防火墻綜合實(shí)驗(yàn)

PAGEPAGE5防火墻實(shí)驗(yàn)【實(shí)驗(yàn)名稱】防火墻實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹空莆辗阑饓Φ幕九渲?；掌握防火墻安全策略的配置。【技術(shù)原理】管理員證書：用證書方式對(duì)管理員進(jìn)行身份認(rèn)證。證書包括CA證書、防火墻證書、防火墻私鑰、管理員證書。證書文件有兩種編碼格式：PEM和DER，后綴名可以有pem，der，cer，crt等多種，后綴名與編碼格式?jīng)]有必然聯(lián)系。CA證書、防火墻證書和防火墻私鑰只支持PEM編碼格式，cacert.crt和cacert.pem是完全相同的文件。管理員證書支持PEM和DER兩種，因此提供administrator.crt和administrator.der證書administrator.crt和administrator.pem是完全相同的文件。*.p12文件是將CA、證書和私鑰打包的文件。NAT(NetworkAddressTranslation)屬接入廣域網(wǎng)技術(shù)，是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)。它完美地解決了IP地址不足的問題，而且還能夠有效地避免來自外部網(wǎng)絡(luò)的攻擊，隱藏并保護(hù)內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)。網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT（NetworkAddressPortTranslation）是人們比較常用的一種NAT方式。它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面，將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的IP地址上，同時(shí)在該地址上加上一個(gè)由NAT設(shè)備選定的TCP端口號(hào)。地址綁定：為了防止內(nèi)部人員進(jìn)行非法IP盜用(例如盜用權(quán)限更高人員的IP地址，以獲得權(quán)限外的信息)，可以將內(nèi)部網(wǎng)絡(luò)的IP地址與MAC地址綁定，盜用者即使修改了IP地址，也因MAC地址不匹配而盜用失敗，而且由于網(wǎng)卡MAC地址的唯一確定性，可以根據(jù)MAC地址查出使用該MAC地址的網(wǎng)卡，進(jìn)而查出非法盜用者。報(bào)文中的源MAC地址與IP地址對(duì)如果無法與防火墻中設(shè)置的MAC地址與IP地址對(duì)匹配，將無法通過防火墻?？构簦轰J捷防火墻能抵抗以下的惡意攻擊：SYNFlood攻擊；ICMPFlood攻擊；PingofDeath攻擊；UDPFlood攻擊；PINGSWEEP攻擊；TCP端口掃描；UDP端口掃描；松散源路由攻擊；嚴(yán)格源路由攻擊；WinNuke攻擊；smuef攻擊；無標(biāo)記攻擊；圣誕樹攻擊；TSYN&FIN攻擊；無確認(rèn)FIN攻擊；IP安全選項(xiàng)攻擊；IP記錄路由攻擊；IP流攻擊；IP時(shí)間戳攻擊；Land攻擊；teardrop攻擊?！緦?shí)驗(yàn)設(shè)備】防火墻1臺(tái)（RG-Wall60一臺(tái)。每實(shí)驗(yàn)臺(tái)一組）計(jì)算機(jī)3臺(tái)跳線1條【實(shí)驗(yàn)拓?fù)洹俊緦?shí)驗(yàn)步驟】1、管理員首次登錄正確管理防火墻前，需要配置防火墻的管理主機(jī)、管理員帳號(hào)和權(quán)限、網(wǎng)口上可管理IP、防火墻管理方式?！裟J(rèn)管理員帳號(hào)為student，密碼為student◆默認(rèn)管理口：防火墻WAN口◆可管理IP：WAN口上的默認(rèn)IP地址為00/24◆管理主機(jī)：默認(rèn)為00/24◆默認(rèn)管理方式：（1）用跳線將管理主機(jī)與WAN口連接（2）用管理員證書進(jìn)行身份認(rèn)證（3）訪問00:6666（注：若用電子鑰匙進(jìn)行認(rèn)證，則訪問https://防火墻可管理IP地址:6667），進(jìn)入WEB訪問界面。此方式下的通信是加密的。用ping命令查看內(nèi)網(wǎng)PC與外網(wǎng)服務(wù)器的連通性。2、防火墻基本配置添加管理員帳號(hào)。要區(qū)分哪些配置具體是由哪個(gè)管理員進(jìn)行設(shè)置的，也就是責(zé)任的劃分。進(jìn)入管理配置>>管理員賬號(hào)，在右窗口點(diǎn)擊“添加”。輸入賬號(hào)和口令，并選擇賬號(hào)類型。下面要配置一下防火墻上的相關(guān)接口。（注：在每個(gè)設(shè)置完成時(shí)注意點(diǎn)擊“保存配置”選項(xiàng)。這些基本配置在每個(gè)實(shí)驗(yàn)臺(tái)上都已經(jīng)完成，同學(xué)們可點(diǎn)擊查看一下）Lan是我們的內(nèi)網(wǎng)網(wǎng)關(guān)接口，在本實(shí)驗(yàn)中我們統(tǒng)一定義為172.16.組號(hào).252，作為內(nèi)網(wǎng)的網(wǎng)關(guān)。Wan和Wan1都是外網(wǎng)接口，功能相同。在本實(shí)驗(yàn)中連接外網(wǎng)用Wan口。3、基本配置完成之后，我們來配置一個(gè)NAPT。1）首先我們要定義內(nèi)網(wǎng)對(duì)象進(jìn)入對(duì)象定義>>地址，打開“地址列表”，在右窗口點(diǎn)擊“添加”，如下圖設(shè)置：（注意網(wǎng)段號(hào)是組號(hào)，下圖中是第七組所以網(wǎng)段號(hào)為7）防火墻NAT規(guī)則設(shè)置進(jìn)入安全策略>>安全規(guī)則，在右窗口點(diǎn)擊“NAT規(guī)則”，如下圖設(shè)置：3）驗(yàn)證NAPT功能①驗(yàn)證內(nèi)網(wǎng)PC可以訪問外網(wǎng)服務(wù)器。用內(nèi)網(wǎng)PC機(jī)ping外網(wǎng)服務(wù)器00看是否連通。②驗(yàn)證外網(wǎng)服務(wù)器不能訪問內(nèi)網(wǎng)PC。用外網(wǎng)服務(wù)器ping內(nèi)網(wǎng)PC看是否連通。4、防火墻地址綁定功能設(shè)置進(jìn)入安全策略>>地址綁定，在右窗口進(jìn)行設(shè)置，如下圖：在“主動(dòng)探測IP/MAC地址對(duì)”欄選中l(wèi)an口，先點(diǎn)擊“探測”按鈕，再點(diǎn)擊“探測到的IP/MAC對(duì)”，彈出下圖窗口，如下設(shè)置：然后在“已綁定IP/MAC對(duì)”欄中看是否已設(shè)置成功。如果設(shè)置成功，下面驗(yàn)證IP/MAC綁定效果。將原IP地址為的主機(jī)IP設(shè)置為3，作ping測試是否能連通。將內(nèi)網(wǎng)中另一臺(tái)主機(jī)的IP地址設(shè)置為，作ping測試看是否能連通。防火墻抗攻擊設(shè)置進(jìn)入安全策略>>抗攻擊，本實(shí)驗(yàn)只設(shè)置Lan口的抗攻擊策略，如下圖設(shè)置：驗(yàn)證超長字節(jié)報(bào)文不能通過：①