华为防火墙实验文档

实验十六防火墙实验一、实验目的学习配置访问控制列表设计防火墙二、实验原理1、防火墙原理网络的主要功能是向其他通信实体提供信息传输服务。

网络安全技术的主要目的是为传输服务实施的全过程提供安全保障。

在网络安全技术中, 防火墙技术是一种经常被采用的对报文的访问控制技术。

实施防火墙技术的目的是为了保护内部网络免遭非法数据包的侵害。

为了对进入网络的数据进行访问控制, 防火墙需要对每个进入的数据包按照预先设定的规则进行检查由内到外的数据包的功能。

我们在系统视图下, 使用如下命令启用防火墙功能：[Quidway]firewall enable并在接口视图下利用如下命令将规则应用到该接口的某个方向上:[Quidway-Ethernet0]firewall packet-filter acl-number[inbound|outbound]可以在系统视图下使用如下命令改变缺省行为:[Quidway]firewall default deny|permit2、访问控制列表ACL路由器的防火墙配置包括两个内容, 一是定义对特定数据流的访问控制规则, 即定义访问控制列表ACL；二是定义将特定的规则应用到具体的接口上, 从而过滤特定方向上的数据流。

常用的访问控制列表可以分为两种：标准访问控制列表和扩展访问控制列表。

标准访问控制列表仅仅根据IP报文的源地址与区分不同的数据流, 扩展访问控制列表则可以根据IP报文中更多的域来区分不同的数据流。

所有访问控制列表都有一个编号, 标准访问控制列表和扩展访问控制列表按照这个编号区分：标准访问控制列表编号范围为1~99, 扩展访问控制列表为100~199。

定义标准访问控制列表的命令格式为:[Router] acl acl-number[match-order config | auto][Router -acl-10] rule{normal|special}{permit|deny}[source source-addr source-wildcard | any]以下是一个标准访问控制列表的例子:[Router]acl 20[Router -acl-20]rule normal permit source 10.0.0.0 0.0.0.255[Router -acl-20]rule normal deny source any这个访问控制列表20 包含两条规则, 共同表示除了源IP 地址在网络10.0.0.0/24 内的允许通过以外, 其他源IP 地址的数据包都禁止通过。

HCIE Security 防火墙基础技术——上机指导书ISSUE 1.00目录1防火墙初始化配置 (3)1.1使用快速向导 (3)1.2手工进行基本配置 (12)2防火墙路由配置 (26)2.1 OSPF路由实验 (26)2.2 BGP路由实验 (34)3防火墙NAT配置 (42)3.1双出口NAT实验 (42)3.2服务器负载分担实验 (52)4防火墙用户认证配置 (59)4.1本地用户认证配置 (59)4.2 AD单点登陆配置 (66)1 防火墙初始化配置1.1 使用快速向导实验目的通过本实验，你将掌握通过快速向导对防火墙进行初始化配置。

组网设备USG防火墙一台，PC机两台，Internet或路由器一台模拟Internet。

实验拓扑图实验步骤(Web)Step 1使用WEB登陆防火墙1)如图所示，进行设备连接，打开设备电源。

2)在PC1上和PC2上分别设置成自动获取地址；使用PC2在浏览器中输入http://192.168.0.1登陆防火墙，默认账号密码为admin/Admin@123.3)登陆后修改密码为Huawei1234)第一次登陆防火墙后，如果防火墙是空配置的，就会进入如下快速向导配置界面Step 2使用快速向导进行初始化配置1)配置基本信息2)配置系统时间（夏令时可选）3)配置互联网接入方式，互联网接入方式支持三种a.静态IP——ISP给防火墙静态指定公网地址用来访问公网b.DHCP ——ISP通过DHCP给防火墙分配公网地址来访问公网c.PPPOE——ISP通过PPPOE给防火墙分配地址来访问公网实际配置时根据企业实际情况进行选择，此例使用静态地址，如下：4)配置接入互联网参数5)配置局域网接口6)配置局域网DHCP服务7)核对配置信息，确认没有错误后点“应用”，注意勾选“下次登陆不再提示”。

8)应用配置后进入完成页面，如下所示，点击“完成”后进入主页面Step 3浏览并熟悉WEB各个菜单打开WEB控制台验证结果1) 使用主机测试上网检查PC2的地址,确保PC2通过DHCP从防火墙收到了地址。

HCIE Security 防火墙网络互连技术——上机指导书ISSUE 1.00目录1防火墙初始化配置 (3)1.1使用快速向导 (3)1.2手工进行基本配置 (12)2防火墙路由配置 (26)2.1 OSPF路由实验 (26)2.2 BGP路由实验 (34)3防火墙NAT配置..................................................................................... 错误！未定义书签。

3.1双出口NAT实验............................................................................ 错误！未定义书签。

3.2服务器负载分担实验...................................................................... 错误！未定义书签。

4防火墙用户认证配置............................................................................. 错误！未定义书签。

4.1本地用户认证配置.......................................................................... 错误！未定义书签。

