实验7：防火墙配置与NAT配置最新完整版

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

防火墙配置实验报告防火墙配置实验报告概述：防火墙是网络安全的重要组成部分，它可以帮助我们保护网络免受未经授权的访问和恶意攻击。

本实验旨在通过配置防火墙来加强网络的安全性，并测试其效果。

实验目标：1. 理解防火墙的基本概念和原理；2. 学习如何使用防火墙配置实现网络安全；3. 测试和评估防火墙的效果。

实验环境：本实验使用了一台运行Windows操作系统的计算机，并安装了一款功能强大的防火墙软件。

实验步骤：1. 防火墙配置前的准备工作在开始配置防火墙之前，我们需要了解一些网络的基本知识，包括IP地址、端口号、协议等。

这些知识将帮助我们更好地理解和配置防火墙。

2. 防火墙的安装和配置首先，我们需要下载并安装一款可靠的防火墙软件。

在安装完成后，我们需要对防火墙进行一些基本的配置，包括启用防火墙、设置默认策略等。

此外，我们还可以根据需要添加自定义规则，以实现更精细的访问控制。

3. 防火墙规则的配置防火墙规则是防火墙的核心组成部分，它决定了哪些流量可以通过防火墙，哪些流量需要被阻止。

在配置规则时，我们可以根据需要设置源IP地址、目标IP地址、端口号、协议等条件。

此外，我们还可以设置规则的动作，如允许、拒绝或丢弃。

4. 防火墙的测试和评估防火墙配置完成后，我们需要对其进行测试和评估。

我们可以使用一些网络工具和技术，如端口扫描、漏洞扫描等，来测试防火墙的效果。

同时，我们还可以通过监控日志和统计数据来评估防火墙的性能和可靠性。

实验结果：经过实验，我们成功地配置了防火墙，并测试了其效果。

防火墙能够有效地过滤和阻止未经授权的访问和恶意攻击，提高了网络的安全性。

同时，防火墙还能够帮助我们实现网络流量的控制和管理，提高网络的性能和可靠性。

结论：通过本次实验，我们深入了解了防火墙的基本原理和配置方法，并通过实际操作和测试验证了其效果。

防火墙是网络安全的重要手段之一，它能够帮助我们保护网络免受未经授权的访问和恶意攻击。

在今后的网络安全工作中，我们应该继续加强对防火墙的学习和应用，以确保网络的安全和稳定。

防火墙配置教程一、什么是防火墙防火墙（Firewall）是网络安全中的一种重要设备或软件，它可以在计算机网络中起到保护系统安全的作用。

防火墙通过控制网络通信行为，限制和监控网络流量，防止未授权的访问和攻击的发生。

防火墙可以根据特定规则过滤网络传输的数据包，使得只有经过授权的数据才能进入受保护的网络系统。

二、为什么需要配置防火墙在互联网时代，网络安全问题成为各个组织和个人亟需解决的重要问题。

恶意攻击、病毒传播、黑客入侵等网络威胁不时发生，严重威胁着信息系统的安全。

配置防火墙是有效保护网络安全、保护信息系统免受攻击的重要手段。

通过正确配置防火墙，可以限制外部对内部网络的访问，提高系统的安全性。

三、防火墙配置的基本原则1. 遵循最小特权原则：防火墙的配置应该尽可能减少暴露给外部网络的服务和端口数量，只开放必要的服务和端口。

2. 定期更新规则：网络威胁和攻击方式不断变化，防火墙配置需要经常更新和优化，及时响应新的威胁。

3. 多层次防御：配置多个层次的防火墙，内外网分别配置不同的策略；同时使用不同的技术手段，如过滤规则、入侵检测等。

4. 灵活性和可扩展性：防火墙配置需要考虑未来系统的扩展和变化，能够适应新的安全需求。

四、防火墙配置步骤1. 确定安全策略：根据实际需求确定不同网络安全策略的配置，例如允许哪些服务访问，限制哪些IP访问等。

2. 了解网络环境：了解整个网络的拓扑结构，确定防火墙的位置和部署方式。

3. 选择防火墙设备：根据实际需求和网络规模，选择合适的防火墙设备，如硬件防火墙或软件防火墙。

4. 进行基本设置：配置防火墙的基本设置，包括网络接口、系统时间、管理员账号等。

5. 配置访问控制：根据安全策略，配置访问控制列表（ACL），限制网络流量的进出。

6. 设置安全策略：根据实际需求，设置安全策略，包括允许的服务、禁止的服务、端口开放等。

7. 配置虚拟专用网（VPN）：如果需要远程连接或者跨地点互连，可以配置VPN，确保通信的安全性。

实训项目七防火墙配置【实验目的】●熟悉路由器的包过滤的核心技术：ACL●掌握访问控制列表的分类及各自特点●掌握访问控制列表的应用，灵活设计防火墙【实验仪器和设备】●H3C S3610或H3C E126A交换机2台、H3C MR30-20路由器2台、标准网线2条、计算机2台、V.35线缆一根；●每3名同学为一组。

