防火墙实验

实验十一蓝盾防火墙的连接与登录配置

【实验名称】

防火墙的连接与登录配置

【计划学时】

2学时

【实验目的】

1、掌握防火墙的基本连线方法；

2、通过安装控制中心，实现防火墙的登录；

3、了解防火墙的基本设置、管理模式和操作规范；

4、理解规则的建立过程。

【基本原理】

对于防火墙的连接，在本实验里设定LAN口为内网接口，W AN口为外网接口。DMZ （Demilitarized Zone），即”非军事化区”,它是一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络，因为这种网络部署，比起一般的防火墙方案，对攻击者来说又多了一道关卡。

蓝盾防火墙允许网口信息名称自定义，支持多线接入，使得应用范围扩大。

【实验拓扑】

蓝盾防火墙

【实验步骤】

一、了解防火墙初始配置

打开了81端口（HTTP）和441端口（HTTPS）以供管理防火墙使用。本实验我们利用网线连接ADMIN口与管理PC，并设置好管理PC的IP地址。

2、默认所有配置均为空，可在管理界面得到防火墙详细的运行信息。

二、利用浏览器登陆防火墙管理界面

1、根据拓扑图将PC机与防火墙的ADMIN网口连接起来，当需要连接内部子网或外线连接时也只需要将线路连接在对应网口上

2、客户端设置，以XP为例，打开网络连接，设置本地连接IP地址：

3、“开始” “运行”，输入“CMD”，打开命令行窗口，使用ping命令测试防火墙和管理PC间是否能互通。

防火墙设置实验报告

一、实验目的

本实验旨在通过设置防火墙，了解防火墙的基本概念、原理和常见设置方法，以及掌握如何使用防火墙保护计算机网络安全。

二、实验环境

1. 操作系统：Windows 10

2. 防火墙软件：Windows Defender Firewall

3. 实验工具：Ping命令、Telnet命令、nmap扫描器

三、实验步骤

1. 打开Windows Defender Firewall

在Windows 10中，可以通过控制面板或者设置应用程序打开Windows Defender Firewall。在控制面板中，选择“系统和安全”-“Windows Defender Firewall”；在设置应用程序中，选择“更新和安全”-“Windows 安全中心”-“防火墙和网络保护”。

2. 配置入站规则

入站规则是指限制从外部网络访问本地计算机的规则。可以通过以下步骤配置入站规则：

（1）选择“高级设置”-“入站规则”，点击“新建规则”。

（2）根据需要选择不同类型的规则。例如，如果只允许特定IP地址访问计算机，则可以选择“自定义”类型。

（3）根据需要配置规则属性，例如名称、描述、协议等。

（4）配置允许或拒绝连接的条件。例如，可以配置只允许特定端口的连接。

（5）配置规则的操作。例如，可以配置允许或拒绝连接、记录日志等操作。

3. 配置出站规则

出站规则是指限制从本地计算机访问外部网络的规则。可以通过以下步骤配置出站规则：

（1）选择“高级设置”-“出站规则”，点击“新建规则”。

（2）根据需要选择不同类型的规则。例如，如果只允许特定IP地址访问计算机，则可以选择“自定义”类型。

实验（训）报告

三、实验内容及要求

1.熟悉路由器防火墙的工作原理；

2.了解静态NAT、动态NAT、PAT等基本概念和协议；

3.掌握路由器防火墙功能的配置方法。

4.实验要求：通过实验，理解防火墙的工作原理，掌握路由器防火墙的配置过程。

5.网络拓扑如下图：

6.基于以上网络拓扑，完成以下具体实验内容：

⑴使用Packet Tracer构建网络拓扑并对以下过程进行截图：

①物理设备添加；

②物理设备连接；

③PC、SERVER的IP地址配置；

④配置路由器接口及IP地址；

⑤配置路由。

⑵连通性测试并截图（可同屏截图）：

四、实验过程（包括算法流程图，关键过程、运行结果截图等)⑴使用Packet Tracer构建网络拓扑并对以下过程进行截图：

①物理设备添加；

②物理设备连接；

③PC、SERVER的IP地址配置；

④配置路由器接口及IP地址；

1）配置R0的路由：

R0(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.1

2）配置R1的路由：

R1(config)#router eigrp 1

R1(config-router)#network 10.1.1.0 0.0.0.255

R1(config-router)#network 12.1.1.0 0.0.0.3

R1(config-router)#no auto-summary

3）配置R2的路由:

