网络安全理论与技术实验.ppt

网络安全理论与技术实验讲义,二00七年十月,网络安全理论与技术实验内容(二),西安电子科技大学通信工程学院信息工程系 E-mail: xd_,张卫东,网络安全实验（二）,防火墙,防火墙简介,防火墙是网络安全的第一道防线，一般用来将内部网络与Internet或其他外部网络相互隔离，限制网络互访，保护内部网络安全。,网络地址转换NAT,受保护的网内用户访问Internet时，必须使用合法的IP地址。但合法的IP有限，且受保护网络往往有自己的一套地址规划方案。网络转换器就是在防火墙上装一个合法的IP地址集。当内部某一用户访问Internet时，防火墙动态地从地址集中选择未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。,假设我们将防火墙的管理端接在了LAN4上， 而外部网络接在了LAN2上。 外部网络的IP为1,本地网络的IP为。防火墙的IP设为。 子网掩码均为24位。,PC1 /24,FW,PC2 1/24,Lan4:,Lan2:,internet,启动防火墙,按说明书连接好物理连接后，用超级终端恢复防火墙的初始值，并更改校验密钥。 （具体操作实验课详细介绍）,启动远程管理端,在开始菜单中选择远程管理器，打开远程管理端的界面。 新建一个防火墙，为防火墙设定一个ip。 建立一个管理用户，（切记！不可设立口令！）,配置NAT,打开安全编辑器 在文件夹“防火墙”上单击右键，选择“新建”。 给防火墙起一个名字，如“NAT”。（名字要取的尽量言简意明。） 双击新建的防火墙，调出配置菜单。,局部对象,在新建的防火墙下，对局部对象进行配置。打开局部对象的网络与主机。对与防火墙相连接的网络与主机进行定义与配置。 假设我们把防火墙的管理端口设为LAN4，与外网连接的端口为LAN2。 配置界面如下图。,签出,由于防火墙初始配置，所以在没有签出之前，所有的网络与主机配置是不能更改的。 点击菜单栏的签出图标后，在每一个配置文件夹上都出现一个红点，这时就可以对起进行更改了。,我们可以看到每一个端口都可以进行配置了。 我们先来看LAN4的配置。,我们可以看到，作为防火墙管理端的LAN4的各项配置均已自动生成好了。 我们再来看我们作为外部网络的LAN2的配置。我们给LAN2的IP设为，与PC2在同一个网段。,配置广播地址,其中的brLAN是指广播地址。 IP协议规定，每个子网的第一位与最后一位用作广播地址。 所以我们填入55。,配置lan2net,因为PC2是作为接入外网的网关，所以我们新建一个名为“gateway”主机网关。,配置路由,进入路由配置的 主路由表。,配置LAN4路由,LAN4端口所接的网络为LAN4NET。,配置LAN2,Lan2端口接的作为接入公网网关的PC2，所以新建一个路由配置如下：,编辑过滤规则,打开过滤规则，进行编辑。 过滤规则可以建立多条，按从上到下顺序执行。 规则的最后一条须为“dropall”。,服务类型设为“标准”,地址转换设为“NAT”,允许本地主机PING防火墙,Ping的协议类型为ICMP,设置DropAll,配置完后，把配置签出,SAT,SAT 静态地址转换,PC1 /24,PC2 1/24,FW,Lan4:/24,Lan2:/24,server,当一个局域网接入公网时，内部的许多服务器都采用的私有IP，在公网上时无效的。如何将私有IP转化为公有IP呢？ 这就将用到SAT静态地址转换。,配置局部对象,配置lan2 其他对象配置如同NAT,配置server,新建主机对象server。配置如下：,路由配置,配置Lan2.,配置Lan4,过滤规则,建立新规则。动作选择SAT。接口配置如下。,假设server是http服务器，那末我们就在服务规则里选择“http”。,Allow,SAT规则不可以单独作为规则执行，必须与相应的Allow。 网络接