1、第一部分 防火墙基本实验配置实验一、防火墙外观和接口介绍 实验二、防火墙管理环境搭建 实验三、防火墙配置管理 实验四、防火墙软件版本升级第二部分 防火墙网络及路由实验配置 实验五、防火墙SNAT配置 实验六、防火墙DNAT配置 实验七、防火墙透明模式配置 实验八、防火墙混合模式配置 实验九、防火墙DHCP配置 实验十、防火墙DNS代理配置 实验十一、防火墙DDNS配置 实验十二、防火墙负载均衡配置 实验十三、防火墙源路由配置 实验十四、防火墙双机热备配置 实验十五、防火墙QoS配置 实验十六、防火墙 WEB认证配置第三部分 防火墙安全及应用层控制实验配置 实验十七、防火墙会话统计和会话控制配置
2、 实验十八、防火墙IP-MAC绑定配置 实验十九、防火墙禁用IM配置 实验二十、防火墙URL过滤配置 实验二十一、防火墙网页内容过滤配置第四部分 防火墙VPN实验配置 实验二十二、防火墙IPSEC VPN配置 实验二十三、防火墙SSL VPN配置第五部分 防火墙报表实验配置 实验二十四、防火墙日志服务器配置 实验二十五、防火墙记录上网URL配置实验一 防火墙外观与接口介绍一、实验目的认识防火墙,了解各接口区域及其作用。二、应用环境防火墙是当今使用最为广泛的安全设备,防火墙历经几代发展,现今为非常成熟的硬件体系结构,具有专门的Console口,专门的区域接口。串行部署于TCP/IP网络中。将网络
3、一般划分为内、外、服务器区三个区域,对各区域实施安全策略以保护重要网络。本实验使用DCFW-1800E-V2防火墙,软件版本为:DCFOS-2.0R4,如实训室环境与此不同,请参照相关版本用户手册进行实验。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑DCFW-1800E-V2 背板接口五、实验要求(1) 熟悉防火墙各接口及其连接方法;(2) 熟练使用各种线缆实现防火墙与主机和交换机的连通;(3) 实现控制台连接防火墙进行初始配置。六、实验步骤(1) 认识防火墙各接口,理解防火墙各接口的作用,并学会使用线缆连接防火墙和交换机与主机
4、。(2) 使用控制线缆将防火墙与PC的串行接口连接(3) 配置PC机的超级终端属性,接入防火墙命令行模式第一步:登录防火墙并熟悉各配置模式缺省管理员用户口令和密码是:login:adminpassword:admin输入如上信息,可进入防火墙的执行模式,该模式的提示符如下所示,包含了一个数字符号(#):DCFW-1800#在执行模式下,输入configure 命令,可进入全局配置模式。提示符如下所示:DCFW-1800(config)#V2系列防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。例如,运行interface e
5、thernet0/0 命令进入ethernet0/0 接口配置模式,此时的提示符变更为:DCFW-1800(config-if-eth0/0)#下表列出了常用的模式间切换的命令:第二步:通过PC机测试与防火墙的连通性(1)使用交叉双绞线连接防火墙和PC机,此时防火墙的LAN-link灯亮起,表明网络的物理连接已经建立。观察指示灯状态为闪烁,表明有数据在尝试传输。此时打开PC机的连接状态,发现只有数据发送,没有接收到的数据,这是因为防火墙的端口默认状态下都会禁止向未经验证和配置的设备发送数据,保证数据的安全。七、共同思考(1) 防火墙的初始状态配置信息如何?怎样通过命令行察看初始配置信息?八、课
6、后练习本实验未配置防火墙的IP地址等信息,课后可从防火墙的前面板对防火墙进行状态的观察,熟悉防火墙各种配置模式之间的切换和简化配置命令的书写模式。实验二 防火墙管理环境搭建一、实验目的学会使用Telnet 、SSH、WebUI方式登录防火墙。二、应用环境V2防火墙可以使用telnet、SSH、WebUI方式进行管理,使用者可以很方便的使用几种方式进行管理。本实验使用DCFW-1800E-V2防火墙,软件版本为:DCFOS-2.0R4,如实训室环境与此不同,请参照相关版本用户手册进行实验。三、实验设备(1) 防火墙设备 1台(2) Console线 1条(3) 交叉网络线 1条(4) PC机 1