R2(config)#router eigrp 1

R2(config-router)#no auto-summary

R2(config-router)#network 12.1.1.0 0.0.0.3

防火墙实验报告

防火墙实验报告

引言：

防火墙是网络安全的重要组成部分，它可以帮助我们保护网络免受恶意攻击和未经授权的访问。在本次实验中，我们将探索防火墙的原理、功能和配置，并通过实际操作来了解其在网络中的应用。

一、防火墙的原理和功能

防火墙是一种网络安全设备，可以根据预设的规则，监控和过滤进出网络的数据流量。其主要功能包括：包过滤、状态检测、网络地址转换（NAT）和虚拟专用网络（VPN）等。

1. 包过滤

包过滤是防火墙最基本的功能之一，它根据源IP地址、目标IP地址、源端口和目标端口等信息来判断是否允许数据包通过。通过配置防火墙规则，我们可以限制特定IP地址或端口的访问，实现对网络流量的控制和管理。

2. 状态检测

状态检测是一种高级的防火墙功能，它可以跟踪网络连接的状态，并根据连接的状态来判断是否允许数据包通过。例如，我们可以设置防火墙规则，只允许建立了有效连接的数据包通过，从而防止未经授权的访问。

3. 网络地址转换（NAT）

网络地址转换是一种常见的防火墙功能，它可以将内部网络的私有IP地址转换为公共IP地址，以实现内部网络和外部网络的通信。通过NAT，我们可以有效地隐藏内部网络的真实IP地址，提高网络的安全性。

4. 虚拟专用网络（VPN）

虚拟专用网络是一种通过公共网络建立私密连接的技术，它可以通过加密和隧道技术，实现远程用户与内部网络的安全通信。防火墙可以提供VPN功能，使远程用户可以安全地访问内部网络资源，同时保护内部网络免受未经授权的访问。

二、防火墙的配置和实验操作

在实验中，我们使用了一款名为"FirewallX"的虚拟防火墙软件，通过其图形化界面进行配置和管理。

防火墙管理实验

一、引言

防火墙是保护计算机网络安全的重要设备，它通过对网络流量进行监控和过滤，阻止未经授权的访问和恶意攻击。防火墙管理实验是对防火墙进行配置和管理的实际操作，旨在提高对网络安全的保护能力。本文将围绕防火墙管理实验展开，介绍防火墙的基本原理、配置方法和管理策略。

二、防火墙原理

防火墙通过对网络流量进行检查和过滤，实现对网络的保护。其基本原理包括以下几个方面：

1. 包过滤：防火墙根据预先设定的规则，对进出网络的数据包进行检查和过滤。这些规则可以包括允许或拒绝特定IP地址、端口号或协议类型的数据包通过。

2. 状态检测：防火墙可以追踪网络连接的状态，包括建立、终止和保持等。通过检测网络连接的状态，防火墙可以识别和阻止恶意的连接请求。

3. 地址转换：防火墙可以实现网络地址转换（NAT），将内部私有IP地址转换为公共IP地址。这样可以隐藏内部网络的真实IP地址，提高网络的安全性。

三、防火墙配置方法

防火墙的配置是实现其功能的关键，下面介绍几种常见的防火墙配置方法：

1. 黑名单和白名单：防火墙可以根据黑名单和白名单的方式进行配置。黑名单指定禁止通过的IP地址、端口号或协议类型，而白名单则指定允许通过的IP地址、端口号或协议类型。根据实际需求，合理配置黑白名单可以有效控制网络访问。

2. 身份验证：防火墙可以实现用户身份验证，通过输入用户名和密码来验证用户的身份。只有通过身份验证的用户才能访问网络资源，提高网络的安全性。

3. 代理服务器：防火墙可以配置代理服务器，通过代理服务器转发网络请求。代理服务器可以对请求进行进一步检查和过滤，确保网络流量的安全性。

防火墙实验心得

本次防火墙实验让我对网络安全有了更深刻的认识。通过实验，我学到了防火墙的基本原理和配置方法。

在实验中，我了解了防火墙的三个主要功能：包过滤、网络地址转换和虚拟专用网络。包过滤是防火墙最基本的功能，它可以根据规则来过滤进出网络的数据包。网络地址转换则是让内部IP地址转换为外部IP地址，使得内部网络可以与外部网络进行通信。虚拟专用网络则是将多个网络组合成一个虚拟网络，让不同地方的计算机可以像在同一网络中一样通信。

在配置防火墙时，我们需要先定义规则集，再将规则集应用到不同的接口上。规则集可以根据需要设置不同的过滤规则和优先级。接口则是防火墙和网络之间的连接点，可以为不同的接口设置不同的规则集。

