實(shí)驗(yàn)五(防火墻)

實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)名稱(chēng)基于Windows的NAT防火墻實(shí)驗(yàn)指導(dǎo)教師實(shí)驗(yàn)類(lèi)型網(wǎng)絡(luò)平安實(shí)驗(yàn)學(xué)時(shí)4實(shí)驗(yàn)時(shí)間一、實(shí)驗(yàn)?zāi)康摹?〕了解和學(xué)習(xí)網(wǎng)絡(luò)平安中，防火墻的根本原理、方法及其應(yīng)用；〔2〕學(xué)習(xí)和掌握防火墻技術(shù)及系統(tǒng)的功能與實(shí)現(xiàn)；〔3〕了解和學(xué)習(xí)WindowsNAT防火墻技術(shù)；〔4〕學(xué)習(xí)和掌握Windows系統(tǒng)中NAT防火墻的功能、配置和使用操作；二、實(shí)驗(yàn)儀器和器材windows2000NAT/2003Server的計(jì)算機(jī)；用虛擬環(huán)境進(jìn)行配置實(shí)驗(yàn)原理、內(nèi)容及步驟〔一〕、實(shí)驗(yàn)原理：(1)防火墻概述；〔2〕NET防火墻技術(shù)；〔3〕WindowsServer2003NAT防火墻〔4〕根據(jù)網(wǎng)絡(luò)拓?fù)鋱D〔二〕、實(shí)驗(yàn)內(nèi)容：〔1〕實(shí)驗(yàn)網(wǎng)絡(luò)環(huán)境配置；〔2〕安裝WindowsNAT防火墻；〔3〕配置WindowsNAT防火墻；〔4〕測(cè)試WindowsNAT防火墻；〔三〕實(shí)驗(yàn)步驟：1、虛擬網(wǎng)絡(luò)配置在本實(shí)驗(yàn)中，我們需要通過(guò)Vmware創(chuàng)立兩個(gè)虛擬網(wǎng)絡(luò)：網(wǎng)絡(luò)適配器、網(wǎng)絡(luò)適配器2，〔1〕啟動(dòng)Vmware，添加網(wǎng)絡(luò)適配器，一個(gè)為橋連，一個(gè)為NET〔2〕修改網(wǎng)絡(luò)適配參數(shù)：2、掛起電源，即啟動(dòng)Vmware2003Server：〔2〕配置本地連接2虛擬網(wǎng)卡的TCP/IP屬性配置。設(shè)置為：ip：10，子網(wǎng)掩碼：.3、安裝WindowsNAT防火墻Vmware2003Server在默認(rèn)情況下沒(méi)有安裝NAT協(xié)議，需要手工添加。在這個(gè)實(shí)驗(yàn)中，我們將通過(guò)配置并啟用Vmware2003Server的路由與遠(yuǎn)程訪問(wèn)實(shí)現(xiàn)NAT防火墻。具體實(shí)驗(yàn)步驟如下：〔1〕翻開(kāi)路由和遠(yuǎn)程訪問(wèn)在Vmware2003Server虛擬效勞器中，一次點(diǎn)擊桌面的“開(kāi)始菜單→所有程序→管理工具→路由和遠(yuǎn)程訪問(wèn)〞：然后彈出如下對(duì)話框：〔2〕路由和遠(yuǎn)程訪問(wèn)效勞器安裝向?qū)г谏蠄D中，翻開(kāi)的控制臺(tái)左側(cè)選中配置并啟用路由和遠(yuǎn)程訪問(wèn)?！?〕網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕單擊向?qū)е械南乱徊剑霈F(xiàn)如下對(duì)話框：選中“網(wǎng)絡(luò)地址轉(zhuǎn)換〔NAT〕〞單項(xiàng)選擇項(xiàng)，然后單擊“下一步〞按鈕；〔4〕NATInternet連接路由和遠(yuǎn)程訪問(wèn)效勞器安裝向?qū)棾觥癗ATInternet連接〞對(duì)話框，該對(duì)話框用于設(shè)置連接到Internet上的網(wǎng)絡(luò)接口，如下列圖所示：“本地連接〞的網(wǎng)絡(luò)接口，然后選中“通過(guò)設(shè)置根本防火墻來(lái)對(duì)選擇的接口進(jìn)行保護(hù)〞復(fù)選框，然后單擊下一步。〔5〕名稱(chēng)和地址轉(zhuǎn)換效勞路由和遠(yuǎn)程訪問(wèn)效勞器安裝向?qū)棾觥懊Q(chēng)和地址轉(zhuǎn)換效勞〞對(duì)話框，如下列圖：在上圖的對(duì)話框中，包含兩個(gè)單項(xiàng)選擇項(xiàng)：“啟用根本的名稱(chēng)和地址效勞〞和“我將稍后設(shè)置名稱(chēng)和地址效勞〞，在本實(shí)驗(yàn)中，對(duì)內(nèi)網(wǎng)的主機(jī)網(wǎng)絡(luò)設(shè)置采用手動(dòng)方式，因此這里選擇“我將稍后設(shè)置名稱(chēng)和地址效勞〞復(fù)選框。然后單擊下一步?！?〕結(jié)束NAT防火墻安裝向?qū)ё詈?，彈出“完成路由和遠(yuǎn)程訪問(wèn)效勞器安裝向?qū)Ж晫?duì)話框，點(diǎn)擊“完成〞按鈕，結(jié)束NAT防火墻的安裝。