实验三-防火墙的配置

实验三防火墙配置实验【实验目的】通过本实验初步掌握防火墙的根本配置方法和操作技能，掌握组建较大规模企业网时防火墙策略的配置及应用，包括如下几个方面：掌握防火墙的配置方法掌握访问控制列表〔ACL〕的根本配置掌握过滤规那么的配置实验前学生应具备以下知识：了解防火墙的工作原理。了解防火墙的安装和配置。了解防火墙的应用特点。实验过程中，局部实验内容需要与相邻的同学配合完成。此外，学生需要将实验的结果记录下来，并答复相关思考题，填写到实验报告中。【实验类型】综合型实验【实验环境】实验设备：华为-3Com交换机S3100H六台、华为-3Com防火墙SecpathF100-C六台。实验组成：每排PC为一组，占用一台S3100H交换机，其中S3100H交换机划分两个VLAN，每个VLAN只参加三台PC，S3100H交换机的另外两个端口，分别连接防火墙的LAN口和WAN口。【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。本次实验的主要工程包括以下几个方面：分组配置防火墙，使LAN中的PC通过防火墙提供的NAT访问外网，然后测试LAN中的PC机和WAN中的PC机之间的连通性；配置防火墙，使WAN中的PC机只能够通过80端口访问LAN中的WEB效劳器，且不能在外网中扫描到内网中的计算机，配置完成之后，测试配置效果。需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。具体的实验步骤如下：一、实验准备进行网络初始化配置，这一局部操作由指导教师和实验员预先进行设置。1．将S3100H交换机划分两个VLAN〔VLAN2和VLAN3〕，其中VLAN2连接到防火墙的LAN口，VLAN3连接到防火墙的WAN口。2．配置二、防火墙的根本配置首先，每个实验小组分别按照下表配置各个PC机的IP地址，每排只会用到六台计算机，每排2台计算机网线用于防火墙的WAN和LAN口，具体的IP地址分配情况参见图1和下表。图1实验网络结构图防火墙IP地址表：防火墙管理IP1234561．命令行配置例如配置例如如下：例如案例如下列图所示，一个公司通过SecPath防火墙的地址转换功能连接到广域网。要求该公司能够通过防火墙Ethernet3/0/0访问Internet，公司内部对外提供WWW、FTP和SMTP效劳，而且提供两台WWW的效劳器。公司内部网址为。其中，内部FTP效劳器地址为，内部WWW效劳器1地址为，内部WWW效劳器2地址为，内部SMTP效劳器地址为，并且希望可以对外提供统一的效劳器的IP地址。内部网段可以访问Internet，其它网段的PC机那么不能访问Internet。外部的PC可以访问内部的效劳器。公司具有00至05六个合法的IP地址。选用00作为公司对外的IP地址，WWW效劳器2对外采用8080端口。#配置地址池和访问控制列表，允许网段进行地址转换。[H3C]aclnumber2001[H3C-acl-basic-2001]quit[H3C]interfaceEthernet3/0/0[H3C-Ethernet3/0/0]natoutbound2001address-group1#设置内部FTP效劳器。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insideftp#设置内部WWW效劳器1。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal00insidewww#设置内部WWW效劳器2。[H3C-Ethernet3/0/0]natserverprotocoltcpglobal008080insidewww2．Web配置例如首先，通过Console口设置防火墙接口地址、Telnet终端用户等〔同交换机、路由器〕，然后每排选择出一台计算机来配置防火墙，翻开IE浏览器，在地址栏中，输入防火墙地址：，翻开防火墙的登录窗口，输入用户名、密码，然后单击Login，进行防火墙的配置界面。配置访问控制列表〔ACL〕进入配置界面之后，首先配置访问控制列表〔ACL〕，单击左侧WEB管理列表中的防火墙列表下面的ACL。单击右侧的“ACL配置信息〞按钮。输入一个ACL编号，在这里输入一个根本ACL编号，其中编号范围为：输入完成之后，单击“创立〞按钮。选中上面创立的策略，单击“配置〞按钮。输入规那么编号，例如：1，操作为“Permit〞，源IP地址在这里为空，表示所有内网中的IP地址，输入完之后，单击“应用〞按钮。如果，只是想对内网中的一台或几台计算机进行控制，那么可以在上面输入源IP地址，例如：对内网中的这一段地址进行控制，可参照下列图：单击“应用〞按钮之后，在出现的对话框中，单击“返回〞按钮，在出现的对话框中，再次单击“返回〞按钮。在上述单击两次返回按钮之后，选中“Ethernet1/0〞接口，然后单击“配置〞按钮。在出现的对话框中，过滤类型选择“packet-filter〞，ASPF策略号或ACL编号选择“2001〞，过滤方向选择“outbound〞，然后单击“应用〞按钮，之后在出现的对话框中，单击“返回〞按钮。再次选中“Ethernet1/0〞接口，然后单击“配置〞按钮。在出现的对话框中，过滤类型选择“packet-filter〞，ASPF策略号或ACL编号选择“2001〞，过滤方向选择“inbound〞，然后单击“应用〞按钮，之后在出现的对话框中，单击“返回〞按钮。配置NAT地址转换首先，单击左侧WEB管理的“业务管理→NAT→地址池管理〞。在右侧单击“创立〞按钮。输入地址池的各项参数，然后单击“应用〞按钮，如下列图：之后，单击左侧WEB管理的“业务管理→NAT→地址转换管理〞。在右侧，单击“创立〞按钮。在出现的对话框中，首先选择单项选择按钮“ACL编号〞。输入相应的参数，如下列图，输入完之后，单击“应用〞按钮。完成上述配置之后，单击左侧WEB管理的“业务管理→NAT→内部效劳器〞。在右侧，单击“创立〞按钮。输入各项参数，如下列图，输入完成之后，单击“应用〞按钮。配置外网只能访问内网的WEB效劳器，而其它的访问会被防火墙阻挡。单击左侧WEB管理的“防火墙→ACL〞。在右侧，单击“ACL配置信息〞按钮。输入ACL编号，然后单击“创立〞按钮。选中编号为“3001〞的策略，然后单击“配置〞按钮。输入各项参数信息，如下列图，输入完成之后，单击“应用〞按钮，然后单击“返回〞按钮，在出现的对话框中，再次单击“返回〞按钮。选中“Ethernet2/0〞端口，然后单击“配置〞按钮。输入各项参数信息，如下列图，输入完成之后，单击“应用〞按钮。再次输入各项参数信息，如下列图，注意过滤访问为“outbound〞，输入完成之后，单击“应用〞按钮，之后单击“返回〞按钮。测试配置的效果首先，要在IP地址为3的计算机上建立一个用于测试的WEB站点，WEB站点建立完成之后，在外网的一台计算机上，翻开IE浏览器，在地址栏中输入54，可以看测试站点，这说明在防火墙上NAT中建立的内部效劳器成功了，并且外网访问内网WEB站点的策略已经生效。在命令提示符下，输入命令：可以ping通，表示内网访问外网的策略已经生效。禁止外网的计算机ping防火墙的外网端口在完成上面五步实验之后，可以新建一条禁止ping防火墙的策略。单击左侧WEB管理的“防火墙→ACL〞。在右侧，单击“ACL配置信息〞按钮。输入ACL编号，然后单击“创立〞按钮。选中编号为“3002〞的策略，然后单击“配置〞按钮。输入各项参数信息，如下列图，输入完成之后，单击“应用〞按钮，然后单击“返回〞按钮，在出现的对话框中，再次单击“返回〞按钮。选中“Et