项目四-防火墙配置.docVIP

工程四防火墙配置

实训内容

要求：某公司的网络规模大概有100多了主机，而仅申请到/29的地址块，公司目前经费有限，仅有防火墙一台和二层交换机数台，现要求通过配置防火墙，实现公司内部的所有主机都能访问外部网络，对外屏蔽内部网络地址。但是为了平安，防止内部主机访问非法站点效劳器WWW，而要求开启防火墙的telnet登录，允许远程管理，但是禁止从6/29网段的主机Telnet管理防火墙。

通过在防火墙上启用路由模式，实现路由功能；对外屏蔽内部网络地址，提高网络平安性，并利用少数公有IP地址使所有人都能访问外部网络。

实训时间：2011年5月26日至2011年5月28日

方案设计

总体方案

在PacketTracer5.3模拟仿真软件上进行实验，由于该仿真软件不支持FireWall，使用路由器替代防火墙的功能，启用路由器的ACL功能来实现网络流量控制和数据包过滤功能。对防火墙内部的公司主机，开启防火墙的NAT功能，是公司所有主机通过共享少量的外网地址访问外网。为了防火墙自身的管理和平安性，开启防火墙上的telnet管理功能，并设定认证密码和防火墙的使能(enable)密码。

详细规划

实验拓扑图

网络地址规划

接口

IP地址

子网掩码

PC0

PC1

WWW

FireWallFa0/0

FireWallSe1/0

Router1Se1/0

Router1Se1/1

Router2Fa0/0

Router2Se1/1

详细配置过程

按照网络拓扑图和网络地址规划表配置所有主机和路由器的接口地址并启用接口。以FireWall为例，其它的路由器配置类似：

Routerenable

Router#conft

Router(config)#hostnameFireWall

FireWall(config)#intfa0/0

FireWall(config-if)#

FireWall(config-if)#noshutdown

FireWall(config-if)#ints1/0

FireWall(config-if)#

FireWall(config-if)#clockrate64000

FireWall(config-if)#noshutdown

在各台路由器上配置动态路由协议(单区域的OSPF协议)，发布路由器直连的网络。以FireWall为例，其它路由器上的配置类似。

FireWallenable

FireWall#conft

FireWall(config)#routerospf100

FireWall(config-router)#network55area0

FireWall(config-rouer)#networkarea0

FireWall(config-router)#end

配置FireWall上的telnet管理和使能(enable)密码

FireWallenable

FireWall#conft

FireWall(config)#enablesecretzhlh

FireWall(config)#usernameadminpassword0manage

FireWall(config)#linevty015

FireWall(config-line)#passwordzhlh

FireWall(config-line)#loginlocal

FireWall(config-line)#exit

在FireWall上为内部网络配置NAT

FireWallenable

FireWall#conft

FireWall(config)#ipaccess-liststandardto_internet

FireWall(config-std-nacl)#exit

FireWall(config)#

FireWall(config)#ipnatinsidesourcelistto_internetpoolp_to_internetoverload

FireWall(config)#intfa0/0

FireWall(config-if)#ipnatinside

FireWall(config-if)#ints1/0

FireWall(config-if)#ipnatoutside

FireWall(config-if)#exit

在FireWall上配置ACL禁止WWWtelnet登录到FireWall和内部主机访问非法的WWW效劳器

FireWallenable

FireWall#conft

FireWall(config)#

FireWall(config)#ipnat