神州数码防火墙实训

实训一 防火墙外观与接口介绍 ....................................................................................... 2 

实训二 防火墙管理环境搭建 ............................................................................................. 5 

实训三 防火墙管理环境搭建 ........................................................................................... 11 

实训四 防火墙软件版本升级 ......................................................................................... 15 

第二部分 防火墙基本功能配置 ....................................................................................... 18 

实训五 防火墙SNAT配置 ............................................................................................... 18 

实训六 防火墙DNAT配置............................................................................................... 23 

实训七 防火墙透明模式配置 ......................................................................................... 32 

实训八 防火墙混合模式配置 ......................................................................................... 37 

第三部分 防火墙常见应用配置 ....................................................................................... 43 

实训九 防火墙DHCP配置............................................................................................... 43 

实训十 防火墙DNS代理配置 ......................................................................................... 47 

实训十一 防火墙DDNS配置 .......................................................................................... 50 

实训十二 防火墙负载均衡配置 ..................................................................................... 54 

第一部分 防火墙基本管理环境

实训一 防火墙外观与接口介绍 1、实训目的

认识防火墙，了解各接口区域及其作用。

2、应用环境

防火墙(Firewall)是当今使用最为广泛的安全设备，防火墙历经几代发展，现今为非常成熟的硬件体系结构，具有专门的Console口，专门的区域接口。串行部署于TCP/IP网络中。将网络一般划分为内、外、服务器区三个区域，对各区域实施安全策略以保护重要网络。本实训使用DCFW-1800E-V2防火墙，软件版本为：DCFOS-2.0R4，如实训室环境与此不同，请参照相关版本用户手册进行实训。

3、实训设备

(1) 防火墙设备1台

(2) Console线1条 (3) 网络线2条 (4) PC机1台

4、实训拓扑

实训拓扑如图1-1所示。

图1-1 DCFW-1800E-V2 背板接口

5、实训要求 (1) 熟悉防火墙各接口及其连接方法； (2) 熟练使用各种线缆实现防火墙与主机和交换机的连通； (3) 实现控制台连接防火墙进行初始配置。 6、实训步骤 任务一：登录防火墙并熟悉各配置模式 (1) 打开防火墙包装箱，取出设备，从外观认识防火墙各接口 (2) 使用设备自带的控制线缆将防火墙与PC的串行接口连接 Console线 (3) 配置PC机的超级终端属性，接入防火墙命令行模式。 PC的超级终端属性与连接路由和交换机一致，不再赘述。 注意：防火墙中有两种默认的管理用户：超级管理用户(Super admin)、普通管理用户（General admin）。 缺省管理员用户口令和密码是： login：admin password：admin (4)输入管理员用户口令和密码，可进入防火墙的执行模式，该模式的提示符如下所示，包含了一个数字符号（#）：

DCFW-1800#

(5)在执行模式下，输入configure 命令，可进入全局配置模式。提示符如下所示： DCFW-1800(config)#

V2系列防火墙的不同模块功能需要在其对应的命令行子模块模式下进行配置。在全局配置模式输入特定的命令可以进入相应的子模块配置模式。

例如，运行interface ethernet0/0 命令进入ethernet0/0 接口配置模式，此时的提示符变更为： DCFW-1800(config-if-eth0/0)#

表1-1列出了常用的模式间切换的命令：

表1-1 模式切换命令

模式 命令

执行模式到全局配置模式 Configure

全局配置模式到子模块配置不同功能使用不同的命令进入各自的命令配置模

模式 式

退回到上一级命令模式 Exit

从任何模式退回到执行模式End

任务二：通过PC机测试与防火墙的连通性

(1)使用交叉双绞线连接防火墙和PC机，此时防火墙的LAN-link灯亮起，表明网络的物理连接已经建立。观察指示灯状态为闪烁，表明有数据在尝试传输。

(2)此时打开PC机的连接状态，发现只有数据发送，没有接收到的数据，这是因为防火墙的端口默认状态下都会禁止向未经验证和配置的设备发送数据，保证数据的安全。

7、实训相关知识

(1)防火墙是提供信息安全服务，实现网络和信息安全的基础设施。具体是指设置在内部可信网络和外部不可信网络之间或网络安全区域之间的安全网关。它是不同网络或网络安全区域之间信息的唯一出入口，能根据企业的安全监视和抛弃应用层的网络流量，且本身具有较强的抗攻击能力。

(2)防火墙的初始配置 像路由器和交换机一样，在使用防火墙之前，需要经过基本的初始配置。防火墙的初始配置也是通过console口与PC的串口连接，再通过超级终端程序进行选项配置，这与我们所学的交换机、路由器初始配置方法是一样的。

8、共同思考

(1) 防火墙的初始状态配置信息如何？怎样通过命令行察看初始配置信息？

9、课后练习

本实训未配置防火墙的IP地址等信息，课后可从防火墙的前面板对防火墙进行状态的观察，熟悉防火墙各种配置模式之间的切换和简化配置命令的书写模式。

实训二 防火墙管理环境搭建 1、实训目的

学会使用Telnet 、SSH、WebUI方式登录防火墙。

2、应用环境

V2防火墙可以使用telnet、SSH、WebUI方式进行管理，使用者可以很方便的使用几种方式进行管理。本实训使用DCFW-1800E-V2防火墙，软件版本为：DCFOS-2.0R4，如实训室环境与此不同，请参照相关版本用户手册进行实训。

3、实训设备

(1) 防火墙设备 1台 (2) Console线 1条 (3) 交叉网络线 1条 (4) PC机 1台

4、实训拓扑

实训拓扑如图1-2所示。

网线Console线

图1-2 防火墙配置连接示意

5、实训要求

掌握防火墙管理环境的搭建和配置方法，熟练使用各种管理方式管理防火墙。

6、实训步骤

按照图1-2搭建实训环境。

任务一 搭建TELNET和SSH管理环境

（1）运行manage telnet 命令开启被连接接口的Telnet 管理功能。 Hostname#configure

DCFW-1800(config)#interface Ethernet 0/0

DCFW-1800(config-if-eth0/0)#manage telnet

（2）运行manage ssh 开启SSH管理功能。

DCFW-1800(config-if-eth0/0)#manage ssh

（3）配置PC机的IP地址为192.168.1.*,从PC尝试与防火墙的TELNET连接。

注：用户口令和密码是缺省管理员用户口令和密码：admin 。如图1-3所示。

图1-3 PC telnet登陆过程

（4）从PC尝试与防火墙的SSH连接。如图1-4所示。

注：pc中已经安装好SSH客户端软件。用户口令和密码是缺省管理员用户口令和密码：admin。

图1-4 PC建立SSH连接过程

任务二 搭建WebUI管理环境

初次使用防火墙时，用户可以通过该E0/0接口访问防火墙的WebUI 页面。

在浏览器地址栏输入：https://192.168.1.1并按回车键，系统WebUI的登陆界面如图1-5所示：

图1-5 防火墙webUI方式登录

登陆后的主界面如图1-6所示：

图1-6 防火墙图形登陆主界面

这里即可展开对防火墙的设置。

任务三 管理用户的设置

V2防火墙默认的管理员是admin，可以对其进行修改，但不能删除这个管理员。 增加一个管理员的命令是：

DCFW-1800(config)#admin user user-name 执行该命令后，系统创建指定名称的管理员，并且进入管理员配置模式；如果指定的管 理员名称已经存在，则直接进入管理员配置模式。

