《网络安全等级保护原理与实践》 安全区域边界实验 -实验1：安全区域划分与安全策略 -实验7：网络安全审计

安全区域边界建设实践

实验单元1:安全区域划分与安全策略

1.1实训说明

1.1.1实训目的

1.了解边界安全防护设备。

2.掌握如何划分安全区域。

3.掌握如何创建防火墙安全域和策略。

1.1.2背景知识

1.掌握计算机网络的基本知识。

2.掌握防火墙安全域与策略的基本知识。

3.掌握防火墙的基本操作。

1.1.3实习时长

1个学时

1.2实训环境

【登录防火墙】

学员使用实验室电脑，能连通防火墙。

表1.1-1实验规划

防火墙Console登录方式为：实验室电脑cmd下连接串口服务器IP和对应

端口号

防火墙1telnetxxx.x4001防火墙9telnetx.xxx4009

防火墙2telnetx.x.x.x4002防火墙10telnetx.x.x.x4010

防火墙3telnetx.x.x.x4003防火墙11telnetx.x.x.x4011

防火墙4telnetx.x.x.x4004防火墙12telnetx.x.x.x4012

防火墙5telnetx.x.x.x4005防火墙13telnetx.x.x.x4013

防火墙6telnetx.x.x.x4006防火墙14telnetx.x.x.x4014

防火墙7telnetx.x.x.x4007防火墙15telnetx.x.x.x4015

防火墙8telnetx.x.x.x4008防火墙16telnetx.x.x.x4016

【登录实验平台和云主机】

学员使用实验室电脑，登录实验平台中的主机，步骤如下：

步骤1：在浏览器输入http:〃X.X.X.X,X.X.X.X为实验平台登录地址,进入登录界面;

步骤2：输入学生账号、密码及验证码，登录实验平台。

步骤3：启动云主机，进入云主机登录界面，输入密码admin@123,进入云主机。

(a)实验平台登录界面

(b)实验平台登录成功界面

s®

通

(c)云主机登录界面

图1.1-1登录实验平台和云主机

【实验拓扑】

DMZ

外网

服务器

外部电脑10.1.2X.100

200.1.1X.100GeO/4■GeO/3：：：；：；

200.1.1X.110.1.2X.1

防从.墙GeO/5

LO.l.lx.l

办公电脑

10.1.1X.100

实验室电脑

内网

图1.1-2安全区域划分

拓扑说明：

防火墙管理IP需要老师根据学校实验室IP规划进行划分，此案例中使用10.18.112.lx

作为举例。

x代表01-16,分别代表1-16共16个组，IP与组的对应关系如下：

表1.1-2对应关系

1组-16组

外部电脑00-00

服务器00-00

办公电脑10.1.101,100-00

防火墙管理IP10.18,112.101-16

此案例中，使用的是组2的IP地址作为案例，拓扑如下:

DMZ

外网

服务器

内网

图1.1-3安全区域划分

1.3实训内容

实验目标：练习并掌握安全区域划分与安全策略配置。

1.3.1实训准备

实验室学员电脑，能连通实验平台和防火墙。

1.3.2实训步骤

一、通过Console管理防火墙

1、Console登录防火墙，输入用户名/密码登录防火墙命令行管理界面；

实验室电脑执行cmd命令，通过telnetx.xxx串口号命令连接防火墙，x.x.x.x和串口号

为老师指定串口服务器IP地址和端口号。

C:\Users\Administrator>telnetx.x.x.x4001

Console登录防火墙，用户名/密码：admin/fw.admin

Username:admin

Password:

host>

2、进入geO/1接口，配置管理IP并开启Ping和HTTPS管理方式；

host>enable

host#configureterminal

host(config)#interfacegeO/1

host(config-geO/l)#ipaddress02/24

host(config-geO/l)#allowping

host(config-geO/l)#allowhttps

3、实验室电脑通过cmd命令，另外打开“命令提示符"窗口，输入ping02,

验证实验室电脑与防火墙管理IP的连通性。

C:\Users\admin>ping02

正在Ping02具有32字节的数据:

