/实验九:防火墙的应用
实验九:防火墙的应用
一、实验介绍 在园区网内,不同网络区域的访问策略通常也有所不同。
为了加强网络安全,往往需要对网络访问行为进行监测、限制,并对外屏蔽网络内部的信息、结构和运行状况。
本实验介绍通过防火墙设备提升网络安全性的具体方法。
二、实验目的
1、了解包过滤防火墙的工作原理;
2、掌握在eNSP中引入防火墙设备的方法;
3、掌握利用防火墙加强园区网安全管理的方法。
三、实验类型 验证性
四、实验理论
1、防火墙 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,
其目的是保护网络不被侵扰。
在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器,能够有效地监控流经防火墙的数据,保证内部网络的安全。
本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信。
不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。
防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有较 强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片)。
防火墙本身不能影响正常网络信息的流通。
2、防火墙的关键技术
(1)包过滤技术包过滤技术是最早也是最基本的访问控制技术,又称报文过滤技术。
包过滤技术的作用是执行 边界访问控制功能,即对网络通信数据进行过滤(Filtering)。
数据包中的信息如果与某一条过滤规
则相匹配并且该规则允许数据包通过,则该数据包会被防火墙转发,如果与某一条过滤规则匹配但规则拒绝数据包通过,则该数据包会被丢弃。
如果没有可匹配的规则,缺省规则会决定数据包被转发还是被丢弃,并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。
包过滤技术的工作对象就是数据包,具体来说,就是针对数据包首部的五元组信息,包括源IP地址、目的IP地址、源端口、目的端口、协议号,来指定相应的过滤规则。
河南中医药大学信息技术学院|网络与信息系统科研工作室第1页 《网络应用技术》/实验九:防火墙的应用
(2)状态检测技术为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 (StatefulInspection)的概念。
它能够提供比静态包过滤技术更高的安全性,而且使用和管理也更简单。
这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则,不需要管理人员手工配置。
同时,还可以分析高层协议,能够更有效地对进出内部网络的通信进行监控,并且提出更好的日志和审计分析服务。
早期的状态检测技术被称为动态包过滤(DynamicPacketFilter)技术,是静态包过滤技术在传输层的扩展应用。
后期经过进一步的改进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。
状态检测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。
(3)网络地址转换技术(NAT) 网络地址转换(NetworkAddressTranslation,NAT)。
最初设计NAT的目的是允许将私有IP地址映射到公网上(合法的因特网IP地址),以缓解IP地址短缺的问题。
但是,通过NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内部网络被攻击的可能性,提高了私有网络的安全性。
正是内部主机地址隐藏的特性,使NAT技术成为了防火墙实现中经常采用的核心技术之
一。
(4)代理技术 代理(Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控制技术。
采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制功能,起到内部网络与外部网络之间应用服务的转接作用。
同时,代理防火墙不再围绕数据包,而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。
3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和NAT模式等。
(1)桥模式 桥模式也称为透明模式。