【实验步骤】任务一、广域网接口线缆步骤一：连接广域网接口线缆通过V.35电缆将路由器RTA和RTB广域网接口S5/0实现互联，其中连接RTA的V.35电缆外接网络侧为34孔插座，而连接RTB的V.35电缆外接网络侧为34针插头（虽然通常只保留在用的针），由此可以得知路由器RTB的接口S5/0是DTE端，而路由器RTA的接口S5/0是DCE端。

步骤二：查看广域网接口信息在RTA上通过display interface Serial 5/0命令查看接口Serial 5/0的信息，根据其输出信息可以看到：Physical layer is synchronous，Virtual Baudrate is 64000 bpsInterface is DCE, Cable type is V35在RTB上通过display interface Serial 5/0命令查看接口Serial 5/0的信息，根据其输出信息可以看到：Physical layer is synchronous，Baudrate is 64000 bpsInterface is DTE, Cable type is V35由以上信息可以看到，RTA和RTB的广域网V.35电缆接口工作在同步模式下，目前的传输速率是64000 bps或者64K bps 。

步骤三：配置广域网接口参数配置将RTB的接口S5/0的传输速率修改为 2Mbps，请在如下的空格中补充完整的配置命令：[RTB-Serial5/0]baudrate 2048000在RTB上执行该命令后，有信息提示：Serial5/0: Baudrate can only be set on the DCE，意思即为只能在DCE侧修改接口的波特率即传输速率。

网络防火墙的网络地址转换（NAT）配置指南随着互联网的普及和发展，网络防火墙在保护企业网络安全方面扮演着至关重要的角色。

而网络地址转换（NAT）作为一种网络安全机制，被广泛应用于网络防火墙的配置中。

本文旨在为读者提供一个网络地址转换配置指南，帮助企业理解和实施该机制。

引言在介绍NAT的配置指南之前，我们先要明确NAT的基本概念及其在网络安全中的作用。

NAT是一种将一个IP地址转换为另一个IP地址的技术，它主要用于在私有网络与公共网络之间进行通信。

通过将私有IP地址转换为公共IP地址，可以提高网络的安全性，同时实现更高效的资源利用。

一、了解NAT的基本原理在配置NAT之前，我们应该先了解NAT的基本原理。

NAT主要包括源NAT和目标NAT。

源NAT用于将内部网络的私有IP地址转换为公共IP地址，以在公共网络上进行通信。

目标NAT则是将公共IP地址转换为内部网络的私有IP地址，以使公共网络上的数据包能够正确传递到内部网络中的特定主机。

二、配置源NAT源NAT的配置是非常关键的，它需要在企业防火墙设备上进行。

以下是配置源NAT的步骤：1. 确定需要进行源NAT的内部网络。

根据企业的实际情况，确定哪些内部网络需要进行源NAT转换以与公共网络通信。

2. 为每个需要进行源NAT的内部网络选择一个公共IP地址池。

这个公共IP地址池可以是由企业自己拥有的IP地址，也可以是从ISP 提供的IP地址中选择。

确保公共IP地址池能够满足企业的需求，并且不会与其他网络冲突。

3. 配置源NAT规则。

在防火墙设备上，设置源NAT规则，将内部网络的私有IP地址映射到相应的公共IP地址。

这样当内部网络发起外部通信时，数据包将会被源NAT转换，并以公共IP地址为源地址进行传输。

三、配置目标NAT与源NAT类似，配置目标NAT也需要在企业防火墙设备上进行。

以下是配置目标NAT的步骤：1. 确定需要进行目标NAT的公共网络。

根据企业的需求，确定哪些网络需要进行目标NAT转换以与内部网络通信。

大连理工大学本科实验报告课程名称：网络综合实验学院（系）：软件学院专业：软件工程2012年3月30日大连理工大学实验报告实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺省网关为202.0.1.1，PC D 的缺省网关为202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分） AR18-12[Router]interface ethernet0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface serial0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router - Serial0]quit [Router]rip[Router -rip ]network allAR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0Ping 结果如下：全都ping 通4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1）只有PC机A和B、A和C、B和D之间能通信，其他PC机彼此之间都不能通信。