7、台四、实验拓扑五、实验要求掌握防火墙管理环境的搭建和配置方法,熟练使用各种管理方式管理防火墙。六、实验步骤按照实验拓扑搭建实验环境。第一部分 搭建TELNET和SSH管理环境1、运行manage telnet 命令开启被连接接口的Telnet 管理功能。Hostname#configureDCFW-1800(config)#interface Ethernet 0/0DCFW-1800(config-if-eth0/0)#manage telnet2、运行manage ssh 开启SSH管理功能。DCFW-1800(config-if-eth0/0)#manage ssh3、配置PC机的IP地
8、址为192.168.1.*,从PC尝试与防火墙的TELNET连接。注:用户口令和密码是缺省管理员用户口令和密码:admin4、从PC尝试与防火墙的SSH连接。注:pc中已经安装好SSH客户端软件。用户口令和密码是缺省管理员用户口令和密码:admin。第二部分 搭建WebUI管理环境初次使用防火墙时,用户可以通过该E0/0接口访问防火墙的WebUI 页面。在浏览器地址栏输入:https:/192.168.1.1并按回车键,系统WebUI的登陆界面如下所示:登陆后的主界面如下所示:这里即可展开对防火墙的设置。第三部分 管理用户的设置V2防火墙默认的管理员是admin,可以对其进行修改,但不能删除这
9、个管理员。增加一个管理员的命令是:DCFW-1800(config)#admin user user-name执行该命令后,系统创建指定名称的管理员,并且进入管理员配置模式;如果指定的管理员名称已经存在,则直接进入管理员配置模式。管理员特权为管理员登录设备后拥有的权限。DCFOS 允许的权限有RX 和RXW两种。在管理员配置模式下,输入以下命令配置管理员的特权:DCFW-1800(config-admin)#privilege RX | RXW在管理员配置模式下,输入以下命令配置管理员的密码:DCFW-1800(config-admin)#password password七、共同思考如果需要
10、在某公司的内部办公环境对防火墙设备进行管理,这种情况下不可能是用console直接连接,可以使用什么方式进行管理,怎样加强这种管理方式下的安全性?telnet、ssh、webui都可以,但需要根据具体环境设置防火墙在那些接口允许哪种管理方式。八、课后练习小王是某大型国企的网络管理员,最近刚刚购置了一台DCFW-1800S-L-V2防火墙,安装人员和售后技术工程师走后,小王想起应该对管理员的操作加以限制,至少要设置2个管理员的账号,一个用于全设备配置,一个只能用于查看,用以防止非管理员的非法操作,怎样做,能够让小王的想法得到很好的实现呢?首先,应该对默认admin密码进行修改,这是保证防火墙管理
11、安全的第一步。其次,增加两个管理员账号,并在其模式下,对密码进行设置,然后使用privilege命令对RXW进行具体设置。最后,要确认每个管理员账号可能接入防火墙的接口,并确保接口允许管理操作。实验三 防火墙管理环境搭建一、实验目的学会查看和保存防火墙的配置信息,同时还要了解如何导出和导入配置文件。 二、应用环境DCFW-1800系列防火墙的配置信息都被保存在系统的配置文件中。用户通过运行相应的命令或者访问相应的WebUI页面查看防火墙的各种配置信息,例如防火墙的初始配置信息和当前配置信息等。配置文件以命令行的格式保存配置信息,并且也以这种格式显示配置信息。三、实验设备(1) 防火墙设备 1台
12、(2) Console线 1条(3) 交叉网络线 1条(4) PC机 1台四、实验拓扑五、实验要求掌握防火墙管理环境的搭建和配置方法,熟练使用各种管理方式管理防火墙。六、实验步骤第一部分 将当前配置文件保存在本地WebUI:访问页面“系统维护配置管理”。 点击保存,这样就可以将当前配置文件保存到本地进行查看。点击保存键这样防火墙的当前配置文件就可以保存在本地,我们也可以使用写字板将此文件打开,查看防火墙的配置。第二部分 将本地的配置上传到防火墙并调用该配置WebUI:访问页面“系统维护配置管理”。 点击浏览,从本地选择将要 上传的配置文件点击升级,完毕后直接重启设备即可。设备启动完毕后的配置为
13、上传的配置文件。第三部分 将防火墙配置恢复到出厂将防火墙恢复到出厂的方法有三种:1、 用户除使用设备上的CRL按键使系统恢复到出厂配置2、 可以使用命令恢复。恢复出厂配置,在执行模式下,使用以下命令:unset all 3、WebUI:访问页面“系统维护配置管理”。 点击重置 出现以上信息后,点击确定 此时防火墙将恢复到缺省出厂缺省配置,并自动重启设备。七、共同思考防火墙系统中最多可以保存几份配置文件八、课后练习首先将防火墙当前配置保存到电脑本地,然后将防火墙恢复到出厂配置。最后将之前的本地配置导入到防火墙中,并启动该配置文件。实验四 防火墙软件版本升级一、实验目的1、了解什么时间升级2、了解
