防火墙配置.docx
《防火墙配置.docx》由会员分享,可在线阅读,更多相关《防火墙配置.docx(29页珍藏版)》请在冰豆网上搜索。
防火墙配置
贵州大学实验报告
学院:
计信学院专业:
信息安全班级:
信息101
姓名
杨青
学号
1008060173
实验组
实验时间
20周星期日
指导教师
蒋朝惠
成绩
实验项目名称
防火墙配置
实验目的
项目一:
SecPath防火墙网页内容过滤配置
项目二:
SecPath防火墙防病毒配置
项目三:
SecPath防火墙应用层过滤配置
实验要求
项目一:
SecPath防火墙网页内容过滤配置
组网需求:
某公司想限制访问带有某些关键字的网站。
项目二:
SecPath防火墙防病毒配置
组网需求
内网用户通过NAT访问Internet,Web服务器通过NATServer对外提供服务。
欲通过访问控制列表,在内网入口处和Internet出口处对常见的病毒进行防范。
实验原理
项目一:
组网图
SecPath1000F:
版本为Version3.40,ESS1604P01;
WEB/DNSServer:
Windows2003操作系统;
PC:
WindowsXP操作系统,DHCP客户端。
项目二:
组网图
软件版本如下:
SecPath100F:
VRP3.40ESS1604;
Web服务器:
Windows2000ServerwithSP4
项目三:
实验仪器
实验步骤
项目一:
SecPath1000F的主要配置
#
sysnameQuidway
#
firewallpacket-filterenable
firewallpacket-filterdefaultpermit
#
firewallwebdata-filterenable//启用webdata-filter
firewallwebdata-filterload-fileflash:
/webdata//指定保存的文件和位置
#
aspf-policy1//配置aspf
detecthttp//对http进行检测
detecttcp
detectudp
#
dhcpserverip-pooltest//创建DHCP地址池,定义属性值
network192.168.1.0mask255.255.255.0
gateway-list192.168.1.1
dns-list202.38.1.2
domain-namehuawei-
#
aclnumber3000//创建NAT转换的ACL
rule0permitipsource192.168.1.00.0.0.255
rule1denyip
#
interfaceGigabitEthernet0/0
ipaddress192.168.1.1255.255.255.0
dhcpselectinterface//在接口下启用DHCP
dhcpserverdns-list202.38.1.2//定义DHCPServer分配的DNS
#
interfaceGigabitEthernet1/1
ipaddress202.38.1.1255.255.255.0
firewallaspf1outbound//接口出方向应用aspf
natoutbound3000//配置natoutbound
#
firewallzonetrust
addinterfaceGigabitEthernet0/0
setpriority85
#
firewallzoneuntrust
addinterfaceGigabitEthernet0/1
setpriority5
#
iproute-static0.0.0.00.0.0.0202.38.1.2//配置默认路由
#
[Quidway]firewallwebdata-filteraddapache //添加webdata-filter关键字
[Quidway]disfirewallwebdata-filteritem-all //显示webdata-filter关键字
Firewallwebdata-filteritems
item(s)addedmanually:
1
item(s)loadedfromfile:
0
SN Match-Times Keywords
----------------------------------------------
1 0 apache
dir
Directoryofflash:
/
1-rw-8576044Sep30200608:
57:
31system
2-rw-1021629Sep27200610:
26:
51http.zip
3-rw-1735Oct09200617:
18:
35config.cfg
4-rw-4Sep28200621:
27:
48snmpboots
5-rw-27Oct09200617:
12:
44webdata//在flash中保存webdata
morewebdata//显示“webdata”文件内容
apache
PC的验证结果
显示自动获取的IP地址:
未启用webdata-filte时,访问Web服务器:
启用webdata-filte后,不能访问Web服务器:
四、配置关键点
1.可以通过Tftp程序把webdata文件下载到本地,修改完成后再上传到flash中;
2.添加完关键字后,如果重启设备,配置的关键字会丢失,需要通过firewallwebdata-filtersave-filewebdata命令保存关键字到flash中;此外,如果重启设备后,还需要重新加载已经保存在flash中的文件,可以通过firewallwebdata-filterload-filewebdata命令自动加载。
项目二:
discur
#
sysnameQuidway