管理员为管理员登录设备后拥有的权限。DCFOS 允许的权限有RX 和RXW两种。在管理员配置模式下，输入以下命令配置管理员的：

DCFW-1800(config-admin)#privilege {RX | RXW} 在管理员配置模式下，输入以下命令配置管理员的密码： DCFW-1800(config-admin)#password password

7、实训相关知识

(1)SSH 为 Secure Shell 的缩写，由 IETF 的网络工作小组所制定；通过使用SSH，可以把所有传输的数据进行加密。它是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。SSH由客户端和服务端的软件组成。

(2)WebUI防火墙的图形化界面 防火墙是一个信息安全设备，自身的配置安全无误非常重要，由于配置安全策略是一个很复杂的过程，使用命令行可能出现一些不该出现的错误 ，所以一般防火墙设备我们建议初学者使用图形化界面来进行配置。

8、共同思考

如果需要在某公司的内部办公环境对防火墙设备进行管理，这种情况下不可能是用console直接连接，可以使用什么方式进行管理，怎样加强这种管理方式下的安全性？

telnet、ssh、webui都可以，但需要根据具体环境设置防火墙在那些接口允许哪种管理方式。

9、课后练习

小王是某大型国企的网络管理员，最近刚刚购置了一台DCFW-1800S-L-V2防火墙，安装人员和售后技术工程师走后，小王想起应该对管理员的操作加以，至少要设置2个管理员的账号，一个用于全设备配置，一个只能用于查看，用以防止非管理员的非法操作，怎样做，能够让小王的想法得到很好的实现呢？

首先，应该对默认admin密码进行修改，这是保证防火墙管理安全的第一步。

其次，增加两个管理员账号，并在其模式下，对密码进行设置，然后使用privilege命令对RXW进行具体设置。

最后，要确认每个管理员账号可能接入防火墙的接口，并确保接口允许管理操作。

实训三 防火墙管理环境搭建

一、实训目的

学会查看和保存防火墙的配置信息，同时还要了解如何导出和导入配置文件。

二、应用环境

DCFW-1800系列防火墙的配置信息都被保存在系统的配置文件中。用户通过运行相应的命令或者访问相应的WebUI页面查看防火墙的各种配置信息，例如防火墙的初始配置信息和当前配置信息等。配置文件以命令行的格式保存配置信息，并且也以这种格式显示配置信息。

三、实训设备

(1) 防火墙设备 1台 (2) Console线 1条 (3) 交叉网络线 1条 (4) PC机 1台

四、实训拓扑

网线Console线

图1-7 防火墙基本管理环境搭建

五、实训要求

掌握防火墙管理环境的搭建和配置方法，熟练使用各种管理方式管理防火墙。

六、实训步骤

任务一 将当前配置文件保存在本地

通过图形界面访问页面“系统——维护——配置——管理”。 单击保存按钮，这样就可以将当前配置文件保存到本地进行查看。如图 1-8所示。

图 1-8 配置文件保存

单击保存键，为配置文件选取合适的路径和文件名即可保存。如图1-9所示。

图1-9 为防火墙配置文件起名字

这样防火墙的当前配置文件就可以保存在本地，我们也可以使用写字板将此文件打开，查看防火墙的配置。

任务二 将本地的配置上传到防火墙并调用该配置

访问页面“系统——维护——配置——管理”。 单击浏览按钮，从本地选择将要上传的配置文件，如图1-10所示。

图1-10 配置文件的上传

单击升级，完毕后直接重启设备即可。 设备启动完毕后的配置为上传的配置文件。

任务三 将防火墙配置恢复到出厂

将防火墙恢复到出厂的方法有三种：

1、用户使用设备上的物理按钮使系统恢复到出厂配置。 2、命令行模式使用命令恢复。在模式下，使用以下命令：

unset all

3、图形界面中访问页面“系统——维护——配置——管理”。 单击重置按钮，出现图1-11所

示提示后，单击确定。

图1-11 防火墙恢复出厂设置界面

此时防火墙将恢复到缺省出厂缺省配置，并自动重启设备。

七、共同思考

防火墙系统中最多可以保存几份配置文件

八、课后练习

首先将防火墙当前配置保存到电脑本地，然后将防火墙恢复到出厂配置。最后将之前的本地配置导入到防火墙中，并启动该配置文件。

实训四 防火墙软件版本升级

一、实训目的

1、了解什么时间升级 2、了解如何进行产品升级

二、应用环境

防火墙系统核心具备升级及更新的能力，以保证合适更加复杂的网络应用。商场在制造出产品以后，会始终保持对产品内核的更新。获得正式授权的升级包后，按照规定方法进行升级，可获得产品的最优配置和最佳性能。但此步骤需谨慎进行，升级过程中不可断电。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

参考图1-7。

五、实训要求

学会将现有产品版本进行备份、升级操作

六、实训步骤

防火墙软件版本的升级支持CLI下TFTP、FTP升级，另外设备本省有USB接口，也可以支持U盘直接升级。本实训中我们通过Web的方式进行升级

任务一：将软件版本从本地上传到防火墙

访问页面“系统——维护——系统固件”。如图1-12所示。

图1-12 软件版本维护路径选择

选择<上载新系统固件>单选按钮。如图1-13所示。

图1-13 软件版本升级界面

选中<备份当前系统固件>复选框，系统将在上载的同时备份当前运行的DCFOS。如不选中该选项，系统将用新上载的DCFOS覆盖当前运行的DCFOS。

图1-13中，单击浏览按钮并且选中要上载的DCFOS。在弹出的提示框中继续单击确定按钮，系统开始上载指定的DCFOS。

系统中最多可以保存两个DCFOS供用户选择使用。默认情况下，系统下次启动时将使用新上载成功的DCFOS。

任务二：选择下次启动时调用的软件版本

可以指定使用其他DCFOS作为下次启动时使用的DCFOS。可按照以下步骤指定下次启动时使用的DCFOS：

访问页面“系统——维护——系统固件”。参考图1-12

选择<选择下次启动时使用的系统固件>单选按钮。如图1-14所示。

图1-14 选择下次启动使用的系统版本

在下拉菜单中选择下次启动时使用的DCFOS名称。图如1-15所示。

图1-15 可供使用的DCFOS下拉菜单示意

单击确定按钮后重启设备，设备加载的版本则为刚刚选择的版本。

七、共同思考

假使现在系统里面存在的版本为2.0R4和2.0R5版本，现在用户希望在设备上使用2.5R5版本，将2.0R5做为备份版本，如何操作？

八、课后练习

使用本实训介绍的升级方式对防火墙的版本进行升级和备份的操作

第二部分 防火墙基本功能配置

实训五 防火墙SNAT配置

一、实训目的

考虑到公网地址的有限，不能每台PC都配置公网地址访问。通过少量公网IP地址来满足多数私网ip上网，以缓解IP地址枯竭的速度。

二、应用环境

用于公司内部私网地址较多，运营商只分配给一个或者几个公网地址。在这种条件下，这几个公

网地址需要满足几十乃至几百几千人同时上网，需要配置源NAT

三、实训设备

(1) 防火墙设备1台 (2) 局域网交换机n台 (3) 网络线n条 (4) PC机n台

四、实训拓扑

网络拓I

图2-1 源地址转换拓扑示意

五、实训要求

配置防火墙使内网192.168.1.0/24网段可以访问Internet。

六、实训步骤

第一步 配置接口

首先通过防火墙默认eth0接口地址192.168.1.1登录到防火墙界面进行接口的配置。 通过WebUI登录防火墙界面。如图2-2所示。

图2-2 web界面登陆防火墙 输入缺省用户名admin，密码admin后单击登录按钮，配置接口地址。本实训更改为222.1.1.2。如图2-3所示 图2-3 首先指定第三层安全域 第二步 添加路由 添加到的缺省路由，在目的路由中新建路由条目 添加下一跳地址。如图2-4所示。 图2-4 添加下一跳路由 第三步 添加SNAT策略 在网络/NAT/SNAT中添加源NAT策略。如图2-5所示。 任何一个Class后剩下内网访问Internet时转换为接口ip 图2-5 源NAT策略示意 第四步 添加安全策略 在安全/策略中，选择好源安全域和目的安全域后，新建策略。如图2-6所示。 图2-6 安全策略方向选择

