实验三 防火墙的配置
- 格式:doc
- 大小:445.00 KB
- 文档页数:15
防火墙配置的实验报告防火墙配置的实验报告一、引言随着互联网的飞速发展,网络安全问题日益突出。
为了保障网络的安全性,防火墙作为一种重要的网络安全设备被广泛应用。
本实验旨在通过配置防火墙,探索其在网络安全中的作用和效果。
二、实验目的1. 了解防火墙的基本原理和工作机制;2. 学习防火墙的配置方法和技巧;3. 掌握防火墙的常见功能和策略。
三、实验环境1. 操作系统:Windows 10;2. 软件:VirtualBox虚拟机、Wireshark网络抓包工具;3. 网络拓扑:本地主机与虚拟机之间的局域网。
四、实验步骤1. 配置虚拟网络环境:在VirtualBox中创建两个虚拟机,分别作为内网主机和外网主机;2. 安装防火墙软件:在内网主机上安装并配置防火墙软件,如iptables;3. 配置防火墙规则:根据实际需求,设置防火墙的入站和出站规则;4. 测试防火墙效果:利用Wireshark工具进行网络抓包,观察防火墙对数据包的处理情况;5. 优化防火墙配置:根据实验结果,对防火墙规则进行调整和优化。
五、实验结果与分析通过实验,我们成功配置了防火墙,并设置了一些基本的规则。
在测试阶段,我们发现防火墙能够有效地过滤和阻止非法的网络连接请求,保护内网主机的安全。
同时,防火墙还能对数据包进行检测和修正,提高网络传输的可靠性和稳定性。
然而,在实验过程中我们也遇到了一些问题。
例如,由于防火墙的设置过于严格,导致某些合法的网络连接被误判为非法请求,造成了一定的影响。
因此,在优化防火墙配置时,我们需要根据实际情况进行细致的调整,以兼顾网络安全和正常通信的需要。
六、实验总结通过本次实验,我们深入了解了防火墙的配置和使用。
防火墙作为一种重要的网络安全设备,能够有效地保护网络免受攻击和入侵。
然而,防火墙的配置并非一蹴而就,需要根据实际需求进行不断优化和调整。
在今后的网络安全工作中,我们将进一步学习和探索防火墙的高级功能和策略,提升网络安全防护能力。
HUNAN UNIVERSITY《信息安全原理》实验报告实验三:防火墙实验熟悉天网防火墙个人版的配置一、实验目的●通过实验深入理解防火墙的功能和工作原理●熟悉天网防火墙个人版的配置和使用二、实验环境●实验室所有机器安装了Windows 操作系统,组成了局域网,并安装了天网防火墙。
三、实验原理●防火墙的工作原理●防火墙能增强机构内部网络的安全性。
防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。
防火墙必须只允许授权的数据通过,而且防火墙本身也必须能够免于渗透。
●两种防火墙技术的对比●包过滤防火墙:将防火墙放置于内外网络的边界;价格较低,性能开销小,处理速度较快;定义复杂,容易出现因配置不当带来问题,允许数据包直接通过,容易造成数据驱动式攻击的潜在危险。
●应用级网关:内置了专门为了提高安全性而编制的Proxy应用程序,能够透彻地理解相关服务的命令,对来往的数据包进行安全化处理,速度较慢,不太适用于高速网(ATM或千兆位以太网等)之间的应用。
●防火墙体系结构●屏蔽主机防火墙体系结构:在该结构中,分组过滤路由器或防火墙与 Internet相连,同时一个堡垒机安装在内部网络,通过在分组过滤路由器或防火墙上过滤规则的设置,使堡垒机成为 Internet 上其它节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
●双重宿主主机体系结构:围绕双重宿主主机构筑。
双重宿主主机至少有两个网络接口。
这样的主机可以充当与这些接口相连的网络之间的路由器;它能够从一个网络到另外一个网络发送IP数据包。
但是外部网络与内部网络不能直接通信,它们之间的通信必须经过双重宿主主机的过滤和控制。
●被屏蔽子网体系结构:添加额外的安全层到被屏蔽主机体系结构,即通过添加周边网络更进一步的把内部网络和外部网络(通常是Internet)隔离开。
被屏蔽子网体系结构的最简单的形式为,两个屏蔽路由器,每一个都连接到周边网。
