网络安全实验五-基于Windows的NAT防火墙实验

防火墙配置实验报告防火墙配置实验报告概述：防火墙是网络安全的重要组成部分，它可以帮助我们保护网络免受未经授权的访问和恶意攻击。

本实验旨在通过配置防火墙来加强网络的安全性，并测试其效果。

实验目标：1. 理解防火墙的基本概念和原理；2. 学习如何使用防火墙配置实现网络安全；3. 测试和评估防火墙的效果。

实验环境：本实验使用了一台运行Windows操作系统的计算机，并安装了一款功能强大的防火墙软件。

实验步骤：1. 防火墙配置前的准备工作在开始配置防火墙之前，我们需要了解一些网络的基本知识，包括IP地址、端口号、协议等。

这些知识将帮助我们更好地理解和配置防火墙。

2. 防火墙的安装和配置首先，我们需要下载并安装一款可靠的防火墙软件。

在安装完成后，我们需要对防火墙进行一些基本的配置，包括启用防火墙、设置默认策略等。

此外，我们还可以根据需要添加自定义规则，以实现更精细的访问控制。

3. 防火墙规则的配置防火墙规则是防火墙的核心组成部分，它决定了哪些流量可以通过防火墙，哪些流量需要被阻止。

在配置规则时，我们可以根据需要设置源IP地址、目标IP地址、端口号、协议等条件。

此外，我们还可以设置规则的动作，如允许、拒绝或丢弃。

4. 防火墙的测试和评估防火墙配置完成后，我们需要对其进行测试和评估。

我们可以使用一些网络工具和技术，如端口扫描、漏洞扫描等，来测试防火墙的效果。

同时，我们还可以通过监控日志和统计数据来评估防火墙的性能和可靠性。

实验结果：经过实验，我们成功地配置了防火墙，并测试了其效果。

防火墙能够有效地过滤和阻止未经授权的访问和恶意攻击，提高了网络的安全性。

同时，防火墙还能够帮助我们实现网络流量的控制和管理，提高网络的性能和可靠性。

结论：通过本次实验，我们深入了解了防火墙的基本原理和配置方法，并通过实际操作和测试验证了其效果。

防火墙是网络安全的重要手段之一，它能够帮助我们保护网络免受未经授权的访问和恶意攻击。

在今后的网络安全工作中，我们应该继续加强对防火墙的学习和应用，以确保网络的安全和稳定。

防火墙配置的实验报告防火墙配置的实验报告一、引言随着互联网的飞速发展，网络安全问题日益突出。

为了保障网络的安全性，防火墙作为一种重要的网络安全设备被广泛应用。

本实验旨在通过配置防火墙，探索其在网络安全中的作用和效果。

二、实验目的1. 了解防火墙的基本原理和工作机制；2. 学习防火墙的配置方法和技巧；3. 掌握防火墙的常见功能和策略。

三、实验环境1. 操作系统：Windows 10；2. 软件：VirtualBox虚拟机、Wireshark网络抓包工具；3. 网络拓扑：本地主机与虚拟机之间的局域网。

四、实验步骤1. 配置虚拟网络环境：在VirtualBox中创建两个虚拟机，分别作为内网主机和外网主机；2. 安装防火墙软件：在内网主机上安装并配置防火墙软件，如iptables；3. 配置防火墙规则：根据实际需求，设置防火墙的入站和出站规则；4. 测试防火墙效果：利用Wireshark工具进行网络抓包，观察防火墙对数据包的处理情况；5. 优化防火墙配置：根据实验结果，对防火墙规则进行调整和优化。

五、实验结果与分析通过实验，我们成功配置了防火墙，并设置了一些基本的规则。

在测试阶段，我们发现防火墙能够有效地过滤和阻止非法的网络连接请求，保护内网主机的安全。

同时，防火墙还能对数据包进行检测和修正，提高网络传输的可靠性和稳定性。

然而，在实验过程中我们也遇到了一些问题。

例如，由于防火墙的设置过于严格，导致某些合法的网络连接被误判为非法请求，造成了一定的影响。

因此，在优化防火墙配置时，我们需要根据实际情况进行细致的调整，以兼顾网络安全和正常通信的需要。

六、实验总结通过本次实验，我们深入了解了防火墙的配置和使用。

防火墙作为一种重要的网络安全设备，能够有效地保护网络免受攻击和入侵。

然而，防火墙的配置并非一蹴而就，需要根据实际需求进行不断优化和调整。

在今后的网络安全工作中，我们将进一步学习和探索防火墙的高级功能和策略，提升网络安全防护能力。

windows防火墙如何去设置nat有时候我想用windows防火墙来设置下nat，那么该怎么样去设置呢?下面由店铺给你做出详细的windows防火墙设置nat方法介绍!希望对你有帮助!windows防火墙设置nat方法一：1.先看防火墙有没有对你的bt放行，这一点不同的杀毒软件，不同的防火墙设置有不同的操作流程(其他原因的解决操作也是可能对应好几种，这也正是本问题的解决有无数种操作的原因)我用的xp自带的防火墙：开始——控制面板——windows防火墙(从安全中心也找得到)——例外，看里面有没有你的bt，有的话直接在前面打勾，没的话点添加程序，找到你的bt执行程序加上去。

2.如果你的防火墙设置没有问题的话，一定是你的监听端口映射没有弄对，如果你的bt软件是bitcomet,最简单的解决办法——简单得让你惊讶:打开你的bt——选项——网络连接，点监听端口那一项的“选择随机端口”，bt软件会帮你自动检测并选择一个合适的。

