天理网络安全实验1.docx
《天理网络安全实验1.docx》由会员分享,可在线阅读,更多相关《天理网络安全实验1.docx(12页珍藏版)》请在冰豆网上搜索。
天理网络安全实验1
天津理工大学
计算机与通信工程学院
实验报告
2014至2015学年第二学期
课程名称
网络安全
姓名
吕帅霖20125872
专业
网络工程
年级
2012
实验
(1)
实验名称
防火墙配置
实验时间
2015年5月5日第6节至第7节
主讲教师
唐召东
辅导教师
唐召东
分组人员及各自完成工作
刘琪琪20125871
PC1配置
郭云浩20125867
PC2配置
王博20125877
PC3配置
王天杰20125878
PC4配置
软件环境
1.本实验所需实验设备如下:
(1)PC:
4台有以太网接口和COM口的PC
(2)线缆:
普通网线4根,Console线缆一根
(3)防火墙:
DPtech_UTM2000统一威胁管理设备一台
硬件环境
1.本实验所需实验设备如下:
(1)PC:
4台有以太网接口和COM口的PC
(2)线缆:
普通网线4根,Console线缆一根
(3)防火墙:
DPtech_UTM2000统一威胁管理设备一台
实验目的
1.了解防火墙的常用功能和配置
2.了解防火墙的两种配置方式
3.掌握ASPF的面向对象ACL的配置
4.加深理解防火墙中安全域的概念
实验内容(应包括实验题目、实验要求、实验任务等)
本实验拓扑图如图1所示:
图1实验环境搭建
3.实验功能要求:
通过对DPtech_UTM2000进行配置,实现如下的功能:
(1)Trust域(PC1)和Untrust域(PC2)的机器都能访问DMZ域(如PC3)的FTP服务器,但不能访问DMZ区的其它服务(通过ping命令测试)。
(2)DMZ域的用户(如PC3)不能获得Trust域和Untrust域所提供的任何服务。
(用ping命令测试)。
(3)Untrust域的用户(如PC2)不能获得Trust域任何机器(如PC1)所提供的服务。
实验过程与实验结果(可包括实验实施的步骤、算法描述、流程、结论等)
四、实验过程:
步骤1:
组网并架设FTP服务器
1.组网
按图1把各PC、FTP服务器与防火墙连接起来,由于DPtech设备默认7号口为管理口,因此连接方法为:
(1)用网线连接PC0的网口和防火墙的第7个接口(eth0_7);
(2)用网线连接PC1的网口和防火墙的第6个接口(eth0_6);
(3)用网线连接PC2的网口和防火墙的第5个接口(eth0_5);
(4)用网线连接PC3的网口和防火墙的第4个接口(eth0_4)。
2.设置各PC的IP地址和网关地址
(1)配置PC0的IP地址和网关:
PC0的IP为192.168.0.2;网关为192.168.0.1。
(2)配置PC1的IP地址和网关:
PC1的IP为192.168.1.2;网关为192.168.1.1。
(3)配置PC2的IP地址和网关:
PC2的IP为192.168.2.2;网关为192.168.2.1。
(4)配置PC3的IP地址和网关:
PC3的IP为192.168.3.2;网关为192.168.3.1。
配置如图2所示,注意:
完成配置后,四台PC之间应该是相互ping不通的状态。
图2计算机本地网卡IP地址配置(PC0)
3.架设FTP服务器
(1)在PC3上安装FTPServer软件3CDaemon,安装完毕后,创建FTP用户,并设置FTP用户的目录。
如图3所示:
图3FTP服务器的配置
(2)选择“开始”——“管理工具”——“Internet信息服务”中的“默认FTP站点”,并关闭之,防止两个FTP服务发生冲突,如下图所示:
图4关闭本机自带的FTP服务
(3)验证FTP服务器是否正常启动,在浏览器地址栏输入ftp:
//192.168.3.2,如果打开的页面是设置的文件夹目录,即说明配置成功,如图5所示:
图5验证FTP服务器配置结果
步骤2:
登录Web网络管理界面
在PC上启动浏览器,在地址栏中输入IP地址“192.168.0.1”后回车,即可进入设备的Web登录页面,如图6所示。
输入用户名“admin”、密码“admin”和验证码登录系统。
登录成功后可以看到如图7所示的界面。
图6WEB管理界面登录窗口
图7WEB管理系统主界面
步骤3:
设置防火墙各接口的IP地址
在主界面中,依次选择【基本】=>【网络管理】=>【接口管理】=>【组网配置】即可进入配置界面,并依次对eth0_4、eth0_5、eth0_6做以下处理:
eth0_4:
