網(wǎng)絡(luò)設(shè)備安裝與調(diào)試 課件 模塊7 網(wǎng)絡(luò)安全接入配置

模塊7 網(wǎng)絡(luò)安全接入配置01任務(wù)1計(jì)算機(jī)終端接入安全02任務(wù)2交換機(jī)接口安全配置03任務(wù)3訪問控制列表配置目錄04任務(wù)4防火墻設(shè)備的配置任務(wù)1計(jì)算機(jī)終端接入安全任務(wù)描述小明工作后，使用的計(jì)算機(jī)都攜帶著關(guān)鍵的數(shù)據(jù)文件和商業(yè)機(jī)密信息，然而這些數(shù)據(jù)在計(jì)算機(jī)上存在多種潛在的安全隱患，其中最主要的威脅通常源于個(gè)人終端的潛在危險(xiǎn)操作。為了最大程度地降低這類情況發(fā)生的可能性，小明采取一系列有針對性的措施來確保終端的安全性。任務(wù)清單

任務(wù)清單如表7-1所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；倡導(dǎo)學(xué)生文明上網(wǎng)的安全意識；培養(yǎng)文明健康綠色安全的網(wǎng)絡(luò)素養(yǎng)；【知識目標(biāo)】了解操作系統(tǒng)的發(fā)展；了解操作系統(tǒng)的安全配置方法；【能力目標(biāo)】能夠配置系統(tǒng)更新；能夠安裝系統(tǒng)補(bǔ)丁；能夠維護(hù)個(gè)人電腦信息安全；任務(wù)重難點(diǎn)【任務(wù)重點(diǎn)】操作系統(tǒng)的賬戶安全配置；系統(tǒng)更新以及補(bǔ)丁的安裝；【任務(wù)難點(diǎn)】賬戶安全的配置；關(guān)閉系統(tǒng)默認(rèn)的共享；任務(wù)內(nèi)容1.操作系統(tǒng)的概述2.操作系統(tǒng)安全配置所需材料實(shí)訓(xùn)PC安裝Windows10系統(tǒng);資源連接微課、圖例、PPT課件、實(shí)訓(xùn)報(bào)告單表7-1計(jì)算機(jī)終端接入安全——任務(wù)清單任務(wù)1計(jì)算機(jī)終端接入安全任務(wù)實(shí)施7.1操作系統(tǒng)概述

操作系統(tǒng)（OS：OperatingSystem）是管理計(jì)算機(jī)硬件與軟件資源的計(jì)算機(jī)程序，同時(shí)也是計(jì)算機(jī)系統(tǒng)的內(nèi)核與基石。操作系統(tǒng)需要處理如管理與配置內(nèi)存、決定系統(tǒng)資源供需的優(yōu)先次序、控制輸入與輸出設(shè)備、操作網(wǎng)絡(luò)與管理文件系統(tǒng)等基本事務(wù)。操作系統(tǒng)也提供一個(gè)讓用戶與計(jì)算機(jī)程序交互的操作界面。操作系統(tǒng)的類型非常多樣，不同機(jī)器安裝的操作系統(tǒng)可從簡單到復(fù)雜，可從移動(dòng)電話的嵌入式系統(tǒng)到超級計(jì)算機(jī)的大型操作系統(tǒng)。許多操作系統(tǒng)制造者對它涵蓋范疇的定義也不盡一致，例如有些操作系統(tǒng)集成了圖形用戶界面，而有些僅使用命令行界面，而將圖形用戶界面視為一種非必要的應(yīng)用程序，典型的操作系統(tǒng)有如下幾種：

1.Windows操作系統(tǒng)2.UNIX操作系統(tǒng)3.Linux操作系統(tǒng)4.MacOS操作系統(tǒng)5.Netware操作系統(tǒng)6.銀河麒麟操作系統(tǒng)