你是动态ip的话可能每次重新上网后都需要这样点一下。

总的来讲，虽然实际原因可能各有不同，但从原理上来讲只有一个，就是你的bt端口有没有被连出去。

所以如果你用的其他bt软件也可照此依样画葫芦。

windows防火墙设置nat方法二：更认识NAT技术我先解所涉及几概念1.内部局部址内部网配主机IP址址能网络信息(NIC)或服务提供商所配合IP址2.内部全局址合IP址(由NIC或服务供应商配)应外部世界或本IP 址3.外部局部址现网络内外部主机IP址定合址内部网路由址空间进行配4.外部全局址由主机拥者外部网配给主机IP址该址全局路由址或网络空间进行配图1展示NAT相关术语图解于NAT技术提供4种翻译址式所示1.静态翻译内部局部址内部全局址间建立映射2.态翻译内部局部址外部址池间建立种映射3.端口址翻译超载内部全局址通允许路由器局部址配全局址局部址映射全局址某端口称端口址翻译(PAT)4.重叠址翻译翻译重叠址内部网使用内部局部址与另外内部网址相同通翻译使两网络连接通信保持实际使用通需要几种翻译式配合使用现我见Cisco路由器例阐述典型应用NAT技术实现1.配置共享IP址应用需求：您需要允许内部用户访问Internet没足够合IP址使用配置共享IP址连接InternetNAT转换式图2配置内部网络10.10.10.0/24通重载址172.16.10.1./24访问外部网络全程外部址利用态翻译进行转换做说明清单1展示具体配置NAT路由器配置清单1interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.10.64 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24!-- 定义名ovrldNAT址池址池重址172.16.10.1ip nat inside source list 1 pool ovrld overload!--指 access-list 1 允许源址转换NAT址池ovrld址并且转换内部机器重载相同IP址access-list 1 permit 10.10.10.0 0.0.0.31!-- Access-list 1 允许址10.10.10.010.10.10.255进行转换NAT路由器配置清单2interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.20.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static 10.10.10.1 172.16.20.1!-- 指定址10.10.10.1静态转换172.16.20.1适用范围：种情况适合于通信都由内部用户向Internet发起应用例型企业用户通共享xDSL连接Internet另外用软件进行NAT转换Windows 2000操作系统功能至于内部用户数量较情况建议使用代理服务器2.配置Internet发布服务器应用需求：您需要内部设备发布Internet使用配置Internet发布服务器NAT转换式图3内部网络邮件服务器(IP址10.10.10.1/24)发布外部网络全程使用静态翻译实现种转换清单2展示具体配置适用范围：种情况适合于访问外部网络向内部设备发起应用3.配置端口映射应用需求：假设您Internet发布台内部网络Web服务器服务器配置监听8080端口您需要外部网络Web服务器80端口访问请求重定向图4配置端口映射示意图清单3展示具体配置4.配置TCP传输应用需求：TCP传输装载共享与址匮乏关问题数设备址映射虚拟设备址实现设备间负载均衡图5址10.10.10.210.10.10.15真实设备映射虚拟10.10.10.1址全程清单4展示具体配置5.真实应用案例应用需求：笔者所单位内部局域网已建并稳定运行着各种应用系统随着业务发展需要实施数据外单位新应用于安全面考虑能够现网络结构进行调整改;另外由于资金面原需要尽能节省设备等面投入应用现状：我单位内部网结构：具3VLANVLAN 1(即10.1.1.X)使用单位内部应用系统与数据没数据交换;VLAN 2(即10.2.2.X)使用数据提供应用系统约100台机器;VLAN 3(即10.3.3.X)用2台机器使用数据提供应用别10.3.3.110.3.3.2数据提供台Cisco 3640Serial口与数据通HDSL连接配址别192.168.252.1255.255.255.252FastEthernet口与单位内部局域网连接配址别192.168.1.0255.255.255.0实施案：由于打算更改内部网结构所内部网址作内部局部址数据配址作内部全局址实施NAT应用另外NAT需要两端口做inside另做outside考虑使用FastEthernet口做insideSerial口做outside图6 本单位NAT技术应用图利用设置我功实现内部址翻译转换并实现改变现网络结构情况与数据连网目标三、比较选择1.与代理服务器比较用户经NAT代理服务器相混淆NAT设备源机器目标机器都透明址翻译网络边界进行代理服务器透明源机器知道需要通代理服务器发请求且需要源机器做相关配置目标机器则代理服务器发请求源机器并数据直接发送代理服务器由代理服务器数据转发源机器NAT路由器配置清单3interface ethernet 0ip address 10.10.10.254 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 172.16.30.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80 !-- 指定址10.10.10.8:8080静态转换172.16.30.8:80NAT路由器配置清单4interface ethernet 0ip address 10.10.10.17 255.255.255.0ip nat inside!-- 定义内部转换接口interface serial 0ip address 10.10.10.254 255.255.255.0ip nat outside!-- 定义外部转换接口ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts !--定义址池real-hosts址范围10.10.10.210.10.10.15!--指定址址池real-hosts转换10.10.10.1access-list 1 permit 10.10.10.1代理服务器工作OSI模型第4层传输层NAT则工作第3层网络层由于高层协议比较复杂通说代理服务器比NAT要慢些NAT比较占用路由器CPU资源加NAT隐藏IP址跟踪起比较困难利于管理员内部用户外部访问跟踪管理审计工作所NAT技术适用于内部用户数量较少应用访问外部网络用户数量且管理员内部用户访问策略设置访问情况跟踪应用使用代理服务器较些NAT路由器配置清单5interface fastethernet 1/0ip nat inside!-- 定义内部转换接口interface serial 0/0ip address 192.168.252.1 255.255.255.252ip address 192.168.1.254 255.255.255.0 secondaryip nat outside!-- 节省端口数据提供址全部绑Serial口ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24ip nat inside source list 1 pool ToCenter!-- 建立态源址翻译指定前步定义访问列表access-list 1 permit 10.3.3.1access-list 1 permit 10.3.3.2access-list 1 permit 10.2.2.0 0.0.0.255!-- 定义标准访问列表允许访问数据址进行翻译2.与防火墙比较防火墙或组安全系统网络间执行访问控制策略防火墙流经网络通信数据进行扫描能够滤掉些攻击免其目标计算机执行防火墙关闭使用端口禁止特定端口流通信封锁特洛伊木马等禁止自特殊站点访问防止自明入侵者所通信般防火墙都具NAT功能或者能NAT配合使用应用防火墙技术NAT 技术别IP址隐藏起外界发现使外界直接访问内部网络设备作网络安全重要手段选用单纯NAT技术带NAT技术防火墙要几面考虑：您企业运营机构何运用访问控制策略明确拒绝除于连接网络至关重服务外所服务访问提供种计量审计;二您企业网需要何种程度监视、冗余度及控制水平;三则财务考虑高端完整防火墙系统十昂贵否采用防火墙需要易用性、安全性预算间做平衡决策四、安全安全我几面窥视NAT技术安全性问题1.NAT址进行转换进行其操作您建立与外部网络连接NAT阻止任何外部返恶意破坏信息2.虽NAT隐藏端端IP址并隐藏主机信息例您通NAT设备访问Windows Streaming Media服务器您发现服务器记录仅您主机名您内部IP址操作系统3.Internet恶意攻击通针机器熟知端口HTTP80端口、FTP21端口POP110端口等虽NAT屏蔽向外部网络放端口针面向熟知端口攻击能力4.许NAT设备都记录外部网络内部网络连接使您受自外部网络攻击由于没记录追查您根本发觉自受攻击NAT隐藏内部IP址使其具定安全性面析我知道能NAT作网络单安全防范措施。