工作在桥模式下的防火墙不需要配置IP地址,无需对网络地址进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式。
(2)网关模式 网关模式适用于网络不在同一网段的情况。
防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一定的私密性。
(3)NAT模式 NAT(NetworkAddressTranslation)模式是由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
NAT模式能够实现外部网络无法得到内部网络的IP地址,进一步增强了对内部网络的安全防护。
同时,在NAT模式的网络中,内部网络可以使用私网地址,解决IP地址数量受限的问题。
河南中医药大学信息技术学院|网络与信息系统科研工作室第2页
五、实验规划
1、网络拓扑规划 《网络应用技术》/实验九:防火墙的应用 图9-0-1拓扑规划 表9-0-1网络拓扑说明 序号 设备线路 设备类型
1 Host-1~Host5 用户客户端
2 SW-1~SW-
2 交换机
3 RS-1~RS-
2 路由交换机
4 FW-
1 防火墙
5 L-1~L-
4 双绞线 规格型号
PC S3700S5700USG6000V1000Base-
T 2、安全目标 在网络连通正常的前提下,通过防火墙访问限制,达到Host-
1、Host-2能够访问Host-
5,Host3、Host-4无法访问Host-5的主机访问限制目的。
3、规划交换机接口与VLAN 序号交换机 表9-0-2交换机接口及VLAN规划表 接口 VLANID 连接设备
1 SW-
1 GE0/0/1
1 RS-
1 2 SW-
1 0/0/1
1 Host-
1 3 SW-
1 0/0/2
1 Host-
2 5 SW-
2 GE0/0/1
1 RS-
1 6 SW-
2 0/0/1
1 Host-
3 7 SW-
2 0/0/2
1 Host-
4 9 RS-
1 GE0/0/1 100 FW-
1 10 RS-
1 GE0/0/23 11 SW-
1 11 RS-
1 GE0/0/24 12 SW-
1 接口类型默认默认默认默认默认默认 essessess 河南中医药大学信息技术学院|网络与信息系统科研工作室第3页 《网络应用技术》/实验九:防火墙的应用 12 RS-
2 GE0/0/1 13 13 RS-
2 GE0/0/24 100 Host-5FW-
1 essess
4、规划主机IP地址 序号设备名称
1 Host-
1 2 Host-
2 3 Host-
3 4 Host-
4 5 Hos-
5 表9-0-3主机IP地址规划表 IP地址/子网掩码 默认网关 192.168.64.1/24192.168.64.254 192.168.64.2/24192.168.64.254 192.168.65.1/24192.168.65.254 192.168.65.2/24192.168.65.254 192.168.66.1/24192.168.66.254 接入位置SW-10/0/1SW-10/0/2SW-20/0/1SW-20/0/2 RS-1GE0/0/1
5、路由接口地址规划 序号设备名称
1 RS-
1 2 RS-
1 3 RS-
1 4 RS-
2 5 RS-
2 6 FW-
1 7 FW-
1 表9-0-4路由接口IP地址规划表 接口名称 接口地址 Vlanif11 192.168.64.254/24 Vlanif12 192.168.65.254/24 Vlanif100 10.0.1.2/30 Vlanif13 192.168.66.254/24 Vlanif100 10.0.2.2/30 GE1/0/0 10.0.2.1/30 GE1/0/1 10.0.1.1/30 备注VLAN11的SVIVLAN12的SVIVLAN100的SVIVLAN13的SVIVLAN100的SVI 连接RS-2连接RS-
1 6、路由表规划 序号路由设备
1 RS-
1 2 RS-
2 3 FW-
1 4 FW-
1 表9-0-5静态路由规划表 目的网络 下一跳地址 192.168.66.0/24 10.0.1.1 192.168.64.0/23 10.0.2.1 192.168.66.0/24 10.0.2.2 192.168.64.0/23 10.0.1.2 下一跳接口FW-1的GE1/0/1接口FW-1的GE1/0/0接口RS-2的VLAN100的接口地址RS-1的VLAN100的接口地址
7、防火墙策略规划 9-0-6安全策略规划表 序号 策略名称 来源地址/子网掩码目的地址/子网掩码 端口 动作
1 visit-
