网络安全——防火墙配置实验

Posted Quase7

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了网络安全——防火墙配置实验相关的知识,希望对你有一定的参考价值。

一、实验目的

1、 掌握防火墙的区域划分。

2、 掌握防火墙的基本配置。

3、 掌握在防火墙上配置源NAT的方法。

4、 掌握在防火墙上配置NAT Server的方法。

二、实验的仪器、设备、材料

路由器、PC机、服务器、防火墙、交换机

三、实验内容及实验原理

图 1 实验拓扑图

如上图所示,网络的配置要求如下:

  1. 局域网需求
  2. 地址设计

网络地址为172.16.10.0/24

     3. 资源访问

        要求172.16.10.20可以上网,并且可以访问DMZ区域的FTP和WEB服务

        172.16.10.10不能上网,但是能够访问DMZ区域的FTP和WEB服务

        内网用户通过NAT(easy-ip)的形式访问互联网。

     4. 防火墙安全区域的设计

        防火墙接口G1/0/1加入到trust区域

        防火墙接口G1/0/2加入DMZ区域

        防火墙接口G1/0/3加入untrust区域

     5.互联网用户访问内网服务器的设计

        要求在互联网上能够访问DMZ区域中的WEB服务,但不能访问它的FTP服务,内网服务器配置的全球地址为200.1.1.1

四、实验步骤

  1. 组网

(1) 搭建环境

        按照如图1所示搭建实验环境。

(2) 设置各主机IP地址,配置情况如图1所示。

(3) 配置各网段的网关地址为该网段的有效地址的第一个。

主机

ip地址

网关

Client1

172.16.10.10/24

172.16.10.1

Client2

172.16.10.20/24

172.16.10.1

Server2

172.16.200.10/24

172.16.200.1

Client3

100.0.0.10/24

100.0.0.1

Server1

101.1.1.10/24

101.1.1.1

        2. 配置防火墙

(1) IP地址配置

        配置防火墙G1/0/1、G1/0/2、G1/0/3的接口地址。

[FW1]int g1/0/1

[FW1-GigabitEthernet1/0/1]ip add 172.16.10.1 24

[FW1-GigabitEthernet1/0/1]int g1/0/2

[FW1-GigabitEthernet1/0/2]ip add 172.16.200.1 24

[FW1-GigabitEthernet1/0/2]int g1/0/3

[FW1-GigabitEthernet1/0/3]ip add 201.1.1.1 30

        配置路由器的g0/0/0、g0/0/1、g0/0/2端口地址:

