防火墻配置十大任務(wù)之五，有NAT的兩個(gè)接口的配置

防火墻的配置任務(wù)五

有NAT的兩個(gè)接口的配置

                       任務(wù)拓?fù)鋱D5.1

1.inside接口和outside接口的基本配置，接口安全級(jí)別默認(rèn)缺省。

                           圖5.2

2.標(biāo)記1：設(shè)置可telnet防火墻，主機(jī)為inside網(wǎng)絡(luò)10.1.1.11/24.標(biāo)記2：設(shè)置本地認(rèn)證用戶名為：usercce,密碼為：ccepassword，級(jí)別為15.標(biāo)記三：本地認(rèn)證開啟。

                             圖5.3

3.開啟日志功能，將日志發(fā)送到內(nèi)部主機(jī)10.1.1.11，級(jí)別為6（informational）。

                               圖5.4

4.設(shè)置ARP超時(shí)時(shí)間為600秒。并設(shè)置NAT全局地址池為：204.31.17.25-204.31.17.27 255.255.255.0 ，考慮地址溢出，設(shè)置PNAT轉(zhuǎn)換，內(nèi)部NAT轉(zhuǎn)換所有inside網(wǎng)絡(luò)。

                               圖5.5

5. 標(biāo)記1：只允許內(nèi)部網(wǎng)絡(luò)10.1.1.0到外部的連接。標(biāo)記2：不允許其他網(wǎng)絡(luò)通過(guò)。

標(biāo)記3：應(yīng)用到inside接口。

                              圖5.6

6.標(biāo)記1：只允許靜態(tài)轉(zhuǎn)換inside區(qū)域地址192.168.3.10到外部的outside區(qū)域192.159.1.1的web流量。

標(biāo)記2：允許任何網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)主機(jī)192.168.1.1的web服務(wù)。

標(biāo)記4：允許所有icmp流量穿越防火墻。

                                    圖5.7

7.（1）拒絕主機(jī)192.168.3.3訪問H.323服務(wù)。

（2） 阻塞主機(jī)192.168.3.3 80端口上的Java applet流量。

（3） 拒絕主機(jī)192.168.3.3訪問web服務(wù)。

                                    圖5.8

8.配置到外網(wǎng)的缺省路由。

                                   圖5.9

9.在R1上配置的路由，用rip ver2 宣告直連路由。

                               圖5.10

10在防火墻上用rip  ver 2 宣告直連路由，并關(guān)閉自動(dòng)匯總。

                                圖5.11

11，開啟rip ver2 認(rèn)證 key 為mykey keyid 為1.

                                圖5.12

12.標(biāo)記1：在防火墻上配置tacacs+服務(wù)器，服務(wù)器名為：tacacs-server 地址為：10.1.1.12

協(xié)議為：tacacs+，應(yīng)用范圍：inside 10.1.1.0 192.168.3.0

標(biāo)記2：對(duì)內(nèi)部網(wǎng)絡(luò)192.168.3.0的DNS流量做認(rèn)證。

                                    圖5.13

13.所有防火墻配置匯總，及tacacs服務(wù)器配置匯總。

                                   圖5.14