《网络应用技术》/实验九:防火墙的应用 实验九:防火墙的应用 、实验介绍 在园区网内,不同网络区域的访问策略通常也有所不同。为了加强网络安全,往往需要对网络 访问行为进行监测、限制,并对外屏蔽网络内部的信息、结构和运行状况。本实验介绍通过防火墙 设备提升网络安全性的具体方法。 、实验目的 1、了解包过滤防火墙的工作原理; 2、掌握在eNSP中引入防火墙设备的方法; 3、掌握利用防火墙加强园区网安全管理的方法。 三、实验类型 验证性 四、实验理论 1、防火墙 防火墙( Firewall)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 其目的是保护网络不被侵扰。在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器,能 够有效地监控流经防火墙的数据,保证内部网络的安全。本质上,防火墙遵循的是一种允许或阻止 业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有较 强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片)。 防火墙本身不能影响正常网络信息的流通。 防火墙的关键技术 (1)包过滤技术 包过滤技术是最早也是最基本的访问控制技术,又称报文过滤技术。包过滤技术的作用是执行 边界访问控制功能,即对网络通信数据进行过滤( Filtering)。数据包中的信息如果与某一条过滤规 则相匹配并且该规则允许数据包通过,则该数据包会被防火墙转发,如果与某一条过滤规则匹配但 规则拒绝数据包通过,则该数据包会被丢弃。如果没有可匹配的规则,缺省规则会决定数据包被转 发还是被丢弃,并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。 包过滤技术的工作对象就是数据包,具体来说,就是针对数据包首部的五元组信息,包括源|P 地址、目的P地址、源端口、目的端口、协议号,来指定相应的过滤规则 河南中医药大学信息技术学院|网络与信息系统科研工作室 第1页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第1页 实验九:防火墙的应用 一、实验介绍 在园区网内,不同网络区域的访问策略通常也有所不同。为了加强网络安全,往往需要对网络 访问行为进行监测、限制,并对外屏蔽网络内部的信息、结构和运行状况。本实验介绍通过防火墙 设备提升网络安全性的具体方法。 二、实验目的 1、了解包过滤防火墙的工作原理; 2、掌握在 eNSP 中引入防火墙设备的方法; 3、掌握利用防火墙加强园区网安全管理的方法。 三、实验类型 验证性 四、实验理论 1、防火墙 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件, 其目的是保护网络不被侵扰。在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器,能 够有效地监控流经防火墙的数据,保证内部网络的安全。本质上,防火墙遵循的是一种允许或阻止 业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信。 不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。 防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有较 强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片)。 防火墙本身不能影响正常网络信息的流通。 2、防火墙的关键技术 (1)包过滤技术 包过滤技术是最早也是最基本的访问控制技术,又称报文过滤技术。包过滤技术的作用是执行 边界访问控制功能,即对网络通信数据进行过滤(Filtering)。数据包中的信息如果与某一条过滤规 则相匹配并且该规则允许数据包通过,则该数据包会被防火墙转发,如果与某一条过滤规则匹配但 规则拒绝数据包通过,则该数据包会被丢弃。如果没有可匹配的规则,缺省规则会决定数据包被转 发还是被丢弃,并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。 包过滤技术的工作对象就是数据包,具体来说,就是针对数据包首部的五元组信息,包括源 IP 地址、目的 IP 地址、源端口、目的端口、协议号,来指定相应的过滤规则
《网络应用技术》/实验九:防火墙的应用 (2)状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 ( Stateful Inspection)的概念。它能够提供比静态包过滤技术更高的安全性,而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则, 不需要管理人员手工配置。同时,还可以分析高层协议,能够更有效地对进出内部网络的通 信进行监控,并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 ( Dynamic Packet Filter.)技术,是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。 (3)网络地址转换技术(NAT) 网络地址转换( Network Address translation,NAT)最初设计NAT的目的是允许将私 有P地址映射到公网上(合法的因特网P地址),以缓解|P地址短缺的问题。但是,通过 NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内 部网络被攻击的可能性,提高了私有网络的安全性。