实验：防火墙基本配置

防火墙配置实验报告防火墙配置实验报告概述：防火墙是网络安全的重要组成部分，它可以帮助我们保护网络免受未经授权的访问和恶意攻击。

本实验旨在通过配置防火墙来加强网络的安全性，并测试其效果。

实验目标：1. 理解防火墙的基本概念和原理；2. 学习如何使用防火墙配置实现网络安全；3. 测试和评估防火墙的效果。

实验环境：本实验使用了一台运行Windows操作系统的计算机，并安装了一款功能强大的防火墙软件。

实验步骤：1. 防火墙配置前的准备工作在开始配置防火墙之前，我们需要了解一些网络的基本知识，包括IP地址、端口号、协议等。

这些知识将帮助我们更好地理解和配置防火墙。

2. 防火墙的安装和配置首先，我们需要下载并安装一款可靠的防火墙软件。

在安装完成后，我们需要对防火墙进行一些基本的配置，包括启用防火墙、设置默认策略等。

此外，我们还可以根据需要添加自定义规则，以实现更精细的访问控制。

3. 防火墙规则的配置防火墙规则是防火墙的核心组成部分，它决定了哪些流量可以通过防火墙，哪些流量需要被阻止。

在配置规则时，我们可以根据需要设置源IP地址、目标IP地址、端口号、协议等条件。

此外，我们还可以设置规则的动作，如允许、拒绝或丢弃。

4. 防火墙的测试和评估防火墙配置完成后，我们需要对其进行测试和评估。

我们可以使用一些网络工具和技术，如端口扫描、漏洞扫描等，来测试防火墙的效果。

同时，我们还可以通过监控日志和统计数据来评估防火墙的性能和可靠性。

实验结果：经过实验，我们成功地配置了防火墙，并测试了其效果。

防火墙能够有效地过滤和阻止未经授权的访问和恶意攻击，提高了网络的安全性。

同时，防火墙还能够帮助我们实现网络流量的控制和管理，提高网络的性能和可靠性。

结论：通过本次实验，我们深入了解了防火墙的基本原理和配置方法，并通过实际操作和测试验证了其效果。

防火墙是网络安全的重要手段之一，它能够帮助我们保护网络免受未经授权的访问和恶意攻击。

在今后的网络安全工作中，我们应该继续加强对防火墙的学习和应用，以确保网络的安全和稳定。

防火墙配置的实验报告防火墙配置的实验报告一、引言随着互联网的飞速发展，网络安全问题日益突出。

为了保障网络的安全性，防火墙作为一种重要的网络安全设备被广泛应用。

本实验旨在通过配置防火墙，探索其在网络安全中的作用和效果。

二、实验目的1. 了解防火墙的基本原理和工作机制；2. 学习防火墙的配置方法和技巧；3. 掌握防火墙的常见功能和策略。

三、实验环境1. 操作系统：Windows 10；2. 软件：VirtualBox虚拟机、Wireshark网络抓包工具；3. 网络拓扑：本地主机与虚拟机之间的局域网。

四、实验步骤1. 配置虚拟网络环境：在VirtualBox中创建两个虚拟机，分别作为内网主机和外网主机；2. 安装防火墙软件：在内网主机上安装并配置防火墙软件，如iptables；3. 配置防火墙规则：根据实际需求，设置防火墙的入站和出站规则；4. 测试防火墙效果：利用Wireshark工具进行网络抓包，观察防火墙对数据包的处理情况；5. 优化防火墙配置：根据实验结果，对防火墙规则进行调整和优化。

五、实验结果与分析通过实验，我们成功配置了防火墙，并设置了一些基本的规则。

在测试阶段，我们发现防火墙能够有效地过滤和阻止非法的网络连接请求，保护内网主机的安全。

同时，防火墙还能对数据包进行检测和修正，提高网络传输的可靠性和稳定性。

然而，在实验过程中我们也遇到了一些问题。

例如，由于防火墙的设置过于严格，导致某些合法的网络连接被误判为非法请求，造成了一定的影响。

因此，在优化防火墙配置时，我们需要根据实际情况进行细致的调整，以兼顾网络安全和正常通信的需要。

六、实验总结通过本次实验，我们深入了解了防火墙的配置和使用。

防火墙作为一种重要的网络安全设备，能够有效地保护网络免受攻击和入侵。

然而，防火墙的配置并非一蹴而就，需要根据实际需求进行不断优化和调整。

在今后的网络安全工作中，我们将进一步学习和探索防火墙的高级功能和策略，提升网络安全防护能力。

防火墙设置实验报告一、实验目的本实验旨在通过设置防火墙，了解防火墙的基本概念、原理和常见设置方法，以及掌握如何使用防火墙保护计算机网络安全。

二、实验环境1. 操作系统：Windows 102. 防火墙软件：Windows Defender Firewall3. 实验工具：Ping命令、Telnet命令、nmap扫描器三、实验步骤1. 打开Windows Defender Firewall在Windows 10中，可以通过控制面板或者设置应用程序打开Windows Defender Firewall。

