實驗三 防火墻的配置

實驗三防火墻配置實驗【實驗目的】通過本實驗初步掌握防火墻的基本配置方法和操作技能，掌握組建較大規(guī)模企業(yè)網(wǎng)時防火墻策略的配置及應用，包括如下幾個方面：/掌握防火墻的配置方法/掌握訪問控制列表(ACL)的基本配置/掌握過濾規(guī)則的配置實驗前學生應具備以下知識：/了解防火墻的工作原理。/了解防火墻的安裝和配置。/了解防火墻的應用特點。實驗過程中，部分實驗內(nèi)容需要與相鄰的同學配合完成。此外，學生需要將實驗的結(jié)果記錄下來，并回答相關思考題，填寫到實驗報告中?！緦嶒烆愋汀烤C合型實驗【實驗環(huán)境】實驗設備：華為-3Com交換機S3100H六臺、華為-3Com防火墻SecpathF100-C六臺。實驗組成：每排PC為一組，占用一臺S3100H交換機，其中S3100H交換機劃分兩個VLAN，每個VLAN只加入三臺PC，S3100H交換機的另外兩個端口，分別連接防火墻的LAN口和WAN口?！緦嶒瀮?nèi)容】以下實驗內(nèi)容可根據(jù)實驗室的具體情況和課時安排的變化進行適當?shù)恼{(diào)整，實驗內(nèi)容中的思考題以書面形式解答并附在實驗報告的后面。本次實驗的主要項目包括以下幾個方面：0分組配置防火墻，使LAN中的PC通過防火墻提供的NAT訪問外網(wǎng)，然后測試LAN中的PC機和WAN中的PC機之間的連通性；0配置防火墻，使WAN中的PC機只能夠通過80端口訪問LAN中的WEB服務器，且不能在外網(wǎng)中掃描到內(nèi)網(wǎng)中的計算機，配置完成之后，測試配置效果。需要注意的是，學生在實驗過程中要嚴格按實驗指導書的操作步驟和要求操作，且小組成員應緊密配合，以保證實驗過程能夠順利完成。具體的實驗步驟如下：一、實驗準備進行網(wǎng)絡初始化配置，這一部分操作由指導教師和實驗員預先進行設置。將S3100H交換機劃分兩個VLAN(VLAN2和VLAN3)，其中VLAN2連接到防火墻的LAN口，VLAN3連接到防火墻的WAN口。配置防火墻的管理地址，配置為54二、防火墻的基本配置首先，每個實驗小組分別按照下表配置各個PC機的IP地址，每排只會用到六臺計算機，每排2臺計算機網(wǎng)線用于防火墻的WAN和LAN口，具體的IP地址分配情況參見圖1和下表。

Web服務器內(nèi)網(wǎng)用戶1Web服務器84Web服務器內(nèi)網(wǎng)用戶1Web服務器84外網(wǎng)用戶80防火墻IP地址表：防火墻管理IP51513514515516511.命令行配置示例配置示例如下：示例案例如下圖所示，一個公司通過SecPath防火墻的地址轉(zhuǎn)換功能連接到廣域網(wǎng)。要求該公司能夠通過防火墻Ethernet3/0/0訪問Internet，公司內(nèi)部對外提供WWW、FTP和SMTP服務，而且提供兩臺WWW的服務器。公司內(nèi)部網(wǎng)址為/16。其中，內(nèi)部FTP服務器地址為，內(nèi)部WWW服務器1地址為,內(nèi)部WWW服務器2地址為，內(nèi)部SMTP服務器地址為,并且希望可以對外提供統(tǒng)一的服務器的IP地址。內(nèi)部/24網(wǎng)段可以訪問Internet，其它網(wǎng)段的PC機則不能訪問Interneto外部的PC可以訪問內(nèi)部的服務器。公司具有00至05六個合法的IP地址。選用00作為公司對外的IP地址，WWW服務器2對外采用8080端口。FTP服務器WVWV服務器1WVWV服務崩2SMTP服務器I公司內(nèi)部以太IM~~|00II00n□外部PC#配置地址池和訪問控制列表，允許/24網(wǎng)段進行地址轉(zhuǎn)換。[H3C]nataddress-group10105[H3C]aclnumber2001[H3C-acl-basic-2001]rulepermitsource55[H3C-acl-basic-2001]ruledenysource55[H3C-acl-basic-2001]quit[H3C]interfaceEthernet3/0/0[H3C-Ethernet3/0/0]natoutbound2001address-group1#設置內(nèi)部FTP服務器。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insideftp#設置內(nèi)部WWW服務器1。