正是内部主机地址隐藏的特性,使NAT技 术成为了防火墙实现中经常采用的核心技术之一。 (4)代理技术 代理( Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制 功能,起到内部网络与外部网络之间应用服务的转接作用。同时,代理防火墙不再围绕数据包, 而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和NAT模式等 (1)桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置IP地址,无需对网络地址 进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式 (2)网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能,为不 同网段进行路由转发 网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一 定的私密性 (3)NAT模式 NAT( Network Address translation)模式是由防火墙对内部网络的|P地址进行地址翻 译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数 据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址, NAT模式能够实现外部网络无法得到内部网络的卩P地址,进一步增强了对内部网络的安 全防护。同时,在№AT模式的网络中,内部网络可以使用私网地址,解决IP地址数量受限的 问题 河南中医药大学信息技术学院|网络与信息系统科研工作室 第2页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第2页 (2)状态检测技术 为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 (Stateful Inspection)的概念。它能够提供比静态包过滤技术更高的安全性,而且使用和管理 也更简单。这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则, 不需要管理人员手工配置。同时,还可以分析高层协议,能够更有效地对进出内部网络的通 信进行监控,并且提出更好的日志和审计分析服务。早期的状态检测技术被称为动态包过滤 (Dynamic Packet Filter)技术,是静态包过滤技术在传输层的扩展应用。后期经过进一步的改 进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。状态检 测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。 (3)网络地址转换技术(NAT) 网络地址转换(Network Address Translation,NAT)。最初设计 NAT 的目的是允许将私 有 IP 地址映射到公网上(合法的因特网 IP 地址),以缓解 IP 地址短缺的问题。但是,通过 NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内 部网络被攻击的可能性,提高了私有网络的安全性。正是内部主机地址隐藏的特性,使 NAT 技 术成为了防火墙实现中经常采用的核心技术之一。 (4)代理技术 代理(Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控 制技术。采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制 功能,起到内部网络与外部网络之间应用服务的转接作用。同时,代理防火墙不再围绕数据包, 而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。 3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和 NAT 模式等。 (1)桥模式 桥模式也称为透明模式。工作在桥模式下的防火墙不需要配置 IP 地址,无需对网络地址 进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式。 (2)网关模式 网关模式适用于网络不在同一网段的情况。防火墙设置网关地址实现路由器的功能,为不 同网段进行路由转发。 网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一 定的私密性。 (3)NAT 模式 NAT(Network Address Translation)模式是由防火墙对内部网络的 IP 地址进行地址翻 译,使用防火墙的 IP 地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数 据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。 NAT 模式能够实现外部网络无法得到内部网络的 IP 地址,进一步增强了对内部网络的安 全防护。同时,在 NAT 模式的网络中,内部网络可以使用私网地址,解决 IP 地址数量受限的 问题