圖4-1任務(wù)1計(jì)算機(jī)終端接入安全7.2操作系統(tǒng)安全配置新安裝的操作系統(tǒng)都存在不少漏洞或者配置問題，如果對這些漏洞或者配置問題不了解，不采取相應(yīng)的措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者，進(jìn)而導(dǎo)致操作系統(tǒng)甚至整個(gè)計(jì)算機(jī)出安全問題。1.賬戶安全策略賬戶是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的賬戶越多，黑客們得到合法用戶的權(quán)限的可能性也就越大。

圖4-1（1）使用組合快捷鍵【W(wǎng)in+R】打開運(yùn)行對話框，輸入“regedit”并按下回車鍵或點(diǎn)擊確定，打開注冊表管理窗口，如圖7-1所示。圖7-1運(yùn)行對話框任務(wù)1計(jì)算機(jī)終端接入安全（2）在注冊表編輯器中，導(dǎo)航到以下路徑：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System。（3）在右側(cè)窗口中，右鍵點(diǎn)擊空白區(qū)域，選擇“新建”>“DWORD(32位)值”，將新建的項(xiàng)命名為“LimitLocalAccountCreation”。（4）雙擊“LimitLocalAccountCreation”，將基數(shù)改為十進(jìn)制，數(shù)值數(shù)據(jù)設(shè)置為你想要的本地用戶數(shù)量限制，例如設(shè)置為10，如圖7-2所示。性也就越大。

圖4-1圖7-2

注冊表編輯任務(wù)1計(jì)算機(jī)終端接入安全（5）使用組合快捷鍵【W(wǎng)in+R】打開運(yùn)行對話框，輸入“secpol.msc”按下回車鍵或點(diǎn)擊確定，打開本地安全策略窗口，如圖7-3所示。

圖4-1圖7-3密碼策略任務(wù)1計(jì)算機(jī)終端接入安全（6）雙擊“密碼長度必須符合復(fù)雜要求”，將其設(shè)置為已啟用，依次雙擊選擇密碼長度最小值將其設(shè)置為“8”，密碼最長使用使用期限，用來限制用戶密碼的最長使用時(shí)間為“30天”，如圖7-4所示。

圖4-1圖7-4密碼策略設(shè)置效果任務(wù)1計(jì)算機(jī)終端接入安全2.關(guān)閉系統(tǒng)默認(rèn)共享操作系統(tǒng)的共享為用戶帶來了方便，也帶來了很多麻煩，經(jīng)常會(huì)有病毒通過共享進(jìn)入計(jì)算機(jī)。Windows2000/XP/2003/7/10版本的操作系統(tǒng)提供了默認(rèn)共享功能。（1）查看默認(rèn)共享。打開“控制面板”→“管理工具”→“計(jì)算機(jī)管理”→“系統(tǒng)工具”→“共享文件夾”→“共享”，如圖7-5所示。大部分Windows操作系統(tǒng)的C盤、D盤等默認(rèn)是共享的，這就給黑客的入侵帶來了很大的方便，像“震蕩波”病毒的傳播方式之一就是掃描局域網(wǎng)內(nèi)所有帶共享的主機(jī)，然后將病毒上傳到這些主機(jī)上，及時(shí)的關(guān)閉共享可以有效阻止該類病毒的傳播。

圖4-1圖7-5

計(jì)算機(jī)管理器查看共享任務(wù)1計(jì)算機(jī)終端接入安全（2）在計(jì)算機(jī)管理工具頁面選中要?jiǎng)h除的共享，按下鼠標(biāo)右鍵選擇停止共享，如圖7-6所示。

圖4-1圖7-6

使用計(jì)算機(jī)管理停止共享任務(wù)1計(jì)算機(jī)終端接入安全3.更新與安全（1）長時(shí)間不更新系統(tǒng)補(bǔ)丁的電腦，一般都會(huì)存在安全隱患。在電腦“設(shè)置”中找到“更新和安全”，并點(diǎn)擊進(jìn)入該頁面，這時(shí)可以看到目前的Windows是不是最新的版本，以及上次檢查更新的時(shí)間。選擇“更新”，完成后“立即重新啟動(dòng)”，這樣操作系統(tǒng)的很多漏洞便可以及時(shí)進(jìn)行修補(bǔ)，如圖7-7所示。

