实验7：防火墙高级配置1

上机报告

姓名 指导教师 学号 机房名称 专业班级 （I520） 实验7：防火墙高级配置1 计科普1002 课程名称 上机日期 网络系统集成 2012 年 11月 30 日 上机项目名称 上机步骤及内容： 一、实验目的 通过实验掌握防火墙工作在透明模式下的配置方法及其功能应用、利用ASPF实现单向访问和防病毒的典型配置以实现对网络通信流量进行过滤、控制和对常见病毒的防范。 二、实验要求 1．复习课堂知识和查看实验设备电子文档，认真理解防火墙的相关功能应用； 2．理解每一步实验的作用，并记录在实验报告上； 3．实验结束后上缴实验报告 三、实验仪器设备和材料清单 1．具备至少两个以太网端口的防火墙1台； 2．两台具备以太网接口的PC机，分别连接防火墙的内外网口，防火墙端口、PC的IP地址可根据实验要求和实际情况自己分配和设置。 3. 实验组网图 Management IP:192.168.10.1PC1IP:192.168.10.10E0/0E0/1PC2IP:192.168.10.37PC3IP:192.168.10.111 图1.1 实验组网图 四、实验内容 1．防火墙工作在透明模式下，平时使用web网管进行管理。192.168.1.1/24为游2．通过ASPF实现单向访问的典型配置，实现Trust区域可以访问Untrust区域，戏服务器，允许User_1访问游戏服务器，禁止User_2访问游戏服务器。/（参考4.1） 但是Untrust区域不可以访问Trust区域。(参考4.3) 3防病毒典型配置：内网用户通过NAT访问Internet，Web服务器通过NAT Server对外提供服务。欲通过访问控制列表，在内网入口处和Internet出口处对常见的病毒进行防范。(参考4.4) 五、实验步骤 1. 内容1的配置关键步骤： (1) 防火墙的基本配置 [s]firewall packet-filter enable [s]firewall zone trust [s-zone-trust]add interface Ethernet 0/1 [s-zone-trust]quit [s]firewall zone dmz [s-zone-dmz]add interface Ethernet 0/0 [s-zone-dmz]quit [s]firewall packet-filter default permit （2）为防火墙设置管理地址； [s]firewall system-ip 192.168.10.1 24 Set system ip address successfully. (2)对未知目的MAC地址的报文进行泛洪处理； [s]firewall unknown-mac flood (3)配置MAC地址转发表的老化时间； [s]firewall transparent-mode aging-time 250 (4)配置允许通过ipx协议报文； [s]firewall transparent-mode transmit IPX (5)配置web网管的用户； [s]local-user firewall New local user tangliu [s-luser-firewall]password simple 123456 [s-luser-firewall]service-type telnet [s-luser-firewall]level 3 (6)配置基于MAC的访问控制列表,对源mac为pc2的数据帧进行阻断； [s]acl number 3000 [s-acl-ethernetframe-3000]rule 0 deny source-mac 001e-9009-5a5f ffff-ffff-ffff dest-mac 001e-901a-ab49 ffff-ffff-ffff [s-acl-ethernetframe-3000]quit (7)在接口的inbound方向上应用访问控制列表； [s]interface Ethernet0/1 [s-Ethernet0/1]firewall ethernet-frame-filter 3000 inbound (8)开启smurf攻击防范； [s]firewall defend smurf (9)开启arp-flood攻击防范； [s]firewall defend arp-flood （10）查看配置效果 图 1.2 ping命令效果图 2. 