关于SNAT，我们只需要建立一条内网口安全域到口安全域放行的一条策略就可以保证内网能够访问到。如果是需要对于策略中各个选项有更多的配置要求可以单击高级配置进行编辑。如图2-7和2-8所示。

若对策略中的各个选项有更多配置要求可点击“高级配置”进行编辑

图2-7 高级策略的选择

激活高级配置模式 添加多个源地址 添加多个服务对象 策略仅在某个时段有效

图2-8 高级策略的编辑

七、实训相关知识

(1)防火墙的接口名称 在防火墙中， WAN接口是防火墙用来连接的接口。LAN接口是接口，DMZ接口用来连接服务器，其他防火墙的接口对应关系在面板上可以找到。

(2)192.168.1.1/24表示IP地址为192.168.1.1，子网掩码为24位，即255.255.255.0。

(3) SNAT 源地址转换,它的作用是将ip数据包的源地址转换成另外一个地址。内部地址要访问公网上的服务时（如web访问），内部地址会主动发起连接，由防火墙上的网关对内部地址做地址转换，将内部地址的私有IP转换为公网的公有IP，防火墙网关的这个地址转换称为SNAT，主要用于内部共享IP访问外部。

八、共同思考

如果是配置SNAT后，只允许在内网用户早9:00到晚18:00浏览网页，其他时间不做任何，如何来实现

九、课后练习

防火墙内网口处接一台神州数码三层交换机5950，三层交换机上设置了几个网段都可以通过防火墙来访问。

实训六 防火墙DNAT配置

一、实训目的

防火墙上配置了SNAT后，内部用户在访问时都隐藏了私网地址，如果防火墙内部有一台服务器需要对用户开放，此时就必须在防火墙上配置DNAT，将数据包在防火墙做目的地址转换，让用户访问到该服务器。

二、应用环境

由于公网地址有限，一般在申请线路时，运营商分配给我们的只有一个或几个公网地址。但是内部服务器设置成私网地址后，需要将私网地址映射到公网。用户才可以通过映射后的公网地址访

问到服务器。映射包括两种：一种为端口映射，只是映射需要的服务器端口；一种为IP映射，将私网地址和公网地址做一对一的映射。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线n条 (4) 网络交换机n台

(5) PC机n台，服务器器n台

四、实训拓扑

Eth0/0:192.168.1.91/24 Server & Web192168Eth0/2 192.168.10.1 Eth0/2:192.168.10.1/Eth0/1:218.240.143.221/24192.168.10.2/24

Web

图2-9 目的NAT拓扑示意

五、实训要求

使用口IP为内网FTP Server及WEB ServerB做端口映射，并允许用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。

允许内网用户通过域名访问WEB ServerB(即通过合法IP访问）。

使用合法IP 218.240.143.220为Web ServerA做IP映射，允许内用户对该Server的Web访问。

六、实训步骤

任务一：口IP为内网FTP Server及WEB ServerB做端口映射并允许用户访问该Server的FTP和WEB服务，其中Web服务对外映射的端口为TCP8000。 （一）配置准备工作

1、设置地址簿，在对象/地址簿中设置服务器地址，如图2-10所示。

使用“IP成员”选项定义Trust区域的server地址

图2-10 添加IP地址对象

设置服务簿，防火墙出厂自带一些预定义服务，但是如果我们需要的服务在预定义中不包含时，需要在对象/服务簿中手工定义。如图2-11所示。

我们要映射的端口为目的端口，端口号只有一个，所以只填写最小值即可 因为此处定义的TCP8000端口将来为HTTP应用，所以要需要与应用类型管理，以便让防火墙知道该端口为HTTP业务使用可以添加时间对象以该 图2-11 服务对象添加

（二）创建目的NAT

配置目的NAT,为trust区域server映射FTP(TCP21)和HTTP(TCP80)端口，如图2-12所示。

此地址即用户要访问的合法IP。因为使用防火墙口IP映射，所以此处引用防火墙中缺省定义的地址对象ih/代表内网服务器的该对象表示实际地址对象 webB Server对外宣布web服务端口为TCP8000 webB Server真实的web服务端口为TCP80

图2-12 创建目的NAT条目

（三）放行安全策略

创建安全策略，允许untrust区域用户访问trust区域server的FTP和web应用。如图2-13所示。

目的地址要定义为server映射前的合法IP。所以这里要选择代表口IP的地址对象

图2-13 配合目的NAT的安全策略配置

任务二：允许内网用户通过域名访问WEB ServerB(即通过合法IP访问）。

实现这一任务所需要做的就是在之前的配置基础上，增加Trust -> Trust的安全策略，如图2-14所示。

目的地址为转换前的合法IP。 28

图2-14 安全策略配置

任务三：使用合法IP 218.240.143.220为Web ServerA做IP映射，允许内用户对该Server的Web访问。 （一）配置准备工作

1、将服务器的实际地址使用web_serverA来表示，也即添加地址对象。如图2-15所示。

使

图2-15 WEB_serverA地址对象添加

2、将服务器的公网地址使用IP_218.240.143.220来表示，如图2-16所示。

使用“IP成员”选项定义要映射的合法IP

图2-16 配置映射后地址

（二）配置目的NAT

创建静态NAT条目，在新建处选择IP映射。如图2-17所示。

用真

图2-17 映射条目添加

（三）放行安全策略

1、放行untrust区域到dmz区域的安全策略，使可以访问dmz区域服务器。如图2-18所示。

目

图2-18 相应安全策略添加

2、放行trust区域到dmz区域的安全策略，使内网机器可以公网地址访问dmz区域内的服务器。如图2-19所示。

目

图2-19 trust到dmz的安全策略设置

七、实训相关知识

(1)DMZ “隔离区”，也称“非军事化区”。它是为了解决安装防火墙后外部网络不能访问内部网络

服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

(2)DMZ访问控制策略 ①内网可以访问②内网可以访问

DMZ ③不能访

问内网 ④可以访问DMZ ⑤DMZ不能访问内网 ⑥DMZ不能访问

(3) DNAT 目的地址转换的作用是将一组本地内部的地址映射到一组全球地址，通俗点来讲，就是对数据包的源地址和目的地址进行修改，并且保存修改前后的映射关系，根据需要进行还原操作。

(4)多对一的地址转换有什么？

为了解决 IP 地址不足的问题，神州数码防火墙允许许多内部的机器对应到一个合法的NIC IP 地址，使得这些内部机器可同时用一个合法NIC IP 连上因特网。但是从因特网无法初始一个连接到内部多对一的机器，因为防火墙不知道因特网传来的连接传给哪一部机器。如果内部有服务器对外提供服务则需要一对一的地址转换

八、共同思考

内网有一台ftp服务器，使用防火墙口地址将其映射到，映射端口为1221。请思考该功能如何实现?

