标准实验报告(5)-防火墙设计实验

电子科技大学计算机科学与工程学院标准实验报告

（实验）课程名称计算机系统与网络安全技术

电子科技大学教务处制表

电子科技大学

实验报告

学生姓名：学号：指导教师：

实验地点：计算机学院大楼东307 实验时间：

一、实验室名称：安全实验室

二、实验项目名称：防火墙设计实验

三、实验学时：4学时

四、实验原理：

路由器对数据流的控制主要是通过设置Access list来实现（允许或拒绝通过）的。它是路由器中定义的一系列规则和策略的集合。路由器正是通过这些路由策略来限制数据包在网络中的流向和流量，从而起到“防火墙”的目的。

本实验在使用访问列表时定义了以下两个内容：

a．通过指定访问列表名和访问条件，建立访问列表。

b．将访问列表应用到端口。

五、实验目的：

了解防火墙安全技术原理与应用，掌握防火墙配置方案的制定与具体配置方法。在路由器上配置防火墙，以阻止某些地址的报文或某些协议的报文通过。

六、实验内容：

1、配置包裹滤防火墙，将硬件路由器配置成如下功能：内部网络通过Serial0访问Internet，局域网对外提供www、ftp和MS SQL数据库服务。

2、用扫描软件进行扫描测试，根据测试结果调整规则设置。

3、利用攻击软件在模拟广域网环境中进行测试，并能根据测试结果调整规则设置。

七、实验器材（设备、元器件）：

1、天工R1750路由器2台

2、交换机2台

3、PC机4台

4、背对背V3.5连线（DTE）1根

5、背对背V3.5连线（DCE）1根

6、直连网线6根

八、实验步骤：

1、按图9-1建立配置环境。

路由器

Console口

COM1口

PC机

图9-1 路由器配置线连接图

2、参照实验2的步骤，使用超级终端软件进行连接，按照以下顺序进行参数配置

每秒位数：9600

数据位：8

奇偶校验：无

停止位：1

数据流控制：无

3、在实验2的基础上进行防火墙配置

创建访问列表

用以下命令创建：ip access-list standard/extended name deny/permit {source[mask]|any}

将访问列表应用到端口

在接口配置模式下使用以下命令完成：ip access-group name in|out

扩展访问列表配置：

本次实验扩展访问列表配置为：允许任何新到的TCP与大于1023的目标端口连接；允许任何新来的TCP与主机192.168.1.1的SMTP连接。

ip access-list extended aaa

permit tcp any 192.168.1.1 255.255.255.0 gt 1023

permit tcp any 192.168.1.1 255.255.255.0 eq 25

interface fastethernet 1/0

ip access-group aaa in

注：小于指定的服务端口用关键字lt，大于服务端口gt，等于服务端口用关键字eq，不等于服务端口用关键字neq；协议号也可以任意指定。

九、实验数据及结果分析：

实验测试1：

配置防火墙之前，WEB服务器没有受到网络攻击时，一切正常。

WEB服务器受到攻击，其它机器无法访问。

配置防火墙以后，屏蔽攻击者所在网段的报文，服务器恢复正常。配置命令：进入config模式

Ip access-list standard aaa

Deny 192.168.1.0 255.255.255.0

Interface serial 1/0

Ip access-group aaa in