网络安全实验七防火墙.docx
《网络安全实验七防火墙.docx》由会员分享,可在线阅读,更多相关《网络安全实验七防火墙.docx(18页珍藏版)》请在冰豆网上搜索。
网络安全实验七防火墙
实验七防火墙
组别
5
学号
姓名
请注明主笔
工作量
20%
20%
20%
20%
吴前斌
20%
【实验题目】
防火墙
【实验目的与要求】
(1)理解防火墙的工作原理;
(2)掌握基于防火墙的网络安全设计;
【实验需求】
(1)提供H3CSecPath防火墙一台、交换机一台、计算机5台;
(2)掌握防火墙的不同工作模式,并能通过命令行或Web界面配置防火墙的主要功能;
【实验步骤】
第一部分:
防火墙的初级应用(防火墙当作路由器用)
第1步:
正确连线
按图1-1所示的网络拓扑图正确连线,其中一台电脑的串口(COM1)与防火墙的CONSOLE口相连。
图1-1网络拓扑图
第2步:
清除防火墙内部的配置信息,恢复到出厂状态
esetsaved-configuration
Thesavedconfigurationwillbeerased.
Areyousure?
[Y/N]y
Configurationinthedeviceisbeingcleared.
Pleasewait...
Theconfigurationfiledoesnotexist!
reboot
Thiscommandwillrebootthesystem.Sincethecurrentconfigurationmayhaveb
eenchanged,allchangesmaybelostifyoucontinue.Continue?
[Y/N]y
#Aug1405:
29:
27:
4992014H3CDRTMIB/4/REBOOT:
Rebootdevicebycommand.
**********************************************************
**
*H3CSecPathSeriesGatewayBOOTROM,Version1.14*
**
**********************************************************
Copyright(c)2004-2007HangzhouH3CTechnologiesCo.,Ltd.
CompiledatThuApr509:
01:
18HKT2007
Testingmemory...OK!
128MbytesSDRAMMemory
16MbytesFlashMemory
HardwareVersionis2.0
CPLDVersionis1.0
PressCtrl-BtoenterBootMenu
Systemisself-decompressing.....................................................................................................................................................
Systemisstarting...
UserinterfaceCon0isavailable.
PressENTERtogetstarted.
第3步:
配置WAN和LAN口的IP地址
system-view
SystemView:
returntoUserViewwithCtrl+Z.
[H3C]interfaceEthernet0/3
[H3C-Ethernet0/3]ipaddress10.64.129.150255.255.255.0
[H3C-Ethernet0/3]q
[H3C]interfaceEthernet0/2
[H3C-Ethernet0/2]ipaddress192.168.0.254255.255.255.0
[H3C-Ethernet0/2]
第4步:
配置主机IP地址
正确配置主机的IP地址、子网掩码、默认网关和DNS服务器地址,如图1-2所示:
图1-2配置主机IP地址
第5步:
配置静态路由
[H3C]iproute-static0.0.0.00.0.0.010.64.129.254
第6步:
配置访问控制列表(ACL)和网络地址翻译(NAT)
[H3C]aclnumber3000
[H3C-acl-adv-3000]rule1permitipsource192.168.0.10.0.0.255destinationany
[H3C-acl-adv-3000]q
[H3C-Ethernet0/3]firewallpacket-filter3000outbound
[H3C-Ethernet0/3]natoutbound3000
[H3C-Ethernet0/3]
第7步:
把接口设为信任区域并定义为允许访问
[H3C]firewallzonetrust
[H3C-zone-trust]addinterfaceEthernet0/3
[H3C-zone-trust]addinterfaceEthernet0/2
[H3C]firewallpacket-filterdefaultpermit
第8步:
配置过程中可以随时在用户视图下保存配置信息
save
Theconfigurationwillbewrittentothedevice.
Areyousure?
[Y/N]
BeforepressingENTERyoumustchoose'YES'or'NO'[Y/N]:
y
Nowsavingcurrentconfigurationtothedevice.
Savingconfigurationflash:
/config.cfg.Pleasewait...
.............
Currentconfigurationhasbeensavedtothedevicesuccessfully.
第二部分:
防火墙使用进阶
【实验需求】
(1)提供H3CSecPath防火墙一台、交换机一台、计算机5台;
(2)基于防火墙的网络安全拓扑结构,如图2-1所示,通过Web方式来配置防火墙,并验证防火墙的主要功能;
图2-1网络拓扑图
【实验步骤】
第1步:
正确连线
按图3所示的网络拓扑图正确连线,其中一台电脑的串口(COM1)与防火墙的CONSOLE口相连。
第2步:
清除防火墙内部的配置信息,恢复到出厂状态
第3步:
设置防火墙为路由模式
sys
[H3C]firewallmoderoute
Thefirewallhasbeeninthismode.
[H3C]firewallzonetrust
[H3C-zone-trust]addinterfaceEthernet0/3
[H3C-zone-trust]addinterfaceEthernet0/2
[H3C-zone-trust]quit
[H3C]firewallpacket-filterdefaultpermit
[H3C]interfaceEthernet0/2
[H3C-Ethernet0/2]ipaddress192.168.0.254255.255.255.0
第4步:
设置防火墙的管理员帐户
[H3C]local-useradmin
Newlocaluseradded.
