网络安全实验七防火墙Word下载.docx

网络安全实验七防火墙Word下载.docx

《网络安全实验七防火墙Word下载.docx》由会员分享，可在线阅读，更多相关《网络安全实验七防火墙Word下载.docx（18页珍藏版）》请在冰豆网上搜索。

第2步：

清除防火墙内部的配置信息，恢复到出厂状态

esetsaved-configuration

Thesavedconfigurationwillbeerased.

Areyousure?

[Y/N]y

Configurationinthedeviceisbeingcleared.

Pleasewait...

Theconfigurationfiledoesnotexist!

reboot

Thiscommandwillrebootthesystem.Sincethecurrentconfigurationmayhaveb

eenchanged,allchangesmaybelostifyoucontinue.Continue?

[Y/N]y

#Aug1405:

29:

27:

4992014H3CDRTMIB/4/REBOOT:

Rebootdevicebycommand.

**********************************************************

**

*H3CSecPathSeriesGatewayBOOTROM,Version1.14*

Copyright（c）2004-2007HangzhouH3CTechnologiesCo.,Ltd.

CompiledatThuApr509:

01:

18HKT2007

Testingmemory...OK!

128MbytesSDRAMMemory

16MbytesFlashMemory

HardwareVersionis2.0

CPLDVersionis1.0

PressCtrl-BtoenterBootMenu

Systemisself-decompressing.....................................................................................................................................................

Systemisstarting...

UserinterfaceCon0isavailable.

PressENTERtogetstarted.

第3步：

配置WAN和LAN口的IP地址

system-view

SystemView:

returntoUserViewwithCtrl+Z.

[H3C]interfaceEthernet0/3

[H3C-Ethernet0/3]ipaddress10.64.129.150255.255.255.0

[H3C-Ethernet0/3]q

[H3C]interfaceEthernet0/2

[H3C-Ethernet0/2]ipaddress192.168.0.254255.255.255.0

[H3C-Ethernet0/2]

第4步：

配置主机IP地址

正确配置主机的IP地址、子网掩码、默认网关和DNS服务器地址，如图1-2所示：

图1-2配置主机IP地址

第5步：

配置静态路由

[H3C]iproute-static0.0.0.00.0.0.010.64.129.254

第6步：

配置访问控制列表（ACL）和网络地址翻译（NAT）

[H3C]aclnumber3000

[H3C-acl-adv-3000]rule1permitipsource192.168.0.10.0.0.255destinationany

[H3C-acl-adv-3000]q

[H3C-Ethernet0/3]firewallpacket-filter3000outbound

[H3C-Ethernet0/3]natoutbound3000

[H3C-Ethernet0/3]

第7步：

把接口设为信任区域并定义为允许访问

[H3C]firewallzonetrust

[H3C-zone-trust]addinterfaceEthernet0/3

[H3C-zone-trust]addinterfaceEthernet0/2

[H3C]firewallpacket-filterdefaultpermit

第8步：

配置过程中可以随时在用户视图下保存配置信息

save

Theconfigurationwillbewrittentothedevice.

[Y/N]

BeforepressingENTERyoumustchoose'

YES'

or'

NO'

[Y/N]:

y

Nowsavingcurrentconfigurationtothedevice.

Savingconfigurationflash:

/config.cfg.Pleasewait...

.............

Currentconfigurationhasbeensavedtothedevicesuccessfully.

第二部分：

防火墙使用进阶

（2）基于防火墙的网络安全拓扑结构，如图2-1所示，通过Web方式来配置防火墙，并验证防火墙的主要功能；

图2-1网络拓扑图

按图3所示的网络拓扑图正确连线，其中一台电脑的串口（COM1）与防火墙的CONSOLE口相连。

设置防火墙为路由模式

sys

[H3C]firewallmoderoute

Thefirewallhasbeeninthismode.

[H3C-zone-trust]quit

第４步：

设置防火墙的管理员帐户

[H3C]local-useradmin

Newlocaluseradded.