圖4-1圖7-7更新與安全任務(wù)1計(jì)算機(jī)終端接入安全（2）選擇“Windows安全中心選項(xiàng)”，在“Windows安全中心”的“保護(hù)區(qū)域”當(dāng)中包括七個(gè)選項(xiàng)，依次選擇啟用或者打開，也可以及時(shí)預(yù)防安全隱患的發(fā)生，如圖7-8所示。

圖4-1圖7-8

系統(tǒng)安全中心任務(wù)2交換機(jī)接口安全配置任務(wù)描述小明身為公司的網(wǎng)絡(luò)工程師，最近發(fā)現(xiàn)公司的網(wǎng)絡(luò)速度變慢，經(jīng)過巡查后發(fā)現(xiàn)是有些部門的員工通過自己攜帶的筆記本接入公司網(wǎng)絡(luò)來下載電影，不僅影響了公司正常業(yè)務(wù)的進(jìn)行，還給公司的網(wǎng)絡(luò)安全帶來了隱患。為了解決該問題，小明決定通過對交換機(jī)的接口進(jìn)行安全配置來保障公司網(wǎng)絡(luò)的正常運(yùn)行。任務(wù)清單

任務(wù)清單如表7-2所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】理解交換機(jī)接口安全的基本概念；掌握MAC地址學(xué)習(xí)和綁定的方法；掌握交換機(jī)端口安全配置的方法；【能力目標(biāo)】能夠?qū)粨Q機(jī)端口進(jìn)行安全配置；任務(wù)重難點(diǎn)【任務(wù)重點(diǎn)】交換機(jī)接口的MAC地址綁定；交換機(jī)接口的MAC地址學(xué)習(xí)數(shù)量限制；【任務(wù)難點(diǎn)】MAC地址的學(xué)習(xí)數(shù)量限制；任務(wù)內(nèi)容1.交換機(jī)接口安全及其防護(hù)措施；2.交換機(jī)接口安全配置方法；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計(jì)算機(jī)一臺。資源連接微課、圖例、PPT課件、實(shí)訓(xùn)報(bào)告單表7-2交換機(jī)接口安全配置——任務(wù)清單任務(wù)2交換機(jī)接口安全配置任務(wù)實(shí)施7.3交換機(jī)接口安全

交換機(jī)接口安全是指在網(wǎng)絡(luò)交換機(jī)上實(shí)施一系列措施，以確保只有經(jīng)過授權(quán)的設(shè)備和用戶能夠連接到交換機(jī)的特定接口。用戶可通過對交換機(jī)接口進(jìn)行安全配置，提高網(wǎng)絡(luò)的安全性，防止未經(jīng)授權(quán)的設(shè)備或用戶對網(wǎng)絡(luò)進(jìn)行訪問。網(wǎng)絡(luò)交換機(jī)通過多種接口安全措施加強(qiáng)網(wǎng)絡(luò)安全：

1.MAC地址過濾2.端口設(shè)置允許連接最大的設(shè)備數(shù)量3.MAC地址綁定4.遠(yuǎn)程端口關(guān)閉5.虛擬局域網(wǎng)（VLAN）隔離

圖4-1任務(wù)2交換機(jī)接口安全配置7.4交換機(jī)接口安全配置

非經(jīng)授權(quán)的計(jì)算機(jī)接入網(wǎng)絡(luò)會(huì)導(dǎo)致公司信息管理成本上升，不僅會(huì)影響公司正常用戶對網(wǎng)絡(luò)的使用，還可能引發(fā)嚴(yán)重的網(wǎng)絡(luò)安全問題。為了解決這個(gè)問題，我們可以在接入交換機(jī)上配置接口安全功能。通過使用MAC地址綁定，我們不僅能夠解決非授權(quán)計(jì)算機(jī)影響正常網(wǎng)絡(luò)使用的問題，還能有效防范用戶利用未綁定MAC地址的接口進(jìn)行MAC地址泛洪攻擊。為了幫助同學(xué)們學(xué)習(xí)和掌握交換機(jī)接口安全的配置方法，我們將使用兩臺型號為S3700的交換機(jī)來模擬網(wǎng)絡(luò)，實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)如圖7-9所示。

圖4-1圖7-9接口安全實(shí)驗(yàn)拓?fù)鋱D任務(wù)2交換機(jī)接口安全配置

1.完成拓?fù)鋱D基本設(shè)置，修改計(jì)算機(jī)名為PC1、PC2和PC3，修改交換機(jī)名為SW1和SW2，并按照圖中所示依次連接各個(gè)設(shè)備（PC3暫時(shí)不連接），開啟設(shè)備。

2.完成計(jì)算機(jī)的IP配置，并將其IP地址設(shè)置為拓?fù)鋱D中示例，查看計(jì)算機(jī)的MAC地址，雙擊PC1，在計(jì)算機(jī)“命令行”界面中輸入“ipconfig”，查看MAC地址，依次查看PC2的MAC地址，如圖7-10所示。

圖4-1圖7-10

查看設(shè)備MAC地址任務(wù)2交換機(jī)接口安全配置

3.在SW1和SW2兩個(gè)交換機(jī)中完成基本配置如下：SW1：<Huawei>system-view[Huawei]sysnameSW1[SW1]undoinfo-centerenableSW2：<Huawei>system-view[Huawei]sysnameSW2[SW2]undoinfo-centerenable

4.開啟交換機(jī)口的接口安全，并綁定對應(yīng)的MAC地址。在SW1的Ethernet0/0/1接口配置StickyMAC。[SW1]interfaceEthernet0/0/1[SW1-Ethernet0/0/1]port-securityenable//開啟端口安全功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky//開啟StickyMAC功能[SW1-Ethernet0/0/1]port-securitymac-addresssticky5489-98F8-4D79vlan1//手動(dòng)配置一條sticky-mac表項(xiàng)，綁定PC1的MAC地址在交換機(jī)上使用displaymac-address命令，查看交換機(jī)與計(jì)算機(jī)之間的接口類型是否變?yōu)镾ticky，如圖7-11所示。

圖4-1圖7-11查看交換機(jī)端口類型任務(wù)2交換機(jī)接口安全配置

5.在SW1的GE0/0/1接口配置接口安全動(dòng)態(tài)MAC地址。[SW1]interfaceGigabitEthernet0/0/1[SW1-GigabitEthernet0/0/1]port-securityenable//開啟端口安全功能[SW1-GigabitEthernet0/0/1]port-securitymax-mac-num1

//限制安全MAC地址最大數(shù)量為1個(gè)，默認(rèn)為1[SW1-GigabitEthernet0/0/1]port-securityprotect-actionshutdown

//配置其他非安全MAC地址數(shù)據(jù)幀的處理動(dòng)作為關(guān)閉接口6.使用Ping命令測試PC1和PC2，可以看出PC1和PC2之間可以互相通信，如圖7-12所示。

圖4-1圖7-12

連通性側(cè)測試任務(wù)2交換機(jī)接口安全配置將PC3連接到SW2的任意接口后，用PC1對PC3進(jìn)行連通性測試。此時(shí)，PC1和PC3之間無法互相通信，如圖7-13所示。這是因?yàn)镾W1的GE0/0/1接口被限制只能學(xué)習(xí)一個(gè)MAC地址，當(dāng)有多臺計(jì)算機(jī)通過時(shí)，交換機(jī)將發(fā)出警告并關(guān)閉該接口。

圖4-1圖7-13連通性測試2

任務(wù)2交換機(jī)接口安全配置使用displayinterfacebrief|includeGigabitEthernet0/0/1命令查詢GigabitEthernet0/0/1接口是否已經(jīng)關(guān)閉，如圖7-14所示，此時(shí)再次使用PC1與PC2進(jìn)行連通性測試，發(fā)現(xiàn)端口關(guān)閉的情況下，兩臺原本連通的計(jì)算機(jī)也無法連通，如圖7-15所示。

圖4-1圖7-14查看端口關(guān)閉情況圖7-15連通性測試3任務(wù)3訪問控制列表配置任務(wù)描述小明作為公司的網(wǎng)絡(luò)管理員，負(fù)責(zé)管理和維護(hù)公司內(nèi)部網(wǎng)絡(luò)的安全性。為了強(qiáng)化網(wǎng)絡(luò)安全措施，小明計(jì)劃配置訪問控制列表（ACL）以限制對關(guān)鍵網(wǎng)絡(luò)資源的訪問，旨在確保只有經(jīng)過授權(quán)的用戶和設(shè)備能夠訪問特定的網(wǎng)絡(luò)服務(wù)和信息。任務(wù)清單

任務(wù)清單如表7-3所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】了解訪問控制列表的基本概念；了解ACL組成元素；了解標(biāo)準(zhǔn)ACL分類；【能力目標(biāo)】能夠熟練掌握ACL的配置；任務(wù)重難點(diǎn)【任務(wù)重點(diǎn)】交換機(jī)接口的MAC地址綁定；交換機(jī)接口的MAC地址學(xué)習(xí)數(shù)量限制；【任務(wù)難點(diǎn)】MAC地址的學(xué)習(xí)數(shù)量限制；任務(wù)內(nèi)容1.訪問控制列表基本概念、組成及分類；2.配置訪問控制列表；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計(jì)算機(jī)一臺。資源連接微課、圖例、PPT課件、實(shí)訓(xùn)報(bào)告單表7-3訪問控制列表配置——任務(wù)清單任務(wù)3訪問控制列表配置任務(wù)實(shí)施7.5訪問控制列表

訪問控制列表（AccessControlList，簡稱ACL）是一種用于管理文件系統(tǒng)、網(wǎng)絡(luò)設(shè)備或其他資源訪問權(quán)限的列表。ACL包含了一系列規(guī)則，這些規(guī)則定義了誰可以訪問資源以及以何種方式進(jìn)行訪問。ACL常用于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫等系統(tǒng)中，以確保對資源的訪問受到嚴(yán)格控制。ACL通常包括以下元素：1.用戶/組標(biāo)識符：指定了具體的用戶或用戶組，這些用戶或組將受到ACL規(guī)則的影響。2.權(quán)限：指定了允許或拒絕的操作類型，如讀取、寫入、執(zhí)行等。3.資源標(biāo)識符：指定了ACL規(guī)則適用的資源，可以是文件、目錄、網(wǎng)絡(luò)資源等。

圖4-1任務(wù)3訪問控制列表配置7.5訪問控制列表配置

訪問控制列表技術(shù)主要用于網(wǎng)絡(luò)層的訪問控制，而路由器通常是網(wǎng)絡(luò)中的設(shè)備，負(fù)責(zé)處理不同子網(wǎng)之間的數(shù)據(jù)流量，故一般在路由器上配置ACL允許或拒絕特定的數(shù)據(jù)流，從而實(shí)現(xiàn)網(wǎng)絡(luò)層的訪問控制。下面僅從網(wǎng)絡(luò)安全的角度對ACL的基本配置進(jìn)行簡單介紹。同學(xué)們可以由此學(xué)習(xí)和掌握基本訪問控制列表的配置方法，實(shí)現(xiàn)只有財(cái)務(wù)部門可以訪問技術(shù)部，而銷售部不能訪問技術(shù)部，其網(wǎng)絡(luò)拓?fù)鋱D結(jié)構(gòu)如圖7-16所示。

圖4-1圖7-16訪問控制列表實(shí)驗(yàn)拓?fù)淙蝿?wù)3訪問控制列表配置

1.按照圖7-16，完成拓?fù)鋵?shí)驗(yàn)結(jié)構(gòu)，添加3臺計(jì)算機(jī)，將標(biāo)簽名分別更改為PC1、PC2、PC3。其中，PC1代表財(cái)務(wù)部的主機(jī)，PC2為銷售部的主機(jī)，PC3代表為技術(shù)的主機(jī)，并分別為其手動(dòng)添加IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，具體配置IP地址詳見表7-4。

