1、网络安全实验七防火墙实验七 防火墙组别5学号姓名请注明主笔工作量20%20%20%20%吴前斌20%【实验题目】 防火墙【实验目的与要求】(1)理解防火墙的工作原理;(2)掌握基于防火墙的网络安全设计;【实验需求】(1)提供H3C SecPath防火墙一台、交换机一台、计算机5台;(2)掌握防火墙的不同工作模式,并能通过命令行或Web界面配置防火墙的主要功能;【实验步骤】第一部分:防火墙的初级应用(防火墙当作路由器用)第1步:正确连线按图1-1所示的网络拓扑图正确连线,其中一台电脑的串口(COM1)与防火墙的CONSOLE口相连。图1-1 网络拓扑图第2步:清除防火墙内部的配置信息,恢复到出厂
2、状态eset saved-configurationThe saved configuration will be erased.Are you sure?Y/NyConfiguration in the device is being cleared.Please wait .The configuration file does not exist!rebootThis command will reboot the system. Since the current configuration may have been changed, all changes may be lost
3、if you continue. Continue? Y/N y#Aug 14 05:29:27:499 2014 H3C DRTMIB/4/REBOOT:Reboot device by command.* * H3C SecPath Series Gateway BOOTROM, Version 1.14 * *Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.Compiled at Thu Apr 5 09:01:18 HKT 2007Testing memory.OK!128M bytes SDRAM Memory16
4、M bytes Flash MemoryHardware Version is 2.0CPLD Version is 1.0Press Ctrl-B to enter Boot MenuSystem is self-decompressing. . .System is starting.User interface Con 0 is available.Press ENTER to get started.第3步:配置W AN和LAN口的IP地址system-viewSystem View: return to User View with Ctrl+Z.H3Cinterface Ether
5、net 0/3H3C-Ethernet0/3ip address 10.64.129.150 255.255.255.0H3C-Ethernet0/3qH3Cinterface Ethernet 0/2H3C-Ethernet0/2ip address 192.168.0.254 255.255.255.0H3C-Ethernet0/2第4步:配置主机IP地址 正确配置主机的IP地址、子网掩码、默认网关和DNS服务器地址,如图1-2所示:图1-2 配置主机IP地址第5步:配置静态路由H3Cip route-static 0.0.0.0 0.0.0.0 10.64.129.254第6步:配置访问
6、控制列表(ACL)和网络地址翻译(NA T)H3Cacl number 3000H3C-acl-adv-3000rule 1 permit ip source 192.168.0.1 0.0.0.255 destination anyH3C-acl-adv-3000qH3C-Ethernet0/3firewall packet-filter 3000 outboundH3C-Ethernet0/3nat outbound 3000H3C-Ethernet0/3第7步:把接口设为信任区域并定义为允许访问H3Cfirewall zone trustH3C-zone-trustadd interfa
7、ce Ethernet 0/3H3C-zone-trustadd interface Ethernet 0/2H3Cfirewall packet-filter default permit第8步:配置过程中可以随时在用户视图下保存配置信息saveThe configuration will be written to the device.Are you sure?Y/NBefore pressing ENTER you must choose YES or NOY/N:yNow saving current configuration to the device.Saving config
8、uration flash:/config.cfg. Please wait.Current configuration has been saved to the device successfully.第二部分:防火墙使用进阶【实验需求】(1)提供H3C SecPath防火墙一台、交换机一台、计算机5台;(2)基于防火墙的网络安全拓扑结构,如图2-1所示,通过Web方式来配置防火墙,并验证防火墙的主要功能;图2-1 网络拓扑图【实验步骤】第1步:正确连线按图3所示的网络拓扑图正确连线,其中一台电脑的串口(COM1)与防火墙的CONSOLE口相连。第2步:清除防火墙内部的配置信息,恢复到出厂
9、状态第3步:设置防火墙为路由模式sysH3Cfirewall mode routeThe firewall has been in this mode.H3Cfirewall zone trustH3C-zone-trustadd interface Ethernet 0/3H3C-zone-trustadd interface Ethernet 0/2H3C-zone-trustquitH3Cfirewall packet-filter default permitH3Cinterface Ethernet 0/2H3C-Ethernet0/2ip address 192.168.0.254
10、 255.255.255.0第步:设置防火墙的管理员帐户H3Clocal-user adminNew local user added.H3C-luser-adminpassword simple adminH3C-luser-adminlevel 3H3C-luser-adminservice-type telnet第步:设置PC机的IP地址设置PC机的IP地址,如图2-2所示:图2-2 PC机的IP地址第步:Web访问在浏览器里输入:192.168.0.254,弹出如图2-3所示的界面:图2-3输入防火墙管理员帐户(admin )和密码(admin ),弹出如图2-4所示的界面:图2-4图