4.2 AD单点登陆配置 ............................................................................ 错误！未定义书签。

1 防火墙初始化配置1.1 使用快速向导实验目的通过本实验，你将掌握通过快速向导对防火墙进行初始化配置。

组网设备USG防火墙一台，PC机两台，Internet或路由器一台模拟Internet。

实验拓扑图实验步骤(Web)Step 1使用WEB登陆防火墙1)如图所示，进行设备连接，打开设备电源。

防火墙实验实验报告1：防火墙基本配置和过滤规则实验实验目的：了解防火墙的基本配置和过滤规则的设置，掌握防火墙的基本工作原理和功能。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外网接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙策略：根据实际需求，配置防火墙的入站和出站规则。

可以设置允许或拒绝特定IP地址、端口或协议的流量通过防火墙。

启用防火墙并测试：保存配置并启用防火墙，然后通过实验主机进行网络连接和通信测试，观察防火墙是否按照预期进行流量过滤和管理。

实验结果和分析：通过正确配置和启用防火墙，实验主机的网络连接和通信应该受到防火墙的限制和管理。

只有符合防火墙策略的网络流量才能通过，不符合策略的流量将被防火墙拦截或丢弃。

通过观察实验主机的网络连接和通信情况，可以评估防火墙的工作效果和安全性能。

实验总结：本次实验通过配置防火墙的基本设置和过滤规则，掌握了防火墙的基本工作原理和功能。

实验结果表明，正确配置和启用防火墙可以提高网络的安全性和稳定性。

实验报告2：防火墙日志分析实验实验目的：了解防火墙日志的产生和分析方法，掌握通过分析防火墙日志来识别潜在的安全威胁和攻击。

实验材料和设备：一台计算机作为实验主机一台路由器作为网络连接设备一台防火墙设备实验步骤：搭建网络拓扑：将实验主机、路由器和防火墙按照正确的网络连接方式进行连接。

配置防火墙设备：进入防火墙设备的管理界面，进行基本设置和网络配置。

包括设置管理员账号和密码，配置内外接口的IP地址和子网掩码，配置默认网关和DNS服务器地址。

配置防火墙日志：在防火墙设备中启用日志记录功能，并设置日志记录级别和存储位置。

进行网络活动：通过实验主机进行各种网络活动，包括浏览网页、发送邮件、进行文件传输等。

南京信息工程大学实验（实习）报告实验（实习）名称防火墙实验（实习）日期2012.12.6指导教师朱节中专业10软件工程年级大三班次2姓名蔡叶文学号 20102344042 得分【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。

【背景描述】1.用接入广域网技术（NA T），将私有地址转化为合法IP地址。

解决IP地址不足的问题，有效避免来自外部网络的攻击，隐藏并保护内部网络的计算机。

2.网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NA T方式。

它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NA T设备选定的TCP端口号。

3.地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP 地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

报文中的源MAC地址与IP地址对如果无法与防火墙中设置的MAC地址与IP地址对匹配，将无法通过防火墙。

4.抗攻击：锐捷防火墙能抵抗以下的恶意攻击：SYN Flood攻击；ICMP Flood攻击；Ping of Death 攻击；UDP Flood 攻击；PING SWEEP攻击；TCP端口扫描；UDP端口扫描；松散源路由攻击；严格源路由攻击；WinNuke攻击；smuef攻击；无标记攻击；圣诞树攻击；TSYN&FIN攻击；无确认FIN攻击；IP安全选项攻击；IP记录路由攻击；IP流攻击；IP时间戳攻击；Land攻击；tear drop攻击。

【小组分工】组长：IP：192.168.10.200 管理员：IP：172.16.5.4 策略管理员+日志审计员：IP：172.16.5.3 日志审计员：IP：172.16.5.2 策略管理员：IP：172.16.5.1 配置管理员【实验设备】PC 五台防火墙1台（RG-Wall60 每实验台一组）跳线一条【实验拓扑】【实验结果】1.管理员主机对管理员主机的IP进行更改，改为192.168.10.200图一·管理员主机IP配置用超级中端重启防火墙（目的是清空防火墙以前的配置）图二·超级终端管理员为局域网内的其他主机添加管理员账号，添加后如下图图三·管理员账号添加管理主机，添加完后如下图：图四·管理主机管理主机对防火墙的LAN口进行相关配置，内网网关的借口IP为172.16.5.252，添加后如下图：图五·添加LAN口2.配置NAPT1）定义内网对象，打开内网定义——地址，然后是地址列表，点击添加，添加完成后，点击确定，如下图：图六·配置内网对象2）防火墙NET规则配置，进入安全策略——安全规则，点击NA T规则，做如下图配置，完成后确定：图七·NET规则配置3）完成以上所有配置后，有组内其他PC机对配置进行验证，随便选中内网的一台PC 机ping外网服务器192.168.10.200，结果是可以ping通的，如下图：图八·内网Ping外网外网PC机Ping内网的一台PC机，结果是ping不通的，结果如下图：图九·外网ping内网原因：有图六可知，我们设置了内网对象，IP的网段为172.16.5.0。

