防火墙实验报告2012版

防火墙实验报告防火墙实验需求描述实验拓扑地址描述测试机IP：192.168.1.2/24 网关：192.168.1.1交换机VLAN10：192.168.1.1/24F1/0/47：10.1.1.2/24防火墙E1：10.1.1.1/24 E3:1.1.1.1/24路由器Lo0：2.2.2.2/32 E0/0：1.1.1.2/24注：防火墙E1为trust端口，E3为untrust端口。实验需求防火墙策略和路由实验需求1、基础配置测试机接入属于vlan10，交换机接入配置interfacevlan接口，交换机与防火墙互联使用noswitchport接口模式；防火墙配置E1,E3端口IP地址，E1为trust端口，E3为untrust端口；路由器配置相应地址及loopback接口。2、路由配置 在所有设备上添加路由，其中不能使用默认路由，全部使用静态路由。3、结果验证 能从测试机telnet路由器的2.2.2.2地址。路由器也能以2.2.2.2为源ping同测试机。DIP双向地址转换需求假设测试机为内网地址，lo2为外单位地址，目前的需求是在防火墙上做地址转换，192.168.1.2转换为映射地址172.16.1.2，2.2.2.2转换为172.16.2.2，且交换机不能有2.2.2.2的路由，路由器不能有192.168.1.2的路由。（将实验一中的交换机上的路由和路由器上的路由删除。）结果验证：测试机能ping到172.16.2.2。2.2.2.2能ping通172.16.1.2。MIP地址转换需求在防火墙上做地址转换，192.168.1.2使用MIP地址转换为1.1.1.3，路由器能ping1.1.1.3映射地址访问测试机。路由器上不存在有去往192.168.1.2的路由。实验步骤及现象 防火墙策略和路由实验实验步骤清空设备，将三台设备中的原始配置清空。如vlan，start-config等。注：防火墙用户名密码都输入序列号自动还原出厂配置。按照拓扑图配置ip地址，交换机划vlan等，保证直连ping通。防火墙划分trust、untrust区域。防火墙默认deny所有。因此在防火墙上要加上策略。如图示：注：从trust区域起源的所有流量允许通过，从untrust区域起源的流量只允许源为2.2.2.2且访问目标为192.168.1.2的流量通过。在三台设备上配置静态路由。交换机：0.0.0.0/010.1.1.1路由器：192.168.1.0/241.1.1.1 防火墙：如图示： 注：防火墙路由条目都加在trust-vr中。（不理解untrust-vr路由表的作用）实验结果测试机ping路由器。如图示：测试机telnet路由器。如图示：路由器ping测试机。如图示：DIP双向地址转换实验实验步骤保留上一步实验的基本配置，删除三台设备上的路由表，删除防火墙上的策略。在防火墙上配置DIP，在E1接口下配置DIP地址区间。如图示：在E3接口下配置DIP地址区间。如图示：配置策略，应用接口下的地址池。如图示：注：蓝色表示该策略应用了NAT。配置策略时，要注意在高级设置里，NAT的destinationtranslation项也要修改。如图示：（第一条策略的高级设置） （第二条策略的高级设置）为设备添加路由。交换机：172.16.2.0/2410.1.1.1路由器：172.16.1.0/241.1.1.1防火墙：需要添加4条路由条目，两条真实路由，两条虚拟地址路由。如图示：实验结果测试机ping172.16.2.2。如图示：路由器ping172.16.1.2source2.2.2.2。如图示：MIP地址转换实验实验步骤保留防火墙策略和路由实验基本配置，删除设备上配置的路由条目，删除防火墙上的策略。在防火墙的E3接口下配置MIP。如图示： 在防火墙上配置策略，应用MIP。如图示： 在交换机和防火墙上配置路由，路由器不用配置。交换机：0.0.0.0/010.1.1.1防火墙：配置两条路由，一条默认出口，一条明细指回来。如图示：实验结果测试机ping2.2.2.2。如图示： 路由器ping1.1.1.3。如图示：防火墙实验总结通过这次实验，加深了防火墙的工作原理。了解了juniper防火墙的基本配置步骤，以及一些命令。特别是DIP双向转换实验，开始总是分不清trust和untrust方向，在这个实验中要使用4条路由，可能是因为juniper防火墙要先路由之后在做NAT。（DIP应该与cisco的地址池相似，PAT对应的应该是VIP）MIP实验中，就是正常的NAT，模式相同。自己会继续整理