11、2-5图2-6第7步:W AN 口IP 地址设置点击左侧导航菜单“系统管理”,“接口管理”,弹出如图2-7所示的接口配置界面:图2-7选中“Ethernet0/3”,点击“配置”,弹出如图2-8所示的接口IP 地址配置,输入相应的IP 地址:10.64.129.150/255.255.255.0。图2-8第8步:配置静态路由点击左侧导航菜单“系统管理”,“静态路由”,弹出如图2-9所示的配置界面:图2-9点击“创建”,弹出如图2-10的配置界面:图2-10第9步:配置ACL点击左侧导航菜单“防火墙”,“ACL”,弹出如图2-11所示的配置界面:11步:在本地配置里,查看当前配置信息。displ
12、ay current-configuration#sysname H3C#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20#firewall statistic system enable#radius scheme systemserver-type extended#dom
13、ain system#local-user adminpassword simple adminservice-type telnetlevel 3#acl number 2000 match-order autorule 1 permit source 192.168.0.0 0.0.0.255#interface Aux0async mode flow#interface Ethernet0/0#interface Ethernet0/1#interface Ethernet0/2ip address 192.168.0.254 255.255.255.0#interface Ethern
14、et0/3ip address 10.64.129.150 255.255.255.0firewall packet-filter 2000 outboundnat outbound 2000#interface Encrypt1/0#interface NULL0#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/2add interface Ethernet0/3set priority 85#firewall zone untrustset priority 5#firewall
15、zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#ip route-static 0.0.0.0 0.0.0.0 10.64.129.254 preference 70#user-interface con 0user-inter
16、face aux 0user-interface vty 0 4#第三部分:防火墙高级应用【实验需求】(1)提供H3C SecPath防火墙一台、交换机一台、计算机5台;(2)基于防火墙的网络安全拓扑结构,如图3-1所示,并验证防火墙的主要功能(攻击防范、网页过滤、邮件过滤等);图3-1 网络拓扑图【实验步骤】第1步:按【第二部分:防火墙使用进阶】完成Web配置此时内部主机能通过防火墙的NA T功能访问外网。第2步:地址(网址)过滤(需要在命令行和Web方式下操作)H3Cfirewall url-filter host enable/使能网址过滤H3Caspf 1/设置aspf(Applica
17、tion Specific Packet Filter)策略编号H3C-aspf-policy-1detect http/使能检测Http协议H3Cinterface Ethernet 0/3H3C-Ethernet0/3firewall aspf 1 outbound /使能aspf策略过滤第3步:如果禁止的地址很多,可以在Web 下操作Web 方式登陆过程如第二部分所述,此处省略。点击“网页过滤”,“地址过滤” 此时,在DOS 下用PING 命令ping XX,会发现是可以PING 通的,因为在ASPF 策略里只检测(detect )HTTP 协议。第4步:IP 形式的网址访问禁止与允许在
18、DOS 下用nslookup 查询IP 地址:115.239.211.110第5步:内容过滤H3Cfirewall webdata-filter enable /使能webdata-filter (内容过滤)H3Cfirewall webdata-filter add ? /?是需要过滤的关键字STRING Webdata-filter KeywordH3Cfirewall webdata-filter add ciscoAdding keyword succeeded.H3Cfirewall webdata-filter add musicAdding keyword succeeded.
19、/加入到两个关键词“cisco ”“ music ”H3Caspf 1H3C-aspf-policy-1detect httpH3C-aspf-policy-1detect tcpH3C-aspf-policy-1detect udpH3Cinterface Ethernet 0/3H3C-Ethernet0/3firewall aspf 1 outboundH3C-Ethernet0/3也可以在Web 界面下操作,点击“网页过滤”,“内容过滤”,在“网页内容关键字”里输入cnn 、movie 等,其中cisco 和music 是命令行下输入的关键词第6步:邮件过滤H3Cfirewall sm
20、tp-filter ? /四种类型的邮箱过滤attach Attach file name filtercontent Content filterrcptto Recipients filtersubject Subject filterH3Cfirewall smtp-filter attach enable /使能附件过滤H3Cfirewall smtp-filter content enable /使能内容过滤 H3Cfirewall smtp-filter subject enable /使能主题过滤H3Caspf 1H3C-aspf-policy-1detect smtp【实验心得】防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。防火墙本质是一个路由器加上访问控制功能的组合体。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1