在控制面板中，选择“系统和安全”-“Windows Defender Firewall”；在设置应用程序中，选择“更新和安全”-“Windows 安全中心”-“防火墙和网络保护”。

2. 配置入站规则入站规则是指限制从外部网络访问本地计算机的规则。

可以通过以下步骤配置入站规则：（1）选择“高级设置”-“入站规则”，点击“新建规则”。

（2）根据需要选择不同类型的规则。

例如，如果只允许特定IP地址访问计算机，则可以选择“自定义”类型。

（3）根据需要配置规则属性，例如名称、描述、协议等。

（4）配置允许或拒绝连接的条件。

例如，可以配置只允许特定端口的连接。

（5）配置规则的操作。

例如，可以配置允许或拒绝连接、记录日志等操作。

3. 配置出站规则出站规则是指限制从本地计算机访问外部网络的规则。

可以通过以下步骤配置出站规则：（1）选择“高级设置”-“出站规则”，点击“新建规则”。

（2）根据需要选择不同类型的规则。

例如，如果只允许特定IP地址访问计算机，则可以选择“自定义”类型。

（3）根据需要配置规则属性，例如名称、描述、协议等。

（4）配置允许或拒绝连接的条件。

例如，可以配置只允许特定端口的连接。

（5）配置规则的操作。

例如，可以配置允许或拒绝连接、记录日志等操作。

4. 测试防火墙设置为了测试防火墙设置是否有效，可以使用Ping命令、Telnet命令或nmap扫描器进行测试。

实训项目七防火墙配置【实验目的】●熟悉路由器的包过滤的核心技术：ACL●掌握访问控制列表的分类及各自特点●掌握访问控制列表的应用，灵活设计防火墙【实验仪器和设备】●H3C S3610或H3C E126A交换机2台、H3C MR30-20路由器2台、标准网线2条、计算机2台、V.35线缆一根；●每3名同学为一组。

【实验步骤】任务一、广域网接口线缆步骤一：连接广域网接口线缆通过V.35电缆将路由器RTA和RTB广域网接口S5/0实现互联，其中连接RTA的V.35电缆外接网络侧为34孔插座，而连接RTB的V.35电缆外接网络侧为34针插头（虽然通常只保留在用的针），由此可以得知路由器RTB的接口S5/0是DTE端，而路由器RTA的接口S5/0是DCE端。

步骤二：查看广域网接口信息在RTA上通过display interface Serial 5/0命令查看接口Serial 5/0的信息，根据其输出信息可以看到：Physical layer is synchronous，Virtual Baudrate is 64000 bpsInterface is DCE, Cable type is V35在RTB上通过display interface Serial 5/0命令查看接口Serial 5/0的信息，根据其输出信息可以看到：Physical layer is synchronous，Baudrate is 64000 bpsInterface is DTE, Cable type is V35由以上信息可以看到，RTA和RTB的广域网V.35电缆接口工作在同步模式下，目前的传输速率是64000 bps或者64K bps 。

步骤三：配置广域网接口参数配置将RTB的接口S5/0的传输速率修改为 2Mbps，请在如下的空格中补充完整的配置命令：[RTB-Serial5/0]baudrate 2048000在RTB上执行该命令后，有信息提示：Serial5/0: Baudrate can only be set on the DCE，意思即为只能在DCE侧修改接口的波特率即传输速率。