#
firewallpacket-filterenable
firewallpacket-filterdefaultpermit
#
insulate
#
undoconnection-limitenable
connection-limitdefaultdeny
connection-limitdefaultamountupper-limit50lower-limit20
#
firewallstatisticsystemenable
#
radiusschemesystem
#
domainsystem
#
aclnumber2001
rule0permitsource10.1.1.00.0.0.255//设置允许进行NAT转换的网段
#
aclnumber3001//常见的病毒防范列表
rule0denytcpsource-porteq3127
rule1denytcpsource-porteq1025
rule2denytcpsource-porteq5554
rule3denytcpsource-porteq9996
rule4denytcpsource-porteq1068
rule5denytcpsource-porteq135
rule6denyudpsource-porteq135
rule7denytcpsource-porteq137
rule8denyudpsource-porteqnetbios-ns
rule9denytcpsource-porteq138
rule10denyudpsource-porteqnetbios-dgm
rule11denytcpsource-porteq139
rule12denyudpsource-porteqnetbios-ssn
rule13denytcpsource-porteq593
rule14denytcpsource-porteq4444
rule15denytcpsource-porteq5800
rule16denytcpsource-porteq5900
rule18denytcpsource-porteq8998
rule19denytcpsource-porteq445
rule20denyudpsource-porteq445
rule21denyudpsource-porteq1434
rule30denytcpdestination-porteq3127
rule31denytcpdestination-porteq1025
rule32denytcpdestination-porteq5554
rule33denytcpdestination-porteq9996
rule34denytcpdestination-porteq1068
rule35denytcpdestination-porteq135
rule36denyudpdestination-porteq135
rule37denytcpdestination-porteq137
rule38denyudpdestination-porteqnetbios-ns
rule39denytcpdestination-porteq138
rule40denyudpdestination-porteqnetbios-dgm
rule41denytcpdestination-porteq139
rule42denyudpdestination-porteqnetbios-ssn
rule43denytcpdestination-porteq593
rule44denytcpdestination-porteq4444
rule45denytcpdestination-porteq5800
rule46denytcpdestination-porteq5900
rule48denytcpdestination-porteq8998
rule49denytcpdestination-porteq445
rule50denyudpdestination-porteq445
rule51denyudpdestination-porteq1434
#
interfaceAux0
asyncmodeflow
interfaceEthernet0/0
ipaddress10.1.1.1255.255.255.0
firewallpacket-filter3001inbound//在内网接口处使用防病毒列表
#
interfaceEthernet0/1
#
interfaceEthernet0/2
#
interfaceEthernet0/3
#
interfaceEthernet1/0
ipaddress202.38.1.1255.255.255.0
firewallpacket-filter3001inbound//在Internet出口处应用防病毒列表
natoutbound2001
//将对外网口的www访问通过NATServer映射到内网web服务器
natserverprotocoltcpglobal202.38.1.1wwwinside10.1.1.2www
#
interfaceEthernet1/1
#
interfaceEthernet1/2
#
interfaceEncrypt2/0
#
interfaceNULL0
#
firewallzonelocal
setpriority100
#
firewallzonetrust
addinterfaceEthernet0/0
setpriority85
#
firewallzoneuntrust
setpriority5
#
firewallzoneDMZ
addinterfaceEthernet1/0
setpriority50
#
firewallinterzonelocaltrust
