《项目9 信息中心防火墙施工电子课件 企业网搭建及应用——网络设备配置与调试案例教程.pptx》由会员分享,可在线阅读,更多相关《项目9 信息中心防火墙施工电子课件 企业网搭建及应用——网络设备配置与调试案例教程.pptx(33页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、项目9 信息中心防火墙施工电子课件 企业网搭建及应用网络设备配置与调试案例教程(高教版)项目9 信息中心防火墙施工电子课件 企业网搭建及应用网络设备配置与调试案例教程(高教版)项目9 信息中心防火墙施工防火墙施工任务网络拓扑网络拓扑任务任务1 防火墙配置文件的备份与防火墙配置文件的备份与恢复恢复任务任务2恢复防火墙的出厂设置恢复防火墙的出厂设置 模块模块1 防火墙的基本防火墙的基本管理管理 认识防火墙 认识防火墙的端口 能备份和恢复防火的配置文件任务任务1 防火墙配置文件的备份与防火墙配置文件的备份与恢复恢复01:认识防火墙的端口认识防火墙上各个端口的位置,了解各个端口的功能。防火墙模块的位置
2、和端口的表示方法,如图9-2所示。【必备知识】0/0/1中的第一个0表示堆叠中的第一台交换机,如果是1,就表示第2台交换机;第2个0表示交换机上的第1个模块(如DCS-3926s交换机有3个模块:网络端口模块0,模块1,模块2;最后的1表示当前模块上的第1个网络端口。0/0/1表示使用的是堆叠中第一台交换机网络端口模块上的第一个网络端口。默认情况下,如果不存在堆叠,交换机总会认为自己是第0台交换机。02.理解端口的表示方法第1步:通过Console线连接防火墙与PC机。连接交换机与PC机,如图9-3所示。步骤步骤2:通过:通过Console端口配置端口配置防火防火墙墙01.登录防火墙02.备份
3、配置文件备份备份防火墙配置文件防火墙配置文件管理管理【任务描述】【任务描述】本任务是完成防火墙恢复出厂设置。任务任务2恢复防火墙的出厂设置恢复防火墙的出厂设置 步骤步骤1.按照图按照图5-2,连接硬件。,连接硬件。步骤步骤2 恢复出厂设置。恢复出厂设置。恢复交换机的出厂设置,有下列三种方法:01.用户可以使用设备上的CRL孔使系统恢复到出厂配置(设备断电,按住CRL键,直到stat灯和alarm灯同时变为红色约15秒钟,后松开手即可)。02.可以使用命令恢复。恢复出厂配置,在执行模式下,使用以下命令:unset all 03.WebUI:访问页面系统/配置,点击清除即可。防火墙系统软件的升级支
4、持CLI(命令行)下TFTP、FTP升级,支持USB接口的U盘升级和Web升级。本任务中我们使用Web的方式对防火墙的系统文件进行升级。任务任务3 防火墙系统文件防火墙系统文件管理管理步骤步骤1:根据图:根据图9-8,连接,连接硬件。硬件。【任务实施】任务任务1 配置透明模式配置透明模式任务任务2策略配置策略配置模块模块2 防火墙的防火墙的配置配置根据网络工程设计需要,网络中心防火墙需要配置成透明模式。本任务是将防火墙eth1、eth2、eth3接口和eth4接口配置为透明模式。eth1、eth2、eth3同属一个虚拟桥接组,eth1、eth2属于l2-trust安全域,eth3属于l2-un
5、trust 安全域。为虚拟桥接组Vswitch1配置管理ip地址10.0.41.2。任务任务1 配置透明配置透明模式模式步骤步骤1:按照图:按照图5-1信息中心防火墙拓扑图,连接硬件设备。信息中心防火墙拓扑图,连接硬件设备。步骤步骤2:设置二层安全域。:设置二层安全域。01.将eth1接口设置成二层安全域l2-trust,如图9-12所示。02.将eth2 接口设置成二层安全域l2-trust,如图9-13所示。02.将eth2 接口设置成二层安全域l2-trust,如图9-13所示。04.将eth4 接口设置成二层安全域l2-dmz,如图9-15所示。【任务实施】在防火墙上单独使用一个接口做
6、管理,通过该接口登陆到防火墙在Web下进行配置,为虚拟桥接组Vswitch1配置ip地址10.0.41.2以方便管理防火墙,如图9-16所示。步骤步骤3:配置管理:配置管理IP防火墙策略是实现企业网络安全方法的规则。防火墙策略一般包括网络规则、访问规则和服务器发布规则。网络规则定义了网络间能否访问,访问规则定义了网络间怎样进行的访问,服务器发布规则定义了如何让外部网络用户访问内部网络中的服务器。本任务是实现:内网允许访问外网,内网可以访问内网服务器,内网用户可以访问内网用户,外网可以访问内网服务器。任务任务2策略策略配置配置本任务是实现内网用户首次访问Internet时,需要通过WEB认证才能