1 192.168.64.0/24 192.168.66.0/24 any 允许
2 novisit-
1 192.168.65.0/24 192.168.66.0/24 any 拒绝
六、实验内容与过程 河南中医药大学信息技术学院|网络与信息系统科研工作室第4页 《网络应用技术》/实验九:防火墙的应用 任务一:部署并配置网络 任务介绍在eNSP中部署网络,并对主机、交换机、路由交换机进行配置,此处不对防火墙进行配置。
步骤1:在eNSP中部署网络 部署后的拓扑如9-2-1所示。
图9-1-1在eNSP中的网络拓扑图 步骤2:配置主机Host-1~Host-
5 启动主机Host-1~Host-
5,根据前面实验规划中关于主机IP地址的规划,完成Host-1~Host5的IP地址等参数的配置。
具体操作略。
步骤3:配置交换机SW-1~SW-
2 在本任务中,交换机SW-
1、SW-2均为默认配置,此处无需配置。
步骤4:配置路由交换机RS-
1 按照实验规划,配置路由交换机RS-
1。
【要求】将RS-1的配置过程,写入实验报告。
河南中医药大学信息技术学院|网络与信息系统科研工作室第5页 《网络应用技术》/实验九:防火墙的应用 步骤5:配置路由交换机RS-
2 按照实验规划,配置路由交换机RS-
2。
【要求】将RS-2的配置过程,写入实验报告。
河南中医药大学信息技术学院|网络与信息系统科研工作室第6页 《网络应用技术》/实验九:防火墙的应用 任务二:配置防火墙 任务介绍配置防火墙FW-1的基本参数,包括接口地址,静态路由表;在防火墙上添加安全策略,使满足实验规划中的安全目标。
步骤1:导入防火墙的设备包 eNSP的USG6000V防火墙在使用时,需要先导入其设备包文件。
启动FW-
1,会看到“导入设备包”的提示窗口,如图9-2-1所示。
设备包文件可通过华为官方网站()下载获取。
图9-2-1防火墙设备在使用时,需要导入其设备包文件 步骤2:启动防火墙,并修改防火墙密码 启动防火墙后,第一次登录防火墙时需要修改初始密码。
eNSP中,USG6000V防火墙的默认用户名和密码分别为“admin”和“Admin@123”,现在将登录防火墙的密码改为abcd@1234。
//使用用户名admin和密码Admin@123登录防火墙 Username:admin Password: //提示需要修改密码,是否立即修改,此处选择y,继续执行 Thepasswordneedstobechanged.Changenow?
[Y/N]:y //输入原密码Admin@123 Pleaseenteroldpassword: //输入新密码,以abcd@1234为例 Pleaseenternewpassword: //重复输入新密码abcd@1234 Pleaseconfirmnewpassword: //提示密码修改成功 Info:Yourpasswordhasbeenchanged.Savethechangetosurviveareboot. **************************************************************** * Copyright(C)2014-2018HuaweiTechnologiesCo.,Ltd. * 河南中医药大学信息技术学院|网络与信息系统科研工作室第7页 《网络应用技术》/实验九:防火墙的应用 * Allrightsreserved. * * Withouttheowner'spriorwrittenconsent, * * nopilingorreverse-engineeringshallbeallowed. * ****************************************************************
提醒:
1.输入防火墙密码时,屏幕上并不显示。
步骤3:配置防火墙接口地址及静态路由 按照实验规划,更改防火墙设备名称,配置防火墙FW-1的接口地址,并配置静态路由。
【要求】将防火墙接口地址及静态路由的配置过程,写入实验报告。
步骤4:配置防火墙安全区域并添加接口 //配置安全区域,进入untrust区域[FW-1]firewallzoneuntrust//将接口1/0/0、1/0/1添加到untrust区域[FW-1-zone-untrust]addinterface1/0/0[FW-1-zone-untrust]addinterface1/0/1[FW-1-zone-untrust]quit 步骤5:完成Host-1~Host-4访问Host-5的通信测试 在防火墙中加入策略前,Host-1~Host-4分别访问Host-
5。
