实验1 SecPath防火墙诱明模式配置基础 1-11.1实验内容与目标 1 -112实验组网图 1-11.3实验设备与版本 1 -11-4 实验过程 1-2实验任务:诱明模式下各区域的互诵 1-21-5实验中的命令列表 1-31- 6思考题 1-4实验2 SecPath防火墙路由模式配置基础 2-42- 1实验内容与目标 2-42-2 实验组 网图 2-42- 3实验设备与版本 2-42-4实验过程 2-5实验任务:路由樟式下各区域的互通 2-52-5实验中的命令列表 2-122- 6思考题 2-13实验3 SecPath防火墙混合模式配置基础 3-133- 1实验内容与目标 3-133-2 实验组网图 3-133-3背景需求 3-143- 4实验设备与版本 3-143-5实验过程 3-14实验任务一:混合模式下各区域的互诵 3-143- 6实验中的命令列表 3-153- 7思考题 3-16实验4 SecPath防火墙VLAN诱传 .4-164- 1实验内容与目标 4-164-2 实验组 网图 4-164-3背景需求 4-164- 4实验设备与版本 4-174-5实验过程 4-17实验任务:VLAN诱传 4-174- 6实验中的命令列表 4-184-7思考题 4-19实验1 SecPath 防火墙透明模式配置基础1.1 实验内容与目标完成本实验,您应该能够:• 了解以防火墙透明模式工作原理• 掌握防火墙透明模式的基本配置方法• 掌握防火墙透明模式的常用配置命令1.2 实验组网图GeO/GeO/2PC2F1000-E图1-1 透明模式转发组网图组网要求说明:如图:PC1和PC2分别连在F1OOO-E防火墙的GeO/1和GeO/2接口上,其IP地址分别 为 和 ,需要通过 F1OOO-E 实现互通。
1.3 实验设备与版本主机: 2 台线缆:若干SecPath防火墙:R31O2P1O及以上版本1.4 实验过程实验任务:透明模式下各区域的互通步骤一:命令行配置命令行配置如下:#vlan 1#vlan 100#interface GigabitEthernet0/1port link-mode bridgeport access vlan 100#interface GigabitEthernet0/2port link-mode bridgeport access vlan 100#步骤二:web相关配置web 相关配置如下:进入WEB管理界面后,单击“系统管理” >> “安全域管理”,编辑trust安全域,将GeO/1加 入该域:修改安全域ID :I2域名;|Trust忧先级:|05(1-1003并享:| No 二|虚拟设备:|Root搔口 所 JiVLAN所输入的VL^N范围应「及"-憧接』例如;3,5-10 星号【卡)为必缠埴写项确定|取消| 把Ge0/1接口加入trust域同样的操作,将 Ge0/2 加入 untrust 安全域;然后通过WEB页面配置trust与un trust之间的策略可实现安全过滤。
1.5 实验中的命令列表表1-1 命令列表命令描述port link-mode bridge以太网接口可工作在二层模式(bridge)port access vlan设置所属Vlan配置命令介绍:请参考《20071102-H3C SecPath系列安全产品 用户手册(V1.00)》1.6 思考题SecPath 防火墙透明模式与混合模式的区别在哪里?实验2 SecPath 防火墙路由模式配置基础2.1 实验内容与目标完成本实验,您应该能够:• 了解以防火墙路由模式工作原理• 掌握防火墙路由模式的基本配置方法• 掌握防火墙路由模式的常用配置命令2.2 实验组网图F1000-E图2-2 路由模式转发组网组网要求说明:如图:PC1和PC2分别连在F1OOO-E防火墙的GeO/1和GeO/2接口上,其IP地址分别为 和 ,需要通过 F1000-E 实现互通F1000-E 防火墙的 GeO/1和 Ge0/2 的接口 IP 分别为 和 2.3 实验设备与版本主机: 2 台线缆:若干SecPath防火墙:R3102P10及以上版本2.4 实验过程实验任务:路由模式下各区域的互通步骤一:命令行配置命令行配置如下:#acl number 2000rule 0 permit#interface GigabitEthernet0/1port link-mode routeip address #interface GigabitEthernet0/2port link-mode routeip address #步骤二:web相关配置web 相关配置如下:将接口 GeO/1和GeO/2分别添加到Trust和Un trust域修改安全域域名;Trust|§5(1-100)|Roat接口 ;援口所属讥出N厂AML 」P GigabitEthernetO/1□ ]厂 