通过本次实验，我还学会了如何查看防火墙日志和如何分析日志信息。防火墙日志可以记录网络流量和事件，我们可以通过分析日志信息来检查网络安全问题和优化防火墙配置。

总之，本次防火墙实验让我受益匪浅，让我更加深入地理解了网络安全的重要性，也让我掌握了防火墙基本配置和管理技能。

- 1 -

实验一防火墙软件设置与使用实验报告

实验课程信息安全技术

实验名称防火墙与防病毒软件的设置与使用

实验时间2012-2013学年上学期8 周星期 6 第7、8 节

学生姓名学号班级

实验地点设备号A21、D50 指导教师

一、实验目的

1.熟悉防火墙基本知识。

2.掌握防火墙的配置策略与实现。

3.了解杀毒软件的工作原理。

4.学习使用杀毒软件清除病毒。

二、实验要求

1.掌握防火墙的具体使用，熟悉防火墙配置规则。

2.掌握常用杀毒软件清除病毒的方法。

三、实验内容

1、天网防火墙

1）防火墙的安装

天网防火墙个人版是以一个可执行文件方式提供的，下载之后直接执行便可以开始安装了，每次选择next。

运行天网个人版防火墙后，你可以看见一款非常漂亮简洁的界面：

这时，你可以根据自己安全需要设置天网个人版防火墙，天网个人版防火墙提供了应用程序规则设置、自定义IP规则设置、系统设置、安全级别设置的等功能。

（1）应用程序规则设置

新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。

在天网个人版防火墙打开的情况下，点击第二个菜单，就可以进行设置了，弹出窗口。

一般情况下，选择“开机的时候自动启动防火墙”。对于“我的电脑在局域网中使用”的这一个选项，我们的电脑都是在局域网中使用的，所以也要进行选

择。下面的框中有一个IP地址，是我们电脑的动态IP地址，同学们可以打开自己的电脑的IP地址来核对一下。

在我们运行天网的时候，还会出现一些如上图的这些对话框，同学们还是一样的根据自己的选择进行选择时允许还是禁止。如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。如果你选中以后都允许选项，该程序将自动加入到应用程序列表中，天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包。

华为USG5500防⽕墙配置实验⼀

华为USG5500防⽕墙配置实验

1、实验拓扑

内⽹：192.168.0.0/24

外⽹：192.168.1.0/24

其他设备地址规划如图，按照拓扑图搭建⽹络，并配置设备地址

2、具体配置命令

AR1

system-view

[Huawei]sysname AR1

[AR1]interface g0/0/0

[AR1-GigabitEthernet0/0/0]ip address 192.168.0.150 24

[AR1-GigabitEthernet0/0/0]quit 退出

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 配置默认路由

AR1开启Telnet服务

[AR1]user-interface vty 0 4 开启远程线程

[AR1-ui-vty0-4]au

[AR1-ui-vty0-4]authentication-mode password 认证⽅式为password Please configure the login password (maximum length 16):888 登录密码 [AR1-ui-vty0-4]user privilege level 3 设置⽤户等级

[AR1-ui-vty0-4]

