防火墻試驗【試驗名稱】防火墻試驗【試驗目的】把握防火墻的根本配置；把握防火墻安全策略的配置?！颈尘懊枋觥坑媒尤霃V域網(wǎng)技術〔NT，將私有地址轉化為合法IP地址。解決IP題，有效避開來自外部網(wǎng)絡的攻擊，隱蔽并保護內部網(wǎng)絡的計算機。PortTranslation〕是人們比較常用的一種NATIP地址后面，將內部連接映射到外部IPNAT設備選定的TCP端口號。地址綁定：為了防止內部人員進展非法IP盜用(例如盜用權限更高人員的IP地址，以獲得權限外的信息)，可以將內部網(wǎng)絡的IP地址與MAC地址綁定，盜用者即使修改了IPMACMAC地址的唯一確定性，可以依據(jù)MACMACMAC地址IPMACIP地址對匹配，將無法通過防火墻。抗攻擊：銳捷防火墻能抵抗以下的惡意攻擊：SYNFlood攻擊；ICMPFlood攻擊；ofDeath攻擊；UDPFlood攻擊；PINGSWEEP攻擊；TCP端口掃描；UDP端口掃描；松散源路由攻擊；嚴格源路由攻擊；WinNuke攻擊；smuef攻擊；無標記攻擊；圣誕樹攻擊；TSYN&FINFIN攻擊；IP安全選項攻擊；IP記錄路由攻擊；IPIP時間戳攻擊；Land攻擊；teardrop攻擊?！拘〗M分工】組長：IP：192.168.10.200 治理員：IP：172.16.5.4 策略治理員+日志審計員：IP：172.16.5.3 日志審計員：IP：172.16.5.2 策略治理員：IP：172.16.5.1 配置治理員{注：在以下的試驗中，有治理員對防火墻進展了必要配置后，以后的試驗全部的成員都依據(jù)試結果。}【試驗拓撲】【試驗設備】PC 五臺防火墻1臺〔RG-Wall60 每試驗臺一組〕跳線 一條【試驗結果】治理員主機對治理員主機的IP進展更改，改為192.168.10.200圖一·治理員主機IP配置用超級中端重啟防火墻〔目的是清空防火墻以前的配置〕圖二·超級終端治理員為局域網(wǎng)內的其他主機添加治理員賬號，添加后如以以下圖圖三·治理員賬號添加治理主機，添加完后如以以下圖：圖四·治理主機LANIP172.16.5.252，添加后如以以下圖：圖五·LAN口NAPT定義內網(wǎng)對象，翻開內網(wǎng)定義——地址，然后是地址列表，點擊添加，添加完成后，點擊確定，如以以下圖：圖六·配置內網(wǎng)對象NET規(guī)章配置，進入安全策略——安全規(guī)章，點擊NAT規(guī)章，做如以以下圖配置，完成后確定：圖七·NET規(guī)章配置完成以上全部配置后，有組內其他PC機對配置進展驗證，任憑選中內網(wǎng)的一臺PCping192.168.10.200ping通的，如以以下圖：圖八·內網(wǎng)Ping外網(wǎng)PC機PingPCping不通的，結果如以以下圖：圖九·ping內網(wǎng)緣由：有圖六可知，我們設置了內網(wǎng)對象，IP172.16.5.0。只有處于這個網(wǎng)段PCPCPC機由于不是處于這個網(wǎng)段中，pingPC機的。防火墻地址綁定功能設置1〕進入安全策略——地址綁定，配置完成后，點擊確定如以以下圖：圖十·LANMAC綁定IP/MAC地址對，先探測，然后點擊探測到的IP/MAC地址對，先選中一個地址對，然后選中唯一性檢查，點擊綁定，如以以下圖：圖十一·IP/MAC綁定〔唯一性檢查〕試驗結果驗證

綁定成功后，對試驗結果進展驗證。IP172.16.5.1的主機IP172.16.5.11ping測試是否能如以以下圖：圖十二·原內網(wǎng)PC機IP圖十三·改后然后用這臺內網(wǎng)PCpingping不同的，結果如以以下圖：圖十四·不通IP172.16.5.1,ping測試是否連通。如以以下圖：圖十五·該主機原IP圖十六·改為被綁定的主機IPpingping不同的，如以以下圖：圖十七·ping不通緣由：由于在上面用防火墻安全策略的地址綁定，在我們的這個試驗中，我們選定了IP為172.16.5.1的一臺內網(wǎng)PC機做了IP/MACPC機便對應一個固定的MAC地址，當該PC機的IP更改后〔如圖十二和圖十三，由該PC機向外網(wǎng)PCIPMAC進展檢測，覺察不全都，將不予通過。同樣的，IP172.16.5.3172.16.5.1，172.16.5.1是被綁定的PC機〔如圖十五和圖十六，也是由于MAC不匹配，ping不通。防火墻抗攻擊設置進入安全策略——抗攻擊，只設置LAN口的抗攻擊策略，如以以下圖：圖十八·抗攻擊設置試驗結果的測試：PCPC800ping-l800192.168.10.200，可以發(fā)送成功，試驗結果如以以下圖：圖十九·發(fā)送成功PCPC801字節(jié)的報文，命令為ping-l801192.168.10.200，是發(fā)送不成功的，試驗結果如以以下圖：圖二十·發(fā)送失敗緣由：由上圖可看到，在防火墻的安全策略，抗攻擊設置中，對于ICMP包的長度設置已經(jīng)800800字節(jié)的數(shù)據(jù)包，防火墻會自行過濾掉，使800字節(jié)的ICMPping801字節(jié)的ICMPping通。最終總結以上便是關于防火墻所做的一些試驗內容，所謂防火墻，便是位于兩個(或多個)網(wǎng)絡間，實施訪問把握策略的一個或一組組件集合。對于防火墻的功能： 1〕包過濾功能主要包括針對網(wǎng)絡效勞的過濾以及針對數(shù)據(jù)包本身的過濾。2〕代理將用戶的訪問懇求變成由防火墻代為轉發(fā)，外部網(wǎng)絡看不見內部網(wǎng)絡的構造，也無法直接訪問內部網(wǎng)絡的主機。3〕網(wǎng)絡地址轉換主要包括針對網(wǎng)絡效勞的過濾以及針對數(shù)據(jù)包本身的過濾。4〕用戶身份認證對發(fā)出網(wǎng)絡訪問連接懇求的用戶和用戶懇求的