网络安全设备配置与管理

陈嘉奇

目录

  • 1 前导
    • 1.1 课程概述
    • 1.2 所需软件
  • 2 网络安全概述
    • 2.1 章节导读
    • 2.2 网络安全法
    • 2.3 TCP/IP协议基础
    • 2.4 常见网络攻击方式
    • 2.5 练一练
  • 3 防火墙基础技术
    • 3.1 章节导读
    • 3.2 了解防火墙的基本知识
    • 3.3 防火墙基础配置
    • 3.4 项目实训
    • 3.5 练一练
  • 4 防火墙安全策略及应用
    • 4.1 章节导读
    • 4.2 包过滤技术基础
    • 4.3 防火墙的转发策略
    • 4.4 项目实训
    • 4.5 练一练
  • 5 防火墙网络地址转换
    • 5.1 章节导读
    • 5.2 源NAT技术
    • 5.3 项目实训1
    • 5.4 服务器映射NAT及目的NAT技术
    • 5.5 项目实训2
    • 5.6 双向NAT技术
    • 5.7 项目实训3
    • 5.8 练一练
  • 6 防火墙双机热备技术
    • 6.1 章节导读
    • 6.2 双机热备技术原理
    • 6.3 双机热备基本组网及配置
    • 6.4 双机热备NAT配置
    • 6.5 双机热备和IP-link联动
    • 6.6 项目实训
    • 6.7 练一练
  • 7 防火墙VPN应用
    • 7.1 章节导读
    • 7.2 VPN技术基础
    • 7.3 GRE VPN
    • 7.4 项目实训1
    • 7.5 IPSec VPN
    • 7.6 项目实训2
    • 7.7 练一练
  • 8 防火墙混合模式策略
    • 8.1 章节导读
    • 8.2 病毒及其防范方法
    • 8.3 防火墙UTM基础配置
    • 8.4 终端安全策略部署
    • 8.5 练一练
  • 9 思政大课堂
    • 9.1 中国发展成就
    • 9.2 疾风知劲草中国经济坚定前行
    • 9.3 全国一体化在线政务服务平台建设
    • 9.4 中国成功研制“九章二号”量子计算原型机
    • 9.5 构建人类命运共同体
  • 10 期末考核
    • 10.1 大作业提交
双机热备基本组网及配置




拓扑图:



防火墙6000配置

FW1(不含接口IP地址配置):

安全区域配置

firewall zone trust      

 add interface GigabitEthernet1/0/1

#

firewall zone untrust

 add interface GigabitEthernet1/0/2

#

firewall zone dmz

 add interface GigabitEthernet1/0/6


安全策略

security-policy

 rule name Trust_Untrust_all_permit

  source-zone trust untrust

  destination-zone untrust trust

  service icmp

  action permit

 rule name heart_line_permit

  source-zone local dmz

  destination-zone dmz local

  action permit


VRRP/VGMP配置

interface GigabitEthernet1/0/1

 vrrp vrid 1 virtual-ip 10.1.1.254 active

 vrrp virtual-mac enable

#

interface GigabitEthernet1/0/2

 vrrp vrid 2 virtual-ip 20.1.1.254 active

 vrrp virtual-mac enable


HRP配置

 hrp enable

 hrp interface GigabitEthernet1/0/6 remote 100.1.1.2

 hrp auto-sync(启用命令与状态信息的自动备份)

 hrp mirror session enable(快速会话备份开启)

 hrp preempt (抢位功能开启)


FW2(关键配置)

VRRP/VGMP配置

interface GigabitEthernet1/0/1

 vrrp vrid 1 virtual-ip 10.1.1.254 standby

 vrrp virtual-mac enable

#

interface GigabitEthernet1/0/2

 vrrp vrid 2 virtual-ip 20.1.1.254 standby

 vrrp virtual-mac enable


HRP配置

 hrp enable

 hrp interface GigabitEthernet1/0/6 remote 100.1.1.1


防火墙5000配置

拓扑图:

FW3(不含接口IP地址配置):

安全区域配置

firewall zone trust      

 add interface GigabitEthernet0/0/1

#

firewall zone untrust

 add interface GigabitEthernet0/0/2

#

firewall zone dmz

 add interface GigabitEthernet0/0/6


安全策略

#

policy interzone trust untrust inbound

 firewall default packet-filter is permit

#

policy interzone trust untrust outbound

 firewall default packet-filter is permit

#

policy interzone local trust  inbound

 firewall default packet-filter is permit

#

policy interzone  local trust outbound

 firewall default packet-filter is permit


VRRP/VGMP配置

interface GigabitEthernet1/0/1

 vrrp vrid 1 virtual-ip 10.2.1.254 master

 vrrp virtual-mac enable

#

interface GigabitEthernet1/0/2

 vrrp vrid 2 virtual-ip 20.2.1.254 master

 vrrp virtual-mac enable


HRP配置

 hrp enable

 hrp interface GigabitEthernet1/0/6

 hrp auto-sync(启用命令与状态信息的自动备份)

 hrp mirror session enable(快速会话备份开启)

 hrp preempt (抢位功能开启)


FW4(关键配置)

VRRP/VGMP配置

interface GigabitEthernet1/0/1

 vrrp vrid 1 virtual-ip 10.2.1.254 slave

 vrrp virtual-mac enable

#

interface GigabitEthernet1/0/2

 vrrp vrid 2 virtual-ip 20.21.254 slave

 vrrp virtual-mac enable


HRP配置

 hrp enable

 hrp interface GigabitEthernet1/0/6 remote 100.2.1.1