防火墙实验
【实验名称】
防火墙实验
【实验目的】
掌握防火墙的基本配置;掌握防火墙安全策略的配置。
【技术原理】
管理员证书:用证书方式对管理员进行身份认证。证书包括CA证书、防火墙证书、防火墙私钥、管理员证书。证书文件有两种编码格式:PEM和DER,后缀名可以有pem,der,cer,crt等多种,后缀名与编码格式没有必然联系。CA证书、防火墙证书和防火墙私钥只支持PEM编码格式,cacert.crt和cacert.pem是完全相同的文件。管理员证书支持PEM和DER两种,因此提供administrator.crt和administrator.der证书administrator.crt和administrator.pem是完全相同的文件。*.p12文件是将CA、证书和私钥打包的文件。
NAT(Network Address Translation)属接入广域网技术,是一种将私有地址转化为合法IP地址的转换技术。它完美地解决了IP地址不足的问题,而且还能够有效地避免来自外部网络的攻击,隐藏并保护内部网络的计算机。
网络地址端口转换NAPT(Network Address Port Translation)是人们比较常用的一种NAT方式。它可以将中小型的网络隐藏在一个合法的IP地址后面,将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。
地址绑定:为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址,以获得权限外的信息),可以将内部网络的IP地址与MAC地址绑定,盗用者即使修改了IP地址,也因MAC地址不匹配而盗用失败,而且由于网卡MAC地址的唯一确定性,可以根据MAC地址查出使用该MAC地址的网卡,进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配,将无法通过防火墙。
抗攻击:锐捷防火墙能抵抗以下的恶意攻击:SYN Flood攻击;ICMP Flood攻击;Ping of Death 攻击;UDP Flood 攻击;PING SWEEP攻击;TCP端口扫描;UDP端口扫描;松散源路由攻击;严格源路由攻击; WinNuke攻击;smuef攻击;无标记攻击;圣诞树攻击;TSYN&FIN攻击;无确认FIN攻击;IP安全选项攻击;IP记录路由攻击;IP流攻击;IP时间戳攻击;Land攻击;tear drop攻击。
【实验设备】
防火墙1台(RG-Wall60一台。每实验台一组)
计算机3台
跳线1条
【实验拓扑】
【实验步骤】
1、管理员首次登录
正确管理防火墙前,需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理IP、防火墙管理方式。
◆ 默认管理员帐号为 student,密码为 student
◆ 默认管理口:防火墙WAN口
◆ 可管理 IP:WAN口上的默认 IP 地址为 192.168.10.100/24
◆ 管理主机:默认为 192.168.10.200/24
◆ 默认管理方式:(1) 用跳线将管理主机与 WAN口连接
(2) 用管理员证书进行身份认证
(3) 访问 https://192.168.10.100:6666(注:若用电子钥匙进行认证,则访问 https://防火墙可管理 IP 地址:6667),进入WEB访问界面。此方式下的通信是加密的。
用ping命令查看内网PC与外网服务器的连通性。
2、防火墙基本配置
1) 添加管理员帐号。要区分哪些配置具体是由哪个管理员进行设置的,也就是责任的划分。
进入管理配置>>管理员账号,在右窗口点击“添加”。输入账号和口令,并选择账号类型。
2) 下面要配置一下防火墙上的相关接口。
(注:在每个设置完成时注意点击“保存配置”选项。这些基本配置在每个实验台上都已经完成,同学们可点击查看一下)
Lan是我们的内网网关接口,在本实验中我们统一定义为172.16.组号.252,作为内网的网关。Wan和Wan1都是外网接口,功能相同。在本实验中连接外网用Wan口。
3、基本配置完成之后,我们来配置一个NAPT。
1)首先我们要定义内网对象
进入对象定义>>地址,打开“地址列表”,在右窗口点击“添加”,如下图设置:(注意网段号是组号,下图中是第七组所以网段号为7)
2) 防火墙NAT规则设置
进入安全策略>>安全规则,在右窗口点击“NAT规则”,如下图设置:
3)验证NAPT功能
① 验证内网PC可以访问外网服务器。用内网PC机ping外网服务器192.168.10.200看是否连通。
② 验证外网服务器不能访问内网PC。用外网服务器ping内网PC看是否连通。
4、防火墙地址绑定功能设置
进入安全策略>>地址绑定,在右窗口进行设置,如下图:
在“主动探测IP/MAC地址对”栏选中lan口,先点击“探测”按钮,再点击“探测到的IP/MAC对”,弹出下图窗口,如下设置:
然后在“已绑定IP/MAC对”栏中看是否已设置成功。如果设置成功,下面验证IP/MAC绑定效果。
① 将原IP地址为172.16.7.3的主机IP设置为172.16.7.33,作ping测试是否能连通。
② 将内网中另一台主机的IP地址设置为172.16.7.3,作ping测试看是否能连通。
5、 防火墙抗攻击设置
进入安全策略>>抗攻击,本实验只设置Lan口的抗攻击策略,如下图设置:
验证超长字节报文不能通过:
① 用ping命令发送长度为800字节的报文:ping -l 800 192.168.10.200
② 用ping命令再发送长度为801的报文:ping -l 801 192.168.10.200
【实验报告要求】
记录实验过程和实验结果
解释实验结果显示信息的原因
解释防火墙的功能
第二篇:实验三:防火墙综合实验
实验三:防火墙实验
实验需求:
根据以上拓扑图完成以下要求:(具体IP情况如下表)
1.直接把防火墙配置成应用网关防火墙和地址转换防火墙,要求PC 1和PC 2能互 ping;
2.在PC2上对PC1开启无限 ping,并且把Ping包设置成65500字节大小;
3.在防火墙上设置安全策略,要求设置成的效果如果检测到每5秒的ping包超过6个或者ping包大于20000字节就进行阻塞操作,延迟处理时间为10秒;
4.(附加)将防火墙配置成透明防火墙,重新完成此次实验。
IP地址对应表:
配置清单:
防火墙配置清单: