防火墙综合实验报告.doc

防火墙实验报告 【实验名称】 防火墙实验 【实验目的】 掌握防火墙的基本配置；掌握防火墙安全策略的配置。 【背景描述】 网络中存在很多的木马和攻击性程序以及人为的恶意行为，因此希望通过配置防火墙和抗攻击性策略用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统，同时还可以在不同的网络区域之间进行流量的访问控制。 【小组分工】 组长：***（配置内网和端口连线） 组员：***（配置服务器和防火墙） 【技术原理】 管理员证书：用证书方式对管理员进行身份认证。证书包括CA证书、防火墙证书、防火墙私钥、管理员证书。证书文件有两种编码格式：PEM和DER，后缀名可以有pem，der，cer，crt等多种，后缀名与编码格式没有必然联系。CA证书、防火墙证书和防火墙私钥只支持PEM编码格式，cacert.crt和cacert.pem是完全相同的文件。管理员证书支持PEM和DER两种，因此提供administrator.crt和administrator.der证书administrator.crt和administrator.pem是完全相同的文件。*.p12文件是将CA、证书和私钥打包的文件。 NAT(Network Address Translation)属接入广域网技术，是一种将私有地址转化为合法IP地址的转换技术。它完美地解决了IP地址不足的问题，而且还能够有效地避免来自外部网络的攻击，隐藏并保护内部网络的计算机。 网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NAT方式。它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。 地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。 抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击； WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击； TSYNFIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。 【实验设备】 防火墙1台（RG-Wall60一台。每实验台一组） 计算机3台 跳线1条 【实验拓扑】 【实验步骤】 1、管理员首次登录 正确管理防火墙前，需要配置防火墙的管理主机、管理员帐号和权限、网口上可管理IP、防火墙管理方式。 ◆ 默认管理员帐号为 student，密码为 student ◆ 默认管理口：防火墙WAN口 ◆ 可管理 IP：WAN口上的默认 IP 地址为 00/24 ◆ 管理主机：默认为 00/24 ◆ 默认管理方式：（1） 用跳线将管理主机与 WAN口连接（2） 用管理员证书进行身份认证（3） 访问 00:6666（注：若用电子钥匙进行认证，则访问 https://防火墙可管理 IP 地址:6667），进入WEB访问界面。此方式下的通信是加密的。 用ping命令查看内网PC与外网服务器的连通性。 2、防火墙基本配置 添加管理员帐号。要区分哪些配置具体是由哪个管理员进行设置的，也就是责任的划分。 进入管理配置管理员账号，在右窗口点击“添加”。输入账号和口令，并选择账号类型。 下面要配置一下防火墙上的相关接口，每个设置完成后点击“保存配置”选项。 Lan是我们的内网网关接口，在本实验中我们统一定义为01，作为内网的网关。Wan和Wan1都是外网接口，功能相同。在本实验中连接外网用Wan口。 3、基本配置完成之后，我们来配置一个NAPT。 1）首先我们要定义内网对象 进入对象定