《网络应用技术》/实验九:防火墙的应用 五、实验规划 网络拓扑规划 RS-2 FW-1 SW-1 SW-2 Host-1 Host-2 Host-3 图9-0-1拓扑规划 表901网络拓扑说明 序号 设备线路 设备类型 规格型号 1Host1~Hos5|用户客户端 SW-1--SW-2 换机 RS-1--RS-2 路由交换机 S5700 防火墙 UsG6000∨ L1~L-4 1000Base-T 2、安全目标 在网络连通正常的前提下,通过防火墙访问限制,达到Host-1、 Host-2能够访问Host5,Host 3、Host-4无法访问Host-5的主机访问限制目的。 3、规划交换机接囗与VLAN 表9-02交换机接口及vLAN规划表 序号交换机 接口 连接设备接口类型 SW-1 GE001 默认 SW-1 Ethernet 0/0/1 Host-1 默认 SW-1 Ethernet 0/0/2 Host-2 默认 SW-2 GE00/1 RS-1 默认 Ethernet O/0/1 Host-3 默认 7 SW-2 Ethernet o/0/2 Host-4 默认 RS-1 GE00/1 100 FW-1 RS-1 GE00/23 SW-1 11 RS-1 GE0/o/24 12 SW-1 Access 河南中医药大学信息技术学院|网络与信息系统科研工作室 第3页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第3页 五、实验规划 1、网络拓扑规划 表 9-0-1 网络拓扑说明 序号 设备线路 设备类型 规格型号 1 Host-1~Host5 用户客户端 PC 2 SW-1~SW-2 交换机 S3700 3 RS-1~RS-2 路由交换机 S5700 4 FW-1 防火墙 USG6000V 5 L-1~L-4 双绞线 1000Base-T 2、安全目标 在网络连通正常的前提下,通过防火墙访问限制,达到 Host-1、Host-2 能够访问 Host-5,Host- 3、Host-4 无法访问 Host-5 的主机访问限制目的。 3、规划交换机接口与 VLAN 表 9-0-2 交换机接口及 VLAN 规划表 序号 交换机 接口 VLAN ID 连接设备 接口类型 1 SW-1 GE 0/0/1 1 RS-1 默认 2 SW-1 Ethernet 0/0/1 1 Host-1 默认 3 SW-1 Ethernet 0/0/2 1 Host-2 默认 5 SW-2 GE 0/0/1 1 RS-1 默认 6 SW-2 Ethernet 0/0/1 1 Host-3 默认 7 SW-2 Ethernet 0/0/2 1 Host-4 默认 9 RS-1 GE 0/0/1 100 FW-1 Access 10 RS-1 GE 0/0/23 11 SW-1 Access 11 RS-1 GE 0/0/24 12 SW-1 Access 图 9-0-1 拓扑规划
《网络应用技术》/实验九:防火墙的应用 GE0/0/1 13 RS-2 GE0/0/24 FW-1 Access 4、规划主机IP地址 表9-03主机|P地址规划表 序号设备名称P地址/子网掩码默认网关 接入位置 1Host119216864112419216864254sW1 Ethernet o/0 2|Host2192168642/2419216864254SW1 Ethernet 0/0/2 3Host3|192168651/2419216865254sWw2 Ethernet o/0/1 Host-4 192168652/2419216865254SW2 Ethernet 0/0/2 5 Hos-5 192.168.66.1124 9216866254Rs1GE00 5、路由接口地址规划 表90-4路由接口P地址规划表 序号设备名称 接口名称 接口地址 备注 ani119216864254/24 VLAN11的SⅥ 123 Vlanif12 192.168.65.254/24 VLAN12的S RS-1 Vlanif100 100.1.2130 VLAN100的SV RS-2 lanif13 192.1686625424 VLAN13的Sv 10.02.2/30 LAN100的SV FW-1 GE10/0 10.02.1/30 连接RS2 FW-1 GE10/1 10.0.1.1/30 连接RS-1 6、路由表规划 表9-0-5静态路由规划表 序号路由设备 的网络 下一跳地址 下一跳接 RS-1 192.168.660/24 10.0.1.1 FW1的GE1/0/1接口 2 RS-2 192168640/2310021 FW1的GE10/0接口 FW-1 192.168.66.0/24 10.0.22 RS2的VLAN100的接口地址 FW-1 192.168.64.0/23 10.0.1.2 RS1的VLAN100的接口地址 7、防火墙策略规划 90-6安全策略规划表 序号 策略名称 来源地址子网掩码目的地址厅子网掩码端口动作 visit-1 192168640/24192168660/24 允许 novisit-1 192.168.65.0/24 192.168.66.0124 六、实验内容与过程 河南中医药大学信息技术学院|网络与信息系统科研工作室 第4页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第4页 12 RS-2 GE 0/0/1 13 Host-5 Access 13 RS-2 GE 0/0/24 100 FW-1 Access 4、规划主机 IP 地址 表 9-0-3 主机 IP 地址规划表 序号 设备名称 IP 地址 /子网掩码 默认网关 接入位置 1 Host-1 192.168.64.1 /24 192.168.64.254 SW-1 Ethernet 0/0/1 2 Host-2 192.168.64.2 /24 192.168.64.254 SW-1 Ethernet 0/0/2 3 Host-3 192.168.65.1 /24 192.168.65.254 SW-2 Ethernet 0/0/1 4 Host-4 192.168.65.2 /24 192.168.65.254 SW-2 Ethernet 0/0/2 5 Hos-5 192.168.66.1 /24 