14、如何进行产品升级二、应用环境防火墙系统核心具备升级及更新的能力,以保证合适更加复杂的网络应用。商场在制造出产品以后,会始终保持对产品内核的更新。获得正式授权的升级包后,按照规定方法进行升级,可获得产品的最优配置和最佳性能。但此步骤需谨慎进行,升级过程中不可断电。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑五、实验要求学会将现有产品版本进行备份、升级操作六、实验步骤防火墙软件版本的升级支持CLI下TFTP、FTP升级,另外设备本省有USB接口,也可以支持U盘直接升级。本实验中我们通过Web的方式进行升级第一步:将软件版本从本地上传
15、到防火墙1. 访问页面“系统维护系统固件”。2. 选择单选按钮。 3. 选中复选框,系统将在上载的同时备份当前运行的DCFOS。如不选中该选项,系统将用新上载的DCFOS覆盖当前运行的DCFOS。4. 点击浏览按钮并且选中要上载的DCFOS。5. 点击确定按钮,系统开始上载指定的DCFOS。6、系统中最多可以保存两个DCFOS供用户选择使用。默认情况下,系统下次启动时将使用新上载成功的DCFOS。第二步:选择下次启动时调用的软件版本 用户也可以指定使用其他DCFOS作为下次启动时使用的DCFOS。请按照以下步骤指定下次启动时使用的DCFOS:1. 访问页面“系统维护系统固件”。 2. 选择单选
16、按钮。 3. 在下拉菜单中选择下次启动是使用的DCFOS名称。4. 点击确定按钮。重启设备后,设备加载的版本为刚刚选择的版本七、共同思考 假使现在系统里面存在的版本为2.0R4和2.0R5版本,现在用户希望在设备上使用2.5R5版本,将2.0R5做为备份版本,如何操作?八、课后练习 使用本实验介绍的升级方式对防火墙的版本进行升级和备份的操作实验五 防火墙SNAT配置一、实验目的 考虑到公网地址的有限,不能每台PC都配置公网地址访问外网。通过少量公网IP地址来满足多数私网ip上网,以缓解IP地址枯竭的速度。二、应用环境 用于公司内部私网地址较多,运营商只分配给一个或者几个公网地址。在这种条件下,
17、这几个公网地址需要满足几十乃至几百几千人同时上网,需要配置源NAT三、实验设备(1) 防火墙设备1台(2) 局域网交换机n台(3) 网络线n条(4) PC机n台四、实验拓扑Internet网络拓扑五、实验要求配置防火墙使内网192.168.1.0/24网段可以访问internet六、实验步骤第一步:配置接口首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置通过Webui登录防火墙界面输入缺省用户名admin,密码admin后点击登录,配置外网接口地址 只有指定安全域类型为“三层安全域”时才可以接口配置IP内口网地址使用缺省192.168.1.1第二步:添加路
18、由 添加到外网的缺省路由,在目的路由中新建路由条目 添加下一条地址这里的子网掩码既可以写成0也可以写成0.0.0.0,防火墙会自动识别第三步:添加SNAT策略在网络/NAT/SNAT中添加源NAT策略出接口选择外网口内网访问Internet时转换为外网接口ip第四步:添加安全策略在安全/策略中,选择好源安全域和目的安全域后,新建策略若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑关于SNAT,我们只需要建立一条内网口安全域到外网口安全域放行的一条策略就可以保证内网能够访问到外网。如果是需要对于策略中各个选项有更多的配置要求可以点击高级哦遏制进行编辑添加多个源地址添加多个目的地址添加
19、多个服务对象可以添加时间对象以限制该策略仅在某个时段有效激活高级配置模式七、共同思考如果是配置SNAT后,只允许在内网用户早9:00到晚18:00浏览网页,其他时间不做任何限制,如何来实现八、课后练习 防火墙内网口处接一台神州数码三层交换机5950,三层交换机上设置了几个网段都可以通过防火墙来访问外网。实验六 防火墙DNAT配置一、实验目的 防火墙上配置了SNAT后,内部用户在访问外网时都隐藏了私网地址,如果防火墙内部有一台服务器需要对外网用户开放,此时就必须在防火墙上配置DNAT,将数据包在防火墙做目的地址转换,让外网用户访问到该服务器。二、应用环境由于公网地址有限,一般在申请线路时,运营商