此時(shí)，在IP路由選擇列表中就可以看到“NAT/根本防火墻〞節(jié)點(diǎn)。4、配置WindowsNAT防火墻在路由和遠(yuǎn)程訪問(wèn)控制臺(tái)的樹(shù)形目錄“IP路由選擇器〞下將產(chǎn)生一個(gè)“NAT/根本防火墻〞節(jié)點(diǎn)，下面是我們通過(guò)該節(jié)點(diǎn)對(duì)防火墻進(jìn)行配置的步驟；〔1〕NAT防火墻日志記錄設(shè)置日志記錄是防火墻的一個(gè)擴(kuò)展功能，下面進(jìn)行設(shè)置WindowsNAT防火墻日志的實(shí)驗(yàn)操作。首先右鍵單擊IP路由選擇中的“NAT/根本防火墻〞，并右鍵菜單中選擇“屬性〞，如下列圖所示：〔2〕配置NAT轉(zhuǎn)換表緩存時(shí)間在彈出的NAT/根本防火墻屬性對(duì)話框中選中“轉(zhuǎn)換〞標(biāo)簽頁(yè)，本實(shí)驗(yàn)中，我們將NAT轉(zhuǎn)換表的TCP映射緩存時(shí)間設(shè)置為60分鐘，如下列圖所示：〔3〕配置NAT防火墻的DHCP和DNS代理在NAT防火墻屬性對(duì)話框中選擇“地址指派〞標(biāo)簽頁(yè)，并在該頁(yè)中可以選擇“使用DHCP分配器自動(dòng)分配IP地址〞，然后在IP地址和掩碼欄中分別設(shè)置內(nèi)網(wǎng)的網(wǎng)絡(luò)地址及其掩碼，如下列圖〔A〕所示；接著選擇NAT防火墻屬性對(duì)話框的“名稱(chēng)解析〞標(biāo)簽頁(yè)，并在該頁(yè)中可以選擇“使用城名系〔DNS〕的客戶(hù)端〞選項(xiàng)，如下列圖〔B〕所示：〔A〕(B)(4)過(guò)濾外網(wǎng)主機(jī)單擊IP路由選擇列表中的“NAT/根本防火墻〞節(jié)點(diǎn)，在右邊的視圖中出現(xiàn)網(wǎng)絡(luò)接口，選擇“本地連接〞，進(jìn)入它的屬性配置：在彈出的本地連接屬性對(duì)話框中選擇“NAT/根本防火墻〞標(biāo)簽頁(yè)，如下列圖所示：在上圖中我們是選擇“公用接口連接到Internet〞，并選中“在此接口上啟用根本防火墻〞，然后單擊“出站篩選器〞，彈出如下所示對(duì)話框：然后單擊新建按鈕，出現(xiàn)如下對(duì)話框：填寫(xiě)好我們要的源網(wǎng)絡(luò)和目標(biāo)網(wǎng)絡(luò)后單擊“確定〞按鈕，回到出站篩選對(duì)話框，并單擊確定按鈕；〔5〕動(dòng)態(tài)NAT設(shè)置WindowsNAT防火墻支持動(dòng)態(tài)NAT，可以在下列圖中所示接口屬性的“地址池〞標(biāo)簽頁(yè)中進(jìn)行動(dòng)態(tài)NAT設(shè)置。但在本實(shí)驗(yàn)中，不采用動(dòng)態(tài)NAT，所以對(duì)于上圖所示的外網(wǎng)地址池列表中，不進(jìn)行添加設(shè)置?！?〕在內(nèi)網(wǎng)中提供FTP效勞“效勞和端口〞是NAT防火墻端口映射的重點(diǎn)，它配置的是公用地址哪些端口的訪問(wèn)將被轉(zhuǎn)發(fā)到內(nèi)部局域網(wǎng)的哪個(gè)IP和端口上。我們可以通過(guò)WindowsNAT防火墻外網(wǎng)接口屬性的“效勞和端口〞標(biāo)簽頁(yè)進(jìn)行設(shè)置，在外網(wǎng)的用戶(hù)提供FTP效勞，點(diǎn)擊效勞列表中的“FTP效勞器〞便彈出如下對(duì)話框：點(diǎn)擊確定便行了，如下列圖所示：〔7〕禁止PingNAT防火墻測(cè)試為了防止外網(wǎng)惡意主機(jī)對(duì)NAT防火墻的Ping掃描攻擊，可以通過(guò)WindowsNAT防火墻外網(wǎng)接口屬性的“ICMP〞標(biāo)簽頁(yè)進(jìn)行ICMP協(xié)議過(guò)濾設(shè)置，如下列圖所示：5、WindowsNAT防火墻測(cè)試〔1〕外網(wǎng)Ping內(nèi)網(wǎng)NAT防火墻測(cè)試在外網(wǎng)主機(jī)上通過(guò)Ping命令掃描內(nèi)網(wǎng)NAT防火墻，例如在Windows系統(tǒng)的主機(jī)的命令提示符下輸入命令：以上結(jié)果說(shuō)明了，外網(wǎng)主機(jī)無(wú)法收到NAT防火墻Ping響應(yīng)數(shù)據(jù)包，這是由于在NAT防火墻中禁止了外網(wǎng)主機(jī)對(duì)NAT防火墻進(jìn)行Ping主機(jī)掃描攻擊。四、實(shí)驗(yàn)小結(jié)和思考〔包括感想、體會(huì)與啟示〕在這次的實(shí)驗(yàn)中，我不白怎么在一個(gè)IP地址的主機(jī)上進(jìn)行Ping測(cè)試，我們的主機(jī)不是只有一個(gè)IP地址嗎？怎么轉(zhuǎn)換？在進(jìn)行內(nèi)網(wǎng)主機(jī)Ping外網(wǎng)測(cè)試時(shí)不知是我的命令提示符界面選擇錯(cuò)誤