大连理工大学实验报告学院（系）：专业：班级：姓名：学号：组：__ 实验时间：实验室：实验台：指导教师签字：成绩：实验七：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B 的缺省网关为 202.0.0.1，PC C 的缺省网关为 202.0.1.1，PC D 的缺省网关为 202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分） 答：（本组四台路由器均为AR-28） PC A 上命令：[H3C]interface ethernet 0/0[H3C-Ethernet0/0]ip address 202.0.0.1 255.255.255.0 [H3C-Ethernet0/0]interface serial 2/0[H3C-Serial2/0]ip address 192.0.0.1 255.255.255.0 [H3C-Serial2/0]shutdown[H3C-Serial2/0]undo shutdown [H3C]rip[H3C-rip]network 0.0.0.0 PC C 上命令：[H3C]interface ethernet 0/0[H3C-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [H3C-Ethernet0/0]interface ethernet 0/1[H3C-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [H3C-Ethernet0/1]interface serial 0/1[H3C-Serial0/1]ip address 192.0.0.2 255.255.255.0 [H3C-Serial0/1]shutdown[H3C-Serial0/1]undo shutdown [H3C]rip[H3C-rip]network 0.0.0.04、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

ensp上防⽕墙上配置nat博⽂⼤纲：⼀、华为防⽕墙NAT的六个分类；⼆、解决NAT转换时的环路及⽆效ARP；三、server-map表的作⽤；四、NAT对报⽂的处理流程；五、各种常⽤NAT的配置⽅法；⼀、华为防⽕墙NAT的六个分类华为防⽕墙的NAT分类：NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端⼝，属于多对多转换，不能节约公⽹IP地址，使⽤情况较少。

NAPT（Network Address and Port Translation，⽹络地址和端⼝转换）：类似于Cisco的PAT转换，NAPT即转换报⽂的源地址，⼜转换源端⼝。

转换后的地址不能是外⽹接⼝IP地址，属于多对多或多对⼀转换，可以节约公⽹IP地址，使⽤场景较多。

出接⼝地址（Easy-IP）：因其转换⽅式⾮常简单，所以也被称为Easy-IP、和NAPT⼀样，即转换源IP地址，⼜转换源端⼝。

区别是出接⼝地址⽅式转换后的地址只能是NAT设备外⽹接⼝所配置的IP地址，属于多对⼀转换，可以节约IP地址。

NAT Server：静态⼀对⼀发布，主要⽤于内部服务器需要对Internet提供服务时使⽤，。

Smart NAT（智能转换）：通过预留⼀个公⽹地址进⾏NAPT转换，⽽其他的公⽹地址⽤来进⾏NAT No-PAT转换，该⽅式不太常⽤。

三元组NAT：与源IP地址、源端⼝和协议类型有关的⼀种转换，将源IP地址和源端⼝转换为固定公⽹IP地址和端⼝，能解决⼀些特殊应⽤在普遍NAT中⽆法实现的问题。

主要应⽤于外部⽤户访问局域⽹的⼀些P2P应⽤。

⼆、解决NAT转换时的环路及⽆效ARP在特定的NAT转换时，可能会产⽣环路及⽆效ARP，关于其如何产⽣，⼤概就是，在有些NAT的转换⽅式中，是为了解决内⽹连接Internet，⽽映射出了⼀个公有IP，那么，若此时有⼈通过internet来访问这个映射出来的公有IP，就会产⽣这两种情况。

若要详细说起来，⼜是很⿇烦，但是解决这两个问题很简单，就是配置⿊洞路由（将internet主动访问映射出来的地址的流量指定到空接⼝null0），关于如何配置，将在过后的配置中展⽰出来，我总结了以下需要配置⿊洞路由的场景，如下表所⽰：表中的前三个可以对应到⽂章开始的⼏个NAT类型中，那么NAT Server(粗泛)、NAT Server(精细）⼜是什么⿁呢？NAT Server(粗泛)：是NAT Server转换类型中的⼀种，表⽰源地址和转换后的地址只有简单的映射关系，没有涉及端⼝等映射，如源地址为192.168.1.2，转换后的地址为33.2.55.6，如果做的是NAT Server(粗泛)这种类型的NAT，那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址。

1、实验拓扑图：2、实验要求：路由器之间连接的是Internet，其余为私网，各个设备所属网段及IP地址如图所示，要求E328交换机充当路由器，Router1上配置单臂路由，Router0和Router1的Serial0/0接口上启用NAT。