防火墙管理实验一、引言防火墙是保护计算机网络安全的重要设备，它通过对网络流量进行监控和过滤，阻止未经授权的访问和恶意攻击。

防火墙管理实验是对防火墙进行配置和管理的实际操作，旨在提高对网络安全的保护能力。

本文将围绕防火墙管理实验展开，介绍防火墙的基本原理、配置方法和管理策略。

二、防火墙原理防火墙通过对网络流量进行检查和过滤，实现对网络的保护。

其基本原理包括以下几个方面：1. 包过滤：防火墙根据预先设定的规则，对进出网络的数据包进行检查和过滤。

这些规则可以包括允许或拒绝特定IP地址、端口号或协议类型的数据包通过。

2. 状态检测：防火墙可以追踪网络连接的状态，包括建立、终止和保持等。

通过检测网络连接的状态，防火墙可以识别和阻止恶意的连接请求。

3. 地址转换：防火墙可以实现网络地址转换（NAT），将内部私有IP地址转换为公共IP地址。

这样可以隐藏内部网络的真实IP地址，提高网络的安全性。

三、防火墙配置方法防火墙的配置是实现其功能的关键，下面介绍几种常见的防火墙配置方法：1. 黑名单和白名单：防火墙可以根据黑名单和白名单的方式进行配置。

黑名单指定禁止通过的IP地址、端口号或协议类型，而白名单则指定允许通过的IP地址、端口号或协议类型。

根据实际需求，合理配置黑白名单可以有效控制网络访问。

2. 身份验证：防火墙可以实现用户身份验证，通过输入用户名和密码来验证用户的身份。

只有通过身份验证的用户才能访问网络资源，提高网络的安全性。

3. 代理服务器：防火墙可以配置代理服务器，通过代理服务器转发网络请求。

代理服务器可以对请求进行进一步检查和过滤，确保网络流量的安全性。

四、防火墙管理策略防火墙的管理策略是保证其有效运行的重要保障，下面介绍几种常见的防火墙管理策略：1. 定期更新规则：网络环境不断变化，新的威胁和漏洞不断出现。

因此，定期更新防火墙的规则非常重要，以适应新的安全威胁。

2. 日志监控和分析：防火墙可以记录日志信息，包括访问请求、拦截信息等。

防火墙的设计与配置实验报告(一)防火墙的设计与配置实验报告引言防火墙是网络安全中的重要组成部分，它能够保护网络免受恶意攻击和未经授权的访问。

在本实验报告中，我们将重点讨论防火墙的设计与配置。

设计原则为了确保防火墙的有效性和可靠性，我们应遵循以下设计原则：- 合规性：防火墙的配置和规则设置必须符合相关安全标准和法规要求。

- 防御深度：采用多层次的防护方式，例如网络隔离、访问控制列表（ACL）等，保障网络的安全性。

- 灵活性：防火墙的设计应该具备适应不同网络环境和需求变化的能力。

- 可管理性：防火墙的配置和管理应该简单易行，不影响正常网络运行。

配置步骤以下是防火墙配置的基本步骤：1.定义安全策略：根据实际需求，明确访问控制政策并制定安全规则。

2.确定网络拓扑：了解网络拓扑和通信流量，确定防火墙的位置及其与其他网络设备的连接方式。

3.规划地址空间：分配和规划IP地址、端口和协议。

4.设置访问规则：配置防火墙的访问控制列表（ACL），限制特定IP地址或端口的访问权限。

5.创建安全组：根据需求设定安全组，限制特定IP地址或协议的流量。

6.启用日志记录：开启防火墙日志记录功能，及时发现和应对潜在的安全威胁。

7.测试与验证：经过配置后，进行防火墙功能和安全性的测试与验证。

最佳实践以下是一些防火墙设计与配置的最佳实践：•使用默认拒绝规则：配置防火墙时，优先采用默认拒绝规则来限制访问，只允许必要的和经过授权的流量通过。

•定期审查和更新规则：定期审查现有的安全规则，删除不再需要的规则，并及时更新和添加新的规则以适应网络变化。

•网络监控和入侵检测：与防火墙配套使用网络监控和入侵检测工具，及时监测和响应网络安全事件。

•应用安全补丁和更新：定期更新和应用防火墙设备的安全补丁和软件更新，以关闭已知的漏洞和提高系统的安全性。

结论通过本次实验，我们深入了解了防火墙的设计与配置过程。

只有在遵循合适的设计原则和最佳实践的前提下，才能保障防火墙的有效性和网络的安全性。

防火墙配置的实验报告
《防火墙配置的实验报告》
实验目的：通过实验，掌握防火墙的基本配置方法，了解防火墙的作用和原理，提高网络安全意识。

实验内容：
1. 防火墙的基本概念
防火墙是一种网络安全设备，用于监控和控制网络流量，以保护网络免受未经
授权的访问和攻击。

防火墙可以根据预设的规则过滤网络数据包，阻止潜在的
威胁和攻击。

2. 防火墙的配置方法
在实验中，我们使用了一台虚拟机来模拟网络环境，通过配置防火墙软件来实
现对网络流量的监控和控制。

首先，我们需要了解防火墙软件的基本功能和配
置界面，然后根据网络安全需求设置相应的规则和策略，最后测试配置的有效性。

3. 防火墙的作用和原理
防火墙可以通过不同的方式来实现对网络流量的控制，包括基于端口、IP地址、协议和应用程序的过滤规则。

其原理是通过检查网络数据包的源地址、目的地址、端口等信息，判断是否符合预设的规则，然后决定是否允许通过或阻止。

实验结果：
经过实验，我们成功配置了防火墙软件，并设置了一些基本的过滤规则，包括
禁止某些端口的访问、限制特定IP地址的访问等。

在测试阶段，我们发现配置
的规则能够有效地过滤网络流量，达到了预期的安全效果。

结论：
通过本次实验，我们深入了解了防火墙的基本概念、配置方法和作用原理，提高了网络安全意识和技能。

防火墙在网络安全中起着至关重要的作用，能够有效地保护网络免受未经授权的访问和攻击，是网络安全的重要组成部分。

我们将继续学习和实践，不断提升网络安全防护能力。

第一部分华为防火墙基本初始化LAB1 子接口初始化一、实验拓扑二、基本配置SW:[SW]vlan 2[SW-vlan2]description Untrust[SW-vlan2]vlan 3[SW-vlan3]description Trust[SW-vlan3]vlan 4[SW-vlan4]description DMZ[SW]int g0/0/9[SW-GigabitEthernet0/0/8]port link-type access[SW-GigabitEthernet0/0/8]port default vlan 3[SW-GigabitEthernet0/0/8]int g0/0/3[SW-GigabitEthernet0/0/3]port link-type access[SW-GigabitEthernet0/0/3]port default vlan 3[SW]int g0/0/9[SW-GigabitEthernet0/0/9]port link-type trunk[SW-GigabitEthernet0/0/9]port trunk allow-pass vlan 1 2 4 [SW]int g0/0/1[SW-GigabitEthernet0/0/1]port link-type access [SW-GigabitEthernet0/0/1]port default vlan 2[SW-GigabitEthernet0/0/1]int g0/0/2[SW-GigabitEthernet0/0/2]port link-type access[SW-GigabitEthernet0/0/2]port default vlan 4三、防火墙配置system-viewEnter system view, return user view with Ctrl+Z.