华为防火墙策略测试方案测试目标工作过程中遇到有些客户需要进行华为防火墙设备，此实验主要是熟练命令行配置华为防火墙。

熟练配置防火墙策略，熟悉防火墙安全区域配置方法。

拓扑概述1、Fw6防火墙作为出口设备。

2、AR6作为非安全区设备。

3、AR7作为安全区设备。

4、AR8作为非军事化区设备。

测试拓扑测试报告设备配置：<R6>dis cur[V200R003C00]#sysname R6#snmp-agent local-engineid 800007DB03000000000000 snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip address 10.0.10.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.1.1 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.10.254#user-interface con 0authentication-mode passworduser-interface vty 0 4user-interface vty 16 20#wlan ac#return<R7>dis cur[V200R003C00]#sysname R7#snmp-agent local-engineid 800007DB03000000000000snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip address 10.0.20.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.2.2 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.20.254#user-interface con 0authentication-mode passworduser-interface vty 0 4user-interface vty 16 20#wlan ac#return<R7><R8>dis cur[V200R003C00]#sysname R8#snmp-agent local-engineid 800007DB03000000000000snmp-agent#clock timezone China-Standard-Time minus 08:00:00#portal local-server load portalpage.zip#drop illegal-mac alarm#set cpu-usage threshold 80 restore 75#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user test password cipher %$%$aH$oPQzuh'3o*CU/2=)%6Y<o%$%$ local-user test service-type telnetlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$ local-user admin service-type http#firewall zone Localpriority 15interface GigabitEthernet0/0/0ip address 10.0.30.1 255.255.255.0#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface NULL0#interface LoopBack0ip address 10.0.3.3 255.255.255.0#ip route-static 0.0.0.0 0.0.0.0 10.0.30.254#user-interface con 0authentication-mode passworduser-interface vty 0 4authentication-mode aaauser-interface vty 16 20#wlan ac#Ret<FW>dis cur2019-10-15 06:53:54.890!Software Version V500R005C10SPC300#sysname FW#l2tp domain suffix-separator @#ipsec sha2 compatible enable#undo telnet server enableundo telnet ipv6 server enable#clock timezone UTC add 00:00:00#update schedule location-sdb weekly Sun 02:42firewall defend action discard#banner enable#user-manage web-authentication security port 8887undo privacy-statement englishundo privacy-statement chinesepage-settinguser-manage security version tlsv1.1 tlsv1.2password-policylevel highuser-manage single-sign-on aduser-manage single-sign-on tsmuser-manage single-sign-on radiususer-manage auto-sync online-user#web-manager security version tlsv1.1 tlsv1.2web-manager enableweb-manager security enable#firewall dataplane to manageplane application-apperceive default-action drop#undo ips log merge enable#decoding uri-cache disable#update schedule ips-sdb daily 02:44update schedule av-sdb daily 02:44update schedule sa-sdb daily 02:44update schedule cnc daily 02:44update schedule file-reputation daily 02:44#ip vpn-instance defaultipv4-family#time-range worktimeperiod-range 08:00:00 to 18:00:00 working-day#ike proposal defaultencryption-algorithm aes-256 aes-192 aes-128dh group14authentication-algorithm sha2-512 sha2-384 sha2-256authentication-method pre-shareintegrity-algorithm hmac-sha2-256prf hmac-sha2-256#aaaauthentication-scheme defaultauthentication-scheme admin_localauthentication-scheme admin_radius_localauthentication-scheme admin_hwtacacs_localauthentication-scheme admin_ad_localauthentication-scheme admin_ldap_localauthentication-scheme admin_radiusauthentication-scheme admin_hwtacacsauthentication-scheme admin_adauthorization-scheme defaultaccounting-scheme defaultdomain defaultservice-type internetaccess ssl-vpn l2tp ikeinternet-access mode passwordreference user current-domainmanager-user audit-adminpassword cipher@%@%i2%d<s5o896Zat;{|=/=Kn1)3Yjt!aQ73.`lm8Ybq.@Gn1,K@%@% service-type web terminallevel 15manager-user api-adminpassword cipher@%@%5,F$3$m}r;6,&j!B|N0Tq-]2{bB&B:H[]%|DNA*hoeE)-]5q@%@% level 15manager-user adminpassword cipher@%@%&@l;O#EYG6RH@#1Tk51HeKrv<U!AC5p\1"Jaz`Wsp::IKrye@%@% service-type web terminallevel 15role system-adminrole device-adminrole device-admin(monitor)role audit-adminbind manager-user audit-admin role audit-admin bind manager-user admin role system-admin#l2tp-group default-lns#interface GigabitEthernet0/0/0undo shutdownip binding vpn-instance defaultip address 192.168.0.1 255.255.255.0alias GE0/METH#interface GigabitEthernet1/0/0undo shutdownip address 10.0.10.254 255.255.255.0#interface GigabitEthernet1/0/1undo shutdownip address 10.0.20.254 255.255.255.0#interface GigabitEthernet1/0/2undo shutdownip address 10.0.30.254 255.255.255.0#interface GigabitEthernet1/0/3undo shutdown#interface GigabitEthernet1/0/4undo shutdown#interface GigabitEthernet1/0/5undo shutdown#interface GigabitEthernet1/0/6undo shutdown#interface Virtual-if0#interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/0#firewall zone dmzset priority 50add interface GigabitEthernet1/0/2#ip route-static 10.0.1.0 255.255.255.0 10.0.10.1 ip route-static 10.0.2.0 255.255.255.0 10.0.20.1 ip route-static 10.0.3.0 255.255.255.0 10.0.30.1 #undo ssh server compatible-ssh1x enablessh authentication-type default passwordssh server cipher aes256_ctr aes128_ctrssh server hmac sha2_256 sha1ssh client cipher aes256_ctr aes128_ctrssh client hmac sha2_256 sha1#firewall detect ftp#user-interface con 0authentication-mode aaauser-interface vty 0 4authentication-mode aaaprotocol inbound sshuser-interface vty 16 20#pki realm default#sa##multi-linkifmode proportion-of-weight#right-manager server-group#device-classificationdevice-group pcdevice-group mobile-terminaldevice-group undefined-group#user-manage server-sync tsm#security-policyrule name policy_sec_2source-zone trustdestination-zone dmzaction permitrule name policy_sec_1source-zone trustdestination-zone untrustaction permitrule name policy_sec_3source-zone untrustdestination-zone dmzdestination-address 10.0.3.3 mask 255.255.255.255 service icmpservice telnetaction permit#auth-policy#traffic-policy#policy-based-route#nat-policy#quota-policy##dns-transparent-policy #rightm-policy#return<FW>。