防火墙实验报告一、实验目的随着网络技术的飞速发展，网络安全问题日益凸显。

防火墙作为一种重要的网络安全设备，能够有效地保护内部网络免受外部网络的攻击和非法访问。

本次实验的目的在于深入了解防火墙的工作原理和功能，掌握防火墙的配置和管理方法，通过实际操作提高网络安全防护能力。

二、实验环境本次实验在实验室环境中进行，使用了以下设备和软件：1、计算机若干台，操作系统为 Windows 10。

2、防火墙设备：Cisco ASA 5506-X。

3、网络拓扑模拟软件：Packet Tracer。

三、实验原理防火墙是位于计算机和它所连接的网络之间的软件或硬件。

其主要功能是根据预定的安全策略，对网络流量进行过滤和控制，阻止未经授权的访问和恶意攻击。

防火墙可以基于数据包的源地址、目的地址、端口号、协议类型等信息进行过滤，同时还可以实现网络地址转换（NAT）、虚拟专用网络（VPN）等功能。

四、实验步骤1、网络拓扑搭建使用 Packet Tracer 软件搭建如下网络拓扑：内部网络包含一台服务器（Web Server）和多台客户端计算机（Client），通过防火墙连接到外部网络（Internet）。

2、防火墙基本配置（1）通过 Console 线连接到防火墙，进入配置模式。

（2）配置防火墙的主机名、管理接口的 IP 地址和子网掩码。

（3）设置特权模式密码和远程登录密码。

3、接口配置（1）配置防火墙的内部接口（Inside）和外部接口（Outside）的 IP 地址和子网掩码。

（2）将接口分配到相应的安全区域（Security Zone），如 Inside 区域和 Outside 区域。

4、访问控制列表（ACL）配置（1）创建一个名为“Inside_To_Outside_ACL”的访问控制列表，允许内部网络的客户端访问外部网络的 HTTP（端口 80）和 HTTPS（端口 443）服务。

（2）应用访问控制列表到外部接口的出站方向（Outbound）。

网络安全课程实验指导手册——05 防火墙技术学生实验指导手册第1章课程说明课程名称：防火墙技术课程安排：理论4学时实验6学时（实验中，加强理论知识）实验目的：熟悉TCP/IP协议、配置与使用防火墙实验规模：6-8人一组实验器材（每组）：2台三层交换机1台天清汉马USG一体化网关终端计算机（若干）网线若干（在非千兆网卡情况下，pc和防火墙直连的需要交叉线。

）实验软件：windows XP以上操作系统2台web服务器(IIS或Apache等)，并开启terminal server。

实验拓扑：PC1:192.168.1.1/24 GW:192.168.1.254PC2:192.168.2.2/24GW:192.168.2.254PC3:192.168.3.3/24GW:192.168.3.254内部网络：192.168.1.0/24、192.168.2.0/24、192.168.3.0/24为内网，连接三层交换机的三个VLAN，三个VLAN对应的地址为192.168.1.254/24、192.168.2.254/24和192.168.3.254/24，三层交换机启用路由模式，确保VLAN之间的通讯，并设置路由指向防火墙192.168.1.250/24。

防火墙的ETH0口接入三层交换机的VLAN1。

*注：通常情况下，防火墙的eth0和内网的三层交换机之间再启用一个独立的VLAN，设置2个30位掩码的网络地址进行互联，避免192.168.1.0/24网段大量的arp广播发送到防火墙，这里为了方便实验，将防火墙的内网接口直接接入VLAN1。

DMZ区：172.16.0.0/24为DMZ区，配置2台web服务器，分别接入防火墙的eth2和eth3接口。

模拟的互联网：设置一台三层交换机，启用路由模式，划分2个VLAN，分别为VLAN1和VLAN20，保障2个VLAN之间能通讯。

61.0.0.2/29模拟为互联网上的一台主机。

实验：防火墙配置与NAT配置一、实验目的学习在路由器上配置包过滤防火墙和网络地址转换（NAT）二、实验原理和内容1、路由器的基本工作原理2、配置路由器的方法和命令3、防火墙的基本原理及配置4、NAT的基本原理及配置三、实验环境以及设备2台路由器、1台交换机、4台Pc机、双绞线若干四、实验步骤（操作方法及思考题）{警告：路由器高速同异步串口（即S口）连接电缆时，无论插拔操作，必须在路由器电源关闭情况下进行；严禁在路由器开机状态下插拔同/异步串口电缆，否则容易引起设备及端口的损坏。

}1、请在用户视图下使用“reset saved-configuration”命令和“reboot”命令分别将两台路由器的配置清空，以免以前实验留下的配置对本实验产生影响。

2、在确保路由器电源关闭情况下，按图1联线组建实验环境。

配置IP地址，以及配置PC A 和B的缺省网关为202.0.0.1，PC C 的缺省网关为202.0.1.1，PC D 的缺省网关为202.0.2.1。

202.0.0.2/24202.0.1.2/24192.0.0.1/24192.0.0.2/24202.0.0.1/24202.0.1.1/24S0S0E0E0202.0.0.3/24202.0.2.2/24E1202.0.2.1/24AR18-12AR28-11交叉线交叉线A BCD图 13、在两台路由器上都启动RIP ，目标是使所有PC 机之间能够ping 通。