[SRG][SRG]sysname HWFW[HWFW]int g0/0/0[HWFW-GigabitEthernet0/0/0]alias Trust ===配置接口描述[HWFW-GigabitEthernet0/0/0]ip add 192.168.1.10 24 [HWFW]int g0/0/1.2[HWFW-GigabitEthernet0/0/1.2]vlan-type dot1q 2 ====封装VLAN [HWFW-GigabitEthernet0/0/1.2]alias Untrust[HWFW-GigabitEthernet0/0/1.2]ip add 202.100.1.10 24[HWFW-GigabitEthernet0/0/1.2]interface GigabitEthernet0/0/1.4 [HWFW-GigabitEthernet0/0/1.4]alias DMZ[HWFW-GigabitEthernet0/0/1.4]vlan-type dot1q 4[HWFW-GigabitEthernet0/0/1.4]ip add 172.16.1.10 24测试：[HWFW]ping -c 2 192.168.1.119:26:33 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=80 msReply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=580 ms [HWFW]ping -c 2 202.100.1.119:26:55 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out[HWFW]ping -c 2 172.16.1.119:27:14 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakRequest time outRequest time out为什么直连不通？因为默认不同zone之间流量是不允许访问的，可以通过以下命令查看：[HWFW]display current-configurationfirewall zone trustset priority 85add interface GigabitEthernet0/0/0为了测试，可以将防火墙其它两个两口放入相同的zone[HWFW] firewall zone trust[HWFW-zone-trust]add interface g0/0/1.2[HWFW-zone-trust]add interface GigabitEthernet0/0/1.4[HWFW]ping -c 2 202.100.1.119:32:39 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 202.100.1.1: bytes=56 Sequence=2 ttl=255 time=700 ms --- 202.100.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/385/700 ms[HWFW]ping -c 2 172.16.1.119:32:45 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=70 ms Reply from 172.16.1.1: bytes=56 Sequence=2 ttl=255 time=560 ms --- 172.16.1.1 ping statistics ---2 packet(s) transmitted2 packet(s) received0.00% packet lossround-trip min/avg/max = 70/315/560 mssave ===保存配置19:37:09 2014/05/26The current configuration will be written to the device.Are you sure to continue?[Y/N]y2014-05-26 19:37:11 HWFW �M/4/SAVE(l): When deciding whether to save configuration to the device, the user chose Y.Do you want to synchronically save the configuration to the startupsaved-configuration file on peer device?[Y/N]:yNow saving the current configuration to the device..Info:The current configuration was saved to the device successfully.reset saved-configuration ?reset saved-configuration ====清空配置19:37:26 2014/05/26The action will delete the saved configuration in thedevice.The configuration will be erased to reconfigure.Are you sure?[Y/N]yNow clearing the configuration in the device.2014-05-26 19:37:28 HWFW �M/4/RST_CFG(l): When deciding whether to reset the saved configuration, the user chose Y.Error:The config file does not exist!LAB2:三接口初始化一、基本配置[SW]vlan batch 2 to 4port link-type accessport default vlan 2interface GigabitEthernet0/0/8port link-type accessport default vlan 2interface GigabitEthernet0/0/3port link-type accessport default vlan 3interface GigabitEthernet0/0/10port link-type accessport default vlan 3interface GigabitEthernet0/0/2port link-type accessport default vlan 4interface GigabitEthernet0/0/9port link-type accessport default vlan 4二、防火墙配置[HWFW]undo interface g0/0/1.2 ===删除子接口[HWFW]undo interface g0/0/1.4ip address 202.100.1.10 255.255.255.0interface GigabitEthernet0/0/1ip address 172.16.1.10 255.255.255.0interface GigabitEthernet0/0/2ip address 192.168.1.10 255.255.255.0测试：[HWFW]ping -c 1 202.100.1.120:01:23 2014/05/26PING 202.100.1.1: 56 data bytes, press CTRL_C to breakReply from 202.100.1.1: bytes=56 Sequence=1 ttl=255 time=950 ms [HWFW]ping -c 1 172.16.1.120:01:59 2014/05/26PING 172.16.1.1: 56 data bytes, press CTRL_C to breakReply from 172.16.1.1: bytes=56 Sequence=1 ttl=255 time=180 ms [HWFW]ping -c 1 192.168.1.120:02:27 2014/05/26PING 192.168.1.1: 56 data bytes, press CTRL_C to breakReply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=780 ms安全区域概述：安全区域（Security Zone），或者简称为区域（Zone），是一个安全概念，大部分的安全策略都基于安全区域实施。