防火墙设置实验报告一、实验目的本实验旨在通过设置防火墙,了解防火墙的基本概念、原理和常见设置方法,以及掌握如何使用防火墙保护计算机网络安全。
二、实验环境1. 操作系统:Windows 102. 防火墙软件:Windows Defender Firewall3. 实验工具:Ping命令、Telnet命令、nmap扫描器三、实验步骤1. 打开Windows Defender Firewall在Windows 10中,可以通过控制面板或者设置应用程序打开Windows Defender Firewall。
在控制面板中,选择“系统和安全”-“Windows Defender Firewall”;在设置应用程序中,选择“更新和安全”-“Windows 安全中心”-“防火墙和网络保护”。
2. 配置入站规则入站规则是指限制从外部网络访问本地计算机的规则。
可以通过以下步骤配置入站规则:(1)选择“高级设置”-“入站规则”,点击“新建规则”。
(2)根据需要选择不同类型的规则。
例如,如果只允许特定IP地址访问计算机,则可以选择“自定义”类型。
(3)根据需要配置规则属性,例如名称、描述、协议等。
(4)配置允许或拒绝连接的条件。
例如,可以配置只允许特定端口的连接。
(5)配置规则的操作。
例如,可以配置允许或拒绝连接、记录日志等操作。
3. 配置出站规则出站规则是指限制从本地计算机访问外部网络的规则。
可以通过以下步骤配置出站规则:(1)选择“高级设置”-“出站规则”,点击“新建规则”。
(2)根据需要选择不同类型的规则。
例如,如果只允许特定IP地址访问计算机,则可以选择“自定义”类型。
(3)根据需要配置规则属性,例如名称、描述、协议等。
(4)配置允许或拒绝连接的条件。
例如,可以配置只允许特定端口的连接。
(5)配置规则的操作。
例如,可以配置允许或拒绝连接、记录日志等操作。
4. 测试防火墙设置为了测试防火墙设置是否有效,可以使用Ping命令、Telnet命令或nmap扫描器进行测试。
防火墙管理实验一、引言防火墙是保护计算机网络安全的重要设备,它通过对网络流量进行监控和过滤,阻止未经授权的访问和恶意攻击。
防火墙管理实验是对防火墙进行配置和管理的实际操作,旨在提高对网络安全的保护能力。
本文将围绕防火墙管理实验展开,介绍防火墙的基本原理、配置方法和管理策略。
二、防火墙原理防火墙通过对网络流量进行检查和过滤,实现对网络的保护。
其基本原理包括以下几个方面:1. 包过滤:防火墙根据预先设定的规则,对进出网络的数据包进行检查和过滤。
这些规则可以包括允许或拒绝特定IP地址、端口号或协议类型的数据包通过。
2. 状态检测:防火墙可以追踪网络连接的状态,包括建立、终止和保持等。
通过检测网络连接的状态,防火墙可以识别和阻止恶意的连接请求。
3. 地址转换:防火墙可以实现网络地址转换(NAT),将内部私有IP地址转换为公共IP地址。
这样可以隐藏内部网络的真实IP地址,提高网络的安全性。
三、防火墙配置方法防火墙的配置是实现其功能的关键,下面介绍几种常见的防火墙配置方法:1. 黑名单和白名单:防火墙可以根据黑名单和白名单的方式进行配置。
黑名单指定禁止通过的IP地址、端口号或协议类型,而白名单则指定允许通过的IP地址、端口号或协议类型。
根据实际需求,合理配置黑白名单可以有效控制网络访问。
2. 身份验证:防火墙可以实现用户身份验证,通过输入用户名和密码来验证用户的身份。
只有通过身份验证的用户才能访问网络资源,提高网络的安全性。
3. 代理服务器:防火墙可以配置代理服务器,通过代理服务器转发网络请求。
代理服务器可以对请求进行进一步检查和过滤,确保网络流量的安全性。
四、防火墙管理策略防火墙的管理策略是保证其有效运行的重要保障,下面介绍几种常见的防火墙管理策略:1. 定期更新规则:网络环境不断变化,新的威胁和漏洞不断出现。
因此,定期更新防火墙的规则非常重要,以适应新的安全威胁。
2. 日志监控和分析:防火墙可以记录日志信息,包括访问请求、拦截信息等。
