實(shí)驗(yàn)三防火墻配置實(shí)驗(yàn)【實(shí)驗(yàn)?zāi)康摹客ㄟ^本實(shí)驗(yàn)初步掌握防火墻的基本配置方法和操作技能，掌握組建較大規(guī)模企業(yè)網(wǎng)時(shí)防火墻策略的配置及應(yīng)用，包括如下幾個(gè)方面：/掌握防火墻的配置方法/掌握訪問控制列表(ACL)的基本配置/掌握過濾規(guī)則的配置實(shí)驗(yàn)前學(xué)生應(yīng)具備以下知識(shí)：/了解防火墻的工作原理。/了解防火墻的安裝和配置。/了解防火墻的應(yīng)用特點(diǎn)。實(shí)驗(yàn)過程中，部分實(shí)驗(yàn)內(nèi)容需要與相鄰的同學(xué)配合完成。此外，學(xué)生需要將實(shí)驗(yàn)的結(jié)果記錄下來，并回答相關(guān)思考題，填寫到實(shí)驗(yàn)報(bào)告中。【實(shí)驗(yàn)類型】綜合型實(shí)驗(yàn)【實(shí)驗(yàn)環(huán)境】實(shí)驗(yàn)設(shè)備：華為-3Com交換機(jī)S3100H六臺(tái)、華為-3Com防火墻SecpathF100-C六臺(tái)。實(shí)驗(yàn)組成：每排PC為一組，占用一臺(tái)S3100H交換機(jī)，其中S3100H交換機(jī)劃分兩個(gè)VLAN，每個(gè)VLAN只加入三臺(tái)PC，S3100H交換機(jī)的另外兩個(gè)端口，分別連接防火墻的LAN口和WAN口?！緦?shí)驗(yàn)內(nèi)容】以下實(shí)驗(yàn)內(nèi)容可根據(jù)實(shí)驗(yàn)室的具體情況和課時(shí)安排的變化進(jìn)行適當(dāng)?shù)恼{(diào)整，實(shí)驗(yàn)內(nèi)容中的思考題以書面形式解答并附在實(shí)驗(yàn)報(bào)告的后面。本次實(shí)驗(yàn)的主要項(xiàng)目包括以下幾個(gè)方面：0分組配置防火墻，使LAN中的PC通過防火墻提供的NAT訪問外網(wǎng)，然后測(cè)試LAN中的PC機(jī)和WAN中的PC機(jī)之間的連通性；0配置防火墻，使WAN中的PC機(jī)只能夠通過80端口訪問LAN中的WEB服務(wù)器，且不能在外網(wǎng)中掃描到內(nèi)網(wǎng)中的計(jì)算機(jī)，配置完成之后，測(cè)試配置效果。需要注意的是，學(xué)生在實(shí)驗(yàn)過程中要嚴(yán)格按實(shí)驗(yàn)指導(dǎo)書的操作步驟和要求操作，且小組成員應(yīng)緊密配合，以保證實(shí)驗(yàn)過程能夠順利完成。具體的實(shí)驗(yàn)步驟如下：一、實(shí)驗(yàn)準(zhǔn)備進(jìn)行網(wǎng)絡(luò)初始化配置，這一部分操作由指導(dǎo)教師和實(shí)驗(yàn)員預(yù)先進(jìn)行設(shè)置。將S3100H交換機(jī)劃分兩個(gè)VLAN(VLAN2和VLAN3)，其中VLAN2連接到防火墻的LAN口，VLAN3連接到防火墻的WAN口。配置防火墻的管理地址，配置為54二、防火墻的基本配置首先，每個(gè)實(shí)驗(yàn)小組分別按照下表配置各個(gè)PC機(jī)的IP地址，每排只會(huì)用到六臺(tái)計(jì)算機(jī)，每排2臺(tái)計(jì)算機(jī)網(wǎng)線用于防火墻的WAN和LAN口，具體的IP地址分配情況參見圖1和下表。

