信息安全技术（HCIA-Security） 教案 第16次课-复习

教案 《HCNA-Security实现与管理》授课周次与课时：第17周第60-64课时累计4课时课程名称：HCNA-Security实现与管理授课课题：复习教学目标：对所学内容进行全面复习教学要点：1.教学重点：相关理论知识原理2.教学难点：实验操作步骤课型：理实一体课教学与学法（教具）：多媒体教学过程【温故知新】今天我们对本课程内容进行整体复习【复习引入】经过基础理论知识的学习和基础实验操作的练习，大家对信息安全技术有了一定的了解。接下来我们一起将所学的知识复习回顾。【复习讲授】1信息安全理论知识信息安全基础概念与规范信息安全规范网络基础与网络设备操作系统、防火墙原理及配置技术加密与解密技术安全运营分析基础2实验复习防火墙双机热备配置步骤-CLI完成USG6330-1上、下行业务接口的配置。配置各接口IP地址并加入相应安全区域。<USG6330-1>system-view[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/1]ipaddress10.1.2.1255.255.255.0[USG6330-1-GigabitEthernet1/0/1]quit[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/3]ipaddress40.1.1.1255.255.255.0[USG6330-1-GigabitEthernet1/0/3]quit[USG6330-1]firewallzonetrust[USG6330-1-zone-trust]addinterfaceGigabitEthernet1/0/1[USG6330-1-zone-trust]quit[USG6330-1]firewallzoneuntrust[USG6330-1-zone-untrust]addinterfaceGigabitEthernet1/0/4[USG6330-1-zone-untrust]quit配置接口GigabitEthernet1/0/1的VRRP备份组1，并加入到状态为Active的VGMP管理组。[USG6330-1]interfaceGigabitEthernet1/0/4[USG6330-1-GigabitEthernet1/0/1]vrrpvrid1virtual-ip2.2.2.1255.255.255.0active[USG6330-1-GigabitEthernet1/0/1]quit配置接口GigabitEthernet1/0/3的VRRP备份组2，并加入到状态为Active的VGMP管理组。[USG6330-1]interfaceGigabitEthernet1/0/1[USG6330-1-GigabitEthernet1/0/3]vrrpvrid2virtual-ip10.1.2.3active[USG6330-1-GigabitEthernet1/0/3]quit完成USG6330-1的心跳线配置，配置GigabitEthernet1/0/7的IP地址。[USG6330-1]interfaceGigabitEthernet1/0/3[USG6330-1-GigabitEthernet1/0/7]ipaddress30.1.1.1255.255.255.0[USG6330-1-GigabitEthernet1/0/7]quit配置GigabitEthernet1/0/7加入DMZ区域。[USG6330-1]firewallzonedmz[USG6330-1-zone-dmz]addinterfaceGigabitEthernet1/0/3[USG6330-1-zone-dmz]quit指定GigabitEthernet1/0/7为心跳口。[USG6330-1]hrpinterfaceGigabitEthernet1/0/3配置Trust区域和Untrust区域的域间转发策略。HRP_A[USG6330-1]security-policyHRP_A[USG6330-1-policy-security]rulenamepolicy_secHRP_A[USG6330-1-policy-security-rule-policy_sec]source-zonetrustHRP_A[USG6330-1-policy-security-rule-policy_sec]destination-zoneuntrustHRP_A[USG6330-1-policy-security-rule-policy_sec]actionpermitHRP_A[USG6330-1-policy-security-rule-policy_sec]quit启用HRP备份功能。[USG6330-1]hrpenable配置USG6330-2。USG6330-2和上述USG6330-1的配置基本相同，不同之处在于以下两点：G6330-2各接口的IP地址与USG6330-1各接口的IP地址不相同。G6330-2的业务接口GigabitEthernet1/0/1和GigabitEthernet1/0/4加入状态为Standby的VGMP管理组。配置Switch。分别将两台Switch的三个接口加入同一个VLAN，缺省即可，如需配置请参考交换机的相关文档。配置步骤-Web完成USG6330-1防火墙接口配置。选择“网络>接口”。单击需要配置接口后面的配置按钮。依次选择或输入各项参数，单击“确定”。完成GigabitEthernet1/0/1接口配置如图所示：图12-17GigabitEthernet1/0/1接口配置图GigabitEthernet1/0/3和GigabitEthernet1/0/1配置类似。完成USG6330-1防火墙VRRP备份组1和VRRP备份组2的配置。选择“系统>高可靠性>双机热备”。单击“配置”，选用“启用”前的复选框后，按如下参数配置：图12-18热备参数配置USG6330-2防火墙配置与USG6330-1防火墙基本一致，略。在双机热备的配置界面可以查看双机热备的状态信息。图12-19热备运行状态配置USG6330-1防火墙域间转发策略。Trust与untrust间转发策略：选择“策略>安全策略>安全策略”。在“安全策略列表”中，单击“新建”。依次输入或选择各项参数。单击“确定”。完成Trust与untrust间转发策略如图所示：图12-20热备策略配置图12-21热备策略配置结果结果验证，查看相关信息。查看VRRP信息在USG6330-1上执行displayvrrp命令，检查VRRP组内接口的状态信息，显示以下信息表示VRRP组建立成功。HRP_A<USG6330-1>displayvrrpGigabitEthernet1/0/4|VirtualRouter1State:MasterVirtualIP:2.2.2.1MasterIP:40.1.1.1PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60s TimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0101CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabledGigabitEthernet1/0/1|VirtualRouter2State:MasterVirtualIP:10.1.2.3MasterIP:10.1.2.1PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0sTimerRun:60sTimerConfig:60sAuthtype:NONEVirtualMAC:0000-5e00-0102CheckTTL:YESConfigtype:vgmp-vrrpBackup-forward:disabled查看HRP信息在USG6330-1上执行displayhrpstate命令，检查当前HRP的状态，显示以下信息表示HRP建立成功。HRP_A<USG6330-1>displayhrpstateThefirewall'sconfigstateis:ACTIVECurrentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid2:activeGigabitEthernet1/0/4vrid1:active查看USG6330-1会话在处于Trust区域的PC1端pingVRRP组2的虚拟IP地址10.1.2.3，在USG6330-1上检查会话。HRP_A<USG6330-1>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->public10.1.2.100:1-->10.1.2.3:2048可以看出VRRP组配置正确后，在PC1端能够ping通VRRP组2的虚拟IP地址。检查USG6330-1和USG6330-2上检查会话PC2作为服务器位于Untrust区域。在Trust区域的PC1端能够ping通Untrust区域的服务器。分别在USG6330-1和USG6330-2上检查会话。HRP_A<USG6330-1>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->public10.1.2.100:1-->2.2.2.2:2048HRP_S<USG6330-2>displayfirewallsessiontableCurrentTotalSessions:1icmpVPN:public-->publicRemote10.1.2.100:1-->2.2.2.2:2048可以看出USG6330-2上存在带有Remote标记的会话，表示配置双