【要求】 将通信结果以表9-2-1的格式写入实验报告。
表9-2-1PING测试主机通信结果 序号 源主机 目的主机 安全策略
1 Host-
1 Host-
5 2 Host-
2 Host-
5 3 Host-
3 Host-
5 4 Host-
4 Host-
5 通信结果 步骤
6:配置防火墙安全策略 按照实验规划,在防火墙中添加安全策略,实现Host-
1、Host-2可以访问Host-
5,Host3、Host-4不能访问Host-
5。
(1)配置Host-1和Host-2可以访问Host-5的策略system-view//进入安全策略配置视图
河南中医药大学信息技术学院|网络与信息系统科研工作室第8页
《网络应用技术》/实验九:防火墙的应用
[FW-1]security-policy//配置一条名为visit-1的策略,使得源地址是192.168.64.0/24,目的地址是192.168.66.0/24的所有(any)服务都被允许通过(permit)[FW-1-policy-security]rulenamevisit-1[FW-1-policy-security-rule-visit-1]source-address192.168.64.0mask255.255.255.0[FW-1-policy-security-rule-visit-1]destination-address192.168.66.0mask255.255.255.0[FW-1-policy-security-rule-visit-1]serviceany[FW-1-policy-security-rule-visit-1]actionpermit[FW-1-policy-security-rule-visit-1]quit
(2)配置Host-3和Host-4不可以访问Host-5的策略system-view[FW-1]……
【要求】
参考前面配置的策略,将Host-3和Host-4不可以访问Host-5的策略的配置过程,写入实验报告。
步骤7:完成Host-1~Host-4访问Host-5的通信测试 在防火墙中加入策略后,Host-1~Host-4分别访问Host-
5。
【要求】 将通信结果以表9-2-2的格式写入实验报告。
表9-2-2PING测试主机通信结果 序号 源主机 目的主机 安全策略
1 Host-
1 Host-
5 2 Host-
2 Host-
5 3 Host-
3 Host-
5 4 Host-
4 Host-
5 通信结果 河南中医药大学信息技术学院
|网络与信息系统科研工作室第9页 《网络应用技术》/实验九:防火墙的应用
七、实验分析
1、什么是包过滤防火墙?它有哪些特点?(10分)将答案写入实验报告
2、查阅资料了解什么是下一代防火墙、统一安全管理(UTM)?(10分)将答案写入实验报告 河南中医药大学信息技术学院|网络与信息系统科研工作室第10页
一、实验介绍 在园区网内,不同网络区域的访问策略通常也有所不同。
为了加强网络安全,往往需要对网络访问行为进行监测、限制,并对外屏蔽网络内部的信息、结构和运行状况。
本实验介绍通过防火墙设备提升网络安全性的具体方法。
二、实验目的
1、了解包过滤防火墙的工作原理;
2、掌握在eNSP中引入防火墙设备的方法;
3、掌握利用防火墙加强园区网安全管理的方法。
三、实验类型 验证性
四、实验理论
1、防火墙 防火墙(Firewall)是在两个网络之间执行访问控制策略的一个或一组系统,包括硬件和软件,
其目的是保护网络不被侵扰。
在逻辑上,防火墙是一个分离器、一个分析器,也是一个限制器,能够有效地监控流经防火墙的数据,保证内部网络的安全。
本质上,防火墙遵循的是一种允许或阻止业务来往的网络通信安全机制,也就是提供可控的、能过滤的网络通信。
不管什么种类的防火墙,不论其采用何种技术手段,防火墙都必须具有以下三种基本性质: 防火墙是不同网络之间信息的唯一出入口。
防火墙能根据网络安全策略控制(允许、拒绝或监测)出入网络的信息流,且自身具有较 强的抗攻击能力(采用不易攻击的专用系统或采用纯硬件的处理器芯片)。
防火墙本身不能影响正常网络信息的流通。
2、防火墙的关键技术
(1)包过滤技术包过滤技术是最早也是最基本的访问控制技术,又称报文过滤技术。
包过滤技术的作用是执行 边界访问控制功能,即对网络通信数据进行过滤(Filtering)。
数据包中的信息如果与某一条过滤规
则相匹配并且该规则允许数据包通过,则该数据包会被防火墙转发,如果与某一条过滤规则匹配但规则拒绝数据包通过,则该数据包会被丢弃。
如果没有可匹配的规则,缺省规则会决定数据包被转发还是被丢弃,并且根据预先的定义完成记录日志信息、发送报警信息给管理人员等操作。