实验一防火墙软件设置与使用实验报告实验课程信息安全技术实验名称防火墙与防病毒软件的设置与使用实验时间2012-2013学年上学期8 周星期 6 第7、8 节学生姓名学号班级实验地点设备号A21、D50 指导教师一、实验目的1.熟悉防火墙基本知识。

2.掌握防火墙的配置策略与实现。

3.了解杀毒软件的工作原理。

4.学习使用杀毒软件清除病毒。

二、实验要求1.掌握防火墙的具体使用，熟悉防火墙配置规则。

2.掌握常用杀毒软件清除病毒的方法。

三、实验内容1、天网防火墙1）防火墙的安装天网防火墙个人版是以一个可执行文件方式提供的，下载之后直接执行便可以开始安装了，每次选择next。

运行天网个人版防火墙后，你可以看见一款非常漂亮简洁的界面：这时，你可以根据自己安全需要设置天网个人版防火墙，天网个人版防火墙提供了应用程序规则设置、自定义IP规则设置、系统设置、安全级别设置的等功能。

（1）应用程序规则设置新版的天网防火墙增加对应用程序数据包进行底层分析拦截功能，它可以控制应用程序发送和接收数据包的类型、通讯端口，并且决定拦截还是通过，这是目前其它很多软件防火墙不具有的功能。

在天网个人版防火墙打开的情况下，点击第二个菜单，就可以进行设置了，弹出窗口。

一般情况下，选择“开机的时候自动启动防火墙”。

对于“我的电脑在局域网中使用”的这一个选项，我们的电脑都是在局域网中使用的，所以也要进行选择。

下面的框中有一个IP地址，是我们电脑的动态IP地址，同学们可以打开自己的电脑的IP地址来核对一下。

在我们运行天网的时候，还会出现一些如上图的这些对话框，同学们还是一样的根据自己的选择进行选择时允许还是禁止。

如果你不选中以后都允许，那么天网防火墙在以后会继续截获该应用程序的数据包，并且弹出警告窗口。

如果你选中以后都允许选项，该程序将自动加入到应用程序列表中，天网个人版防火墙将默认不会再拦截该程序发送和接受的数据包。

你可以通过应用程序设置来设置更为复杂的数据包过滤方式。

实验三防火墙的配置✧实验目的1、了解防火墙的含义与作用2、学习防火墙的基本配置方法3、理解iptables工作机理4、熟练掌握iptables包过滤命令及规则5、学会利用iptables对网络事件进行审计6、熟练掌握iptables NAT工作原理及实现流程7、学会利用iptables+squid实现web应用代理✧实验原理防火墙的基本原理一．什么是防火墙在古代，人们已经想到在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所，于是有了“防火墙”的概念。

进入信息时代后，防火墙又被赋予了一个类似但又全新的含义。

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。

它是提供信息安全服务，实现网络和信息安全的基础设施。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

二．防火墙能做什么1．防火墙是网络安全的屏障一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。

由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。

防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。

防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

2．防火墙可以强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

实验五配置防火墙• 4.1 教学要求理解：防火墙的概念与功能、入侵检测技术的概念与功能、入侵防御的概念与功能。

掌握：防火墙部署的结构类型、网络安全态势感知技术。

了解：防火墙的应用场景、入侵检测的应用场景、网络防御技术的应用。

• 4.2教学实践本节介绍配置高级安全 Windows Defender 防火墙。

虽然有很多商业的防火墙软件可以对用户主机加以防护，但大多数情况下，Windows操作系统自带的防火墙功能足够强大，可以支持用户基本的安全需要。

Windows Defender防火墙是基于状态的主机防火墙，可以对IPv4和IPv6流量按规则进行筛选过滤，除此之外，它还可以指定端口号、应用程序名称、服务名称或其他标准来对允许通过的业务流量进行配置。