[H3C-luser-admin]passwordsimpleadmin

[H3C-luser-admin]level3

[H3C-luser-admin]service-typetelnet

第５步：

设置PC机的IP地址

设置PC机的IP地址，如图2-2所示：

图2-2PC机的IP地址

第６步：

Web访问

在浏览器里输入：

192.168.0.254，弹出如图2-3所示的界面：

图2-3

输入防火墙管理员帐户（admin）和密码（admin），弹出如图2-4所示的界面：

图2-4

图2-5

图2-6

WAN口IP地址设置

点击左侧导航菜单“系统管理”，“接口管理”，弹出如图2-7所示的接口配置界面：

图2-7

选中“Ethernet0/3”，点击“配置”，弹出如图2-8所示的接口IP地址配置，输入相应的IP地址：

10.64.129.150/255.255.255.0。

图2-8

点击左侧导航菜单“系统管理”，“静态路由”，弹出如图2-9所示的配置界面：

图2-9

点击“创建”，弹出如图2-10的配置界面：

图2-10

第9步：

配置ACL

点击左侧导航菜单“防火墙”，“ACL”，弹出如图2-11所示的配置界面：

11步：

在本地配置里，查看当前配置信息。

displaycurrent-configuration

#

sysnameH3C

firewallpacket-filterenable

firewallpacket-filterdefaultpermit

undoconnection-limitenable

connection-limitdefaultdeny

connection-limitdefaultamountupper-limit50lower-limit20

firewallstatisticsystemenable

radiusschemesystem

server-typeextended

domainsystem

local-useradmin

passwordsimpleadmin

service-typetelnet

level3

aclnumber2000match-orderauto

rule1permitsource192.168.0.00.0.0.255

interfaceAux0

asyncmodeflow

interfaceEthernet0/0

interfaceEthernet0/1

interfaceEthernet0/2

ipaddress192.168.0.254255.255.255.0

interfaceEthernet0/3

ipaddress10.64.129.150255.255.255.0

firewallpacket-filter2000outbound

natoutbound2000

interfaceEncrypt1/0

interfaceNULL0

firewallzonelocal

setpriority100

firewallzonetrust

addinterfaceEthernet0/2

addinterfaceEthernet0/3

setpriority85

firewallzoneuntrust

setpriority5

firewallzoneDMZ

setpriority50

firewallinterzonelocaltrust

firewallinterzonelocaluntrust

firewallinterzonelocalDMZ

firewallinterzonetrustuntrust

firewallinterzonetrustDMZ

firewallinterzoneDMZuntrust

iproute-static0.0.0.00.0.0.010.64.129.254preference70

user-interfacecon0

user-interfaceaux0

user-interfacevty04

第三部分：

防火墙高级应用

（2）基于防火墙的网络安全拓扑结构，如图3-1所示，并验证防火墙的主要功能（攻击防范、网页过滤、邮件过滤等）；

图3-1网络拓扑图

按【第二部分：

防火墙使用进阶】完成Web配置

此时内部主机能通过防火墙的NAT功能访问外网。

地址（网址）过滤（需要在命令行和Web方式下操作）

[H3C]firewallurl-filterhostenable//使能网址过滤

[H3C]aspf1//设置aspf（ApplicationSpecificPacketFilter）策略编号

[H3C-aspf-policy-1]detecthttp//使能检测Http协议

[H3C-Ethernet0/3]firewallaspf1outbound//使能aspf策略过滤

如果禁止的地址很多，可以在Web下操作

Web方式登陆过程如第二部分所述，此处省略。

点击“网页过滤”，“地址过滤”

此时，在DOS下用PING命令pingXX，会发现是可以PING通的，因为在ASPF策略里只检测（detect）HTTP协议。

IP形式的网址访问禁止与允许

在DOS下用nslookup查询IP地址：

115.239.211.110

内容过滤

[H3C]firewallwebdata-filterenable//使能webdata-filter（内容过滤）

[H3C]firewallwebdata-filteradd?

//？

是需要过滤的关键字

STRING<

1-128>

Webdata-filterKeyword

[H3C]firewallwebdata-filteraddcisco

Addingkeywordsucceeded.

[H3C]firewallwebdata-filteraddmusic

Addingkeywordsucceeded.//加入到两个关键词“cisco”“music”

[H3C]aspf1

[H3C-aspf-policy-1]detecthttp

[H3C-aspf-policy-1]detecttcp

[H3C-aspf-policy-1]detectudp

[H3C-Ethernet0/3]firewallaspf1outbound

也可以在Web界面下操作，点击“网页过滤”，“内容过滤”，在“网页内容关键字”里输入cnn、movie等，其中cisco和music是命令行下输入的关键词

邮件过滤

[H3C]firewallsmtp-filter?

//四种类型的邮箱过滤

attachAttachfilenamefilter

contentContentfilter

rcpttoRecipientsfilter

subjectSubjectfilter

[H3C]firewallsmtp-filterattachenable//使能附件过滤

[H3C]firewallsmtp-filtercontentenable//使能内容过滤

[H3C]firewallsmtp-filtersubjectenable//使能主题过滤

[H3C-aspf-policy-1]detectsmtp

【实验心得】

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

防火墙本质是一个路由器加上访问控制功能的组合体。