20、分配给我们的只有一个或几个公网地址。但是内部服务器设置成私网地址后,需要将私网地址映射到公网。外网用户才可以通过映射后的公网地址访问到服务器。映射包括两种:一种为端口映射,只是映射需要的服务器端口;一种为IP映射,将私网地址和公网地址做一对一的映射。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线n条(4) 网络交换机n台(5) PC机n台,服务器器n台四、实验拓扑192.168.10.2/24IP:192.168.10.2/24Eth0/0 192.168.1.91Eth0/0:192.168.1.91/24Zone:trustEth0/1 218.240.143
21、.221th0/1Eth0/1:218.240.143.221/24Zone:untrustFTP Server & Web ServerBIP:192.168.1.10/24InternetWeb ServerAIP:192.168.10.2/24Eth0/2 192.168.10.1Eth0/2:192.168.10.1/24Zone:DMZ192.168.1.10/24IP:192.168.10.2/24五、实验要求1、 使用外网口IP为内网FTP Server及WEB ServerB做端口映射,并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8
22、000。2、 允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。3、 使用合法IP 218.240.143.220为Web ServerA做IP映射,允许内外网用户对该Server的Web访问。六、实验步骤要求一:外网口IP为内网FTP Server及WEB ServerB做端口映射并允许外网用户访问该Server的FTP和WEB服务,其中Web服务对外映射的端口为TCP8000。第一步:配置准备工作1、设置地址簿,在对象/地址簿中设置服务器地址使用“IP成员”选项定义Trust区域的server地址2、 设置服务簿,防火墙出厂自带一些预定义服务,但是如果我们需要的服务在预
23、定义中不包含时,需要在对象/服务簿中手工定义我们要映射的端口为目的端口,端口号只有一个,所以只填写最小值即可因为此处定义的TCP8000端口将来为HTTP应用,所以要需要与应用类型管理,以便让防火墙知道该端口为HTTP业务使用第二步:创建目的NAT配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口21此地址即外网用户要访问的合法IP。因为使用防火墙外网口IP映射,所以此处引用防火墙中缺省定义的地址对象ipv4.ethernet0/1。该对象表示Eth0/1接口IP代表内网服务器的实际地址对象webB Server对外宣布web服务端口为TCP800
24、0webB Server真实的web服务端口为TCP80第三步:放行安全策略创建安全策略,允许untrust区域用户访问trust区域server的FTP和web应用关于服务项中我们这里放行的是FTP服务和TCP8000服务目的地址要定义为server映射前的合法IP。所以这里要选择代表外网口IP的地址对象要求二:允许内网用户通过域名访问WEB ServerB(即通过合法IP访问)。实现这一步所需要做的就是在之前的配置基础上,增加Trust - Trust的安全策略22目的地址为转换前的合法IP。要求三:使用合法IP 218.240.143.220为Web ServerA做IP映射,允许内外网
25、用户对该Server的Web访问。第一步:配置准备工作1、将服务器的实际地址使用web_serverA来表示使用“IP成员”选项定义DMZ区域的server地址2、将服务器的公网地址使用IP_218.240.143.220来表示使用“IP成员”选项定义要映射的合法IP第二步:配置目的NAT创建静态NAT条目,在新建处选择IP映射对外宣告的合法IP用真实地址定义的地址对象第三步:放行安全策略1、放行untrust区域到dmz区域的安全策略,使外网可以访问dmz区域服务器目的地址为转换前的合法IP。2、放行trust区域到dmz区域的安全策略,使内网机器可以公网地址访问dmz区域内的服务器目的地址