九、课后练习

请在内网架设一台Web服务器，使防火墙将该服务器映射到公网，映射端口为8888。 使内、用户可以通过公网地址的8888端口访问该服务器。

实训七 防火墙透明模式配置

一、实训目的

1、了解什么是透明模式；

2、了解如何配置防火墙的透明模式；

二、应用环境

透明模式相当于防火墙工作于透明网桥模式。防火墙进行防范的各个区域均位于同一网段。在实际应用网络中，这是对网络变动最少的介入方法，广泛用于大量原有网络的安全升级中。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

Eth6 Zone:l2-trust Eth7 Zone:l2-untrust 网段A:192.168.1.1 - 192.168.1.100 Vswtichif1:192.168.1.254/24 网段B:192.168.1.101 - 192.168.1.200

图2-20 透明模式配置拓扑

五、实训要求

1、防火墙eth6接口和eth7接口配置为透明模式

2、eth6与eth7同属一个虚拟桥接组，eth6属于l2-trust安全域，eth7属于l2-untrust安全域。 3、为虚拟桥接组Vswitch1配置ip地址以便管理防火墙 4、允许网段A ping 网段B及访问网段B的WEB服务

六、实训步骤

第一步：接口配置

将eth6接口加入二层安全域l2-trust DCFW-1800(config)# interface ethernet0/6 DCFW-1800(config-if-eth0/6)# zone l2-trust

将eth7接口设置成二层安全域l2-untrust，图2-21为图形界面中的配置方法。

对eth0/7接口进行编辑

图2-21 图形界面的透明安全域配置

物理接口配置为二层安全域时无法配置IP地址。

第二步：配置虚拟交换机（Vswitch）

如果没有单独接口做管理的话，可以先使用控制线通过控制口登陆防火墙

DCFW-1800(config)# interface vswitchif1 DCFW-1800(config-if-vsw1)# zone trust

DCFW-1800(config-if-vsw1)# ip address 192.168.1.254/24 DCFW-1800(config-if-vsw1)# manage ping DCFW-1800(config-if-vsw1)# manage https

也可以在防火墙上单独使用一个接口做管理，通过该接口登陆到防火墙在Web下进行配置。如图2-22所示。

图2-22 图形界面配置vswitch1接口地址

第三步：添加对象

定义地址对象，如图2-23和2-24所示。 定义网段A (192.168.1.1 – 192.168.1.100) 定义网段B (192.168.1.101 – 192.168.1.200)

把地址对象与它所属的vswitch相关联 由于对象不是整个网段所以使用IP范围定义

图2-23 添加网络地址对象

把地址对象与它所属的vswitch相关联 由于对象不是整个网段所以使用IP范围定义

图2-24 添加地址对象net_B

要求允许网段A ping 网段B及访问网段B的WEB服务，在这里我们将ping和http服务建立一个服务组。添加服务对象，如图2-25所示。

选中左侧

图2-25 添加服务对象

第四步：配置安全策略

在“安全”->“策略”中选择好“源安全域”和“目的安全域”后，新建策略，如图2-26所示。

源地址选择网段A的地目的地址选择网段B的地址对象址对象选择网段A访问网段B的服务对象

图2-26 添加相关策略

七、实训相关知识

透明模式

顾名思义，首要的特点就是对用户是透明的，即用户意识不到防火墙的存在。要想实现透明模式，防火墙必须在没有IP地址的情况下工作，不需要

对其设置IP地址，用户也不知道防火墙的IP地址。防火墙作为实际存在的物理设备，其本身也起到路由的作用，所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增加了工作的复杂程度和难度。但如果防火墙采用了透明模式，即采用无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直接安装和放置到网络中使用，如交换机一样不需要设置IP地址。透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设置(包括IP地址和网关)无须改变，同时解析所有通过它的数据包，既增加了网络的安全性，又降低了用户管理的复杂程度。

八、共同思考

1、防火墙上的Vswitch接口配置地址的目的是什么？

2、防火墙上如果处于透明模式的两个接口都放到同一个二层安全域中，比如说将上述实训中的eth6口和eth7口都设置成l2-trust安全域。那是否还需要设置安全策略，如果需要的话那如何设置？

九、课后练习

针对上述实训，我们要求实现放行网段B至网段A的TCP9988端口，如何配置

实训八 防火墙混合模式配置

一、实训目的

1、了解什么混合模式；

2、了解如何配置防火墙为混合模式。

二、应用环境

混合模式即相当于防火墙既工作于路由模式，又工作于透明模式。在实际应用环境中，此类防火墙应用一般也比较广泛。混合模式分为两种：一，ISP分配地址，内网为私网地址，服务器区域和内部地址为同一网段。这样，内部区域和服务器区域为透明，内部区域和区域为路由，服务器区域和外部区域也为路由；二，ISP分配地址，内网为私网地址，服务器区域使用ISP分配的公网地址，服务器区域和为透明，内部区域和外部区域为路由。在我们下面的应用环境中我们使用的是第二种混合模式。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

Vswitch1:218.240.143.218/24 IP:192.168.1.0/24FTP eth0:192.168.1.1/24 Web ServerA IP:192.168.10.2/24 IP:218.240.143.217/24

图2-27 混合模式实训拓扑

五、实训要求

1、将eth0口设置成路由接口，eth1和eth2口设置成二层接口。并设置Vswitch接口； 2、设置源NAT策略； 3、配置安全策略

六、实训步骤

第一步：设置接口

1、设置内网口地址，设置eth0口为内网口地址为192.168.1.1/24，如图2-28所示。

图2-28 内网口地址设置界面

2、设置口，eth6口连接，将eth6口设置成二层安全域l2-untrust，如图2-29所示。

图2-29 二层安全与设置

设置服务器接口，将eth7口设置成l2-dmz安全域，连接服务器。如图2-30所示。

图2-30 eth7安全域设置

第二步：配置Vswitch接口

由于二层安全域接口不能设置地址，需要将地址设置在网桥接口上，该网桥接口即为Vswitch。其设置如图2-31所示。

图2-31 网桥接口配置界面

第三步：设置SNAT策略

针对内网所有地址我们在防火墙上设置源NAT，内网PC在访问时，凡是从Vswitch接口出去的数据包都做地址转换，转换地址为Vswitch接口地址。如图2-32所示。

图2-32 源地址转换条目配置

第四步：添加路由

要创建一条到的缺省路由，如果内网有三层交换机的话还需要创建到内网的回指路由。如图2-33所示。

图2-33 路由添加界面

第五步：设置地址簿

在放行安全策略时，我们需要选择相应的地址和服务进行放行，所有这里首先要创建服务器的地址簿。在创建地址簿时，如果是创建的服务器属单个ip，使用IP成员方式的话，那掩码一定要写32位。如图2-34所示。