通过配置防火墙达到：(1)学生机(PC1所处网段)的计算机在每天的12:00到14:00时间段不能访问外网，但可以访问Ftp服务器(2)PC1和PC2所处网段的计算机仅可以访问Ftp服务器的Ftp服务(3)外网可以访问Www服务器，但是不可以ping (4)PC3可以访问Ftp服务器的Ftp服务3、实验步骤：(1)基本配置：#E328的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 1/0/2[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 1/0/3[H3C-vlan3]vlan 4[H3C-vlan4]port Ethernet 1/0/24[H3C-vlan4]quit[H3C]interface vlan-interface1[H3C-interface-vlan1]ip address 192.168.0.1 24[H3C-interface-vlan1]interface vlan-interface2[H3C-interface-vlan2]ip address 192.168.1.1 24[H3C-interface-vlan2]interface vlan-interface3[H3C-interface-vlan3]ip address 192.168.2.1 24[H3C-interface-vlan3]interface vlan-interface4[H3C-interface-vlan4]ip address 192.168.3.1 24[H3C-interface-vlan4]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.3.2#Router0的配置[H3C]interface Ethernet 0/0[H3C-e0/0]ip address 192.168.3.2 24[H3C-e0/0]interface serial 0/0[H3C-s0/0]ip address 202.102.0.1 24[H3C-s0/0]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.2#Router1的配置[H3C]interface serial 0/0[H3C-s0/0]ip address 202.102.0.2 24[H3C-s0/0]interface Ethernet 0/0.1[H3C-e0/0.1]ip address 192.168.4.1 24[H3C-e0/0.1]vlan-type dot1q vid 2[H3C-e0/0.1]interface Ethernet 0/0.2[H3C-e0/0.2]ip address 192.168.5.1 24[H3C-e0/0.2]vlan-type dot1q vid 3[H3C-e0/0.2]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.1#S2126的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 0/1[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 0/2[H3C-vlan3]quit[H3C]interface Ethernet 0/24[H3C-e0/24]port link-type trunk[H3C-e0/24]port trunk permit vlan all(2)NAT的配置#Router0的配置[H3C]nat address-group 202.102.0.5 202.102.0.6 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.5 inside 192.168.2.2 ftp tcp #Router1的配置[H3C]nat address-group 202.102.0.7 202.102.0.9 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.7 inside 192.168.5.2 www tcp[H3C-s0/0]nat static 192.168.4.2202.102.0.8(3)ACl的配置#Router0的配置[H3C]time-range a 12:00 to 16:00 daily[H3C]acl number 2000[H3C-acl-basic-2000]rule deny source 192.168.0.0 0.0.0.255 time-range a#E328的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule permit tcp source any destination 192.168.2.2 0 destination-port equal ftp[H3C-acl-adv-3000]rule permit tcp source202.102.0.8 0 destination 192.168.2.2 0 destination-port equal ftp#Router1的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule deny icmp source any destination 192.168.5.2 0(4)将ACL应用到接口#Router0的配置[H3C]firewall enable[H3C]interface Ethernet 0/0[H3C-e0/0]firewall packet-filter 2000 inbound#Router1的配置[H3C]firewall enable[H3C]interface serial 0/0[H3C-s0/0]firewall packet-filter 3000 inbound#E328的配置[H3C]interface Ethernet 1/0/3[H3C-e1/0/3]packet-filter inbound ip-group 3000 rule 04、实验结论：1、PC1PC2pingWWW服务器结果显示目的主机不可达2、PC1在12:00到16:00之间不可以访问WWW服务器，不在此时间段内，PC1可以访问www服务器。

应用场景：在网络的边界，如出口区域，在内网和外网之间增加防火墙设备，采用路由模式对局域网的整网进行保护。

路由模式一般不单独使用，一般会有以下功能的配合，如在内外网之间配置灵活的安全策略，或者是进行NAT内网地址转换。

功能原理：简介∙路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信优点∙能够支持三层网络设备的多种功能，NAT、动态路由、策略路由、VRRP等∙能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担缺点∙不能转发IPv6和组播包∙部署到已实施网络中需要重新改动原有地址和路由规划一、组网要求1、在网络出口位置部署防火墙卡，插在核心交换机的3号槽位，通过防火墙卡区分内外网，外网接口有两个ISP出口；2、在防火墙上做NAT配置，内网用户上外网使用私有地址段；二、组网拓扑三、配置要点要点1，配置防火墙∙创建互联的三层接口，并指定IP地址∙配置动态路由或静态路由∙创建作为NAT Outside的VLAN接口并指定IP∙配置NAT转换关系∙配置NAT日志要点2，配置交换机∙创建连接NAT Outside线路的VLAN并指定物理接口∙创建互联到防火墙的三层接口∙通过互联到防火墙的三层接口配置动态路由或静态路由四、配置步骤注意：步骤一、将交换机按照客户的业务需要配置完成，并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。

