Hoàn thành bài Lab sau để thực hành các kiến thức mà bạn học trong chương này
Mục đích
Trong bài Lab này bạn sẽ hoàn thành các nhiệm vụ sau:
Cấu hình một PIX Firewall để bảo vệ mạng doanh nghiệp Kiểm tra hoạt động của PIX Firewall
Cấu hình giao diện thứ 3 của PIX Firewall Kiểm tra truy cập đến giao diện thứ 3
Cấu hình địa chỉ global và NAT cho vùng inside và outside Kiểm tra cấu hình global và NAT
Cấu hình static và conduit từ outside interface của PIX Firewall đến Server Windows NT trên vùng inside
Kiểm tra hoạt động của PIX Firewall Cấu hình giao diện thứ 3 của PIX Firewall Kiểm tra truy cập đến giao diện thứ 3
Nhiệm vụ 1 – Cấu hình địa chỉ Global và NAT cho giao diện inside và outside
Nhập các lệnh sau để cấu hình global pool và định tuyến:
Bước 1: gỡ bỏ NAT
pixP(config)# no nat (inside) 1 0 0
Bước 2: Cấu hình NAT cho dải địa chỉ IP thuộc mạng inside
pixP(config)# nat (inside) 1 10.0.P.0 255.255.255.0 0 0
Bước 3: Hiển thị cấu hình NAT hiện tại
pixP(config)# show nat
nat (inside)1 10.0.P.0 255.255.255.0 0 0
Bước 4: Cho phép gói tin ICMP và ping qua PIX Firewall
pixP(config)# conduit permit icmp any any
Bước 5: Ghi cấu hình hiện tại vào bộ nhớ flash
pixP(config)# write memory
Bước 6: ghi cấu hình hiện tại đến terminal
pixP(config)# write terminal
Bước 7: sử dụng lệnh clear xlate sau khi cấu hình với lệnh nat và global để tạo địa chỉ IP global trong translation table:
Bước 2: Kiểm tra hoạt động của global và NAT bạn vừa mới cấu hình bằng cách phát sinh một kết nối đi qua PIX Firewall
1. Mở trình duyệt web trên Windows NT server
2. Sử dụng trình duyệt web truy cập vào Super Server tại địa chỉ IP 172.26.26.50 bằng cách nhập http://172.26.26.50
Bước 3: quan sát translation table với lệnh show xlate
pixP(config)# show xlate
bạn sẽ thấy thông tin hiển thị tương tự như sau
Global 192.168.P.20 Local 10.0.P.3 (adsbygoogle = window.adsbygoogle || []).push({});
Nhiệm vụ 3: Cấu hình Static và Conduit từ outside interface PIX Firewall đến Windows NT Server trong mạng Inside
Cấu hình dịch tĩnh vì vậy mà lưu lượng được phát ra từ Windows Server NT trong inside luôn luôn có cùng địa chỉ nguồn trên outside interface của PIX Firewall
Kiểm tra Static và Conduit bằng cách ping đến Windows NT Server từ router vành đai. Trong môi trường thực tế bạn cần gỡ bỏ lệnh permit icmp any any để ngăn cản lỗ hổng an ninh tiềm tàng. Sử dụng các lệnh dưới đây:
Bước 1: Tạo một static translation từ outside interface đến host terminal và tạo một conduit cho phép kết nối web từ outside đến server NT trên inside
pixP(config)# static (inside,outside) 192.168.P.10 10.0.P.3 pixP(config)# conduit permit tcp host 192.168.P.10 eq www any
(P = your pod number)
Bước 2: Bật kiểm tra ICMP trên PIX Firewall
pixP(config)# debug icmp trace
C:\> ping 192.168.P.1
(P=podnumber)
Note the example display for pixP:
Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3 Outbound ICMP echo request 10.0.P.3 > 192.168.P.10 > 192.168.P.1 Inbound ICMP echo reply 192.168.P.1 > 192.168.P.10 > 10.0.P.3
Quan sát địa chỉ nguồn, đích và địa chỉ đã được dịch trên console củ PIX Firewall
Bước 5: ping một host inside ngang hàng từ một host inside
C:\> ping 192.168.Q.10
(Q = peer pod number)
Bước 6: Kiểm tra web truy cập đến host inside của nhóm khác khi đã được phép bởi cấu hình Static và Conduit
1. Mở một web browser trên Windows NT server.
2Sử dụng web browser để truy cập đến host inside của nhóm khác bằng cách nhập
http://192.168.Q.10.
Bước 7: tắt debug
pixP(config)#no debug icmp trace