AR2

system-view

[Huawei]sysname AR2

[AR2]interface g0/0/0

[AR2-GigabitEthernet0/0/0]q

[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

思科基于CiscoPT模拟器的防⽕墙配置实验案例详解本⽂实例讲述了基于Cisco PT模拟器的防⽕墙配置实验。分享给⼤家供⼤家参考，具体如下：

基于上下⽂的访问控制

拓扑图

地址表

Device Interface IP address

R1 F 0/0192.168.65.1

S 0/0/010.1.65.1

R2S 0/0/010.1.65.2

S 0/0/110.2.65.2

R3 F 0/0172.16.65.3

S 0/0/010.2.65.3

PC-A NIC192.168.65.4

Default Gateway192.168.65.1

PC-C NIC172.16.65.4

Default Gateway172.16.65.3

预配置：

在配置防⽕墙之前验证设备间连通性，即先配置静态路由

R1(config)#ip route 10.2.65.0 255.255.255.0 10.1.65.2

R1(config)#ip route 172.16.65.0 255.255.255.0 10.1.65.2

R2(config)#ip route 192.168.65.0 255.255.255.0 10.1.65.1

R2(config)#ip route 172.16.65.0 255.255.255.0 10.2.65.3

R3(config)#ip route 10.1.65.0 255.255.255.0 10.2.65.2

R3(config)#ip route 192.168.65.0 255.255.255.0 10.2.65.2

信息安全实验报告实验名称：防火墙实验

教师：周亚建

班级： 08211319

学号： 08211718

班内序号: 28

姓名：龙宝莲

2011年 3 月 23 日

一、实验目的

通过实验深入理解防火墙的功能和工作原理，学会使用boson netsim模

拟路由器软件、学会Cisco路由器ACL配置、熟悉天网防火墙个人版、分析比较包过滤型防火墙和应用代理型防火墙。

二、实验原理

1、防火墙的实现技术

包过滤技术,包过滤防火墙是用一个软件查看所流经的数据包的包头（header），由此

决定整个包的命运。它可能会决定丢弃（DROP）这个包，可能会接受（ACCEPT）这个包（让这个包通过），也可能执行其它更复杂的动作。

应用级网关技术。应用级网关即代理服务器，代理服务器通常运行在两个网

络之间，它为内部网的客户提供HTTP、FTP等某些特定的Internet服务。代理服务器相对于内网的客户来说是一台服务器，而对于外界的服务器来说，他又相当于此Internet 服务器的一台客户机。当代理服务器接收到内部网的客户对某Internet站点的访问请求后，首先会检查该请求是否符合事先制定的安全规则，如果规则允许，代理服务器会将此请求发送给Internet站点，从Internet站点反馈回的响应信息再由代理服务器转发给内部网客户。代理服务器将内部网的客户和Internet隔离，从Internet中只能看到该代理服务器而无法获知任何内部客户的资源。

状态检测技术。状态检测防火墙不仅仅像包过滤防火墙仅考查数据包的IP

地址等几个孤立的信息，而是增加了对数据包连接状态变化的额外考虑。它在防火墙的核心部分建立数据包的连接状态表，将在内外网间传输的数据包以会话角度进行监测，

防火墙实验原理

一、概述

防火墙是一种网络安全设备，用于保护内部网络免受来自外部网络的

攻击。它可以实现许多不同的功能，如访问控制、流量过滤、入侵检

测等。本文将介绍防火墙的实验原理。

二、防火墙分类

根据其工作位置和功能，防火墙可以分为以下几类：

1. 网络层防火墙：工作在OSI模型的第三层，主要用于过滤IP数据包。

2. 应用层防火墙：工作在OSI模型的第七层，主要用于过滤应用程序

级别的数据。

3. 状态检测防火墙：通过跟踪连接状态来判断是否允许数据包通过。

4. 包过滤防火墙：只允许特定类型的数据包通过，并拒绝其他类型的

数据包。

三、实验环境

在进行防火墙实验前，需要准备以下环境：

1. 两台计算机：一台作为内部网络，另一台作为外部网络。

2. 路由器：用于连接内部和外部网络。

3. 防火墙设备：可以是硬件或软件。

四、实验步骤

1. 配置路由器：将内部网络和外部网络分别连接到路由器的不同接口，并配置路由器的IP地址。

2. 配置防火墙：将防火墙设备放置在内部网络和外部网络之间，并配

置其IP地址。根据需要，配置防火墙的访问控制策略和规则。

3. 测试网络连通性：通过ping命令测试内部和外部网络之间的连通性。如果连通性正常，则可以继续下一步。

4. 进行攻击测试：尝试从外部网络向内部网络发送恶意数据包，例如SYN洪水攻击、UDP泛洪攻击等。观察防火墙是否能够识别并过滤这些攻击。

5. 测试访问控制策略：尝试从外部网络向内部网络发送不同类型的数

据包，如HTTP、FTP、SSH等。观察防火墙是否能够根据访问控制策略允许或拒绝这些数据包。

西安财经学院信息学院

《信息安全技术》 实验报告

实验名称包过滤防火墙创建过滤规则实验 实验室 401 实验日期 2011- 5-30

一、实验目的及要求

1、了解防御技术中的防火墙技术与入侵检测技术；

2、理解防火墙的概念、分类、常见防火墙的系统模型以及创建防火墙的基本步骤；

3、掌握使用Winroute 创建简单的防火墙规则。

二、实验环境

硬件平台：PC ；

软件平台：Windows xp ； 三、实验内容 (一) WinRoute 安装

(二）利用WinRoute 创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。 (三) 用WinRoute 禁用FTP 访问 (四) 用WinRoute 禁用HTTP 访问 四、实验步骤

(一)WinRoute 安装：解压winroute ，得到

然后双击安装，经过一系列的过程待计算机重新启动后将安装成功。点击“程序”——“winroute pro”——“winroute administration”，此时将会出现如下图所示，然后点击“ok”即可

(二）利用WinRoute创建包过滤规则，防止主机被别的计算机使用“Ping”指令探测。

当系统安装完毕以后，该主机就将不能上网，需要修改默认设置，在电脑右下角的工具栏点开winroute，并选中Ethernet，得到下面的图，将第二个对话框中的两个复选框选中打钩，点击“确定”