防火墙的设计与配置实验报告(一)防火墙的设计与配置实验报告引言防火墙是网络安全中的重要组成部分，它能够保护网络免受恶意攻击和未经授权的访问。

在本实验报告中，我们将重点讨论防火墙的设计与配置。

设计原则为了确保防火墙的有效性和可靠性，我们应遵循以下设计原则：- 合规性：防火墙的配置和规则设置必须符合相关安全标准和法规要求。

- 防御深度：采用多层次的防护方式，例如网络隔离、访问控制列表（ACL）等，保障网络的安全性。

- 灵活性：防火墙的设计应该具备适应不同网络环境和需求变化的能力。

- 可管理性：防火墙的配置和管理应该简单易行，不影响正常网络运行。

配置步骤以下是防火墙配置的基本步骤：1.定义安全策略：根据实际需求，明确访问控制政策并制定安全规则。

2.确定网络拓扑：了解网络拓扑和通信流量，确定防火墙的位置及其与其他网络设备的连接方式。

3.规划地址空间：分配和规划IP地址、端口和协议。

4.设置访问规则：配置防火墙的访问控制列表（ACL），限制特定IP地址或端口的访问权限。

5.创建安全组：根据需求设定安全组，限制特定IP地址或协议的流量。

6.启用日志记录：开启防火墙日志记录功能，及时发现和应对潜在的安全威胁。

7.测试与验证：经过配置后，进行防火墙功能和安全性的测试与验证。

最佳实践以下是一些防火墙设计与配置的最佳实践：•使用默认拒绝规则：配置防火墙时，优先采用默认拒绝规则来限制访问，只允许必要的和经过授权的流量通过。

•定期审查和更新规则：定期审查现有的安全规则，删除不再需要的规则，并及时更新和添加新的规则以适应网络变化。

•网络监控和入侵检测：与防火墙配套使用网络监控和入侵检测工具，及时监测和响应网络安全事件。

•应用安全补丁和更新：定期更新和应用防火墙设备的安全补丁和软件更新，以关闭已知的漏洞和提高系统的安全性。

结论通过本次实验，我们深入了解了防火墙的设计与配置过程。

只有在遵循合适的设计原则和最佳实践的前提下，才能保障防火墙的有效性和网络的安全性。

实验三、防火墙设计与配置实验一、实验目的1、学习防火墙系统设计原理。

2、把握路由器包过滤防火墙配置方式。

3、把握子网过滤防火墙设计和配置方式。

二、实验内容1、设计并利用路由器包过滤规那么，设置防火墙。

2、设计并组建主机过滤防火墙系统，实现NAT （选做）。

3、设计并组建子网过滤防火墙系统（提高）。

三、实验原理帧中继互换机帧中继(Frame Relay)是从综合业务数字网中进展起来的，并在1984年推荐为国际电报咨询委员会（CCITT）的一项标准，另外，由美国国家标准协会授权的美国TIS标准委员会也对帧中继做了一些初步工作。