请将为达到此目标而在两台路由器上执行的启动RIP 的命令写到实验报告中。

（5分）AR28-11[Quidway]interface e0/0[Quidway-Ethernet0/0]ip address 202.0.1.1 255.255.255.0 [Quidway-Ethernet0/0]interface ethernet0/1[Quidway-Ethernet0/1]ip address 202.0.2.1 255.255.255.0 [Quidway-Ethernet0/1]interface serial0/0[Quidway-Serial0/0]ip address 192.0.0.2 255.255.255.0 [Quidway-Serial0/0]quit [Quidway]rip[Quidway-rip]network 0.0.0.0 AR18-12[Router]interface e0[Router -Ethernet0]ip address 202.0.0.1 255.255.255.0 [Router -Ethernet0]interface s0[Router - Serial0]ip address 192.0.0.1 255.255.255.0 [Router -Ethernet0]quit [Router]rip[Router -rip]network all4、在AR18和/或AR28上完成防火墙配置，使满足下述要求：（1） 只有PC 机A 和B 、A 和C 、B 和D 之间能通信，其他PC 机彼此之间都不能通信。

1、实验拓扑图：2、实验要求：路由器之间连接的是Internet，其余为私网，各个设备所属网段及IP地址如图所示，要求E328交换机充当路由器，Router1上配置单臂路由，Router0和Router1的Serial0/0接口上启用NAT。

通过配置防火墙达到：(1)学生机(PC1所处网段)的计算机在每天的12:00到14:00时间段不能访问外网，但可以访问Ftp服务器(2)PC1和PC2所处网段的计算机仅可以访问Ftp服务器的Ftp服务(3)外网可以访问Www服务器，但是不可以ping (4)PC3可以访问Ftp服务器的Ftp服务3、实验步骤：(1)基本配置：#E328的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 1/0/2[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 1/0/3[H3C-vlan3]vlan 4[H3C-vlan4]port Ethernet 1/0/24[H3C-vlan4]quit[H3C]interface vlan-interface1[H3C-interface-vlan1]ip address 192.168.0.1 24[H3C-interface-vlan1]interface vlan-interface2[H3C-interface-vlan2]ip address 192.168.1.1 24[H3C-interface-vlan2]interface vlan-interface3[H3C-interface-vlan3]ip address 192.168.2.1 24[H3C-interface-vlan3]interface vlan-interface4[H3C-interface-vlan4]ip address 192.168.3.1 24[H3C-interface-vlan4]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.3.2#Router0的配置[H3C]interface Ethernet 0/0[H3C-e0/0]ip address 192.168.3.2 24[H3C-e0/0]interface serial 0/0[H3C-s0/0]ip address 202.102.0.1 24[H3C-s0/0]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.2#Router1的配置[H3C]interface serial 0/0[H3C-s0/0]ip address 202.102.0.2 24[H3C-s0/0]interface Ethernet 0/0.1[H3C-e0/0.1]ip address 192.168.4.1 24[H3C-e0/0.1]vlan-type dot1q vid 2[H3C-e0/0.1]interface Ethernet 0/0.2[H3C-e0/0.2]ip address 192.168.5.1 24[H3C-e0/0.2]vlan-type dot1q vid 3[H3C-e0/0.2]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 202.102.0.1#S2126的配置[H3C]vlan 2[H3C-vlan2]port Ethernet 0/1[H3C-vlan2]vlan 3[H3C-vlan3]port Ethernet 0/2[H3C-vlan3]quit[H3C]interface Ethernet 0/24[H3C-e0/24]port link-type trunk[H3C-e0/24]port trunk permit vlan all(2)NAT的配置#Router0的配置[H3C]nat address-group 202.102.0.5 202.102.0.6 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.5 inside 192.168.2.2 ftp tcp #Router1的配置[H3C]nat address-group 202.102.0.7 202.102.0.9 pool1[H3C]acl number 2000[H3C-acl-basic-2000]rule permit source any[H3C-acl-basic-2000]quit[H3C]interface serial 0/0[H3C-s0/0]nat outbound 2000 address-group pool1[H3C-s0/0]nat server global 202.102.0.7 inside 192.168.5.2 www tcp[H3C-s0/0]nat static 192.168.4.2202.102.0.8(3)ACl的配置#Router0的配置[H3C]time-range a 12:00 to 16:00 daily[H3C]acl number 2000[H3C-acl-basic-2000]rule deny source 192.168.0.0 0.0.0.255 time-range a#E328的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule permit tcp source any destination 192.168.2.2 0 destination-port equal ftp[H3C-acl-adv-3000]rule permit tcp source202.102.0.8 0 destination 192.168.2.2 0 destination-port equal ftp#Router1的配置[H3C]acl number 3000[H3C-acl-adv-3000]rule deny icmp source any destination 192.168.5.2 0(4)将ACL应用到接口#Router0的配置[H3C]firewall enable[H3C]interface Ethernet 0/0[H3C-e0/0]firewall packet-filter 2000 inbound#Router1的配置[H3C]firewall enable[H3C]interface serial 0/0[H3C-s0/0]firewall packet-filter 3000 inbound#E328的配置[H3C]interface Ethernet 1/0/3[H3C-e1/0/3]packet-filter inbound ip-group 3000 rule 04、实验结论：1、PC1PC2pingWWW服务器结果显示目的主机不可达2、PC1在12:00到16:00之间不可以访问WWW服务器，不在此时间段内，PC1可以访问www服务器。

使用防火墙实现安全NAT【实验名称】使用防火墙实现安全NAT【实验目的】利用防火墙的安全NAT功能实现网络地址转换及访问控制【背景描述】某企业网络的出口使用了一台防火墙作为接入Internet的设备，并且内部网络使用私有IP地址（RFC 1918）。

现在需要使用防火墙的安全NAT 功能使内部网络中使用私有地址的主机访问Internet资源，并且还需要进行访问控制，只允许必要的流量通过防火墙。

企业内部网络使用的私有地址段为10.1.1.0/24、10.1.2.0/24、10.1.3.0/24。

公司领导使用的子网为10.1.1.0/24，设计部使用的子网为10.1.2.0/24，其他员工使用的子网为10.1.3.0/24。

并且公司在公网上有一台IP地址为200.1.1.1的外部FTP服务器。

现在需要在防火墙上进行访问控制，使经理的主机可以访问Internet中的Web服务器和公司的外部FTP服务器，并能够使用邮件客户端（SMTP/POP3）收发邮件；设计部的主机可以访问Internet中的Web服务器和公司的外部FTP服务器；其他员工的主机只能访问公司的外部FTP服务器。