1）配置防火墙模块与PC的连通性：配置防火墙卡和交换机互联端口，可以用于防火墙的管理。

Firewall>enable ------>进入特权模式Firewall#configure terminal ------>进入全局配置模式Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口FW1(config-if-Vlan 4000)#ip address 10.0.0.1 255.255.255.252------>为vlan 4000接口上互联IP地址Firewall(config-if)#exit ------>退回到全局配置模式Firewall(config)#firewall default-policy-permit ------>10.3（4b5）系列版本的命令ip session acl-filter-default-permit ，10.3（4b6）命令变更为 firewall default-policy-permit 防火墙接口下没有应用ACL时或配置的ACL在最后没有Permit any则默认会丢弃所有包，配置以下命令可修改为默认转发所有包2）防火墙配置路由模式，交换机与防火墙联通配置。

实验七 NAT和ACL配置实验1：标准ACL1.实验目的通过本实验可以掌握：（1）ACL 设计原则和工作过程（2）定义标准ACL（3）应用ACL（4）标准ACL 调试2.拓扑结构本实验拒绝PC2 所在网段访问路由器R2,同时只允许主机PC3 访问路由器R2 的TELNET服务。

整个网络配置RIP 保证IP 的连通性。

3.实验步骤（1）步骤1：配置路由器R1R1(config)#router ripR1(config-router)#network 10.1.1.0R1(config-router)#network 172.16.1.0R1(config-router)#network 192.168.12.0（2）步骤2：配置路由器R2R2(config)#router ripR2(config-router)#network 2.2.2.0R2(config-router)#network 192.168.12.0R2(config-router)#network 192.168.23.0R2(config)#access-list 1 deny 172.16.1.0 0.0.0.255 //定义ACLR2(config)#access-list 1 permit anyR2(config)#interface Serial0/0/0R2(config-if)#ip access-group 1 in //在接口下应用ACLR2(config)#access-list 2 permit 172.16.3.1R2(config-if)#line vty 0 4R2(config-line)#access-class 2 in //在vty 下应用ACLR2(config-line)#password ciscoR2(config-line)#login（3）步骤3：配置路由器R3R3(config)#router eigrp 1R3(config-router)#network 172.16.3.0R3(config-router)#network 192.168.23.0【技术要点】（1）ACL 定义好，可以在很多地方应用，接口上应用只是其中之一，其它的常用应用来控制telnet 的访问；（2）访问控制列表表项的检查按自上而下的顺序进行，并且从第一个表项开始，所以必须考虑在访问控制列表中定义语句的次序；（3）路由器不对自身产生的IP 数据包进行过滤；（4）访问控制列表最后一条是隐含的拒绝所有；（5）每一个路由器接口的每一个方向，每一种协议只能创建一个ACL；（6）“access-class”命令只对标准ACL 有效。

一：基本网络top搭建配置动态nat，实现网段10.0.0.0进行地址转换后访问172.16.1.1注意：Host1和Host2都要设置网管，其中Host2设置网管是为了后续的测试。