来自02的回复：字节=32时间<lmsTTL=63

来自02的回复：字节=32时间<lmsTTL=63

来自02的回复:字节=32时间<lmsTTL=63

来自02的回复：字节=32时间<lmsTTL=63

02的Ping统计信息：

数据包：已发送=4,已接收=4,丢失=0(0%丢失)，

往返行程的估计时间(以毫秒为单位)：

最短=0ms,最长=0ms,平均=0ms

C:\Users\admin>

二、通过浏览器管理防火墙

1、使用浏览器通过HTTPS的方式管理防火墙。

在浏览器的地址栏中输入https:〃:L02,通过用户名admin/密码fw.admin登录

防火墙的web管理界面，不修改初始密码;

<•C4不蚯10.18.11L102/login.html☆0；

:::庙用MC.mMl■YouTube。1叫A7%示k国用逾有

启丽星辰

龈a映H庆活汉马收，

adminX

⑶web登录界面

[admin]登录"为切拈"，为保障系辰全,建设

您立即修改后再使用.

(b)不修改密码

图1.1-4登录web管理界面

2、配置防火墙接口geO/3、geO/4、geO/5的IP地址。

选择‘网络'-'接口'-'物理接口'，点击geO/3接口，在’IP地址/掩码'中输入

/24,点击【添加】。

管理访问选择HTTP、PING,点击【更新】，完成接口geO/3的IP地址配置。

相同步骤配置geO/4接口IP为/24,geO/5接口IP为/24。

天清汉马USG

&3£SOWAN*«xt®

»□

0注M球门

oeiwftMBteWW110120217-1

ip«6:

OUK)

OGRfc101202I-24河

OLooptMKk皿

O

管理伙€

OMUMG

ffi■AUNlIt：

&OHCP

168-1M0)

+as

RVS021XUS

ICjPING]

TELNETSS»l

OSPFLiRiPL-DNS*Ccrtro»(BJ«»fa«|

XONSitJI

H入祥・IJSSLVPN

CCD>C«M

图1.1-5配置geO/3接口IP地址

天清汉马USG

&K*SDWANB-t-

>HU>ffittttil

IKJ

HUSKSs*IPte*MAC双W*X5VtANtUI0U8K6

@RSWQ

gcOQ(ga(Mn33tMn*«*3«*c?M'A

VIANK>1B1V10XM8B-3OXia2U<«31(4(1

出",.，柩力06-mgX34,N'A

O那丽

t01202144

Jk^W»0aO'44fl«64)200\1073

«RF(011021/24M-30O&21-M47

«30007f

OLoofXMKkwaOetmgoomM-3(M)0.2kMoa

^»7«tfeQVWeOSlMAH<A

QAG«(gM>9)<M»00?tM«0WAM'A

OWCWC5

a示・i至忖ttri!*A<oa

安£域

ARP

DHCP

+咯①

NAT

VPN

DhiSftS

♦ONS«»

图1.1-6接口IP地址

三、配置安全区域

选择‘网络'‘安全域'点击【新建】，在‘名称'中输入“内网”'接口选择'

下勾选“geO/5”点击【提交】。相同步骤创建“外网”"DMZ”安全域。

天清汉马USG

asSOWAN*«w*BZ

*»□«4«fl

安仝城

AfiP

允ifHtfl间互10办目

DHCP

B&

jgoMiIQ0O'1QOM)moIQO64

NATI0«O6_0eO7J回塔'_l0*09

VPN

OHS代，

地塔健庆

(a)创建“内网”安全域

天清汉马USG

SDWAN»*□A

**1­B4f«n

mee«r

，”》・nye无汽

2'I«c«2□9rt4

*QAIB

LIEJE

QE3

Xr»cM»a

o»«»**

(b)创建“外网”安全域

天骷马USG

w®Kt9SOWAN*CMSBSK«

用a•安全博

•♦fin

B»IMI

1ARP

用TlKJM叁电诒河

gDHCP

MUA9伯IKNVIAH*贸呻射量合GR1

+ns

O0«<*Oge(M|口一|

MU0M*

□gaO7gaCVSgoO>9

OVPNBra

KDNStOI

«DNS®»

