实验包过滤防火墙设计实验.docx

《实验包过滤防火墙设计实验.docx》由会员分享，可在线阅读，更多相关《实验包过滤防火墙设计实验.docx（7页珍藏版）》请在第一文库网上搜索。

1、实验七、包过滤防火墙设计实验实验所属系列：网络安全综合实验系列实验对象：本科相关课程及专业：计算机网络安全、信息安全实验时数（学分）：3学时实验类别：实践实验类实验开发教师：i甚黔燕【实验目的】1、了解包过渡防火墙的基本原理；2、掌握包过滤防火墙的基本配置方法。【实验内容】1、按图1-1搭建本地配置环境通过PC机对QuidwayA和QuidwayB进行配置。RS-232串口PC图1-1Conso1e配置环境2、按图1-2拓扑结构组网。安全网关与内部网络通过以太网接口EthernetO/0连接。内部子网网段为129.38.1.0。安全网关与外部网络通过以太网接口Ethernet1/0连接。外部网

2、段为202.38.2.03、在安全网关上配置地址转换，使内部Pe机可以访问Inteme3外部PC可以访问内部服务器。配置要求：外部网络只有特定用户202.38.2.2可以访问内部服务器。内部网络只有特定主机129.38.1.4可以访问外部网络。4、验证配置结果。【实验环境】1、FTP服务器一台，安装WindOWS2000SERVER操作系统和FTP服务器端软件。2、PC机一台，安装WindOWS个人版操作系统和FTP客户端软件。3、QUidWaySeCPathIOOF硬件放火墙一台4、RJ-45连接电缆三条。5、ConSO1e配置线一根。【实验参考步骤】1、按以下拓扑结构组网（图1-2）内部P

3、C129.38.1.4202.38.2.2FTPServer外部PC图1-2包过滤防火墙配置案例组网图2、建立本地配置环境第一步：将微机（或终端）的串口通过标准RS-232电缆与安全网关的Conso1e口连接，如图1-1所示。第二步：单击“开始”“所有程序”T“附件”“通讯”T“超级终端”进入超级终端窗口。在图2-3中输入名称（自定义），在图2-4“连接时使用”选项中选择“COM1”选项。图1-3新建连接图1-4连接端口设置第三步：设置终端通信参数为：9600bps、8位数据位、1位停止位、无奇偶校验和无流量控制，并选择终端类型为VT1O0,如图15所示。图1-5端口通信参数设置第四步：打开防

4、火墙电源，安全网关上电自检、系统自检，自检结束后提示用户键入回车，直到出现命令行提示符(如VQUidWay)。此时系统进入用户视图命令行状态。第五步：键入SyStein-view(或Sy)命令，进入系统视图提示符状态。即可对安全网关进行配置或查看安全网关运行状态，如需要帮助可以随时键入“？”。3、配置步骤(1)在安全网关QUidWay上允许防火墙。Quidwayfirewa11packet-fi1terenab1e(2)设置防火墙缺省过滤方式为允许包通过。Quidwayfirewa11packet-fi1terdefau1tpermit(3)创建访问控制列表3001。Quidwayac1num

5、ber3001(4)配置规则允许特定主机访问外部网。Quidway-ac1-adv-3001ru1epermitipsource129.38.1.40Quidway-ac1-adv-3001ru1edenyip(5)创建访问控制列表3002Quidwayac1number3002(6)配置规则允许特定主机从外部网访问内部服务器。Quidway-ac1-adv-3002ru1epermittcpsource202.38.2.20destination202.38.2.10(7)配置规则允许特定用户从外部网取得数据(只允许端口大于1024的包)。Quidway-ac1-adv-3002ru1epe

6、rmittcpdestination202.38.2.10destination-portgt1024(8)配置本端以太网口的IP地址(EthernetO/0)Quidwayinterfaceethernet0/0Quidway-Ethernet0ipaddress129.38.1.5255.255.255.0(9)将规则3001作用于从接口EthernetO/O进入的包。Quidway-Ethernet0/0firewa11packet-fi1ter3001inbound(10)配置本端广域网口的IP地址(Ethernet1ZO)oQuidwayinterfaceethernet1/0Qui

7、dway-Ethernet1/0interfaceEthernet1/Oipaddress202.38.2.1255.0.0.0(11)将规则3002作用于从接口EthCrnet1/0进入的包。Quidway-Etherne11/0firewa11packet-fi1ter3002inbound(12)配置ethemetO/O(1AN)为内部安全区域接口。QuidwayAfirewa11zonetrustQuidwayA-zone-trustaddinterface(13)配置ethemet1/O(WAN)为外部广域网接口。QuidwayAfirewa11zoneuntrustQuidwayA

8、-zone-untrustaddinterfaceethernet1/0QuidwayAJsave4、从内部网络PC(129.3814)上向外部PC(202.38.2.1)发ping命令，测试内部网络与外部网络的连通性。记录测试问题和结果。5、从外部网络的特定PC(202.38.2.1)上向内部网络FTP服务器建立连接，上传或下载文件。记录测试问题和结果。【实验报告】1、重新规划组网的地址信息，提交规划组网的地址信息表。2、按新的规划组网信息配置防火墙，记录并说明配置中遇到的问题及解决办法。3、分析说明外部网络特定PC访问内部网络FTP服务器的访问结果。4、修改外部网络PC的IP地址后再次访问