192.168.66.254 RS-1 GE 0/0/1 5、路由接口地址规划 表 9-0-4 路由接口 IP 地址规划表 序号 设备名称 接口名称 接口地址 备注 1 RS-1 Vlanif11 192.168.64.254 /24 VLAN11 的 SVI 2 RS-1 Vlanif12 192.168.65.254 /24 VLAN12 的 SVI 3 RS-1 Vlanif100 10.0.1.2 /30 VLAN100 的 SVI 4 RS-2 Vlanif13 192.168.66.254 /24 VLAN13 的 SVI 5 RS-2 Vlanif100 10.0.2.2 /30 VLAN100 的 SVI 6 FW-1 GE 1/0/0 10.0.2.1/30 连接 RS-2 7 FW-1 GE 1/0/1 10.0.1.1/30 连接 RS-1 6、路由表规划 表 9-0-5 静态路由规划表 序号 路由设备 目的网络 下一跳地址 下一跳接口 1 RS-1 192.168.66.0 /24 10.0.1.1 FW-1 的 GE1/0/1 接口 2 RS-2 192.168.64.0 /23 10.0.2.1 FW-1 的 GE1/0/0 接口 3 FW-1 192.168.66.0 /24 10.0.2.2 RS-2 的 VLAN100 的接口地址 4 FW-1 192.168.64.0 /23 10.0.1.2 RS-1 的 VLAN100 的接口地址 7、防火墙策略规划 9-0-6 安全策略规划表 序号 策略名称 来源地址 /子网掩码 目的地址 /子网掩码 端口 动作 1 visit-1 192.168.64.0 /24 192.168.66.0 /24 any 允许 2 novisit-1 192.168.65.0 /24 192.168.66.0 /24 any 拒绝 六、实验内容与过程
《网络应用技术》/实验九:防火墙的应用 任务一:部署并配置网络 任务介绍 在εNSP中部署网络,并对主机、交换机、路由交换机进行配置,此处不 对防火墙进行配置。 步骤1:在eNSP中部署网络 部署后的拓扑如9-21所示 Host-5 RS-2 GE0/0/24 v1anif13:192.168.66.254/24 Vlanif108:10..2.2/38 GE1/0 FW-1 E1/8/8:18.9.2.1/3 GE1/8/1:10.8.1.1/38 RS-1 v1anif11:192.168.64.254/24 GE0/0/1 Ⅵanif12:192.168.65.254/24 Vlanif18:10.9.1.2/ GE00/23 GE0/0/24 SW-1 GE00/1 Host-2 图9-1-1在eNsP中的网络拓扑图 步骤2:配置主机Host-1-Host-5 启动主机Host-1~Host-5,根据前面实验规划中关于主机|P地址的规划,完成Host-1~Host 5的P地址等参数的配置。 具体操作略 步骤3:配置交换机SW-l~SW-2 在本任务中,交换机SW-1、SW2均为默认配置,此处无需配置 步骤4:配置路由交换机RS-1 按照实验规划,配置路由交换机RS-1 【要求】 将RS-1的配置过程,写入实验报告。 河南中医药大学信息技术学院|网络与信息系统科研工作室
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第5页 任务一:部署并配置网络 任务介绍 在 eNSP 中部署网络,并对主机、交换机、路由交换机进行配置,此处不 对防火墙进行配置。 步骤 1:在 eNSP 中部署网络 部署后的拓扑如 9-2-1 所示。 步骤 2:配置主机 Host-1~Host-5 启动主机 Host-1~Host-5,根据前面实验规划中关于主机 IP 地址的规划,完成 Host-1~Host- 5 的 IP 地址等参数的配置。 具体操作略。 步骤 3:配置交换机 SW-1~SW-2 在本任务中,交换机 SW-1、SW-2 均为默认配置,此处无需配置。 步骤 4:配置路由交换机 RS-1 按照实验规划,配置路由交换机 RS-1。 【要求】 将 RS-1 的配置过程,写入实验报告。 图 9-1-1 在 eNSP 中的网络拓扑图
《网络应用技术》/实验九:防火墙的应用 步骤5:配置路由交换机RS-2 按照实验规划,配置路由交换机RS-2。 【要求】 将RS-2的配置过程,写入实验报告。 河南中医药大学信息技术学院|网络与信息系统科研工作室 第6页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第6页 步骤 5:配置路由交换机 RS-2 按照实验规划,配置路由交换机 RS-2。 【要求】 将 RS-2 的配置过程,写入实验报告
《网络应用技术》/实验九:防火墙的应用 任务二:配置防火墙 任务介绍 配置防火墙FW-l的基本参数,包括接口地址,静态路由表;在防火墙上 添加安全策略,使满足实验规划中的安全目标。 步骤1:导入防火墙的设备包 eNsP的USG6000V防火墙在使用时,需要先导入其设备包文件。启动FW1,会看到“导入 设备包”的提示窗口,如图9-21所示。设备包文件可通过华为官方网站(htt:/ w. huawei. com) 下载获取。 导入设备包 说明:1bos中开启硬件虚拟化。 2.从eNsP官方下载usG6000V,包,并解压后导入。 包路径 浏览 戳这里获取帮助 图9-21防火墙设备在使用时,需要导入其设备包文件 步骤2:启动防火墙,并修改防火墙密码 启动防火墙后,第一次登录防火墙时需要修改初始密码。