GisabitEthernetO/2L J厂 GigabitEthernetO/3□ 1厂 NULLO所输入的VU\N范围应以丁童叮连捋'例如:3,5-10星号为必须埴写项确走取消把GeO/1接口加入trust域ID :I4域名:|Untrust忧先级;5 ( 1-100 J共享:| No T虚拟设备:|Root接口 ;所输入的讥出.N范H应凹T段叮连接,例如:3,5-1 0星号(刁为必須埴写项确定 | 取消 |把GeO/2接口加入untrust域单击“策略管理”>>“地址转换策略”>>“地址转换”,单击“新建”按钮,在 Ge0/2 接口上,配置 NAT Outbound Easy-ip/PAT配置n at地址转换在GeO/2接口上,配置NAT Server (以HTTP协议为例) 单击“策略管理”>>“地址转换策略”>>“内部服务器”,单击“新建”按钮,新逹肉都服务器接口 :仲H实例: 协仪类型:外制旧地址:外部菇口 :|GigabitEthernetO/2 二|16(TCP)±-阳 80 ( 0- 65535)65535)星号为必须埴写项确定 | 取消 |配己置nat server配置从Un trust域到Trust域的面向对象ACL,允许外网用户访问Trust区的Web服务器))单击“对象管理”>>“地址对象”>>“地址对象”,单击“增加”按钮,增加地址对象增加地址对象新建地址对象单击“对象管理”>>“地址对象”>>“地址组对象”,单击“增加”按钮,增加地址组对象,把前面新建的地址对象WebServerAddr加入地址组对象WebServerGroup增加地址组对象新建地址蛆对象组对象名称:WebSemrGroup * (1 -引字符)地址组成员webserve raddr确走I返回新建地址组对象单击“对象管理”>>“服务对象”>>“自定义服务对象”,单击“增加”按钮,增加服务 对象增加自定义服务对象新逹自运义服务对象对泉名称: WebSeivice (1 - 31字符)星号宀为必烦垣写项确走|返回新建自定义服务对象单击“对象管理”>>“服务对象”>>“服务组对象”,单击“增加”按钮,增加服务组对象,把前面新建的服务对象WebService加入到服务组对象WebServiceGroup中去增加服务组对象新逹服务齟对象星号(嘗为必须垣写项新建服务组对象单击“策略管理” >> “访问控制策略” >> “面向对象ACL”,选择源域为“Untrust”, 目的域为“Trust”,单击“增加”按钮,薄域:| Untrusl 二| 目的|Trust 二| 查询 |源目的 执行 许N实 濾地址 目的地址 服务爼 时间段 过滤 日志 埠件域域顺序 例 爼对象 爼对竦 对象 对象 动作功能 躁能増加|增加从Untrus t域到Trust域的域间策略新建访问控制列表规则,选择源地址为any_address,目的地址为地址组对象WebServerGroup,服务组对象为WebServiceGroup。
配置从Untrus t域到Trust域的域间策略2.5 实验中的命令列表表2-2 命令列表命令描述acl number 2000定义ACL过来模板port link-mode route以太网接口可工作在三层模式(route)ip address添加接口 IP配置命令介绍:请参考《20071102-H3C SecPath系列安全产品 用户手册(V1.00)》2.6 思考题SecPath 防火墙混合模式与透明模式的区别在哪里?实验3 SecPath 防火墙混合模式配置基础3.1 实验内容与目标完成本实验,您应该能够:• 了解以防火墙混合模式工作原理• 掌握防火墙混合模式的基本配置方法• 掌握防火墙混合模式的常用配置命令3.2 实验组网图PC1Vlan-lnterface1OGeO/2PC2GeO/1F1000-EGe0/3PC3图3-3 混合模式转发组网图组网要求说明:如图:PC1,PC2和PC3分别连在F1000-E防火墙的Ge0/1,Ge0/2和Ge0/3接口上PC2 和PC3在一个网段,其IP地址分别为和; PC1的地址 是 ,需要通过 F1000-E 实现互通 F1000-E 防火墙 Ge0/1 的接口 lP 为 ,Ge0/2 和 Ge0/3 所在 vlan 的 vlan-interface 的接口 IP 为 。
