实训项目8教学设计.docVIP

实训项目8-利用硬件防火墙对企业访问行为进行控制 一、实训题目： 利用硬件防火墙对企业访问行为进行控制 二、实训目的： 1．学习硬件防火墙的基本概念、性能、功能相关的知识； 2．能在硬件防火墙上配置基本的防火墙功能； 3．学会硬件防火墙的功能与配置，能利用现有的硬件防火墙配置对企业网络的保护，掌握硬件防火墙的配置方法与技巧。 三、实训要求： 1．准备硬件防火墙设备（可根据现有条件选择）或利用PIX模拟软件进行模拟配置； 2．准备思科的ASDM软件。 四、引导文本： 1．硬件防火墙产品简介； 2．硬件防火墙产品的选择； 3．衡量防火墙的相关参数指标； 五、实训步骤： （一）设计企业硬件防火墙防护功能 1．利用ASA5200设计对企业网络的保护 防火墙定义 具体接口 地址配置 连接设备 外部OUT接口 GigabitEthernet0/0 54 与外部相连接的路由器 内部IN接口 GigabitEthernet0/1 53 内部核心交换机 DMZ接口 GigabitEthernet0/2 企业服务器 （二）利用硬件防火墙实施企业内部网络保护 1、利用ASA5200实施对企业网络的保护 针对上面的设计进行配置ASA5200，首先进行基本配置，然后利用ASDM软件进行配置。此软件在设备的随机光盘中有，也可以在思科网站或其他网站下载。 （1）通过命令行进行基本的配置 进入全局模式 asa5200#configure terminal? 新建一个用户、密码和定义级别 asa5200 config # username ceysln password cey123 privilege 15 进入内部接口、添加IP地址、管理口设个名字、激活接口 asa5200 config # interface gigabitEthernet 0/1 asa5200 config-if # ip address 53 asa5200 config-if # nameif inif? asa5200 config-if # no shutdown? 开启HTTP服务、在管理口设置可管理的IP地址并进行保存 asa5200 config # http server enable? asa5200 config # http inif asa5200 config # wr m （2）通过ASDM进行配置 ASDM安装完成后要与要有JAVA运行环境的支持，与SDM使用非常相似，经过上面的命令行配置后，启动ASDM就可以登录ASA5200进行配置了。 关于具体的配置可以与SDM配置作为参考，配置项目与SDM的配置设置很相似。 （三）进行防护效果检测 Asa5200的配置检查可以利用，Show等命令进行查看，也可以在ASDM中进行。下面是在ASDM中进行的状态查看。选择Monitoring监视下的Logging日志项目，选择日志缓冲、启动日志，启动后选择View，可以查看到日志的缓存信息。 利用Show命令查看到的主要信息的简化： asa5520# show run hostname asa5520 dns-guard interface GigabitEthernet0/0 nameif outside security-level 0 ip address 54 52 interface GigabitEthernet0/1 nameif inside security-level 100 ip address 53 interface GigabitEthernet0/2 nameif dmz security-level 50 ip address time-range work1 periodic daily 13:00 to 16:00 periodic daily 7:30 to 11:20 ftp mode passive logging enable logging monitor debugging logging trap debugging logging host inside 10 route outside 53 1 route inside 54 1 username ceysln password U6v1nWo7/I1sjSXI encrypted privilege 15 http server enable http inside http 52 55 inside