包过滤技术的工作对象就是数据包,具体来说,就是针对数据包首部的五元组信息,包括源IP地址、目的IP地址、源端口、目的端口、协议号,来指定相应的过滤规则。
河南中医药大学信息技术学院|网络与信息系统科研工作室第1页 《网络应用技术》/实验九:防火墙的应用
(2)状态检测技术为了解决静态包过滤技术安全检查措施简单、管理较困难等问题,提出了状态检测技术 (StatefulInspection)的概念。
它能够提供比静态包过滤技术更高的安全性,而且使用和管理也更简单。
这体现在状态检测技术可以根据实际情况,动态地自动生成或删除安全过滤规则,不需要管理人员手工配置。
同时,还可以分析高层协议,能够更有效地对进出内部网络的通信进行监控,并且提出更好的日志和审计分析服务。
早期的状态检测技术被称为动态包过滤(DynamicPacketFilter)技术,是静态包过滤技术在传输层的扩展应用。
后期经过进一步的改进,又可以实现传输层协议报文字段细节的过滤,并可实现部分应用层信息的过滤。
状态检测不仅仅只是对状态进行检测,还进行包过滤检测,从而提高了防火墙的功能。
(3)网络地址转换技术(NAT) 网络地址转换(NetworkAddressTranslation,NAT)。
最初设计NAT的目的是允许将私有IP地址映射到公网上(合法的因特网IP地址),以缓解IP地址短缺的问题。
但是,通过NAT,可以实现内部主机地址隐藏,防止内部网络结构被人掌握,因此从一定程度上降低了内部网络被攻击的可能性,提高了私有网络的安全性。
正是内部主机地址隐藏的特性,使NAT技术成为了防火墙实现中经常采用的核心技术之
一。
(4)代理技术 代理(Proxy)技术与前面所述的基于包过滤技术完全不同,是基于另一种思想的完全控制技术。
采用代理技术的代理服务器运行在内部网络和外部网路之间,在应用层实现安全控制功能,起到内部网络与外部网络之间应用服务的转接作用。
同时,代理防火墙不再围绕数据包,而着重于应用级别,分析经过它们的应用信息,从而决定是传输还是丢弃。
3、防火墙的部署方式 防火墙常见的部署模式有桥模式、网关模式和NAT模式等。
(1)桥模式 桥模式也称为透明模式。
工作在桥模式下的防火墙不需要配置IP地址,无需对网络地址进行重新规划,对于用户而言,防火墙仿佛不存在,因此被称为透明模式。
(2)网关模式 网关模式适用于网络不在同一网段的情况。
防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备一定的私密性。
(3)NAT模式 NAT(NetworkAddressTranslation)模式是由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
NAT模式能够实现外部网络无法得到内部网络的IP地址,进一步增强了对内部网络的安全防护。
同时,在NAT模式的网络中,内部网络可以使用私网地址,解决IP地址数量受限的问题。
河南中医药大学信息技术学院|网络与信息系统科研工作室第2页
五、实验规划
1、网络拓扑规划 《网络应用技术》/实验九:防火墙的应用 图9-0-1拓扑规划 表9-0-1网络拓扑说明 序号 设备线路 设备类型
1 Host-1~Host5 用户客户端
2 SW-1~SW-
2 交换机
3 RS-1~RS-
2 路由交换机
4 FW-
1 防火墙
5 L-1~L-
4 双绞线 规格型号
PC S3700S5700USG6000V1000Base-
T 2、安全目标 在网络连通正常的前提下,通过防火墙访问限制,达到Host-
1、Host-2能够访问Host-
5,Host3、Host-4无法访问Host-5的主机访问限制目的。
3、规划交换机接口与VLAN 序号交换机 表9-0-2交换机接口及VLAN规划表 接口 VLANID 连接设备
1 SW-
1 GE0/0/1
1 RS-
1 2 SW-
1 0/0/1
1 Host-
1 3 SW-
1 0/0/2
1 Host-
2 5 SW-
2 GE0/0/1
1 RS-
1 6 SW-
2 0/0/1
1 Host-
3 7 SW-
2 0/0/2
1 Host-
4 9 RS-
1 GE0/0/1 100 FW-
1 10 RS-
1 GE0/0/23 11 SW-
1 11 RS-
1 GE0/0/24 12 SW-
1 接口类型默认默认默认默认默认默认 essessess 河南中医药大学信息技术学院|网络与信息系统科研工作室第3页 《网络应用技术》/实验九:防火墙的应用 12 RS-
2 GE0/0/1 13 13 RS-
2 GE0/0/24 100 Host-5FW-
1 essess