26、为转换前的合法IP。七、共同思考内网有一台ftp服务器,使用防火墙外网口地址将其映射到外网,映射端口为1221。请思考该功能如何实现?八、课后练习 请在内网架设一台Web服务器,使防火墙将该服务器映射到公网,映射端口为8888。 使内、外网用户可以通过公网地址的8888端口访问该服务器。实验七 防火墙透明模式配置能够一、实验目的1、了解什么是透明模式;2、了解如何配置防火墙的透明模式;二、应用环境透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同一网段。在实际应用网络中,这是对网络变动最少的介入方法,广泛用于大量原有网络的安全升级中。三、实验设备(1) 防火墙设备1台(2
27、) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑网段A:192.168.1.1 - 192.168.1.100网段B:192.168.1.101 - 192.168.1.200网络拓扑Eth6Zone:l2-trustEth7Zone:l2-untrustVswtichif1:192.168.1.254/24五、实验要求1、防火墙eth6接口和eth7接口配置为透明模式2、eth6与eth7同属一个虚拟桥接组,eth6属于l2-trust安全域,eth7属于l2-untrust安全域。3、为虚拟桥接组Vswitch1配置ip地址以便管理防火墙4、允许网段A ping 网
28、段B及访问网段B的WEB服务六、实验步骤第一步:接口配置将eth6接口加入二层安全域l2-trust? DCFW-1800(config)# interface ethernet0/6? DCFW-1800(config-if-eth0/6)# zone l2-trust将eth7接口设置成二层安全域l2-untrust对eth0/7接口进行编辑物理接口配置为二层安全域时无法配置IP地址第二步:配置虚拟交换机(Vswitch) 如果没有单独接口做管理的话,可以先使用控制线通过控制口登陆下防火墙在命令下? DCFW-1800(config)# interface vswitchif1? DCFW
29、-1800(config-if-vsw1)# zone trust? DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24? DCFW-1800(config-if-vsw1)# manage ping? DCFW-1800(config-if-vsw1)# manage https 当然也可以在防火墙上单独使用一个接口做管理,通过该接口登陆到防火墙在Web下进行配置第三步:添加对象? 定义地址对象 定义网段A (192.168.1.1 192.168.1.100) 定义网段B (192.168.1.101 192.168.1.200)把
30、地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义把地址对象与它所属的vswitch相关联由于对象不是整个网段所以使用IP范围定义要求允许网段A ping 网段B及访问网段B的WEB服务,在这里我们将ping和http服务建立一个服务组选中左侧的服务对象推送到右侧的成员组中第四步:配置安全策略在“安全”-“策略”中选择好“源安全域”和“目的安全域”后,新建策略源地址选择网段A的地址对象目的地址选择网段B的地址对象选择网段A访问网段B的服务对象七、共同思考1、防火墙上的Vswitch接口配置地址的目的是什么?2、防火墙上如果处于透明模式的两个接口都放到同一个二层安全域
31、中,比如说将上述实验中的eth6口和eth7口都设置成l2-trust安全域。那是否还需要设置安全策略,如果需要的话那如何设置?八、课后练习针对上述实验,我们要求实现放行网段B至网段A的TCP9988端口,如何配置实验八 防火墙混合模式配置一、实验目的1、了解什么混合模式;2、了解如何配置防火墙为混合模式。二、应用环境混合模式即相当于防火墙既工作于路由模式,又工作于透明模式。在实际应用环境中,此类防火墙应用一般也比较广泛。混合模式分为两种:一,ISP分配外网地址,内网为私网地址,服务器区域和内部地址为同一网段。这样,内部区域和服务器区域为透明,内部区域和外网区域为路由,服务器区域和外部区域也为