圖4-1計(jì)算機(jī)IP地址網(wǎng)關(guān)PC110.0.1.1/2410.0.1.254PC210.0.2.1/2410.0.2.254PC310.0.3.1/2410.0.3.254表7-4

計(jì)算機(jī)的IP地址信息2.添加兩臺型號為AR2220的路由器，路由器名稱分別設(shè)置為R1和R2。為R1和R2添加2SA模塊，并添加在Serial1/0/0接口的位置上，如圖7-17所示。圖7-17添加路由器2SA模塊任務(wù)3訪問控制列表配置

3.PC1連接R1的GE0/0/0接口，PC2連接R1的GE0/0/1接口，PC3連接R2的GE0/0/0接口，R1的Serial1/0/0接口連接R2的Serial1/0/0接口，接口IP地址信息如表7-5所示，開啟所有設(shè)備。

表7-5路由器的接口、IP地址/子網(wǎng)掩碼

圖4-1設(shè)備名稱接口IP地址/子網(wǎng)掩碼R1GE0/0/010.0.1.254/24GE0/0/110.0.2.254/24Serial1/0/0123.4.5.1/24R2GE0/0/010.0.3.254/24Serial1/0/0123.4.5.2/24任務(wù)3訪問控制列表配置4.R1的基本配置如下：<Huawei>system-view[Huawei]sysnameR1[R1]undoinfo-centerenable[R1]interfaceGigabitEthernet0/0/0[R1-GigabitEthernet0/0/0]ipaddress10.0.1.25424[R1]interfaceGigabitEthernet0/0/1 [R1-GigabitEthernet0/0/1]ipaddress10.0.2.25424[R1]interfaceSerial1/0/0[R1-Serial1/0/0]ipaddress123.4.5.124[R1-Serial1/0/0]quit5.R2的基本配置如下：<Huawei>system-view[Huawei]sysnameR2[R2]undoinfo-centerenable[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]ipaddress10.0.3.25424[R2]interfaceSerial1/0/0 [R2-Serial1/0/0]ipaddress123.4.5.224[R2-Serial1/0/0]quit

圖4-1任務(wù)3訪問控制列表配置6.配置靜態(tài)路由，實(shí)現(xiàn)全網(wǎng)互通：[R1]iproute-static10.0.3.0255.255.255.0123.4.5.2[R2]iproute-static10.0.1.0255.255.255.0123.4.5.1[R2]iproute-static10.0.2.0255.255.255.0123.4.5.17.分別查看RA和RB的靜態(tài)路由信息，如圖7-18所示。[RA]displayiprouting-tableprotocolstatic[RB]displayiprouting-tableprotocolstatic圖4-1圖7-18路由信息任務(wù)3訪問控制列表配置8.配置基本訪問控制列表。[R2]acl2000[R2-acl-basic-2000]ruledenysource10.0.2.00.0.0.255[R2-acl-basic-2000]quit9.查看基本訪問控制列表，如圖7-19所示。[R2]displayaclall圖4-1圖7-19查看基本訪問控制列表任務(wù)3訪問控制列表配置10.將訪問控制列表應(yīng)用到接口上。[R2]interfaceGigabitEthernet0/0/0[R2-GigabitEthernet0/0/0]traffic-filteroutboundacl2000[R2-GigabitEthernet0/0/0]quit11.測試PC1與PC3連通性，結(jié)果是互通的，如圖7-20所示，測試PC2和PC3之間的連通性，結(jié)果是不通的，如圖7-21所示。圖4-1圖7-20連通性測試1圖7-21連通性測試2任務(wù)4防火墻設(shè)備的配置任務(wù)描述小明身為企業(yè)網(wǎng)絡(luò)工程師，為隔離不同安全級別的網(wǎng)絡(luò)，保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)免受來自外網(wǎng)的攻擊和入侵，于是購買了企業(yè)防火墻，通過防火墻用來允許合法流量通過防火墻，禁止非法流量通過防火墻。任務(wù)清單

