實(shí)驗(yàn)三-防火墻的配置

實(shí)驗(yàn)三防火墻配置實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹客ㄟ^(guò)本實(shí)驗(yàn)初步掌握防火墻的根本配置方法和操作技能，掌握組建較大規(guī)模企業(yè)網(wǎng)時(shí)防火墻策略的配置及應(yīng)用，包括如下幾個(gè)方面：掌握防火墻的配置方法掌握訪問(wèn)控制列表〔ACL〕的根本配置掌握過(guò)濾規(guī)那么的配置實(shí)驗(yàn)前學(xué)生應(yīng)具備以下知識(shí)：了解防火墻的工作原理。了解防火墻的安裝和配置。了解防火墻的應(yīng)用特點(diǎn)。實(shí)驗(yàn)過(guò)程中，局部實(shí)驗(yàn)內(nèi)容需要與相鄰的同學(xué)配合完成。此外，學(xué)生需要將實(shí)驗(yàn)的結(jié)果記錄下來(lái)，并答復(fù)相關(guān)思考題，填寫到實(shí)驗(yàn)報(bào)告中?！緦?shí)驗(yàn)類型】綜合型實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】實(shí)驗(yàn)設(shè)備：華為-3Com交換機(jī)S3100H六臺(tái)、華為-3Com防火墻SecpathF100-C六臺(tái)。實(shí)驗(yàn)組成：每排PC為一組，占用一臺(tái)S3100H交換機(jī)，其中S3100H交換機(jī)劃分兩個(gè)VLAN，每個(gè)VLAN只參加三臺(tái)PC，S3100H交換機(jī)的另外兩個(gè)端口，分別連接防火墻的LAN口和WAN口?！緦?shí)驗(yàn)內(nèi)容】以下實(shí)驗(yàn)內(nèi)容可根據(jù)實(shí)驗(yàn)室的具體情況和課時(shí)安排的變化進(jìn)行適當(dāng)?shù)恼{(diào)整，實(shí)驗(yàn)內(nèi)容中的思考題以書面形式解答并附在實(shí)驗(yàn)報(bào)告的后面。本次實(shí)驗(yàn)的主要工程包括以下幾個(gè)方面：分組配置防火墻，使LAN中的PC通過(guò)防火墻提供的NAT訪問(wèn)外網(wǎng)，然后測(cè)試LAN中的PC機(jī)和WAN中的PC機(jī)之間的連通性；配置防火墻，使WAN中的PC機(jī)只能夠通過(guò)80端口訪問(wèn)LAN中的WEB效勞器，且不能在外網(wǎng)中掃描到內(nèi)網(wǎng)中的計(jì)算機(jī)，配置完成之后，測(cè)試配置效果。需要注意的是，學(xué)生在實(shí)驗(yàn)過(guò)程中要嚴(yán)格按實(shí)驗(yàn)指導(dǎo)書的操作步驟和要求操作，且小組成員應(yīng)緊密配合，以保證實(shí)驗(yàn)過(guò)程能夠順利完成。具體的實(shí)驗(yàn)步驟如下：一、實(shí)驗(yàn)準(zhǔn)備進(jìn)行網(wǎng)絡(luò)初始化配置，這一局部操作由指導(dǎo)教師和實(shí)驗(yàn)員預(yù)先進(jìn)行設(shè)置。1．將S3100H交換機(jī)劃分兩個(gè)VLAN〔VLAN2和VLAN3〕，其中VLAN2連接到防火墻的LAN口，VLAN3連接到防火墻的WAN口。2．配置二、防火墻的根本配置首先，每個(gè)實(shí)驗(yàn)小組分別按照下表配置各個(gè)PC機(jī)的IP地址，每排只會(huì)用到六臺(tái)計(jì)算機(jī)，每排2臺(tái)計(jì)算機(jī)網(wǎng)線用于防火墻的WAN和LAN口，具體的IP地址分配情況參見(jiàn)圖1和下表。圖1實(shí)驗(yàn)網(wǎng)絡(luò)結(jié)構(gòu)圖防火墻IP地址表：防火墻管理IP1234561．