Web服務(wù)器內(nèi)網(wǎng)用戶1Web服務(wù)器84Web服務(wù)器內(nèi)網(wǎng)用戶1Web服務(wù)器84外網(wǎng)用戶80防火墻IP地址表：防火墻管理IP51513514515516511.命令行配置示例配置示例如下：示例案例如下圖所示，一個(gè)公司通過SecPath防火墻的地址轉(zhuǎn)換功能連接到廣域網(wǎng)。要求該公司能夠通過防火墻Ethernet3/0/0訪問Internet，公司內(nèi)部對(duì)外提供WWW、FTP和SMTP服務(wù)，而且提供兩臺(tái)WWW的服務(wù)器。公司內(nèi)部網(wǎng)址為/16。其中，內(nèi)部FTP服務(wù)器地址為，內(nèi)部WWW服務(wù)器1地址為,內(nèi)部WWW服務(wù)器2地址為，內(nèi)部SMTP服務(wù)器地址為,并且希望可以對(duì)外提供統(tǒng)一的服務(wù)器的IP地址。內(nèi)部/24網(wǎng)段可以訪問Internet，其它網(wǎng)段的PC機(jī)則不能訪問Interneto外部的PC可以訪問內(nèi)部的服務(wù)器。公司具有00至05六個(gè)合法的IP地址。選用00作為公司對(duì)外的IP地址，WWW服務(wù)器2對(duì)外采用8080端口。FTP服務(wù)器WVWV服務(wù)器1WVWV服務(wù)崩2SMTP服務(wù)器I公司內(nèi)部以太I(xiàn)M~~|00II00n□外部PC#配置地址池和訪問控制列表，允許/24網(wǎng)段進(jìn)行地址轉(zhuǎn)換。[H3C]nataddress-group10105[H3C]aclnumber2001[H3C-acl-basic-2001]rulepermitsource55[H3C-acl-basic-2001]ruledenysource55[H3C-acl-basic-2001]quit[H3C]interfaceEthernet3/0/0[H3C-Ethernet3/0/0]natoutbound2001address-group1#設(shè)置內(nèi)部FTP服務(wù)器。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insideftp#設(shè)置內(nèi)部WWW服務(wù)器1。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insidewww#設(shè)置內(nèi)部WWW服務(wù)器2。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal008080insidewww2.Web配置示例首先，通過Console口設(shè)置防火墻接口地址、Telnet終端用戶等（同交換機(jī)、路由器），然后每排選擇出一臺(tái)計(jì)算機(jī)來配置防火墻，打開IE瀏覽器，在地址欄中，輸入防火墻地址:，打開防火墻的登錄窗口，輸入用戶名、密碼，然后單擊Login，進(jìn)行防火墻的配置界面。配置訪問控制列表（ACL）進(jìn)入配置界面之后，首先配置訪問控制列表（ACL）,單擊左側(cè)WEB管理列表中的防火墻列表下面的ACL。WEB管理日田系統(tǒng)管理業(yè)務(wù)管理JI-J1-T-J1_防范黑漕安全區(qū)域IP-MAC地址綁定防火墻會(huì)話TCP代理配置_J_J_J_J_|_|11十WPN配置網(wǎng)頁過濾郵件過德流量統(tǒng)計(jì)常用工具幫助信息日志管理在線用戶注銷用戶單擊右側(cè)的“ACL配置信息”按鈕。ACL配置信息Ad時(shí)間段信息輸入一個(gè)ACL編號(hào)，在這里輸入一個(gè)基本ACL編號(hào)，其中編號(hào)范圍為:^□ACL:1000-19卯f基本ML：2000-2999高eRACL：3000-3999MACACL:4000-4999輸入完成之后，單擊“創(chuàng)建”按鈕。選中上面創(chuàng)建的策略，單擊“配置”按鈕。輸入規(guī)則編號(hào)，例如：1，操作為“Permit”，源IP地址在這里為空，表示所有內(nèi)網(wǎng)中的IP地址，輸入完之后，單擊“應(yīng)用”按鈕。如果，只是想對(duì)內(nèi)網(wǎng)中的一臺(tái)或幾臺(tái)計(jì)算機(jī)進(jìn)行控制，則可以在上面輸入源IP地址，例如：對(duì)內(nèi)網(wǎng)中的這一段地址進(jìn)行控制，可參照下圖：單擊“應(yīng)用”按鈕之后，在出現(xiàn)的對(duì)話框中，單擊“返回”按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回”按鈕。在上述單擊兩次返回按鈕之后，選中“Ethernet1/0”接口，然后單擊“配置”按鈕。接口的ACL配置慨覽當(dāng)前頁：1頁總數(shù)：1項(xiàng)總數(shù)：2頁面太小?13>*接口名稱ASPF策略包過德采用的ACL以大祺頭過德采用的ACL°Ethernet1/0Ethernet2/0