Q-

(c)创建“DMZ”安全域

图1.1-7创建安全域

图1.1-8安全域划分

四、配置安全策略

1、配置云主机IP地址

学生进入实验平台，登录‘外部电脑'，打开‘开始'-'控制面板'-'网络和Internet'

网络和共享中心’，点击对应连接，此案例中为'本地连接2',点击【属性】，双击

'Internet协议版本4(TCP/IPv4)",选择'使用下面的IP地址'，输入IP地址00,

子网掩码,默认网关,点击【确定】，完成IP地址配置。

17住IT

控制面板►网络和Internet►网珞曲共享中心

W

控制面板主页查看基本网络信息并设置连接

更改适配器设置X

更改高峰拿硼

W1N-445USJR2H73网络4Internet

战计算铀

查看活动网咨连搂或断刑线

网络4访问类型:ernet

公用网络

更改网络设置

迨置新的连接或网咨

设置无线、宽帝.拨号.I版比成VPN酶；或设置路日器或访问点.

手连接到网络

〜连接到或重新连接到无爱、有线、拨号或VPN网络3。

4远择家庭殂和共享近项

另清参阅访问位于其他网络计算机上的文件和打印机，或更改共享设置.

Internet

国孰解笞

Windows防火墙

诊断并修复网络问经.或获得故弼3搀信息.

家庭殂

(a)打开'网络和共享中心’

(b)点击【属性】

(C)双击'Internet协议版本4(TCP/IPv4)'

(d)手动配置IP地址

图1.1-9配置'外部电脑'IP地址

相同步骤配置‘服务器'和'办公电脑'的IP地址。'服务器'IP地址00,

子网掩码,默认网关。'办公电脑'IP地址00,子网掩

码,默认网关。

Internet协议版本4(TCP/IPv4)屎住I七||目||

图1.1-10配置'服务器'IP地址

图1.1-11配置‘办公电脑'IP地址

2、配置安全策略；

通过防火墙web管理界面，选择‘策略’-‘防火墙’-‘策略’，点击【新建策略】，

勾选‘启用'，名称输入“外网-内网”，入接口/安全域选择“外网”，出接口/安全域选择

(a)策略列表界面

E3

0*MKZ3

(b)创建“外网-内网”策略

图1.1-12创建“外网-内网”策略

创建“内网-外网”策略。名称输入“内网-外网”，入接口/安全域选择“内网”，出接

口/安全域选择“外网”，动作选择‘PERMIT',点击【确定】，“内网-外网”策略创建

成功。

0d

图1.1-13创建“内网-外网”策略

创建“外网-DMZ”策略。名称输入“外网-DMZ”，入接口/安全域选择“外网”，出

接口/安全域选择“DMZ”，动作选择'PERMIT',点击【确定】，“外网-DMZ”策略创

建成功。

图1.1-14创建“外网-DMZ”策略

3、验证安全策略；

验证外网“外部电脑”与内网“办公电脑”的连通性，由于策略动作为‘DENY',不

能连通。

C:\Users\Administrator>ping00

正在Ping00具有32字节的数据:

请求超时。

请求超时。

请求超时。

请求超时。

00的Ping统计信息：

数据包：已发送=4,已接收=0,丢失=4（100%丢失），

C:\Users\Administrator>

验证外网“外部电脑”与DMZ“服务器”的连通性，由于策略动作为‘PERMIT',

连通成功。

C:\Users\Administrator>ping00

正在Ping00具有32字节的数据：

来自00的回复：字节=32时间<lmsTTL=127

来自00的回复：字节=32时间<lmsTTL=127

来自00的回复：字节=32时间<lmsTTL=127

来自00的回复:字节=32时间=lmsTTL=127

10.1,202.100的Ping统计信息：

数据包：已发送=4,已接收=4,丢失=0（0%丢失），

往返行程的估计时间（以毫秒为单位）：

最短=0ms,最长=1ms,平均=0ms

C:\Users\Administrator>

验证内网“办公电脑”与外网“外部电脑”的连通性，由于策略动作为‘PERMIT',

连通成功。

C:\Users\Administrator>ping00

正在Ping00具有32字节的数据：

来自00的回复：字节=32时间<lmsTTL=127

来自00的回复:字节=32时间<lmsTTL=127

来自00的回复：字节=32时间<lmsTTL=127

来自00的回复：字节=32时间=lmsTTL=127

00的Ping统计信息：

数据包：已发送=4,已接收=4,丢失=0（0%丢失），

往返行程的估计时间（以毫秒为单位）：

最短=0ms,最长=1ms,平均-0ms

C:\Users\Administrator>

五、配置清除

实验完成后，下课前，如若对防火墙执行了保存操作，命令行下恢复防火墙配置，重启防火

墙。

host>enable

host#erasestartup-config

host#reboot

Thesystemwillberebooted!Pleaseenter"y/n"toconfirm:y

1.4总结与思考

1.4.1实训总结

防火墙可以创建安全域，并将接口加入安全域。通过配置不同安全域间的策略，可以对

区域边界流量进行控制。本实训主要配置防火墙的安全域和策略。

1.4.2思考题

1.相同安全域内接口可以互相访问吗？

2.安全区域边界防护常见安全产品类型有哪些?

实验单元2:TCPFLOOD攻击防护

2.1实训说明

2.1.1实训目的

I.掌握TCPFLOOD攻击的原理和防御方法。

2.掌握攻击防护策略相关的参数和配置方法。

3.通过实验验证TCPFLOOD攻击防护功能。

2.1.2背景知识

I.掌握DDOS攻击原理和防护原理。

2.掌握TCPFLOOD攻击原理。

3.掌握防火墙基本的WEB和命令行管理方法。

2.1.3实习时长

2个学时

2.2实训环境

【登录防火墙】

学员使用实验室电脑，能连通防火墙。

表1.2-1实验规划

防火墙Console登录方式为：实验室电脑cmd下连接串口服务器IP和对应

端口号

防火墙1telnetx.x.x.x4001防火墙9telnetx.x.x.x4009

防火墙2telnetx.x.x.x4002防火墙10telnetx.x.x.x4010

防火墙3telnetx.x.x.x4003防火墙11telnetx.x.x.x4011

防火墙4telnetx.x.x.x4004防火墙12telnetx.x.x.x4012

防火墙5telnetx.x.x.x4005防火墙13telnetx.x.x.x4013

防火墙6telnetx.x.x.x4006防火墙14telnetx.x.x.x4014

防火墙7telnetx.x.x.x4007防火墙15telnetx.x.x.x4015

防火墙8telnetx.x.x.x4008防火墙16telnetx.x.x.x4016

【登录实验平台和云主机】

学员使用实验室电脑，登录实验平台中的主机，步骤如下：

步骤1：在浏览器输入http:〃x.x.x.x,x.x.x.x为实验平台登录地址,进入登录界面;

步骤2：输入学生账号、密码及验证码，登录实验平台。

步骤3：启动云主机，进入云主机登录界面，输入密码admin@123,进入云主机。

(a)实验平台登录界面

学习任务号梭任务谡楞体系知识博»»Ems知臼论个人中O中京*»«

(b)实验平台登录成功界面

s®

(c)云主机登录界面

图1.2-1登录实验平台和云主机

【实验拓扑】

外部电脑

服务器

200.1.1X.100GeO/4Ge0/3

10.1.2X.100

200.1.lx.110.1.2x.l

防火端

实验室电脑

图1.2-2TCPFLOOD攻击实验

拓扑说明：

防火墙管理IP需要老师根据学校实验室IP规划进行划分，此案例中使用10.18.112.lx

作为举例。

x代表01-16,分别代表1-16共16个组，IP与组的对应关系如下：

表1.2-2对应关系

1组