命令行配置例如配置例如如下：例如案例如下列圖所示，一個(gè)公司通過(guò)SecPath防火墻的地址轉(zhuǎn)換功能連接到廣域網(wǎng)。要求該公司能夠通過(guò)防火墻Ethernet3/0/0訪問(wèn)Internet，公司內(nèi)部對(duì)外提供WWW、FTP和SMTP效勞，而且提供兩臺(tái)WWW的效勞器。公司內(nèi)部網(wǎng)址為。其中，內(nèi)部FTP效勞器地址為，內(nèi)部WWW效勞器1地址為，內(nèi)部WWW效勞器2地址為，內(nèi)部SMTP效勞器地址為，并且希望可以對(duì)外提供統(tǒng)一的效勞器的IP地址。內(nèi)部網(wǎng)段可以訪問(wèn)Internet，其它網(wǎng)段的PC機(jī)那么不能訪問(wèn)Internet。外部的PC可以訪問(wèn)內(nèi)部的效勞器。公司具有00至05六個(gè)合法的IP地址。選用00作為公司對(duì)外的IP地址，WWW效勞器2對(duì)外采用8080端口。#配置地址池和訪問(wèn)控制列表，允許網(wǎng)段進(jìn)行地址轉(zhuǎn)換。[H3C]aclnumber2001[H3C-acl-basic-2001]quit[H3C]interfaceEthernet3/0/0[H3C-Ethernet3/0/0]natoutbound2001address-group1#設(shè)置內(nèi)部FTP效勞器。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insideftp#設(shè)置內(nèi)部WWW效勞器1。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insidewww#設(shè)置內(nèi)部WWW效勞器2。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal008080insidewww2．Web配置例如首先，通過(guò)Console口設(shè)置防火墻接口地址、Telnet終端用戶等〔同交換機(jī)、路由器〕，然后每排選擇出一臺(tái)計(jì)算機(jī)來(lái)配置防火墻，翻開(kāi)IE瀏覽器，在地址欄中，輸入防火墻地址：，翻開(kāi)防火墻的登錄窗口，輸入用戶名、密碼，然后單擊Login，進(jìn)行防火墻的配置界面。配置訪問(wèn)控制列表〔ACL〕進(jìn)入配置界面之后，首先配置訪問(wèn)控制列表〔ACL〕，單擊左側(cè)WEB管理列表中的防火墻列表下面的ACL。單擊右側(cè)的“ACL配置信息〞按鈕。輸入一個(gè)ACL編號(hào)，在這里輸入一個(gè)根本ACL編號(hào)，其中編號(hào)范圍為：輸入完成之后，單擊“創(chuàng)立〞按鈕。選中上面創(chuàng)立的策略，單擊“配置〞按鈕。輸入規(guī)那么編號(hào)，例如：1，操作為“Permit〞，源IP地址在這里為空，表示所有內(nèi)網(wǎng)中的IP地址，輸入完之后，單擊“應(yīng)用〞按鈕。如果，只是想對(duì)內(nèi)網(wǎng)中的一臺(tái)或幾臺(tái)計(jì)算機(jī)進(jìn)行控制，那么可以在上面輸入源IP地址，例如：對(duì)內(nèi)網(wǎng)中的這一段地址進(jìn)行控制，可參照下列圖：?jiǎn)螕簟皯?yīng)用〞按鈕之后，在出現(xiàn)的對(duì)話框中，單擊“返回〞按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回〞按鈕。在上述單擊兩次返回按鈕之后，選中“Ethernet1/0〞接口，然后單擊“配置〞按鈕。在出現(xiàn)的對(duì)話框中，過(guò)濾類型選擇“packet-filter〞，ASPF策略號(hào)或ACL編號(hào)選擇“2001〞，過(guò)濾方向選擇“outbound〞，然后單擊“應(yīng)用〞按鈕，之后在出現(xiàn)的對(duì)話框中，單擊“返回〞按鈕。