任務(wù)清單如表7-6所示任務(wù)目標(biāo)【素質(zhì)目標(biāo)】培養(yǎng)學(xué)生規(guī)范化操作的職業(yè)習(xí)慣；樹立學(xué)生的網(wǎng)絡(luò)安全意識；培養(yǎng)學(xué)生分析與解決問題的職業(yè)素養(yǎng)；【知識目標(biāo)】了解防火墻及其工作原理；了解防火墻安全區(qū)域的劃分；了解防火墻安全策略；【能力目標(biāo)】能夠登錄并配置防火墻；能夠配置防火強(qiáng)安全策略；任務(wù)重難點(diǎn)【任務(wù)重點(diǎn)】防火強(qiáng)安全策略配置；【任務(wù)難點(diǎn)】防火墻安全區(qū)域的劃分；防火墻的工作原理；任務(wù)內(nèi)容1.防火墻及其工作原理；2.登錄并配置防火墻；所需材料每組提供能接入網(wǎng)絡(luò)且安裝有eNSP軟件的計(jì)算機(jī)一臺。資源連接微課、圖例、PPT課件、實(shí)訓(xùn)報(bào)告單表7-6防火墻設(shè)備的配置——任務(wù)清單任務(wù)4防火墻設(shè)備的配置任務(wù)實(shí)施7.6防火墻防火墻是一種網(wǎng)絡(luò)安全設(shè)備，通常位于網(wǎng)絡(luò)邊界，用于隔離不同安全級別的網(wǎng)絡(luò)，保護(hù)一個(gè)網(wǎng)絡(luò)免受來自另一個(gè)網(wǎng)絡(luò)的攻擊和入侵。這種“隔離”不是一刀切，是有控制地隔離，允許合法流量通過防火墻，禁止非法流量通過防火墻。防火墻位于企業(yè)Internet出口保護(hù)內(nèi)網(wǎng)安全，在防火墻上可以指定規(guī)則，允許內(nèi)網(wǎng)的PC訪問Internet，禁止Internet外網(wǎng)用戶訪問內(nèi)網(wǎng)主機(jī)，如圖7-22所示。

圖4-1圖7-22防火墻示意圖任務(wù)4防火墻設(shè)備的配置

防火墻與路由器、交換機(jī)是有區(qū)別的。路由器用來連接不同的網(wǎng)絡(luò)，通過路由協(xié)議保證互聯(lián)互通，確保將報(bào)文轉(zhuǎn)發(fā)到目的地；交換機(jī)通常用來組建局域網(wǎng)，作為局域網(wǎng)通信的重要樞紐，用來快速轉(zhuǎn)發(fā)報(bào)文；而防火墻主要部署在網(wǎng)絡(luò)邊界，對進(jìn)出網(wǎng)絡(luò)的訪問行為進(jìn)行控制，安全防護(hù)是其核心特性。路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。防火墻通過將各接口劃分到不同的安全區(qū)域，從而將接口連接的網(wǎng)絡(luò)劃分為不同的安全級別。防火墻上的接口必須加入安全區(qū)域（部分機(jī)型的獨(dú)立管理口除外）才能處理流量。安全區(qū)域（SecurityZone）是防火墻的重要概念，一般防火墻默認(rèn)有4個(gè)安全區(qū)域：1.Local：本地區(qū)域，防火墻所有IP都屬于這個(gè)區(qū)域；2.Trust：受信任的區(qū)域；3.DMZ：是介于管制和不管制區(qū)域之間的區(qū)域，一般放置服務(wù)器；4.Untrust：一般連接Internet和不屬于內(nèi)網(wǎng)的部分。

圖4-1任務(wù)4防火墻設(shè)備的配置7.8防火墻綜合配置實(shí)驗(yàn)

