防火墙综合实验报告

1、 防火墙实验报告【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。【背景描述】网络中存在很多的木马和攻击性程序以及人为的恶意行为，因此希望通过配置防火墙和抗攻击性策略用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统，同时还可以在不同的网络区域之间进行流量的访问控制。【小组分工】组长：*（配置内网和端口连线）组员：*（配置服务器和防火墙）【技术原理】管理员证书：用证书方式对管理员进行身份认证。证书包括CA证书、防火墙证书、防火墙私钥、管理员证书。证书文件有两种编码格式：PEM和DER,后缀名可以有pem，der，cer，crt等多种，后缀名与编码格

2、式没有必然联系。CA证书、防火墙证书和防火墙私钥只支持PEM编码格式，cacert.crt和cacert.pem是完全相同的文件。管理员证书支持PEM和DER两种，因此提供administrator.crt和administrator.der证书administrator.crt和administrator.pem是完全相同的文件。*.p12文件是将CA、证书和私钥打包的文件。NAT（NetworkAddressTranslation）属接入广域网技术，是一种将私有地址转化为合法IP地址的转换技术。它完美地解决了IP地址不足的问题，而且还能够有效地避免来自外部网络的攻击，隐藏并保护内部网络的计

3、算机。网络地址端口转换NAPT（NetworkAddressPortTranslation）是人们比较常用的一种NAT方式。它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。地址绑定：为了防止内部人员进行非法IP盗用（例如盗用权限更高人员的IP地址，以获得权限外的信息），可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。报文中的源MAC地址与

4、IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYNFlood攻击；ICMPFlood攻击；PingofDeath攻击；UDPFlood攻击；PINGSWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；teardrop攻击。【实验设备】防火墙1台（RG-Wall60台。每实验台一组）计算机3台跳线1条【实验拓扑】【实验

5、步骤】1、管理员首次登录正确管理防火墙前，需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理IP、防火墙管理方式。默认管理员帐号为student,密码为student默认管理口：防火墙WAN口可管理IP:WAN口上的默认IP地址为00/24管理主机：默认为00/24默认管理方式：（1）用跳线将管理主机与WAN口连接（2）用管理员证书进行身份认证（3）访问00:6666（注：若用电子钥匙进行认证，则访问https:/防火墙可管理IP地址:6667）,进入WEB访问界面。此方式下的通信是加密的。用ping命令查看内网PC与外网服务器的连通性。2、防火墙基本配置1）添加管理员帐号。要区分哪些配

6、置具体是由哪个管理员进行设置的，也就是责任的划分。进入管理配置管理员账号，在右窗口点击“添加”。输入账号和口令，并选择账号类型。2）下面要配置一下防火墙上的相关接口，每个设置完成后点击“保存配置”选项。Lan是我们的内网网关接口，在本实验中我们统一定义为172.169101,作为内网的网关。Wan和Wan1都是外网接口，功能相同。在本实验中连接外网用Wan口。3、基本配置完成之后，我们来配置一个NAPT。1）首先我们要定义内网对象进入对象定义地址，打开“地址列表”，在右窗口点击“添加”，如下图设置：（注意网段号是组号，下图中是第九组所以网段号为9）2）防火墙NAT规则设置进入安全策略安全规则，

7、在右窗口点击“NAT规则”，如下图设置:3）验证NAPT功能验证内网PC可以访问外网服务器。用内网PC机ping外网服务器00看是否连通。验证外网服务器不能访问内网PC。用外网服务器ping内网PC看是否连通。4、防火墙地址绑定功能设置进入安全策略地址绑定，在右窗口进行设置，如下图：冋口启定djmz允许禁止Ian.Qi帚禦止O允许禁止want禁止a在“主动探测IP/MAC地址对”栏选中Ian口，先点击“探测”按钮，再点击“探测到的IP/MAC对”，弹出下图窗口，如下设置：探测到的If個M对IF/MAT对选中rrA网口172.169.100,E0.5C：4D.14:3Dlan172.169-20

8、0：EO：1C：4D：82：A3172L6.S.120DO：曲：旧：筋迪：1呂1m172169.11000;E84：ED3：Oa1axi然后在“已绑定IP/MAC对”栏中看是否已设置成功然后下面验证IP/MAC绑定效果。占反中3抗攻击，本实验只设置Lan口的抗攻击策略，如下图设置：验证超长字节报文不能通过：用ping命令发送长度为800字节的报文：ping-l80000用ping命令再发送长度为801的报文：ping-l80100【实验分析】按照上述实验过程得到的实验结果是，实验测试时能探测到主机的IP地址(包括00/24在内的几台内网主机172.16.9.*),但是互相是ping不通的。设置完的抗攻性能也无法测试。防火墙是介于内网和外网之间是不同网络或者安全域之间信息流的唯一通道，所有双向数据流必须经过防火墙。可以检测到内网主机的IP()地址，说明防火墙和内网之间是连通的，可以进行数据交换，但是内网主机和防火墙之间ping不通，经过我们的集体讨论认为可能是因为防火墙安全策略配置出了问题，具体不能确定，需要在以后的试验中不断的探索。如此一来，主机地址()经过MAC地址绑定后，再把主机地址改变后(0),ip/mac无法匹配，理论上与防火墙之间是ping不通的，由于本就p