信息安全技术之防火墙实验报告目录一、实验概述 (2)1. 实验目的 (2)2. 实验背景 (3)3. 实验要求 (4)二、实验环境搭建 (5)1. 实验硬件环境 (6)1.1 设备配置与连接 (6)1.2 设备选型及原因 (7)2. 实验软件环境 (8)2.1 系统软件安装与配置 (9)2.2 防火墙软件安装与配置 (10)三、防火墙配置与实现 (12)1. 防火墙策略制定 (12)1.1 访问控制策略 (13)1.2 数据加密策略 (15)1.3 安全审计策略 (16)2. 防火墙具体配置步骤 (17)2.1 配置前准备工作 (18)2.2 配置过程详述 (19)2.3 配置结果验证 (21)四、实验结果与分析 (22)1. 实验结果展示 (23)1.1 防火墙运行日志分析 (24)1.2 网络安全状况分析 (25)2. 结果分析 (27)2.1 防火墙效果分析 (28)2.2 网络安全风险评估与应对方案讨论 (29)五、实验总结与展望 (30)一、实验概述随着信息技术的迅猛发展,网络安全问题日益凸显其重要性。
作为保障网络安全的重要手段之一,防火墙技术广泛应用于各类网络环境中,用以保护内部网络免受外部网络的攻击和威胁。
本次实验旨在通过搭建实验环境,深入理解和掌握防火墙的基本原理、配置方法以及其在实际应用中的重要作用。
在本次实验中,我们将模拟一个企业内部网络环境,并设置相应的防火墙设备。
通过搭建这一实验环境,我们将能够模拟真实的网络安全场景,从而更好地理解防火墙在保障网络安全方面的作用和价值。
通过实验操作,我们将更加深入地掌握防火墙的基本配置方法和步骤,为今后的网络安全工作打下坚实的基础。
通过本次实验,我们还将学习到如何针对不同的网络威胁和攻击类型,合理配置和使用防火墙,以保障网络系统的安全性和稳定性。
这对于提高我们的网络安全意识和技能水平具有重要意义。
1. 实验目的本次实验旨在通过实际操作,深入理解防火墙的工作原理、配置方法及其在网络安全防护中的关键作用。
一、实验背景随着互联网的普及和信息技术的发展,网络安全问题日益突出。
为了提高我国网络安全防护水平,培养网络安全人才,本实验旨在让学生了解网络攻防的基本原理,掌握常见攻击手段的防御方法,提高网络安全防护能力。
二、实验目的1. 了解网络攻防的基本概念和原理;2. 掌握常见攻击手段的防御方法;3. 提高网络安全防护能力;4. 培养团队合作精神。
三、实验内容1. 网络扫描实验(1)实验目的:掌握网络扫描的基本方法,了解目标主机的安全漏洞。
(2)实验步骤:① 使用Nmap工具对目标主机进行端口扫描;② 分析扫描结果,找出目标主机的开放端口;③ 查询开放端口对应的服务,了解目标主机的安全漏洞。
2. 漏洞利用实验(1)实验目的:掌握漏洞利用的基本方法,了解如何针对漏洞进行攻击。
(2)实验步骤:① 使用Metasploit框架对目标主机进行漏洞利用;② 分析漏洞利用过程,了解漏洞攻击的原理;③ 掌握针对漏洞的防御方法。
3. 防火墙配置实验(1)实验目的:掌握防火墙的基本配置方法,了解防火墙在网络安全防护中的作用。
(2)实验步骤:① 使用iptables命令行工具配置防火墙规则;② 设置防火墙策略,限制非法访问;③ 验证防火墙规则,确保网络安全。
4. 入侵检测实验(1)实验目的:掌握入侵检测的基本方法,了解如何发现和防御网络攻击。
(2)实验步骤:① 使用Snort工具对网络流量进行检测;② 分析检测到的入侵行为,了解攻击者的攻击手段;③ 配置入侵检测规则,提高网络安全防护能力。
四、实验结果与分析1. 网络扫描实验:通过Nmap工具成功扫描出目标主机的开放端口,并分析出对应的服务,找出目标主机的安全漏洞。
2. 漏洞利用实验:使用Metasploit框架成功利用目标主机的漏洞,实现对目标主机的控制。
3. 防火墙配置实验:通过iptables命令行工具成功配置防火墙规则,限制非法访问,提高网络安全防护能力。
4. 入侵检测实验:使用Snort工具成功检测到网络流量中的入侵行为,了解攻击者的攻击手段,并配置入侵检测规则,提高网络安全防护能力。
实验一防火墙软件设置与使用实验报告实验课程信息安全技术实验名称防火墙与防病毒软件的设置与使用实验时间2012-2013学年上学期8 周星期 6 第7、8 节学生姓名学号班级实验地点设备号A21、D50 指导教师一、实验目的1.熟悉防火墙基本知识。