图2-34 地址对象设置

第六步：放行策略

放行策略时，首先要保证内网能够访问到。应该放行内网口所属安全域到Vswitch接口所属安全域的安全策略，应该是从trust到untrust。如图2-35所示。

图2-35 trust到untrust放行策略

另外还要保证能够访问Web_server，该服务器的网关地址设置为ISP网关218.240.143.1。 那需要放行二层安全之前的安全策略，应该是放行l2-untrust到l2-dmz策略。

七、共同思考

1、如果服务器的网关并非设置成218.240.143.1，而是设置成Vswitch接口地址，此时安全策略如何设置才能让访问到Web服务器？

2、按上述实训配置完后，虽然在可以访问服务器，那在服务器上是否可以访问呢？如果访问不到什么原因，如何才能实现？

八、课后练习

使用第一种混合模式：服务器和内网属于透明模式，此时服务器和内网在同一个网段。此时如果要还是通过218.240.143.217地址能够访问到服务器的话如何实现？

第三部分 防火墙常见应用配置

实训九 防火墙DHCP配置

一、实训目的

1、知道什么是DHCP？了解在什么环境下使用DHCP，DHCP方式获取地址有什么好处？ 2、学会如何在防火墙上设置DHCP

二、应用环境

对于手工设置IP地址的这种方式比较繁琐，而且很容易在设置IP地址时造成地址冲突。DHCP为动态主机配置协议（Dynamic Host Configuration Protocol）的缩写。DHCP能够自动为子网分配适当的IP地址以及相关网络参数，从而减少网络管理需求。同时，DHCP能够保证不会出现地址冲突，能够重新分配闲置资源。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

网络拓I

图3-1 DHCP环境拓扑设计

五、实训要求

1、要求内网用户能够自动获取到IP地址以及DNS； 2、要求内网用户获取到IP地址后能直接访问

六、实训步骤

第一步：设置DHCP地址池

首先在创建DHCP前先要创建一个地址池，目的是PC获取地址时从该网段中来获取IP。如图3-2设置好池名称、地址范围、网关、掩码和租约时间后单击确定即可。

图3-2 设置DHCP地址池

如果需要内网PC自动获取DNS地址，需要在编辑该地址池，在高级设置中填写DNS地址，如

图3-3所示。

图3-3 地址池中高级项目的添加界面

第二步：设置DHCP服务

在网络/DHCP/服务中 选择启用DHCP的服务接口。选择创建的DHCP服务器地址池。如图3-4所示。

图3-4 设置DHCP服务项目

第三步：验证

内网PC使用自动获取IP地址的方式来获取IP地址，可以看到PC已经获取到192.168.1.66的ip

地址网关为192.168.1.1，DNS地址是218.240.250.101。如图3-5所示。

图3-5 PC机自动获取的动态地址

七、实训相关知识

DHCP服务器 两台连接到互联网上的电脑相互之间通信，必须有各自的IP地址，但由于现在的IP地址资源有限，宽带接入运营商不能做到给每个报装宽带的用户都能分配一个固定的IP地址（所谓固定IP就是即使在你不上网的时候，别人也不能用这个IP地址，这个资源一直被你所独占），所以要采用DHCP方式对上网的用户进行临时的地址分配。也就是你的电脑连上网，DHCP服务器才从地址池里临时分配一个IP地址给你，每次上网分配的IP地址可能会不一样，这跟当时IP地址资源有关。当你下线的时候，DHCP服务器可能就会把这个地址分配给之后上线的其他电脑。这样就可以有效节约IP地址，既保证了你的通信，又提高IP地址的使用率

七、共同思考

1、如果DHCP Server设置在出口路由器上，内网为一个路由模式的防火墙，此时需要在防火墙上如何操作？

八、课后练习

1、出口防火墙上设置DHCP Server，内网用户使用DHCP的方式来获取ip地址和dns，测试内网用户是否可以成功获取ip地址，并验证获取ip地址后看是否可以访问。

实训十 防火墙DNS代理配置

一、实训目的

1、了解什么是DNS代理？

2、知道在什么情况下使用DNS代理，并学会如何在防火墙上设置DNS代理？

二、应用环境

DNS代理功能就是防火墙作为DNS代理服务器，为与其连接的PC等（客户端）提供DNS代理功能。也就是说客户端将DNS地址指定为防火墙的IP，客户端所有的域名解析请求都发往防火墙，由防火墙完成解析动作并将结果反馈给客户端。这个功能可大大减少对客户端DNS维护的工作量。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条

(3) 网络线2条 (4) PC机1台

四、实训拓扑

网络拓I

图3-6 DNS代理实训拓扑

五、实训要求

1、将内网用户DNS地址设置成防火墙内网口地址，内网用户可以访问网页，能够解析成功。

六、实训步骤

第一步：配置DNS服务器

在防火墙/网络/DNS中设置DNS服务器地址，如图3-7所示。

图3-7 DNS服务器地址设置

第二步：配置DNS代理

在网络/DNS/代理中，设置代理服务。如图3-8所示。

图3-8 设置代理服务开启

单击确定后即可，此时DNS代理地址使用的是防火墙本身的DNS地址

第三步：启用接口DNS代理

编辑内网接口eth0/0，如图3-9所示。

图3-9 编辑内网接口属性

单击高级设置，在高级设置中勾选DNS代理，如图3-10所示。

图3-10 DNS代理服务勾选

七、共同思考

1、对于做透明模式的防火墙是否可以设置DNS代理，如何设置？

八、课后练习

1、出口防火墙使用DNS代理，内网用户PC上设置DNS时设置防火墙内网口地址，测试用户在访问时是否可以解析成功。

实训十一 防火墙DDNS配置

一、实训目的

1、了解什么是DDNS，通过我们常用的有哪几种DDNS？神州数码多核防火墙支持哪几种DDNS？

2、DDNS有什么用途，在什么情况会用到DDNS？

二、应用环境

DDNS是动态域名服务（Dynamic Domain Name Server）的缩写，可以实现固定域名到动态IP地址之间的解析。通常情况下，用户每次连接因特网时都会从ISP得到一个动态IP地址，即用户每次连接因特网得到的IP地址都不同。动态域名解析功能可以将域名动态的绑定到用户每次获得的不同IP地址上，每次当用户连接到因特网时，它都会自动更新自己的动态IP与域名的绑定。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条

(3) 网络线2条 (4) PC机1台

四、实训拓扑

Internet PPPOE拨号

图3-11 DDNS配置拓扑

五、实训要求

1、首先到http://www.3322.org网站申请一个DDNS账号，然后在该账号下申请一个动态域名 2、在防火墙上设置DDNS账号，并将动态域名绑定在防火墙上。看DDNS是否可以登录到服务器，并测试动态域名是否能够解析。

六、实训步骤

第一步：配置DNS服务器

在防火墙/网络/DNS中设置DNS服务器地址，如图3-12所示。

图3-12 DNS服务器地址配置

第二步：配置DDNS服务

在网络/DDNS服务中，单击 ，创建DDNS名称test，选择服务器类型3322.org，

设置DDNS的用户名和密码，然后单击确定即可。如图3-13所示。

图3-13 配置DDNS服务

第三步：绑定DDNS服务名称到接口

在网络/DDNS/配置中，只有把配置的DDNS服务名称绑定到接口上，当接口IP地址发生变化时，域名才能按照DDNS参数进行更新。如图3-14所示。

图3-14 绑定DDNS服务到某接口

第四步：验证DDNS是否运行成功

可以在命令行使用命令show ddns state test来查看DDNS运行状态，看是否运行成功。 如果Update Resutl状态为Update OK说明该DDNS账号已经登陆成功。 DCFW-1800# show ddns state test Ddns Name: test Interface Name: ethernet0/1 Last Update Time(s): -1159 Last Update Result: Update OK Last Update Ip: 218.240.143.219 Next Update Time(s): 85241