9、内部FTP服务器，分析说明访问结果。并修改相应配置使其可以成功访问。【实验预备知识】1、QuidwaySecPath100F的硬件特性(1)外观图16QuidwaySecPath100F防火墙前面板示意图(2)指示灯表1-1SecPathIoOF防火墙前面板指示灯含义指示灯含义PWR系统电源指示灯，灯灭表示电源没有接通，灯亮表示电源已接通。SYS硬件系统运行指示灯，灯闪烁表示系统正常运行，灯灭表示系统工作不正常。1INK/ACT灯灭表示链路没有连通，灯亮表示链路已经连通：灯闪烁表示有数据收发。IOOM灯灭表示该接口工作在IOMbps的数据收发速度卜.，灯亮表示该接口工作在IOOMbps的数据收

10、发速度下。2、命令行视图进入超级终端界面后进入配置命令行视图状态，系统首先显示Quidway提示符，该提示符叫用户提示符。防火墙的配置系统命令行以多种命令行视图方式区分。不同的配置命令需要在不同的命令行视图下完成。各视图的配置权限不同，相互间可通过命令进行转换。其中，用户视图只完成查看运行状态和统计信息的简单功能，在用户视图下键入system-view（或sy）既进入系统视图，在系统视图下，键入不同的配置命令进入相应的协议、接口等视图。常用的命令行视图和代表它们的提示符如表1-2。表1-2常用命令视图功能特性列表命令视图功能提示符进入命令退出命令用户视图查看安全网关的简单运行状态和统计信息与安

11、全网关建立连接即进入quit断开与安全网关连接系统视图配置系统参数Quidway在用户视图下键入system-viewquit返回用户视图以太网视图配置以太网口参数Quidway-Ethernet1/0/0在系统视图下键入Interfaceethernet1/0/0quit返回系统视图3、防火墙的概念防火墙一方面阻止来自因特网的对受保护网络的未授权或未验证的访问，另一方面允许内部网络的用户对因特网进行Web访问或收发E-mai1等。防火墙也可以作为一个访问因特网的权限控制关口，如允许组织内的特定的人可以访问因特网。防火墙不单应用于和外部因特网的连接，也可以用于保护组织内部网络的大型机和重要资源

12、（如数据）。对受保护数据的访问都必须经过防火墙的过滤，即使该访问是来自组织内部。当外部网络的用户访问网内资源时，要经过防火墙；而内部网络的用户访问网外资源时,也会经过防火墙。这样，防火墙就起到了一个“警卫”的作用。4、防火墙的分类防火墙一般分为两类：网络层防火墙、应用层防火墙。网络层的防火墙主要获取数据包的包头信息，如协议号、源地址、目的地址和目的端口等，或者直接获取包头的一段数据；而应用层的防火墙则对整个信息流进行分析。常见的防火墙有以下几种：Internet图1-7防火墙使内部网络和因特网隔离应用网关（APP1iCationGateWay）：检验通过此网关的所有数据包中的应用层的数据。如F

13、TP应用网关，对于连接的CIient端来说是一个FTPServer,对于SerVer端来说是一个FTPC1iento连接中传输的所有FTP数据包都必须经过此FTP应用网关。电路级网关（CirCUit-1eVe1GateWay）:此电路指虚电路。在TCP或UDP发起（OPen）一个连接或电路之前，验证该会话的可靠性。只有在握手被验证为合法且握手完成之后，才允许数据包的传输。一个会话建立后，此会话的信息被写入防火墙维护的有效连接表中。数据包只有在它所含的会话信息符合该有效连接表中的某一条目（Entry）时，才被允许通过。会话结束时，该会话在表中的条目被删掉。电路级网关只对连接在会话层进行验证。一旦

14、验证通过，在该连接上可以运行任何一个应用程序。以FTP为例，电路层网关只在一个FTP会话开始时，在TCP层对此会话进行验证。如果验证通过，则所有的数据都可以通过此连接进行传输，直至会话结束。包过滤（PaCketFi1ter）：对每个数据包按照用户所定义的项目进行过滤，如比较数据包的源地址、目的地址等是否符合规则。包过滤不管会话的状态，也不分析数据。如用户规定允许端口是21或者大于等于1024的数据包通过，则只要端口符合该条件，数据包便可以通过此防火墙。如果配置的规则比较符合实际应用的话，在这一层能够过滤掉很多有安全隐患的数据包。地址转换（NAT）：地址转换又称地址代理，它实现了私有网络访问外部

15、网络的功能。地址转换的机制就是将私有网络内主机的IP地址和端口替换为安全网关的外部网络地址和端口，以及从安全网关的端口转换为私有网络主机的IP地址和端口，即V私有地址+端口与V公有地址+端口之间的转换。私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的IP地址。因特网地址分配组织规定将下列的IP地址被保留用作私有地址：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0192.168.255.255也就是说这三个范围内的地址不会在因特网上被分配，可在一个单位或公司内部使用。各企业根据在预见未来内部主机和网络的数量后，选择合适的内部网络地址，不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址，则有可能会造成混乱。地址转换在允许内部网络的主机访问网外资源的同时，为内部主机提供“隐私”（PriVaCy）保护。5、包过漉