2.掌握防火墙的配置策略与实现。
3.了解杀毒软件的工作原理。
4.学习使用杀毒软件清除病毒。
二、实验要求1.掌握防火墙的具体使用,熟悉防火墙配置规则。
2.掌握常用杀毒软件清除病毒的方法。
三、实验内容1、天网防火墙1)防火墙的安装天网防火墙个人版是以一个可执行文件方式提供的,下载之后直接执行便可以开始安装了,每次选择next。
运行天网个人版防火墙后,你可以看见一款非常漂亮简洁的界面:这时,你可以根据自己安全需要设置天网个人版防火墙,天网个人版防火墙提供了应用程序规则设置、自定义IP规则设置、系统设置、安全级别设置的等功能。
(1)应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能,它可以控制应用程序发送和接收数据包的类型、通讯端口,并且决定拦截还是通过,这是目前其它很多软件防火墙不具有的功能。
在天网个人版防火墙打开的情况下,点击第二个菜单,就可以进行设置了,弹出窗口。
一般情况下,选择“开机的时候自动启动防火墙”。
对于“我的电脑在局域网中使用”的这一个选项,我们的电脑都是在局域网中使用的,所以也要进行选择。
下面的框中有一个IP地址,是我们电脑的动态IP地址,同学们可以打开自己的电脑的IP地址来核对一下。
在我们运行天网的时候,还会出现一些如上图的这些对话框,同学们还是一样的根据自己的选择进行选择时允许还是禁止。
如果你不选中以后都允许,那么天网防火墙在以后会继续截获该应用程序的数据包,并且弹出警告窗口。
如果你选中以后都允许选项,该程序将自动加入到应用程序列表中,天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包。
你可以通过应用程序设置来设置更为复杂的数据包过滤方式。
防火墙实验指导书实验一防火墙的连接与登录配置 (2)实验二防火墙的典型安装与部署——网桥模式 (8)实验三防火墙的典型安装与部署—路由模式 (13)实验四防火墙的典型安装与部署—NAT模式 (21)实验五策略管理——内网管理与综合实验 (30)实验六流量控制 (39)实验七虚拟专网配置(IPS EC VPN隧道) (45)实验八虚拟专网配置(L2TP移动客户端,点对移动) (54)实验九双机热备份(VRRP模式) (63)实验十DD O S攻击及防御 (77)实验一防火墙的连接与登录配置【实验名称】防火墙的连接与登录配置【计划学时】2学时【实验目的】1、掌握防火墙的基本连线方法;2、通过安装控制中心,实现防火墙的登录;3、了解防火墙的基本设置、管理模式和操作规范;4、理解规则的建立过程。
【基本原理】对于防火墙的连接,在本实验里设定LAN口为内网接口,W AN口为外网接口。
DMZ (Demilitarized Zone),即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对攻击者来说又多了一道关卡。
蓝盾防火墙允许网口信息名称自定义,支持多线接入,使得应用范围扩大。
【实验拓扑】【实验步骤】一、了解防火墙初始配置其中,Eth1(即ADMIN口,以后提到以ADMIN代替,其他网口以同样规则称呼)默认的打开了81端口(HTTP)和441端口(HTTPS)以供管理防火墙使用。
本实验我们利用网线连接ADMIN口与管理PC,并设置好管理PC的IP地址。
2、默认所有配置均为空,可在管理界面得到防火墙详细的运行信息。
二、利用浏览器登陆防火墙管理界面1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来,当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上2、客户端设置,以XP为例,打开网络连接,设置本地连接IP地址:3、“开始” “运行”,输入“CMD”,打开命令行窗口,使用ping命令测试防火墙和管理PC间是否能互通。