由于光纤网比初期的网误码率低得多，因此,能够减少的某些过失操纵进程，从而能够减少结点的处置时刻,提高网络的吞吐量。

帧中继确实是在这种环境下产生的。

帧中继提供的是数据链路层和物理层的协议标准，任何高层协议都独立于帧中继协议,因此，大大地简化了帧中继的实现。

目前帧中继的要紧应用之一是局域网互联,专门是在局域网通过广域网进行互联时，利用帧中继更能表现它的低网络时延、低设备费用、高带宽利用率等优势。

特点帧中继是一种先进的广域网技术，实质上也是分组通信的一种形式，只只是它将分组网中分组互换机之间的恢复过失、避免阻塞的处置进程进行了简化。

特点：1.因为帧中继网络不执行纠错功能，因此它的数据传输速度和传输时延比网络要别离高或低至少一个数量级。

2.因为采纳了基于变长帧的异步多路复用技术，帧中继要紧用于数据传输，而不适合语音、视频或其他对时延时刻灵敏的信息传输。

3.仅提供面向连接的虚电路效劳。

4.仅能检测到传输错误，而不试图纠正错误，而只是简单地将错误帧抛弃。

5.帧长度可变，许诺最大帧长度在1000B以上。

帧中继的要紧特点是：利用光纤作为传输介质,因此误码率极低，能实现近似无过失传输,减少了进行过失校验的开销,提高了网络的吞吐量；帧中继是一种宽带分组互换,利用复用技术时，其传输速度可高达。

可是,帧中继不适合于传输诸如话音、电视等实时信息，它仅限于传输数据。

信息安全技术之防火墙实验报告目录一、实验概述 (2)1. 实验目的 (2)2. 实验背景 (3)3. 实验要求 (4)二、实验环境搭建 (5)1. 实验硬件环境 (6)1.1 设备配置与连接 (6)1.2 设备选型及原因 (7)2. 实验软件环境 (8)2.1 系统软件安装与配置 (9)2.2 防火墙软件安装与配置 (10)三、防火墙配置与实现 (12)1. 防火墙策略制定 (12)1.1 访问控制策略 (13)1.2 数据加密策略 (15)1.3 安全审计策略 (16)2. 防火墙具体配置步骤 (17)2.1 配置前准备工作 (18)2.2 配置过程详述 (19)2.3 配置结果验证 (21)四、实验结果与分析 (22)1. 实验结果展示 (23)1.1 防火墙运行日志分析 (24)1.2 网络安全状况分析 (25)2. 结果分析 (27)2.1 防火墙效果分析 (28)2.2 网络安全风险评估与应对方案讨论 (29)五、实验总结与展望 (30)一、实验概述随着信息技术的迅猛发展，网络安全问题日益凸显其重要性。