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insidewww#設置內(nèi)部WWW服務器2。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal008080insidewww2.Web配置示例首先，通過Console口設置防火墻接口地址、Telnet終端用戶等（同交換機、路由器），然后每排選擇出一臺計算機來配置防火墻，打開IE瀏覽器，在地址欄中，輸入防火墻地址:，打開防火墻的登錄窗口，輸入用戶名、密碼，然后單擊Login，進行防火墻的配置界面。配置訪問控制列表（ACL）進入配置界面之后，首先配置訪問控制列表（ACL）,單擊左側(cè)WEB管理列表中的防火墻列表下面的ACL。WEB管理日田系統(tǒng)管理業(yè)務管理JI-J1-T-J1_防范黑漕安全區(qū)域IP-MAC地址綁定防火墻會話TCP代理配置_J_J_J_J_|_|11十WPN配置網(wǎng)頁過濾郵件過德流量統(tǒng)計常用工具幫助信息日志管理在線用戶注銷用戶單擊右側(cè)的“ACL配置信息”按鈕。ACL配置信息Ad時間段信息輸入一個ACL編號，在這里輸入一個基本ACL編號，其中編號范圍為:^□ACL:1000-19卯f基本ML：2000-2999高eRACL：3000-3999MACACL:4000-4999輸入完成之后，單擊“創(chuàng)建”按鈕。選中上面創(chuàng)建的策略，單擊“配置”按鈕。輸入規(guī)則編號，例如：1，操作為“Permit”，源IP地址在這里為空，表示所有內(nèi)網(wǎng)中的IP地址，輸入完之后，單擊“應用”按鈕。如果，只是想對內(nèi)網(wǎng)中的一臺或幾臺計算機進行控制，則可以在上面輸入源IP地址，例如：對內(nèi)網(wǎng)中的這一段地址進行控制，可參照下圖：單擊“應用”按鈕之后，在出現(xiàn)的對話框中，單擊“返回”按鈕，在出現(xiàn)的對話框中，再次單擊“返回”按鈕。在上述單擊兩次返回按鈕之后，選中“Ethernet1/0”接口，然后單擊“配置”按鈕。接口的ACL配置慨覽當前頁：1頁總數(shù)：1項總數(shù)：2頁面太小?13>*接口名稱ASPF策略包過德采用的ACL以大祺頭過德采用的ACL°Ethernet1/0Ethernet2/0

在出現(xiàn)的對話框中，過濾類型選擇“packet-filter”,ASPF策略號或ACL編號選擇“2001”，過濾方向選擇“outbound”，然后單擊“應用”按鈕，之后在出現(xiàn)的對話框中，單擊“返回”按鈕。再次選中“Ethernet1/0”接口，然后單擊“配置”按鈕。在出現(xiàn)的對話框中，過濾類型選擇“packet-filter”，ASPF策略號或ACL編號選擇“2001”，過濾方向選擇“inbound”，然后單擊“應用”按鈕，之后在出現(xiàn)的對話框中，單擊“返回”按鈕。配置NAT地址轉(zhuǎn)換首先，單擊左側(cè)WEB管理的“業(yè)務管理一NAT—地址池管理”。

WEB管壹_Ja但JJJJ_Ja但JJJJJIJ1J1地址轉(zhuǎn)換管理內(nèi)部服務器超時時間靜態(tài)表項DHCPSNMP防火墻VPNBBM網(wǎng)頁過慮郵件過德滯重統(tǒng)計常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)單擊“創(chuàng)建”按鈕。NAT弛址池配置慨覽輸入地址池的各項參數(shù)，然后單擊“應用”按鈕，如下圖:NAT弛址池配置慨覽輸入地址池的各項參數(shù)，然后單擊“應用”按鈕，如下圖:注意：?地址池長度（地址池中包含的所有地址個數(shù)）不能超過255個地址亡創(chuàng)建NAT14址泄應用氐||，回|之后，單擊左側(cè)WEB管理的“業(yè)務管理一NAT—地址轉(zhuǎn)換管理”。WEB管理日田4系統(tǒng)管理業(yè)務管理NATV1P置德德計具息理戶戶麗墻配過過統(tǒng)工信管用用S火PN頁件重用助志線銷防懷網(wǎng)郵流常幫日在注在右側(cè)，單擊“創(chuàng)建”按鈕。在出現(xiàn)的對話框中，首先選擇單選按鈕“ACL編號”輸入相應的參數(shù)，如下圖，輸入完之后，單擊“應用”按鈕。完成上述配置之后，單擊左側(cè)WEB管理的“業(yè)務管理一NAT-內(nèi)部服務器”。