实验三防火墙的配置✧实验目的1、了解防火墙的含义与作用2、学习防火墙的基本配置方法3、理解iptables工作机理4、熟练掌握iptables包过滤命令及规则5、学会利用iptables对网络事件进行审计6、熟练掌握iptables NAT工作原理及实现流程7、学会利用iptables+squid实现web应用代理✧实验原理防火墙的基本原理一.什么是防火墙在古代,人们已经想到在寓所之间砌起一道砖墙,一旦火灾发生,它能够防止火势蔓延到别的寓所,于是有了“防火墙”的概念。
进入信息时代后,防火墙又被赋予了一个类似但又全新的含义。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
二.防火墙能做什么1.防火墙是网络安全的屏障一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。
防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向路径。
防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2.防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。
⏹实验三防火墙的配置与应用Windows提供的防火墙(WFAS)(及其他安装于个人主机中的防火墙产品)属于基于主机的防火墙,可以拦截对主机的某法入侵,例如,防止非法远程主机对主机的扫描等,从而提高主机的安全性。
Windows防火墙的设置分为入站规则和出站规则,总体来说,如果想阻止本机对外的主动连接,应该在“出站规则”中进行设置;如果想阻止外部主机主动连接本机的某些网络请求,应该在“入站规则”中进行设置。
一、实验目的⏹理解防火墙的基本原理⏹掌握防火墙策略的基本配置方法⏹掌握防火墙策略配置的验证方法二、实验环境⏹硬件设备:电脑⏹软件产品:➢windows防火墙(或其他防火墙产品)➢wireshark三、实验内容注:本实验指导以windows10防火墙的配置为例,也可供配置其他防火墙参考⏹防火墙的开启和关闭⏹配置防火墙过滤PING命令⏹基于程序进行过滤⏹基于协议和端口进行过滤⏹基于IP地址进行过滤⏹查看防火墙日志(选做)⏹其他配置(选做)四、实验过程1.防火墙的开启和关闭打开控制面板——>系统和安全——>防火墙,点击其中的“启用或关闭windows defender 防火墙”。
实验记录:防火墙开启状态截图。
2.配置防火墙阻止主机响应外部PING(1)使用另一台主机(或者手机下载具备ping功能的相应APP)对本机执行ping探测。
如果另一台主机能够收到本机的ping回复,那么执行下一步(2);否则查看确认下一步提到的内容。
实验记录:另一台主机或手机PING本机的截图,以及Wireshark捕包的截图。
(2)打开防火墙中的“高级设置”——入站规则,新建“入站规则”阻止本机对PING的回应。
具体规则设置过程:新建规则——规则类型(选择自定义)——协议和端口(协议类型选ICMPv4)——操作(阻止连接)——名称(学号+阻止PING)。
启用该新建规则。
实验记录:防火墙入站规则截图(截图中可见新建规则)。
实验三防火墙配置实验【实验目的】通过本实验初步掌握防火墙的基本配置方法和操作技能,掌握组建较大规模企业网时防火墙策略的配置及应用,包括如下几个方面:✓掌握防火墙的配置方法✓掌握访问控制列表(ACL)的基本配置✓掌握过滤规则的配置实验前学生应具备以下知识:✓了解防火墙的工作原理。
✓了解防火墙的安装和配置。
✓了解防火墙的应用特点。
实验过程中,部分实验内容需要与相邻的同学配合完成。
此外,学生需要将实验的结果记录下来,并回答相关思考题,填写到实验报告中。
【实验类型】综合型实验【实验环境】实验设备:华为-3Com交换机S3100H六台、华为-3Com防火墙Secpath F100-C六台。
实验组成:每排PC为一组,占用一台S3100H交换机,其中S3100H交换机划分两个VLAN,每个VLAN只加入三台PC,S3100H交换机的另外两个端口,分别连接防火墙的LAN 口和WAN口。
【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整,实验内容中的思考题以书面形式解答并附在实验报告的后面。