作为保障网络安全的重要手段之一，防火墙技术广泛应用于各类网络环境中，用以保护内部网络免受外部网络的攻击和威胁。

本次实验旨在通过搭建实验环境，深入理解和掌握防火墙的基本原理、配置方法以及其在实际应用中的重要作用。

在本次实验中，我们将模拟一个企业内部网络环境，并设置相应的防火墙设备。

通过搭建这一实验环境，我们将能够模拟真实的网络安全场景，从而更好地理解防火墙在保障网络安全方面的作用和价值。

通过实验操作，我们将更加深入地掌握防火墙的基本配置方法和步骤，为今后的网络安全工作打下坚实的基础。

通过本次实验，我们还将学习到如何针对不同的网络威胁和攻击类型，合理配置和使用防火墙，以保障网络系统的安全性和稳定性。

这对于提高我们的网络安全意识和技能水平具有重要意义。

1. 实验目的本次实验旨在通过实际操作，深入理解防火墙的工作原理、配置方法及其在网络安全防护中的关键作用。

华为防火墙USG2000实验文档要求:通过配置华为防火墙实现本地telnet 服务器能够通过NAT上网.并且,访问电信网络链路时走电信,访问网通链路时走网通.具体配置如下:华为 USG 2000Username:admin[USG2205BSR]sysname[huawei]interface GigabitEthernet[huawei-GigabitEthernet0/0/0]ipaddress 202.100.1.1[huawei-GigabitEthernet0/0/0]undo[huawei]interface GigabitEthernet 0/0/1[huawei-GigabitEthernet0/0/1]description ###conn to yidong link###[huawei-GigabitEthernet0/0/1]ip address 202.200.1.1 255.255.255.0[huawei-GigabitEthernet0/0/1]undo shutdown[huawei-GigabitEthernet0/0/1]quit[huawei]interface Vlanif 1[huawei-Vlanif1]description ###conn to local###[huawei-Vlanif1]ip address 192.168.1.1 255.255.255.0[huawei-Vlanif1]undo shutdown[huawei-Vlanif1]quit[huawei-zone-trust]undo add interface GigabitEthernet 0/0/1[huawei-zone-trust]add interface Vlanif[huawei]firewall zone name[huawei-zone-dianxin]set priority 4[huawei-zone-dianxin]add interface GigabitEthernet 0/0/0[huawei-zone-dianxin]quit[huawei-zone-yidong]set priority 3[huawei-zone-yidong]add interface GigabitEthernet 0/0/1[huawei-zone-yidong]quit[huawei]acl number[huawei-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255[huawei-acl-basic-2000]quit[huawei]firewall interzone trust[huawei-interzone-trust-dianxin]packet-filter 2000 outbound[huawei-interzone-trust-dianxin]nat outbound 2000 interface GigabitEthernet 0/0/0[huawei-interzone-trust-dianxin]quit[huawei-interzone-trust-yidong]nat outbound 2000 interface GigabitEthernet 0/0/1[huawei-interzone-trust-yidong]quit[huawei]user-interface vty 0 4[huawei-ui-vty0-4]authentication-mode password[huawei-ui-vty0-4]quit[huawei]ip route-static 0.0.0.0 0.0.0.0 202.100.1.2[huawei]ip route-static …… …… 202.200.1.2[huawei]ip route-static 222.160.0.0 255.252.0.0 202.200.1.2[huawei] firewall packet-filter default permit interzone local dianxin direction outbound[huawei] firewall packet-filter default permit interzone trust dianxin direction inbound[huawei] firewall packet-filter default permit interzone trust dianxin direction outbound[huawei] firewall packet-filter default permit interzone local yidong direction inbound[huawei] firewall packet-filter default permit interzone local yidong direction outbound[huawei] firewall packet-filter default permit interzone trust yidong direction inbound如图：电信网络、网通网络和telnet服务器配置 略！验证：内网192.168.1.2 分别PING 电信与网通.inside#ping 202.100.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.2, timeout is 2 seconds:Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msinside#ping 202.200.1.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.200.1.2, timeout is 2 seconds:Current total sessions: 3icmp VPN: public -> public192.168.1.2:3[202.100.1.1:23088]-->202.100.1.2:3tcp VPN: public -> public 192.168.1.1:1024-->192.168.1.2:23icmp VPN: public -> public192.168.1.2:4[202.200.1.1:43288]-->202.200.1.2:4验证成功！！！[huawei]display current-configuration 11:54:30 2010/11/06 #acl number 2000rule 10 permit source 192.168.1.0 0.0.0.255 #sysname huawei #super password level 3 cipher ^]S*H+DFHFSQ=^Q`MAF4<1!! #web-manager enable #info-center timestamp debugging date #firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone local vzone direction inbound firewall packet-filter default permit interzone local vzone direction outbound firewall packet-filter default permit interzone local dianxin direction inbound firewall packet-filter default permit interzone local dianxin direction outbound firewall packet-filter default permit interzone local yidong direction inbound firewall packet-filter default permit interzone local yidong direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone trust vzone direction inbound firewall packet-filter default permit interzone trust vzone direction outbound firewall packet-filter default permit interzone trust dianxin direction inbound firewall packet-filter default permit interzone trust dianxin direction outbound firewall packet-filter default permit interzone trust yidong direction inbound firewall packet-filter default permit interzone trust yidong direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound firewall packet-filter default permit interzone untrust vzone direction inbound firewall packet-filter default permit interzone untrust vzone direction outbound firewall packet-filter default permit interzone dmz vzone direction inbound firewall packet-filter default permit interzone dmz vzone direction outbound #dhcp enable#firewall statistic system enable#vlan 1#interface Cellular0/1/0link-protocol ppp#interface Vlanif1description ###conn to local###ip address 192.168.1.1 255.255.255.0 #interface Ethernet1/0/0port link-type access#interface Ethernet1/0/1port link-type access#interface Ethernet1/0/2port link-type access#interface Ethernet1/0/3port link-type access#interface Ethernet1/0/4port link-type access#interface GigabitEthernet0/0/0 description ###conn to dianxin link### ip address 202.100.1.1 255.255.255.0 #interface GigabitEthernet0/0/1 description ###conn to yidong link### ip address 202.200.1.1 255.255.255.0 #interface NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Vlanif1#firewall zone untrustset priority 5#firewall zone dmzset priority 50#firewall zone vzoneset priority 0#firewall zone name dianxinset priority 4add interface GigabitEthernet0/0/0#firewall zone name yidongset priority 3add interface GigabitEthernet0/0/1#firewall interzone trust dianxinpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/0 #firewall interzone trust yidongpacket-filter 2000 outboundnat outbound 2000 interface GigabitEthernet0/0/1#aaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type web telnetlocal-user admin level 3authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##right-manager server-group#slb#ip route-static 0.0.0.0 0.0.0.0 202.100.1.2ip route-static 27.8.0.0 255.248.0.0 202.200.1.2ip route-static …… …… 202.200.1.2ip route-static 222.160.0.0 255.252.0.0 202.200.1.2#user-interface con 0user-interface tty 9authentication-mode nonemodem bothuser-interface vty 0 4user privilege level 3N专注高端，技术为王#return[huawei]N。

防火墙实验报告【实验名称】防火墙实验【实验目的】掌握防火墙的基本配置；掌握防火墙安全策略的配置。

【背景描述】网络中存在很多的木马和攻击性程序以及人为的恶意行为，因此希望通过配置防火墙和抗攻击性策略用于保护网络免受恶意行为的侵害，并阻止其非法行为的网络设备或系统，同时还可以在不同的网络区域之间进行流量的访问控制。

【小组分工】组长：***（配置内网和端口连线）组员：***（配置服务器和防火墙）【技术原理】管理员证书：用证书方式对管理员进行身份认证。

证书包括CA证书、防火墙证书、防火墙私钥、管理员证书。

证书文件有两种编码格式：PEM和DER，后缀名可以有pem，der，cer，crt等多种，后缀名与编码格式没有必然联系。

CA 证书、防火墙证书和防火墙私钥只支持PEM编码格式，cacert.crt和cacert.pem 是完全相同的文件。

管理员证书支持PEM和DER两种，因此提供administrator.crt 和administrator.der证书administrator.crt和administrator.pem是完全相同的文件。