可以在互联网上找一台主机，ping zhujya.3322.org看是否可以解析，解析出来地址是否正确。如图3-15所示。

图3-15 DDNS服务验证

从上图中可以看到，解析出来地址为口地址。

七、共同思考

1、使用DDNS对于无法获得固定合法IP而又需要向互联网发布服务的情况是否可以解决 2、DDNS对于设备间使用动态IP地址建立VPN隧道能否解决

八、课后练习

1、请将申请的DDNS账号和域名设置到使用PPPOE拨号的防火墙，防火墙重启重新拨号后看解析动态域名的地址是否会更新

实训十二 防火墙负载均衡配置

一、实训目的

1、使用防火墙如何设置负载均衡的配置； 2、在防火墙上如何设置监控地址

二、应用环境

防火墙作为出口设置时，当线路为两条或者多条链路时，内网在访问时几条外线可以均衡选路；另外其中一条出现故障后，内网用户不会受影响，可以通过其他链路访问。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条

(4) PC机1台

四、实训拓扑

II

图3-16 负载均衡配置拓扑

五、实训要求

1、要求内网访问时两条负载均衡

2、一旦其中一条链路出现故障后，可以通过另外一条链路访问

六、实训步骤

第一步：设置接口地址，添加安全域（略） 第二步：添加路由，选择均衡方式，设置监控地址

防火墙两条外线，首先要创建两条等价的缺省路由，所谓等价指优先级相同。 我们在图3-17中已经创建了第一条缺省路由，网关为222.1.1.1。

这里的子网掩码既可以写成0也可以写成0.0.0.0，防火墙会自动识别 优先级即管理距离,取值越小，优先级越高，而在有多条路由选择的时候，优先级高的路由会被优先使用 路由权值决定负载均衡中流量转发的比重

图3-17 缺省路由创建

然后再创建一条缺省路由，网关为218.240.143.217。 图3-18中可以看到在目的路由中创建的两条缺省等价路由。

状态活跃代表路由为生效状态 当两条线路带优先级相同都为1，即为两条等价路由 宽相同时,两条路由的权值可以设置相等的值

图3-18 缺省路由优先级相同

设置均衡方式

防火墙做负载均衡时有三种均衡方式，设置均衡方式只能在命令行下实现 DCFW-1800(config)# ecmp-route-select ?

by-5-tuple Configure ECMP Hash As 5 Tuple by-src Configure ECMP Hash As Source IP

by-src-and-dst Configure ECMP Hash As Source IP and Dest IP

by-5-tuple – 基于五元组（源IP地址、目的IP地址、源端口、目的端口和服务类型）作哈希选路（hash）。

by-src –基于源IP地址作哈希选路（hash）。

by-src-and-dst -基于源IP地址和目的IP地址作哈希选路（hash）。默认情况下，基于源IP地址和目的IP地址做哈希选路（hash）。

默认防火墙使用的是by-src-and-dst均衡方式 设置监控地址

设置监控地址的目的是一旦检测到监控地址不能通讯时，则内网访问的数据包不再转发到该口，只将数据包从另外一条外线转发

目前2.5R5及之前版本只能在命令行下设置监控地址 track \"track-for-eth0/1\"

ip 218.240.143.217 interface ethernet0/1 track \"track-for-eth0/2\"

ip 222.1.1.1 interface ethernet0/2

注：以上命令只是设置监控对象，监控对象名称为track-for-eth0/1，监控地址是218.240.143.217，监控数据包出接口为e0/1接口

interface ethernet0/1 zone \"untrust\"

ip address 218.240.143.219 255.255.255.248 monitor track \"track-for-eth0/1“

注：以上命令为在接口模式下调用创建的监控对象

第三步：设置源NAT策略（略） 第四步：设置安全策略（略）

七、共同思考

1、在上述实训中，如何设置才能让其中一条链路不再转发数据报文（除将该接口down），将报文从另外一条链路转发

八、课后练习

1、设备一个两台防火墙做HA的实训，通过在主设备上制造故障切换备用设备看下链路是否会有丢包，如果有丢包会出现几个丢包；再把主设备恢复正常后备份设备切换主设备时是否有丢包，有的话会有几个丢包？

做。

第四部分 防火墙高级功能配置

实训十三 防火墙源路由配置 一、实训目的

1、了解什么是源路由？在什么环境下需要设置源路由？ 2、学会在防火墙上如何设置源路由？

二、应用环境

源路由也是手工定义的一种路由，它与目的路由的不同之处在于他的选路依据是以数据包的源地址做

出的。防火墙在检测出数据包的源地址与源路由表项匹配后不管目的地址是多少都直接转发至源路由表中定义的下一跳网关IP。源路由的优先级要高于目的路由。源路由在出口为多链路情况下使用

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

网内网：192.168.0.0/16 Internet

图4-1 源路由拓扑

五、实训要求

1、针对内网用户192.168.1.0/24在访问时通过eth0/1的线路，内网用户192.168.2.0/24在访问时通eth0/2的线路。

六、实训步骤

第一步：设置接口地址，添加安全域（略） 第二步：添加源路由

在网络/路由/源路由中，新增一条源路由，设置内网网段192.168.1.0/24从下一条网关218.240.143.217访问。如图4-2所示。

设备内网用户地址

图4-2 增加源路由条目

同样的方法设置192.168.2.0从222.1.1.1访问，如图4-3所示。

设备内网用户地址网段

图4-3 添加另一条源路由

第三步：设置源NAT策略（略） 第四步：设置安全策略（略）

七、共同思考

1、我们对于出口多链路时可以设置针对内网源地址去选路，但是是否可以针对服务项去选择出口网关呢？请参考说明书策略路由设置

2、如果在目的路由设置到A网段指向网关C，那对于设置了源路由的网段在访问A访问时是否会走网关C？为什么

八、课后练习

1、请实现使用防火墙设置源路由，针对内网主机A访问时网关指向B地址，针对内网其他网段指向缺省网关C

验十四 防火墙双机热备配置 一、实训目的

1、了解双机热备在什么环境下使用，并学会如何配置HA； 2、了解HA配置中一些参数的含义，学会如何手工同步配置

二、应用环境

防火墙为需要高可靠性服务的用户提供的双机热备(HA)解决方案。HA能够在主设备通信线路或发生故障时提供及时的备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。正常情况下主设备处于活动状态，转发报文，当主设备出现故障时，备份设备接替其工作，转发报文。这样就保证了网络通信的