利用WinRoute创建包过滤规则，创建的规则内容是：防止主机被别的计算机使用“Ping”指令探测。打开安装的winroute ，点击settings—Advanced—Packet Filter，出现如下对话框。选中图中第一个图标，可以看出在包过滤对话框中可以看出目前主机还没有任何的包规则，单击“Add…”，再次出现另一对话框，如下图所示

实验八配置与管理防火墙

一、实验目的

1、Linux系统下firewalld防火墙的使用

2、Linux系统下firewalld防火墙的配置

二、实验内容

先使用yum检查是否安装了防火墙的相关软件，使用yum安装相关软件包：

使用命令检查安装是否成功

显示存在

设置内部网络仅能访问Web、FTP、DNS服务：

在网关上启用IP转发功能，并重置内网服务器httpd服务：

关闭内网WEB服务器的防火墙功能并重启服务：

接下来设置Web服务器通过端口映像方式对外提供服务，将外网客户机的访问请求映射到内网WEB服务器的80端口

三、实验总结

防火墙指设置在不同网络或网络安全域之间一系列组件的集合，可通过监测、限制、修改经过防火墙的数据流，尽可能对外屏蔽网络内部的信息、结构和运行情况，用于保护内部网络的重要数据，实现网络的安全保护。

基于防火墙的安全策略实验验证防火墙作为网络安全的首要防线，扮演着保护企业网络免受各种网

络威胁的重要角色。随着网络攻击技术的不断进步，安全策略的实施

和验证显得尤为重要。本文将论述基于防火墙的安全策略实验验证的

重要性以及一些有效的验证方法。

一、实验验证的重要性

网络安全威胁日趋复杂且多样化，使用防火墙作为企业网络的防护

手段是必不可少的。然而，只有安装了防火墙还不足以保证网络的安全。安全策略是指通过配置防火墙来控制网络数据流动的规则和规定。实验验证安全策略的有效性，能够确保网络安全性得到最大程度的提升。

实验验证的另一个重要性在于及时发现和修复网络的安全漏洞。通

过模拟真实网络环境，可以发现安全策略中可能存在的漏洞，并采取

相应的措施加以修复，有效地提高网络的安全性。

二、实验验证的方法

1. 模拟攻击测试

模拟攻击测试是一种常用的实验验证方法，它通过模拟真实攻击情

景来测试网络的安全性。在实验中，可采用漏洞扫描、端口扫描等方

式对网络进行攻击，观察防火墙的反应。通过分析防火墙的日志和报告，判断防火墙的安全性能是否满足要求。

2. 网络流量监测

网络流量监测是一种基于实际网络数据流动的实验验证方法。通过安装监测设备，可以对网络流量进行实时监控，并对网络流量数据进行分析。通过分析来自不同源IP地址和目标端口的流量数据，判断防火墙是否能够有效地过滤恶意流量，以减少潜在的攻击风险。

3. 访问控制测试

访问控制测试是一种验证网络安全策略是否有效的方法。在测试过程中，通过设置不同的访问控制规则，测试防火墙对不同用户和不同访问请求的响应情况。通过验证授权用户的访问权限以及拒绝未授权用户的访问请求，判断防火墙是否能够有效地过滤恶意用户。

HCL模拟器防火墙Trust访问DMZ服务器实验

网络架构图如下：

如图所示，防火墙F1连接着三个区域：Untrust区、Trust区、DMZ区，其中vlan10和vlan20属于Trust区域，vlan 30属于DMZ区域。然后防火墙上开启DHCP，给Trust区域和DMZ 区域的机器分配IP地址。并且实现Trust区域可以访问DMZ区域的PC3，但是DMZ区域的PC3却不能访问Trust区域的PC2.

下面是设备配置过程：

一．配置防火墙，把防火墙g1/0/1划分到Management，然后虚拟机ceshiji使用win7系统，通过网卡VirtualBox Host-Only Ethernet Adapter #2连接防护墙的g1/0/1端口。启动防火墙，打开命令行界面，使用默认的用户名admin密码admin登陆：

[H3C]security-zone name management

[H3C-security-zone-Management]import int g1/0/1

查看安全域及域下接口：

[H3C]display security-zone

上述配置将G1/0/1接口划到management域下，可以根据实际情况更改。

创建ACL允许管理流量通过，命令如下

[H3C]acl advanced 3500

[H3C-acl-ipv4-adv-3500]rule permit ip

为了简化配置，在此允许所有ip流量通过。

创建域间策略

Management到local策略：

[H3C]zone-pair security source management destination local