再次選中“Ethernet1/0〞接口，然后單擊“配置〞按鈕。在出現(xiàn)的對(duì)話框中，過(guò)濾類型選擇“packet-filter〞，ASPF策略號(hào)或ACL編號(hào)選擇“2001〞，過(guò)濾方向選擇“inbound〞，然后單擊“應(yīng)用〞按鈕，之后在出現(xiàn)的對(duì)話框中，單擊“返回〞按鈕。配置NAT地址轉(zhuǎn)換首先，單擊左側(cè)WEB管理的“業(yè)務(wù)管理→NAT→地址池管理〞。在右側(cè)單擊“創(chuàng)立〞按鈕。輸入地址池的各項(xiàng)參數(shù)，然后單擊“應(yīng)用〞按鈕，如下列圖：之后，單擊左側(cè)WEB管理的“業(yè)務(wù)管理→NAT→地址轉(zhuǎn)換管理〞。在右側(cè)，單擊“創(chuàng)立〞按鈕。在出現(xiàn)的對(duì)話框中，首先選擇單項(xiàng)選擇按鈕“ACL編號(hào)〞。輸入相應(yīng)的參數(shù)，如下列圖，輸入完之后，單擊“應(yīng)用〞按鈕。完成上述配置之后，單擊左側(cè)WEB管理的“業(yè)務(wù)管理→NAT→內(nèi)部效勞器〞。在右側(cè)，單擊“創(chuàng)立〞按鈕。輸入各項(xiàng)參數(shù)，如下列圖，輸入完成之后，單擊“應(yīng)用〞按鈕。配置外網(wǎng)只能訪問(wèn)內(nèi)網(wǎng)的WEB效勞器，而其它的訪問(wèn)會(huì)被防火墻阻擋。單擊左側(cè)WEB管理的“防火墻→ACL〞。在右側(cè)，單擊“ACL配置信息〞按鈕。輸入ACL編號(hào)，然后單擊“創(chuàng)立〞按鈕。選中編號(hào)為“3001〞的策略，然后單擊“配置〞按鈕。輸入各項(xiàng)參數(shù)信息，如下列圖，輸入完成之后，單擊“應(yīng)用〞按鈕，然后單擊“返回〞按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回〞按鈕。選中“Ethernet2/0〞端口，然后單擊“配置〞按鈕。輸入各項(xiàng)參數(shù)信息，如下列圖，輸入完成之后，單擊“應(yīng)用〞按鈕。再次輸入各項(xiàng)參數(shù)信息，如下列圖，注意過(guò)濾訪問(wèn)為“outbound〞，輸入完成之后，單擊“應(yīng)用〞按鈕，之后單擊“返回〞按鈕。測(cè)試配置的效果首先，要在IP地址為3的計(jì)算機(jī)上建立一個(gè)用于測(cè)試的WEB站點(diǎn)，WEB站點(diǎn)建立完成之后，在外網(wǎng)的一臺(tái)計(jì)算機(jī)上，翻開(kāi)IE瀏覽器，在地址欄中輸入54，可以看測(cè)試站點(diǎn)，這說(shuō)明在防火墻上NAT中建立的內(nèi)部效勞器成功了，并且外網(wǎng)訪問(wèn)內(nèi)網(wǎng)WEB站點(diǎn)的策略已經(jīng)生效。在命令提示符下，輸入命令：可以ping通，表示內(nèi)網(wǎng)訪問(wèn)外網(wǎng)的策略已經(jīng)生效。禁止外網(wǎng)的計(jì)算機(jī)ping防火墻的外網(wǎng)端口在完成上面五步實(shí)驗(yàn)之后，可以新建一條禁止ping防火墻的策略。單擊左側(cè)WEB管理的“防火墻→ACL〞。在右側(cè)，單擊“ACL配置信息〞按鈕。輸入ACL編號(hào)，然后單擊“創(chuàng)立〞按鈕。選中編號(hào)為“3002〞的策略，然后單擊“配置〞按鈕。輸入各項(xiàng)參數(shù)信息，如下列圖，輸入完成之后，單擊“應(yīng)用〞按鈕，然后單擊“返回〞按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回〞按鈕。選中“Et