【需求分析】企业网络需要将使用私有编址的内部网络能够访问Internet，并且对内部网络到达Internet的流量进行限制，防火墙的安全NAT功能可以同时满足这两个需求。

【实验拓扑】【实验设备】防火墙连接到Internet的链路防火墙1台路由器1台PC 3台FTP服务器1台【预备知识】网络基础知识防火墙基础知识【实验原理】实现安全的NAT地址转换是防火墙的基本功能，防火墙的安全NAT规则可以根据数据包的源IP地址、目的IP地址、服务（端口号）等对通过防火墙的报文进行检测，并进行必要的地址转换。

【实验步骤】第一步：配置防火墙接口的IP地址进入防火墙的配置页面：网络配置—>接口IP，单击<添加>按钮为接口添加IP地址。

实验序号： 3《信息安全技术》实验报告实验名称：基于Windows的NAT防火墙实验姓名：张德磊学院：计算机科学与工程学院专业：物联网工程班级：物联网131学号：092313121指导教师：乐德广实验地址：N6-106实验日期：2015.11.20实验4.2 基于Windows的NAT防火墙实验1．回答实验目的中的思考题2．防火墙在网络安全中提供哪些网络安全服务？机密性、完整性和可用性3．防火墙技术有哪些？NAT网络地址转换技术、包过滤技术、代理服务技术和状态监测技术4．防火墙体系结构有哪些？屏蔽路由器、双重宿主主机体系结构、屏蔽主机体系结构和被屏蔽子网体系结构5．NAT防火墙工作在哪一层？网络层6．NAT防火墙的作用？使得内部网的拓扑结构及地址信息对外成为不可见或不确定信息，从而保证内部网中主机的隐蔽性，使绝大多数攻击性的试探失去所需的网络条件，达到网络安全的目的。

7．本次实验中属于哪些防火墙体系结构，它使用了哪些防火墙技术？Windows的NA T防火墙8．简单说明Windows NAT防火墙的实现步骤实验步骤1.建立实验环境如图1.1所示外网与防火墙的连接已建立图1.1 如图1.2所示内网与防火墙已建立连接。

图1.22.安装Windows NA T防火墙如图2.1所示对NAT防火墙的配置图2.1 4.过滤外网主机如图2.2所示2.2 5.动态NAT配置如图2.3所示2.4不添加其他地址6.在内网中提供FTP服务如图2.4所示2.47.禁止Ping NAT防火墙如图2.5所示：2.58.WindowsNAT防火墙测试如图2.6-2.10所示：2.6 内网ping学校内网(通)2.7 内网pingQQ（不同）2.8 外网ping防火墙（不通）2.9 浏览器打开QQ访问不了2.10外网主机访问内网FTP服务器测试2.11外网主机访问内网FTP服务器测试实验总结和分析实验调查1．实验难易程度： C（A）容易；（B）恰当；（C）偏难；（D）很难2．实验内容兴趣程度： B（A）没兴趣；（B）有兴趣；（C）很有兴趣3．你对本次实验内容的看法，并对本次实验提出你的建议。

一：基本网络top搭建配置动态nat，实现网段10.0.0.0进行地址转换后访问172.16.1.1注意：Host1和Host2都要设置网管，其中Host2设置网管是为了后续的测试。

