《网络安全理论与技术实验2.ppt》由会员分享,可在线阅读,更多相关《网络安全理论与技术实验2.ppt(47页珍藏版)》请在三一办公上搜索。
1、网络安全理论与技术实验讲义,二00七年十月,网络安全理论与技术实验内容(二),西安电子科技大学通信工程学院信息工程系E-mail:xd_,张卫东,网络安全实验(二),防火墙,防火墙简介,防火墙是网络安全的第一道防线,一般用来将内部网络与Internet或其他外部网络相互隔离,限制网络互访,保护内部网络安全。,网络地址转换NAT,受保护的网内用户访问Internet时,必须使用合法的IP地址。但合法的IP有限,且受保护网络往往有自己的一套地址规划方案。网络转换器就是在防火墙上装一个合法的IP地址集。当内部某一用户访问Internet时,防火墙动态地从地址集中选择未分配的地址分配给该用户,该用户即
2、可使用这个合法地址进行通信。,假设我们将防火墙的管理端接在了LAN4上,而外部网络接在了LAN2上。外部网络的IP为172.16.0.11,本地网络的IP为192.168.0.1。防火墙的IP设为192.168.0.3。子网掩码均为24位。,PC1192.168.0.1/24,FW,PC2172.16.0.11/24,Lan4:192.168.0.3,Lan2:172.16.0.1,internet,启动防火墙,按说明书连接好物理连接后,用超级终端恢复防火墙的初始值,并更改校验密钥。(具体操作实验课详细介绍),启动远程管理端,在开始菜单中选择远程管理器,打开远程管理端的界面。新建一个防火墙,为
3、防火墙设定一个ip。建立一个管理用户,(切记!不可设立口令!),配置NAT,打开安全编辑器在文件夹“防火墙”上单击右键,选择“新建”。给防火墙起一个名字,如“NAT”。(名字要取的尽量言简意明。)双击新建的防火墙,调出配置菜单。,局部对象,在新建的防火墙下,对局部对象进行配置。打开局部对象的网络与主机。对与防火墙相连接的网络与主机进行定义与配置。假设我们把防火墙的管理端口设为LAN4,与外网连接的端口为LAN2。配置界面如下图。,签出,由于防火墙初始配置,所以在没有签出之前,所有的网络与主机配置是不能更改的。点击菜单栏的签出图标后,在每一个配置文件夹上都出现一个红点,这时就可以对起进行更改了。
4、,我们可以看到每一个端口都可以进行配置了。我们先来看LAN4的配置。,我们可以看到,作为防火墙管理端的LAN4的各项配置均已自动生成好了。我们再来看我们作为外部网络的LAN2的配置。我们给LAN2的IP设为172.168.0.1,与PC2在同一个网段。,配置广播地址,其中的brLAN是指广播地址。IP协议规定,每个子网的第一位与最后一位用作广播地址。所以我们填入172.16.0.255。,配置lan2net,因为PC2是作为接入外网的网关,所以我们新建一个名为“gateway”主机网关。,配置路由,进入路由配置的主路由表。,配置LAN4路由,LAN4端口所接的网络为LAN4NET。,配置LAN
5、2,Lan2端口接的作为接入公网网关的PC2,所以新建一个路由配置如下:,编辑过滤规则,打开过滤规则,进行编辑。过滤规则可以建立多条,按从上到下顺序执行。规则的最后一条须为“dropall”。,服务类型设为“标准”,地址转换设为“NAT”,允许本地主机PING防火墙,Ping的协议类型为ICMP,设置DropAll,配置完后,把配置签出,SAT,SAT 静态地址转换,PC1192.168.0.1/24,PC2172.16.0.11/24,FW,Lan4:192.168.0.1/24,Lan2:172.16.0.1/24,server,当一个局域网接入公网时,内部的许多服务器都采用的私有IP,在
6、公网上时无效的。如何将私有IP转化为公有IP呢?这就将用到SAT静态地址转换。,配置局部对象,配置lan2其他对象配置如同NAT,配置server,新建主机对象server。配置如下:,路由配置,配置Lan2.,配置Lan4,过滤规则,建立新规则。动作选择SAT。接口配置如下。,假设server是http服务器,那末我们就在服务规则里选择“http”。,Allow,SAT规则不可以单独作为规则执行,必须与相应的Allow。网络接口设置与SAT相同。把动作改成“Allow”。,签出,签出配置。部署配置。,认真复习并实践课堂教学中介绍的有关包过滤防火墙的规则。要求能够配置防火墙、写出各种情况的防火墙规则。,
