性QoS后能達(dá)到的最大帶寬為800K第七步：將QoSProfile綁定到外網(wǎng)接口將創(chuàng)建的“per-ip-bw-limit”的profilre綁定到接口上，一般來(lái)說(shuō)ip-qos要綁定在接口的第二級(jí)別上，我們?cè)谕饩W(wǎng)上出入方向上都綁定該profile，即針對(duì)ip-range內(nèi)的PC上下行都限制到400K。在在eth0/1接口的出、入方向上分別綁定Profile將對(duì)每個(gè)IP的上下行帶寬都做出限制七、共同思考1、當(dāng)配置QoS功能后，不同的IP地址可獲得的最大帶寬通常會(huì)被限制在一個(gè)數(shù)值之內(nèi)，此時(shí)，即使接口有閑置帶寬，被限制的IP也不可以使用，造成資源的浪費(fèi)。針對(duì)這一現(xiàn)象應(yīng)該如何避免？請(qǐng)參考說(shuō)明書(shū)彈性QoS八、課后練習(xí)1、限制內(nèi)網(wǎng)所有用戶下載外網(wǎng)FTP總流量不超過(guò)10M2、將內(nèi)網(wǎng)ip分成兩個(gè)網(wǎng)段，針對(duì)網(wǎng)段一設(shè)置每ip限速512 k，針對(duì)網(wǎng)段二設(shè)置每ip限速1M，如何設(shè)置？實(shí)驗(yàn)十六防火墻Web認(rèn)證配置哪個(gè)一、實(shí)驗(yàn)?zāi)康哪膫€(gè)1、了解什么環(huán)境下使用防火墻的Web認(rèn)證功能2、學(xué)會(huì)如果設(shè)置防火墻的Web認(rèn)證，知道角色的含義二、應(yīng)用環(huán)境為內(nèi)網(wǎng)用戶在認(rèn)證服務(wù)器上創(chuàng)建用戶名、口令，并在防火墻上創(chuàng)建基于用戶角色的安全策略，當(dāng)內(nèi)網(wǎng)用戶通過(guò)防火墻訪問(wèn)其他安全域的資源時(shí)首先需要輸入用戶名、密碼進(jìn)行認(rèn)證，認(rèn)證通過(guò)后方可訪問(wèn)策略允許的服務(wù)或資源。使用Web認(rèn)證的好處是：避免了在針對(duì)用戶IP地址進(jìn)行控制時(shí)，非授權(quán)用戶通過(guò)私自修改IP地址來(lái)獲得他人的訪問(wèn)權(quán)限。而Web認(rèn)證完全不關(guān)心客戶配置了什么IP地址，僅根據(jù)用戶角色來(lái)判斷其權(quán)限，這樣就能對(duì)每個(gè)用戶做到有效的管控。三、實(shí)驗(yàn)設(shè)備(1)防火墻設(shè)備1臺(tái)(2)Console線1條(3)網(wǎng)絡(luò)線n條(4)PC機(jī)2臺(tái)四、實(shí)驗(yàn)拓?fù)銲nternetInternet第一次通過(guò)web訪問(wèn)外網(wǎng)eth0/0:1/24Zone：Trusteth0/2:18/24th0/1Zone：Untrust/24認(rèn)證通過(guò)予以放行五、實(shí)驗(yàn)要求內(nèi)網(wǎng)用戶首次訪問(wèn)Internet時(shí)需要通過(guò)WEB認(rèn)證才能上網(wǎng)。且內(nèi)網(wǎng)用戶劃分為兩個(gè)用戶組usergroup1和usergroup2,其中usergroup1組中的用戶在通過(guò)認(rèn)證后僅能瀏覽web頁(yè)面，usergroup2組中的用戶通過(guò)認(rèn)證后僅能使用使用