1：r1路由器端口ip的配置R1#configure terminalR1(config)#interface loop0R1(config-if)#ip address 10.1.1.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#int loop1R1(config-if)#ip address 10.2.2.2 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exitR1(config)#interface fastEthernet 0/0R1(config-if)#ip address 10.3.3.1 255.255.255.0R1(config-if)#no shutdownR1(config-if)#exit2：配置asa各个端口ciscoasa> enablePassword:ciscoasa# configure terminalciscoasa(config)# interface ethernet 0/0ciscoasa(config-if)# ip address 10.3.3.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif insideciscoasa(config-if)# security-level 100ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/1ciscoasa(config-if)# ip address 172.16.1.2 255.255.255.0ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif outsideciscoasa(config-if)# security-level 0ciscoasa(config-if)# exitciscoasa(config)# interface ethernet 0/2ciscoasa(config-if)# ip address 192.168.100.2 255.255.255.0 ciscoasa(config-if)# no shutdownciscoasa(config-if)# nameif dmzciscoasa(config-if)# security-level 50ciscoasa(config-if)# exitciscoasa(config)#3：配置各个主机的ip地址在R1上的loop0和loop1模拟两台主机PC1和PC2，使用两个虚拟机PC3做dmz区域的主机，PC4做internet中的主机在PC3上部署web服务4：配置r1的路由R1(config)#ip route 0.0.0.0 0.0.0.0 10.3.3.25：配置asa的路由ciscoasa(config)# route inside 0 0 10.3.3.16：允许ping报文ciscoasa(config)# access-list 110 permit icmp any anyciscoasa(config)# access-group 110 in int outsideciscoasa(config)# access-group 110 in int dmz一：在asa上配置动态nat，对10.1.1.0网段的地址进行转换ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200再用1访问4（能ping通，被nat转换了源ip地址）ciscoasa(config)# show xlate detail发现有地址映射条目将1的ip改为10.1.1.10，再访问ciscoasa(config)# show xlate detail发现多出一项地址映射条目如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ASA(config)#access-list in-dmz extended permit ip 10.1.1.0 255.255.255.0 192.168.100.0 255.255.255.0ASA(config)# nat (inside) 2 access-list in-dmzASA(config)# global (dmz) 2 192.168.100.100-192.168.100.200####开始####动态NAT#########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-poolciscoasa(config-network-object)# range 172.16.1.100 172.16.1.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-poolciscoasa(config-network-object)#如果要求配置动态NAT实现网段10.1.1.0/24访问DMZ区的主机PC3时也进行地址转换，NA T地址池为192.168.100.100－192.168.100.200 ，则配置方法如下：ciscoasa(config)# object network dmz-poolciscoasa(config-network-object)# range 192.168.100.100 192.168.100.200ciscoasa(config-network-object)# exitciscoasa(config)# object network inside2ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,dmz) dynamic dmz-poolciscoasa(config-network-object)# exit######结束#################################################################################二：动态PAT1：先把第一个实验中的相关语句删除掉，并清空nat缓存ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)#no global (outside) 1 172.16.1.100-172.16.1.200ciscoasa(config)# clear xlate detail2：配置动态patciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.200用a去访问dciscoasa(config)# show xlate detail修改1的ip后再访问一次ciscoasa(config)# show xlate detail对比得到的结果和上一实验的区别####开始###动态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################三：静态nat1：先把上一个实验的相关语句删掉ciscoasa(config)# no global (outside) 1 172.16.1.100ciscoasa(config)# no nat (inside) 1 10.1.1.0 255.255.255.02：配置静态natciscoasa(config)# static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside3：用d访问c（访问映射过后的地址172.16.1.201）用Host2访问DMZ区域的web服务，要方位映射的地址172.16.1.201ciscoasa(config)# show xlate detail再用4访问3的原地址192.168.100.1，发现不通####开始###静态NAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# access-list 100 permit ip any host 192.168.100.1######结束#################################################################################重要注意：老版本要让acl允许外网访问nat出去的外网公有ip地址ciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201新版本要让acl允许外网访问nat前的内网私有ip地址ciscoasa(config)# access-list 100 permit ip any host 192.168.100.1四：静态pat1：为dmz区域的主机安装iis服务，搭建web网站2：删除上个实验的相关语句ciscoasa(config)# no access-group out-to-dmz in int outsideciscoasa(config)# no static (dmz,outside) 172.16.1.201 192.168.100.1ciscoasa(config)# no access-list out-to-dmz permit ip any host 172.16.1.2013：配置静态patciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 http 192.168.100.1 httpciscoasa(config)# static (dmz,outside) tcp 172.16.1.201 smtp 192.168.100.2 smtpciscoasa(config)# access-list out-to-dmz permit ip any host 172.16.1.201ciscoasa(config)# access-group out-to-dmz in int outside4：用4访问3的网站http://172.16.1.201####开始###静态PAT##########以下是新版本ASA（8.4及以后）防火墙的配置############################ciscoasa(config)# object network dmz1ciscoasa(config-network-object)# host 192.168.100.1ciscoasa(config-network-object)# nat (dmz,outside) static 172.16.1.200 service tcp 80 8080ciscoasa(config-network-object)# exitciscoasa(config)#######结束#################################################################################五：nat控制（清空前面的nat）注意前面的配置中在outside接口的in方向上我们应用过其他的acl，因此方形icmp的acl就失效了，一定要检查一下，把原来的110号acl应用到outside的in方向，否则ping的测试会ping不通1：用1和2访问4，都可以访问R1#ping 172.16.1.1 source 10.1.1.1R1#ping 172.16.1.1 source 10.2.2.22：启用nat控制ciscoasa(config)# nat-control测试发现都不通了配置acl规则ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0ciscoasa(config)# global (outside) 1 172.16.1.100-172.16.1.200用1访问4，可以访问用2访问4，无法访问3：为10.2.2.0网段配置nat豁免ciscoasa(config)# access-list nonat extended permit ip 10.2.2.0 255.255.255.0 172.16.1.0 255.255.255.0ciscoasa(config)# nat (inside) 0 access-list nonat再次用2访问4的共享，发现可以访问如果希望4访问2ciscoasa (config)# access-list out_to_in permit ip 172.16.1.0 255.255.255.0 10.2.2.0 255.255.255.0ciscoasa (config)# access-group out_to_in in int outside####开始###NAT控制##########以下是新版本ASA（8.4及以后）防火墙的配置############################开启nat控制（针对inside到outside）ciscoasa(config)# object network out-0.0.0.0ciscoasa(config-network-object)# host 0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)# object network inside-0.0.0.0ciscoasa(config-network-object)# subnet 0.0.0.0 0.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic out-0.0.0.0ciscoasa(config-network-object)# exitciscoasa(config)#nat豁免（针对inside到outside）ciscoasa(config)# object network outside-patciscoasa(config-network-object)# host 172.16.1.100ciscoasa(config-network-object)# exitciscoasa(config)# object network inside1ciscoasa(config-network-object)# subnet 10.0.0.0 255.0.0.0ciscoasa(config-network-object)# nat (inside,outside) dynamic outside-patciscoasa(config-network-object)# exit######结束#################################################################################。

nat配置实验报告一、实验目的本次实验的主要目的是深入了解和掌握网络地址转换（NAT）的配置方法和工作原理，通过实际操作，实现不同网络之间的地址转换，提高网络的安全性和可扩展性。

二、实验环境1、操作系统：Windows Server 20192、网络设备：Cisco 路由器3、模拟软件：Packet Tracer三、实验原理NAT（Network Address Translation）即网络地址转换，是一种将私有 IP 地址转换为公有 IP 地址的技术。

其主要作用包括：1、解决 IPv4 地址短缺问题：通过多个私有地址共用一个公有地址进行网络通信，节省了公有地址资源。

2、增强网络安全性：隐藏内部网络的拓扑结构和私有 IP 地址，降低了来自外部网络的攻击风险。

NAT 主要有三种类型：1、静态 NAT：将一个私有 IP 地址永久映射到一个公有 IP 地址。

2、动态 NAT：将一组私有 IP 地址动态映射到一组公有 IP 地址。

3、端口地址转换（PAT）：也称为 NAT 重载，通过端口号区分不同的私有 IP 地址与公有 IP 地址的映射关系。

四、实验步骤1、打开 Packet Tracer 软件，创建网络拓扑结构。

包括一个内部网络、一个外部网络和一台执行 NAT 功能的路由器。

2、配置内部网络的 IP 地址和子网掩码。

为内部网络中的主机分配私有 IP 地址，例如 19216811 192168110 ，子网掩码为 2552552550 。

3、配置外部网络的 IP 地址和子网掩码。

为外部网络中的主机分配公有 IP 地址，例如 20210011 ，子网掩码为 2552552550 。

4、配置路由器的接口 IP 地址。

为连接内部网络的接口配置私有 IP 地址，为连接外部网络的接口配置公有 IP 地址。

5、配置静态 NAT 。

选择一个内部主机（例如 19216811 ），将其私有 IP 地址静态映射到一个公有 IP 地址（例如 20210012 ）。

第1篇一、实验目的本次实验旨在通过实际操作，了解和掌握网络防护技术的基本原理和方法，提高网络安全防护能力。

实验内容主要包括防火墙、入侵检测系统、病毒防护、安全审计等方面的技术。

二、实验环境1. 硬件环境：实验机（服务器、PC等）、交换机、路由器等网络设备；2. 软件环境：操作系统（Windows Server、Linux等）、防火墙软件、入侵检测系统软件、病毒防护软件、安全审计软件等。

