项目四-防火墙配置.doc
工程四防火墙配置
实训内容
要求:某公司的网络规模大概有100多了主机,而仅申请到/29的地址块,公司目前经费有限,仅有防火墙一台和二层交换机数台,现要求通过配置防火墙,实现公司内部的所有主机都能访问外部网络,对外屏蔽内部网络地址。但是为了平安,防止内部主机访问非法站点效劳器WWW,而要求开启防火墙的telnet登录,允许远程管理,但是禁止从6/29网段的主机Telnet管理防火墙。
通过在防火墙上启用路由模式,实现路由功能;对外屏蔽内部网络地址,提高网络平安性,并利用少数公有IP地址使所有人都能访问外部网络。
实训时间:2011年5月26日至2011年5月28日
方案设计
总体方案
在PacketTracer5.3模拟仿真软件上进行实验,由于该仿真软件不支持FireWall,使用路由器替代防火墙的功能,启用路由器的ACL功能来实现网络流量控制和数据包过滤功能。对防火墙内部的公司主机,开启防火墙的NAT功能,是公司所有主机通过共享少量的外网地址访问外网。为了防火墙自身的管理和平安性,开启防火墙上的telnet管理功能,并设定认证密码和防火墙的使能(enable)密码。
详细规划
实验拓扑图
网络地址规划
接口
IP地址
子网掩码
PC0
PC1
WWW
FireWallFa0/0
FireWallSe1/0
Router1Se1/0
Router1Se1/1
Router2Fa0/0
Router2Se1/1
详细配置过程
按照网络拓扑图和网络地址规划表配置所有主机和路由器的接口地址并启用接口。以FireWall为例,其它的路由器配置类似:
Routerenable
Router#conft
Router(config)#hostnameFireWall
FireWall(config)#intfa0/0
FireWall(config-if)#
FireWall(config-if)#noshutdown
FireWall(config-if)#ints1/0
FireWall(config-if)#
FireWall(config-if)#clockrate64000
FireWall(config-if)#noshutdown
在各台路由器上配置动态路由协议(单区域的OSPF协议),发布路由器直连的网络。以FireWall为例,其它路由器上的配置类似。
FireWallenable
FireWall#conft
FireWall(config)#routerospf100
FireWall(config-router)#network55area0
FireWall(config-rouer)#networkarea0
FireWall(config-router)#end
配置FireWall上的telnet管理和使能(enable)密码
FireWallenable
FireWall#conft
FireWall(config)#enablesecretzhlh
FireWall(config)#usernameadminpassword0manage
FireWall(config)#linevty015
FireWall(config-line)#passwordzhlh
FireWall(config-line)#loginlocal
FireWall(config-line)#exit
在FireWall上为内部网络配置NAT
FireWallenable
FireWall#conft
FireWall(config)#ipaccess-liststandardto_internet
FireWall(config-std-nacl)#exit
FireWall(config)#
FireWall(config)#ipnatinsidesourcelistto_internetpoolp_to_internetoverload
FireWall(config)#intfa0/0
FireWall(config-if)#ipnatinside
FireWall(config-if)#ints1/0
FireWall(config-if)#ipnatoutside
FireWall(config-if)#exit
在FireWall上配置ACL禁止WWWtelnet登录到FireWall和内部主机访问非法的WWW效劳器
FireWallenable
FireWall#conft
FireWall(config)#
FireWall(config)#ipnat