3.3 背景需求SecPath防火墙支持透明桥组,并同时支持路由和桥接功能桥组路由功能提供了一种结合路由和桥接的转发方法对于指定的协议数据,如果是在桥组端口之间进行通讯,则进行 桥接转发;如果是需要与非桥组组内的网络进行通讯,则可以进行网络协议的路由转发3.4 实验设备与版本主机:3 台线缆:若干SecPath防火墙:R3102P10及以上版本3.5 实验过程实验任务一:混合模式下各区域的互通典型配置:Ge0/2和Ge0/3接口工作在二层模式下,加入vlan 10,vlan 10的三层终结为via n-i nterface 10, Ge0/1 接口工作在三层模式下步骤一:命令行下配置基本配置如下:#vlan 10#interface Vlan-interface10#interface GigabitEthernet0/1port link-mode route#interface GigabitEthernet0/2port link-mode bridgeport access vlan 10#interface GigabitEthernet0/3port link-mode bridgeport access vlan 10步骤二:web相关配置web 相关配置如下:把GeO/2接口加入trust域,GeO/3接口加入DMZ域,GeO/1接口加入untrust域, Via n-in terfacelO 加入 trust 域。
根据实际组网需要添加untrust域到trust域,untrust域到dmz域,dmz域到trust域的域 间策略3.6 实验中的命令列表表3-3 命令列表命令描述port link-mode route/bridge以太网接口可工作在三层/二层模式(route/bridge)port access vlan所属的Vlan配置命令介绍:请参考《20071102-H3C SecPath系列安全产品 用户手册(V1.00)》3.7 思考题SecPath 防火墙混合模式与透明模式的区别在哪里?实验4 SecPath防火墙VLAN透传4.1 实验内容与目标完成本实验,您应该能够:• 了解SecPath防火墙VLAN透传的基本工作原理• 掌握SecPath防火墙VLAN透传的配置方法• 掌握SecPath防火墙VLAN透传简单排错方法4.2 实验组网图Switch-A F1000-E Switch-BGe1/0Ge1/0/1Ge1/0/3:Ge0/2 Ge0/3 Gel/PC2图4-4 二层 Vlan 透传组网图组网要求说明:如图:F1000-E防火墙Ge0/2和Ge0/3接口都工作在二层,trunk模式,实现vlan透传,Switch-A 和 Switch-B 和 F1000-E 连接的接口也工作在 trunk 模式下, PC1 的地址是 ,PC2的地址是。
此外,要求PC1和PC2能够通过业务vlan远 程管理 F1000-E4.3 背景需求当系统中存在VLAN部署,而VLAN间的通信需要穿过防火墙不同的VLAN之间需要进 行隔离,而且所有VLAN的防火墙策略(比如配置在接口上的防火墙包过滤)是一样的4.4 实验设备与版本主机: 2 台线缆:若干防火墙:SecPath防火墙:R3102P10及以上版本交换机:任意二层交换机两台4.5 实验过程实验任务:VLAN透传步骤一:命令行配置命令行配置如下:#vlan 1#vlan 2 to 4094#interface Vlan-interface100ip address #interface GigabitEthernet0/2 port link-mode bridge port link-type trunk port trunk permit vlan all #interface GigabitEthernet0/3 port link-mode bridge port link-type trunk port trunk permit vlan all#Switch-A 的配置如下:#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/33 port link-type trunk port trunk permit vlan all#interface GigabitEthernet1/0/34 port access vlan 100#Switch-B 的配置如下:#vlan 1#vlan 2 to 4094#interface GigabitEthernet1/0/13port link-type trunkport trunk permit vlan all#interface GigabitEthernet1/0/14port access vlan 100 #步骤二:web相关配置把GeO/2和GeO/3接口(所属VLAN1-4094)分别加入Trust和Un trust安全域,把 via n-in terfacelOO 加入 Trust 域根据实际组网需要添加Trust和Un trust域之间的域间策略4.6 实验中的命令列表表4-4 命令列表配置命令介绍:请参考《20071102-H3C SecPath系列安全产品 用户手册(V1.00)》。
4.7 思考题1、 VLAN 透传中的 VLAN tag 是如何处理的?2、 如何在SecPath上实现VLAN间的访问控制?。