三、实验内容1. 防火墙配置与测试（1）配置防火墙策略：根据实验需求，设置允许和拒绝访问的规则，包括源地址、目的地址、端口号、协议类型等。

（2）测试防火墙策略：通过模拟攻击，测试防火墙策略是否能够有效阻止攻击。

2. 入侵检测系统配置与测试（1）配置入侵检测系统：设置检测规则，包括攻击类型、检测阈值等。

（2）测试入侵检测系统：模拟攻击，观察入侵检测系统是否能够及时报警。

3. 病毒防护配置与测试（1）配置病毒防护软件：设置病毒库更新策略、扫描策略等。

（2）测试病毒防护软件：通过模拟病毒攻击，测试病毒防护软件是否能够有效阻止病毒传播。

4. 安全审计配置与测试（1）配置安全审计系统：设置审计规则，包括审计对象、审计内容、审计周期等。

（2）测试安全审计系统：模拟攻击，观察安全审计系统是否能够记录攻击行为。

四、实验步骤1. 防火墙配置与测试（1）在实验机上安装防火墙软件，如iptables。

（2）根据实验需求，编写防火墙规则，允许或拒绝特定IP地址、端口号、协议类型的访问。

（3）使用ping、telnet等工具测试防火墙策略，验证规则是否生效。

2. 入侵检测系统配置与测试（1）在实验机上安装入侵检测系统软件，如Snort。

（2）设置检测规则，包括攻击类型、检测阈值等。

（3）模拟攻击，观察入侵检测系统是否能够及时报警。

3. 病毒防护配置与测试（1）在实验机上安装病毒防护软件，如ClamAV。

（2）设置病毒库更新策略、扫描策略等。

实验五配置防火墙• 4.1 教学要求理解：防火墙的概念与功能、入侵检测技术的概念与功能、入侵防御的概念与功能。

掌握：防火墙部署的结构类型、网络安全态势感知技术。

了解：防火墙的应用场景、入侵检测的应用场景、网络防御技术的应用。

• 4.2教学实践本节介绍配置高级安全 Windows Defender 防火墙。

虽然有很多商业的防火墙软件可以对用户主机加以防护，但大多数情况下，Windows操作系统自带的防火墙功能足够强大，可以支持用户基本的安全需要。

Windows Defender防火墙是基于状态的主机防火墙，可以对IPv4和IPv6流量按规则进行筛选过滤，除此之外，它还可以指定端口号、应用程序名称、服务名称或其他标准来对允许通过的业务流量进行配置。

（1）通过打开Windows控制面板里搜索“防火墙”，或者在“配置”功能里搜索“防火墙”，可以打开Windows Defender防火墙功能，如图4-6所示。

点击“高级设置”按钮，可以进入到高级安全WindowsDefender防火墙功能。

图4-6 Windows Defender防火墙（2）进入“高级安全的 Windows 防火墙”后，其窗口左侧提供了相关“高级安全的 Windows Defender防火墙”的选项功能列表，包括“入站规则”、“出站规则”、“连接安全规则”和“监视”等功能，如图4-7所示。

图4-7 高级安全Windows Defender防火墙配置界面（3）通过出站规则限制特定的程序访问互联网。

在高级安全Windows Defender防火墙配置界面上，点击出站规则，在界面右侧选择“新建规则”，进入到“新建出站规则向导”功能，如图4-8所示。

图4-8选择新建出站规则的类型以限制QQ访问互联网为例，在没有进行限制前，QQ软件可以成功登陆。

现在通过Windows Defender防火墙功能，把QQ软件的出站访问进行限制，即限制QQ主程序访问互联网，如图4-9所示，将QQ.exe的程序路径加入。

基于防火墙的网络安全实验网络安全是当今社会中不可忽视的重要领域。

随着互联网的快速发展和广泛应用，网络安全问题越来越受到重视。

在这个背景下，防火墙作为一种常见的网络安全设备，起到了关键的保护作用。

本文将探讨基于防火墙的网络安全实验。

一、实验目的网络安全实验的目的在于通过对防火墙的设置和配置，了解其基本原理和功能，并验证防火墙在网络安全方面的作用。

二、实验环境1.硬件环境：一台运行Windows操作系统的计算机；2.软件环境：网络安全实验平台、虚拟机软件、网络安全软件。

三、实验过程1.搭建实验环境：a.安装虚拟机软件，并创建两个虚拟机，分别命名为内部主机和外部主机；b.配置虚拟机网络连接，保证内部主机和外部主机可以相互通信；c.在内部主机上安装网络安全实验平台，用于模拟网络攻击和防护；d.在内部主机上安装防火墙软件，如iptables或Windows防火墙。

2.设置防火墙规则：a.进入防火墙软件的配置界面，选择“设置规则”；b.根据实验需求，设置防火墙规则，例如只允许特定的IP地址访问内部主机，屏蔽恶意的攻击流量等；c.保存配置并启动防火墙，确保规则生效。

3.实施网络安全实验：a.利用网络安全实验平台模拟外部主机对内部主机的攻击；b.观察防火墙的反应，确认是否成功阻止了攻击；c.根据实验结果，适时调整防火墙规则，加强网络安全防护。

四、实验结果与分析通过进行网络安全实验，我们可以得到以下结果和分析：1.防火墙能够对外部主机发起的攻击进行检测，并根据设置的规则进行相应的阻断或拦截；2.合理设置防火墙规则可以有效保护内部主机的安全，并防止网络攻击造成的损失。