eNSP中,USG6000∨防火墙的默认 用户名和密码分别为“ admin”和“ Admin@123”,现在将登录防火墙的密码改为abcd@1234 ∥/使用用户名 admin和密码 Admin@123登录防火墙 ∥/提示需要修改密码,是否立即修改,此处选择y,继续执行 The password needs to be changed. Change now? [Y/N]:y 输入原密码 Admin@123 /输入新密码,以abcd@1234为例 Please enter new password /重复输入新密码abcd@1234 Please confirm new password ∥/提示密码修改成功 Info: Your password has been changed. save the change to survive a reboot. Copyright(C)2014-2018 Huawei Technologies Co. Ltd 河南中医药大学信息技术学院|网络与信息系统科研工作室 第7页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第7页 任务二:配置防火墙 任务介绍 配置防火墙 FW-1 的基本参数,包括接口地址,静态路由表;在防火墙上 添加安全策略,使满足实验规划中的安全目标。 步骤 1:导入防火墙的设备包 eNSP 的 USG6000V 防火墙在使用时,需要先导入其设备包文件。启动 FW-1,会看到“导入 设备包”的提示窗口,如图 9-2-1 所示。设备包文件可通过华为官方网站(https://www.huawei.com) 下载获取。 步骤 2:启动防火墙,并修改防火墙密码 启动防火墙后,第一次登录防火墙时需要修改初始密码。eNSP 中,USG6000V 防火墙的默认 用户名和密码分别为“admin”和“Admin@123”,现在将登录防火墙的密码改为 abcd@1234。 //使用用户名 admin 和密码 Admin@123 登录防火墙 Username:admin Password: //提示需要修改密码,是否立即修改,此处选择 y,继续执行 The password needs to be changed. Change now? [Y/N]: y //输入原密码 Admin@123 Please enter old password: //输入新密码,以 abcd@1234 为例 Please enter new password: //重复输入新密码 abcd@1234 Please confirm new password: //提示密码修改成功 Info: Your password has been changed. Save the change to survive a reboot. **************************************************************** * Copyright (C) 2014-2018 Huawei Technologies Co., Ltd. * 图 9-2-1 防火墙设备在使用时,需要导入其设备包文件
《网络应用技术》/实验九:防火墙的应用 ithout the owners prior written consent, no decompiling or reverse-engineering shall be allowed UsG6000V1> 提醒 1.输入防火墙密码时,屏幕上并不显示。 步骤3:配置防火墙接囗地址及静态路由 按照实验规划,更改防火墙设备名称,配置防火墙FW1的接口地址,并配置静态路由。 【要求】 将防火墙接囗地址及静态路由的配置过程,写入实验报告。 步骤4:配置防火墙安全区域并添加接囗 /配置安全区域,进入 untrust区域 IFW-lfirewall zone untrust //将接口 GigabitEthernet1/0/0、 GigabitEthernet1/0/1添加到 untrust区域 [FW-1-zone-untrust]add interface GigabitEthernet 1/0/0 IFW-1-zone-untrust]add interface GigabitEthernet 1/0/1 [FW-1-zone-untrust]quit 步骤5:完成Host-l~Host-4访问Host-5的通信测试 在防火墙中加入策略前,Host-1~Host4分别访问Host-5。 【要求】 将通信结果以表9-2-1的格式写入实验报告。 表921P|NG测试主机通信结果 目的主机 安全策略 通信结果 Host-1 Host-5 Host-5 234 Host-3 Host-5 Host-4 Host-5 步骤6:配置防火墙安全策略 按照实验规划,在防火墙中添加安全策略,实现Host-1、Host2可以访问Host5,Host- 3、Host4不能访问Host-5 (1)配置Host1和Host2可以访问Host-5的策略 system-view ∥/进入安全策略配置视图 河南中医药大学信息技术学院|网络与信息系统科研工作室 第8页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第8页 * All rights reserved. * * Without the owner's prior written consent, * * no decompiling or reverse-engineering shall be allowed. * **************************************************************** 提醒: 1. 输入防火墙密码时,屏幕上并不显示。 步骤 3:配置防火墙接口地址及静态路由 按照实验规划,更改防火墙设备名称,配置防火墙 FW-1 的接口地址,并配置静态路由。 【要求】 将防火墙接口地址及静态路由的配置过程,写入实验报告。 