资源简介

(共21张PPT)
网络安全技术实现
05
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
情境描述
鹏博公司为了保护内网网络安全，新购置一台防火墙部署在网络出口处。网络管理员要对防火墙进行基本配置，保证内部网络能访问外部网络，反之则受限，同时需对FTP、DNS、HTTP等活动进行监控。
本节内容使用Cisco 5505防火墙1台，3560交换机1台，PC 2台，拓扑图如图5-7所示。
图5-7项目5拓扑图5
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
实 现 步 骤
（1）按照拓扑图连接网络，并按照表5-5配置内外网PC的IP地址。
表5-5 参数设置表5
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
（2）配置防火墙的VLAN的IP地址和所属区域，并将E0/1端口添加到inside区域，将E0/0端口添加到outside区域。
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
思科的5505防火墙不能直接在端口上设置IP，因此通过vlan设置IP。一般情况下，vlan 1为inside，vlan 2为outside，然后将相应的端口添加到vlan中。Security-level安全级别取值为0～100，0的安全级别最低，100的安全级别最高。
知识点拨
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
（3）配置路由和NAT转换。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 123.12.1.10
ciscoasa(config)#object network obj_all
ciscoasa(config-network-object)#subnet 0.0.0.0 0.0.0.0
！定义需转换的内网地址
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
！定义NAT转换
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
（4）配置安全策略。
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
（5）测试。内外网PC相互之间用ping命令测试，结果为内网PC能ping通外网PC，外网PC不能ping通内网PC，结果如图5-8所示。
图5-8 测试结果
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
知识储备
01
03
02
nameif命令用于定义端口类型，配置语法为：
nameif areaname
security-level命令用于配置接口的安全等级，配置语法为：
Security-level <0-100>
global命令用于指定公网IP地址范围，配置语法为：
global (if_name) nat_id ip_address ［netmark global_mask］
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
学习小结
本小节讲解了防火墙的基本配置方法，防火墙安全级别的概念，如何正确设置防火墙inside和outside接口和安全级别，并根据需要配置路由和安全策略。
防火墙配置与应用
任务5.3
5.3.1 防火墙的基本配置
防火墙的基本配置方法？
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
情境描述
随着业务的扩展，访问鹏博公司网站的用户越来越多，为了确保公司内部网络的安全，可将Web服务器放置于DMZ。
本节内容使用Cisco 5505防火墙1台，3560交换机1台，PC 2台，服务器1台，拓扑图如图5-9所示。
图5-9 项目5拓扑图6
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
实 现 步 骤
（1）按照拓扑图连接网络，并按照表5-6配置内外网PC的IP地址。
表5-6 参数设置表6
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（2）配置防火墙的VLAN的IP地址和所属区域，并将E0/1端口添加到inside区域，将E0/0端口添加到outside区域，将E0/2端口添加到DMZ。
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（2）配置防火墙的VLAN的IP地址和所属区域，并将E0/1端口添加到inside区域，将E0/0端口添加到outside区域，将E0/2端口添加到DMZ。
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（3）配置相关参数，为地址区间命名。
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（4）配置路由及NAT转换。
ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 123.12.1.10
ciscoasa(config)#object network webserver
ciscoasa(config-network-object)#nat (dmz,outside) static 123.12.1.1
ciscoasa(config-network-object)#exit
ciscoasa(config)#object network dmz-subnet
ciscoasa(config-network-object)#nat (dmz,outside) dynamic interface
ciscoasa(config-network-object)#exit
ciscoasa(config)#object network inside-subnet
ciscoasa(config-network-object)#nat (inside,outside) dynamic interface
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（5）设置访问控制列表，允许outside区域访问DMZ区域的Web服务器。
ciscoasa(config)#access-list outside-dmz extended permit object-group dmz_test any object outside-subnet
ciscoasa(config)#access-group outside-dmz in interface outside
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
（6）配置安全策略。
（7）测试。通过内网PC的浏览器访问Web服务器，完成测试。
防火墙配置与应用
任务5.3
5.3.2 防火墙DMZ技术应用
知识储备
DMZ是为了解决安装防火墙后，外部网络不能访问内部网络服务器而设立的一个非安全区域与安全区域之间的缓冲区。
在网络整体设计中，网络被划分为三个区域：信任区域（inside），安全级别最高；DMZ，安全级别中等；非信任区域（outside），安全级别最低。信任区域可以访问任意所有区域；DMZ不能主动访问信任区域，但是可以访问非信任区域；非信任区域不能主动访问信任区域，但是可以访问DMZ。
防火墙配置与应用
任务5.3
项目拓展
某公司组建网络，使用Cisco 2911路由器1台，Cisco 3650交换机1台，Cisco 5505防火墙1台，服务器2台，PC 3台，拓扑图如图5-10所示。
图5-10 项目5拓扑图7
配置要求如下：
（1）选择合适的线缆按照拓扑图搭建网络，并设置设备及端口的IP地址，子网掩码均为255.255.255.0。
（2）防火墙E0/0端口为outside区域，E0/1端口为inside区域，E0/2端口为DMZ。
（3）配置路由器使全网互通。
（4）所有用户均能访问Web服务器上的网站。
（5）销售部PC不能访问财务部PC，财务部不能访问FTP服务器上的FTP服务。

展开更多......

收起↑