网络设备配置与管理-基于Cisco Packet Tracer 7.0 课件 第4章 防火墙配置

4.1防火墙的基本配置与管理1.学习目标2.应用情境3.实训要求4.实训效果5.实训思路6.实训巩固1.学习目标（1）了解防火墙基本原理和作用。（2）熟悉防火墙基本配置方法。2.应用情境某网络公司新购买了思科5505防火墙，网络管理员对防火墙的特性还在摸索过程中，对防火墙进行了一些基本配置。3．实训要求（1）实训设备。①一台PC。②一台5505防火墙。其外观如图4-1、图4-2所示。3．实训要求（2）实训拓扑如图4-3所示。4．实训思路（1）添加并连接设备。（2）更改防火墙主机名称和配置域名。（3）配置防火墙特权和远程登录密码。（4）配置防火墙接口。（5）保存配置、清除配置，重启防火墙。5．实训巩固（1）配置防火墙名称为ASA66。（2）使用“showclock”命令查看防火墙时间。（3）修改“vlan1”名称为“inside”。4.2配置防火墙远程管理接入功能1.学习目标2.应用情境3.实训要求4.实训效果5.实训思路6.实训巩固1.学习目标（1）了解三种远程管理接入的相关概念。（2）掌握防火墙三种主要的远程管理接入方式配置方法。2.应用情境防火墙开启远程管理后，可远程管理防火墙。不必到设备去设置，节省了人力成本。3．实训要求（1）实训设备。①一台ASA5505防火墙。②一台PC。③一条配置线和两条直通线。3．实训要求（2）实训拓扑，如图4-4所示。3．实训要求（3）设备配置要求。表4-1PC参数表4-2防火墙参数表4-3路由器参数设备IP地址子网掩码PC0设备VLAN1接口管理密码防火墙IP：子网掩码：telnet远程管理，账号test，密码：123456。设备VLAN1接口管理路由器IP：，子网掩码：4．实训效果（1）能在PC通过Telnet远程登录防火墙。（2）能在路由器通过SSH远程登录防火墙。5．实训思路（1）添加设备并连接。（2）创建登录账号。配置防火墙Telnet远程登录，验证配置情况。（3）配置防火墙SSH远程登录，验证配置情况。（4）配置防火墙ASDM远程登录。6．实训巩固根据所学内容，在ASA5505防火墙创建一个名为“test”密码为“123456”的账号，并配置可使用Telnet和SSH两种方式登录防火墙。4.3防火墙无客户端SSLVPN配置1.学习目标2.应用情境3.实训要求4.实训效果5.实训思路6.实训巩固1.学习目标（1）了解SSLVPN技术。（2）掌握无客户端SSLVPN的配置方法。（3）掌握书签和组策略的配置方法。2.应用情境某公司部分员工经常出差，出差时需要访问公司内部网络。网络管理员为了保障数据传输安全，而且不需要在客户端上安装额外的软件，使用浏览器就可以进入公司内部网络，决定在防火墙启用无客户端SSLVPN。3．实训要求（1）实训设备。①两台PC。②一台2950-24交换机③一台ASA5505防火墙和一台服务器。3．实训要求（2）实训拓扑如图4-6所示。3．实训要求（3）设备配置要求。如表4-4所示。2950T-24交换机不用配置。表4-4PC和服务器参数设备名称IP地址子网掩码默认网关PC0PC1服务器0不设置4．实训效果（1）可使用无客户端SSLVPN访问服务器。（2）根据不同账户类型显示不同的书签和组策略。5．实训思路（1）添加设备并连接，设置PC和服务器的IP配置。（2）创建两个账户，配置接口地址，启动防火墙WEB服务。（3）配置书签。（4）配置组策略给用户。（5）测试配置效果。6．实训巩固在本实例的基础上，再增加2个账户，为每个账户都配置2个书签。4.4防火墙安全域配置1.学习目标2.应用情境3.实训要求4.实训效果5.实训思路6.实训巩固1.学习目标（1）了解安全区域基本概念。（2）掌握安全区域配置方法。2.应用情境某公司为了保证业务的安全，对公司网络进行了重新规划。将内部办公网络、Internet和内网服务器区分别划分为“inside”、“outside”和“dmz”三个安全区域。3．实训要求（1）实训设备。①三台1941路由器。②一台ASA5505防火墙。③三条直通线。3．实训要求（2）实训拓扑如图4-13所示。3．实训要求（3）设备配置要求，如表4-5和表4-6所示。表4-5路由器参数设备G0/0接口IP地址/子网掩码连接端口R1/24防火墙的E0/0R2/24防火墙的E0/1R3/24防火墙的E0/7表4-6防火墙参数VLAN安全区域名称IP地址/子网掩码接口vlan1inside/24E0/1至E0/6vlan2outside/24E0/0vlan3dmz/24E0/74．实训效果（1）三个路由器分别划分在inside（内网），outside（外网），dmz（服务器区）三个区。（2）三个路由器能互相Telnet。5．实训思路（1）添加各种设备，按拓扑连接线缆。（2）配置防火墙相关参数设置。（3）配置路由器相关信息。（4）为各路由器分别添加路由和Telnet用户。（5）通过Telnet登录测试各路由器之间的连通性。6．实训巩固应用情境：小张拿着如图4-14所示的拓扑图来找小李，向他请教安全区域的基本原理和配置方法。4.5防火墙DHCP、NAT和ACL的配置1.学习目标2.应用情境3.实训要求4.实训效果5.实训思路6.实训巩固1.学习目标（1）了解防火墙的NAT和ACL的基本原理。（2）掌握防火墙DHCP配置方法。（3）掌握防火墙的NAT和ACL的配置方法。2.应用情境某公司遇到一些员工不能上网的问题，起因是这些员工设置了错误的IP地址、网关和DNS服务器。网络管理员决定在防火墙上创建DHCP服务，一次性解决这些员工的烦恼。在配置过程中，将原来在路由器的NAT和ACL配置，也迁移到防火墙来。3．实训要求（1）实训设备。①一台服务器。②一台PC。③一台1941路由器。④一台ASA5505防火墙。⑤一台2960交换机。3．实训要求（2）实训拓扑如图4-15所示。3．实训要求（3）设备配置要求，如表4-7、表4-8和表4-9所示。PC为自动获取IP配置。交换机使用默认配置，不用配置。表4-7外网服务器参数VLAN安全区域名称IP地址/子网掩码vlan1inside/24vlan2outside/24表4-8ISP路由器接口IP地址/子网掩码默认网关连接端口F0/24ISP路由器的G0/1设备接口IP地址/子网掩码连接端口G0/0接口/24防火墙的E0/0G0/1接口/24外网服务器表4-9防火墙参数4．实训效果（1）从内网的“PC0”能Ping通外网的“外网服务器”。（2）从内网的“PC0”用浏览器输入“”网址，能打开外网的“外网服务器”的网站。5．实训思路（1）添加各种设备，按拓扑连接线缆。（2）配置防火墙安全区域。（3）配置路由器名称和端口IP。（4）测试“外网服务器”到路由器的连通性。（5）配置防火墙DHCP服务，让内网终端能自动获取IP配置。（6）配置防火墙默认路由。（7）配置路由器OSPF。（