在出現(xiàn)的對(duì)話框中，過濾類型選擇“packet-filter”,ASPF策略號(hào)或ACL編號(hào)選擇“2001”，過濾方向選擇“outbound”，然后單擊“應(yīng)用”按鈕，之后在出現(xiàn)的對(duì)話框中，單擊“返回”按鈕。再次選中“Ethernet1/0”接口，然后單擊“配置”按鈕。在出現(xiàn)的對(duì)話框中，過濾類型選擇“packet-filter”，ASPF策略號(hào)或ACL編號(hào)選擇“2001”，過濾方向選擇“inbound”，然后單擊“應(yīng)用”按鈕，之后在出現(xiàn)的對(duì)話框中，單擊“返回”按鈕。配置NAT地址轉(zhuǎn)換首先，單擊左側(cè)WEB管理的“業(yè)務(wù)管理一NAT—地址池管理”。

WEB管壹_Ja但JJJJ_Ja但JJJJJIJ1J1地址轉(zhuǎn)換管理內(nèi)部服務(wù)器超時(shí)時(shí)間靜態(tài)表項(xiàng)DHCPSNMP防火墻VPNBBM網(wǎng)頁過慮郵件過德滯重統(tǒng)計(jì)常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)單擊“創(chuàng)建”按鈕。NAT弛址池配置慨覽輸入地址池的各項(xiàng)參數(shù)，然后單擊“應(yīng)用”按鈕，如下圖:NAT弛址池配置慨覽輸入地址池的各項(xiàng)參數(shù)，然后單擊“應(yīng)用”按鈕，如下圖:注意：?地址池長度（地址池中包含的所有地址個(gè)數(shù)）不能超過255個(gè)地址亡創(chuàng)建NAT14址泄應(yīng)用氐||，回|之后，單擊左側(cè)WEB管理的“業(yè)務(wù)管理一NAT—地址轉(zhuǎn)換管理”。WEB管理日田4系統(tǒng)管理業(yè)務(wù)管理NATV1P置德德計(jì)具息理戶戶麗墻配過過統(tǒng)工信管用用S火PN頁件重用助志線銷防懷網(wǎng)郵流常幫日在注在右側(cè)，單擊“創(chuàng)建”按鈕。在出現(xiàn)的對(duì)話框中，首先選擇單選按鈕“ACL編號(hào)”輸入相應(yīng)的參數(shù)，如下圖，輸入完之后，單擊“應(yīng)用”按鈕。完成上述配置之后，單擊左側(cè)WEB管理的“業(yè)務(wù)管理一NAT-內(nèi)部服務(wù)器”。WEB管理系統(tǒng)管理業(yè)務(wù)管理NAT地址池管理WEB管理系統(tǒng)管理業(yè)務(wù)管理NAT地址池管理地址轉(zhuǎn)換管理1-1-J1-T-IBE內(nèi)部服務(wù)起時(shí)時(shí)間靜態(tài)表項(xiàng)DHCPSNMP防火墻WPN配首屈頁過痣郵件過痣流重統(tǒng)計(jì)常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)，單擊“創(chuàng)建”按鈕。NAT內(nèi)部服務(wù)器配置概覽輸入各項(xiàng)參數(shù)，如下圖，輸入完成之后，單擊“應(yīng)用”按鈕。提示：?常用協(xié)議的能口號(hào)：Telnet23,FTP21,HTTPSO.「內(nèi)部犀務(wù)器映射參教配置—接口名稱:*Ethernetl/O協(xié)議類型:*TCP6妙外部地址:*54外部起始端口：OAnySO外部結(jié)束端口：內(nèi)部起始地址:*3妙內(nèi)部結(jié)束地址：妙內(nèi)部端口：OAnySO妙應(yīng)用卜||返回|配置外網(wǎng)只能訪問內(nèi)網(wǎng)的WEB服務(wù)器，而其它的訪問會(huì)被防火墻阻擋。