#
firewallinterzonelocaluntrust
#
firewallinterzonelocalDMZ
#
firewallinterzonetrustuntrust
#
firewallinterzonetrustDMZ
#
firewallinterzoneDMZuntrust
#
user-interfacecon0
user-interfaceaux0
user-interfacevty04
#
return
用sanport扫描Web_Server系统配置前和配置后的结果对比。
四、配置关键点
1、配置防病毒列表,对常见病毒的端口访问进行阻断;
2、在欲保护的网段接口上应用防病毒列表。
项目三:
按图连接好拓扑图:
防火墙型号:
Secpath10F100F(端口数有区别)
sys
[Quidway]firewallmodetransparent#防火墙工作透明模式
[Quidway]firewallsystem-ip10.1.1.200255.255.255.0#防火墙管理IP地址
[Quidway]firewallstatisticsystemenable#开取系统统计
[Quidway]firewallzonetrust#进入防火墙可信区视图
[Quidway-zone-trust]addinterfaceEthernet1/0#将E1接口加入可信区
[Quidway-zone-trust]addinterfaceEthernet1/1
[Quidway-zone-trust]addinterfaceEthernet1/2
[Quidway-zone-trust]addinterfaceEthernet1/3
[Quidway-zone-trust]addinterfaceEthernet1/4
Pc机ping10.1.1.200防火墙测试连同性
[Quidway-zone-trust]quit
[Quidway]firewallzoneuntrust#进入防火墙非可信区视图
[Quidway-zone-untrust]addinterfaceEthernet2/0#将E2接口加入非可信区
[Quidway-zone-untrust]quit
PC机ping10.1.1.1
[Quidway-aspf-policy-1]aspf-policy1#建立应用层检测策略
[Quidway-aspf-policy-1]detecthttp#设置应用层检测协议
[Quidway-aspf-policy-1]detectsmtp
[Quidway-aspf-policy-1]detecttcp
[Quidway-aspf-policy-1]detectudp
[Quidway]quit
[Quidway-Ethernet1/0]interfaceEthernet1/0
[Quidway-Ethernet1/0]promiscuous
[Quidway-Ethernet1/0]interfaceEthernet2/0
[Quidway-Ethernet2/0]promiscuous
[Quidway-Ethernet2/0]firewallaspf1outbound#将应用层策略用于接口e2/0
[Quidway]firewallpacket-filterenable#启用防火墙包过滤功能
[Quidway-zone-untrust]firewallurl-filterhostenable#启用防火墙url地址过滤功能
[Quidway]firewallurl-filterhostadddeny#设置要过滤的url地址
[Quidway]firewallurl-filterhostadddeny
[Quidway]firewallurl-filterhostadddeny
问题1:
在PC机上IE连接看是否连通,为什么?
问题2:
分别上贵州大学华为h3cgoogle的网站,后执行下条命令,下列标红色的语句数字是否为零
[Quidway]displayfirewallwebdata-filterall
Webdata-filterisenabled.
Webdata-filterhasloadedfile"null",thereare4item(s)infilternow.
Thereare7140packet(s)befiltered.
Thereare11548packet(s)passed.
[Quidway]firewallsmtp-filterrcpttoenable#启用邮件收件人过滤功能
[Quidway]firewallsmtp-filterrcpttoadddenyXXXX@#添加待过滤的邮件收件人用户
问题2:
用OutLook发送收件人为XXXX@看是否收到邮件,OutLook使用参考相关资料。
[Quidway]firewallsmtp-filtersubjectenable#启用邮件主题过滤功能
[Quidway]firewallsmtp-filtersubjectaddsubject_test#添加过滤主题为subject_test的邮件
问题3:
用OutLook发送主题为“Subject_test”的邮件,看是否收到邮件,OutLook使用参考相关资料。
?
[Quidway]interfaceEthernet2/0
[Quidway-Ethernet2/0]firewallaspf1inbound
问题:
4重复执行问题2和问题3操作,结果是否有区别,为什么?
三、实验报告(格式参见上次实验指导)
实验总结
防火墙的配置也不是很轻松,但仔细观看老师的演示和实验指导后,还是做出了实验,并在实验中对防火墙的基本配置有一定掌握和了解
指导教师意见
签名:
年月日