資源簡介

(共21張PPT)
網絡安全技術實現
05
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
情境描述
鵬博公司為了保護內網網絡安全，新購置一臺防火墻部署在網絡出口處。網絡管理員要對防火墻進行基本配置，保證內部網絡能訪問外部網絡，反之則受限，同時需對FTP、DNS、HTTP等活動進行監控。
本節內容使用Cisco 5505防火墻1臺，3560交換機1臺，PC 2臺，拓撲圖如圖5-7所示。
圖5-7項目5拓撲圖5
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
實 現 步 驟
（1）按照拓撲圖連接網絡，并按照表5-5配置內外網PC的IP地址。
表5-5 參數設置表5
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
（2）配置防火墻的VLAN的IP地址和所屬區域，并將E0/1端口添加到inside區域，將E0/0端口添加到outside區域。
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
思科的5505防火墻不能直接在端口上設置IP，因此通過vlan設置IP。一般情況下，vlan 1為inside，vlan 2為outside，然后將相應的端口添加到vlan中。Security-level安全級別取值為0～100，0的安全級別最低，100的安全級別最高。
知識點撥
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
（3）配置路由和NAT轉換。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 123.12.1.10
ciscoasa(config)#object network obj_all
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
！定義需轉換的內網地址
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
！定義NAT轉換
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
（4）配置安全策略。
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
（5）測試。內外網PC相互之間用ping命令測試，結果為內網PC能ping通外網PC，外網PC不能ping通內網PC，結果如圖5-8所示。
圖5-8 測試結果
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
知識儲備
01
03
02
nameif命令用于定義端口類型，配置語法為：
nameif areaname
security-level命令用于配置接口的安全等級，配置語法為：
Security-level <0-100>
global命令用于指定公網IP地址范圍，配置語法為：
global (if_name) nat_id ip_address ［netmark global_mask］
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
學習小結
本小節講解了防火墻的基本配置方法，防火墻安全級別的概念，如何正確設置防火墻inside和outside接口和安全級別，并根據需要配置路由和安全策略。
防火墻配置與應用
任務5.3
5.3.1 防火墻的基本配置
防火墻的基本配置方法？
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
情境描述
隨著業務的擴展，訪問鵬博公司網站的用戶越來越多，為了確保公司內部網絡的安全，可將Web服務器放置于DMZ。
本節內容使用Cisco 5505防火墻1臺，3560交換機1臺，PC 2臺，服務器1臺，拓撲圖如圖5-9所示。
圖5-9 項目5拓撲圖6
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
實 現 步 驟
（1）按照拓撲圖連接網絡，并按照表5-6配置內外網PC的IP地址。
表5-6 參數設置表6
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（2）配置防火墻的VLAN的IP地址和所屬區域，并將E0/1端口添加到inside區域，將E0/0端口添加到outside區域，將E0/2端口添加到DMZ。
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（2）配置防火墻的VLAN的IP地址和所屬區域，并將E0/1端口添加到inside區域，將E0/0端口添加到outside區域，將E0/2端口添加到DMZ。
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（3）配置相關參數，為地址區間命名。
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（4）配置路由及NAT轉換。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 123.12.1.10
ciscoasa(config)#object network webserver
ciscoasa(config-network-object)#nat (dmz,outside) static 123.12.1.1
ciscoasa(config-network-object)#exit
ciscoasa(config)#object network dmz-subnet
ciscoasa(config-network-object)#nat (dmz,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa(config)#object network inside-subnet
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（5）設置訪問控制列表，允許outside區域訪問DMZ區域的Web服務器。
ciscoasa(config)#access-list outside-dmz extended permit object-group dmz_test any object outside-subnet
ciscoasa(config)#access-group outside-dmz in interface outside
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
（6）配置安全策略。
（7）測試。通過內網PC的瀏覽器訪問Web服務器，完成測試。
防火墻配置與應用
任務5.3
5.3.2 防火墻DMZ技術應用
知識儲備
DMZ是為了解決安裝防火墻后，外部網絡不能訪問內部網絡服務器而設立的一個非安全區域與安全區域之間的緩沖區。
在網絡整體設計中，網絡被劃分為三個區域：信任區域（inside），安全級別最高；DMZ，安全級別中等；非信任區域（outside），安全級別最低。信任區域可以訪問任意所有區域；DMZ不能主動訪問信任區域，但是可以訪問非信任區域；非信任區域不能主動訪問信任區域，但是可以訪問DMZ。
防火墻配置與應用
任務5.3
項目拓展
某公司組建網絡，使用Cisco 2911路由器1臺，Cisco 3650交換機1臺，Cisco 5505防火墻1臺，服務器2臺，PC 3臺，拓撲圖如圖5-10所示。
圖5-10 項目5拓撲圖7
配置要求如下：
（1）選擇合適的線纜按照拓撲圖搭建網絡，并設置設備及端口的IP地址，子網掩碼均為255.255.255.0。
（2）防火墻E0/0端口為outside區域，E0/1端口為inside區域，E0/2端口為DMZ。
（3）配置路由器使全網互通。
（4）所有用戶均能訪問Web服務器上的網站。
（5）銷售部PC不能訪問財務部PC，財務部不能訪問FTP服務器上的FTP服務。

展開更多......

收起↑