7、上网。为方便管理,将内网用户划分为三个用户组xzlgroup、kjlgroup和zhlgroup。任务任务3 用户上网认证用户上网认证配置配置防火墙Web认证功能默认是关闭状态,需要手工在网络/Web 认证中将其开启,Web认证有http和https两种模式。如图9-21所示,开户HTTP模式。步骤步骤1:开启:开启web认证功能认证功能 开启防火墙认证功能后,需要在用户/AAA服务器中设置一个认证服务器,防火墙支持本地认证、Radius认证、Active-Directory和LDAP认证。在本实验中使用防火墙的本地认证,如图9-22所示。步骤步骤2:创建:创建AAA认证服务器认证服务器 01
8、.设置用户组。本任务中设置了xzlgroup、kjlgroup和zhlgroup三个用户组。单击“用户”,在用户页签,选择“AAA服务器”,栏,选择之前创建好的local-aaa-server认证服务器,在该服务器下创建xzlgroup、kjlgroup和zhlgroup三个用户组。02.创建用户组xzlgroup,如图9-23所示。03.创建用户组kjlgroup。步骤步骤3:创建用户:创建用户组组在AAA服务器中选择创建好的local-aaa-server认证服务器,在该服务器下创建xzluser、kjluser和zhluser三个用户。01.依次【用户】【用户】,在【用户列表】下,单击【
9、新建用户】,如图9-26所示。02.新建用户:创建用户xzluser,密码为123456,如图9-27所示。步骤步骤4:新建:新建用户用户创建完毕xzluser、kjluser和zhluser用户和xzlgroup、kjlgroup和zhlgroup组后,编辑xzluser将其归属到xzlgroup组中,编辑kjluser将其归属到kjlgroup组中,编辑zhluser将其归属到zhlgroup组中。步骤步骤5:将用户添加到:将用户添加到组组01.创建角色。用户和用户组创建好后,在用户/角色中设置两个新角色,称分别为role-permit-web,如图9-34所示。02.创建角色映射规则,将
10、用户组与角色相对应。将xzlgroup、kjlgroup和zhlgroup用户组和role-permit-web角色相对应。步骤步骤6:角色:角色管理管理限制内网用户访问某些网站,是通过URL过滤实现的。本任务是限制内网用户访问baidu首页。任务任务4 限制内网用户访问某引起限制内网用户访问某引起网站网站01.创建http-profile文件。启用URL过滤功能,单击【应用】【HTTP控制】,在【HTTP Profile配置】窗口,新建一个名称为http-profile的文件,【URL过滤】设置成【启用】点击【确定】。如图9-46所示。02.创建profile组,添加http-profile
11、文件。单击【对象】【Profile组】,在【Profile组配置】下,新建一个名为【profile-group】的profile组,并将控制文件http-profile加入到该profile组中,完成后,单击【确定】,如图9-47所示。步骤步骤1:创建:创建HTTP控制文件控制文件profile03.设置URL过滤规则。单击“应用”【URL过滤】,在【URL过滤配置】中,设置URL过滤规则,在【黑名单】【URL】hhtp(s)中输入,点击【添加】,将其添加到了黑名单列表中,如图9-48所示,点击【确定】,完成本任务。04.在安全策略中引用profile组。单击【防火墙】【策略】,在【策略高级配
12、置】下,勾选【Profile组】,选择【profile-group】组,如图9-49所示,单击【确定】,完成本任务。05.完成后的策略列表公司出口带宽50Mbps,外网为eth0/3接口,内网网段:192.168.0.0/16。本任务实现:P2P应用限制其下行带宽为10M,上传最大5M,HTTP和SMTP应用下载保障20M,上传保障10M。任务任务5 限制上网带宽配置限制上网带宽配置 步骤步骤1:指定接口带宽。:指定接口带宽。01.在QoS/接口带宽中,默认带宽为物理最高支持带宽。用户需要根据实际带宽值指定接口上/下行带宽,指定接口出口ISP承诺带宽值。如需使用弹性QoS功能,需点击开启弹性Q
13、oS全局配置,如图9-51所示。02.开启应用识别 防火墙默认不对带*号服务做应用层识别,如需对BT、迅雷等应用做基于应用的QoS控制,需要开启外网安全域的应用识别功能。在网络/安全域中针对外网口所属安全域启用应用识别。如图9-52所示。【任务实施】03.配置应用QoS策略(限制P2P)在【QoS】【应用QoS】中配置应用Q策略,限制P2P应用下行带宽为10M,上传最大5M,如图9-53所示。04.应用QoS策略保障正常应用 在【QoS】【应用QoS】中设置应用Q策略,HTTP和SMTP应用上行保障10M,如图9-54所示。05.显示已配置应用Q策略 添加策略后,会在应用QoS列表中显示,如果有多条策略的应用重叠,请点击策略右侧箭头移动策略位置,从上至下第一条匹配到的策略生效。如需修改策略,可点击策略右侧编辑,如图9-55所示。