（1）通过打开Windows控制面板里搜索“防火墙”，或者在“配置”功能里搜索“防火墙”，可以打开Windows Defender防火墙功能，如图4-6所示。

点击“高级设置”按钮，可以进入到高级安全WindowsDefender防火墙功能。

图4-6 Windows Defender防火墙（2）进入“高级安全的 Windows 防火墙”后，其窗口左侧提供了相关“高级安全的 Windows Defender防火墙”的选项功能列表，包括“入站规则”、“出站规则”、“连接安全规则”和“监视”等功能，如图4-7所示。

图4-7 高级安全Windows Defender防火墙配置界面（3）通过出站规则限制特定的程序访问互联网。

在高级安全Windows Defender防火墙配置界面上，点击出站规则，在界面右侧选择“新建规则”，进入到“新建出站规则向导”功能，如图4-8所示。

图4-8选择新建出站规则的类型以限制QQ访问互联网为例，在没有进行限制前，QQ软件可以成功登陆。

现在通过Windows Defender防火墙功能，把QQ软件的出站访问进行限制，即限制QQ主程序访问互联网，如图4-9所示，将QQ.exe的程序路径加入。

文档从网络中收集，已重新整理排版.word 版本可编辑:•欢迎下载支持.实验四防火墙配置实验•精2020-12-12【关键字】方法、文件、模式、问题、系统、公开、统一、建立、掌握、了解、安全、网络、 需要、环境、方式、作用、结构、关系、设置、保护、管理、维护、服务、支持、方向、适 应、实现【实验目的】1. 了解防火墙的基本原理；2. 掌握防火墙的基本配置方法。

【实验环境】1. 实验3-4人一组。

2. Cisco PIX 防火墙一台。

3. PC 机4台，英中一台PC 机上安装FTP 服务器端软件，并连接在内部网络。

4. RJ45连接电缆若干。

5. Console 配巻线一根。

【实验内容】1. 按图1-1搭建本地配置环境通过PC 机用Console 配置线连接到防火墙Console 口对防火墙进行配置。

图1・1 Console 配置环境2. 按图1-2拓扑结构组网。

Console 口Console 口/配宜电缆防火墙内部PC ethernet 0/0外部PC3.配宜要求：（如有已保存的配苣，先使用write erase 除闪存中的配置信息）（1）所有的口令都设置为“cisco”（实际上，除了“cisco”之外，你可设置为任意的口令, 但实验中统一用“cisco”以避免口令杂乱带来的问题）。

（2）内部网络是10.0.0.0,子网掩码为255.0.0.0。

PIX防火墙的内部IP地址是10.1.1」。

（3）外部网络是1.1.1.0,子网掩码为255.0.0.0, PIX防火墙的外部IP地址是l.l.l.lo（4）在防火墙上配置地址转换，使内部PC机使用IP地址1.1.13访问外部网络。

（5）用于外部网络的默认路由是1.1.1.254。

（6）外部网络上的计算机只能访问内部网络FTP服务。

（7）允许10.1.1.0网段的电脑telnet到防火墙上。

4.将配巻文件以附件方式用电子邮件发送到lws@o附件爼为：实验四配置文件- 学号姓名。

《网络安全技术》实验报告2) 定义IP规则, 这里是采用默认情况, 见下图。

3) 下图是各个应用程序使用端口的情况。

4) 下图就是日志, 上面记录了程序访问网络的记录, 局域网和互联网上被IP扫描端口的情况。

4) 防火墙开放端口应用,打开6881～6889端口。

①建立新的IP规则, 如下图, 在自定义IP规则里双击进行新规则设置②设置新规则后, 把规则上移到该协议组的置顶, 并保存。

然后可以进行在线端口测试, 这些端口是否已经开放的。

5) 应用自定义规则防止常见病毒。

下面是防范冲击波病毒的实例应用, 冲击波就是利用WINDOWS 系统的RPC服务漏洞以及开放的69、135.139、445.4444端口入侵。

①下图就是禁止4444端口的示意图。

②封锁69端口, 见下图。

③封锁445端口, 见下图。

④建立完后就保存, 保存完后就可以防范冲击波病毒了。

七、实验思考防火墙日志的作用是什么以及如何使用防火墙日志？作用：1、作为网络安全的屏障；2、可以强化网络安全策略；3、可以对网络存取和访问进行监控审计；4、可以防止内部信息的外泄；如何使用防火墙日志：天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