*.p12文件是将CA、证书和私钥打包的文件。

NAT(Network Address Translation)属接入广域网技术，是一种将私有地址转化为合法IP地址的转换技术。

它完美地解决了IP地址不足的问题，而且还能够有效地避免来自外部网络的攻击，隐藏并保护内部网络的计算机。

网络地址端口转换NAPT（Network Address Port Translation）是人们比较常用的一种NAT方式。

它可以将中小型的网络隐藏在一个合法的IP地址后面，将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。

地址绑定：为了防止内部人员进行非法IP盗用(例如盗用权限更高人员的IP 地址，以获得权限外的信息)，可以将内部网络的IP地址与MAC地址绑定，盗用者即使修改了IP地址，也因MAC地址不匹配而盗用失败，而且由于网卡MAC 地址的唯一确定性，可以根据MAC地址查出使用该MAC地址的网卡，进而查出非法盗用者。

实验报告…………………………………装………………………………订………………….………………线………………………………心 得 体 会3、 根据实验需求分析设计ACL（1）PC1可以访问外网, PC2不可以访问外网。

4、 （2）只有PC1可以管理firewall, 其他的不可以管理firewall 。

5、 （3）pc1可以访问web 服务器的HTTP 服务, 但不可以使用域名访问。

6、 调用ACL7、 测试效果备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告院系: 信息学院 课程名称:防火墙技术 日期: 9-19 班级学号 实验室专业姓名 计算机号 实验名称 包过滤防火墙（二）成绩评定 所用教师签名…………………………………装………………………………订备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告…………………………………备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告…………………………………装………………………………订………………….………………线备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实 验 报 告…………………………………装备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

不交此报告者, 本次实验为“不合格”。

实验报告…………………………………装………………………………订………………….………………线………………………………备注: 本实验报告用于各学科与计算机应用相关课程的实验, 务必按时完成。

防火墙配置【实验目的】1．掌握防火墙的基本配置。

2．掌握防火墙包过滤配置。

3．掌握防火墙黑名单、MAC绑定的配置【实验环境】H3C secpath系列防火墙一台、3100系列交换机两台、PC机4台，网线若干。

【实验原理】一、防火墙简介在大厦构造中，防火墙被设计用来防止火从大厦的一部分传播到另一部分。

网络的防火墙服务于类似目的：防止Internet的危险传播到内部网络。

防火墙一方面阻止来自Internet对受保护网络的未授权或未认证的访问，另一方面允许内部网络的用户对Internet进行Web访问或收发E-mail等。

防火墙也可以作为一个访问Internet的权限控制关口，如允许内部网络的特定用户访问Internet。

防火墙不单用于对Internet的连接，也可以用来在组织网络内部保护大型机和重要的资源（如数据）。

对受保护数据的访问都必须经过防火墙的过滤，即使网络内部用户要访问受保护的数据，也要经过防火墙。

二、防火墙的安全特性1、基于访问控制列表（ACL）的包过滤ACL/包过滤实现对IP数据包的过滤，对防火墙需要转发的数据包，先获取数据包的包头信息，包括IP层所承载的上层协议的协议号，数据包的源地址、目的地址、源端口和目的端口等，然后和设定的ACL规则进行比较，根据比较的结果决定对数据包进行转发或者丢弃。

2、黑名单黑名单，指根据报文的源IP地址进行过滤的一种方式。

同基于ACL的包过滤功能相比，由于黑名单进行匹配的域非常简单，可以以很高的速度实现报文的190过滤，从而有效地将特定IP地址发送来的报文屏蔽。

黑名单最主要的一个特色是可以由防火墙动态地进行添加或删除，当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后，通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。