本次实验的主要项目包括以下几个方面:☑分组配置防火墙,使LAN中的PC通过防火墙提供的NA T访问外网,然后测试LAN中的PC机和W AN中的PC机之间的连通性;☑配置防火墙,使WAN中的PC机只能够通过80端口访问LAN中的WEB服务器,且不能在外网中扫描到内网中的计算机,配置完成之后,测试配置效果。
需要注意的是,学生在实验过程中要严格按实验指导书的操作步骤和要求操作,且小组成员应紧密配合,以保证实验过程能够顺利完成。
具体的实验步骤如下:一、实验准备进行网络初始化配置,这一部分操作由指导教师和实验员预先进行设置。
1.将S3100H交换机划分两个VLAN(VLAN 2和VLAN 3),其中VLAN 2连接到防火墙的LAN口,VLAN 3连接到防火墙的WAN口。
2.配置防火墙的管理地址,配置为192.168.1.254二、防火墙的基本配置首先,每个实验小组分别按照下表配置各个PC机的IP地址,每排只会用到六台计算机,每排2台计算机网线用于防火墙的W AN和LAN口,具体的IP地址分配情况参见图1和下表。
图1 实验网络结构图1.命令行配置示例配置示例如下:示例案例如下图所示,一个公司通过SecPath 防火墙的地址转换功能连接到广域网。
要求该公司能够通过防火墙Ethernet3/0/0 访问Internet,公司内部对外提供WWW、FTP和SMTP 服务,而且提供两台WWW 的服务器。
公司内部网址为10.110.0.0/16。
其中,内部FTP 服务器地址为10.110.10.1,内部WWW 服务器1 地址为10.110.10.2,内部WWW服务器2 地址为10.110.10.3,内部SMTP 服务器地址为10.110.10.4,并且希望可以对外提供统一的服务器的IP 地址。
内部10.110.10.0/24网段可以访问Internet,其它网段的PC 机则不能访问Internet。
外部的PC 可以访问内部的服务器。
公司具有202.38.160.100 至202.38.160.105 六个合法的IP 地址。
选用202.38.160.100 作为公司对外的IP 地址,WWW服务器2 对外采用8080 端口。
# 配置地址池和访问控制列表,允许10.110.10.0/24 网段进行地址转换。
[H3C] nat address-group 1 202.38.160.101 202.38.160.105[H3C] acl number 2001[H3C-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255[H3C-acl-basic-2001] rule deny source 10.110.0.0 0.0.255.255[H3C-acl-basic-2001] quit[H3C] interface Ethernet3/0/0[H3C-Ethernet3/0/0] nat outbound 2001 address-group 1# 设置内部FTP 服务器。
[H3C-Ethernet3/0/0] nat server protocol tcp global 202.38.160.100 inside10.110.10.1 ftp# 设置内部WWW服务器1。
[H3C-Ethernet3/0/0] nat server protocol tcp global 202.38.160.100 inside10.110.10.2 www # 设置内部WWW服务器2。
[H3C-Ethernet3/0/0] nat server protocol tcp global 202.38.160.100 8080 inside10.110.10.3 www2.Web配置示例首先,通过Console口设置防火墙接口地址、Telnet终端用户等(同交换机、路由器),然后每排选择出一台计算机来配置防火墙,打开IE浏览器,在地址栏中,输入防火墙地址:,打开防火墙的登录窗口,输入用户名、密码,然后单击Login,进行防火墙的配置界面。
配置访问控制列表(ACL)进入配置界面之后,首先配置访问控制列表(ACL),单击左侧WEB管理列表中的防火墙列表下面的ACL。