五、实验总结网络安全实验基于防火墙的设置和配置，可以帮助我们更好地理解和应用防火墙在网络安全方面的作用。

通过实验，我们可以掌握防火墙的基本原理和功能，并学会合理设置防火墙规则以增强网络安全防护能力。

网络安全实验的经验和技巧对于应对网络攻击、保护网络安全具有重要意义。

网络安全实验Windows防火墙应用网络安全实验：Windows防火墙的应用在互联网环境下，网络安全问题至关重要。

防火墙是保障网络安全的重要设备，而Windows防火墙作为其中的一种，具有广泛的应用。

本文将通过实验的方式，探讨Windows防火墙在网络安全中的应用。

实验目的本实验旨在研究Windows防火墙的配置与使用，通过搭建模拟网络环境，观察防火墙对网络攻击的防护效果，为提高系统安全性能提供参考建议。

实验环境实验设备：一台运行Windows 10操作系统的计算机实验软件：Windows防火墙、网络攻击工具（如Nmap）实验网络拓扑：计算机通过交换机与路由器相连，构成一个简单的局域网。

实验步骤1、安装并配置Windows防火墙在Windows 10操作系统中，打开“控制面板”，选择“系统和安全”，然后单击“Windows防火墙”，进入防火墙设置界面。

根据系统提示，启用防火墙，并添加需要保护的网络连接。

2、搭建网络攻击环境使用网络攻击工具（如Nmap），对实验设备进行扫描，确保网络层和应用层的漏洞存在。

3、进行网络攻击实验分别对开启和关闭Windows防火墙的实验设备进行网络攻击，观察攻击结果。

4、分析实验数据记录开启和关闭防火墙时，实验设备遭受网络攻击的情况，并进行对比分析。

5、总结实验结果根据实验数据，分析Windows防火墙在网络安全中的作用。

实验结果通过实验数据对比，我们发现：1、当关闭Windows防火墙时，实验设备遭受网络攻击的次数较多，且部分攻击成功；2、当开启Windows防火墙时，实验设备遭受网络攻击的次数明显减少，且攻击成功率降低。

实验分析Windows防火墙通过监控网络流量，对进入或离开计算机的数据包进行过滤，从而阻止未经授权的访问。

在实验中，开启防火墙后，实验设备遭受网络攻击的次数明显减少，说明Windows防火墙能够有效防护网络攻击。

但需要注意的是，防火墙并非万能，还需结合其他安全措施，共同提高系统安全性能。

《网络安全技术》实验报告2) 定义IP规则, 这里是采用默认情况, 见下图。

3) 下图是各个应用程序使用端口的情况。

4) 下图就是日志, 上面记录了程序访问网络的记录, 局域网和互联网上被IP扫描端口的情况。

4) 防火墙开放端口应用,打开6881～6889端口。

①建立新的IP规则, 如下图, 在自定义IP规则里双击进行新规则设置②设置新规则后, 把规则上移到该协议组的置顶, 并保存。

然后可以进行在线端口测试, 这些端口是否已经开放的。

5) 应用自定义规则防止常见病毒。

下面是防范冲击波病毒的实例应用, 冲击波就是利用WINDOWS 系统的RPC服务漏洞以及开放的69、135.139、445.4444端口入侵。

①下图就是禁止4444端口的示意图。

②封锁69端口, 见下图。

③封锁445端口, 见下图。

④建立完后就保存, 保存完后就可以防范冲击波病毒了。

七、实验思考防火墙日志的作用是什么以及如何使用防火墙日志？作用：1、作为网络安全的屏障；2、可以强化网络安全策略；3、可以对网络存取和访问进行监控审计；4、可以防止内部信息的外泄；如何使用防火墙日志：天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

天网防火墙会把所有不合规则的数据包拦截并记录到日志中, 如果选择了监视所有TCP和UDP数据包, 那发送和接收的每个数据包都将被记录。

如139端口攻击, 139端口是NetBIOS协议所使用的端口, 在安装了TCP/IP 协议的同时, NetBIOS 也会被作为默认设置安装到系统中。

139端口的开放意味着硬盘可能会在网络中共享；网上黑客也可通过NetBIOS知道电脑中的一切!如何配置其他一些常见网络防火墙？八. 实验结论通过本次实验, 我知道了一般软件防火墙的使用与配置。

可以使用该软件监听各个应用程序使用端口的情况, 查看哪些程序使用了端口, 使用哪个端口, 是否存在可疑程序在使用网络资源。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：实验报告（二）、实验内容：（1）实验网络环境的配置。

（2）安装Windows NAT 防火墙。

（3）配置Windows NAT 防火墙。

（4）测试Windows NAT 防火墙。

（5）VPN运用和测试（三）、实验步骤：1、建立实验环境（1）禁用实验主机防火墙在本实验中，实验主机采用win7系统。

如果实验主机中装有个人防火墙，则在实验之前要禁用个人防火墙，保证实验主机与虚拟机之间的正常通信。

（2）实验主机网卡的TCP/IP属性配置在本实验中，由于本机连接的是宽带，所以采用自动获取IP。

本地连接的参数如图1所示。

图1 实验主机的参数（3）虚拟网络配置在本试验中，我们需要通过Vmware添加虚拟网卡。

其中，具体操作如下。

a）双击启动主机上的“VMware Workstation”程序b）在Vmware软件操作界面的“虚拟机”菜单下选择“设置”,如图2所示。

图2 虚拟机菜单c）在弹出的“虚拟机设置”对话框中，点击添加（如图3所示），在弹出的“添加硬件向导”的对话框中，点击“网络适配器”，再点击下一步（如图4所示）。

图3 虚拟机设置图4 添加硬件向导在弹出的“网络适配器类型”的对话框中，点击“桥接”，再点击完成，如图5所示。

图5 网络适配器类型在“虚拟机设置”中将“网络适配器”的网络连接类型设置为“桥接”，再点击确定，如图6所示。

图6 修改网络连接类型d）实验虚拟主机网卡的TCP/IP属性配置虚拟主机中的两个虚拟网卡分别为“本地连接”和“本地连接2”，下面将设置它们的TCP/IP属性。

①打开Windows Server 2003虚拟机电源，启动虚拟机。

②配置“本地连接”虚拟网卡的TCP/IP属性设置。

在本实验中，IP:192.168.0.4,子网掩码:255.255.0.0；网关:192.168.0.1；DNS:202.98.198.167，如图7所示。