WEB管理系統(tǒng)管理業(yè)務管理NAT地址池管理WEB管理系統(tǒng)管理業(yè)務管理NAT地址池管理地址轉(zhuǎn)換管理1-1-J1-T-IBE內(nèi)部服務起時時間靜態(tài)表項DHCPSNMP防火墻WPN配首屈頁過痣郵件過痣流重統(tǒng)計常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)，單擊“創(chuàng)建”按鈕。NAT內(nèi)部服務器配置概覽輸入各項參數(shù)，如下圖，輸入完成之后，單擊“應用”按鈕。提示：?常用協(xié)議的能口號：Telnet23,FTP21,HTTPSO.「內(nèi)部犀務器映射參教配置—接口名稱:*Ethernetl/O協(xié)議類型:*TCP6妙外部地址:*54外部起始端口：OAnySO外部結(jié)束端口：內(nèi)部起始地址:*3妙內(nèi)部結(jié)束地址：妙內(nèi)部端口：OAnySO妙應用卜||返回|配置外網(wǎng)只能訪問內(nèi)網(wǎng)的WEB服務器，而其它的訪問會被防火墻阻擋。單擊左側(cè)WEB管理的“防火墻一ACL”。IBIS41IB_J_I_J系統(tǒng)管理業(yè)務管理防火墻攻擊防范1-T-JI-J1-T-AC|k安全區(qū)域IP-MAC地址綁定防火墻會話TCP代理配置_J_J_J_I_I_JJJJvpnBEM網(wǎng)頁述慮郵件過4流重統(tǒng)計常用工具幫助信息日志管理在線用戶_J_J_J_I_I_JJJJ在右側(cè)，單擊“ACL配置信息”按鈕。輸入ACL編號，然后單擊“創(chuàng)建”按鈕。選中編號為“3001”的策略，然后單擊“配置”按鈕。輸入各項參數(shù)信息，如下圖，輸入完成之后，單擊“應用”按鈕，然后單擊“返回”按鈕，在出現(xiàn)的對話框中，再次單擊“返回”按鈕。選中“Ethernet2/0”端口，然后單擊“配置”按鈕。接口的ACL配置概覽當前頁：1頁總數(shù)：1項總數(shù)：2#接口名稱ASPF策略包過德采用ffiACL以大慘頭過德采用的ACL□Ethernetl/O2001(inbound)f2001(outboundJ^3Ethernet2/0配置輸入各項參數(shù)信息，如下圖，輸入完成之后，單擊“應用”按鈕。再次輸入各項參數(shù)信息，如下圖，注意過濾訪問為“outbound”，輸入完成之后，單擊“應用”按鈕，之后單擊“返回”按鈕。測試配置的效果首先，要在IP地址為3的計算機上建立一個用于測試的WEB站點，WEB站點建立完成之后，在外網(wǎng)的一臺計算機上，打開IE瀏覽器，在地址欄中輸入54，可以看測試站點，這說明在防火墻上NAT中建立的內(nèi)部服務器成功了，并且外網(wǎng)訪問內(nèi)網(wǎng)WEB站點的策略已經(jīng)生效。然后，讓內(nèi)網(wǎng)中的某一臺計算機去ping外網(wǎng)中的一臺計算機，例如：ping在命令提示符下，輸入命令：ping可以ping通，表示內(nèi)網(wǎng)訪問外網(wǎng)的策略已經(jīng)生效。禁止外網(wǎng)的計算機ping防火墻的外網(wǎng)端口在完成上面五步實驗之后，可以新建一條禁止ping防火墻的策略。單擊左側(cè)WEB管理的“防火墻一ACL”。WEB管理IBIS41系統(tǒng)管理業(yè)務管理防火墻攻擊防范1-T-JI-J1-T-_J_J_J_I_I_JJJJ安全區(qū)域IP-MAC地址綁定防火墻會話TCP代理配置vpnBEM網(wǎng)頁述慮郵件過4流重統(tǒng)計常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)，單擊“ACL配置信息”按鈕。輸入ACL編號，然后單擊“創(chuàng)建”按鈕。選中編號為“3002”的策略，然后單擊“配置”按鈕。輸入各項參數(shù)信息，如下圖，輸入完成之后，單擊“應用”按鈕，然后單擊“返回”按鈕，在出現(xiàn)的對話框中，再次單擊“返回”按鈕。選中“Ethernet2/0”端口，然后單擊“配置”按鈕。輸入各項參數(shù)信息，如下圖，輸入完成之后，單擊“應用”按鈕。再次輸入各項參數(shù)信息，如下圖，注意過濾訪問為“outbound”，輸入完成之后，單擊“應用”按鈕，之后單擊“返回”按鈕。完成上述配置之后，用一臺外網(wǎng)的計算機來pi