1：r1路由器端口ip的配置R1#configure terminalR1(config)#interface loop0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#int loop1R1(config-if)#ip address 10.2.2.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface fastEthernet 0/0R1(config-if)#ip address 10.3.3.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit2：配置asa各个端口ciscoasa> enablePassword:ciscoasa# configure terminalciscoasa(config)# interface ethernet 0/0ciscoasa(config-if)# ip address 10.3.3.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif insideciscoasa(config-if)# security-level 100ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/1ciscoasa(config-if)# ip address 172.16.1.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif outsideciscoasa(config-if)# security-level 0ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/2ciscoasa(config-if)# ip address 192.168.100.2 255.255.255.0 ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif dmzciscoasa(config-if)# security-level 50ciscoasa(config-if)# exitciscoasa(config)#3：配置各个主机的ip地址在R1上的loop0和loop1模拟两台主机PC1和PC2，使用两个虚拟机PC3做dmz区域的主机，PC4做internet中的主机在PC3上部署web服务4：配置r1的路由R1(config)#ip route 0.0.0.0 0.0.0.0 10.3.3.25：配置asa的路由ciscoasa(config)# route inside 0 0 10.3.3.16：允许ping报文ciscoasa(config)# access-list 110 permit icmp any anyciscoasa(config)# access-group 110 in int outsideciscoasa(config)# access-group 110 in int dmz一：在asa上配置动态nat，对10.1.1.0网段的地址进行转换ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200再用1访问4（能ping通，被nat转换了源ip地址）ciscoasa(config)# show xlate detail发现有地址映射条目将1的ip改为10.1.1.10，再访问ciscoasa(config)# show xlate detail发现多出一项地址映射条目如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ASA(config)#access-list in-dmz extended permit ip 10.1.1.0 255.255.255.0 192.168.100.0 255.255.255.0ASA(config)# nat (inside) 2 access-list in-dmzASA(config)# global (dmz) 2 192.168.100.100-192.168.100.200####开始####动态NAT#########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 172.16.1.100 172.16.1.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-poolciscoasa(config-network-object)#如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ciscoasa(config)# object network dmz-poolciscoasa(config-network-object)# range 192.168.100.100 192.168.100.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside2ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,dmz) dynamic dmz-poolciscoasa(config-network-object)# exit######结束#################################################################################二：动态PAT1：先把第一个实验中的相关语句删除掉，并清空nat缓存ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)#no global (outside) 1 172.16.1.100-172.16.1.200ciscoasa(config)# clear xlate detail2：配置动态patciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.200用a去访问dciscoasa(config)# show xlate detail修改1的ip后再访问一次ciscoasa(config)# show xlate detail对比得到的结果和上一实验的区别####开始###动态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################三：静态nat1：先把上一个实验的相关语句删掉ciscoasa(config)# no global (outside) 1 172.16.1.100ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.02：配置静态natciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside3：用d访问c（访问映射过后的地址172.16.1.201）用Host2访问DMZ区域的web服务，要方位映射的地址172.16.1.201ciscoasa(config)# show xlate detail再用4访问3的原地址192.168.100.1，发现不通####开始###静态NAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# access-list 100 permit ip any host 192.168.100.1######结束#################################################################################重要注意：老版本要让acl允许外网访问nat出去的外网公有ip地址ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201新版本要让acl允许外网访问nat前的内网私有ip地址ciscoasa(config)# access-list 100 permit ip any host 192.168.100.1四：静态pat1：为dmz区域的主机安装iis服务，搭建web网站2：删除上个实验的相关语句ciscoasa(config)# no access-group out-to-dmz in int outsideciscoasa(config)# no static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# no access-list out-to-dmz permit ip any host 172.16.1.2013：配置静态patciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.100.1 httpciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 smtp 192.168.100.2 smtpciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside4：用4访问3的网站http://172.16.1.201####开始###静态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.200 service tcp 80 8080ciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################五：nat控制（清空前面的nat）注意前面的配置中在outside接口的in方向上我们应用过其他的acl，因此方形icmp的acl就失效了，一定要检查一下，把原来的110号acl应用到outside的in方向，否则ping的测试会ping不通1：用1和2访问4，都可以访问R1#ping 172.16.1.1 source 10.1.1.1R1#ping 172.16.1.1 source 10.2.2.22：启用nat控制ciscoasa(config)# nat-control测试发现都不通了配置acl规则ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200用1访问4，可以访问用2访问4，无法访问3：为10.2.2.0网段配置nat豁免ciscoasa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0ciscoasa(config)# nat (inside) 0 access-list nonat再次用2访问4的共享，发现可以访问如果希望4访问2ciscoasa (config)# access-list out_to_in permit ip 172.16.1.0 255.255.255.0 10.2.2.0 255.255.255.0ciscoasa (config)# access-group out_to_in in int outside####开始###NAT控制##########以下是新版本ASA（8.4及以后）防火墙的配置############################开启nat控制（针对inside到outside）ciscoasa(config)# object network out-0.0.0.0ciscoasa(config-network-object)# host 0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)# object network inside-0.0.0.0ciscoasa(config-network-object)# subnet 0.0.0.0 0.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic out-0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)#nat豁免（针对inside到outside）ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exit######结束#################################################################################。

实验七防火墙【实验题目】防火墙【实验目的与要求】（1）理解防火墙的工作原理；（2）掌握基于防火墙的网络安全设计；【实验需求】（1）提供H3C SecPath防火墙一台、交换机一台、计算机5台；（2）掌握防火墙的不同工作模式，并能通过命令行或Web界面配置防火墙的主要功能；【实验步骤】第一部分：防火墙的初级应用（防火墙当作路由器用）第1步：正确连线按图1-1所示的网络拓扑图正确连线，其中一台电脑的串口（COM1）与防火墙的CONSOLE口相连。