[H3C-luser-admin]passwordsimpleadmin
[H3C-luser-admin]level3
[H3C-luser-admin]service-typetelnet
第5步:
设置PC机的IP地址
设置PC机的IP地址,如图2-2所示:
图2-2PC机的IP地址
第6步:
Web访问
在浏览器里输入:
192.168.0.254,弹出如图2-3所示的界面:
图2-3
输入防火墙管理员帐户(admin)和密码(admin),弹出如图2-4所示的界面:
图2-4
图2-5
图2-6
第7步:
WAN口IP地址设置
点击左侧导航菜单“系统管理”,“接口管理”,弹出如图2-7所示的接口配置界面:
图2-7
选中“Ethernet0/3”,点击“配置”,弹出如图2-8所示的接口IP地址配置,输入相应的IP地址:
10.64.129.150/255.255.255.0。
图2-8
第8步:
配置静态路由
点击左侧导航菜单“系统管理”,“静态路由”,弹出如图2-9所示的配置界面:
图2-9
点击“创建”,弹出如图2-10的配置界面:
图2-10
第9步:
配置ACL
点击左侧导航菜单“防火墙”,“ACL”,弹出如图2-11所示的配置界面:
11步:
在本地配置里,查看当前配置信息。
displaycurrent-configuration
#
sysnameH3C
#
firewallpacket-filterenable
firewallpacket-filterdefaultpermit
#
undoconnection-limitenable
connection-limitdefaultdeny
connection-limitdefaultamountupper-limit50lower-limit20
#
firewallstatisticsystemenable
#
radiusschemesystem
server-typeextended
#
domainsystem
#
local-useradmin
passwordsimpleadmin
service-typetelnet
level3
#
aclnumber2000match-orderauto
rule1permitsource192.168.0.00.0.0.255
#
interfaceAux0
asyncmodeflow
#
interfaceEthernet0/0
#
interfaceEthernet0/1
#
interfaceEthernet0/2
ipaddress192.168.0.254255.255.255.0
#
interfaceEthernet0/3
ipaddress10.64.129.150255.255.255.0
firewallpacket-filter2000outbound
natoutbound2000
#
interfaceEncrypt1/0
#
interfaceNULL0
#
firewallzonelocal
setpriority100
#
firewallzonetrust
addinterfaceEthernet0/2
addinterfaceEthernet0/3
setpriority85
#
firewallzoneuntrust
setpriority5
#
firewallzoneDMZ
setpriority50
#
firewallinterzonelocaltrust
#
firewallinterzonelocaluntrust
#
firewallinterzonelocalDMZ
#
firewallinterzonetrustuntrust
#
firewallinterzonetrustDMZ
#
firewallinterzoneDMZuntrust
#
iproute-static0.0.0.00.0.0.010.64.129.254preference70
#
user-interfacecon0
user-interfaceaux0
user-interfacevty04
#
第三部分:
防火墙高级应用
【实验需求】
(1)提供H3CSecPath防火墙一台、交换机一台、计算机5台;
(2)基于防火墙的网络安全拓扑结构,如图3-1所示,并验证防火墙的主要功能(攻击防范、网页过滤、邮件过滤等);
图3-1网络拓扑图
【实验步骤】
第1步:
按【第二部分:
防火墙使用进阶】完成Web配置
此时内部主机能通过防火墙的NAT功能访问外网。
第2步:
地址(网址)过滤(需要在命令行和Web方式下操作)
[H3C]firewallurl-filterhostenable//使能网址过滤
[H3C]aspf1//设置aspf(ApplicationSpecificPacketFilter)策略编号
[H3C-aspf-policy-1]detecthttp//使能检测Http协议
[H3C]interfaceEthernet0/3
[H3C-Ethernet0/3]firewallaspf1outbound//使能aspf策略过滤
第3步:
如果禁止的地址很多,可以在Web下操作
Web方式登陆过程如第二部分所述,此处省略。
点击“网页过滤”,“地址过滤”
此时,在DOS下用PING命令pingXX,会发现是可以PING通的,因为在ASPF策略里只检测(detect)HTTP协议。
第4步:
IP形式的网址访问禁止与允许
在DOS下用nslookup查询IP地址:
115.239.211.110
第5步:
内容过滤
[H3C]firewallwebdata-filterenable//使能webdata-filter(内容过滤)
[H3C]firewallwebdata-filteradd?
//?
是需要过滤的关键字
STRING<1-128>Webdata-filterKeyword
[H3C]firewallwebdata-filteraddcisco
Addingkeywordsucceeded.
[H3C]firewallwebdata-filteraddmusic
Addingkeywordsucceeded.//加入到两个关键词“cisco”“music”
[H3C]aspf1
[H3C-aspf-policy-1]detecthttp
[H3C-aspf-policy-1]detecttcp
[H3C-aspf-policy-1]detectudp
[H3C]interfaceEthernet0/3
[H3C-Ethernet0/3]firewallaspf1outbound
[H3C-Ethernet0/3]
也可以在Web界面下操作,点击“网页过滤”,“内容过滤”,在“网页内容关键字”里输入cnn、movie等,其中cisco和music是命令行下输入的关键词
第6步:
邮件过滤
[H3C]firewallsmtp-filter?
//四种类型的邮箱过滤
attachAttachfilenamefilter
contentContentfilter
rcpttoRecipientsfilter
subjectSubjectfilter
[H3C]firewallsmtp-filterattachenable//使能附件过滤
[H3C]firewallsmtp-filtercontentenable//使能内容过滤
[H3C]firewallsmtp-filtersubjectenable//使能主题过滤
[H3C]aspf1
[H3C-aspf-policy-1]detectsmtp
【实验心得】
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
防火墙本质是一个路由器加上访问控制功能的组合体。
升级会员 