监狱信息网络建设与维护防火墙配置96课件.pptx

防火墙配置监狱信息网络建设与维护

企业网广域网接入拓扑图广域网接入是企业网最重要的组成部分之一，根据网络规划方案，企业广域网接入配置拓扑图如下图所示，在H3CER6300路由器配置联通、电信接口地址、网关、路由、本地回环路由等，配置应用服务器NAT接口地址、网关、路由等。

防火墙配置防火墙是网络安全屏障，防火墙的访问控制尺度决定着企业内部用户能否与外网进行通讯，防火墙可以最大限度地阻止网络中的黑客来访问你的网络。防火墙可以强化网络安全策略，如在网络上根据时间段、有选择的应用协议才能通过防火墙，如在8：00-9：00允计使用用户访问DNS、WEB、邮件等服务，其他时间段不允许访问。防火墙对网络存取和访问进行监控审计，通过防火墙的日志功能，在网络上提供一个日志服务器，可以记录下经过防火墙的所有的访问。为了控制企业网访问行为，可以在接入层H3CSMB-S1626上做端口的ACL，在交换层H3CS5120-48P-EI上做VLAN进行有目的的限制，如除了企业网的服务器任何计算机都可以访问外网，禁止不同区间的VLAN之间进行互相访问，在H3CS5120-48P-EI上每个VLAN接口路由应用访问控制列表，在出口路由H3CER6300路由器上设置内网计算机均可访问服务器区域，设置外网用户要访问企业网服务器的资源只能访问服务器提供服务的端口等等。

防火墙配置路由器H3CER6300配置样例aclnumber3001//定义用于包过滤的ACLrule0permitipsource192.168.1.00.0.0.255//内网地址192.168.1.0/24访问外网不作限制rule1permittcpsource192.168.1.800.0.0.0destination-porteqpop3rule2permittcpsource192.168.1.800.0.0.0destination-porteqsmtp//内网地址192.168.1.80只能收发邮件interfaceGigabitEthernet2/2/0ipaddress192.168.1.1255.255.255.0firewallpacket-filter3001inbound//对inbound流量使用包过滤

功能测试广域网接入功能测试是检验企业网络成果的一个重要组成部分，测试部分可运用常用网络命令如ping、tracert、netstat–an、nslookup等，对网络基本状态进行检测，再根据H3CSR6608路由器内置命令进行查看，如:显示所有的地址转换的配置信息displaynatall;显示内部服务器的信息displaynatserver;显示地址转换的统计信息displaynatstatisticsslot2;显示地址转换session的信息displaysessionrelation-table/statistics/table;显示接口信息displayinterfaceGigabitEthernet2/1/1;显示所有TCP连接的状态displaytcpstatus;显示TCP连接的流量统计信息displaytcpstatistics;显示UDP流量统计信息displayudpstatistics;显示IP报文统计信息displayipstatistics;显示ICMP流量统计信息displayicmpstatistics;清除IP报文统计信息resetipstatistics;清除TCP连接的流量统计信息resettcpstatistics;清除UDP流量统计信息resetudpstatistics等进行测试。

归纳总结本任务是企业网中广域网的接入，主要包括PPP协议、地址转换（NAT）、防火墙和功能测试几个部分。要完成该任务的学习必须要掌握以下知识点：PPP协议组成PPP协议协商流程PAP验证CHAP验证要完成该任务的学习必须要了解以下知识点：汇聚层路由器配置广域网数据链路层协议HDLC协议NAT配置

拓展提高─HDLC协议HDLC（高级数据链路控制协议）具有以下特点：协议不依赖于任何一种字符编码集。数据报文可透明传输，用于实现透明传输的“0比特填充法”易于硬件实现。全双工通信，不必等待确认便可连续发送数据，有较高的数据链路传输效率；所有帧均采用CRC检验、对信息帧进行顺序编号，可防止漏收或重收，传输可靠性高。