如139端口攻击, 139端口是NetBIOS协议所使用的端口, 在安装了TCP/IP 协议的同时, NetBIOS 也会被作为默认设置安装到系统中。

139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道电脑中的一切!如何配置其他一些常见网络防火墙？八. 实验结论通过本次实验, 我知道了一般软件防火墙的使用与配置。

可以使用该软件监听各个应用程序使用端口的情况, 查看哪些程序使用了端口, 使用哪个端口, 是否存在可疑程序在使用网络资源。

河北工业大学网络安全实验报告班级：网络Z072组别：第一组教师：***组长：薛静组员：夏灵梓刘建敏刘文千苗贝贝史丽丽郝明秀马明丽申玉敏昝蕊张舒丁越李莉CISCO PIX515E 防火墙安全配置● 实验目的：⏹ 熟悉CiscoPIX515防火墙的基本组成功能，了解CiscoPIX515防火墙的启动过程。

掌握通过超级终端由console 口登陆到防火墙。

⏹ 理解防火墙静态，动态地址翻译原理，掌握相关的配置命令 ⏹ 掌握防火墙的管道功能及配置命令● 实验内容：通过本图搭建网络 并完成以下操作根据拓扑图中以给定的IP 地址，按下列要求对防火墙进行配置:图中防火墙左面为内网，右面为外网，设置图中防火墙左口为e1口、右口为e0口,路由器的左口为f0/1口，右口为f0/0口。

要求：1.对防火墙、路由器进行基本的命令配置。

使得内网的所有机器能访问外网。

2．所有内网的主机出口使用防火墙对外的全局地址为202.161.1.2192.168.1.20112.16.1.20192.168.3.23．所有的外网的主机只能访问内网的IP地址为192.168.1.10的主机，此主机对外的公开地址为202.161.1.5,允许对此主机进行www、ftp实验过程：一．路由器配置配置：路由器R1配置：int f0/1ip add 192.168.1.1 255.255.255.0no shutint f0/0ip add 192.168.2.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.2.2路由器R2配置：int f0/1ip add 192.168.3.2 255.255.255.0no shutint f0/0ip add 112.16.1.1 255.255.255.0no shutip route 0.0.0.0 0.0.0.0 192.168.3.1防火墙配置：设置端口安全级别：nameif e0 outside sec0nameif e1 inside sec100设置端口参数：interface e0 autointerface e1 auto配置内外网的IP地址：ip add outside 192.168.3.1ip add inside 192.168.2.2设置指向内外网的静态路由nat (inside) 1 0 0global (outside) 1 202.161.1.2route outside 0.0.0.0 0.0.0.0 192.168.3.2为什么//route inside 192.168.1.1 255.255.255.0 192.168.2.1配置静态IP地址映射命令static (inside,outside) 202.161.1.5 192.168.1.10通过conduit命令设置对资源主机的访问控制conduit permit tcp host 202.161.1.5eq www anyconduit permit tcp host 202.161.1.5eq ftp any●实验结果:：●实验总结：网络知识就是一个大型开发场，给我们无限的钻研空间！通。