32、路由;二,ISP分配外网地址,内网为私网地址,服务器区域使用ISP分配的公网地址,服务器区域和外网为透明,内部区域和外部区域为路由。在我们下面的应用环境中我们使用的是第二种混合模式。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑eth0:192.168.1.1/24Eth0/0:192.168.1.91/24Zone:trustVswitch1:218.240.143.218/24Eth0/1:218.240.143.221/24Zone:untrustIP:192.168.1.0/24InternetWeb ServerAIP:
33、192.168.10.2/24IP:218.240.143.217/24五、实验要求1、将eth0口设置成路由接口,eth1和eth2口设置成二层接口。并设置Vswitch接口;2、设置源NAT策略;3、配置安全策略六、实验步骤第一步:设置接口1、设置内网口地址,设置eth0口为内网口地址为192.168.1.1/242、设置外网口,eth6口连接外网,将eth6口设置成二层安全域l2-untrust3、 设置服务器接口,将eth7口设置成l2-dmz安全域,连接服务器。 第二步:配置Vswitch接口由于二层安全域接口不能设置地址,需要将地址设置在网桥接口上,该网桥接口即为Vswitch第三
34、步:设置SNAT策略针对内网所有地址我们在防火墙上设置源NAT,内网PC在访问外网时,数据包凡是从Vswitch接口出去的数据包都做地址转换,转换地址为Vswitch接口地址第四步:添加路由要创建一条到外网的缺省路由,如果内网有三层交换机的话还需要创建到内网的回指路由。第五步:设置地址簿在放行安全策略时,我们需要选择相应的地址和服务进行放行,所有这里首先要创建服务器的地址簿。在创建地址簿时,如果是创建的服务器属单个ip,使用IP成员方式的话,那掩码一定要写32位第六步:放行策略放行策略时,首先要保证内网能够访问到外网。应该放行内网口所属安全域到Vswitch接口所属安全域的安全策略,应该是从t
35、rust到untrust另外还要保证外网能够访问Web_server,该服务器的网关地址设置为ISP网关218.240.143.1那需要放行二层安全之前的安全策略,应该是放行l2-untrust到l2-dmz策略七、共同思考 1、如果服务器的网关并非设置成218.240.143.1,而是设置成Vswitch接口地址,此时安全策略如何设置才能让外网访问到Web服务器? 2、按上述实验配置完后,虽然在外网可以访问服务器,那在服务器上是否可以访问外网呢?如果访问不到什么原因,如何才能实现?八、课后练习使用第一种混合模式:服务器和内网属于透明模式,此时服务器和内网在同一个网段。此时如果要外网还是通过2
36、18.240.143.217地址能够访问到服务器的话如何实现?实验九 防火墙DHCP配置一、实验目的1、知道什么是DHCP?了解在什么环境下使用DHCP,DHCP方式获取地址有什么好处?2、学会如何在防火墙上设置DHCP二、应用环境对于手工设置IP地址的这种方式比较繁琐,而且很容易在设置IP地址时造成地址冲突。DHCP为动态主机配置协议(Dynamic Host Configuration Protocol)的缩写。DHCP能够自动为子网分配适当的IP地址以及相关网络参数,从而减少网络管理需求。同时,DHCP能够保证不会出现地址冲突,能够重新分配闲置资源。三、实验设备(1) 防火墙设备1台(2
37、) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑Internet网络拓扑五、实验要求1、要求内网用户能够自动获取到IP地址以及DNS;2、要求内网用户获取到IP地址后能直接访问外网六、实验步骤第一步:设置DHCP地址池首先在创建DHCP前先要创建一个地址池,目的是PC获取地址时从该网段中来获取IP。如下图设置好池名称、地址范围、网关、掩码和租约时间后点击确定即可。 另外如果需要内网PC自动获取DNS地址的话,需要在编辑下该地址池,在高级设置中填写DNS地址第二步:设置DHCP服务在网络/DHCP/服务中 选择启用DHCP的服务接口。选择创建的DHCP服务器地址池即可 第