不间断进行，极大地提高了通信的可靠性。另外启用HA的两台防火墙的硬件型号和软件版本必须相同！

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线2条 (4) PC机1台

四、实训拓扑

Internet

图4-4 双机热备拓扑

五、实训要求

1、将主备设备出现故障后，备用设备能马上顶替主设备转发报文

六、实训步骤

第一步：防火墙上添加监控对象

用户可以为设备指定监测对象，监控设备的工作状态。一旦发现设备不能正常工作，即采取相应措施。目前设备监控对象只能在命令行实现

在A墙上CLI下全局配置监控对象 hostname(config)# track judy

hostname(config-trackip)# interface ethernet0/0 weight 255 hostname(config-trackip)# interface ethernet0/1 weight 255 hostname(config-trackip)# exit hostname(config)#

第二步：防火墙的HA组列表配置

首先在A防火墙上在系统/HA/组列表中点击新建

对于组列表中的参数我们只要填写组ID为0，设置一个优先级，选择监控地址即可。其他参数可以使用系统默认值。如图4-5所示。

指定HA组的ID，范围是0到7。当前版本用户只可以将ID指定为0。 指定失去心跳的警戒值，即如果设备没有收到对方设备的该命令指定个数的Hello报文，就判断对方无心跳。 抢占模式，一旦设备发现自己的优先级高于主设备，就会将自己升级为主设备，而原先的主设备将变为备份设备；当备份设备升级为主设备时，新主设备需要向网络中发送ARP请求包，通知相关网络设备更新其ARP表。该命令用来指定升级为主设备的设备向外发送ARP包的个数。 用户可以为设备指定监测对象，监控设备的工作状态。一旦发现设备不能正常工作，即采取相应措施 图4-5 设置HA组列表参数

设备完A防火墙的组列表后，同样在B防火墙上设置组列表，除优先级设置不同外，其他参数要与A墙参数一致。其中优先级不同的原因是在初始设置时两台墙一定要设置不同的优先级，数字越小优先级越高。优先级高的防火墙将被选举为主设备。

优先级用于HA选举。优先级高（数字小）的会被选举为主设备 Hello报文间隔指HA设备向HA组中的其它设备发送心跳（Hello报文）的时间间隔。第三步：防火墙HA基本配置

在A防火墙系统/HA/基本配置中设置HA连接接口即心跳接口、HA连接接口IP即心跳地址和HA组，如图4-6所示。

指定HA的接口，最多可以指定两个HA接口HA接口互联地址 将两台设备添加到HA组中，才能够使设备的HA功能生效。而且两台设备的组必须相同

图4-6设置HA心跳接口及属性

在A墙上设置完HA基本配置后，在B墙上设置相同的心跳接口和HA组，心跳地址要设置成与A墙同网段的心跳地址。

图4-7 HA心跳接口对应配置

命令行下配置如下：

hostname(config)# ha link interface ethernet0/4 hostname(config)# ha link ip 1.1.1.2/24 hostname(config)# ha cluster 1

第四步：配置接口管理地址

处于热备的两台防火墙的配置是相同的，包括设备的接口地址，此时只有一台防火墙处于主状态，所

有我们在通过接口地址去管理防火墙时此时只能登陆处于主状态的防火墙。如果我们要同时管理处于主备状态两台防火墙的话，需要在接口下设置管理地址

首先我们在A墙上设置内网接口管理地址为192.168.1.91/24，如图4-8所示。

图4-8 配置管理IP地址

命令行下命令如下：

hostname(config)# interface ethernet0/0

hostname(config-if-eth0/1)# manage ip 192.168.1.91 然后在防火墙B上设置接口的管理地址，如图4-9所示。

图4-9 对应端管理IP地址

命令行下命令如下：

hostname(config)# interface ethernet0/0

hostname(config-if-eth0/1)# manage ip 192.168.1.92

第五步：将主设备配置同步到备份设备

将两台墙连接入网络中并使用网线将两台防火墙的心跳接口eth0/4连接起来，在主设备上执行以下命令

hostname(config)# exec ha sync configuration 此时主设备的配置便会同步到备份设备

七、共同思考

1、两台防火墙，将其中一台配置做好后，启用HA功能后将两台防火墙放到网络中发现设置完配置的防火墙配置竟然空了。请思考下是什么原因导致？

八、课后练习

1、请使用两台同型号的防火墙，使用2.5R5版本，配置好HA后，将处于主状态的防火墙外线拔掉后看内网PC访问是否会有短时掉线？如果一直ping 包是否会有丢包？

实训十五 防火墙QoS配置 一、实训目的

1、学会如何针对内网用户针对ip做流量 2、学会如何针对内网用户针对p2p做带宽

二、应用环境

QoS（Quality of Service）即“服务质量”。它是指网络为特定流量提供更高优先服务的同时控制抖动和

延迟的能力，并且能够降低数据传输丢包率。当网络过载或拥塞时，QoS能够确保重要业务流量的正常传输。在互联网飞速发展的今天，网络中各种需要高带宽的应用层出不穷，而传统通讯业务中的音频、视频等应用也加速向互联网融合，在这种趋势下就对网络为应用提供可预测、可管控的带宽服务提出了更高的要求。

DCFW-1800系列防火墙提供了完善的QoS解决方案，能够对流经防火墙的各种流量实施细致深入的流控策略，能够实现对用户带宽和应用带宽的有效管理，可以根据不同网络应用的重要性为其提供不同的转发优先级。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条 (3) 网络线n条 (4) PC机1台

四、实训拓扑

Internet

图4-10 服务质量配置拓扑

五、实训要求

防火墙出口带宽为100Mbps，内网最多有200台PC。 1、要求P2P的总流量不能超过50Mbps

2、每个用户的上、下行最大带宽均不能超过400kbps

六、实训步骤

其中第一步到第三步实现要求一，第四步到第七步实现要求二。

第一步：在QoS中创建一个class，将P2P协议将入到该class

首先在网络/QoS/类别中，将P2P的协议类型加入到一个分组中，分组名称“P2P”，如图4-11所示。

图4-11 创建新的分组

第二步：创建QoS Profile,在Profile里做出对P2P流量的

在网络/QoS/Profile中，设置一个app-qos-profile名称为limit-p2p-50M，然后将之前创建好的“P2P”class加入到右边成员中点击确定。如图4-12所示。

定义Profile名称 1 将选中的可用Class推送至右侧

图4-12 创建profile以流量

然后重新编辑该profile分组，在针对“P2P”class设置带宽，如图4-13所示。

“Class-default”是每个QoS Profile中缺省存在的Class，表示未匹配编辑已添加的Class成员“p2p”的动作属性

图4-13 编辑profile分组的属性

针对P2P的协议带宽到50M，如图4-14所示。

图4-14 设置具体带宽值

第三步：将P2P限流Profile绑定到广域网入接口eth0/1上

将之前创建的“limit-p2p-50M”profile绑定到接口的入方向上，就可以实现内网下载P2P到50M的流量。如图4-15所示。

接口 点击编辑编将定义好的QoS Profile绑定到eth0/1接口的入方向上---也就是流入防火墙的方向，这样就可以起到P2P下载的作用

图4-15 绑定profile到接口

第四步：使用内网IP地址范围创建QoS Class

首先将带宽的内网地址设置一个class，名称为“ip-range”，地址范围为192.168.1.1-192.168.1.200。如图4-16所示。

命

图4-16 创建qos类别

第五步：创建QoS Profile，并将创建好的IP范围Class加入其中

创建一个名称为“per-ip-bw-limit”的profile，创建profile时选择ip-qos-profile，然后将之前创建的“ip-range”class拉到右边的成员栏中点击确定。如图4-17所示。

