项目四-防火墙配置.doc
4页
项目四 防火墙配置一、 实训内容要求:某公司的网络规模大概有100多了主机,而仅申请到202.160.20.0/29的地址块,公司目前经费有限,仅有防火墙一台和二层交换机数台,现要求通过配置防火墙,实现公司内部的所有主机都能访问外部网络,对外屏蔽内部网络地址但是为了安全,防止内部主机访问非法站点服务器WWW,而要求开启防火墙的telnet登录,允许远程管理,但是禁止从202.160.20.16/29网段的主机Telnet管理防火墙通过在防火墙上启用路由模式,实现路由功能;对外屏蔽内部网络地址,提高网络安全性,并利用少数公有IP 地址使所有人都能访问外部网络实训时间:2011年5月26日至2011年5月28日二、 方案设计1、 总体方案在Packet Tracer 5.3模拟仿真软件上进行实验,由于该仿真软件不支持FireWall,使用路由器替代防火墙的功能,启用路由器的ACL功能来实现网络流量控制和数据包过滤功能对防火墙内部的公司主机,开启防火墙的NAT功能,是公司所有主机通过共享少量的外网地址访问外网为了防火墙自身的管理和安全性,开启防火墙上的telnet管理功能,并设定认证密码和防火墙的使能(enable)密码。
2、 详细规划(1) 实验拓扑图(2) 网络地址规划接口IP地址子网掩码PC0PC1WWWFireWall Fa0/0FireWall Se1/0Router1 Se1/0202.160.20.2Router1 Se1/1Router2 Fa0/0Router2 Se1/1(3) 详细配置过程1) 按照网络拓扑图和网络地址规划表配置所有主机和路由器的接口地址并启用接口以FireWall为例,其它的路由器配置类似:Router>enableRouter#conf tRouter(config)#hostname FireWallFireWall(config)#int fa0/0FireWall(config-if)#FireWall(config-if)#no shutdownFireWall(config-if)#int s1/0FireWall(config-if)#FireWall(config-if)#clock rate 64000FireWall(config-if)#no shutdown2) 在各台路由器上配置动态路由协议(单区域的OSPF协议),发布路由器直连的网络。
以FireWall为例,其它路由器上的配置类似FireWall>enableFireWall#conf tFireWall(config)#router ospf 100FireWall(config-router)#network 192.168.10.0 0.0.0.255 area 0FireWall(config-rouer)#network 202.160.20.0 0.0.0.7 area 0FireWall(config-router)#end3) 配置FireWall上的telnet管理和使能(enable)密码FireWall>enableFireWall#conf tFireWall(config)#enable secret FireWall(config)#username admin password 0 manageFireWall(config)#line vty 0 15FireWall(config-line)#password FireWall(config-line)#login localFireWall(config-line)#exit4) 在FireWall上为内部网络配置NATFireWall>enableFireWall#conf tFireWall(config)#ip access-list standard to_internetFireWall(config-std-nacl)#exitFireWall(config)#FireWall(config)#ip nat inside source list to_internet pool p_to_internet overload FireWall(config)#int fa0/0FireWall(config-if)#ip nat insideFireWall(config-if)#int s1/0FireWall(config-if)#ip nat outsideFireWall(config-if)#exit5) 在FireWall上配置ACL禁止WWW telnet登录到FireWall和内部主机访问非法的WWW服务器FireWall>enableFireWall#conf tFireWall(config)#FireWall(config)#ip nat inside source list to_internet pool p_to_internet overloadFireWall(config)#ip access-list standard to_internetFireWall(config-std-nacl)#ip access-list extended denyWWWFireWall(config-std-nacl)#deny tcp 192.168.10.0 0.0.0.255 host 202.160.20.18 eq wwwFireWall(config-std-nacl)#deny icmp 192.168.10.0 0.0.0.255 FireWall(config-std-nacl)#permit ip any anyFireWall(config-std-nacl)#exitFireWall(config-ext-nacl)#ip access-list extended denyTelnetFireWall(config-ext-nacl)#deny tcp 202.160.20.16 0.0.0.7 host 202.160.20.1 eq telnetFireWall(config-ext-nacl)#deny tcp 202.160.20.16 0.0.0.7 host 192.168.10.1 eq telnetFireWall(config-ext-nacl)#permit ip any anyFireWall(config-ext-nacl)#exitFireWall(config)#int fa0/0FireWall(config-if)#ip nat insideFireWall(config-if)#ip access-group denyWWW inFireWall(config-if)#int s1/0FireWall(config-if)#ip nat outsideFireWall(config-if)#ip access-group denyWWW inFireWall(config-if)#end三、 实训结果1、 查看FireWall上的路由表2、 使用公司内部主机PC0访问外网时,在FireWall上进行NAT转换,此时查看FireWall上的地址转换表,如下图所示:3、 使用主机PC0访问非法服务器WWW的截图如下:但使用FireWall可以正常ping通非法服务器WWW,截图如下:至此,本实训所要求实现FireWall的功能基本实现。
四、 实训总结通过本次防火墙项目实训,我对防火墙的配置知识有更深层次的认识,对防火墙的应用也有了更多的了解防火墙不仅可以维护企业内部网络安全,防止非法的外部网络攻击,也可以防止内部网络中主机访问外网,实现对企业内部网络的安全保护以前没有使用防火墙进行NAT配置,但是防火墙的NAT配置与路由器的NAT配置基本类似,虽然此次实训,是使用路由器模拟防火墙的功能,但是防火墙实质上就可以看作是路由器,包过滤防火墙就是路由器上的访问控制列表,可以说二者的实现机制是一样的防火墙的应用在企业中是很广泛,此次实训,我很有收获!。