38、三步:验证内网PC使用自动获取IP地址的方式来获取IP地址,可以看到PC已经获取到192.168.1.66的ip地址网关为192.168.1.1,DNS地址是218.240.250.101七、共同思考1、如果DHCP Server设置在出口路由器上,内网为一个路由模式的防火墙,此时需要在防火墙上如何操作?八、课后练习1、出口防火墙上设置DHCP Server,内网用户使用DHCP的方式来获取ip地址和dns,测试内网用户是否可以成功获取ip地址,并验证获取ip地址后看是否可以访问外网。实验十 防火墙DNS代理配置一、实验目的1、了解什么是DNS代理?2、知道在什么情况下使用DNS代理,并学会如
39、何在防火墙上设置DNS代理?二、应用环境DNS代理功能就是防火墙作为DNS代理服务器,为与其连接的PC等(客户端)提供DNS代理功能。也就是说客户端将DNS地址指定为防火墙的IP,客户端所有的域名解析请求都发往防火墙,由防火墙完成解析动作并将结果反馈给客户端。这个功能可大大减少对客户端DNS维护的工作量。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑Internet网络拓扑五、实验要求1、将内网用户DNS地址设置成防火墙内网口地址,内网用户可以访问网页,能够解析成功。六、实验步骤第一步:配置DNS服务器在防火墙/网络/DNS中设置
40、DNS服务器地址 第二步:配置DNS代理在网络/DNS/代理中,设置代理服务。域名选择 点击确定后即可,此时DNS代理地址使用的是防火墙本身的DNS地址第三步:启用接口DNS代理编辑内网接口eth0/0点击高级设置,在高级设置中将DNS代理勾选七、共同思考1、对于做透明模式的防火墙是否可以设置DNS代理,如何设置?八、课后练习1、出口防火墙使用DNS代理,内网用户PC上设置DNS时设置防火墙内网口地址,测试用户在访问外网时是否可以解析成功。实验十一 防火墙DDNS配置一、实验目的1、了解什么是DDNS,通过我们常用的有哪几种DDNS?神州数码多核防火墙支持哪几种DDNS?2、DDNS有什么用途
41、,在什么情况会用到DDNS?二、应用环境DDNS是动态域名服务(Dynamic Domain Name Server)的缩写,可以实现固定域名到动态IP地址之间的解析。通常情况下,用户每次连接因特网时都会从ISP得到一个动态IP地址,即用户每次连接因特网得到的IP地址都不同。动态域名解析功能可以将域名动态的绑定到用户每次获得的不同IP地址上,每次当用户连接到因特网时,它都会自动更新自己的动态IP与域名的绑定。三、实验设备(1) 防火墙设备1台(2) Console线1条(3) 网络线2条(4) PC机1台四、实验拓扑Internet网络拓扑PPPOE拨号五、实验要求1、首先到http:/www
42、.3322.org网站申请一个DDNS账号,然后在该账号下申请一个动态域名2、在防火墙上设置DDNS账号,并将动态域名绑定在防火墙上。看DDNS是否可以登录到服务器,并测试动态域名是否能够解析。六、实验步骤第一步:配置DNS服务器在防火墙/网络/DNS中设置DNS服务器地址 第二步:配置DDNS服务在网络/DDNS服务中,点击 ,创建DDNS名称test,选择服务器类型3322.org,设置DDNS的用户名和密码,然后点击确定即可。第三步:绑定DDNS服务名称到接口在网络/DDNS/配置中,只有把配置的DDNS服务名称绑定到接口上,当接口IP地址发生变变化时,域名才能按照DDNS参数进行更新。
43、第四步:验证DDNS是否运行成功可以在命令行使用命令show ddns state test来查看DDNS运行状态,看是否运行成功。如果Update Resutl状态为Update OK说明该DDNS账号已经登陆成功。DCFW-1800# show ddns state testDdns Name: testInterface Name: ethernet0/1Last Update Time(s): -1159Last Update Result: Update OKLast Update Ip: 218.240.143.219Next Update Time(s): 85241可以在互联网上找一台主机,ping zhujya.3322.org看是否可以解析,解析出来地址是否正确。从上图中可以看到,解析出来地址为外网口地址。七、共同思考1、使用DDNS对于无法获得固定合法IP而又需要向互联网发布服务的情况是否可以解决2、DDNS对于设备间使
