《【网络安全】【使用防火墙实现安全的访问控制】》.pdf

第二章 防火墙安全技术实验 使用防火墙实现安全的访问控制 【实验名称】 使用防火墙实现安全的访问控制 【实验目的】 利用防火墙的安全策略实现严格的访问控制 【背景描述】 某企业网络的出口使用了一台防火墙作为接入Internet 的设备，现在需要使用防火墙的 安全策略实现严格的访问控制，以允许必要的流量通过防火墙，并且阻止到Internet 的未授 权的访问。 企业内部网络使用的地址段为 /24 。公司经理的主机 IP 地址为 00/24，设计部的主机IP 地址为 01/24~03/24，其它员工使用 /24~9/24 范围内的地址。并且公司在公网上有一台IP 地址为 的外部FTP 服务器。 现在需要在防火墙上进行访问控制，使经理的主机可以访问 Internet 中的Web 服务器 和公司的外部 FTP 服务器，并能够使用邮件客户端（SMTP/POP3 ）收发邮件；设计部的 主机可以访问Internet 中的Web 服务器和公司的外部FTP 服务器；其它员工的主机只能访 问公司的外部FTP 服务器。 【需求分析】 企业网络需要对内部网络到达Internet 的流量进行限制，防火墙的安全策略（包过滤规 则）可以满足这个需求，实现内部网络到Internet 的严格的访问控制需求。 57 网络安全实验教程 【实验拓扑】 【实验设备】 防火墙连接到Internet 的链路 防火墙 1 台 PC 3 台 FTP 服务器 1 台 【预备知识】 网络基础知识 防火墙工作原理 【实验原理】 实现访问控制是防火墙的基本功能，防火墙的安全策略（包过滤规则）可以根据数据包 的源IP 地址、目的IP 地址、服务（端口号）等对通过防火墙的报文进行检测。 【实验步骤】 第一步：配置防火墙接口的IP 地址 进入防火墙的配置页面：网络配置—接口IP，单击添加按钮为接口添加IP 地址。 58 第二章 防火墙安全技术实验 为防火墙的LAN 接口配置IP 地址及子网掩码。 为防火墙的WAN 接口配置IP 地址及子网掩码。 接口配置IP 地址后的状态。 第二步：配置针对经理的主机的访问控制规则 59 网络安全实验教程 进入防火墙配置页面：安全策略-安全规则，单击页面上方的包过滤规则按钮添加 包过滤规则。 添加允许经理的主机访问Internet 中Web 服务器的包过滤规则。 添加允许经理的主机进行DNS 域名解析的访问规则。 60 第二章 防火墙安全技术实验 添加允许经理的主机访问公司外部FTP 服务器的访问规则。 添加允许经理的主机使用邮件客户端发送邮件（SMTP ）的访问规则。 61 网络安全实验教程 添加允许经理的主机使用邮件客户端接收邮件（POP3）的访问规则。 第三步：配置针对设计部的主机的访问控制规则 添加允许设计部的主机访问Internet 中Web 服务器的访问规则。 62