IP：192.168.0.XGW：192.168.0.254图1-1 网络拓扑图第2步：清除防火墙内部的配置信息，恢复到出厂状态eset saved-configurationThe saved configuration will be erased.Are you sure?[Y/N]yConfiguration in the device is being cleared.Please wait ...The configuration file does not exist!rebootThis command will reboot the system. Since the current configuration may have been changed, all changes may be lost if you continue. Continue? [Y/N] y#Aug 14 05:29:27:499 2014 H3C DRTMIB/4/REBOOT:Reboot device by command.*********************************************************** ** H3C SecPath Series Gateway BOOTROM, Version 1.14 ** ***********************************************************Copyright (c) 2004-2007 Hangzhou H3C Technologies Co., Ltd.Compiled at Thu Apr 5 09:01:18 HKT 2007Testing memory...OK!128M bytes SDRAM Memory16M bytes Flash MemoryHardware Version is 2.0CPLD Version is 1.0Press Ctrl-B to enter Boot MenuSystem isself-decompressing.................................................. ............................................................................ .... ...................System is starting...User interface Con 0 is available.Press ENTER to get started.第3步：配置W AN和LAN口的IP地址system-viewSystem View: return to User View with Ctrl+Z.[H3C]interface Ethernet 0/3[H3C-Ethernet0/3]ip address 10.64.129.150 255.255.255.0[H3C-Ethernet0/3]q[H3C]interface Ethernet 0/2[H3C-Ethernet0/2]ip address 192.168.0.254 255.255.255.0[H3C-Ethernet0/2]第4步：配置主机IP地址正确配置主机的IP地址、子网掩码、默认网关和DNS服务器地址，如图1-2所示：图1-2 配置主机IP地址第5步：配置静态路由[H3C]ip route-static 0.0.0.0 0.0.0.0 10.64.129.254第6步：配置访问控制列表（ACL）和网络地址翻译（NA T）[H3C]acl number 3000[H3C-acl-adv-3000]rule 1 permit ip source 192.168.0.1 0.0.0.255 destination any [H3C-acl-adv-3000]q[H3C-Ethernet0/3]firewall packet-filter 3000 outbound[H3C-Ethernet0/3]nat outbound 3000[H3C-Ethernet0/3]第7步：把接口设为信任区域并定义为允许访问[H3C]firewall zone trust[H3C-zone-trust]add interface Ethernet 0/3[H3C-zone-trust]add interface Ethernet 0/2[H3C]firewall packet-filter default permit第8步：配置过程中可以随时在用户视图下保存配置信息saveThe configuration will be written to the device.Are you sure?[Y/N]Before pressing ENTER you must choose 'YES' or 'NO'[Y/N]:yNow saving current configuration to the device.Saving configuration flash:/config.cfg. Please wait................Current configuration has been saved to the device successfully.第二部分：防火墙使用进阶【实验需求】（1）提供H3C SecPath防火墙一台、交换机一台、计算机5台；（2）基于防火墙的网络安全拓扑结构，如图2-1所示，通过Web方式来配置防火墙，并验证防火墙的主要功能；IP：192.168.0.XGW：192.168.0.254图2-1 网络拓扑图【实验步骤】第1步：正确连线按图3所示的网络拓扑图正确连线，其中一台电脑的串口（COM1）与防火墙的CONSOLE口相连。

实验七 NAT 配置【实验目的】1. NAT 的基本工作原理、分类；2. NAT 配置。

【实验环境】路由器、PacketTrace 仿真软件、具备Windows 操作系统的PC 机【实验重点及难点】重点：NAT 配置难点：基本工作原理【实验拓扑】【实验内容】 情景：某公司内部有一台Web 服务器，希望能够被内、外网访问，但配置内部地址。

公司其它机器使用内部地址，希望能够访问外网。

请实现这一操作。

分析：具有内部地址的服务器，能够直接被内部主机访问。

若还需要被外部主机访问，则需要在出口设备上配置静态NAT ，使其与唯一的外部地址一一映射。

本例中外部地址为172.16.0.3。

其它内部机器只要做PA T ，使其通过端口映射，公用一个地址即可。

本例中外部PAT 地址为172.16.0.4。

实验步骤：一、路由器配置1. Router0Router>enRouter#conf t Router(config)#int f0/0 Inside192.168.0.0/24服务器地址：192.168.0.2Outside 10.0.0.0/24 172.16.0.3 静态NAT 172.16.0.4 PA T S0/0 S0/0 F0/0F0/0Router(config-if)#ip add 192.168.0.1 255.255.255.0Router(config-if)#ip nat insideRouter(config-if)#no shutRouter(config-if)#int s0/0Router(config-if)#ip add 172.16.0.1 255.255.255.0Router(config-if)#ip nat outsideRouter(config-if)#clock rate 64000Router(config-if)#no shutRouter(config)#access-list 1 permit 192.168.0.0 0.0.0.255 \\内部地址池Router(config)#ip nat pool test 172.16.0.4 172.16.0.4 netmask 255.255.255.0 \\外部地址池Router(config)#ip nat inside source list 1 pool test overload \\超载PA T配置Router(config)#ip nat inside source static 192.168.0.2 172.16.0.3 \\静态一一映射Router(config)#ip route 10.0.0.0 255.255.255.0 172.16.0.2 \\静态路由Router(config)#exitRouter#copy run startup-configDestination filename [startup-config]?Building configuration...[OK]Router#2. Router1配置Router>enRouter#conf tRouter(config)#int f0/0Router(config-if)#ip add 10.0.0.1 255.255.255.0Router(config-if)#no shutRouter(config-if)#int s0/0Router(config-if)#ip add 172.16.0.2 255.255.255.0Router(config-if)#no shutRouter(config-if)#exitRouter(config)#exitRouter#copy run startup-configDestination filename [startup-config]?Building configuration...[OK]Router#二、服务器配置配置服务器IP地址为192.168.0.2，网关192.168.0.1三、其它主机配置配置其它主机的IP地址及网关四、测试1. 服务器测试在PC3主机“Desktop”－>“Web browser”－> 地址栏中输入“172.16.0.3”观看是否可以访问Server0中的Web页。