4、规划主机IP地址 序号设备名称
1 Host-
1 2 Host-
2 3 Host-
3 4 Host-
4 5 Hos-
5 表9-0-3主机IP地址规划表 IP地址/子网掩码 默认网关 192.168.64.1/24192.168.64.254 192.168.64.2/24192.168.64.254 192.168.65.1/24192.168.65.254 192.168.65.2/24192.168.65.254 192.168.66.1/24192.168.66.254 接入位置SW-10/0/1SW-10/0/2SW-20/0/1SW-20/0/2 RS-1GE0/0/1
5、路由接口地址规划 序号设备名称
1 RS-
1 2 RS-
1 3 RS-
1 4 RS-
2 5 RS-
2 6 FW-
1 7 FW-
1 表9-0-4路由接口IP地址规划表 接口名称 接口地址 Vlanif11 192.168.64.254/24 Vlanif12 192.168.65.254/24 Vlanif100 10.0.1.2/30 Vlanif13 192.168.66.254/24 Vlanif100 10.0.2.2/30 GE1/0/0 10.0.2.1/30 GE1/0/1 10.0.1.1/30 备注VLAN11的SVIVLAN12的SVIVLAN100的SVIVLAN13的SVIVLAN100的SVI 连接RS-2连接RS-
1 6、路由表规划 序号路由设备
1 RS-
1 2 RS-
2 3 FW-
1 4 FW-
1 表9-0-5静态路由规划表 目的网络 下一跳地址 192.168.66.0/24 10.0.1.1 192.168.64.0/23 10.0.2.1 192.168.66.0/24 10.0.2.2 192.168.64.0/23 10.0.1.2 下一跳接口FW-1的GE1/0/1接口FW-1的GE1/0/0接口RS-2的VLAN100的接口地址RS-1的VLAN100的接口地址
7、防火墙策略规划 9-0-6安全策略规划表 序号 策略名称 来源地址/子网掩码目的地址/子网掩码 端口 动作
1 visit-
1 192.168.64.0/24 192.168.66.0/24 any 允许
2 novisit-
1 192.168.65.0/24 192.168.66.0/24 any 拒绝
六、实验内容与过程 河南中医药大学信息技术学院|网络与信息系统科研工作室第4页 《网络应用技术》/实验九:防火墙的应用 任务一:部署并配置网络 任务介绍在eNSP中部署网络,并对主机、交换机、路由交换机进行配置,此处不对防火墙进行配置。
步骤1:在eNSP中部署网络 部署后的拓扑如9-2-1所示。
图9-1-1在eNSP中的网络拓扑图 步骤2:配置主机Host-1~Host-
5 启动主机Host-1~Host-
5,根据前面实验规划中关于主机IP地址的规划,完成Host-1~Host5的IP地址等参数的配置。
具体操作略。
步骤3:配置交换机SW-1~SW-
2 在本任务中,交换机SW-
1、SW-2均为默认配置,此处无需配置。
步骤4:配置路由交换机RS-
1 按照实验规划,配置路由交换机RS-
1。
【要求】将RS-1的配置过程,写入实验报告。
河南中医药大学信息技术学院|网络与信息系统科研工作室第5页 《网络应用技术》/实验九:防火墙的应用 步骤5:配置路由交换机RS-
2 按照实验规划,配置路由交换机RS-
2。
【要求】将RS-2的配置过程,写入实验报告。
河南中医药大学信息技术学院|网络与信息系统科研工作室第6页 《网络应用技术》/实验九:防火墙的应用 任务二:配置防火墙 任务介绍配置防火墙FW-1的基本参数,包括接口地址,静态路由表;在防火墙上添加安全策略,使满足实验规划中的安全目标。
步骤1:导入防火墙的设备包 eNSP的USG6000V防火墙在使用时,需要先导入其设备包文件。
启动FW-
1,会看到“导入设备包”的提示窗口,如图9-2-1所示。
设备包文件可通过华为官方网站()下载获取。
图9-2-1防火墙设备在使用时,需要导入其设备包文件 步骤2:启动防火墙,并修改防火墙密码 启动防火墙后,第一次登录防火墙时需要修改初始密码。
eNSP中,USG6000V防火墙的默认用户名和密码分别为“admin”和“Admin@123”,现在将登录防火墙的密码改为abcd@1234。
//使用用户名admin和密码Admin@123登录防火墙 Username:admin Password: //提示需要修改密码,是否立即修改,此处选择y,继续执行 Thepasswordneedstobechanged.Changenow?