单击右侧的“ACL配置信息”按钮。
输入一个ACL编号,在这里输入一个基本ACL编号,其中编号范围为:输入完成之后,单击“创建”按钮。
选中上面创建的策略,单击“配置”按钮。
输入规则编号,例如:1,操作为“Permit”,源IP地址在这里为空,表示所有内网中的IP地址,输入完之后,单击“应用”按钮。
如果,只是想对内网中的一台或几台计算机进行控制,则可以在上面输入源IP地址,例如:对内网中的192.168.1.0这一段地址进行控制,可参照下图:单击“应用”按钮之后,在出现的对话框中,单击“返回”按钮,在出现的对话框中,再次单击“返回”按钮。
在上述单击两次返回按钮之后,选中“Ethernet 1/0”接口,然后单击“配置”按钮。
在出现的对话框中,过滤类型选择“packet-filter”,ASPF策略号或ACL编号选择“2001”,过滤方向选择“outbound”,然后单击“应用”按钮,之后在出现的对话框中,单击“返回”按钮。
再次选中“Ethernet 1/0”接口,然后单击“配置”按钮。
在出现的对话框中,过滤类型选择“packet-filter”,ASPF策略号或ACL编号选择“2001”,过滤方向选择“inbound”,然后单击“应用”按钮,之后在出现的对话框中,单击“返回”按钮。
配置NAT地址转换首先,单击左侧WEB管理的“业务管理→NA T→地址池管理”。
在右侧单击“创建”按钮。
输入地址池的各项参数,然后单击“应用”按钮,如下图:之后,单击左侧WEB管理的“业务管理→NA T→地址转换管理”。
在右侧,单击“创建”按钮。
在出现的对话框中,首先选择单选按钮“ACL编号”。
输入相应的参数,如下图,输入完之后,单击“应用”按钮。
完成上述配置之后,单击左侧WEB管理的“业务管理→NAT→内部服务器”。
在右侧,单击“创建”按钮。
输入各项参数,如下图,输入完成之后,单击“应用”按钮。
配置外网只能访问内网的WEB服务器,而其它的访问会被防火墙阻挡。
单击左侧WEB管理的“防火墙→ACL”。
在右侧,单击“ACL配置信息”按钮。
输入ACL编号,然后单击“创建”按钮。
选中编号为“3001”的策略,然后单击“配置”按钮。
输入各项参数信息,如下图,输入完成之后,单击“应用”按钮,然后单击“返回”按钮,在出现的对话框中,再次单击“返回”按钮。
选中“Ethernet 2/0”端口,然后单击“配置”按钮。
输入各项参数信息,如下图,输入完成之后,单击“应用”按钮。
再次输入各项参数信息,如下图,注意过滤访问为“outbound”,输入完成之后,单击“应用”按钮,之后单击“返回”按钮。
测试配置的效果首先,要在IP地址为192.168.1.13的计算机上建立一个用于测试的WEB站点,WEB 站点建立完成之后,在外网的一台计算机上,打开IE浏览器,在地址栏中输入202.206.200.254,可以看测试站点,这说明在防火墙上NA T中建立的内部服务器成功了,并且外网访问内网WEB站点的策略已经生效。
然后,让内网中的某一台计算机去ping外网中的一台计算机,例如:ping 202.206.200.1 在命令提示符下,输入命令:ping 202.206.200.1可以ping 通,表示内网访问外网的策略已经生效。
禁止外网的计算机ping防火墙的外网端口在完成上面五步实验之后,可以新建一条禁止ping防火墙的策略。
单击左侧WEB管理的“防火墙→ACL”。
在右侧,单击“ACL配置信息”按钮。
输入ACL编号,然后单击“创建”按钮。
选中编号为“3002”的策略,然后单击“配置”按钮。
输入各项参数信息,如下图,输入完成之后,单击“应用”按钮,然后单击“返回”按钮,在出现的对话框中,再次单击“返回”按钮。
选中“Ethernet 2/0”端口,然后单击“配置”按钮。
输入各项参数信息,如下图,输入完成之后,单击“应用”按钮。
再次输入各项参数信息,如下图,注意过滤访问为“outbound”,输入完成之后,单击“应用”按钮,之后单击“返回”按钮。
完成上述配置之后,用一台外网的计算机来ping防火墙的IP地址(202.206.200.254),可以看如图所示的效果,已经不能够再ping通。