选择【静态IP】,主地址填写“192.168.3.1”,然后直接点【确定】
eth0_5:
选择【静态IP】,主地址填写“192.168.2.1”,然后直接点【确定】
eth0_6:
选择【静态IP】,主地址填写“192.168.1.1”,然后直接点【确定】
完成配置后的以太网口配置应为图8所示的结果。
图8防火墙以太网端口配置
步骤4:
把防火墙各接口加入到不同的域中
在主界面中,依次选择【基本】=>【网络管理】=>【网络对象】=>【安全域】即可进入安全域配置界面,并依次建立如下的安全域:
(1)eth0_6划分到“Trust”域中
(2)eth0_5划分到“Untrust”域中
(3)eth0_4划分到“DMZ”域中
直接点击【端口】,然后将对应的以太网口挑勾,即可完成配置,配置过程如下图所示:
图9配置安全域的过程
完成配置后,配置情况应该如图10所示。
图10配置完成后安全域
此时,再次执行ping命令,应为如下表所示的结果:
PC号
Ping命令执行结果
PC1
可以ping通PC2、PC3
PC2
无法ping通任何机器
PC3
可以ping通PC2,无法ping通PC1
步骤5:
配置地址对象
在主界面中,依次选择【基本】=>【网络管理】=>【网络对象】=>【IP地址】=>【地址对象】即可进入如图11所示的地址对象配置界面。
图11地址对象配置界面
在这之中,对eth0_4、eth0_5、eth0_6的IP地址段进行如下配置:
(1)创建名为“trusthost1”的地址对象,点击【内容】选择【IP地址范围】,数值为192.168.1.1-192.168.1.1(也可以选择【IP地址\掩码】)按【确定】保存。
(2)创建名为“untrusthost2”的地址对象,点击【内容】选择【IP地址范围】,数值为192.168.2.1-192.168.2.1(也可以选择【IP地址\掩码】)按【确定】保存。
(3)创建名为“ftpserver”的地址对象,点击【内容】选择【IP地址范围】,数值为192.168.3.1-192.168.3.1(也可以选择【IP地址\掩码】)按【确定】保存。
完成配置后,配置情况应该如图12所示。
图12配置完成后的地址对象
步骤6:
创建面向对象ACL
在主界面中,依次选择选择【基本】=>【防火墙】=>【包过滤策略】,进入包过滤策略管理界面,实际上这里的包过滤策略就是ACL的配置,并进行如下的配置:
(1)从untrust域到DMZ域的ftp服务包全部做放行处理。
(2)从trust域到DMZ域的ftp服务包全部做放行处理。
(3)从trust域到DMZ域的所有服务包全部做丢包处理。
(4)从DMZ域到untrust域的所有服务包全部做丢包处理。
完成配置后,应如下图所示:
图13配置完成后的包过滤策略(ACL)
步骤7:
测试与再配置:
1.面向对象的ACL配置完成后,通过登录FTP服务器来测试所配置ACL规则的正确性。
2.通过Ping命令作为代表测试各域间服务的访问特性。
3.如配置未能达到实验功能要求,则检查并修改各ACL,然后进行再测试,直到达到实验的功能要求。
理论上,配置完成策略的结果应该如下表所示:
PC号
访问ftp服务
访问其他服务
PC1
正常
访问PC2正常,PC3丢包
PC2
正常
访问PC1、PC3均丢包
PC3
——
访问PC1、PC2均丢包
接下来依次验证四条规则:
(1)验证规则1,如下图所示:
图14在PC2上验证规则1
我们先关闭规则1,因为最早的配置中PC2因为优先级原因无法访问PC3的任何服务,因此结果如图14
(1)所示。
当规则1生效后,FTP服务被自动放行,因此可以在PC2上面访问PC3的FTP服务目录,如图14
(2)所示。
(2)验证规则2和3,如下图所示:
图15在PC1上验证规则2和3
由于规则2和3实际上就是说PC1可以访问PC3上的FTP服务,但是其他的任何服务都是被禁止的。
因此我们使用ping命令(ICMP协议)来验证,在PC1上的CMD窗口pingPC3,结果自然是失败的,但却可以正常登陆PC3上的FTP服务。
(3)验证规则4,如下图所示:
图16在PC3上验证规则4
规则4实际上说的是PC3本来因为优先级的缘故可以用任何协议访问PC2的资源,但是加了规则之后就不允许任何形式的访问。
因此我们用ping命令验证,在规则4的作用下,在PC3上面pingPC2是无法ping通的,而关闭规则4后,再去pingPC2就能正常相互发包了。
由此可以得出,以上结果与表中预计的结果相同,实验成功。
附录(可包括源程序清单或其它说明)
升级会员 