本次實(shí)驗(yàn)拓?fù)淙鐖D7-23所示，實(shí)驗(yàn)配置目標(biāo)：Trust區(qū)域可以訪問全部區(qū)域，UnTrust區(qū)域可以訪問DMZ區(qū)域。

圖4-1圖7-23防火墻綜合配置實(shí)驗(yàn)拓?fù)淙蝿?wù)4防火墻設(shè)備的配置

1.按照拓?fù)鋱D，添加兩臺計(jì)算機(jī)，將標(biāo)簽名修改為PC1和PC2，其中PC1代表內(nèi)網(wǎng)Trust區(qū)域設(shè)備，PC2用來表示ISP互聯(lián)網(wǎng)運(yùn)營商；添加一臺Server服務(wù)器，用來模擬DMZ區(qū)域的服務(wù)器設(shè)備群；添加一臺USG6000V防火墻設(shè)備，用來隔離不同的網(wǎng)絡(luò)區(qū)域，并將其標(biāo)簽修改為FW1；

2.將PC1的Eth0/0/0接口連接到FW1的GE1/0/0接口，將PC2的Eth0/0/0接口連接到FW1的GE1/0/1接口，Server1的Eth0/0/0連接到FW1的GE1/0/2接口，使用直通線連接好所有的設(shè)備。設(shè)置每臺設(shè)備接口的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)，如表7-7所示，開啟所有設(shè)備。表7-7設(shè)備的IP地址、子網(wǎng)掩碼以及網(wǎng)關(guān)圖4-1設(shè)備名稱接口IP地址/掩碼網(wǎng)關(guān)FW1GE1/0/0192.168.1.1/24

GE1/0/1177.7.7.1/24

GE1/0/2123.4.5.1/24

PC1Eth0/0/0192.168.1.2/24192.168.1.1PC2Eth0/0/0177.7.7.7/24177.7.7.1Server1Eth0/0/0123.4.5.6/24123.4.5.1任務(wù)4防火墻設(shè)備的配置

3.配置FW1，第一次進(jìn)入FW1配置界面，需要輸入賬號和密碼，初始賬號為admin，密碼為Admin@123,進(jìn)入后提示需要修改密碼，修改密碼必須復(fù)合密碼復(fù)雜性規(guī)則，包含大寫字母、小寫字母、數(shù)字及符號，如圖7-24所示。

圖4-1圖7-24防火墻登錄界面任務(wù)4防火墻設(shè)備的配置

4.FW1的基本配置如下：<USG6000V1>system-view[USG6000V1]sysnameFW1[FW1]undoinfo-centerenable[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress192.168.1.124[FW1-GigabitEthernet1/0/0]intGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress177.7.7.124[FW1-GigabitEthernet1/0/1]intGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress123.4.5.124[FW1-GigabitEthernet1/0/2]quit5.為FW的接口配置不同的安全區(qū)域：[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/0[FW1-zone-trust]quit[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/1[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/2[FW1-zone-dmz]quit

圖4-1任務(wù)4防火墻設(shè)備的配置6.配置Ttust區(qū)域可以訪問DMZ：[FW1]security-policy//進(jìn)入防火墻安全策略[FW1-policy-security]rulenametrust_to_dmz//創(chuàng)建trust到dmz的規(guī)則[FW1-policy-security-rule-trust_to_dmz]source-zonetrust//源域?yàn)閠rust[FW1-policy-security-rule-trust_to_dmz]destination-zonedmz//目標(biāo)域?yàn)閐mz[FW1-policy-security-rule-trust_to_dmz]source-address192.168.1.024//源域IP網(wǎng)絡(luò)地址[FW1-policy-security-rule-trust_to_dmz]destination-address123.4.5.024//目標(biāo)域IP網(wǎng)絡(luò)地址[FW1-policy-security-rule-trust_to_dmz]actionpermit//允許通過配置完成后，進(jìn)行測試，發(fā)現(xiàn)Trust區(qū)域的PC1可以成功訪問DMZ區(qū)域的服務(wù)器Server