步骤 4:配置防火墙安全区域并添加接口 //配置安全区域,进入 untrust 区域 [FW-1]firewall zone untrust //将接口 GigabitEthernet 1/0/0、GigabitEthernet 1/0/1 添加到 untrust 区域 [FW-1-zone-untrust]add interface GigabitEthernet 1/0/0 [FW-1-zone-untrust]add interface GigabitEthernet 1/0/1 [FW-1-zone-untrust]quit 步骤 5:完成 Host-1~Host-4 访问 Host-5 的通信测试 在防火墙中加入策略前,Host-1~Host-4 分别访问 Host-5。 【要求】 将通信结果以表 9-2-1 的格式写入实验报告。 表 9-2-1 PING 测试主机通信结果 序号 源主机 目的主机 安全策略 通信结果 1 Host-1 Host-5 2 Host-2 Host-5 3 Host-3 Host-5 4 Host-4 Host-5 步骤 6:配置防火墙安全策略 按照实验规划,在防火墙中添加安全策略,实现 Host-1、Host-2 可以访问 Host-5,Host- 3、Host-4 不能访问 Host-5。 (1)配置 Host-1 和 Host-2 可以访问 Host-5 的策略 system-view //进入安全策略配置视图
《网络应用技术》/实验九:防火墙的应用 ∥/配置一条名为vsit-1的策略,使得源地址是192.168.64.0/24,目的地址是192168660/24 的所有(any)服务都被允许通过( permit) [FW-l-policy-security ]rule name visit -1 IFW-1-policy-security-rule-visit-1 ]source-address 192. 168.64.0 mask 255.255.255.0 [FW-1-policy-security-rule-visit-1 ]destination-address 192.168.66.0 mask 255.255.255.0 IFW-1-policy-security-rule-visit -1]service any [FW-1-policy-security-rule-visit-1 ]action permit [FW-1-policy-security-rule-visit-1]quit (2)配置Host3和Host4不可以访问Host-5的策略 system-view [FW-1] 【要求】 参考前面配置的策略,将Host-3和Host-4不可以访问Host-5的策略的配置过程, 写入实验报告。 步骤7:完成Host-l~Host-4访问Host-5的通信测试 在防火墙中加入策略后,Host-1~Host4分别访问Host5。 【要求】 将通信结果以表9-2-2的格式写入实验报告。 表922P|NG测试主机通信结果 目的主机 安全策略 通信结果 Host-1 Host-5 Host-5 234 Host-3 Host-5 Host-4 Host-5 河南中医药大学信息技术学院|网络与信息系统科研工作室 第9页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第9页 [FW-1]security-policy //配置一条名为 visit-1 的策略,使得源地址是 192.168.64.0 /24,目的地址是 192.168.66.0 /24 的所有(any)服务都被允许通过(permit) [FW-1-policy-security]rule name visit-1 [FW-1-policy-security-rule-visit-1]source-address 192.168.64.0 mask 255.255.255.0 [FW-1-policy-security-rule-visit-1]destination-address 192.168.66.0 mask 255.255.255.0 [FW-1-policy-security-rule-visit-1]service any [FW-1-policy-security-rule-visit-1]action permit [FW-1-policy-security-rule-visit-1]quit (2)配置 Host-3 和 Host-4 不可以访问 Host-5 的策略 system-view [FW-1] …… 【要求】 参考前面配置的策略,将 Host-3 和 Host-4 不可以访问 Host-5 的策略的配置过程, 写入实验报告。 步骤 7:完成 Host-1~Host-4 访问 Host-5 的通信测试 在防火墙中加入策略后,Host-1~Host-4 分别访问 Host-5。 【要求】 将通信结果以表 9-2-2 的格式写入实验报告。 表 9-2-2 PING 测试主机通信结果 序号 源主机 目的主机 安全策略 通信结果 1 Host-1 Host-5 2 Host-2 Host-5 3 Host-3 Host-5 4 Host-4 Host-5
《网络应用技术》/实验九:防火墙的应用 七、实验分析 1、什么是包过滤防火墙?它有哪些特点?(10分) 将答案写入实验报告 2、査阅资料了解什么是下一代防火墙、统一安全管理(UTM)?(10分) 将答案写入实验报告 河南中医药大学信息技术学院|网络与信息系统科研工作室 第10页
《网络应用技术》 / 实验九:防火墙的应用 河南中医药大学信息技术学院 | 网络与信息系统科研工作室 第10页 七、实验分析 1、什么是包过滤防火墙?它有哪些特点?(10 分) 将答案写入实验报告 2、查阅资料了解什么是下一代防火墙、统一安全管理(UTM)?(10 分) 将答案写入实验报告