單擊左側(cè)WEB管理的“防火墻一ACL”。IBIS41IB_J_I_J系統(tǒng)管理業(yè)務(wù)管理防火墻攻擊防范1-T-JI-J1-T-AC|k安全區(qū)域IP-MAC地址綁定防火墻會(huì)話TCP代理配置_J_J_J_I_I_JJJJvpnBEM網(wǎng)頁述慮郵件過4流重統(tǒng)計(jì)常用工具幫助信息日志管理在線用戶_J_J_J_I_I_JJJJ在右側(cè)，單擊“ACL配置信息”按鈕。輸入ACL編號(hào)，然后單擊“創(chuàng)建”按鈕。選中編號(hào)為“3001”的策略，然后單擊“配置”按鈕。輸入各項(xiàng)參數(shù)信息，如下圖，輸入完成之后，單擊“應(yīng)用”按鈕，然后單擊“返回”按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回”按鈕。選中“Ethernet2/0”端口，然后單擊“配置”按鈕。接口的ACL配置概覽當(dāng)前頁：1頁總數(shù)：1項(xiàng)總數(shù)：2#接口名稱ASPF策略包過德采用ffiACL以大慘頭過德采用的ACL□Ethernetl/O2001(inbound)f2001(outboundJ^3Ethernet2/0配置輸入各項(xiàng)參數(shù)信息，如下圖，輸入完成之后，單擊“應(yīng)用”按鈕。再次輸入各項(xiàng)參數(shù)信息，如下圖，注意過濾訪問為“outbound”，輸入完成之后，單擊“應(yīng)用”按鈕，之后單擊“返回”按鈕。測(cè)試配置的效果首先，要在IP地址為3的計(jì)算機(jī)上建立一個(gè)用于測(cè)試的WEB站點(diǎn)，WEB站點(diǎn)建立完成之后，在外網(wǎng)的一臺(tái)計(jì)算機(jī)上，打開IE瀏覽器，在地址欄中輸入54，可以看測(cè)試站點(diǎn)，這說明在防火墻上NAT中建立的內(nèi)部服務(wù)器成功了，并且外網(wǎng)訪問內(nèi)網(wǎng)WEB站點(diǎn)的策略已經(jīng)生效。然后，讓內(nèi)網(wǎng)中的某一臺(tái)計(jì)算機(jī)去ping外網(wǎng)中的一臺(tái)計(jì)算機(jī)，例如：ping在命令提示符下，輸入命令：ping可以ping通，表示內(nèi)網(wǎng)訪問外網(wǎng)的策略已經(jīng)生效。禁止外網(wǎng)的計(jì)算機(jī)ping防火墻的外網(wǎng)端口在完成上面五步實(shí)驗(yàn)之后，可以新建一條禁止ping防火墻的策略。單擊左側(cè)WEB管理的“防火墻一ACL”。WEB管理IBIS41系統(tǒng)管理業(yè)務(wù)管理防火墻攻擊防范1-T-JI-J1-T-_J_J_J_I_I_JJJJ安全區(qū)域IP-MAC地址綁定防火墻會(huì)話TCP代理配置vpnBEM網(wǎng)頁述慮郵件過4流重統(tǒng)計(jì)常用工具幫助信息日志管理在線用戶注銷用戶在右側(cè)，單擊“ACL配置信息”按鈕。輸入ACL編號(hào)，然后單擊“創(chuàng)建”按鈕。選中編號(hào)為“3002”的策略，然后單擊“配置”按鈕。輸入各項(xiàng)參數(shù)信息，如下圖，輸入完成之后，單擊“應(yīng)用”按鈕，然后單擊“返回”按鈕，在出現(xiàn)的對(duì)話框中，再次單擊“返回”按鈕。選中“Ethernet2/0”端口，然后單擊“配置”按鈕。輸入各項(xiàng)參數(shù)信息，如下圖，輸入完成之后，單擊“應(yīng)用”按鈕。再次輸入各項(xiàng)參數(shù)信息，如下圖，注意過濾訪問為“outbound”，輸入完成之后，單擊“應(yīng)用”按鈕，之后單擊“返回”按鈕。完成上述配置之后，用一臺(tái)外網(wǎng)的計(jì)算機(jī)來pi