图4-17 创建qos profile

第六步：编辑QoS Class，对每IP的带宽做出

重新编辑peofile“per-ip-bw-limit”然后针对“ip-range”的class做限速，每ip带宽为400K，开

启弹性QoS后能达到的最大带宽为800K，如图4-18所示。

图4-18 设置profile具体限定值

第七步：将QoS Profile绑定到接口

将创建的“per-ip-bw-limit”的profilre绑定到接口上，一般来说ip-qos要绑定在接口的第二级别上，我们在上出入方向上都绑定该profile，即针对ip-range内的PC上下行都到400K。如图4-19所示。

在eth0/1接

图4-19绑定profile到接口

七、共同思考

1、当配置QoS功能后，不同的IP地址可获得的最大带宽通常会被在一个数值之内，此时，即使

接口有闲置带宽，被的IP也不可以使用，造成资源的浪费。针对这一现象应该如何避免？请参考说明书弹性QoS

八、课后练习

1、内网所有用户下载FTP总流量不超过10M

2、将内网ip分成两个网段，针对网段一设置每ip限速512 k，针对网段二设置每ip限速1M，如何设置？

实训十六 防火墙Web认证配置 一、实训目的

1、了解什么环境下使用防火墙的Web认证功能 2、学会如果设置防火墙的Web认证，知道角色的含义

二、应用环境

为内网用户在认证服务器上创建用户名、口令，并在防火墙上创建基于用户角色的安全策略，当内网用户通过防火墙访问其他安全域的资源时首先需要输入用户名、密码进行认证，认证通过后方可访问策略允许的服务或资源。使用Web认证的好处是：避免了在针对用户IP地址进行控制时，非授权用户通过私自修改IP地址来获得他人的访问权限。而Web认证完全不关心客户配置了什么IP地址，仅根据用户角色来判断其权限，这样就能对每个用户做到有效的管控。

三、实训设备

(1) 防火墙设备1台 (2) Console线1条

(3) 网络线n条 (4) PC机2台

四、实训拓扑

eth0/0:192.168.1.91/24 eth0/2:218.240.143.218/24 Internet 第一次通过web访Console线认证通过予以放行 192.168.1.0/24

图4-20 web认证拓扑

五、实训要求

内网用户首次访问Internet时需要通过WEB认证才能上网。且内网用户划分为两个用户组usergroup1和usergroup2,其中usergroup1组中的用户在通过认证后仅能浏览web页面，usergroup2组中的用户通过认证后仅能使用使用ftp。

六、实训步骤

第一步：开启web认证功能

防火墙Web认证功能默认是关闭状态，需要手工在系统/管理/管理接口中将其开启，Web认证有http和https两种模式。如图4-21所示。

认证成功后，系统会在超时时间结束前对认证成功页面进行自动刷新，确认登录信息 指定认证服务器的HTTP端口号。取值范围是1到65535。默认值是8080 指定认证服务器的HTTP端口号。取值范围是1到65535。默认防火墙支持HTTP 和HTTPS 两种认证模式。HTTP 模式更为快捷，而HTTPS 模式

图4-21 开启web认证功能

第二步：创建AAA认证服务器

在开启防火墙认证功能后，需要在对象/AAA服务器中设置一个认证服务器，防火墙能够支持本地认证、Radius认证、Active-Directory和LDAP认证。在本实训中我们使用防火墙的本地认证，在此我们选择认证类型为本地，如图4-22所示。

由于可以在本地创建多个验证服务器，所以需要定义实例名来区分

图4-22 创建本地AAA服务器

第三步：创建用户及用户组，并将用户划归不同用户组

既然要做认证，需要在防火墙的对象/用户组中设置用户组，在本实训中我们设置了usergroup1和usergroup2两个用户组，如图4-23所示。

图4-23 创建用户对象组

然后在对象/用户首先在在本地服务器中选择之创建好的local-aaa-server认证服务器，在该服务器下创建user1用户，并将该用户设置到usergroup1用户组中，同样的方法创建user2用户，并将user2用户设置到usergroup2组中，如图4-24所示。

指定创建的用户属于之前创建的本地认证服务器

图4-24 指定用户所在的认证服务器

第四步：创建角色

创建好用户和用户组后，下面在对象/角色/管理中设置两个角色，名称分别为role-permit-web和role-permit-ftp，如图4-25所示。

定义角色名称，后面将把角色与用户组相映射

图4-25 创建角色

第五步：创建角色映射规则，将用户组与角色相对应

在对象/角色/角色映射中，将用户组和角色设置角色映射关系名称为role-map1，将usergroup1用户组和role-permit-web做好对应关系，同样的方法将usergroup2和role-permit-ftp做好对应关系。如图4-26所示。

这个角色映射规则中会将usergroup1与

role-permit-web关联， usergroup2与role-permit-ftp关联 将usergroup1与role-permit-web关联

图4-26 设置角色与对象的映射关系

第六步：将角色映射规则与AAA服务器绑定

在对象/AAA服务器中，将角色映射关系role-map1绑定到创建的AAA服务器loca-aaa-server中，如图4-27所示。

将角色映射与AAA服务器绑定

图4-27 角色与AAA服务器绑定

第七步：创建安全策略不同角色的用户放行不同服务

在安全/策略中设置内网到的安全策略，首先在该方向安全策略的第一条设置一个方形DNS服务的策略，放行该策略的目的是当我们在IE栏中输入某个网站名后，客户端PC能够正常对该网站做出解析，然后可以从定向到认证页面，如图4-28所示。

只放行DNS服务，目前是为了打开网页时可以解析到地址，然后重定向

图4-28 安全策略创建

在内网到的安全策略的第二条我们针对未通过认证的用户UNKNOWN，设置认证的策略，认证服务器选择创建的local-aaa-server。如图4-29所示。

此处的unkown代表所有未通过认证的用户 “Web认证”行为会将未通过认证用户重定向到Web认证页面 指定使用此AAA服务器中的用户进行认证

图4-29 认证策略设置

在内网到的第三条安全策略中，我们针对认证过的用户放行相应的服务，针对角色role-permit-web我们只放行http服务

为了能通过此处的角色是已图4-30

针对通过认证后的用户，属于role-permit-ftp角色的只放行ftp服务

为了能通过此处的角色是

图4-31

最后我们看下在安全/策略中我们设置了几条策略，在这里我们设置了四条策略，第一条策略我们只放行DNS服务，第二条策略我们针对未通过认证的用户设置认证的安全策略，第三条策略和第四条策略我们针对不同角色用户放行不同的服务项。

图4-32

第八步：用户验证

内网用户打开IE后输入某网站后可以看到页面马上重定向到认证页面，我们输入user2的用户名和密码认证通过后，当我们访问某ftp时可以访问成功，当我们访问web界面时看到未能打开网页

当访

图4-33

图4-34

七、共同思考

1、设置防火墙的Web认证功能后，如果从内到外的策略中未放行DNS服务，那用户端PC 怎样才能重定向到认证界面

2、在上述实训中，我们在设置角色映射关系时是针对用个户组和角色对了对应，那是是否可以针对用户和角色做对应呢？

八、课后练习

1、使用防火墙的Web认证功能，将内网设置成三个用户组，第一个用户组只能访问web和ftp服务，第二个用户组只能登陆QQ、MSN，第三组用户不做。