内容2的配置关键步骤： IP:192.168.10.1E0/0DHCPPC1IP:172.19.20.1E0/1NATPC2IP:172.19.20.201图 1.3 实验组网图 [s]interface Ethernet0/0 [s-Ethernet0/0]ip address 192.168.10.1 24 [s-Ethernet0/0]quit [s]interface Ethernet0/1 [s-Ethernet0/1]ip address 172.19.20.1 24 [s-Ethernet0/1]quit (1)配置aspf策略 [s]aspf-policy 1 (2)对http协议进行检测 [s-aspf-policy-1]detect http //对http协议进行检测 (3)对smtp协议进行检测 [s-aspf-policy-1]detect smtp //对smtp协议进行检测 (4)对ftp协议进行检测 [s-aspf-policy-1]detect ftp //对ftp协议进行检测 (5)创建DHCP地址池，定义属性值 [s]dhcp server ip-pool tian [s-dhcp-pool-tian]network 192.168.10.0 mask 255.255.255.0 [s-dhcp-pool-tian]gateway-list 192.168.10.1 [s-dhcp-pool-tian]dns-list 172.19.20.201 [s-dhcp-pool-tian]domain-name abc.com [s-dhcp-pool-tian]quit (6)创建ACL [s]acl number 3003 [s-acl-adv-3003]rule 0 deny ip [s-acl-adv-3003]quit (7)在接口下启用DHCP [s]interface Ethernet0/0 [s-Ethernet0/0]dhcp select interface (8)定义DHCP Server分配的DNS [s-Ethernet0/0]dhcp server dns-list 172.19.20.201 (9)接口入方向应用ACL，拒绝所有进来的报文 [s]interface Ethernet0/1 [s-Ethernet0/1]firewall packet-filter 3003 inbound (10)接口出方向应用aspf [s-Ethernet0/1]firewall aspf 1 outbound （11）实验效果 图 1.4 ping web 图 1.5 ftp效果 3. 内容3的配置关键步骤： 0/0 192.168.1.3/240/1 172.19.68.2/24Pc1 192.168.1.2Pc2 172.19.68.111 图 1.6 实验组网图 (1)设置允许进行NAT转换的网段 acl number 3001 //常见的病毒防范列表 rule 0 deny tcp source-port eq 3127 rule 1 deny tcp source-port eq 1025 (2)在内网接口处使用防病毒列表 [s]int Ethernet 0/0 [s-Ethernet0/0]firewall packet-filter 3001 inbound [s-Ethernet0/0]quit (3)在Internet出口处应用防病毒列表 [s]int Ethernet 0/1 [s-Ethernet0/1]firewall packet-filter 3001 inbound [s-Ethernet0/1]nat outbound 2012 (4)将对外网口的www访问通过NAT Server映射到内网web服务器 [s-Ethernet0/1]nat server protocol tcp global 172.19.68.3 www inside 192.168.1.2 www [s-Ethernet0/1]quit 六、实验报告要求 1．画出拓扑图，写出各步骤的配置命令，并记录你所配置的关键命令含义 2．记录实验现象并记录验证结果。 结果分析与体会： 通过本次试验掌握了防火墙工作在透明模式下的配置方法及其功能应用。我们知道防火墙工作在透明模式下，平时使用web网管进行管理。同时还要熟悉在虚拟机中网站的发布，学会用DNS将域名解析到IP地址。对基本的语句要熟悉，还有对每条命令的作用还需要更深入的学习和了解。 学会了利用ASPF实现单向访问，可使Trust区域可以访问Untrust区域，但是Untrust区域不可以访问Trust区域。以及通过对防病毒的典型配置来实现对网络通信流量进行过滤、控制和对常见病毒的防范。内网用户通过NAT访问Internet，Web服务器通过NAT Server对外提供服务。欲通过访问控制列表，在内网入口处和Internet出口处对常见的病毒进行防范。 实验中我们会遇到很多小问题，比如说文件配置文档都是按照我们的要求进行一步一步的配置，可是在最后我们要实现以及验证配置效果的时候却往往出现不能够ping通、不能够上网、不能够运用ftp去访问另外一台电脑。虽然说这些都是些小问题，可是当我们把这些小问题解决后我们得到的就不再是一些小收获，所以我们要重视这些问题，而不是把这些问题简单化了。 上机成绩、评语 指导教师签名 批改日期

本文来源：https://www.bwwdw.com/article/serv.html