因此，黑名单是防火墙一个重要的安全特性。

黑名单分为静态和动态两种。

静态黑名单需要手动将IP地址添加到黑名单表中。

动态黑名单是和地址扫描、端口扫描的攻击防范结合到一起的。

实验 1 SecPath 防火墙透明模式配置基础1-11.2 1.3 1.4 1.5 1.6 实验内容与目标 ................ 实验组网图 .................... 实验设备与版本................ 实验过程 ....................... 实验任务：透明模式下各区域的互通1-1 1-1 1-1 1-2 1-2 实验中的命令列表 思考题 ........ 1-3 1-4实验 2 SecPath 防火墙路由模式配置基础 2-42.1 2.2 2.3 2.4 实验内容与目标 ................ 实验组网图 .................... 实验设备与版本 ................ 实验过程 ....................... 实验任务：路由模式下各区域的互通2-4 2-4 2-4 2-5 2-5 2.5 2.6 实验中的命令列表 思考题........ 2-12 2-13实验 3 SecPath 防火墙混合模式配置基础 实验内容与目标 .................................. 实验组网图 ...................... 背景需求 ........................ 实验设备与版本 .................. 实验过程 ........................ 实验任务一：混合模式下各区域的互通3-133.1 3.2 3.33.4 3.5 3.6 3.7 实验中的命令列表 思考题........ 实验 4 SecPath 防火墙 VLAN 透传 实验内容与目标 ............................ 实验组网图 ............... 背景需求................. 实验设备与版本 ........... 实验过程................. 实验任务： VLAN 透传 ..... 4.1 4.2 4.3 4.4 4.5 4.6 4.7 实验中的命令列表思考题........ 3-13 3-13 3-14 3-14 3-14 3-14 3-15 3-164-164-16 4-16 4-16 4-17 4-17 4-17 4-18 4-19实验1 Sec Path防火墙透明模式配置基础1.1 实验内容与目标完成本实验，您应该能够:了解以防火墙透明模式工作原理掌握防火墙透明模式的基本配置方法掌握防火墙透明模式的常用配置命令1.2 实验组网图Ge0/1 Ge0/2PC1F1000-E图1-1透明模式转发组网图组网要求说明:如图：PC1和PC2分别连在F1000-E防火墙的Ge0/1和Ge0/2接口上，其IP地址分别为10.0.0.1/24 和10.0.0.2/24，需要通过F1000-E 实现互通。

实验三防火墙配置实验【实验目的】通过本实验初步掌握防火墙的基本配置方法和操作技能，掌握组建较大规模企业网时防火墙策略的配置及应用，包括如下几个方面：✓掌握防火墙的配置方法✓掌握访问控制列表（ACL）的基本配置✓掌握过滤规则的配置实验前学生应具备以下知识：✓了解防火墙的工作原理。

✓了解防火墙的安装和配置。

✓了解防火墙的应用特点。

实验过程中，部分实验内容需要与相邻的同学配合完成。

此外，学生需要将实验的结果记录下来，并回答相关思考题，填写到实验报告中。

【实验类型】综合型实验【实验环境】实验设备：华为-3Com交换机S3100H六台、华为-3Com防火墙Secpath F100-C六台。

实验组成：每排PC为一组，占用一台S3100H交换机，其中S3100H交换机划分两个VLAN，每个VLAN只加入三台PC，S3100H交换机的另外两个端口，分别连接防火墙的LAN 口和WAN口。

【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。

本次实验的主要项目包括以下几个方面：☑分组配置防火墙，使LAN中的PC通过防火墙提供的NA T访问外网，然后测试LAN中的PC机和W AN中的PC机之间的连通性；☑配置防火墙，使WAN中的PC机只能够通过80端口访问LAN中的WEB服务器，且不能在外网中扫描到内网中的计算机，配置完成之后，测试配置效果。

需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。

具体的实验步骤如下：一、实验准备进行网络初始化配置，这一部分操作由指导教师和实验员预先进行设置。

1．将S3100H交换机划分两个VLAN（VLAN 2和VLAN 3），其中VLAN 2连接到防火墙的LAN口，VLAN 3连接到防火墙的WAN口。

2．配置防火墙的管理地址，配置为192.168.1.254二、防火墙的基本配置首先，每个实验小组分别按照下表配置各个PC机的IP地址，每排只会用到六台计算机，每排2台计算机网线用于防火墙的W AN和LAN口，具体的IP地址分配情况参见图1和下表。

实验1 虚拟设备、安全区域的操作............................................................................................ 1-11.1 实验内容与目标.................................................................................................................. 1-11.2 实验组网图......................................................................................................................... 1-11.3 实验设备与版本.................................................................................................................. 1-21.4 实验过程 ............................................................................................................................ 1-2实验任务一：虚拟设备的创建、设置、选择、删除........................................................... 1-2实验任务二：安全域的创建、设置和删除......................................................................... 1-41.5 实验中的命令列表.............................................................................................................. 1-51.6 思考题................................................................................................................................ 1-5实验2 面向对象ACL .................................................................................................................. 2-62.1 实验内容与目标.................................................................................................................. 2-62.2 实验组网图......................................................................................................................... 2-62.3 实验设备与版本.................................................................................................................. 2-62.4 实验过程 ............................................................................................................................ 2-7实验任务一：同一虚拟设备内面向对象ACL ...................................................................... 2-7实验任务二：不同虚拟设备间面向对象ACL .................................................................... 2-11实验3 NAT相关实验 ................................................................................................................ 3-143.1 实验内容与目标................................................................................................................ 3-143.2 实验组网图....................................................................................................................... 3-143.3 实验设备与版本................................................................................................................ 3-153.4 实验过程 .......................................................................................................................... 3-15实验任务一：PAT方式NAT ............................................................................................. 3-15实验任务二：NAT Server实验 ........................................................................................ 3-163.5 思考题.............................................................................................................................. 3-18实验4 攻击防范实验................................................................................................................ 4-194.1 实验内容与目标................................................................................................................ 4-194.2 实验组网图....................................................................................................................... 4-194.3 实验设备与版本................................................................................................................ 4-194.4 实验过程 .......................................................................................................................... 4-20实验任务一：动态黑名单功能 ......................................................................................... 4-204.5 实验中的命令列表............................................................................................................ 4-204.6 思考题....................................................................................................... 错误!未定义书签。