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]ip add 201.1.1.2 30

[AR1-GigabitEthernet0/0/0]int g0/0/2

[AR1-GigabitEthernet0/0/2]ip add 100.0.0.1 24

[AR1-GigabitEthernet0/0/2]int g0/0/1

[AR1-GigabitEthernet0/0/1]ip add 101.1.1.1 24

(2) 安全区域的设置

[FW1]firewall zone trust

[FW1-zone-trust]add int g1/0/1

[FW1-zone-trust]firewall zone untrust

[FW1-zone-untrust]add int g1/0/3

[FW1-zone-untrust]firewall zone dmz

[FW1-zone-dmz]add int g1/0/2

(3) 设置安全策略,使内网用户可以访问dmz区域的服务器

[FW1]security-policy

[FW1-policy-security]rule name t_d_permit

[FW1-policy-security-rule-t_d_permit]source-zone trust

[FW1-policy-security-rule-t_d_permit]destination-zone dmz

[FW1-policy-security-rule-t_d_permit]action permit

(4) 设置安全策略,使内网用户可以访问互联网,并阻止172.16.10.10访问互联网

[FW1]security-policy

[FW1-policy-security]rule name add_u_deny

[FW1-policy-security-rule-add_u_deny]source-address 172.16.10.10 32

[FW1-policy-security-rule-add_u_deny]destination-zone untrust

[FW1-policy-security-rule-add_u_deny]action deny

[FW1-policy-security-rule-add_u_deny]q

[FW1-policy-security]rule name t_u_permit

[FW1-policy-security-rule-t_u_permit]source-zone trust

[FW1-policy-security-rule-t_u_permit]destination-zone untrust

[FW1-policy-security-rule-t_u_permit]action permit

(5) 设置安全策略,使互联网用户能够访问dmz区域的web服务

[FW1]security-policy

[FW1-policy-security]rule name u_d_permit

[FW1-policy-security-rule-u_d_permit]source-zone untrust

[FW1-policy-security-rule-u_d_permit]destination-zone dmz

[FW1-policy-security-rule-u_d_permit]destination-address 172.16.200.0 24

[FW1-policy-security-rule-u_d_permit]service http

[FW1-policy-security-rule-u_d_permit]action permit

(6) 配置防火墙的默认路由

        下一跳为路由器的g0/0/0端口地址

[FW1]ip route-static 0.0.0.0 0.0.0.0 201.1.1.2

(7) 配置源NAT

[FW1]nat-policy

[FW1-policy-nat]rule name t_u_nat

[FW1-policy-nat-rule-t_u_nat]source-zone trust

[FW1-policy-nat-rule-t_u_nat]destination-zone untrust

[FW1-policy-nat-rule-t_u_nat]source-address 172.16.10.0 24

[FW1-policy-nat-rule-t_u_nat]action nat easy-ip

(8) 配置源NAT server

[FW1]nat server policy_nat_web protocol tcp global 200.1.1.1 www inside 172.16.200.10 www no-reverse

(9) 配置黑洞路由

[FW1]ip route-static 200.1.1.1 32 NULL0

        3. 配置路由器到防火墙的静态路由

[AR1]ip route-static 200.1.1.1 32 201.1.1.1

        4. 测试

  测试: 抓图验证实验内容要求的各部分内容

(1) 要求172.16.10.20可以上网,并且可以访问DMZ区域的FTP和WEB服务

  • Client2(172.16.10.20)可以访问外网的服务器:

  • Client2(172.16.10.20)可以访问dmz区域的FTP服务:

  • Client2(172.16.10.20)可以访问dmz区域的HTTP服务:

(2) 172.16.10.10不能上网,但是能够访问DMZ区域的FTP和WEB服务

  • Client1(172.16.10.10)不可以访问外网的服务器:

  • Client1(172.16.10.10)可以访问dmz区域的FTP服务:

  • Client1(172.16.10.10)可以访问dmz区域的HTTP服务:

(3) 内网用户通过NAT(easy-ip)的形式访问互联网。

         通过抓包可以发现,内网用户向外网用户进行通信时,所使用的的源ip地址为201.1.1,也就是防火墙g1/0/3的端口地址,这样可以很好的隐藏自己的真实的ip地址。

(4) 要求在互联网上能够访问DMZ区域中的WEB服务,但不能访问它的FTP服务,内网服务器配置的全球地址为200.1.1.1

  • Client3(100.0.0.10)可以访问dmz区域的HTTP服务,访问的地址为200.1.1.1:

  • Client3(100.0.0.10)不可以访问dmz区域的FTP服务:

        5. 通过web方式查看防火墙的配置

  https://192.168.253.2:8443

先增加cloud的端口映射,查看端口的IP地址为:192.168.253.1

将防火墙g/0/0的端口地址配置为192.168.253.2,并开启https服务:

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.253.2 24

[FW1-GigabitEthernet0/0/0]service-manage https permit

[FW1-GigabitEthernet0/0/0]service-manage ping permit

通过网页进行观察,防火墙的配置如下:

以上是关于网络安全——防火墙配置实验的主要内容,如果未能解决你的问题,请参考以下文章

Linux防火墙配置—访问外网WEB

华为防火墙实验8[配置两个网络之间的IPSec VPN隧道]

firewalld防火墙实验案例

firewalld防火墙实验案例

firewalld防火墙实验案例

计算机网络实验(思科模拟器Cisco Packet Tracer)——无线路由和防火墙配置