防火墙实验报告一、实验目的随着网络技术的飞速发展，网络安全问题日益凸显。

防火墙作为一种重要的网络安全设备，能够有效地保护内部网络免受外部网络的攻击和入侵。

本次实验的目的在于深入了解防火墙的工作原理和功能，掌握防火墙的配置和管理方法，通过实际操作来验证防火墙的防护效果，提高网络安全意识和实践能力。

二、实验环境1、硬件环境本次实验使用了两台计算机，分别作为内部网络主机（以下简称内网主机）和外部网络主机（以下简称外网主机），以及一台防火墙设备。

2、软件环境操作系统：内网主机和外网主机均安装 Windows 10 操作系统。

防火墙软件：选用了某知名品牌的防火墙软件，并安装在防火墙设备上。

3、网络拓扑结构实验网络拓扑结构如下图所示：此处可插入网络拓扑结构示意图三、实验原理防火墙是位于计算机和它所连接的网络之间的软件或硬件。

它的主要功能是根据预先设定的规则，对进出网络的数据包进行过滤和控制，从而阻止未经授权的访问和攻击。

防火墙的工作原理基于以下几种技术：1、包过滤技术根据数据包的源地址、目的地址、端口号、协议类型等信息，对数据包进行过滤和筛选。

2、状态检测技术通过跟踪数据包的连接状态，对网络连接进行更精确的控制和管理。

3、应用代理技术在应用层对数据进行代理和转发，能够对特定的应用协议进行更深入的检查和控制。

四、实验步骤1、防火墙设备的初始化配置（1）连接防火墙设备，通过控制台或 Web 界面登录到防火墙管理系统。

（2）设置防火墙的基本参数，如管理员密码、网络接口的 IP 地址等。

2、制定访问控制规则（1）创建允许内网主机访问外网特定网站和服务的规则。

（2）设置禁止外网主机主动访问内网主机的规则。

3、测试访问控制规则的有效性（1）在内网主机上尝试访问预先设定的外网网站和服务，检查是否能够正常访问。

（2）在外网主机上尝试主动访问内网主机，检查是否被防火墙阻止。

4、模拟网络攻击（1）从外网主机发起端口扫描攻击，查看防火墙的响应和防护情况。

一、实训背景随着互联网技术的飞速发展，网络安全问题日益突出，防火墙作为网络安全的第一道防线，其重要性不言而喻。

为了提高网络安全防护能力，增强防火墙的使用技能，本次实训旨在通过理论学习和实际操作，使学员掌握防火墙的基本原理、配置方法及维护技巧。

二、实训目标1. 理解防火墙的基本原理和作用；2. 掌握防火墙的配置方法，包括规则设置、策略配置等；3. 学会防火墙的监控和维护技巧；4. 提高网络安全防护能力。

三、实训内容1. 防火墙基本原理防火墙是一种网络安全设备，它通过检查进出网络的数据包，对数据包进行过滤，以防止非法入侵和攻击。

防火墙主要分为两种类型：包过滤防火墙和应用层防火墙。

2. 防火墙配置方法（1）包过滤防火墙配置包过滤防火墙根据数据包的源IP地址、目的IP地址、端口号等信息，对数据包进行过滤。

配置包过滤防火墙主要包括以下步骤：1）创建接口：为防火墙创建内部接口和外部接口，分别对应内部网络和外部网络。

2）设置过滤规则：根据实际需求，设置允许或拒绝数据包通过的规则，如允许或拒绝特定IP地址、端口号等。

3）启用防火墙：将防火墙设置为启用状态，使其开始工作。

（2）应用层防火墙配置应用层防火墙对网络应用层的数据进行过滤，如HTTP、FTP、SMTP等。

配置应用层防火墙主要包括以下步骤：1）创建虚拟接口：为防火墙创建虚拟接口，用于连接内部网络和外部网络。

2）创建策略：根据实际需求，创建允许或拒绝特定应用层数据通过的策略。

3）绑定策略：将创建的策略绑定到虚拟接口上。

4）启用防火墙：将防火墙设置为启用状态，使其开始工作。

3. 防火墙监控和维护（1）监控防火墙状态：定期检查防火墙状态，确保防火墙正常运行。

（2）监控防火墙日志：查看防火墙日志，了解防火墙工作情况，及时发现并处理异常情况。

（3）更新防火墙规则：根据网络安全需求，定期更新防火墙规则，提高防火墙防护能力。

（4）备份防火墙配置：定期备份防火墙配置，以防系统故障导致数据丢失。

防火墙包过滤规则配置实验1、实验网络连接图192.168.1X.2Web Server202.198.3X.2 Mail Server192.168.1X.3192.168.2X.22、实验步骤步骤1：在防火墙上按照上图的要求对接口进行配置；步骤2：在防火墙上按下面安全策略的要求对包过滤规则进行配置：—允许LAN 上任何设备访问通过80端口访问DMZ中的Web Server;—允许LAN 上任何设备访问通过25和110端口访问DMZ中的Mail Server; —允许LAN 上任何设备访问通过ICMP协议访问DMZ中的任何设备;—允许LAN 上任何设备访问Internet;—允许Internet 上的任何设备通过80端口访问DMZ中的Web Server;—允许Internet 上的任何设备通过25和110端口访问DMZ中的Mail Server; —拒绝Internet 上的任何设备通过任何端口访问LAN；—拒绝Internet 上的任何设备通过其它任何端口访问DMZ；—拒绝DMZ 上的任何设备通过任何其它端口访问LAN和Internet；步骤3：测试网络路由的连通性：按照上述规则要求，用ping 、telnet和浏览器测试各设备之间的连通性。

防火墙静态地址转换（NAT）配置实验1、实验网络连接图192.168.1X.2Web Server202.198.3X.2 Mail Server192.168.1X.3192.168.2X.22、实验步骤步骤1：在防火墙上按照上图的要求对接口进行配置；步骤2：在防火墙上按下面静态地址转换要求进行配置：—允许Internet 上的任何设备通过IP为202.198.3X.100，端口为80访问DMZ 中的Web Server;—允许Internet 上的任何设备通过IP为202.198.3X.101，端口为25和110端口访问DMZ中的Mail Server;步骤3：测试网络路由的连通性：按照上述规则要求，用ping 、telnet和浏览器测试各设备之间的连通性。