防火墙设置实验报告的一、引言防火墙设置是计算机网络安全的重要组成部分，通过限制网络传输的流量来保护计算机和网络资源免受潜在的威胁。

本实验报告将介绍防火墙设置的基本概念、实验过程和结果，并分享个人对防火墙设置的观点和理解。

二、防火墙设置的基本概念防火墙是一种网络安全设备，位于计算机与外部网络之间，负责监控和控制网络流量。

防火墙通过定义和实施规则，对传入和传出的数据包进行检查和过滤，以保证网络安全与资源保护。

三、实验过程1. 确定防火墙类型：选择适合实验需求的网络防火墙类型，比如软件防火墙或硬件防火墙。

2. 设置防火墙规则：根据实验目标和网络安全需求，设置防火墙规则，包括允许或禁止的传入/传出连接、端口策略、应用程序权限等。

3. 测试与调整：根据实验需求，进行各种网络传输测试，例如Ping 测试、端口扫描等，以验证防火墙设置的有效性和安全性。

4. 优化和完善：根据实验过程中的测试结果和安全需求，对防火墙设置进行优化和完善，确保网络安全和正常通信。

四、实验结果本次实验采用软件防火墙，设置了如下规则：1. 允许传入的HTTP和HTTPS连接，限制传出的SMTP和POP3连接。

2. 开放特定端口（如80端口）供外部访问，严格限制其他端口的访问。

3. 禁止某些应用程序（如P2P文件共享工具）访问网络。

经过测试和优化，防火墙设置实现了预期的目标，并成功保护了计算机和网络资源的安全。

五、个人观点和理解防火墙设置在现代网络环境中至关重要。

通过限制和过滤网络流量，防火墙有效地保护了计算机和网络资源免受恶意攻击和未经授权的访问。

在设置防火墙规则时，我们需要充分考虑实际需求和安全策略，避免设置过于宽松或过于严格的规则。

定期测试和调整防火墙设置也是必要的，以应对不断变化的网络威胁。

六、总结与回顾本实验报告介绍了防火墙设置的基本概念、实验过程和结果，以及个人对防火墙设置的观点和理解。

防火墙作为网络安全的重要组成部分，通过限制和过滤网络流量，有效保护了计算机和网络资源的安全。

实验七交换机基本配置一、实验目的（1）使用R2611模块化路由器进行网络安全策略配置学习使用路由器进行初步的网络运行配置和网络管理，行能根据需要进行简单网络的规划和设计。

实验设备与器材熟悉交换机开机界面；（2）掌握Quidway S系列中低端交换机几种常用配置方法；（3）掌握Quidway S系列中低端交换机基本配置命令。

二、实验环境Quidway R2611模块化路由器、交换机、Console配置线缆、双绞线、PC。

交换机，标准Console配置线。

三、实验内容学习使用Quidway R2611模块化路由器的访问控制列表（ACL）进行防火墙实验。

预备知识1、防火墙防火墙作为Internet访问控制的基本技术，其主要作用是监视和过滤通过它的数据包，根据自身所配置的访问控制策略决定该包应当被转发还是应当被抛弃，以拒绝非法用户访问网络并保障合法用户正常工作。

2、包过滤技术一般情况下，包过滤是指对转发IP数据包的过滤。

对路由器需要转发的数据包，先获取包头信息，包括IP层所承载的上层协议的协议号、数据包的源地址、目的地址、源端口号和目的端口号等，然后与设定的规则进行比较，根据比较的结果对数据包进行转发或者丢弃。

3、访问控制列表路由器为了过滤数据包，需要配置一系列的规则，以决定什么样的数据包能够通过，这些规则就是通过访问控制列表ACL（Access Control List）定义的。

访问控制列表是由permit | deny语句组成的一系列有顺序的规则，这些规则根据数据包的源地址、目的地址、端口号等来描述。

ACL通过这些规则对数据包进行分类，这些规则应用到路由器接口上，路由器根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

访问控制列表(Access Control List )的作用访问控制列表可以用于防火墙；访问控制列表可用于Qos（Quality of Service），对数据流量进行控制；访问控制列表还可以用于地址转换；在配置路由策略时，可以利用访问控制列表来作路由信息的过滤。