[Y/N]:y //输入原密码Admin@123 Pleaseenteroldpassword: //输入新密码,以abcd@1234为例 Pleaseenternewpassword: //重复输入新密码abcd@1234 Pleaseconfirmnewpassword: //提示密码修改成功 Info:Yourpasswordhasbeenchanged.Savethechangetosurviveareboot. **************************************************************** * Copyright(C)2014-2018HuaweiTechnologiesCo.,Ltd. * 河南中医药大学信息技术学院|网络与信息系统科研工作室第7页 《网络应用技术》/实验九:防火墙的应用 * Allrightsreserved. * * Withouttheowner'spriorwrittenconsent, * * nopilingorreverse-engineeringshallbeallowed. * ****************************************************************
1.输入防火墙密码时,屏幕上并不显示。
步骤3:配置防火墙接口地址及静态路由 按照实验规划,更改防火墙设备名称,配置防火墙FW-1的接口地址,并配置静态路由。
【要求】将防火墙接口地址及静态路由的配置过程,写入实验报告。
步骤4:配置防火墙安全区域并添加接口 //配置安全区域,进入untrust区域[FW-1]firewallzoneuntrust//将接口1/0/0、1/0/1添加到untrust区域[FW-1-zone-untrust]addinterface1/0/0[FW-1-zone-untrust]addinterface1/0/1[FW-1-zone-untrust]quit 步骤5:完成Host-1~Host-4访问Host-5的通信测试 在防火墙中加入策略前,Host-1~Host-4分别访问Host-
5。
【要求】 将通信结果以表9-2-1的格式写入实验报告。
表9-2-1PING测试主机通信结果 序号 源主机 目的主机 安全策略
1 Host-
1 Host-
5 2 Host-
2 Host-
5 3 Host-
3 Host-
5 4 Host-
4 Host-
5 通信结果 步骤
6:配置防火墙安全策略 按照实验规划,在防火墙中添加安全策略,实现Host-
1、Host-2可以访问Host-
5,Host3、Host-4不能访问Host-
5。
(1)配置Host-1和Host-2可以访问Host-5的策略
(2)配置Host-3和Host-4不可以访问Host-5的策略
步骤7:完成Host-1~Host-4访问Host-5的通信测试 在防火墙中加入策略后,Host-1~Host-4分别访问Host-
5。
【要求】 将通信结果以表9-2-2的格式写入实验报告。
表9-2-2PING测试主机通信结果 序号 源主机 目的主机 安全策略
1 Host-
1 Host-
5 2 Host-
2 Host-
5 3 Host-
3 Host-
5 4 Host-
4 Host-
5 通信结果 河南中医药大学信息技术学院
|网络与信息系统科研工作室第9页 《网络应用技术》/实验九:防火墙的应用
七、实验分析
1、什么是包过滤防火墙?它有哪些特点?(10分)将答案写入实验报告
2、查阅资料了解什么是下一代防火墙、统一安全管理(UTM)?(10分)将答案写入实验报告 河南中医药大学信息技术学院|网络与信息系统科研工作室第10页
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。